Phần 1: Hướng dẫn hệ thống quản lý an toàn thông tin chính phủ 1. Giới thiệu Sổ tay hướng dẫn Hệ thống quản lý an toàn thông tin chính phủ (The Government Information Security Management System Manual) kiểm tra và thực hiện như 1 phần của Hệ thống quản lý an toàn thông tin chính phủ, dưới chính sách Hệ thống quản lý an toàn thông tin chính phủ, được công khai bởi thủ tướng chính phủ, người đứng đầu chính phủ. 2. Phạm vi Áp dụng cho tất cả các cơ quan tổ chức sau: 3. Tài liệu viện dẫn, thuật ngữ và định nghĩa 3.1 Tài liệu viện dẫn ISO/ISE 27001:2005– Công nghệ thông tin – Các phương pháp kỹ thuật an toàn – Hệ thống quản lý an toàn thông tin– Các yêu cầu. 3.2 Các thuật ngữ và định nghĩa Hệ thống quản lý an toàn thông tin (ISMS) Hệ thống quản lý an toàn thông tin cho chính phủ (Government Information Security Management System – GISMS): Là hệ thống quản lý an toàn thông tin (ISMS) cho chính phủ. ISMS được tham chiếu từ tiêu chuẩn ISO/IEC 27001. Cơ quan an toàn thông tin chính phủ (Government information security Office – GIS Office): Là cơ quan chịu trách nhiệm thiết lập chính sách, tiêu chuẩn và hướng dẫn cho Hệ thống quản lý an toàn thông tin cho chính phủ. Lãnh đạo an toàn thông tin (Chief Information Security Officer - CISO): Là một cán bộ quản lý cấp cao thuộc Bộ, có trách nhiệm rõ ràng trước Bộ. Cán bộ quản lý an toàn thông tin (IS Manager) Vai trò này được giao cho 1 cán bộ của cơ quan và có trách nhiêm trong cả 2: sổ tay hướng dẫn hệ thống quản lý an toàn thông tin và Sách nguyên tắc an toàn hệ thống thông tin chính phủ Sách kiểm tra rủi ro (Risk Check Book): Là một loại sách kiểm tra để định nghĩa tài sản thông tin, đánh giá tài sản thông tin, kiểm tra những rủi ro tiềm ẩn, xác định rủi ro và đánh giá rủi ro. Sách nguyên tắc Hệ thống quản lý an toàn thông tin cho chính phủ (Government Information Security Security Rule Book – GIS Rule Book) : Định nghĩa nguyên tắc và các thủ tục an toàn cho từng tài sản thông tin. 4. Hệ thống quản lý rủi ro an toàn thông tin Chính phủ (Government Information Security Management System - GISMS) GISMS lập kế hoạch, thực hiện, kiểm tra, hành động theo chu trình khép kín PDCA tham chiếu từ tài liệu ISO/IEC 27001. Tài liệu này cũng định nghĩa các quy trình của GISMS và định nghĩa các biện pháp kiểm soát và ghi tài liệu. 4.1 Lập kế hoạch (Thiết lập) Quy trình lập kế hoạch bao gồm 5 quy trình con; hướng và hướng dẫn chính sách, định nghĩa phạm vi của GISMS, đánh giá rủi ro, phát triển hướng dẫn GIS và chứa những phê chuẩn. 4.1.1 Hướng chinh sách GISMS và sổ tay hướng dẫn GISMS Đây là bước đầu tiên, chính sách GISMS đỏ, là tài liệu công bố mục tiêu và chính sách của GISMS. Sổ tay GISMS hướng dẫn áp dụng cho tất cả tổ chức, cơ quan chính phủ. 4.1.2 Định nghĩa phạm vi của ISMS Khi 1 Bộ bắt đầu phát triển hệ thống quản lý an toàn thông tin ISMS, đều cần phải xác định phạm vi của chu trình PDCA. Đây là bước áp dụng chung nhất để xác định phạm vi bằng các phương tiện vật lý, như là phạm vi bao quanh/tòa nhà. Phạm vi này có thể được xác định bằng ảnh hưởng của mạng hê thống thông tin của các biện pháp và xử lý những mối đe dọa. Cần xác định cẩn trọng phạm vi bằng sơ đồ tổ chức bởi vì có thể gây khó khăn khi triển khai. Phiên bản khởi tạo của GISMS chỉ tập trung cho phạm vi là các PC khách và sẽ phát triển đầy đủ hơn trong tương lai. 4.1.3 Đánh giá rủi ro Thủ tục đánh giá rủi ro bao gồm 5 bước sau: Xác định tài sản thông tin, Đánh giá tài sản thông tin, Kiểm trả rủi ro tiềm ẩn, Xác định rủi ro và đánh giá rủi ro. Thủ tục chi tiết được xác định trong sách kiểm tra rủi ro. Có thể tham khảo them trong Sách kiểm tra rủi ro. Bước 1: Xác định tài sản Xác định tài sản. Sách kiểm tra rủi ro đưa ra 6 tài sản mặc định, 4 tài sản khác như phương tiện, giấy tờ, PC khách, mạng và tài sản máy chủ được được xác định bởi cơ quan cho mỗi lần để tự kiểm tra. Bước 2: Đánh giá tài sản Bước tiếp theo để đánh giá tài sản. Có 3 thuộc tính của thông tin: bí mật, toàn vẹn và sẵn sàng. Chọn 1 lớp theo các tiêu chuẩn được thể hiện dưới đây: 1: Đánh giá tính bí mật # Lớp Đánh giá Mô tả C1 1:Chung 1 Tài sản thông tin mở công khai C2 2:Nội bộ 2 Thông tin chỉ được sử dụng trong điều hành nghiệp vụ của chính phủ C3 5: Bí mật 5 Tính bí mật trong số người dùng có thẩm quyền đã bị giới hạn 2: Đánh giá tính nguyên vẹn # Lớp Đánh giá Mô tả I1 1:Thấp 1 Không ảnh hưởng đến tính liên tục nghiệp vụ bằng cách giả mạo I2 2:Trung bình 3 Chi phí điều hành tác động bằng cách giả mạo I3 Cao 5 Tác động chính trị bằng cách giả mạo 3: Đánh giá tính sẵn sàng # Lớp Đánh giá Mô tả A 1 1:Thấp 1 Ngắt dịch vụ được cho phép hơn 24 giờ A 2 2:Trung bình 3 Ngắt dịch vụ được cho phép đến 24 giờ A 3 5:Cao 5 Ngắt dịch vụ được cho phép đến 4 giờ Đánh giá tổng của tài sản xác định bằng tổng của 3 thành phần. Soát xét và duyệt lại đánh giá tính bí mật, toàn vẹn, sẵn sàng nếu cảm thấy giá trị tài sản tổng khác với thực tế. 4: Đánh giá tài sản (Điểm = bí mật + toàn vẹn + sẵn sàng) # Lớp Đánh giá Điểm Mô tả A 1 1:Thấp 1 3 đến 6 Tài sản có tác động 1 cách vừa phải trong 1 hoạt động A 2 2:Trung bình 2 7 đến 12 Tài sản có tác động to lớn trong 1 hoạt động A 3 3:Cao 3 13 đến 15 Tài sản có tác động to lớn trong 1 quản trị chung Bước 3: Kiểm tra tài sản Kiểm tra tài sản. Chọn là Có hoặc Không cho mỗi lần kiểm tra (Kiểm tra các mục của máy tính cá nhân PC)  Phân công một người sử dụng chính ở mức tối thiểu cho tất cả máy tính cá nhân.  Sử dụng 1 mật khẩu mạnh và thay đổi 1 cách có định kỳ.  Cấm chia sẻ tài khoản và mật khẩu người dùng với một vài người.  Xóa màn hình hiển thị bằng chức năng bảo vệ màn hình có cả mật khẩu bảo vệ  Quét các ổ chứa địa phương với phần mềm chống virus một cách định kỳ  Sử dụng chức năng phát hiện virus một cách tự động thường xuyên  Cập nhật file nhận dạng virus một cách thường xuyên  Giữ các bản ghi quét và cập nhật nhận dạng virus  Kết nối với UPS cho tất cả các máy tính cá nhân  Thực thi xóa, định dạng các thiết bị lưu trữ Bước 4: Đánh giá rủi ro Đánh giá mối hiểm họa và điểm yếu để áp dụng cho tiêu chuẩn. Với mỗi kiểm tra có ví dụ của mối đe dọa trong 1 cột chú thích để nhận dạng dễ dàng hơn cho các mối đe dọa đặc trưng. 6: Đánh giá mối đe dọa # Lớp Đánh giá Mô tả T1 1:Thấp 1 Khả năng các mối đe dọa xảy ra là thấp T2 2:Trung bình 2 Khả năng các mối đe dọa xảy ra là trung bình T3 Cao 3 Khả năng các mối đe dọa xảy ra là cao 7: Đánh giá lỗ hổng # Lớp Đánh giá Mô tả V 1 1: Thấp 1 Được điều chỉnh đủ để bảo mật chống lại 1 mối đe dọa V 2 2:Hơi cao 2 Được điều chỉnh nhưng không có cơ hội để cải tiến V 3 3:Trung bình 3 Được điều chỉnh thích hợp nhưng vẫn cần để cải tiến V 4 4:Cao 4 Không có điều chỉnh để chống lại 1 mối đe dọa Đánh giá rủi ro tổng được xác định bằng tính toán sau: 8: Đánh giá rủi ro (Điểm = (tài sản + mối đe dọa) * điểm yếu) # Lớp Đánh giá Điểm Mô tả R1 1:Thấp 1 2 đến 6 Rủi ro được cho phép R3 2:Cao 2 8 đến 24 Rủi ro không cho phép cần có sự điều chỉnh Bước 5: Quyết định biện pháp Tất cả các mục kiểm tra được đánh giá là rủi ro “Cao” yêu cầu phải điều chỉnh. Nhìn chung, cần thiết để triển khai các nguyên tắc, thủ tục để giảm nhẹ rủi ro . Do đó, cần thiết phải phát triển Sách nguyên tắc an toàn thông tin. Sau khi quyết định sử dụng các biện pháp và tiến hành các xử lý những danh mục rủi ro, đánh giá rủi ro lần nữa và chắc chắn tất cả các danh mục kiểm tra được đánh giá ở mức “Thấp”. 4.1.4 Phát triển sách nguyên tắc đảm bảo an toàn thông tin chính phủ Sách nguyên tắc đảm bảo an toàn thông tin chính phủ được định nghĩa bởi Bộ. Dựa trên kết quả đánh giá rủi ro, xử lý chủ yếu để xác định các nguyên tắc và thủ tục để làm giảm rủi ro đã được bộc lộ. Sách nguyên tắc đảm bảo an toàn thông tin chính phủ cần phải chứa 5 nội dung sau: Xác định phạm vi của 1 hệ thống quản lý an toàn thông tin, Tổ chức an toàn thông tin, Nguyên tắc và các thủ tục, Đào tạo an toàn thông tin và Đo lường kiểm tra và hành động. Mẫu Sách nguyên tắc đảm bảo an toàn thông tin chính phủ cho 1 Bộ bắt buộc phải sử dụng, vai trò của cơ quan an toàn thông tin chính phủ GIS được mô tả trong chương 5 Quản lý trách nhiệm. 3 Bước tiếp theo được giải thích để phát triển sách an toàn thông tin chính phủ. 4.1.5 Xác định phạm vi của hệ thống quản lý an toàn thông tin trong sách nguyên tắc đảm bảo an toàn thông tin chính phủ Phạm vi của hệ thống quản lý an toàn thông tin ở chương 4.1.2 được tài liệu hóa trong Sách nguyên tắc đảm bảo an toàn thông tin chính phủ, nơi để nghị để làm rõ các tài sản thông tin và liên quan đến địa điểm vật lý / tổ chức/cơ quan được đưa ra trong mẫu sách nguyên tắc. 4.1.5.1. Xác định nguyên tắc/thủ tục không áp dụng trọng mẫu sách nguyên tắc Các nguyên tắc và thủ tục dựa trên tài sản thông tin và phạm vi tính bí mật của từng Bộ, không cần xác định trừ khi tài sản thông tin đích tồn tại trong phạm vi này. 4.1.5.2. Xác định các nguyên tắc và thủ tục trong sách nguyên tắc mẫu Sách cần thiết xác định được an toàn hơn nếu số lượng thông tin trong 1 Bộ bí mật hơn theo kết quả của 1 đánh giá rủi ro. Sách cần phải thêm các định nghĩa nếu như sách nguyên tắc mẫu không chứa các tài sản thông tin trong phạm vi này. Trong trường hợp sau, đề nghị để thảo luận với cơ quan an toàn thông tin chính phủ trước khi bắt đầu định nghĩa các nguyên tắc và thủ tục, để quyết định định nghĩa tiêu chuẩn của tài sản thông tin mới. 4.1.6 Đạt được các phê duyệt(? chấp thuận) Có 2 bước phê duyệt. Tất cả các bước từ chương 4.1.1 đến 4.1.4 được hoàn thành và danh sách kiểm tra rủi ro và sách nguyên tắc đảm bảo an toàn thông tin chính phủ bao gồm người quản lý cấp cao an toàn thông tin và bản quản lý an toàn thông tin phải được tài liệu hóa 1 cách đầy đủ, tiến trình lập kế hoạch và tài liệu sẽ được soát xét và phê duyệt bởi cơ quan GIS. Trường hợp rất đặc biệt có phép chấp nhận một rủi ro như là rủi ro còn tồn động mặc dù rủi ro đó không vượt quá mức chấp nhận được trong đánh giá rủi ro 1 cách tự động trong Sách kiểm tra rủi ro. Sự phê duyệt của người quản lý đứng đầu của Bộ phải triển khai đầy đủ và có hiệu quả ở Bộ. 4.2 Thực hiện (triển khai và thực thi) Điều đầu tiên cần thực hiện khi triển khai ISMS ở 1 Bộ là thiết lập ISO. Sau đó, CISO sẽ phân công cho các thành viên ISO để chuẩn bị và tiến hành đào tạo an toàn thông tin. Một ISMS là một hệ thống quản lý, do đó, cần được ưu tiên đào tạo đầu tiên. 4.3 Kiểm tra (Giám sát và soát xét) Cần phải có 1 chặng đường dài để đưa ISMS thành một phần vô cùng quan trọng của tổ chức và cần thiết phải có nhiều sự cải tiến và nỗ lực liên tục. Để nắm được tình trạng khách quan để thảo luận cho bất kỳ sự cải tiến nào, hệ thống đo lường cần phải được thiết lập và xác định trong Sách nguyên tắc đảm bảo an toàn thông tin chính phủ. Kiểm toán nội bộ để điều tra hiệu quả của hệ thống quản lý an toàn thông tin đã triển khai cũng như yêu cầu phải tìm những phát sinh để lưu trữ các mức rủi ro trong quy trình lập kế hoạch và soát xét các mức độ chấp nhận được của rủi ro. Kết quả của đánh giá rủi ro phải được cập nhật trong Sách nguyên tắc rủi ro. Thường xuyên kiểm và hành động phải được định nghĩa trong Sách nguyên tắc đảm bảo an toàn thông tin chính phủ, tuy nhiên cần phải thực hiên ít nhất 1 lần trong 1 năm hoặc hơn nữa. 4.4 Hành động (duy trì và cải tiến) Kết quả của phép đo lường và kiểm toán nội bộ để quyết định hành động để cải tiến hiệu năng của hệ thống quản lý an toàn thông tin và tối ưu mức chấp nhận được của các rủi ro. Các hành động không chỉ là cải tiến cho nguyên tắc và quy trình nhưng cũng cần xử lý để thiết lập phần cứng/phần mềm mới để bảo vệ cho hệ thống/mạng. Những hành động này có thể dẫn đến bãi bỏ 1 số nguyên tắc để thủ tục phù hợp với sự thay đổi của Bộ và điều hành nghiệp vụ. 4.5 Kiểm soát tài liệu Phần này định nghĩa cấu trúc tài liệu, quyền hạn, hiệu chỉnh, sự phân tán, truy cập của hệ thống quản lý an toàn thông tin chính phủ GISMS. 4.5.1 Cấu trúc tài liệu và quyền Hệ thống quản lý an toàn thông tin chính phủ GISMS có 4 tài liệu chính 1) Chính sách GISMS 2) Sổ tay hướng dẫn GISMS Đó là những bản nháp của cơ quan GIS, được soát xét bởi ủy ban GCIO và được xác thực bởi chủ tịch GCIO. Chính sách GISMS được công bố bởi người đứng đầu của chính phủ. 3) Sách kiểm tra rủi ro Những danh mục kiểm tra được nháp bởi cơ quan GIS, được soát xét và xác thực bởi ủy ban GCIO. 4) Sách nguyên tắc đảm bảo an toàn thông tin chính phủ Đây là sách được xây dựng bởi Bộ. Mẫu Sách nguyên tắc GIS, là được xây dựng dựa trên những giá trị đánh giá rủi ro mặc định của hình thức Sách kiểm tra rủi ro được nháp bởi cơ quan GIS, được xác nhận bởi người đứng đầu Bộ. Và tên của Bộ có trên tài liệu đó. 4.5.2 Soát xét, phân tán, truy cập, bảo vệ tài liệu Soát xét Chinh sách GISMS được công bố bởi người đứng đầu của chính phủ. Thủ tục soát xét được xác định bởi các nguyên tắc khác trong RGC. Sổ tay hướng dẫn GISMS và Sách kiểm tra rủi ro được duyệt lại hàng năm bởi cơ quan GIS trên cơ sở của kiến nghị/ yêu cầu từ lãnh đạo triển khai ISMS. Tài liệu nháp này được xác thực với cùng thủ tục được xanh định trong 4.5.1 tài liệu cấu trúc và xác thực. Tất cả các tài liệu soát xét GISMS được xây dựng bởi Bộ với chu trình PDCA được xác định trong kiểm tra 4.3 và hành động 4.4 Sổ tay GISMS, Sách kiểm tra rủi ro và Sách nguyên tắc đảm bảo an toàn thông tin chính phủ phải có lịch sử soát xét để đảm bảo người đọc soát xét có thể tham khảo và soát xét được. Phân tán, truy cập và bảo vệ Tính bí mật của tài liệu GISMS được xác định như sau: 1. Chính sách GISMS và sổ tay GISMS được phân loại “chung” nhất sao cho mọi người có thể truy cập và đọc được. 2. Sách kiểm tra đánh giá rủi ro không được xác định và được phân loại là “chung”. Mặt khác Sách đánh giá rủi ro, sau khi được đánh giá chứa các rủi ro đã được đánh giá (các mối đe dọa và điểm yếu), do đó nó được phân loại như “nội bộ” yêu cầu phải phân tán, truy cập, bảo vệ cẩn thận. 3. Sách nguyên tắc GIS chứa các nghiệp vụ nội bộ và các thủ tục được phân loại như “nội bộ “ 4.6 Kiểm soát bản ghi [...]... hướng dẫn Hệ thống quản lý an toàn thông tin 5 chính phủ hoặc tài liệu ISO/IEC 27001:2005 Tổ chức an toàn thông tin 5.1 Định nghĩa tổ chức an toàn thông tin Tài liệu phát triển kỹ thuật truyền thông thông tin quốc gia (NiDA) đưa ra vai trò và trách nhiệm của an toàn thông tin Cơ quan an toàn thông tin (ISO) Được thiết lập ở NiDA Nó có trách nhiệm triển khai Hệ thống quản lý an toàn thông tin tại NiDA... Nguyên tắc đảm bảo an toàn thông tin chính phủ 1 Giới thiệu Sách nguyên tắc đảm bảo an toàn thông tin được xác định triển khai Hệ thống quản lý an toàn thông tin chính phủ dưới Chính sách hệ thống an toàn thông tin và Sổ tay hướng dẫn quản lý an toàn thông tin chính phủ 2 Ba nguyên tắc cơ bản an toàn thông tin [Nguyên tắc 1] Luôn luôn xem xét cho dù có được yêu cầu, xử lý hoặc lưu thông tin bí mất hay... nhận biết và nâng cao bởi ban quản lý của cơ quan an toàn thông tin chính phủ như là 1 tâm điểm của sự xuất sắc Các lĩnh vực của năng lực an toàn thông tin: 1 Hệ thống quản lý an toàn thông tin 2 An toàn kiến trúc hạ tầng mạng 3 An toàn ứng dụng 4 An toàn hệ điều hành 5 Tường lửa 6 Phát hiện xâm nhập 7 Virus 8 Các kỹ thuật lập trình an toàn 9 Vận hành an toàn 10 Giao thức an toàn 11 Xác thực 12 Hạ tầng... ISO là các giám đốc quản lý an toàn thông tin, nguời quản lý hệ thống thông tin, người được giao trách nhiệm an toàn thông tin, và được xác định dưới đây: Lãnh đạo an toàn thông tin (Chief Information Security Officer CISO): Là một cán bộ quản lý cấp cao thuộc Bộ, có trách nhiệm rõ ràng trước Bộ Cán bộ quản lý an toàn thông tin (IS Manager) Vai trò này được giao cho 1 cán bộ của cơ quan và có trách nhiêm... xác thực 16 Quy phạm, pháp luật 5.4 Quản lý soát xét Lãnh đạo an toàn thông tin yêu cầu soát xét tất cả các quy trình của hệ thống quản lý an toàn thông tin cho tất cả các tổ chức của chính phủ và cơ quan an toàn thông tin chính phủ xác thực để yêu cầu tất cả tổ chức chính phủ báo cáo hiện trạng của tổ chức mình Lãnh đạo an toàn thông tin và cơ quan an toàn thông tin tại mỗi tổ chức chính phủ yêu cầu... giao trách nhiệm đến người quản lý hệ thống thông tin, từ người quản lý hệ thống thông tin đến người lãnh đạo an toàn thông tin/ cơ quan an toàn 6 thông tin Nguyên tắc và thủ tục 6.1 Phân loại thông tin (a) Nguyên tắc (a1) Thông tin được sử dụng trong điều hành nghiệp vụ chính phủ được chia thành 3 loại sau: 1 Chung: Thông tin mở được công bố rộng rãi 2 Nội bộ: Thông tin chỉ được sử dụng trọng vận hành... thông tin B2.6 Thực hiện các thủ tục bảo vệ an Cơ quan an toàn n/a toàn thông tin nếu thấy cần thiết thông tin B2.7 Ghi các phân tích và hành động Cơ quan an toàn (Đã cập nhật) trong báo cáo thông tin Báo cáo sự kiện an toàn thông tin B2.8 Tập tin báo cáo và được giữ trong Quản lý an toàn n/a thời gian định kỳ thông tin 6.5.2 Thực hiện Máy tính xác tay/điện thoại di động cá nhân (a) Nguyên tắc Tổng quan... định nghĩa 4.1 Tài liệu viện dẫn 1) ISO/IEC 27001:2005: Công nghệ thông tin – Các phương pháp kỹ 4.2 thuật an toàn – Hệ thống quản lý an toàn thông tin Các yêu cầu 2) Sổ tay hướng dẫn hệ thống quản lý an toàn thông tin chính phủ Thuật ngữ và định nghĩa Các thuật ngữ và định nghĩa được sử dụng trong sách nguyên tắc đảm bảo an toàn thông tin chính phủ Máy tính cá nhân: Máy tính cá nhận là những máy địa... Cơ quan an toàn (Đã cập nhật) vừa đưa ra hành động thích hợp thông tin Báo cáo sự Ghi tất cả vào trong bản ghi kiện an toàn thông tin B1.4 Tập tin báo cáo phải được giữ và Quản lý an toàn n/a xác định, cập nhật cách định kỳ thông tin 6.5.7 Trình duyệt web (a) Nguyên tắc Tổng quan (a1) Không tải 1 tập tin thực hiện nào nếu không có sự cho phép của Người quản lý an toàn thông tin (a2) Chỉ tải tập tin. .. Quản lý an toàn n/a kỳ thông tin 8 Kiểm tra đo Bản ghi Thư trình Các mục sau sẽ được đo bởi người quản lý an toàn thông tin và được báo cáo tại cơ quan an toàn thông tin hàng năm Báo cáo này sẽ giúp cải tiến hệ thống an toàn thông tin dựa trên mục tiêu chi tiết # Tên người đo Định nghĩa Được ủy quyền bởi 1 Tỷ lệ hoàn thành đào tạo Tỷ lệ % những người hoàn Lãnh đạo an thành đào tạo trong số tất cả toàn . người quản lý hệ thống thông tin, từ người quản lý hệ thống thông tin đến người lãnh đạo an toàn thông tin/ cơ quan an toàn thông tin. 6. Nguyên tắc và thủ tục 6.1 Phân loại thông tin (a) Nguyên. ISO/IEC 27001:2005: Công nghệ thông tin – Các phương pháp kỹ thuật an toàn – Hệ thống quản lý an toàn thông tin Các yêu cầu. 2) Sổ tay hướng dẫn hệ thống quản lý an toàn thông tin chính phủ 4.2 Thuật. bảo an toàn thông tin chính phủ 1. Giới thiệu Sách nguyên tắc đảm bảo an toàn thông tin được xác định triển khai Hệ thống quản lý an toàn thông tin chính phủ dưới Chính sách hệ thống an toàn thông