DEPT CSR - CTPAT NO REVISED ON SE.8.02 02 May 2015 Biên soạn Prepared by DISCIPLINE PROCEDURE IN CASE OF IT SECURITY VIOLATION PREPARED BY PAGE Kiểm tra Reviewed by CSR TEAM 1/4 Duyệt Approved by QUY TRÌNH XỬ LÝ KỶ LUẬT TRONG TRƯỜNG HỢP AN NINH CNTT BỊ XÂM PHẠM Mục đích Purpose Nhằm đảm bảo độ an tồn cao cho máy tính giúp người sử dụng có ý thức việc sử dụng máy tính In order to ensure the security for computer and help users have good attitude in using computer Phạm vi/ Applicable Áp dụng cho tất công nhân viên thuộc công ty …… Applied for all employees of …………… Những hành vi vi phạm an ninh máy tính: Violation actions 3.1 Sử dụng máy tính: Computer using a) Xâm nhập trái phép tài liệu không thuộc thẩm quyền b) c) d) e) f) g) Unauthorized access data Xóa, chỉnh sửa liệu quan trọng công ty Delete or adjust the important data of factory Lợi dụng internet khai thác, sử dụng, tìm kiếm trao đổi thơng tin phục vụ cho mục đích cá nhân Take advantage of internet to use, search and exchange the data for personnel purpose Lợi dụng internet email để chống lại nhà nước CHXHCN Việt Nam; gây rối loạn an ninh, trật tự, vi phạm đạo đức, phong mỹ tục vi phạm pháp luật khác Take advantage of internet and email to against the Vietnam State, damaged to security status and others ethics … Truy cập vào trang web có nội dung không lành mạnh, phát tán tài liệu phản động,đồi trụy có hành vi làm lây lan phát tán virus Access the web with illegal content and sharing Phần mềm diệt virus không hoạt động hệ thống,không update thường xuyên Đưa USB vào không quét diệt virus Anti-virus system was out of use Tự sửa chữa những cố bất thường máy tính Self adjust the computer without permission Page of 3.2 Bảo mật thông tin: Information security a) Tiếc lộ password máy cho người khác Reveal the password to other b) Đánh cắp sử dụng trái phép mật khẩu, khóa mật mã thơng tin riêng cá nhân Steal and use illegally the password and private information 3.3 Chia sẻ thông tin mạng: Sharing data thru internet Chia thông tin mạng không thưc theo qui định bảo mật thông tin công ty Sharing information thru internet is not allowed by data security regulation 3.4 Gửi nhận thư điện tử(Email): Send and receive mail a) Nhận mở thư có ký tự lạ hay người gửi mà thư lạ vào dịp lễ lớn Receiving and open the strange email especially in Big Holiday b) Không quét virus trước mở hay lưu thư có tập tin đính kèm Open or save as the file without scan virus c) Gửi thư đến địa diễn đàn khơng biết Send email to address and conference with unclear information 3.5 Quy trình lưu liệu: a) Lưu tập tin quan trọng vào thư mục ổ hệ thống Save the important data on server b) Khơng có kế hoạch cụ thể ngày lưu trữ liệu No plan of date and time for saving data c) Khi chép liệu không thông báo cho nhân viên sử dụng biết để thuận tiện cho việc ghi chép Save data without announcing d) Dữ liệu chép khơng quản lý phòng IT Saving data was not managed by IT Dept e) Các liệu lưu trữ tiết lộ cho người thứ mà trường hợp đặc biệt nhu cầu công việc The saved data were revealed to the third person not for special cases and work need f) Không tuân thủ theo hướng dẫn phận IT It is not in line with IT guideline Quy trình xử lý kỷ luật có người vi phạm an ninh máy tính: Discipline procedure when user violate the IT security - Sự việc phải lập biên bản, người nghi vấn người làm chứng tiến hành ký tên vào biên The violation will be recorded in minutes, the violator and witness person will sign on the minutes - Bộ phận hành mời Trưởng phận IT đến kiểm tra thẩm định mức độ việc: The Admin manager invites IT manager to check the violation level • Nếu khơng có vấn đề, Trưởng phận Nhân Sự nhắc nhở người vi phạm If there is no any problem found, the violator will be verbally reminded • Nếu có vấn đề, phận hành yêu cầu Trưởng phận IT điều tra rõ mức độ nghiêm trọng hậu If there is problem found, the admin manager will required IT manager to investigate the serious level and consequence • Báo cáo phải làm văn có ký tên The violation will be recorded with signature - Phòng nhân tổ chức họp xử lý kỷ luật/ HRD will hold meeting to discipline • Những người tham gia: Participants Page of Đai diện Ban Giám Đốc BOM representative Đại diện Ban chấp hành Cơng Đồn(Cơng ty) Trade Union representative Trưởng phòng Nhân Sự HRD manager Trưởng phận IT IT Manager Người vi phạm Violator Người làm chứng Witness person - Căn kết luận biên bản, phòng nhân định trình tổng giám đốc duyệt Based on the conclusion of minutes, HRD will make discipline decision and submit BOM for approval - Bộ phận nhân lưu hồ sơ giao đương bản/ HRD will keep record and give violator one sheet • Nếu áp dụng hình thức sa thải trình báo HEPZA/ If dismiss level is applied, factory will report to HEPZA - Trường hợp nghiêm trọng phải nhờ đến quan điều tra, người vi phạm bị đình cơng tác để phục vụ cho việc điều tra.Căn theo kết luận điều tra nhà máy xử lý theo qui định In case of serious consequence, need more investigation of agency, the violator will be temporarily suspended to support the investigation Based on the result, factory will decide by the factory regulation Hình thức xử lý vi phạm an ninh máy tính: The disciplinary forms Tùy theo tính chất vi phạm, người vi phạm bị hình thức xử lý khác tùy theo mức độ vi phạm mục đây: Based on the type of violation, violator will be disciplined: Khiển trách:Vi phạm điểu khoản sau Reprimand if violate below actions: - Khoản 3.1 Mục c, f/ Article 3.1 point c, f - Khoản 3.1 Mục g (nếu không nghiêm trọng)không mát thiết bị hay không hư hỏng Article 3.1 point g (if non-serious) no loosing equips or damaged - Khoản 3.2 Mục a (nếu không nghiêm trọng)không bị liệu Article 3.2 point a (if non-serious) no loosing data - Khoản 3.3 Mục a Article 3.3 point a - Khoản 3.4 Mục a,b,c,d Article 3.4 point a, b, c, d - Khoản 3.5 Mục a,b,c,d,f Article 3.5 point a, b, c, d, f Kéo dài thời hạn nâng lương không 06 tháng cách chức, bổ sung biện pháp thu hồi quyền sử dụng máy tính: Extend the salary increasing not more than months or dismiss from duty and collect computer - Khoản 3.1 Mục a,b: lợi dụng chức quyền xâm nhập, sửa chửa liệu mang lợi ích cá nhân, gậy thiệt cho lợi ích công ty(thay đổi bảng lương, BHYT,ngày công…) Article 3.1 point a, b: take advantage of position to access and adjust the date to get personal benefit and damaging company benefit (exchange the payroll, Health insurance, working time ) - Khoản 3.1 Mục e Article 3.1 point e Page of - Khoản 3.1 Mục f (nếu mát thiết bi, làm hư hỏng) Article 3.1 point f (if loosing or damaging equips) - Khoản 3.2 Mục a (nếu nghiêm trọng)bị liệu quan trọng công ty Article 3.2 point a (in serious case) the important data of factory was lost - Khoản 3.5 Mục e Article 3.5 point e Sa thải(xử lý theo quy trình kỷ luật nhà máy): Dismiss (by factory regulation) - Khoản 3.1 Mục d Article 3.1 point d - Khoản 3.2 Mục b Article 3.2 point b Page of ... Không tuân thủ theo hướng dẫn phận IT It is not in line with IT guideline Quy trình xử lý kỷ luật có người vi phạm an ninh máy tính: Discipline procedure when user violate the IT security - Sự... decide by the factory regulation Hình thức xử lý vi phạm an ninh máy tính: The disciplinary forms Tùy theo tính chất vi phạm, người vi phạm bị hình thức xử lý khác tùy theo mức độ vi phạm mục đây:... nghiêm trọng )bị liệu quan trọng công ty Article 3.2 point a (in serious case) the important data of factory was lost - Khoản 3.5 Mục e Article 3.5 point e Sa thải (xử lý theo quy trình kỷ luật nhà