SEUM
Chính sách công ty Chính sách bảo mật thông tin

Chính sách bảo mật thông tin

1. Mục đích
Chính sách An ninh Thông tin này nhằm bảo vệ tính bảo mật, toàn vẹn và sẵn sàng của các tài sản thông tin của Công ty, bao gồm dữ liệu cá nhân, dữ liệu quan trọng cho doanh nghiệp và tài sản trí tuệ. Nó phác thảo các nguyên tắc và trách nhiệm để bảo vệ hệ thống thông tin khỏi truy cập trái phép, tiết lộ, thay đổi và phá hủy.​

2. Phạm vi
Chính sách này áp dụng cho tất cả nhân viên, nhà thầu, nhà cung cấp và bất kỳ bên thứ ba nào truy cập hoặc quản lý hệ thống thông tin hoặc dữ liệu của Công ty, bất kể vị trí hoặc thiết bị.​

3. Mục tiêu An ninh Thông tin

  • Ngăn chặn truy cập trái phép vào hệ thống thông tin.

  • Đảm bảo tính toàn vẹn và sẵn sàng của thông tin.

  • Bảo vệ dữ liệu cá nhân và nhạy cảm tuân thủ các yêu cầu pháp lý và quy định.

  • Thúc đẩy văn hóa nhận thức về an ninh trong toàn tổ chức.​

4. Vai trò và Trách nhiệm

  • Ban lãnh đạo chịu trách nhiệm thực thi chính sách an ninh và cung cấp các nguồn lực cần thiết.

  • Nhân viên phải tuân thủ các chính sách an ninh, tham gia đào tạo bắt buộc và báo cáo các sự cố.

  • Phòng CNTT quản lý các công nghệ an ninh, giám sát các lỗ hổng hệ thống và phản ứng với các vi phạm an ninh.​

5. Kiểm soát Truy cập

  • Quyền truy cập vào hệ thống thông tin được cấp dựa trên vai trò và nhu cầu kinh doanh.

  • Xác thực đa yếu tố được yêu cầu cho các hệ thống quan trọng.

  • Quyền truy cập của người dùng được xem xét định kỳ và thu hồi kịp thời khi có thay đổi vai trò hoặc chấm dứt hợp đồng.​

6. Phân loại và Xử lý Dữ liệu

  • Tất cả dữ liệu của công ty được phân loại (ví dụ: Công khai, Nội bộ, Bảo mật, Hạn chế).

  • Dữ liệu nhạy cảm và cá nhân phải được mã hóa khi lưu trữ và truyền tải.

  • Dữ liệu chỉ được lưu trữ trên các nền tảng được phê duyệt và bảo mật.​

7. An ninh Mạng và Hệ thống

  • Tường lửa, hệ thống phát hiện xâm nhập (IDS) và giải pháp chống vi-rút được triển khai và cập nhật thường xuyên.

  • Các bản vá và cập nhật hệ thống phải được áp dụng thường xuyên.

  • Truy cập từ xa phải được bảo mật qua VPN và các công cụ được công ty phê duyệt.​

8. Phản ứng với Sự cố

  • Tất cả nhân viên phải báo cáo ngay lập tức các vi phạm hoặc sự cố an ninh nghi ngờ.

  • Một nhóm phản ứng sự cố (IRT) sẽ điều tra và thực hiện các hành động phù hợp.

  • Bài học rút ra từ các sự cố được sử dụng để tăng cường các biện pháp kiểm soát an ninh.​

9. Kế hoạch Duy trì Hoạt động và Khôi phục sau Thảm họa

  • Các quy trình sao lưu được thiết lập cho dữ liệu quan trọng.

  • Kế hoạch duy trì hoạt động và khôi phục sau thảm họa được duy trì và kiểm tra định kỳ.​

10. Đào tạo và Nhận thức

  • Đào tạo nhận thức về an ninh thường xuyên là bắt buộc đối với tất cả nhân viên.

  • Đào tạo chuyên biệt được cung cấp cho nhân viên xử lý dữ liệu nhạy cảm hoặc được điều chỉnh.​

11. Tuân thủ và Kiểm toán

  • Công ty tuân thủ các yêu cầu pháp lý và quy định liên quan, bao gồm các luật bảo vệ dữ liệu.

  • Các cuộc kiểm toán nội bộ và bên ngoài được thực hiện thường xuyên để đánh giá các biện pháp kiểm soát an ninh và đảm bảo tuân thủ chính sách.​

12. Xem xét Chính sách
Chính sách này sẽ được xem xét hàng năm hoặc khi có sự kiện an ninh đáng kể hoặc thay đổi quy định.

In
Đóng