iso 27001 chính sách kiểm soát mã hóa

CHỨNG NHẬN ISO 27001 – HỆ THỐNG QUẢN LÝ AN NINH THÔNG TIN

Để giúp các công ty có thể hình dung về hệ thống quản lý an ninh thông tin, chúng tôi sẽ tạo một số bài viết về các chính sách an ninh thông tin phù hợp cho chứng nhận ISO 27001. Các tài liệu chúng tôi đưa ra mang tính chất tham khảo, không phải là mẫu chuẩn.

Chính sách là tài liệu thể hiện cam kết của lãnh đạo và là định hướng mà tất cả các hoạt động trong phạm vi áp dụng sẽ hướng theo chính sách này.

CHÍNH SÁCH KIỂM SOÁT MÃ HÓA

Mã số: CS05

Lần ban hành: 01

Mục đích

Đưa ra chính sách an ninh truy cập hệ thống và các ứng dụng.

Phạm vi áp dụng

Chính sách này áp dụng cho tất cả công chức, viên chức trong Trung tâm và các bên có liên quan có thẩm quyền truy cập vào hệ thống và ứng dụng.

Định nghĩa:
Nội dung:

4.1. Nguyên tắc chung:

Tất cả các dữ liệu quan trọng, nhạy cảm của đơn vị phải được mã hóa hoặc đặt mật khẩu bảo vệ khi chuyển ra bên ngoài.
Tất cả các phương tiện như: máy tính xách tay, đĩa cứng di động, USB, thẻ nớ nhớ,…phải được mã hóa hoặc đặt mật khẩu.
Tất cả các dịch vụ truy cập từ xa phải được mã hóa đảm bảo an toàn thông tin.
Mạng không dây phải sử dụng cơ chế mã hóa mạnh khi sử dụng.
Thư điện tử, tệp tin đính kèm quan trọng hoặc nhạy cảm phải được mã hóa, đặt mật khẩu mạnh khi gửi ra ngoài.
Các giao tiếp, kết nối đến cổng/trang thông tin điện tử, thư điện tử, các ứng dụng khác trên Trung tâm tích hợp dữ liệu phải được mã hóa.

4.2. Mã hóa theo phân loại:

Tất cả các thông tin được đánh dấu là bảo mật, bảo mật cao được coi là nhạy cảm hoặc quan trọng của chính sách này.

4.3. Mã hóa dữ liệu khi di chuyển:

Dữ liệu nhạy cảm hoặc quan trọng trong việc vận chuyển luôn luôn phải được mã hóa. Dữ liệu công khai có thể được gửi không được mã hóa.

4.4. Quản lý khóa:

Các giải pháp mã hóa dữ liệu phải được Ban giám đốc chấp thuận trước khi triển khai trong toàn đơn vị. Việc quản lý khóa mã hóa dữ liệu của Trung tâm tích hợp dữ liệu được quản lý bởi bộ phận quản trị Trung tâm tích hợp dữ liệu.

Thông tin xác thực người dùng

Các thông tin của người phụ trách truy cập, kết nối vào hệ thống quản trị thiết bị phần cứng, ứng dụng phần mềm phải được mã hóa hoặc được bảo vệ bằng mật khẩu mạnh theo chính sách mật khẩu như sau:

– Chế độ nhớ mật khẩu cũ là: 5 mật khẩu

– Thời gian hết hạn của mật khẩu là: 60 ngày

– Chiều dài mật khẩu tối thiểu là 10 ký tự

– Mật khẩu có tính phức tạp gồm: ký tự hoa, ký tự thường, ký tự số, ký tự đặc biệt.

– Thiết bị tự động thoát khỏi tài khoản khi không sử dụng trong thời gian 5 phút.

– Tài khoản đăng nhập thất bại 05 lần sẽ tự động bị khóa trong 10 phút.

Các thông tin của người dùng khi truy cập vào hệ thống ứng dụng phải được mã hóa hoặc đặt mật khẩu mạnh để đảm bảo an toàn thông tin trong quá trình sử dụng.

4.6. Vai trò và trách nhiệm:

Tất cả các cá nhân chịu trách nhiệm đảm bảo rằng dữ liệu nhạy cảm hoặc quan trọng được mã hóa trước khi gửi đi.

Liên lạc với chúng tôi để chúng tôi hỗ trợ bạn trong việc triển khai ISO 27001 và chứng nhận bởi TNV-SIGMA CERT.

le vantam