TRƯỜNG ĐẠI HỌC ĐIỆN LỰC

KHOA ĐIỆN TỬ - VIỄN THÔNG

BÁO CÁO TIỂU LUẬN

QUẢN TRỊ RỦI RO THÔNG TIN

Giảng viên hướng dẫn: Nguyễn Tuấn Anh

Sinh viên thực hiện: Phạm Nam Khánh - 20810540018
Phạm Quốc Huy -
Hoàng Khiên

Lớp: D15MVT&MT

Hà Nội, ngày 15 Tháng 5 Năm 2023

I. Viết một security policy cho một công ty/tổ chức nào đó (mức/level cao nhất
cho security policy, không cần viết các security policy cấp thấp hơn vì có quá
nhiều policy cấp thấp)

Chính sách bảo mật cho Công ty cổ phần VNG

1. Mục đích:
- Việc xây dụng chính sách bảo mật cấp cao này nhằm mục đích đảm bảo an ninh
thông tin, bảo vệ tài sản, dữ liệu quan trọng của công ty, khách hàng, và các bên
liên quan. Chính sách này áp dụng cho bất kỳ nhân viên của công ty, đối tác và bất
kỳ bên thứ ba nào có liên quan đến quyền truy cập hoặc sử dụng thông tin của
Công ty VNG.
2. Trách nhiệm và quyền riêng tư:
- Công ty VNG phải cam kết bảo vệ thông tin, dữ liệu của mình và đảm bảo rằng
nhân viên, đối tác và bên thứ ba đều nhận thức và tuân thủ các chính sách bảo mật.
Mọi cá nhân đều có trách nhiệm bảo vệ thông tin mà họ truy cập, sử dụng hoặc
quản lý của công ty.
- Cam kết bảo vệ dữ liệu khách hàng một cách an toàn và bảo mật. Mọi thông tin
cá nhân và dữ liệu khách hàng sẽ chỉ được sử dụng với mục đích cụ thể và được
bảo vệ theo quy định của pháp luật và chính sách bảo mật.
3. Bảo mật thông tin và xử lý vi phạm:
- Thực hiện các biện pháp bảo mật thông tin như mã hóa, xác thực định danh, kiểm
soát truy cập và giám sát hệ thống. Mọi hành vi trái phép hoặc nghi ngờ vi phạm
bảo mật thông tin sẽ được xử lý một cách nghiêm túc theo quy trình và quy định
của công ty.
- Công ty phải thiết lập quy trình xử lý sự cố bảo mật và vi phạm thông qua việc
thông báo, điều tra, khắc phục và phục hồi. Mọi sự cố hoặc vi phạm bảo mật sẽ
được xem xét một cách nghiêm túc và được báo cáo cho các bên liên quan theo
quy định.
4. Quản lý tài sản:
- Xác định và danh sách các tài sản quan trọng, bao gồm tài sản vật lý (máy tính,
máy chủ, thiết bị mạng, ổ cứng, USB, v.v.) và tài sản công nghệ thông tin (phần
mềm, ứng dụng, cơ sở dữ liệu, v.v.). Mỗi tài sản sẽ được gán cho một chủ sở hữu
và một người chịu trách nhiệm. Chủ sở hữu là người có quyền sở hữu hoặc quản lý
tài sản, trong khi người chịu trách nhiệm là người có trách nhiệm bảo vệ và duy trì
tài sản đó.
- Thiết lập và duy trì các biện pháp bảo vệ tài sản vật lý và công nghệ thông tin,
bao gồm cả phòng máy chủ, hệ thống mạng và thiết bị. Mọi tài sản công ty phải
được quản lý, bảo vệ và bảo dưỡng một cách thích hợp.
5. Quản lý và kiểm tra quyền truy cập:
- Thiết lập các chính sách và quy trình cho việc quản lý truy cập vào các hệ thống
và dữ liệu quan trọng. Xác thực định danh, mã hóa và kiểm soát truy cập sẽ được
áp dụng để đảm bảo rằng chỉ có những người được ủy quyền mới có thể truy cập
vào tài sản quan trọng.
- Luôn thực hiện kiểm tra, đánh giá và đánh giá liên tục để đảm bảo hiệu quả của
chính sách bảo mật. Các biện pháp bảo mật sẽ được xem xét và điều chỉnh định kỳ
để đảm bảo rằng chúng phù hợp với môi trường công nghệ và nguy cơ mới. Mọi
thiết bị truy cập cũng như phòng máy chủ, hệ thống mạng phải luôn luôn được cập
nhật định kỳ và có phương án dự phòng nếu xảy ra rủi ro.
6. Đào tạo và nhận thức:
- Công ty VNG có trách nhiệm cam kết đào tạo và nâng cao nhận thức bảo mật cho
tất cả nhân viên và đối tác. Tất cả nhân viên mới sẽ tham gia khóa đào tạo về chính
sách bảo mật cấp cao ngay sau khi gia nhập công ty. Đào tạo này sẽ giúp họ hiểu
về các quy định bảo mật, nguyên tắc, tiêu chuẩn và quy trình trong công ty.
- Cung cấp các khóa đào tạo định kỳ và liên tục về bảo mật thông tin. Đào tạo này
sẽ bao gồm những cập nhật mới nhất về các mối đe dọa bảo mật, biện pháp phòng
ngừa và cách xử lý sự cố bảo mật. Ngoài ra, nhân viên cũng sẽ được đào tạo về
quy định mới và các thay đổi trong lĩnh vực bảo mật.
- Tiến hành kiểm tra hiểu quả để đánh giá mức độ hiểu và tuân thủ của nhân viên
đối với chính sách bảo mật. Kiểm tra này có thể bao gồm các bài kiểm tra trực
tuyến, bài kiểm tra về tình huống, hoặc các cuộc họp định kỳ để kiểm tra hiểu quả
và trao đổi thông tin liên quan đến bảo mật.
7. Tuân thủ pháp luật và quy định:
- Công ty VNG có trách nhiệm nghiên cứu và hiểu rõ các pháp luật và quy định
liên quan đến bảo mật thông tin trong ngành công nghệ thông tin, đồng thời liên
tục theo dõi các thay đổi và cập nhật mới về pháp luật và quy định bảo mật thông
tin.
- Công ty sẽ xác định các trách nhiệm và quyền hạn của các bộ phận và cá nhân
liên quan đến việc tuân thủ pháp luật và quy định. Hợp tác chặt chẽ với các cơ
quan quản lý và tổ chức có liên quan trong việc tuân thủ pháp luật và quy định,
thúc đẩy việc tuân thủ pháp luật và quy định bằng cách áp dụng các biện pháp
kiểm tra, đánh giá, và xử lý vi phạm.

III. Trình bày tại sao một security policy cụ thể (cấp thấp) cho một công ty/tổ
chức cụ thể lại đáp ứng được yêu cầu cơ bản của công ty/ tổ chức đó.

Chính sách bảo mật thông tin cá nhân của công ty cổ phần VNG các ý chính
của chính sách bảo mật thông tin cá nhân của Công Ty cổ phần VNG:
Thu thập thông tin cá nhân:

- Việc thu thập thông tin cá nhân để xác minh danh tính cá nhân người sử
dụng dịch vụ, hỗ trợ người dùng, giao dịch với công ty. Trong một vài
trường hợp gặp về sự cố giao dịch, thông tin đó để xác thực và hỗ trợ nhanh
hơn.
- Mỗi khách hàng sẽ có một tài khoản riêng để sử dụng, nó sẽ mang tính chất
cá nhân.

Sử dụng thông tin cá nhân:

- Vì Các Mục Đích mà Công ty sẽ có thể thu thập, sử dụng, tiết lộ hoặc xử lý
dữ liệu cá nhân của cá nhân người dùng phụ thuộc vào hoàn cảnh hiện có.
Tuy nhiên, Công ty sẽ thông báo cho cá nhân người dùng biết mục đích khác
đó tại thời điểm xin sự cho phép của cá nhân người dùng, trừ phi việc xử lý
dữ liệu áp dụng mà không có sự đồng ý của cá nhân người dùng là được
phép theo các quy định của pháp luật về bảo vệ bí mật thông tin cá nhân
hoặc theo quy định pháp luật.

Phạm vi sử dụng thông tin cá nhân:

- Phạm vi sử dụng thông tin cá nhân của khách hàng cũng rất quan trọng.
Phạm vi sử dụng thông tin cá nhân đã điền như: họ tên, sđt, địa chỉ
email,giới tính,… Nhằm phục vụ với mục đích được nêu. Công ty đảm bảo
rằng, phạm vi mà công ty sử dụng thông tin của bạn sẽ không làm ảnh
hưởng đến bạn.
- Ngoài các yêu cầu khác, tiết lộ lịch sử chơi Trò Chơi của người dùng và
hoặc tiết lộ các hồ sơ cho thấy các địa chỉ IP nào đã xem các Trò Chơi nào.

Đảm bảo an toàn thông tin khi chia sẻ cho bên thứ 3:

- Công ty có liên kết với các bên thứ ba để nâng cao hiệu quả sử dụng cũng
như chất lượng của dịch vụ. Trong một số trường hợp, việc cung cấp thông
tin cá nhân người dùng cho bên thứ ba là bắt buộc để có thể sử dụng các
dịch vụ. Việc đảm bảo an toàn thông tin khi chia sẻ cho bên thứ 3 giúp ngăn
chặn rò rỉ thông tin ra bên ngoài đồng thời tạo niềm tin cho khách hàng khi
sử dụng dịch vụ của công ty.

Cam kết bảo mật thông tin khách hàng:

 - Việc Cam kết bảo mật thông tin khách hàng là không thể thiếu, nó tạo dựng
niềm tin cho khách hàng. Việc cam kết là việc công ty phải tuân thủ đúng vì
vậy việc bảo mật thông tin của khách hàng cũng có thể đánh giá qua cam kết
của từng chính sách bảo mật thông tin cá nhân của công ty.

Do đó những yêu cầu cơ bản của NPH Game như VNG đã được chính sách
này đáp ứng.