|
ỦY BAN NHÂN
DÂN
THÀNH PHỐ CẦN THƠ
--------
|
CỘNG HÒA XÃ
HỘI CHỦ NGHĨA VIỆT NAM
Độc lập - Tự do - Hạnh phúc
---------------
|
|
Số:
2945/QĐ-UBND
|
Cần Thơ, ngày
09 tháng 10 năm 2015
|
QUYẾT ĐỊNH
VỀ VIỆC BAN HÀNH QUY CHẾ ĐẢM BẢO AN TOÀN THÔNG TIN TRONG HOẠT
ĐỘNG ỨNG DỤNG CÔNG NGHỆ THÔNG TIN CỦA CÁC CƠ QUAN NHÀ NƯỚC THUỘC ỦY BAN NHÂN
DÂN THÀNH PHỐ CẦN THƠ
ỦY BAN NHÂN DÂN THÀNH PHỐ CẦN THƠ
Căn cứ Luật Tổ chức Hội đồng nhân dân và Ủy
ban nhân dân ngày 26 tháng 11 năm 2003;
Căn cứ Luật Giao dịch điện tử ngày 29 tháng
11 năm 2005;
Căn cứ Luật Công nghệ thông tin ngày 29 tháng
6 năm 2006;
Căn cứ Nghị định số 63/2007/NĐ-CP ngày 10
tháng 4 năm 2007 của Chính phủ quy định xử phạt vi phạm hành chính trong lĩnh vực
công nghệ thông tin;
Căn cứ Nghị định số 64/2007/NĐ-CP ngày 10
tháng 4 năm 2007 của Chính phủ về Ứng dụng công nghệ thông tin trong hoạt động
của cơ quan Nhà nước;
Căn cứ Nghị định số 72/2013/NĐ-CP ngày 15
tháng 7 năm 2013 của Chính phủ về quản lý, cung cấp, sử dụng dịch vụ Internet
và thông tin trên mạng;
Căn cứ Chỉ thị số 897/CT-TTg ngày 10 tháng 6
năm 2011 của Thủ tướng Chính phủ về việc triển khai các hoạt động đảm bảo an
toàn thông tin số;
Căn cứ Thông tư số 22/2013/TT-BTTTT ngày 23
tháng 12 năm 2013 của Bộ Thông tin và Truyền thông về công bố danh mục tiêu chuẩn
kỹ thuật về ứng dụng công nghệ thông tin trong cơ quan nhà nước;
Căn cứ Thông tư số 25/2014/TT-BTTTT ngày 30
tháng 12 năm 2014 của Bộ Thông tin và Truyền thông về quy định về triển khai các
hệ thống thông tin có quy mô và phạm vi từ Trung ương đến địa phương;
Thực hiện Kế hoạch số 70-KH/TU ngày 28 tháng
4 năm 2014 của Thành ủy Cần Thơ về việc triển khai, quán triệt thực hiện Chỉ thị
số 28-CT/TW ngày 16 tháng 9 năm 2013 của Ban Bí thư Trung ương Đảng về tăng cường
công tác đảm bảo an toàn thông tin mạng;
Theo đề nghị của Giám đốc Sở Thông tin và
Truyền thông tại Tờ trình số 1370/TTr-STTTT ngày 02 tháng 10 năm 2015,
QUYẾT ĐỊNH:
Điều 1. Ban hành Quy chế đảm bảo an toàn thông tin trong hoạt động ứng
dụng công nghệ thông tin của các cơ quan nhà nước thuộc Ủy ban nhân dân thành
phố Cần Thơ.
Điều 2. Quyết định này có hiệu lực thi hành kể từ ngày ký và thay thế
Quyết định số 1312/QĐ-UBND ngày 25 tháng 5 năm 2012 của Ủy ban nhân dân thành
phố Cần Thơ về việc ban hành Quy chế đảm bảo an toàn, an ninh thông tin trong
hoạt động ứng dụng công nghệ thông tin của cơ quan quản lý nhà nước trên địa
bàn thành phố Cần Thơ.
Điều 3. Chánh Văn phòng Ủy ban nhân dân thành phố, Giám đốc Sở Thông
tin và Truyền thông, Giám đốc sở, Thủ trưởng cơ quan, ban, ngành thành phố, Chủ
tịch Ủy ban nhân dân quận, huyện, Chủ tịch Ủy ban nhân dân xã, phường, thị trấn
và các cơ quan, tổ chức, cá nhân có liên quan chịu trách nhiệm thi hành Quyết định
này./.
|
|
TM. ỦY BAN NHÂN DÂN
KT. CHỦ TỊCH
PHÓ CHỦ TỊCH
Lê Văn Tâm
|
QUY CHẾ
ĐẢM BẢO AN TOÀN THÔNG TIN TRONG HOẠT ĐỘNG ỨNG
DỤNG CÔNG NGHỆ THÔNG TIN CỦA CÁC CƠ QUAN NHÀ NƯỚC THUỘC ỦY BAN NHÂN DÂN THÀNH
PHỐ CẦN THƠ
(Ban hành kèm theo Quyết định số 2945/QĐ-UBND ngày 09 tháng 10
năm 2015 của Ủy ban nhân dân thành phố Cần Thơ)
Chương I
QUY ĐỊNH CHUNG
Điều 1. Phạm
vi điều chỉnh
Quy chế này quy định các nội dung
của công tác đảm bảo an toàn thông tin trong hoạt động ứng dụng công nghệ thông
tin của các cơ quan nhà nước thuộc thành phố Cần Thơ, bao gồm: công tác xây dựng
các quy định quản lý đảm bảo an toàn thông tin trên môi trường mạng; việc áp dụng
các biện pháp quản lý kỹ thuật, quản lý vận hành đảm bảo an toàn thông tin đối
với hệ thống thông tin.
Điều 2. Đối
tượng áp dụng
1. Quy chế này được áp dụng đối với
các cơ quan nhà nước thuộc Ủy ban nhân dân thành phố Cần Thơ.
2. Các tổ chức chính trị, chính trị
- xã hội của thành phố Cần Thơ.
3. Cán bộ, công chức, viên chức và
người lao động đang làm việc trong các cơ quan, đơn vị nêu tại Khoản 1 và 2 Điều
này.
Điều 3. Giải
thích từ ngữ
Trong Quy chế này, các từ ngữ dưới
đây được hiểu như sau:
1. Cơ quan nhà nước: là các
sở, ban, ngành (bao gồm các đơn vị trực thuộc), đơn vị sự nghiệp thuộc Ủy ban
nhân dân thành phố, Ủy ban nhân dân quận, huyện và Ủy ban nhân dân xã, phường,
thị trấn; các tổ chức chính trị, chính trị - xã hội thuộc thành phố Cần Thơ.
2. An toàn thông tin: bao gồm
các hoạt động quản lý, nghiệp vụ và kỹ thuật đối với hệ thống thông tin nhằm bảo
vệ, khôi phục các hệ thống, các dịch vụ và nội dung thông tin đối với nguy cơ tự
nhiên hoặc do con người gây ra. Việc bảo vệ thông tin, tài sản và con người
trong hệ thống thông tin nhằm bảo đảm cho các hệ thống thực hiện đúng chức
năng, phục vụ đúng đối tượng một cách sẵn sàng, chính xác và tin cậy. An toàn
thông tin bao hàm các nội dung bảo vệ và bảo mật thông tin, an toàn dữ liệu, an
toàn máy tính và an toàn mạng.
3. Hệ thống thông tin: là một
hệ thống bao gồm con người, dữ liệu, các quy trình và công nghệ thông tin tương
tác với nhau để thu thập, xử lý, lưu trữ và cung cấp thông tin cần thiết ở đầu
ra nhằm hỗ trợ cho một hệ thống.
4. Tính toàn vẹn: bảo vệ
tính chính xác và tính đầy đủ của thông tin và các phương pháp xử lý thông tin.
5. Tính tin cậy: đảm bảo
thông tin chỉ có thể được truy cập bởi những người được cấp quyền sử dụng.
6. Tính sẵn sàng: đảm bảo
những người được cấp quyền có thể truy cập thông tin và các tài nguyên (mạng,
máy chủ, tên miền, tài khoản thư điện tử…) ngay khi có nhu cầu.
7. Logfile: là một tập tin
ghi lại (các) sự kiện xảy ra trong hệ điều hành hoặc các phần mềm trong quá
trình hoạt động.
8. Máy chủ ảo: là dạng máy
chủ được tạo ra bằng phương pháp phân chia một máy chủ vật lý thành nhiều máy
chủ khác nhau bằng công nghệ ảo hóa, máy chủ ảo chạy dưới dạng chia sẻ tài
nguyên từ máy chủ vật lý ban đầu.
9. Mạng nội bộ: là mạng máy
tính trong phạm vi trụ sở của một cơ quan nhà nước.
10. Mạng riêng ảo (VPN -
Virtual Private Network): là một mạng máy tính dành riêng để kết nối các
máy tính của các cơ quan nhà nước với nhau thông qua mạng Internet.
11. Thiết bị di động: các
thiết bị di động cá nhân có kết nối vào mạng nội bộ của cơ quan nhà nước như
máy tính xách tay, máy tính bảng, điện thoại di động, các thiết bị di động
khác.
12. Người
dùng: cán bộ, công chức, viên chức
và người lao động của các cơ quan nhà
nước sử dụng máy tính, các thiết bị điện tử để xử lý công việc. Các tổ chức, cá
nhân có liên quan tham gia, sử dụng các dịch vụ của Trung tâm Dữ liệu thành phố.
Chương II
QUY ĐỊNH ĐẢM BẢO
AN TOÀN THÔNG TIN
Điều 4. Đảm bảo
an toàn máy chủ, máy trạm, các thiết bị di động và cơ chế sao lưu, phục hồi
1. Kiểm soát chặt chẽ việc
cài đặt các phần mềm mới lên máy chủ, máy trạm và các thiết bị di động. Các phần
mềm được cài đặt trên máy chủ, máy trạm và các thiết bị di động (bao gồm hệ điều
hành, các phần mềm ứng dụng văn phòng, phần mềm phục vụ công việc, tiện ích
khác) phải được thường xuyên theo dõi, cập nhật bản vá
lỗi bảo mật của nhà phát triển, lựa chọn cài đặt các phần mềm chống, diệt
virus, mã độc và thường xuyên cập nhật phiên bản mới, đặt lịch quét virus theo
định kỳ ít nhất hàng tuần.
2. Cơ quan nhà nước phải quy định
cụ thể về quản lý, vận hành sử dụng máy chủ, quản lý chặt chẽ logfile để ghi nhận
thông tin quá trình đăng nhập hệ thống, các thay đổi, cấu hình hệ thống, theo
dõi các dịch vụ, sự kiện trong quá trình vận hành máy chủ. Chỉ cài đặt các phần
mềm cần thiết, không được cài đặt các phần mềm bẻ khóa, tắt các dịch vụ, các
port (cổng) không sử dụng; chia sẻ tài nguyên trên máy chủ phải được phân quyền
khoa học, rõ ràng.
3. Đối với cơ quan nhà nước sử dụng
máy chủ ảo tại Trung tâm Dữ liệu thành phố thực hiện theo Quyết định số
12/2015/QĐ-UBND ngày 10 tháng 3 năm 2015 của Ủy ban nhân dân thành phố Cần Thơ
về ban hành Quy chế quản lý, vận hành và khai thác Trung tâm Dữ liệu thành phố
Cần Thơ.
4. Cơ chế sao lưu, phục hồi máy chủ,
máy trạm:
Cơ quan nhà nước phải quy định cơ
chế sao lưu định kỳ ít nhất 01 tháng/01 lần các logfile, cơ sở dữ liệu và các dữ
liệu quan trọng được triển khai, lưu trữ (bao gồm dữ liệu phát sinh trong quá
trình vận hành các phần mềm ứng dụng như: các tập tin văn bản, hình ảnh,..).
Sau khi sao lưu, lưu trữ bản sao lưu bằng thiết bị lưu trữ ngoài (như: đĩa
quang, ổ cứng ngoài,…) theo quy định lưu trữ hiện hành nhằm phục vụ cho việc phục
hồi, khắc phục hệ thống kịp thời khi có sự cố xảy ra.
Điều 5. Đảm bảo
an toàn hệ thống mạng máy tính, kết nối Internet
1. Quản lý hệ thống mạng nội bộ: Mạng
nội bộ của các cơ quan nhà nước phải được tổ chức theo mô hình Clients/Server;
mạng nội bộ khi kết nối với mạng Internet phải thông qua thiết bị tường lửa kiểm
soát (tường lửa phải được cập nhật dữ liệu hàng năm), có phân chia hệ thống mạng
nội bộ thành các vùng mạng theo phạm vi truy cập, vô hiệu
hóa tất cả các dịch vụ không sử dụng
tại từng vùng mạng, thực hiện nguyên
tắc chỉ mở các dịch vụ cần thiết khi có yêu cầu.
2. Quản lý hệ
thống mạng không dây (wifi): Khi thiết
lập mạng không dây có kết nối vào mạng nội bộ phải thiết lập các thông số cần
thiết như định danh, mật mã, mã hóa dữ liệu, có thay đổi mật mã định kỳ ít nhất
03 tháng/01 lần.
3. Quản lý
truy cập từ xa vào mạng nội bộ: Đối với việc truy cập từ xa vào mạng nội bộ phải
được theo dõi, quản lý chặt chẽ, nhất là truy cập có sử dụng chức năng quản trị,
phải thiết lập mật mã độ an toàn cao, nhắc nhở khuyến cáo thường xuyên thay đổi
mật mã, tăng cường sử dụng mạng riêng ảo, hạn chế truy cập từ xa vào mạng nội bộ
từ các điểm truy cập Internet công cộng.
4. Đối với
các cơ quan nhà nước có sử dụng đường truyền Internet ngoài đường truyền số liệu
chuyên dùng trong hệ thống các cơ quan Đảng, Nhà nước, phải thông báo về Sở Thông tin và Truyền thông để được hướng dẫn đấu nối,
thiết lập các thông số của các thiết bị định tuyến, cấu hình địa chỉ IP cho hệ
thống mạng nội bộ, các máy chủ, máy trạm trong cơ quan thống nhất với toàn hệ
thống.
Điều 6. Đảm bảo
an toàn truy cập, đăng nhập hệ thống thông tin
1. Cơ quan nhà nước quy định cụ thể
trách nhiệm, quyền hạn người dùng khi truy cập, đăng nhập các hệ thống thông
tin, đảm bảo mỗi người dùng khi sử dụng hệ thống thông tin phải được cấp và sử
dụng tài khoản truy cập với định danh duy nhất gắn với người dùng đó. Trường hợp
sử dụng tài khoản dùng chung cho một nhóm người hay một đơn vị, bộ phận phải có
cơ chế xác định các cá nhân có trách nhiệm quản lý tài khoản. Người dùng chỉ được
truy cập các thông tin phù hợp với chức năng, trách nhiệm, quyền hạn của mình
và có trách nhiệm bảo mật tài khoản truy cập được cấp.
2. Các hệ thống thông tin cần giới
hạn số lần đăng nhập sai liên tiếp vào hệ thống (từ 03 đến 05 lần). Hệ thống tự
động khóa tài khoản trong một khoảng thời gian nhất định trước khi tiếp tục cho
đăng nhập nếu liên tục đăng nhập sai vượt quá số lần quy định.
3. Tất cả máy chủ, máy trạm phải
được thiết lập mật mã truy cập và chế độ tự động bảo vệ màn hình sau 10 phút
không sử dụng.
4. Mật mã đăng nhập, truy cập hệ
thống thông tin phải có độ phức tạp cao (có độ dài tối thiểu 8 ký tự, có ký tự
thường, ký tự hoa, ký tự số hoặc ký tự đặc biệt như !, @, #, $, %,...) và phải
được thay đổi ít nhất 03 tháng/01lần.
5. Cơ quan nhà nước rà soát tối
thiểu 03 tháng/01lần các tài khoản đăng nhập, đảm bảo các
tài khoản và quyền truy cập hệ thống được cấp phát đúng, đủ. Khi người dùng
thay đổi vị trí công tác, chuyển công tác, thôi việc hoặc nghỉ hưu thì cơ quan
nhà nước phải kịp thời thu hồi tài khoản đã cấp hoặc thông báo cho Sở Thông tin
và Truyền thông thu hồi tài khoản được cấp (đối với các hệ thống do Sở Thông
tin và Truyền thông quản lý tập trung tại Trung tâm Dữ liệu thành phố).
Điều 7. Đảm bảo
an toàn các phần mềm ứng dụng
1. Việc đảm bảo an toàn các phần mềm
ứng dụng (bao gồm: cơ sở dữ liệu) phải được đưa vào tất cả
các giai đoạn đầu tư (hoặc thuê dịch vụ) của phần mềm ứng dụng như thiết kế,
xây dựng, vận hành, nâng cấp, hủy bỏ.
2. Đối với giai đoạn thiết kế, xây
dựng, nâng cấp, hủy bỏ (hoặc chuẩn bị thuê dịch vụ): áp dụng các biện pháp quản
lý và kỹ thuật đảm bảo các quy trình, kết quả xử lý của phần mềm phải trung thực
(kết quả xử lý không bị can thiệp trái phép), kiểm soát lỗ hỏng bảo mật trong
quá trình thiết kế, xây dựng phần mềm, kiểm soát phân quyền người dùng đăng nhập
và kiểm soát các rủi ro mất an toàn thông tin khác có thể phát sinh, thực hiện
nghiêm túc việc kiểm tra thử phần mềm trước khi đưa vào
khai thác sử dụng.
3. Đối với giai đoạn vận hành: Kiểm tra, giám sát việc tuân thủ các quy định về an toàn thông tin, đảm
bảo cập nhật các lỗ hỏng bảo mật, áp dụng cơ chế sao lưu dự phòng, đảm bảo an
toàn truy cập, đăng nhập hệ thống.
Điều 8. Đảm bảo
an toàn thông tin, dữ liệu
1. Thông tin, dữ liệu khi được lưu trữ, khai
thác, trao đổi phải được đảm bảo tính toàn vẹn, tính tin cậy, tính sẵn sàng.
Thông tin, dữ liệu quan trọng khi được lưu trữ, trao đổi phải áp dụng kỹ thuật
mã hóa, thiết lập mật mã, ứng dụng chữ ký số và phải có cơ chế lưu trữ dự
phòng.
2. Trong trao đổi thông tin, dữ liệu phục vụ
công việc, cơ quan nhà nước, cán bộ công chức viên chức phải sử dụng hệ thống
thông tin do cơ quan nhà nước có thẩm quyền triển khai như: hệ thống thư điện tử
thành phố (@cantho.gov.vn), phần mềm quản lý văn bản và điều hành, hệ thống
thông tin họp và giao tiếp trực tuyến - chat nội bộ). Hạn chế việc sử dụng các
phương tiện trao đổi thông tin dữ liệu, hệ thống thư điện tử, lưu trữ điện tử
công cộng, mạng xã hội trên Internet trong hoạt động của cơ quan nhà nước.
Điều 9. Xây dựng
quy chế nội bộ đảm bảo an toàn thông tin
1. Các cơ quan nhà nước phải xây dựng
và ban hành quy chế an toàn thông tin, triển khai quy chế cho tất cả cán bộ,
công chức, viên chức và người lao động thuộc cơ quan.
2. Quy chế đảm bảo an toàn thông
tin bao gồm các quy định cơ bản như sau:
a) Quản lý và đảm bảo an toàn máy
chủ, máy trạm, các thiết bị di động và cơ chế sao lưu, phục hồi;
b) Quản lý và đảm bảo an toàn hệ
thống mạng máy tính, kết nối internet;
c) Quản lý và đảm bảo an toàn truy
cập, đăng nhập hệ thống thông tin;
d) Quản lý và đảm bảo an toàn các
phần mềm ứng dụng;
đ) Quản lý và đảm bảo an toàn
thông tin, dữ liệu;
e) Xây dựng quy trình ứng cứu nội
bộ về an toàn thông tin căn cứ quy trình phối hợp ứng cứu tại Điều 10 của Quy
chế này.
Điều 10. Quy
trình phối hợp ứng cứu sự cố về an toàn thông tin
Cơ quan nhà nước khi phát hiện hệ
thống có nguy cơ mất an toàn như: hệ thống hoạt động chậm bất thường, không
truy cập được hệ thống, nội dung thông tin bị thay đổi không chủ động hoặc các
dấu hiệu bất thường khácthì tiến hành quy trình ứng cứu sự cố theo các bước
sau:
1. Bước 1: Nếu hệ thống có nguy cơ
mất an toàn thông tin thuộc thẩm quyền cơ quan nhà nước trực tiếp quản lý thì
thực hiện tiếp Bước 2. Nếu hệ thống có nguy cơ mất an toàn thông tin thuộc Sở
Thông tin và Truyền thông quản lý (các hệ thống được triển khai tập trung tại
Trung tâm Dữ liệu thành phố) thì thực hiện tiếp Bước 3;
2. Bước 2: Tiến hành xử lý sự cố
theo quy chế nội bộ của cơ quan nhà nước. Nếu sự cố được khắc phục thì lập biên
bản ghi nhận và kết thúc quy trình phối hợp xử lý sự cố. Khi sự cố vượt quá khả
năng xử lý của cơ quan, lập biên bản ghi nhận và thực hiện tiếp Bước 3;
3. Bước
3: Báo sự cố đến Sở Thông tin và Truyền thông theo mẫu thông báo sự cố tại Phụ lục 2 Quy chế này
và thực hiện tiếp Bước 4;
4. Bước 4: Phối hợp với Sở Thông tin và Truyền thông và các cơ quan,tổ chức
có liên quan để tiến hành khắc phục sự cố và thực hiện tiếp Bước 5;
5. Bước 5: Lập biên bản ghi nhận
và kết thúc quy trình phối hợp xử lý sự cố.
Chương III
TRÁCH NHIỆM ĐẢM
BẢO AN TOÀN THÔNG TIN
Điều 11.
Trách nhiệm của các cơ quan nhà nước
1. Thủ trưởng các cơ quan
nhà nước tổ chức thực hiện nghiêm túc các quy định tại Quy chế này và chịu
trách nhiệm trước Ủy ban nhân dân thành phố trong công tác đảm bảo an toàn
thông tin của đơn vị mình.
2. Ban hành quy chế, quy trình nội
bộ về đảm bảo an toàn thông tin phù hợp với Quy chế này và các quy định của
pháp luật.
3. Đưa nội dung thực hiện đảm bảo
an toàn thông tin vào kế hoạch ứng dụng công nghệ thông tin hàng năm của đơn vị.
4. Tuyên truyền, phổ biến Quy chế
này và các quy định khác của pháp luật có liên quan về an toàn thông tin trong
phạm vi trách nhiệm và quyền hạn.
5. Phân công một bộ phận hoặc cán
bộ phụ trách đảm bảo an toàn thông tin của đơn vị; tạo điều kiện để các cán bộ
phụ trách an toàn thông tin được học tập, nâng cao trình độ về an toàn thông
tin, đồng thời tạo điều kiện để cán bộ, công chức, viên chức và người lao động
tham gia tập huấn kiến thức về an toàn thông tin.
6. Thực hiện tốt việc phối hợp ứng
cứu sự cố an toàn khi có nguy cơ mất an toàn thông tin, tạo điều kiện thuận lợi
cho các cơ quan chức năng, tổ chức tham gia khắc phục sự cố và thực hiện đúng
theo hướng dẫn.
7. Phối hợp với đoàn kiểm tra
trong công tác thanh tra, kiểm tra việc thực hiện đảm bảo an toàn thông tin.
8. Nghiêm túc thực hiện các biện
pháp quản lý, các yêu cầu cam kết về đảm bảo an toàn thông tin đối với các tổ
chức, cá nhân khi tham gia vào các hệ thống thông tin do đơn vị mình quản lý.
9. Báo cáo tình hình, kết quả thực
hiện công tác đảm bảo an toàn thông tin tại cơ quan nhà nước và gửi về Sở Thông
tin và Truyền thông định kỳ mỗi năm 02 lần vào trước ngày 15 tháng 6 và ngày 15
tháng 12 hàng năm theo biểu mẫu tại Phụ lục 1 Quy chế này, làm cơ sở để Sở Thông tin và Truyền thông tổng hợp, báo
cáo Ủy ban nhân dân thành phố và Bộ Thông tin và Truyền thông.
Điều 12. Trách nhiệm của cán bộ, công chức, viên chức và
người lao động trong các cơ quan nhà nước
1. Trách nhiệm của cán bộ phụ
trách an toàn thông tin tại các cơ quan nhà nước:
a) Tham mưu lãnh đạo ban hành các
quy định, biện pháp nhằm đảm bảo an toàn thông tin, tham mưu chuyên môn và vận
hành an toàn hệ thống thông tin của đơn vị theo nhiệm vụ được Thủ trưởng đơn vị
phân công và theo các nội dung của Quy chế này.
b) Thực hiện giám sát, theo dõi việc
tuân thủ thực hiện quy định về an toàn thông tin, kịp thời phát hiện các nguy
cơ mất an toàn thông tin để báo cáo, tham mưu lãnh đạo chỉ đạo thực hiện.
c) Phối hợp với các cơ quan, tổ chức,
cá nhân liên quan trong việc kiểm tra, khắc phục sự cố mất an toàn thông tin.
d) Tham gia các chương trình đào tạo,
tập huấn chuyên môn, hội nghị về an toàn thông tin nhằm nâng cao nhận thức,
năng lực chuyên môn, nghiệp vụ.
2. Trách nhiệm của cán bộ, công chức,
viên chức và người lao động trong các cơ quan nhà nước:
a) Thực hiện
nghiêm các quy chế nội bộ, quy trình về an toàn thông tin cũng như các quy định
khác của pháp luật, nâng cao ý thức cảnh giác, trách nhiệm đảm bảo an toàn
thông tin tại đơn vị.
b) Khi phát hiện sự cố phải báo
cáo ngay với cấp trên và bộ phận hoặc cán bộ phụ trách an toàn thông tin để kịp
thời ngăn chặn, xử lý.
c) Tham gia các chương trình đào tạo,
tập huấn, hội nghị về an toàn thông tin nhằm nâng cao
nhận thức và nắm thông tin.
d) Nghiêm cấm mọi hành vi cố ý lan
truyền, phát tán virus lên mạng, phát tán thư rác, sử dụng các phần mềm bất hợp
pháp để truy xuất, phá hoại hệ thống; cấm truyền bá văn hóa phẩm đồi trụy, nội
dung không phù hợp với văn hóa Việt Nam, nội dung có ý xuyên tạc, chống đối nhà
nước Cộng hòa xã hội chủ nghĩa Việt Nam.
đ) Không được đánh cắp và sử dụng
trái phép mật mã, thông tin riêng của các đơn vị, người dùng hoặc phổ biến cho
người khác sử dụng trên hệ thống mạng của thành phố.
e) Nghiêm cấm mọi hành vi khác
theo Điều 5 của Nghị định số 72/2013/NĐ-CP ngày 15 tháng 7 năm 2013 của Chính
phủ về việc quản lý, cung cấp, sử dụng dịch vụ Internet và thông tin trên mạng.
Điều 13.
Trách nhiệm của Sở Thông tin và Truyền thông
1. Tham mưu Ủy ban nhân dân thành
phố về công tác đảm bảo an toàn thông tin trên địa bàn thành phố và chịu trách
nhiệm trước Ủy ban nhân dân thành phố trong việc đảm bảo an toàn thông tin cho
các hệ thống thông tin được Ủy ban nhân dân thành phố giao quản lý.
2. Hàng năm, tham mưu xây dựng kế
hoạch ứng dụng và phát triển công nghệ thông tin trong cơ quan nhà nước thành
phố Cần Thơ, trong đó lồng ghép nội dung đảm bảo an toàn thông tin các hệ thống
thông tin được Ủy ban nhân dân thành phố giao quản lý.
3. Xây dựng và triển khai các
chương trình đào tạo, các hoạt động tuyên truyền đảm bảo an toàn thông tin
trong cơ quan nhà nước trên địa bàn thành phố.
4. Thực hiện việc tiếp nhận và xử
lý các sự cố về an toàn thông tin trên địa bàn thành phố. Tùy theo mức độ sự cố,
phối hợp với Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam (VNCERT) và các cơ
quan nhà nước, tổ chức có liên quan hướng dẫn xử lý, ứng cứu các sự cố mất an
toàn thông tin.
5. Hướng dẫn các cơ quan, đơn vị
trong việc thực hiện quy chế nội bộ về an toàn thông tin, kiểm tra, giám sát việc
tuân thủ quy định, thực hiện công tác đảm bảo an toàn thông tin tại các cơ
quan, đơn vị.
6. Phối hợp với Công an thành phố
và các cơ quan nhà nước có liên quan thành lập Đoàn kiểm tra an toàn thông tin,
tổ chức kiểm tra theo định kỳ hoặc kiểm tra đột xuất, kịp thời phát hiện và xử
lý theo quy định pháp luật đối với các cơ quan, tổ chức, cá nhân có dấu hiệu,
hành vi vi phạm an toàn thông tin.
7. Tổng hợp, báo cáo Ủy ban nhân
dân thành phố theo định kỳ 06 tháng/01 lần về công tác đảm bảo an toàn thông
tin của thành phố và các vấn đề về an toàn thông tin quan trọng phát sinh.
8. Đưa tiêu chí an toàn thông tin
vào các tiêu chí đánh giá xếp hạng ứng dụng công nghệ thông tin trong cơ quan
nhà nước trên địa bàn thành phố.
9. Trung tâm Công nghệ thông tin
và Truyền thông trực thuộc Sở Thông tin và Truyền thông là đơn vị trực tiếp vận
hành kỹ thuật Trung tâm Dữ liệu thành phố, phải chịu trách nhiệm ban hành Quy
chế nội bộ và thực hiện tốt công tác đảm bảo an toàn thông tin cho các máy chủ,
các hệ thống thông tin tại Trung tâm Dữ liệu thành phố theo các nội dung của
Quy chế này, các tiêu chuẩn quốc gia và tham khảo các tiêu chuẩn quốc tế về an
toàn thông tin.
Điều 14. Trách nhiệm của Công an thành phố
1. Chủ
trì, phối hợp với Sở Thông tin và Truyền thông và các cơ quan nhà nước có liên
quan chịu trách nhiệm kiểm soát, phòng ngừa, đấu tranh, ngăn chặn các loại tội
phạm lợi dụng hệ thống thông tin gây hại đến an toàn, an ninh thông tin trong
cơ quan nhà nước; phối hợp với các cơ quan chức năng trong công tác kiểm tra,
đánh giá nhằm đảm bảo an toàn, an ninh thông tin trong các cơ quan nhà nước.
2. Tăng cường công tác tuyên truyền,
phổ biến pháp luật về xử lý tội phạm trong việc đảm bảo an toàn, an ninh thông
tin.
3. Điều tra và xử lý các trường hợp
vi phạm pháp luật về an toàn, an ninh thông tin theo thẩm quyền.
4. Thực hiện nhiệm vụ bảo vệ an
toàn các công trình quan trọng về an ninh quốc gia trên lĩnh vực công nghệ
thông tin.
Chương IV
THANH TRA, KIỂM
TRA, KHEN THƯỞNG VÀ XỬ LÝ VI PHẠM AN TOÀN, AN NINH THÔNG TIN
Điều 15.
Thanh tra, kiểm tra
Sở Thông tin và Truyền thông chủ
trì, phối hợp với Công an thành phố và các cơ quan nhà nước có liên quan tiến
hành thanh tra, kiểm tra công tác đảm bảo an toàn thông tin định kỳ hoặc đột xuất
đối với các cơ quan nhà nước trên địa bàn thành phố.
Điều 16. Khen
thưởng, xử lý vi phạm
1. Hàng năm, Sở Thông tin và Truyền
thông trên cơ sở công tác thanh tra, kiểm tra và báo cáo công tác an toàn thông
tin của các cơ quan nhà nước để tổng hợp, báo cáo và đề xuất Ủy ban nhân dân
thành phố xem xét khen thưởng các cá nhân, đơn vị theo quy định hiện hành.
2. Tổ chức, cá nhân có hành vi vi phạm
Quy chế này, tùy theo tính chất, mức độ vi phạm bị xử lý kỷ luật theo quy định
hiện hành.
Chương V
TỔ CHỨC THỰC HIỆN
Điều 17. Điều
khoản thi hành
1. Giám đốc sở, Thủ trưởng cơ
quan, ban, ngành thành phố, Chủ tịch Ủy ban nhân dân quận, huyện và các đơn vị
có liên quan chịu trách nhiệm tổ chức triển khai thực hiện Quy chế này.
2. Sở Kế hoạch và Đầu tư, Sở Tài
chính phối hợp Sở Thông tin và Truyền thông ưu tiên bố trí kinh phí thực hiện
các nhiệm vụ đảm bảo an toàn thông tin của thành phố.
3. Trong quá
trình thực hiện, nếu có những vấn đề cần sửa đổi, bổ sung, đề nghị các cơ quan
nhà nước gửi về Sở Thông tin và Truyền thông để tổng hợp, báo cáo Ủy ban nhân
dân thành phố xem xét, quyết định./.
PHỤ LỤC I
MẪU BÁO CÁO ĐỊNH
KỲ VỀ AN TOÀN THÔNG TIN
(Ban hành kèm theo Quyết định số 2945/QĐ-UBND ngày 09 tháng 10
năm 2015 của Ủy ban nhân dân thành phố Cần Thơ)
|
Tên
Cơ quan/Đơn vị:…….
…………………………..
--------
|
CỘNG HÒA XÃ
HỘI CHỦ NGHĨA VIỆT NAM
Độc lập - Tự do - Hạnh phúc
---------------
|
|
Số: …….
|
Cần Thơ, ngày tháng năm 20…..
|
BÁO CÁO ĐỊNH KỲ
VỀ AN TOÀN THÔNG TIN
Kính gửi: Sở
Thông tin và Truyền thông
I. Tình hình an toàn thông tin tại cơ
quan/đơn vị:
1. Ban hành Quy chế an toàn thông tin tại cơ
quan/đơn vị: □ Có □
Không
Nếu có: (ghi rõ số Quyết định và ngày ban
hành) ……………………………………
2. Tổng số máy tính của cơ quan/đơn vị, trong
đó: …. máy chủ; ….. máy trạm
3. Cơ quan/đơn vị có kết nối mạng cục bộ (LAN):
□ Có
□ Không
Nếu có, mạng LAN được thiết kế theo mô hình:
□ Client/Server có đăng nhập Domain □
ngang hàng (Peer to Peer)
4. Cơ quan/đơn vị tự trang bị đường truyền kết nối
Internet: □ Có □ Không
Nếu có: ghi rõ tên nhà cung cấp dịch vụ đường
truyền Internet: ……………………
Số máy tính kết nối mạng Internet: ………...máy,
trong đó:
Số máy tính không kết nối mạng internet để soạn
thảo các văn bản mật:……….. máy.
5. Đơn vị có đầu tư thiết bị, giải pháp đảm bảo
an toàn thông tin:
- Thiết bị tường lửa (Firewall):
□
Có □ Không
Nếu có: (ghi cụ thể tên, số hiệu, tường lửa là
thiết bị phần cứng, hay phần mềm)…….
- Phần mềm diệt virus: □ Có
□ Không
Nếu có, tổng số máy tính có cài phần mềm diệt
vius có bản quyền………… máy, trong đó: …. máy chủ, ….. máy trạm.
- Giải pháp khác (ghi cụ thể):………………………………..…………..……………
6. Chi phí đầu tư cho an toàn thông tin trong thời
gian qua (kỳ báo cáo):……………
7. Dự kiến Chi phí đầu tư cho an toàn thông tin
trong thời gian tới:…………………
8. Cơ quan/đơn vị có hệ thống thư điện tử riêng
(ngoài hệ thống thư điện tử chung của thành phố @cantho.gov.vn): □ Có
□ Không
Nếu có (ghi cụ thể):…………………………………………….
9. Cơ quan/đơn vị sử dụng hòm thư công cộng,
công nghệ lưu trữ điện toán đám mây công cộng (ví dụ: Gmail, Yahoo Mail, Google
Drive, One Drive, ….) để lưu trữ, trao đổi tài liệu quan trọng của cơ quan/đơn
vị: □ Có
□ Không
Cơ quan/đơn vị có nhu cầu sử dụng công nghệ lưu
trữ điện toán đám mây dùng riêng tại Trung tâm Dữ liệu thành phố: □ Có
□
Không
10. Cơ quan/đơn vị có lắp đặt
và sử dụng mạng không dây (wifi): □ Có
□ Không
Nếu có:
+ Người quản trị có đổi lại mật khẩu quản trị mặc
định của Access Point/Router ADSL: □ Có □ Không
+ Đặt mật khẩu wifi để truy cập: □ Có
□ Không
+ Đặt địa chỉ MAC cho các thiết bị di động (chỉ
dành riêng cho người dùng nội bộ của đơn vị): □ Có
□ Không
+ Phân chia vùng cho người dùng thuộc cơ
quan/đơn vị hay người dùng công cộng: □ Có
□ Không
11. Thống kê sự cố về an toàn thông tin (trong kỳ
báo cáo)
|
Loại sự cố
|
Tổng số lượng
|
Số sự cố tự xử lý
|
Số sự cố đề nghị Sở Thông
tin và Truyền thông hỗ trợ xử lý
|
Số sự cố có sự hỗ trợ xử lý từ
các tổ chức khác (bao gồm tổ chức trong và ngoài nước)
|
Thiệt hại ước tính (VNĐ)
|
|
Tấn công từ chối dịch vụ (Dos, Ddos)
|
|
|
|
|
|
|
Mã độc (Spyware/Adware)
|
|
|
|
|
|
|
Thay đổi giao diện website
|
|
|
|
|
|
|
Lừa đảo (Phishing)
|
|
|
|
|
|
|
Virus
|
|
|
|
|
|
|
Khác:……………………..
|
|
|
|
|
|
II. Nhân lực về an toàn thông tin
1. Cơ quan/đơn vị có phân công lãnh đạo phụ
trách về an toàn thông tin:
□ Có
□ Không
2. Cơ quan/đơn vị có phân công bộ phận/cán bộ phụ
trách về an toàn thông tin:
□ Có
□ Không
Nếu có (ghi rõ họ tên, email, điện thoại liên hệ):……………………………………..
3. Hiện trạng cán bộ, công chức, viên chức được
đào tạo về an toàn thông tin:
+ Cán bộ cán bộ lãnh đạo, quản lý (từ cấp lãnh đạo
phòng, ban trở lên), số lượng: ………….. người
+ Cán bộ chuyên trách an toàn thông tin, số
lượng: ………….. người
+ Cán bộ, công chức, viên chức khác (người
dùng), số lượng: ………….. người
4. Nhu cầu đào tạo nhân lực về an toàn thông
tin:
+ Dành cho cán bộ lãnh đạo, quản lý (từ cấp lãnh
đạo phòng, ban trở lên), số lượng dự kiến: ………….. người
+ Dành cho cán bộ chuyên trách an toàn thông
tin, số lượng dự kiến: ……….. người
+ Dành cho người cán bộ, công chức, viên chức
(người dùng), số lượng dự kiến: ………….. người
III. Ý kiến phản hồi, đề xuất, kiến nghị:
……………………………………………………………………………..…….......
……………………………………………………………………………..…….......
……………………………………………………………………………..…….......
|
Người lập
báo cáo
(Ký, ghi rõ
họ tên)
|
Thủ trưởng
Cơ quan/Đơn vị
(Ký, ghi rõ
họ tên, đóng dấu)
|
PHỤ LỤC II
MẪU THÔNG BÁO
SỰ CỐ AN TOÀN THÔNG TIN
(Ban hành kèm theo Quyết định số 2945/QĐ-UBND ngày 09
tháng 10 năm 2015 của Ủy ban nhân dân thành phố Cần Thơ)
|
Tên
Cơ quan/Đơn vị:…….
…………………………..
--------
|
CỘNG HÒA XÃ
HỘI CHỦ NGHĨA VIỆT NAM
Độc lập - Tự do - Hạnh phúc
---------------
|
|
Số: …….
|
Cần Thơ, ngày tháng năm 20…..
|
Kính gửi: Sở
Thông tin và Truyền thông
1. Thông tin về sự cố
▪ Mô tả sơ bộ về sự cố:
▪ Cách thức phát hiện (Đánh dấu những cách thức
được sử dụng để phát hiện sự cố)
□ Qua hệ thống phát hiện xâm nhập (IDS )
□ Kiểm tra Log File
□ Quản trị hệ thống
□ Khác:
▪ Thời gian xảy ra sự cố : …/… /……/…/…
(ngày/tháng/năm/giờ/phút)
▪ Thời gian thực hiện báo cáo sự cố: …/… /……/…/…
(ngày/tháng/năm/giờ/phút)
▪ Người liên hệ (Họ tên, địa chỉ email, số điện
thoại):
2. Thông tin về hệ thống xảy ra sự cố
▪ Hệ điều
hành:...................................................................
version:
▪ Các dịch vụ có trên hệ thống (Đánh dấu những
dịch vụ được sử dụng trên hệ thống)
□ Web
server
□ Mail server
□ Database server
□ FTP server
□ Proxy server
□
Application server
□ Dịch vụ khác:
▪ Các địa chỉ IP của hệ thống:
▪ Các tên miền của hệ thống:
▪ Mục đích chính sử dụng hệ thống:
|
Người lập
(Ký, ghi rõ
họ tên)
|
Thủ trưởng
Cơ quan/Đơn vị
(Ký, ghi rõ
họ tên, đóng dấu)
|