|
BỘ KHOA HỌC VÀ
CÔNG NGHỆ
-------
|
CỘNG HÒA XÃ HỘI
CHỦ NGHĨA VIỆT NAM
Độc lập - Tự do - Hạnh phúc
---------------
|
|
Số: 1760/QĐ-BKHCN
|
Hà Nội, ngày 09
tháng 09 năm 2022
|
QUYẾT ĐỊNH
BAN HÀNH QUY CHẾ BẢO ĐẢM AN TOÀN THÔNG TIN MẠNG VÀ AN NINH MẠNG
BỘ TRƯỞNG BỘ KHOA HỌC VÀ CÔNG NGHỆ
Căn cứ Luật An toàn thông tin mạng ngày 19 tháng 11 năm
2015;
Căn cứ Luật An ninh mạng ngày 12 tháng 06 năm 2018;
Căn cứ Nghị định số 85/2016/NĐ-CP ngày 01 tháng 7 năm 2016 của Chính
phủ về bảo đảm an toàn hệ thống thông tin theo cấp độ; Thông tư số 03/2017/TT-BTTTT ngày 24 tháng 4 năm 2017 của Bộ
Thông tin và Truyền thông quy định chi tiết và hướng dẫn một số điều của Nghị định
số 85/2016/NĐ- CP ngày 01 tháng 7 năm 2016
của Chính phủ về bảo đảm an toàn hệ thống thông tin theo cấp độ;
Căn cứ Nghị định số 142/2016/NĐ-CP ngày 01 tháng 7 năm 2016 của
Chính phủ về ngăn chặn xung đột thông tin trên mạng;
Căn cứ Nghị định số 95/2017/NĐ-CP ngày 16 tháng 8 năm 2017 của Chính
phủ Quy định chức năng, nhiệm vụ, quyền hạn và cơ cấu tổ chức của Bộ Khoa học
và Công nghệ;
Căn cứ Quyết định số 05/2017/QĐ-TTg ngày 16 tháng 3 năm 2017 của Thủ
tướng Chính phủ ban hành Quy định về hệ thống phương án ứng cứu khẩn cấp bảo đảm
an toàn thông tin mạng quốc gia;
Căn cứ Quyết định số 1622/QĐ-TTg ngày 25 tháng 10 năm 2017 của Thủ tướng
Chính phủ về việc phê duyệt Đề án đẩy mạnh hoạt động của mạng lưới ứng cứu sự cố,
tăng cường năng lực cho cán bộ, bộ phận chuyên trách ứng cứu sự cố an toàn
thông tin mạng trên toàn quốc đến 2020, định hướng đến 2025;
Căn cứ Thông tư số 20/2017/TT-BTTTT ngày 12 tháng 9 năm 2017 của Bộ
Thông tin và Truyền thông quy định về điều phối, ứng cứu sự cố an toàn thông
tin mạng trên toàn quốc;
Căn cứ Thông tư số 31/2017/TT-BTTTT ngày 15 tháng 11 năm 2017 của Bộ
Thông tin và Truyền thông quy định hoạt động giám sát an toàn hệ thống thông
tin.
Theo đề nghị của Giám đốc
Trung tâm Công nghệ thông tin.
QUYẾT ĐỊNH:
Điều 1.
Ban hành kèm theo Quyết định này Quy chế bảo đảm an toàn
thông tin mạng và an ninh mạng.
Điều 2.
Quyết định này có hiệu lực thi hành kể từ ngày ký và thay
thế cho Quyết định số 4043/QĐ-BKHCN ngày 28 tháng 12 năm 2018.
Điều 3.
Giám đốc Trung tâm Công nghệ thông tin, Thủ trưởng các
đơn vị trực thuộc Bộ Khoa học và Công nghệ và tổ chức, cá nhân có liên quan chịu
trách nhiệm thi hành Quyết định này./.
|
Nơi nhận:
- Như Điều 3;
- Bộ trưởng, các Thứ trưởng;
- Cổng thông tin điện tử Bộ;
- Lưu: VT, TTCNTT.
|
KT.BỘ TRƯỞNG
THỨ TRƯỞNG
Bùi Thế Duy
|
QUY CHẾ
BẢO ĐẢM AN TOÀN THÔNG TIN MẠNG VÀ AN NINH MẠNG
(Ban hành kèm theo Quyết định số 1760/QĐ-BKHCN ngày 09 tháng 09 năm 2022 của
Bộ trưởng Bộ Khoa học và Công nghệ)
Chương I
QUY ĐỊNH CHUNG
Điều 1.
Phạm vi điều chỉnh và đối tượng áp dụng
1. Phạm vi điều chỉnh: Quy chế
này quy định về bảo đảm an toàn thông tin mạng và an ninh mạng trong các hoạt động
chuyển đổi số, ứng dụng công nghệ thông tin, vận hành, khai thác hệ thống, hạ tầng
thông tin, phần mềm, dữ liệu thuộc phạm vi quản lý của Bộ Khoa học và Công nghệ
và các đơn vị trực thuộc Bộ.
2. Đối tượng áp dụng:
a) Các đơn vị trực thuộc Bộ
Khoa học và Công nghệ (sau đây gọi là đơn vị) và cán bộ, công chức, viên chức
và người lao động trong đơn vị (sau đây gọi là cá nhân);
b) Cơ quan, tổ chức, cá nhân có
kết nối vào hệ thống mạng của Bộ Khoa học và Công nghệ;
c) Cơ quan, tổ chức, cá nhân
cung cấp dịch vụ công nghệ thông tin và an toàn thông tin mạng cho các đơn vị
trực thuộc Bộ.
Điều 2.
Giải thích từ ngữ
Trong Quy chế này, các từ ngữ
dưới đây được hiểu như sau:
1. An toàn thông tin mạng là
sự bảo vệ thông tin số và các hệ thống thông tin trên mạng tránh bị truy nhập,
sử dụng, tiết lộ, gián đoạn, sửa đổi hoặc phá hoại trái phép nhằm bảo đảm tính
nguyên vẹn, tính bảo mật và tính khả dụng của thông tin.
2. An ninh mạng là việc
bảo đảm thông tin trên mạng không gây phương hại đến an ninh quốc gia, trật tự
an toàn xã hội, bí mật nhà nước, quyền và lợi ích hợp pháp của tổ chức, cá
nhân.
3. Hạ tầng kỹ thuật là tập
hợp các thiết bị tính toán, lưu trữ, thiết bị ngoại vi, thiết bị kết nối mạng,
thiết bị phụ trợ, đường truyền, mạng nội bộ, mạng diện rộng.
4. Trang thông tin điện tử
là trang thông tin hoặc tập hợp trang thông tin trên môi trường mạng phục vụ
cho việc cung cấp, trao đổi thông tin.
5. Cổng thông tin điện tử
là điểm truy nhập duy nhất của cơ quan, đơn vị trên môi trường mạng, liên kết,
tích hợp các kênh thông tin, các dịch vụ và các ứng dụng mà qua đó người dùng
có thể khai thác, sử dụng và cá nhân hóa việc hiển thị thông tin.
6. Mã độc là đoạn mã hoặc
phần mềm có khả năng gây ra hoạt động không bình thường cho một phần hay toàn bộ
hệ thống thông tin hoặc thực hiện sao chép, sửa đổi, xóa bỏ trái phép thông tin
lưu trữ trong hệ thống thông tin.
7. Mạng LAN là hệ thống
mạng nội bộ bao gồm mạng dây và mạng không dây.
8. Dữ liệu nhạy cảm là dữ
liệu có thông tin mật, thông tin lưu hành nội bộ của đơn vị hoặc do đơn vị quản
lý, nếu lộ lọt ra ngoài sẽ gây ảnh hưởng xấu đến danh tiếng, tài chính và hoạt
động của đơn vị.
Điều 3.
Nguyên tắc chung bảo đảm an toàn thông tin mạng và an ninh mạng
1. Bảo đảm an toàn thông tin mạng
và an ninh mạng được thực hiện xuyên suốt, toàn bộ quá trình trong khâu mua sắm,
nâng cấp, vận hành, bảo trì và ngừng sử dụng hạ tầng, hệ thống thông tin, phần
mềm, dữ liệu.
2. Trách nhiệm bảo đảm an toàn
thông tin mạng và an ninh mạng gắn với trách nhiệm của người đứng đầu cơ quan,
đơn vị và cá nhân trực tiếp liên quan.
3. Trường hợp có văn bản, quy định
cập nhật, thay thế hoặc quy định khác tại văn bản quy phạm pháp luật, quyết định
của cấp có thẩm quyền cao hơn thì áp dụng quy định tại văn bản đó.
4. Thông tin thuộc Danh mục bí
mật nhà nước được bảo vệ theo quy định của pháp luật về bảo vệ bí mật nhà nước.
5. Xử lý sự cố an toàn thông
tin phải phù hợp với trách nhiệm, quyền hạn và bảo đảm lợi ích hợp pháp của cơ
quan, đơn vị, cá nhân liên quan và theo quy định của pháp luật.
Điều 4. Các
hành vi bị nghiêm cấm
1. Các hành vi bị nghiêm cấm
quy định tại Điều 7 Luật An toàn thông tin mạng và Điều 8 Luật An ninh mạng.
2. Tự ý đấu nối thiết bị mạng,
thiết bị cấp phát địa chỉ mạng, thiết bị phát sóng như điểm truy cập mạng không
dây của cá nhân vào mạng nội bộ mà không có sự hướng dẫn hoặc đồng ý của đơn vị
quản lý hệ thống thông tin; trên cùng một thiết bị thực hiện đồng thời truy cập
vào mạng nội bộ và truy cập Internet bằng thiết bị kết nối Internet của cá nhân
(modem quay số, USB 3G/4G, điện thoại di động, máy tính bảng, máy tính xách
tay).
3. Tự ý thay đổi, gỡ bỏ biện
pháp an toàn thông tin cài đặt trên thiết bị công nghệ thông tin phục vụ công
việc; tự ý thay thế, lắp mới, tráo đổi thành phần của máy tính phục vụ công việc.
4. Cố ý tạo ra, cài đặt, phát
tán mã độc gây ảnh hưởng đến hoạt động bình thường của hệ thống thông tin.
5. Cản trở hoạt động cung cấp dịch
vụ của hệ thống thông tin; ngăn chặn việc truy nhập đến thông tin của cơ quan,
cá nhân khác trên môi trường mạng, trừ trường hợp pháp luật cho phép.
6. Bẻ khóa, trộm cắp, sử dụng mật
khẩu, khóa mật mã và thông tin của cơ quan, cá nhân khác trên môi trường mạng.
7. Các hành vi khác làm mất an
toàn, bí mật thông tin của cơ quan, cá nhân khác được trao đổi, truyền đưa, lưu
trữ trên môi trường mạng.
Chương II
BẢO ĐẢM AN TOÀN THÔNG
TIN MẠNG
Điều 5. Quản
lý trang thiết bị công nghệ thông tin
1. Cá nhân hoặc tập thể có
trách nhiệm bảo đảm an toàn thông tin mạng trong quản lý, sử dụng thiết bị công
nghệ thông tin được giao.
2. Trang thiết bị công nghệ
thông tin có lưu trữ dữ liệu nhạy cảm khi thay đổi mục đích sử dụng hoặc thanh
lý, đơn vị phải thực hiện các biện pháp xóa, tiêu hủy dữ liệu đó đảm bảo không
có khả năng phục hồi. Trường hợp không thể tiêu hủy được dữ liệu, đơn vị phải
thực hiện tiêu hủy cấu phần lưu trữ dữ liệu trên trang thiết bị công nghệ thông
tin đó.
3. Trang thiết bị công nghệ
thông tin có bộ phận lưu trữ dữ liệu hoặc thiết bị lưu trữ dữ liệu khi mang đi
bảo hành, bảo dưỡng, sửa chữa bên ngoài hoặc ngừng sử dụng phải tháo bộ phận
lưu trữ khỏi thiết bị hoặc xóa thông tin, dữ liệu lưu trữ trên thiết bị (trừ
trường hợp để khôi phục dữ liệu).
4. Các đơn vị trực thuộc Bộ có
trách nhiệm bảo dưỡng, bảo trì và hướng dẫn cách sử dụng, quản lý, vận hành hệ
thống hạ tầng kỹ thuật của mình; chỉ định bộ phận chuyên trách về công nghệ
thông tin thực hiện quản lý, vận hành và định kỳ kiểm tra, sửa chữa, bảo trì
thiết bị (bao gồm thiết bị đang hoạt động và thiết bị dự phòng).
Điều 6.
Bảo đảm an toàn thông tin trong việc quản lý cán bộ, công chức, viên chức và
người lao động
1. Các đơn vị trực thuộc Bộ phải
xây dựng các yêu cầu, trách nhiệm bảo đảm an toàn, an ninh thông tin đối với từng
vị trí công việc. Sau khi tuyển dụng, tiếp nhận nhân sự mới, đơn vị phải có
trách nhiệm phổ biến cho nhân sự mới các quy định về bảo đảm an toàn, an ninh
thông tin tại đơn vị; đối với các vị trí tiếp xúc, quản lý các thông tin, dữ liệu
quan trọng hoặc quản trị các hệ thống thông tin quan trọng, đơn vị phải yêu cầu
nhân sự mới cam kết bảo mật thông tin bằng văn bản hoặc cam kết trong hợp đồng
làm việc, hợp đồng lao động.
2. Các đơn vị trực thuộc Bộ phải
thường xuyên tổ chức quán triệt các quy định về an toàn, an ninh thông tin, nhằm
nâng cao nhận thức về trách nhiệm bảo đảm an toàn thông tin của từng cá nhân
trong đơn vị.
3. Các đơn vị trực thuộc Bộ phải
xây dựng quy trình cấp mới, quản lý và thu hồi tài khoản, phân quyền truy cập
các hệ thống thông tin và tất cả các tài sản liên quan đến hệ thống thông tin đối
với các cá nhân do đơn vị quản lý.
4. Khi cán bộ, công chức, viên
chức và người lao động chấm dứt hoặc thay đổi công việc, cơ quan, đơn vị phải:
a) Xác định rõ trách nhiệm của
cán bộ, nhân viên và các bên liên quan trong quản lý, sử dụng các tài sản công
nghệ thông tin được giao;
b) Lập biên bản bàn giao tài sản
công nghệ thông tin;
c) Thay đổi hoặc thu hồi quyền
truy cập các hệ thống thông tin.
Điều 7. Bảo
đảm an toàn hệ thống công nghệ thông tin
1. Bảo đảm an toàn thông tin đối
với trung tâm dữ liệu/phòng máy chủ:
a) Các thiết bị kết nối mạng,
thiết bị bảo mật quan trọng như tường lửa (firewall), thiết bị định tuyến
(router), hệ thống máy chủ, hệ thống lưu trữ SAN, NAS, ... phải được đặt trong
trung tâm dữ liệu/phòng máy chủ và phải được thiết lập cơ chế bảo vệ, theo dõi
phát hiện xâm nhập và biện pháp kiểm soát truy nhập, kết nối vật lý phù hợp với
từng khu vực: máy chủ và hệ thống lưu trữ; tủ mạng và đầu nối; thiết bị nguồn
điện và dự phòng điện khẩn cấp; vận hành, kiểm soát, quản trị hệ thống. Đơn vị
vận hành trung tâm dữ liệu/phòng máy chủ có trách nhiệm xây dựng nội quy hoặc
hướng dẫn làm việc khu vực này;
b) Trung tâm dữ liệu/phòng máy
chủ là khu vực hạn chế tiếp cận chỉ những cá nhân có quyền, nhiệm vụ được giao
theo quy định mới được phép vào trung tâm dữ liệu/phòng máy chủ. Việc vào, ra
phòng máy chủ phải được kiểm soát bằng thiết bị bảo vệ (quẹt thẻ, vân tay, sinh
trắc học,…);
c) Trung tâm dữ liệu/phòng máy
chủ phải được trang bị hệ thống lưu điện đủ công suất và duy trì thời gian hoạt
động của các máy chủ ít nhất 15 phút khi có sự cố mất điện;
d) Trung tâm dữ liệu/phòng máy
chủ phải có hệ thống làm mát điều hòa không khí, độ ẩm để đảm bảo môi trường vận
hành; hệ thống cảnh báo cháy, hệ thống chữa cháy tự động bằng khí, thiết bị
phòng cháy, chữa cháy khẩn cấp; hệ thống cảnh báo hệ thống nguồn điện; hệ thống
chống sét lan truyền. Các hệ thống này phải được thiết lập chế độ cảnh báo phù
hợp. Đơn vị phải cử cán bộ thường xuyên giám sát thiết bị, hạ tầng của trung
tâm dữ liệu/phòng máy chủ.
2. Bảo đảm an toàn thông tin khi
sử dụng máy tính:
a) Cá nhân chỉ cài đặt phần mềm
hợp lệ và thuộc danh mục phần mềm được phép sử dụng do cơ quan có thẩm quyền
ban hành trên máy tính được đơn vị cấp cho mình; không được tự ý cài đặt hoặc gỡ
bỏ các phần mềm khi chưa có sự đồng ý của bộ phận chuyên trách về công nghệ
thông tin; thường xuyên cập nhật phần mềm và hệ điều hành;
b) Cài đặt phần mềm phòng, chống
mã độc có bản quyền và thiết lập chế độ tự động cập nhật cơ sở dữ liệu cho phần
mềm; khi phát hiện bất kỳ dấu hiệu nào liên quan đến việc bị nhiễm phần mềm độc
hại trên máy tính phải tắt máy và báo trực tiếp cho bộ phận chuyên trách về
công nghệ thông tin để được xử lý kịp thời;
c) Chỉ truy nhập vào các trang/cổng
thông tin điện tử, ứng dụng trực tuyến tin cậy và các thông tin phù hợp với chức
năng, trách nhiệm, quyền hạn của mình; có trách nhiệm bảo mật tài khoản truy nhập
thông tin, không chia sẻ mật khẩu, thông tin cá nhân với người khác.
3. Bảo đảm an toàn thông tin đối
với hệ thống mạng máy tính:
a) Hệ thống mạng nội bộ (LAN)
phải được thiết kế phân vùng theo chức năng cơ bản (theo các chính sách an toàn
thông tin riêng), bao gồm: vùng mạng người dùng; vùng mạng kết nối hệ thống ra
bên ngoài Internet và các mạng khác; vùng mạng máy chủ công cộng; vùng mạng máy
chủ nội bộ; vùng mạng máy chủ quản trị. Dữ liệu trao đổi giữa các vùng mạng phải
được quản lý, giám sát bởi hệ thống các thiết bị mạng, thiết bị bảo mật;
b) Đơn vị trực thuộc Bộ tham
gia kết nối, sử dụng hệ thống mạng diện rộng (WAN) của Bộ Khoa học và Công nghệ
có trách nhiệm bảo đảm an toàn thông tin đối với hệ thống mạng nội bộ và các
thiết bị của mình khi thực hiện kết nối vào mạng diện rộng; Thông báo sự cố hoặc
các hành vi phá hoại, xâm nhập về Trung tâm Công nghệ thông tin để xử lý; Định
kỳ sao lưu thông tin, dữ liệu dùng chung lưu trữ trên mạng diện rộng; Không được
tiết lộ phương thức (tên đăng ký, mật khẩu, tiện ích, tệp hỗ trợ và các cách thức
khác) để truy nhập vào hệ thống mạng diện rộng cho tổ chức, cá nhân khác; Không
được tìm cách truy nhập dưới bất cứ hình thức nào vào các khu vực không được
phép truy nhập;
c) Các đơn vị trực thuộc Bộ phải
áp dụng các biện pháp kỹ thuật cần thiết bảo đảm an toàn thông tin trong hoạt động
kết nối Internet, tối thiểu đáp ứng các yêu cầu sau: có hệ thống tường lửa và hệ
thống bảo vệ truy nhập Internet, đáp ứng nhu cầu kết nối đồng thời, hỗ trợ các
công nghệ mạng riêng ảo thông dụng và có phần cứng mã hóa tích hợp để tăng tốc
độ mã hóa dữ liệu và có khả năng bảo vệ hệ thống trước các loại tấn công từ chối
dịch vụ (DDoS); Lọc bỏ, không cho phép truy nhập các trang tin có nghi ngờ chứa
mã độc hoặc các nội dung không phù hợp;
d) Các đường truyền dữ liệu, đường
truyền Internet và các hệ thống dây dẫn các mạng LAN, WAN phải được lắp đặt
trong ống, máng che đậy kín, hạn chế khả năng tiếp cận trái phép. Ngắt kết nối
cổng Ethernet không sử dụng, đặc biệt là ở khu vực làm việc chung của các cơ
quan, đơn vị.
4. Quản lý tài khoản truy cập:
a) Cá nhân sử dụng hệ thống
thông tin được cấp và sử dụng tài khoản truy nhập với định danh duy nhất gắn với
cá nhân đó;
b) Trường hợp cá nhân thay đổi
vị trí công tác, chuyển công tác, thôi việc hoặc nghỉ hưu, trong vòng không quá
05 ngày làm việc sau khi có quyết định của cấp có thẩm quyền thì cơ quan, đơn vị
quản lý cá nhân đó phải thông báo cho cơ quan, đơn vị vận hành hệ thống thông
tin bằng văn bản có xác nhận của thủ trưởng đơn vị để điều chỉnh, thu hồi, hủy
bỏ các quyền sử dụng đối với hệ thống thông tin;
c) Tài khoản quản trị hệ thống
(mạng, hệ điều hành, thiết bị kết nối mạng, phần mềm, ứng dụng, cơ sở dữ liệu)
phải tách biệt với tài khoản truy nhập của người sử dụng thông thường. Tài khoản
hệ thống phải được giao đích danh cá nhân làm công tác quản trị. Hạn chế dùng
chung tài khoản quản trị;
d) Khi có yêu cầu khóa quyền
truy cập hệ thống thông tin của tài khoản đang hoạt động, lãnh đạo đơn vị phải
yêu cầu bằng văn bản gửi đơn vị chủ quản hệ thống thông tin hoặc đơn vị được
giao vận hành trực tiếp hệ thống thông tin để xem xét, thực hiện. Đơn vị vận
hành hệ thống thông tin có quyền khóa quyền truy cập của tài khoản trong trường
hợp tài khoản đó thực hiện các hành vi tấn công hoặc để xảy ra vấn đề mất an
toàn, an ninh thông tin;
đ) Việc quản lý tài khoản thư
điện tử của Bộ Khoa học và Công nghệ theo quy định của Bộ Khoa học và Công nghệ
về công tác quản lý và sử dụng hệ thống công nghệ thông tin. Công tác phòng chống
thư rác theo quy định tại Nghị định số 91/2020/NĐ-CP
ngày 14/8/2020 và hướng dẫn tại Thông tư số 22/2021/TT-BTTTT
ngày 13/12/2021.
5. Bảo đảm an toàn thông tin mức
ứng dụng:
a) Yêu cầu về bảo đảm an toàn
thông tin phải được đưa vào tất cả các công đoạn thiết kế, xây dựng, triển khai
và vận hành, sử dụng phần mềm, ứng dụng;
b) Phần mềm, ứng dụng phải đáp ứng
các yêu cầu sau: cấu hình phần mềm, ứng dụng để xác thực người sử dụng; giới hạn
số lần đăng nhập sai liên tiếp; giới hạn thời gian để chờ đóng phiên kết nối;
mã hóa thông tin xác thực trên hệ thống; không khuyến khích việc đăng nhập tự động;
c) Thiết lập, phân quyền truy
nhập, quản trị, sử dụng tài nguyên khác nhau của phần mềm, ứng dụng với người sử
dụng/nhóm người sử dụng có chức năng, yêu cầu nghiệp vụ khác nhau; tách biệt cổng
giao tiếp quản trị phần mềm ứng dụng với cổng giao tiếp cung cấp dịch vụ; đóng
các cổng giao tiếp không sử dụng;
d) Chỉ cho phép sử dụng các
giao thức mạng có hỗ trợ chức năng mã hóa thông tin như SSH, SSL, VPN hoặc
tương đương khi truy nhập, quản trị phần mềm, ứng dụng từ xa trên môi trường mạng;
hạn chế truy cập đến mã nguồn của phần mềm, ứng dụng và phải đặt mã nguồn trong
môi trường an toàn do bộ phận chuyên trách công nghệ thông tin quản lý;
đ) Ghi và lưu giữ bản ghi nhật
ký hệ thống của phần mềm, ứng dụng trong khoảng thời gian tối thiểu 03
tháng với những thông tin cơ bản: thời gian, địa chỉ, tài khoản (nếu có), nội
dung truy nhập và sử dụng phần mềm, ứng dụng; các lỗi phát sinh trong quá trình
hoạt động; thông tin đăng nhập khi quản trị;
e) Phần mềm, ứng dụng cần được
kiểm tra phát hiện và khắc phục các điểm yếu về an toàn, an ninh thông tin trước
khi đưa vào sử dụng và trong quá trình sử dụng;
g) Thực hiện quy trình kiểm
soát cài đặt, cập nhật, vá lỗi bảo mật phần mềm, ứng dụng trên các máy chủ, máy
tính cá nhân, thiết bị kết nối mạng đang hoạt động thuộc hệ thống mạng nội bộ.
6. Bảo đảm an toàn thông tin mức
dữ liệu:
a) Đơn vị phải thực hiện bảo vệ
thông tin, dữ liệu liên quan đến hoạt động công vụ, thông tin có nội dung quan
trọng, nhạy cảm hoặc không phải là thông tin công khai bằng các biện pháp như:
thiết lập phương án bảo đảm tính bí mật, nguyên vẹn và khả dụng của thông tin,
dữ liệu; mã hóa thông tin, dữ liệu khi lưu trữ trên hệ thống/thiết bị lưu trữ dữ
liệu di động; sử dụng chữ ký số để xác thực và bảo mật thông tin, dữ liệu;
b) Đơn vị cần triển khai hệ thống/phương
tiện lưu trữ độc lập với hệ thống lưu trữ trên các máy chủ dịch vụ để sao lưu dự
phòng; phân loại và quản lý thông tin, dữ liệu được lưu trữ theo từng loại/nhóm
thông tin được gán nhãn khác nhau; thực hiện sao lưu dự phòng các thông tin, dữ
liệu cơ bản sau: tập tin cấu hình hệ thống, ảnh hệ điều hành máy chủ, cơ sở dữ
liệu; dữ liệu, thông tin nghiệp vụ;
c) Đơn vị cần bố trí máy tính
riêng không kết nối mạng, đặt mật khẩu, mã hóa dữ liệu và các biện pháp bảo mật
khác bảo đảm an toàn thông tin để soạn thảo, lưu trữ dữ liệu, thông tin và tài
liệu quan trọng ở các mức độ mật, tuyệt mật, tối mật;
d) Các đơn vị trực thuộc Bộ phải
thường xuyên kiểm tra, giám sát các hoạt động chia sẻ, gửi, nhận thông tin, dữ
liệu trong hoạt động nội bộ của mình; khuyến cáo việc chia sẻ, gửi, nhận thông
tin trên môi trường mạng cần phải sử dụng mật khẩu để bảo vệ thông tin;
đ) Đối với hoạt động trao đổi
thông tin, dữ liệu với bên ngoài, đơn vị và cá nhân thực hiện trao đổi thông
tin, dữ liệu ra bên ngoài cam kết và có biện pháp bảo mật thông tin, dữ liệu được
trao đổi. Giao dịch trực tuyến phải được truyền đầy đủ, đúng địa chỉ, tránh bị
sửa đổi, tiết lộ hoặc nhân bản một cách trái phép; sử dụng các cơ chế xác thực
mạnh, chữ ký số khi tham gia giao dịch, sử dụng các giao thức truyền thông an
toàn.
Điều 8. Xác
định cấp độ và phương án bảo đảm an toàn hệ thống thông tin
1. Việc xác định cấp độ hệ thống
thông tin và xây dựng phương án bảo vệ hệ thống thông tin theo cấp độ phục vụ mục
đích đánh giá an toàn thông tin và bảo đảm an toàn thông tin cho các hệ thống
thông tin. Nguyên tắc bảo đảm an toàn thông tin theo cấp độ và nguyên tắc xác định
cấp độ căn cứ trên các nguyên tắc quy định tại Điều 4, Điều 5 Nghị
định 85/2016/NĐ-CP.
2. Chủ quản hệ thống thông tin:
a) Chủ quản hệ thống thông tin
theo quy định tại Điều 5 Thông tư số 03/2017/TT-BTTTT;
b) Chủ quản hệ thống thông tin
có thể ủy quyền cho một tổ chức thay mặt mình thực hiện quyền quản lý trực tiếp
đối với hệ thống thông tin và trách nhiệm bảo đảm an toàn hệ thống thông tin
theo quy định tại Điều 20 Nghị định 85/2016/NĐ-CP. Văn bản ủy
quyền theo quy định tại khoản 3 Điều 5 Thông tư số 03/2017/TT-BTTTT.
3. Đơn vị vận hành hệ thống
thông tin:
a) Trung tâm Công nghệ thông
tin là đơn vị vận hành các hệ thống thông tin, cơ sở dữ liệu dùng chung của Bộ
và các hệ thống thông tin được giao khác;
b) Các đơn vị trực thuộc Bộ là
chủ quản hệ thống thông tin chịu trách nhiệm phân công đơn vị vận hành hệ thống
thông tin;
c) Các hệ thống thông tin trước
khi đưa vào khai thác, sử dụng phải được giao cho đơn vị quản lý, vận hành. Đơn
vị vận hành hệ thống thông tin theo quy định tại Điều 6 Thông tư
số 03/2017/TT-BTTTT.
4. Đơn vị chuyên trách về an
toàn thông tin:
a) Trung tâm Công nghệ thông
tin là đơn vị chuyên trách về an toàn thông tin của Bộ Khoa học và Công nghệ;
b) Đơn vị chuyên trách về công
nghệ thông tin tại các đơn vị trực thuộc Bộ đồng thời là đơn vị chuyên trách về
an toàn thông tin.
5. Thẩm quyền xác định cấp độ
an toàn hệ thống thông tin:
a) Đơn vị lập hồ sơ đề xuất cấp
độ: Đối với các hệ thống thông tin thuộc các nhiệm vụ, dự án đang trong giai đoạn
lập dự án, đơn vị lập dự án lập hồ sơ đề xuất cấp độ; Đối với các hệ thống
thông tin thuê dịch vụ, đơn vị chủ trì thuê dịch vụ lập hồ sơ đề xuất cấp độ; Đối
với các hệ thống thông tin đang trong giai đoạn triển khai, đơn vị chủ trì triển
khai lập hồ sơ đề xuất cấp độ; Đối với các hệ thống thông tin đang vận hành,
đơn vị vận hành lập hồ sơ đề xuất cấp độ;
b) Đối với các hệ thống thông
tin được đề xuất từ cấp độ 3 trở lên, đơn vị chuyên trách về an toàn thông tin
của các đơn vị trực thuộc Bộ cần gửi xin ý kiến chuyên môn của Trung tâm Công
nghệ thông tin trước khi trình các cấp có thẩm quyền thẩm định, phê duyệt cấp độ;
c) Thẩm quyền thẩm định và phê
duyệt cấp độ theo quy định tại Điều 12 Nghị định số 85/2016/NĐ-CP.
6. Trình tự, thủ tục xác định cấp
độ hệ thống thông tin:
a) Việc xác định, phân loại hệ
thống thông tin theo quy định tại Điều 4 Thông tư số 03/2017/TT-BTTTT;
b) Nội dung của hồ sơ đề xuất cấp
độ hệ thống thông tin theo quy định tại Điều 15 Nghị định 85/2016/NĐ-CP;
c) Nội dung, thời gian thẩm định
hồ sơ đề xuất cấp độ hệ thống thông tin quy định tại Điều 16 Nghị
định 85/2016/NĐ-CP;
d) Trình tự, thủ tục xác định cấp
độ hệ thống thông tin theo quy định tại Điều 13, Điều 14 Nghị định
85/2016/NĐ-CP và Điều 14, Điều 15, Điều 16 Thông tư số 03/2017/TT-BTTTT.
7. Phương án bảo đảm an toàn hệ
thống thông tin:
a) Phương án bảo đảm an toàn hệ
thống thông tin phải phù hợp với cấp độ của hệ thống thông tin và đáp ứng yêu cầu
quy định tại Thông tư số 03/2017/TT- BTTTT,
phù hợp với tiêu chuẩn TCVN 11930:2017, các
tiêu chuẩn, quy chuẩn kỹ thuật khác và chính sách an toàn thông tin mạng của Bộ
Khoa học và Công nghệ, chính sách an toàn thông tin mạng của các đơn vị trực
thuộc Bộ (nếu có);
b) Chủ quản hệ thống thông tin
hoặc đơn vị được ủy quyền quản lý trực tiếp hệ thống thông tin tổ chức triển
khai phương án bảo đảm an toàn hệ thống thông tin sau khi hồ sơ đề xuất cấp độ
hoặc phương án bảo đảm an toàn hệ thống được phê duyệt;
c) Đơn vị/bộ phận chuyên trách
về an toàn thông tin thuộc đơn vị chịu trách nhiệm giám sát việc triển khai các
phương án bảo đảm an toàn thông tin đã được phê duyệt.
Điều 9. Bảo
đảm an toàn thông tin khi tiếp nhận, phát triển, vận hành và bảo trì hệ thống
thông tin
1. Khi thực hiện nâng cấp, mở rộng,
thay thế một phần hệ thống thông tin, phải rà soát cấp độ, phương án bảo đảm an
toàn của hệ thống thông tin và thực hiện điều chỉnh, bổ sung hoặc thay mới hồ
sơ đề xuất cấp độ trong trường hợp cần thiết.
2. Khi tiếp nhận, phát triển,
nâng cấp, bảo trì hệ thống thông tin, đơn vị phải tiến hành phân tích, xác định
rủi ro có thể xảy ra, đánh giá phạm vi tác động và phải chuẩn bị các biện pháp
hạn chế, loại trừ các rủi ro này và yêu cầu các bên cung cấp, thi công, các cá
nhân liên quan thực hiện.
3. Trong quá trình vận hành hệ
thống thông tin, đơn vị chủ quản hệ thống thông tin cần thực hiện đánh giá,
phân loại hệ thống thông tin theo cấp độ; triển khai phương án bảo đảm an toàn
hệ thống thông tin đáp ứng yêu cầu cơ bản trong tiêu chuẩn, quy chuẩn kỹ thuật
về bảo đảm an toàn hệ thống thông tin theo cấp độ; thường xuyên kiểm tra, giám
sát an toàn hệ thống thông tin; tuân thủ quy trình vận hành, quy trình xử lý sự
cố đã xây dựng; ghi lại và lưu trữ đầy đủ thông tin nhật ký hệ thống để phục vụ
quản lý, kiểm soát thông tin.
4. Các đơn vị trực thuộc Bộ
liên quan đến việc phát triển phần mềm ứng dụng có trách nhiệm yêu cầu các đối
tác (nếu có) thực hiện các công tác đảm bảo an toàn thông tin, tránh lộ, lọt mã
nguồn và dữ liệu, tài liệu thiết kế, quản trị hệ thống mà đối tác đang xử lý ra
bên ngoài.
Điều 10.
Giám sát an toàn thông tin mạng
1. Chủ quản hệ thống thông tin
chỉ đạo việc giám sát đối với các hệ thống thông tin thuộc phạm vi quản lý, phối
hợp với Trung tâm Công nghệ thông tin và các đơn vị chức năng của Bộ Thông tin
và Truyền thông giám sát theo quy định.
2. Nguyên tắc, yêu cầu, nội
dung, phương thức, hệ thống kỹ thuật phục vụ công tác giám sát thực hiện theo
quy định tại Thông tư số 31/2017/TT-BTTTT.
3. Đơn vị chuyên trách về an
toàn thông tin của các đơn vị trực thuộc Bộ cử 01 lãnh đạo đơn vị và 01 cán bộ
(hoặc 01 đơn vị trực thuộc) làm đầu mối giám sát an toàn thông tin mạng đề tiếp
nhận cảnh báo, cung cấp, trao đổi, chia sẻ thông tin với Trung tâm Công nghệ
thông tin trong các hoạt động giám sát an toàn thông tin tại đơn vị và tại Bộ
Khoa học và Công nghệ.
Điều 11.
Kiểm tra, đánh giá an toàn thông tin
1. Chủ quản hệ thống thông tin
có thẩm quyền yêu cầu kiểm tra, đánh giá đối với các hệ thống thông tin thuộc
thẩm quyền quản lý. Đơn vị chuyên trách về an toàn thông tin của chủ quản hệ thống
thông tin có thẩm quyền yêu cầu kiểm tra, đánh giá đối với các hệ thống thông
tin do mình phê duyệt hồ sơ đề xuất cấp độ.
2. Đơn vị chủ trì kiểm tra,
đánh giá là đơn vị được cấp có thẩm quyền giao nhiệm vụ hoặc được lựa chọn để
thực hiện việc kiểm tra, đánh giá. Đối tượng kiểm tra, đánh giá là chủ quản hệ
thống thông tin hoặc đơn vị vận hành hệ thống thông tin và các hệ thống thông
tin có liên quan.
3. Nội dung, hình thức kiểm tra,
đánh giá theo quy định tại Điều 10 Thông tư số 03/2017/TT-BTTTT.
4. Trung tâm Công nghệ thông
tin thực hiện việc kiểm tra việc tuân thủ quy định của pháp luật về bảo đảm an
toàn hệ thống thông tin theo cấp độ tại Bộ Khoa học và Công nghệ theo quy định
tại Điều 11 Thông tư số 03/2017/TT-BTTTT.
5. Trung tâm Công nghệ thông
tin, đơn vị chuyên trách về an toàn thông tin của các đơn vị trực thuộc Bộ thực
hiện việc đánh giá hiệu quả của các biện pháp bảo đảm an toàn thông tin theo thẩm
quyền. Nội dung đánh giá là cơ sở để điều chỉnh phương án bảo đảm an toàn thông
tin cho phù hợp.
Điều 12. Ứng
cứu sự cố an toàn thông tin mạng
1. Ban chỉ đạo, đơn vị chuyên
trách ứng cứu khẩn cấp sự cố an toàn thông tin mạng:
a) Ban Chỉ đạo chuyển đổi số của
Bộ Khoa học và Công nghệ đảm nhiệm chức năng Ban chỉ đạo ứng cứu khẩn cấp sự cố
an toàn thông tin mạng của Bộ Khoa học và Công nghệ. Trách nhiệm và quyền hạn của
Ban Chỉ đạo chuyển đổi số của Bộ Khoa học và Công nghệ được quy định tại Khoản 2, Điều 5 Quyết định số 05/2017/QĐ-TTg;
b) Trung tâm Công nghệ thông
tin là đơn vị chuyên trách về ứng cứu sự cố an toàn thông tin mạng của Bộ Khoa
học và Công nghệ. Bộ phận chuyên trách về an toàn thông tin mạng tại các đơn vị
trực thuộc Bộ đảm nhiệm vai trò chuyên trách về ứng cứu sự cố an toàn thông tin
mạng trong phạm vi quản lý công nghệ thông tin của đơn vị. Đơn vị chuyên trách
về ứng cứu sự cố an toàn thông tin mạng thực hiện trách nhiệm quy định tại khoản 2 Điều 6 Quyết định số 05/2017/QĐ-TTg;
c) Trung tâm Công nghệ thông
tin trình Bộ thành lập Đội ứng cứu an toàn thông tin mạng của Bộ và tổ chức ứng
cứu sự cố trong phạm vi của Bộ quản lý. Các đơn vị chuyên trách về ứng cứu sự cố
tại các đơn vị trực thuộc Bộ thành lập Đội ứng cứu sự cố của mình phù hợp với
quy mô, tính chất của đơn vị.
2. Kế hoạch ứng phó sự cố bảo đảm
an toàn thông tin mạng:
a) Các đơn vị trực thuộc Bộ tổ
chức xây dựng, phê duyệt kế hoạch ứng phó sự cố cho các hệ thống thông tin do
đơn vị trực tiếp quản lý theo đề cương tại Phụ lục II Quyết định số 05/2017/QĐ-TTg (bao gồm các điều chỉnh do Bộ
Thông tin và Truyền thông ban hành nếu có) và tổ chức triển khai kế hoạch sau
khi phê duyệt. Đối với các nội dung trong kế hoạch vượt thẩm quyền quyết định của
đơn vị, đơn vị lấy ý kiến của Trung tâm Công nghệ thông tin, Vụ Kế hoạch - Tài
chính (đối với các nội dung yêu cầu có kinh phí), báo cáo Bộ xem xét, quyết định;
b) Các kế hoạch ứng phó sự cố
sau khi được phê duyệt phải gửi Trung tâm Công nghệ thông tin tổng hợp thành kế
hoạch chung của Bộ Khoa học và Công nghệ. Trung tâm Công nghệ thông tin xây dựng
kế hoạch ứng phó sự cố của Bộ Khoa học và Công nghệ, trình Lãnh đạo Bộ phê duyệt.
3. Quy trình ứng cứu sự cố an
toàn thông tin mạng:
a) Các tổ chức, cá nhân khi
phát hiện dấu hiệu tấn công hoặc sự cố an toàn thông tin mạng cần nhanh chóng
báo cho đơn vị vận hành hệ thống thông tin, đơn vị chủ quản hệ thống thông tin
liên quan, Trung tâm Công nghệ thông tin. Trung tâm Công nghệ thông tin có
trách nhiệm cập nhật, tổng hợp và báo cáo đơn vị cơ quan quản lý nhà nước trong
trường hợp cần thiết;
b) Khi xảy ra sự cố an toàn
thông tin mạng thuộc loại hình tấn công mạng, đơn vị vận hành hệ thống thông
tin thực hiện báo cáo theo quy định tại Điểm a Khoản 1 Điều 11 Quyết
định 05/2017/QĐ-TTg và Điều 9 Thông tư 20/2017/TT- BTTT,
đồng thời báo cáo Trung tâm Công nghệ thông tin để tổng hợp, báo cáo Ban Chỉ đạo
chuyển đổi số của Bộ Khoa học và Công nghệ. Trách nhiệm của các đơn vị khi phát
hiện, tiếp nhận xác minh, xử lý ban đầu và phân loại sự cố an toàn thông tin mạng
theo quy định tại Điều 12 Quyết định 05/2017/QĐ-TTg và Điều 10 Thông tư số 20/2017/TT-BTTTT;
c) Quy trình ứng cứu sự cố an
toàn thông tin mạng theo quy định tại Điều 13, Điều 14 Quyết định
05/2017/QĐ-TTg và Điều 11 Thông tư số 20/2017/TT- BTTTT.
4. Diễn tập ứng cứu sự cố an
toàn thông tin mạng:
a) Chủ quản hệ thống thông tin
là các đơn vị trực thuộc Bộ tổ chức diễn tập ứng cứu sự cố theo kế hoạch ứng
phó sự cố được phê duyệt;
b) Trung tâm Công nghệ thông
tin chủ trì, phối hợp với các đơn vị trực thuộc Bộ tham gia các cuộc diễn tập
quốc gia, quốc tế do Cơ quan điều phối quốc gia, Bộ Thông tin và Truyền thông tổ
chức và tổ chức diễn tập ứng cứu sự cố trong phạm vi Bộ Khoa học và Công nghệ
theo tần suất quy định tại điểm b Nhiệm vụ 4 mục
II Điều 1 Quyết định số 1622/QĐ-TTg ngày 25/10/2017 của Thủ tướng Chính phủ.
Điều 13.
Đào tạo, bồi dưỡng nghiệp vụ, tuyên truyền, phổ biến nâng cao nhận thức về an
toàn thông tin mạng
1. Các đơn vị trực thuộc Bộ xác
định nhu cầu về đào tạo nguồn nhân lực bảo đảm an toàn thông tin tại đơn vị
mình gửi Trung tâm Công nghệ thông tin. Trung tâm Công nghệ thông tin tổng hợp,
xây dựng trình Bộ phê duyệt kế hoạch dài hạn, kế hoạch hàng năm về đào tạo, bồi
dưỡng nghiệp vụ an toàn, an ninh thông tin cho cán bộ, công chức, viên chức và
người lao động của Bộ Khoa học và Công nghệ và thực hiện tổ chức đào tạo theo kế
hoạch đã phê duyệt.
2. Các đơn vị trực thuộc Bộ tổ
chức đào tạo, bồi dưỡng nghiệp vụ về an toàn thông tin cho cán bộ công nghệ
thông tin, cán bộ chuyên trách an toàn thông tin mạng các đơn vị trực thuộc;
đào tạo cơ bản về an toàn thông tin cho cán bộ quản lý, người sử dụng máy tính
thuộc đơn vị.
3. Các đơn vị trực thuộc Bộ phải
thường xuyên tổ chức các hoạt động tuyên truyền, phổ biến nâng cao nhận thức về
bảo đảm an toàn thông tin mạng và an ninh mạng đến toàn thể bộ cán bộ, công chức,
viên chức và người lao động tại đơn vị.
4. Trung tâm Công nghệ thông
tin xây dựng trình Bộ kế hoạch tuyên truyền, phố biến nâng cao nhận thức về an
toàn thông tin mạng và an ninh mạng tại Bộ Khoa học và Công nghệ và thực hiện
các nội dung theo kế hoạch đã được phê duyệt.
Chương
III
BẢO ĐẢM AN NINH MẠNG
Điều 14.
Triển khai hoạt động bảo vệ an ninh mạng trong cơ quan, đơn vị thuộc Bộ Khoa học
và Công nghệ
1. Nội dung triển khai hoạt động
bảo vệ an ninh mạng bao gồm:
a) Xây dựng phương án bảo đảm
an ninh mạng đối với hệ thống thông tin; phương án ứng phó, khắc phục sự cố an
ninh mạng;
b) Ứng dụng, triển khai phương
án, biện pháp, công nghệ bảo vệ an ninh mạng đối với hệ thống thông tin và
thông tin, tài liệu được lưu trữ, soạn thảo, truyền đưa trên hệ thống thông tin
thuộc phạm vi quản lý;
c) Tổ chức bồi dưỡng kiến thức
về an ninh mạng cho cán bộ, công chức, viên chức, người lao động; nâng cao năng
lực bảo vệ an ninh mạng cho lực lượng bảo vệ an ninh mạng;
d) Bảo vệ an ninh mạng trong hoạt
động cung cấp dịch vụ trực tuyến, cung cấp, trao đổi, thu thập thông tin với cơ
quan, tố chức, cá nhân, chia sẻ thông tin trong nội bộ và với cơ quan khác;
đ) Triển khai kiểm tra an ninh
mạng đối với hệ thống thông tin; phòng, chống hành vi vi phạm pháp luật về an
ninh mạng; ứng phó, khắc phục sự cố an ninh mạng.
2. Người đứng đầu cơ quan, đơn
vị có trách nhiệm triển khai hoạt động bảo vệ an ninh mạng thuộc quyền quản lý.
Điều 15. Bảo
vệ an ninh mạng đối với hệ thống thông tin quan trọng về an ninh quốc gia
Cơ quan, đơn vị có hệ thống
thông tin quan trọng về an ninh quốc gia có trách nhiệm:
1. Kiểm tra an ninh mạng đối với
hệ thống thông tin quan trọng về an ninh quốc gia; thông báo kết quả kiểm tra bằng
văn bản trước tháng 10 hằng năm cho lực lượng chuyên trách bảo vệ an ninh mạng
theo quy định tại Luật An ninh mạng.
2. Phối hợp với lực lượng
chuyên trách bảo vệ an ninh mạng tiến hành kiểm tra an ninh mạng đột xuất.
3. Chủ trì, phối hợp với lực lượng
chuyên trách bảo vệ an ninh mạng có thẩm quyền thường xuyên thực hiện giám sát
an ninh mạng đối với hệ thống thông tin thuộc phạm vi quản lý.
4. Xây dựng cơ chế tự cảnh báo
và tiếp nhận cảnh báo về nguy cơ đe dọa an ninh mạng, sự cố an ninh mạng, điểm
yếu, lỗ hổng bảo mật, mã độc, phần cứng, phần mềm độc hại và đề ra phương án ứng
phó, khắc phục khẩn cấp.
5. Xây dựng phương án ứng phó,
khắc phục sự cố an ninh mạng đối với hệ thống thông tin thuộc phạm vi quản lý;
triển khai phương án ứng phó, khắc phục khi sự cố an ninh mạng xảy ra và kịp thời
báo cáo với lực lượng chuyên trách bảo vệ an ninh mạng có thẩm quyền.
6. Tuân thủ các quy định liên
quan khác tại Luật An ninh mạng.
Điều 16. Lực
lượng bảo vệ an ninh mạng
1. Lực lượng bảo vệ an ninh mạng
của Bộ Khoa học và Công nghệ bố trí tại Vụ Công nghệ cao và Trung tâm Công nghệ
thông tin.
2. Cơ quan, đơn vị có hệ thống
thông tin quan trọng về an ninh quốc gia có trách nhiệm bố trí lực lượng an
ninh mạng để bảo vệ hệ thống thông tin quan trọng về an ninh quốc gia.
3. Tổ chức, cá nhân được huy động
tham gia bảo vệ an ninh mạng.
Chương IV
TRÁCH NHIỆM CỦA CÁC TỔ
CHỨC LIÊN QUAN
Điều 17.
Trách nhiệm của Trung tâm Công nghệ thông tin
1. Thực hiện các trách nhiệm được
giao tại Quy chế này.
2. Hướng dẫn triển khai Quy chế
này và các quy định liên quan của Nhà nước.
3. Giám sát, đôn đốc, kiểm tra
việc triển khai các nội dung tại Quy chế này.
4. Chủ trì/phối hợp với Vụ Công
nghệ cao trong việc hướng dẫn, hỗ trợ các cơ quan, đơn vị về công tác bảo đảm
an toàn thông tin và an ninh mạng.
5. Chủ trì/phối hợp với Vụ Công
nghệ cao trong việc xây dựng kế hoạch, báo cáo về an toàn thông tin mạng và an
ninh mạng của Bộ Khoa học và Công nghệ.
6. Bảo đảm an toàn, an ninh
thông tin cho các hệ thống thông tin, cơ sở dữ liệu dùng chung của Bộ.
Điều 18.
Trách nhiệm của các đơn vị trực thuộc Bộ
1. Thực hiện các trách nhiệm được
giao tại Quy chế này.
2. Tổ chức triển khai thực hiện
Quy chế này tại đơn vị.
3. Thực hiện các báo cáo theo
quy định, gửi Trung tâm Công nghệ thông tin tổng hợp, báo cáo Bộ.
4. Xây dựng, triển khai Quy chế/nội
quy bảo đảm an toàn, an ninh thông tin tại đơn vị bảo đảm phù hợp với Quy chế
này và các yêu cầu cụ thể của đơn vị.
5. Thực hiện việc quản lý trang
thiết bị công nghệ thông tin và cán bộ, công chức, viên chức, người lao động
theo Điều 5 và Điều 6 của Quy chế này.
6. Đối với các Vụ thuộc Bộ: Phối
hợp với Trung tâm Công nghệ thông tin bảo đảm an toàn, an ninh thông tin cho
các hệ thống thông tin, cơ sở dữ liệu dùng chung của Bộ và các hệ thống thông
tin do đơn vị quản lý, vận hành.
Điều 19.
Trách nhiệm của đơn vị chuyên trách về an toàn thông tin
1. Thực hiện trách nhiệm của
đơn vị chuyên trách về an toàn thông tin theo quy định tại Quy chế này và các
nhiệm vụ do chủ quản hệ thống thông tin phân công.
2. Phối hợp chặt chẽ với các bộ
phận kỹ thuật thuộc đơn vị vận hành hệ thống thông tin trong việc bảo đảm an
toàn thông tin trong tất cả các công đoạn liên quan đến hệ thống thông tin.
Điều 20.
Trách nhiệm của chủ quản hệ thống thông tin
1. Thực hiện trách nhiệm của
đơn vị chủ quản hệ thống thông tin theo quy định tại Quy chế này.
2. Chỉ đạo, phân công các đơn vị
vận hành các hệ thống thông tin triển khai công tác bảo đảm an toàn thông tin
trong tất cả các công đoạn liên quan đến hệ thống thông tin.
Điều 21.
Trách nhiệm của đơn vị vận hành hệ thống thông tin
1. Thực hiện trách nhiệm của
đơn vị vận hành hệ thống thông tin theo quy định tại Quy chế này và các nhiệm vụ
do chủ quản hệ thống thông tin phân công.
2. Chỉ đạo, phân công các bộ phận
kỹ thuật thuộc đơn vị (quản lý ứng dụng; quản lý dữ liệu; vận hành hệ thống
thông tin; triển khai và hỗ trợ kỹ thuật) triển khai công tác bảo đảm an toàn
thông tin trong tất cả các công đoạn liên quan đến hệ thống thông tin.
Điều 22.
Trách nhiệm cá nhân
1. Thủ trưởng đơn vị thuộc đối
tượng áp dụng của Quy chế này có trách nhiệm: phổ biến tới từng cán bộ, công chức,
viên chức, người lao động của đơn vị; thường xuyên kiểm tra việc thực hiện Quy
chế này tại đơn vị; chịu trách nhiệm trước pháp luật và Lãnh đạo Bộ Khoa học và
Công nghệ về các vi phạm, thất thoát thông tin, dữ liệu mật thuộc phạm vi quản
lý của đơn vị do không tổ chức, chỉ đạo, kiểm tra cán bộ của đơn vị thực hiện
đúng quy định.
2. Cán bộ, công chức, viên chức,
người lao động của Bộ Khoa học và Công nghệ, các đơn vị trực thuộc Bộ và các
đơn vị khác thuộc đối tượng áp dụng của quy định có trách nhiệm: tuân thủ Quy
chế; thông báo các vấn đề bất thường liên quan tới an toàn thông tin cho đơn vị,
bộ phận chuyên trách về an toàn thông tin mạng của đơn vị; chịu trách nhiệm trước
pháp luật và Lãnh đạo đơn vị về các vi phạm, thất thoát dữ liệu mật của ngành
khoa học và công nghệ do không tuân thủ Quy chế.
Chương
IV
TỔ CHỨC THỰC HIỆN
Điều 23.
Kinh phí thực hiện
Kinh phí bảo đảm an toàn thông
tin mạng và an ninh mạng được lấy từ nguồn ngân sách nhà nước dự toán hàng năm
của Bộ Khoa học và Công nghệ;
Căn cứ vào kế hoạch hàng năm,
các đơn vị liên quan có trách nhiệm xây dựng kế hoạch, đề xuất dự toán cho các
hoạt động bảo đảm an toàn thông tin mạng và an ninh mạng gửi Trung tâm Công nghệ
thông tin để tổng hợp, gửi Văn phòng Bộ phối hợp với Vụ Kế hoạch - Tài chính thẩm
định, trình lãnh đạo Bộ phê duyệt.
Điều 24.
Công tác kiểm tra
1. Các đơn vị trực thuộc Bộ phải
thường xuyên kiểm tra, theo dõi và đánh giá công tác bảo đảm an toàn thông tin
mạng và an ninh mạng tại cơ quan, đơn vị mình, coi đây là nhiệm vụ trọng tâm của
đơn vị.
2. Giao Trung tâm Công nghệ
thông tin kiểm tra và báo cáo Bộ việc thực hiện Quy chế này tại các đơn vị trực
thuộc Bộ.
Điều 25.
Chế độ báo cáo
1. Báo cáo định kỳ:
a) Báo cáo an toàn thông tin định
kỳ hàng năm gồm các nội dung quy định tại khoản 3 Điều 17 Thông
tư 03/2017/TT-BTTTT;
b) Báo cáo hoạt động giám sát của
chủ quản hệ thống thông tin định kỳ 6 tháng theo mẫu tại Phụ lục 2 Thông tư 31/2017/TT-BTTTT.
2. Báo cáo đột xuất: Báo cáo về
công tác khắc phục mã độc, lỗ hổng, điểm yếu, triển khai cảnh báo an toàn thông
tin và các báo cáo đột xuất khác theo yêu cầu của đơn vị chuyên trách về an
toàn thông tin của Bộ hoặc yêu cầu của Lãnh đạo Bộ.
3. Trách nhiệm lập, phê duyệt
báo cáo:
a) Các đơn vị trực thuộc Bộ
liên quan có trách nhiệm lập báo cáo định kỳ, đột xuất theo yêu cầu và hướng dẫn
của Trung tâm Công nghệ thông tin;
b) Trung tâm Công nghệ thông
tin chịu trách nhiệm tập hợp, tổng hợp báo cáo của các đơn vị, trình Bộ phê duyệt,
gửi các cơ quan quản lý nhà nước về an toàn thông tin.
Điều 26.
Khen thưởng, kỷ luật
1. Kết quả thực hiện Quy chế
này là một trong những tiêu chí có thể sử dụng để đánh giá kết quả thực hiện
hàng năm của cá nhân, đơn vị
2. Đơn vị, cá nhân vi phạm Quy
chế này và các quy định khác của pháp luật về bảo đảm an toàn thông tin mạng và
an ninh mạng, tùy theo tính chất, mức độ vi phạm sẽ bị xử lý kỷ luật hoặc các
hình thức xử lý khác theo quy định của pháp luật; nếu vi phạm gây thiệt hại đến
tài sản, thiết bị, thông tin, dữ liệu thì chịu trách nhiệm bồi thường theo pháp
luật hiện hành.
Điều 27.
Trách nhiệm thi hành
1. Thủ trưởng các đơn vị trực
thuộc Bộ có trách nhiệm phổ biến, quán triệt đến toàn bộ cán bộ, nhân viên
trong đơn vị thực hiện các quy định của Quy chế này.
2. Trong quá trình thực hiện, nếu
có những vấn đề khó khăn, vướng mắc, các đơn vị phản ánh về Trung tâm Công nghệ
thông tin để tổng hợp, trình Bộ trưởng xem xét, sửa đổi, bổ sung quy chế./.
Đã cập nhật Luật Đất đai 2024 mới nhất