1. TỔNG CÔNG TY
ĐIỆN LỰC MIỀN BẮC
CÔNG TY CÔNG NGHỆ THÔNG TIN
ĐIỆN LỰC MIỀN BẮC
CỘNG HOÀ XÃ HỘI CHỦ NGHĨA VIỆT NAM
Độc lập - Tự do - Hạnh phúc
Số: /QĐ-NPCIT Hà Nội, ngày tháng năm 2023
QUYẾT ĐỊNH
Về việc ban hành Quy định Tổ chức an ninh nội bộ
trong Công ty Công nghệ thông tin Điện lực miền Bắc
GIÁM ĐỐC CÔNG TY CÔNG NGHỆ THÔNG TIN ĐIỆN LỰC MIỀN BẮC
Căn cứ Quyết định số 02/QĐ-EVN-HĐQT ngày 03/01/2002 của Hội đồng quản trị
Tổng công ty Điện lực Việt Nam về việc thành lập Trung tâm Máy tính trực thuộc Công
ty Điện lực 1 và Quyết định số 1286/QĐ–EVNNPC ngày 23/8/2012 của Tổng công ty
Điện lực miền Bắc về việc đổi tên Công ty VT&CNTT Điện lực miền Bắc thành Công ty
Công nghệ thông tin Điện lực miền Bắc;
Căn cứ Quyết định số 153/QĐ-HĐTV ngày 19/8/2021 của Hội đồng thành viên
Tổng công ty Điện lực miền Bắc về việc ban hành quy định tổ chức và hoạt động của
Công ty Công nghệ thông tin Điện lực miền Bắc;
Căn cứ Tờ trình số …ngày.../.../2023 đã được Giám đốc Công ty Công nghệ thông
tin Điện lực miền Bắc phê duyệt ban hành: Quy định tổ chức an ninh nội bộ trong Công
ty Công nghệ thông tin Điện lực miền Bắc.
Theo đề nghị của Trưởng phòng An toàn thông tin.
QUYẾT ĐỊNH:
Điều 1. Ban hành kèm theo quyết định này “Quy định tổ chức an ninh nội bộ trong
Công ty Công nghệ thông tin Điện lực miền Bắc”. Ký mã hiệu: NPCIT.ATTT/QyĐ.01.
Điều 2. Quyết định này có hiệu lực sau 15 ngày kể từ ngày ký và thay thế cho Quy
trình tổ chức an ninh nội bộ (mã ký hiệu NPCIT.ISO/IEC/QT-ISMS-06) ban hành theo
quyết định số 398/QĐ-NPCIT ngày 24/7/2018.
Điều 3. Các ông (bà) Chánh Văn phòng, Trưởng các phòng, đơn vị chịu trách
nhiệm thi hành quyết định này./.
Nơi nhận:
- Như Điều 3;
- PGĐ;
- Lưu: VT, ATTT.
GIÁM ĐỐC
Vũ Đình Khiêm
2. 2
MỤC LỤC
Mục Nội dung Trang
CHƯƠNG I QUY ĐỊNH CHUNG 3
Điều 1 Phạm vi điều chỉnh và đối tượng áp dụng 3
Điều 2 Các từ viết tắt 3
Điều 3 Tài liệu viện dẫn, liên quan
CHƯƠNG II
NỘI DUNG QUY ĐỊNH TỔ CHỨC AN NINH NỘI
BỘ
5
Điều 4 Vai trò và trách nhiệm an ninh thông tin 5
Điều 5 Liên lạc với cơ quan tổ chức có thẩm quyền 5
Điều 6 Liên lạc với các nhóm có lợi ích đặc biệt 5
Điều 7 An ninh thông tin trong quản lý dự án 5
Điều 8 Các thiết bị di động và làm việc từ xa 6
Điều 9 Lưu trữ hồ sơ 7
CHƯƠNG III ĐIỀU KHOẢN THI HÀNH 8
Điều 10 Tổ chức thực hiện 8
Phụ lục CÁC BIỂU MẪU 9
3. 3
TỔNG CÔNG TY
ĐIỆN LỰC MIỀN BẮC
CÔNG TY CÔNG NGHỆ THÔNG TIN
ĐIỆN LỰC MIỀN BẮC
CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM
Độc lập - Tự do - Hạnh phúc
QUY ĐỊNH
TỔ CHỨC AN NINH NỘI BỘ
TRONG CÔNG TY CÔNG NGHỆ THÔNG TIN ĐIỆN LỰC MIỀN BẮC
(Ban hành kèm theo Quyết định số: /QĐ-NPCIT ngày tháng năm 2023
của Giám đốc Công ty Công nghệ thông tin Điện lực miền Bắc)
CHƯƠNG I
QUY ĐỊNH CHUNG
Điều 1. Phạm vi điều chỉnh và đối tượng áp dụng
1. Phạm vi điều chỉnh
Quy định này quy định việc kiểm soát về tổ chức an ninh trong Công ty Công nghệ
thông tin Điện lực miền Bắc, bao gồm các trách nhiệm an ninh thông tin; việc liên hệ
với các cơ quan có thẩm quyền; nhóm lợi ích đặc biệt; các thông tin trong dự án; và việc
kiểm soát các thiết bị di động làm việc từ xa. Quy định này nhằm thiết lập một khung
quản lý xây dựng và kiểm soát việc thực hiện, điều hành an ninh thông tin trong Công
ty Công nghệ thông tin Điện lực miền Bắc.
2. Đối tượng áp dụng
Các phòng/đơn vị trực thuộc Công ty Công nghệ thông tin Điện lực miền Bắc.
Điều 2. Các từ viết tắt
NPCIT/Công ty: Công ty Công nghệ thông tin Điện lực miền Bắc.
Ban ISO: Ban chỉ đạo Quản lý chất lượng, duy trì và cải tiến ISO
9001:2015; ISO/IEC 27001;2013; 5S
CBCNV: Cán bộ công nhân viên
ATTT: An toàn thông tin
VHHT: Vận hành hạ tầng kỹ thuật viễn thông và công nghệ thông tin
Điều 3. Tài liệu viện dẫn, liên quan
Tiêu chuẩn ISO/IEC 27001:2013;
Sổ tay chất lượng của Công ty Công nghệ thông tin Điện lực miền Bắc;
4. 4
Quy trình xác định bối cảnh và đánh giá rủi ro, ký mã hiệu NPCIT.ISO/QT.01 ban
hành kèm theo Quyết định số 210/QĐ-NPCIT ngày 27/3/2023 của Công ty Công nghệ
thông tin Điện lực miền Bắc;
Quy định quản lý tài sản thông tin, ký mã hiệu NPCIT.ISO/QyĐ.01 ban hành kèm
theo Quyết định số 211/QĐ-NPCIT ngày 27/3/2023 của Công ty Công nghệ thông tin
Điện lực miền Bắc;
Quy trình sao lưu/phục hồi dữ liệu trong Công ty Công nghệ thông tin Điện lực
miền Bắc, ký mã hiệu NPCIT.VHPM/QT.02 ban hành kèm theo Quyết định số 158/QĐ-
NPCIT ngày 07/3/2023 của Công ty Công nghệ thông tin Điện lực miền Bắc.
CHƯƠNG II
NỘI DUNG QUY ĐỊNH TỔ CHỨC AN NINH NỘI BỘ
Điều 4. Vai trò và trách nhiệm an ninh thông tin
Công ty thực hiện phân công trách nhiệm bảo mật thông tin nhằm thực hiện phù
hợp với các chính sách an ninh thông tin. Trách nhiệm bảo vệ tài sản của Công ty, cá
nhân và thực hiện các quy trình bảo mật thông tin cụ thể cần được xác định tại các tài
liệu liên quan sau:
- Công ty thành lập Ban chỉ đạo Quản lý chất lượng, duy trì và cải tiến ISO
9001:2015; ISO/IEC 27001:2013; 5S.
- Trách nhiệm quyền hạn về an ninh thông tin được Công ty quy định tại Sổ tay an
ninh thông tin.
- Trách nhiệm an ninh thông tin được quy định trong quy trình xác định bối cảnh
và đánh giá rủi ro; Quy định quản lý tài sản. Từ đó, trách nhiệm về an ninh thông tin sẽ
được bổ sung thêm nhằm đảm bảo các yêu cầu hoạt động của Công ty.
- Phòng ATTT là đầu mối tiếp nhận các vấn đề về an ninh thông tin của Công ty.
Điều 5. Liên lạc với cơ quan tổ chức có thẩm quyền
Công ty phải duy trì liên lạc với các cơ quan/tổ chức có thẩm quyền liên quan một
cách phù hợp. Phòng ATTT là đầu mối tiếp nhận các cảnh bảo về mất an toàn thông tin
từ các cơ quan có thẩm quyền.
Điều 6. Liên hệ với các nhóm lợi ích đặc biệt
Công ty đảm bảo sự liên lạc phù hợp với các nhóm lợi ích đặc biệt hoặc các diễn
đàn các chuyên gia bảo mật khác và các hiệp hội chuyên nghiệp theo mẫu biểu mẫu 01,
mã kỹ hiệu: NPCIT.ATTT/QyĐ.01_BM-01 để đảm bảo các thông tin với các nhóm lợi
ích đặc biệt đều được xem xét các thông tin như: những lời khuyên của chuyên gia an
ninh thông tin; chia sẻ và trao đổi thông tin về công nghệ, sản phẩm, đe dọa hoặc các lỗ
hổng mới; cung cấp sự liên lạc phù hợp khi đối phó với sự cố an ninh thông tin; đảm
bảo sự hiểu biết về môi trường an ninh thông tin hiện hành đầy đủ.
5. 5
Điều 7. An ninh thông tin trong quản lý dự án
An ninh thông tin trong quản lý dự án được lồng ghép vào trong các bước quy trình
quản lý dự án để đảm bảo rằng thông tin được bảo vệ và duy trì tính bảo mật trong suốt
quá trình thực hiện dự án. Cụ thể, an ninh thông tin được tích hợp vào các bước sau đây
trong quy trình quản lý dự án:
- Lập kế hoạch dự án: Trong giai đoạn này, các chính sách và quy trình liên quan
đến an ninh thông tin được xác định và đưa vào kế hoạch dự án.
- Thực hiện dự án: Trong giai đoạn này, các hoạt động quản lý dự án được thực
hiện để đảm bảo rằng các hoạt động được thực hiện theo đúng quy trình và các biện
pháp bảo mật được thực hiện đầy đủ.
- Giám sát và kiểm soát dự án: Trong giai đoạn này, các biện pháp an ninh thông
tin được giám sát để đảm bảo rằng các hoạt động được thực hiện theo đúng quy trình và
không có sự xâm nhập nào vào các tài sản thông tin.
- Đóng dự án: Trong giai đoạn này, các biện pháp an ninh thông tin được thực hiện
để đảm bảo rằng dữ liệu và các tài sản thông tin khác được xử lý đúng cách và được bảo
vệ sau khi dự án kết thúc.
Trong quá trình ký kết hợp đồng với đối tác, phải có các các điều khoản cam kết
bảo mật thông tin đối với đối tác hoặc các đối tác phải ký cam kết tuân thủ các quy định,
quy trình của Công ty.
Các phòng/đơn vị quản lý tài sản thông tin mà phòng/đơn vị được giao theo Quy
trình xác định bối cảnh của tổ chức và đánh giá rủi ro, trường hợp những tài sản thông
tin có trong dịch vụ cung cấp được Công ty đánh giá là ở mức độ rủi ro cao trong danh
mục đánh giá rủi ro tài sản thông tin của Công ty thì những nhân sự của nhà thầu liên
quan tới dịch vụ trên phải ký cam kết bảo mật thông tin đối với NPCIT.
Điều 8. Các thiết bị di động và làm việc từ xa
Quản lý các thiết bị di động và việc sử dụng các thiết bị di động làm việc từ xa để
đảm bảo an ninh thông tin cho mọi hoạt động của NPCIT.
Tất cả các cán bộ công nhân viên của Công ty sử dụng thiết bị di động và sử dụng
thiết bị di động làm việc từ xa phải đăng ký. Phòng Vận hành hạ tầng kỹ thuật viễn
thông và Công nghệ thông tin là đầu mối tiếp nhận và xử lý đăng ký.
1. Các thiết bị di động
Các thiết bị di động của Công ty, bao gồm:
- Điện thoại di động của Công ty;
- Máy tính xách tay của Công ty;
- Ổ USB, ổ cứng, tape,... di động của Công ty.
Các thiết bị di động phải đăng ký và được phòng VHHT cập nhật và kiểm soát
theo Biểu mẫu 02, mã ký hiệu: NPCIT.ATTT/QyĐ.01_BM-02.
Các thiết bị di động của Công ty thuộc tài sản thông tin của các phòng/đơn vị, đã
được đánh giá rủi ro theo Quy định quản lý tài sản thông tin và Quy trình xác định bối
6. 6
cảnh của tổ chức và đánh giá rủi ro. Ngoài ra, các thiết bị di động phải được cài đặt các
phần mềm đảm bảo an toàn thông tin, chống các nguy cơ mất an toàn thông tin; đồng
thời, có thể vô hiệu hóa và khóa thiết bị từ xa; thực hiện sao lưu dữ liệu theo Quy trình
sao lưu/ phục hồi dữ liệu trong NPCIT.
Cán bộ công nhân viên của Công ty dùng thiết bị di động đã được đăng ký khi sử
dụng thiết bị di động ở nơi công cộng như: phòng họp và các khu vực không được bảo
vệ không được phép cho mượn để tránh việc truy cập trái phép hoặc tiết lộ các thông tin
được lưu trữ và xử lý bởi các thiết bị này, hoặc phải có mật khẩu để xác nhận trước khi
dùng.
Trong trường hợp thiết bị di động bị mất trộm, thiết bị di động phải có khả năng
khóa lại từ xa để đảm bảo an toàn cho thiết bị, thông tin bên trong của thiết bị.
Đối với thiết bị di động thuộc sở hữu nhân viên, phải tuân thủ các bước sau:
Tách việc sử dụng thiết bị cá nhân và thiết bị kinh doanh, bao gồm việc sử dụng
phần mềm để hỗ trợ cách ly và bảo vệ dữ liệu kinh doanh trên một thiết bị cá nhân.
Người dùng được cung cấp quyền tiếp cận thông tin kinh doanh khi và chỉ khi
người dùng đã ký một thỏa thuận người dùng cuối cùng xác nhận nhiệm vụ của mình
theo mẫu: Cam kết bảo mật trong quá trình sử dụng thiết bị di động theo Biểu mẫu 03,
mã ký hiệu: NPCIT.ATTT/QyĐ.01_BM-03.
2. Làm việc từ xa
Làm việc từ xa là tất cả các hình thức làm việc bên ngoài văn phòng của Công ty.
Đối với những CBCNV được phép làm việc từ xa phải tuân thủ các bước sau:
- Đăng ký làm việc từ xa;
- Trình lãnh đạo duyệt (Trưởng ban ISO)
- Ký cam kết bảo mật theo Biểu mẫu 03.
Sau khi được lãnh đạo phê duyệt, phòng VHHT chịu trách nhiệm cấp quyền làm
việc từ xa cho CBCNV, CBCNV được cấp quyền phải tuân thủ các quy định tại Khoản
1 của Điều này.
Phòng VHHT có trách nhiệm kiểm soát hoạt động truy cập và thực hiện cắt quyền
truy cập nếu CBCNV vi phạm các quy định của Công ty hoặc hết thời hạn làm việc từ
xa.
7. 7
Điều 9. Hồ sơ lưu trữ
STT Tên hồ sơ Mã số
Hình thức
lưu Thời
gian
lưu trữ
Đơn vị
lưu trữ
H S
1
Danh sách các
cơ quan có thẩm
quyền và các
nhóm lợi ích
đặc biệt
NPCIT.ATTT/QyĐ.01_B
M-01
Theo
quy
định
chung
hiện
hành
ATTT
2
Danh sách các
thiết bị di động
được phép làm
việc từ xa
NPCIT.ATTT/QyĐ.01_B
M-02
VHHT/các
Phòng
2
Cam kết bảo
mật trong quá
trình sử dụng
thiết bị di động
NPCIT.ATTT/QyĐ.01_B
M-03
ATTT
8. 8
CHƯƠNG III
ĐIỀU KHOẢN THI HÀNH
Điều 10: Tổ chức thực hiện
1. Quy định này có hiệu lực thi hành sau 15 ngày kể từ ngày ký quyết định
ban hành và thay thế cho Quy trình tổ chức an ninh nội bộ, mã ký hiệu
NPCIT.ISO/IEC/QT-ISMS-06 ban hành theo quyết định số 398/QĐ-NPCIT ngày
24/7/2018.
2. Trưởng các phòng/đơn vị trong Công ty có trách nhiệm phổ biến, quán
triệt thực hiện quy định này đến toàn thể CBCNV trong Công ty.
3. Những nội dung không được nêu trong quy định này được hiểu và thực
hiện theo các quy định hiện hành có liên quan của Tổng công ty Điện lực miền
Bắc, Tập đoàn Điện lực Việt Nam và của Nhà nước.
4. Trong quá trình thực hiện, nếu có vướng mắc, phản ánh về phòng ATTT
của Công ty để nghiên cứu, xem xét sửa đổi cho phù hợp.
9. 9
NPCIT.ATTT/QyĐ.01_BM-01
Phụ lục
CÁC BIỂU MẪU
Biểu mẫu 01. Danh sách các cơ quan có thẩm quyền và các nhóm lợi ích đặc biệt
STT Tên đơn vị
Thẩm quyền
giải quyết
Địachỉ Tel/Fax/web
Người liên
hệ
Chức vụ Số ĐT Email
Người
cập nhật
Ghi
chú
10. 10
NPCIT.ATTT/QyĐ.01_BM-02
Biểu mẫu 02. Danh sách các thiết bị di động được phép làm việc từ xa
Phòng:….
TRƯỞNG PHÒNG TRƯỞNG BAN ISO
(Ký và ghi rõ họ tên) (Ký và ghi rõ họ tên)
STT Tên thiết bị
Người sử
dụng
Chứcvụ/
đơnvị
Mã số
thiết bị
Loại thiết bị
Xác nhận
Ghichú
Người sử dụng Duyệt
11. 11
NPCIT.ATTT/QyĐ.01_BM-03
Biểu mẫu 02. Cam kết bảo mật trong quá trình sử dụng thiết bị di động và làm
việc từ xa
CÔNG TY CÔNG NGHỆ THÔNG TIN
ĐIỆN LỰC MIỀN BẮC
CỘNG HOÀ XÃ HỘI CHỦ NGHĨA VIỆT NAM
Độc lập - Tự do - Hạnh phúc
CAM KẾT BẢO MẬT TRONG QUÁ TRÌNH SỬ DỤNG THIẾT BỊ DI
ĐỘNG VÀ LÀM VIỆC TỪ XA
Tên tôi là: ………………………………
Bộ phận: ………………………
Sử dụng thiết bị xa là: ……… Mã thiết bị: ………………………
Người dùng được cung cấp quyền tiếp cận thông tin kinh doanh khi và chỉ khi người
dùng đã ký một thỏa thuận người dùng cuối cùng xác nhận nhiệm vụ của mình theo mẫu
này
ĐỐI VỚI VIỆC SỬ DỤNG THIẾT BỊ DI ĐỘNG
Người dùng phải đảm bảo bảo vệ vật chất, cập nhật phần mềm, vv theo đúng danh
mục phần mềm của Công ty quy định, người dùng phải đảm bảo an toàn để tránh bị trộm
cắp hoặc mất mát thiết bị hoặc khi không còn được phép sử dụng dịch vụ.
Các thiết bị di động chia sẻ như mạng, truy cập internet, thư điện tử và hồ sơ xử lý,
với các thiết bị sử dụng cố định. Kiểm soát an ninh thông tin cho các thiết bị di động nói
chung bao gồm việc áp dụng các thiết bị sử dụng cố định và giải quyết các mối đe dọa gia
tăng bởi việc sử dụng bên ngoài cơ sở của tổ chức.
ĐỐI VỚI LÀM VIỆC TỪ XA (Người dùng cam kết và có trách nhiệm sau)
Người dùng đảm bảo các yêu cầu bảo mật thông tin liên lạc, có tính đến nhu cầu truy
cập từ xa vào hệ thống nội bộ của tổ chức đảm bảo không làm ;
Cam kết không sử dụng các thông tin là tài sản của Công ty cho mục đích cá nhân
và có biện pháp ngăn ngừa việc xử lý và lưu trữ thông tin trên thiết bị thuộc sở hữu tư nhân;
Cam kết việc sử dụng và có tính đến các mối đe dọa của việc truy cập trái phép thông
tin hoặc các nguồn lực từ người khác bằng cách sử dụng nơi ở, ví dụ như gia đình và bạn
bè;
12. 12
Việc sử dụng mạng gia đình và các yêu cầu hoặc hạn chế về cấu hình các dịch vụ
mạng không dây;
Các chính sách và thủ tục để ngăn chặn các tranh chấp liên quan đến quyền sở hữu
trí tuệ phát triển trên thiết bị thuộc sở hữu tư nhân;
Truy cập vào thiết bị thuộc sở hữu cá nhân để xác minh sự an toàn của máy móc
hoặc trong một cuộc điều tra có thể được ngăn ngừa bằng pháp luật;
Bảo vệ phần mềm độc hại và các yêu cầu về tường lửa.
Phải tuân thủ theo đúng các yêu cầu về việc lưu trữ dữ liệu, back up dữ liệu lên hệ
thống
Thực hiện đúng theo các quy trình quy phạm về hệ thống quản lý an toàn bảo mật
thông tin do Công ty đã ban hành và chịu trách nhiệm thực hiện các yêu cầu nếu phát sinh.
…, ngày ….. tháng …… năm………
Người cam kết
(Ký và ghi rõ họ tên)