Quy tắc ứng xử
Quy tắc ứng xử trong ATVINA mang tính đại diện và hữu ích, nhưng không toàn diện. Nếu cần có ngoại lệ đối với các nguyên tắc và ví dụ trong tài liệu Quy tắc ứng xử này, thì phải được sự chấp thuận của Giám đốc điều hành, COO hoặc CIO.
Kỹ thuật viên công trường
Kỹ thuật viên không bao giờ được yêu cầu hoặc hỏi mật khẩu của người dùng và không được quan sát người dùng nhập mật khẩu của họ.
Kỹ thuật viên không được mở email hoặc tệp trong khi khắc phục sự cố trừ khi người dùng cho phép cụ thể và chỉ được kiểm tra nội dung của email hoặc tệp theo yêu cầu để khắc phục sự cố cụ thể.
Truy cập từ xa vào máy tính để bàn cho mục đích hỗ trợ chỉ có thể xảy ra khi có sự chấp thuận của người dùng cuối thông qua lời nhắc máy tính cụ thể.
Kỹ sư chất lượng, nhà phát triển, quản lý dự án và nhà phân tích kinh doanh
Khi phát triển, thử nghiệm, phân tích, bảo trì hoặc khắc phục sự cố trong các ứng dụng của ATVINA, hồ sơ chỉ nên được thẩm vấn nếu chúng có liên quan đến vấn đề đang được điều tra.
Khi hiển thị các ví dụ về trang, tệp, quy trình kinh doanh hoặc đầu ra báo cáo trong tài liệu, nên thực hiện các biện pháp thích hợp để ngụy trang thông tin nhằm bảo vệ danh tính của (các) cá nhân được liên kết với dữ liệu.
Vì mục đích trình bày, phát triển, thử nghiệm, phân tích, bảo trì hoặc khắc phục sự cố, cần thực hiện các biện pháp thích hợp để ngụy trang thông tin nhằm bảo vệ danh tính của (các) cá nhân liên quan đến dữ liệu.
Kỹ sư mạng, kỹ sư hệ thống
Dữ liệu truyền qua mạng không được giám sát ngoại trừ mục đích bảo trì, chẩn đoán cụ thể và bảo vệ hệ thống (ví dụ: quét bảo vệ chống vi-rút).
Quyền truy cập vào thông tin nhật ký chỉ được sử dụng cho mục đích kinh doanh và theo yêu cầu để hỗ trợ tính toàn vẹn của hệ thống.
Nhân viên bộ phận trợ giúp
Không bao giờ hỏi người dùng mật khẩu.
Chỉ kích hoạt tính năng chuyển tiếp thư điện tử đến địa chỉ khác khi được chủ hộp thư yêu cầu.
Quản trị viên hệ thống
Dữ liệu chứa trong tệp nhật ký và cơ sở dữ liệu không được tiết lộ ngoài nhu cầu của nhóm CNTT để phát triển, bảo trì, khắc phục sự cố hoặc thực hiện chẩn đoán trừ khi có sự chỉ đạo của Lãnh đạo ATVINA thích hợp hoặc cơ quan pháp luật.
Thông tin về quyền truy cập của một người dùng cụ thể vào mạng, hệ thống, cơ sở dữ liệu hoặc bất kỳ tài nguyên dựa trên máy tính nào khác không được tiết lộ cho bất kỳ ai ngoài chủ sở hữu trừ khi có sự chỉ đạo của trường Đại học hoặc cơ quan pháp lý phù hợp hoặc cho các mục đích phát triển, thử nghiệm, bảo trì, bảo vệ và hỗ trợ hệ thống CNTT.
Việc xem ngẫu nhiên bất kỳ dữ liệu nào có trong nhật ký hoặc cơ sở dữ liệu nằm ngoài trách nhiệm công việc của nhân viên đều bị nghiêm cấm.
Kiểm soát sản xuất & Vận hành máy tính
Tất cả quyền truy cập vật lý vào Trung tâm Dữ liệu CNTT của ATVINA phải tuân theo các giao thức quản lý quyền truy cập đã được thiết lập; tất cả các yêu cầu truy cập từ các cá nhân trái phép phải được chuyển đến người giám sát hoặc người quản lý.
Tất cả các yêu cầu truy cập vào hệ thống phải tuân theo các giao thức quản lý truy cập đã thiết lập; tất cả các yêu cầu truy cập hệ thống nằm ngoài những yêu cầu cụ thể được quy định trong giao thức quản lý truy cập phải được chuyển đến người giám sát hoặc người quản lý.
Tất cả các yêu cầu về quyền truy cập đặc quyền vào các hệ thống sản xuất phải tuân theo các quy trình đã thiết lập để cấp quyền truy cập đó, bao gồm việc ghi lại yêu cầu kịp thời và chính xác cũng như hoàn nguyên các đặc quyền kịp thời sau khi hoàn thành công việc dẫn đến yêu cầu quyền truy cập đặc quyền.
Kỹ sư bảo mật
Các chuyên gia bảo mật thông tin của ATVINA tuân thủ quy tắc đạo đức nghiêm ngặt thông qua chứng nhận của họ bởi hội đồng Chứng nhận An ninh Hệ thống, yêu cầu họ:
- Bảo vệ xã hội, thịnh vượng chung và cơ sở hạ tầng.
- Hành động một cách danh dự, trung thực, công bằng, có trách nhiệm và hợp pháp.
- Cung cấp dịch vụ siêng năng và có năng lực cho Giám đốc điều hành.
Khi tiến hành điều tra để phản hồi cảnh báo về hoạt động độc hại có thể xảy ra (từ một công cụ tự động, người dùng hoặc bên thứ ba), các kỹ sư bảo mật phải hành động một cách có trách nhiệm và có đạo đức, cụ thể:
- Chỉ điều tra trong phạm vi đã được cảnh báo xác định và vì lý do đã xác định.
- Theo dõi hoạt động độc hại đối với máy gốc và liên hệ với chủ sở hữu cũng như bộ phận hỗ trợ CNTT của họ, chia sẻ thông tin và hỗ trợ quá trình giải quyết.
Nếu một cá nhân từ chối tham gia giải quyết, các kỹ sư bảo mật phải:
- Khởi chạy quy trình leo thang để có được sự chấp thuận của ban quản lý trước khi thực hiện thêm hành động.
- Thực hiện theo lộ trình leo thang đã xác định bao gồm thông báo cho Bộ phận phụ trách.
Khi tiến hành điều tra trên một máy tính đã mua, các kỹ sư bảo mật phải:
- Giới hạn các hoạt động điều tra của họ trong phạm vi hẹp, chỉ làm việc với những thông tin liên quan.
- Chỉ xem thông tin cá nhân của từng cá nhân nếu cần thiết cho cuộc điều tra.
- Giữ các tài liệu điều tra vật lý và kỹ thuật số (ví dụ: bản sao của ổ cứng) được khóa an toàn.
- Duy trì chuỗi hành trình chứng cứ, yêu cầu trách nhiệm và phê duyệt cho từng bước của quy trình.