QUY TRÌNH AN NINH THÔNG TIN

PROCUDURE OF INFORMATION SECURITY

MS: Ngày hiệu lực 01/08/2013 Lần sửa đổi 0 Trang/Tổng 1 /6

Phân phối tới bộ phận:

Ban Giám đốc Phòng/BP QA/QC
Phòng/BP HC&NS Phòng/BP QLSX
Phòng/BP tài chính & kế toán Phòng/BP mua hàng
Phòng/BP kỹ thuật Phòng/BP cơ điện
Phòng/BP XNK Phòng/BP Compliance/ISO/COC
Phòng/BP kho
Phòng/BP kế hoạch/merchandiser

Bảng Theo Dõi Sửa Đổi Tài Liệu

Người sửa Người duyệt
Ngày sửa đổi Nội dung sửa đổi (ký & ghi rõ họ tên) (ký & ghi rõ họ tên) Ghi chú

Trưởng bộ phận
Người biên soạn Trg/Phó ban ISO-COC (Tổng) Giám đốc

Chữ ký

Họ và Nguyễn Hồng Minh Nguyễn Hồng Minh Hồ Anh Thứ

Nguyễn Hồng Minh
tên
 Chương I
QUY ĐỊNH CHUNG
Điều 1. Các khái niệm sau đây trong văn bản này được hiểu như sau:
1.1. Bí mật kinh doanh là thông tin thu được từ hoạt động đầu tư tài chính, trí tuệ, chưa được bộc lộ
và có khả năng sử dụng trong kinh doanh, quy định trong Luật sở hữu trí tuệ.
Quyền sở hữu công nghiệp đối với bí mật kinh doanh được xác lập trên cơ sở đầu tư tài chính, trí tuệ hay
bất kỳ cách thức hợp pháp nào để tìm ra, tạo ra hoặc đạt được thông tin và bảo mật thông tin tạo thành bí mật
kinh doanh đó mà không cần thực hiện thủ tục đăng ký.
1.2. Thông tin bảo mật của Công ty là thông tin về sản phẩm, giá thành sản phẩm, về khách hàng, bí
quyết kinh doanh, tài chính, chiến lược, kế hoạch kinh doanh, quy trình kinh doanh, bản mô tả đặc điểm kỹ
thuật của sản phẩm, tính năng của sản phẩm, hình vẽ hoặc hình vẽ phác thảo kỹ thuật, thông số kỹ thuật, giá
mua nguyên vật liệu thô, các nhà cung cấp, các cơ sở, cơ cấu tiền lương, thưởng của Công ty, mã nguồn, mã
máy, cơ sở dữ liệu, hợp đồng chứa các chi tiết về ràng buộc thị trường, tài liệu quảng cáo hay tiếp thị đang được
xây dựng… có giá trị thương mại mà Công ty phải đầu tư nhiều công sức để tạo ra, tìm ra hoặc những thông tin
bí mật khác mà nếu bị lộ có thể gây ra cạnh tranh không lành mạnh.
1.3. Mẫu sản phẩm là các loại mẫu mã được Công ty sáng tạo ra để chào hàng và đưa vào sản xuất.
1.4. Gửi thông tin ra bên ngoài là gửi những thông tin được quy định trong khoản 1.2 cho người
không phải là nhân viên trong Công ty.
Điều 2. Đối tượng áp dụng
Quy định này áp dụng đối với tất cả các bộ phận, cá nhân trong Công ty có liên quan đến bảo mật dữ liệu
của Công ty. Các nhà cung cấp, các cơ sở, các cá nhân khác… được gọi là đối tượng ngoài Công ty.
Chương II
QUẢN LÝ THÔNG TIN BẢO MẬT

Điều 3: Tiếp cận và sử dụng thông tin bảo mật

3.1. Các thông tin bảo mật được tiếp cận và sử dụng
3.1.1. Bộ phận Marketing
- Thông tin về khách hàng
- Thông tin giá ngoại
- Thông tin giá nội
- Thông tin chi phí sản xuất
- Kế hoạch xuất hàng
- Thông tin về mẫu sản phẩm: Hình ảnh mẫu, các thông số kỹ thuật, chất liệu sản phẩm…
3.1.2. Bộ phận Phát triển – Sản xuất
- Thông tin giá nội
- Thông tin về chi phí sản xuất
- Thông tin các cơ sở sản xuất
- Thông tin các chứng từ thanh toán
- Thông tin các hợp đồng PI
- Thông tin về mẫu sản phẩm: Hình ảnh mẫu, các thông số kỹ thuật, chất liệu sản phẩm…
- Thông tin triển khai đơn hàng
- Kế hoạch xuất hàng
3.1.3. Bộ phận Kế toán – Nhân sự
3.1.3.1. Bộ phận Kế toán
- Thông tin về khách hàng
- Thông tin giá ngoại
- Thông tin giá nội
- Thông tin chi phí sản xuất
- Thông tin các cơ sở sản xuất
- Thông tin tài chính công ty
- Thông tin các chứng từ thanh toán
- Thông tin các hợp đồng kinh tế
- Thông tin về hồ sơ thuế, hồ sơ quản trị
- Thông tin triển khai đơn hàng
 3.1.3.2. Nhân sự
- Thông tin hồ sơ nhân viên
3.1.4. Bộ phận Xuất nhập khẩu
- Thông tin về khách hàng
- Thông tin giá ngoại
- Thông tin các cơ sở sản xuất
- Thông tin các chứng từ thanh toán
- Thông tin triển khai đơn hàng
- Kế hoạch xuất hàng
3.1.5. Bộ phận kho hàng
- Kế hoạch xuất hàng
- Thông tin triển khai đơn hàng
- Thông tin hồ sơ công nhân kho
3.2. Các trường hợp bị hạn chế
3.2.1. Bộ phận Marketing
- Không được tiết lộ thông tin khách hàng, giá ngoại cho tất cả các bộ phận trong công ty và đối tượng
bên ngoài công ty (ngoại trừ bộ phận kế toán và bộ phận xuất nhập khẩu)
- Không giao dịch với các cơ sở nội
3.2.2. Bộ phận Phát triển - Sản xuất
- Không được tiết lộ thông tin về giá, các cơ sở, mẫu mã sản phẩm ra bên ngoài.
- Không được cung cấp giá cả hàng hóa của các đơn vị làm hàng cho Công ty với các cơ sở khác, với
người khác.
- Không cung cấp thông tin cơ sở, giá cả của các đơn vị làm hàng cho Công ty với những bộ phận không
liên quan trừ khi có xác nhận của cấp trên.
- Khi chuyển các thông tin xuống các bộ phận liên quan cần xóa các dữ liệu về giá cả và các thông tin
quan trọng khác như về số liệu, thông tin cơ sở.
3.2.3. Bộ phận Kế toán – Nhân sự
- Không được tiết lộ thông tin về hồ sơ thuế, hồ sơ quản trị cho bất cứ bộ phận nào khác trong Công ty
(trừ thông tin của bộ phận nào cung cấp cho kế toán thì không phải bảo mật ở bộ phận đó) cũng như ra bên
ngoài.
- Cài mật khẩu cho các phần mềm sử dụng ngân hàng, thuế.
- Giữ bí mật tuyệt đối thông tin về lương của các nhân viên trong Công ty.
- Bảo mật hồ sơ nhân viên, không tiết lộ thông tin cá nhân của các đồng nghiệp cho bất kỳ ai ngoại trừ
Giám đốc Công ty.
3.2.4. Bộ phận Xuất nhập khẩu
-  Không được tiết lộ thông tin khách hàng, giá ngoại cho tất cả các bộ phận trong công ty và đối tượng
bên ngoài công ty (ngoại trừ bộ phận kế toán và bộ phận Marketing).
- Không được tiết lộ thông tin các cơ sở, các chứng từ thanh toán cho tất cả các bộ phận trong công ty và
đối tượng bên ngoài công ty (ngoại trừ bộ phận kế toán )
3.2.5. Bộ phận Kho hàng
- Không tiết lộ thông tin mẫu mã, quy cách hàng hóa, khách hàng ngoại, nhà cung cấp nội, các cơ sở xuất
nhập hàng hóa, tình hình xuất nhập hàng hóa cho các bộ phận không liên quan, trừ khi có sự cho phép của cấp
trên.
3.3. Các trường hợp tiếp cận và sử dụng thông tin bảo mật không quy định tại khoản 3.1 thì trưởng
của các Phòng ban, Bộ phận sử dụng thông tin mật phải đề xuất việc sử dụng thông tin mật lên cấp quản lý cao
hơn trực tiếp và chỉ được quyền tiếp cận, sử dụng thông tin khi đã được sự phê duyệt của cấp quản lý đó.
Điều 4: Quy trình gửi thông tin ra bên ngoài
4.1.
- Chỉ một người được quyền sử dụng USB do Giám đốc trực tiếp phân công, khóa tất cả các cổng USB
trong hệ thống máy tính của Công ty.
- Việc gửi thông tin ra bên ngoài cần phải phê duyệt trước bởi cấp quản lý cao hơn dưới dạng một mẫu
biểu có sẵn.
4.2. Các phương tiện gửi thông tin ra bên ngoài
 - USB: Chỉ cho 1 người duy nhất trong Công ty có quyền sử dụng USB (do GĐ trực tiếp phân công),
khóa các cổng USB trong hệ thống máy tính của Công ty.
- Mail: Trước khi gửi bất cứ mail nào đều phải cc cho trưởng bộ phận, GĐ.
- Yahoo: Không được sử dụng.
- Skype: chỉ sử dụng skype công ty cung cấp, không được đổi pass, không xoá lịch sử skype.
- Các trang mạng: Nghiêm cấm việc lưu trữ thông tin, cung cấp thông tin của Công ty trên các trang mạng
trừ khi có chỉ định của Giám đốc.
- Không sử dụng skype cá nhân, facebook, yahoo, email cá nhân tự lập trong giờ làm việc (hoặc ngoài giờ
làm việc nhưng tại văn phòng làm việc, trong giờ làm việc nhưng đi công tác bên ngoài) bằng bất cứ
phương tiện nào, (trừ trường hợp có chỉ thị của Ban Giám đốc);
Điều 5:
5.1. Chế độ mật khẩu
- Mật khẩu máy tính
- Mật khẩu email
- Mật khẩu tệp dữ liệu
Mật khẩu máy tính và email do quản trị viên hoặc trưởng bộ phận (do Giám đốc chỉ định) lập, quản lý
và sửa đổi. Các ngyên tắc cơ bản khi sử dụng mật khẩu máy tính:
- Ít nhất 06 ký tự gồm cả chữ và số, không tạo những mật khẩu mà người khác có thể đoán được như: họ
tên, ngày sinh…
- Thay đổi ít nhất 3 tháng 1 lần, và khi có sự thay đổi nhân sự, khi thay đổi thì phải có mẫu biểu ghi lại
ngày, giờ lập, người lập, lập cho ai.
- Không bao giờ để máy tính lại trong khi vẫn đang đăng nhập, khi đi ra ngoài thì phải khóa máy.
5.2. Bảo mật thông tin phần mềm kế toán
Thông tin phần mềm kế toán phải được quản lý và sử dụng theo nguyên tắc sau:
- Phần mềm kế toán được cài đặt trên máy chủ đặt tại văn phòng công ty và chạy trên mạng LAN công ty.
- Kế toán trưởng sẽ cấp và phân quyền sử dụng cho từng người sử dụng theo yêu cầu công việc.
- Mỗi người được cấp và phân quyền sử dụng phần mềm phải quản lý pass word và chịu trách nhiệm về
user mình quản lý.
- Chỉ những người được phân công sử dụng phần mềm kế toán mới được truy cập và truy xuất thông tin
từ phần mềm theo yêu cầu được giao.
- Tất cả sửa chữa phải thông qua kế toán trưởng.
- Số liệu phần mềm kế toán phải được backup 1 tuần 1 lần vào cuối ngày thứ 7 hàng tuần.
- Sau mỗi năm tài chính kết thúc, số liệu trên phần mềm kế toán sẽ được in ra và lưu trữ theo dạng sổ và
báo cáo tổng hợp theo năm.
5.3. Chế độ email
5.3.1. Khởi tạo Email cho nhân viên mới
- Nhân viên hệ thống văn phòng khi vào làm việc, trong vòng 5 ngày trưởng bộ phận của nhân viên đó
phải yêu cầu IT lập Email.
5.3.2. Trách nhiệm của IT
- Khi được yêu cầu lập mail từ trưởng các bộ phận, nhân viên IT có trách nhiệm lập 01 email cho nhân
viên đó và gửi lại cho trưởng bộ phận gồm email và pass.
- Khi được yêu cầu khóa mail từ trưởng các bộ phận, IT có trách nhiệm khóa email ngay lập tức.
5.3.3. Trách nhiệm của trưởng bộ phận
- Giữ pass email của nhân viên, đăng nhập sẵn vào máy tính của nhân viên đó (cả máy tính bàn và máy
tính xách tay).
- Khi nhân viên nghỉ việc thì phải báo IT khóa mail.
- Trường hợp nhân viên chuyển sang bộ phận khác thì lập email mới (nếu cần) hoặc bàn giao email và
pass cho trưởng bộ phận mới.
5.3.4. Trách nhiệm của nhân viên
- Khi nhân viên có nhu cầu sử dụng email ngoài giờ làm việc mà không bằng máy tính làm việc của mình
thì phải đề nghị với trưởng bộ phận mình để được cấp pass sử dụng.
Điều 6: Trách nhiệm của các trưởng bộ phận
Phải thực hiện những quy định sau:
6.1. Đánh dấu tài liệu
 - Đánh dấu “Không sao chép” cho những tài liệu thuộc quyền quản lý riêng của một nhân viên hoặc bộ
phận mình.
- Đánh dấu “Bảo mật đối với bên thứ ba” với những thông tin không được phép để lộ ra bên ngoài như:
thông tin khách hàng, mẫu sản phẩm, các thông số mẫu, giá sản phẩm…
- Đánh dấu “Chỉ cấp cho… ” đối với những tài liệu, những sản phẩm chỉ cấp cho một đối tượng nào đó.
- Đánh dấu: “Tối đa”, “Trung bình”, “Hạn chế”, “Tối thiểu” tùy thuộc vào mức độ mật của các tài liệu,
các sản phẩm.
6.2. Tạo mẫu biểu xác nhận: Với những loại tài liệu, thông tin cần sử dụng để đưa ra bên ngoài cho
những đối tượng không thuộc Công ty thì trưởng bộ phận phải lập 1 mẫu biểu để xác nhận và xin xác nhận của
cấp trên và những bộ phận có liên quan và có trách nhiệm lưu trữ mẫu biểu đã được xác nhận đó.
Điều 7: Bảo mật thông tin trong trường hợp nghỉ việc của viên nhân
- Thực hiện bàn giao toàn bộ công việc, hồ sơ, giấy tờ. Quán triệt lại nghĩa vụ bảo mật thông tin trước khi
nhân viên nghỉ việc, cam kết thực hiện đúng các nội dung đã ký kết trong quy định bảo mật.
Điều 8: Kiểm tra thông tin
Nhân viên làm việc tại Công ty được trang bị máy tính và các công cụ làm việc khác phù hợp cho công
việc. Công ty được quyền sở hữu thông tin và các sản phẩm mà nhân viên tạo ra trong thời gian làm việc tại
Công ty. Công ty được quyền truy xuất, kiểm tra các thông tin, các sản phẩm bất cứ lúc nào theo yêu cầu của
Giám đốc.
Chương III
XỬ LÝ VI PHẠM
Điều 9:
Các bộ phận, cá nhân có hành vi vi phạm các yêu cầu về bảo mật quy định trong Quy định này, thì sẽ tuỳ
theo mức độ vi phạm bị xử lý theo quy định của Pháp luật và Quy định của Công ty như sau:
9.1. Nhân viên làm việc tại một doanh nghiệp có trách nhiệm bảo vệ tài sản, bí mật công nghệ và
kinh doanh của doanh nghiệp đó. Nếu nhân viên vi phạm hành vi tiết lộ bí mật công nghệ và kinh doanh, nhân
viên đó sẽ chịu hình thức kỷ luật là sa thải.
9.2. Nhân viên có năng lực về kỹ thuật và kỹ năng chuyên môn cao mà tiết lộ bí mật công nghệ và
kinh doanh phải chịu trách nhiệm về việc bồi thường cho các thiệt hại đã gánh chịu.
9.3. Nội quy Công ty, người lao động bị sa thải do có hành vi trộm cắp, tham ô, tiết lộ bí mật công
nghệ, kinh doanh hoặc có hành vi khác gây thiệt hại nghiêm trọng về tài sản, lợi ích của Công ty.
9.4. Trong trường hợp vi phạm nghiêm trọng có thể bị truy cứu Pháp luật Hình sự theo về tội cố ý
làm lộ bí mật công tác; tội chiếm đoạt, mua bán hoặc tiêu huỷ tài liệu bí mật công tác; điều 287 về tội vô ý làm
lộ bí mật công tác; tội làm mất tài liệu bí mật công tác.
Chương III
TỔ CHỨC THỰC HIỆN
Điều 10:
10.1. Các nhân viên trong Công ty phải tuân thủ đúng chế độ này.
10.2. Các trưởng Phòng ban, Bộ phận có trách nhiệm đôn đốc, kiểm tra, nhắc nhở và bảo đảm tất cả các
nhân viên trong Phòng ban, Bộ phận mình thực hiện tốt Quy định này.
10.3. Người được giao nhiệm vụ giám sát phải thực hiện báo cáo hàng tuần, hàng tháng kết quả thực hiện
Quy định này và đề xuất các hình thức xử lý.