Bài làm:
Viết chính sách ATTT đặc thù cho nội dung sử dụng thiết bị cá nhân kết nối hệ thống
mạng cơng ty
Trả lời:
1. Statement of policy (Tun bố về chính sách)
a. Phạm vi và khả năng áp dụng
- Áp dụng cho toàn bộ những người truy cập vào hệ thống mạng của công ty, bao
gồm: ban quản trị, nhân viên tại các phịng ban đang làm việc tại cơng ty.
b. Định nghĩa về công nghệ được giải quyết
- Hệ thống mạng của cơng ty được quản lý bởi Phịng Cơng nghệ Thông tin.
- Công ty sử dụng mạng cục bộ, yêu cầu nhân viên phải truy cập vào máy tính và
đăng nhập bằng tài khoản mà công ty cung cấp.
c. Trách nhiệm
- Cơng ty có trách nhiệm cung cấp đầy đủ những thông tin liên quan, bao gồm tài
khoản đăng nhập và hướng dẫn sử dụng hệ thống mạng.
- Mọi vấn đề phát sinh liên quan đến hệ thống mạng của cơng ty đều phải được
trình bày và báo với bộ phận Công nghệ Thông tin của công ty.
2. Authorized access and usage of equipment: quyền truy cập và sử dụng thiết bị
a. Người dùng truy cập
- Người dùng tại công ty mà họ đang làm việc
- Mỗi người đều có tài khoản đăng nhập riêng, khơng sử dụng chung với tài khoản
đăng nhập khác.
b. Sử dụng hợp lý và có trách nhiệm
- Có trách nhiệm tự bảo quản thiết bị cá nhân trong lúc sử dụng
- Chỉ kết nối hệ thống máy của công ty khi làm việc.
- Mang theo thiết bị cá nhân của bạn.
c. Bảo vệ quyền riêng tư
-Kiểm tra và đảm bảo rằng các dữ liệu trong thiết bị cá nhân đã được bảo mật, tránh
tình trạng mất cắp thơng tin
-Mỗi người dùng đều có mật khẩu, tên đăng nhập riêng và khi đăng nhập vào hệ thống
mạng của công ty phải gửi mã SMS, OTP về Số điện thoại cá nhân người dùng

- Mật khẩu phải được thay đổi mỗi 6 tháng / 1 lần để đảm bảo tính an tồn.
- Khi kết thúc cơng việc tại cơng ty, nhân viên phải thốt tài khoản trên hệ thống mạng
của công ty
3. Prohibited use of equipment - Cấm sử dụng thiết bị:
a. Disruptive use or misuse - Sử dụng bừa bãi hoặc lạm dụng


- Các nhân viên bộ phận, phịng ban khơng được sử dụng thiết bị cá nhân kết nối vào
mạng dùng cho mục đích riêng trong giờ làm việc ngồi những trường hợp khẩn cấp
(phải báo cho trưởng ban hoặc bộ phận Công nghệ Thông tin để trách gây hại cho hệ
thống mạng)
- Tránh ra khỏi khu vực làm việc khi thực sự cần thiết, trong trường hợp đó nên thốt
ra khỏi hệ thống mạng của công ty.
- Hệ thống mạng của cơng ty giới hạn thời gian có thể truy cập vào trong ngày và hết
giờ làm việc hệ thống sẽ không cho phép kết nối.

b. Criminal use - Sử dụng phạm pháp
- Mỗi cá nhân không được phép cho bất kỳ người nào khác sử dụng thiết bị cá nhân
hay tài khoản đăng nhập của mình.
- Khơng được cố gắng truy cập bằng bất kỳ một hình thức nào để lấy thông tin từ máy
người khác hay thông tin của công ty.
c. Offensive or harassing materials - Dùng để xúc phạm hay quấy rối
- Sử dụng thiết bị cá nhân trong giờ nghỉ thích hợp, khơng gây ảnh hưởng đến mọi
người xung quanh.
d. Copyrighted, licensed, or other intellectual property - Có bản quyền, được cấp phép
hoặc tài sản trí tuệ khác )
- Nghiêm cấm hành vi cung cấp thông tin về phương thức kết nối mạng công ty ra bên
ngoài, tạo cơ hội người ngoài truy cập vào hệ thống mạng công ty.
- Thiết bị cá nhân phải được đặt mật khẩu và tốt hơn là truy cập bằng phương thức mã
hóa.

e. Other restrictions - Các giới hạn khác
- Không dùng thiết bị kết nối mạng công ty truy cập vào các trang web, đường dẫn
khơng chính thức, có dấu hiệu nghi ngờ.
- Không sử dụng hệ thống mạng của công ty để đăng nhập vô mạng xã hội của cá nhân
- Liên hệ ngay với trưởng ban và Phịng Cơng nghệ Thơng tin khi có các đường link lạ
gửi qua email
4. Systems management – Quản lý hệ thống
a. Management of stored materials – Quản lí việc lưu trữ tài liệu
- Lưu tất cả nội dung vào mạng được chỉ định bởi công ty, không lưu vào thiết bị cá
nhân.
- Tất cả tài liệu/hồ sơ được tải về máy đều phải lưu trong một tệp riêng có đặt mật
khẩu
b. Employee monitoring – Giám sát nhân viên
- Mọi hoạt động của nhân viên khi làm việc trong hệ thống mạng công ty đều sẽ được
lưu lại và kiểm tra bởi bộ phận IT.


- Phịng làm việc ln đảm bảo hệ thống camera để giám sát tiến trình làm việc cũng
như phát hiện các hành động khả nghi.
c. Virus protection – Phòng ngừa vi-rút
- Thiết bị cá nhân cần được bảo vệ bằng các giải pháp chống virus. Các ứng dụng
chống virus phải luôn được cập nhật ở phiên bản mới nhất.
- Không sử dụng thiết bị kết nối mạng công ty để tải các phần mềm, dữ liệu không rõ
nguồn gốc hoặc truy cập các trang web đáng nghi
- Không kết nối thiết bị cá nhân có kết nội mạng cơng ty với USB nếu chưa xác thực
độ an toàn
d. Physical security – Bảo mật vật lý
- Không cho người thân hoặc bạn bè mượn thiết bị dùng để làm việc trong hệ thống
mạng công ty.
- Thiết bị cá nhân phải được đảm bảo rằng chỉ có chủ sở hữu mới sử dụng được bằng

cách đặt mật khẩu. Nhân viên không được chia sẻ mật khẩu của mình với bất kì ai kể
cả bạn bè và người thân.
e. Encryption – Mã hóa
- Tất cả các tệp tài liệu quan trọng được gửi qua email đều phải được mã hóa và gửi
dưới dạng tệp đính kèm.
- Đảm bảo mã hóa tất cả dữ liệu và mật khẩu khi sử dụng thiết bị cá nhân
5. Violations of policy - Vi phạm chính sách
a. Procedures for reporting violations - Các thủ tục báo cáo vi phạm
- Nếu phát hiện có người cố ý dùng thiết bị cá nhân truy cập vào mạng máy tính của
cơng ty khi chưa được ủy quyền hoặc sử dụng sai mục đích khi làm việc, ảnh hưởng
đến tính bảo mật thông tin của công ty, ngay lập tức phải báo cáo với Trưởng phịng
hoặc Phịng Cơng nghệ Thơng tin (thơng tin của người báo cáo sẽ được giữ bí mật)
- Tiến hành ấn vào mục báo cáo trên website của cơng ty và trình báo cụ thể, thơng tin
về danh tính người khai báo sẽ được ẩn danh và giữ bí mật
b. Penalties for violations - Xử phạt vi phạm
- Nếu phát hiện vi phạm mà không khai báo, khi bị phát giác tùy vào mức độ ảnh
hưởng mà xử phạt hành chính hoặc đình chỉ tạm thời
- Người vi phạm nếu vô ý khi sử dụng thiết bị cá nhân làm ảnh hưởng đến bảo mật
thông tin công ty sẽ bị xử phạt hành chính theo quy định của pháp luât
- Người cố ý vi phạm sẽ xét theo mức độ thiệt hại mà có biện pháp xử lý thích đáng,
thậm chí đuổi việc và bồi thường thiệt hại cho cơng ty
6. Policy review and modification - Rà sốt và sửa đổi chính sách
a. Scheduled review of policy procedures for modification - Xem xét lịch trình của thủ
tục để sửa đổi


- Thay đổi thủ tục dựa trên sự thay đổi công nghệ nếu thiết lập theo thủ tục ban đầu
không cịn an tồn hay có sự thay đổi cải tiến trong hệ thống mạng của công ty
- Tiến hành rà soát và sửa đổi thủ tục định kỳ cho phù hợp
- Nhân viên nếu phát hiện sai xót của hệ thống cũng như hạn chế của chính sách cơng

ty ban hành có thể liên hệ Trưởng phịng hoặc bộ phận Công nghệ Thông tin để kịp
thời sửa đổi làm cải thiện bộ máy công ty
b. Legal disclaimers - Từ chối chịu trách nhiệm pháp lý
- Công ty không chịu trách nhiệm nếu nhân viên dùng thiết bị cá nhân gây hại cho sự
an tồn bảo mật thơng tin của cơng ty
- Nhân viên sẽ chịu trách nhiệm hoàn toàn, bị kỷ luật thích hợp hoặc đuổi việc nếu cần
thiết
7. Limitations of liability - Hạn chế trách nhiệm pháp lý
a. Statements of liability - Tuyên bố trách nhiệm pháp lý
- Nhân viên có trách nhiệm tn thủ chính sách cơng ty, sử dụng thiết bị cá nhân một
cách có đạo đức
- Nhân viên tự chịu trách nhiệm đối với thiết bị cá nhân của mình, bảo quản tốt tránh
để bị mất thông tin công ty
b. Other disclaimers as needed - Từ chối trách nhiệm khác nếu có
- Nếu là vơ tình thiết bị cá nhân bị mất, làm lộ thông tin thì nhân viên phải báo cáo
ngay cho bộ phận Cơng nghệ Thông tin để nhưng vẫn sẽ bị kỷ luật thích đáng
- Cơng ty khơng chịu trách nhiệm dù là vơ tình hay cố ý vi phạm