Scribd Logo
Upload

Welcome to Scribd!

  • Đào T o ATTT

    Uploaded by

    legend12102003
    2 views15 pages

    Original Title

    Đào tạo ATTT

    Copyright

    © © All Rights Reserved

    Available Formats

    PPTX, PDF, TXT or read online from Scribd

    Did you find this document useful?

    Is this content inappropriate?

    Report this Document

    Copyright:

    © All Rights Reserved
    Download as PPTX, PDF, TXT or read online from Scribd
    Flag for inappropriate content
    2 views15 pages

    Đào T o ATTT

    Uploaded by

    legend12102003

    Copyright:

    © All Rights Reserved
    Download as PPTX, PDF, TXT or read online from Scribd
    Flag for inappropriate content
    of 15

    ĐÀO TẠO AN TOÀN

    THÔNG TIN TRONG


    QUẢN LÝ DỰ ÁN
    Người thực hiện: Hoàng Thu Huyền
    Thông tin tổng quan

    Vai trò đảm bảo ATTT trong dự án

    Các quy định cụ thể tại NGSC


    Phạm vi: Áp dụng cho tất cả các dự án thuộc NGSC
    Tiêu chuẩn cơ bản: ISO 27K
    Tài liệu đính kèm:
    Tiêu chí đảm bảo ATTT
    Tiêu chí đảm bảo ATTT
    Khách hàng yêu cầu
    của NGSC trong dự án
    NGSC phải tuân thủ
    Tiêu chí đảm
    bảo ATTT cần Tiêu chí đảm bảo ATTT Tiêu chí đảm bảo ATTT
    tuân thủ mà pháp luật và thông
    lệ quốc tế yêu cầu
    mà đối tác và các bên
    liên quan khác yêu cầu
    NGSC phải tuân thủ NGSC phải tuân thủ
    Vai trò đảm bảo ATTT trong dự án
    1. Trách nhiệm chung của mọi thành viên

    2. Đào tạo và nhận thức về ATTT

    3. Bảo mật thông tin của công ty và khách hàng

    4. Cam kết bảo mật từ nhà thầu phụ


    Mật khẩu

    1.Quản lý tài khoản và mật


    Yêu cầu mật khẩu Thay đổi mật khẩu Lưu thông tin mật khẩu
    khẩu

    •Mỗi người dùng được cấp 1 tài kh •Chứa ít nhất 8 kí tự, tối thiểu phải •Người dùng phải thay đổi mật khẩ Không sử dụng các cơ chế lưu mật
    oản và mật khẩu duy nhất cho từng gồm ba trong bốn kí tự: chữ hoa, c u ngay từ lần đăng nhập đầu tiên và khẩu tự động khi đăng nhập.
    hệ thống hữ thường, số, và các kí hiệu đặc bi và thay đổi mật khẩu định kỳ tùy t •Không ghi mật khẩu ra giấy, sổ tay,
    •Nghiêm cấm việc sử dụng trái phé ệt (trừ khoảng trắng). VD: ừng hệ thống. Phải thay đổi mật kh giấy note hoặc các phương tiện có t
    p mật khẩu hoặc thông tin của ngư Ngs#2345. ẩu định kỳ là 3 tháng/ lần và khi cần hế rủi ro lộ mật khẩu cao.
    ời khác. •Không dựa trên bất cứ điều gì mà thiết đối với máy tính người dùng,
    hệ thống wifi •Hạn chế sử dụng chung 1 mật khẩ
    •CBNV được yêu cầu giữ bí mật mật người khác có thể dễ dàng đoán ho u cho nhiều loại tài khoản.
    khẩu ặc có được nhờ các thông tin liên q Mật khẩu trước đó đã sử dụng sẽ k
    uan tới cá nhân đó. (VD: Tên, hông được tái sử dụng cho lần kế ti
    SĐT, Ngày sinh,..) ếp
    •Đối với các thiết bị CNTT (Modem,
    Server,
    Switch và Firewall) phải được Quản
    trị viên thay đổi mật khẩu 6 tháng/
    lần.
    1. Máy tính của CBNV phải được kích hoạt phần mềm Windows Defender, phần
    mềm Windows Defender phải được cấu hình cập nhật tự động,

    2. Danh sách các phần mềm/ ứng dụng được sử dụng trên máy tính

    • Hệ điều hành: Windows

    Quy định cài • Trình duyệt: Microsoft Edge, Google Chrome, Firefoxe, Safari.
    • Ứng dụng văn phòng: Microsoft Office 365, Microsoft Office, Visio, Project.
    • Ứng dụng email: Outlook 365, Outlook, Gmail
    đặt phần • Ứng dụng hỗ trợ gõ chữ: Unikey, Evkey.
    • Ứng dụng hỗ trợ nén/ giải nén: WinRar, Winzip, 7zip

    mềm • Ứng dụng lưu trữ đám mây: Microsoft OneDrive, Google Drive.
    • Ứng dụng giao tiếp, họp Online: Microsoft Teams, Skype, Messenger, Zalo, Viber,
    Webex meeting, Zoom.
    • Ứng dụng đặc thù công việc: các phần mềm của SAP, Power BI, Axure, Foxit Reader,
    Snagit.
    • Phần mềm bảo vệ và phát hiện mã độc: Windows Security.

    Các cá nhân/ bộ phận đặc thù khác nếu cần các phần mềm đặc thù phục vụ dự án, có
    thể liên hệ hoặc gửi yêu cầu đến Ban Công nghệ để được hỗ trợ.
    Quy định bàn sạch màn sạch

    1 2
    2. Quy định màn sạch
    1. Khu vực làm việc/ bàn làm việc • Quản lý sắp xếp lưu trữ trên màn hình máy tính: Để hạn chế khả
    • Ngay khi rời khỏi vị trí làm việc, cất các tài sản thông tin loại mật, tối năng tiếp cận truy cập của người không có thẩm quyền với các thông
    mật, tuyệt mật (hồ sơ, USB, ổ cứng di động, đĩa CD,…) vào nơi lưu tin nhạy cảm, người chủ máy tính không được lưu hồ sơ/ tài liệu
    trữ an toàn như tủ có khóa, ngăn kéo có khóa,…, khóa màn hình máy nhạy cảm, quan trọng ngay trên màn hình máy tính và không được
    tính (kế cả các thiết bị lưu trữ có màn hình hiển thị như điện thoại, gửi biểu tượng file ra màn hình
    …) • Máy tính của CBNV phải được đặt mật khẩu theo quy định mật khẩu
    • Khi rời khỏi ngoài bán kinh 2m, các tài sản chứa thông tin loại công • Máy tính phải được cài "Screen saver" tối đa 5 phút và người sử
    khai hoặc hạn chế thì phải được sắp xếp gọn gàng dụng luôn phải khóa màn hình hoặc thoát (log out/ off) hoặc tắt máy
    ngay khi rời vị trí làm việc
    Dự án cần phải xây dựng kế hoạch cụ thể để phân quyền truy cập
    vào từng hệ thống sử dụng trong dự án.
    CBNV thuộc dự án chỉ được phân quyền và truy cập theo đúng kế
    1. Kế hoạch hoạch này, đảm bảo rằng họ chỉ có quyền truy cập vào những tài
    phân quyền truy nguyên mà họ cần để thực hiện công việc của họ.
    cập: Phân quyền trong dự án phải được thực hiện dựa trên từng vai trò
    , trách nhiệm và quyền hạn cụ thể của từng thành viên.
    Khi có sự thay đổi trong vai trò hoặc công việc của một người, các
    quyền truy cập của họ cũng cần được điều chỉnh tương ứng.

    2. Định danh
    Mỗi người dùng chỉ được có một định danh duy nhất để truy cập
    duy nhất cho

    Quản lý truy cập


    hệ thống. Điều này đảm bảo tính toàn vẹn và đảm bảo rằng mọi
    mỗi người hoạt động truy cập đều có thể được theo dõi và kiểm soát.
    dùng:

    3. Thu hồi Nhân sự khi rời dự án phải thu hồi quyền truy cập vào hệ thống
    quyền truy cập ngay vào ngày cuối cùng họ làm việc trong dự án. Điều này đảm
    khi nhân sự rời bảo rằng không có quyền truy cập nào được giữ lại sau khi họ
    dự án: không còn tham gia dự án nữa.

    4. Giới hạn Nhân sự làm việc từ xa cần phải có giới hạn quyền truy cập vào hệ
    quyền truy cập thống theo yêu cầu và quy định của Khách hàng và chủ đầu tư.
    cho làm việc từ Điều này đảm bảo rằng quyền truy cập từ xa được kiểm soát và
    xa: đảm bảo an toàn.
    Quản lý tài sản thông
    tin
    Những thông tin quan
    Cần phải được đăng ký và
    trọng cần được đặt mật
    bảo vệ vật lý cho các thiết
    khẩu để bảo vệ dữ liệu lưu
    bị di động
    trên thiết bị lưu trữ.

    Thành viên dự án có đảm


    Không sử dụng thiết bị lưu bảo thực hiện lưu trữ tài
    trữ của cá nhân để lưu trữ liệu bản mềm lên thư mục
    thông tin quan trọng. chung, không lưu trên thư
    mục trên máy tính cá nhân

    Tài liệu, hồ sơ trong dự án


    Nhân sự khi rời dự án phải
    được kiểm soát theo kế
    bàn giao tài sản thông tin.
    hoạch quản lý cấu hình

    Thực hiện sao lưu dữ liệu


    nhằm bảo vệ, khôi phục
    khi cần thiết.
    Dự án cần đưa
    ra quy định về:
    Chuyển giao
    thông tin Mọi thông
    tin được
    Phương tiện Phương Ứng dụng
    chuyển
    truyền tải thức trao đổi được phép
    giao cần
    thông tin: thông tin: sử dụng:
    được lưu lại
    USB, ổ cứng, Nhắn tin, gọi Team,
    bằng chứng
    thẻ nhớ,... điện,… Outlook…
    và có thể
    truy xuất.
    • Dự án cần nhận diện, phân tích và đánh giá rủi ro ATTT trước
    khi khởi phát dự án và định kỳ trong quá trình thực hiện dự án

    Đánh giá ATTT Microsoft Excel


    Worksheet
    • QTDA phải kiểm soát ATTT trong tất cả các giai đoạn của dự án
    và đánh giá khi kết thúc giai đoạn.
    Chân thành cảm ơn

    You might also like