Machine Translated by Google

Cộng đồng tài nguyên chính sách đồng thuận

Chính sách giám sát và lọc việc sử dụng Internet của nhân viên

Tuyên bố miễn trừ trách nhiệm sử dụng miễn phí: Chính sách này được tạo bởi hoặc dành cho Viện SANS dành

cho cộng đồng Internet. Tất cả hoặc một phần của chính sách này có thể được sử dụng miễn phí cho tổ chức của bạn.

Không có sự chấp thuận trước cần thiết. Nếu bạn muốn đóng góp chính sách mới hoặc phiên bản cập nhật của

chính sách này, vui lòng gửi email đến Policy-resources@sans.org.

Trạng thái cập nhật lần cuối: Đã ngừng hoạt động

1. Khái quát chung

Xem Mục đích.

2. Mục đích

Mục đích của chính sách này là xác định các tiêu chuẩn cho hệ thống giám sát và hạn chế việc sử dụng web từ bất kỳ

máy chủ nào trong mạng của <Tên công ty>. Các tiêu chuẩn này được thiết kế để đảm bảo nhân viên sử dụng Internet

một cách an toàn và có trách nhiệm, đồng thời đảm bảo rằng việc sử dụng web của nhân viên có thể được giám

sát hoặc nghiên cứu trong khi xảy ra sự cố.

3. Phạm vi

Chính sách này áp dụng cho tất cả nhân viên, nhà thầu, nhà cung cấp và đại lý của <Tên công ty> có máy tính hoặc

máy trạm thuộc quyền sở hữu của <Tên công ty> được kết nối với mạng <Tên công ty>.

Chính sách này áp dụng cho tất cả các liên lạc do người dùng cuối thực hiện giữa mạng của <Tên công ty> và

Internet, bao gồm duyệt web, nhắn tin tức thời, truyền tệp, chia sẻ tệp và các giao thức tiêu chuẩn và độc quyền

khác. Giao tiếp từ máy chủ đến máy chủ, chẳng hạn như lưu lượng SMTP, sao lưu, truyền dữ liệu tự động hoặc liên

lạc với cơ sở dữ liệu không được bao gồm trong chính sách này.

4. Chính sách

4.1 Giám sát trang web

Phòng Công nghệ thông tin có trách nhiệm giám sát việc sử dụng Internet của tất cả các máy tính, thiết bị

kết nối vào mạng công ty. Đối với tất cả lưu lượng truy cập, hệ thống giám sát phải ghi lại Địa chỉ IP nguồn,

ngày, giờ, giao thức và trang web hoặc máy chủ đích. Nếu có thể, hệ thống sẽ ghi lại ID người dùng của người hoặc

tài khoản bắt đầu lưu lượng truy cập.

Hồ sơ sử dụng Internet phải được lưu giữ trong 180 ngày.

4.2 Truy cập vào Báo cáo Giám sát Trang web

Báo cáo hoạt động và xu hướng chung sẽ được cung cấp cho bất kỳ nhân viên nào khi cần theo yêu cầu của Phòng

Công nghệ Thông tin. Các thành viên của Nhóm ứng phó sự cố bảo mật máy tính (CSIRT) có thể truy cập tất cả các báo

cáo và dữ liệu nếu cần thiết để ứng phó với sự cố bảo mật.

Báo cáo Sử dụng Internet xác định người dùng, trang web, nhóm hoặc thiết bị cụ thể sẽ chỉ được thực hiện

Viện SANS 2014 – Bảo lưu mọi quyền Trang 1

Machine Translated by Google

Cộng đồng tài nguyên chính sách đồng thuận

có sẵn cho các cộng sự bên ngoài CSIRT khi có yêu cầu bằng văn bản hoặc email tới Hệ thống Thông
tin từ Đại diện Nhân sự.

3.3 Hệ thống lọc sử dụng Internet

Phòng Công nghệ Thông tin sẽ chặn quyền truy cập vào các trang web và giao thức Internet được cho
là không phù hợp với môi trường doanh nghiệp của <Tên Công ty>. Các giao thức và danh mục trang
web sau đây sẽ bị chặn:
• Tài liệu người lớn/khiêu dâm
• Quảng cáo & Cửa sổ bật lên •
Trò chuyện và nhắn tin tức thì
• Bài bạc
• Hack
• Thuốc bất hợp pháp

• Trang phục và đồ bơi thân mật

• Chia sẻ tệp ngang hàng
• Cá nhân và hẹn hò
• Dịch vụ mạng xã hội

• SPAM, Lừa đảo và Lừa đảo

• Phần mềm gián điệp

• Nội dung vô vị và xúc phạm

• Bạo lực, Không khoan dung và Thù hận

• Email dựa trên web

3.4 Thay đổi quy tắc lọc sử dụng Internet

Cục Công nghệ thông tin có trách nhiệm định kỳ rà soát, đề xuất thay đổi các quy định lọc web,
giao thức. Bộ phận Nhân sự sẽ xem xét các khuyến nghị này và quyết định xem có thực hiện bất kỳ
thay đổi nào hay không. Những thay đổi đối với quy tắc lọc giao thức và web sẽ được ghi lại
trong Chính sách lọc và giám sát việc sử dụng Internet.

3.5 Ngoại lệ lọc sử dụng Internet

Nếu một trang web bị phân loại sai, nhân viên có thể yêu cầu bỏ chặn trang web đó bằng cách gửi
phiếu yêu cầu tới bộ phận trợ giúp Công nghệ thông tin. Nhân viên CNTT sẽ xem xét yêu cầu và bỏ
chặn trang web nếu nó bị phân loại sai.

Nhân viên có thể truy cập các trang web bị chặn nếu phù hợp và cần thiết cho mục đích kinh doanh.
Nếu nhân viên cần quyền truy cập vào một trang web bị chặn và được phân loại phù hợp, họ phải
gửi yêu cầu đến đại diện Nhân sự của mình. Nhân sự sẽ trình bày tất cả các yêu cầu ngoại lệ
đã được phê duyệt cho Công nghệ thông tin bằng văn bản hoặc qua email. Công nghệ thông tin sẽ
chỉ bỏ chặn trang web hoặc danh mục đó cho cộng tác viên đó. Công nghệ thông tin sẽ theo dõi các
trường hợp ngoại lệ đã được phê duyệt và báo cáo về chúng theo yêu cầu.

5. Tuân thủ chính sách

5.1 Đo lường sự tuân thủ

Viện SANS 2014 – Bảo lưu mọi quyền Trang 2

Machine Translated by Google

Cộng đồng tài nguyên chính sách đồng thuận

Nhóm Infosec sẽ xác minh việc tuân thủ chính sách này thông qua nhiều phương pháp khác nhau, bao gồm

nhưng không giới hạn ở kiểm tra định kỳ, giám sát video, báo cáo công cụ kinh doanh, kiểm tra nội bộ và bên

ngoài cũng như phản hồi cho chủ sở hữu chính sách.

5.2 Ngoại lệ
Mọi ngoại lệ đối với chính sách đều phải được nhóm Infosec phê duyệt trước.

5.3 Không tuân thủ

Một nhân viên bị phát hiện vi phạm chính sách này có thể phải chịu biện pháp kỷ luật, lên đến và

bao gồm cả việc chấm dứt hợp đồng lao động.

6 Tiêu chuẩn, Chính sách và Quy trình liên quan

Không có.

7 Định nghĩa và Thuật ngữ

Định nghĩa và thuật ngữ sau đây có thể được tìm thấy trong Bảng thuật ngữ SANS tại:

https://www.sans.org/security-resources/glossary-of-terms/

• Chia sẻ tệp ngang hàng

• Dịch vụ mạng xã hội

• THƯ RÁC

• Lừa đảo

• Hack

8 Lịch sử sửa đổi

Ngày thay đổi Chịu trách nhiệm Tóm tắt Thay đổi

tháng 7 năm 2014 Nhóm chính sách SANS Đã chuyển đổi sang định dạng mới và ngừng hoạt động

Viện SANS 2014 – Bảo lưu mọi quyền Trang 3