Quy chế bảo mật thông tin nội bộ cho doanh nghiệp dưới 100 người

Mẫu khung quy chế bảo mật thông tin nội bộ, dễ áp dụng cho doanh nghiệp dưới 100 nhân sự, giúp chuẩn hóa quy định bảo mật thông tin trong công ty. 

1. Vì sao doanh nghiệp dưới 100 người vẫn cần quy chế bảo mật riêng? 

Nhiều doanh nghiệp vừa và nhỏ nghĩ rằng: “Công ty ít người, ai cũng quen nhau, không cần quy chế bảo mật thông tin nội bộ quá chi tiết.” Thực tế, rủi ro lại thường xuất phát từ chính môi trường thân quen đó: chia sẻ mậtkhẩu qua chat, gửi danh sách khách hàng bằng Excel cho cả phòng, dùng chung một tài khoản quảng cáo, copy dữ liệu về máy cá nhân cho tiện… 

Khi có sự cố (mất dữ liệu, lộ data khách hàng, tài khoản bị chiếm, tấn công mạng), câu hỏi đầu tiên luôn là: 

“Công ty anh/chị có quy định bảo mật thông tin trong công ty không?” 

Nếu câu trả lời là mơ hồ, doanh nghiệp rất khó chứng minh mình đã làm đủ trách nhiệm. Một quy chế bảo mật thông tin công ty gọn, rõ, dễ hiểu giúp: 

• Giảm rủi ro thất thoát dữ liệu và tranh chấp nội bộ. 
• Tạo “khung” để xử lý khi có vi phạm. 
• Thể hiện với khách hàng/đối tác rằng bạn nghiêm túc về bảo mật – dù chỉ là SME. 

2. Quy chế bảo mật thông tin nội bộ là gì? 

Hiểu đơn giản, đây là bộ luật chơi về thông tin trong doanh nghiệp: 

• Quy định loại thông tin nào cần bảo vệ (dữ liệu khách hàng, tài chính, sản phẩm, nội bộ nhân sự…). 
• Ai được quyền truy cập và sử dụng ở mức nào. 
• Nhân viên được phép / không được phép làm gì với thông tin đó. 
• Khi có sự cố, phải báo cho ai và xử lý ra sao. 

Với doanh nghiệp dưới 100 nhân sự, quy chế không cần quá dài, nhưng phải: 

• Viết bằng ngôn ngữ đời thường, hạn chế thuật ngữ pháp lý. 
• Chuyển thành checklist dễ nhớ cho nhân viên. 
• Gắn với các tình huống thực tế: dùng email, lưu file, làm việc từ xa, dùng tool bên ngoài… 

3. Nguyên tắc xây quy chế cho doanh nghiệp nhỏ 

Trước khi đi vào mẫu khung, có 3 nguyên tắc nên giữ: 

1. Thực tế hơn là hoàn hảo 
   Viết những điều bạn thực sự có thể áp dụng và kiểm soát, không sao chép nguyên văn các mẫu quá phức tạp. 
2. Gắn với vai trò, không gắn với tên người 
   Quy định cho “kế toán”, “nhân viên kinh doanh”, “IT phụ trách hệ thống”, “quản lý bộ phận”… để sau này có thay người thì quy chế vẫn dùng được. 
3. Ít nhưng rõ 
   Với SME, một quy chế 10–20 trang, chia thành 4–5 chương rõ ràng thường hiệu quả hơn là 100 trang không ai đọc. 

4. Mẫu khung quy chế bảo mật thông tin nội bộ cho doanh nghiệp < 100 nhân sự 

Bạn có thể xem đây là một “sườn bài” và điều chỉnh cho phù hợp với đặc thù công ty mình. 

Chương 1 – Mục đích, phạm vi, đối tượng áp dụng 

• Mục đích 
• Bảo vệ thông tin, dữ liệu của công ty, khách hàng, đối tác. 
• Giảm rủi ro pháp lý và rủi ro kinh doanh. 
• Phạm vi 
• Áp dụng cho toàn bộ hoạt động xử lý thông tin: thu thập, lưu trữ, sử dụng, chia sẻ, xóa bỏ. 
• Đối tượng 
• Tất cả nhân viên chính thức, thử việc, cộng tác viên. 
• Nhà cung cấp/dịch vụ bên ngoài có quyền truy cập vào hệ thống hoặc dữ liệu của công ty (kèm điều khoản riêng trong hợp đồng). 

Chương 2 – Phân loại thông tin & trách nhiệm bảo mật 

1. Phân loại thông tin cơ bản (ví dụ): 
2. Thông tin công khai (public): nội dung trên website, tài liệu marketing đã xuất bản. 
3. Thông tin nội bộ: quy trình vận hành, báo cáo không chia ra ngoài. 
4. Thông tin mật kinh doanh: giá/chiết khấu đặc biệt, chiến lược, hợp đồng quan trọng. 
5. Thông tin cá nhân và dữ liệu khách hàng: thông tin nhận diện, liên hệ, giao dịch… 
6. Nguyên tắc chung 
7. Chỉ chia sẻ thông tin cho người thật sự cần để làm việc (need-to-know). 
8. Không tự ý gửi dữ liệu mật qua kênh cá nhân (Zalo, Facebook, email riêng) nếu không được phép. 
9. Trách nhiệm của nhân viên 
10. Giữ bí mật thông tin được giao, kể cả sau khi nghỉ việc. 
11. Báo cáo ngay khi phát hiện nguy cơ rò rỉ hoặc sử dụng sai mục đích. 

Chương 3 – Quy định bảo mật thông tin trong công ty theo nhóm tình huống 

3.1. Thiết bị & tài khoản 

• Mỗi nhân viên phải: 
• Đặt mật khẩu/mã PIN cho laptop, PC, điện thoại dùng cho công việc. 
• Không chia sẻ tài khoản làm việc (email, CRM, hệ thống nội bộ) cho người khác. 
• Công ty: 
• Cấp tài khoản riêng cho từng người với quyền phù hợp. 
• Thu hồi hoặc điều chỉnh quyền trong vòng 24–48 giờ khi có thay đổi nhân sự. 

3.2. Quản lý dữ liệu & chia sẻ file 

• Dữ liệu khách hàng và dữ liệu nội bộ quan trọng phải lưu ở: 
• Các thư mục/hệ thống đã được công ty chỉ định (server, cloud, CRM…). 
• Không được: 
• Copy tùy tiện dữ liệu ra USB cá nhân, ổ cứng cá nhân. 
• Gửi file nhạy cảm qua email/ứng dụng chat cá nhân nếu không có sự cho phép. 
• Khi chia sẻ cho bên ngoài: 
• Chỉ share đúng phần cần thiết, có thời hạn hoặc mật khẩu nếu có thể. 

3.3. Email, chat và công cụ trực tuyến 

• Kiểm tra kỹ địa chỉ gửi, nội dung và file đính kèm trước khi mở. 
• Không bấm vào link hoặc mở file từ nguồn không rõ ràng. 
• Không sử dụng email công ty cho mục đích cá nhân nhạy cảm. 

3.4. Làm việc từ xa (WFH, đi công tác) 

• Chỉ sử dụng Wi-Fi đáng tin cậy; hạn chế dùng Wi-Fi công cộng cho công việc nhạy cảm. 
• Luôn khóa màn hình khi rời chỗ, tránh để người khác nhìn thấy dữ liệu trên màn hình. 
• Nếu bắt buộc truy cập hệ thống nội bộ từ xa, sử dụng VPN hoặc giải pháp được công ty phê duyệt. 

3.5. Ứng dụng bên thứ ba & dịch vụ cloud 

• Chỉ được cài và dùng những ứng dụng phục vụ công việc, đã được bộ phận phụ trách IT chấp thuận (nếu có). 
• Không tự ý đưa dữ liệu khách hàng lên các dịch vụ cloud cá nhân (drive riêng, ghi chú cá nhân) mà công ty không kiểm soát. 

Chương 4 – Xử lý sự cố & chế tài vi phạm 

1. Quy trình xử lý sự cố (tóm tắt): 
2. Ngay khi phát hiện rủi ro (email lạ, mất thiết bị, nghi bị lộ dữ liệu…), nhân viên phải: 
3. Báo ngay cho quản lý trực tiếp và người phụ trách IT. 
4. Không tự ý xóa log, tự xử lý mà chưa có hướng dẫn. 
5. Công ty sẽ: 
6. Đánh giá mức độ ảnh hưởng. 
7. Thông báo cho khách hàng/đối tác/cơ quan chức năng (nếu cần). 
8. Chế tài 
9. Nhắc nhở, đào tạo lại đối với vi phạm nhẹ, do thiếu hiểu biết. 
10. Kỷ luật nội bộ (cảnh cáo, khiển trách, chấm dứt hợp đồng…) với hành vi cố ý hoặc vi phạm nghiêm trọng, gây hậu quả lớn. 

Chương 5 – Tổ chức thực hiện 

• Ban giám đốc 
• Chịu trách nhiệm cao nhất về bảo mật cho SME, phê duyệt và tài trợ cho các hoạt động bảo mật. 
• Người phụ trách an toàn thông tin (kiêm nhiệm cũng được) 
• Quản lý, cập nhật quy chế. 
• Phối hợp với các bộ phận để giải quyết sự cố. 
• Nhân sự (HR) 
• Đưa quy chế bảo mật thông tin công ty vào quy trình onboarding và offboarding. 
• Tất cả nhân viên 
• Ký cam kết tuân thủ. 
• Tham gia các buổi đào tạo, cập nhật định kỳ. 

5. Cách triển khai quy chế bảo mật trong thực tế (gợi ý nhanh) 

1. Bước 1: Dựa trên mẫu khung này, viết bản draft 8–15 trang, tập trung vào những tình huống công ty bạn hay gặp nhất. 
2. Bước 2: Tham khảo ý kiến 1–2 quản lý phòng ban để chỉnh lại cho phù hợp thực tế. 
3. Bước 3: Ban hành quy chế, yêu cầu tất cả nhân sự ký cam kết; lưu bản mềm tại nơi mọi người dễ truy cập. 
4. Bước 4: Tổ chức 1 buổi chia sẻ 60–90 phút, explain bằng ví dụ, tránh đọc văn bản. 
5. Bước 5: Mỗi 6–12 tháng, rà soát lại xem phần nào không còn phù hợp để cập nhật. 

Với doanh nghiệp dưới 100 người, một quy chế bảo mật thông tin nội bộ rõ ràng, dễ hiểu, áp dụng được sẽ giúp bạn: 

• Giảm thiểu rủi ro mất mát dữ liệu và tranh chấp. 
• Nâng cao kỷ luật vận hành, đặc biệt khi mở rộng team và làm việc từ xa. 
• Tạo nền tảng để sau này nếu muốn, bạn có thể tiến lên các bước cao hơn như tuân thủ Nghị định bảo vệ dữ liệu cá nhân hoặc triển khai ISO 27001.