Xây dựng chuẩn chính sách an toàn thông tin trong doanh nghiệp

Trường đại học công nghệ thông tin Trung tâm phát triển công nghệ thông tin ---------------------- Báo cáo cuối môn: Xây dựng chuẩn chính sách an toàn thông tin trong doanh nghiệp Giáo viên hướng dẫn: Nguyễn Duy Nhóm sinh viên thực hiện: Nguyễn Đức Thám Trần Trung Tín Lê Ngọc Hồng Quốc Nguyễn Minh Nghĩa Võ Thanh Nhật Long TP Hồ Chí Minh Năm 2012 MỤC LỤC MỤC LỤC..................................................................................................................................................2 II. Mô hình mạng cở bản............................................................................................................................4 2. Diễn giải mô hình mạng.......................................................................................................................6 2.1 Các loại thiết bị sử dụng...............................................................................................................6 2.2. Diễn giải mô hình.........................................................................................................................7 3.Thiết bị và công nghệ được sử dụng.....................................................................................................7 VI. Chính sách an toàn thông tin trong doanh nghiệp............................................................................10 VII. Chính sách quản lý truy cập.............................................................................................................11 1. Chính sách về mật khẩu.....................................................................................................................11 2. Chính sách xác thực...........................................................................................................................11 3. Bên thứ ba truy cập............................................................................................................................12 VIII. Chính sách bảo mật hệ thống..........................................................................................................14 1.Chính sách bảo vệ trước các phần mềm độc hại..................................................................................14 2.Chính sách quản lý đăng nhập hệ thống..............................................................................................17 3.Chính sách bảo mật máy chủ..............................................................................................................18 4. Chính sách bảo mật cho máy tính xách tay........................................................................................20 5. Bản vá lỗi: Patching...........................................................................................................................21 6. Chính sách bảo mật vùng DMZ.........................................................................................................22 IX. Chính sách bảo mật mạng..................................................................................................................23 1. Chính sách bảo mật mạng..................................................................................................................23 2.Chính sách mạng không dây...............................................................................................................24 3. Firewall chuẩn...................................................................................................................................24 4. Chính sách truy cập từ xa...................................................................................................................25 X. Chính sách bảo mật ứng dụng.............................................................................................................26 XI. Chính sách quản lý dữ liệu................................................................................................................26 1. Chính sách sao lưu và phục hồi dữ liệu..............................................................................................26 2. Chuẩn mã hóa....................................................................................................................................27 XII. Chính sách xử lý sự cố.....................................................................................................................28 XIII. Chính sách bảo mật thông tin cá nhân............................................................................................29 XIV. Chính sách quản lý con người........................................................................................................31 XV. Quản lý tài sản..................................................................................................................................34 XVI. Đảm bảo hoạt động của chính sách................................................................................................35 Trang 2 1. Chính sách đánh giá bảo mật thông tin..............................................................................................35 2. Chính sách chấp nhận hoạt động của hệ thống...................................................................................37 3. Chính sách hoạt động bảo mật thông tin............................................................................................37 XVII. Tài liệu tham khảo.........................................................................................................................39 Trang 3 I. Tóm tắt tài liệu Trong một xã hội phát triển thì công nghệ truyền thông đang trở thành một phần thiết yếu. Để nhận ra một xã hội tri thức, an toàn, an ninh thì công nghệ thông tin là quan trọng nhất. An ninh thông tin cũng rất quan trọng để tăng cường sức cạnh tranh của một xã hội dựa trên tri thức. Đối với an ninh của một mạng lưới nó là cần thiết để tăng cường sự an toàn của hệ thống bằng cách phối hợp đầy đủ công nghệ, các hoạt động và hệ thống. Một chính sách an ninh là rất quan trọng đối với an ninh thông tin của một tổ chức. Để xây dựng, duy trì một hệ thống an toàn và đáng tin cậy, chính sách bảo mật phải phù hợp với các cấu hình hệ thống, hoạt động, và an ninh công nghệ của một tổ chức . Vì vậy, lập kế hoạch an ninh tổng thể đóng một vai trò quan trọng. Bài viết này thảo luận các phương pháp khả thi và hiệu quả của kế hoạch an ninh tổng thể từ một số điểm. Cụ thể hơn, bài viết này đề xuất tạo ra chính sách an ninh và phương pháp cải thiện, một số phương pháp an ninh và kiểm soát chất lượng an ninh thông tin. II. Mô hình mạng cở bản III. Quản trị và đánh giá rủi ro 1.Khái niệm Rủi ro là một sự kiện vô tình hay cố ý, khi nó xảy ra nó có thể ảnh hưởng đến hệ thống của bạn. Vì thế những rủi ro cần được xác định một cách cụ thể để bạn có thể đưa ra những phương hướng phòng tránh và khắc phục khi nó diễn ra. 2.Phân loại rủi ro Căn cứ vào mô hình WORKGROUP trên, các rủi ro mô hình có thể gặp phải: Trang 4 - Các user phân quyền ngang bằng nhau: dễ đánh mất thông tin, tài sản nếu trong nội bộ mạng cố tình lấy trộm bằng các phần mềm gián điệp, nghe lén …. - Mô hình mạng không có server DC nên việc quản lý người dùng và việc thiết lập chính sách là không thể. Qua đó, không quy định được việc đặt mật khẩu, cách hạn chế ứng dụng hoặc cũng như các thao tác về mạng mà Chủ doanh nghiệp muôn bảo mật thông tin. - Ngoài ra, việc hạn chế các truy cập qua lại giữa các cá nhân trong nội bộ cơ quan, hoặc việc giao tiếp ra bên ngoài là không thể. Cá nhân có thể kết nối trực tiếp ra ngoài mạng, hoặc gởi các thông tin nội bộ Công ty ra ngoài bằng nhiều cách: mail, các giao thức IM hoặc trực tiếp bằng USB. - Việc sử dụng tài nguyên trong nội bộ như máy in, máy fax, hoặc scan cũng không thể quản lý được. Mô hình mạng không có chính sách hoặc máy chủ quản lý các tài nguyên mạng, hoặc chính sách quản lý người dùng. - Trong trường hợp các thông tin được sử dụng đúng mục đích, hoặc có các biện pháp phòng chống bằng mật khẩu cũng khó có thể ngăn chặn các phần mềm gián điệp, việc nhìn lén, nghe lén hoặc đánh cắp mật khẩu là rất lớn. Mô hình mạng chưa có biện pháp phòng và chống các phần mềm độc hại. - Việc kết hợp chứng thực được user và tài khoản người dùng trong hoặc ngoài mạng là không được. - Phòng và chống các cuộc tấn công ngoài mạng là không thể được. Chưa có hệ thống phát hiện và ngăn chặn các cuộc tấn công. - Việc quản lý băng thông cho việc sử dụng để làm việc không kiểm soát được. - Chưa có web, mail server để thực hiện việc gởi mail qua lại giữa các cá nhân hoặc giữa Công ty và chi nhánh, các thông tin quan trọng dễ bị đánh cắp nếu sử dụng các mail-public. - Không thể kết nối từ xa vào mạng nội bộ. - Sao lưu và các biện pháp phòng chống và an toàn dữ liệu không thực hiện được, các dữ liệu nếu gặp các sự cố bất ngờ như cháy nổ, sét … sẽ mất dữ liệu. Dữ liệu không được sao lưu và không thể backup dữ liệu cũng như việc thiết lập hệ thống vật lý sao cho có thể đảm bảo an toàn dữ liệu được tốt nhất. - Ngoài các vấn đề về phần cứng, phần mềm và an toàn hệ thống, một vấn đề đặc biệt quan trọng là vấn đề về con người, cần có biện pháp hạn chế và ràng buộc bằng các hợp đồng lao động, các biện pháp ngăn ngừa và phát thích hợp để đảm bảo an toàn thông tin. - Ngoài ra, các dịch vụ với bên thứ 3: các nhà cung cấp dịch vụ, phần mềm, tên miền hoặc host cần được cam kết thông qua hợp đồng và các điều kiện ràng buộc cũng như mức phát thích hợp liên quan đến việc an toàn thông tin. Trang 5 IV. Mô hình cập nhật và công nghệ sử dụng: 1.Mô hình mạng 2. Diễn giải mô hình mạng 2.1 Các loại thiết bị sử dụng STT Tên thiết bị Số lượng STT Tên thiết bị Số lượng 1 Astaro Firewall 2 9 Mail Server 1 2 Cyberoam Data Center 1 10 FPT Server 1 3 ScoureFire Defence Center 1 11 Data Center 1 4 IPS/IDS 5 12 Data Backup 1 5 Modem 2 13 Switch 7 6 Router 1 14 PC 100 7 Domain Controller 1 15 Fax, print, Scan 30 8 Web Server 1 16 Access point 1 Trang 6 2.2. Diễn giải mô hình - Mô hình được thiết kế với cơ chế Domain Controller , kết hợp với Firewall Astarol để quản lý truy gập ra và vào mạng nội bộ, Cyberoam Enpoint Security để quản lý thiết bị đầu cuối. Đồng thới kết hợp với SourceFire Defence Center - IDS, IPS để quản lý lưu lượng truy cập vào hệ thống, phòng ngừa và ngăn chặn đồng thời bảo vệ hệ thống mạng. - Các phòng chức năng được chia nhỏ bằng VLAN thông qua Router để quản lý kết nối và bảo mật giữa các phòng ban, ngăn chặn các kết nối không được phép của hệ thống mạng. - Các nhân viên có thể kết nối từ bên ngoài bằng VPN để nâng cao tính bảo mật. - Hệ thống mạng tại đại lý được thiết kế với chính sách định tuyết router và/hoặc VPN để kết nối vào hệ thống mạng trung tâm. - Hệ thống có Zone DMZ: đặt Server Web và Mail để tất cả người dùng trong và ngoài mạng có thể liên kết được vào hệ thống mà đảm bảo được tính an toàn và bảo mật cho mạng nội bộ. - Data center được lắp đặt để quản lý dữ liệu tập trung và có chính sách sao lưu hoặc back up hợp lý. - Đặc biệt, hệ thống được thiết kế với cơ chế HIGH AVAILABILITY được tích hợp sẵn trong Firewall Astaro. Ở đây, chúng ta sẽ cấu hình theo chế độ ACTIVE-ACTIVE, và phân luồng quản lý. Các phòng Kinh doanh và kỹ thuật sẽ qua Firewall Astaro 1 với chính sách thông thoáng hỗ trợ cho nhân viên kinh doanh và kỹ thuật vì đặc trưng của nhân viên 2 phòng này là giao dịch với bên ngoài. Phòng Nhân sự và kế toán sẽ kết nối ra mạng thông qua Firewall Astaro với chính sách hạn chế, kết hợp việc quản lý truy cập và quản lý công việc. - Việc sử dụng cơ chế HIGH AVAILABILITY, ACTIVE-ACTIVE sẽ có 1 chính sách riêng cho việc phân luồng quản lý và kết nối vào hệ thống khi ra và vào mạng. Khi 1 trong 2 Firewall Astaro gặp sự cố, người quản trị mạng sẽ có 1 chính sách cập nhật để các user, người dùng trong và ngoài mạng có thể kết nối được. Tuy nhiên, các kết nối và truy cật sẽ bị hạn chế lại thông qua việc quản lý băng thông bằng Firewall Astaro, hỗ trợ bằng thông cho phòng kinh doanh và kỹ thuật, các liên kết còn lại hạn chế băng thông và luôn dành 1 phần băng thông trống để cho các truy cập bất ngờ, đặc biệt khi xảy ra thì có biện pháp giải quyết. 3.Thiết bị và công nghệ được sử dụng 1. Domain Controler (DC) : + Quản lý thông tin tài nguyên mạng (thông tin user, printer) tập trung: quản lý truy cập, quản lý user, quản lý nhóm, quản lý miền, …. + Thiết lập các group policy: mật khẩu, đăng nhập, kết nối truy cập, sử dụng các ứng dụng, quản lý phần mềm, hạn chế truy cập phần mềm, phần quyền người dùng…. + Chứng thực user, chứng thực web, mail: + DNS, DHCP Trang 7 + ….. 2. VPN: tạo ra 1 kênh truyền thông an toàn để nhân viên bên ngoài truy cập vào hệ thống. VPN là một mạng riêng sử dụng hệ thống mạng công cộng (thường là Internet) để kết nối các địa điểm hoặc người sử dụng từ xa với một mạng LAN ở trụ sở trung tâm. Thay vì dùng kết nối thật khá phức tạp như đường dây thuê bao số, VPN tạo ra các liên kết ảo được truyền qua Internet giữa mạng riêng của một tổ chức với địa điểm hoặc người sử dụng ở xa. • Mã hoá trong VPN - Đây là quá trình mật mã dữ liệu khi truyền đi khỏi máy tính theo một quy tắc nhất định và máy tính đầu xa có thể giải mã được. Hầu hết các hệ thống mã hoá máy tính thuộc về 1 trong 2 loại sau: Mã hoá sử dụng khoá riêng (Symmetric-key encryption) Mã hoá sử dụng khoá công khai (Public-key encryption) 3. IPS/IDS: - IDS: phát hiện xâm nhập - IPS: phát hiện và ngăn chặn xâm nhập Công dụng: phát hiện và ngăn chặn một cách hiệu quả các cuộc tấn công mạng, giảm thiểu thời gian chết của mạng và các chi phí ảnh hưởng đến hiệu quả họat động của mạng. Các hệ thống này được triển khai ở những vị trí nằm ngòai phạm vi kiểm sóat của tường lửa, có khả năng phát hiện các cuộc tấn công một cách chính xác thông qua phân tích lưu lượng mạng dưới nhiều phương pháp nhằm đi đến kết luận chính xác về mục đích thật sự của một kết nối đến mạng vì vậy có thể hiểu được đó là một kết nối tin cậy hay là không tin cậy. Từ việc phân tích trên, hệ thống có thể thực hiện nhiều tác vụ như ghi chép (tạo thành file nhật ký), cảnh báo, xóa các kết nối không tin cậy từ đó người quản trị mạng sẽ có những đáp ứng kịp thời với các tình trạng bị tấn công nguy hiểm hoặc là có các hành động hợp lý đối với từng trường hợp. Ngòai ra các hệ thống IPS còn cung cấp các công cụ phân tích và điều tra giúp cho người quản trị mạng hiểu được về những gì đang diễn ra trên mạng và đưa ra các quyết định sáng suốt, góp phần làm tăng hiệu quả của giải pháp an ninh mạng. • • • • • • • • • • • • • • • • 4. Firewall Astaro: Stateful Packet Filter (Lọc trạng thái của gói tin) Intrusion Prevention (Ngăn chặn xâm nhập) DoS Protection (Chống tấn công từ chối dịch vụ) Bandwidth Control (Điều khiển băng thông) Branch Office VPN (VPN cho văn phòng chi nhánh) SSL Remote Access IPSec Remote Access Directory Authentication URL Filtering Spyware Protection (Chống phần mềm gián điệp) Antivirus Scanning (Quét virus) HTTPS Scanning IM/P2P Filtering User Reporting Interactive Web Reporting Application Control Trang 8 5. Cyberoam Enpoint Security • Full Disk Encryption (Mã hóa đĩa) • AntiMalware & Program Control (Chống phần mềm độc hại) • Firewall & Compliance Check • Remote Access VPN (Điều khiển truy cập từ xa) • Asset Managemen (Quản lý tài sản) • Application Control (Quản lý ứng dụng) • Device Management (Quản lý thiết bị phần cứng) • Data Protection and Encryption (Bảo vệ và mã hóa dữ liệu) 6. Antivirus: Kaspersky - Mô hình Client – Server Cài đặt mô hình Client – Server: máy server thực hiện chức năng như server antivirus, có thể quét trực tiếp máy hoặc máy con kết nối vào server, ngoài ra còn có thể quét nhiều máy hoặc thông qua port hoặc IP. Ngoài ra, còn có chức năng như một database antivirus nêu máy chủ đã cập nhật mới, các máy con có thể lây data base thông qua máy chủ mà không cần download trực tiếp từ mạng, hạn chế được việc nghẽn băng thông và tính sẵn sàng cao. V. Xây dựng chính sách 1. Mô hình chính sách Cấu trúc và nội dung của chính sách được dựa vào tiêu chuẩn an ninh được quốc tế chấp nhận (ISO27002). Khuôn khổ bao gồm các sau các yếu tố: - Chính sách bảo mật gồm có mục đích, phạm vi, định nghĩa và trách nhiệm của chính sách. - Tiêu chuẩn an ninh xác định các yêu cầu tối thiểu cho mỗi chủ đề. - Thủ tục an ninh và hướng dẫn cụ thể cho một khu vực địa lý cụ thể, bộ phận thị trường và phải ở mức tối thiểu, đáp ứng an ninh hệ thống mạng của doanh nghiệp. - Đảm bảo tính toàn vẹn, linh động và bảo mật của thông tin. 2. Quy định áp dụng chính sách Toàn bộ chính sách sẽ được công bố rộng rãi đến toàn bộ nhân viên trong doanh nghiệp. Trường hợp chính sách sách không thể áp dụng vì một lý do hoặc rủi ro nào đó, thì cần phải trình bày ngay với trưởng phòng IT hoặc bộ phận có chứa năng để điều chỉnh lại chính sách để khắc phục lý do hoặc rủi ro đó. Chính sách bảo mật an toàn thông tin mạng áp dụng nội bộ Công ty: - Giữa các phòng ban. - Giữa cấp trên với cấp dưới. - Thông tin dùng chung và thông tin cá nhân. Chính sách bảo mật an toàn thông tin mạng bên ngoài Công ty, kết nối từ bên ngoài hoặc bên thứ 3: - Kết nối VPN - Kết nối vào website (https), mail(signature/encryp) - Ký kết các hợp đồng thuê bao dịch vụ, mua phần mềm, hệ điều hành, các chương trình dịch vụ ….. Trang 9 3. Mục đích áp dụng chính sách - Cho phép chia sẻ thông tin an toàn. - Bảo vệ thông tin của tổ chức từ tất cả các mối đe dọa,cho dù nội bộ hoặc bên ngoài, cố tình hay vô ý. - Khuyến khích sử dụng nhất quán và chuyên nghiệp của thông tin - Đảm bảo tất cả mọi người đó là rõ ràng về vai trò của họ trong sử dụng và bảo vệ thông tin. - Đảm bảo tính liên tục kinh doanh và giảm thiểu thiệt hại kinh doanh. - Bảo vệ các tổ chức từ trách nhiệm pháp lý và việc sử dụng không thích hợp thông tin 4. Kế hoạch cập nhật chính sách - Khi chính sách được bổ sung hoặc thay đổi thì giám đốc hoặc người có thẩm quyền cần phải thông báo ngay với nhân viên càng sớm càng tốt. - Luôn luôn cập nhật thông tin trên mạng, bao đài về an toàn thông tin, các thông tin về các loại virus mới, các cách tấn công hệ thống và điều chỉnh lại chính sách cho phù hợp, kiểm tra và rà soát thường xuyên chính sách của Công ty để hạn chế và khắc phục tối đa các lô hổng trong hệ thống. - Ký kết các hợp đồng bảo hiểm phi nhân thọ liên quan đến thông tin của Công ty. VI. Chính sách an toàn thông tin trong doanh nghiệp 1. Mục đích: Chính sách này thể hiện vai trò và trách nhiệm tổng thể trong bộ phận bảo mật thông tin, giúp thực hiện tốt các chính sách đã đề ra. 2. Phạm vi: Chính sách này áp dụng cho bất cứ ai truy cập vào hệ thống của doanh nghiệp.Các nhân viên, nhân viên tạm thời, khách hàng ,đối tác và các nhà cung cấp... Chính sách này áp dụng cho tất cả các thiết bị được sở hữu bởi doanh nghiệp và tất cả các thiết bị của bên thứ ba kết nối với hệ thống kinh doanh của công ty. 3. Tuyên bố chính sách: Bảo mật thông tin, phối hợp với nhân sự, pháp lý và các phòng chức năng khác hoặc các bên thứ ba có đủ điều kiện có thể là cần thiết và thích hợp, bộ phận có trách nhiệm. Cụ thể: a.Giám đốc và trưởng phòng IT chịu trách nhiệm cho việc thúc đẩy nhận thức của nhân viên và tạo điều kiện thuận lợi cho việc thực hiện các chính sách của doanh nghiệp . b.Xác định, xem xét và thực hiện chính sách theo đúng với các quy định và yêu cầu trong hợp đồng. c.Thiết lập thông tin liên lạc thông suốt đến tất cả các bộ phận trong doanh nghiệp: Để thuận tiện cho việc triển khai các chính sách mới và giải quyết các sự cố xảy ra một cách nhanh nhất. d.Tạo điều kiện thuận lợi để doanh nghiệp thực hiện đúng các chính sách đã đề ra: - Hỗ trợ kỹ thuật cho các nhân viên thực hiện đúng với các chính sách đã đề ra. - Thường xuyên giám sát việc thực hiện các chính sách ( có thể giám sát thông qua camera, thiết bi quản lý đầu cuối hoặc trực tiếp di giám sát) hoặc giám sát đa cấp. e.Thiết lập một quy trình để xác định các lỗ hổng bảo mật và cập nhật các chính sách mới cho phù hợp với hệ thống. Trang 10 f.Yêu cầu tất cả nhân viên và các đối tác có trách nhiệm xác nhận bằng văn bản rằng họ đã đọc và hiểu các chính sách an ninh và thủ tục của doanh nghiệp. VII. Chính sách quản lý truy cập 1. Chính sách về mật khẩu 1.1 Mục đích Mục đích của chính sách này là để thiết lập các quy tắc về xây dựng mật khẩu. 1.2 Phạm vi Chính sách này áp dụng cho bất cứ ai truy cập và hệ thống của doanh nghiệp.Các nhân viên, nhân viên tạm thời, khách hàng ,đối tác và các nhà cung cấp... Chính sách này áp dụng cho tất cả các thiết bị được sở hữu bởi doanh nghiệp và tất cả các thiết bị của bên thứ ba kết nối với hệ thống kinh doanh của doanh nghiệp. 1.3 Định nghĩa Mật khẩu - Một yếu tố xác thực người sử dụng và được quản lý bởi một thiết bị, phần mềm hoặc một cá nhân. 1.4 Tuyên bố chính sách a.Không được phép sử dụng mật khẩu trống. b.Mật khẩu phải có độ dài tối thiểu tám ký tự và ít nhất phải có ba trong số các loại ký tự sau đây: -Ký tự thường (a,c,b….). -Ký tự in hoa (A,B,C….). -Ký tự số (0,1,2….). -Ký tự đặc biệt ( $, #,%....) VD : ABCabc123, abc$ABC#%, .... c.Mật khẩu không được đặt trùng Tên hoặc ID của người sử dụng hoặc các thông tin liên quan đến người sử dụng như ngày tháng năm sinh, nơi sinh,… d.Người dùng sẽ được yêu cầu để thay đổi mật khẩu của mình ít nhất một lần mỗi 30 ngày. e.Sáu mật khẩu gần đây nhất không được sử dụng khi lựa chọn một mật khẩu mới. g.Người sử dụng không được tiết lộ mật khẩu cho người khác. h.Mật khẩu hiện tại phải được lưu trữ ở vị trí an toàn. i.Tài khoản sẽ bị khóa sau 3 lần đăng nhập thất bại (khi bị khóa phải liên hệ với người có thẩm quyền để mở khóa tài khoản). Có chế độ lưu các kết nối sai password gồm các thông tin: vị trí máy, bên ngoài hoặc bên trong, kết nối bằng hình thức nào, tại đâu, thời gian, mức độ …. j.Thủ tục, chính sách mật khẩu sẽ được gửi cho tất cả người dùng biết và áp dụng. 2. Chính sách xác thực 2.1 Mục đích Trang 11 Mục đích của chính sách này là để đảm bảo thực hiện phù hợp cơ chế quản lý xác thực để truy cập vào hệ thống của doanh nghiệp. 2.2 Phạm vi Chính sách này áp dụng cho bất cứ ai truy cập và hệ thống của doanh nghiệp.Các nhân viên, nhân viên tạm thời, khách hàng ,đối tác và các nhà cung cấp... Chính sách này áp dụng cho tất cả các thiết bị được sở hữu bởi doanh nghiệp và tất cả các thiết bị của bên thứ ba kết nối với hệ thống kinh doanh của doanh nghiệp. 2.3 Định nghĩa Xác thực - Quá trình xác định danh tính của người dùng đăng nhập vào hệ thống. Người dùng được xác thực có thể là một người sử dụng, máy tính, hoặc một chương trình máy tính. 2.4 Tuyên bố chính sách Một định danh duy nhất được giao cho mỗi thực thể để phòng chống truy cập trái phép vào tài nguyên và hệ thống của doanh nghiệp, và để thiết lập trách nhiệm cho các hoạt động truy cập. a.Phải đảm bảo rằng mỗi ID người dùng tạo ra là duy nhất. b.ID người dùng sẽ không đưa ra bất cứ dấu hiệu gì cho thấy quyền hạn của người dùng (ví dụ, Administrator, giám đốc). c.Quyền truy cập hệ thống, tài nguyên sẽ được cung cấp phù hợp với tính chất của mỗi công việc (ví dụ: phòng kế toán không được quyền sử dụng tài nguyên của phòng kinh doanh). d.Người sử dụng tài khoản không được tiết lộ User ID hoặc mật khẩu với bất kỳ người nào khác. Ngoài ra, khi tạo các tài khoản mail hoặc đăng nhập vào hệ thống nào đó thì việc đặt tên ID cũng không được thể hiện chức năng, quyền hạn của tài khoản đó. e.Quyền truy cập của người sử dụng sẽ được xem xét hàng năm, hoặc có sự thay đổi nhân sự thì phải thông báo cho toàn thể nhân viên biết, trong vòng 48 giờ khi có quyết định đình chỉ hoặc thôi việc thì phải đóng tài khoản . g.Tài khoản không hoạt động vượt quá thời gian hiệu lực của mật khẩu 1 tuần thì sẽ thông báo tới chủ tài khoản và trong vòng 3 ngày không có phản hồi thì bị vô hiệu hóa tài khoản. h.Đối với nhân viên đã thôi việc thì tài khoản sẽ bị gỡ bỏ khỏi hệ thống. 3. Bên thứ ba truy cập 3.1 Mục đích Mục đích của tiêu chuẩn này là để thiết lập các nguyên tắc và trách nhiệm cho bên thứ ba (khách hàng, đại lý, nhà cung cấp dịch vụ, đối tác, nhân viên tạm thời) truy cập vào hệ thống. 3.2 Phạm vi Chính sách này áp dụng cho bất cứ ai truy cập và hệ thống của doanh nghiệp.Các nhân viên, nhân viên tạm thời, khách hàng ,đối tác và các nhà cung cấp... Chính sách này áp dụng cho tất cả các thiết bị được sở hữu bởi doanh nghiệp và tất cả các thiết bị của bên thứ ba kết nối với hệ thống kinh doanh của công ty. 3.3 Định nghĩa Trang 12 - Nhà cung cấp - Bất kỳ cá nhân hoặc tổ chức nào không thuộc doanh nghiệp đang hoặc sẽ cung cấp các dịch vụ hoặc chương trình hoặc các phần mềm ứng dụng cho doanh nghiệp. - Tài nguyên thông tin (IR) : Bất kỳ và tất cả các bản in máy tính, thiết bị hiển thị trực tuyến, các phương tiện thông tin lưu trữ từ tính, và tất cả các hoạt động liên quan đến máy tính liên quan đến bất kỳ thiết bị có khả năng nhận email, duyệt web, hoặc có khả năng tiếp nhận, lưu trữ, quản lý, truyền dữ liệu điện tử bao gồm: máy chủ, máy tính cá nhân, máy tính xách tay, máy tính cầm tay, hệ thống phân phối chế biến, tài nguyên viễn thông, môi trường mạng, điện thoại, máy fax, máy in và các văn phòng dịch vụ. Ngoài ra, nó là thủ tục, thiết bị, cơ sở vật chất, phần mềm và dữ liệu được thiết kế, xây dựng, vận hành và duy trì để tạo ra, thu thập, lưu trữ hồ sơ quá trình, lấy, hiển thị, và truyền tải thông tin. 3.4 Tuyên bố chính sách a.Bên thứ ba phải thực hiện theo đúng các chính sách của doanh nghiệp đã đề ra. b.Bên thứ ba phải thỏa thuận và đồng ý với các quy định cụ thể sau: - Bên thứ ba phải đảm bảo không được tiết lộ thông tin do doanh nghiệp cung cấp. - Tùy thuộc vào yêu cầu và quyền hạn của bên thứ ba, doanh nghiệp sẽ cho phép truy cập vào hệ thống theo từng mức độ: khách, quản lý phần mềm, cập nhật dữ liệu. Có các tài khoản riêng biệt và thư mục riêng cho bên thứ 3 đăng nhập vào hệ thống. (Ví dụ: đối với khách hàng sẽ được dùng các tài khoản có dạng khach001, khach002,... và thư mục riêng là khachhang) - Ở cuối hợp đồng doanh nghiệp sẽ xem xét việc xử lý lại hoặc tiêu hủy toàn bộ thông tin mà hai bên đã thỏa thuận trong hợp đồng theo quy định nếu có trường hợp hủy hợp đồng hoặc chấm dứt hợp đồng hoặc hợp đồng hết hiệu lực, có quy định hồi tố. c.Doanh nghiệp sẽ liên lạc với bên thứ ba bằng hình thức email, diện thoại của doanh nghiệp để trao đổi các thông tin chung. Các trao đổi mật khẩu hoặc các thông tin quan trọng khắc sẽ được giao dịch trực tiếp có đảm bảo về tính an toàn trong giao dịch. d.Bên thứ ba phải cung cấp danh sách tất cả nhân viên hoặc nhà thầu làm việc trên hợp đồng (để doanh nghiệp dễ dàng giám sát). Danh sách này phải được cập nhật và cung cấp cho doanh nghiệp trong vòng 48 giờ nếu có bất kỳ sự thay đổi nào. e.Doanh nghiệp sẽ cung cấp thẻ nhận diện cho mỗi cá nhân thuộc đơn vị thứ ba khi đi vào doanh nghiệp, và được trả lại khi ra khỏi doanh nghiệp để đảm bảo an ninh trong doanh nghiệp. f.Mỗi cá nhân thuộc đơn vị thứ ba khi ra vào doanh nghiệp bắt buộc phải cung cấp chứng minh thư, giấy phép lái xe hoặc các loại giấy tờ tùy thân khác có đứng tên cá nhân đó và ký xác nhận. g. Mỗi cá nhân thuộc đơn vị thứ ba phải tuân thủ các quy định về an ninh trong doanh nghiệp khi vào doanh nghiệp. h.Những thông tin nhạy cảm của doanh nghiệp sẽ hạn chế hoặc cấm tuyệt đối bên thứ ba truy cập vào, tùy theo tính chất công việc. i.Các đại lý hoặc nhân viên bán thời gian phải báo cáo tất cả các sự cố bảo mật ngay khi phát hiện ra sự cố. Trang 13 j.Nếu doanh nghiệp thay đổi hoặc cập nhật chính sách mới thì sẽ báo cho bên thứ ba biết để thực hiện. k.Tất cả các nhà cung cấp lắp đặt, bảo trì trang thiết bị mạng muốn kết nối với bên ngoài thông qua mạng internet, đường dây điện thoại cần phải có sự cho phép và giám sát chặt chẽ của người có thẩm quyền trong doanh nghiệp. l.ID và mật khẩu của bên thứ ba được cung cấp phải đúng tiêu chuẩn của chính sách về mất khẩu và chính sách xác thực. m.Khi chấm dứt hợp đồng hoặc theo yêu cầu của doanh nghiệp, bên thứ ba phải có trách nhiệm: + Hoàn trả lại thông tin và các xác nhận bằng văn bản cho doanh nghiệp trong một khoảng thời gian không quá mười ngày làm việc. + Hoàn trả lại thẻ nhận diện, thiết bị, vật tư… cho phía doanh nghiệp. n.Tất cả các phần mềm được sử dụng bởi các nhà cung cấp trong việc cung cấp dịch vụ cho doanh nghiệp phải được cấp phép hợp lệ (có bản quyền). VIII. Chính sách bảo mật hệ thống 1.Chính sách bảo vệ trước các phần mềm độc hại 1.1 Mục đích Mục đích của chính sách này là thiết lập các yêu cầu áp dụng cho tất cả các máy tính kết nối với hệ thống mạng của doanh nghiệp để đảm bảo việc phòng ngừa và phát hiện các phần mềm độc hại sao cho hiệu quả nhất. Chỉ có máy tính đáp ứng các tiêu chí của chính sách này mới được kết nối với hệ thống mạng của doanh nghiệp. 1.2 Phạm vi Chính sách này áp dụng cho bất cứ ai truy cập và hệ thống của doanh nghiệp.Các nhân viên, nhân viên tạm thời, khách hàng ,đối tác và các nhà cung cấp... Chính sách này áp dụng cho tất cả các thiết bị được sở hữu bởi doanh nghiệp và tất cả các thiết bị của bên thứ ba kết nối với hệ thống kinh doanh của doanh nghiệp. 1.3 Định nghĩa - Phần mềm độc hại: Phần mềm được thiết kế để xâm nhập hoặc thiệt hại hệ thống máy tính mà không có sự đồng ý của chủ sở hữu. - Trojan - Một chương trình có chứa hoặc cài đặt một chương trình độc hại (đôi khi được gọi là trọng tải hoặc 'trojan'). Thuật ngữ này bắt nguồn từ thần thoại cổ điển của Trojan Horse. Trojan có thể xuất hiện là chương trình hữu ích mà người sử dụng không nghi ngờ, nhưng thực sự có hại khi được thực thi. - Virus - Một chương trình máy tính. Thuật ngữ này thường được sử dụng để miêu tả một loạt các phần mềm độc hại. 1.4 Tuyên bố chính sách Anti-Malware Trang 14 a.Sử dụng công nghệ sourcefire IPs/IDs, công nghệ antivirus của Astaro để chống các phần mềm độc hại. b.Các sản phẩm chống phần mềm độc hại phải được vận hành và cấu hình để bảo vệ trong thời gian thực trên tất cả các máy chủ và máy tính của nhân viên. c.Database của các công nghệ chống phần mềm độc hại phải được cập nhật một lần mỗi 2 ngày. d.Việc quét virus phải được thực hiện mỗi tuần một lần trên tất cả các máy trạm và máy chủ. e.Không có sự chấp thuận của bộ phận an ninh thông tin, không ai có thể ngừng việc cập nhật database của các công nghệ chống phần mềm độc hại ngoài người quản trị hệ thống. Quét Email chứa phần mềm độc hại a.Dùng antivirus của Astaro quét tất cả các email vào và ra để phát hiện các phần mềm độc hại. b.Khi phần mềm độc hại được tìm thấy, email sẽ bị xóa và thông báo cho người gửi. c.Các máy chủ email sẽ chặn tất cả các email với các loại tập tin đính kèm được liệt kê trong danh sách chặn dưới đây: File Extension Description .asp Active server pages .bas Basic program source code is executable code .bat Batch file which can call executable code .chm Compiled HTML help file can contain executable code .cmd Windows NT command script file is executable code .com Command file program is executable code .cpl Control panel extension .dll Dynamic link library is executable code .exe Binary executable program is executable code .fxp Microsoft FoxPro is executable code .hlp Help File .hta HTML program .inf Setup infommation .ins Internet naming service .isp Internet communications settings .js JavaScript file .jse JavaScript encoded file Trang 15 .ksh Unix shell file .Ink Link file .mda Microsoft Access add-in program .mdb Microsoft Access program Mde Microsoft Access MDE. Database .mdt Microsoft Access file .mdw Microsoft Access file .mdz Microsoft Access Wizard program .msc Microsoft common console document .msi Microsoft Windows installer package .msp Microsoft Windows installer patch .mst Visual test source files .nws Outlook express news file .ops FoxPro file .pcd Photo CD image or Microsoft Visual test compiled script .pif Shortcut to MS-DOS program .pl Perl scripts .prf Microsoft Outlook profile settings .prg FoxPro program source file .reg Registry files Scf Windows explorer command file Scr Screen saver .sh Shell script Shb Document shortcut .sct Windows script component .shs Shell scrap object .url Internet address .vb Visual basic file .vbe Visual basic encoded script file .wsc Windows script component .wsf Windows script file Trang 16 .wsh Windows script host settings file Danh sách file đính kèm 2.Chính sách quản lý đăng nhập hệ thống 2.1 Mục đích Mục đích của chính sách này là để giám sát đăng nhập vào hệ thống của người dùng. Chính sách này được thiết kế nhằm giảm thiểu các thiệt hại ảnh hưởng đến doanh nghiệp.Thiệt hại bao gồm: sự mất mát dữ liệu nhạy cảm của doanh nghiệp, sở hữu trí tuệ, thiệt hại cho hệ thống bên trong, vv. 2.2 Phạm vi Chính sách này áp dụng cho bất cứ ai truy cập và hệ thống của doanh nghiệp.Các nhân viên, nhân viên tạm thời, khách hàng ,đối tác và các nhà cung cấp... Chính sách này áp dụng cho tất cả các thiết bị được sở hữu bởi doanh nghiệp và tất cả các thiết bị của bên thứ ba kết nối với hệ thống kinh doanh của công ty. 2.3 Định nghĩa Máy chủ : Một máy tính hay một thiết bị trên mạng, nó quản lý tài nguyên của mạng. 2.4 Tuyên bố chính sách Việc giám sát được thực hiện và duy trùy trong hệ thống sẽ cung cấp thông tin cho việc nâng cấp và giải quyết các vấn đề về an ninh và hiệu suất làm việc của nhân viên. Doanh nghiệp sẽ sữ dụng phần mềm Cyberoam để giám sát. 2.4.1 Event Logging a.Hệ thống máy tính xử lý thông tin nhạy cảm, có giá trị, hoặc quan trọng bắt buộc phải ghi lại tất cả các sự kiện liên quan đến vấn đề bảo mật. b.Các bản log liên quan đến sự kiện bảo mật phải cung cấp đầy đủ thông tin, dữ liệu để hỗ trợ trong việc kiểm toán hiệu quả và mức phù hợp với các biện pháp an ninh. (Các bản log phải được chọn full option) c.Ứng dụng hoặc phần mềm hệ thống quản lý cơ sở dữ liệu có trách nhiệm lưu giữ các bản ghi hoạt động của người sử dụng và số liệu thống kê liên quan đến những hoạt động, dựa theo đó có thể xác định các hoạt động đáng ngờ. d.Các máy tính trong doanh nghiệp phải ghi lại các loại sự kiện sau đây: i.Tất cả các truy cập người dùng cá nhân để hạn chế bảo mật dữ liệu. ii.Tất cả các hành động được thực hiện bởi bất kỳ cá nhân nào, kế cả người có thẩm quyền. iii.Tài khoản người dùng truy cập vào hệ thống. iv.Các truy cập không hợp lệ. v.Sử dụng cơ chế xác định và xác thực. vi.Khởi tạo của một kiểm toán đăng nhập. Trang 17 vii .Việc tạo ra và xóa các đối tượng cấp hệ thống. e.Ghi lại các hoạt động của người dùng (bao gồm cả ID của người dùng). f.Tất cả các đồng hồ hệ thống phải được đồng bộ hóa. g.Tất cả các bản ghi phải có chứa ngày và thời gian, cũng như xác định người sử dụng, loại sự kiện, sự kiện thành công hay thất bại, khởi kiện và các dữ liệu bị ảnh hưởng, thành phần hệ thống hoặc tài nguyên hệ thống. h.Tất cả lịch sử kiểm toán đăng nhập sẽ được duy trì trong vòng một năm. i.Việc kiểm tra nhật ký máy chủ Cyberoam phải được xem xét hàng ngày. 2.4.2 Giám sát a.Tất cả các lệnh được áp dụng bởi các máy tính hệ thống cho các cá nhân cụ thể phải được theo dõi thông qua việc sử dụng các bản ghi toàn diện. b.Tất cả các thay đổi thiết lập bảo mật hoặc các thông số được lưu lại. c.Tất cả các ID người dùng được tạo ra, xóa và hoạt động thay đổi đặc quyền được thực hiện bởi các quản trị viên hệ thống và những người có thẩm quyền được phản ánh trong các báo cáo quản lý định kỳ. d.Tất cả các ID người dùng được tạo ra, xóa và hoạt động thay đổi đặc quyền thực hiện bởi các quản trị viên hệ thống và những người thẩm quyền phải được đăng nhập an toàn. e.Tất cả các lỗi đăng nhập hệ thống máy tính sẽ được báo cáo cho các quản trị viên hệ thống một cách kịp thời. f.Nhân viên an ninh có trách nhiệm xem xét hồ sơ phản ánh sự kiện bảo mật có liên quan nhiều người sử dụng máy một cách định kỳ và kịp thời. g.Các bản ghi hệ thống sẽ được cấu hình với cơ chế kiểm soát có khả năng chống tấn công, bao gồm cả cố gắng để kích hoạt, thay đổi hoặc xóa các phần mềm đăng nhập hoặc bản thân các bản ghi. h.Các bản ghi trên máy vi tính có chứa các sự kiện bảo mật có liên quan phải được bảo đảm chỉ được đọc bởi người được ủy quyền. i.Các bản ghi trên máy vi tính có chứa các sự kiện liên quan an ninh phải được bảo đảm không thể được sửa đổi bởi người dùng. 3.Chính sách bảo mật máy chủ 3.1 Mục đích Mục đích của chính sách này là thiết lập một cấu hình cơ sở cho các thiết bị máy chủ nội bộ của doanh nghiệp. Tiêu chuẩn này được thiết kế để giảm thiểu thiệt hại từ việc sử dụng trái phép các nguồn tài nguyên của doanh nghiệp. Thiệt hại có thể bao gồm sự mất mát dữ liệu nhạy cảm hoặc bí mật, sở hữu trí tuệ, thiệt hại cho hình ảnh công cộng, thiệt hại cho hệ thống quan trọng bên trong, vv của doanh nghiệp. 3.2 Phạm vi Chính sách này áp dụng cho bất cứ ai truy cập và hệ thống của doanh nghiệp.Các nhân viên, nhân viên tạm thời, khách hàng ,đối tác và các nhà cung cấp... Chính sách này áp dụng cho Trang 18 tất cả các thiết bị được sở hữu bởi doanh nghiệp và tất cả các thiết bị của bên thứ ba kết nối với hệ thống kinh doanh của doanh nghiệp. 3.3 Định nghĩa Đối tác - Không phải nhân viên của doanh nghiệp, đang cung cấp một số loại hình dịch vụ cho doanh nghiệp. Máy chủ : Một máy tính hay một thiết bị trên mạng, nó quản lý tài nguyên của mạng. 3.4 Tuyên bố chính sách 3.4.1 Quyền sở hữu và trách nhiệm Tất cả các máy chủ nội bộ được triển khai trong doanh nhiệp sẽ được kiểm soát và quản lý bởi bộ phận IT. Phê duyệt các thủ tục cấu hình máy chủ được thiết lập và duy trì bởi sự chấp thuận của giám đốc hoặc trưởng phòng IT. a.Máy chủ sẽ được đăng ký bản quyền. Máy chủ phải có sẵn những thông tin sau đây: i.Địa chỉ máy chủ, vị trí đặt máy chủ ii.Phần cứng, số serial và phiên bản hệ điều hành. iii.Chức năng đặc biệt và các ứng dụng, nếu có. b.Thông tin về máy chủ phải được lưu giữ đến ngày thay thế máy chủ khác. c.Thay đổi cấu hình cho máy chủ phải thực hiện theo các thủ tục quản lý thay đổi phù hợp. 3.4.2 Hướng dẫn cấu hình a.Cấu hình hệ thống hoạt động được thực hiện theo thủ tục được xác định trước. b.Dịch vụ và ứng dụng không được sử dụng sẽ bị vô hiệu hóa. c.Truy cập các dịch vụ sẽ được lưu lại thông qua các phương pháp kiểm soát truy cập. d.Thường xuyên cập nhật các bản vá lỗi bảo mật. e.Chỉ có những tài khoản đặc quyền mới được phép đăng nhập vào máy chủ (administrator). f.Việc khóa màn hình phải được thực thi khi máy chủ không có sự thao tác trong 15 phút. g.Các máy con và người dùng không được phép đăng nhập vào máy chủ ngoại trừ các tài khoản built-in và bảo trì. h.Máy chủ phải đặt trong một căn phòng có quyền truy cập hạn chế (vùng server farm) i.Máy chủ được hỗ trợ nguồn cung cấp điện liên tục. j.Máy chủ phải được cài phần mềm antivirus có bản quền (Kapersky) k.Thiết bị lưu trữ di động luôn luôn phải quét virus trước khi kết nối với máy chủ. l.Các truy cập đặc quyền phải được thực hiện trên các kênh an toàn (tức là, kết nối mạng phải được mã hóa bằng cách sử dụng SSL hoặc IPSec). Trang 19 m.Việc cấu hình máy chủ phải được thực hiện trực tiếp.(không được phép cài đặt cấu hình từ xa) n.Hệ điều hành cài đặt trên máy chủ phải được mua bản quyền. o.Tất cả các máy chủ phải được chạy thử nghiệm trước khi triển khai trong hệ thống. 3.4.3 Giám sát a.Tất cả các sự kiện liên quan đến an ninh trên các máy chủ quan trọng phải được lưu lại. b.Các sự kiện liên quan đến an ninh sẽ được báo cáo cho các sở, ban, an ninh thông tin, những người sẽ xem xét các bản ghi và báo cáo sự cố để quản lý. Biện pháp khắc phục sẽ được quy định khi cần thiết. Các sự kiện liên quan đến an ninh bao gồm: i.Tấn công bằng quét cổng. ii.Các truy cập trái phép vào tài khoản đặc quyền. iii.Các truy cập trái phép vào tài khoản người dùng từ các máy chủ / máy khách. iv.Xuất hiện bất thường không liên quan đến các ứng dụng cụ thể trên máy chủ. c.Tính toàn vẹn phần mềm giám sát được thực hiện để cảnh báo nhân viên để sửa đổi trái phép các hệ thống quan trọng hoặc nội dung các tập tin. Phần mềm này sẽ được cấu hình để thực hiện so sánh tập tin quan trọng ít nhất hàng tuần. 4. Chính sách bảo mật cho máy tính xách tay 4.1 Mục đích Mục đích là để thiết lập các tiêu chuẩn cho việc sử dụng các thiết bị máy tính máy tính xách tay và kết nối các hệ thống mạng. Những quy định này là cần thiết để bảo tồn tính toàn vẹn, tính sẵn có, và bảo mật của công ty thuộc sở hữu hoặc quản lý thông tin. 4.2 Phạm vi Chính sách này áp dụng cho tất cả các máy tính xách tay là tài sản của doanh nghiệp, hoặc của bên thứ ba muốn truy cập vào hệ thống mạng của doanh nghiệp. 4.3 Định nghĩa Đối tác - Không phải nhân viên của doanh nghiệp, đang cung cấp một số loại hình dịch vụ cho doanh nghiệp. 4.4 Tuyên bố chính sách a.Người sử dụng máy tính xách tay có trách nhiệm bảo mật vật lý và điều kiện của máy tính xách tay của họ và các thông tin mà nó chứa. b.Máy tính xách tay cấp cho người lao động hoặc đối tác sẽ vẫn là tài sản của doanh nghiệp. Khi máy tính xách tay được phân bổ cho cá nhân, người sử dụng giả định "giám hộ" tạm thời của máy tính xách tay. c.Máy tính xách tay được thực hiện theo chính sách bảo mật của máy tính để bàn. Trang 20 d.Việc khóa màn hình phải được thực thi khi máy tính xách tay không có sự thao tác trong 15 phút. g.Nếu một máy tính xách tay bị mất hoặc bị đánh cắp, người dùng sẽ ngay lập tức thông báo cho người quản lý trực tiếp của mình, và nhờ quản trị mạng trợ giúp. i.Phần mềm tường lửa cá nhân phải đảm bảo luôn được bật. j.Tất cả các máy tính xách tay ổ đĩa cứng có chứa dữ liệu chủ thẻ có trách nhiệm sử dụng mã hóa đĩa đầy đủ phù hợp với chuẩn mã hóa. 5. Bản vá lỗi: Patching 5.1 Mục đích Mục đích của chính sách này là để đảm bảo rằng tất cả các máy tính trong hệ thống mạng của doanh nghiệp, bất kể hệ điều hành nào đều được cài đặt và triển khai các bản vá lỗi bảo mật. 5.2 Phạm vi Chính sách này áp dụng cho bất cứ ai truy cập và hệ thống của doanh nghiệp.Các nhân viên, nhân viên tạm thời, khách hàng ,đối tác và các nhà cung cấp... Chính sách này áp dụng cho tất cả các thiết bị được sở hữu bởi doanh nghiệp và tất cả các thiết bị của bên thứ ba kết nối với hệ thống kinh doanh của công ty. 5.3 Định nghĩa Máy chủ : Một máy tính hay một thiết bị trên mạng, nó quản lý tài nguyên của mạng. Malware (phần mềm độc hại) - Phần mềm được thiết kế đặc biệt để gây thiệt hại hoặc phá vỡ một hệ thống máy tính, chẳng hạn như một virus hoặc một Trojan. 5.4 Tuyên bố chính sách a. Bộ phận IT có trách nhiệm xác định và cài đặt các bản vá lỗi hoặc nâng cấp phần mềm. b. Tất cả các hệ điều hành có liên quan và các bản vá lỗi bảo mật ứng dụng được cài đặt trong vòng một tháng khi phát hành. c. Quá trình thực hiện các bản vá lỗi hoặc nâng cấp phần mềm sẽ được lưu lại ở tất cả các lần. d. Khi cài đặt các bản vá bảo mật hoặc nâng cấp phần mềm thì phải được kiểm tra kỹ lưỡng trước khi cài đặt vào hệ thống. e.Hệ thống chính sách sẽ được cập nhật một cách kịp thời để thực hiện những thay đổi áp dụng mới. f.Việc sao lưu hệ thống được thực hiện trước và sau khi áp dụng các nâng cấp hệ thống hoặc các bản vá lỗi bảo mật. g.Tất cả các bản vá của hệ thống và phần mềm phải được nhà cung cấp xác nhận và các bản vá đó phải là những bản vá mới nhất. Lưu ý: Trang 21 Nếu phát hiện lỗ hổng phần mềm độc hại đang hoạt động thì phần mềm đó sẽ được cập nhật bản vá ngay, dù bản vá đó đang trong quá trình thử nghiệm hoặc có sẵn. 6. Chính sách bảo mật vùng DMZ 6.1 Mục đích Mục đích của tiêu chuẩn này là xác định chính sách để giảm thiểu những tác động từ các hacker hoặc phần mềm độc hại đển hệ thống máy chủ DMZ dùng chung vào riêng của doanh nghiệp. 6.2 Phạm vi Chính sách này áp dụng cho bất cứ ai truy cập và hệ thống của doanh nghiệp.Các nhân viên, nhân viên tạm thời, khách hàng ,đối tác và các nhà cung cấp... Chính sách này áp dụng cho tất cả các thiết bị được sở hữu bởi doanh nghiệp và tất cả các thiết bị của bên thứ ba kết nối với hệ thống kinh doanh của công ty. 6.3 Định nghĩa Khu vực phi quân sự (DMZ) - Là nơi chứa các thông tin cho phép người dùng từ internet truy xuất vào và chấp nhận các rủi ro tấn công từ internet. Các dịch vụ thường được triển khai trong vùng DMZ là: Mail, Web, FTP… Mạng không tin cậy - Bất kỳ truy cập mạng bất thường, truy cập trái phép (mạng lưới đối tác, Internet, vv), hoặc bất cứ điều gì đe dọa đến các tài nguyên. 6.4 Tuyên bố chính sách 6.4.1 Tổng cấu hình Tất cả các máy chủ trong DMZ được thực hiện theo các cấu hình sau đây: a.Phần cứng, hệ điều hành, dịch vụ và ứng dụng phải được phê duyệt bởi những người có thẩm quyền trước khi triển khai. b.Việc điền hành, cấu hình hệ thống phải được thực hiện dưới sự giám sát của người có thẩm quyền và phải được ghi lại các bước. c.Các máy chủ DMZ phải được chứng thực. d.Dịch vụ và các ứng dụng không cho bên ngoài truy cập phải được hạn chế bởi các danh sách kiểm soát truy cập. e.Việc quản trị từ xa phải được thực hiện trên các kênh an toàn (tức là, kết nối mạng phải được mã hóa bằng cách sử dụng IPSEC), hoặc truy cập giao diện điều khiển độc lập từ các mạng DMZ (truy cập thông qua lớp mạng của vùng DMZ). f.Tất cả các máy chủ muốn cập nhật nội dung đều phải được thực hiện trên các kênh an toàn. g.Tường lửa được sử dụng để hạn chế lưu lượng truy cập giữa các mạng công cộng, mạng nội bộ với máy chủ DMZ private.(phòng chống DOS,DDOS) h.Các sự kiện liên quan đến an ninh phải được lưu. Các sự kiện liên quan đến an ninh bao gồm: - Người sử dụng đăng nhập thất bại. Trang 22 - Không có quyền truy cập mà vẫn truy cập. - Truy cập vào các chính sách. i.Các dữ liệu bí mật không được đặt trong các máy chủ DMZ. 6.4.2 Thiết bị thuê bên ngoài để cung cấp dịch vụ bên ngoài Trách nhiệm cho sự an toàn của các thiết bị được triển khai bởi các nhà cung cấp dịch vụ bên ngoài được làm rõ trong hợp đồng như sau: i.Địa chỉ liên lạc bên an ninh và các thủ tục phải được nêu rõ trong hợp đồng. ii.Chỉ những người có thẩm quyền trong doanh nghiệp mới có quyền truy cập vào môi trường dữ liệu của doanh nghiệp. iii.Phải ghi lại toàn bộ lịch sử truy cập. iv.Đảm bảo kết nối truy cập từ xa phải an toàn và duy nhất vào môi trường dữ liệu của doanh nghiệp. IX. Chính sách bảo mật mạng 1. Chính sách bảo mật mạng 1.1 Mục đích Mục đích của tiêu chuẩn này là để xác định và mô tả các chính sách về bảo mật trong mạng để kiểm soát khách hàng truy cập hoặc sử dụng dịch vụ bên ngoài doanh nghiệp. 1.2 Phạm vi Tiêu chuẩn này áp dụng cho tất cả các thiết bị hoặc hệ thống gắn liền với hệ thống mạng của doanh nghiệp. 1.3 Định nghĩa Không có. 1.4 Tuyên bố chính sách a.Tất cả các hệ thống và các thiết bị phải có trách nhiệm thực hiện việc kiểm soát truy cập. Quền hạn truy cập sẽ dựa vào đặc quyền của mỗi cá nhân.(Quản lý có thể truy cập đến những đâu, nhân viên có quyền truy cập đến những đâu). b.Việc ghi lại các sự kiện phải được thực hiện trên toàn bộ hệ thống có chức năng này. c.Việc chứng thực sẽ được xử lý theo chính sách quản lý truy cập. e.Hệ thống giao thức, cổng kết nối đã được phê duyệt bởi người có thẩm quyền mới đươc áp dụng trong. f.Hệ thống mạng phải được tách biệt thành từng khu và được phát họa để dễ quản lý. g.Muốn mở rộng mạng cần có sự phê duyệt của người có thẩm quyền. h.Việc đánh giá an ninh phải được thực hiện định kỳ mỗi tháng 1 lần và thường xuyên vá các lỗ hổng bảo mật để tiếp tục thúc đẩy hệ thống an ninh tối ưu. Trang 23 2.Chính sách mạng không dây 2.1 Mục đích Chính sách này tạo ra nhằm nghiêm cấm truy cập vào hệ thống mạng thông qua cơ chế thông tin liên lạc không dây không có bảo đảm. Chỉ có hệ thống không dây đáp ứng được các tiêu chí của chính sách này mới được kết nối với hệ thống mạng của doanh nghiệp 2.2 Phạm vi Chính sách này áp dụng cho bất cứ ai truy cập và hệ thống của doanh nghiệp.Các nhân viên, nhân viên tạm thời, khách hàng ,đối tác và các nhà cung cấp... Chính sách này áp dụng cho tất cả các thiết bị được sở hữu bởi doanh nghiệp và tất cả các thiết bị của bên thứ ba kết nối với hệ thống kinh doanh của công ty. 2.3 Định nghĩa IEEE 802.1x (Port Based Network Access Control) - Quản lý truy nhập mạng theo cổng, là một chuẩn bảo mật được tổ chức IEEE chứng nhận và nhận được sự ủng hộ rộng rãi trong giới công nghiệp. 802.1x sử dụng EAP và RADIUS để chứng nhận thực người dùng khi truy nhập vào mạng cũng như để phân phối mã khóa bảo mật cho các quá trình giao tiếp. 2.4 Tuyên bố chính sách 2.4.1 Yêu cầu về công nghệ Các thiết bị công nghệ hỗ trợ phát sóng mạng không dây phải đảm bảo các yếu tố sau: - Hỗ trợ chuẩn IEEE 802.1x cho chứng thực kết nối không dây. - Phải có RADIUS server (Remote Authentication Dial-In User) nhằm chứng thực (Authentication), cấp phép (Authorization) và kế toán (Accounting) người dùng. - WPA (Wi-Fi Protect Access) Để cung cấp mức bảo mật cao trong việc mã hóa và toàn vẹn dữ liệu. 2.4.1 Mã hóa và chứng thực khách hàng sử dụng hệ thống mạng không dây a.Các thiết bị của khách hàng phải được chứng thực mới được phép sử dụng mạng không dây của doanh nghiệp. b. Các thiết bị không dây trái phép không được phép truy cập vào hệ thống mạng. c.Tất cả thông tin liên lạc không dây giữa các thiết bị sử dụng mạng không dây và hệ thống mạng đều phải được mã hóa. d.Phải áp dụng các hình thức mạnh nhất của mã hóa không dây cho phép các thiết bị của khách hàng được sử dụng. 2.4.3 Chính sách kiểm soát truy cập Quền truy cập các hệ thống, tài nguyên mạng thông qua mạng không dây sẽ bị hạn chế dựa trên vai trò kinh doanh của người sử dụng.(Tham khảo chính sách truy cập) 3. Firewall chuẩn 3.1 Mục đích Trang 24 Phần này xác định và mô tả các chính sách được thực hiện để hỗ trợ các chính sách về tường lửa của hệ thống mạng. 3.2 Phạm vi Chính sách này áp dụng cho tất cả các tường lửa trong hệ thống mạng của doanh nghiệp. 3.3 Định nghĩa Khu vực phi quân sự (DMZ) - Là nơi chứa các thông tin cho phép người dùng từ internet truy xuất vào và chấp nhận các rủi ro tấn công từ internet. Các dịch vụ thường được triển khai trong vùng DMZ là: Mail, Web, FTP… Firewall- Một rào cản được thiết kế để ngăn chặn thông tin trái phép hoặc không mong muốn giữa các phần của một mạng máy tính.( Từ trong mạng ra ngoài Internet, từ khu vực này sang khu vực khác) 3.4 Tuyên bố chính sách a.Mọi lưu thông trên mạng phải được xác định theo yêu cầu về an ninh hoặc kinh doanh. b.Tất cả các cổng không sử dụng phải bị chặn. c.Truy cập quản trị phải được kiểm soát chặt chẽ và chỉ cho phép người có thẩm quyền. d.Tường lửa phải đặt ở nơi an toàn và kín đáo. e.Việc ghi lại các sự kiện phải được kích hoạt và thường xuyên xem xét để phát hiện các hoạt động trái phép. g.Kiểm tra định kỳ các cấu hình tường lửa vào cuối tuần. 4. Chính sách truy cập từ xa 4.1 Mục đích Mục đích của của chính sách này là để quản lý, cấp phát quyền sử dụng các phương thức truy cập từ xa vào hệ thống mạng của doanh nghiệp. 4.2 Phạm vi Chính sách này áp dụng cho bất cứ ai truy cập và hệ thống của doanh nghiệp.Các nhân viên, nhân viên tạm thời, khách hàng ,đối tác và các nhà cung cấp... Chính sách này áp dụng cho tất cả các thiết bị được sở hữu bởi doanh nghiệp và tất cả các thiết bị của bên thứ ba kết nối với hệ thống kinh doanh của công ty. 4.3 Định nghĩa VPN (virtual private network) là công nghệ xây dựng hệ thống mạng riêng ảo nhằm đáp ứng nhu cầu chia sẻ thông tin, truy cập từ xa và tiết kiệm chi phí. VPN cho phép các máy tính truyền thông với nhau thông qua một môi trường chia sẻ như mạng Internet nhưng vẫn đảm bảo được tính riêng tư và bảo mật dữ liệu. Để cung cấp kết nối giữa các máy tính, các gói thông tin được bao bọc bằng một header có chứa những thông tin định tuyến, cho phép dữ liệu có thể gửi từ máy truyền qua môi trường mạng chia sẻ và đến được máy nhận, như truyền trên các đường ống riêng được gọi là tunnel. Để bảo đảm tính riêng tư và bảo mật trên môi trường chia sẻ này, Trang 25 các gói tin được mã hoá và chỉ có thể giải mã với những khóa thích hợp, ngăn ngừa trường hợp “trộm” gói tin trên đường truyền 4.4 Tuyên bố chính sách a.Truy cập từ xa được phải kiểm soát chặt chẽ thông qua xác thực người sử dụng b.Truy cập VPN sẽ sử dụng mã hóa tối thiểu 128-bit. c.Tiêu chuẩn cấu hình phần cứng phải được phê duyệt bởi người có thẩm quyền. d.Tất cả các thiết bị được sử dụng để kết nối từ xa vào hệ thống mạng phải đáp ứng các yêu cầu của máy chủ theo quy định tại Chính sách bảo mật của máy chủ. X. Chính sách bảo mật ứng dụng 1. Mục đích Chính sách này xác định và mô tả các tiêu chuẩn để hỗ trợ truy cập ứng dụng trong doanh nghiệp. 2. Phạm vi Chính sách này áp dụng cho các ứng dụng được truy cập và dữ liệu của ứng dụng được lưu trữ trong hệ thống mạng của doanh nghiệp. 3. Định nghĩa Không có 4. Tuyên bố chính sánh a. Các ứng dụng chứng thực và xác thức mật khẩu phải tuân thủ các điều khoản về chính sách của doanh nghiệp. b. Ứng dụng truy cập dữ liệu chỉ được chấp nhận cho các tài khoản được cấp phép. c. Những yêu cầu đặc quyền cao của người dùng trong một ứng dụng, các đặc quyền này sẽ được công nhận dựa trên vai trò và trách nhiệm, trình độ của người dùng. d. Các yếu tố đăng nhập đến các ứng dụng máy chủ phải được kiểm soát. e. Những quy trình quản lý sẽ thay đổi theo các thay đổi của ứng dụng. f. Những mã nguồn và thư viện ứng dụng không lưu trực tiếp trên các Server DMZ, mà lưu trong server data có quản lý phù hợp. XI. Chính sách quản lý dữ liệu 1. Chính sách sao lưu và phục hồi dữ liệu 1.1 Mục đích Mục đích của chính sách này là thiết lập một tiêu chuẩn bảo mật để sao lưu dữ liệu và phục hồi, tài nguyên thông tin của doanh nghiệp thông qua Data Center 1.2 Phạm vi Trang 26 Quản lý tập trung các thông tin trong hệ thống mạng một các đồng nhất và tập trung, ngoài ra cũng có cập nhật thông tin của các đại lý hoặc chi nhánh. Người có thẩm quyền của doanh nghiệp sẽ kiễm tra sự cố an ninh đối với doanh nghiệp ít nhất 2 lần trong năm. 1.3 Định nghĩa Không có. 1.4 Tuyên bố chính sách a.Dữ liệu sao lưu sẽ được đi kèm với một bản ghi đầy đủ và chính xác của các nội dung được lưu trữ cùng với các phương tiện sao lưu. b.Tất cả các phương tiện sao lưu phải được dán nhãn và bảo vệ đúng cách dựa trên việc phân loại độ nhạy cao nhất của các dữ liệu được lưu trữ trên các phương tiện truyền thông. c.Phương tiện sao lưu sẽ được thử nghiệm, bằng cách thực hiện quá trình khôi phục lại ít nhất là nửa năm, để xác nhận độ tin cậy của các thủ tục và phương tiện sao lưu. d.Các nhà cung cấp thiết bị lưu trữ ngoại vi sẽ ký một thỏa thuận đảm bảo chất lượng và độ tin cậy của thiết bị đối với doanh nghiệp. 2. Chuẩn mã hóa Mục đích của tiêu chuẩn này là để thiết lập các quy định mã hóa các tập tin dữ liệu , tài nguyên thông tin cho doanh nghiệp. 2.2 Phạm vi Chính sách này áp dụng cho bất cứ ai truy cập và hệ thống của doanh nghiệp.Các nhân viên, nhân viên tạm thời, khách hàng ,đối tác và các nhà cung cấp... Chính sách này áp dụng cho tất cả các thiết bị được sở hữu bởi doanh nghiệp và tất cả các thiết bị của bên thứ ba kết nối với hệ thống kinh doanh của doanh nghiệp. 2.3 Định nghĩa Mạng nội bộ: Các mạng đáng tin cậy thuộc sở hữu hoặc quản lý của doanh nghiệp. 2.4 Tuyên bố chính sách a.Dữ liệu quan trọng khi được lưu trữ hoặc truyền ra ngoài mạng nội bộ phải được mã hóa. (Sử dụng phần mềm Cyberoam để mã hóa thông tin) b.Mã hóa đĩa được sử dụng khi một lượng lớn các dữ liệu nhạy cảm được lưu trữ trên các ổ đĩa mạng (tức là: máy trạm, máy tính xách tay, máy chủ). c.Key mã hóa không được gắn với tài khoản người dùng. e.Công nghệ cung cấp truyền tải an toàn công cộng (VPN) phải được mã hóa tương xứng với các loại dữ liệu được truyền. f.Phiên chứng thực phải được mã hóa. g.Khung thời gian là một yếu tố để xem xét khi xác định mức độ mã hóa của thông tin. Ví dụ, thông tin chỉ có giá trị trong mười giây thì không đòi hỏi phải mã hóa bằng phương pháp mã hóa cao cấp. Trang 27 h.Các Key mã hóa sẽ được bảo vệ và bảo đảm không được tiết lộ và lạm dụng. i.Truy cập vào Key mã hóa sẽ được hạn chế số lượng ít nhất . k.Các Key mã hóa được lưu trữ an toàn. l.Việc triển khai các quy trình quản lý mã hóa và các thủ tục phải được lập thành văn bản. XII. Chính sách xử lý sự cố 1. Mục đích Mục đích của chính sách này là thiết lập các tiêu chuẩn cho công ty đáp ứng kịp thời và phù hợp với bất kỳ sự cố liên quan đến an ninh có thể xảy ra. Đồng thời phải có được sự linh động của hệ thống và luôn luôn được kết nối. 2. Phạm vi Chính sách này áp dụng cho bất cứ ai truy cập và hệ thống của doanh nghiệp.Các nhân viên, nhân viên tạm thời, khách hàng ,đối tác và các nhà cung cấp... Chính sách này áp dụng cho tất cả các thiết bị được sở hữu bởi doanh nghiệp và tất cả các thiết bị của bên thứ ba kết nối với hệ thống kinh doanh của doanh nghiệp. 3. Định nghĩa Không có. 4. Tuyên bố chính sách 4.1 Chính sách chung: a. Trưởng phòng IT sẽ mô phỏng sự cố an ninh đối với doanh nghiệp ít nhất 2 lần trong năm. b.Đội ngũ nhân viên IT trong doanh nghiệp sẽ được tổ chức đào tạo thường xuyên nhằm nâng cao khả năng ứng phó với các sự cố một cách nhanh nhất. c. Căn cứ vào các cảnh báo từ các thiết bị an ninh mạng để từ đó bộ phận an ninh có thể ứng phó với các sự cố một cách nhanh nhất. d.Quá trình phản ứng nhanh trước các sự cố sẽ được xem xét và sửa đổi để rút ra các bài học kinh nghiệm nhằm nâng cao khả năng ứng phó với sự cố sau này. 4.2 Chính sách riêng: Khi hệ thống hoạt động bình thường, cơ chế active-active trong high availability được thiết lập đế cân bằng tải của các hệ thống mạng nội bộ khi kết nối ra bên ngoài và các user hoặc guest kết nối từ ngoài vào trong mạng, tất cả các truy cập đó được quản lý thông qua Firewall Astaro. Việc phân chia đường truyền và kiểm soát truy cập được phân định rõ ràng qua các port được chia cho từng khu vực, từng user. Việc viết chính sách cho firewall cũng được hoạch địch rõ ràng, các chức năng chính của tất cả các firewall để việc quản lý truy cập được an toàn và tập trung hơn. Khi sự cố xảy ra, 1 trong 2 firewall bị tấn công phải tạm dừng hoạt động hoặc do các yếu tố khách quan phải bảo trì, bảo dượng máy, các nhà quản trị mạng sẽ tạo một chính sách khung sẵn để có thể cập nhật một chính sách mới để quản lý tất cả các truy cập ra và vào mạng. Cả hai Trang 28 chính sách đểu được thiết lập sẵn để việc kiểm soát truy cập và tạo tính sẵn sàng và an toàn cho hệ thống được tốt nhất. Khi đó, việc quản lý băng thông và vấn đề quản lý và bảo mật sẽ gặp 1 số khó khăn do việc sử dụng 1 firewall để thay thế 2. Chính sách quản lý bằng thông được áp dụng để quản lý truy cập trong và ngoài mạng, đặc biệt là ưu tiên các kết nối trong ra ngoài mạng, và việc quản lý bằng thông này được thiết lập sao cho những user có nhu cầu và được phân quyền quản lý theo chức năng sẽ được ưu tiên hơn các user không được phân quyền khác; đều này cũng như những thiết lập từ ngoài vào trong mạng. Ngoài ra, việc tiết kiệm 1 lượng băng thông trống khi sự cố xảy ra (1 trong 2 máy firewall bị hư hỏng) là việc cần thiết để luôn tạo được 1 dung lượng sẵn sàng khi có tình huống bất ngờ xảy ra. Ngoài việc thiết lập cấu hình cho firewall nêu trên, nhà quản trị mạng phải luôn luôn cập nhật những thông tin mới nhất vè những rủi ro. Sau những sự cố, cần phải có báo cáo để đánh giá các rủi ro, đồng thời có biện pháp xử lý nếu gặp tình huống tương tự. XIII. Chính sách bảo mật thông tin cá nhân 1. Mục đích Chính sách này được đưa ra để tạo điều kiện thuận lợi cho việc bảo vệ thông tin cá nhân trong việc kiểm soát của doanh nghiệp. 2. Phạm vi Chính sách này áp dụng cho bất cứ ai truy cập và hệ thống của doanh nghiệp.Các nhân viên, nhân viên tạm thời, khách hàng ,đối tác và các nhà cung cấp... Chính sách này áp dụng cho tất cả các thiết bị được sở hữu bởi doanh nghiệp và tất cả các thiết bị của bên thứ ba kết nối với hệ thống kinh doanh của doanh nghiệp. 3. Định nghĩa Thông tin cá nhân - Thông tin cá nhân gồm các thông tin trong các giấy tờ sau đây: số an sinh xã hội, giấy phép lái xe, chứng minh thư, tài khoản ngân hàng, thẻ tín dụng. 4. Tuyên bố chính sách a.Truy cập vào thông tin cá nhân: Truy cập thông tin hoặc tài liệu có chứa thông tin cá nhân sẽ được giới hạn. Chỉ những nhân viên có một lý do kinh doanh hợp pháp mới có thể truy cập thông tin, tài liệu. Người quản trị chịu trách nhiệm về thực hiện hạn chế này thông qua đào tạo thích hợp và thủ tục giám sát. b.Cấm tiết lộ: Các nhân viên không được tiết lộ thông tin cá nhân của những nhân viên khác trong doanh nghiệp của mình cũng như các đối tác, khách hàng. i. Doanh nghiệp chịu trách nhiệm duy trì tính bảo mật của thông tin và tài liệu có chứa thông tin cá nhân. Doanh nghiệp không phải chịu bất kỳ các hành động sau đây với các thông tin cá nhân của một nhân viên, hoặc cá nhân khác Trang 29 ii.Sử dụng thông tin cá nhân như thẻ căn cước chính của một cá nhân, thẻ hội viên, giấy phép hoặc giấy phép. iii.In rõ ràng các thông tin cá nhân trên bất kỳ thẻ căn cước, thẻ hội viên, giấy phép hoặc giấy phép. iv.Gửi một tài liệu có chứa thông tin cá nhân của một cá nhân, trừ khi nó nằm trong một trong các trường hợp ngoại lệ sau đây: + Theo yêu cầu của cơ quan nhà nước. + Thông tin cá nhân sẽ được công khai cùng với những phát minh sáng chế của cá nhân đó. + Những văn bản, tài liệu sẽ được ghi rõ trong hợp đồng, thẻ bảo hiểm bảo hiểm y tế hoặc để xác nhận tính chính xác của số an sinh xã hội của một cá nhân có một tài khoản. + Tài liệu này được gởi trong các điều nào sau đây: - Xác minh danh tính của một cá nhân, xác định một cá nhân hay thực hiện một mục đích khác tương tự như hành chính liên quan đến một tài khoản hiện tại hoặc đề xuất, giao dịch, sản phẩm, dịch vụ hoặc việc làm. - Điều tra yêu cầu của một cá nhân, tín dụng, lịch sử hình sự hoặc lái xe. - Phát hiện, ngăn chặn hoặc ngăn chặn hành vi trộm cắp nhận dạng hoặc tội phạm khác. Cung cấp hoặc quản lý các quyền lợi bảo hiểm của nhân viên y tế, tuyên bố hoặc các chương trình hưu trí. + Tài liệu này được gửi qua thư theo yêu cầu của các cá nhân có thông tin cá nhân xuất hiện trong tài liệu hoặc theo yêu cầu của cha mẹ , người giám hộ hợp pháp. + Trường hợp ngoại lệ khác cần được sự chấp thuận của bộ phận quản lý trong công ty v.Truyền tải hoặc yêu cầu một cá nhân để truyền thông tin cá nhân / của mình qua Internet hoặc một hệ thống máy tính công cộng hoặc mạng, trừ khi kết nối là an toàn hoặc truyền được mã hóa. vi.Truyền tải hoặc yêu cầu một cá nhân để sử dụng hoặc truyền tải / thông tin cá nhân để đạt được quyền truy cập vào một trang web Internet hoặc một hệ thống máy tính công cộng hoặc mạng, trừ khi kết nối là an toàn hoặc truyền được mã hóa. vii.Lưu trữ bất kỳ thông tin cá nhân trên máy tính xách tay hoặc các thiết bị di động đó là không được mã hóa. viii.Gửi thư cho bất kỳ tài liệu có chứa thông tin cá nhân có thể nhìn thấy trên hoặc từ bên ngoài phong bì hoặc bao bì cho các tài liệu. c. Chính sách này không ngăn cấm việc sử dụng thông tin cá nhân mà người sử dụng được ủy quyền sử dung. d. Xử lý thông tin cá nhân: các tài liệu chứa thông tin cá nhân phải được phá hủy khi những tài liệu không còn cần phải được giữ lại theo chính sách lưu giữ tài liệu của doanh nghiệp.. e. Vi phạm: Vi phạm của chính sách này có thể dẫn đến hành động kỷ luật, và bao gồm cả chấm dứt công việc. Trang 30 XIV. Chính sách quản lý con người 1.1 Mục đích: Đảm bảo rằng mọi nhân viên của doanh nghiệp( kể cả các đại lý, nhân viên ban thời gian) và bên thứ ba nhận thức được các mối nguy cơ và các vấn đề liên quan đến an toàn thông tin, trách nhiệm và nghĩa vụ pháp lý của họ, và được trang bị các kiến thức, điều kiện cần thiết nhằm hỗ trợ chính sách an toàn thông tin của doanh nghiệp trong quá trình làm việc, và giảm thiểu các rủi ro do con người gây ra. 1.2 Trước khi tuyển dụng - Các trách nhiệm về an toàn cần được nhấn mạnh trước khi sử dụng lao động theo những đặc điểm công việc tương xứng, và theo các điều khoản và điều kiện về sử dụng lao động. - Tất cả những ứng viên đều cần được kiểm tra đầy đủ, nhất là đối với những công việc có tính chất nhạy cảm. - Các nhân viên cần ký vào một bản thỏa thuận về vai trò và trách nhiệm an toàn thông tin của doanh nghiệp. 1.2.1 Các vai trò và trách nhiệm Các vai trò và trách nhiệm về an toàn gồm các yêu cầu sau: a) Triển khai và hành động phù hợp với các chính sách an toàn thông tin của tổ chức b) Bảo vệ tài sản doanh nghiệp trước sự đánh cắp, chỉnh sửa, phá hoại hoặc can thiệp bất hợp pháp. c) Thực hiện các hoạt động và xử lý an toàn bảo mật cụ thể. d) Báo cáo ngay các sự cố hoặc những rủi ro khi phát hiện đến bộ phận có trách nhiệm. Các vai trò và trách nhiệm cần được xác định rõ và thông báo một cách rõ ràng đến các ứng viên trong suốt quá trình trước khi sử dụng lao động. Thông tin khác Những mô tả về công việc có thể được sử dụng nhằm ban hành thành văn bản các vai trò và trách nhiệm. Các vai trò và trách nhiệm về an toàn của các cá nhân chưa được cam kết trong quá trình sử dụng nhân lực của tổ chức, ví dụ đã được cam kết qua một tổ chức thứ ba, thì cũng cần được xác định rõ và thông báo đến toàn bộ nhân viên. 1.2.2 Thẩm tra - Việc xác minh lai lịch của mọi ứng viên tuyển dụng phải được thực hiện phù hợp với pháp luật, quy định, đạo đức và phù hợp với các yêu cầu của công việc, phân loại thông tin được truy cập và các rủi ro có thể nhận thấy được. Các cuộc kiểm tra xác minh cần quan tâm đến tính riêng tư, bảo vệ dữ liệu cá nhân cần bao gồm những vấn đề sau : a) Tính sẵn có của các giấy tờ liên quan, ví dụ thông tin cá nhân được ghi trên chứng minh thư,…. Trang 31 b) Kiểm tra (tính đầy đủ và chính xác) hồ sơ của ứng viên . c) Xác nhận về các văn bằng đã khai . d) Các kiểm tra chi tiết hơn, ví dụ các kiểm tra về tài chính hoặc các kiểm tra về hồ sơ tội phạm . - Thông tin của tất cả các ứng viên được cân nhắc cho các vị trí tuyển dụng trong tổ chức cũng cần được thu thập và xử lý theo pháp luật hiện hành với phạm vi quyền hạn tương xứng. 1.2.3 Điều khoản và điều kiện tuyển dụng - Như một phần của các ràng buộc trong hợp đồng với các nhân viên phải đồng ý và ký vào các điều khoản và điều kiện của hợp đồng tuyển dụng. Việc này làm rõ trách nhiệm của người được tuyển dụng và doanh nghiệp đối với an toàn thông tin. - Các điều khoản và điều kiện tuyển dụng cần thể hiện cả chính sách an toàn của tổ chức bao gồm: a) Tất cả các nhân viên khi truy cập đến các thông tin nhạy cảm, cần ký vào một thỏa thuận bảo mật hoặc không tiết lộ trước khi được cấp phép truy cập đến các phương tiện xử lý thông tin. b) Có trách nhiệm đối với việc phân loại thông tin và quản lý tài sản thuộc doanh nghiệp liên quan đến các dịch vụ và hệ thống thông tin được xử lý bởi các những nhân viên, người của nhà thầu hoặc bên thứ ba . c) Nhân có có trách trách nhiệm trong việc xử lý các thông tin. d) Doanh nghiệp có trách nhiệm đảm bảo an toàn thông tin cá nhân của nhân viên. e) Các trách nhiệm sử dụng tài sản bên ngoài trụ sở của doanh nghiệp và bên ngoài thời gian làm việc bình thường, ví dụ trong trường hợp làm việc tại nhà. f) Các hình thức kỹ luật sẽ được thực thi nếu nhân viên thiếu quan tâm đến các yêu cầu về an toàn của tổ chức . - Tổ chức cần đảm bảo rằng các nhân viên đồng ý các điều khoản và điều kiện liên quan đến an toàn thông tin phù hợp với bản chất và phạm vi truy cập mà họ sẽ được thực hiện . - Các trách nhiệm nằm trong các điều khoản và điều kiện sử dụng lao động sẽ được xem xét tiếp tục duy trì trong hay không sau khi đã chấm dứt sử dụng lao động. 1.3 Trong thời gian làm việc - Đảm bảo rằng mọi nhân viên của doanh nghiệp nhận thức được các mối nguy cơ và các vấn đề liên quan đến an toàn thông tin, trách nhiệm và nghĩa vụ pháp lý của họ. - Ban quản lý phải có trách nhiệm đảm bảo việc tuân thủ về chính sách an toàn thông tin trong doanh nghiệp của nhân viên. - Đào tạo phù hợp cho các nhân viên về các thủ tục an toàn trong việc xử lý thông tin nhằm giảm thiểu các rủi. 1.3.1 Trách nhiệm của ban quản lý Trang 32 - Ban quản lý cần yêu cầu các nhân viên và bên thứ ba chấp hành an toàn thông tin phù hợp với các chính sách và các thủ tục an toàn thông tin đã được thiết lập của doanh nghiệp. - Ban quản lý cần có trách nhiệm đảm bảo rằng các nhân viên và bên thứ ba : a) Được chỉ dẫn tường tận về các trách nhiệm và vai trò của họ đối với an toàn thông tin trước khi được chấp nhận truy cập thông tin hoặc các hệ thống thông tin nhạy cảm. b) Được cung cấp các hướng dẫn phù hợp vai trò về an toàn thông tin của họ trong doanh nghiệp. c) Được thúc đẩy thực hiện các chính sách an toàn của doanh nghiệp. d) Đạt được một mức độ hiểu biết về an toàn thông tin tương xứng với các vai trò và trách nhiệm của họ trong doanh nghiệp. e) Tuân theo các khoản và điều kiện tuyển dụng, bao gồm chính sách an toàn thông tin của tổ chức và các phương pháp làm việc phù hợp . 1.3.2 Nhận thức, giáo dục và đào tạo về an toàn thông tin - Cần lập kế hoạch đào tạo nâng cao kiến thức cho nhân viên để họ có thể nhận ra được các vấn đề và sự cố an toàn thông tin, và đáp ứng được với những yêu cầu về vai trò công việc của họ. - Các hoạt động đào tạo, giáo dục và nhận thức về an toàn cần phù hợp và liên quan đến vai trò, các trách nhiệm của cá nhân. Nội dung đòa tạo cần chứa các thông tin về các mối đe dọa đã biết trước, người cần liên hệ khi cần sự hỗ trợ về an toàn thông tin hoặc việc báo cáo về các sự cố an toàn thông tin. - Tất cả các nhân viên trong tổ chức và bên thứ ba cần phải được đào tạo nhận thức và cập nhật thường xuyên những chính sách, thủ tục an toàn thông tin của tổ chức như một phần công việc bắt buộc. - Việc đào đạo kiến thức cần mở đầu bằng một giới thiệu chính qui về các chính sách an toàn và những mong muốn của doanh nghiệp trước khi truy cập đến thông tin hoặc dịch vụ đã được cấp phép truy cập. - Các nội dung đào tạo tiếp theo cần bao gồm các yêu cầu về an toàn, các trách nhiệm pháp lý và các biện pháp quản lý nghiệp vụ, cũng như đào tạo sử dụng các phương tiện xử lý thông tin một cách đúng đắn, ví dụ thủ tục đăng nhập, sử dụng các gói phần mềm và thông tin về xử lý kỷ luật . 1.3.3 Xử lý kỷ luật - Phải có hình thức xử lý kỷ luật chính thức đối với các nhân viên vi phạm an toàn thông tin. - Không bắt đầu quy trình kỷ luật mà không xác minh trước về sự vi phạm an toàn đã xảy ra . - Quy trình kỷ luật chính thức cần đảm bảo xử lý công bằng và đúng đắn đối với các nhân viên bị nghi ngờ có hành vi vi phạm an toàn. - Qúa trình kỷ luật chính thức cần quan tâm đến các yếu tố sau : - như bản chất và tính nghiêm trọng của vi phạm. Trang 33 - xem xét xem đây là vi phạm lần đầu hay lặp lại. - xem xét xem người vi phạm đã được đào tạo phù hợp chưa, các vấn đề pháp lý liên quan và các yếu tố khác nếu cần. - Trong những trường hợp vi phạm nghiêm trọng thì quy trình kỷ luật cần cho phép tước bỏ ngay các nhiệm vụ, quyền truy cập và các đặc quyền, và nếu cần thì phải bị cho thôi việc ngay. 1.4 Trách nhiệm khi kết thúc hợp đồng - Các trách nhiệm trong việc kết thúc hoặc thay đổi nhân sự cần được xác định và phân định rõ ràng. - Các trách nhiệm về chấm dứt sử dụng lao động cần bao gồm các yêu cầu tiếp theo về an toàn, các trách nhiệm pháp lý cả các trách nhiệm đã được ghi trong thỏa thuận bảo mật và các điều khoản và điều kiện về tuyển dụng. - Các trách nhiệm vẫn còn hiệu lục sau khi chấm dứt sử dụng lao động cần được ghi vào các bản hợp đồng của các nhân viên. - Phòng nhân sự có trách nhiệm chấm dứt hợp đồng với nhân viên nhằm quản lý về các vấn đề an toàn an ninh trong doanh nghiệp (có trách nhiệm thông báo với nhân viên đang làm việc và bên thứ ba biết về việc thay đổi nhân sự) XV. Quản lý tài sản 1. Khái niệm Quản lý tài sản CNTT là một thực tế kinh doanh quan trọng liên quan đến việc duy trì tính chính xác hàng tồn kho, thông tin cấp giấy phép, bảo trì, và bảo vệ tài sản của phần cứng và phần mềm sử dụng bởi một cơ quan. Hiểu biết những gì các tài sản CNTT được triển khai trong một môi trường của cơ quan sẽ giúp tối ưu hóa việc sử dụng các tài sản CNTT trong toàn cơ quan. 2. Phân loại tài sản 2.1 Tài sản phần cứng Bao gồm các thiết bị phần cứng như : server, router, switch, dây cáp, các thất bị bảo mật, an ninh,…….. 2.2 Tài sản phần mềm Bao gồm các phần mềm như : hệ điều hành, SQL, các phần mềm quản lý,… 2.3 Tài sản con người: nhân sự. 3. Quản lý tài sản - Để tránh các sự cố nói chung, cần tránh đặt các thiết bị quan trọng tại nơi để hành lý, khu vực tiếp tân hay các phạm vi dễ tiếp cận. - Các bộ lưu điện, các bộ lọc điện, chống xung điện, ổ cắm và các dây nối dài, đặc biệt là những dây nối với máy chủ và các thiết bị mạng nên được đặt ở những nơi có thể tránh việc bật tắt do nhầm lẫn. - Các thiết bị máy tính thường không nên để gần các máy phát, lỗ thoát nhiệt, máy h/điều hòa và các đường ống dẫn, cần tạo độ thoáng và thông khí nếu không chúng sẽ bị nóng và hư hỏng. - Các sản phẩm điều được dán nhãn để biết được sản phẩm của ai, phòng nào. Trang 34 - Bản kiểm kê tài sản, bao gồm số seri sản phẩm và các mô tả vật lý, thời gian mua, bảo hành…. - Sử dụng phần mềm Cyberoam Enpiont Security để quản lý tất cả các thiết bị phần cứng, phần mềm, nhân sự. - Quy định những nơi trong văn phòng chỉ dành cho những người có thẩm quyền ra vào. - Việc ra vào những nơi quan trọng (vùng chứa các server) phải được sự đồng ý của những người có thẩm quyền, và phải giám sát và ghi lại toàn bộ quá trình ra vào. - Việc tiêu hủy giấy tờ chứa thông tin nhạy cảm phải đúng nơi (tại máy hủy giấy). - Đảm bảo bảo mật thông tin của nhân sự. (Tham khảo chính sách quản lý con người) - Nếu thông tin nhạy cảm bị dò rỉ thì phải báo ngay với người có thẩm quyền. XVI. Đảm bảo hoạt động của chính sách. 1. Chính sách đánh giá bảo mật thông tin. 1.1 Mục đích Tiêu chuẩn này mô tả các thực tiễn được thực hiện để hỗ trợ các chính sách bảo mật thông tin của doanh nghiệp .Lỗ hổng được phát hiện liên tục bởi tin tặc và các chuyên gia bảo mật (thử nghiệm thâm nhập).. để từ đó cập nhật những bản vá và đưa ra những giải pháp khắc phụ tốt nhất. Hệ thống, quy trình và phần mềm bảo mật nên được kiểm tra thường xuyên để đảm bảo an ninh của hệ thống liên tục được duy trì. 1.2 Phạm vi Chính sách này áp dụng cho bất cứ ai truy cập và hệ thống của doanh nghiệp.Các nhân viên cơ hữu, nhân viên tạm thời, khách hàng ,đối tác và các nhà cung cấp... Chính sách này áp dụng cho tất cả các thiết bị được sở hữu bởi doanh nghiệp và tất cả các thiết bị của bên thứ ba kết nối với hệ thống kinh doanh của doanh nghiệp. 1.3 Định nghĩa Thông tin nhận dạng cá nhân (PII) - Bất kỳ thông tin rằng, trong chính nó hoặc như là một phần của một sự kết hợp độc đáo của thông tin, đặc biệt nhận ra một cá nhân bằng cách mô tả, và / hoặc định danh duy nhất. 1. 4 Tuyên bố chính sách Thường xuyên được xem xét bảo mật vật lý và các hệ thống thông tin, quy trình cho phù hợp với yêu cầu và với các chính sách an ninh và thiết lập các tiêu chuẩn.Việc đánh giá cũng phải được thực hiện cho bên thứ ba sở hữu và/hoặc dưới sự kiểm soát của doanh nghiệp khi xử lý bất kỳ dữ liệu bí mật nào . 1.4.1 Xem xét nội bộ Tự đánh giá về các biện pháp bảo vệ (các thủ tục, bảo vệ điện tử và bảo vệ vật lý) sẽ được thực hiện và tuân thủ với các chính sách an ninh và các tiêu chuẩn đánh giá vào cuối mỗi quý. Chủ sở hữu của các hệ thống thông tin phải liên tục theo dõi hệ thống và quy trình hoạt động cho phù hợp với các chính sách an ninh và các tiêu chuẩn áp dụng đã đề ra. 1.4.2 Độc lập đánh giá Trang 35 Đánh giá độc lập của bên thứ ba được thực hiện định kỳ mỗi quý để xác nhận kiến trúc bảo mật, xác định mức độ tuân thủ và xác minh rằng các tiêu chuẩn và chính sách bảo mật của doanh nghiệp, cũng như bất kỳ nghĩa vụ hợp đồng, yêu cầu luật định hoặc quy định đang được theo dõi. 1.4.3 Quét các lỗ hổng bảo mật Thực hiện quét các lỗ hổng bảo mật trong mạng nội bộ và bên ngoài ít nhất một lần mỗi năm, sau khi có bất kỳ thay đổi đáng kể trong hệ thống mạng (chẳng hạn như cài đặt hệ thống mới,cài đặt máy chủ … thay đổi trong cấu trúc liên kết mạng, sửa đổi quy tắc tường lửa, nâng cấp sản phẩm, vv). 1.4.4 Thử nghiệm xâm nhập (Penetration Testing). Thử nghiệm thâm nhập được thực hiện ít nhất một lần mỗi năm, và/hoặc sau khi nâng cấp bất kỳ ứng dụng bảo mật,cơ sở hạ tầng an ninh nào (VD như một bản nâng cấp hệ điều hành, hoặc một Web Server được thêm vào hệ thống). 1.4.5 Xây dựng kiểm tra dễ bị tổn thương vật lý Xây dựng hệ thống bảo đảm được thường xuyên kiểm tra các lỗ hổng an ninh. Nhân viên có thẩm quyền phê duyệt bảo mật thông tin và phòng ban có thiết bị có thể thực hiện thử nghiệm. 1.4.6 Wireless thử nghiệm Kiểm tra và phân tích tính an toàn của việc sử dụng tất cả các thiết bị không dây, và các cấu hình bảo mật của doanh nghiệp, sẽ được tiến hành ít nhất một lần mỗi quý. 1.4.7 Kiểm tra bảo mật ứng dụng Điều kiện kiểm tra bảo mật ứng dụng phải là một phần của kế hoạch bảo đảm chất lượng mà người dùng chấp nhận. Kiểm tra các lỗ hổng bảo mật ứng dụng bao gồm, nhưng không giới hạn để kiểm tra đối với: • Xác nhận dữ liệu đầu vào. • Kiểm soát truy cập bị hỏng (có thể gây nguy hiểm cho sử dụng của người sử dụng ID) cookie) • Bị lỗi xác thực và quản lý phiên làm việc (sử dụng các chứng chỉ tài khoản và phiên • Cross-site scripting (XSS) cuộc tấn công điện tử. • Tràn bộ đệm. • Lỗi nhập liệu SQL • Lỗi xử lý không đúng cách . • Lưu trữ không an toàn. • Tấn công từ chối dịch vụ • Quản lý cấu hình không an toàn. Trang 36 2. Chính sách chấp nhận hoạt động của hệ thống. 2.1 Mục đích Chính sách này định nghĩa và mô tả các thực hành được thực hiện để hỗ trợ các hoạt động chính sách bảo mật của doanh nghiệp. Các quy trình trong tài liệu này là để tăng cường tính toàn vẹn và bảo mật của doanh nghiệp. Doanh nghiệp và người quản trị phải cung cấp một tập hợp cụ thể các bước và phải được hoàn thành trước khi một hệ thống được phát triển,mua lại hoặc thực hiện tại chi nhánh, mạng lưới của công ty. 2.2 Phạm vi Chính sách này áp dụng cho các hệ thống được triển khai trong hệ thống mạng của doanh nghiệp. 2.3 Tuyên bố chính sách a.Khi bất kỳ hệ thống mới nào được đề xuất cho việc triển khai, chủ sở hữu hệ thống sẽ cung cấp tài liệu thích hợp (bao gồm cả sơ đồ kiến trúc cho các thiết bị mạng như tường lửa và các điểm truy cập không dây,…), và hệ thống sẽ được đánh giá cho điểm yếu của kiến trúc, lỗ hổng, và cấu hình thích hợp. b.Bất kỳ trường hợp ngoại lệ để thiết lập chính sách và tiêu chuẩn được ghi nhận trước khi triển khai hệ thống thông qua quy trình “bảo mật thông tin ngoại lệ”. Mọi sự ngoại lệ phải được phê duyệt từ người có thẩm quyền cao nhất trong doanh nghiệp.Trưởng bộ phận an ninh (Admin) cũng được yêu cầu cho trường hợp ngoại lệ đối với chính sách này. c.Khi bất kỳ hệ thống mới được đề xuất cho việc triển khai trên Doanh nghiệp. Cơ sở hạ tầng mạng, kiến trúc hệ thống phải được đánh giá bởi chủ doanh nghiệp và trưởng bộ phận an ninh (Admin) để xác định, kiểm soát bảo mật thích hợp được áp dụng cho hệ thống và để xác định vị trí thích hợp trong môi trường doanh nghiệp. d.Khi triển khai một hệ thống Data Center mới trong doanh nghiệp. Bộ phận chuyên trách sẽ thực hiện một quy trình kiểm tra tính an toàn trên các thiết bị để đảm bảo rằng nó đáp ứng tất cả các tiêu chuẩn , chính sách đã đề ra. e.Sau khi triển khai một hệ thống mới (Data Center) trong doanh nghiệp. Các thao tác và tùy chỉnh ứng dụng sau đây sẽ được gỡ bỏ trước khi các hệ thống đi vào hoạt động: i.Kiểm tra dữ liệu và tài khoản ii.Ứng dụng tùy chỉnh tài khoản, tên người dùng và mật khẩu iii.Tất cả các tài khoản mặc định, tên người dùng và mật khẩu của nhà cung cấp. f.Các bên thứ ba quản lý thiết bị tại doanh nghiệp. Phải thực thi các yêu cầu của tiêu chuẩn đã đề ra. 3. Chính sách hoạt động bảo mật thông tin 3.1 Mục đích Chính sách này định nghĩa và mô tả các bước được thực hiện để hỗ trợ các hoạt động chính sách bảo mật của doanh nghiệp. Trách nhiệm được xác định và cơ chế kiểm soát phải được thực hiện để đảm bảo rằng doanh nghiệp được sở hữu và quản lý các trang thiết bị cùng các tài Trang 37 sản thông tin được vận hành và quản lý một cách an toàn phù hợp với chính sách và thủ tục của doanh nghiệp. 3.2 Phạm vi Chính sách này áp dụng cho bất cứ ai truy cập và hệ thống của doanh nghiệp.Các nhân viên, nhân viên tạm thời, khách hàng ,đối tác và các nhà cung cấp... Chính sách này áp dụng cho tất cả các thiết bị được sở hữu bởi doanh nghiệp và tất cả các thiết bị của bên thứ ba kết nối với hệ thống kinh doanh của doanh nghiệp. 3.3 Định nghĩa Hệ thống phát hiện xâm nhập (IDS) - Một công cụ bảo mật được thiết kế để phát hiện vi phạm an ninh. Một số hệ thống IDS có thể được cấu hình để đáp ứng và làm chệch hướng các cuộc tấn công. Hệ thống ngăn chặn xâm nhập (IPS) - Một công cụ bảo mật được thiết kế để chặn các cuộc tấn công và ngăn chặn vi phạm an ninh. 3. 4 Tuyên bố chính sách a.Hệ thống được vận hành và quản lý bằng cách sử dụng các thủ tục được văn bản hóa để bảo vệ tài sản thông tin của doanh nghiệp. b.Kiểm soát được thực hiện để không có nhân viên hoặc nhóm nhân viên nào có thể có một vị trí tốt (kín đáo) để thực hiện hành vi mờ ám hoặc che giấu sai sót ,gian lận. c. Hệ thống được kiểm tra một cách hợp lý và hầu như tách khỏi hệ thống sản xuất. d.Tất cả các hoạt động sẽ được kết hợp vào các quy trình kiểm soát sẽ được công ty thử nghiệm, chấp nhận và thay đổi. Đảm bảo tất cả các hoạt động được kết hợp vào các quá trình kiểm soát của công ty. e.Các thủ tục, vai trò và trách nhiệm sẽ được xác định, hướng dẫn và đưa vào quy trình hoạt động, bao gồm cả các vấn đề như quản lý tài khoản, ủy quyền, truy cập từ xa, hệ thống triển khai, và đánh giá. f.Bộ phận quản lý sẽ kiểm soát việc mã hóa và giải mã của những thông tin quan trọng trước khi chuyển giao cho nhân viên. g.Hệ thống phát hiện xâm nhập hệ thống mạng, hệ thống phòng chống xâm nhập, hoặc dựa trên máy chủ sẽ được sử dụng để theo dõi lưu lượng mạng và cảnh báo các nỗ lực nghi ngờ xâm nhập. h.Tất cả các phát hiện xâm nhập và các công cụ phòng ngừa phải được lưu giữ. Trang 38 XVII. Tài liệu tham khảo Chuẩn xây dựng chính sách An toàn thông tin: ISO/IEC 27002:2005. Chuẩn xây dựng chính sách An toàn thông tin: MICROS SYSTEMS. Trang 39 [...]... của họ đối với an toàn thông tin trước khi được chấp nhận truy cập thông tin hoặc các hệ thống thông tin nhạy cảm b) Được cung cấp các hướng dẫn phù hợp vai trò về an toàn thông tin của họ trong doanh nghiệp c) Được thúc đẩy thực hiện các chính sách an toàn của doanh nghiệp d) Đạt được một mức độ hiểu biết về an toàn thông tin tương xứng với các vai trò và trách nhiệm của họ trong doanh nghiệp e) Tuân... sách an toàn thông tin trong doanh nghiệp của nhân viên - Đào tạo phù hợp cho các nhân viên về các thủ tục an toàn trong việc xử lý thông tin nhằm giảm thiểu các rủi 1.3.1 Trách nhiệm của ban quản lý Trang 32 - Ban quản lý cần yêu cầu các nhân viên và bên thứ ba chấp hành an toàn thông tin phù hợp với các chính sách và các thủ tục an toàn thông tin đã được thiết lập của doanh nghiệp - Ban quản lý cần... hữu bởi doanh nghiệp và tất cả các thiết bị của bên thứ ba kết nối với hệ thống kinh doanh của doanh nghiệp 3 Định nghĩa Thông tin cá nhân - Thông tin cá nhân gồm các thông tin trong các giấy tờ sau đây: số an sinh xã hội, giấy phép lái xe, chứng minh thư, tài khoản ngân hàng, thẻ tín dụng 4 Tuyên bố chính sách a.Truy cập vào thông tin cá nhân: Truy cập thông tin hoặc tài liệu có chứa thông tin cá nhân... truy cập đến các phương tiện xử lý thông tin b) Có trách nhiệm đối với việc phân loại thông tin và quản lý tài sản thuộc doanh nghiệp liên quan đến các dịch vụ và hệ thống thông tin được xử lý bởi các những nhân viên, người của nhà thầu hoặc bên thứ ba c) Nhân có có trách trách nhiệm trong việc xử lý các thông tin d) Doanh nghiệp có trách nhiệm đảm bảo an toàn thông tin cá nhân của nhân viên e) Các... doanh nghiệp để đảm bảo an ninh trong doanh nghiệp f.Mỗi cá nhân thuộc đơn vị thứ ba khi ra vào doanh nghiệp bắt buộc phải cung cấp chứng minh thư, giấy phép lái xe hoặc các loại giấy tờ tùy thân khác có đứng tên cá nhân đó và ký xác nhận g Mỗi cá nhân thuộc đơn vị thứ ba phải tuân thủ các quy định về an ninh trong doanh nghiệp khi vào doanh nghiệp h.Những thông tin nhạy cảm của doanh nghiệp sẽ hạn chế... tính an toàn trong giao dịch d.Bên thứ ba phải cung cấp danh sách tất cả nhân viên hoặc nhà thầu làm việc trên hợp đồng (để doanh nghiệp dễ dàng giám sát) Danh sách này phải được cập nhật và cung cấp cho doanh nghiệp trong vòng 48 giờ nếu có bất kỳ sự thay đổi nào e .Doanh nghiệp sẽ cung cấp thẻ nhận diện cho mỗi cá nhân thuộc đơn vị thứ ba khi đi vào doanh nghiệp, và được trả lại khi ra khỏi doanh nghiệp... kinh doanh hợp pháp mới có thể truy cập thông tin, tài liệu Người quản trị chịu trách nhiệm về thực hiện hạn chế này thông qua đào tạo thích hợp và thủ tục giám sát b.Cấm tiết lộ: Các nhân viên không được tiết lộ thông tin cá nhân của những nhân viên khác trong doanh nghiệp của mình cũng như các đối tác, khách hàng i Doanh nghiệp chịu trách nhiệm duy trì tính bảo mật của thông tin và tài liệu có chứa thông. .. người 1.1 Mục đích: Đảm bảo rằng mọi nhân viên của doanh nghiệp( kể cả các đại lý, nhân viên ban thời gian) và bên thứ ba nhận thức được các mối nguy cơ và các vấn đề liên quan đến an toàn thông tin, trách nhiệm và nghĩa vụ pháp lý của họ, và được trang bị các kiến thức, điều kiện cần thiết nhằm hỗ trợ chính sách an toàn thông tin của doanh nghiệp trong quá trình làm việc, và giảm thiểu các rủi ro... đồng doanh nghiệp sẽ xem xét việc xử lý lại hoặc tiêu hủy toàn bộ thông tin mà hai bên đã thỏa thuận trong hợp đồng theo quy định nếu có trường hợp hủy hợp đồng hoặc chấm dứt hợp đồng hoặc hợp đồng hết hiệu lực, có quy định hồi tố c .Doanh nghiệp sẽ liên lạc với bên thứ ba bằng hình thức email, diện thoại của doanh nghiệp để trao đổi các thông tin chung Các trao đổi mật khẩu hoặc các thông tin quan trọng... cầu của doanh nghiệp, bên thứ ba phải có trách nhiệm: + Hoàn trả lại thông tin và các xác nhận bằng văn bản cho doanh nghiệp trong một khoảng thời gian không quá mười ngày làm việc + Hoàn trả lại thẻ nhận diện, thiết bị, vật tư… cho phía doanh nghiệp n.Tất cả các phần mềm được sử dụng bởi các nhà cung cấp trong việc cung cấp dịch vụ cho doanh nghiệp phải được cấp phép hợp lệ (có bản quyền) VIII Chính ... phải lưu giữ Trang 38 XVII Tài liệu tham khảo Chuẩn xây dựng chính sách An toàn thông tin: ISO/IEC 27002:2005 Chuẩn xây dựng chính sách An toàn thông tin: MICROS SYSTEMS Trang 39 ... họ an toàn thông tin trước chấp nhận truy cập thông tin hệ thống thông tin nhạy cảm b) Được cung cấp hướng dẫn phù hợp vai trò an toàn thông tin họ doanh nghiệp c) Được thúc đẩy thực sách an. .. thiết bị sở hữu doanh nghiệp tất thiết bị bên thứ ba kết nối với hệ thống kinh doanh doanh nghiệp Định nghĩa Thông tin cá nhân - Thông tin cá nhân gồm thông tin giấy tờ sau đây: số an sinh xã hội,

Định dạng
Số trang	39
Dung lượng	775 KB