iso 27001 chính sách kiểm soát mã hóa

iso 27001 chính sách kiểm soát mã hóa

CHỨNG NHẬN ISO 27001 – HỆ THỐNG QUẢN LÝ AN NINH THÔNG TIN

Để giúp các công ty có thể hình dung về hệ thống quản lý an ninh thông tin, chúng tôi sẽ tạo một số bài viết về các chính sách an ninh thông tin phù hợp cho chứng nhận ISO 27001. Các tài liệu chúng tôi đưa ra mang tính chất tham khảo, không phải là mẫu chuẩn.

Chính sách là tài liệu thể hiện cam kết của lãnh đạo và là định hướng mà tất cả các hoạt động trong phạm vi áp dụng sẽ hướng theo chính sách này.

CHÍNH SÁCH KIỂM SOÁT MÃ HÓA

Mã số:  CS05

Lần ban hành: 01

  1. Mục đích
  • Đưa ra chính sách an ninh truy cập hệ thống và các ứng dụng.
  1. Phạm vi áp dụng
  • Chính sách này áp dụng cho tất cả công chức, viên chức trong Trung tâm và các bên có liên quan có thẩm quyền truy cập vào hệ thống và ứng dụng.
  1. Định nghĩa:
  2. Nội dung:

4.1. Nguyên tắc chung:

  • Tất cả các dữ liệu quan trọng, nhạy cảm của đơn vị phải được mã hóa hoặc đặt mật khẩu bảo vệ khi chuyển ra bên ngoài.
  • Tất cả các phương tiện như: máy tính xách tay, đĩa cứng di động, USB, thẻ nớ nhớ,…phải được mã hóa hoặc đặt mật khẩu.
  • Tất cả các dịch vụ truy cập từ xa phải được mã hóa đảm bảo an toàn thông tin.
  • Mạng không dây phải sử dụng cơ chế mã hóa mạnh khi sử dụng.
  • Thư điện tử, tệp tin đính kèm quan trọng hoặc nhạy cảm phải được mã hóa, đặt mật khẩu mạnh khi gửi ra ngoài.
  • Các giao tiếp, kết nối đến cổng/trang thông tin điện tử, thư điện tử, các ứng dụng khác trên Trung tâm tích hợp dữ liệu phải được mã hóa.

4.2. Mã hóa theo phân loại:

Tất cả các thông tin được đánh dấu là bảo mật, bảo mật cao được coi là nhạy cảm hoặc quan trọng của chính sách này.

4.3. Mã hóa dữ liệu khi di chuyển:

Dữ liệu nhạy cảm hoặc quan trọng trong việc vận chuyển luôn luôn phải được mã hóa. Dữ liệu công khai có thể được gửi không được mã hóa.

4.4. Quản lý khóa:

Các giải pháp mã hóa dữ liệu phải được Ban giám đốc  chấp thuận trước khi triển khai trong toàn đơn vị. Việc quản lý khóa mã hóa dữ liệu của Trung tâm tích hợp dữ liệu được quản lý bởi bộ phận quản trị Trung tâm tích hợp dữ liệu.

  • Thông tin xác thực người dùng

Các thông tin của người phụ trách truy cập, kết nối vào hệ thống quản trị thiết bị phần cứng, ứng dụng phần mềm phải được mã hóa hoặc được bảo vệ bằng mật khẩu mạnh theo chính sách mật khẩu như sau:

– Chế độ nhớ mật khẩu cũ là: 5 mật khẩu

– Thời gian hết hạn của mật khẩu là: 60 ngày

– Chiều dài mật khẩu tối thiểu là 10 ký tự

– Mật khẩu có tính phức tạp gồm: ký tự hoa, ký tự thường, ký tự số, ký tự đặc biệt.

– Thiết bị tự động thoát khỏi tài khoản khi không sử dụng trong thời gian 5 phút.

– Tài khoản đăng nhập thất bại 05 lần sẽ tự động bị khóa trong 10 phút.

Các thông tin của người dùng khi truy cập vào hệ thống ứng dụng phải được mã hóa hoặc đặt mật khẩu mạnh để đảm bảo an toàn thông tin trong quá trình sử dụng.

4.6. Vai trò và trách nhiệm:

Tất cả các cá nhân chịu trách nhiệm đảm bảo rằng dữ liệu nhạy cảm hoặc quan trọng được mã hóa trước khi gửi đi.

 

chứng nhận iso 27001

Liên lạc với chúng tôi để chúng tôi hỗ trợ bạn trong việc triển khai ISO 27001 và chứng nhận bởi TNV-SIGMA CERT.