1. Mục đích
Thông qua các hoạt động phát triển hệ thống, Công ty TNHH AIoT trực tiếp xử lý những tài sản thông tin quan trọng của khách hàng. Chúng tôi thiết lập Chính sách Bảo mật Thông tin này nhằm mục tiêu bảo vệ tối ưu các tài sản thông tin được tin tưởng bàn giao, đồng thời xây dựng một hệ thống vận hành chuyên nghiệp để khách hàng hoàn toàn yên tâm khi hợp tác.
2. Phạm vi áp dụng
Chính sách này được áp dụng cho toàn bộ ban lãnh đạo, nhân viên chính thức, nhân viên hợp đồng, nhân viên phái cử và các đơn vị đối tác ủy thác của công ty.
3. Bảo vệ tài sản thông tin
Tài sản thông tin nhận từ khách hàng được quản lý nghiêm ngặt dựa trên hợp đồng và các quy định pháp luật hiện hành.
Nghiêm cấm việc lưu trữ dữ liệu vào các thiết bị nhớ ngoài (USB, ổ cứng rời…) hoặc thiết bị cá nhân.
Các tài sản thông tin không còn nhu cầu sử dụng sẽ được xóa hoặc hủy bỏ bằng các phương pháp an toàn tuyệt đối.
4. Quản lý truy cập
Nhân sự phụ trách dự án được quản lý theo danh sách cụ thể; quyền truy cập chỉ được cấp cho những người thực sự cần thiết để thực hiện công việc.
ID và mật khẩu phải được quản lý phù hợp, nghiêm cấm việc chia sẻ tài khoản cho người khác.
Sử dụng VPN, xác thực đa yếu tố (MFA) và các biện pháp kỹ thuật để ngăn chặn truy cập trái phép từ bên ngoài..
5. Giải pháp an ninh vật lý
Khu vực xử lý thông tin luôn được khóa và kiểm soát chặt chẽ, hạn chế sự xâm nhập của bên thứ ba.
Trong trường hợp bất khả kháng phải cho bên thứ ba vào khu vực làm việc, cần có giấy phép phê duyệt và ghi chép nhật ký ra vào đầy đủ.
6. Làm việc từ xa (Remote Work)
Khi làm việc từ xa, nhân viên bắt buộc phải sử dụng VPN và các phần mềm bảo mật chuyên dụng.
Tuyệt đối không làm việc trên máy tính cá nhân; bắt buộc phải sử dụng máy tính do công ty cấp phát.
Tuân thủ nghiêm ngặt “Chính sách làm việc từ xa” để ngăn ngừa triệt để việc rò rỉ thông tin.
7. Đào tạo nhân sự & vận hành
Công ty tổ chức đào tạo về bảo mật thông tin và xử lý thông tin cá nhân cho nhân viên mới và định kỳ hàng năm.
Sau đào tạo, các bài kiểm tra đánh giá mức độ hiểu biết sẽ được thực hiện để đảm bảo mọi nhân sự đều nắm vững quy định.
8. Ứng phó sự cố
Khi xảy ra hoặc có nghi vấn về sự cố bảo mật (rò rỉ, sai lệch, mất dữ liệu…), nhân sự phải báo cáo ngay lập tức cho CTO.
CTO có trách nhiệm xác minh tình hình, thông báo kịp thời cho khách hàng, đồng thời điều tra nguyên nhân và đưa ra các biện pháp ngăn chặn tái diễn.
9. Cải tiến liên tục
Chúng tôi định kỳ rà soát hệ thống bảo mật dựa trên chính sách này và thực hiện cải tiến khi cần thiết.
Duy trì và nâng cao mức độ an ninh thông qua kiểm toán nội bộ, tự kiểm tra và đánh giá từ đơn vị bên ngoài.
10. Quy định & cơ chế trách nhiệm
CTO là người chịu trách nhiệm cao nhất về quản lý bảo mật thông tin.
Trong tương lai, chúng tôi sẽ thiết lập vị trí “Trưởng bộ phận Quản lý Bảo mật Thông tin” chuyên trách để làm rõ hơn vai trò và trách nhiệm.