Skip to main content

II. Kiểm soát Truy cập và Quản lý Hệ thống

  1. Nguyên tắc "Cần thiết để biết" (Need-to-Know):

    • Hạn chế quyền truy cập vào các hệ thống, dữ liệu, tài liệu nhạy cảm ở mức tối thiểu cần thiết cho công việc thử việc.

    • Chỉ cấp quyền cho các thư mục, tài khoản, phần mềm liên quan trực tiếp đến nhiệm vụ được giao.

    • Không cấp quyền truy cập vào các hệ thống quan trọng toàn công ty trừ khi thực sự cần thiết và có sự giám sát.

  2. Quản lý Thiết bị:bị:

    • Ưu tiên sử dụng thiết bị làm việc do công ty cung cấp (máy tính, điện thoại) để dễ dàng kiểm soát bảo mật (cài đặt phần mềm giám sát, mã hóa ổ đĩa, v.v.).

    • Nếu nhân viên sử dụng thiết bị cá nhân (BYOD), phải có chính sách rõ ràng về bảo mật dữ liệu công ty trên thiết bị đó (ví dụ: cài đặt phần mềm bảo mật, quy tắc lưu trữ dữ liệu).

  3. Quản lý Tài khoản và Mật khẩu:khẩu:

    • Cấp phát tài khoản email, hệ thống với mật khẩu mạnh, yêu cầu đổi mật khẩu ngay lần đầu tiên.

    • Áp dụng xác thực đa yếu tố (MFA) cho các tài khoản quan trọng.

    • Theo dõi lượng truy cập email và máy tính một cách bất thường (cần thông báo rõ cho nhân viên về việc giám sát này theo luật pháp hiện hành).

Back to top