C-I-12 HD AN TOÀN THÔNG TIN MIS

Đăng vào Tác giả admin 0

1. MỤC ĐÍCH

Để cho các việc liên quan đến thông tin máy tính có thể thuận lợi tiến hành, đảm bảo an toàn của máy tính và các loại file, đảm bảo quyền và lợi ích của khách hàng và người góp cổ phần, thiết lập các nguyên tắc hướng dẫn phù hợp với quy định thông tin an toàn. Đồng thời tăng cường quản lý thông tin an toàn, thiết lập một môi trường hoạt động an toàn và đáng tin cậy thông tin, để đảm bảo an toàn thông tin, hệ thống, thiết bị và mạng.

2. PHẠM VI

Chính sách an toàn thông tin bao gồm tổ chức thực hiện, phân công trách nhiệm, trách nhiệm nhân viên và được thực hiện theo các quy tắc an toàn, thủ tục báo cáo sự cố, quy trình xử lý, quy định liên quan của hợp đồng ủy thác (các điều khoản bảo mật thông tin, quyền sở hữu trí tuệ, phương pháp xử lý các việc vv), định kỳ đánh giá và bằng văn bản, điện tử hoặc các phương tiện để thông báo cho nhân viên, kết nối các tổ chức điều hành công cộng và tư nhân và các nhà cung cấp để cung cấp các dịch vụ thông tin thực hiện theo.

3. Phân công trách nhiệm của an toàn thông tin

  • Thảo luận của các chính sách an toàn thông tin liên quan, kế hoạch, biện pháp và thông số kỹ thuật, công nghệ bảo mật, thực hiện và đánh giá các vấn đề liên quan nêu trên, do phòng MIS xử lý.
  • Mức độ bảo mật dữ liệu, hệ thống thông tin và nghiên cứu, nhu cầu của người sử dụngquyền hạn và các vấn đề khác, do các bộ phận liên quan và bộ phận MIS xử lý.
  • Duy trì thông tin bí mật để và thực hiện kiểm tra việc các vấn đề quản lý, do các bộ phận liên quan và bộ phận MIS xử lý.
  • Đánh giá nhân viên thăng chức và sử dụng, do các bộ phận liên quan và bộ phận nhân sự xử lý.
  • Thông tin tài sản bảo đảm và quản lý, thủ tục tập trận phản ứng khẩn cấp và thử nghiệm, do phòng MIS xử lý.
  • Kiểm tra an toàn thông tin, do phòng MIS định kỳ xử lý, và theo tình hình thực tế tiến hành bất định kỳ kiểm tra.
  • Quản lý các vấn đề về an toàn thông tin do chủ quản chịu trách nhiệm điều phối và thúc đẩy, theo yêu cầu thực tế , thành lập nhóm an toàn liên ngành, phối hợp trong các vấn đề an toàn chính sách, điều phối, quy hoạch, lập kế hoạch tài nguyên, và nghiên cứu.

5. Quản lý nhân viên và đào tạo an toàn thông tin.

  • Các đơn vị đối với việc xử lý các loại tài liệu nhạy cảm, bí mật và nhân viên do công việc cần thiết, phải cho quyền hạn quản lý hệ thống, phải phân công thích đáng , phân cấp quyền hạn và thành lập hệ thống đánh giá và thẩm định, theo tình hình cần thiết thành lập hệ thống hỗ trợ nhau.
  • Đối với nhân viên nghỉ việc(ở lại, trở lại, dừng lại…);Bộ phận nhân sự xử lý theo quy định liên quan đối với nhân viên nghỉ việc( ở lại, trở lại, dừng lại…).
  • Đối với nhân viên điều động chức vụ; Bộ phận nhân sự xử lý theo các quy định liên quan đến nhân viên điều động chức vụ, và thông báo ngay cho bộ phận MIS hủy bỏ các quyền hạn trong hệ thống, do chủ quản của đơn vị mới xin cấp tài khoản và quyền hạn liên quan .
  • Bộ phận MIS phải dựa trên vai trò và chức năng của người sử dụng, đối với nhân viên cấp độ khác nhau , xử lý theo tình hình thực tế cần thiết tiến hành đào tạo an toàn thông tin, động viên nhân viên để hiểu được tầm quan trọng của an toàn thông tin , tất cả các rủi ro an toàn có khả năng , để nâng cao nhận thức an toàn của nhân viên , tuân thủ quy đinh của thông tin an toàn.
  • Chủ quản của các đơn vị, phản chịu trách nhiệm cho sự giám sát về việc an toàn thông tin của nhân viên, ngăn chặn hành vi bất hợp pháp và không đúng.

6. An toàn quản lý hệ thống máy tính.

  • Thiết lập các thủ tục hoạt động để xử lý sự cố an ninh thông tin, và cho các nhân viên trách nhiệm cần thiết, để nhanh chóng và có hiệu quả đối phó với sự cố an ninh thông tin .
  • Thành lập cơ chế thông báo cơ sở vật chất và hệ thống thay đổi quản lý, để tránh những sơ hở trong bảo mật hệ thống.
  • Thiết lập một hệ thống dự phòng , định kỳ tiến hành backup các loại dữ liệu và phần mềm,đối với các trường hợp thiên tai hoặc lưu thất bại đĩa cứng, có thể trở lại bình thường ngay.
  • Bộ phận MIS nên cài đặt phần mềm chống virus cho mỗi máy tính và kịp thời cập nhật virus.

7. An toàn quản lý mạng

  • Công ty kết nối với mạng bên ngoài, cần thiết lập tường lửa quản lý truyền dữ liệu và lưu dữ liệu trong mạng nội bộ và mạng bên ngoài, thực hiện xác nhận và nhận dạng nghiêm ngặt.
  • Thông tin hoặc tài liệu bí mật và nhạy cảm , không được để ở hệ thống đối ngoại, khi truyền dữ liệu bí mật không được sử dụng email ; nếu khi có cần thiết sử dụng email truyền các loại thông tin nhạy cảm, phải qua kỹ thuật an toàn mã hóa hoặc chữ ký điện tử xử lý chuyên sâu .
  • Cẩn thận đánh giá việc mở quyền kết nối ngoại mạng và dữ liệu chuyển giao trong các cơ quan, nếu cần thiết phải ký kết hợp đồng hoặc thỏa thuận , hạn chế quyền hạn trong hệ thống, và quy định rằng an toàn thông tin phải tuân thủ với các yêu cầu, thủ tục, vàtrách nhiệm cần chịu.
  • Thành lập hệ thống cảnh báo, khi phát sinh việc an toàn thông tin trong mạng có thể kịp thời thông báo cho người quản lý hệ thống mạng, để thực hiện các biện pháp phòng ngừa hiệu quả, giảm sự cố mất an toàn mạng .
  • Xin cấp quyền hạn E-Mai phải theo quy định các biện pháp quản lý của E-mail, điền phiếu đăng ký sử dụng Email.
  • Xin cấp các quyền hạn liên quan đến mạng phải điền phiếu đăng ký sử dụng INTERNET.

8. QUẢN LÝ HỆ THỐNG ĐIỀU KHIỂN DU LỊCH

  • Tùy thuộc vào hệ điều hành và các yêu cầu quản lý an toàn thiết lập mật khẩu ban hành và quá trình thay đổi phải lưu kỷ lục.
  • Khi truy cập vào hệ thống, theo công việc của mọi người cần thiết trong hệ thống thiết lập quyền hạn, do người quản lý của MIS thiếp lập quyền hạn và mật khẩu, và cập nhật định kỳ.
  • Nếu dữ liệu quan trọng của các đơn vị cần ủy thác bên ngoại thiết lập, bất kể thực hiện ở đâu , phải ký kết điều khoản an toàn quản lý với nhà cung cấp, Để ngăn chặn hành vi trộm cắp dữ liệu, giả mạo, bán, rò rỉ và kịch bản sao lưu.
  • Người xin phép sử dụng thiết bị thông tin, bộ phận MIS phải giao quy định an toàn thông tin của nhân viên cho người sử dụng ký nhận, bộ phận MIS giữ lại bản gốc.

9. AN TOÀN QUẢN LÝ HỆ THỐNG PHÁT TRIỂN VÀ DUY TRÌ

  • Trong giai đoạn phân tích nhu cầu của hệ thống thông tin quy hoạch , tức là xem xét an toàn thông tin; duy trì , cập nhật, áp dụng, thực hiện hệ thống và phiên bản thay đổi, phải có an toàn quản lý, tránh phần mềm không đúng, cánh cửa trở lại, và virus máy tính vv nguy hại đến hệ thông an toàn.

  • Khi có kinh doanh thông tin ủy thắc biên ngoại làm, nên được đánh giá cẩn thận trước an toàn tiềm ẩn rủi ro, quy định cụ thể rằng các nhà cung cấp trách nhiệm bảo mật thông tin và các quy định bảo mật, và liệt kê vào hợp đồng, yêu cầu nhà cung cấp tuân thủ và đánh giá định kỳ.
  • Đối với các loại phần mềm phần cứng nhân viên duy trì ủy thắc ở biên ngoại, nên được hạn chế phạm vi tiếp xúc của dữ liệu vào hệ thống, sau khi sử dụng xong phải lập tức hủy bỏ quyền hạn của họ.
  • Máy chủ của công ty phải sử dụng phần mềm có bản quyền, nhân viên không được từ cài đặt phần mềm máy tính bất hợp pháp.
  • Nhân viên nếu có cần sử dụng các loại phần mềm phải điền phiếu nhu cầu thông tin, qua chủ quản của bộ phận đồng ý, do bộ phận MIS xin mua, bộ phận thu mua theo quy định mua về.
  • Quyền hạn của ERP có thêm mới hoặc xóa bỏ phải làm theo đơn xin cấp quyền ERP. Khi cần thêm quyền mới người sử dụng phải đưa ra đơn xin cấp quyền ,qua chủ quản bộ phận và chủ quản chịu trách nhiệm duyệt xong, sau đó giao cho bộ phận MIS lập mã và do nhân viên liên quan mở quyền, khi nhân viên có biến động, do bộ phận nhân sự cung cấp dữ liệu liên quan, giao cho nhân viên bộ phận MIS tiến hành xóa bỏ quyền hạn, các loại quyền hạn mới phải do người sử dụng theo quy định liên quan điền lại đơn xin cấp quyền; khi nhân viên có nghỉ việc, do bộ phận nhân sự đưa ra danh sách của nhân viên giao cho người chịu trách nhiệm của bộ phận MIS tiến hành xóa bỏ quyền hạn.

10. AN TOÀN QUẢN LÝ TÀI SẢN THÔNG TIN

  • Lập một bản danh mục tài sản của phần mền phần cứng có liên quan đến hệ thống thông tin, và thiết lập quy định về thông tin tài sản được lấy ra văn phòng.
  • Để ngăn chặn các hành động có thể không đúng, nên cấm người chưa được phép làm việc một mình trong văn phòng .
  • Thiết bị máy tính phải cài đặc phần mềm chống virus và cập nhật kịp thời.
  • Khi lưu các tài liệu cá nhân phải có thói quen an toàn, nếu tài liệu đưa lên mạng nội bộ phải được mã hóa bảo vệ.

11. AN TOÀN QUẢN LÝ MÁY MÓC VÀ MÔI TRƯỜNG

  • Máy chủ và thiết bị của hệ thống phải để ở phòng máy chủ, do bộ phận MIS chịu trách nhiệm quản lý, nhân viên không liên quan không được từ ý xuất nhập.
  • Phòng máy chủ phải cài đặt thiết bị an toàn dò tìm và backup , các loại thiết bị an toàn nên được định kỳ kiểm tra theo quy định của nhà sản xuất dẫn sử dụng.
  • Các loại thiết bị backup, nên để ở địa điểm một khoảng cách an toàn.
  • Thiết lập các quy trình ứng phó khẩn cấp và thường xuyên tập trận và kiểm thử

12. KẾ HOẠCH QUẢN LÝ HOẠT ĐỘNG KINH DOANH LIÊN TỤC

  • Đánh giá của thảm họa nhân tạo và tự nhiên tác động đến hoạt động bình thường, thiết lập các quy trình ứng phó khẩn cấp và phục hồi .
  • Thiết lập quy trình thông báo và đường ống của việc thông tin an toàn.

13. KHÁC

  • Phòng kiểm tra định kỳ hàng năm kiểm tra tình hình về việc thông tin an toàn.
  • Các chi tiết quy trình liên quan đến an toàn thông tin do đơn vị liên liên quan đến an toàn thông tin chịu trách nhiệm xử lý.

14. Bằng cách này duyệt qua tổng giám đốc và thông báo sâu thực thi, khi có sử đồi như nhau

15. ĐÍNH KÈM

15.1. Quy định an toàn thông tin của nhân viên

  • Máy tính phải thiết lập mật khẩu để bảo mật, nếu mượn cho người khác sử dụng tạo ra các việc chạy ra thị phải từ chịu.
  • Mật khẩu cấm đăng trong khu vực công khai.
  • Máy tính nên được thiết lập chương trình bảo vệ màn hình (3 phút) và thiết lập mật khẩu bảo vệ
  • Email của công ty là dụng cho công việc , tránh gửi thư cá nhân.
  • Để ngăn chặn virus máy tính , không mở Email và đính kèm lai lịch không rõ.
  • Cấm việc sử dụng máy tính và liên kết, nội dung khiêu dâm cờ bạc, khiêu dâm, không thân thiện với các trang web.
  • Cấm việc sử dụng tài nguyên hệ thống và mạng lưới sao chép và download phần mềm bất hợp pháp.
  • Khi có dấu hiệu cho thấy hệ thống có thể bị virus, phải thông báo ngay cho các nhân viên IT
  • Không được cài đặt phần mềm P2P chia sẻ peer-to-peer và Tunnel nguy hại đến phần mềm an toàn thông tin.
  • Nếu không có sự cho phép, không được sử dụng phần mềm nhắn tin tức thời
  • Tôn trọng quyền sở hữu trí tuệ, cấm tự cài đặt phần mềm chưa có bản quyền.
  • Không được ở nhóm tin, diễn đàn, bảng công bố tiết lộ bất kỳ thông tin có liên quan đến công ty.
  • Các loại dữ liệu bí mật và quan trọng, cấm sử dụng e-mail truyền tải hoặc thảo luận trong cuộc họp Video.
  • Khi công việc làm xong đến thời gian nghỉ, máy tính phải tắt máy hoặc offline.
  • Cấm không được phép thay đổi thông số mặc định của máy tính.
  • Người sử dụng các loại thiết bị máy tính có thách nhiệm bảo quản tốt, khi máy tính bị hỏng phải viết phiếu báo cáo sự cố tiến hành xử lý, cấm tự ý tháo thiết bị máy tính ra, nếu do người sử dụng thao tác không đúng hoặc bảo quản không đúng tạo ra hỏng hoặc linh kiện mất mát, cần chịu trách nhiệmbồi thường.
  • Các dữ liệu không liên quan đến công việc không được để trong máy tính.
  • Khi hết giờ nhân viên phải thu về các loại dữ liệu bí mật, khi về bàn phải bảo trì cho sạch.
  • Nếu nhân viên của công ty có vi phạm các quy định trên hoặc chích sách an toàn thông tin, theo quy định liên quan trừng phạt, nếu tạo ra công ty bị tổn thất cần chịu trách nhiệm bồi thường.

15.2. Phương pháp quản lý email

  • Mục đích:

Để cho hệ thống email được chạy bình thường, nâng cao hiệu quả hệ thống, nâng cao hiệu quả sử dụng, đặc biệt thiết lập phương pháp quản lý email.

  • Phạm vi:

Người có sử dụng tài khoảnemail của VPIC1

  • Quyền hạn và trách nhiệm:

Phòng MIS quản lý phương pháp này.

  • Nội dung:

Nếu người sử dụng có hành vi vi phạm pháp luật, quy định công ty và phạm vi đạo đức, sẽ bị cấm sử dụng và phải chịu trách nhiệm liên quan.

Xin cấp tài khoản email phải duyệt qua chủ quản cao nhất của bộ phận, để tránh xin cấp quá nhiều, biểu xin cấp tài khoản là phiếu đăng ký sử dụng Email.

Phương thức đặt tài khoản email chữ thường tiếng Anh + số thẻ, trong trường hợp có

Tài khoản như nhau sẽ ưu tiên sử dụng cho người xin cấp đầu tiên, người xin cấp sau phải sửa đổi tài khoản.

Họ tên phải dùng font Times New Roman, tạo điều kiện thuận lợi cho sắp xếp

Hộp thư email không hạn chế dung lượng, nếu trong 3 tháng không có thư xuất nhập,thì tài khoản sẽ bị xóa bỏ.

Để tiết kiệm tài nguyên băng thông mạng công ty, nội dung đính kèm của một thư không được vượt quá 10MB, nếu cólý dođặc biệt, xử lý theo chuyên án.

Nếu tài khoản email trong một tháng thời gian sử dụng không đủ 2 tiếng sẽ bị cấm sử dụng (trừ đi thời gian đi công tác) để tiết kiệm tài nguyên của công ty.

Người sử dụng email phải tự backup dữ liệu liên quan, sử dụng phương thức POP3 nhận thư, các thư đã nhận sẽ không lưu trong máy chủ nữa, nếu do không backup tạo ra các hậu quả sẽ phải tự chịu trách nhiệm.

Nếu các bộ phận có yêu cầu đặc biệt, như thiết kế bảng biểu, chứng nhận lẫn nhau…, phải qua bộ phận MIS đánh giá hệ thống xem có thể đáp ứng được yêu cầu sau đó sẽxử lý theo chuyên án.

Khi gửi thư sử dụng read receipt, người nhận thư phải đồng ý read receipt, để đảm bảo thư được gửi đến.

Tài khoản email của công ty sử dụng cho quảng cáo vụ lợi, sẽ bị cấm sử dụng.

Gửi rác thư, tiết lộ tài khoản email của người khác, xâm phạm việc riêng tư, theo mức độ nghiêm trọng sẽ thông báo cấp trên và xử phạt theo quy định của công ty.

Tài khoản và mật khẩu của email người sử dụng phải bảo quản tốt, nếu có người lấy trộm phải thông báo ngay cho người quản lý xử lý.

Khi nhân viên nghỉ việc, phải qua người quản lý hệ thống email duyệt xong mới được hoàn thành thủ tục nghỉ việc.

Khi nhân viên nghỉ việc , tài khoản email của nhân viên sử dụng sẽ bị xóa bỏ, nếu bộ phận có cần thiết lưu tài khoản này, phải thông báo trước người quản lý email.

Quy đinh này được duyệt qua tổng giám đốc và thông báo sau thực thi và khi có sửa đổi như nhau.

facebookShare on Facebook
TwitterTweet
FollowFollow us
Post Views: 582

Trả lời

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *