PHẦN 4. XÂY DỰNG QUI TRÌNH VÀ CHÍNH SÁCH BẢO MẬT
4.2. Xây dựng chính sách
4.2.2. Quản lý con người
Phạm vi: Áp dụng cho tất cả nhân viên của công ty: bao gồm nhân viên toàn thời gian, bán thời gian, thực tập sinh …), nhà thầu và người sử dụng bên thứ ba.
4.2.2.1. Trước khi làm việc
Để đảm bảo rằng các nhân viên, nhà thầu và người sử dụng của bên thứ ba hiểu rõ trách nhiệm của họ, và thích hợp cho các vai trò mà họ đang xem xét, và làm giảm nguy cơ của hành vi trộm cắp, lừa đảo hoặc lạm dụng các phương tiện.
Chính sách:
Nhân viên, nhà thầu và người sử dụng của bên thứ ba được liệt kê chi tiết tất cả những quy định về trách nhiệm của mình trong việc bảo vệ an toàn thông tin. Sau khi đồng ý với những yêu cầu được nêu trong hợp đồng lao động, hợp đồng với nhà thầu và người sử dụng, các bên có liên quan phải tuân thủ nghiêm ngặt theo những điều khoản đã ghi.
4.2.2.2. Trong khi làm việc
Mục tiêu: Để đảm bảo rằng tất cả các nhân viên, nhà thầu và người sử dụng của bên thứ ba nhận thức của các mối đe dọa an ninh thông tin và các mối quan tâm, trách nhiệm và nghĩa vụ pháp lý của họ, và được trang bị để hỗ trợ cho chính sách an ninh tổ chức trong quá trình làm việc bình thường. Đảm bảo được trang bị các kiến thức, điều kiện cần thiết nhằm hỗ trợ chính sách an toàn thông tin của tổ chức trong quá trình làm việc, và giảm thiểu các rủi ro do con người gây ra
Chính sách:
Ban giám đốc có trách nhiệm quản lý việc đảm bảo an toàn thông tin trong công ty bằng các quy định, kiểm tra, kiểm soát mỗi ngày.
Khi có bất kỳ sự cố nào, người trực tiếp gây ra nó sẽ chịu trách nhiệm, bị xử lý kỷ luật theo quy định. Người quản lý, giám sát của người đó cũng sẽ bị xử lý kỷ luật tùy trường hợp.
Nhân viên không được cung cấp thông tin đăng nhập, mật khẩu email, các tài khoản kết nối với dữ liệu của công ty cho bất cứ ai, thậm chí là các thành viên trong gia đình.
Khi nhân viên, nhà thầu kết nối với dữ liệu của công ty phải chịu trách nhiệm về việc đảm bảo an toàn thông tin đó. Phải đảm bảo các giải pháp kết nối dữ liệu là đúng tiêu chuẩn, nếu không, phải có sự cho phép của công ty.
Thông tin mật và tuyệt mật, nhạy cảm không được trao đổi bằng bất kỳ hình thức nào với người không có quyền sử dụng chúng hoặc những người có nghi vấn giả mạo là người có quyền sử dụng chúng. (Người có nghi vấn giả mạo là những người không trực tiếp đối thoại, người chưa xác định chính xác nhân thân mà liên lạc trực tiếp hoặc gián tiếp: qua email, điện thoại, bàn tiếp tân … yêu cầu tiết lộ thông tin để phỏng vấn, điều tra hoặc là nhân viên công ty nhưng quên mật khẩu). Phải báo ngay cho quản lý, người giám sát về hành vi trên.
Tất cả nhân viên phải được tập huấn quy trình bảo đảm an toàn thông tin từ khi bắt đầu trở thành nhân viên.
Bộ phận quản lý thông tin có quyền giám sát việc sử dụng internet của tất cả các thiết bị đang kết nối với mạng của công ty.
Thông tin chi tiết về thời gian, nội dung của phiên kết nối mạng của nhân viên công ty với internet bao gồm: duyệt web, nhắn tin instant message, email, trao đổi , chia sẻ tập tin phải được cung cấp cho nhân viên của bộ phận IT khi có yêu cầu.
Bộ phận IT có toàn quyền ngăn chặn, giới hạn các trang web, giao thức trao đổi thông tin không phù hợp với công ty. Nội dung và quy định ngăn chặn, giới hạn của bộ phận IT do ban Giám đốc công ty quy định chi tiết.
4.2.2.3. Chấm dứt và thay đổi việc làm
Tất cả các nhân viên, nhà thầu và người sử dụng của bên thứ ba phải trả lại tất cả các
Tài sản của tổ chức sở hữu của họ khi kết thúc làm việc, hợp đồng hoặc thỏa thuận của họ.
Chính sách:
Sau khi kết thúc hợp đồng, nhân viên, nhà thầu, người sử dụng bên thứ 3 có trách nhiệm bàn giao lại toàn bộ tài sản thuộc sở hữu của công ty.
Có trách nhiệm đảm bảo việc hủy bỏ quyền truy cập trước khi kết thúc hợp đồng. Nếu chưa, phải báo ngay cho bộ phận chuyên trách.
Khi nhân viên thay đổi vị trí làm việc trong công ty, nhân viên phải có trách nhiệm trả lại những bàn giao lại tài sản không thuộc sở hữu cá nhân cho nơi làm việc.
Có trách nhiệm đảm bảo việc hủy bỏ quyền truy cập vào phòng ban, thông tin có liên quan đến vị trí cũ.