Chính Sách Bảo Mật Thông Tin

Ngày có hiệu lực: 25 tháng 5 năm 2018 (Cập nhật ngày 9 tháng 9 năm 2022)

1. ĐỊNH NGHĨA - Việc sử dụng thuật ngữ “công ty” trong Sách hướng dẫn này đề cập đến InXpress Global Ltd và các chi nhánh, công ty con, đại lý nhượng quyền chính và đại lý nhượng quyền.

2. GIỚI THIỆU - Chính sách Bảo mật Thông tin này là một bộ quy tắc chính thức mà những người được cấp quyền truy cập vào tài sản thông tin và công nghệ của công ty phải tuân theo.

Chính sách Bảo mật Thông tin phục vụ một số mục đích. Mục đích chính là để thông báo cho người dùng của công ty: nhân viên, người nhận quyền chính, người nhận quyền, nhà thầu và những người dùng được ủy quyền khác về các yêu cầu bắt buộc của họ đối với việc bảo vệ tài sản công nghệ và thông tin của công ty. Chính sách Bảo mật Thông tin mô tả công nghệ và tài sản thông tin mà chúng tôi phải bảo vệ và xác định nhiều mối đe dọa đối với những tài sản đó.

Chính sách Bảo mật Thông tin này cũng mô tả các trách nhiệm và đặc quyền của người dùng. Tài liệu này cũng bao gồm các quy trình ứng phó với các sự cố đe dọa đến an ninh của hệ thống máy tính và mạng của công ty.

Các chính sách, kiểm soát, thông lệ và thủ tục được thực hiện nhất quán với bảo mật hàng đầu trong ngành. Đây là các biện pháp bảo vệ vật lý, hành chính và kỹ thuật để bảo vệ hệ thống và dữ liệu của công ty.

Tất cả nhân viên phải được đào tạo và huấn luyện bồi dưỡng về tất cả các chính sách và quy trình bảo mật thông tin khi bắt đầu làm việc với InXpress và hàng năm sau đó.

3. CHÚNG TÔI ĐANG BẢO VỆ GÌ? - Tất cả những người sử dụng hệ thống của công ty có nghĩa vụ bảo vệ tài sản công nghệ và thông tin của công ty. Thông tin này phải được bảo vệ khỏi sự truy cập trái phép, trộm cắp và phá hủy. Tài sản công nghệ và thông tin của công ty được tạo thành từ các thành phần sau:

Phần cứng máy tính, CPU, đĩa, Email, web, máy chủ ứng dụng, hệ thống PC, phần mềm ứng dụng, phần mềm hệ thống, v.v.

Phần mềm Hệ thống bao gồm: hệ điều hành, hệ quản trị cơ sở dữ liệu, và phần mềm sao lưu và khôi phục, các giao thức truyền thông.

Phần mềm Ứng dụng: Phần mềm này bao gồm các ứng dụng phần mềm được viết tùy chỉnh và các gói phần mềm đã được thương mại hóa.

Truyền thông Phần cứng và phần mềm mạng bao gồm: bộ định tuyến, bảng định tuyến, trung tâm, modem, bộ ghép kênh, bộ chuyển mạch, tường lửa, đường dây riêng, phần mềm và công cụ quản lý mạng liên quan.

4. PHÂN LOẠI THÔNG TIN - Thông tin người dùng được tìm thấy trong các tệp và cơ sở dữ liệu của hệ thống máy tính sẽ được phân loại là bí mật hoặc không bí mật. Công ty phải phân loại thông tin do họ kiểm soát. Công ty được yêu cầu xem xét và phê duyệt việc phân loại thông tin và xác định mức độ bảo mật phù hợp để bảo vệ tốt nhất.

5. ĐIỀU KHOẢN BẢO MẬT

Nhân viên thực hiện các quy trình này để giảm việc chuyển giao thông tin của nhân viên:

Chỉ đưa ra các quyền thích hợp cho các hệ thống. Nguyên tắc về quyền truy cập đặc quyền ít nhất để hoàn thành các vai trò cần được tuân thủ. Giới hạn quyền truy cập chỉ trong giờ làm việc.

Không chia sẻ tài khoản với hệ thống truy cập. Không bao giờ chia sẻ thông tin đăng nhập của bạn với đồng nghiệp.

Khi nhân viên bị chia cắt hoặc bị kỷ luật, bạn loại bỏ hoặc hạn chế quyền truy cập vào các hệ thống trong vòng 24 giờ.

Các tài sản máy tính được bảo mật về mặt vật lý, để chỉ những nhân viên có nhu cầu thích hợp mới có thể truy cập.

Mật khẩu phải có tối thiểu 12 ký tự, kết hợp chữ hoa và chữ thường, kết hợp chữ số, chứa các ký tự đặc biệt và không chỉ là một ký tự duy nhất được đặt ở cuối mật khẩu và được thay đổi ba (3) tháng một lần. Tên người dùng không nên là một phần của mật khẩu. Mật khẩu sẽ được đặt thành khóa sau một số lần thử không thành công. Trên tất cả các hệ thống chính, MFA được thực hiện.

Việc sử dụng các thiết bị cá nhân để tiến hành công việc bị cấm.

Không có dữ liệu cá nhân, nhạy cảm hoặc bí mật nào được lưu trữ trên bất kỳ thiết bị di động nào như USB.

Vi phạm bên ngoài Thực hiện các quy trình này để giảm quyền truy cập vào hệ thống của công ty:

Chỉ cấp các quyền thích hợp cho các hệ thống và tuân theo nguyên tắc truy cập đặc quyền ít nhất để thực hiện các vai trò. Khi một khách hàng gọi điện để thay đổi quyền truy cập, hãy xác minh rằng họ có phải là người chính xác hay không.

Khi tài khoản của khách hàng bị tạm giữ, hãy xóa hoặc hạn chế quyền truy cập vào hệ thống.

Mật khẩu phải có tối thiểu 12 ký tự, kết hợp chữ hoa và chữ thường, kết hợp chữ số, chứa các ký tự đặc biệt và không chỉ là một ký tự duy nhất được đặt ở cuối mật khẩu và được thay đổi ba (3) tháng một lần. Tên người dùng không nên là một phần của mật khẩu. Mật khẩu sẽ được đặt thành khóa sau một số lần thử không thành công. Trên tất cả các hệ thống chính, MFA được triển khai.

6. TRÁCH NHIỆM CỦA NGƯỜI DÙNG

Phần này thiết lập chính sách sử dụng cho hệ thống máy tính, mạng và tài nguyên thông tin của văn phòng. Nó liên quan đến tất cả nhân viên và nhà cung cấp sử dụng hệ thống máy tính, mạng và tài nguyên thông tin với tư cách là đối tác kinh doanh, khách hàng và cá nhân được cấp quyền truy cập vào mạng cho các mục đích kinh doanh của công ty.

Chấp thuận sử dụng

Tài khoản người dùng trên hệ thống máy tính của công ty chỉ được sử dụng cho hoạt động kinh doanh của công ty và không được sử dụng cho các hoạt động cá nhân. Việc sử dụng trái phép hệ thống có thể vi phạm pháp luật, cấu thành hành vi trộm cắp và có thể bị pháp luật trừng phạt. Do đó, việc sử dụng trái phép hệ thống máy tính và các phương tiện của công ty có thể trở thành căn cứ để truy tố dân sự hoặc hình sự.

Người dùng có trách nhiệm cá nhân bảo vệ tất cả thông tin bí mật được sử dụng và / hoặc được lưu trữ trên tài khoản của họ. Điều này bao gồm ID đăng nhập và mật khẩu của họ. Hơn nữa, họ bị cấm sao chép trái phép thông tin bí mật đó và / hoặc phân phối nó cho những người không được phép bên ngoài công ty.

Người dùng không được cố ý tham gia vào hoạt động với mục đích: quấy rối người dùng khác; làm suy giảm hiệu suất của hệ thống; chuyển tài nguyên hệ thống sang mục đích sử dụng của riêng chúng; hoặc có quyền truy cập vào các hệ thống của công ty mà họ không có quyền.

Người dùng không được gắn các thiết bị trái phép trên PC hoặc máy trạm của họ, trừ khi họ đã nhận được ủy quyền cụ thể từ người quản lý của nhân viên và / hoặc người được chỉ định CNTT của công ty.

Người dùng không được tải phần mềm trái phép từ Internet xuống PC hoặc máy trạm của họ.

Người dùng được yêu cầu báo cáo bất kỳ điểm yếu nào trong bảo mật máy tính của công ty, bất kỳ sự cố sử dụng sai hoặc vi phạm chính sách này cho người giám sát trực tiếp của họ.

Sử dụng Internet

Công ty sẽ cung cấp quyền truy cập Internet cho nhân viên và nhà thầu được kết nối với mạng nội bộ và những người có nhu cầu kinh doanh về quyền truy cập này. Nhân viên và nhà thầu phải xin phép người giám sát của họ và gửi yêu cầu đến Quản trị viên CNTT.

Internet là một công cụ kinh doanh của công ty. Nó được sử dụng cho các mục đích liên quan đến kinh doanh như: giao tiếp qua thư điện tử với các nhà cung cấp và đối tác kinh doanh, thu thập thông tin kinh doanh hữu ích và các chủ đề kinh doanh và kỹ thuật có liên quan.

Không được sử dụng dịch vụ Internet để truyền, truy xuất hoặc lưu trữ bất kỳ thông tin liên lạc nào có tính chất phân biệt đối xử hoặc quấy rối hoặc xúc phạm bất kỳ cá nhân hoặc nhóm nào, mang tính chất tục tĩu hoặc khiêu dâm, phỉ báng hoặc đe dọa về bản chất “thư dây chuyền” hoặc bất kỳ mục đích nào khác bất hợp pháp hoặc vì lợi ích cá nhân.

Giám sát việc sử dụng hệ thống máy tính

Công ty có quyền và khả năng giám sát thông tin điện tử được tạo ra và / hoặc truyền đạt bởi những người sử dụng hệ thống máy tính và mạng của công ty, bao gồm cả tin nhắn e-mail và việc sử dụng Internet. Chính sách của công ty không phải là chính sách hoặc ý định giám sát liên tục tất cả việc sử dụng máy tính của nhân viên hoặc những người dùng khác của hệ thống máy tính và mạng của công ty. Tuy nhiên, người dùng hệ thống cần lưu ý rằng công ty có thể giám sát việc sử dụng, bao gồm nhưng không giới hạn ở các kiểu sử dụng Internet (ví dụ: truy cập trang web, thời lượng trực tuyến, thời gian truy cập trong ngày) và các tệp điện tử của nhân viên và các thông điệp trong phạm vi cần thiết để đảm bảo rằng Internet và các phương tiện liên lạc điện tử khác đang được sử dụng tuân thủ luật pháp và chính sách của công ty. Tất cả các hoạt động trên hệ thống của công ty giao dịch trong dữ liệu khách hàng (Webship và XMS) được ghi lại thông qua nhật ký kiểm tra đầy đủ chi tiết tất cả hoạt động của người dùng. Nhật ký kiểm toán được kiểm tra thường xuyên.

7. KIỂM SOÁT TRUY CẬP

Một thành phần cơ bản trong Chính sách An ninh mạng của chúng tôi là kiểm soát quyền truy cập vào các tài nguyên thông tin quan trọng cần được bảo vệ khỏi tiết lộ hoặc sửa đổi trái phép. Ý nghĩa cơ bản của kiểm soát truy cập là các quyền được chỉ định cho các cá nhân hoặc hệ thống được phép truy cập các tài nguyên cụ thể. Kiểm soát truy cập tồn tại ở các lớp khác nhau của hệ thống, bao gồm cả mạng. Kiểm soát truy cập được thực hiện bằng ID đăng nhập và mật khẩu. Ở cấp độ ứng dụng và cơ sở dữ liệu, các phương pháp kiểm soát truy cập khác có thể được thực hiện để hạn chế quyền truy cập hơn nữa. Hệ thống ứng dụng và cơ sở dữ liệu có thể giới hạn số lượng ứng dụng và cơ sở dữ liệu có sẵn cho người dùng dựa trên yêu cầu công việc của họ.

Hệ thống Người dùng và Truy cập Mạng - Nhận dạng Người dùng Thông thường

Tất cả người dùng sẽ được yêu cầu có một ID đăng nhập và mật khẩu duy nhất để truy cập vào hệ thống. Mật khẩu của người dùng phải được giữ bí mật và KHÔNG ĐƯỢC chia sẻ với nhân viên quản lý & giám sát và / hoặc bất kỳ nhân viên nào khác. Tất cả người dùng phải tuân thủ các quy tắc sau về việc tạo và duy trì mật khẩu:

Mật khẩu không được tìm thấy trong bất kỳ từ điển tiếng Anh hoặc nước ngoài. Đó là, không sử dụng bất kỳ tên, danh từ, động từ, trạng từ hoặc tính từ thông thường nào. Chúng có thể dễ dàng bị bẻ khóa bằng cách sử dụng "các công cụ hacker" tiêu chuẩn.

Mật khẩu không nên được dán trên hoặc gần các thiết bị đầu cuối máy tính hoặc có thể dễ dàng truy cập trong khu vực của thiết bị đầu cuối.

Mật khẩu phải được thay đổi sau mỗi (90 ngày).

Tài khoản người dùng sẽ bị đóng băng sau 5 lần đăng nhập không thành công.

Mật khẩu phải có tối thiểu 12 ký tự, kết hợp chữ hoa và chữ thường, kết hợp chữ số, chứa các ký tự đặc biệt và không chỉ là một ký tự duy nhất được đặt ở cuối mật khẩu

Trên tất cả các hệ thống chính, MFA được thực hiện.

Người dùng không được phép truy cập tệp mật khẩu trên bất kỳ thành phần cơ sở hạ tầng mạng nào. Các tệp mật khẩu trên máy chủ sẽ được giám sát để truy cập bởi những người dùng trái phép. Sao chép, đọc, xóa hoặc sửa đổi tệp mật khẩu trên bất kỳ hệ thống máy tính nào đều bị cấm.

Người dùng sẽ không được phép đăng nhập với tư cách là Quản trị viên Hệ thống. Người dùng cần cấp độ truy cập này vào các hệ thống sản xuất phải yêu cầu một tài khoản Quyền truy cập Đặc biệt như được nêu ở những nơi khác trong tài liệu này.

ID và mật khẩu đăng nhập của nhân viên sẽ bị vô hiệu hóa càng sớm càng tốt, và trong vòng 24 giờ, nếu nhân viên đó bị chấm dứt hợp đồng, sa thải, đình chỉ, cho nghỉ việc hoặc rời bỏ công việc tại văn phòng công ty.

Người giám sát / Người quản lý phải liên hệ ngay và trực tiếp với Người quản lý CNTT của công ty để báo cáo sự thay đổi về trạng thái của nhân viên yêu cầu chấm dứt hoặc sửa đổi đặc quyền truy cập đăng nhập của nhân viên.

Nhân viên quên mật khẩu phải gọi cho bộ phận CNTT để được cấp mật khẩu mới cho tài khoản của họ.

Nhân viên sẽ chịu trách nhiệm cho tất cả các giao dịch xảy ra trong các phiên Đăng nhập được thực hiện bằng cách sử dụng mật khẩu và ID của nhân viên. Nhân viên không được đăng nhập vào máy tính và sau đó cho phép một cá nhân khác sử dụng máy tính hoặc chia sẻ quyền truy cập vào hệ thống máy tính.

Quyền truy cập của quản trị viên hệ thống

Quản trị viên Hệ thống, quản trị viên mạng và quản trị viên bảo mật sẽ kiểm soát và giám sát quyền truy cập vào hệ thống máy chủ lưu trữ, bộ định tuyến, trung tâm và tường lửa theo yêu cầu để hoàn thành nhiệm vụ của công việc của họ.

Tất cả các mật khẩu của quản trị viên hệ thống sẽ bị XÓA ngay lập tức sau khi bất kỳ nhân viên nào có quyền truy cập vào các mật khẩu đó bị chấm dứt hợp đồng, sa thải hoặc rời bỏ công việc của công ty.

Quyền truy cập đặc biệt

Tài khoản truy cập đặc biệt được cung cấp cho các cá nhân yêu cầu đặc quyền quản trị viên hệ thống tạm thời để thực hiện công việc của họ. Các tài khoản này được công ty giám sát và cần sự cho phép của Giám đốc CNTT của công ty. Việc giám sát các tài khoản truy cập đặc biệt được thực hiện bằng cách nhập người dùng vào một khu vực cụ thể và tạo báo cáo định kỳ cho ban quản lý. Các báo cáo sẽ cho biết ai hiện có tài khoản truy cập đặc biệt, vì lý do gì và khi nào tài khoản này sẽ hết hạn. Các tài khoản đặc biệt sẽ khả dụng trong suốt thời gian thực hiện nhiệm vụ mà quyền đã được cấp ban đầu và sẽ không được tự động gia hạn nếu không có sự cho phép bằng văn bản.

Kết nối với mạng của bên thứ ba

Chính sách này được thiết lập để đảm bảo một phương thức kết nối an toàn được cung cấp giữa công ty với tất cả các công ty phần thứ ba và các tổ chức khác được yêu cầu để trao đổi thông tin điện tử với công ty.

“Bên thứ ba” đề cập đến các nhà cung cấp, nhà tư vấn và đối tác kinh doanh làm ăn với công ty và các đối tác khác có nhu cầu trao đổi thông tin với công ty. Các kết nối mạng của bên thứ ba chỉ được sử dụng bởi nhân viên của bên thứ ba, chỉ cho các mục đích kinh doanh của công ty. Công ty bên thứ ba sẽ đảm bảo rằng chỉ những người dùng được ủy quyền mới được phép truy cập thông tin trên mạng công ty. Bên thứ ba sẽ không cho phép lưu lượng truy cập Internet hoặc lưu lượng mạng riêng khác vào mạng.  

Chính sách này áp dụng cho tất cả các yêu cầu kết nối của bên thứ ba và mọi kết nối hiện có của bên thứ ba. Trong trường hợp các kết nối mạng bên thứ ba hiện có không đáp ứng các yêu cầu được nêu trong tài liệu này, chúng sẽ được thiết kế lại nếu cần.

Tất cả các yêu cầu kết nối của bên thứ ba phải được thực hiện bằng cách gửi yêu cầu bằng văn bản và được công ty chấp thuận.

Kết nối thiết bị với mạng

Chỉ các thiết bị được ủy quyền mới có thể được kết nối với (các) mạng của công ty. Các thiết bị được ủy quyền bao gồm PC và máy trạm do công ty sở hữu tuân thủ các nguyên tắc cấu hình của công ty. Các thiết bị được ủy quyền khác bao gồm các thiết bị hạ tầng mạng được sử dụng để quản lý và giám sát mạng.

Người dùng không được gắn vào mạng: các máy tính không phải của công ty không được công ty ủy quyền, sở hữu và / hoặc kiểm soát.

LƯU Ý: Người dùng không được phép đính kèm bất kỳ thiết bị nào có thể làm thay đổi các đặc tính cấu trúc liên kết của Mạng hoặc bất kỳ thiết bị lưu trữ trái phép nào, ví dụ: ổ đĩa ngón tay cái và đĩa CD có thể ghi.

Truy cập từ xa

Chỉ những người được ủy quyền mới có thể truy cập từ xa vào mạng công ty. Quyền truy cập từ xa được cung cấp cho những nhân viên, nhà thầu và đối tác kinh doanh của công ty có nhu cầu kinh doanh hợp pháp để trao đổi thông tin, sao chép tệp hoặc chương trình hoặc truy cập các ứng dụng máy tính. Kết nối được cấp phép có thể là máy tính từ xa với mạng hoặc mạng từ xa tới kết nối mạng của công ty. Phương pháp duy nhất được chấp nhận để kết nối từ xa vào mạng nội bộ là sử dụng ID bảo mật.

Truy cập từ xa trái phép

Không được phép đính kèm (ví dụ: trung tâm) vào PC của người dùng hoặc máy trạm được kết nối với VPN của công ty nếu không có sự cho phép bằng văn bản của công ty. Ngoài ra, người dùng không được cài đặt phần mềm cá nhân được thiết kế để cung cấp khả năng điều khiển PC hoặc máy trạm từ xa. Loại truy cập từ xa này bỏ qua các phương pháp truy cập từ xa có độ an toàn cao được ủy quyền và gây ra mối đe dọa cho an ninh của toàn bộ mạng.

8. PHẠT ĐỐI VỚI VI PHẠM AN NINH

Công ty rất coi trọng vấn đề an ninh. Những người sử dụng công nghệ và tài nguyên thông tin của công ty phải biết rằng họ có thể bị kỷ luật nếu vi phạm chính sách này. Khi vi phạm chính sách này, nhân viên của công ty có thể bị kỷ luật lên đến và bao gồm cả việc sa thải. Hình thức kỷ luật cụ thể được áp đặt sẽ được xác định theo từng trường hợp cụ thể, có xem xét tính chất và mức độ nghiêm trọng của việc vi phạm Chính sách An ninh mạng, các vi phạm trước đây đối với chính sách do cá nhân, luật tiểu bang và liên bang thực hiện và tất cả các hành vi khác có liên quan thông tin. Kỷ luật có thể được thực hiện đối với nhân viên sẽ được thực hiện theo bất kỳ quy tắc hoặc chính sách thích hợp nào và Sổ tay Chính sách của công ty.

Trong trường hợp người bị buộc tội không phải là nhân viên của công ty, vấn đề sẽ được trình lên COO toàn cầu. COO toàn cầu có thể chuyển thông tin đến các cơ quan thực thi pháp luật và / hoặc công tố viên để xem xét liệu có nên nộp các cáo buộc hình sự đối với (các) người bị cáo buộc vi phạm hay không.

9. THỦ TỤC XỬ LÝ AN TOÀN

Phần này cung cấp một số hướng dẫn chính sách và thủ tục để xử lý các sự cố bảo mật. Thuật ngữ "sự cố bảo mật" được định nghĩa là bất kỳ sự kiện bất thường hoặc bất lợi nào đe dọa đến tính bảo mật, tính toàn vẹn hoặc tính khả dụng của các nguồn thông tin trên bất kỳ phần nào của mạng công ty. Một số ví dụ về sự cố bảo mật là:

Truy cập bất hợp pháp vào hệ thống máy tính của công ty. Ví dụ: một hacker đăng nhập vào máy chủ sản xuất và sao chép tệp mật khẩu.

Thiệt hại đối với hệ thống máy tính hoặc mạng của công ty do truy cập bất hợp pháp. Việc phát hành vi-rút hoặc sâu sẽ là một ví dụ.

Vi phạm dữ liệu

Tấn công từ chối dịch vụ đối với máy chủ web của công ty. Ví dụ, một tin tặc khởi tạo một loạt các gói tin chống lại một máy chủ Web được thiết kế để gây ra sự cố cho hệ thống.

Sử dụng độc hại tài nguyên hệ thống để tiến hành cuộc tấn công chống lại máy tính khác bên ngoài mạng công ty. Ví dụ: quản trị viên hệ thống nhận thấy một kết nối đến một mạng không xác định và một quá trình lạ tích lũy nhiều thời gian máy chủ.

Nhân viên, những người tin rằng thiết bị đầu cuối hoặc hệ thống máy tính của họ đã gặp sự cố bảo mật, hoặc đã bị truy cập hoặc sử dụng không đúng cách, nên báo cáo tình hình với Quản trị viên CNTT của họ ngay lập tức. Nhân viên không được tắt máy tính hoặc xóa các tệp đáng ngờ. Để máy tính ở tình trạng ban đầu khi sự cố bảo mật được phát hiện sẽ hỗ trợ xác định nguồn gốc của sự cố và xác định các bước cần thực hiện để khắc phục sự cố.

Rủi ro đầy đủ và toàn diện, các bên liên quan, quy trình phân loại, xử lý và báo cáo sự cố nằm trong Kế hoạch Ứng phó Rủi ro & Sự cố của công ty. Những điều này phải được tuân thủ nghiêm ngặt trong bất kỳ sự cố nào.

Tất cả các sự cố sẽ được xử lý theo Kế hoạch Ứng phó Rủi ro & Sự cố.