QUY ĐỊNH VỀ QUẢN LÝ TÀI KHOẢN VÀ QUYỀN TRUY CẬP

ACCOUNT AND ACCESS MANAGEMENT POLICY

Mã tài liệu (Document No.): VA-ISMS-ACC-001
Phiên bản (Version): 1.0
Ngày hiệu lực (Effective Date): 02/07/2025
Phê duyệt bởi (Approved by): Tổng Giám đốc (Chief Executive Officer)

---

1. Mục đích | Purpose

Tiếng Việt

Quy định này được ban hành nhằm đảm bảo việc tạo lập, quản lý, sử dụng và thu hồi tài khoản truy cập vào hệ thống thông tin của Vina Aspire được thực hiện an toàn, nhất quán và có kiểm soát; bảo vệ tính bảo mật, toàn vẹn và sẵn sàng của thông tin.

English

This Policy establishes requirements for the creation, management, use, and revocation of user accounts and access rights to Vina Aspire’s information systems in a secure, consistent, and controlled manner, ensuring the confidentiality, integrity, and availability of information.

---

2. Phạm vi áp dụng | Scope

Tiếng Việt

Áp dụng đối với:

• Tất cả nhân viên, lãnh đạo, cộng tác viên, thực tập sinh;
• Nhà cung cấp, đối tác, chuyên gia tư vấn được cấp quyền truy cập hệ thống;
• Tất cả hệ thống CNTT, ứng dụng, dịch vụ Cloud, cơ sở dữ liệu, thiết bị mạng và tài sản thông tin của Vina Aspire.

English

This Policy applies to:

• All employees, management, interns, and contractors;
• Vendors, partners, and consultants granted access to company systems;
• All IT systems, applications, cloud services, databases, network devices, and information assets of Vina Aspire.

---

3. Nguyên tắc quản lý truy cập | Access Management Principles

Vina Aspire áp dụng các nguyên tắc sau:

• Need-to-Know Principle (Nguyên tắc cần biết);
• Least Privilege Principle (Nguyên tắc quyền tối thiểu);
• Segregation of Duties – SoD (Phân tách nhiệm vụ);
• Role-Based Access Control – RBAC (Quản lý quyền theo vai trò);
• Zero Trust Principle (Không mặc định tin cậy);
• Accountability and Traceability (Trách nhiệm giải trình và truy vết).

---

4. Phân loại tài khoản | Account Classification

4.1 Tài khoản người dùng thông thường | Standard User Accounts

Cấp cho nhân viên để thực hiện công việc hàng ngày.

4.2 Tài khoản đặc quyền | Privileged Accounts

Bao gồm:

• Domain Administrator;
• System Administrator;
• Database Administrator;
• Cloud Administrator;
• Security Administrator.

4.3 Tài khoản dịch vụ | Service Accounts

Sử dụng cho ứng dụng, API, hệ thống tích hợp hoặc các tác vụ tự động.

4.4 Tài khoản bên thứ ba | Third-Party Accounts

Cấp cho đối tác, nhà cung cấp hoặc chuyên gia tư vấn theo thời hạn xác định.

---

5. Quy trình quản lý tài khoản | Account Lifecycle Management

5.1 Tạo tài khoản | Account Provisioning

• Mọi yêu cầu tạo tài khoản phải được phê duyệt bởi quản lý trực tiếp và Bộ phận CNTT.
• Chỉ cấp quyền cần thiết cho công việc được giao.
• Tài khoản phải được định danh duy nhất.

5.2 Thay đổi quyền | Modification of Access Rights

Quyền truy cập phải được điều chỉnh khi:

• Thay đổi vị trí công việc;
• Điều chuyển bộ phận;
• Thay đổi nhiệm vụ hoặc dự án.

5.3 Thu hồi tài khoản | Account Deprovisioning

Tài khoản phải được khóa hoặc thu hồi ngay khi:

• Nhân viên nghỉ việc;
• Hết thời hạn hợp đồng;
• Không còn nhu cầu sử dụng;
• Có dấu hiệu vi phạm an toàn thông tin.

---

6. Quy định về xác thực | Authentication Requirements

Mật khẩu | Password Requirements

Mật khẩu phải:

• Có tối thiểu 12 ký tự;
• Bao gồm chữ hoa, chữ thường, số và ký tự đặc biệt;
• Không sử dụng thông tin cá nhân dễ đoán;
• Không được chia sẻ với bất kỳ cá nhân nào.

Passwords shall:

• Contain at least 12 characters;
• Include uppercase, lowercase, numeric and special characters;
• Not contain easily guessed information;
• Never be shared with others.

---

7. Xác thực đa yếu tố | Multi-Factor Authentication (MFA)

MFA là bắt buộc đối với:

• Tài khoản quản trị;
• Hệ thống Cloud;
• Hệ thống chứa dữ liệu khách hàng;
• Truy cập từ bên ngoài mạng nội bộ;
• Các hệ thống quan trọng của doanh nghiệp.

---

8. Quản lý tài khoản đặc quyền | Privileged Access Management

• Tài khoản quản trị phải được cấp riêng biệt với tài khoản thông thường;
• Không sử dụng tài khoản Administrator cho các hoạt động hàng ngày;
• Mọi hoạt động của tài khoản đặc quyền phải được ghi log;
• Định kỳ rà soát quyền truy cập tối thiểu mỗi sáu (06) tháng.

---

9. Kiểm soát truy cập từ xa | Remote Access Control

• Truy cập từ xa chỉ được thực hiện thông qua các phương thức được Vina Aspire phê duyệt;
• Bắt buộc sử dụng MFA;
• Mọi kết nối từ xa phải được ghi nhận và giám sát.

---

10. Rà soát quyền truy cập | Access Review

Bộ phận CNTT phối hợp với các đơn vị nghiệp vụ thực hiện rà soát:

• Tài khoản không sử dụng;
• Tài khoản đặc quyền;
• Quyền truy cập không còn phù hợp;
• Tài khoản của đối tác và bên thứ ba.

Tần suất rà soát: tối thiểu sáu (06) tháng một lần hoặc khi có yêu cầu.

---

11. Nhật ký và giám sát | Logging and Monitoring

Vina Aspire thực hiện:

• Ghi nhận nhật ký đăng nhập và đăng xuất;
• Ghi nhận thay đổi quyền truy cập;
• Giám sát hoạt động của tài khoản đặc quyền;
• Lưu giữ log theo quy định của Công ty và yêu cầu pháp luật.

---

12. Trách nhiệm | Responsibilities

Ban Lãnh đạo | Management

• Phê duyệt chính sách và giám sát việc thực hiện.

Bộ phận CNTT và An toàn thông tin | IT and Information Security Team

• Triển khai, quản lý và giám sát việc cấp quyền truy cập;
• Thực hiện rà soát định kỳ và xử lý vi phạm.

Quản lý đơn vị | Department Managers

• Phê duyệt và rà soát nhu cầu cấp quyền của nhân viên.

Người sử dụng | Users

• Sử dụng tài khoản đúng mục đích;
• Bảo mật thông tin đăng nhập;
• Báo cáo ngay khi phát hiện sự cố hoặc truy cập bất thường.

---

13. Vi phạm và xử lý | Violations and Enforcement

Mọi hành vi:

• Chia sẻ tài khoản;
• Truy cập trái phép;
• Sử dụng quyền vượt thẩm quyền;
• Cố tình che giấu hoặc làm sai lệch nhật ký hệ thống;

đều có thể bị xử lý kỷ luật, bồi thường thiệt hại hoặc xử lý theo quy định pháp luật hiện hành.

---

14. Hiệu lực thi hành | Effective Date

Quy định này có hiệu lực kể từ ngày ký ban hành và là một phần của Hệ thống Quản lý An toàn Thông tin (ISMS) của Công ty TNHH Vina Aspire.

VINA ASPIRE COMPANY LIMITED