[BO] Khóa đào tạo An ninh thông tin ISMS
Summary
TLDRThe video script offers an in-depth course on information security awareness, emphasizing its importance in corporate quality management systems. It covers the basics of information and security concepts according to ISO 27001, company policies, and case studies of security breaches at NTQ. The course educates on the necessity of protecting information as a valuable asset, the responsibilities of all employees in upholding security, and the consequences of breaches. It also outlines NTQ's security policies, including non-disclosure agreements and guidelines for handling sensitive information, concluding with the importance of adhering to these standards to maintain customer trust and legal compliance.
Takeaways
- 😀 Information Security is a critical component in the quality management system of a company.
- 🔒 The course aims to provide an understanding of information and security concepts, policies, and incident handling at NTQ.
- 📚 Information is considered an asset with value to individuals and organizations, necessitating appropriate protection.
- 🛡️ Information Security involves safeguarding the storage, transmission, and access to information to prevent unauthorized alteration, deletion, or disclosure.
- 📋 The ISO 27001 standard outlines three fundamental characteristics of information: confidentiality, integrity, and availability.
- 🚫 Threats are potential causes of undesirable security incidents that can harm an organization.
- 🔑 NTQ's Information Security Policy is a commitment from the company's leadership, emphasizing the importance of customer trust and compliance with legal requirements.
- 📝 Employees are required to sign a Non-Disclosure Agreement (NDA) and adhere to various security protocols, including access control and data handling.
- 🚨 Incidents are categorized into three severity levels: minor, moderate, and major, each requiring different response times and management approvals.
- 🤝 All company members share the responsibility for information security, not just the IT or security departments.
- 📚 NTQ has implemented policies and training programs to ensure continuous improvement in information security awareness and compliance.
Q & A
What is the main focus of the information security course at NTQ?
-The main focus of the information security course at NTQ is to educate members about the concept of information and information security, understanding policies and activities related to ensuring information security, and enhancing awareness of information protection to comply with information security regulations.
Why is information considered valuable in a company?
-Information is considered valuable in a company because it is an asset that contributes to competitive advantage, profitability, brand image, and compliance with legal requirements.
What are the three basic characteristics of information according to ISO 27001?
-The three basic characteristics of information according to ISO 27001 are confidentiality (only accessible by authorized individuals), integrity (protecting the accuracy and completeness of information), and availability (ensuring information is available when required).
What are the potential risks of information loss in daily work and life?
-Potential risks of information loss include unintentional or intentional human error, device failure in transmission or storage, and the rapid development of technology and internet, which increases the variety of mobile devices and ways of storing and transmitting information.
What is the definition of information security?
-Information security is the protection of the information itself, the media on which it is stored, the means of transmission, and the methods of accessing and disseminating information to prevent unauthorized alteration, deletion, and disclosure.
What are the consequences of information security incidents?
-The consequences of information security incidents can include legal non-compliance, increased control over important business information, prevention of business losses due to security incidents, and continuous improvement of the company's image to customers and suppliers.
What are the typical information security breaches that can occur?
-Typical information security breaches include information leakage, personal data leakage, system hacking, website spoofing, and virus infection.
What are the three levels of information security incident severity?
-The three levels of information security incident severity are minor (affecting a few individuals and recoverable within a day), moderate (affecting some departments or projects and recoverable within 2-3 days), and major (affecting the entire company or critical departments and recoverable within 4-7 days).
Who is responsible for information security within a company?
-Everyone within the company is responsible for information security. It is not solely the responsibility of the IT department, security team, or specific individuals; it is a collective responsibility of all members.
What are the main components of NTQ's information security policy?
-The main components of NTQ's information security policy include confidentiality agreements (NDA), access control, document storage and management, data backup, password policies, software and hardware usage regulations, and network and internet usage policies.
What are the consequences for violating NTQ's information security policies?
-Consequences for violating NTQ's information security policies can range from reminders and reprimands to dismissal. Employees are also held financially responsible for any actual damages caused by their actions, which can include compensation claims from customers and potential loss of business and reputation.
Outlines
🛡️ Introduction to Information Security Awareness
The introduction welcomes NTQ members to the information security awareness course. It emphasizes the importance of information security in the company's quality management system. The course aims to help members understand information and information security concepts, policies, and activities to enhance awareness and compliance with NTQ and customer security requirements. The course covers three main topics: information and information security concepts per ISO 27001, NTQ's information security policies and rules, and notable information security incidents at NTQ. The session concludes with a quiz to review the learned content.
🔒 Understanding Information and Its Security
This section defines information as a valuable asset that needs appropriate protection. For businesses, information ensures competitive advantage, profitability, brand image, and legal compliance. Information can exist in various forms, such as documents, electronic files, images, and more, and can be transmitted through various channels like direct communication, phone, email, or the internet. The section discusses potential threats to information security from human error, equipment failure, or technology issues. It underscores the need to view information as an asset and to protect it accordingly. Information security involves protecting information containers, transmission methods, and access. Ensuring information security helps meet legal requirements, control important business information, prevent losses, plan business programs, and enhance company image.
🔍 Attributes of Information Security
Information security is based on three main attributes according to ISO 27001: confidentiality, integrity, and availability. Confidentiality ensures that information is accessible only to authorized persons. Integrity protects the accuracy and completeness of information. Availability ensures that information is accessible when needed. The section provides examples to illustrate breaches of these attributes: unauthorized access to project emails (loss of confidentiality), a former project member altering project documents (loss of integrity), and server downtime affecting project data access (loss of availability). It also introduces concepts of threats, vulnerabilities, and incidents, explaining how they can lead to security breaches.
🚨 Information Security Incidents and Responses
This section discusses the levels of information security incidents and their impacts: minor (affecting a few individuals and recoverable within a day), medium (affecting several departments and recoverable within 2-3 days), and major (affecting the entire company and recoverable within 4-7 days). Each level requires appropriate management approval for resolution. It emphasizes the importance of reporting incidents immediately and preserving evidence. All employees are responsible for handling information security incidents to minimize risks. The section clarifies that responsibility for information security is shared by everyone in the company, not just specific departments or individuals.
📜 NTQ's Information Security Policies and Rules
NTQ's information security policy is a commitment by the company's leadership to ensure information security, aiming to build customer trust and confidence. The policy includes commitments such as ensuring information reliability, protecting information from unauthorized access, preventing unintentional or intentional disclosure, and complying with legal and contractual requirements. NTQ classifies information into three levels: top secret, internal use only, and public, each with specific handling requirements. The section details various security measures, including signing a non-disclosure agreement (NDA), office access regulations, secure storage of confidential documents, and restrictions on using portable storage devices and sharing project information externally.
💻 Office and IT Security Regulations
This section outlines office and IT security regulations, including the requirement to install antivirus software on work computers, perform regular data backups, and change passwords every 90 days. Employees must adhere to rules regarding the use of the company’s network, file servers, and internet, avoiding unauthorized access and software installations. The section also covers the protocol for using personal laptops for work, requiring management approval and registration with the IT department. Email usage policies are highlighted, stressing the importance of using company emails for work purposes and ensuring correct recipient addresses and email content.
📧 Email and Network Access Policies
Employees must not use company emails for personal purposes and must carefully verify recipient addresses before sending emails. Emails must be checked for viruses before sending, and passwords must meet specific criteria. Network access policies require registering devices for work-related network access and avoiding unauthorized remote access to company computers. The use of company Wi-Fi by personal devices is prohibited. Employees leaving NTQ must sign a reaffirmation of the information security agreement and return all company assets, ensuring no sharing of company or project information after departure.
⚖️ ISMS Training and Compliance
New employees are required to complete ISMS training and pass a test on their onboarding day. They must sign an ISMS commitment, and failure to comply can affect their probation and project assignment. Current employees must complete ISMS training as scheduled, with non-compliance affecting their performance review and unit engagement fund deductions. Information security violations are handled based on the severity of the incident, with potential penalties including warnings, reprimands, or dismissal. Employees responsible for violations must compensate for actual damages, including customer claims and business losses due to damaged reputation.
📚 Case Studies on Information Security Breaches
Two case studies illustrate information security breaches at NTQ. The first involves a former employee using a customer list to contact clients after leaving NTQ, resulting in customer trust issues and significant financial losses for NTQ. The second case involves training materials being copied and used by another company, leading to the loss of NTQ’s intellectual property. The section discusses the steps taken to address these breaches, including contacting involved parties, legal actions, and implementing additional security measures to prevent recurrence.
🔍 Case Study Analysis and Preventive Measures
In the first case study, NTQ's response included legal actions and internal reviews to mitigate the damage and prevent future incidents. In the second case study, NTQ restricted access to training materials to prevent copying and unauthorized distribution. These case studies highlight the importance of strict information security measures and the need for ongoing education and policy enforcement to protect NTQ’s assets and reputation.
📋 Conclusion and Final Quiz
The course concludes with a summary of the main points covered, emphasizing the importance of information security awareness and adherence to NTQ’s policies and regulations. Employees are encouraged to take the final quiz to test their understanding and retention of the course material. The final message underscores the collective responsibility for maintaining information security to protect both company and customer interests.
Mindmap
Keywords
💡Information Security
💡ISO 27001
💡Confidentiality
💡Integrity
💡Availability
💡Threat
💡Vulnerability
💡Incident
💡NDA (Non-Disclosure Agreement)
💡Case Study
Highlights
Introduction to the course on information security awareness at NTQ Solutions, emphasizing the importance of information security in the quality management system of a company.
Understanding the concepts of information and information security, and the policies and activities related to ensuring information security.
The course will cover three main topics: the concept of information and information security according to ISO 27001, NTQ's information security policies and rules, and case studies of notable information security incidents at NTQ.
Information is defined as a valuable asset for individuals and organizations, requiring appropriate protection.
The necessity of viewing information as a type of property and the importance of its protection to maintain a competitive edge and comply with legal requirements.
Information can be in various forms such as paper documents, electronic files, images, and transmitted through various means like direct exchange, phone, email, or the internet.
The concept of information security involves protecting the storage, transmission, access, and communication of information to prevent unauthorized changes, deletions, or disclosures.
ISO 27001's basic characteristics of information: confidentiality, integrity, and availability, which are essential for proper information security.
Examples provided to illustrate the importance of the three basic characteristics of information security in various scenarios.
Definition and explanation of the concepts of threats, vulnerabilities, and incidents in the context of information security.
The classification of information security incidents into three severity levels: minor, moderate, and major, with corresponding recovery times and responsible management levels.
The responsibility and procedures for handling information security incidents, including immediate reporting and evidence preservation.
The collective responsibility of all company members for information security, not just the IT or security departments.
NTQ's information security policy as a commitment from the company's leadership, focusing on customer trust and legal compliance.
The policy includes specific commitments such as ensuring the reliability, integrity, and readiness of information, and protecting it from unauthorized access and disclosure.
The classification of information into three levels of confidentiality: top secret for internal use only, secret for specific access within the company, and public for non-sensitive information.
NTQ's specific security regulations, such as the non-disclosure agreement (NDA), access control to office areas, and secure storage of confidential documents.
The requirement for all employees to complete ISMS training and pass a test within the onboarding day, and the consequences for non-compliance.
Case study examples of information security breaches at NTQ, including the leakage of customer data and the unauthorized distribution of training materials.
The measures taken by NTQ to prevent similar incidents in the future, such as additional policies and system implementations to restrict and monitor access to sensitive information.
The conclusion of the course, summarizing the importance of understanding and applying the company's information security policies and regulations to ensure maximum protection of information.
Transcripts
Chào mừng các thành viên ntq đã đến với
khóa học nhận thức về an ninh thông tin
tại ntq solution an ninh thông tin là
một yếu tố quan trọng trong hệ thống
quản trị chất lượng của mỗi công ty đến
với khoa học này các thành viên sẽ nắm
được khái niệm thông tin và an ninh
thông tin hiểu được chính sách và ý
nghĩa của các hoạt động đảm bảo an ninh
thông tin nâng cao được nhận thức về bảo
mật thông tin để đảm bảo tuần thủ đúng
và đủ các quy định về bảo mặt thông tin
do ntq và Khách hàng yêu cầu sau đây
Chúng ta sẽ cùng tìm hiểu Ba nội dung
chính của khóa học một khái niệm thông
tin và an ninh thông tin theo tiêu chuẩn
ISO
27001 hai chính sách các quy tắc về an
ninh thông tin tại ntq ba case study các
sự cố bảo mật thông tin nổi bật ở ntq
cuối cùng chúng ta sẽ có một bài quết
nhỏ để ôn lại những kiến thức đã được
giới thiệu trong khóa học hôm nay đầu
tiên chúng ta hãy cùng tìm hiểu về khái
niệm thông tin và bảo mật thông tin theo
bạn thông tin là gì thông tin là là một
tài sản có giá trị đối với cá nhân tổ
chức và do đó cần được bảo vệ một cách
phù hợp với doanh nghiệp thông tin duy
trì ưu thế cạnh tranh lợi nhuận hình ảnh
thương hiệu sự phù hợp với yêu cầu của
pháp luật thông tin có thể ở dạng văn
bản giấy tờ văn bản điện tử hình ảnh
băng Zone poster băng đĩa phim ghi âm
truyền tải qua giao tiếp thông thường
như trao đổi trực tiếp điện thoại email
hoặc
internet trong công việc cuộc sống của
chúng ta sẽ gặp phải nhiều nguy cơ mất
thông tin như do con người vô tình hay
cố ý Do thiết bị như là các thiết bị
truyền hay lưu trữ bị hỏng do công nghệ
ngày nay nhiều kiểu lưu trữ truyền và sử
dụng thông tin internet phát triển mạnh
và nhanh các thiết bị di động cũng trở
nên đa dạng hơn những ví dụ trên có thể
giúp bạn liên tưởng về thông tin là gì
và giá trị của thông tin do đó ta cần
coi thông tin là một loại tài sản và bảo
vệ thông tin là tất yếu vậy bảo mật
thông tin là gì bảo mật thông tin là bảo
vệ vật chứa thông tin bảo vệ vật truyền
thông tin cũng như cách thức truy cập và
truyền thông tin bảo mật thông tin sẽ
giúp chúng ta kiểm soát và bảo vệ thông
tin tránh khỏi việc vô tình hay cố ý
thay đổi xóa cũng như tiết lộ thông tin
trái
phép khi thông tin được bảo mật doanh
nghiệp sẽ đáp ứng vô số yêu cầu của pháp
luật tăng cường kiểm soát các thông tin
quan trọng trong kinh doanh ngăn ngừa
tổn thất kinh doanh do phát sinh sự cố
an ninh thông tin hoạch định được các
chương trình kinh doanh của mình một
cách liên tục nâng cao hình ảnh đối với
khách hàng và nhà cung cấp để có thể bảo
vệ thông tin được tốt nhất chúng ta cần
hiểu rõ đặc tính của thông tin theo ISO
27001 thông tin có ba đặc tính cơ bản
tính bảo mật thông tin chỉ có thể truy
cập bởi những người được ủy quyền sử
dụng thông tin đó tính toàn vẹn bảo vệ
tính chính xác và đầy đủ của thông tin
tính sẵn sàng đảm bảo thông tin có sẵn
khi được yêu cầu và chỉ khi đảm bảo được
ba đặc tính này thông tin mới được bảo
mật hãy cùng xét một ví dụ sau để hiểu
rõ hơn về ba đặc tính của của thông tin
nhé Trường hợp một hacker đột nhập vào
hệ thống email và đọc được nội dung mật
của dự án không may thông tin này bị dò
rỉ tới công ty đối thủ như vậy trong
trường hợp này thông tin đã bị mất tính
bảo mật do bị chia sẻ cho những người
không có tầm quyền Xem thông tin có thể
mất gây hình ảnh cho công ty trường hợp
hai thành viên dự án a đã nghỉ khỏi dự
án nhưng chưa được cắt quyền try cập vào
file tài liệu dự án sửa đổi thông tin
trong tài liệu khiến cho nội dung của
tài liệu này không được giữ ở trạng thái
ban đầu có thể bị sai lệch và ảnh hưởng
tới dự án trong trường hợp này thông tin
đã bị mất tính toàn vẹn trường hợp ba
server chứa dữ liệu dự án của công ty bị
lỗi phải dừng hoạt động trong một ngày
trong trường hợp này các thành viên dự
án không thể truy xuất dữ liệu dự án gây
ảnh hưởng tới công việc dự án như vậy
Tính dẫn ràng của hệ thống server bị ảnh
hưởng bởi mất an toàn thông tin khi
những phạm vi thông tin nói trên bị vi
phạm sự cố sẽ xảy ra vậy sự cố là gì
chúng ta hãy cùng tìm hiểu về khái niệm
sự cố và những khái niệm liên quan nhé
khái niệm đầu tiên đe dọa đe dọa là
nguyên nhân tiềm ẩn của các sự cố không
mong muốn có khả năng đe dọa Hoặc gây
thiệt hại cho tổ chức lỗ hổng là điểm
yếu lỗ hổng của hệ thống và sự cố là một
hoặc một chuỗi các sự kiện an ninh thông
tin không mong muốn có nguy cơ cao gây
thiệt hại tới các hoạt động của công ty
và đe dọa an ninh thông tin như vậy đe
dọa và lỗ hổng khi kết hợp sẽ gây nên sự
cố vậy sẽ có những sự cố bảo mật thông
tin nào sẽ thường xảy ra đó là dò rỉ
thông tin mật dò rỉ thông tin cá nhân tê
liệt hệ thống giả mạo website nhiễm
virus sự cố bảo mật thông tin sẽ xảy ra
dẫn đến những hậu quả không tốt tùy vào
mức độ quan trọng thông tin mà mức độ
nghiêm trọng của sự cố an ninh thông tin
được phân làm ba mức độ nhẹ trung bình
và lớn đối với mức độ nhẹ chỉ ảnh hưởng
đến hoạt động của một vài cá nhân có thể
khôi phục lại hoạt động bình thường ngay
trong ngày mức độ trung bình ảnh hưởng
đến một một số bộ phận phòng ban dự án
trong công ty cần từ hai đến 3 ngày để
khôi phục lại hoạt động bình thường mức
độ lớn ảnh hưởng đến toàn bộ hoạt động
của công ty hoặc một số bộ phận quan
trọng cần từ 4 đến 7 ngày để khôi phục
lại hoạt động bình thường và với mỗi mức
độ nghiêm trọng của sự cố sẽ có các cấp
lãnh đạo tương ứng để phê duyệt hành
động khắc phục ở mức thấp nhất là phòng
it nhóm xử lý sự cố ở mức trung bình sẽ
là ban isms và phòng it ở mức độ lớn sẽ
là ban giám
khi xảy ra sự cố ân ninh thông tin các
thành viên Lưu ý không được tự ý giải
quyết và cần báo cáo sự cố cho cán bộ
quản lý trực tiếp hoặc team isms ngay
lập tức tối đa trong vòng 30 phút kể từ
khi sự cố xảy ra lưu giữ cẩn thận dấu
hiệu bằng chứng của hiện tượng sự cố đã
xảy ra mọi nhân viên phải có trách nhiệm
trong xử lý sự cố về bảo mật thông
tin để giảm thiểu rủi ro khi xảy ra sự
cố các thành viên cần tuân thủ và bảo vệ
an ninh thông tin trước hết ai sẽ là
người chịu trách nhiệm và bảo vệ an ninh
thông tin thông thường mọi người sẽ hình
dung người chịu trách nhiệm bảo mật
thông tin là ban An toàn thông tin nhóm
xử lý sự cố nhóm liên tục kinh doanh
phòng it pháp chế nhân sự hành chính ban
lãnh đạo nhưng thực tế trách nhiệm tuân
thủ bảo mật thông tin là của tất cả
chúng ta tất cả những thành viên của
công ty trách nhiệm bảo mật thông tin là
của chung chứ không thuộc về một phòng
ban hay bộ phận hay cá nhân nhất định
tiếp theo chúng ta hãy cùng tìm hiểu về
chính sách và quy tắc về an ninh thông
tin tại ntq tại ntq chính sách an ninh
thông tin chính là những cam kết định
hướng về an ninh thông tin của ban lãnh
đạo công ty tuyên bố đây là văn bản cao
nhất của hệ thống quản lý an ninh thông
tin và mục đích cuối cùng cũng là quan
trọng nhất là mang đến sự tin tưởng cho
khách hàng và đặc biệt là sự an tâm về
an ninh thông tin khi hợp tác với ntq
solution trong đó với tiêu chí an ninh
thông tin là ưu tiên hàng đầu ntq đã đưa
ra S cam kết để thực hiện sự quyết tâm
và đảm bảo an ninh thông tin của mình
một thông tin được đảm bảo tính tin cậy
toàn vẹn và sẵn sàng hai thông tin được
bảo vệ khỏi các sự Truy cập không cho
phép ba thông tin không bị vô tình hoặc
cố ý tiết lộ cho những người không có
thẩm quyền bốn thông tin đảm bảo phù hợp
với các yêu cầu về pháp luật chế định và
các yêu cầu ràng buộc trong hợp đồng năm
mọi vi phạm về an ninh thông tin phải
được thông báo ngay khi phát hiện cho
cán bộ phụ trách có liên quan sáu tất cả
nhân viên đều được đào tạo về an ninh
thông
tin hiện nay tuy vào mức độ quan trọng
của thông tin thông tin được chia làm ba
mức tuyệt mật sử dụng nội bộ và công
khai tuyệt mật là các thông tin nội bộ
ntq solution hoặc thông tin nhận được từ
khách hàng mang tính chất bí mật nhạy
cảm chỉ được phép sử dụng trong nội bộ
đối với các nhân viên được phân quyền
truy cập cụ thể hai sử s dụng nội bộ là
các thông tin chỉ được phép sử dụng
trong nội bộ ntq solution và không được
phép tiết lộ ra bên ngoài các thông tin
này có thể truy cập bởi các nhân viên
công ty được phân quyền truy cập cụ thể
như các quy trình quy định mà tất cả
nhân viên đều nắm được ba công khai bao
gồm các thông tin không mang tính chất
nhạy cảm đối với ntq solution và với
khách hàng như các thông tin tuyển dụng
marketing việc tiết lộ thông tin loại
này không ảnh hưởng đến công ty và nhân
viên của ntq solution chính sách tại ntq
đầu tiên là thỏa thuận an ninh thông tin
nda cùng với việc ký hợp đồng làm việc
bạn sẽ ký một bản thỏa thuận về bảo mật
thông tin hay còn gọi là nda đây là thỏa
thuận bằng văn bản về các trách nhiệm an
ninh thông tin của mỗi cán bộ nhân viên
đối với công ty Quyết định mỗi cá nhân
không được tiết lộ các thông tin nội bộ
của công ty ra bên ngoài với các Nghiêm
vụ bảo mật thông tin trong thỏa thuận có
hiệu lực vô thời hạn có nghĩa là dù đã
nghỉ việc các bạn vẫn cần bảo mật các
thông tin quan trọng của công ty tiếp
theo là về quy định ra vào khu vực văn
phòng cán bộ nhân viên cần phải đeo thẻ
và quẹt thẻ khi ra vào ra vào văn phòng
và phòng họp cần phải đóng cửa trong
trường hợp làm mất thể cán bộ nhân viên
cần ngay lập tức báo cho bộ phận admin
ngoài ra cán bộ nhân viên cũng không
được tự ý ra vào khu vực Security của dự
án khác và không đưa người lạ ra vào khu
vực của công ty mà không khai báo với bộ
phận
admin về quy định lưu trữ thông tin mật
lưu giữ tài liệu mật trong tủ an toàn có
khoa
pm dự án thiết lập cm Plan để quản lý và
phân quyền sử dụng tài nguyên dự án chỉ
phân quyền truy cập thông tin quan trọng
cho các đối tượng có liên quan đưa ra
các nguyên tắc bắt buộc phải tuần thủ
khi sử dụng các thông tin quan trọng
không sử dụng các thiết bị lưu trữ di
động như USB để sao chép dữ liệu trong
công ty Hạn chế sử dụng thiết bị ghi
hình ghi âm trong văn phòng không public
thông tin hình ảnh liên quan đến khách
hàng công ty Nếu chưa xin phép không
được để các tài liệu dự án ở nơi dễ nhìn
thấy cấm chia sẻ thông tin tài liệu và
sọt codt dự án ra bên ngoài dưới mọi
hình thức đối với các quy định văn phòng
dành cho máy tính làm việc cần phải cài
đặt chương trình chống virus trên pc
laptop theo quy định semantic ando
protection và bật chế độ chạy liên tục
cập nhật bản vá hệ điều hành mới nhất
bằng chế độ auto update thực hiện backup
dữ liệu dự án khi thay đổi sửa chữa bảo
trì máy tính thay đổi mật khẩu login tối
đa sau 90 ngày sử dụng cài đặt chế độ tự
động log máy sau 5 phút tuyệt đối không
cài đặt phần mềm không có nguồn gốc
không cài đặt các phần mềm cho mục đích
khác ngoài công việc quy định về sử dụng
mạng nội bộ file server và internet để
được truy cập vào các dữ liệu chung được
cấp phép thông qua việc phân quyền không
sử dụng các server vào mục đích khác
ngoài công việc không cố ý truy cập vào
các website đã bị chặn không cài các
server cung cấp dịch vụ DC DNS dhcp
server nếu cần phải báo it không tự tiện
thiết lập cập cấu hình IP tĩnh nếu cần
phải báo it không để lộ mật khẩu để truy
cập vào mạng nội bộ của công ty cấm dùng
các công cụ để vượt qua proced hoặc
firewall của công ty Ví dụ freegate ultr
shop đối với việc sử dụng laptop phải
xin phép cấp quản lý khi sử dụng laptop
cá nhân do nhu cầu công việc đăng ký với
bộ phận it trước khi sử dụng laptop cá
nhân ký biên bản đăng ký khi sử dụng
laptop cá nhân tại công ty phải dán nhãn
laptop cá nhân theo quy định của công ty
không được phép chia sẻ tài liệu thông
tin liên quan trong quá trình sử dụng
laptop cá nhân để phục vụ công việc dưới
mọi hình thức với quy định về email về
email không được sử dụng email vì mục
đích cá nhân với bất kỳ lý do gì chỉ sử
dụng email công ty cho mục đích công
việc trước khi gửi email phải kiểm tra
cẩn thận địa chỉ người nhận để đảm bảo
thông tin được gửi đúng người kiểm tra
đúng tiêu đề nội dung email file đính
kèm phải được quét virus trước khi gửi
đặt password email phải có chữ ký đặt
password phải đủ mật khẩu trên hoặc bằng
tám ký tự ít nhất một chữ hoa một ký tự
đặc biệt và một chữ
số với quy định về hạn chế truy cập phải
đăng ký thiết bị cần nối mạng wii dùng
trong công việc đăng ký V cher kết nối
wifi guest cho khách hàng chỉ được phép
remote vào máy tính công ty khi có sự
phê duyệt từ cấp quản lý do nhu cầu cấp
thiết không được phép remote từ xa vào
máy tính công ty không truy cập vào
wi-fi công ty bằng điện thoại và thiết
bị di động cá
nhân đối với những cán bộ nhân viên dừng
làm việc tại ntq ký và nhắc lại nhận
thức hiệu lực của cam kết bảo mật thông
tin sau khi rời công ty trả lại toàn bộ
tài sản và thiết bị theo quy trình thôi
việc cấm giao lưu và chia sẻ thông tin
tài liệu của công ty và thông tin tài
liệu soạt cốt của dự án dưới mọi hình
thức khi dừng làm việc tại ntq các
trường hợp cố tình vi phạm sẽ bị truy tố
và xử lý theo quy định của pháp luật sau
đây chúng ta sẽ cùng đến với nội dung li
quan đến chế tải isms tại ntq tại ntq
đối với nhân viên mới Yêu cầu hoàn thành
việc học isms pass bài test ngay trong
ngày onboard ký cam kết isms Nếu chưa
hoàn thành nhân viên mới sẽ không được
ký hợp đồng thử việc không được load vào
dự án đối với nhân viên hiện tại Yêu cầu
hoàn thành việc học isms theo timeline
của e nếu vi phạm đây sẽ là căn cứ để
đánh giá review performance khấu trừ quỹ
gắn kết của đơn vị theo mức 200.000 đ
chên nhân viên vi phạm trên tháng thực
hiện lũy kế nếu member vẫn chưa hoàn
thành tại các tháng kế tiếp Về chế tài
xử lý vi phạm an ninh thông tin stq xử
lý vi phạm dựa trên mức độ nghiêm trọng
của sự cố nhắc nhở khiển trách x thải
nhân viên vi phạm có trách nhiệm môi
thương toàn bộ thiệt hại thực tế do hành
vi vi phạm gây ra bao gồm như không giới
hạn các thiệt hại sau toàn bộ thiệt hại
do Khách hàng yêu cầu bồi thường the hợp
đồng đã ký thông thường số tiền bồi
thường thiệt hại khoảng từ 50.000 USD
đến 100.000
USD thiệt hại do hậu quả của việc khách
hàng chấm dứt hợp tác kinh doanh tổn
thất do ảnh hưởng tới uy tín của công
ty vừa rồi chúng ta đã cùng tìm hiểu về
những chính sách quy định đã và đang
được áp dụng tại ntq tiếp theo chúng ta
hãy cùng tìm hiểu về hai cas study điển
hình đã xảy ra tại ntq về vi phạm an
ninh thông
tin
Thông tin Dữ liệu khách hàng bị dò rỉ
nhân sự cũ khi nghỉ việc đã sử dụng danh
sách khách hàng của ndq để liên hệ công
việc khách hàng phát hiện vì khách hàng
chưa trao đổi hợp tác với bất cứ công ty
nào ngoài ntq về dự án đó Điều này khiến
khách hàng mất lòng tin và hủy hợp tác
với ntq do vấn đề bảo mật thông tin Đồng
thời đưa lên Ủy ban an ninh thông tin
của nước Họ thông báo cho các đối tác
khác trong nước ntq đã thiệt hại hàng
triệu USD và ảnh hưởng uy tín trên thị
trườ trường nguyên nhân dẫn đến sự cố
trên là do nhân viên cũ nghỉ việc đã lợi
dụng sơ hở trong việc quản lý tài khoản
Truy cập của hệ thống quản lý danh sách
khách hàng đánh cấp thông tin và sử dụng
với mục đích cá
nhân sau khi phát hiện sự việc ntq lập
tức liên hệ nhân viên đó cùng với công
ty Nhân viên đó Đang làm việc yêu cầu
Xóa toàn bộ dữ liệu đã lấy cắp Đồng thời
các bên đơ luật sư thảo luận để khắc
phục hậu quả trong thời gian đó ntq phải
thực hiện báo cáo giải trình cho khách
hàng và những biện pháp xử lý tình huống
đã xảy ra để phòng người cho sự việc
tương tự có thể xảy
ra tất cả các thành viên ntq đều phải ký
nda về bảo mật thông tin trong trường
hợp cố tình đánh gắp thông tin của công
ty sẽ truy cứu trách nhiệm Tùy theo mức
độ ảnh hưởng mức ảnh hưởng lớn có thể
truy cứu trách nhiệm hình sự
ntq đã thực hiện Đào tạo về isms và đưa
cas study phổ biến đến từng nhân viên để
tránh những hành động tương tự áp dụng
thêm một số chính sách cả về văn bản và
hệ thống nằm ngăn ngừa hạn chế các
trường hợp tương
tự chúng ta sẽ đi tiếp đến case study số
2 dự án b tài liệu đào tạo bị sao lưu
tài liệu đào tạo của ntq bị sao lưu và
lan truyền ra bên ngoài để làm tài liệu
cho công ty khác Điều này đã khiến chất
xám của ntq bị đánh cắp mất đi bảo mật
nguyên nhân dẫn đến sự cố trên là do
nhân viên học viên của tuyển truy cập
Download tài liệu đã mang tài liệu ra
bên ngoài sử dụng với mục đích cá nhân
từ nguyên nhân trên để khắc phục bộ phận
l đã giải soát lại tài liệu trên hệ
thống đồng thời triển khai chỉ cấp quyền
chia sẻ cho những người liên quan có thể
xem tài liệu không thể copy và download
để phòng ngừa tất cả các tài liệu đào
tạo của ntq chỉ cấp quyền cho học viên
tham gia đào tạo học viên không thể copy
và Download tài liệu
về đó là tất cả những nội dung của khóa
học nhận thức về an ninh thông tin của
chúng ta Ngà hôm nay H vọng các bạn đã
nắm được những kiến thức cơ bản về thông
tin an ninh thông tin chính sách và
những quy định của công ty để đảm bảo
được thông tin có được bảo mật tối đa
sau đây sẽ là bài kiểm tra tổng kết kiến
thức Chúc các bạn sẽ đạt được kết quả
tốt trong bài kiểm tra này
浏览更多相关视频
How to implement ISO 27001 Walkthrough - Part 1
Information Assurance and Security 2 - Lesson 2
ISO 27001 - ENTENDA DE VEZ!
Information Security Policy (CISSP Free by Skillset.com)
How to implement ISO 27001 Annex A 5.1 Policies for Information Security
Security Standards - CompTIA Security+ SY0-701 - 5.1
5.0 / 5 (0 votes)