IV. Hạn chế
3. An ninh nhân sự
103 3.1 Quy trình tuyển nhân viên TV
104 a, Thỏa thuận về bảo mật TT
105 • Phải tuân thủ quy trình tiếp nhận nhân viên của cơ quan TT1 0.70 106 • Các nhân viên phải ký vào biên bản thoả thuận về bảo mật ngay khi được
nhận. Thoả thuận này được coi như một phần của hợp đồng lao động.
TT2 0.70 107 • Các nhà tư vấn cần ký vào biên bản thoả thuận về bảo mật trước khi bắt đầu
công tác tư vấn.
TT3 0.65 108 • Các nhà tư vấn không cần phải ký vào các biên bản thỏa thuận về bảo mật,
nhưng các điều khoản về bảo mật phải được coi là một phần của hợp đồng tư
vấn.
TT4 0.45
109 b, Xác minh các mối quan hệ ZM
110 • Giấy giới thiệu và giấy chứng nhận của người lao động phải được kiểm tra một cách độc lập.
ZM1 0.40 ( 1 and 3 ) and ( TP1 exclusive or 2) 111 • Đối với các nhân viên được phép truy cập vào thông tin đã phân loại, cần phải
kiểm tra giấy giới thiệu cá nhân, bằng cấp và chứng nhận trình độ. Bộ phận nhân sự chịu trách nhiệm quyết định thông tin nào cần phải được xác minh.
ZM2 0.50
( 1 and 2) and ( 3 exclusive or 4)
112 • Bộ phận nhân sự chịu trách nhiệm xác minh danh tánh người xin việ, các mc ối quan hệ và trình độ. Các tiêu chuẩn kiểm tra cao hơn sẽđược áp dụng đối với các vị trí có trách nhiệm cao hơn và có tính nhạy cảm.
ZM3 0.55
113 c, Thu hồi quyền truy cập và các đặc quyền khi kết thúc hợp đồng lao
động.
TQ
114 • Phải thường xuyên cập nhật quy trình thu hồi các đặc quyền của nhân viên khi thôi việc.
TQ1 0.60 115 • Khi cho nhân viên thôi việc, kèm theo với quy trình thu hồi các đặc quyền
phải có một danh sách các cá nhân và bộ phận có liên quan cần được thông báo.
TQ2 0.50
116 3.2 Xử lý kỷ luật và phản ứng xự cố XK
117 a, Vi phạm các chính sách an ninh VP
118 • Không cho phép bất kỳ hành động nào phá hoại hệ thống an ninh. VP1 0.80 119 • Không cho phép tiến hành bất cứ thử nghiệm trái phép nào trên hệ thống an
ninh.
VP2 0.70 120 • Các trường hợp vi phạm của nhân viên sẽđược xử lý theo quy định của cơ
quan .
VP3 0.60 121 • Các hành vi cố ý phạm tội hoặc lặp lại nhiều lần cần phải bị xử lý sa thải thậm
chí bị xử lý hình sự theo pháp luật hiện hành .
VP4 0.75
122 b, Thông tin về phản ứng trước các sự cố TX
123 • Cơ quan phải thông báo về sự cố an ninh cho các bên bị tác động cảở bên ngoài lẫn nội bộ. Giám đốc An ninh (COS) phải phê chuẩn các thông báo gửi ra bên ngoài.
TX1 0.75
124 • Cơ quan phải thông báo kèm theo các dữ liệu về sự cố an ninh có thể xảy ra cho các bên bị tác động cảở bên ngoài lẫn nội bộ. Giám đốc Thông tin (CIO) phải phê chuẩn các thông báo gửi ra bên ngoài.
TX2 0.70
125 • Cơ quan phải thông báo rộng rãi và trung thực cho các bên có liên quan trong nội bọ và bên ngoài về các mối quan tâm có liên quan đến sự cố an ninh . Cán bộ truyền thông (Cummunications Officer) phải phê chuẩn các thông báo gửi ra bên ngoài.
TX3 0.65
126 3.3 Huấn luyện và đào tạo HL
127 a, Đào tạo về chính sách an ninh DT
128 • Tất cả các nhân viên mới phải được tiếp cận các chính sách an toàn thông tin của cơ quan vào ngày làm việc đầu tiên.
DT1 0.70 1 and 2 and 3 and 4 and 5 1 and 2
(1 and 2) or ( 3 and 4)
1 exclusive or 2 exclusive or 3
129 • Tất cả các nhân viên phải được đào tạo về chính sách an toàn thông tin của cơ
quan và các thông tin cơ bản cần thiết.
DT2 0.75 130 • Tất cả các người dùng IT phải được huấn luyện, đào tạo về chính sách an toàn
thông tin của cơ quan và các thông tin cần thiết có liên quan.
DT3 0.60 131 • Ở các vị trí có sử dụng thiết bị IT, nhân viên khi ký hợp đồng phải ký tên và
chấp thuận các điều khoản trong chính sách an ninh.
DT4 0.65 132 • Tất cả các người sử dụng hệ thống công nghệ thông tin phải thường xuyên
cập nhật các qui định trong chính sách an toàn thông tin của cơ quan.
DT5 0.65
133 b, Hướng dẫn cách phân cấp thông tin HD
134 • Tất cả các nhân viên phải được hướng dẫn cách phân cấp dữ liệu và tài liệu. HD1 0.50 135 • Tất cả các nhân viên phải được hướng dẫn cách phân loại và xử lý dữ liệu
trong mọi quy trình hoạt động của cơ quan.
HD2 0.50
136 3.4 Chính sách sử dụng Internet IN
137 a, Truy cập Internet TI
138 • Hệ thống mạng không được dùng để truy cập Internet. TI1 0.80 139 • Cho phép dùng hệ thống mạng để truy cập Internet. TI2 0.20 140 • Chỉ cho phép dùng hệ thống mạng truy cập Internet khi có công việc cần thiết
liên quan.
TI3 0.40 141 • Khi dùng kết nối Internet để duyệt web cần phải bảo đảm việc duyệt web của
cá nhân không gây trở ngại đến các hoạt động có liên quan đến việc sử dụng Internet của cơ quan.
TI4 0.30
142 b, Truy cập tới thiết bịđầu cuối DC
143 • Cho phép sử dụng phiên kết nối đã đượcbao vệ bằng mật mã như Secure Shell (SSH) từ mạng bên trong ra các mạng khác.
DC1 0.60 144 • Cho phép sử dụng các phiên kết nối không đượcbao vệ bằng mật mã (như
telnet) vào và ra mạng Intranet của cơ quan.
DC2 0.00 145 • Chỉ cho phép các cá nhân được phê chuẩn có quyền truy xuất vào hệ thống
của cơ quan qua Internet hay kết nối quay số nhưng phải sử dụng các biện pháp bảo mật như Secure Shell và Virtual Private Network. Tuy nhiên, ở các hệ
thống hoạt động trọng yếu có thể cấm hẳn việc truy cập từ xa. DC3 0.80 146 4. An ninh vật lý AV 147 4.1 Kiểm tra tổng quát KQ 1 exclusive or 2 1 exclusive or 2 exclusive or 3 exclusive or 4 1 exclusive or 2 exclusive or 3
148 a, Sử dụng khóa để bảo vệ khu vực làm việc KY
149 • Tất cả các cửa ra vào và cửa sổ phải được khóa ngay khi rời khỏi phòng làm việc.
KY1 0.50 150 • Tất cả các cửa sổ và cửa ra vào phải được khóa khi rời khỏi văn phòng. KY2 0.40 151 • Tất cả các cửa sổ và cửa ra vào phải được trang bị khóa. KY3 0.20 152 • Tất cả các cửa ra vào và cửa sổ ngoài phải được khóa vào cuối ngày làm việc.
Các cửa bên trong của văn phòng được bảo vệ, két sắt, cabin cũng phải được khóa đểđảm bảo an ninh. Người sau cùng rời khỏi nơi làm việc phải chịu trách nhiệm đảm bảo an ninh cho nơi đó.
KY4 0.30
153 b, Trách nhiệm kiểm soát truy cập vật lý TS
154 • Giám đốc an ninh (CSO) chịu trách nhiệm kiểm soát các truy cập vật lý bên trong phòng server và các khu vực đặt thiết bị công nghệ thông tin.
TS1 0.70 155 • Giám đốc Thông tin (CIO) có trách nhiệm đảm bảo an toàn vật lý đối với
phòng server và những khu vực khác có đặt thiết bị công nghệ thông tin.
TS2 0.50 156 •Trưởng phòng an ninh (ISM) chịu trách nhiệm quản lý quyền truy cập vật lý,
ví dụ như quản lý chìa khóa, đến các khu vực làm việc và những khu vực có thiết bị IT.
TS3 0.40
157 4.2 Bảo vệ hệ thống kỹ thuật BH
158 a, Cung cấp điện trong trường hợp khẩn cấp DK
159 • Tất cả các hệ thống trọng yếu phải được trang bị máy phát điện khẩn cấp,
đảm bảo công việc có thể tiến hành liên tục ít nhất trong 60 phút.
DK1 0.80 160 • Tất cả các hệ thống trọng yếu không sử dụng hệ thống dự phòng phải được
trang bị bộ cung cấp điện khẩn cấp với khả năng cấp điện ít nhất là 15 phút.
DK2 0.30
161 • Tất cả các hệ thống trọng yếu phải được trang bị máy phát điện khẩn cấp với thời gian cung cấp tối thiểu là 15 phút.
DK3 0.60
162 b, Phòng ngừa hỏa hoạn HH
163 • Phòng máy server phải được trang bịđầy đủ các thiết bị phòng chữa cháy. HH1 0.70 164 • Không cần thiết phải có các thiết bị chữa cháy. HH2 0.00 165 • Không được chứa các vật dễ cháy trong phòng server. HH3 0.30
166 4.3 Khu vực an ninh PZ
167 a, Qui tắc thay đổi mật khẩu cho các hệ thống kiểm soát truy cập QT
168 • Thay đổi mật khẩu theo từng quý QT1 0.40 ( 1 xor 3) or 2 or 4 2 exclusive or ( 1 and 3 ) (1 or 2 or 4 ) and 3 1 exclusive or 2 exclusive or 3 1 exclusive or 2 exclusive or 3
169 • Phải thay đổi mật khẩu nếu một nhân viên biết mật khẩu không còn làm việc trong cơ quan.
QT2 0.50
170 • Mật khẩu phải được thay đổi. QT3 0.20
171 • Mật khẩu phải được thay đổi khi nó bị tiết lộ ra ngoài cho bên thứ ba. QT4 0.50
172 b, Tiếp cận phòng server và các phương tiện cài đặt hệ thống IT TE
173 • Việc truy cập phải được kiểm soát bằng các hệ thống quản lý có sử dụng mật khẩu và các mật khẩu này chỉ có thểđược giao cho những nhân viên an ninh đã
được phê chuẩn .
TE1 0.70
174 • Giám đốc Thông tin (CSO) có trách nhiệm phê chuẩn những nhân viên có nhu cầu tiếp cận khu vực an ninh.
TE2 0.60
175 c, Phát hiện xâm nhập XN
176 • Cơ quan phải triển khai hệ thống báo động và giám sát cần thiết tại các khu vực có các hệ thống chứa thông tin bảo mật.
XN1 0.70 177 • Cơ quan phải triển khai đầy đủ hệ thống báo động và giám sát tại mọi nơi
trong trụ sở .
XN2 0.80 178 • Cơ quan phải triển khai đầy đủ hệ thống báo động tại những nơi làm việc
thích hợp.
XN3 0.60
179 4.4 Quản lý khách viếng thăm VT
180 a, Đăng ký danh sách khách viếng thăm RG
181 • Khách phải đăng ký tại bàn tiếp tân khi đến và phải đeo thẻ khách mời trên ngực khi ở trong cơ quan. Khách phải đăng ký khi rời khỏi cơ quan.
RG1 0.40 182 • Khách đến làm việc phải đăng ký tại phòng bảo vệ. RG2 0.20 183 • Khách đến làm việc phải đăng ký, khai báo danh tính và phải đăng ký lại khi
rời khỏi cơ quan, theo đúng quy trình dành cho khách.
RG3 0.30
184 b, Hoạt động của khách trong cơ quan AO
185 • Khi ở trong cơ quan, khách phải được một nhân viên hướng dẫn và phải đeo thẻ khách mời trên ngực
AO1 0.30 186 • Các phòng ban phải chịu trách nhiệm về khách của mình. Khách phải có kế
hoạch làm việc trước khi vào cơ quan. Trong phạm vi cơ quan, khách phải
được người của phòng ban đó hướng dẫn, và khi khách về phải đưa ra cửa.
AO2 0.40
187 • Khách có thểđi lại tự do trong cơ quan. AO3 0.00 188 • Khách chỉ có thểđi lại tự do trong khu vực dành cho khách. AO4 0.25 189 • Khách không được xâm nhập khu vực an ninh. AO5 0.30
1 and 2 2 exclusive or ( 1 or 3) ( 1 or 2) and ( 3 exclusive or( 4 or 5)) 1 exclusive or 2 exclusive or 3
190 4.5 Thẻ kiểm soát ra vào IO
191 a, Thẻ nhân viên CE
192 • Tất cả nhân viên phải đeo thẻ nhân viên hoặc thẻ ra vào ở nơi dễ quan sát khi
ở trong cơ quan.
CE1 0.30 193 • Ngoài giờ làm việc các nhân viên được phép ra vào cơ quan khi có thẻ CE2 0.10 194 • Ngoài giờ làm việc các nhân viên không được phép ra vào cơ quan CE3 0.35 195 • Thẻ ra vào mang tính cá nhân, phải được bảo vệ an toàn và không được trao
tay hay cho người khác mượn.
CE4 0.30
196 b, Quản lý thẻ ra vào MC 0.20
197 • Các loại thẻ ra vào đều mang tính cá nhân, chúng phải được bảo vệ an toàn và không được trao tay hay cho người khác mượn.
MC1 0.20
198 5. Vận hành hệ thống thông tin và quản lý mạng VQ
199 5.1 Quản trị thường nhật GT
200 a, Giám sát quy trình sao lưu dự phòng BK
201 • Khả năng phục hồi dữ liệu phải được kiểm tra một cách định kỳ trên những hệ
thống được cách ly và mỗi khi có bất cứ sự thay đổi nào trên hệ thống hoặc tiến trình làm ảnh hưởng đến việc sao lưu dự phòng.
BK1 0.70
202 b, Chức năng Firewall FW
203 • Tất cả các máy chủ phải sử dụng Firewall đểđảm bảo chỉ có các dịch vụ cần thiết mới có thểđược truy cập.
FW1 0.80 204 • Tất cả các máy chủ không cần sử dụng chức năng firewall FW2 0.05 205 • Tất cả các máy trạm phải sử dụng các chức năng Firewall. FW3 0.70
206 5.2 Xử lý phương tiện lưu trữ AS
207 a, Hủy bỏ và sử dụng lại các phương tiện lưu trữ CT 208 • Phòng CNTT có nhiệm vụ xóa hoặc tiêu hủy các thiết bị lưu trữ dữ liệu như
đĩa mềm, CD có chứa các thông tin bảo mật.
CT1 0.60 209 • Tất cả các thiết bị lưu trữ phải được xoá và định dạng (format) trước khi sử
dụng lại.
CT2 0.70 210 • Tất cả thiết bị lưu trữ có chứa các thông tin bảo mật, thông tin nội bộ hay
thông tin đã phân cấp phải được xóa hết dữ liệu trước khi tiêu hủy.
CT3 0.70 211 • Tất cảc các thiết bị lưu trữ dữ liệu phải được xoá thật cẩn thận bằng các quy
trình xóa dữ liệu đã được phê chuẩn, hoặc bị vô hiệu hóa trước khi bị tiêu hủy.
CT4 0.70
212 b, Bảo vệ các tài liệu của hệ thống NB
1 and ( 2 exclusive or 3) and 4
(1 exclusive or 2 ) and 3
213 • Tài liệu về hệ thống phải được lưu trữ ít nhất 10 năm. NB1 0.50 214 • Tài liệu về hệ thống không được lưu trữ NB2 0.00 215 • Tài liệu về hệ thống phải được lưu trữ ít nhất 5 năm. NB3 0.30
216 5.3 Lập và phê duyệt kế hoạch hoạt động cho hệ thống LP
217 a, Thiết kế hệ thống an ninh DS
218 • Vấn đề an ninh phải là một phần trong tất cả mọi kế hoạch triển khai và đảm bảo hoạt động của hệ thống.
DS1 0.50 219 • Các yêu cầu về an toàn thông tin phải được xem xét một cách đầy đủ trong
suốt quá trình lập kết hoạch, thiết kế, kiểm tra và triển khai các hệ thống mới hoặc khi có sự thay đổi trong hệ thống.
DS2 0.60
220 b, Quản lý dung lượng QU
221 • Nhân viên vận hành phải nắm các quy trình giảm thiểu rủi ro - kết quả của việc thiết bị ngừng hoạt động do thiếu hụt dung lượng.
QU1 0.20 222 • Phải lập kết hoạch quản lý qui mô và chủng loại cho tất cả các hệ thống IT để
tránh việc thiếu hụt về dung lượng khi vận hành, đồng thời cần phải liên tục theo dõi xu hướng gia tăng của dung lượng trong hệ thống.
QU2 0.30
223 5.4 Quản lý hệ thống mạng MH
224 a, Tiếp cận các điểm làm việc trên mạng TO
225 •Phòng CNTT có trách nhiệm giám sát việc tiếp cận đến các điểm đấu dây trên hệ thống mạng .
TO1 0.65 226 • Cần bảo đảm rằng không một đầu mối dư thừa nào của hệ thống mạng được
kết nối ra môi trường công cộng như phòng lễ tân, quán cà phê hoặc những nơi tương tự.
TO2 0.50
227 • Phòng CNTT phải giới hạn số lượng các điểm truy cập mạng . Chỉ những
điểm truy cập cụ thể, cần thiết kết nối vào hệ thống chung mới được truy cập và chia sẻ tài nguyên như khu vực tiếp tân, hội nghị, phòng hội thảo, phòng đào tạo.
TO3 0.55
228 b, Cài đặt thiết bị mạng NP
229 • Cấm cài đặt những thiết bị mạng khi chưa được giám đốc an ninh hoặc người
được ủy quyền chấp thuận.
NP1 0.70 (1 exclusive or 2 ) and 3 1 exclusive or 2 exclusive or 3 1 and 2