Báo cáo bài tập lớn môn Quản lý an toàn thông tin | Học viện Công Nghệ Bưu Chính Viễn Thông

lOMoAR cPSD| 58736390
HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG
KHOA AN TOÀN THÔNG TIN
BÁO CÁO BÀI TẬP LỚN HỌC PHẦN: QUẢN
LÝ AN TOÀN THÔNG TIN
BÁO CÁO BÀI TẬP SỐ 1 Sinh viên thực hiện B21DCAT161 Nguyễn Văn Quyến B21DCAT141 Nguyễn Văn Nam B21DCAT053 Hà Huy Đạt B21DCAT109 Lã Thế Khanh B21DCAT133 Phạm Đức Minh Nhóm bài tập: 07
Giảng viên hướng dẫn: Nguyễn Ngọc Điệp HÀ NỘI 2025 lOMoAR cPSD| 58736390
PHÂN CÔNG CÔNG VIỆC Họ và tên Câu hỏi Công việc
Tìm kiếm và liệt các chính sách các quy định, chính
sách của PTIT và một trường trong nước (có link bài viết). Nguyễn Văn Quyến Câu a
Tìm hiểu và phân tích các quy định, chính sách của một
trường nước ngoài (có link bài viết). So sánh các quy
định, chính sách của các trường vừa tìm được với PTIT. Lã Thế Khanh Câu a
Dựa trên những chính sách đã phân tích, đề xuất các
chính sách phù hợp cho học viện. Phạm Đức Minh Câu b
Phân tích và chỉ ra các điểm cần sửa đổi từ chính sách hiện tại, giải thích. Nguyễn Văn Nam Câu b
Viết ít nhất 5 chính sách, tiêu chuẩn/hướng dẫn áp dụng
cho PTIT, bao gồm chính sách mức tổ chức, chính sách
các vấn đề cụ thể và chính sách cho hệ thống cụ thể. Hà Huy Đạt Câu c lOMoAR cPSD| 58736390 Đề bài a)
Tìm hiểu và so sánh, đánh giá quy định, chính sách của PTIT với 1 trường trong
nước (có ít nhất 1 chính sách) và 1 nước ngoài (>5 chính sách đảm bảo ATTT). b)
Đề xuất các chính sách phù hợp với PTIT dựa trên các chính sách đã tìm hiểu.
Phân tích rõ những điều cần sửa đổi. c)
Viết ít nhất 5 chính sách, tiêu chuẩn/hướng dẫn áp dụng cho PTIT, bao gồm chính
sách mức tổ chức (gồm cả tiêu chuẩn phân loại dữ liệu), chính sách các vấn đề cụ thể
và chính sách cho hệ thống cụ thể. Bài làm Câu a)
Quy chế bảo đảm an toàn thông tin của Trường Đại học Công nghệ Thông tin (UIT): quy_che_attt_uit_final.pdf :
1. Phạm vi và đối tượng áp dụng: •
Áp dụng cho tất cả các đơn vị, cá nhân trong trường, bao gồm cán bộ, giảng viên, sinh viên. •
Quy định về bảo vệ tài nguyên thông tin và hệ thống CNTT.
2. Nguyên tắc chung: •
An toàn thông tin là yêu cầu bắt buộc, phải được thực hiện liên tục. •
Tuân thủ đầy đủ các quy định của pháp luật và quy định nội bộ của nhà trường. •
Các dự án CNTT phải được thẩm định về an toàn thông tin trước khi phê duyệt.
3. Các hành vi bị nghiêm cấm: •
Truy cập trái phép, làm sai lệch thông tin. •
Phát tán mã độc, thư rác, thiết lập hệ thống giả mạo. •
Gây gián đoạn hoặc tấn công hệ thống thông tin của nhà trường. 4. Biện pháp: • Mức vật lý: lOMoAR cPSD| 58736390 •
Bảo vệ hệ thống hạ tầng kỹ thuật khỏi các nguy cơ vật lý (cháy nổ, thiên tai...). •
Mức phần mềm và ứng dụng: •
Phải có xác thực người dùng, kiểm soát quyền truy cập. •
Cập nhật thường xuyên các bản vá lỗi bảo mật. •
Ghi nhật ký hoạt động và kiểm tra định kỳ. • Mức dữ liệu: •
Hạn chế truy cập thiết bị lưu trữ dữ liệu di động. •
Dữ liệu quan trọng phải được mã hóa và sao lưu định kỳ. •
Quản lý chặt chẽ việc chia sẻ thông tin ra bên ngoài. •
Sử dụng các cơ chế xác thực mạnh và mã hóa khi giao dịch trực tuyến. •
Mức hệ thống mạng: •
Hệ thống máy chủ phải có kiểm soát truy cập và nhật ký theo dõi. •
Phân vùng mạng theo chức năng để bảo mật. •
Kiểm soát truy cập từ bên ngoài và nội bộ, sử dụng VPN khi cần thiết. •
Lưu trữ và giám sát nhật ký hệ thống.
5. Xử lý sự cố an toàn thông tin •
Khi có sự cố, phải xác định nguyên nhân và khắc phục kịp thời. •
Các sự cố nghiêm trọng phải báo cáo lên cấp cao hơn để xử lý. •
Lập kế hoạch ứng cứu và theo dõi diễn biến sự cố.
6. Trách nhiệm của đơn vị và cá nhân •
Đơn vị phải phổ biến quy chế, tổ chức kiểm tra và đảm bảo tuân thủ. •
Cá nhân phải tuân thủ quy định, không chia sẻ tài khoản và bảo vệ thông tin cá nhân. •
Phòng Dữ liệu & CNTT có trách nhiệm triển khai và giám sát an toàn thông tin. 7. Xử lý vi phạm •
Cá nhân/đơn vị vi phạm có thể bị xử lý hành chính hoặc kỷ luật. •
Nếu gây thiệt hại nghiêm trọng, phải chịu trách nhiệm theo quy định pháp luật.
Chính sách An toàn Thông tin (ISP-01) của Đại học Bristol:
https://www.bristol.ac.uk/infosec/policies/information-security-policy-isp-01/
1. Phạm vi áp dụng lOMoAR cPSD| 58736390 •
Áp dụng cho tất cả các thành viên của trường và những người được cấp quyền
xử lý, lưu trữ hoặc quản lý thông tin thay mặt trường. •
Chính sách này liên quan đến việc quản lý và bảo mật các tài sản thông tin của trường.
2. Nguyên tắc An toàn Thông tin •
Bảo vệ thông tin theo các chính sách liên quan của trường học và pháp luật, đặc
biệt về bảo vệ dữ liệu, quyền con người và tự do thông tin. •
Mỗi tài sản thông tin sẽ có một người sở hữu được chỉ định, chịu trách nhiệm xác
định cách sử dụng phù hợp và đảm bảo các biện pháp bảo mật thích hợp. •
Thông tin chỉ được cung cấp cho những người có nhu cầu truy cập hợp pháp. •
Tất cả thông tin sẽ được phân loại theo mức độ bảo mật phù hợp. •
Đảm bảo tính toàn vẹn của thông tin. •
Mọi cá nhân được cấp quyền truy cập thông tin phải xử lý nó phù hợp với mức độ phân loại. •
Bảo vệ thông tin khỏi truy cập trái phép. •
Thực thi việc tuân thủ chính sách An toàn Thông tin.
3. Cấu trúc Chính sách •
Chính sách An toàn Thông tin được cấu trúc theo hướng dẫn trong "UCISA
Information Security Toolkit" và tiêu chuẩn ISO 27001. •
Tài liệu chính này liệt kê các tài liệu phụ tạo thành Chính sách An toàn Thông tin của trường học. •
Mỗi tài liệu phụ chỉ mô tả các yêu cầu và nguyên tắc ở mức cao; chi tiết triển
khai sẽ được cung cấp trong các tài liệu thủ tục và tiêu chuẩn riêng biệt. 4. Quản trị •
Trách nhiệm quản lý An toàn Thông tin được giao cho các cá nhân và bộ phận
liên quan trong trường học để đảm bảo tuân thủ và thực thi chính sách.
Chính sách quyền riêng tư của PTIT:
https://bcvt.edu.vn/chinh-sach-quyen-rieng-tu/
1. Thu thập thông tin cá nhân •
Thông tin thu thập: Tên đầy đủ, địa chỉ liên lạc, email, số điện thoại, tên đăng
nhập, mật khẩu đăng nhập. •
Mục đích: Thiết lập hồ sơ cá nhân cho sinh viên khi đăng ký tài khoản trên PTIT e-Learning. lOMoAR cPSD| 58736390
2. Sử dụng thông tin cá nhân • Mục đích sử dụng:
o Cung cấp dịch vụ tư vấn cho sinh viên.
o Gửi thông báo về hoạt động giữa PTIT e-Learning và thành viên. o Đảm
bảo an toàn tài khoản của sinh viên. o Liên lạc để cung cấp hàng hóa/dịch
vụ khi sinh viên mua trên hệ thống. o Thực hiện khảo sát, quảng bá và
cung cấp thông tin cập nhật về điều khoản hoạt động. •
Bảo mật: PTIT e-Learning ưu tiên bảo mật thông tin sinh viên và áp dụng các
tiêu chuẩn bảo vệ thông tin cá nhân.
3. Thời gian lưu trữ thông tin •
Thời gian lưu trữ: Từ khi sinh viên khai báo đến khi tài khoản ngừng hoạt động. •
Trường hợp đặc biệt: Nếu sinh viên yêu cầu hủy bỏ, thông tin sẽ được xóa sau
03 ngày kể từ khi nhận được yêu cầu.
4. Thay đổi hoặc loại bỏ hồ sơ thông tin cá nhân • Phương thức:
o Sinh viên tự đăng nhập và chỉnh sửa thông tin cá nhân.
o Liên hệ với ban quản trị qua số điện thoại hoặc email hỗ trợ để yêu cầu chỉnh sửa
5. Cam kết bảo mật thông tin sinh viên • Nội dung cam kết:
o Bảo mật tuyệt đối theo chính sách bảo vệ thông tin cá nhân của PTIT eLearning.
o Bảo mật mọi thông tin giao dịch trực tuyến của sinh viên.
o Không sử dụng, chuyển giao, cung cấp hoặc tiết lộ thông tin cá nhân khi
không có sự cho phép của sinh viên, trừ khi có quy định khác trong chính
sách hoặc theo pháp luật. •
Xử lý sự cố: Trong trường hợp lỗi kỹ thuật hoặc bị tấn công dữ liệu, ban quản trị
sẽ thông báo cho cơ quan chức năng và sinh viên trong vòng 03 ngày kể từ khi sự cố xảy ra.
6. Đối tượng chia sẻ thông tin • Trường hợp chia sẻ: lOMoAR cPSD| 58736390
o Khi cần thiết để bảo vệ quyền lợi của sinh viên, đảm bảo an toàn giao dịch
hoặc theo yêu cầu của bên thứ ba có thẩm quyền.
o Chia sẻ với các nhóm, bộ phận để nghiên cứu và giới thiệu sản phẩm, dịch
vụ tốt hơn cho sinh viên. Nếu sinh viên không muốn chia sẻ, PTIT
eLearning sẽ tôn trọng khi nhận được yêu cầu.
So sánh Chính sách giữa PTIT, ĐHCNTT và Bristol PTIT ĐHCNTT Đại học Bristol Phạm vi
Thông tin cá nhân Không đề cập trực
Liên quan đến quản lý và thu thập
cơ bản: Tên, email, tiếp, tập trung vào bảo bảo mật tài sản thông tin thông tin số điện thoại, mật
vệ hệ thống thông tin. của trường và những khẩu.
người được cấp phép xử lý. Mục đích
Tư vấn, gửi thông Bảo vệ hệ thống, bảo
Đảm bảo thông tin được sử dụng báo, bảo vệ tài
mật giao dịch và đảm bảo mật, tránh tác động thông tin khoản, cung cấp bảo tính toàn vẹn hệ
tiêu cực từ thiếu bảo mật. dịch vụ. thống. Bảo mật Cam kết bảo mật Bảo vệ an toàn hệ
Thông tin được bảo vệ thông tin thông tin, không thống, phân vùng theo chính sách và luật chia sẻ ngoài đối
mạng, mã hóa dữ liệu. pháp, phân loại theo mức tượng quy định. độ bảo mật.
Thời gian Lưu trữ đến khi tài Không đề cập cụ thể,
Chính sách không đề cập lưu trữ
khoản ngừng hoạt bảo vệ thông tin trong thời gian lưu trữ cụ thể, thông tin động, xóa khi có suốt vòng đời hệ nhưng có các biện pháp yêu cầu. thống. bảo mật thông tin liên tục. Quyền
Sinh viên có thể tự Không đề cập cụ thể,
Không đề cập trực tiếp thay đổi thay đổi hoặc yêu
tập trung vào bảo mật đến quyền thay đổi thông thông tin cầu hỗ trợ từ Ban hệ thống và dữ liệu.
tin, tập trung vào bảo mật quản trị. và quản lý. lOMoAR cPSD| 58736390
Đối tượng Chia sẻ với các bộ Chỉ chia sẻ khi có sự
Thông tin chia sẻ chỉ với chia sẻ phận nghiên cứu
đồng ý hoặc theo yêu những người có nhu cầu thông tin
hoặc theo yêu cầu cầu pháp luật. hợp pháp, và tuân thủ hợp pháp. chính sách bảo mật. Bảo vệ Thông báo trong
Xử lý sự cố bảo mật
Thông tin sẽ được bảo vệ thông tin vòng 3 ngày nếu chi tiết, phát hiện,
chống lại truy cập trái
trong sự cố phát hiện sự cố bảo thông báo và khắc
phép và có biện pháp bảo mật. phục kịp thời. mật mạnh mẽ. Câu b:
Đề xuất các chính sách
1. Chính sách đảm bảo an toàn thông tin trong đăng ký tín chỉ •
Lý do cần thiết: Nếu hệ thống đăng ký tín chỉ bị tấn công DDoS hay có các sinh
viên sử dụng các tool, sinh viên khác không thể truy cập vào hệ thống để đăng
ký môn học hoặc kiểm tra điểm số của mình, gây ảnh hưởng trực tiếp đến tiến
độ học tập và có thể dẫn đến sự không hài lòng trong sinh viên, làm giảm uy tín của trường •
Khía cạnh cần sửa đổi và bổ sung:
o Bảo vệ chống lại tấn công DDoS: Hệ thống cần có các giải pháp cụ thể
như sử dụng firewall, dịch vụ CDN hoặc các công cụ phát hiện và giảm thiểu tấn công DDoS.
o Giới hạn truy cập theo thời gian thực: Đảm bảo rằng chỉ một số lượng
người dùng nhất định có thể truy cập vào hệ thống cùng lúc để tránh quá tải.
o Hệ thống dự phòng: Nên thiết lập các máy chủ phụ và hạ tầng dự phòng
để đảm bảo hệ thống hoạt động liên tục ngay cả khi máy chủ chính gặp sự cố.
o Thông báo về tình trạng hệ thống: Cung cấp thông tin rõ ràng về tình trạng
hoạt động của hệ thống để sinh viên biết khi nào có thể đăng ký tín chỉ
mà không bị ảnh hưởng bởi các vấn đề an ninh mạng. lOMoAR cPSD| 58736390
2. Chính sách quản lý quyền truy cập và tài khoản •
Lý do cần thiết: Việc kiểm soát quyền truy cập và tài khoản của người sử dụng
là yếu tố then chốt trong bảo vệ hệ thống thông tin, đặc biệt là khi sinh viên,
giảng viên và nhân viên có quyền truy cập khác nhau. •
Khía cạnh cần sửa đổi và bổ sung:
o Xác thực đa yếu tố : Nên triển khai xác thực đa yếu tố cho các tài khoản
quản trị, giảng viên và sinh viên để tăng cường bảo mật.
o Cấp quyền dựa trên vai trò (RBAC): Cần định rõ quyền hạn của từng
nhóm người dùng (sinh viên, giảng viên, quản trị viên), đảm bảo họ chỉ
có thể truy cập vào những dữ liệu và chức năng liên quan.
o Quản lý và giám sát đăng nhập bất thường: Triển khai hệ thống ghi lại và
phát hiện các hoạt động đăng nhập bất thường hoặc từ các địa điểm nghi ngờ.
o Quy định về mật khẩu: Định rõ chính sách mật khẩu mạnh, yêu cầu thay
đổi mật khẩu định kỳ, cũng như quy định về việc khóa tài khoản tạm thời
nếu phát hiện hoạt động bất thường.
3. Chính sách Phòng chống phần mềm độc hại và tấn công mạng •
Lý do cần thiết: Các phần mềm độc hại và các cuộc tấn công mạng (như
ransomware, phishing) là những mối đe dọa nghiêm trọng đối với an toàn thông
tin. PTIT cần có các biện pháp chủ động để bảo vệ hệ thống khỏi các mối đe dọa này. •
Khía cạnh cần sửa đổi và bổ sung:
o Cập nhật thường xuyên: Chính sách cần đảm bảo hệ thống bảo mật và
phần mềm chống mã độc được cập nhật thường xuyên để bảo vệ chống
lại các mối đe dọa mới.
o Kiểm tra định kỳ: Triển khai kiểm tra an ninh định kỳ để phát hiện các lỗ
hổng bảo mật hoặc phần mềm độc hại đã xâm nhập. o Huấn luyện người
dùng: Cung cấp các khóa đào tạo định kỳ cho sinh viên và giảng viên về
cách nhận biết và phòng tránh các cuộc tấn công phishing và phần mềm độc hại.
o Công nghệ bảo mật nâng cao: Nên sử dụng các giải pháp tường lửa nâng
cao, hệ thống phát hiện xâm nhập (IDS), và công cụ phân tích mã độc để ngăn chặn tấn công.
4. Chính sách Sao Lưu và Khôi Phục Dữ Liệu lOMoAR cPSD| 58736390 •
Lý do cần thiết: Mất mát dữ liệu có thể xảy ra bất kỳ lúc nào do các sự cố không
mong muốn. Chính sách sao lưu và khôi phục dữ liệu giúp bảo vệ các tài nguyên
thông tin quan trọng của trường. •
Khía cạnh cần sửa đổi và bổ sung:
o Tần suất sao lưu: Quy định tần suất sao lưu dữ liệu (hàng ngày, hàng tuần)
và các cấp độ ưu tiên cho dữ liệu quan trọng.
o Lưu trữ ngoài site: Đảm bảo có bản sao lưu dữ liệu được lưu trữ tại một
địa điểm khác (ngoài hệ thống chính) để bảo vệ trong trường hợp xảy ra
thảm họa. o Khôi phục thử nghiệm: Thực hiện kiểm tra khả năng khôi
phục dữ liệu định kỳ để đảm bảo các bản sao lưu có thể khôi phục thành
công khi cần. o Mã hóa bản sao lưu: Bảo đảm rằng dữ liệu sao lưu được
mã hóa để tránh nguy cơ rò rỉ dữ liệu khi bản sao lưu bị mất hoặc bị truy cập trái phép.
5. Chính sách Phòng Ngừa và Xử Lý Sự Cố An Toàn Thông Tin •
Lý do cần thiết: Các sự cố an toàn thông tin có thể xảy ra bất cứ lúc nào, và có
thể gây thiệt hại nghiêm trọng nếu không được xử lý kịp thời. Chính sách này
giúp PTIT đối phó nhanh chóng và hiệu quả khi xảy ra sự cố. •
Khía cạnh cần sửa đổi và bổ sung:
o Kế hoạch xử lý sự cố: Cần có kế hoạch chi tiết về cách xử lý từng loại sự
cố an ninh mạng, phân công rõ ràng trách nhiệm cho từng bộ phận.
o Quy trình báo cáo sự cố: Thiết lập quy trình báo cáo sự cố nhanh chóng
và dễ dàng cho cả người dùng và quản trị viên.
o Đánh giá và học hỏi sau sự cố: Mỗi khi sự cố xảy ra, cần thực hiện đánh
giá toàn diện về nguyên nhân và biện pháp khắc phục để ngăn chặn tái diễn.
o Bảo vệ và khôi phục sau sự cố: Đảm bảo rằng các biện pháp bảo vệ dữ
liệu và hệ thống luôn được cập nhật và sẵn sàng trong trường hợp sự cố xảy ra.
6. Chính sách Đào Tạo và Nâng Cao Nhận Thức An Toàn Thông Tin •
Lý do cần thiết: Sự kết hợp giữa nhân viên được đào tạo về bảo mật và một mạng
lưới mạnh mẽ giúp giảm thiểu rủi ro và giữ cho các tổ chức an toàn trước các
mối đe dọa. Đào tạo nhận thức về an ninh có thể giúp ngăn chặn các cuộc tấn
công mạng kỹ thuật xã hội, nguyên nhân lớn nhất gây ra tổn thất do tội phạm mạng.
Khía cạnh cần sửa đổi và bổ sung: o Đào tạo định kỳ: Xây dựng chương trình
đào tạo an toàn thông tin định kỳ cho toàn bộ nhân viên, sinh viên và giảng
viên, với nội dung được cập nhật theo các xu hướng và mối đe dọa mới nhất.
o Nâng cao nhận thức về kỹ thuật xã hội: Đào tạo người dùng về cách nhận
biết và đối phó với các cuộc tấn công kỹ thuật xã hội như phishing, lừa
đảo qua email, hoặc giả danh. o Đào tạo theo vai trò: Xây dựng các khóa
đào tạo chuyên biệt theo từng vai trò, như quản trị viên hệ thống, nhân
viên kỹ thuật, và người dùng cuối, giúp họ hiểu rõ các mối đe dọa đặc thù
và cách bảo vệ hệ thống trong phạm vi trách nhiệm của mình.
o Kiểm tra và đánh giá: Thường xuyên kiểm tra kiến thức an toàn thông tin
của người dùng qua các bài kiểm tra trực tuyến hoặc các bài thực hành,
giúp đánh giá mức độ hiểu biết và nhận thức.
o Xây dựng văn hóa bảo mật: Tạo ra một văn hóa bảo mật trong tổ chức,
nơi mọi người đều nhận thức được tầm quan trọng của việc bảo vệ dữ liệu
và tích cực tham gia vào việc thực hiện các biện pháp bảo mật. o Cảnh
báo và tư vấn: Cung cấp các cảnh báo, bản tin về những mối đe dọa mới,
cũng như các phương pháp phòng tránh để nhân viên, sinh viên và giảng
viên luôn được cập nhật thông tin.
c) Viết ít nhất 5 chính sách, tiêu chuẩn/hướng dẫn áp dụng cho PTIT, bao gồm chính
sách mức tổ chức (gồm cả tiêu chuẩn phân loại dữ liệu), chính sách các vấn đề cụ thể
và chính sách cho hệ thống cụ thể. 1. Chính sách bảo mật thông tin cấp tổ chức
Mục tiêu: Đảm bảo an toàn cho tất cả các tài nguyên thông tin của học viện, bao gồm
dữ liệu của sinh viên, giảng viên, nghiên cứu viên, nhân viên và các bên liên quan, từ
việc thu thập, lưu trữ, sử dụng đến việc chia sẻ thông tin.
Phạm vi áp dụng: Chính sách này áp dụng cho tất cả các đơn vị trực thuộc PTIT và toàn
bộ các cá nhân tham gia vào hoạt động công nghệ thông tin của trường, bao gồm sinh
viên, giảng viên, nhân viên hành chính và các bên thứ ba có liên quan.
Phân loại và bảo vệ dữ liệu: •
Thông tin công khai: Bao gồm các dữ liệu không nhạy cảm có thể công khai, ví
dụ như lịch trình học tập, thông tin về các sự kiện công cộng của học viện. Các
thông tin này không yêu cầu bảo mật đặc biệt và có thể chia sẻ với công chúng.
Thông tin nội bộ: Bao gồm các dữ liệu phục vụ cho hoạt động nội bộ của học
viện như báo cáo học tập, các kế hoạch đào tạo, thông tin tài chính, quy định,
chính sách của viện. Dữ liệu này chỉ được chia sẻ trong nội bộ học viện với
những cá nhân có quyền truy cập. •
Thông tin nhạy cảm: Bao gồm các dữ liệu có tính bảo mật cao, như thông tin cá
nhân của sinh viên, kết quả học tập, thông tin tài chính. Dữ liệu này phải được
mã hóa khi lưu trữ và truyền tải, và chỉ những người có quyền truy cập hợp pháp mới có thể tiếp cận.
Các biện pháp bảo vệ thông tin: •
Mã hóa tất cả dữ liệu nhạy cảm khi lưu trữ và khi truyền tải qua mạng. •
Hạn chế quyền truy cập dữ liệu dựa trên vai trò của người dùng trong tổ chức.
Ví dụ: giảng viên chỉ được phép truy cập thông tin của sinh viên trong phạm vi
môn học mà họ giảng dạy. •
Sử dụng các công cụ bảo mật mạnh mẽ như tường lửa, hệ thống phát hiện xâm
nhập (IDS), và mã hóa SSL/TLS để bảo vệ dữ liệu.
2. Chính sách bảo mật thông tin sinh viên
Mục tiêu: Bảo vệ thông tin cá nhân của sinh viên trong suốt quá trình học tập tại học
viện từ khi thu thập thông tin cho đến khi sinh viên kết thúc học tập tại học viện. Thu thập thông tin: •
Học viện chỉ thu thập các thông tin cần thiết cho việc đăng ký học tập và quản
lý sinh viên, bao gồm họ tên, địa chỉ email, số điện thoại, mã sinh viên, và các
thông tin khác liên quan đến việc học. •
Sinh viên phải cung cấp các thông tin này khi đăng ký tài khoản trên hệ thống
và phải đồng ý với việc thu thập và sử dụng thông tin cá nhân của mình theo
chính sách bảo mật này.
Lưu trữ và bảo mật thông tin: •
Các thông tin cá nhân của sinh viên sẽ được lưu trữ trong hệ thống bảo mật của
học viện, được mã hóa và bảo vệ khỏi các truy cập trái phép. •
Dữ liệu sẽ được sao lưu định kỳ và có biện pháp khôi phục khi xảy ra sự cố hệ
thống nhằm đảm bảo không mất mát dữ liệu quan trọng.
Chia sẻ và xử lý thông tin: •
PTIT cam kết không chia sẻ thông tin cá nhân của sinh viên cho bất kỳ bên thứ
ba nào ngoài học viện hợp có sự đồng ý từ sinh viên hoặc theo yêu cầu của pháp luật.
Các thông tin cá nhân chỉ được chia sẻ với các bộ phận liên quan trong học viện
hoặc với các cơ quan pháp lý khi có yêu cầu hợp pháp.
3. Chính sách quản lý truy cập và quyền hạn
Mục tiêu: Đảm bảo rằng chỉ những cá nhân có quyền mới có thể truy cập và xử lý dữ
liệu quan trọng của học viện, nhằm bảo vệ thông tin cá nhân và các tài nguyên hệ thống. Phân quyền truy cập: •
Mỗi cá nhân (sinh viên, giảng viên, nhân viên) phải có tài khoản riêng biệt để
truy cập các hệ thống thông tin của học viện. Tài khoản không được chia sẻ giữa các cá nhân. •
Quyền truy cập vào dữ liệu sẽ được cấp dựa trên vai trò của từng người trong tổ
chức. Ví dụ: giảng viên chỉ có thể truy cập thông tin của sinh viên trong phạm vi
môn học của mình, nhân viên hành chính chỉ có thể truy cập vào các hệ thống quản lý hành chính. Xác thực và giám sát: •
Tất cả các tài khoản quản trị viên và người dùng có quyền truy cập cao cần phải
sử dụng phương thức xác thực đa yếu tố (MFA) để đảm bảo tính bảo mật của tài khoản. •
Các hành động truy cập hệ thống sẽ được ghi lại trong nhật ký hệ thống để phát
hiện kịp thời các hành vi truy cập trái phép. Quản lý tài khoản: •
Tài khoản của cá nhân phải được cập nhật hoặc thu hồi ngay lập tức khi có thay
đổi công việc (chuyển công tác, thôi việc, thôi học). •
Tài khoản quản trị viên phải được phân quyền riêng biệt và không được dùng
chung. Chỉ những cá nhân có trách nhiệm quản trị hệ thống mới có quyền truy
cập vào các tài khoản này.
4. Chính sách bảo mật hệ thống thông tin
Mục tiêu: Đảm bảo hệ thống công nghệ thông tin của PTIT luôn được bảo vệ khỏi các
mối đe dọa an ninh và sự cố gây mất mát dữ liệu.
Biện pháp bảo vệ hệ thống: •
Tất cả hệ thống của học viện phải được bảo vệ bằng các công cụ bảo mật như
tường lửa, phần mềm chống virus, và hệ thống phát hiện xâm nhập (IDS). •
Hệ thống phải được cập nhật thường xuyên để vá các lỗ hổng bảo mật và duy trì
khả năng phòng chống các cuộc tấn công mạng.
Cập nhật các bản vá lỗi và nâng cấp hệ thống kịp thời để giảm thiểu rủi ro bảo mật.
Giám sát và phản ứng sự cố: •
Hệ thống sẽ được giám sát liên tục để phát hiện các hành vi bất thường hoặc tấn công mạng. •
Khi phát hiện sự cố bảo mật, sẽ có quy trình phản ứng nhanh để xử lý và khắc phục kịp thời.
5. Chính sách bảo mật thông tin khi sử dụng thiết bị di động và làm việc từ xa
Mục tiêu: Đảm bảo rằng thông tin của học viện được bảo vệ khi sinh viên và nhân viên
sử dụng thiết bị di động hoặc làm việc từ xa.
Quản lý thiết bị di động: •
Các thiết bị di động (smartphone, laptop) sử dụng để làm việc hoặc học tập phải
có mật khẩu bảo vệ và được mã hóa dữ liệu. •
Các thiết bị này phải được kiểm tra bảo mật định kỳ và không được phép cài đặt
phần mềm không rõ nguồn gốc. Làm việc từ xa: •
Khi làm việc từ xa, sinh viên và nhân viên phải kết nối qua mạng riêng ảo (VPN)
để đảm bảo bảo mật khi truy cập vào hệ thống của học viện. •
Không sử dụng thiết bị cá nhân không bảo mật hoặc không có phần mềm bảo
mật để truy cập vào các dữ liệu và hệ thống của học viện.
Chia sẻ và bảo vệ dữ liệu: •
Khi chia sẻ dữ liệu qua mạng, phải sử dụng mật khẩu mạnh và mã hóa để bảo vệ thông tin. •
Khuyến khích sử dụng các phần mềm bảo mật và dịch vụ lưu trữ đám mây được
học viện phê duyệt để lưu trữ và chia sẻ tài liệu học tập và công việc.