Bộ các quy định về ATTT đã được BAP ban hành với mục đích quy định và hướng dẫn các bước thực hiện nhằm bảo mật an toàn thông tin, dữ liệu của tất cả nhân viên thuộc các phòng ban trong quá trình làm việc tại Công ty.
Tài liệu sử dụng được dựa theo danh mục tài liệu quy định trong điều khoản A15 – Tiêu chuẩn ISO/IEC 27001:2013.
Mục đích: Bộ quy định này bao gồm các quy định chung cũng như các quy định cho khối Sản xuất và khối Hỗ trợ nhằm đảm bảo nguồn thông tin của công ty không bị rò rỉ ra bên ngoài cũng như nâng cao nhận thức của nhân viên đối với việc bảo đảm an toàn thông tin tại nơi làm việc.
Nội dung: Các quy định chung bao gồm 12 điều
- Quy định về mật khẩu: Cần đổi mật khẩu 3 tháng 1 lần theo quy định của Công ty, không nên tạo những mật khẩu có từ hoặc cụm từ phổ biến. Mật khẩu tối đa 8 ký tự và phải bao gồm ký tự thường, ký tự hoa, số và ký tự đặc biệt.
- Quy định về email: Mỗi nhân viên khi mới vào công ty sẽ có một tài khoản email cá nhân do phía Hành chính nhân sự gửi yêu cầu tạo lập đến phòng IT. Email bị giới hạn truy cập theo bộ phận, mục đích, chức vụ và nhu cầu.
- Quy định truy cập mạng: Việc truy cập mạng sẽ được chia theo loại hình mạng là mạng có dây và mạng không dân. Đối với từng loại hình sẽ có những thiết lập mạng khác nhau và chia theo những nhóm nhỏ khác nhau tùy theo mục đích sử dụng, dựa vào cấu trúc mạng và tính năng mà thiết bị mạng cho phép để mở rộng tùy chỉnh.
- Quy định quản lý truy cập: Dựa vào các vị trí, nhiệm vụ, quyền hạn liên quan mà quyết định việc tiếp cận các thông tin quan trọng của Hệ thống quản lý an toàn thông tin. Khi nhân viên muốn truy cập vào các folder không được cấp quyền, nhân viên thao tác xin cấp quyền ngay trên folder.
- Quy định quản lý thiết bị: Đối với các thiết bị này nếu muốn truy cập từ xa và sử dụng mạng nội bộ công ty, nhân viên cần gửi yêu cầu để được xem xét và cấp quyền truy cập.
- Quy định về máy tính/laptop: Nhân viên chịu trách nhiệm bảo quản máy tính/laptop sau khi được cấp, không được mang máy tính/laptop về nhà. Khi có nhu cầu mang về nhà để đáp ứng yêu cầu công việc, phải được phê duyệt của trưởng bộ phận và giám đốc. Nhân viên phải đảm bảo khóa màn hình và tắt máy khi không cần thiết.
- Quy định về việc sử dụng các thiết bị cá nhân để làm việc: Nhân viên muốn sử dụng thiết bị cá nhân cần gửi yêu cầu sử dụng, đảm bảo người ngoài không truy cập được dữ liệu công ty và chịu trách nhiệm trong việc hư hỏng hay mất cắp thiết bị.
- Quy định về thiết bị sử dụng: Tất cả các thiết bị an toàn có lưu trữ dữ liệu quan trọng của Công ty khi mang ra khỏi phạm vi Công ty đều phải đăng ký với nhân viên kỹ thuật của Phòng IT
- Quy định phần mềm: Các quy định liên quan đến phần mềm được phép và không được phép truy cập, nhân viên tuân thủ quy định của công ty.
- Quy định kiểm soát an toàn vật lý môi trường chung: Cán bộ nhân viên và công ty cần tuân thủ các yêu cầu theo yêu cầu của pháp luật: Tuân thủ Luật phòng cháy chữa cháy của Nhà nước và quy định 924 về phòng cháy chữa cháy.
- Quy định khi khách đến làm việc tại công ty: Đối với khách đến làm việc có hẹn trước, nhân viên có trách nhiệm tiếp khách phải đăng ký trước với nhân viên để sắp xếp phòng làm việc và thủ tục tiếp khách (nếu có).
- Quy định xử lý vi phạm ATTT: Khi có sự cố xảy ra, các sự cố sẽ được giải quyết bởi các bộ phận có liên quan và ban ATTT của công ty.