ỦY
BAN NHÂN DÂN
TỈNH YÊN BÁI
--------
|
CỘNG
HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM
Độc lập - Tự do - Hạnh phúc
----------------
|
Số:
24/2012/QĐ-UBND
|
Yên
Bái, ngày 04 tháng 7 năm 2012
|
QUYẾT ĐỊNH
BAN HÀNH QUY ĐỊNH ĐẢM BẢO AN TOÀN, AN NINH THÔNG TIN TRONG
LĨNH VỰC ỨNG DỤNG CÔNG NGHỆ THÔNG TIN TRONG CÁC CƠ QUAN, ĐƠN VỊ QUẢN LÝ HÀNH
CHÍNH NHÀ NƯỚC TRÊN ĐỊA BÀN TỈNH YÊN BÁI
ỦY BAN NHÂN DÂN TỈNH YÊN BÁI
Căn cứ Luật Tổ chức Hội đồng nhân
dân và Ủy ban nhân dân ngày 26 tháng 11 năm 2003;
Căn cứ Luật Ban hành văn bản quy
phạm pháp luật của Hội đồng nhân dân, Ủy ban nhân dân ngày 03 tháng 12 năm
2004;
Căn cứ Luật Công nghệ thông
tin ngày 29 tháng 6 năm 2006;
Căn cứ Nghị định số 63/2007/NĐ-CP
ngày 10 tháng 4 năm 2007 của Chính phủ Quy định xử phạt vi phạm hành chính
trong lĩnh vực công nghệ thông tin;
Căn cứ Nghị định số 64/2007/NĐ-CP
ngày 10 tháng 4 năm 2007 của Chính phủ về việc ứng dụng công nghệ thông tin
trong hoạt động của cơ quan nhà nước;
Căn cứ Quyết định số 1605/QĐ-TTg
ngày 27 tháng 8 năm 2010 của Thủ tướng chính phủ phê duyệt chương trình quốc
gia về ứng dụng công nghệ thông tin trong hoạt động của cơ quan nhà nước giai
đoạn 2011-2015
Theo đề nghị của Giám đốc Sở Thông
tin và Truyền thông tại Tờ trình số 05/TTr-STTTT về việc Quyết định ban hành
Quy định đảm bảo an toàn, an ninh thông tin trong lĩnh vực ứng dụng công nghệ
thông tin trong các cơ quan, đơn vị quản lý hành chính nhà nước trên địa bàn
tỉnh Yên Bái,
QUYẾT ĐỊNH:
Điều 1.
Ban hành kèm theo Quyết định này Quy định đảm bảo an toàn, an ninh thông tin
trong lĩnh vực ứng dụng công nghệ thông tin trong các cơ quan, đơn vị quản lý
hành chính nhà nước trên địa bàn tỉnh Yên Bái.
Điều 2. Quyết
định này có hiệu lực thi hành sau 10 ngày, kể từ ngày ký ban hành.
Điều 3.
Chánh Văn phòng Ủy ban nhân dân tỉnh; Giám đốc Sở Thông tin và Truyền thông;
Thủ trưởng các sở, ngành; Chủ tịch Ủy ban nhân dân các huyện, thị xã, thành
phố; các cơ quan, tổ chức, cá nhân có liên quan trên địa bàn tỉnh chịu trách
nhiệm thi hành quyết định này./.
Nơi nhận:
- Chính phủ;
- Bộ Thông tin và Truyền thông;
- Cục Kiểm tra văn bản (Bộ Tư pháp);
- Đoàn Đại biểu Quốc hội tỉnh;
- Thường trực Tỉnh ủy;
- Thường trực Hội đồng nhân dân tỉnh;
- Chủ tịch, các PCT UBND tỉnh;
- Sở Tư pháp;
- Cổng TTĐT tỉnh;
- Phòng CNTT-CN;
- Như Điều 3;
- Lưu: VT, CN.
|
TM.
ỦY BAN NHÂN DÂN
KT. CHỦ TỊCH
PHÓ CHỦ TỊCH
Tạ Văn Long
|
QUY ĐỊNH
ĐẢM BẢO AN TOÀN, AN NINH THÔNG TIN TRONG LĨNH VỰC ỨNG DỤNG
CÔNG NGHỆ THÔNG TIN (CNTT) TRONG CÁC CƠ QUAN, ĐƠN VỊ QUẢN LÝ HÀNH CHÍNH NHÀ
NƯỚC TRÊN ĐỊA BÀN TỈNH YÊN BÁI
(Ban hành kèm theo Quyết định số 24/2012/QĐ-UBND ngày 04/7/2012 của Ủy
ban nhân dân tỉnh Yên Bái)
Chương I
NHỮNG QUY ĐỊNH CHUNG
Điều 1.
Phạm vi điều chỉnh
1. Quy định này quy định về đảm bảo
an toàn, an ninh thông tin trong lĩnh vực ứng dụng, phát triển công nghệ thông
tin trong hoạt động của các cơ quan, đơn vị nhà nước trên địa bàn tỉnh Yên Bái.
2. Đối với lực lượng vũ trang (Công
an, Quân sự) ngoài việc thực hiện theo quy định chung còn thực hiện theo quy
định riêng của ngành trong đảm bảo an ninh thông tin, bảo mật trên môi trường
mạng.
Điều 2.
Đối tượng áp dụng
1. Quy định này áp dụng đối với tất
cả các các sở, ngành trực thuộc Ủy Ban nhân dân tỉnh Yên Bái và Ủy ban nhân
dân các huyện, thị xã, thành phố (sau đây gọi chung là các cơ quan, đơn vị)
và các doanh nghiệp cung cấp dịch vụ hạ tầng mạng và dịch vụ internet.
2. Các cán bộ, công chức đang làm
việc trong cơ quan nêu tại khoản 1 Điều này và những cơ quan, đơn vị, cá nhân
có liên quan áp dụng Quy định này trong việc vận hành, khai thác và sử dụng hệ
thống thông tin tại các cơ quan, đơn vị.
Điều 3.
Mục đích đảm bảo an toàn, an ninh thông tin
1. Thực hiện nghiêm Pháp lệnh bảo
vệ bí mật nhà nước, giảm thiểu, phòng, chống các nguy cơ gây sự cố mất an toàn
thông tin và đảm bảo an ninh thông tin trong quá trình tham gia hoạt động trên
môi trường mạng.
2. Công tác đảm bảo an ninh thông
tin, bảo mật trên môi trường mạng là một trong những nhiệm vụ trọng tâm để đảm
bảo thành công trong việc ứng dụng công nghệ thông tin trong các cơ quan, đơn
vị.
Điều 4. Giải
thích từ ngữ
1. Hệ thống thông tin: là một tập
hợp và kết hợp các phần cứng, phần mềm, các hệ thống mạng truyền thông được xây
dựng và sử dụng để thu thập, tạo, tái tạo, phân phối và chia sẻ các dữ liệu, thông
tin, tri thức nhằm phục vụ cho các mục tiêu của tổ chức.
2. An toàn thông tin (ATTT): Bao
gồm các hoạt động quản lý, nghiệp vụ và kỹ thuật đối với hệ thống thông tin, nhằm
bảo vệ, khôi phục các hệ thống, các dịch vụ và nội dung thông tin đối với các
nguy cơ chủ quan hoặc khách quan. Việc bảo vệ thông tin, tài sản và con người
trong hệ thống thông tin nhằm bảo đảm cho các hệ thống thực hiện đúng chức
năng, phục vụ đúng đối tượng một cách sẵn sàng, chính xác và tin cậy. An toàn
thông tin bao hàm các nội dung bảo vệ và bảo mật thông tin, an toàn dữ liệu, an
toàn máy tính và an toàn mạng.
3. An ninh thông tin: là đảm bảo
thông tin được bảo mật, sẵn sàng và toàn vẹn.
4. TCVN ISO/IEC 27001:2009: Hệ thống
an ninh thông tin theo tiêu chuẩn quốc gia.
Chương II
NỘI DUNG ĐẢM BẢO AN
TOÀN, AN NINH THÔNG TIN
Điều 5. Quản
lý vận hành trong công tác đảm bảo an toàn, an ninh thông tin.
1. Các cơ quan, đơn vị phải trang
bị đầy đủ các kiến thức cơ bản về máy tính, mạng máy tính, bảo mật thông tin
cho cán bộ, công chức, viên chức trước khi truy nhập và sử dụng hệ thống thông
tin.
2. Các cơ quan đơn vị quản lý hành
chính nhà nước phải ban hành quy định nội bộ về đảm bảo an toàn, an ninh thông
tin, khi xây dựng quy định, quy trình phải tham khảo các tiêu chuẩn kỹ thuật
quản lý an toàn thông tin theo quy định hiện hành (Tiêu chuẩn quốc gia TCVN
ISO/IEC 27001:2009, ...) để có sự lựa chọn áp dụng phù hợp từng cơ quan, đơn vị
mình. Quy định phải xác định rõ các nội dung sau:
a) Mục tiêu và phương hướng thực
hiện công tác đảm bảo an toàn, an ninh cho hệ thống thông tin;
b) Nguyên tắc phân loại và quản lý
mức độ ưu tiên đối với các tài nguyên của hệ thống thông tin (phần mềm, dữ liệu,
trang thiết bị,…);
c) Quản lý phân quyền và quy định
trách nhiệm đối với từng cá nhân khi tham gia sử dụng hệ thống thông tin;
d) Quản lý và điều hành hệ thống
máy chủ, thiết bị mạng, thiết bị bảo vệ mạng một cách an toàn. Quản lý việc lưu
trữ, sao chép, truyền tải những tài liệu thuộc bí mật nhà nước, sử dụng hộp thư
điện tử, thiết bị tháo lắp (USB, thiết bị không dây, máy tính xách tay, …);
đ) Kiểm tra, rà soát và khắc phục
sự cố an toàn, an ninh của hệ thống thông tin sử dụng các biện pháp nêu trong
Điều 6 và Điều 8 của Quy định này;
e) Nguyên tắc chung sử dụng an toàn
và hiệu quả đối với tất cả các cá nhân tham gia sử dụng hệ thống thông tin;
f) Báo cáo tổng hợp tình hình đảm
bảo an toàn, an ninh thông tin và bảo mật hệ thống thông tin theo định kỳ;
g) Nơi tiếp nhận thông tin, xử lý
các sự cố hoặc nguy cơ mất an toàn, an ninh thông tin và bảo mật hệ thống thông
tin.
3. Phân công cán bộ chuyên trách
về an toàn hệ thống thông tin. Đảm bảo an ninh thông tin, bảo mật trước khi tiến
hành các hoạt động quản lý, vận hành hệ thống thông tin. Tạo điều kiện cho cán
bộ chuyên trách có điều kiện học tập, tiếp thu công nghệ, kiến thức an toàn bảo
mật thông tin.
4. Đối với cán bộ, công chức, viên
chức nghỉ chế độ, chuyển công tác, nghỉ hưu hoặc chấm dứt hợp đồng thì cán bộ
chuyên trách phải hủy bỏ quyền truy nhập vào hệ thống thông tin và thu hồi lại
các tài liệu, hồ sơ, thông tin liên quan tới tài khoản bị hủy bỏ nhằm tránh tình
trạng truy cập trái phép vào hệ thống.
Điều 6. Quản
lý kỹ thuật cho công tác đảm bảo an toàn, an ninh thông tin.
1. Các cơ quan, đơn vị phải tổ chức
quản lý các tài khoản của hệ thống thông tin bao gồm: tạo mới, kích hoạt, sửa
đổi, vô hiệu hóa và loại bỏ các tài khoản đồng thời tổ chức kiểm tra các tài
khoản của hệ thống thông tin ít nhất 02 lần/01 năm.
2. Hệ thống thông tin tại các cơ
quan, đơn vị phải ghi nhận các sự kiện sau: quá trình đăng nhập hệ thống, các thao
tác cấu hình hệ thống và quá trình truy xuất hệ thống. Đồng thời ghi nhận đầy
đủ các thông tin trong các bản ghi nhật ký để xác định những sự kiện nào đã xảy
ra, nguồn gốc và các kết quả của sự kiện để có cơ chế bảo vệ và lưu giữ nhật ký
trong một khoảng thời gian ít nhất là 3 tháng.
3. Đối với hệ thống thông tin quan
trọng như Cổng Thông tin điện tử, Hệ thống thư điện tử tỉnh Yên Bái nhất thiết
phải áp dụng chính sách ghi lưu tập trung biên bản hoạt động cần thiết để phục
vụ công tác điều tra khắc phục sự cố, thời gian lưu giữ thông tin ít nhất là 03
tháng.
4. Hệ thống thông tin phải có giải
pháp để hạn chế, ngăn chặn các sự cố gây ra do tấn công từ chối dịch vụ. Đối
với hệ thống thông tin cho phép truy nhập công cộng thì phải được bảo vệ bằng
cách trang bị thiết bị chuyên dụng hoặc sử dụng tổng hợp các biện pháp kỹ thuật
và thiết lập hệ thống dự phòng.
5. Tổ chức quản lý tài khoản, phân
quyền người sử dụng theo nhóm. Quy định về quyền hạn người sử dụng, giới hạn về
thời gian truy nhập vào hệ thống thông tin.
Chương III
TRÁCH NHIỆM ĐẢM BẢO AN
TOÀN, AN NINH THÔNG TIN
Điều 7.
Trách nhiệm của các cơ quan quản lý hành chính nhà nước.
1. Thủ trưởng các cơ quan, đơn vị
chịu trách nhiệm trước Ủy ban nhân dân tỉnh trong công tác đảm bảo an toàn hệ
thống thông tin của đơn vị mình, đồng thời thực hiện nghiêm túc Quy định này.
2. Khi có sự cố hoặc nguy cơ mất
an toàn thông tin, kịp thời áp dụng mọi biện pháp để khắc phục và hạn chế thấp nhất
mức thiệt hại có thể xảy ra, ưu tiên sử dụng lực lượng kỹ thuật an toàn thông
tin của đơn vị và lập biên bản báo cáo bằng văn bản cho cơ quan cấp trên quản
lý trực tiếp và Sở Thông tin và Truyền thông. Trường hợp có sự cố nghiêm trọng
vượt quá khả năng khắc phục của đơn vị, phải báo cáo ngay cho cơ quan cấp trên
quản lý trực tiếp và Sở Thông tin và Truyền thông để kịp thời khắc phục.
3. Có phương án dự phòng nhằm khắc
phục sự cố và đảm bảo hệ thống hoạt động liên tục; 100% các ứng dụng giao dịch
điện tử phải được đảm bảo về an toàn thông tin.
4. Tạo điều kiện thuận lợi cho các
cơ quan chức năng tham gia khắc phục sự cố và thực hiện đúng theo hướng dẫn.
5. Quan tâm phân bổ đầu tư cần thiết
để đảm bảo và tăng cường an toàn, an ninh thông tin trong hoạt động ứng dụng
công nghệ thông tin của đơn vị.
6. Báo cáo định kỳ tình hình an toàn,
an ninh thông tin tại các cơ quan, đơn vị, gửi về Sở Thông tin và Truyền thông
trước ngày 20 tháng 12 hàng năm để tổng hợp báo cáo Ủy ban nhân dân tỉnh.
Điều 8.
Trách nhiệm của cán bộ chuyên trách về công nghệ thông tin trong các cơ quan
đơn vị.
1. Cán bộ chuyên trách về công nghệ
thông tin (sau đây gọi tắt là cán bộ chuyên trách) chịu trách nhiệm tham mưu và
vận hành an toàn hệ thống thông tin của đơn vị, tổ chức theo dõi, kiểm soát tất
cả các phương pháp truy nhập từ xa (qua quay số, internet, mạng riêng ảo,…) tới
hệ thống thông tin bao gồm cả sự truy nhập có chức năng đặc quyền. Hệ thống
phải có quá trình kiểm tra, cho phép truy nhập từ xa và chỉ những người được
phân quyền mới có quyền nhập từ xa vào hệ thống. Đồng thời tổ chức triển khai
cơ chế tự động giám sát và điều khiển các truy nhập từ xa.
2. Phải thiết lập phương pháp quản
lý truy nhập mạng không dây; giám sát và điều khiển truy nhập không dây; tổ
chức sử dụng và mã hóa chứng thực để bảo vệ truy nhập không dây tới hệ thống
thông tin
3. Cập nhật cấu hình chuẩn cho các
thành phần của hệ thống khi tiến hành cài đặt, thiết lập cấu hình tối ưu cho
các thiết bị an toàn thông tin của hệ thống thông tin hoạt động đạt hiệu quả
nhất.
4. Thường xuyên sao lưu hệ thống
thông tin và lưu trữ thông tin ở nơi an toàn. Đồng thời tổ chức kiểm tra thông tin
sao lưu để đảm bảo tính sẵn sàng và toàn vẹn của thông tin.
5. Tổ chức triển khai các biện pháp
phòng, chống, lây nhiễm virus, mã độc, thư rác,… trong hệ thống thông tin. Cần
sử dụng thiết bị, phần mềm để phát hiện, ngăn chặn, tiêu diệt virus, mã độc hại,
thư rác,… được truyền tải bởi Internet, tập tin đính kèm từ thư điện tử, thiết
bị lưu trữ tháo lắp,… nhằm khai thác lỗ hổng của hệ thống thông tin. Đồng thời,
cập nhật thường xuyên các phần mềm diệt virus, mã độc, thư rác,… sao cho phù
hợp với quy trình quản lý cấu hình hệ thống thông tin.
6. Xây dựng cơ sở dữ liệu, thiết
lập hệ thống an toàn thông tin có khả năng ngăn chặn các truy nhập bất hợp pháp
và chỉ cho phép gửi/nhận các dữ liệu theo các địa chỉ hợp lệ.
7. Thường xuyên triển khai các biện
pháp phòng chống rủi ro có thể xảy ra do truy cập, sử dụng trái phép; làm mất,
thay đổi hoặc phá hủy hệ thống thông tin có liên quan tới hoạt động của đơn vị.
Trường hợp xảy ra rủi ro cần kịp thời tổng hợp, đánh giá và báo cáo mức độ
nghiêm trọng để có các biện pháp xử lý kịp thời.
Điều 9.
Trách nhiệm của cán bộ công chức trong các cơ quan, đơn vị.
1. Nghiêm chỉnh chấp hành các quy
định nội bộ, quy trình về an toàn thông tin của cơ quan, đơn vị cũng như các
quy định khác của pháp luật, nâng cao ý thức cảnh giác và trách nhiệm đảm bảo
an ninh thông tin tại đơn vị.
2. Khi phát hiện các nguy cơ mất
an toàn hoặc sự cố phải báo cáo ngay cho bộ phận chuyên trách của cơ quan, đơn vị
để kịp thời ngăn chặn, xử lý.
3. Tham gia các chương trình đào
tạo, hội nghị về an toàn, an ninh thông tin do cơ quan cấp trên và Sở Thông tin
và Truyền thông tổ chức.
Điều 10.
Trách nhiệm của Sở Thông tin và Truyền thông.
1. Tham mưu Ủy ban nhân dân tỉnh
về công tác đảm bảo an toàn, an ninh thông tin trên địa bàn tỉnh và chịu trách
nhiệm trước Ủy ban nhân dân tỉnh trong việc đảm bảo an toàn, an ninh thông tin
cho các hệ thống thông tin cấp tỉnh.
2. Chủ trì và phối hợp với các cơ
quan có liên quan thành lập đoàn kiểm tra công tác đảm bảo an toàn, an ninh thông
tin; xử phạt theo thẩm quyền đối với các hành vi vi phạm hành chính trong lĩnh
vực công nghệ thông tin trên địa bàn tỉnh theo quy định của pháp luật.
3. Xây dựng và triển khai các chương
trình đào tạo, hội nghị tuyên truyền an toàn, an ninh thông tin trong công tác
quản lý nhà nước trên địa bàn tỉnh.
4. Tùy theo mức độ sự cố, phối hợp
với Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam (VNCERT) và các đơn vị có liên
quan hướng dẫn xử lý, ứng cứu các sự cố thông tin.
5. Hướng dẫn các cơ quan, đơn vị
xây dựng quy định đảm bảo an toàn, an ninh thông tin; hướng dẫn nội dung báo cáo
định kỳ để các cơ quan, đơn vị thực hiện thống nhất.
6. Sở Thông tin và Truyền thông chủ
trì triển khai cơ chế điều phối và phối hợp giữa các đơn vị nhằm đảm bảo an
toàn an ninh thông tin trên Internet.
7. Phối hợp với các cơ quan báo chí
địa phương đẩy mạnh tuyên truyền nâng cao nhận thức về an toàn an ninh thông
tin trên mạng internet.
Điều 11.
Trách nhiệm của các doanh nghiệp cung cấp hạ tầng mạng và dịch vụ internet.
Các doanh nghiệp cung cấp hạ tầng
mạng viễn thông và dịch vụ internet phải thiết lập đầu mối liên lạc để phối hợp
và tuân thủ việc điều phối của cơ quan chức năng và tham gia vào công tác ứng
cứu, khắc phục sự cố cho hệ thống thông tin quan trọng của tỉnh.
Điều 12.
Trách nhiệm trong công tác kiểm tra đảm bảo an toàn, an ninh thông tin.
1. Sở Thông tin và Truyền thông chủ
trì, phối hợp với Công an tỉnh và các đơn vị có liên quan tiến hành kiểm tra
công tác đảm bảo an toàn, an ninh thông tin định kỳ hàng năm đối với các
cơ quan, đơn vị trên địa bàn tỉnh.
2. Công an tỉnh cử cán bộ phối hợp,
tham gia đoàn kiểm tra, đánh giá công tác đảm bảo an toàn, an ninh thông tin trong
các cơ quan, đơn vị; điều tra và xử lý các trường hợp vi phạm các quy định về
an toàn, an ninh thông tin theo thẩm quyền.
3. Các cơ quan liên quan được mời
tham gia đoàn kiểm tra: Cử cán bộ có chuyên môn về công nghệ thông tin tham gia
đoàn kiểm tra do Sở Thông tin và Truyền thông tổ chức; phối hợp với đoàn kiểm
tra xây dựng các tiêu chí và quy trình kỹ thuật kiểm tra công tác đảm bảo an
toàn, an ninh thông tin.
4. Các cơ quan nhà nước có thẩm quyền
tiến hành kiểm tra các cơ quan, đơn vị khi phát hiện có dấu hiệu vi phạm pháp
luật về an toàn, an ninh thông tin trong hệ thống thông tin theo đúng quy định
của pháp luật.
Chương IV
ĐIỀU KHOẢN THI HÀNH
Điều 13. Tổ
chức thực hiện
1. Sở thông tin và Truyền thông chủ
trì phối hợp với các sở, ngành, Ủy ban nhân dân các huyện, thị xã, thành phố và
các cơ quan, đơn vị có liên quan triển khai thực hiện Quy định này.
2. Trong quá trình thực hiện, nếu
có khó khăn vướng mắc, các cơ quan, đơn vị kịp thời báo cáo về Sở Thông tin và
Truyền thông để tổng hợp, trình Ủy ban nhân tỉnh xem xét, bổ sung, sửa đổi./.