Quy định bảo mật
A. Mục đích:
- Đảm bảo an toàn thông tin dữ liệu.
- Đảm bảo dữ liệu kinh doanh.
- Kiểm soát dữ liệu liên quan đến hệ thống quản lý chất lượng, tài liệu kỹ thuật … trên máy vi tính.
- Giúp cho việc truy cập thông tin dễ dàng, nhanh chóng và chính xác.
B. Phạm vi áp dụng:
- Toàn thể Nhân viên Công ty và các cá nhân tổ chức (người sử dụng) có liên quan.
- Đội bảo vệ Công Ty
C. Định nghĩa:
Những đối tượng được bảo mật của Công ty (sau đây được gọi là Thông tin Bảo mật) được hiểu là một, nhiều hoặc tất cả các đối tượng sau đây:
- Tất cả các bí mật thương mại.
- Bất cứ thông tin kỹ thuật, kinh tế, tài chính, marketing hay các thông tin khác như số liệu tài chính, thống kê kế toán, thông tin về khách hàng.
- Các hoạt động kinh doanh bí mật, hợp đồng và giấy phép mua bán, kế toán, hệ thống kinh doanh và chương trình vi tính.
- Và bất cứ thông tin nào nêu trên liên quan đến hoạt động của công ty, đến việc kiện tụng mà liên quan ảnh hưởng đến Công ty.
Các thông tin mật như vậy tồn tại dưới bất cứ hình thức nào, kể cả giấy tờ, bản in, thẻ, micro phim, băng từ, đĩa mềm, thông tin trong các file máy tính, qua lời nói và những vật dụng mang tin khác.
a. Nhân viên không được thảo luận dưới bất kỳ thông tin hoặc tài liệu nào có chứa thông tin mật với bất cứ người nào. Qui định vẫn áp dụng ngay cả đối với Nhân viên sau khi thôi việc ở Công ty vì bất cứ lý do gì, trừ các trường hợp sau:
- Công ty đã chấm dứt hoạt động
- Các thông tin mật đã được Công ty phổ biến rộng rãi ra công chúng.
- Thời hạn bảo mật đối với Thông tin mật đã hết.
b. Nhân viên không được mua, bán, sử dụng, chuyển giao hoặc theo một cách thức nào tiết lộ thông tin mật mà mình biết được trong quá trình làm việc tại Công ty cho bất kỳ bên thứ ba nào, đặc biệt là các đối thủ cạnh tranh của Công ty để làm lợi cho bên thứ 3 hoặc đối thủ cạnh tranh hoặc gây thiệt hại cho Công ty: Tuyệt đối không được tiết lộ những thông tin về sản phẩm (công nghệ, công thức, thành phần…)
c. Nhân viên không được lưu giữ, tập hợp các thông tin mật ngoài phạm vi công việc và trách nhiệm được Công ty giao cho mình.
d. Ngoại trừ được cho phép, Nhân viên/Người sử dụng không được phép gửi, chuyển hay phát tán các cơ sở dữ liệu, bí mật kinh doanh hay các thông tin mật thuộc Công ty. Việc phổ biến không được phép các tài liệu sẽ bị kỷ luật cũng như truy cứu trách nhiệm dân sự và/ hoặc hình sự theo quy định của pháp luật.
e. Nhân viên không được mang những tài liệu, chứng từ, sản phẩm của công ty ra ngoài dưới bất kỳ hình thức nào khi chưa có sự đồng ý của người có thẩm quyền.
f. Nhân viên không được chụp ảnh, quay phim tại các khu vực nhạy cảm (vd: P. Thiết kế sản phẩm, P. Thiết kế quảng cáo, Khu vực sản xuất, …)
g. Nhân viên được giao nhiệm vụ soạn thảo, in ấn sao chụp tài liệu mật phải tuân thủ nghiêm túc quy định bảo mật và đề cao ý thức cá nhân khi thực hiện công việc.
h. Bảo mật số liệu khi sử dụng mạng vi tính của Công ty.
- Quyền sử dụng internet và mạng máy tính
Mạng máy tính Công ty là tài sản của Công ty và được sử dụng cho các mục đích kinh doanh. Nhân viên/người sử dụng được cấp quyền truy cập vào hệ thống mạng để hỗ trợ trong việc thực hiện công việc được giao. Thêm vào đó, một số nhân viên nhất định (Nhân viên/Người sử dụng) có thể được cho quyền truy cập internet thông qua mạng máy tính của Công ty. Tất cả Nhân viên/người sử dụng có trách nhiệm sử dụng tài nguyên mạng của Công ty và internet một cách chuyên nghiệp, đạo đức và hợp pháp. Việc lạm dụng mạng máy tính hay internet có thể bị kỷ luật bao gồm buộc thôi việc hay bị truy tố theo pháp luật. - Giới hạn trong việc sử dụng mạng máy tính
b.1. Nghiêm cấm
Nếu không được phép bằng văn bản, không được dùng mạng máy tính của Công ty để tuyên truyền, xem hoặc lưu trữ các nội dung quảng cáo (thương mại hay cá nhân), các nội dung có tính xúi giục, các chương trình độc hại (như virus, các chương trình đánh cắp mật khẩu, mật mã…) hoặc các nội dung không được phép khác. Trong một số ít trường hợp việc sử dụng máy tính cho mục đích cá nhân khác đã được BGĐ cho phép thì việc sử dụng đó phải: - Không cản trở Nhân viên khác trong việc thi hành công việc;
- Không gây quá tải cho máy tính hay mạng máy tính;
- Không vi phạm các chính sách, nội quy, thỏa thuận khác của Công ty.
Thêm vào đó, khi được cho phép sử dụng máy vi tính vào việc chuyên biệt, Nhân viên/Người sử dụng phải có trách nhiệm sử dụng mạng máy tính một cách chuyên nghiệp, đạo đức và hợp pháp trong toàn thời gian sử dụng. Việc cho phép sử dụng máy vi tính cho việc này là trường hợp cá biệt và có thể bị hủy bỏ bất cứ khi nào.
b.2. Sao chép bất hợp pháp:
Nhân viên/Người sử dụng không được phép sao chép bất hợp pháp bất kỳ tài liệu nào có bản quyền. Nhân viên/Người sử dụng chịu trách nhiệm cho việc tuân thủ pháp luật về bản quyền cho các phần mềm, files, hình ảnh, và các tài liệu khác mà bạn muốn tải về hay copy. Với các tài liệu phải trả phí đăng ký, Nhân viên/Người sử dụng không đuợc phép mua hoặc tải về nếu không đuợc sự chấp thuận bằng văn bản của Công ty.
- Trách nhiệm không được lãng phí hay hủy hoại tài nguyên máy tính
Truy cập internet: Để đảm bảo và tránh phát tán virus, Nhân viên/Người sử dụng truy cập internet thông qua việc kết nối máy tính vào mạng Công ty phải thông qua thiết bị internet firewall hoặc các thiết bị an toàn khác. Việc vượt qua an ninh mạng bằng cách truy cập trực tiếp internet thông qua modem hoặc các thiết bị khác là bị nghiêm cấm, ngoại trừ máy tính bạn đang sử dụng không nối vào mạng Công ty.
Việc sử dụng các ứng dụng khác: Tài nguyên máy tính là có hạn. Hạn mức băng thông truyền tải, và dung lượng lưu trữ là hạn chế, và tất cả Nhân viên/Người sử dụng khi truy cập mạng có trách nhiệm tiết kiệm các tài nguyên này. Như vậy, Nhân viên/Người sử dụng không được sử dụng một cách lãng phí hay độc chiếm ảnh hưởng đến Nhân viên/Người sử dụng khác. Các hành động như: Gửi email với dung lượng lớn, truy cập internet thời gian dài, chơi game, tham gia chat trên mạng, gửi lên và tải xuống các file có dung lượng lớn trên web, truy cập truyền thanh truyền hình trực tuyến ... các việc sử dụng không vào mục đích kinh doanh này trên internet sẽ tạo ra tải không cần thiết trên băng thông mạng là tuyệt đối cấm.
Diệt virus: Các file tài liệu từ các nguồn ngoài Công ty, bao gồm đĩa mang từ nhà, file tải về từ internet hay từ các dịch vụ online khác; file được gửi kèm theo email, và file do khách hàng hay nhà cung cấp gửi, có thể chứa các virus máy tính nguy hiểm mà có thể phá hoại mạng máy tính của Công ty. Nhân viên/Người sử dụng không nên tải các file từ internet, nhận email có chứa file gửi kèm từ bên ngoài Công ty, hoặc sử dụng đĩa từ nguồn ngoài Công ty, mà không quét các tài liệu này trước bằng phần mềm diệt virus do Công ty cung cấp (đề nghị IT làm khóa chặn và cài phần mềm diệt virus). Nếu Nhân viên/Người sử dụng nghi ngờ rằng virus đã xâm nhập mạng máy tính Công ty, hãy báo cho Công ty biết ngay lập tức. - Không trông đợi riêng tư được đảm bảo
Người lao động được trang bị máy vi tính và quyền truy cập internet để hỗ trợ trong công việc được giao. Người lao động khi sử dụng trang thiết bị máy tính của Công ty để tạo, lưu trữ, gửi hoặc nhận thông tin, không nên kỳ vọng rằng tính riêng tư được đảm bảo. Mạng máy tính là tài sản của Công ty và chỉ được sử dụng cho mục đích Công ty mà thôi. - Từ bỏ quyền riêng tư
Nhân viên/Người sử dụng tuyệt đối từ bỏ mọi quyền riêng tư trong bất cứ tài liệu nào được họ tạo ra, lưu trữ, hoặc nhận đuợc khi sử dụng trang thiết bị máy tính của Công ty hay khi truy cập internet. Nhân viên/Người sử dụng đồng ý để Công ty truy cập, xem xét tất cả các tài liệu do Nhân viên/Người sử dụng tạo ra, lưu trữ, gửi hay nhận thông qua hệ thống mạng máy tính hay khi truy cập internet. - Kiểm soát việc sử dụng máy vi tính và truy cập internet
Công ty có quyền truy cập và kiểm soát toàn bộ mạng máy tính Công ty một cách không giới hạn, giám sát tất cả các trang web mà Nhân viên/Người sử dụng truy cập, giám sát việc chat trên mạng internet, giám sát việc tải xuống các tài liệu từ internet và toàn bộ thông tin trao đổi của Nhân viên/Người sử dụng. - Khóa các trang web có nội dung không thích hợp
Công ty có quyền áp dụng các phần mềm để xác định và khóa các truy cập vào các trang web có các nội dung không lành mạnh hoặc không phù hợp tại nơi làm việc của Công ty.
- Quy định chung:
Như là công cụ tăng cường năng suất lao động, Công ty khuyến khích việc trao đổi thông tin điện tử (internet, thư thoại, thư điện tử, và fax). Hệ thống thông tin điện tử, gồm cả các sao lưu dữ liệu, được xem là tài sản của Công ty.
Cho phép sử dụng: Hệ thống trao đổi thông tin điện tử của Công ty nói chung được sử dụng cho các hoạt động kinh doanh.
Nghiêm cấm sử dụng: Nhân viên/Người sử dụng sử dụng hệ thống thông tin điện tử của Công ty vào hoạt động từ thiện bên ngoài, hoạt động kinh doanh cá nhân, hay vào mục đích tiêu khiển giải trí. Nhân viên/Người sử dụng được khuyến cáo rằng việc sử dụng tài nguyên Công ty, bao gồm thông tin điện tử, không được phép sử dụng sai mục đích dẫn đến tranh chấp pháp lý hay xác thực thông tin.
- Quy định chung:
b. Trách nhiệm người dùng:
Trong bất kỳ hoàn cảnh nào, mật khẩu cá nhân không được phép chia sẻ hay tiết lộ cho bật kỳ ai khác. Nếu Nhân viên/Người sử dụng muốn chia sẻ các dữ liệu, thì nên sử dụng chức năng forward trong email, hay lưu trên các thư mục dùng chung và các hình thức chia sẻ được phép khác. Để tránh việc xâm nhập bất hợp pháp các thông tin điện tử, Nhân viên/Người sử dụng phải đặt các mật khẩu sao cho khó có thể suy đoán được (Ví dụ: không sử dụng các từ thông dụng, thông tin cá nhân, hay có liên hệ đến công việc).
Nhân viên/Người sử dụng được khuyến cáo rằng hệ thống giao dịch điện tử thì mặc nhiên các thông tin không đuợc mã hóa bảo mật. Nếu dùng hệ thống này để trao đổi thông tin nhạy cảm, thì phải cài đặt mật khẩu để bảo mật thông tin và dữ liệu (ví dụ: báo cáo nhân sự, báo cáo thông tin mật từ kinh doanh…)
c. Không đảm bảo tính riêng tư của thư tín:
Công ty không đảm bảo rằng tất cả các thông tin trao đổi là riêng tư. Nhân viên/Người sử dụng nên ý thức rằng các thông tin trao đổi có thể bị chuyển tiếp, ngăn chặn, in ra và lưu trữ bởi người khác. Thêm vào đó, thông tin điện tử có thể bị truy cập bởi người khác theo như chính sách này (các thông tin có thể bị kiểm soát, và việc sử dụng hệ thống thông tin điện tử sẽ bị giám sát cho mục đích hỗ trợ các họat động, bảo trì, kiểm tra, an ninh và điều tra. Nhân viên/Người sử dụng khi sử dụng hệ thống thông tin điện tử của Công ty nên nhận thức rằng các nội dung của thông tin trao đổi thì liên tục bị kiểm duyệt).
d. Nội dung thư tín:
Nhân viên/Người sử dụng không được dùng lời lẽ tục tĩu, khiêu dâm, hay nhận xét xúc phạm trong trong thư điện tử khi trao đổi với các đồng nghiệp, khách hàng, đối thủ cạnh tranh hay người khác. Các điều đó, dù là đùa nghịch, có thể gây ra các vấn đề liên quan đến pháp luật như phỉ báng và/ hoặc xúc phạm
e. Giải quyết các vấn đề liên quan đến bảo mật thông tin:
Nhân viên/Người sử dụng phải lập tức báo cáo mọi báo động về bảo mật thông tin, các cảnh báo, nguy cơ tiềm ẩn, và các vấn đề liên quan đến bộ phận quản lý thông tin của Công ty. Nghiêm cấm Nhân viên/Người sử dụng sử dụng hệ thống của Công ty để chuyển tiếp các thông tin trên đến các người sử dụng khác trong và ngoài Công ty.
f. Đại diện giao tế:
Không được phép làm quảng cáo truyền thông, trang chủ trên internet, yết thị, thư thoại, thư điện tử và bất kỳ hình thức giao tiếp công cộng trên danh nghĩa Công ty nếu không đuợc thông qua bởi bộ phận Marketing và Chăm sóc khách hàng.
4. Lưu ý:
a. Lưu trữ
Nếu thư điện tử có các thông tin liên quan đến giao dịch kinh doanh đã hoàn tất, chứa các thông tin quan trọng, hay có giá trị như là chứng tích về quyết định kinh doanh của Công ty…phải được giữ lại để tham chiếu trong tương lai. Các thư khác không liên quan có thể bị xóa sau khi nhận. Nhân viên/Người sử dụng phải thường xuyên chuyển các thông tin trong trong thư điện tử thành các tài liệu văn bản, cơ sở dữ liệu hay các hình thức tập tin khác. Hệ thống thư điện tử không phải là công cụ để lưu trữ các thông tin quan trọng. Các thư điện tử được lưu quan trọng có thể định kỳ bị xóa bởi quản trị mạng, mất do lỗi khi xóa dữ liệu bởi Nhân viên/Người sử dụng khác (nếu có), và các hình thức mất mát khác xảy ra do vấn đề trong hệ thống mạng.
b. Dọn dẹp thư tín điện tử
Các thư tín mà không còn cần thiết cho kinh doanh phải đuợc xóa bởi Nhân viên/Người sử dụng ra khỏi hệ thống lưu trữ sau mỗi định kỳ. Sau một thời kỳ nhất định, thông thường là sáu tháng, các thư tín đĩên tử mà đuợc lưu trữ trong môi trường nhiều người sử dụng sẽ tự động bị xóa bởi nhân viên quản lý mạng. Không chỉ do nó làm gia tăng khối lượng cần lưu trữ mà còn do việc cần phải đơn giản hóa quản lý lưu trữ và các công việc liên quan.
c. Các tài liệu có nội dung khích động gây rối
Máy vi tính và mạng máy tính của Công ty tuyệt đối không đuợc dùng cho mục đích này, và không được phép dùng cho việc thực hiện quyền tự do ngôn luận. Quấy rối giới tính, tôn giáo hay chủng tộc, bao gồm cả các cuộc điện thọai, thư điện tử, điện tín không mong đợi …, là tuyệt đối không đuợc phép, sẽ dẫn đến việc bị kỷ luật, bao gồm cả bị buộc thôi việc. Nhân viên/Người sử dụng đuợc khuyến khích phản ứng trực tiếp đến người đã gửi thư công kích dưới các hình thức thư điện tử, điện thọai hay các hình thức khác. Nếu người gửi không dừng ngay các thư tín quấy phá đó, Nhân viên/Người sử dụng phải báo cáo cho quản lý cấp trên và phòng Nhân sự. Công ty có quyền loại bỏ các thông tin có tính công kích hay nguy cơ phạm pháp trên hệ thống thông tin của Công ty.
5. Bàn giao tài liệu, thông tin mật của công ty.
Trước khi thôi làm việc cho Công ty, ngoài việc thanh quyết toán các nghĩa vụ tài chính với Công ty, Nhân viên phải bàn giao lại toàn bộ các hồ sơ giấy tờ có chứa các thông tin mật mà nhân viên đó đã được giao hoặc thuộc mình quản lý cả các file trong máy tính. Nghiêm cấm việc khoá hoặc xoá mã các file máy tính có chứa Thông tin mật trước khi thôi làm việc cho Công ty nếu không được phép của Ban Giám Đốc hoặc người được uỷ quyền.