DANH SÁCH NHÓM 5

Trần Phi Long – 31201020507

Nguyễn Phạm Thanh Phương – 31201022438
Lê Thị Uyển Nhi – 31201023445
Mai Nguyễn Trúc Quỳnh – 31201023471
Đinh Thanh Hằng – 31201026215

SỬ DỤNG THIẾT BỊ CÁ NHÂN KẾT NỐI HỆ THỐNG MẠNG CÔNG TY

1. Tuyên bố về chính sách

a. Phạm vi và đối tượng áp dụng
- Áp dụng cho tất cả nhân viên thuộc mọi phòng ban, bộ phận sử
dụng địa chỉ email của công ty có dạng (HR.long
tran@company.vn) để truy cập vào mạng nội bộ của công ty
- Áp dụng cho người dùng được công ty cung cấp đường truyền
riêng
b. Định nghĩa mạng nội bộ
- Mạng nội bộ (LAN) là một nhóm (Workgroup hoặc Domain) các
máy tính nối mạng với nhau, chia sẻ và sử dụng chung các tài
nguyên.
- Hạ tầng cơ sở đóng vai trò rất quan trọng trong việc bảo đảm chất
lượng, độ ổn định, khả năng khắc phục sự cố, khả năng mở rộng
của hệ thống mạng.
- Hệ thống mạng tích hợp đa dịch vụ là một hệ thống mạng đồng
nhất của các dịch vụ data, voice, video trên nền IP (sử dụng 1 hệ
thống cáp duy nhất).
c. Trách nhiệm
Người chịu trách nhiệm thi hành chính sách gồm có: Toàn bộ
nhân viên, nhà quản lý trong công ty, thành viên Hội đồng Quản
trị và người sử dụng mạng nội bộ do công ty cung cấp khác.

2. Quyền truy cập và sử dụng thiết bị

a. Người sử dụng
- Người được phép sử dụng hệ thống mạng nội bộ của công ty: Các
thành viên chịu trách nhiệm thi hành chính sách này
- Người sử dụng có các quyền truy cập về sử dụng mạng nội bộ
cho mục đích công việc và không vi phạm pháp luật.
b. Sử dụng hợp lí và có trách nhiệm
 - Được khai thác, sử dụng tài nguyên mạng trong phạm vi, quyền
hạn cho phép
- Cá nhân khi sử dụng mạng nội bộ để truy cập nguồn thông tin
không lành mạnh dẽ bị xử lý kỷ luật theo quy định
- Báo cáo kịp thời với người quản trị mạng khi thấy mất an toàn
truy cập mạng
- Chịu trách nhiệm pháp lý đối với những thông tin đăng tải lên
mạng
- Quản lý an toàn đối với tên người dùng (username) và mật khẩu
(password) truy cập của mình, thay đổi mật khẩu định kỳ khi bị
lộ hoặc nghi bị lộ
- Không được bao che hoặc dung túng cho cá nhân có mục đích
xấu lợi dụng thiết bị, mật khẩu, mã khóa để truy cập lấy cắp
thông tin, phá hoại mạng máy tính của công ty.
c. Bảo vệ quyền riêng tư
- Nhân viên sử dụng mạng nội bộ phải truy cập bằng email nội bộ
của công ty được cung cấp khi nhân viên bắt đầu làm việc.
- Nhân viên sử dụng mạng phải tuân thủ các quy định của phòng
Công nghệ thông tin về truy cập mạng an toàn, thường xuyên
thay đổi mật khẩu đăng nhập để đảm bảo an toàn cũng như bảo
mật dữ liệu trên mạng nội bộ
- Thường xuyên kiểm tra và diệt virus trên máy tính đang sử dụng,
trước khi gửi và sau khi nhận file dữ liệu. Nếu phát hiện có dấu
hiệu không an toàn, nghi ngờ có virus xâm nhập hay bị truy cập
trái phép có nguy cơ mất thông tin cá nhân phải báo ngay cho
phòng Công nghệ thông tin, không được tự ý xử lý

3. Cấm sử dụng sai mục đích

- Tuân thủ theo các điều luật của Luật An ninh mạng (17/01/2019)
- Tuyệt đối không vi phạm các hành vi bị nghiêm cấm được quy
định trong điều luật nói trên.
- Không sử dụng mạng nội bộ của công ty cho mục đích giải trí
trong thời gian làm việc
- Đưa những dữ liệu chứa virus gây mất an toàn cho hệ thống cũng
như làm nghẽn mạch đường truyền
- Nghiêm cấm việc sử dụng mạng nội bộ công ty để tiết lộ thông tin
ra bên ngoài
- Không mở các nội dung thư có đính kèm file không rõ nguồn gốc
phòng trường hợp có virus xâm nhập
 - Không tự ý tải về, tải các tài liệu có số liệu mật của công ty,
những văn bản chưa được cấp có thẩm quyền công bố lên mạng
internet

4. Quản lý hệ thống
a. Hoạt động giám sát nhân viên
- Công ty có thể giám sát email hoặc lịch sử duyệt web của nhân
viên chặt chẽ hơn nếu nhân viên đang sử dụng thiết bị cá nhân.
- Giám sát thông qua các tính năng như là: xác thực đa yếu tố
(MFA), truy cập dựa trên vai trò (RBA) và đăng nhập một lần
(SSO).
b. Biện pháp bảo vệ khỏi virus
- Thiết lập các hệ thống phòng thủ như tường lửa (firewall) và thiết
bị phát hiện/phòng chống xâm nhập (IDS/IPS).
c. Biện pháp bảo vệ vật lý
- Quản lý thiết bị di động (MDM): Phần mềm bảo mật của bên thứ
ba cho phép bộ phận công nghệ thông tin quản lý, giám sát và
bảo mật bất kỳ thiết bị di động nào, chẳng hạn như điện thoại
thông minh, máy tính bảng và máy tính xách tay.
- Để bảo mật dữ liệu nhạy cảm của công ty khi dùng thiết bị cá
nhân để làm việc, nhân viên được bộ phận công nghệ thông tin
yêu cầu cài đặt phần mềm “xóa từ xa” phòng trường hợp nhân
viên làm mất thiết bị cá nhân.
d. Biện pháp mã hóa dữ liệu
- Với hệ thống cơ sở dữ liệu công ty có thể dùng phương pháp mã
hóa dữ liệu để đảm bảo rằng thông tin được an toàn khi có khả
năng bị người ngoài xâm nhập. Công ty có thể sử dụng SQL
Server để tự tạo mã riêng hoặc dùng DDL ngoài để mã hóa dữ
liệu. Một số phần mềm mã hóa hiện nay có thể áp dụng như:
Dekart Private Disk, Gpg4win, Symantec Drive, Encruption

5. Vi phạm chính sách:

a. Thủ tục báo cáo hành vi vi phạm:

- Đối với việc nghi ngờ có hành vi vi phạm: thì nhân viên đang
nghi ngờ phải tự mình theo dõi và kiểm chứng trong vòng 7 ngày.
Nếu khẳng định được rằng chắc chắn có hành vi vi phạm thì tiếp
tục thực hiện các bước chỉ dẫn ở mục số 2. Còn nếu không có bất
 kì bằng chứng cho thấy người bị nghi ngờ vi phạm thì hãy bỏ qua
và tiếp tục công việc.
- Đối với việc có bằng chứng khẳng định hành vi vi phạm: thì nhân
viên ngay lập tức gọi vào số Hotline ẩn danh sau – 1900 80xx để
báo cáo hành vi cho bộ phận An toàn thông tin xử lý. Bên cạnh
đó, nhân viên ấy phải sẵn sàng hợp tác với công ty để cung cấp
thông tin, bằng chứng qua một website ẩn danh - do công ty cung
cấp.
- Mọi nhân viên trong công ty đều là một thành phần trong hệ
thống An toàn thông tin, góp phần xây dựng và triển khai thực
hiện hệ thống. Vì thế, nhân viên phải có nhận thức và hành động
theo khuynh hướng bảo mật thông tin, an toàn thông tin công ty.

b. Xử lý hành vi vi phạm:

- Áp dụng cho những hành vi vi phạm điều 2,3 của chính sách này
và mọi hình thức xử phạt sẽ được thực thi sau khi được Ủy ban
Kiểm soát rủi ro và Phòng An toàn thông tin quyết định, điều tra
mức thiệt hại theo quy định của pháp luật.
- Mức độ hình phạt sẽ tùy thuộc vào tính chất hành vi, mức độ thiệt
hại gây ra mà người vi phạm phải gánh chịu như: trừ lương,
thưởng; giáng chức, kết thúc hợp đồng lao động sớm; ... Còn nếu
vi phạm pháp luật theo quy định hiện hành thì sẽ bị truy cứu để
chịu trách nhiệm pháp lý theo quy định Pháp luật hiện hành.

6. Rà soát và đánh giá sửa đổi chính sách:

- Hàng năm bộ phận An toàn thông tin kết hợp các bộ phận có liên
quan để tiến hành rà soát toàn bộ hệ thống trong công ty để phát
hiện những yếu kém của hệ thống bảo mật thông tin mà từ đó có
thể giải quyết vấn đề, nâng cấp công nghệ và cập nhật, sửa đổi,
thay đổi chính sách (nếu cần).
- Xem xét các sự kiện liên quan đến an toàn thông tin khi sử dụng
máy tính cá nhân kết nối với mạng nội bộ công ty đã xảy ra ở bên
ngoài và bên trong công ty để có thể tìm ra các điểm yếu, sai sót
trong khi thi hành chính sách để bổ sung chính sách nhằm nâng
cao tính tối ưu của chính sách.

7. Giới hạn về trách nhiệm pháp lý:

a. Tuyên bố trách nhiệm:
 - Trách nhiệm của công ty là phục vụ công chúng, giúp ích cho nền
kinh tế đất nước phát triển theo các hoạt động kinh doanh hợp
pháp.
- Sẵn sàng phối hợp với cơ quan Nhà nước, chính phủ để truy tố
những thành phần, hành vi vi phạm pháp luật trong công ty.
- Công ty có trách nhiệm tuyên truyền, tổ chức nhiều hoạt động
ngoại khóa bổ trợ kiến thức và nâng cao nhận thức cá nhân trong
việc bảo vệ an toàn thông tin và chấp hành Luật hiện hành.
- Công ty sẽ không bao giờ cho phép những hành vi pháp luật xảy
ra trong phạm vị hoạt động của công ty.

b. Từ chối trách nhiệm khác:

- Khi một hành vi vi phạm chính sách công ty và vi phạm pháp luật
xảy ra trong công ty thì công ty sẽ không bảo vệ, che giấu cho
hành vi ấy và không chịu trách nhiệm về hành vi của họ.
- Nhân viên khi thực hiện hành vi bất hợp pháp dưới sự tác động
hay hỗ trợ của công nghệ, thiết bị hoặc tài sản của công ty thì ban
quản lý cũng như công ty sẽ hoàn toàn không có liên quan gì tới
việc thực hiện hành vi này và không có chịu trách nhiệm pháp lý.