Câu hỏi thường gặp về bảo mật thông tin
Có thể tìm thấy các chính sách, tiêu chuẩn và hướng dẫn của Khối thịnh vượng chung tại Chính sách, Tiêu chuẩn và Hướng dẫn của ITRM trong phần Quản trị Chính sách.
Đúng, người đứng đầu cơ quan chịu trách nhiệm chính về bảo mật hệ thống công nghệ thông tin và dữ liệu của cơ quan.
Trách nhiệm cụ thể của người đứng đầu cơ quan, theo Tiêu chuẩn bảo mật thông tin CNTT (SEC501-10.1) PDF "Các vai trò và trách nhiệm chính về bảo mật thông tin", là:
Chỉ định một Cán bộ An ninh thông tin (ISO) cho cơ quan hai năm một lần.
Đảm bảo rằng chương trình bảo mật thông tin của cơ quan được duy trì, đủ để bảo vệ hệ thống CNTT của cơ quan và được ghi chép lại và truyền đạt hiệu quả.
Xem xét và phê duyệt các Phân tích tác động kinh doanh (BIA), Đánh giá rủi ro (RA) và Kế hoạch duy trì hoạt động (COOP) của cơ quan, bao gồm Kế hoạch phục hồi thảm họa CNTT, nếu có.
Xem xét và phê duyệt Kế hoạch bảo mật hệ thống cho tất cả các hệ thống CNTT của cơ quan được phân loại là nhạy cảm.
Đảm bảo Chương trình kiểm tra an ninh thông tin được thiết lập. Lưu ý: Vui lòng xem Tiêu chuẩn kiểm toán bảo mật CNTT (Tiêu chuẩn COV ITRM SEC502-00) để biết trách nhiệm cụ thể của người đứng đầu cơ quan liên quan đến việc tuân thủ chương trình kiểm toán.
Đảm bảo chương trình An ninh thông tin được thiết lập.
Đảm bảo thiết lập Chương trình đào tạo và nâng cao nhận thức về an ninh thông tin.
Cung cấp các nguồn lực để nhân viên có thể thực hiện trách nhiệm bảo mật hệ thống CNTT và dữ liệu.
Xác định Chủ sở hữu hệ thống, thường là Chủ doanh nghiệp, cho mỗi hệ thống nhạy cảm của cơ quan.
Ngăn ngừa xung đột lợi ích bằng cách tuân thủ khái niệm bảo mật về phân tách nhiệm vụ giữa Cán bộ an ninh thông tin, Chủ sở hữu hệ thống/dữ liệu và Quản trị viên hệ thống.
Đảm bảo rằng các vi phạm dữ liệu được báo cáo cho Giám đốc An ninh Thông tin. (Chỉ áp dụng cho các cơ quan thuộc nhánh hành pháp.)
Người đứng đầu cơ quan có thể ủy quyền tất cả các trách nhiệm về An ninh thông tin, ngoại trừ những trách nhiệm sau:
Chỉ định một Cán bộ An ninh Thông tin.
Đảm bảo việc thực hiện Chương trình An ninh Thông tin.
Đảm bảo việc thực hiện Chương trình kiểm toán.
Lưu ý: Bên được ủy quyền phải sao chép người đứng đầu cơ quan trong các email gửi tới Giám đốc An ninh Thông tin.
ISO được chỉ định bằng cách người đứng đầu cơ quan nộp tên, chức danh và thông tin liên lạc của ISO và ISO dự phòng cho Giám đốc An ninh thông tin (CISO) hai năm một lần. Để biết thêm chi tiết, hãy xem Tiêu chuẩn bảo mật thông tin CNTT (SEC501-10.1) PDF "Các vai trò và trách nhiệm chính về bảo mật thông tin".
Nếu hồ sơ được gửi qua email, hồ sơ đó sẽ được chấp nhận từ người khác ngoài người đứng đầu cơ quan, nếu người đó được sao chép.
Kế hoạch kiểm toán bảo mật Công nghệ thông tin (CNTT) của cơ quan bạn phải được xây dựng dựa trên định hướng được đưa ra trong Tiêu chuẩn kiểm toán bảo mật CNTT (SEC 502) "Lập kế hoạch kiểm toán bảo mật CNTT" và Hướng dẫn kiểm toán bảo mật CNTT (SEC 512.00) "Kế hoạch kiểm toán bảo mật CNTT". Vui lòng sử dụng Mẫu kế hoạch kiểm toán bảo mật CNTT để hoàn thành kế hoạch của bạn.
Người đứng đầu cơ quan hoặc người được chỉ định phải nộp kế hoạch kiểm toán hàng năm cho Giám đốc An ninh Thông tin (CISO). Nếu người được chỉ định gửi hồ sơ qua email thì phải gửi bản sao cho người đứng đầu cơ quan.
Kế hoạch hành động khắc phục bảo mật Công nghệ thông tin (CNTT) của cơ quan bạn phải được xây dựng dựa trên định hướng được đưa ra trong Tiêu chuẩn kiểm toán bảo mật CNTT (SEC 502) "Tài liệu về kiểm toán bảo mật CNTT" và Hướng dẫn kiểm toán bảo mật CNTT (SEC 512.00) "Kế hoạch hành động khắc phục" và "Báo cáo định kỳ CAP". Vui lòng sử dụng Mẫu Kế hoạch Hành động Khắc phục để hoàn thành kế hoạch của bạn.
Người đứng đầu cơ quan hoặc người được chỉ định phải nộp kế hoạch hành động khắc phục hàng quý cho Giám đốc An ninh thông tin (CISO) của Khối thịnh vượng chung.
Nếu kế hoạch chứa thông tin nhạy cảm, hãy gửi email đến CommonwealthSecurity@VITA.Virginia.Gov để yêu cầu hỗ trợ xác định cách thức truyền tải kế hoạch hiệu quả và an toàn.
Nếu bạn cần quyền truy cập bổ sung vào môi trường mạng vào các ứng dụng, ổ đĩa mạng, v.v., hãy yêu cầu nhân viên công nghệ thông tin (AITR) hoặc nhân viên an ninh thông tin (ISO) của cơ quan bạn gửi yêu cầu qua email đến Trung tâm chăm sóc khách hàng VITA (VCCC) theo địa chỉ vccc@vita.virginia.gov.
Xin vui lòng sử dụng video "Duhs of Security" trong nỗ lực nâng cao nhận thức về bảo mật thông tin của bạn. Chúng tôi rất vui khi bạn thấy sản phẩm của chúng tôi có đủ giá trị để thêm vào chương trình của bạn.
Bạn có thể liên hệ với Commonwealth Security and Risk Management theo những cách sau:
Thư: Giám đốc An ninh Thông tin, Cơ quan Công nghệ Thông tin Virginia, 7325 Beaufont Springs Drive, Richmond, VA 23225
Có hai cách chính để gửi báo cáo về sự cố bảo mật nghi ngờ hoặc đã biết. Một cách để báo cáo sự cố bảo mật là điền vào mẫu báo cáo trực tuyến tại đây: Báo cáo sự cố an ninh mạng.
Cách thứ hai để báo cáo sự cố bảo mật là gọi đến Trung tâm chăm sóc khách hàng VITA (VCCC) theo số 1-866-637-8482. VCCC sẽ chấp nhận các báo cáo sự cố bảo mật từ cả các cơ quan đối tác CNTT và không phải đối tác CNTT.
Điều bắt buộc là bạn không được chạm vào hoặc tắt máy tính cho đến khi nhận được hướng dẫn.
Nếu người đứng đầu cơ quan xác định rằng việc tuân thủ các điều khoản của tiêu chuẩn bảo mật thông tin sẽ ảnh hưởng xấu đến quy trình kinh doanh của cơ quan, người đứng đầu cơ quan có thể yêu cầu chấp thuận thay đổi một yêu cầu cụ thể bằng cách gửi yêu cầu ngoại lệ tới Giám đốc An ninh Thông tin. Vui lòng sử dụng Mẫu ngoại lệ theo Tiêu chuẩn bảo mật COV để gửi ngoại lệ.
Yêu cầu ngoại lệ phải được gửi tới Giám đốc An ninh thông tin (CISO). Nếu hồ sơ được gửi qua email, ISO có thể gửi email và sao chép cho người đứng đầu cơ quan.
Nếu ngoại lệ chứa thông tin nhạy cảm, hãy gửi email đến CommonwealthSecurity@VITA.Virginia.Gov để yêu cầu hỗ trợ xác định cách thức truyền ngoại lệ hiệu quả và an toàn.