Chính sách an ninh mạng
Thời gian phát hành:2021.12.22 Số lượt xem:5620
I. Thiết lập chính sách bảo mật thông tin
● Mục tiêu
Bộ Giao thông Vận tải (MOTC) đã thiết lập các hệ thống ứng dụng thông tin, phù hợp với các quy định trong "Quy tắc quản lý thông tin cho Viện Hành chính và các cơ quan trực thuộc", “Hướng dẫn quản lý bảo mật thông tin cho Viện Hành chính và các cơ quan trực thuộc” và “Đạo luật bảo vệ thông tin cá nhân”, và dựa trên nhu cầu hoạt động của MOTC, nhằm tăng cường hoạt động quản lý bảo mật thông tin liên quan.
● Phạm vi áp dụng
Chính sách này áp dụng cho toàn thể nhân viên chính ngạch, nhân viên hợp đồng, nhân viên đã thuyên chuyển, các công ty thuê ngoài của MOTC cũng như tất cả các tài sản thông tin liên quan và các cơ quan có hoạt động trực tuyến được liên kết với MOTC và được công bố bằng văn bản, dạng điện tử hoặc các hình thức khác, với mong muốn rằng chính sách sẽ được tuân thủ bởi tất cả mọi người nhằm bảo mật cho việc thu thập, xử lý, truyền tải, lưu trữ và công bố thông tin.
● Định nghĩa
Bản chất của bảo mật thông tin có thể được phân chia thành ba loại sau:
i. Bảo mật: Tài sản thông tin được phân loại theo mức độ bảo mật, đồng thời được chỉ định các tiêu chuẩn và biện pháp bảo vệ tương ứng với mức độ bảo mật đó.
ii. Tính toàn vẹn: Mọi tài sản thông tin đều được bảo đảm tính toàn vẹn để tổ chức có thể sử dụng một cách phù hợp.
Tính khả dụng: Tất cả các hạng mục tài sản thông tin phải được xử lý kịp thời và chính xác nhằm thỏa mãn mọi nhu cầu của người dùng.
iii. Chính sách bảo mật thông tin phải được duy trì bởi những cá nhân hoặc đơn vị được chỉ định, trong đó tổ chức bảo mật thông tin sẽ phải thường xuyên có những đánh giá và điều chỉnh cần thiết để duy trì tính phù hợp và hiệu quả của chính sách bảo mật thông tin.
II. Mục tiêu chính sách bảo mật thông tin
● Đảm bảo tính khả dụng và toàn vẹn của thông tin, và bảo vệ quyền sử dụng các phương tiện giao thông của người dân.
● Bảo mật thông tin và bảo vệ quyền riêng tư của các thông tin nhận được từ các cơ quan trực tuyến và công chúng.
● Đảm bảo tính chính xác của thông tin, và đảm bảo chất lượng của hệ thống thông tin được sử dụng bởi các cơ quan trực tuyến và công chúng.
Các mục tiêu được thiết lập theo chính sách bảo mật thông tin như mô tả ở trên để dùng làm chỉ số duy trì sự bảo mật thông tin.
1. Thành lập tổ chức thường xuyên chịu trách nhiệm chung về các hoạt động bảo mật thông tin.
2. Lập danh sách tài sản thông tin mới và chính xác nhất.
3. Phân định quyền sử dụng và thẩm quyền theo các quy định về bảo mật thông tin, tổ chức tập huấn phù hợp về bảo mật thông tin và cung cấp thông tin cho nhân viên phụ trách quy trình báo cáo sự cố bảo mật thông tin.
4. Thiết lập các biện pháp bảo vệ, cung cấp thiết bị bảo mật và áp dụng các quy tắc kiểm soát chung đối với tài sản hữu hình.
5. Xây dựng các biện pháp kiểm soát bảo mật cho hoạt động truyền thông và thông tin.
6. Thiết lập các quy trình kiểm soát lưu trữ và truy xuất thông tin rõ ràng và phù hợp.
7. Phát triển và bảo trì phần mềm song song với đánh giá và triển khai bảo mật.
8. Vận hành liên tục các chức năng tổ chức.
9. Thiết lập hệ thống kiểm toán bảo mật thông tin & truyền thông và thực hiện kiểm toán nội bộ về bảo mật thông tin & truyền thông để bảo mật thông tin toàn MOTC.
10. Đảm bảo các bên do MOTC thuê ngoài cũng tuân thủ chính sách bảo mật, thiết lập các cơ chế kiểm soát và quản lý các bên thuê ngoài.
11. Tuân thủ chính sách truyền thông và thông tin.
III. Trách nhiệm và nghĩa vụ
1. Công tác bảo mật thông tin cần đưa ra các định hướng rõ ràng để sửa đổi kịp thời chính sách này nhằm đảm bảo chính sách đáp ứng các nhu cầu hiện tại.
2. Các viên chức cấp cao của MOTC phải tham gia tích cực vào các hoạt động quản lý, hỗ trợ, cam kết thực hiện bảo mật thông tin, đồng thời tái kiểm tra chính sách này khi cần.
3. Đội ngũ nhân viên phải đáp ứng tốt các yêu cầu của chính sách này thông qua các quy trình phù hợp.
4. Toàn thể nhân viên chính ngạch, nhân viên hợp đồng, nhân viên đã thuyên chuyển, các công ty dịch vụ thuê ngoài của MOTC và các cơ quan có liên quan đến các tài sản thông tin trực tuyến với MOTC phải tuân thủ chính sách này.
5. Toàn thể nhân sự liên quan của MOTC phải báo cáo, thông qua các cơ chế báo cáo phù hợp, bất kỳ sự cố hoặc lỗ hổng bảo mật thông tin nào mà họ phát hiện ra.
6. Nhân viên MOTC nào không tuân thủ chính sách này hoặc tham gia vào bất kỳ hành vi nào đe dọa đến sự bảo mật thông tin của MOTC đều sẽ phải chịu hình phạt thích đáng hoặc bị khởi tố.
7. Toàn thể nhân viên liên quan của MOTC phải ký thỏa thuận bảo mật thông tin và hiểu rằng mọi thông tin nhận được trong quá trình làm việc với MOTC đều là tài sản của MOTC và không được sử dụng cho các mục đích trái phép khác.
IV. Đánh giá và sửa đổi chính sách bảo mật thông tin
1. Đánh giá
Chính sách này được duy trì bởi một đội ngũ nhân viên hoặc đơn vị được chỉ định, trong đó bộ phận bảo mật thông tin sẽ phụ trách công đoạn thường xuyên đánh giá và điều chỉnh cần thiết nhằm duy trì tính phù hợp và hiệu quả của chính sách bảo mật thông tin.
2. Sửa đổi
Chính sách này phải được sửa đổi bởi bộ phận bảo mật thông tin mỗi năm một lần hoặc phù hợp với những thay đổi về cơ cấu tổ chức, chức năng hoặc môi trường hoạt động của MOTC, trong đó việc sửa đổi sẽ được thực hiện sau khi được phê duyệt để phù hợp với các điều kiện hiện tại.
● Mục tiêu
Bộ Giao thông Vận tải (MOTC) đã thiết lập các hệ thống ứng dụng thông tin, phù hợp với các quy định trong "Quy tắc quản lý thông tin cho Viện Hành chính và các cơ quan trực thuộc", “Hướng dẫn quản lý bảo mật thông tin cho Viện Hành chính và các cơ quan trực thuộc” và “Đạo luật bảo vệ thông tin cá nhân”, và dựa trên nhu cầu hoạt động của MOTC, nhằm tăng cường hoạt động quản lý bảo mật thông tin liên quan.
● Phạm vi áp dụng
Chính sách này áp dụng cho toàn thể nhân viên chính ngạch, nhân viên hợp đồng, nhân viên đã thuyên chuyển, các công ty thuê ngoài của MOTC cũng như tất cả các tài sản thông tin liên quan và các cơ quan có hoạt động trực tuyến được liên kết với MOTC và được công bố bằng văn bản, dạng điện tử hoặc các hình thức khác, với mong muốn rằng chính sách sẽ được tuân thủ bởi tất cả mọi người nhằm bảo mật cho việc thu thập, xử lý, truyền tải, lưu trữ và công bố thông tin.
● Định nghĩa
Bản chất của bảo mật thông tin có thể được phân chia thành ba loại sau:
i. Bảo mật: Tài sản thông tin được phân loại theo mức độ bảo mật, đồng thời được chỉ định các tiêu chuẩn và biện pháp bảo vệ tương ứng với mức độ bảo mật đó.
ii. Tính toàn vẹn: Mọi tài sản thông tin đều được bảo đảm tính toàn vẹn để tổ chức có thể sử dụng một cách phù hợp.
Tính khả dụng: Tất cả các hạng mục tài sản thông tin phải được xử lý kịp thời và chính xác nhằm thỏa mãn mọi nhu cầu của người dùng.
iii. Chính sách bảo mật thông tin phải được duy trì bởi những cá nhân hoặc đơn vị được chỉ định, trong đó tổ chức bảo mật thông tin sẽ phải thường xuyên có những đánh giá và điều chỉnh cần thiết để duy trì tính phù hợp và hiệu quả của chính sách bảo mật thông tin.
II. Mục tiêu chính sách bảo mật thông tin
● Đảm bảo tính khả dụng và toàn vẹn của thông tin, và bảo vệ quyền sử dụng các phương tiện giao thông của người dân.
● Bảo mật thông tin và bảo vệ quyền riêng tư của các thông tin nhận được từ các cơ quan trực tuyến và công chúng.
● Đảm bảo tính chính xác của thông tin, và đảm bảo chất lượng của hệ thống thông tin được sử dụng bởi các cơ quan trực tuyến và công chúng.
Các mục tiêu được thiết lập theo chính sách bảo mật thông tin như mô tả ở trên để dùng làm chỉ số duy trì sự bảo mật thông tin.
1. Thành lập tổ chức thường xuyên chịu trách nhiệm chung về các hoạt động bảo mật thông tin.
2. Lập danh sách tài sản thông tin mới và chính xác nhất.
3. Phân định quyền sử dụng và thẩm quyền theo các quy định về bảo mật thông tin, tổ chức tập huấn phù hợp về bảo mật thông tin và cung cấp thông tin cho nhân viên phụ trách quy trình báo cáo sự cố bảo mật thông tin.
4. Thiết lập các biện pháp bảo vệ, cung cấp thiết bị bảo mật và áp dụng các quy tắc kiểm soát chung đối với tài sản hữu hình.
5. Xây dựng các biện pháp kiểm soát bảo mật cho hoạt động truyền thông và thông tin.
6. Thiết lập các quy trình kiểm soát lưu trữ và truy xuất thông tin rõ ràng và phù hợp.
7. Phát triển và bảo trì phần mềm song song với đánh giá và triển khai bảo mật.
8. Vận hành liên tục các chức năng tổ chức.
9. Thiết lập hệ thống kiểm toán bảo mật thông tin & truyền thông và thực hiện kiểm toán nội bộ về bảo mật thông tin & truyền thông để bảo mật thông tin toàn MOTC.
10. Đảm bảo các bên do MOTC thuê ngoài cũng tuân thủ chính sách bảo mật, thiết lập các cơ chế kiểm soát và quản lý các bên thuê ngoài.
11. Tuân thủ chính sách truyền thông và thông tin.
III. Trách nhiệm và nghĩa vụ
1. Công tác bảo mật thông tin cần đưa ra các định hướng rõ ràng để sửa đổi kịp thời chính sách này nhằm đảm bảo chính sách đáp ứng các nhu cầu hiện tại.
2. Các viên chức cấp cao của MOTC phải tham gia tích cực vào các hoạt động quản lý, hỗ trợ, cam kết thực hiện bảo mật thông tin, đồng thời tái kiểm tra chính sách này khi cần.
3. Đội ngũ nhân viên phải đáp ứng tốt các yêu cầu của chính sách này thông qua các quy trình phù hợp.
4. Toàn thể nhân viên chính ngạch, nhân viên hợp đồng, nhân viên đã thuyên chuyển, các công ty dịch vụ thuê ngoài của MOTC và các cơ quan có liên quan đến các tài sản thông tin trực tuyến với MOTC phải tuân thủ chính sách này.
5. Toàn thể nhân sự liên quan của MOTC phải báo cáo, thông qua các cơ chế báo cáo phù hợp, bất kỳ sự cố hoặc lỗ hổng bảo mật thông tin nào mà họ phát hiện ra.
6. Nhân viên MOTC nào không tuân thủ chính sách này hoặc tham gia vào bất kỳ hành vi nào đe dọa đến sự bảo mật thông tin của MOTC đều sẽ phải chịu hình phạt thích đáng hoặc bị khởi tố.
7. Toàn thể nhân viên liên quan của MOTC phải ký thỏa thuận bảo mật thông tin và hiểu rằng mọi thông tin nhận được trong quá trình làm việc với MOTC đều là tài sản của MOTC và không được sử dụng cho các mục đích trái phép khác.
IV. Đánh giá và sửa đổi chính sách bảo mật thông tin
1. Đánh giá
Chính sách này được duy trì bởi một đội ngũ nhân viên hoặc đơn vị được chỉ định, trong đó bộ phận bảo mật thông tin sẽ phụ trách công đoạn thường xuyên đánh giá và điều chỉnh cần thiết nhằm duy trì tính phù hợp và hiệu quả của chính sách bảo mật thông tin.
2. Sửa đổi
Chính sách này phải được sửa đổi bởi bộ phận bảo mật thông tin mỗi năm một lần hoặc phù hợp với những thay đổi về cơ cấu tổ chức, chức năng hoặc môi trường hoạt động của MOTC, trong đó việc sửa đổi sẽ được thực hiện sau khi được phê duyệt để phù hợp với các điều kiện hiện tại.