Quyết định 2081/QĐ-BGTVT 2017 Quy chế bảo đảm an toàn an ninh thông tin mạng

Thuộc tính
Nội dung
Tiếng Anh (English)
Văn bản gốc/PDF
Lược đồ
Liên quan hiệu lực
Liên quan nội dung
Thuộc tính
Tải về
Các bản dự thảo

Đang tải văn bản...

Số hiệu:	2081/QĐ-BGTVT	Loại văn bản:	Quyết định
Nơi ban hành:	Bộ Giao thông vận tải	Người ký:	Trương Quang Nghĩa
Ngày ban hành:	17/07/2017	Ngày hiệu lực:	Đã biết
Ngày công báo:	Đang cập nhật	Số công báo:	Đang cập nhật
		Tình trạng:	Đã biết

BỘ GIAO THÔNG VẬN TẢI -------	CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM Độc lập - Tự do - Hạnh phúc ---------------
Số: 2081/QĐ-BGTVT	Hà Nội, ngày 17 tháng 7 năm 2017

QUYẾT ĐỊNH

VỀ VIỆC BAN HÀNH QUY CHẾ BẢO ĐẢM AN TOÀN, AN NINH THÔNG TIN MẠNG CỦA BỘ GIAO THÔNG VẬN TẢI

BỘ TRƯỞNG BỘ GIAO THÔNG VẬN TẢI

Căn cứ Luật An toàn thông tin mạng số 86/2015/QH13 ngày 19/11/2015;

Căn cứ Luật Công nghệ thông tin số 67/2006/QH11 ngày 29/6/2006;

Căn cứ Luật Giao dịch điện tử số 51/2005/QH11 ngày 29/11/2005;

Căn cứ Nghị định số 12/2017/NĐ-CP ngày 10/2/2017 của Chính phủ quy định chức năng, nhiệm vụ, quyền hạn và cơ cấu tổ chức của Bộ Giao thông vận tải;

Căn cứ Nghị định số 85/2016/NĐ-CP ngày 01/7/2016 của Chính phủ về bảo đảm an toàn hệ thống thông tin theo cấp độ;

Căn cứ Thông tư số 03/2017/TT-BTTTT ngày 24/4/2017 của Bộ Thông tin và Truyền thông quy định chi tiết và hướng dẫn một số điều của Nghị định 85/2016/NĐ-CP ngày 01/7/2016 của Chính phủ về bảo đảm an toàn hệ thống thông tin theo cấp độ;

Căn cứ Quyết định số 05/2017/QĐ-TTg ngày 16/3/2017 của Thủ tướng Chính phủ ban hành quy định về hệ thống phương án ứng cứu khẩn cấp bảo đảm an toàn thông tin mạng quốc gia;

Căn cứ Quyết định số 898/QĐ-TTg ngày 27/5/2016 của Thủ tướng Chính phủ phê duyệt phương hướng, mục tiêu, nhiệm vụ bảo đảm an toàn thông tin mạng giai đoạn 2016 - 2020;

Căn cứ Quyết định số 645/QĐ-BGTVT ngày 9/3/2017 của Bộ trưởng Bộ Giao thông vận tải phê duyệt Kế hoạch bảo đảm an toàn, an ninh thông tin của Bộ Giao thông vận tải đến năm 2020;

Theo đề nghị của Giám đốc Trung tâm Công nghệ thông tin,

QUYẾT ĐỊNH:

Điều 1. Ban hành kèm theo Quyết định này Quy chế bảo đảm an toàn, an ninh thông tin mạng của Bộ Giao thông vận tải.

Điều 2. Quyết định này có hiệu lực kể từ ngày ký ban hành.

Điều 3. Chánh Văn phòng Bộ, Chánh Thanh tra Bộ, các Vụ trưởng, Giám đốc Trung tâm Công nghệ thông tin, Thủ trưởng các cơ quan, đơn vị, doanh nghiệp thuộc Bộ chịu trách nhiệm thi hành Quyết định này./.

Nơi nhận:
- Như Điều 3;
- Các đồng chí Thứ trưởng;
- Lưu: VT, TTCNTT (03 b).

BỘ TRƯỞNG

Trương Quang Nghĩa

QUY CHẾ

BẢO ĐẢM AN TOÀN, AN NINH THÔNG TIN MẠNG CỦA BỘ GIAO THÔNG VẬN TẢI
(Ban hành kèm theo Quyết định số 2081/QĐ-BGTVT ngày 17 tháng 7 năm 2017 của Bộ trưởng Bộ Giao thông vận tải)

Chương I

QUY ĐỊNH CHUNG

Điều 1. Phạm vi điều chỉnh và đối tượng áp dụng

1. Quy chế này quy định về bảo đảm an toàn, an ninh thông tin mạng (sau đây gọi tắt là an toàn thông tin) trong các hoạt động của Bộ Giao thông vận tải và các đơn vị thuộc Bộ.

2. Quy chế này áp dụng đối với các cơ quan, đơn vị, doanh nghiệp (gọi chung là đơn vị) thuộc Bộ Giao thông vận tải.

Điều 2. Giải thích từ ngữ

Trong Quy chế này, các từ ngữ dưới đây được hiểu như sau:

1. An ninh thông tin mạng là việc bảo đảm thông tin trên mạng không gây phương hại đến an ninh quốc gia, trật tự an toàn xã hội, bí mật nhà nước, quyền và lợi ích hợp pháp của tổ chức, cá nhân.

2. An toàn thông tin mạng là sự bảo vệ thông tin và các hệ thống thông tin tránh bị truy cập, sử dụng, tiết lộ, gián đoạn, sửa đổi hoặc phá hoại trái phép nhằm bảo đảm tính nguyên vẹn, tính bảo mật và tính khả dụng của thông tin.

3. Bên thứ ba là các tổ chức, cá nhân được đơn vị thuê hoặc hợp tác với đơn vị nhằm cung cấp hàng hóa, dịch vụ kỹ thuật cho hệ thống thông tin.

4. Dữ liệu nhạy cảm là dữ liệu có thông tin mật, thông tin lưu hành nội bộ của đơn vị hoặc do đơn vị quản lý, nếu lộ lọt ra ngoài sẽ gây ảnh hưởng xấu đến danh tiếng, tài chính và hoạt động của đơn vị.

5. Điểm yếu về mặt kỹ thuật là vị trí trong hệ thống thông tin dễ bị khai thác, lợi dụng khi bị tấn công hoặc xâm nhập bất hợp pháp.

6. Hệ thống thông tin là tập hợp các thiết bị viễn thông, phần cứng, phần mềm và cơ sở dữ liệu được thiết lập phục vụ mục đích tạo lập, cung cấp, truyền đưa, thu thập, xử lý, lưu trữ và trao đổi thông tin trên mạng.

7. Hệ thống thông tin quan trọng là hệ thống thông tin khi phát sinh sự cố sẽ làm tổn hại nghiêm trọng đến hoạt động của đơn vị.

8. Rủi ro an toàn thông tin là những nhân tố chủ quan hoặc khách quan có khả năng ảnh hưởng đến trạng thái an toàn thông tin mạng.

9. Phần mềm độc hại (mã độc) là phần mềm có khả năng gây ra hoạt động không bình thường cho một phần hay toàn bộ hệ thống thông tin hoặc thực hiện sao chép, sửa đổi, xóa bỏ trái phép thông tin lưu trữ trong hệ thống thông tin.

10. Sự cố an toàn thông tin mạng là việc thông tin, hệ thống thông tin bị gây nguy hại, ảnh hưởng đến tính toàn vẹn, tính bảo mật và tính khả dụng.

11. Tài khoản người dùng là một tập hợp thông tin đại diện duy nhất cho người sử dụng trên hệ thống thông tin, người dùng sử dụng để đăng nhập và truy cập các tài nguyên được cấp phép trên hệ thống thông tin đó. Tài khoản người dùng ít nhất phải bao gồm tên định danh và mã khóa bí mật.

12. Tính bảo mật của thông tin là đảm bảo thông tin chỉ được tiếp cận bởi những người được cấp quyền tương ứng.

13. Tính toàn vẹn của thông tin là bảo vệ sự chính xác và đầy đủ của thông tin và thông tin chỉ được thay đổi bởi những người được cấp quyền.

14. Tính sẵn sàng của thông tin là đảm bảo những người được cấp quyền có thể truy xuất thông tin ngay khi có nhu cầu.

15. Tường lửa là tập hợp các thành phần hoặc một hệ thống các trang thiết bị, phần mềm được đặt giữa hai mạng, nhằm kiểm soát tất cả các kết nối từ bên trong ra bên ngoài mạng hoặc ngược lại.

16. Thiết bị di động là thiết bị số có thể cầm tay, có hệ điều hành, có khả năng xử lý, kết nối mạng và có màn hình hiển thị như máy tính xách tay, máy tính bảng, điện thoại di động thông minh.

17. Trung tâm dữ liệu bao gồm hạ tầng kỹ thuật (nhà trạm, hệ thống cáp) và hệ thống máy tính cùng các thiết bị phụ trợ được lắp đặt vào đó để lưu trữ, trao đổi và quản lý tập trung dữ liệu của một hay nhiều tổ chức, cá nhân.

18. Vật mang tin là các phương tiện vật chất dùng để lưu giữ và truyền nhận thông tin điện tử.

Điều 3. Nguyên tắc chung

Nguyên tắc bảo đảm an toàn thông tin mạng phải tuân thủ các nguyên tắc tại Điều 4 của Luật An toàn thông tin mạng và Điều 4 của Nghị định số 85/2016/NĐ-CP, cụ thể:

1. Từng đơn vị thuộc Bộ Giao thông vận tải có trách nhiệm bảo đảm an toàn thông tin mạng của đơn vị mình, theo đúng quy định của pháp luật, bảo đảm quốc phòng, an ninh quốc gia, bí mật nhà nước.

2. Được thực hiện thường xuyên, liên tục từ khâu thiết kế, xây dựng, vận hành đến khi hủy bỏ; tuân thủ theo các tiêu chuẩn, quy chuẩn kỹ thuật được các cơ quan chức năng ban hành.

3. Nhận biết, phân loại, đánh giá kịp thời và xử lý có hiệu quả các rủi ro an toàn thông tin mạng có thể xảy ra trong đơn vị.

4. Xây dựng, triển khai quy chế an toàn thông tin mạng trên cơ sở hài hòa giữa lợi ích, chi phí và mức độ chấp nhận rủi ro của đơn vị.

5. Bố trí nhân sự chuyên trách chịu trách nhiệm bảo đảm an toàn thông tin mạng.

6. Xác định rõ quyền hạn, trách nhiệm của Thủ trưởng đơn vị (hoặc người đại diện hợp pháp), từng bộ phận và cá nhân trong đơn vị đối với công tác bảo đảm an toàn thông tin mạng.

Điều 4. Quy chế bảo đảm an toàn thông tin mạng

1. Các đơn vị phải xây dựng và ban hành quy chế bảo đảm an toàn thông tin mạng phù hợp với hệ thống thông tin, cơ cấu tổ chức, yêu cầu quản lý và hoạt động của đơn vị.

2. Quy chế bảo đảm an toàn thông tin mạng cần quy định tối thiểu các nội dung cơ bản sau:

a) Quản lý tài sản công nghệ thông tin;

b) Quản lý nguồn nhân lực;

c) Quản lý truy cập;

d) Bảo đảm an toàn, an ninh về mặt vật lý và môi trường;

đ) Quản lý vận hành và trao đổi thông tin;

e) Quản lý tiếp nhận, phát triển, duy trì hệ thống thông tin;

g) Quản lý sản phẩm, dịch vụ của bên thứ ba;

h) Quản lý sự cố an toàn thông tin;

i) Bảo đảm hoạt động liên tục của hệ thống thông tin;

k) Kiểm soát tuân thủ và chế độ báo cáo.

3. Đơn vị phải rà soát, chỉnh sửa, hoàn thiện các quy chế bảo đảm an toàn thông tin, đảm bảo sự đầy đủ theo các quy định tại Quy chế này và phù hợp với các văn bản quy phạm pháp luật liên quan trong lĩnh vực an toàn, an ninh thông tin. Khi phát hiện những bất cập, bất hợp lý gây ra mất an toàn hệ thống thông tin hoặc theo yêu cầu của cơ quan có thẩm quyền, đơn vị phải tiến hành chỉnh sửa, bổ sung ngay quy chế an toàn thông tin mạng đã ban hành.

Chương II

CÁC QUY ĐỊNH VỀ BẢO ĐẢM AN TOÀN THÔNG TIN MẠNG

Mục 1. QUẢN LÝ TÀI SẢN CÔNG NGHỆ THÔNG TIN

Điều 5. Quản lý tài sản công nghệ thông tin

1. Các loại tài sản công nghệ thông tin bao gồm:

a) Tài sản vật lý: các thiết bị công nghệ thông tin, phương tiện truyền thông và các thiết bị phục vụ cho hoạt động của hệ thống thông tin;

b) Tài sản thông tin: các thông tin, dữ liệu ở dạng số;

c) Tài sản phần mềm: các phần mềm hệ thống, phần mềm tiện ích, cơ sở dữ liệu, chương trình ứng dụng và công cụ phát triển.

2. Căn cứ phân loại tài sản công nghệ thông tin tại Khoản 1 Điều này, đơn vị xây dựng và thực hiện các quy định về quản lý và sử dụng tài sản theo quy định tại Điều 6 Quy chế này.

Điều 6. Yêu cầu cơ bản về quản lý tài sản công nghệ thông tin

1. Lập danh mục tài sản công nghệ thông tin. Thường xuyên cập nhật và quản lý danh mục

2. Giao, gắn trách nhiệm cho cá nhân hoặc tập thể quản lý, sử dụng tài sản.

3. Quy định các quy tắc sử dụng, gìn giữ, bảo vệ tài sản trong các trường hợp như: mang tài sản ra khỏi cơ quan, tài sản liên quan tới dữ liệu nhạy cảm, cài đặt và cấu hình,...

4. Tài sản vật lý có lưu trữ dữ liệu nhạy cảm khi thay đổi mục đích sử dụng hoặc thanh lý, đơn vị phải thực hiện các biện pháp xóa, tiêu hủy dữ liệu đó đảm bảo không có khả năng phục hồi. Trường hợp không thể tiêu hủy được dữ liệu, đơn vị phải thực hiện biện pháp tiêu hủy cấu phần lưu trữ dữ liệu trên tài sản đó.

Mục 2. QUẢN LÝ NGUỒN NHÂN LỰC

Điều 7. Phân công nhiệm vụ

1. Xác định trách nhiệm trong việc bảo đảm an toàn thông tin mạng của vị trí phân công.

2. Đảm bảo người được phân công làm việc tại các vị trí có tiếp xúc với thông tin, dữ liệu nhạy cảm phải qua bước đánh giá, thẩm tra nhân thân và lý lịch tư pháp.

3. Yêu cầu người được phân công phải cam kết bảo mật thông tin bằng văn bản riêng hoặc cam kết trong hợp đồng làm việc, hợp đồng lao động, bao gồm các điều khoản về trách nhiệm của cá nhân sau khi thôi việc tại đơn vị.

Điều 8. Sử dụng nguồn nhân lực

Đơn vị có trách nhiệm thực hiện:

1. Phổ biến và cập nhật các quy định về bảo đảm an toàn thông tin mạng cho tất cả cán bộ, nhân viên.

2. Có biện pháp quản lý tài khoản người dùng của cán bộ, nhân viên trên các hệ thống thông tin quan trọng.

3. Thường xuyên rà soát, kiểm tra quyền truy cập vào các hệ thống thông tin đối với tất cả cán bộ, nhân viên đảm bảo quyền truy cập phù hợp với nhiệm vụ được giao.

Điều 9. Chấm dứt hoặc thay đổi công việc

Khi cán bộ, nhân viên chấm dứt hoặc thay đổi công việc, đơn vị phải:

1. Xác định rõ trách nhiệm của cán bộ, nhân viên và các bên liên quan trong quản lý, sử dụng các tài sản công nghệ thông tin được giao.

2. Lập biên bản bàn giao tài sản công nghệ thông tin.

3. Thay đổi hoặc thu hồi quyền truy cập các hệ thống thông tin.

4. Rà soát, kiểm tra đối chiếu định kỳ giữa bộ phận quản lý nhân sự và bộ phận quản lý cấp phát, thu hồi quyền truy cập hệ thống thông tin để đảm bảo tài khoản người dùng của cán bộ, nhân viên đã nghỉ việc được thu hồi.

Mục 3. ĐẢM BẢO AN TOÀN VỀ MẶT VẬT LÝ VÀ MÔI TRƯỜNG NƠI LẮP ĐẶT TRANG THIẾT BỊ CÔNG NGHỆ THÔNG TIN

Điều 10. Yêu cầu chung đối với nơi lắp đặt

1. Có biện pháp bảo vệ, kiểm soát, hạn chế rủi ro xâm nhập trái phép, phòng chống nguy cơ do cháy nổ, thiên tai, thảm họa.

2. Các khu vực có yêu cầu cao về an toàn như khu vực lắp đặt máy chủ, thiết bị lưu trữ, thiết bị an ninh bảo mật, thiết bị truyền thông phải được cách ly với khu vực dùng chung; ban hành nội quy, hướng dẫn làm việc và áp dụng biện pháp kiểm soát ra vào khu vực đó.

Điều 11. Yêu cầu đối với Phòng máy chủ, Trung tâm dữ liệu

Ngoài việc đảm bảo yêu cầu tại Điều 10 Quy chế này, Phòng máy chủ, Trung tâm dữ liệu phải đảm bảo các yêu cầu sau:

1. Khu vực lắp đặt thiết bị phải được tránh nắng chiếu rọi trực tiếp, chống thấm dột nước, tránh ngập lụt. Cửa vào ra phải chắc chắn, có khả năng chống cháy, sử dụng khóa an toàn.

2. Khu vực lắp đặt thiết bị của hệ thống thông tin quan trọng phải được bảo vệ, giám sát 24/7.

3. Có tối thiểu một nguồn điện chính và một nguồn dự phòng có khả năng duy trì hoạt động của thiết bị trong thời gian tối thiểu 30 phút.

4. Có hệ thống điều hòa không khí đảm bảo khả năng hoạt động liên tục.

5. Có hệ thống chống sét trực tiếp và lan truyền.

6. Có hệ thống báo cháy và chữa cháy tự động đảm bảo khi chữa cháy không làm hư hỏng thiết bị lắp đặt bên trong.

7. Có hệ thống sàn kỹ thuật hoặc lớp cách ly chống nhiễm điện.

8. Có hệ thống camera giám sát, lưu trữ dữ liệu tối thiểu 90 ngày.

9. Có hệ thống theo dõi, kiểm soát nhiệt độ, độ ẩm.

10. Có sổ ghi nhật ký ra vào.

Mục 4. QUẢN LÝ VẬN HÀNH VÀ THÔNG TIN LIÊN LẠC

Điều 12. Trách nhiệm quản lý và quy trình vận hành của các đơn vị

1. Ban hành các quy trình vận hành hệ thống thông tin, tối thiểu bao gồm: Quy trình khởi động, đóng hệ thống; quy trình sao lưu, phục hồi dữ liệu; quy trình vận hành ứng dụng; quy trình xử lý sự cố; quy trình giám sát và ghi nhật ký hoạt động của hệ thống.

2. Kiểm soát sự thay đổi của phiên bản phần mềm, cấu hình phần cứng, quy trình vận hành: ghi chép lại các thay đổi; lập kế hoạch, thực hiện kiểm tra, thử nghiệm sự thay đổi, báo cáo kết quả và phải được phê duyệt trước khi áp dụng chính thức.

3. Hệ thống thông tin vận hành chính thức phải đáp ứng yêu cầu:

a) Tách biệt với môi trường phát triển và môi trường kiểm tra, thử nghiệm;

b) Có biện pháp, giải pháp bảo đảm an ninh, an toàn thông tin mạng;

c) Không cài đặt các công cụ, phương tiện phát triển ứng dụng trên hệ thống vận hành chính thức.

Điều 13. Sao lưu dự phòng

1. Lập danh sách các dữ liệu, phần mềm cần được sao lưu, có phân loại theo mức độ quan trọng, thời gian lưu trữ, thời gian sao lưu, phương pháp sao lưu và thời gian kiểm tra phục hồi hệ thống từ dữ liệu sao lưu.

2. Dữ liệu của các hệ thống thông tin quan trọng phải được sao lưu ra phương tiện lưu trữ ngoài (như băng từ, đĩa cứng, đĩa quang hoặc phương tiện lưu trữ khác) và cất giữ, bảo quản an toàn tách rời với khu vực tiến hành sao lưu. Kiểm tra, phục hồi dữ liệu sao lưu từ phương tiện lưu trữ ngoài tối thiểu sáu tháng một lần.

3. Cần tách biệt giữa sao lưu dữ liệu và sao lưu ứng dụng. Mọi ứng dụng được cài đặt hoặc xóa bỏ khỏi hệ thống thông tin đều cần được sao lưu vào hệ thống dự phòng, tách biệt khỏi hệ thống sao lưu dữ liệu.

Điều 14. Đảm bảo an toàn, bảo mật trong trao đổi thông tin

Đơn vị có trách nhiệm:

1. Ban hành quy định về trao đổi thông tin tối thiểu gồm: Phân loại thông tin theo mức độ nhạy cảm; quyền và trách nhiệm của cá nhân khi tiếp cận thông tin; biện pháp đảm bảo tính toàn vẹn, bảo mật khi truyền nhận, xử lý, lưu trữ thông tin; chế độ bảo quản thông tin.

2. Các thông tin, tài liệu, dữ liệu nhạy cảm phải được mã hóa trước khi trao đổi, truyền nhận qua mạng máy tính.

3. Thực hiện các biện pháp quản lý, giám sát và kiểm soát chặt chẽ các trang/cổng thông tin điện tử cung cấp thông tin, dịch vụ, giao dịch trực tuyến cho các tổ chức, cá nhân bên ngoài.

4. Thực hiện biện pháp bảo vệ trang thiết bị, phần mềm phục vụ trao đổi thông tin nội bộ nhằm hạn chế việc xâm nhập, khai thác bất hợp pháp các thông tin nhạy cảm.

Điều 15. Giám sát và ghi nhật ký hoạt động của hệ thống

1. Ghi và lưu trữ nhật ký về hoạt động của hệ thống và người sử dụng hệ thống thông tin.

2. Thực hiện các biện pháp giám sát, phân tích nhật ký, cảnh báo rủi ro, xử lý và báo cáo kết quả.

3. Bảo vệ các chức năng ghi nhật ký và thông tin nhật ký, chống giả mạo, sửa đổi, phá hủy và truy cập trái phép.

4. Thực hiện việc đồng bộ thời gian giữa các hệ thống thông tin.

Điều 16. Phòng chống mã độc

Xây dựng và thực hiện quy định về phòng chống mã độc đáp ứng các yêu cầu cơ bản sau:

1. Xác định trách nhiệm của người sử dụng và các bộ phận liên quan trong công tác phòng chống mã độc.

2. Triển khai biện pháp, giải pháp phòng chống mã độc cho toàn bộ hệ thống thông tin của đơn vị.

3. Cập nhật mẫu mã độc và phần mềm phòng chống mã độc mới.

4. Kiểm tra, diệt mã độc đối với vật mang tin nhận từ bên ngoài trước khi sử dụng.

5. Kiểm soát việc cài đặt phần mềm đảm bảo tuân thủ theo quy chế an toàn, an ninh của đơn vị.

Mục 5. CÁC BIỆN PHÁP QUẢN LÝ TRUY CẬP

Điều 17. Yêu cầu nghiệp vụ đối với kiểm soát truy cập

1. Quy định về quản lý truy cập đối với người sử dụng, nhóm người sử dụng, các thiết bị, công cụ sử dụng để truy cập đảm bảo đáp ứng yêu cầu nghiệp vụ và yêu cầu an toàn, an ninh, bao gồm các nội dung cơ bản sau:

a) Đăng ký, cấp phát, gia hạn và thu hồi quyền truy cập;

b) Giới hạn và kiểm soát các truy cập sử dụng tài khoản quản trị hệ thống;

c) Quản lý, cấp phát mã khóa bí mật về truy cập mạng, hệ điều hành, hệ thống thông tin và ứng dụng;

d) Rà soát, kiểm tra, xét duyệt lại quyền truy cập của người sử dụng;

đ) Yêu cầu, điều kiện an toàn, an ninh đối với các thiết bị, công cụ sử dụng để truy cập.

2. Quy định về quản lý mã khóa bí mật phải đáp ứng các yêu cầu sau:

a) Có quy định về độ phức tạp của mã khóa bí mật. Các yêu cầu về độ phức tạp của mã khóa bí mật hợp lệ phải được kiểm tra tự động khi thiết lập;

b) Các mã khóa bí mật mặc định của nhà sản xuất cài đặt sẵn trên các trang thiết bị, phần mềm, cơ sở dữ liệu phải được thay đổi trước khi đưa vào sử dụng.

3. Có quy định trách nhiệm bảo quản mã khóa bí mật của người sử dụng khi được cấp quyền truy cập.

Điều 18. Quy định về kiểm soát truy cập mạng

1. Đơn vị phải ban hành các quy định về quản lý kết nối, truy cập, trách nhiệm cá nhân của người sử dụng khi truy cập, sử dụng các hệ thống mạng, thông tin sau:

a) Mạng Internet;

b) Mạng nội bộ;

c) Hệ thống thông tin và các ứng dụng.

2. Đơn vị phải có biện pháp kiểm soát, bảo đảm người sử dụng tuân thủ các quy định đề ra.

Mục 6. TIẾP NHẬN, PHÁT TRIỂN, DUY TRÌ HỆ THỐNG THÔNG TIN

Điều 19. Yêu cầu về an toàn, an ninh cho hệ thống thông tin

Khi xây dựng mới hoặc nâng cấp, cải tiến hệ thống thông tin, đơn vị phải:

1. Xây dựng các yêu cầu về an toàn, an ninh đồng thời với việc đưa ra các yêu cầu kỹ thuật, nghiệp vụ.

2. Đánh giá, xác định cấp độ và tuân thủ đầy đủ các quy định về bảo đảm an toàn thông tin của hệ thống theo cấp độ tương ứng.

3. Xây dựng các yêu cầu về trách nhiệm cập nhật, vá lỗi, khắc phục lỗ hổng bảo mật... (hạn chế để lửng, nên liệt kê đầy đủ) của hệ thống thông tin, được phát hiện trong quá trình vận hành.

4. Xây dựng kế hoạch định kỳ, kiểm tra, rà soát về an toàn an ninh thông tin trong quá trình vận hành hệ thống.

Điều 20. Đảm bảo an toàn, an ninh các ứng dụng

Các chương trình ứng dụng nghiệp vụ phải đạt các yêu cầu tối thiểu sau:

1. Kiểm tra tính hợp lệ của dữ liệu đầu vào khi nhập liệu từ người dùng hoặc các hệ thống bên ngoài.

2. Kiểm tra tính hợp lệ của dữ liệu trao đổi giữa các thành phần của hệ thống.

3. Có các biện pháp đảm bảo tính xác thực và tính toàn vẹn dữ liệu.

4. Kiểm tra tính hợp lệ của dữ liệu xuất ra từ các ứng dụng.

5. Mã khóa bí mật của người sử dụng trong các hệ thống thông tin quan trọng phải được mã hóa ở lớp ứng dụng.

Điều 21. Quản lý mật mã

1. Quy định và đưa vào sử dụng các biện pháp mã hóa mật mã theo các chuẩn quốc gia hoặc quốc tế đã được công nhận, có biện pháp quản lý khóa để bảo vệ thông tin.

2. Dữ liệu về mã khóa bí mật người sử dụng và các dữ liệu nhạy cảm khác phải được mã hóa, bảo vệ khi truyền qua mạng và khi lưu trữ.

Điều 22. Quản lý sự thay đổi hệ thống thông tin

Ban hành quy trình, biện pháp quản lý và kiểm soát sự thay đổi hệ thống thông tin, tối thiểu bao gồm:

1. Có quy định để đảm bảo hệ thống hoạt động ổn định, an toàn khi thay đổi các phần mềm hệ thống như hệ điều hành, hệ quản trị cơ sở dữ liệu.

2. Kiểm soát chặt chẽ việc sửa đổi mã nguồn phần mềm.

3. Giám sát, quản lý chặt chẽ việc thuê mua phần mềm bên ngoài.

Mục 7. QUẢN LÝ SẢN PHẨM, DỊCH VỤ CỦA BÊN THỨ BA

Điều 23. Ký kết hợp đồng với bên thứ ba

Đơn vị phải thực hiện:

1. Xác định rõ trách nhiệm, quyền hạn và nghĩa vụ của các bên về an toàn, an ninh công nghệ thông tin khi ký hợp đồng. Hợp đồng với bên thứ ba phải bao gồm các điều khoản về việc xử lý vi phạm và trách nhiệm bồi thường thiệt hại của bên thứ ba do vi phạm của bên thứ ba gây ra.

2. Đơn vị không được thuê bên thứ ba thực hiện toàn bộ công việc quản trị (chỉnh sửa cấu hình, dữ liệu, nhật ký) đối với các hệ thống thông tin quan trọng.

Điều 24. Trách nhiệm của đơn vị trong quản lý các dịch vụ do bên thứ ba cung cấp

1. Cung cấp, thông báo và yêu cầu bên thứ ba thực hiện các quy định của đơn vị về an toàn bảo mật hệ thống thông tin.

2. Đảm bảo triển khai, duy trì các biện pháp an toàn, an ninh của dịch vụ do bên thứ ba cung cấp theo đúng thỏa thuận.

3. Xác định và ghi rõ các tính năng an toàn, các mức độ bảo mật của dịch vụ và yêu cầu quản lý trong các thỏa thuận về dịch vụ do bên thứ ba cung cấp.

4. Áp dụng các biện pháp giám sát chặt chẽ và giới hạn quyền truy cập của bên thứ ba khi cho phép họ truy cập vào hệ thống thông tin của đơn vị.

5. Giám sát nhân sự của bên thứ ba trong quá trình thực hiện hợp đồng. Khi phát hiện nhân sự bên thứ ba vi phạm quy định về an toàn bảo mật phải thông báo và phối hợp với bên thứ ba áp dụng biện pháp xử lý kịp thời.

6. Thu hồi quyền truy cập hệ thống thông tin đã được cấp cho bên thứ ba, thay đổi các khóa, mã khóa bí mật nhận bàn giao từ bên thứ ba ngay sau khi hoàn thành công việc hoặc kết thúc hợp đồng.

Điều 25. Trách nhiệm của bên thứ ba khi cung cấp dịch vụ công nghệ thông tin

1. Ký và thực hiện cam kết bảo mật thông tin cả trong quá trình triển khai và sau khi hoàn tất hợp đồng.

2. Lập kế hoạch, bố trí nhân sự và các nguồn lực khác để thực hiện hợp đồng. Thông báo danh sách nhân sự triển khai cho bên ký kết hợp đồng và phải được đơn vị chấp thuận. Nhân sự bên thứ ba phải ký cam kết không tiết lộ thông tin quan trọng của bên ký kết hợp đồng.

3. Bàn giao tài sản, quyền truy cập hệ thống thông tin do bên ký kết hợp đồng cung cấp khi hoàn thành công việc hoặc kết thúc hợp đồng.

Mục 8. QUẢN LÝ SỰ CỐ AN TOÀN THÔNG TIN MẠNG

Điều 26. Quy trình xử lý sự cố

1. Tiếp nhận thông tin sự cố.

2. Xác thực sự cố.

3. Thông tin cho Lãnh đạo về sự cố.

4. Cô lập hệ thống (bật hệ thống dự phòng nếu có).

5. Thu thập thông tin về sự cố.

6. Phân tích thông tin về sự cố.

7. Xử lý sự cố (yêu cầu hỗ trợ nếu cần).

8. Phục hồi hệ thống (tắt hệ thống dự phòng).

9. Tổng kết đánh giá kết quả.

10. Báo cáo Lãnh đạo và các đơn vị liên quan.

Điều 27. Nguyên tắc kiểm soát và khắc phục sự cố

1. Các sự cố mất an toàn thông tin mạng phải được lập tức báo cáo đến những người có thẩm quyền và những người có liên quan.

2. Xác định nguyên nhân và thực hiện các biện pháp phòng ngừa.

3. Quá trình xử lý sự cố phải được ghi chép và lưu trữ. Thực hiện biện pháp bảo vệ, chống chỉnh sửa, hủy hoại đối với tài liệu lưu trữ về sự cố.

4. Thu thập, ghi chép, bảo toàn bằng chứng, chứng cứ phục vụ cho việc kiểm tra, xử lý, khắc phục và phòng ngừa sự cố.

Mục 9. ĐẢM BẢO HOẠT ĐỘNG LIÊN TỤC CỦA CÁC HỆ THỐNG THÔNG TIN

Điều 28. Xây dựng hệ thống dự phòng

1. Đơn vị phải xây dựng hệ thống dự phòng cho các hệ thống thông tin quan trọng.

2. Từng hệ thống dự phòng phải đảm bảo khả năng thay thế hệ thống chính trong thời gian tối đa bốn giờ đồng hồ tính từ thời điểm hệ thống chính có sự cố không khắc phục được.

Điều 29. Xây dựng quy trình đảm bảo hoạt động liên tục

1. Xây dựng quy trình xử lý các tình huống gián đoạn hoạt động của từng cấu phần trong hệ thống thông tin như máy chủ, thiết bị mạng,...

2. Quy trình xử lý phải được kiểm tra và cập nhật khi có sự thay đổi của hệ thống thông tin, cơ cấu tổ chức, nhân sự và phân công trách nhiệm của các bộ phận có liên quan trong đơn vị.

3. Hệ thống dự phòng cần được định kỳ kiểm tra để luôn đảm bảo tính sẵn sàng khi xảy ra các sự cố an toàn thông tin

Mục 10. CHẾ ĐỘ BÁO CÁO

Điều 30. Chế độ báo cáo

Đơn vị trực thuộc Bộ Giao thông vận tải có trách nhiệm gửi báo cáo về Bộ Giao thông vận tải (qua Trung tâm Công nghệ thông tin) như sau:

1. Báo cáo năm

a) Nội dung báo cáo:

- Việc thực hiện bảo đảm an toàn, an ninh thông tin theo quy định tại Quy chế này;

- Các nội dung chỉnh sửa, bổ sung quy chế an toàn, an ninh thông tin của đơn vị (nếu có).

b) Thời hạn gửi báo cáo: trước ngày 31 tháng 01 của năm tiếp theo.

2. Báo cáo đột xuất

a) Các sự cố mất an toàn thông tin mạng:

- Thời hạn gửi báo cáo: trong thời gian 03 (ba) ngày kể từ thời điểm vụ, việc được phát hiện;

- Nội dung vụ, việc;

- Thời gian, địa điểm phát sinh vụ, việc;

- Nguyên nhân xảy ra vụ, việc (nếu có);

- Đánh giá rủi ro, ảnh hưởng đối với hệ thống thông tin và nghiệp vụ tại nơi xảy ra vụ, việc và những địa điểm khác có liên quan;

- Các biện pháp đơn vị đã tiến hành để ngăn chặn, khắc phục và phòng ngừa rủi ro;

- Kiến nghị, đề xuất.

b) Các trường hợp đột xuất khác theo yêu cầu của Bộ Giao thông vận tải.

Chương III

ĐIỀU KHOẢN THI HÀNH

Điều 31. Trách nhiệm thi hành

1. Trung tâm Công nghệ thông tin có trách nhiệm:

a) Theo dõi, tổng hợp báo cáo Bộ trưởng tình hình thực hiện công tác bảo đảm an toàn, an ninh thông tin của các đơn vị theo quy định tại Quy chế này;

b) Hàng năm lập kế hoạch và kiểm tra việc thực hiện Quy chế này tại các đơn vị;

c) Chủ trì, phối hợp với các đơn vị liên quan thuộc Bộ Giao thông vận tải xử lý các vướng mắc phát sinh trong quá trình triển khai thực hiện Quy chế này.

2. Thủ trưởng các đơn vị liên quan thuộc Bộ Giao thông vận tải có trách nhiệm tổ chức thực hiện Quy chế này.

3. Trong quá trình thực hiện nếu có vấn đề phát sinh, vướng mắc, các đơn vị phản ánh kịp thời về Bộ Giao thông vận tải (qua Trung tâm Công nghệ thông tin) để xem xét, bổ sung, sửa đổi./.