Biện pháp bảo mật

Quản lý quyền truy cập

TRẠNG THÁI

BIỆN PHÁP BẢO MẬT

Đã tuân thủ

Chính sách cấp quyền truy cập rõ ràng

Các thay đổi về quyền truy cập của nhân sự phải được tạo và phê duyệt bởi người quản lý hoặc bộ phận bảo mật. Quyền truy cập cần bị thu hồi khi không còn cần thiết.

Đã tuân thủ

Chính sách sử dụng thiết bị

Các thiết bị được cấp cho nhân viên cần được cấu hình theo tiêu chuẩn bảo mật của công ty, bao gồm mã hóa ổ đĩa, kích hoạt tường lửa, phần mềm diệt virus...

Đã tuân thủ

Sử dụng xác thực đa yếu tố (MFA)

Tổ chức cần kích hoạt MFA cho các hệ thống quan trọng, hoặc MFA cho SSO.

Đã tuân thủ

Quản lý mật khẩu

Tổ chức có chính sách quản lý mật khẩu cho nhân viên, bao gồm độ dài, độ phức tạp, tuổi thọ mật khẩu; hoặc sử dụng phần mềm quản lý mật khẩu trong tổ chức.

Đã tuân thủ

Giới hạn truy cập vào các hệ thống quan trọng

Quyền truy cập vào các hệ thống và/hoặc dữ liệu quan trọng phải được yêu cầu, xem xét và phê duyệt từng lần. Quyền truy cập được cấp tạm thời, thường không quá 24 giờ.

Đã tuân thủ

Quản lý khóa bí mật

Các khóa và dữ liệu bí mật cho quá trình phát triển phần mềm được lưu trữ và bảo vệ an toàn; hoặc sử dụng phần mềm quản lý secrets trong quá trình phát triển.

Đã tuân thủ

Giới hạn quyền truy cập dữ liệu production

Quyền truy cập vào dữ liệu production cần bị hạn chế, và chỉ nên xem xét và phê duyệt trên cơ sở từng trường hợp cụ thể.

Đã tuân thủ

Sử dụng kiểm soát truy cập dựa trên vai trò (RBAC)

Quyền truy cập vào các hệ thống và ứng dụng được cấp phát dựa trên vai trò của người dùng.

Đã tuân thủ

Sử dụng đăng nhập tập trung (SSO)

Tổ chức thiết lập SSO cho các hệ thống nội bộ để quản lý tập trung tài khoản và định danh truy cập cho từng nhân viên.

Đã tuân thủ

Sử dụng VPN khi truy cập từ xa

Truy cập từ xa, từ ngoài văn phòng làm việc vào các hệ thống nội bộ cần được đi qua kênh VPN.

Đã tuân thủ

Truy cập mạng văn phòng và wifi

Mạng văn phòng, bao gồm truy cập không dây, được bảo vệ chỉ dành cho mục đích công việc nội bộ. Truy cập wifi cho khách được cung cấp trên một vùng mạng riêng biệt.

Đã tuân thủ

Phân công vai trò của bộ phận bảo mật

Vai trò và trách nhiệm về các vấn đề bảo mật cần được xác định rõ ràng bằng văn bản trong tổ chức.

Đã tuân thủ

Đào tạo nhận thức bảo mật

Nhân viên và đối tác được đào tạo nhận thức bảo mật định kỳ, tối thiểu 1 lần/năm.

Đã tuân thủ

Đào tạo về chính sách bảo mật

Nhân viên, các đối tác và nhà thầu cần được đào tạo về các chính sách và quy trình bảo mật của tổ chức.