Quy định quản lý an toàn thông tin người dùng cuối

CÔNG TY CỔ PHẦN HỆ THỐNG CÔNG NGHỆ ETC
QUY ĐỊNH QUẢN LÝ AN TOÀN THÔNG TIN
NGƯỜI DÙNG CUỐI
(Áp dụng đối với cán bộ nhân viên Tập đoàn)
Mã tài liệu QĐ.ETC.01
Lần ban hành 02
Ngày ban hành 22/02/2023
Hà Nội, 2023

Quy định quản lý an toàn thông tin người dùng cuối V1.0
BẢNG GHI NHẬN THAY ĐỔI TÀI LIỆU
Ngày thay đổi Lý do Mục sửa đổi Mô tả thay đổi Lần ban hành
20/02/2023 Update
Template
Update theo
template mới
02
QĐ.ETC.01 Lưu hành nội bộ Trang 2

MỤC LỤC
I. NHỮNG QUY ĐỊNH CHUNG.................................................................................................5
I.1. Mục đích tài liệu....................................................................................................................5
I.2. Phạm vi tài liệu......................................................................................................................5
I.3. Thuật ngữ và các từ viết tắt...................................................................................................5
II. CHÍNH SÁCH BẢO ĐẢM AN TOÀN THÔNG TIN NGƯỜI DÙNG CUỐI....................6
II.1. Chính sách truy cập mạng nội bộ.........................................................................................6
II.2. Chính sách truy cập Internet.................................................................................................6
II.3. Chính sách sử dụng wifi.......................................................................................................7
II.4. Chính sách sử dụng trang thiết bị làm việc..........................................................................7
II.5. Chính sách sử dụng trang thiết bị di động............................................................................8
II.6. Chính sách màn hình sạch và bàn làm việc sạch..................................................................8
II.7. Chính sách phân loại và bảo vệ thông tin.............................................................................9
II.8. Chính sách quản lý tài khoản, mật khẩu...............................................................................9
II.9. Chính sách sử dụng thư điện tử và phần mềm trao đổi nội bộ...........................................10
II.10. Chính sách quản lý phần mềm trên máy tính người dùng cuối........................................11
II.11. Chính sách quản lý an toàn thông tin đối với nhân sự.....................................................12
II.12. Chính sách quản lý an toàn thông tin đối với nhà cung cấp, đối tác hoặc bên thứ ba......13
II.13. Chính sách quản lý truy cập làm việc từ xa.....................................................................13
II.14. Chính sách sử dụng, sao lưu, bảo vệ, chia sẻ tài liệu trên máy chủ dùng chung..............14
II.15. Chính sách bảo đảm an toàn thông tin khi bàn giao máy tính cá nhân............................14
III. ĐIỀU KHOẢN THI HÀNH.................................................................................................15
III.1. Trách nhiệm thực hiện......................................................................................................15
III.2. Điều khoản chung.............................................................................................................16

ĐƠN VỊ ÁP DỤNG
STT Tên đơn vị Ký hiệu
1 Phòng Công nghệ thông tin CNTT
2 Phòng Pháp chế PC
3 Phòng Nhân sự NS
4 Phòng Hành chính HC
5 Phòng Truyền thông TT
6 Phòng Kinh doanh KD
7 Phòng Mua hàng MH
8 Phòng Kế toán KT
9 Phòng Tài chính TC
10 Phòng Thầu PT
11 Phòng Hạ tầng HT
12 Phòng Triển khai TK
13 Trung tâm Giải pháp TTGP
14 Trung tâm Khoa học Thiết bị nghiệp vụ TBNV
15 Trung tâm Dịch vụ công nghệ DVCN
16 Chi nhánh TP Hồ Chí Minh HCM
17 Chi nhánh Đà Nẵng DN
18 Chi nhánh Cần Thơ CT
19 Ban Quản lý dự án Hòa Lạc BQLDA
Người soạn thảo Người kiểm tra Người phê duyệt

I. NHỮNG QUY ĐỊNH CHUNG
I.1. Mục đích tài liệu
1. Thống nhất các quy định về công tác quản lý an toàn thông tin đối với người dùng
cuối tại ETC.
2. Thống nhất cách thức thực hiện, kiểm soát sử dụng và bảo vệ an toàn các phần
mềm ứng dụng, tài sản thông tin, các cách thức truy cập mạng; giảm thiểu khả
năng xâm phạm và tác động, thiệt hại do xâm phạm an toàn thông tin từ phía
người dùng cuối gây ra.
3. Tăng cường khả năng phát hiện việc truy cập, sử dụng trái phép các thiết bị và ứng
dụng công nghệ thông tin từ phía người dùng cuối.
4. Nâng cao nhận thức, ý thức và trách nhiệm của các đơn vị trong Tập đoàn ETC và
cán bộ nhân viên trong việc bảo vệ an toàn thông tin (là tài sản) của Tập đoàn.
I.2. Phạm vi tài liệu
1. Quy định này được áp dụng đối với tất cả các cán bộ nhân viên đang làm việc tại
ETC (không phân biệt loại hợp đồng); trong toàn Tập đoàn ETC, bao gồm: Trụ sở
chính, các Chi nhánh, các công ty con. Sau đây gọi tắt là “Đơn vị”.
I.3. Thuật ngữ và các từ viết tắt
STT Thuật ngữ/chữ viết tắt Mô tả
1 VPN (Virtual Private
Network – mạng riêng
ảo)
Là một mạng dành riêng để kết nối các máy tính
của các công ty, tập đoàn hay các tổ chức với nhau
thông qua Internet công cộng.
2 NDA (Non-Disclosure
Agreement)
Thỏa thuận không tiết lộ. Là một hợp đồng hợp
pháp, xác định thông tin mật và thông qua đó các
bên đồng ý không tiết lộ thông tin được xác định
theo thỏa thuận cho các bên thứ ba.
3 Wifi Viết tắt từ Wireless Fidelity hay mạng 802.11 là hệ
thống mạng không dây sử dụng sóng vô tuyến,
giống như điện thoại di động, truyền hình và radio.

II. CHÍNH SÁCH BẢO ĐẢM AN TOÀN THÔNG TIN NGƯỜI DÙNG CUỐI
II.1. Chính sách truy cập mạng nội bộ
1. Mục đích:
Đảm bảo có thể thiết lập các chính sách và kiểm soát quyền truy cập và sử dụng mạng
nội bộ của người dùng cuối.
2. Nội dung chính sách:
a) Đối với máy tính của Cán bộ nhân viên ETC do ETC cấp và thuộc sở hữu của
ETC. Trước khi truy cập mạng nội bộ cần đảm bảo yêu cầu sau:
- Hệ điều hành phải được cập nhật bản vá mới nhất có thể và đảm bảo tương thích
với các hệ thống ứng dụng của ETC được cài đặt trên máy tính. Thời gian cập nhật
gần nhất không quá 6 tháng so với thời điểm hiện tại;
- Phải được kết nối vào hệ thống Domain Controller (join domain), đăng nhập bằng
tài khoản domain;
- Phải cài đặt phần mềm Anti-virus của ETC và được cập nhật các mẫu mã độc đã
phát hành không quá 15 ngày từ nhà cung cấp;
- Các máy tính phải được đặt tên theo chuẩn như sau: <tên phòng ban>_<tài khoản
domain user>.
b) Đối với máy tính cá nhân không thuộc sở hữu của ETC hoặc máy tính của khách
hàng, đối tác. Cần đảm bảo yêu cầu sau:
- Phải đăng ký địa chỉ MAC với lãnh đạo Phòng Công nghệ thông tin để được xem
xét cấp quyền truy cập mạng nội bộ của ETC;
- Tên máy tính phải có đầy đủ các thông tin: Tên cán bộ nhân viên, phòng ban;
- Hệ điều hành phải cài đặt đầy đủ các bản cập nhật, vá lỗi mới nhất có thể, không
quá 1 tháng so với hiện tại;
- Cài đặt và kích hoạt phần mềm diệt virus (Anti-virus do cá nhân, khách hàng, đối
tác tự trang bị) và cập nhật các mẫu mã độc đã phát hành không quá 5 ngày từ nhà
cung cấp.
II.2. Chính sách truy cập Internet
1. Mục đích:
Hạn chế lây lan virus, mã độc, hạn chế việc sử dụng tài nguyên không phục vụ mục
đích công việc.
a) Chỉ truy cập vào những website phục vụ nhu cầu công việc; danh sách các website
phục vụ công việc phải được sự đồng ý và phê duyệt của lãnh đạo;

b) Không truy cập những website có nguồn gốc không rõ ràng, có mã độc hoặc có
cảnh báo mã độc, website có nội dung giải trí (game online, phim ảnh, bóng đá,
thời trang, …), trang web mang tính chất phản động, đồi trụy;
c) Không tải về các tệp tin có
đuôi .exe, .bat, .com, .mov, .avi, .3gp, .wmv, .mpeg, .eml, .hlp, .js, .jse, .kix, .lnk, .
msi, .ocx, .old, .pif, .scr, .shs, .sys, .vbe, .vbs, .vbx, .wse, .wsh, .wsf, .xml, .bin, .sh,
…; Chỉ được tải về tệp tin văn bản dạng word, excel, ppt, pdf, jpeg, bmp, png, gif;
d) Không mở các thư điện tử lạ, các tệp tin đính kèm hoặc các liên kết trong thư lạ để
tránh virus, mã độc. Thông báo tới IT Service Desk khi thấy email lạ;
e) Không sử dụng các công cụ phần mềm và các biện pháp kỹ thuật dưới mọi hình
thức nhằm chiếm dụng băng thông đường truyền gây tắc nghẽn mạng hoặc gây
thiệt hại cho hệ thống ETC;
f) Không cung cấp hoặc tìm cách gửi thông tin của ETC cho bên thứ ba thông qua
Internet khi chưa được sự phê duyệt của các cấp lãnh đạo có thẩm quyền;
g) Không dùng các phần mềm VPN, Proxy để vượt qua kiểm soát mạng của ETC,
truy cập vào các nội dung bị cấm.
II.3. Chính sách sử dụng wifi
1. Mục đích:
Phòng ngừa các khả năng bị lấy trộm thông tin hoặc bị tấn công qua mạng wifi.
a) Khi sử dụng wifi của ETC, chỉ cho phép truy cập Internet;
b) Không cho phép truy cập các hệ thống nội bộ khác;
c) Không cho phép tự ý cắm thiết bị wifi bên ngoài vào mạng của ETC.
II.4. Chính sách sử dụng trang thiết bị làm việc
1. Mục đích:
Đảm bảo hạn chế tối đa việc thất thoát dữ liệu khi bị tổn thất các tài sản vật lý, xác
định trách nhiệm của người dùng đối với tài sản công nghệ thông tin của tổ chức.
a) Người sử dụng máy tính cá nhân, điện thoại bàn của ETC phải được sử dụng đúng
mục đích và yêu cầu công việc, không tự ý đem ra ngoài tháo lắp hoặc sửa chữa,
khóa máy tính khi không sử dụng. Gửi yêu cầu tới Phòng Công nghệ thông tin để
được hỗ trợ tháo lắp, thay thế thiết bị hỏng;
b) Không được kết nối với các thiết bị ngoại vi (USB, ổ cứng cắm ngoài, đĩa
CD/DVD, máy ảnh, đầu đọc thẻ nhớ, máy nghe nhạc cá nhân, …);

c) Không được tự ý cài đặt hệ điều hành, phần mềm trên máy tính được cấp. Gửi yêu
cầu tới Phòng Công nghệ thông tin để được hỗ trợ cài đặt;
d) Không sử dụng các thiết bị làm việc cho việc riêng, bán, trao đổi, cho mượn hoặc
điều chuyển cho tổ chức, cá nhân khác khi chưa được sự cho phép của quản lý.
II.5. Chính sách sử dụng trang thiết bị di động
1. Mục đích:
Đảm bảo hạn chế nguy cơ bị xâm nhập trái phép, đánh cắp thông tin thông qua các
thiết bị di động của người dùng và mạng không dây.
a) Không được sử dụng laptop cá nhân (không do ETC cấp, chưa được phê duyệt) để
kết nối vào mạng nội bộ của ETC;
b) Không sử dụng laptop cá nhân, ổ cứng di động cá nhân, thiết bị lưu trữ di động cá
nhân, … để lưu trữ tài liệu của ETC;
c) Cán bộ nhân viên ETC chỉ được phép sử dụng các thiết bị di động kết nối với hệ
thống của ETC khi các thiết bị di động này đáp ứng các yêu cầu của ETC (Cài đặt
hệ điều hành mới và cập nhật mới nhất, được cài đặt phần mềm an ninh, không cài
đặt các phần mềm lạ, …) và được lãnh đạo có thẩm quyền phê duyệt;
d) Không tự ý sử dụng các thiết bị thu/phát không dây (ví dụ: USB 3G/4G, bộ phát
wifi, bộ kích sóng, …) có khả năng truyền dữ liệu kết nối vào mạng nội bộ của
ETC khi chưa được phê duyệt của cấp có thẩm quyền. Không phát wifi từ laptop
đang kết nối với mạng nội bộ của ETC;
e) Để ngăn chặn truy cập trái phép, thiết bị phải được mã hóa hoặc được bảo vệ bằng
mật khẩu mạnh. Tham chiếu điều II.8 của Quy định này.
II.6. Chính sách màn hình sạch và bàn làm việc sạch
1. Mục đích:
Quản lý chặt chẽ, hạn chế việc bị mất, quên, xóa những tài liệu quan trọng hoặc dữ
liệu nhạy cảm.
a) Bàn làm việc sạch
- Thông tin nhạy cảm lưu trữ dưới dạng văn bản hoặc trong các thiết bị lưu trữ di
động khi không sử dụng đều phải được cất giữ trong tủ có khóa hoặc két sắt,
phòng tránh truy cập trái phép. Không đặt các thông tin nhạy cảm trên mặt bàn;
- Trước khi rời khỏi văn phòng làm việc, cán bộ nhân viên phải cất tài liệu vào ngăn
kéo, tủ và khóa lại;

- Tất cả các tài liệu nhạy cảm khi được in, copy hoặc truyền nhận fax phải được
kiểm soát, thu hồi ngay sau khi thực hiện xong;
- Tài liệu in sai/hỏng/thừa/không sử dụng cần được hủy ngay lập tức bằng máy hủy
tài liệu.
b) Màn hình sạch
- Người dùng phải khóa máy ngay trước khi rời khỏi bàn làm việc và các máy tính
của ETC phải được áp dụng chế độ tự động khóa màn hình sau 10 phút không sử
dụng;
- Không lưu trữ các file văn bản có thông tin quan trọng và nhạy cảm (dạng word,
excel, ...) trên màn hình desktop;
- Không dán thông tin nhạy cảm trên màn hình (sticky note, …);
- Xóa sạch nội dung trên bảng phòng họp khi cuộc họp kết thúc và rời khỏi phòng
họp.
II.7. Chính sách phân loại và bảo vệ thông tin
1. Mục đích:
Đảm bảo các yêu cầu về an toàn thông tin đối với việc quản lý dữ liệu, phục vụ trong
việc áp dụng công nghệ và chính sách phòng chống thất thoát dữ liệu, nâng cao ý thức và
nhận thức của người dùng cuối về các mức độ bảo mật của dữ liệu.
a) Cán bộ nhân viên ETC phân loại thông tin mà mình quản lý, thực hiện gán nhãn
và bảo vệ dựa trên các yếu tố giá trị, yêu cầu pháp lý, độ nhạy cảm, tầm quan
trọng và tác động của việc tiết lộ trái phép hoặc sửa đổi;
b) Các máy tính cần được cài đặt phần mềm phòng chống mã độc (Anti-virus);
c) Các máy tính xử lý các dữ liệu quan trọng cần được cài đặt phần mềm phòng
chống thất thoát dữ liệu (DLP – Data Loss Prevention) theo lộ trình triển khai
phòng chống thất thoát dữ liệu.
II.8. Chính sách quản lý tài khoản, mật khẩu
1. Mục đích:
Đảm bảo tính bảo mật thông tin, tránh bị đánh cắp tài khoản, mật khẩu của người
dùng.
a) Tài khoản và mật khẩu người dùng phải được sử dụng và quản lý an toàn, phải
tuân thủ các quy tắc sử dụng và đặt mật khẩu an toàn theo quy định của ETC;

b) Mật khẩu người dùng, mật khẩu tài khoản truy cập hệ thống phải đáp ứng yêu cầu
là mật khẩu mạnh: Chiều dài tối thiểu 8 ký tự, có đủ 3 trong 4 yếu tố bảo mật mật
khẩu (chữ thường, chữ hoa, chữ số và ký tự đặc biệt);
c) Người dùng không được phép chia sẻ, tiết lộ thông tin tài khoản/mật khẩu của
mình cho người khác. Không ghi tài khoản/mật khẩu lên các phương tiện thông tin
như giấy, tập tin trên máy tính, bảng khảo sát, …;
d) Mật khẩu tài khoản ETC phải khác với các mật khẩu của tài khoản cá nhân;
e) Không sử dụng cùng một mật khẩu cho nhiều tài khoản khác nhau (tài khoản đăng
nhập máy tính, tài khoản truy cập ứng dụng, …);
f) Người dùng phải thay đổi mật khẩu truy cập hệ thống tối đa sau 60 ngày. Sau 60
ngày, nếu người dùng không thay đổi mật khẩu theo quy định thì tài khoản sẽ bị
vô hiệu hóa;
g) Các tài khoản của nhân viên sau 90 ngày không sử dụng, tài khoản của cấp lãnh
đạo sau 180 ngày không sử dụng phải được vô hiệu hóa hoặc xóa bỏ;
h) Người dùng phải đổi mật khẩu ngay trong lần truy cập đầu tiên hoặc ngay khi nghi
ngờ mật khẩu có khả năng bị lộ;
i) Mật khẩu không được trùng với 2 mật khẩu đã được sử dụng gần nhất trước đó;
j) Mật khẩu mặc định của nhà cung cấp phải được thay đổi ngay trong quá trình cài
đặt;
k) Nghiêm cấm việc chia sẻ mật khẩu hoặc các yếu tố xác thực khác (mã OTP, thẻ,
token, …) với các cá nhân khác;
l) Cán bộ công nghệ thông tin quản trị tài khoản phải kiểm tra, xác minh danh tính
người sử dụng trước khi cung cấp, đổi mật khẩu hoặc giải khóa tài khoản;
m) Tài khoản quản trị, dịch vụ và vận hành không được dùng chung với tài khoản
người dùng;
n) Không lưu tài khoản, mật khẩu trên các trình duyệt khi sử dụng truy cập vào các
trang web, đăng xuất khỏi các tài khoản khi đã sử dụng xong.
II.9. Chính sách sử dụng thư điện tử và phần mềm trao đổi nội bộ
1. Mục đích:
Đảm bảo sử dụng đúng mục đích, an toàn, bảo mật thông tin trong các hoạt động trao
đổi thông tin qua kênh thư điện tử và phần mềm trao đổi nội bộ của ETC.
a) Thư điện tử và các thông tin trao đổi qua thư điện tử của ETC là tài sản thông tin
của ETC. Nhân viên ETC sử dụng tài khoản thư điện tử của mình để đăng nhập và

sử dụng phần mềm trao đổi nội bộ (Teams). ETC có toàn quyền sử dụng, kiểm
soát tài khoản này. Tất cả các cán bộ nhân viên ETC sẽ bị thu hồi thư điện tử do
ETC cung cấp khi chấm dứt hợp đồng lao động với ETC;
b) Thư điện tử và Teams cung cấp cho các cán bộ nhân viên là tài sản của ETC nên
phải sử dụng cho các hoạt động kinh doanh và phục vụ nhu cầu công việc của
ETC;
c) Không được phép sử dụng các hộp thư điện tử khác không phải do ETC cung cấp
để trao đổi các hoạt động kinh doanh, công việc của ETC;
d) Thư điện tử của tất cả các cán bộ nhân viên ETC phải được cài đặt chữ ký số;
e) Để đảm bảo không bị lây nhiễm virus, bị tấn công bằng các phần mềm độc hại,
người dùng không mở các thư điện tử lạ không rõ nguồn gốc;
f) Không sử dụng thư điện tử của ETC và Teams cho mục đích cá nhân hoặc các
mục đích làm tổn hại đến ETC, vi phạm Pháp luật Việt Nam. Không sử dụng cho
mục đích chống phá, xuyên tạc đường lối kinh tế, chính sách, xã hội, chính trị, tôn
giáo của Nhà nước Cộng hòa xã hội chủ nghĩa Việt Nam;
g) Không phát ngôn tùy tiện, bày tỏ quan điểm tiêu cực, vi phạm quy định của ETC;
h) Không được sử dụng thư điện tử và Teams để thực hiện các hành vi quấy rối về
tình dục, đạo đức hay phân biệt chủng tộc;
i) Không gửi danh sách địa chỉ thư (contact list) của ETC ra bên ngoài;
j) Người dùng phải chịu trách nhiệm đảm bảo an toàn, an ninh thông tin khi sử dụng
thư điện tử và Teams, không sử dụng để phát tán mã độc hoặc tấn công mạng.
II.10. Chính sách quản lý phần mềm trên máy tính người dùng cuối
1. Mục đích:
Giới hạn những phần mềm được phép sử dụng trên máy trạm để phục vụ hoạt động
kinh doanh, công việc của ETC.
a) Các phần mềm cài vào máy tính của ETC đều phải có nguồn gốc xác thực, có bản
quyền. Không sử dụng các phần mềm vi phạm các thỏa thuận/giấy phép bản
quyền theo quy định của Pháp luật;
b) Phần mềm cài trên thiết bị của người dùng cuối phải do phòng Công nghệ thông
tin thực hiện cài đặt hoặc hướng dẫn người dùng cài đặt, căn cứ vào chức năng,
nhiệm vụ của từng cá nhân và nhu cầu cụ thể của từng đơn vị của ETC;
c) Phòng Công nghệ thông tin chịu trách nhiệm đề xuất, xây dựng và duy trì một
danh mục phần mềm hợp lệ, đảm bảo chất lượng, khả năng kiểm soát, khả năng

tương thích được phép sử dụng tại ETC. Các bản cài đặt tiêu chuẩn hoặc ảnh cài
đặt sẵn phải do nhân viên phòng Công nghệ thông tin thực hiện và không bị thay
đổi khi cài đặt tới từng máy cá nhân;
d) Các nhu cầu cài đặt phần mềm của người dùng cuối đều lấy nguồn từ danh mục
trên;
e) Tất cả người dùng cuối sử dụng máy tính do ETC cấp đều phải cài đặt phần mềm
chống virus và đảm bảo phần mềm được cập nhật cơ sở dữ liệu virus mới nhất từ
máy chủ. Nếu chưa được cài, người dùng phải gửi yêu cầu tới IT Nội bộ thông qua
hệ thống Helpdesk (ServiceDesk, Redmine, …) để yêu cầu cài đặt;
f) Tất cả các máy người dùng đều phải cài đặt Anti - virus Agent;
g) Việc bổ sung/loại bỏ các phần mềm trong danh mục phần mềm được phép cài đặt
do: Trưởng phòng công nghệ thông tin và Ban lãnh đạo xem xét, quyết định.
II.11. Chính sách quản lý an toàn thông tin đối với nhân sự
1. Mục đích:
Đảm bảo người lao động có nhận thức và trách nhiệm về an toàn, bảo mật thông tin
trước khi nhận nhiệm vụ, trong quá trình công tác, thực hiện nhiệm vụ và sau khi nghỉ
việc.
a) Cán bộ nhân viên mới được tuyển dụng phải được ký NDA;
b) Cán bộ nhân viên đang làm việc tại ETC phải hoàn thành chương trình đào tạo
trực tuyến, ngoại tuyến, ... về an toàn thông tin và vượt qua bài thi. Nếu không
vượt qua, cán bộ sẽ được yêu cầu học lại và thực hiện thi lại;
c) Lãnh đạo đơn vị có người được tuyển dụng có trách nhiệm phổ biến và cập nhật
quy định về an toàn, bảo mật thông tin cho cán bộ nhân viên;
d) Lãnh đạo đơn vị yêu cầu và kiểm tra việc thi hành các quy định về an toàn, bảo
mật thông tin của cá nhân, tổ chức thuộc đơn vị;
e) Cán bộ sau khi chấm dứt hợp đồng hoặc thay đổi công việc, cần bàn giao lại cho
quản lý trực tiếp tài khoản, quyền truy cập hệ thống công nghệ thông tin mà cán
bộ đó đang thực hiện công việc;
f) Cán bộ nhân viên ETC phải làm biên bản bàn giao tài sản và thực hiện hoàn trả
mọi tài sản có chứa thông tin của ETC mà họ quản lý, sử dụng ngay khi chấm dứt
công việc, chấm dứt hợp đồng theo các điều khoản đã được ký kết;
g) Cán bộ sau khi chấm dứt hợp đồng hoặc thay đổi công việc vẫn tiếp tục tuân thủ
các quy định theo thoả thuận bảo mật thông tin đã kí kết với ETC.

II.12. Chính sách quản lý an toàn thông tin đối với nhà cung cấp, đối tác hoặc bên
thứ ba
1. Mục đích:
Đảm bảo an ninh thông tin và an toàn dữ liệu cho hệ thống của ETC khi nhà cung
cấp/đối tác hoặc bên thứ ba truy cập vào dữ liệu nội bộ của ETC.
a) Chỉ cung cấp thông tin hoặc đề nghị phòng Công nghệ thông tin cấp tài khoản cho
nhà cung cấp/đối tác hoặc bên thứ ba khi có sự phê duyệt của Ban lãnh đạo hoặc
người được ủy quyền;
b) Chỉ cấp tài khoản tạm thời (có thời hạn) cho nhà cung cấp/đối tác/bên thứ ba để
phục vụ công việc, thu hồi tài khoản đã cung cấp sau khi hoàn thành công việc.
Việc bàn giao phải được ghi nhận cụ thể bằng biên bản;
c) Phòng Công nghệ thông tin tiến hành vô hiệu hóa, xóa bỏ hoặc thay đổi ngay các
khóa, mật khẩu tạm thời được bàn giao cho đối tác sau khi đối tác kết thúc công việc;
d) Nhà cung cấp, đối tác hoặc bên thứ ba phải ký NDA khi làm việc tại ETC, hoặc
khi sử dụng thông tin của ETC để làm việc.
II.13. Chính sách quản lý truy cập làm việc từ xa
1. Mục đích:
Quản lý việc cấp quyền cho người dùng truy cập vào mạng nội bộ ETC từ các máy
tính bên ngoài. Hạn chế các nguy cơ bị tấn công hoặc sử dụng sai mục đích từ tài khoản
cung cấp cho người dùng ngoại lệ từ mạng bên ngoài truy cập vào mạng nội bộ để làm
việc
a) Người dùng truy cập làm việc từ xa vào mạng nội bộ ETC đều phải thực hiện đăng
ký bằng văn bản và được sự phê duyệt của Trưởng bộ phận hoặc người được ủy
quyền;
b) Việc kết nối bắt buộc phải thông qua mạng riêng ảo VPN, và xác thực hai yếu tố
(Tài khoản/mật khẩu và mã OTP). Việc sử dụng tài khoản và mật khẩu cần tuân
thủ theo các quy định xác thực người dùng;
c) Đối với các tài khoản và chứng thư số được sử dụng để xác thực truy cập mạng từ
xa cần được kiểm soát thời gian sử dụng, thời điểm bắt đầu và thời điểm kết thúc.
Khoảng thời gian cấp phép truy cập tính từ khi bắt đầu đến thời điểm kết thúc
không quá 60 ngày đối với kết nối xác thực bằng mật khẩu và 01 năm đối với kết
nối xác thực bằng chứng thư số. Sau khi hết hạn, nếu cần gia hạn và được phê

duyệt, tài khoản và chứng thư số bắt buộc phải thay đổi, tạo mới với nội dung mật
khẩu hoặc mã hóa khác hoàn toàn với mật khẩu và mã hóa cũ;
d) Máy tính cá nhân kết nối từ xa vào mạng nội bộ ETC vẫn phải được đảm bảo các
yếu tố bảo mật cần thiết: Phần mềm Anti-virus, được cập nhật nhận dạng virus
mới nhất và có hiệu lực, tường lửa cá nhân được kích hoạt với mọi kết nối mạng
(trừ kết nối truy cập từ xa), hệ điều hành và các phần mềm cài đặt phải cập nhật,
vá lỗi bảo mật mới nhất;
e) Mọi hoạt động tạo/ngắt phiên kết nối truy cập từ xa đều phải ghi nhận vào nhật ký
để phục vụ mục đích kiểm soát, truy vết;
f) Không sử dụng các máy tính, wifi công cộng (tại cửa hàng Internet công cộng, tại
các máy tính miễn phí ở nhà hàng, sân bay, …) để truy cập mạng nội bộ ETC làm
việc từ xa;
g) Nghiêm cấm việc sử dụng kết nối VPN để thực hiện các hành vi vi phạm pháp luật
hoặc các hành vi gây rủi ro, mất an ninh thông tin cho ETC.
II.14. Chính sách sử dụng, sao lưu, bảo vệ, chia sẻ tài liệu trên máy chủ dùng chung
1. Mục đích:
Đảm bảo dữ liệu được bảo vệ, chia sẻ, sao lưu dự phòng, đầy đủ và toàn vẹn, phục vụ
cho công việc chung của tổ chức, kể cả trong trường hợp máy tính cá nhân người dùng bị
hỏng hóc, phá hủy, đánh cắp, …
a) Người dùng được phép chia sẻ dữ liệu trên các thư mục được cấp quyền hoặc các
thư mục công khai;
b) Người dùng chỉ được phép lưu trữ dữ liệu cá nhân và phục vụ công việc trên các
máy tính do ETC cung cấp và/hoặc trên các thư mục dùng chung được phân
quyền theo từng đơn vị sử dụng;
c) Khi thực hiện lưu trữ cần tuân thủ “II.7. Chính sách phân loại và bảo vệ thông tin”
– thuộc Quy định này;
d) Các dữ liệu không phải công việc của ETC như: âm nhạc cá nhân, hình ảnh cá
nhân, phim cá nhân, … không được lưu trữ trên máy chủ hoặc các thư mục dùng
chung;
e) Không được chia sẻ các nguồn tài nguyên trên máy tính do ETC cung cấp qua
Internet cho người khác.
f) Phải sao lưu dữ liệu trên file server, tránh các mã độc mã hóa thông tin.

II.15. Chính sách bảo đảm an toàn thông tin khi bàn giao máy tính cá nhân
1. Mục đích:
Đảm bảo dữ liệu được bảo vệ trong trường hợp chuyển đổi mục đích sử dụng hoặc
người sử dụng.
a) Đối với người dùng nghỉ việc, chuyển việc, máy tính cá nhân của người dùng sẽ
được phòng Vận hành thu hồi và chuyển sang phòng Công nghệ thông tin đẻ thực
hiện bảo vệ dữ liệu cũ trong máy và thực hiện cài đặt mới;
b) Đối với người dùng nghỉ việc, chuyển việc, máy tính cá nhân của người dùng
không bàn giao cho phòng Vận hành mà bàn giao cho phụ trách bộ phận. Phụ
trách bộ phận có trách nhiệm liên hệ cán bộ Công nghệ thông tin để được hỗ trợ
xóa bỏ, ghi đè toàn bộ dữ liệu trên thiết bị đó và cài đặt lại toàn bộ các phần mềm
phù hợp với công việc của nhân viên mới trước khi chuyển giao sử dụng cho
người đó;
c) Chỉ có cán bộ phòng Công nghệ thông tin hoặc phòng Bảo hành khi được yêu cầu
mới được sửa chữa phần cứng máy tính. Khi máy tính do bắt buộc phải đem ra
ngoài sửa (không do cán bộ phòng Công nghệ thông tin sửa chữa) thì cán bộ phòng
Công nghệ thông tin cần giữ lại ổ cứng để tránh mất mát thông tin.
III. ĐIỀU KHOẢN THI HÀNH
III.1. Trách nhiệm thực hiện
1. Phòng Pháp chế
Phối hợp với phòng Công nghệ thông tin và các phong ban liên quan xây dựng, cập
nhật các chính sách đảm bảo an toàn thông tin cho người dùng cuối;
2. Phòng Hành chính
Phối hợp với các bộ phận liên quan giám sát việc thực hiện quy định và ứng phó với
các sự cố mất an toàn thông tin.
3. Phòng Công nghệ thông tin
a) Định kỳ hàng tháng hoặc khi có trường hợp vi phạm nghiêm trọng quy định, gửi
báo cáo tới Ban Lãnh đạo;
b) Cài đặt, cấu hình và quản trị các hệ thống để thực hiện theo các điều được nêu
trong Quy định này;
c) Triển khai các dự án cần thiết để đảm bảo thực hiện đầy đủ các yêu cầu được nêu
trong Quy định này;
d) Quản trị vận hành các chính sách an toàn thông tin người dùng cuối.

e) Tiếp nhận yêu cầu, hỗ trợ cài đặt, cấu hình máy tính người dùng theo tiêu chuẩn
của ETC, join domain và cài đặt phần mềm Anti-virus, cài đặt các phần mềm phù
hợp với chức năng, nhiệm vụ theo yêu cầu công việc;
f) Cập nhật các bản vá hệ điều hành, phần mềm Anti-virus, …;
g) Đề xuất, xây dựng và duy trì một danh mục phần mềm hợp lệ, đảm bảo chất
lượng, khả năng kiểm soát, khả năng tương thích được phép sử dụng tại ETC;
h) Tiếp nhận bàn giao, xử lý dữ liệu và cài đặt lại các máy tính của nhân viên nghỉ
việc, chuyển việc theo II.15 của Quy định này.
4. Toàn thể cán bộ nhân viên ETC
a) Nghiêm túc tuân thủ những nội dung trong Quy định này;
b) Báo cáo tới lãnh đạo đơn vị, ban lãnh đạo nếu phát hiện các trường hợp vi phạm
Quy định này.
III.2. Điều khoản chung
Những vấn đề chưa được đề cập đến trong Quy định này, sẽ được thực hiện theo các
quy định có liên quan của Pháp luật Việt Nam và quy định khác của ETC. Khi có những
nội dung nào trong văn bản này không còn phù hợp với Pháp luật Việt Nam, quy định của
Tập đoàn thì nội dung đó đương nhiên hết hiệu lực, đơn vị soạn thảo phải báo cáo ngay
cho cấp ban hành văn bản để chỉ đạo xử lý kịp thời.

Quy định quản lý an toàn thông tin người dùng cuối

Recommended

Recommended

More Related Content

Similar to Quy định quản lý an toàn thông tin người dùng cuối

Similar to Quy định quản lý an toàn thông tin người dùng cuối (20)

Recently uploaded

Recently uploaded (20)

Quy định quản lý an toàn thông tin người dùng cuối