Chính sách an ninh thông tin

Chính sách An ninh Thông tin đề ra những quy định cơ bản về việc bảo vệ thông tin, giúp đưa ra các quyết định trong việc quản lý an ninh, và định hướng những mục tiêu nhằm thiết lập, tăng cường và đảm bảo việc kiểm soát an ninh thông tin tốt nhất. Chính sách này bao phủ tất cả thông tin và hệ thống thông tin để bao gồm các thông tin và hệ thống thông tin được sử dụng, quản lý và bận hành bởi công ty trên trang web này. Chính sách An ninh Thông tin bảo vệ tính bảo mật, tính toàn vẹn và tính sẵn sàng của dữ liệu, để phân loại và xử lý thông tin, và để giải quyết các hành vi vi phạm Chính sách này.

Chính sách An ninh Thông tin cung cấp một bộ các biện pháp bảo vệ tích hợp được áp dụng nhất quán trên trang web của chúng tôi để đảm bảo một môi trường vận hành an toàn.

MỤC ĐÍCH

Việc quản lý An ninh Thông tin là việc lựa chọn hợp lý và triển khai hiệu quả các phương pháp kiểm soát phù hợp để bảo vệ các tài sản thông tin quan trọng của tổ chức. Các biện pháp kiểm soát và quá trình quản lý, cùng với việc theo dõi sát sao mức độ phù hợp và hiệu quả, hình thành nên hai yếu tố chính của chương trình An ninh Thông tin. Ba mục tiêu của An ninh Thông tin bao gồm:

• Tính bảo mật: Bảo vệ các thông tin nhạy cảm khỏi bị tiết lộ cho các cá nhân hoặc hệ thống không được cấp quyền;
• Tính toàn vẹn: Bảo vệ độ chính xác, hoàn thiện, và tức thời của thông tin;
• Tính sẵn sàng: Đảm bảo rằng thông tin và các dịch vụ cần thiết sẵn sàng cho người dùng có quyền hạn khi yêu cầu.

QUY MÔ

Chính sách này được áp dụng cho tất cả nhân viên, nhà thầu, đối tác, Thực tập sinh đang làm việc tại công ty chúng tôi. Các nhà cung cấp dịch vụ bên thứ ba cung cấp các dịch vụ máy chủ hoặc nơi mà dữ liệu được lưu trữ ngoài các cơ sở của Công ty, cũng sẽ phải tuân thủ chính sách này.

Quy mô của Chính sách An ninh Thông tin này là những Thông tin được lưu trữ, giao tiếp và xử lý trong phạm vi công ty chúng tôi và các dữ liệu của công ty trên khắp các địa điểm thuê ngoài.

MỤC TIÊU

Mục tiêu của Chính sách An ninh Thông tin là cung cấp cho công ty chúng tôi một cách tiếp cận để quản lý các rủi ro về thông tin và các chỉ thị bảo vệ tài sản thông tin tới tất cả các bộ phận và các nhà thầu cung cấp dịch vụ.

PHÂN LOẠI TÀI SẢN THÔNG TIN

Các tài sản thông tin của công ty được phân loại thành bốn nhóm: Công khai, Nội bộ, Bảo mật, và Hạn chế. Tất cả các tài sản thông tin quan trọng phải có một người sở hữu được chỉ định, chịu trách nhiệm thiết lập các quy trình xác minh và phân quyền phù hợp với các nhóm thông tin, lưu ý rằng:

1. Thông tin công khai nhìn chung có thể công bố hoặc chia sẻ tới công chúng nói chung. Đây là những thông tin không yêu cầu bảo vệ và khi sử dụng đúng mục đích sẽ không có hoặc có ít ảnh hưởng tiêu cực tới việc điều hành công ty, các tài sản và danh tiếng của công ty, cũng như các nghĩa vụ của công ty liên quan đến quyền riêng tư về thông tin.
2. Thông tin bảo mật chỉ được sử dụng nội bộ và chỉ có các nhân sự cần thông tin đó để thực hiện các nhiệm vụ công việc được quyền truy cập (thông tin bảo mật bao gồm các thông tin được bảo vệ bởi luật pháp Bang hoặc các nghĩa vụ trong hợp đồng kinh doanh) và yêu cầu các biện pháp bảo vệ quyền riêng tư và an toàn.
3. Thông tin bị hạn chế được giữ bảo mật nghiêm ngặt và chỉ những người thực sự “cần biết” mới được phép truy cập. Các ví dụ bao gồm thông tin có thể ảnh hưởng đến lợi ích quốc gia và/hoặc an ninh quốc gia.

Tất cả nhân viên nên ý thức được trách nhiệm về mặt pháp lý và trách nhiệm đối với công ty liên quan đến việc sử dụng, chia sẻ hoặc phát tán thông tin cho một bên khác. Bất kỳ bên thứ ba nào nhận được thông tin bảo mật hoặc bị hạn chế phải được cấp quyền để thực hiện điều đó và cá nhân đó hoặc tổ chức của họ phải thực hiện các biện pháp an ninh thông tin nhằm đảm bảo tính bảo mật và toàn vẹn của dữ liệu.

Thông tin bảo mật cần được bảo vệ để phòng ngừa việc truy cập hoặc tiết lộ trái phép.

Thông tin bị hạn chế có độ nhạy cảm cao nhất và thể hiện rủi ro cao nhất đối với công ty, tiểu Bang và các cá nhân nếu thông tin đó bị xử lý hay tiết lộ cho những bên không được phép. Do đó, các nhân viên của công ty chịu trách nhiệm xử lý Thông tin bị hạn chế hoặc sử dụng các hệ thống để lưu trữ, truyền tải, hoặc sửa đổi các Thông tin bị hạn chế được yêu cầu phải bảo toàn tính bảo mật, tính toàn vẹn và tính sẵn sàng của những thông tin/dữ liệu này ở mọi thời điểm.

QUẢN TRỊ AN NINH THÔNG TIN 

Việc quản trị an ninh thông tin bao gồm việc lãnh đạo, các cấu trúc tổ chức và quy trình bảo vệ thông tin và giảm thiểu việc phát sinh các mối lo về an ninh thông tin.

Các kết quả quan trọng của quản trị an ninh thông tin bao gồm:

• Đảm bảo an ninh thông tin phù hợp với chiến lược kinh doanh để hỗ trợ cho các mục tiêu của tổ chức
• Quản lý và giảm thiểu các rủi ro đồng thời giảm các tác động tiềm ẩn lên các nguồn thông tin ở một mức độ chấp nhận được
• Quản lý hiệu suất an ninh thông tin bằng cách đo lường, giám sát và báo cáo các chỉ số về quản trị an ninh thông tin để đảm bảo đạt được các mục tiêu tổ chức
• Tối ưu hóa các khoản đầu tư vào an ninh thông tin để hỗ trợ các mục tiêu tổ chức. Việc xem xét đến tính cần thiết đối với tổ chức và các lợi ích của quản trị an ninh thông tin là rất quan trọng.

TRÁCH NHIỆM

Bộ phận Marketing chịu trách nhiệm cho các nội dụng trên web và đảm bảo rằng các nội dung này đạt các yêu cầu về pháp lý và tuân thủ chính sách.

Bộ phận CNTT chịu trách nhiệm cho độ an toàn, khả năng hoạt động và cơ sở hạ tầng của trang web. Các Quản trị viên Hệ thống sẽ giám sát trang web để theo dõi thời gian phản hồi và giải quyết bất kỳ vấn đề nào phát sinh.

NHẬN THỨC VÀ TRUYỀN THÔNG

Điều quan trọng là tất cả các khía cạnh của an ninh thông tin, bao gồm tính bảo mật, sự riêng tư và các quy trình liên quan đến việc truy cập hệ thống, phải được kết hợp vào các quy trình đào tạo chính thức cho nhân viên mới và phổ biến cho các nhân viên hiện tại thường xuyên.

Khi bắt đầu làm việc, nhân viên cần được thông báo rằng họ không được tiết lộ bất kỳ thông tin nào mà họ có thể được quyền tiếp cận trong quy trình làm việc thông thường. Nhân viên cũng cần được thông báo rằng họ không nên tìm cách truy cập các dự liệu không cần thiết cho công việc hàng ngày của họ.