Đang tải... (xem toàn văn)
Chính sách ATTT đặc thù cho nội dung sử dụng thiết bị cá nhân kết nối hệ thống mạng công ty. Statement of policy (Tuyên bố về chính sách), 2.Authorized access and usage of equipment: quyền truy cập và sử dụng thiết bị, Prohibited use of equipment Cấm sử dụng thiết bị, Systems management – Quản lý hệ thống, 5.Violations of policy Vi phạm chính sách, Policy review and modification Rà soát và sửa đổi chính sách, Limitations of liability Hạn chế trách nhiệm pháp lý
Bài làm: Viết sách ATTT đặc thù cho nội dung sử dụng thiết bị cá nhân kết nối hệ thống mạng công ty Trả lời: Statement of policy (Tuyên bố sách) a Phạm vi khả áp dụng - Áp dụng cho toàn người truy cập vào hệ thống mạng công ty, bao gồm: ban quản trị, nhân viên phòng ban làm việc công ty b Định nghĩa công nghệ giải - Hệ thống mạng cơng ty quản lý Phịng Cơng nghệ Thông tin - Công ty sử dụng mạng cục bộ, yêu cầu nhân viên phải truy cập vào máy tính đăng nhập tài khoản mà công ty cung cấp c Trách nhiệm - Cơng ty có trách nhiệm cung cấp đầy đủ thông tin liên quan, bao gồm tài khoản đăng nhập hướng dẫn sử dụng hệ thống mạng - Mọi vấn đề phát sinh liên quan đến hệ thống mạng công ty phải trình bày báo với phận Cơng nghệ Thông tin công ty Authorized access and usage of equipment: quyền truy cập sử dụng thiết bị a Người dùng truy cập - Người dùng công ty mà họ làm việc - Mỗi người có tài khoản đăng nhập riêng, khơng sử dụng chung với tài khoản đăng nhập khác b Sử dụng hợp lý có trách nhiệm - Có trách nhiệm tự bảo quản thiết bị cá nhân lúc sử dụng - Chỉ kết nối hệ thống máy công ty làm việc - Mang theo thiết bị cá nhân bạn c Bảo vệ quyền riêng tư -Kiểm tra đảm bảo liệu thiết bị cá nhân bảo mật, tránh tình trạng cắp thơng tin -Mỗi người dùng có mật khẩu, tên đăng nhập riêng đăng nhập vào hệ thống mạng công ty phải gửi mã SMS, OTP Số điện thoại cá nhân người dùng - Mật phải thay đổi tháng / lần để đảm bảo tính an tồn - Khi kết thúc cơng việc cơng ty, nhân viên phải tài khoản hệ thống mạng công ty Prohibited use of equipment - Cấm sử dụng thiết bị: a Disruptive use or misuse - Sử dụng bừa bãi lạm dụng - Các nhân viên phận, phòng ban không sử dụng thiết bị cá nhân kết nối vào mạng dùng cho mục đích riêng làm việc trường hợp khẩn cấp (phải báo cho trưởng ban phận Công nghệ Thông tin để trách gây hại cho hệ thống mạng) - Tránh khỏi khu vực làm việc thực cần thiết, trường hợp nên khỏi hệ thống mạng công ty - Hệ thống mạng cơng ty giới hạn thời gian truy cập vào ngày hết làm việc hệ thống không cho phép kết nối b Criminal use - Sử dụng phạm pháp - Mỗi cá nhân không phép cho người khác sử dụng thiết bị cá nhân hay tài khoản đăng nhập - Không cố gắng truy cập hình thức để lấy thơng tin từ máy người khác hay thông tin công ty c Offensive or harassing materials - Dùng để xúc phạm hay quấy rối - Sử dụng thiết bị cá nhân nghỉ thích hợp, khơng gây ảnh hưởng đến người xung quanh d Copyrighted, licensed, or other intellectual property - Có quyền, cấp phép tài sản trí tuệ khác ) - Nghiêm cấm hành vi cung cấp thông tin phương thức kết nối mạng công ty bên ngoài, tạo hội người truy cập vào hệ thống mạng công ty - Thiết bị cá nhân phải đặt mật tốt truy cập phương thức mã hóa e Other restrictions - Các giới hạn khác - Không dùng thiết bị kết nối mạng công ty truy cập vào trang web, đường dẫn khơng thức, có dấu hiệu nghi ngờ - Không sử dụng hệ thống mạng công ty để đăng nhập vô mạng xã hội cá nhân - Liên hệ với trưởng ban Phòng Cơng nghệ Thơng tin có đường link lạ gửi qua email Systems management – Quản lý hệ thống a Management of stored materials – Quản lí việc lưu trữ tài liệu - Lưu tất nội dung vào mạng định công ty, không lưu vào thiết bị cá nhân - Tất tài liệu/hồ sơ tải máy phải lưu tệp riêng có đặt mật b Employee monitoring – Giám sát nhân viên - Mọi hoạt động nhân viên làm việc hệ thống mạng công ty lưu lại kiểm tra phận IT - Phịng làm việc ln đảm bảo hệ thống camera để giám sát tiến trình làm việc phát hành động khả nghi c Virus protection – Phòng ngừa vi-rút - Thiết bị cá nhân cần bảo vệ giải pháp chống virus Các ứng dụng chống virus phải cập nhật phiên - Không sử dụng thiết bị kết nối mạng công ty để tải phần mềm, liệu không rõ nguồn gốc truy cập trang web đáng nghi - Không kết nối thiết bị cá nhân có kết nội mạng cơng ty với USB chưa xác thực độ an toàn d Physical security – Bảo mật vật lý - Không cho người thân bạn bè mượn thiết bị dùng để làm việc hệ thống mạng công ty - Thiết bị cá nhân phải đảm bảo có chủ sở hữu sử dụng cách đặt mật Nhân viên không chia sẻ mật với kể bạn bè người thân e Encryption – Mã hóa - Tất tệp tài liệu quan trọng gửi qua email phải mã hóa gửi dạng tệp đính kèm - Đảm bảo mã hóa tất liệu mật sử dụng thiết bị cá nhân Violations of policy - Vi phạm sách a Procedures for reporting violations - Các thủ tục báo cáo vi phạm - Nếu phát có người cố ý dùng thiết bị cá nhân truy cập vào mạng máy tính cơng ty chưa ủy quyền sử dụng sai mục đích làm việc, ảnh hưởng đến tính bảo mật thơng tin cơng ty, phải báo cáo với Trưởng phòng Phịng Cơng nghệ Thơng tin (thơng tin người báo cáo giữ bí mật) - Tiến hành ấn vào mục báo cáo website công ty trình báo cụ thể, thơng tin danh tính người khai báo ẩn danh giữ bí mật b Penalties for violations - Xử phạt vi phạm - Nếu phát vi phạm mà không khai báo, bị phát giác tùy vào mức độ ảnh hưởng mà xử phạt hành đình tạm thời - Người vi phạm vô ý sử dụng thiết bị cá nhân làm ảnh hưởng đến bảo mật thông tin cơng ty bị xử phạt hành theo quy định pháp luât - Người cố ý vi phạm xét theo mức độ thiệt hại mà có biện pháp xử lý thích đáng, chí đuổi việc bồi thường thiệt hại cho công ty Policy review and modification - Rà sốt sửa đổi sách a Scheduled review of policy procedures for modification - Xem xét lịch trình thủ tục để sửa đổi - Thay đổi thủ tục dựa thay đổi công nghệ thiết lập theo thủ tục ban đầu khơng cịn an tồn hay có thay đổi cải tiến hệ thống mạng công ty - Tiến hành rà soát sửa đổi thủ tục định kỳ cho phù hợp - Nhân viên phát sai xót hệ thống hạn chế sách cơng ty ban hành liên hệ Trưởng phịng phận Cơng nghệ Thơng tin để kịp thời sửa đổi làm cải thiện máy công ty b Legal disclaimers - Từ chối chịu trách nhiệm pháp lý - Công ty không chịu trách nhiệm nhân viên dùng thiết bị cá nhân gây hại cho an tồn bảo mật thơng tin cơng ty - Nhân viên chịu trách nhiệm hoàn toàn, bị kỷ luật thích hợp đuổi việc cần thiết Limitations of liability - Hạn chế trách nhiệm pháp lý a Statements of liability - Tuyên bố trách nhiệm pháp lý - Nhân viên có trách nhiệm tn thủ sách công ty, sử dụng thiết bị cá nhân cách có đạo đức - Nhân viên tự chịu trách nhiệm thiết bị cá nhân mình, bảo quản tốt tránh để bị thông tin công ty b Other disclaimers as needed - Từ chối trách nhiệm khác có - Nếu vơ tình thiết bị cá nhân bị mất, làm lộ thơng tin nhân viên phải báo cáo cho phận Công nghệ Thơng tin để bị kỷ luật thích đáng - Công ty không chịu trách nhiệm dù vơ tình hay cố ý vi phạm