1. Giới thiệu

Mục đích của chính sách bảo mật này là phác thảo các biện pháp và thực tiễn mà Alamex™ áp dụng để đảm bảo tính bảo mật, tính toàn vẹn và tính khả dụng của hệ thống và dữ liệu của chúng tôi. Chính sách này áp dụng cho tất cả nhân viên, nhà thầu và tổ chức bên thứ ba có quyền truy cập vào hệ thống và thông tin của chúng tôi. Việc tuân thủ chính sách này là bắt buộc để bảo vệ thông tin khách hàng và doanh nghiệp của chúng tôi khỏi bị truy cập, tiết lộ, thay đổi hoặc phá hủy trái phép.

  1. Kiểm soát truy cập

2.1Tài khoản người dùng:

  • Tài khoản người dùng sẽ được tạo cho tất cả nhân viên và nhà thầu truy cập hệ thống kinh doanh trực tuyến bán buôn.
  • Tài khoản người dùng sẽ được cấp dựa trên nguyên tắc đặc quyền tối thiểu, đảm bảo rằng các cá nhân chỉ có quyền truy cập vào các tài nguyên cần thiết để thực hiện trách nhiệm công việc của họ.
  • Mật khẩu mạnh sẽ được thực thi, yêu cầu kết hợp chữ hoa và chữ thường, số và ký tự đặc biệt.
  • Xác thực đa yếu tố (MFA) sẽ được triển khai cho tất cả các tài khoản người dùng để cung cấp thêm một lớp bảo mật.

 2.2Quyền truy cập của bên thứ ba:

  • Quyền truy cập của bên thứ ba vào hệ thống và dữ liệu của chúng tôi sẽ chỉ được cấp trên cơ sở cần biết.
  • Các thực thể bên thứ ba sẽ được yêu cầu ký một thỏa thuận bảo mật và tuân thủ các tiêu chuẩn và thông lệ bảo mật phù hợp với chính chúng ta.

 

  1. Bảo vệ dữ liệu

3.1Phân loại dữ liệu:

    • Tất cả dữ liệu sẽ được phân loại dựa trên độ nhạy và mức độ quan trọng của nó để xác định mức độ bảo vệ phù hợp.
    • Hướng dẫn phân loại dữ liệu sẽ được cung cấp cho nhân viên để đảm bảo xử lý, lưu trữ và truyền dữ liệu đúng cách.

3.2Mã hóa dữ liệu:

    • Việc truyền dữ liệu nhạy cảm sẽ được mã hóa bằng các giao thức mã hóa tiêu chuẩn ngành, chẳng hạn như SSL/TLS.
    • Các cơ chế mã hóa sẽ được triển khai để bảo vệ dữ liệu ở trạng thái lưu trữ, đặc biệt đối với thông tin nhạy cảm được lưu trữ trong
    • cơ sở dữ liệu và hệ thống tập tin.

3.3Sao lưu và phục hồi dữ liệu:

    • Các bản sao lưu thường xuyên của dữ liệu quan trọng sẽ được thực hiện và lưu trữ an toàn tại một địa điểm bên ngoài.
    • Các quy trình khôi phục và toàn vẹn sao lưu sẽ được kiểm tra định kỳ để đảm bảo khả năng khôi phục dữ liệu trong trường hợp xảy ra thảm họa.

 

4.An ninh mạng

    • Hệ thống tường lửa và phát hiện xâm nhập:
    • Tường lửa và hệ thống phát hiện xâm nhập sẽ được triển khai để bảo vệ cơ sở hạ tầng mạng của chúng tôi khỏi những nỗ lực truy cập trái phép và các hoạt động độc hại.
    • Giám sát và phân tích thường xuyên lưu lượng mạng sẽ được tiến hành để xác định và ứng phó với bất kỳ sự cố bảo mật tiềm ẩn nào.

4.1Truy cập từ xa an toàn:

    • Truy cập từ xa vào hệ thống của chúng tôi sẽ chỉ được phép thông qua các kênh bảo mật, chẳng hạn như VPN (Mạng riêng ảo).
    • Các tài khoản truy cập từ xa sẽ được bảo vệ bằng cơ chế xác thực mạnh mẽ và được theo dõi để phát hiện mọi hoạt động đáng ngờ.

5.Ứng phó sự cố

5.1Báo cáo sự cố:

      • Nhân viên và nhà thầu sẽ được đào tạo để kịp thời báo cáo bất kỳ sự cố an ninh, vi phạm hoặc hoạt động đáng ngờ nào cho đầu mối liên hệ được chỉ định.
      • Các thủ tục báo cáo sự cố sẽ được truyền đạt rõ ràng và được xem xét định kỳ để đảm bảo ứng phó và giải quyết kịp thời.

5.2Đội ứng phó sự cố:

      • Một nhóm ứng phó sự cố sẽ được chỉ định để xử lý các sự cố bảo mật, điều tra các vi phạm và điều phối các hành động thích hợp.
      • Vai trò và trách nhiệm của các thành viên trong nhóm sẽ được xác định và thông tin liên hệ của họ sẽ có sẵn.

5.3Khắc phục sự cố và bài học kinh nghiệm:

      • Hành động kịp thời sẽ được thực hiện để giảm thiểu tác động của sự cố bảo mật và khôi phục các hệ thống và dữ liệu bị ảnh hưởng.
      • Sau mỗi sự cố, một đánh giá sau sự cố sẽ được tiến hành để xác định các bài học kinh nghiệm và thực hiện các cải tiến cần thiết để ngăn chặn các sự cố tương tự trong tương lai.

6.An ninh và Bảo vệ

6.1Kiểm soát truy cập:

    • Quyền truy cập vật lý vào trung tâm dữ liệu, phòng máy chủ và các khu vực quan trọng khác sẽ chỉ được giới hạn cho nhân viên được ủy quyền.
    • Các cơ chế kiểm soát truy cập như xác thực sinh trắc học, thẻ khóa và giám sát camera quan sát sẽ được triển khai khi thích hợp.

6.2Bảo vệ thiết bị:

    • Tất cả thiết bị máy tính, phương tiện lưu trữ và thiết bị di động sẽ được bảo vệ chống trộm cắp, mất mát hoặc truy cập trái phép.
    • Nhân viên sẽ được đào tạo để cất giữ và xử lý thiết bị một cách an toàn, đặc biệt là khi làm việc từ xa hoặc đi du lịch.

7.Đào tạo và Nhận thức

7.1 Đào tạo nâng cao nhận thức về an ninh:

    • Đào tạo nhận thức bảo mật thường xuyên sẽ được cung cấp cho tất cả nhân viên và nhà thầu để giáo dục họ về các phương pháp, chính sách và thủ tục bảo mật tốt nhất.
    • Các buổi đào tạo sẽ bao gồm các chủ đề như bảo mật mật khẩu, nhận biết lừa đảo, xử lý dữ liệu và báo cáo sự cố.

7.2 Xác nhận chính sách:

    • Tất cả nhân viên và nhà thầu sẽ được yêu cầu xem xét và thừa nhận sự hiểu biết và tuân thủ của họ đối với chính sách bảo mật này.
    • Lời cảm ơn sẽ được cập nhật thường xuyên và duy trì như một phần của hồ sơ nhân sự.

8.Đánh giá và cập nhật chính sách

Chính sách bảo mật này sẽ được xem xét định kỳ và cập nhật khi cần để phản ánh những thay đổi về công nghệ, quy định hoặc yêu cầu kinh doanh. Tất cả nhân viên và nhà thầu sẽ được thông báo về bất kỳ cập nhật nào và họ sẽ phải tuân thủ chính sách sửa đổi.

Bằng cách triển khai và thực thi chính sách bảo mật này, chúng tôi mong muốn bảo vệ hoạt động kinh doanh trực tuyến bán buôn, dữ liệu khách hàng và duy trì lòng tin của các đối tác và khách hàng của chúng tôi.