CHỨNG NHẬN ISO 27001 – HỆ THỐNG QUẢN LÝ AN NINH THÔNG TIN
Để giúp các công ty có thể hình dung về hệ thống quản lý an ninh thông tin, chúng tôi sẽ tạo một số bài viết về các chính sách an ninh thông tin phù hợp cho chứng nhận ISO 27001. Các tài liệu chúng tôi đưa ra mang tính chất tham khảo, không phải là mẫu chuẩn.
Chính sách là tài liệu thể hiện cam kết của lãnh đạo và là định hướng mà tất cả các hoạt động trong phạm vi áp dụng sẽ hướng theo chính sách này.
CHÍNH SÁCH LÀM VIỆC TỪ XA
Mã số: CS06
Lần ban hành: 01
- Mục đích
- Đưa ra chính sách đảm bảo an toàn an ninh thông tin khi truy cập từ xa hệ thống và các ứng dụng hoạt động trên Trung tâm tích hợp dữ liệu.
- Phạm vi áp dụng
- Chính sách này áp dụng đối với công chức, viên chức trong Trung tâm được phân công trực tiếp kết nối từ xa quản trị Trung tâm tích hợp dữ liệu và các bên có liên quan có thẩm quyền truy cập vào hệ thống và ứng dụng.
- Định nghĩa:
VPN: Virtual Private Network – Mạng riêng ảo.
Wifi: Mạng không dây.
SSL/IPSec:Secure Sockets Layer/ Internet Protocol Security
- Nội dung:
Chính sách
- Tất cả các hệ thống được sử dụng để kết nối từ xa phải được cập nhật với các bản vá lỗi bảo mật mới nhất cho cáchệ điều hành cũng như bất kỳ ứng dụng khác như: phần mềm Anti-virus, Microsoft Windows, Microsoft Office, InternetExplorer, Firefox, vv
- Chỉ cho phép sử dụng hệ điều hành và ứng dụng hiện đang được hỗ trợ bởi các nhà cung cấp. Phần mềmkhông còn được hỗ trợ với các bản cập nhật bảo mật đều bị cấm (ví dụ như Windows 98, Windows 2000).
- Hệ thống phải được cấu hình để tự động lấy và áp dụng bản vá lỗi bảo mật ít nhất mỗi tuần/một lần.
- Chính sách về virus và mã độc
- Tất cả các hệ thống được sử dụng để kết nối từ xa phải có phần mềm chống virus được cài đặt và cấu hình đúng.
- Các phần mềm chống virus phải được cập nhật thường xuyên và đã được cấu hình để tự động cập nhật.
- Các phần mềm chống virus phải được cấu hình để quét tập tin dữ liệu và toàn bộ hệ thống ít nhất một tuần/lần.
- Các phần mềm chống virus phải được cấu hình để cảnh báo khi phát hiện virus.
- Các phần mềm chống virus phải được cấu hình để làm sạch các tập tin dữ liệu bị nhiễm hoặc cách ly.
- Yêu cầu an ninh mạng
- Tất cả các hệ thống được sử dụng để kết nối từ xa phải được bảo vệ bằng tường lửa.
- Tường lửa có thể là thiết bị phần cứng hoặc phần mềm.
- Tường lửa phải được cấu hình để chặn tất cả các kết nối không mong muốn.
- Yêu cầu xác thực / thẩm quyền
- Tất cả các hệ thống được sử dụng để kết nối từ xa phải yêu cầu người dùng đăng nhập trước khi sử dụng.
- Quyền quản trị nên được giới hạn bởi các nhân viên quản trị hệ thống. Người được cấp quyền làm việc từ xa không có quyền quản trị đối vớihệ thống truy cập từ xa.
- Yêu cầu báo cáo sự cố an ninh thông tin
- Khi một hệ thống tài khoản, thiết bị sử dụng để kết nối từ xa bị mất, bị đánh cắp, bị xâm nhập,nghi ngờ bị xâm nhập thì người sử dụng phải báo cáo ngay sự việc cho người quản trị hệ thống.
- Yêu cầu người dùng
Đây là trách nhiệm của các cá nhân thực hiện truy cập từ xa phải tuân thủ các yêu cầu sau đây:
- Người sử dụng không đượccố ý vượt qua các biện pháp an ninh hoặc thay đổi các thiết lập cấu hình bảo mật.
- Chỉ có các phương thức kết nối mạng sau đây có thể được sử dụng để truy cập từ xa:
o Kết nối với mạng có dây qua việc tạo kết nối VPN mã hóa dữ liệu SSL/IPSec.
o Kết nối tới một mạng không dây thuộc sở hữu và quản lý sử dụng được xây dựng trong công nghệ VPNmã hóa dữ liệu SSL/IPSec.
- Không được sử dụng mạng wifi công cộng (quán cà phê, sân bay, nơi công cộng,…) để phục vụ truy cập từ xa.
- Yêu cầu xác thực người dùng
- Các mật khẩu cho tất cả tài khoản truy cập từ xa vào hệ thống phải đáp ứng các yêu cầu của chính sách mã hóa.
- Khi truy cập từ xa, các dữ liệu quan trọng của cá nhân, tổ chức phải tuân theo chính sách quản lý thiết bị di động.
- Người dùng không được chia sẻ thông tin quan trọng cho người khác.
- Dữ liệu không còn sử dụng phải được xóa ngay.
- Máy tính xách tay phục vụ truy cập từ xa không được để ở những nơi không có người sử dụng giám sát (để ở khách sạn, để trên xe,…).
Liên lạc với chúng tôi để chúng tôi hỗ trợ bạn trong việc triển khai ISO 27001 và chứng nhận bởi TNV-SIGMA CERT.