Bảo mật thông tin là gì?

Bảo mật thông tin là quá trình bảo vệ tất cả thông tin doanh nghiệp, bất kể ở dạng kỹ thuật số hay vật lý. Các tổ chức bảo vệ thông tin liên quan đến hoạt động và khách hàng của mình để duy trì danh tiếng thương hiệu, niềm tin từ khách hàng và tuân thủ quy định. Bảo mật thông tin xác định các quy trình, công cụ và công nghệ giúp đảm bảo tất cả thông tin được xem, sao chép, thay đổi hay tiêu hủy chỉ sau khi được ủy quyền thích hợp.

Việc bảo mật thông tin hỗ trợ các tổ chức bằng cách giúp đảm bảo tính toàn vẹn, độ sẵn sàng và tính bảo mật của dữ liệu cá nhân và hệ thống kinh doanh của họ. Có nhiều lý do khiến bảo mật thông tin trở nên quan trọng.

Tạo điều kiện đảm bảo tính liên tục trong kinh doanh

Hệ thống thông tin hiệu quả cho phép doanh nghiệp duy trì quyền truy cập không bị gián đoạn vào dữ liệu và hệ thống của mình, ngay cả trong các sự kiện bảo mật bất ngờ. Việc lập kế hoạch duy trì hoạt động kinh doanh bao gồm việc sử dụng nhiều phần mềm bảo mật, tạo các chính sách cần tuân thủ trong các sự kiện và triển khai các biện pháp kỹ thuật giúp bảo vệ tổ chức.

Xây dựng niềm tin của khách hàng

Bảo mật thông tin giúp giảm khả năng xảy ra các sự kiện bảo mật bất ngờ, cho phép doanh nghiệp cung cấp dịch vụ không bị gián đoạn cho khách hàng của mình. Khi các tổ chức có lịch sử tuân thủ một cách nhất quán với yêu cầu quản trị, tuân theo các phương pháp tốt nhất và triển khai các phương pháp phát triển bảo mật, họ chứng tỏ với khách hàng rằng họ coi trọng dữ liệu người dùng và sẽ bảo vệ dữ liệu đó.

Giảm thiểu rủi ro bảo mật

Tùy thuộc vào ngành hoạt động, doanh nghiệp phải tính đến một số rủi ro tiềm ẩn có thể có. Việc bảo mật thông tin cho phép triển khai các biện pháp kiểm soát về mặt kỹ thuật và quy trình nhằm quản lý và giảm thiểu rủi ro.

Tổ chức có thể tích hợp công nghệ quản lý bảo mật mới giúp giảm khả năng xảy ra các sự kiện bảo mật bất ngờ đồng thời cải thiện khả năng kiểm soát rủi ro của công ty.

Bảo vệ danh tín thương hiệu

Bảo mật thông tin giúp bảo vệ danh tiếng thương hiệu bằng cách tăng cường khả năng cung cấp dịch vụ một cách đáng tin cậy, bảo vệ quyền riêng tư của khách hàng và đáp ứng nhu cầu hoạt động. Việc xảy ra các sự kiện bảo mật ngoài ý muốn có thể làm tổn hại danh tiếng thương hiệu; tuy nhiên, các biện pháp bảo mật thông tin hiệu quả sẽ giúp giảm khả năng xảy ra.  

Có một số nguyên tắc chính về bảo mật thông tin mà mọi doanh nghiệp đều cần tuân theo.

Tính bảo mật

Bảo mật giúp đảm bảo rằng chỉ những người được ủy quyền mới có quyền truy cập dữ liệu kinh doanh riêng tư. Nguyên tắc này áp dụng cả về mặt kỹ thuật và vật lý, vì bạn có thể triển khai biện pháp kiểm soát truy cập cho tệp kỹ thuật số đồng thời ngăn không cho nhân viên chưa được cấp phép truy cập vào văn phòng. Phạm vi bảo mật cũng mở rộng đến việc sử dụng mã hóa, bảo mật dữ liệu đang được truyền và đang được lưu trữ, cũng như đảm bảo rằng tất cả dữ liệu của công ty được bảo vệ.

Tính toàn vẹn

Tính toàn vẹn là độ chính xác, độ tin cậy và tính nhất quán của dữ liệu trong suốt vòng đời dữ liệu tại một công ty. Nguyên tắc này nhắm đến mục đích bảo vệ dữ liệu bằng cách đảm bảo dữ liệu luôn chính xác và không bị thay đổi mà chủ sở hữu không hay biết. Các hoạt động chính trong việc thực thi tính toàn vẹn dữ liệu trong hệ thống thông tin bao gồm thêm chữ ký dữ liệu số, sử dụng tính năng băm mật mã, lưu trữ dữ liệu trong sổ cái bất biến và xác thực dữ liệu trong suốt vòng đời.

Độ sẵn sàng

Độ sẵn sàng giúp đảm bảo rằng người dùng được ủy quyền có quyền truy cập vào bất kỳ dữ liệu nào họ cần mà không bị chậm trễ hoặc gián đoạn. Nguyên tắc này nhằm triển khai các chiến lược sao lưu và khôi phục để dữ liệu lúc nào cũng truy cập được. Ngoài ra, độ sẵn sàng còn liên quan đến việc bảo vệ khỏi sự gián đoạn của bên thứ ba, giám sát tình trạng lưu trữ trong trung tâm dữ liệu và thiết kế khả năng chịu lỗi vào kiến trúc dữ liệu.

Chống thoái thác

Chống thoái thác giúp đảm bảo rằng mọi hành động được thực hiện liên quan đến dữ liệu đều được theo dấu, giám sát và ghi lại. Bằng cách nhúng tính năng chống thoái thác vào hệ thống bảo mật thông tin, doanh nghiệp có thể xây dựng biên bản kiểm tra cho từng dữ liệu. Bất cứ khi nào người dùng tương tác với thông tin, thay đổi, truy cập thông tin hoặc phê duyệt việc di chuyển hay thay đổi thông tin, tất cả các yếu tố này đều được ghi vào sổ cái bất biến.

Đảm bảo thông tin

Đảm bảo thông tin là hoạt động bảo vệ hệ thống thông tin bằng cách đảm bảo rằng các hoạt động quan trọng đối với nhiệm vụ luôn được hỗ trợ. Đây là nguyên tắc rộng hơn liên quan đến đánh giá và tuân thủ các khung bảo mật như ISO 27001, chủ động quản lý mọi rủi ro mới xuất hiện, thường xuyên kiểm tra hệ thống bảo mật và liên tục giám sát các mối đe dọa tiềm ẩn. 

Hệ thống quản lý bảo mật thông tin (ISMS) xác định cách tổ chức quản lý bảo mật thông tin của mình trong toàn bộ vòng đời của dữ liệu. Hệ thống này thường xác định cách con người, quy trình và công nghệ hoạt động để cung cấp biện pháp kiểm soát bảo mật toàn diện cho tất cả hệ thống thông tin trong doanh nghiệp.

Các tiêu chuẩn và khung quốc tế cung cấp hướng dẫn mang tính mô tả và quy định để giúp các tổ chức bảo mật thông tin và dữ liệu trong khuôn khổ chương trình tuân thủ. Chúng tôi đưa ra một số ví dụ về tiêu chuẩn và khuôn khổ mà tổ chức của bạn có thể tuân theo bên dưới.

ISO-27001

ISO 27001 xoay quanh bốn chủ đề chính: cải thiện bảo mật về tổ chức, con người, vật lý và công nghệ. Mỗi hạng mục trong số này đều nhằm tăng cường bảo mật theo cách khác nhau, ví dụ:

• Về chủ đề con người, tiến hành đào tạo bảo mật cho nhân viên.
• Về chủ đề vật lý, thực hiện các chính sách kiểm soát quyền truy cập nghiêm ngặt cho văn phòng.
• Về chủ đề công nghệ, triển khai mã hóa cho dữ liệu dữ liệu đang được lưu trữ và đang được truyền.

Mỗi hạng mục đều góp phần tạo ra tiêu chuẩn cao hơn về bảo mật thông tin.

• AWS được chứng nhận tuân thủ theo ISO/IEC 27001:2022. Điều này có nghĩa là, về mặt nội bộ, chúng tôi đánh giá một cách có hệ thống các rủi ro bảo mật thông tin của mình, cân nhắc cả ảnh hưởng từ các mối đe dọa và lỗ hổng.
• Chúng tôi thiết kế và triển khai bộ biện pháp kiểm soát bảo mật thông tin toàn diện và các hình thức quản lý rủi ro khác để giải quyết những rủi ro bảo mật kiến trúc và khách hàng.
• Chúng tôi có một quy trình quản lý bao quát giúp đảm bảo rằng các biện pháp kiểm soát bảo mật thông tin liên tục đáp ứng được nhu cầu của chúng tôi.

PCI-DSS

PCI-DSS là tiêu chuẩn được sử dụng rộng rãi khác giúp đảm bảo mọi khoản thanh toán thẻ, bao gồm lưu trữ, truyền và xử lý dữ liệu tài chính, được thực hiện một cách bảo mật. Mọi chủ thể lưu trữ, xử lý hoặc truyền dữ liệu chủ thẻ (CHD) hoặc dữ liệu xác thực nhạy cảm (SAD), bao gồm thương nhân, đơn vị xử lý, tổ chức thanh toán, nhà phát hành và nhà cung cấp dịch vụ, đều phải có chứng nhận tiêu chuẩn PCI-DSS.

Bạn có thể xem danh sách các dịch vụ AWS thuộc phạm vi hiện tại cho PCI DSS.

HIPAA/HITECH

HIPAA (Đạo luật về trách nhiệm giải trình và cung cấp thông tin bảo hiểm y tế) là đạo luật liên bang của Hoa Kỳ giúp đảm bảo việc bảo vệ thông tin sức khỏe cá nhân (PHI), nhằm mục đích bảo mật dữ liệu và ngăn chặn việc tiết lộ trái phép. HIPAA áp dụng cho “các đối tượng chịu sự điều chỉnh” (chương trình bảo hiểm y tế, tổ chức trung gian xử lý dữ liệu y tế và nhà cung cấp dịch vụ y tế khi họ truyền thông tin y tế bằng phương thức điện tử) và các đối tác kinh doanh của họ.

Bạn có thể xem danh sách các dịch vụ AWS thuộc phạm vi hiện tại cho HIPAA.

FedRAMP

FedRAMP (Chương trình quản lý rủi ro và cấp phép liên bang) là chương trình áp dụng cho toàn bộ chính phủ Hoa Kỳ, nhằm tiêu chuẩn hóa việc đánh giá bảo mật, cấp phép và giám sát liên tục các sản phẩm và dịch vụ đám mây được sử dụng bởi các cơ quan liên bang.

Bạn có thể xem danh sách các dịch vụ AWS thuộc phạm vi hiện tại cho FedRAMP.

GDPR

GDPR (Quy định chung về bảo vệ dữ liệu) là khung pháp lý của Liên minh Châu Âu có chức năng bảo vệ dữ liệu của công dân Liên minh Châu Âu. Đây là tiêu chuẩn toàn cầu, vì bất kỳ doanh nghiệp nào muốn tương tác với khách hàng Liên minh Châu Âu theo bất kỳ cách nào cũng phải tuân thủ GDPR. GDPR hướng đến mục đích thúc đẩy tối thiểu hóa dữ liệu, giúp đảm bảo cơ sở hợp pháp cho việc thu thập dữ liệu và cung cấp cho người dùng quyền yêu cầu xóa dữ liệu của họ.

Khách hàng của AWS có thể sử dụng tất cả các dịch vụ AWS để xử lý dữ liệu cá nhân (theo định nghĩa trong GDPR) được tải lên các dịch vụ AWS trong tài khoản AWS của mình (dữ liệu khách hàng) theo cách tuân thủ GDPR.

FIPS 140-3

FIPS 140-3 là mô-đun mật mã mà tất cả các cơ quan Hoa Kỳ hoạt động trên quy mô liên bang phải sử dụng. Tiêu chuẩn này là một phần của FedRAMP và yêu cầu các công ty sử dụng một loạt các biện pháp bảo mật mang tính bảo vệ và phòng ngừa.

AWS cung cấp phạm vi lớn các Điểm cuối FIPS theo dịch vụ.

Có một số hạng mục chính của chương trình bảo mật thông tin kết hợp với nhau để bảo mật khối lượng công việc và ứng dụng.

Bảo vệ dữ liệu

Bảo vệ dữ liệu là bất kỳ dịch vụ nào giúp bảo vệ thông tin nhạy cảm, tài khoản và khối lượng công việc khỏi truy cập trái phép. Các dịch vụ bảo vệ dữ liệu cốt lõi bao gồm mã hóa dữ liệu cả khi truyền lẫn khi được lưu trữ, quản lý khóa và phục hồi dữ liệu nhạy cảm.

Bảo vệ mạng và ứng dụng

Các công nghệ bảo vệ mạng và ứng dụng liên quan đến bất kỳ chiến lược và chính sách nào mà doanh nghiệp của bạn triển khai tại các điểm kiểm soát an ninh mạng. Các công nghệ này giúp xác định lưu lượng truy cập đến, lọc và ngăn chặn mọi kết nối trái phép truy cập vào mạng của bạn. Các công nghệ cốt lõi liên quan đến tường lửa, VPN, phát hiện điểm cuối và ranh giới cấp độ ứng dụng khác để tăng cường bảo mật mạng của bạn.

Quản lý danh tính và truy cập

Các công cụ bảo mật của dịch vụ quản lý danh tính và truy cập (IAM) giúp doanh nghiệp của bạn quản lý việc kiểm soát truy cập, chỉ định cấp độ quyền và xác định tài khoản nào có quyền truy cập dữ liệu nhạy cảm. Kiểm soát danh tính giúp xác định cấp độ truy cập mà một số tài khoản nhất định có và cấp độ truy cập đó cho phép họ xem và tương tác với những gì. Điều này liên quan đến kiểm soát cấp độ dữ liệu và hệ thống đặc quyền tài khoản.

Tuân thủ và kiểm tra

Tuân thủ và kiểm tra là khả năng tuân thủ các phương pháp tốt nhất, giám sát môi trường của bạn và giúp đảm bảo đáp ứng các tiêu chuẩn tuân thủ trên toàn tổ chức của bạn. Tùy thuộc vào ngành mà doanh nghiệp của bạn hoạt động, các tiêu chuẩn chính xác mà bạn nên kiểm tra và tuân thủ sẽ khác nhau.

Kiểm soát bảo mật vật lý

Kiểm soát bảo mật vật lý là hình thức kiểm soát truy cập khác liên quan đến văn phòng, máy chủ và không gian kinh doanh vật lý. Điều này liên quan đến việc thiết kế trang web an toàn, lên kế hoạch độ sẵn sàng và triển khai các chính sách truy cập vật lý. Bảo mật vật lý và môi trường cũng mở rộng sang hoạt động giám sát truy cập, ghi hoạt động di chuyển và đảm bảo duy trì dấu vết dữ liệu để doanh nghiệp kiểm tra. 

Khi doanh nghiệp sử dụng dịch vụ đám mây, thì bảo mật và tuân thủ trở thành trách nhiệm chung giữa nhà cung cấp dịch vụ đám mây và công ty. Trách nhiệm kép này được gọi là mô hình trách nhiệm chung và là các nhiệm vụ tương ứng mà mỗi bên phải hoàn thành để giúp đảm bảo an ninh trên đám mây.

Khách hàng chịu trách nhiệm quản lý dữ liệu của mình, nền tảng, ứng dụng, quản lý danh tính và quyền truy cập, mã hóa dữ liệu khách hàng, cấu hình mạng, cùng các nhiệm vụ khác. Nhà cung cấp dịch vụ đám mây chịu trách nhiệm về mọi cơ sở hạ tầng nào chạy các dịch vụ trong đám mây, bao gồm phần cứng, phần mềm hoặc kết nối mạng do nhà cung cấp dịch vụ đám mây vận hành.

Bản chất cụ thể của trách nhiệm chung sẽ phụ thuộc vào nhà cung cấp dịch vụ đám mây mà công ty chọn để hợp tác. Sự phân chia trách nhiệm đó thường được hiểu là bảo mật “của” đám mây so với bảo mật “trong” đám mây.

Tại AWS, bảo mật là ưu tiên hàng đầu của chúng tôi. AWS được kiến trúc để trở thành cơ sở hạ tầng đám mây toàn cầu bảo mật nhất nhằm làm nền tảng để xây dựng, di chuyển cũng như quản lý các ứng dụng và khối lượng công việc. Nền tảng này được hỗ trợ bởi sự tin tưởng của hàng triệu khách hàng, bao gồm những tổ chức có yêu cầu cao nhất về bảo mật như chính phủ, y tế và dịch vụ tài chính.

Bảo mật là trách nhiệm chung giữa AWS và khách hàng. Mô hình trách nhiệm chung này có thể giúp giảm bớt gánh nặng vận hành cho khách hàng vì AWS sẽ vận hành, quản lý và kiểm soát các thành phần từ hệ điều hành máy chủ và lớp ảo hóa cho tới bảo mật vật lý của các cơ sở nơi dịch vụ hoạt động. Chúng tôi hỗ trợ nhiều tiêu chuẩn bảo mật và chứng nhận tuân thủ khác nhau, bao gồm PCI-DSS, HIPAA/HITECH, FedRAMP, GDPR và FIPS 140-3, giúp khách hàng đáp ứng các yêu cầu tuân thủ trên toàn thế giới. Chúng tôi cũng cung cấp cho bạn toàn quyền kiểm soát dữ liệu riêng, cho phép bạn xác định cách thức sử dụng dữ liệu của bạn, ai có quyền truy cập vào dữ liệu cũng như cách thức mã hóa dữ liệu đó.

Các dịch vụ bảo mật AWS có thể hỗ trợ cho nỗ lực bảo mật thông tin của bạn trên đám mây. Ví dụ:

• Các dịch vụ kiểm tra và cấu hình AWS cung cấp cho bạn cái nhìn toàn diện về tình trạng tuân thủ và liên tục giám sát môi trường của bạn.
• Các dịch vụ như Quản lý danh tính và truy cập trong AWS (IAM) cho phép bạn quản lý quyền truy cập vào các dịch vụ và tài nguyên AWS theo cách bảo mật. AWS CloudTrail và Amazon Macie tạo điều kiện đảm bảo tuân thủ, phát hiện và kiểm tra, còn AWS CloudHSM và Dịch vụ quản lý khóa của AWS (KMS) cho phép bạn tạo và quản lý bảo mật khóa mã hóa. AWS Control Tower cung cấp khả năng quản trị và kiểm soát vị trí lưu dữ liệu.
• Các dịch vụ phát hiện và phản hồi của AWS giúp bạn cải thiện tình trạng bảo mật và hợp lý hóa các hoạt động bảo mật trên toàn bộ môi trường AWS của bạn.
• Các dịch vụ danh tính của AWS giúp bạn quản lý bảo mật danh tính, tài nguyên và quyền trên quy mô lớn.
• Các dịch vụ bảo vệ mạng và ứng dụng của AWS giúp bạn thực thi chính sách bảo mật ở mức độ chi tiết tại các điểm kiểm soát mạng trên toàn bộ tổ chức của bạn.

Hãy bắt đầu sử dụng tính năng bảo mật thông tin trên AWS bằng cách tạo tài khoản miễn phí ngay hôm nay.