Trường đại học công nghệ thông tin
Trung tâm phát triển công nghệ thông tin
----------------------

Báo cáo cuối môn:

Xây dựng chuẩn chính sách an toàn
thông tin trong doanh nghiệp

Giáo viên hướng dẫn:

Nguyễn Duy

Nhóm sinh viên thực hiện:

Nguyễn Đức Thám
Trần Trung Tín
Lê Ngọc Hồng Quốc
Nguyễn Minh Nghĩa
Võ Thanh Nhật Long

TP Hồ Chí Minh
Năm 2012


MỤC LỤC
MỤC LỤC..................................................................................................................................................2
II. Mô hình mạng cở bản............................................................................................................................4
2. Diễn giải mô hình mạng.......................................................................................................................6
2.1 Các loại thiết bị sử dụng...............................................................................................................6
2.2. Diễn giải mô hình.........................................................................................................................7

3.Thiết bị và công nghệ được sử dụng.....................................................................................................7
VI. Chính sách an toàn thông tin trong doanh nghiệp............................................................................10
VII. Chính sách quản lý truy cập.............................................................................................................11
1. Chính sách về mật khẩu.....................................................................................................................11
2. Chính sách xác thực...........................................................................................................................11
3. Bên thứ ba truy cập............................................................................................................................12
VIII. Chính sách bảo mật hệ thống..........................................................................................................14
1.Chính sách bảo vệ trước các phần mềm độc hại..................................................................................14
2.Chính sách quản lý đăng nhập hệ thống..............................................................................................17
3.Chính sách bảo mật máy chủ..............................................................................................................18
4. Chính sách bảo mật cho máy tính xách tay........................................................................................20
5. Bản vá lỗi: Patching...........................................................................................................................21
6. Chính sách bảo mật vùng DMZ.........................................................................................................22
IX. Chính sách bảo mật mạng..................................................................................................................23
1. Chính sách bảo mật mạng..................................................................................................................23
2.Chính sách mạng không dây...............................................................................................................24
3. Firewall chuẩn...................................................................................................................................24
4. Chính sách truy cập từ xa...................................................................................................................25
X. Chính sách bảo mật ứng dụng.............................................................................................................26
XI. Chính sách quản lý dữ liệu................................................................................................................26
1. Chính sách sao lưu và phục hồi dữ liệu..............................................................................................26
2. Chuẩn mã hóa....................................................................................................................................27
XII. Chính sách xử lý sự cố.....................................................................................................................28
XIII. Chính sách bảo mật thông tin cá nhân............................................................................................29
XIV. Chính sách quản lý con người........................................................................................................31
XV. Quản lý tài sản..................................................................................................................................34
XVI. Đảm bảo hoạt động của chính sách................................................................................................35
Trang 2



1. Chính sách đánh giá bảo mật thông tin..............................................................................................35
2. Chính sách chấp nhận hoạt động của hệ thống...................................................................................37
3. Chính sách hoạt động bảo mật thông tin............................................................................................37
XVII. Tài liệu tham khảo.........................................................................................................................39

Trang 3


I. Tóm tắt tài liệu
Trong một xã hội phát triển thì công nghệ truyền thông đang trở thành một phần thiết
yếu. Để nhận ra một xã hội tri thức, an toàn, an ninh thì công nghệ thông tin là quan trọng
nhất. An ninh thông tin cũng rất quan trọng để tăng cường sức cạnh tranh của một xã hội dựa
trên tri thức. Đối với an ninh của một mạng lưới nó là cần thiết để tăng cường sự an toàn của
hệ thống bằng cách phối hợp đầy đủ công nghệ, các hoạt động và hệ thống. Một chính sách
an ninh là rất quan trọng đối với an ninh thông tin của một tổ chức. Để xây dựng, duy trì một
hệ thống an toàn và đáng tin cậy, chính sách bảo mật phải phù hợp với các cấu hình hệ thống,
hoạt động, và an ninh công nghệ của một tổ chức . Vì vậy, lập kế hoạch an ninh tổng thể
đóng một vai trò quan trọng. Bài viết này thảo luận các phương pháp khả thi và hiệu quả của
kế hoạch an ninh tổng thể từ một số điểm. Cụ thể hơn, bài viết này đề xuất tạo ra chính sách
an ninh và phương pháp cải thiện, một số phương pháp an ninh và kiểm soát chất lượng an
ninh thông tin.
II. Mô hình mạng cở bản

III. Quản trị và đánh giá rủi ro
1.Khái niệm
Rủi ro là một sự kiện vô tình hay cố ý, khi nó xảy ra nó có thể ảnh hưởng đến hệ
thống của bạn. Vì thế những rủi ro cần được xác định một cách cụ thể để bạn có thể đưa ra
những phương hướng phòng tránh và khắc phục khi nó diễn ra.
2.Phân loại rủi ro
Căn cứ vào mô hình WORKGROUP trên, các rủi ro mô hình có thể gặp phải:

Trang 4


- Các user phân quyền ngang bằng nhau: dễ đánh mất thông tin, tài sản nếu trong
nội bộ mạng cố tình lấy trộm bằng các phần mềm gián điệp, nghe lén ….
- Mô hình mạng không có server DC nên việc quản lý người dùng và việc thiết lập
chính sách là không thể. Qua đó, không quy định được việc đặt mật khẩu, cách hạn chế ứng
dụng hoặc cũng như các thao tác về mạng mà Chủ doanh nghiệp muôn bảo mật thông tin.
- Ngoài ra, việc hạn chế các truy cập qua lại giữa các cá nhân trong nội bộ cơ quan,
hoặc việc giao tiếp ra bên ngoài là không thể. Cá nhân có thể kết nối trực tiếp ra ngoài mạng,
hoặc gởi các thông tin nội bộ Công ty ra ngoài bằng nhiều cách: mail, các giao thức IM hoặc
trực tiếp bằng USB.
- Việc sử dụng tài nguyên trong nội bộ như máy in, máy fax, hoặc scan cũng không
thể quản lý được. Mô hình mạng không có chính sách hoặc máy chủ quản lý các tài nguyên
mạng, hoặc chính sách quản lý người dùng.
- Trong trường hợp các thông tin được sử dụng đúng mục đích, hoặc có các

biện pháp phòng chống bằng mật khẩu cũng khó có thể ngăn chặn các phần mềm gián
điệp, việc nhìn lén, nghe lén hoặc đánh cắp mật khẩu là rất lớn. Mô hình mạng chưa
có biện pháp phòng và chống các phần mềm độc hại.
- Việc kết hợp chứng thực được user và tài khoản người dùng trong hoặc
ngoài mạng là không được.
- Phòng và chống các cuộc tấn công ngoài mạng là không thể được. Chưa có
hệ thống phát hiện và ngăn chặn các cuộc tấn công.
- Việc quản lý băng thông cho việc sử dụng để làm việc không kiểm soát
được.
- Chưa có web, mail server để thực hiện việc gởi mail qua lại giữa các cá
nhân hoặc giữa Công ty và chi nhánh, các thông tin quan trọng dễ bị đánh cắp nếu sử
dụng các mail-public.
- Không thể kết nối từ xa vào mạng nội bộ.

- Sao lưu và các biện pháp phòng chống và an toàn dữ liệu không thực hiện
được, các dữ liệu nếu gặp các sự cố bất ngờ như cháy nổ, sét … sẽ mất dữ liệu. Dữ
liệu không được sao lưu và không thể backup dữ liệu cũng như việc thiết lập hệ thống
vật lý sao cho có thể đảm bảo an toàn dữ liệu được tốt nhất.
- Ngoài các vấn đề về phần cứng, phần mềm và an toàn hệ thống, một vấn đề
đặc biệt quan trọng là vấn đề về con người, cần có biện pháp hạn chế và ràng buộc
bằng các hợp đồng lao động, các biện pháp ngăn ngừa và phát thích hợp để đảm bảo
an toàn thông tin.
- Ngoài ra, các dịch vụ với bên thứ 3: các nhà cung cấp dịch vụ, phần mềm,
tên miền hoặc host cần được cam kết thông qua hợp đồng và các điều kiện ràng buộc
cũng như mức phát thích hợp liên quan đến việc an toàn thông tin.

Trang 5


IV. Mô hình cập nhật và công nghệ sử dụng:
1.Mô hình mạng

2. Diễn giải mô hình mạng
2.1 Các loại thiết bị sử dụng
STT Tên thiết bị

Số lượng

STT

Tên thiết bị

Số lượng


1

Astaro Firewall

2

9

Mail Server

1

2

Cyberoam Data Center

1

10

FPT Server

1

3

ScoureFire Defence Center 1

11


Data Center

1

4

IPS/IDS

5

12

Data Backup

1

5

Modem

2

13

Switch

7

6


Router

1

14

PC

100

7

Domain Controller

1

15

Fax, print, Scan

30

8

Web Server

1

16


Access point

1

Trang 6


2.2. Diễn giải mô hình
- Mô hình được thiết kế với cơ chế Domain Controller , kết hợp với Firewall Astarol để
quản lý truy gập ra và vào mạng nội bộ, Cyberoam Enpoint Security để quản lý thiết bị đầu cuối.
Đồng thới kết hợp với SourceFire Defence Center - IDS, IPS để quản lý lưu lượng truy cập vào
hệ thống, phòng ngừa và ngăn chặn đồng thời bảo vệ hệ thống mạng.
- Các phòng chức năng được chia nhỏ bằng VLAN thông qua Router để quản lý kết nối
và bảo mật giữa các phòng ban, ngăn chặn các kết nối không được phép của hệ thống mạng.
- Các nhân viên có thể kết nối từ bên ngoài bằng VPN để nâng cao tính bảo mật.
- Hệ thống mạng tại đại lý được thiết kế với chính sách định tuyết router và/hoặc VPN để
kết nối vào hệ thống mạng trung tâm.
- Hệ thống có Zone DMZ: đặt Server Web và Mail để tất cả người dùng trong và ngoài
mạng có thể liên kết được vào hệ thống mà đảm bảo được tính an toàn và bảo mật cho mạng nội
bộ.
- Data center được lắp đặt để quản lý dữ liệu tập trung và có chính sách sao lưu hoặc back
up hợp lý.
- Đặc biệt, hệ thống được thiết kế với cơ chế HIGH AVAILABILITY được tích hợp sẵn
trong Firewall Astaro. Ở đây, chúng ta sẽ cấu hình theo chế độ ACTIVE-ACTIVE, và phân
luồng quản lý. Các phòng Kinh doanh và kỹ thuật sẽ qua Firewall Astaro 1 với chính sách thông
thoáng hỗ trợ cho nhân viên kinh doanh và kỹ thuật vì đặc trưng của nhân viên 2 phòng này là
giao dịch với bên ngoài. Phòng Nhân sự và kế toán sẽ kết nối ra mạng thông qua Firewall Astaro
với chính sách hạn chế, kết hợp việc quản lý truy cập và quản lý công việc.
- Việc sử dụng cơ chế HIGH AVAILABILITY, ACTIVE-ACTIVE sẽ có 1 chính sách
riêng cho việc phân luồng quản lý và kết nối vào hệ thống khi ra và vào mạng. Khi 1 trong 2

Firewall Astaro gặp sự cố, người quản trị mạng sẽ có 1 chính sách cập nhật để các user, người
dùng trong và ngoài mạng có thể kết nối được. Tuy nhiên, các kết nối và truy cật sẽ bị hạn chế
lại thông qua việc quản lý băng thông bằng Firewall Astaro, hỗ trợ bằng thông cho phòng kinh
doanh và kỹ thuật, các liên kết còn lại hạn chế băng thông và luôn dành 1 phần băng thông trống
để cho các truy cập bất ngờ, đặc biệt khi xảy ra thì có biện pháp giải quyết.
3.Thiết bị và công nghệ được sử dụng
1. Domain Controler (DC) :
+ Quản lý thông tin tài nguyên mạng (thông tin user, printer) tập trung: quản lý truy
cập, quản lý user, quản lý nhóm, quản lý miền, ….
+ Thiết lập các group policy: mật khẩu, đăng nhập, kết nối truy cập, sử dụng các ứng
dụng, quản lý phần mềm, hạn chế truy cập phần mềm, phần quyền người dùng….
+ Chứng thực user, chứng thực web, mail:
+ DNS, DHCP
Trang 7


+ …..
2. VPN: tạo ra 1 kênh truyền thông an toàn để nhân viên bên ngoài truy cập vào hệ
thống. VPN là một mạng riêng sử dụng hệ thống mạng công cộng (thường là Internet) để kết
nối các địa điểm hoặc người sử dụng từ xa với một mạng LAN ở trụ sở trung tâm. Thay vì
dùng kết nối thật khá phức tạp như đường dây thuê bao số, VPN tạo ra các liên kết ảo được
truyền qua Internet giữa mạng riêng của một tổ chức với địa điểm hoặc người sử dụng ở xa.
• Mã hoá trong VPN - Đây là quá trình mật mã dữ liệu khi truyền đi khỏi máy tính
theo một quy tắc nhất định và máy tính đầu xa có thể giải mã được. Hầu hết các hệ thống mã
hoá máy tính thuộc về 1 trong 2 loại sau:
Mã hoá sử dụng khoá riêng (Symmetric-key encryption)
Mã hoá sử dụng khoá công khai (Public-key encryption)
3. IPS/IDS:
- IDS: phát hiện xâm nhập
- IPS: phát hiện và ngăn chặn xâm nhập

Công dụng: phát hiện và ngăn chặn một cách hiệu quả các cuộc tấn công mạng, giảm
thiểu thời gian chết của mạng và các chi phí ảnh hưởng đến hiệu quả họat động của mạng.
Các hệ thống này được triển khai ở những vị trí nằm ngòai phạm vi kiểm sóat của tường lửa,
có khả năng phát hiện các cuộc tấn công một cách chính xác thông qua phân tích lưu lượng
mạng dưới nhiều phương pháp nhằm đi đến kết luận chính xác về mục đích thật sự của một
kết nối đến mạng vì vậy có thể hiểu được đó là một kết nối tin cậy hay là không tin cậy. Từ
việc phân tích trên, hệ thống có thể thực hiện nhiều tác vụ như ghi chép (tạo thành file nhật
ký), cảnh báo, xóa các kết nối không tin cậy từ đó người quản trị mạng sẽ có những đáp ứng
kịp thời với các tình trạng bị tấn công nguy hiểm hoặc là có các hành động hợp lý đối với
từng trường hợp. Ngòai ra các hệ thống IPS còn cung cấp các công cụ phân tích và điều tra
giúp cho người quản trị mạng hiểu được về những gì đang diễn ra trên mạng và đưa ra các
quyết định sáng suốt, góp phần làm tăng hiệu quả của giải pháp an ninh mạng.
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•

4. Firewall Astaro:

Stateful Packet Filter (Lọc trạng thái của gói tin)
Intrusion Prevention (Ngăn chặn xâm nhập)
DoS Protection (Chống tấn công từ chối dịch vụ)
Bandwidth Control (Điều khiển băng thông)
Branch Office VPN (VPN cho văn phòng chi nhánh)
SSL Remote Access
IPSec Remote Access
Directory Authentication
URL Filtering
Spyware Protection (Chống phần mềm gián điệp)
Antivirus Scanning (Quét virus)
HTTPS Scanning
IM/P2P Filtering
User Reporting
Interactive Web Reporting
Application Control
Trang 8


5. Cyberoam Enpoint Security
• Full Disk Encryption (Mã hóa đĩa)
• AntiMalware & Program Control (Chống phần mềm độc hại)
• Firewall & Compliance Check
• Remote Access VPN (Điều khiển truy cập từ xa)
• Asset Managemen (Quản lý tài sản)
• Application Control (Quản lý ứng dụng)
• Device Management (Quản lý thiết bị phần cứng)
• Data Protection and Encryption (Bảo vệ và mã hóa dữ liệu)
6. Antivirus: Kaspersky - Mô hình Client – Server
Cài đặt mô hình Client – Server: máy server thực hiện chức năng như server antivirus,

có thể quét trực tiếp máy hoặc máy con kết nối vào server, ngoài ra còn có thể quét nhiều
máy hoặc thông qua port hoặc IP. Ngoài ra, còn có chức năng như một database antivirus nêu
máy chủ đã cập nhật mới, các máy con có thể lây data base thông qua máy chủ mà không cần
download trực tiếp từ mạng, hạn chế được việc nghẽn băng thông và tính sẵn sàng cao.

V. Xây dựng chính sách
1. Mô hình chính sách
Cấu trúc và nội dung của chính sách được dựa vào tiêu chuẩn an ninh được quốc tế
chấp nhận (ISO27002). Khuôn khổ bao gồm các sau các yếu tố:
- Chính sách bảo mật gồm có mục đích, phạm vi, định nghĩa và trách nhiệm của
chính sách.
- Tiêu chuẩn an ninh xác định các yêu cầu tối thiểu cho mỗi chủ đề.
- Thủ tục an ninh và hướng dẫn cụ thể cho một khu vực địa lý cụ thể, bộ phận thị
trường và phải ở mức tối thiểu, đáp ứng an ninh hệ thống mạng của doanh nghiệp.
- Đảm bảo tính toàn vẹn, linh động và bảo mật của thông tin.
2. Quy định áp dụng chính sách
Toàn bộ chính sách sẽ được công bố rộng rãi đến toàn bộ nhân viên trong doanh
nghiệp. Trường hợp chính sách sách không thể áp dụng vì một lý do hoặc rủi ro nào đó, thì
cần phải trình bày ngay với trưởng phòng IT hoặc bộ phận có chứa năng để điều chỉnh lại
chính sách để khắc phục lý do hoặc rủi ro đó.
Chính sách bảo mật an toàn thông tin mạng áp dụng nội bộ Công ty:
- Giữa các phòng ban.
- Giữa cấp trên với cấp dưới.
- Thông tin dùng chung và thông tin cá nhân.
Chính sách bảo mật an toàn thông tin mạng bên ngoài Công ty, kết nối từ bên ngoài
hoặc bên thứ 3:
- Kết nối VPN
- Kết nối vào website (https), mail(signature/encryp)
- Ký kết các hợp đồng thuê bao dịch vụ, mua phần mềm, hệ điều hành, các chương
trình dịch vụ …..

Trang 9


3. Mục đích áp dụng chính sách
- Cho phép chia sẻ thông tin an toàn.
- Bảo vệ thông tin của tổ chức từ tất cả các mối đe dọa,cho dù nội bộ hoặc bên ngoài,
cố tình hay vô ý.
- Khuyến khích sử dụng nhất quán và chuyên nghiệp của thông tin
- Đảm bảo tất cả mọi người đó là rõ ràng về vai trò của họ trong sử dụng và bảo vệ
thông tin.
- Đảm bảo tính liên tục kinh doanh và giảm thiểu thiệt hại kinh doanh.
- Bảo vệ các tổ chức từ trách nhiệm pháp lý và việc sử dụng không thích hợp
thông tin
4. Kế hoạch cập nhật chính sách
- Khi chính sách được bổ sung hoặc thay đổi thì giám đốc hoặc người có thẩm quyền
cần phải thông báo ngay với nhân viên càng sớm càng tốt.
- Luôn luôn cập nhật thông tin trên mạng, bao đài về an toàn thông tin, các thông tin
về các loại virus mới, các cách tấn công hệ thống và điều chỉnh lại chính sách cho phù hợp,
kiểm tra và rà soát thường xuyên chính sách của Công ty để hạn chế và khắc phục tối đa các
lô hổng trong hệ thống.
- Ký kết các hợp đồng bảo hiểm phi nhân thọ liên quan đến thông tin của Công ty.
VI. Chính sách an toàn thông tin trong doanh nghiệp
1. Mục đích: Chính sách này thể hiện vai trò và trách nhiệm tổng thể trong bộ phận
bảo mật thông tin, giúp thực hiện tốt các chính sách đã đề ra.
2. Phạm vi: Chính sách này áp dụng cho bất cứ ai truy cập vào hệ thống của doanh
nghiệp.Các nhân viên, nhân viên tạm thời, khách hàng ,đối tác và các nhà cung cấp... Chính
sách này áp dụng cho tất cả các thiết bị được sở hữu bởi doanh nghiệp và tất cả các thiết bị
của bên thứ ba kết nối với hệ thống kinh doanh của công ty.
3. Tuyên bố chính sách: Bảo mật thông tin, phối hợp với nhân sự, pháp lý và các
phòng chức năng khác hoặc các bên thứ ba có đủ điều kiện có thể là cần thiết và thích hợp,

bộ phận có trách nhiệm. Cụ thể:
a.Giám đốc và trưởng phòng IT chịu trách nhiệm cho việc thúc đẩy nhận thức của nhân
viên và tạo điều kiện thuận lợi cho việc thực hiện các chính sách của doanh nghiệp .
b.Xác định, xem xét và thực hiện chính sách theo đúng với các quy định và yêu cầu trong
hợp đồng.
c.Thiết lập thông tin liên lạc thông suốt đến tất cả các bộ phận trong doanh nghiệp: Để
thuận tiện cho việc triển khai các chính sách mới và giải quyết các sự cố xảy ra một cách nhanh
nhất.
d.Tạo điều kiện thuận lợi để doanh nghiệp thực hiện đúng các chính sách đã đề ra:
- Hỗ trợ kỹ thuật cho các nhân viên thực hiện đúng với các chính sách đã đề ra.
- Thường xuyên giám sát việc thực hiện các chính sách ( có thể giám sát thông qua
camera, thiết bi quản lý đầu cuối hoặc trực tiếp di giám sát) hoặc giám sát đa cấp.
e.Thiết lập một quy trình để xác định các lỗ hổng bảo mật và cập nhật các chính sách mới
cho phù hợp với hệ thống.
Trang 10


f.Yêu cầu tất cả nhân viên và các đối tác có trách nhiệm xác nhận bằng văn bản rằng họ
đã đọc và hiểu các chính sách an ninh và thủ tục của doanh nghiệp.
VII. Chính sách quản lý truy cập
1. Chính sách về mật khẩu
1.1 Mục đích
Mục đích của chính sách này là để thiết lập các quy tắc về xây dựng mật khẩu.
1.2 Phạm vi
Chính sách này áp dụng cho bất cứ ai truy cập và hệ thống của doanh nghiệp.Các nhân
viên, nhân viên tạm thời, khách hàng ,đối tác và các nhà cung cấp... Chính sách này áp dụng cho
tất cả các thiết bị được sở hữu bởi doanh nghiệp và tất cả các thiết bị của bên thứ ba kết nối với
hệ thống kinh doanh của doanh nghiệp.
1.3 Định nghĩa
Mật khẩu - Một yếu tố xác thực người sử dụng và được quản lý bởi một thiết bị, phần

mềm hoặc một cá nhân.
1.4 Tuyên bố chính sách
a.Không được phép sử dụng mật khẩu trống.
b.Mật khẩu phải có độ dài tối thiểu tám ký tự và ít nhất phải có ba trong số các loại ký tự
sau đây:
-Ký tự thường (a,c,b….).
-Ký tự in hoa (A,B,C….).
-Ký tự số (0,1,2….).
-Ký tự đặc biệt ( $, #,%....)
VD : ABCabc123, abc$ABC#%, ....
c.Mật khẩu không được đặt trùng Tên hoặc ID của người sử dụng hoặc các thông tin liên
quan đến người sử dụng như ngày tháng năm sinh, nơi sinh,…
d.Người dùng sẽ được yêu cầu để thay đổi mật khẩu của mình ít nhất một lần mỗi 30
ngày.
e.Sáu mật khẩu gần đây nhất không được sử dụng khi lựa chọn một mật khẩu mới.
g.Người sử dụng không được tiết lộ mật khẩu cho người khác.
h.Mật khẩu hiện tại phải được lưu trữ ở vị trí an toàn.
i.Tài khoản sẽ bị khóa sau 3 lần đăng nhập thất bại (khi bị khóa phải liên hệ với người có
thẩm quyền để mở khóa tài khoản). Có chế độ lưu các kết nối sai password gồm các thông tin: vị
trí máy, bên ngoài hoặc bên trong, kết nối bằng hình thức nào, tại đâu, thời gian, mức độ ….
j.Thủ tục, chính sách mật khẩu sẽ được gửi cho tất cả người dùng biết và áp dụng.
2. Chính sách xác thực
2.1 Mục đích
Trang 11


Mục đích của chính sách này là để đảm bảo thực hiện phù hợp cơ chế quản lý xác thực để
truy cập vào hệ thống của doanh nghiệp.
2.2 Phạm vi
Chính sách này áp dụng cho bất cứ ai truy cập và hệ thống của doanh nghiệp.Các nhân

viên, nhân viên tạm thời, khách hàng ,đối tác và các nhà cung cấp... Chính sách này áp dụng cho
tất cả các thiết bị được sở hữu bởi doanh nghiệp và tất cả các thiết bị của bên thứ ba kết nối với
hệ thống kinh doanh của doanh nghiệp.
2.3 Định nghĩa
Xác thực - Quá trình xác định danh tính của người dùng đăng nhập vào hệ thống. Người
dùng được xác thực có thể là một người sử dụng, máy tính, hoặc một chương trình máy tính.
2.4 Tuyên bố chính sách
Một định danh duy nhất được giao cho mỗi thực thể để phòng chống truy cập trái phép
vào tài nguyên và hệ thống của doanh nghiệp, và để thiết lập trách nhiệm cho các hoạt động truy
cập.
a.Phải đảm bảo rằng mỗi ID người dùng tạo ra là duy nhất.
b.ID người dùng sẽ không đưa ra bất cứ dấu hiệu gì cho thấy quyền hạn của người dùng
(ví dụ, Administrator, giám đốc).
c.Quyền truy cập hệ thống, tài nguyên sẽ được cung cấp phù hợp với tính chất của mỗi
công việc (ví dụ: phòng kế toán không được quyền sử dụng tài nguyên của phòng kinh doanh).
d.Người sử dụng tài khoản không được tiết lộ User ID hoặc mật khẩu với bất kỳ người
nào khác. Ngoài ra, khi tạo các tài khoản mail hoặc đăng nhập vào hệ thống nào đó thì việc đặt
tên ID cũng không được thể hiện chức năng, quyền hạn của tài khoản đó.
e.Quyền truy cập của người sử dụng sẽ được xem xét hàng năm, hoặc có sự thay đổi nhân
sự thì phải thông báo cho toàn thể nhân viên biết, trong vòng 48 giờ khi có quyết định đình chỉ
hoặc thôi việc thì phải đóng tài khoản .
g.Tài khoản không hoạt động vượt quá thời gian hiệu lực của mật khẩu 1 tuần thì sẽ
thông báo tới chủ tài khoản và trong vòng 3 ngày không có phản hồi thì bị vô hiệu hóa tài khoản.
h.Đối với nhân viên đã thôi việc thì tài khoản sẽ bị gỡ bỏ khỏi hệ thống.
3. Bên thứ ba truy cập
3.1 Mục đích
Mục đích của tiêu chuẩn này là để thiết lập các nguyên tắc và trách nhiệm cho bên thứ ba
(khách hàng, đại lý, nhà cung cấp dịch vụ, đối tác, nhân viên tạm thời) truy cập vào hệ thống.
3.2 Phạm vi
Chính sách này áp dụng cho bất cứ ai truy cập và hệ thống của doanh nghiệp.Các nhân

viên, nhân viên tạm thời, khách hàng ,đối tác và các nhà cung cấp... Chính sách này áp dụng cho
tất cả các thiết bị được sở hữu bởi doanh nghiệp và tất cả các thiết bị của bên thứ ba kết nối với
hệ thống kinh doanh của công ty.
3.3 Định nghĩa
Trang 12


- Nhà cung cấp - Bất kỳ cá nhân hoặc tổ chức nào không thuộc doanh nghiệp đang hoặc
sẽ cung cấp các dịch vụ hoặc chương trình hoặc các phần mềm ứng dụng cho doanh nghiệp.
- Tài nguyên thông tin (IR) : Bất kỳ và tất cả các bản in máy tính, thiết bị hiển thị trực
tuyến, các phương tiện thông tin lưu trữ từ tính, và tất cả các hoạt động liên quan đến máy tính
liên quan đến bất kỳ thiết bị có khả năng nhận email, duyệt web, hoặc có khả năng tiếp nhận, lưu
trữ, quản lý, truyền dữ liệu điện tử bao gồm: máy chủ, máy tính cá nhân, máy tính xách tay, máy
tính cầm tay, hệ thống phân phối chế biến, tài nguyên viễn thông, môi trường mạng, điện thoại,
máy fax, máy in và các văn phòng dịch vụ. Ngoài ra, nó là thủ tục, thiết bị, cơ sở vật chất, phần
mềm và dữ liệu được thiết kế, xây dựng, vận hành và duy trì để tạo ra, thu thập, lưu trữ hồ sơ quá
trình, lấy, hiển thị, và truyền tải thông tin.
3.4 Tuyên bố chính sách
a.Bên thứ ba phải thực hiện theo đúng các chính sách của doanh nghiệp đã đề ra.
b.Bên thứ ba phải thỏa thuận và đồng ý với các quy định cụ thể sau:
- Bên thứ ba phải đảm bảo không được tiết lộ thông tin do doanh nghiệp cung cấp.
- Tùy thuộc vào yêu cầu và quyền hạn của bên thứ ba, doanh nghiệp sẽ cho phép truy cập
vào hệ thống theo từng mức độ: khách, quản lý phần mềm, cập nhật dữ liệu. Có các tài khoản
riêng biệt và thư mục riêng cho bên thứ 3 đăng nhập vào hệ thống. (Ví dụ: đối với khách hàng sẽ
được dùng các tài khoản có dạng khach001, khach002,... và thư mục riêng là khachhang)
- Ở cuối hợp đồng doanh nghiệp sẽ xem xét việc xử lý lại hoặc tiêu hủy toàn bộ thông tin
mà hai bên đã thỏa thuận trong hợp đồng theo quy định nếu có trường hợp hủy hợp đồng hoặc
chấm dứt hợp đồng hoặc hợp đồng hết hiệu lực, có quy định hồi tố.
c.Doanh nghiệp sẽ liên lạc với bên thứ ba bằng hình thức email, diện thoại của doanh
nghiệp để trao đổi các thông tin chung. Các trao đổi mật khẩu hoặc các thông tin quan trọng khắc

sẽ được giao dịch trực tiếp có đảm bảo về tính an toàn trong giao dịch.
d.Bên thứ ba phải cung cấp danh sách tất cả nhân viên hoặc nhà thầu làm việc trên hợp
đồng (để doanh nghiệp dễ dàng giám sát). Danh sách này phải được cập nhật và cung cấp cho
doanh nghiệp trong vòng 48 giờ nếu có bất kỳ sự thay đổi nào.
e.Doanh nghiệp sẽ cung cấp thẻ nhận diện cho mỗi cá nhân thuộc đơn vị thứ ba khi đi
vào doanh nghiệp, và được trả lại khi ra khỏi doanh nghiệp để đảm bảo an ninh trong doanh
nghiệp.
f.Mỗi cá nhân thuộc đơn vị thứ ba khi ra vào doanh nghiệp bắt buộc phải cung cấp chứng
minh thư, giấy phép lái xe hoặc các loại giấy tờ tùy thân khác có đứng tên cá nhân đó và ký xác
nhận.
g. Mỗi cá nhân thuộc đơn vị thứ ba phải tuân thủ các quy định về an ninh trong doanh
nghiệp khi vào doanh nghiệp.
h.Những thông tin nhạy cảm của doanh nghiệp sẽ hạn chế hoặc cấm tuyệt đối bên thứ ba
truy cập vào, tùy theo tính chất công việc.
i.Các đại lý hoặc nhân viên bán thời gian phải báo cáo tất cả các sự cố bảo mật ngay khi
phát hiện ra sự cố.

Trang 13


j.Nếu doanh nghiệp thay đổi hoặc cập nhật chính sách mới thì sẽ báo cho bên thứ ba biết
để thực hiện.
k.Tất cả các nhà cung cấp lắp đặt, bảo trì trang thiết bị mạng muốn kết nối với bên ngoài
thông qua mạng internet, đường dây điện thoại cần phải có sự cho phép và giám sát chặt chẽ của
người có thẩm quyền trong doanh nghiệp.
l.ID và mật khẩu của bên thứ ba được cung cấp phải đúng tiêu chuẩn của chính sách về
mất khẩu và chính sách xác thực.
m.Khi chấm dứt hợp đồng hoặc theo yêu cầu của doanh nghiệp, bên thứ ba phải có trách
nhiệm:
+ Hoàn trả lại thông tin và các xác nhận bằng văn bản cho doanh nghiệp trong một

khoảng thời gian không quá mười ngày làm việc.
+ Hoàn trả lại thẻ nhận diện, thiết bị, vật tư… cho phía doanh nghiệp.
n.Tất cả các phần mềm được sử dụng bởi các nhà cung cấp trong việc cung cấp dịch vụ
cho doanh nghiệp phải được cấp phép hợp lệ (có bản quyền).
VIII. Chính sách bảo mật hệ thống
1.Chính sách bảo vệ trước các phần mềm độc hại
1.1 Mục đích
Mục đích của chính sách này là thiết lập các yêu cầu áp dụng cho tất cả các máy tính kết
nối với hệ thống mạng của doanh nghiệp để đảm bảo việc phòng ngừa và phát hiện các phần
mềm độc hại sao cho hiệu quả nhất. Chỉ có máy tính đáp ứng các tiêu chí của chính sách này mới
được kết nối với hệ thống mạng của doanh nghiệp.
1.2 Phạm vi
Chính sách này áp dụng cho bất cứ ai truy cập và hệ thống của doanh nghiệp.Các nhân
viên, nhân viên tạm thời, khách hàng ,đối tác và các nhà cung cấp... Chính sách này áp dụng cho
tất cả các thiết bị được sở hữu bởi doanh nghiệp và tất cả các thiết bị của bên thứ ba kết nối với
hệ thống kinh doanh của doanh nghiệp.
1.3 Định nghĩa
- Phần mềm độc hại: Phần mềm được thiết kế để xâm nhập hoặc thiệt hại hệ thống máy
tính mà không có sự đồng ý của chủ sở hữu.
- Trojan - Một chương trình có chứa hoặc cài đặt một chương trình độc hại (đôi khi được
gọi là trọng tải hoặc 'trojan'). Thuật ngữ này bắt nguồn từ thần thoại cổ điển của Trojan Horse.
Trojan có thể xuất hiện là chương trình hữu ích mà người sử dụng không nghi ngờ, nhưng thực
sự có hại khi được thực thi.
- Virus - Một chương trình máy tính. Thuật ngữ này thường được sử dụng để miêu tả một
loạt các phần mềm độc hại.
1.4 Tuyên bố chính sách
Anti-Malware

Trang 14



a.Sử dụng công nghệ sourcefire IPs/IDs, công nghệ antivirus của Astaro để chống các
phần mềm độc hại.
b.Các sản phẩm chống phần mềm độc hại phải được vận hành và cấu hình để bảo vệ
trong thời gian thực trên tất cả các máy chủ và máy tính của nhân viên.
c.Database của các công nghệ chống phần mềm độc hại phải được cập nhật một lần mỗi 2
ngày.
d.Việc quét virus phải được thực hiện mỗi tuần một lần trên tất cả các máy trạm và máy
chủ.
e.Không có sự chấp thuận của bộ phận an ninh thông tin, không ai có thể ngừng việc cập
nhật database của các công nghệ chống phần mềm độc hại ngoài người quản trị hệ thống.
Quét Email chứa phần mềm độc hại
a.Dùng antivirus của Astaro quét tất cả các email vào và ra để phát hiện các phần mềm
độc hại.
b.Khi phần mềm độc hại được tìm thấy, email sẽ bị xóa và thông báo cho người gửi.
c.Các máy chủ email sẽ chặn tất cả các email với các loại tập tin đính kèm được liệt kê
trong danh sách chặn dưới đây:
File

Extension Description

.asp

Active server pages

.bas

Basic program source code is executable code

.bat


Batch file which can call executable code

.chm

Compiled HTML help file can contain executable code

.cmd

Windows NT command script file is executable code

.com

Command file program is executable code

.cpl

Control panel extension

.dll

Dynamic link library is executable code

.exe

Binary executable program is executable code

.fxp

Microsoft FoxPro is executable code


.hlp

Help File

.hta

HTML program

.inf

Setup infommation

.ins

Internet naming service

.isp

Internet communications settings

.js

JavaScript file

.jse

JavaScript encoded file
Trang 15



.ksh

Unix shell file

.Ink

Link file

.mda

Microsoft Access add-in program

.mdb

Microsoft Access program

Mde

Microsoft Access MDE. Database

.mdt

Microsoft Access file

.mdw

Microsoft Access file

.mdz


Microsoft Access Wizard program

.msc

Microsoft common console document

.msi

Microsoft Windows installer package

.msp

Microsoft Windows installer patch

.mst

Visual test source files

.nws

Outlook express news file

.ops

FoxPro file

.pcd

Photo CD image or Microsoft Visual test compiled script


.pif

Shortcut to MS-DOS program

.pl

Perl scripts

.prf

Microsoft Outlook profile settings

.prg

FoxPro program source file

.reg

Registry files

Scf

Windows explorer command file

Scr

Screen saver

.sh


Shell script

Shb

Document shortcut

.sct

Windows script component

.shs

Shell scrap object

.url

Internet address

.vb

Visual basic file

.vbe

Visual basic encoded script file

.wsc

Windows script component


.wsf

Windows script file
Trang 16


.wsh

Windows script host settings file
Danh sách file đính kèm

2.Chính sách quản lý đăng nhập hệ thống
2.1 Mục đích
Mục đích của chính sách này là để giám sát đăng nhập vào hệ thống của người dùng.
Chính sách này được thiết kế nhằm giảm thiểu các thiệt hại ảnh hưởng đến doanh nghiệp.Thiệt
hại bao gồm: sự mất mát dữ liệu nhạy cảm của doanh nghiệp, sở hữu trí tuệ, thiệt hại cho hệ
thống bên trong, vv.
2.2 Phạm vi
Chính sách này áp dụng cho bất cứ ai truy cập và hệ thống của doanh nghiệp.Các nhân
viên, nhân viên tạm thời, khách hàng ,đối tác và các nhà cung cấp... Chính sách này áp dụng cho
tất cả các thiết bị được sở hữu bởi doanh nghiệp và tất cả các thiết bị của bên thứ ba kết nối với
hệ thống kinh doanh của công ty.
2.3 Định nghĩa
Máy chủ : Một máy tính hay một thiết bị trên mạng, nó quản lý tài nguyên của mạng.
2.4 Tuyên bố chính sách
Việc giám sát được thực hiện và duy trùy trong hệ thống sẽ cung cấp thông tin cho việc
nâng cấp và giải quyết các vấn đề về an ninh và hiệu suất làm việc của nhân viên. Doanh nghiệp
sẽ sữ dụng phần mềm Cyberoam để giám sát.
2.4.1 Event Logging

a.Hệ thống máy tính xử lý thông tin nhạy cảm, có giá trị, hoặc quan trọng bắt buộc phải
ghi lại tất cả các sự kiện liên quan đến vấn đề bảo mật.
b.Các bản log liên quan đến sự kiện bảo mật phải cung cấp đầy đủ thông tin, dữ liệu để
hỗ trợ trong việc kiểm toán hiệu quả và mức phù hợp với các biện pháp an ninh. (Các bản log
phải được chọn full option)
c.Ứng dụng hoặc phần mềm hệ thống quản lý cơ sở dữ liệu có trách nhiệm lưu giữ các
bản ghi hoạt động của người sử dụng và số liệu thống kê liên quan đến những hoạt động, dựa
theo đó có thể xác định các hoạt động đáng ngờ.
d.Các máy tính trong doanh nghiệp phải ghi lại các loại sự kiện sau đây:
i.Tất cả các truy cập người dùng cá nhân để hạn chế bảo mật dữ liệu.
ii.Tất cả các hành động được thực hiện bởi bất kỳ cá nhân nào, kế cả người có thẩm
quyền.
iii.Tài khoản người dùng truy cập vào hệ thống.
iv.Các truy cập không hợp lệ.
v.Sử dụng cơ chế xác định và xác thực.
vi.Khởi tạo của một kiểm toán đăng nhập.
Trang 17


vii .Việc tạo ra và xóa các đối tượng cấp hệ thống.
e.Ghi lại các hoạt động của người dùng (bao gồm cả ID của người dùng).
f.Tất cả các đồng hồ hệ thống phải được đồng bộ hóa.
g.Tất cả các bản ghi phải có chứa ngày và thời gian, cũng như xác định người sử dụng,
loại sự kiện, sự kiện thành công hay thất bại, khởi kiện và các dữ liệu bị ảnh hưởng, thành phần
hệ thống hoặc tài nguyên hệ thống.
h.Tất cả lịch sử kiểm toán đăng nhập sẽ được duy trì trong vòng một năm.
i.Việc kiểm tra nhật ký máy chủ Cyberoam phải được xem xét hàng ngày.
2.4.2 Giám sát
a.Tất cả các lệnh được áp dụng bởi các máy tính hệ thống cho các cá nhân cụ thể phải
được theo dõi thông qua việc sử dụng các bản ghi toàn diện.

b.Tất cả các thay đổi thiết lập bảo mật hoặc các thông số được lưu lại.
c.Tất cả các ID người dùng được tạo ra, xóa và hoạt động thay đổi đặc quyền được thực
hiện bởi các quản trị viên hệ thống và những người có thẩm quyền được phản ánh trong các báo
cáo quản lý định kỳ.
d.Tất cả các ID người dùng được tạo ra, xóa và hoạt động thay đổi đặc quyền thực hiện
bởi các quản trị viên hệ thống và những người thẩm quyền phải được đăng nhập an toàn.
e.Tất cả các lỗi đăng nhập hệ thống máy tính sẽ được báo cáo cho các quản trị viên hệ
thống một cách kịp thời.
f.Nhân viên an ninh có trách nhiệm xem xét hồ sơ phản ánh sự kiện bảo mật có liên quan
nhiều người sử dụng máy một cách định kỳ và kịp thời.
g.Các bản ghi hệ thống sẽ được cấu hình với cơ chế kiểm soát có khả năng chống tấn
công, bao gồm cả cố gắng để kích hoạt, thay đổi hoặc xóa các phần mềm đăng nhập hoặc bản
thân các bản ghi.
h.Các bản ghi trên máy vi tính có chứa các sự kiện bảo mật có liên quan phải được bảo
đảm chỉ được đọc bởi người được ủy quyền.
i.Các bản ghi trên máy vi tính có chứa các sự kiện liên quan an ninh phải được bảo đảm
không thể được sửa đổi bởi người dùng.
3.Chính sách bảo mật máy chủ
3.1 Mục đích
Mục đích của chính sách này là thiết lập một cấu hình cơ sở cho các thiết bị máy chủ nội
bộ của doanh nghiệp. Tiêu chuẩn này được thiết kế để giảm thiểu thiệt hại từ việc sử dụng trái
phép các nguồn tài nguyên của doanh nghiệp. Thiệt hại có thể bao gồm sự mất mát dữ liệu nhạy
cảm hoặc bí mật, sở hữu trí tuệ, thiệt hại cho hình ảnh công cộng, thiệt hại cho hệ thống quan
trọng bên trong, vv của doanh nghiệp.
3.2 Phạm vi
Chính sách này áp dụng cho bất cứ ai truy cập và hệ thống của doanh nghiệp.Các nhân
viên, nhân viên tạm thời, khách hàng ,đối tác và các nhà cung cấp... Chính sách này áp dụng cho
Trang 18



tất cả các thiết bị được sở hữu bởi doanh nghiệp và tất cả các thiết bị của bên thứ ba kết nối với
hệ thống kinh doanh của doanh nghiệp.
3.3 Định nghĩa
Đối tác - Không phải nhân viên của doanh nghiệp, đang cung cấp một số loại hình dịch
vụ cho doanh nghiệp.
Máy chủ : Một máy tính hay một thiết bị trên mạng, nó quản lý tài nguyên của mạng.
3.4 Tuyên bố chính sách
3.4.1 Quyền sở hữu và trách nhiệm
Tất cả các máy chủ nội bộ được triển khai trong doanh nhiệp sẽ được kiểm soát và quản
lý bởi bộ phận IT. Phê duyệt các thủ tục cấu hình máy chủ được thiết lập và duy trì bởi sự chấp
thuận của giám đốc hoặc trưởng phòng IT.
a.Máy chủ sẽ được đăng ký bản quyền. Máy chủ phải có sẵn những thông tin sau đây:
i.Địa chỉ máy chủ, vị trí đặt máy chủ
ii.Phần cứng, số serial và phiên bản hệ điều hành.
iii.Chức năng đặc biệt và các ứng dụng, nếu có.
b.Thông tin về máy chủ phải được lưu giữ đến ngày thay thế máy chủ khác.
c.Thay đổi cấu hình cho máy chủ phải thực hiện theo các thủ tục quản lý thay đổi phù
hợp.
3.4.2 Hướng dẫn cấu hình
a.Cấu hình hệ thống hoạt động được thực hiện theo thủ tục được xác định trước.
b.Dịch vụ và ứng dụng không được sử dụng sẽ bị vô hiệu hóa.
c.Truy cập các dịch vụ sẽ được lưu lại thông qua các phương pháp kiểm soát truy cập.
d.Thường xuyên cập nhật các bản vá lỗi bảo mật.
e.Chỉ có những tài khoản đặc quyền mới được phép đăng nhập vào máy chủ
(administrator).
f.Việc khóa màn hình phải được thực thi khi máy chủ không có sự thao tác trong 15 phút.
g.Các máy con và người dùng không được phép đăng nhập vào máy chủ ngoại trừ các tài
khoản built-in và bảo trì.
h.Máy chủ phải đặt trong một căn phòng có quyền truy cập hạn chế (vùng server farm)
i.Máy chủ được hỗ trợ nguồn cung cấp điện liên tục.

j.Máy chủ phải được cài phần mềm antivirus có bản quền (Kapersky)
k.Thiết bị lưu trữ di động luôn luôn phải quét virus trước khi kết nối với máy chủ.
l.Các truy cập đặc quyền phải được thực hiện trên các kênh an toàn (tức là, kết nối mạng
phải được mã hóa bằng cách sử dụng SSL hoặc IPSec).

Trang 19


m.Việc cấu hình máy chủ phải được thực hiện trực tiếp.(không được phép cài đặt cấu
hình từ xa)
n.Hệ điều hành cài đặt trên máy chủ phải được mua bản quyền.
o.Tất cả các máy chủ phải được chạy thử nghiệm trước khi triển khai trong hệ thống.
3.4.3 Giám sát
a.Tất cả các sự kiện liên quan đến an ninh trên các máy chủ quan trọng phải được lưu lại.
b.Các sự kiện liên quan đến an ninh sẽ được báo cáo cho các sở, ban, an ninh thông tin,
những người sẽ xem xét các bản ghi và báo cáo sự cố để quản lý. Biện pháp khắc phục sẽ được
quy định khi cần thiết. Các sự kiện liên quan đến an ninh bao gồm:
i.Tấn công bằng quét cổng.
ii.Các truy cập trái phép vào tài khoản đặc quyền.
iii.Các truy cập trái phép vào tài khoản người dùng từ các máy chủ / máy khách.
iv.Xuất hiện bất thường không liên quan đến các ứng dụng cụ thể trên máy chủ.
c.Tính toàn vẹn phần mềm giám sát được thực hiện để cảnh báo nhân viên để sửa đổi trái
phép các hệ thống quan trọng hoặc nội dung các tập tin. Phần mềm này sẽ được cấu hình để thực
hiện so sánh tập tin quan trọng ít nhất hàng tuần.
4. Chính sách bảo mật cho máy tính xách tay
4.1 Mục đích
Mục đích là để thiết lập các tiêu chuẩn cho việc sử dụng các thiết bị máy tính máy tính
xách tay và kết nối các hệ thống mạng. Những quy định này là cần thiết để bảo tồn tính toàn vẹn,
tính sẵn có, và bảo mật của công ty thuộc sở hữu hoặc quản lý thông tin.
4.2 Phạm vi

Chính sách này áp dụng cho tất cả các máy tính xách tay là tài sản của doanh nghiệp,
hoặc của bên thứ ba muốn truy cập vào hệ thống mạng của doanh nghiệp.
4.3 Định nghĩa
Đối tác - Không phải nhân viên của doanh nghiệp, đang cung cấp một số loại hình dịch
vụ cho doanh nghiệp.
4.4 Tuyên bố chính sách
a.Người sử dụng máy tính xách tay có trách nhiệm bảo mật vật lý và điều kiện của máy
tính xách tay của họ và các thông tin mà nó chứa.
b.Máy tính xách tay cấp cho người lao động hoặc đối tác sẽ vẫn là tài sản của doanh
nghiệp. Khi máy tính xách tay được phân bổ cho cá nhân, người sử dụng giả định "giám hộ" tạm
thời của máy tính xách tay.
c.Máy tính xách tay được thực hiện theo chính sách bảo mật của máy tính để bàn.

Trang 20


d.Việc khóa màn hình phải được thực thi khi máy tính xách tay không có sự thao tác
trong 15 phút.
g.Nếu một máy tính xách tay bị mất hoặc bị đánh cắp, người dùng sẽ ngay lập tức thông
báo cho người quản lý trực tiếp của mình, và nhờ quản trị mạng trợ giúp.
i.Phần mềm tường lửa cá nhân phải đảm bảo luôn được bật.
j.Tất cả các máy tính xách tay ổ đĩa cứng có chứa dữ liệu chủ thẻ có trách nhiệm sử dụng
mã hóa đĩa đầy đủ phù hợp với chuẩn mã hóa.
5. Bản vá lỗi: Patching
5.1 Mục đích
Mục đích của chính sách này là để đảm bảo rằng tất cả các máy tính trong hệ thống
mạng của doanh nghiệp, bất kể hệ điều hành nào đều được cài đặt và triển khai các bản vá lỗi
bảo mật.
5.2 Phạm vi
Chính sách này áp dụng cho bất cứ ai truy cập và hệ thống của doanh nghiệp.Các nhân

viên, nhân viên tạm thời, khách hàng ,đối tác và các nhà cung cấp... Chính sách này áp dụng cho
tất cả các thiết bị được sở hữu bởi doanh nghiệp và tất cả các thiết bị của bên thứ ba kết nối với
hệ thống kinh doanh của công ty.
5.3 Định nghĩa
Máy chủ : Một máy tính hay một thiết bị trên mạng, nó quản lý tài nguyên của mạng.
Malware (phần mềm độc hại) - Phần mềm được thiết kế đặc biệt để gây thiệt hại hoặc
phá vỡ một hệ thống máy tính, chẳng hạn như một virus hoặc một Trojan.
5.4 Tuyên bố chính sách
a. Bộ phận IT có trách nhiệm xác định và cài đặt các bản vá lỗi hoặc nâng cấp phần mềm.
b. Tất cả các hệ điều hành có liên quan và các bản vá lỗi bảo mật ứng dụng được cài đặt
trong vòng một tháng khi phát hành.
c. Quá trình thực hiện các bản vá lỗi hoặc nâng cấp phần mềm sẽ được lưu lại ở tất cả các
lần.
d. Khi cài đặt các bản vá bảo mật hoặc nâng cấp phần mềm thì phải được kiểm tra kỹ
lưỡng trước khi cài đặt vào hệ thống.
e.Hệ thống chính sách sẽ được cập nhật một cách kịp thời để thực hiện những thay đổi áp
dụng mới.
f.Việc sao lưu hệ thống được thực hiện trước và sau khi áp dụng các nâng cấp hệ thống
hoặc các bản vá lỗi bảo mật.
g.Tất cả các bản vá của hệ thống và phần mềm phải được nhà cung cấp xác nhận và các
bản vá đó phải là những bản vá mới nhất.
Lưu ý:

Trang 21


Nếu phát hiện lỗ hổng phần mềm độc hại đang hoạt động thì phần mềm đó sẽ được cập
nhật bản vá ngay, dù bản vá đó đang trong quá trình thử nghiệm hoặc có sẵn.
6. Chính sách bảo mật vùng DMZ
6.1 Mục đích

Mục đích của tiêu chuẩn này là xác định chính sách để giảm thiểu những tác động từ các
hacker hoặc phần mềm độc hại đển hệ thống máy chủ DMZ dùng chung vào riêng của doanh
nghiệp.
6.2 Phạm vi
Chính sách này áp dụng cho bất cứ ai truy cập và hệ thống của doanh nghiệp.Các nhân
viên, nhân viên tạm thời, khách hàng ,đối tác và các nhà cung cấp... Chính sách này áp dụng cho
tất cả các thiết bị được sở hữu bởi doanh nghiệp và tất cả các thiết bị của bên thứ ba kết nối với
hệ thống kinh doanh của công ty.
6.3 Định nghĩa
Khu vực phi quân sự (DMZ) - Là nơi chứa các thông tin cho phép người dùng từ internet
truy xuất vào và chấp nhận các rủi ro tấn công từ internet. Các dịch vụ thường được triển khai
trong vùng DMZ là: Mail, Web, FTP…
Mạng không tin cậy - Bất kỳ truy cập mạng bất thường, truy cập trái phép (mạng lưới đối
tác, Internet, vv), hoặc bất cứ điều gì đe dọa đến các tài nguyên.
6.4 Tuyên bố chính sách
6.4.1 Tổng cấu hình
Tất cả các máy chủ trong DMZ được thực hiện theo các cấu hình sau đây:
a.Phần cứng, hệ điều hành, dịch vụ và ứng dụng phải được phê duyệt bởi những người có
thẩm quyền trước khi triển khai.
b.Việc điền hành, cấu hình hệ thống phải được thực hiện dưới sự giám sát của người có
thẩm quyền và phải được ghi lại các bước.
c.Các máy chủ DMZ phải được chứng thực.
d.Dịch vụ và các ứng dụng không cho bên ngoài truy cập phải được hạn chế bởi các danh
sách kiểm soát truy cập.
e.Việc quản trị từ xa phải được thực hiện trên các kênh an toàn (tức là, kết nối mạng phải
được mã hóa bằng cách sử dụng IPSEC), hoặc truy cập giao diện điều khiển độc lập từ các mạng
DMZ (truy cập thông qua lớp mạng của vùng DMZ).
f.Tất cả các máy chủ muốn cập nhật nội dung đều phải được thực hiện trên các kênh an
toàn.
g.Tường lửa được sử dụng để hạn chế lưu lượng truy cập giữa các mạng công cộng,

mạng nội bộ với máy chủ DMZ private.(phòng chống DOS,DDOS)
h.Các sự kiện liên quan đến an ninh phải được lưu. Các sự kiện liên quan đến an ninh bao
gồm:
- Người sử dụng đăng nhập thất bại.
Trang 22


- Không có quyền truy cập mà vẫn truy cập.
- Truy cập vào các chính sách.
i.Các dữ liệu bí mật không được đặt trong các máy chủ DMZ.
6.4.2 Thiết bị thuê bên ngoài để cung cấp dịch vụ bên ngoài
Trách nhiệm cho sự an toàn của các thiết bị được triển khai bởi các nhà cung cấp dịch vụ
bên ngoài được làm rõ trong hợp đồng như sau:
i.Địa chỉ liên lạc bên an ninh và các thủ tục phải được nêu rõ trong hợp đồng.
ii.Chỉ những người có thẩm quyền trong doanh nghiệp mới có quyền truy cập vào môi
trường dữ liệu của doanh nghiệp.
iii.Phải ghi lại toàn bộ lịch sử truy cập.
iv.Đảm bảo kết nối truy cập từ xa phải an toàn và duy nhất vào môi trường dữ liệu của
doanh nghiệp.
IX. Chính sách bảo mật mạng
1. Chính sách bảo mật mạng
1.1 Mục đích
Mục đích của tiêu chuẩn này là để xác định và mô tả các chính sách về bảo mật trong
mạng để kiểm soát khách hàng truy cập hoặc sử dụng dịch vụ bên ngoài doanh nghiệp.
1.2 Phạm vi
Tiêu chuẩn này áp dụng cho tất cả các thiết bị hoặc hệ thống gắn liền với hệ thống mạng
của doanh nghiệp.
1.3 Định nghĩa
Không có.
1.4 Tuyên bố chính sách

a.Tất cả các hệ thống và các thiết bị phải có trách nhiệm thực hiện việc kiểm soát truy
cập. Quền hạn truy cập sẽ dựa vào đặc quyền của mỗi cá nhân.(Quản lý có thể truy cập đến
những đâu, nhân viên có quyền truy cập đến những đâu).
b.Việc ghi lại các sự kiện phải được thực hiện trên toàn bộ hệ thống có chức năng này.
c.Việc chứng thực sẽ được xử lý theo chính sách quản lý truy cập.
e.Hệ thống giao thức, cổng kết nối đã được phê duyệt bởi người có thẩm quyền mới đươc
áp dụng trong.
f.Hệ thống mạng phải được tách biệt thành từng khu và được phát họa để dễ quản lý.
g.Muốn mở rộng mạng cần có sự phê duyệt của người có thẩm quyền.
h.Việc đánh giá an ninh phải được thực hiện định kỳ mỗi tháng 1 lần và thường xuyên vá
các lỗ hổng bảo mật để tiếp tục thúc đẩy hệ thống an ninh tối ưu.
Trang 23


2.Chính sách mạng không dây
2.1 Mục đích
Chính sách này tạo ra nhằm nghiêm cấm truy cập vào hệ thống mạng thông qua cơ chế
thông tin liên lạc không dây không có bảo đảm. Chỉ có hệ thống không dây đáp ứng được các
tiêu chí của chính sách này mới được kết nối với hệ thống mạng của doanh nghiệp
2.2 Phạm vi
Chính sách này áp dụng cho bất cứ ai truy cập và hệ thống của doanh nghiệp.Các nhân
viên, nhân viên tạm thời, khách hàng ,đối tác và các nhà cung cấp... Chính sách này áp dụng cho
tất cả các thiết bị được sở hữu bởi doanh nghiệp và tất cả các thiết bị của bên thứ ba kết nối với
hệ thống kinh doanh của công ty.
2.3 Định nghĩa
IEEE 802.1x (Port Based Network Access Control) - Quản lý truy nhập mạng theo cổng,
là một chuẩn bảo mật được tổ chức IEEE chứng nhận và nhận được sự ủng hộ rộng rãi trong giới
công nghiệp. 802.1x sử dụng EAP và RADIUS để chứng nhận thực người dùng khi truy nhập
vào mạng cũng như để phân phối mã khóa bảo mật cho các quá trình giao tiếp.
2.4 Tuyên bố chính sách

2.4.1 Yêu cầu về công nghệ
Các thiết bị công nghệ hỗ trợ phát sóng mạng không dây phải đảm bảo các yếu tố sau:
- Hỗ trợ chuẩn IEEE 802.1x cho chứng thực kết nối không dây.
- Phải có RADIUS server (Remote Authentication Dial-In User) nhằm chứng thực
(Authentication), cấp phép (Authorization) và kế toán (Accounting) người dùng.
- WPA (Wi-Fi Protect Access) Để cung cấp mức bảo mật cao trong việc mã hóa và
toàn vẹn dữ liệu.
2.4.1 Mã hóa và chứng thực khách hàng sử dụng hệ thống mạng không dây
a.Các thiết bị của khách hàng phải được chứng thực mới được phép sử dụng mạng không
dây của doanh nghiệp.
b. Các thiết bị không dây trái phép không được phép truy cập vào hệ thống mạng.
c.Tất cả thông tin liên lạc không dây giữa các thiết bị sử dụng mạng không dây và hệ
thống mạng đều phải được mã hóa.
d.Phải áp dụng các hình thức mạnh nhất của mã hóa không dây cho phép các thiết bị của
khách hàng được sử dụng.
2.4.3 Chính sách kiểm soát truy cập
Quền truy cập các hệ thống, tài nguyên mạng thông qua mạng không dây sẽ bị hạn chế
dựa trên vai trò kinh doanh của người sử dụng.(Tham khảo chính sách truy cập)
3. Firewall chuẩn
3.1 Mục đích

Trang 24


Phần này xác định và mô tả các chính sách được thực hiện để hỗ trợ các chính sách về
tường lửa của hệ thống mạng.
3.2 Phạm vi
Chính sách này áp dụng cho tất cả các tường lửa trong hệ thống mạng của doanh nghiệp.
3.3 Định nghĩa
Khu vực phi quân sự (DMZ) - Là nơi chứa các thông tin cho phép người dùng từ internet

truy xuất vào và chấp nhận các rủi ro tấn công từ internet. Các dịch vụ thường được triển khai
trong vùng DMZ là: Mail, Web, FTP…
Firewall- Một rào cản được thiết kế để ngăn chặn thông tin trái phép hoặc không mong
muốn giữa các phần của một mạng máy tính.( Từ trong mạng ra ngoài Internet, từ khu vực này
sang khu vực khác)
3.4 Tuyên bố chính sách
a.Mọi lưu thông trên mạng phải được xác định theo yêu cầu về an ninh hoặc kinh doanh.
b.Tất cả các cổng không sử dụng phải bị chặn.
c.Truy cập quản trị phải được kiểm soát chặt chẽ và chỉ cho phép người có thẩm quyền.
d.Tường lửa phải đặt ở nơi an toàn và kín đáo.
e.Việc ghi lại các sự kiện phải được kích hoạt và thường xuyên xem xét để phát hiện các
hoạt động trái phép.
g.Kiểm tra định kỳ các cấu hình tường lửa vào cuối tuần.
4. Chính sách truy cập từ xa
4.1 Mục đích

Mục đích của của chính sách này là để quản lý, cấp phát quyền sử dụng các phương thức
truy cập từ xa vào hệ thống mạng của doanh nghiệp.
4.2 Phạm vi
Chính sách này áp dụng cho bất cứ ai truy cập và hệ thống của doanh nghiệp.Các nhân
viên, nhân viên tạm thời, khách hàng ,đối tác và các nhà cung cấp... Chính sách này áp dụng cho
tất cả các thiết bị được sở hữu bởi doanh nghiệp và tất cả các thiết bị của bên thứ ba kết nối với
hệ thống kinh doanh của công ty.
4.3 Định nghĩa
VPN (virtual private network) là công nghệ xây dựng hệ thống mạng riêng ảo nhằm đáp
ứng nhu cầu chia sẻ thông tin, truy cập từ xa và tiết kiệm chi phí. VPN cho phép các máy tính
truyền thông với nhau thông qua một môi trường chia sẻ như mạng Internet nhưng vẫn đảm bảo
được tính riêng tư và bảo mật dữ liệu. Để cung cấp kết nối giữa các máy tính, các gói thông tin
được bao bọc bằng một header có chứa những thông tin định tuyến, cho phép dữ liệu có thể gửi
từ máy truyền qua môi trường mạng chia sẻ và đến được máy nhận, như truyền trên các đường

ống riêng được gọi là tunnel. Để bảo đảm tính riêng tư và bảo mật trên môi trường chia sẻ này,
Trang 25