QUY TRÌNH CẤP, QUẢN LÝ VÀ THU HỒI QUYỀN TRUY CẬP

ACCESS PROVISIONING, MANAGEMENT AND DEPROVISIONING PROCEDURE

Mã tài liệu (Document No.): VA-ISMS-PR-001
Phiên bản (Version): 1.0
Ngày hiệu lực (Effective Date): 02/07/2025
Phê duyệt bởi (Approved by): Tổng Giám đốc (Chief Executive Officer)

---

1. Mục đích | Purpose

Tiếng Việt:
Quy trình này quy định việc yêu cầu, cấp, thay đổi, rà soát và thu hồi quyền truy cập đối với các hệ thống thông tin của Công ty TNHH Vina Aspire nhằm bảo đảm chỉ những cá nhân được ủy quyền mới được truy cập vào hệ thống, dữ liệu và tài sản thông tin của Công ty.

English:
This Procedure establishes the requirements for requesting, granting, modifying, reviewing, and revoking access rights to Vina Aspire’s information systems to ensure that only authorized individuals have access to company systems, data, and information assets.

---

2. Phạm vi áp dụng | Scope

Tiếng Việt:
Áp dụng đối với toàn bộ nhân viên, lãnh đạo, cộng tác viên, thực tập sinh, đối tác, nhà cung cấp và các bên thứ ba được cấp quyền truy cập vào hệ thống thông tin của Vina Aspire.

English:
This Procedure applies to all employees, management, contractors, interns, vendors, partners, and third parties who are granted access to Vina Aspire’s information systems.

---

3. Nguyên tắc quản lý truy cập | Access Management Principles

Tiếng Việt:

• Nguyên tắc cần biết (Need-to-Know);
• Nguyên tắc quyền tối thiểu (Least Privilege);
• Phân tách nhiệm vụ (Segregation of Duties);
• Phân quyền theo vai trò (Role-Based Access Control – RBAC);
• Không mặc định tin cậy (Zero Trust);
• Trách nhiệm giải trình và khả năng truy vết (Accountability and Traceability).

English:

• Need-to-Know Principle;
• Least Privilege Principle;
• Segregation of Duties (SoD);
• Role-Based Access Control (RBAC);
• Zero Trust Principle;
• Accountability and Traceability.

---

4. Vai trò và trách nhiệm | Roles and Responsibilities

Người yêu cầu | Requestor

Tiếng Việt: Đề xuất nhu cầu cấp, thay đổi hoặc thu hồi quyền truy cập.
English: Request access provisioning, modification, or revocation.

Quản lý trực tiếp | Line Manager

Tiếng Việt: Xem xét và phê duyệt nhu cầu truy cập của nhân viên.
English: Review and approve employees’ access requirements.

Bộ phận CNTT | IT Department

Tiếng Việt: Tạo tài khoản, cấu hình quyền truy cập, quản lý, giám sát và lưu hồ sơ.
English: Provision accounts, configure permissions, manage access, monitor activities, and maintain records.

Bộ phận An toàn thông tin | Information Security Function

Tiếng Việt: Giám sát việc tuân thủ, thực hiện rà soát định kỳ và xử lý ngoại lệ.
English: Monitor compliance, perform periodic reviews, and manage exceptions.

Người sử dụng | Users

Tiếng Việt: Sử dụng tài khoản đúng mục đích, bảo mật thông tin đăng nhập và báo cáo sự cố.
English: Use accounts appropriately, protect credentials, and report incidents.

---

5. Quy trình thực hiện | Procedure

Bước 1. Yêu cầu cấp quyền | Step 1. Access Request

Tiếng Việt:
Người sử dụng hoặc quản lý trực tiếp gửi Phiếu yêu cầu cấp quyền, bao gồm:

• Họ tên;
• Đơn vị công tác;
• Hệ thống cần truy cập;
• Vai trò công việc;
• Loại quyền đề nghị;
• Thời gian sử dụng (nếu có).

English:
The user or line manager submits an Access Request Form, including:

• Full name;
• Department;
• System to be accessed;
• Job role;
• Requested access level;
• Duration of access (if applicable).

---

Bước 2. Xem xét và phê duyệt | Step 2. Review and Approval

Tiếng Việt:
Quản lý trực tiếp xem xét tính cần thiết của quyền truy cập và phê duyệt hoặc từ chối yêu cầu.

Đối với quyền quản trị hoặc quyền truy cập dữ liệu nhạy cảm, phải có phê duyệt bổ sung của Bộ phận CNTT hoặc Ban Lãnh đạo.

English:
The line manager reviews the business need and approves or rejects the request.

Administrative privileges or access to sensitive information require additional approval from IT Management or Senior Management.

---

Bước 3. Cấp quyền truy cập | Step 3. Access Provisioning

Tiếng Việt:
Bộ phận CNTT:

• Tạo tài khoản định danh duy nhất;
• Phân quyền theo vai trò (RBAC);
• Kích hoạt xác thực đa yếu tố (MFA) đối với hệ thống quan trọng;
• Ghi nhận việc cấp quyền vào hệ thống quản lý.

English:
The IT Department shall:

• Create a unique user account;
• Assign access rights based on roles (RBAC);
• Enable Multi-Factor Authentication (MFA) for critical systems;
• Record provisioning activities in the access management system.

---

Bước 4. Quản lý và thay đổi quyền | Step 4. Access Management and Modification

Tiếng Việt:
Quyền truy cập phải được cập nhật khi:

• Thay đổi vị trí công tác;
• Điều chuyển bộ phận;
• Thay đổi nhiệm vụ;
• Tham gia hoặc kết thúc dự án;
• Có yêu cầu nghiệp vụ mới.

English:
Access rights shall be updated whenever:

• An employee changes position;
• Department transfer occurs;
• Job responsibilities change;
• A project starts or ends;
• New business requirements arise.

---

Bước 5. Rà soát định kỳ | Step 5. Periodic Access Review

Tiếng Việt:
Bộ phận CNTT phối hợp với các đơn vị rà soát quyền truy cập tối thiểu sáu (06) tháng một lần nhằm:

• Phát hiện tài khoản không sử dụng;
• Kiểm tra tài khoản đặc quyền;
• Loại bỏ quyền truy cập không còn phù hợp;
• Kiểm tra tài khoản của bên thứ ba.

English:
The IT Department and business units shall review access rights at least every six (06) months to:

• Identify inactive accounts;
• Review privileged accounts;
• Remove unnecessary permissions;
• Review third-party accounts.

---

Bước 6. Thu hồi quyền truy cập | Step 6. Access Deprovisioning

Tiếng Việt:
Tài khoản phải được khóa hoặc thu hồi ngay khi:

• Nhân viên nghỉ việc;
• Hết thời hạn hợp đồng;
• Kết thúc dự án;
• Không còn nhu cầu sử dụng;
• Phát hiện vi phạm an toàn thông tin.

Đối với nhân viên nghỉ việc, việc thu hồi phải hoàn thành trong ngày làm việc cuối cùng.

English:
Accounts shall be disabled or revoked immediately when:

• Employment is terminated;
• Contract expires;
• Project assignment ends;
• Access is no longer required;
• Information security violations are identified.

For terminated employees, access revocation shall be completed on the last working day.

---

6. Quản lý tài khoản đặc quyền | Privileged Access Management

Tiếng Việt:

• Tài khoản quản trị phải tách biệt với tài khoản thông thường;
• Không sử dụng tài khoản quản trị cho công việc hàng ngày;
• Bắt buộc sử dụng MFA;
• Ghi log và giám sát mọi hoạt động;
• Rà soát định kỳ tối thiểu sáu (06) tháng.

English:

• Administrative accounts shall be separated from standard user accounts;
• Administrative accounts shall not be used for routine activities;
• MFA is mandatory;
• All activities shall be logged and monitored;
• Reviews shall be conducted at least every six (06) months.

---

7. Nhật ký và lưu hồ sơ | Logging and Record Retention

Tiếng Việt:
Các hồ sơ cần lưu giữ bao gồm:

• Phiếu yêu cầu cấp quyền;
• Hồ sơ thay đổi hoặc thu hồi quyền;
• Danh sách tài khoản;
• Nhật ký cấp quyền và thay đổi quyền;
• Biên bản rà soát định kỳ.

English:
The following records shall be retained:

• Access Request Forms;
• Access modification and revocation records;
• User account inventory;
• Access provisioning logs;
• Periodic review reports.

Thời gian lưu trữ tối thiểu: ba (03) năm hoặc theo quy định pháp luật và yêu cầu khách hàng.
Minimum retention period: three (03) years or as required by applicable laws and customer requirements.

---

8. Xử lý vi phạm | Violations and Enforcement

Tiếng Việt:
Nghiêm cấm:

• Chia sẻ tài khoản hoặc mật khẩu;
• Sử dụng tài khoản của người khác;
• Truy cập vượt quá thẩm quyền;
• Xóa hoặc làm sai lệch nhật ký hệ thống.

English:
The following actions are prohibited:

• Sharing accounts or passwords;
• Using another person’s account;
• Unauthorized access beyond granted permissions;
• Deleting or manipulating system logs.

Các hành vi vi phạm có thể bị xử lý kỷ luật, bồi thường thiệt hại hoặc xử lý theo quy định pháp luật hiện hành.

Violations may result in disciplinary action, compensation for damages, and/or legal action in accordance with applicable laws.

---

9. Hiệu lực thi hành | Effective Date

Tiếng Việt:
Quy trình này có hiệu lực kể từ ngày được Tổng Giám đốc phê duyệt và là một phần của Hệ thống Quản lý An toàn Thông tin (ISMS) của Công ty TNHH Vina Aspire.

English:
This Procedure becomes effective upon approval by the Chief Executive Officer and forms an integral part of the Information Security Management System (ISMS) of Vina Aspire Company Limited.

Vina Aspire