giáo trình bảo mật thông tin

Corporate Integrity Computer Based Training Programmes Chương trình huấn luyện trên máy tính về tính liêm chính tập đoànInformation Security & Data Privacy Bảo mật thông tin & Dữ liệu riêng tư Objectives of this module/ Các mục tiêu chính. What is Information Security and Data Privacy? Bảo mật thông tin và Dữ liệu riêng tư là gì? Information Security Code of Practice (“CoP”) Quy định về Bảo mật thông tin. Your responsibilities/ Trách nhiệm của Anh(Chị). Assessment/ Bài kiểm tra. What is Information Security?Bảo Mật Thông Tin là gì? Information security protects information from a wide range of threats in order to ensure business continuity, minimise business damage and maximise return on investments and business opportunities. Bảo mật thông tin là bảo vệ thông tin trước hàng loạt các hiểm họa nhằm đảm bảo sự hoạt động kinh doanh liên tục của công ty, giảm thiểu thiệt hại trong kinh doanh và làm tăng cường cơ hội cũng như lơi nhuận đầu tư. Information Security ensures that information maintains: Bảo mật thông tin nhằm đảm bảo thông tin được duy trì với: Confidentiality: ensuring that information is accessible only to those authorised to have access; Sự bảo mật: đảm bảo thông tin đó chỉ được truy cập bởi những người có quyền hạn. Integrity: safeguarding the accuracy and completeness of information and processing methods; and Sự toàn vẹn: đảm bảo sự chính xác và đầy đủ của thông tin cũng như phương thức xử lý. Availability: ensuring that authorised users have access to information and associated assets when required. Sự sẵn sàng: đảm bảo người có thẩm quyền truy cập có được thông tin và tài sản liên quan khi được yêu cầu.

Trang 1

Corporate Integrity Computer Based Training

Programmes

Chương trình huấn luyện trên máy tính về tính

liêm chính tập đoàn

Information Security & Data Privacy

Bảo mật thông tin & Dữ liệu riêng tư

Trang 2

• The purpose of the Corporate Integrity programmes is to familiarise you with the following policies and procedures:

Mục đích của chương trình liêm chính tập đoàn nhằm giúp bạn hiểu đầy đủ hơn về các chính sách và quy trình

dưới đây:

– Fraud Prevention & Awareness/Nhận thức và ngăn ngừa gian lận.

– Anti-Bribery, Gifts & Hospitality/Chống rửa tiền, quà cáp và chiêu đãi.

– Conflicts of Interest/ Mâu thuẫn về quyền lợi.

– Information Security & Data Privacy/ Bảo mật thông tin và dữ liệu riêng tư.

• This module covers Information Security & Data Privacy

Mô-đun này đề cập Bảo mật thông tin & dữ liệu riêng tư.

• You will need about 30 minutes to work through this module After you have done this, you will be required to take

a 10 minute assessment This is to confirm that you have a sound understanding of Information Security & Data

Privacy, to enable PCA to meet our regulatory and governance requirements

Bạn cần khoảng 30 phút để đi suốt mô-đun này Sau khi hòan tất, bạn sẽ phải làm bài kiểm tra 10 phút Bài kiểm

tra giúp bạn có một sự hiểu biết rỏ ràng về Bảo mật thông tin & Dữ liệu riêng tư, cho phép PCA đáp ứng các yêu

cầu về luật pháp và quản trị.

• For additional information about the policies and procedures described in this module, please contact your LU

Information Security & Privacy Manager

Vui lòng liên hệ bộ phận Bảo mật thông tin của công ty nếu cần thêm thông tin về các chính sách và quy trình

được đề cập trong mô-đun này.

Overview/ Tổng quan

Trang 3

Contents/Nội dung

• Objectives of this module/ Các mục tiêu chính.

• What is Information Security and Data Privacy?

Bảo mật thông tin và Dữ liệu riêng tư là gì?

• Information Security Code of Practice (“CoP”)

Quy định về Bảo mật thông tin.

• Your responsibilities/ Trách nhiệm của Anh(Chị).

• Assessment/ Bài kiểm tra.

Trang 4

Objectives of module/ Mục tiêu

• After completing this module you will:

Sau khi đọc xong phần này, bạn sẽ:

– Understand Prudential Group Information Security Code of Practice

Hiểu Quy định về Bảo mật thông tin của Tập đoàn Prudential.

– Understand your roles and responsibilities in safeguarding the organisation’s information

assets.

Hiểu vai trò và trách nhiệm trong việc bảo vệ an toàn tài sản thông tin của công ty.

– Understand some best practices in information security & data privacy.

Hiểu một số chuẩn mực về Bảo mật thông tin và dữ liệu riêng tư.

– Know how to identify and report suspected security breaches

Nhận biết và báo cáo những trường hợp nghi ngờ vi phạm về bảo mật.

Trang 5

Bảo Mật Thông Tin là gì?

• Information security protects information from a wide range of threats in order to ensure business continuity, minimise business damage and maximise return on investments and business opportunities

Bảo mật thông tin là bảo vệ thông tin trước hàng loạt các hiểm họa nhằm đảm bảo

sự hoạt động kinh doanh liên tục của công ty, giảm thiểu thiệt hại trong kinh doanh

và làm tăng cường cơ hội cũng như lơi nhuận đầu tư.

• Information Security ensures that information maintains:

Bảo mật thông tin nhằm đảm bảo thông tin được duy trì với:

– Confidentiality: ensuring that information is accessible only to those

authorised to have access;

Sự bảo mật: đảm bảo thông tin đó chỉ được truy cập bởi những người có quyền hạn.

– Integrity: safeguarding the accuracy and completeness of information and

processing methods; and

Sự toàn vẹn: đảm bảo sự chính xác và đầy đủ của thông tin cũng như phương thức xử lý.

– Availability: ensuring that authorised users have access to information and

associated assets when required

Sự sẵn sàng: đảm bảo người có thẩm quyền truy cập có được thông tin và tài sản liên quan khi được yêu cầu.

Trang 6

What is Data Privacy?

Dữ liệu riêng tư là gì?

• Data privacy is concerned with the way in which companies use

personal information about individuals (whether customers, staff,

suppliers or third party beneficiaries, etc) and the protection of

individuals from unauthorised use or disclosure of their personal

details (e.g name, address, telephone number, bank account

number, credit card detail, ID/passport number, etc).

Dữ liệu riêng tư đề cập phương cách mà các công ty sử dụng thông tin riêng

tư về các riêng tư (dù đó là khách hàng, nhân viên, nhà cung ứng hoặc bên

thừa hưởng thứ ba, v.v…) và bảo vệ những thông tin này không bị sử dụng

trái phép hoặc tiết lộ những chi tiết của họ (ví dụ: họ tên, địa chỉ, số điện

thoại, số tài khỏan nhà băng, thông tin chi tiết về thẻ tín dụng cá nhân, số ID

hoặc số passport, v.v…).

Trang 7

Quy định về Bảo mật thông tin

• We provides equipment, desktops or laptops, to allow staff (this includes any contractors, temporary staff and

others under contract to the Group) to access information necessary for them to do their job

Công ty cung cấp các thiết bị, máy tính để bàn hoặc xách tay, để nhân viên (bao gồm nhân viên hợp đồng, thời

vụ, và những bên có hợp đồng với tập đoàn) truy xuất thông tin cần thiết cho công việc.

• The Code of Practice is defined to address a number of Information Security issues:

Quy định được xác định nhằm vào các vấn đề về bảo mật thông tin:

– Safeguarding the information that we use in all aspects of our business operations This includes paper, computer files, emails,

telephone conversations, faxes, instant messages and any other forms in which information is stored, transmitted or processed.

Giữ gìn thông tin mà chúng ta sử dụng trong mọi lĩnh vực của họat động kinh doanh Nó bao gồm giấy tờ, tập tin trên máy tính,

thư điện tử, các cuộc trao đổi trên điện thoại, điện tín (fax), thông điệp trao đổi trên mạng (instant messages) và bất cứ hình thức nào mà thông tin được lưu trữ, truyền tải và xử lý.

– Defending the Group from potential liabilities from unauthorised activity, e.g., theft of policyholder information, downloading of

copyright or illegal material, implied contracts in email.

Bảo vệ tập đoàn khỏi các trách nhiệm pháp lý bởi những hành vi trái phép, ví dụ: trộm thông tin của chủ hợp đồng bảo hiểm, tải

xuống những tài liệu phạm pháp hoặc không có bản quyền, cam kết hợp đồng bằng thư điện tử.

– Protecting staff by preventing others from accessing and misusing your user ids and information, blocking defamatory or indecent material, etc.

Bảo vệ nhân viên bằng cách phòng ngừa người khác truy cập và sử dụng trái phép thông tin và ID (căn cước người dùng) của

anh/chị, ngăn chặn các tài liệu mang tính bôi nhọ hoặc không đứng đắn, v.v…

Trang 8

Information Security Code of Practice

Quy định về Bảo mật thông tin(tt)

• The Code of Practice applies to:

Quy định này áp dụng đối với:

– New recruits upon joining the Group; or

Nhân viên mới ngay khi tham gia vào tập đoàn; hay

– Contract/temporary staff upon signing any form of contract to work for the Group; and

Nhân viên hợp đồng/ thời vụ ngay khi ký bất kỳ dạng hợp đồng nào để làm việc cho tập đoàn; và

– Existing staff to reconfirm the acknowledgement on an annual basis

Nhân viên hiện tại để tái xác nhận quy định này hàng năm.

• Staff are required to read and acknowledge the contents of this Code of Practice

Nhân viên phải đọc và xác nhận hiểu rỏ nội dung của quy định này

• Staff are also required to make an annual declaration that you are in compliance with Prudential Group

Information Security Code of Practice

Nhân viên cũng phải cam kết sự tuân thủ hàng năm đối với Quy định Bảo mật thông tin của tập đoàn

• The contents of this training material detail the requirements of the Code of Practice.

Nội dung của tài liệu hướng dẫn này sẽ trình bày các yêu cầu của Quy định Bảo mật

Trang 9

Permitted Use/ Việc sử dụng được phép

• Group equipment and resources are provided for business purposes only

Limited personal use is permitted, as long as it does not interfere with the

performance of your duties and the privilege is not abused

Thiết bị và tài liệu của Tập đoàn chỉ được sử dụng cho mục đích kinh

doanh Việc sử dụng cho mục đích cá nhân cũng được phép nhưng nằm

trong giới hạn nhất định và không gây cản trở cho hiệu quả công việc, việc

kinh doanh của công ty và các đặc quyền được cấp không bị lạm dụng.

• All information processed or stored on Group equipment is viewed as a

Group asset.

Tất cả thông tin được xử lý hay lưu trữ trên thiết bị của Tập đoàn được xem

như tài sản của Tập đoàn.

• You should have no expectation of privacy in your use of these

information, Group equipment and resources

Người sử dụng không nên nghĩ rằng mình có quyền riêng tư trong việc sử

dụng thông tin này trên những tài sản của Tập đoàn.

Trang 10

Monitoring/ Việc giám sát

• The Group reserves the right to monitor all data and activity on Group owned

equipment and assets

Tập đoàn có quyền theo dõi tất cả những hoạt động và dữ liệu trên thiết bị và tài

sản thuộc Tập đoàn.

• Do not process/receive/send or store any information that you would not wish

the Group to see

Không được xử lý/nhận/gởi hay lưu trữ bất kỳ thông tin nào mà bạn không muốn

Tập đoàn biết.

• You are held accountable for your actions and the Group reserves the right to

co-operate as necessary with legal authorities and/or injured third parties in the investigation of any suspected crime or inappropriate act

Nhân viên chịu trách nhiệm về hành động của mình và Tập đoàn có quyền hợp

tác với Cơ quan pháp lý và/hay bên thứ ba bị hại trong quá trình điều tra bất kỳ hành vi nghi ngờ phạm tội hay hành vi không thích đáng nào nếu cần thiết.

• The Group reserves the right to delete, block and report on any material or

activity which the Group defines as inappropriate Click for details

Tập đoàn có quyền huỷ bỏ, ngăn chặn và tố giác mọi tài liệu hoặc hành vi được

xem là không chính đáng Nhấn để xem chi tiết.

Trang 11

Inappropriate Actions/ Hành vi trái phép

• Examples of inappropriate behaviour and that may lead to disciplinary action if/when identified are as follows:

Một số hành vi trái phép có thể bị kỷ luật được nhận biết như sau:

– Conduct of any illegal activities

Có bất kỳ hành vi vi phạm pháp luật nào.

– Accessing or downloading pornographic material

Truy cập hay tải về văn hoá phẩm đồi trụy.

– Creating, accessing, downloading or forwarding any material which is abusive, unethical, discriminatory or offensive

Tạo lập, truy cập, tải về hay gởi đi bất kỳ tài liệu nào mang tính lăng mạ , công kích, phân biệt đối xử hoặc trái với đạo lý.

– Soliciting for personal gain

Mồi chài tư lợi.

– Conducting a personal business

Tiến hành kinh doanh riêng.

– Making indecent remarks, proposals or any comment which may defame or embarrass staff, the Group or any third party

Đưa các ý kiến, đề xuất hoặc bình luận khiếm nhã có thể bôi nhọ, gây khó khăn cho nhân viên, Tập đoàn hay bên thứ ba nào.

– Wasting Group time and resources by accessing “chat rooms”, playing games or similar.

Tham gia chat room, chơi điện tử hoặc các hoạt động tương tự gây lãng phí thời gian

và nguồn lực của Tập đoàn.

Trang 12

Backup and Archive/ Dự phòng và lưu trữ

• All emails and other documents are backed up and

archived to allow the Group to meet legislative and

regulatory requirements

Tất cả các thư điện tử và tài liệu khác đều được lưu trữ để phục vụ các

nguyên tắc và yêu cầu của Tập đoàn.

• You are advised that any personal items are included

within these processes and that personal (confidential)

items cannot be guaranteed to be treated as private.

Lưu ý rằng bất kỳ tài liệu cá nhân nào cũng sẽ được đưa vào xử lý và

không được đảm bảo tính riêng tư.

Trang 13

Information Classification/ Phân loại thông tin

• Prudential has a Group Policy for classifying information with the objective of ensuring that the most critical information receives a level of protection appropriate to its business value and sensitivity

Prudential có chính sách của tập đòan cho việc phân loại thông tin nhằm đảm bảo thông tin quan trọng nhận được sự bảo vệ ở mức độ tương xứng với giá trị kinh doanh và độ nhạy cảm

• The classification is classified into 3 categories as follows:

Việc phân loại được chia thành 3 loại như sau:

– Strictly Confidential: information that could seriously harm Prudential Group, or

affect the share price, if it was given to unauthorised people or became public before intended dates This includes anything that would be covered by Insider list restrictions

Tuyệt mật: thông tin đó có thể gây hại nghiêm trọng đến Tập đòan Prudential,

hoặc ảnh hưởng giá cổ phiếu, nếu nó bị tiết lộ cho người không được quyền truy cập hay bị phổ biến ra công chúng trước ngày dự tính Nó bao gồm bất kỳ điều

gì mà được ghi rỏ trong Danh sách những giới hạn cho người trong nội bộ.

– Restricted: information that is not available to all staff, e.g customer/staff

personal information,payroll figures, audit reports, etc.

Giới hạn truy cập: thông tin mà không phải nhân viên nào cũng truy cập được,

ví dụ: thông tin cá nhân của khách hàng/ nhân viên, con số lương bổng, báo cáo kiểm toán, v.v…

– General: information about the Prudential Group, or its products that is freely

available to staff and the general public.

Thông báo chung: thông tin về Tập đoàn, hoặc các sản phẩm đã được đưa ra thị trường và phổ

biến ra công chúng.

Trang 14

Information Classification/ Phân loại thông tin

(tt)

• The following types of information, regardless of the media involved (e.g paper,

CD, DVD, USB devices, memory sticks), must be stored in locked offices, cabinets or desks when not in use:

Những loại thông tin dưới đây, bất kể nó ở dưới hình thức nào (ví dụ: giấy tờ, đĩa CD, DVD, thiết bị lưu trữ bên ngoài USB hoặc thẻ nhớ), phải đơợc lưu trữ trong văn phòng, tủ hoặc hộc bàn có khóa khi không sử dụng:

– Strictly Confidential/ Tuyệt mật

– Commercially sensitive information/ Thông tin thương mại nhạy cảm

– Restricted/ Giới hạn truy cập– Personal Information (Customer/employee personal data)/ Thông tin cá nhân

(dữ liệu cá nhân của khách hàng/ nhân viên)

– Blank Prudential Stationery with potential value to fraudsters/ Các biểu mẫu có

logo Prudential dễ bị lợi dụng gây tổn thất danh tiếng đến công ty.

• Information classified as ‘Strictly Confidential’ and ‘Restricted – Personal Information’ must be protected in accordance with the PCA Information

Classification Standard

Thông tin được phân loại “Tuyệt mật” và “Giới hạn truy cập – thông tin cá nhân”

phải được bảo vệ theo quy định trong Chính sách về tiêu chuẩn phân loại

thông tin của PCA

Click here for details of the standard / Nhấn vào đây để xem chi tiết tiêu chuẩn

này

Trang 15

Xử lý các thông tin Tuyệt mật

• Strictly Confidential information should be stored, shared and managed securely so that it can only be accessed by authorised individuals.

Thông tin Tuyệt mật phải được lưu trữ, chia sẽ và quản lý an toàn để tránh việc truy cập của những người không được phép.

• Such information should be encrypted when stored in a shared area, saved onto a

laptop, CD, DVD, USB, mini drive device, or distributed externally via e-mail.

Những thông tin này phải được mã hóa khi lưu trữ nơi được chia sẽ chung, lưu trên máy tính xách tay, CD, DVD, USB, thẻ nhớ, hoặc gởi ra ngoài thông qua thư địên tử.

• Users are strictly prohibited to hold and access any strictly confidential information on

a laptop without encryption protection on hard drives

Cấm việc lưu trữ và truy cập bất kỳ thông tin tuyệt mật nào trên máy tính xách tay mà các ổ cứng của nó không được mã hóa.

• For external transmission, Sealed Media software should be used, or use an

advanced compression utility software such as SecureZip.

Khi gởi ra bên ngoài, sử dụng Sealed Media hoặc một ứng dụng nén cao cấp khác chẳng hạn như SecureZip.

• For internal transmission by Lotus Notes (between PCA LUs and to GHO/Pru UK),

the ‘encrypt’ checkbox should be ticked to prevent unauthorised access and mood stamp the message as ‘confidential’.

Khi gởi trong nội bộ Prudential (giữa các nước trong PCA và tập đoàn ở Anh quốc) thông qua Lotus Notes, lựa chọn “Encrypt”” trong Delivery Options phải được bật lên

để ngăn ngừa người không được phép truy cập và mục “mood stamp” cũng nên chọn

là “Confidential”.

Trang 16

Handling of Strictly Confidential Information

Xử lý các thông tin Tuyệt mật (tt)

• For transmission by removable media such as floppy disk, CD/DVD or USB Drive,

sensitive files should be encrypted using SecureZip

Khi gởi các file chứa thông tin nhạy cảm ra ngoài bằng các thiết bị lưu trữ di động

như đĩa mềm, đĩa CD/DVD hoặc USB, nhớ phải mã hóa chúng bằng SecureZip.

• For external distribution of hardcopy paper documents, a courier service should be

used

Khi gởi tài liệu bằng giấy tờ ra ngoài, hãy sử dụng dịch vụ bưu chuyển bảo đảm.

• If you believe you handle, store, access or transmit strictly confidential information and do not have hard disk encryption on your laptop, Sealed Media or SecureZip, please speak to you LU ISM or local IT support

Nếu như bạn nghĩ rằng mình đang xử lý, lưu trữ, truy xuất hoặc gởi thôgn tin tuyệt mật ra ngoài mà không có phần mềm mã hóa ổ cứng trên máy xách tay,

SealedMedia hoặc SecureZip, vui lòng báo cho phòng bảo mật thông tin hoặc IT HelpDesk.

• LU ISM and PCA Information Security & Data Privacy Manager (“PCA ISM”) should

be advised if alternative distribution methods are required or being used

Nếu như bạn đang hay cần sử dụng các phương cách khác khi gởi các thông tin nhạy cảm ra ngoài, hãy báo cho Phòng bảo mật thông tin của công ty sở tại hoặc

Định dạng
Số trang	33
Dung lượng	2,45 MB

Tiêu đề	Bảo mật thông tin & dữ liệu riêng tư
Trường học	Prudential Group
Chuyên ngành	Information Security & Data Privacy
Thể loại	Chương trình huấn luyện