Professional Documents
Culture Documents
4. Quản lý hệ thống
a. Hoạt động giám sát nhân viên
- Công ty có thể giám sát email hoặc lịch sử duyệt web của nhân
viên chặt chẽ hơn nếu nhân viên đang sử dụng thiết bị cá nhân.
- Giám sát thông qua các tính năng như là: xác thực đa yếu tố
(MFA), truy cập dựa trên vai trò (RBA) và đăng nhập một lần
(SSO).
b. Biện pháp bảo vệ khỏi virus
- Thiết lập các hệ thống phòng thủ như tường lửa (firewall) và thiết
bị phát hiện/phòng chống xâm nhập (IDS/IPS).
c. Biện pháp bảo vệ vật lý
- Quản lý thiết bị di động (MDM): Phần mềm bảo mật của bên thứ
ba cho phép bộ phận công nghệ thông tin quản lý, giám sát và
bảo mật bất kỳ thiết bị di động nào, chẳng hạn như điện thoại
thông minh, máy tính bảng và máy tính xách tay.
- Để bảo mật dữ liệu nhạy cảm của công ty khi dùng thiết bị cá
nhân để làm việc, nhân viên được bộ phận công nghệ thông tin
yêu cầu cài đặt phần mềm “xóa từ xa” phòng trường hợp nhân
viên làm mất thiết bị cá nhân.
d. Biện pháp mã hóa dữ liệu
- Với hệ thống cơ sở dữ liệu công ty có thể dùng phương pháp mã
hóa dữ liệu để đảm bảo rằng thông tin được an toàn khi có khả
năng bị người ngoài xâm nhập. Công ty có thể sử dụng SQL
Server để tự tạo mã riêng hoặc dùng DDL ngoài để mã hóa dữ
liệu. Một số phần mềm mã hóa hiện nay có thể áp dụng như:
Dekart Private Disk, Gpg4win, Symantec Drive, Encruption
b. Xử lý hành vi vi phạm:
- Áp dụng cho những hành vi vi phạm điều 2,3 của chính sách này
và mọi hình thức xử phạt sẽ được thực thi sau khi được Ủy ban
Kiểm soát rủi ro và Phòng An toàn thông tin quyết định, điều tra
mức thiệt hại theo quy định của pháp luật.
- Mức độ hình phạt sẽ tùy thuộc vào tính chất hành vi, mức độ thiệt
hại gây ra mà người vi phạm phải gánh chịu như: trừ lương,
thưởng; giáng chức, kết thúc hợp đồng lao động sớm; ... Còn nếu
vi phạm pháp luật theo quy định hiện hành thì sẽ bị truy cứu để
chịu trách nhiệm pháp lý theo quy định Pháp luật hiện hành.
- Hàng năm bộ phận An toàn thông tin kết hợp các bộ phận có liên
quan để tiến hành rà soát toàn bộ hệ thống trong công ty để phát
hiện những yếu kém của hệ thống bảo mật thông tin mà từ đó có
thể giải quyết vấn đề, nâng cấp công nghệ và cập nhật, sửa đổi,
thay đổi chính sách (nếu cần).
- Xem xét các sự kiện liên quan đến an toàn thông tin khi sử dụng
máy tính cá nhân kết nối với mạng nội bộ công ty đã xảy ra ở bên
ngoài và bên trong công ty để có thể tìm ra các điểm yếu, sai sót
trong khi thi hành chính sách để bổ sung chính sách nhằm nâng
cao tính tối ưu của chính sách.