BỘ TÀI NGUYÊN
VÀ
MÔI TRƯỜNG
-------
|
CỘNG
HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM
Độc lập - Tự do - Hạnh phúc
---------------
|
Số: 3210/QĐ-BTNMT
|
Hà
Nội, ngày 24 tháng 10
năm 2018
|
QUYẾT ĐỊNH
BAN HÀNH QUY CHẾ BẢO ĐẢM AN TOÀN, AN NINH THÔNG TIN MẠNG BỘ TÀI NGUYÊN VÀ
MÔI TRƯỜNG
BỘ TRƯỞNG BỘ TÀI NGUYÊN VÀ MÔI TRƯỜNG
Căn cứ Luật An toàn thông tin mạng
ngày 19 tháng 11 năm 2015;
Căn cứ Nghị định số 85/2016/NĐ-CP
ngày 01 tháng 7 năm 2016 của Chính phủ về bảo đảm an toàn hệ thống thông tin
theo cấp độ;
Căn cứ Nghị định số 142/2016/NĐ-CP
ngày 01 tháng 7 năm 2016 của Chính phủ về ngăn chặn xung đột thông tin trên mạng;
Căn cứ Quyết định số
05/2017/QĐ-TTg ngày 16 tháng 3 năm 2017 của Thủ tướng Chính phủ ban hành Quy định
về hệ thống phương án ứng cứu khẩn cấp bảo đảm an toàn thông tin mạng quốc gia;
Căn cứ Quyết định số 632/QĐ-TTg
ngày 10 tháng 5 năm 2017 của Thủ tướng Chính phủ ban hành Danh mục lĩnh vực
quan trọng cần ưu tiên bảo đảm an toàn thông tin mạng và hệ thống thông tin
quan trọng quốc gia;
Căn cứ Quyết định số 1622/QĐ-TTg
ngày 25 tháng 10 năm 2017 của Thủ tướng Chính phủ về việc phê duyệt Đề án đẩy mạnh
hoạt động của mạng lưới ứng cứu sự cố, tăng cường năng lực cho cán bộ, bộ phận
chuyên trách ứng cứu sự cố an toàn thông tin mạng trên toàn quốc đến 2020, định
hướng đến 2025;
Căn cứ Nghị định số 36/2017/NĐ-CP
ngày 04 tháng 4 năm 2017 của Chính phủ quy định chức năng, nhiệm vụ, quyền hạn
và cơ cấu tổ chức của Bộ Tài nguyên và Môi trường;
Căn cứ Thông tư số
03/2017/TT-BTTTT ngày 24 tháng 4 năm 2017 của Bộ Thông tin và Truyền thông quy
định chi tiết và hướng dẫn một số điều của Nghị định số 85/2016/NĐ-CP ngày 01
tháng 7 năm 2016 của Chính phủ về bảo đảm an toàn hệ thống thông tin theo cấp độ;
Căn cứ Thông tư số 20/2017/TT-BTTTT
ngày 12 tháng 9 năm 2017 của Bộ Thông tin và Truyền thông quy định về điều phối,
ứng cứu sự cố an toàn thông tin mạng trên toàn quốc;
Căn cứ Thông tư số
31/2017/TT-BTTTT ngày 15 tháng 11 năm 2017 của Bộ Thông tin và Truyền thông quy
định hoạt động giám sát an toàn hệ thống thông tin;
Căn cứ Quyết định số 2582/QĐ-BKHCN
ngày 25 tháng 9 năm 2017 của Bộ trưởng Bộ Khoa học và Công nghệ về việc công bố
Tiêu chuẩn quốc gia TCVN 11930:2017 yêu cầu cơ bản về an toàn hệ thống thông
tin theo cấp độ;
Căn cứ Quyết định số 3313/QĐ-BTNMT
ngày 25 tháng 12 năm 2017 của Bộ trưởng Bộ Tài nguyên và Môi trường về ban hành
kế hoạch triển khai nhiệm vụ bảo đảm an toàn, an ninh thông tin của Bộ Tài
nguyên và Môi trường;
Xét đề nghị của Cục trưởng Cục
Công nghệ thông tin và Dữ liệu tài nguyên môi trường,
QUYẾT ĐỊNH:
Điều 1. Ban hành kèm theo Quyết định này Quy chế bảo đảm
an toàn, an ninh thông tin mạng Bộ Tài nguyên và Môi trường.
Điều 2. Quyết định này có hiệu lực từ ngày ký.
Điều 3. Chánh Văn phòng Bộ, Cục trưởng Cục Công nghệ
thông tin và Dữ liệu tài nguyên môi trường, Thủ trưởng các đơn vị trực thuộc Bộ
Tài nguyên và Môi trường, công chức, viên chức Bộ Tài nguyên và Môi trường và tổ
chức, cá nhân có liên quan chịu trách nhiệm thi hành Quyết định này./.
Nơi nhận:
- Như Điều 3;
- Bộ trưởng, các Thứ trưởng;
- Bộ Thông tin và Truyền thông;
- Bộ Công an;
- Bộ Quốc phòng;
- Sở Tài nguyên và Môi trường các tỉnh, thành phố;
- Cổng thông tin điện tử Bộ;
- Lưu: VT, VP, CNTT.
|
BỘ TRƯỞNG
Trần Hồng Hà
|
QUY CHẾ
BẢO ĐẢM AN TOÀN, AN NINH THÔNG TIN MẠNG BỘ TÀI NGUYÊN VÀ MÔI TRƯỜNG
(Kèm theo Quyết định số 3210/QĐ-BTNMT
ngày 24 tháng 10 năm 2018 của Bộ trưởng Bộ Tài
nguyên và Môi trường)
Chương I
QUY ĐỊNH CHUNG
Điều 1. Phạm vi
điều chỉnh và đối tượng áp dụng
1. Phạm vi điều chỉnh: Quy chế này
quy định về bảo đảm an toàn, an ninh thông tin mạng trong các hoạt động của Bộ
Tài nguyên và Môi trường và các đơn vị trực thuộc Bộ.
2. Đối tượng áp dụng:
a) Các đơn vị trực thuộc Bộ Tài
nguyên và Môi trường (sau đây gọi là đơn vị trực thuộc Bộ) và cán bộ, công chức,
viên chức và người lao động thuộc các đơn vị trực thuộc Bộ.
b) Cơ quan, tổ chức, cá nhân có kết nối
vào hệ thống mạng của Bộ Tài nguyên và Môi trường.
c) Cơ quan, tổ chức, cá nhân cung cấp
dịch vụ công nghệ thông tin và an toàn thông tin mạng cho các đơn vị trực thuộc
Bộ.
Điều 2. Giải
thích từ ngữ
Trong Quy chế này, các từ ngữ dưới
đây được hiểu như sau:
1. Bảo đảm an toàn thông tin mức vật
lý là việc bảo vệ hệ thống hạ tầng kỹ thuật, phần mềm, ứng dụng và cơ sở dữ
liệu khỏi các mối nguy hiểm vật lý (như: cháy, nổ; nhiệt độ, độ ẩm ngoài mức
cho phép; thiên tai; mất điện; tác động cơ học) có thể gây ảnh hưởng đến hoạt động
của hệ thống;
2. Không gian mạng là mạng lưới
kết nối của cơ sở hạ tầng công nghệ thông tin, bao gồm mạng viễn thông, mạng
internet, hệ thống máy tính, hệ thống xử lý và điều khiển thông tin, cơ sở dữ
liệu, là nơi con người thực hiện các hành vi xã hội không bị giới hạn bởi không
gian và thời gian;
3. Hạ tầng kỹ thuật là tập hợp
các thiết bị tính toán, lưu trữ, thiết bị ngoại vi, thiết bị kết nối mạng, thiết
bị phụ trợ, đường truyền, mạng nội bộ, mạng diện rộng;
4. Trang thông tin điện tử là
trang thông tin hoặc tập hợp trang thông tin trên môi trường mạng phục vụ cho
việc cung cấp, trao đổi thông tin;
5. Cổng thông tin điện tử là
điểm truy nhập duy nhất của cơ quan, đơn vị trên môi trường mạng, liên kết,
tích hợp các kênh thông tin, các dịch vụ và các ứng dụng mà qua đó người dùng
có thể khai thác, sử dụng và cá nhân hóa việc hiển thị thông tin;
6. Phần mềm độc hại là phần mềm
có khả năng gây ra hoạt động không bình thường cho một phần hay toàn bộ hệ thống
thông tin hoặc thực hiện sao chép, sửa đổi, xóa bỏ trái phép thông tin lưu trữ
trong hệ thống thông tin.
Điều 3. Nguyên
tắc bảo đảm an toàn, an ninh thông tin mạng
1. Bảo đảm an toàn, an ninh thông tin
là yêu cầu bắt buộc, thường xuyên, liên tục, có tính xuyên suốt quá trình liên
quan đến thông tin và thiết kế, xây dựng, vận hành, nâng cấp, hủy bỏ hệ thống
thông tin. Bảo đảm an toàn, an ninh thông tin tuân thủ các nguyên tắc chung quy
định tại Điều 4 Luật An toàn thông tin mạng và Điều
4 Nghị định số 85/2016/NĐ-CP.
2. Các đơn vị trực thuộc Bộ có trách
nhiệm bảo đảm an toàn, an ninh thông tin mạng của đơn vị mình; bố trí nhân sự
chuyên trách chịu trách nhiệm bảo đảm an toàn, an ninh thông tin mạng; xác định
rõ quyền hạn, trách nhiệm của Thủ trưởng đơn vị, từng bộ phận, cá nhân trong
đơn vị đối với công tác bảo đảm an toàn, an ninh thông tin mạng.
3. Cán bộ, công chức, viên chức và
người lao động trong các đơn vị trực thuộc Bộ có trách nhiệm bảo đảm an toàn,
an ninh thông tin trong phạm vi xử lý công việc của mình theo quy định của Nhà
nước và của Bộ Tài nguyên và Môi trường.
4. Các nhiệm vụ, dự án ứng dụng công
nghệ thông tin hoặc có cấu phần công nghệ thông tin phải có ý kiến thẩm định nội
dung liên quan đến an toàn, an ninh thông tin, phê duyệt hồ sơ cấp độ và phương
án bảo đảm an toàn hệ thống thông tin theo cấp độ trước khi được phê duyệt.
5. Thông tin mật, thông tin thuộc
Danh mục bí mật nhà nước ngành tài nguyên môi trường phải được bảo vệ theo quy
định của Nhà nước, quy định của Bộ Tài nguyên và Môi trường về công tác bảo vệ
bí mật nhà nước và các nội dung tương ứng trong Quy chế này.
6. Xử lý sự cố an toàn thông tin phải
phù hợp với trách nhiệm, quyền hạn và bảo đảm lợi ích hợp pháp của cơ quan, đơn
vị, cá nhân liên quan và theo quy định của pháp luật.
Điều 4. Các hành
vi bị nghiêm cấm
1. Các hành vi bị nghiêm cấm quy định
tại Điều 7 Luật An toàn thông tin mạng.
2. Tự ý đấu nối thiết bị mạng, thiết
bị cấp phát địa chỉ mạng, thiết bị phát sóng như điểm truy cập mạng không dây của
cá nhân vào mạng nội bộ; tự ý thay đổi, gỡ bỏ biện pháp an toàn thông tin cài đặt
trên thiết bị công nghệ thông tin phục vụ công việc; tự ý thay thế, lắp mới, tráo đổi thành phần của máy tính phục vụ công việc.
3. Tạo ra, cài đặt, phát tán phần mềm
độc hại.
4. Cản trở hoạt động cung cấp dịch vụ
của hệ thống thông tin; ngăn chặn việc truy nhập đến thông tin của cơ quan, cá
nhân khác trên môi trường mạng, trừ trường hợp pháp luật cho phép.
5. Bẻ khóa, trộm cắp, sử dụng mật khẩu,
khóa mật mã và thông tin của cơ quan, cá nhân khác trên môi trường mạng.
6. Các hành vi khác làm mất an toàn, bí
mật thông tin của cơ quan, cá nhân khác được trao đổi, truyền đưa, lưu trữ trên
môi trường mạng.
Chương II
QUY ĐỊNH BẢO ĐẢM
AN TOÀN, AN NINH THÔNG TIN MẠNG
Điều 5. Quản lý
trang thiết bị công nghệ thông tin
1. Giao, gắn trách nhiệm cho cá nhân
hoặc tập thể quản lý, sử dụng trang thiết bị công nghệ thông tin.
2. Quy định các quy tắc sử dụng, giữ
gìn bảo vệ trang thiết bị công nghệ thông tin trong các trường hợp như: mang ra
khỏi cơ quan, trang thiết bị công nghệ thông tin liên quan đến dữ liệu nhạy cảm,
cài đặt và cấu hình.
3. Trang thiết bị công nghệ thông tin
có lưu trữ dữ liệu nhạy cảm khi thay đổi mục đích sử dụng hoặc thanh lý, đơn vị
phải thực hiện các biện pháp xóa, tiêu hủy dữ liệu đó đảm bảo không có khả năng
phục hồi. Trường hợp không thể tiêu hủy được dữ liệu, đơn vị phải thực hiện
tiêu hủy cấu phần lưu trữ dữ liệu trên trang thiết bị công nghệ thông tin đó.
4. Thiết bị tính toán có bộ phận lưu
trữ hoặc thiết bị lưu trữ khi mang đi bảo hành, bảo dưỡng, sửa chữa bên ngoài
hoặc ngừng sử dụng phải tháo bộ phận lưu trữ khỏi thiết bị hoặc xóa thông tin,
dữ liệu lưu trữ trên thiết bị (trừ trường hợp để khôi phục dữ liệu).
5. Các đơn vị trực thuộc Bộ có trách
nhiệm xây dựng quy trình bảo dưỡng, bảo trì và hướng dẫn cách sử dụng, quản lý,
vận hành hệ thống hạ tầng kỹ thuật của mình; chỉ định bộ phận chuyên trách về
công nghệ thông tin thực hiện quản lý, vận hành và định kỳ kiểm tra, sửa chữa,
bảo trì thiết bị (bao gồm thiết bị đang hoạt động và thiết bị dự phòng).
Điều 6. Quản lý
cán bộ, công chức, viên chức và người lao động
1. Các đơn vị trực thuộc Bộ vị phải
xây dựng các yêu cầu, trách nhiệm bảo đảm an toàn, an ninh thông tin đối với từng
vị trí công việc. Sau khi tuyển dụng, tiếp nhận nhân sự mới, đơn vị phải có trách
nhiệm phổ biến cho nhân sự mới các quy định về bảo đảm an toàn, an ninh thông
tin tại đơn vị; đối với các vị trí tiếp xúc, quản lý các thông tin, dữ liệu
quan trọng hoặc quản trị các hệ thống thông tin quan trọng, đơn vị phải yêu cầu
nhân sự mới cam kết bảo mật thông tin bằng văn bản hoặc cam kết trong hợp đồng
làm việc, hợp đồng lao động.
2. Các đơn vị trực thuộc Bộ vị phải
thường xuyên tổ chức quán triệt các quy định về an toàn, an ninh thông tin, nhằm
nâng cao nhận thức về trách nhiệm bảo đảm an toàn thông tin của từng cá nhân
trong đơn vị.
3. Các đơn vị trực thuộc Bộ phải xây
dựng quy trình cấp mới, quản lý và thu hồi tài khoản, phân quyền truy cập các hệ
thống thông tin và tất cả các tài sản liên quan đến hệ thống thông tin đối với
các cá nhân do đơn vị quản lý.
4. Khi cán bộ, công chức, viên chức
và người lao động chấm dứt hoặc thay đổi công việc, cơ quan, đơn vị phải:
a) Xác định rõ trách nhiệm của cán bộ,
nhân viên và các bên liên quan trong quản lý, sử dụng các tài sản công nghệ
thông tin được giao.
b) Lập biên bản bàn giao tài sản công
nghệ thông tin.
c) Thay đổi hoặc thu hồi quyền truy cập
các hệ thống thông tin.
Điều 7. Bảo đảm
an toàn hệ thống công nghệ thông tin
1. Bảo đảm an toàn thông tin đối với
trung tâm dữ liệu/phòng máy chủ
a) Các thiết bị kết nối mạng, thiết bị
bảo mật quan trọng như tường lửa (firewall), thiết bị định tuyến (router), hệ
thống máy chủ, hệ thống lưu trữ SAN, NAS, ... phải được đặt trong trung tâm dữ
liệu/phòng máy chủ và phải được thiết lập cơ chế bảo vệ, theo dõi phát hiện xâm
nhập và biện pháp kiểm soát truy nhập, kết nối vật lý phù hợp với từng khu vực:
máy chủ và hệ thống lưu trữ; tủ mạng và đầu nối; thiết bị nguồn điện và dự
phòng điện khẩn cấp; vận hành, kiểm soát, quản trị hệ thống. Đơn vị chủ quản
trung tâm dữ liệu/phòng máy chủ có trách nhiệm xây dựng nội quy hoặc hướng dẫn
làm việc khu vực này.
b) Trung tâm dữ liệu/phòng máy chủ là
khu vực hạn chế tiếp cận và được lắp đặt hệ thống camera giám sát. Chỉ những cá
nhân có quyền, nhiệm vụ theo quy định của thủ trưởng đơn vị mới được phép vào
trung tâm dữ liệu/phòng máy chủ. Quá trình vào, ra phòng máy chủ phải được ghi
nhận vào nhật ký quản lý trung tâm dữ liệu/phòng máy chủ.
c) Trung tâm dữ liệu/phòng máy chủ phải
được trang bị hệ thống lưu điện đủ công suất và duy trì thời gian hoạt động của
các máy chủ ít nhất 15 phút khi có sự cố mất điện.
d) Trung tâm dữ liệu/phòng máy chủ phải
có hệ thống giám sát nhiệt độ, độ ẩm để đảm bảo môi trường vận hành; hệ thống cảnh
báo cháy, hệ thống chữa cháy tự động bằng khí, thiết bị phòng cháy, chữa cháy
khẩn cấp; hệ thống cảnh báo hệ thống nguồn điện; hệ thống chống sét lan truyền.
Tất cả các cảnh báo này phải được gửi đến các cá nhân có trách nhiệm qua tin nhắn
hoặc thư điện tử. Đơn vị phải cử cán bộ thường xuyên giám sát thiết bị, hạ tầng
của trung tâm dữ liệu/phòng máy chủ.
2. Bảo đảm an toàn thông tin khi sử dụng
máy tính
a) Cá nhân chỉ cài đặt phần mềm hợp lệ
và thuộc danh mục phần mềm được phép sử dụng do cơ quan có thẩm quyền ban hành
trên máy tính được đơn vị cấp cho mình; không được tự ý cài đặt hoặc gỡ bỏ các
phần mềm khi chưa có sự đồng ý của bộ phận chuyên trách về công nghệ thông tin;
thường xuyên cập nhật phần mềm và hệ điều hành.
b) Cài đặt phần mềm xử lý phần mềm độc
hại và thiết lập chế độ tự động cập nhật cơ sở dữ liệu cho phần mềm; khi phát
hiện bất kỳ dấu hiệu nào liên quan đến việc bị nhiễm phần mềm độc hại trên máy
tính phải tắt máy và báo trực tiếp cho bộ phận chuyên trách về công nghệ thông
tin để được xử lý kịp thời.
c) Chỉ truy nhập vào các trang/cổng
thông tin điện tử, ứng dụng trực tuyến tin cậy và các thông tin phù hợp với chức
năng, trách nhiệm, quyền hạn của mình; có trách nhiệm bảo mật tài khoản truy nhập
thông tin, không chia sẻ mật khẩu, thông tin cá nhân với người khác.
3. Bảo đảm an toàn thông tin đối với
hệ thống mạng máy tính
a) Hệ thống mạng nội bộ (LAN) phải được
thiết kế phân vùng theo chức năng cơ bản (theo các chính sách an toàn thông tin
riêng), bao gồm: vùng mạng người dùng; vùng mạng kết nối hệ thống ra bên ngoài
Internet và các mạng khác; vùng mạng máy chủ công cộng; vùng mạng máy chủ nội bộ;
vùng mạng máy chủ quản trị. Dữ liệu trao đổi giữa các vùng mạng phải được quản
lý, giám sát bởi hệ thống các thiết bị mạng, thiết bị bảo mật.
b) Đơn vị trực thuộc Bộ tham gia kết
nối, sử dụng hệ thống mạng diện rộng (WAN) của Bộ Tài nguyên và Môi trường có
trách nhiệm bảo đảm an toàn thông tin đối với hệ thống mạng nội bộ và các thiết
bị của mình khi thực hiện kết nối vào mạng diện rộng; Thông báo sự cố hoặc các
hành vi phá hoại, xâm nhập về Cục Công nghệ thông tin và Dữ liệu tài nguyên môi
trường để xử lý; Định kỳ sao lưu thông tin, dữ liệu dùng chung lưu trữ trên mạng
diện rộng; Không được tiết lộ phương thức (tên đăng ký, mật khẩu, tiện ích, tệp
hỗ trợ và các cách thức khác) để truy nhập vào hệ thống mạng diện rộng cho tổ
chức, cá nhân khác; Không được tìm cách truy nhập dưới bất cứ hình thức nào vào
các khu vực không được phép truy nhập.
c) Các đơn vị trực thuộc Bộ phải áp dụng
các biện pháp kỹ thuật cần thiết bảo đảm an toàn thông tin trong hoạt động kết
nối Internet, tối thiểu đáp ứng các yêu cầu sau: có hệ thống tường lửa và hệ thống
bảo vệ truy nhập Internet, đáp ứng nhu cầu kết nối đồng thời, hỗ trợ các công
nghệ mạng riêng ảo thông dụng và có phần cứng mã hóa tích hợp để tăng tốc độ mã
hóa dữ liệu và có khả năng bảo vệ hệ thống trước các loại tấn công từ chối dịch
vụ (DDoS); Lọc bỏ, không cho phép truy nhập các trang tin có nghi ngờ chứa mã độc
hoặc các nội dung không phù hợp;
d) Các đường truyền dữ liệu, đường
truyền Internet và các hệ thống dây dẫn các mạng LAN, WAN phải được lắp đặt
trong ống, máng che đậy kín, hạn chế khả năng tiếp cận trái phép. Ngắt kết nối
cổng Ethernet không sử dụng, đặc biệt là ở khu vực làm việc chung của các cơ
quan, đơn vị.
4. Quản lý tài khoản truy cập
a) Cá nhân sử dụng hệ thống thông tin
được cấp và sử dụng tài khoản truy nhập với định danh duy nhất gắn với cá nhân
đó. Các hệ thống thông tin dùng chung của Bộ sử dụng cơ chế đăng nhập một lần,
chung một tài khoản truy nhập và mật khẩu.
b) Trường hợp cá nhân thay đổi vị trí
công tác, chuyển công tác, thôi việc hoặc nghỉ hưu, cơ quan, trong vòng không
quá 05 ngày làm việc, đơn vị quản lý cá nhân đó phải thông báo cơ quan, đơn vị
chủ quản hệ thống thông tin để điều chỉnh, thu hồi, hủy bỏ các quyền sử dụng đối
với hệ thống thông tin.
c) Tài khoản quản trị hệ thống (mạng,
hệ điều hành, thiết bị kết nối mạng, phần mềm, ứng dụng, cơ sở dữ liệu) phải
tách biệt với tài khoản truy nhập của người sử dụng thông thường. Tài khoản hệ thống
phải được giao đích danh cá nhân làm công tác quản trị. Hạn chế dùng chung tài
khoản quản trị.
d) Khi có yêu cầu khóa quyền truy cập
hệ thống thông tin của tài khoản đang hoạt động, lãnh đạo đơn vị phải yêu cầu bằng
văn bản gửi đơn vị chủ quản hệ thống thông tin. Đơn vị vận hành hệ thống thông
tin thực hiện việc khóa quyền truy cập của tài khoản khi có chỉ đạo của đơn vị
chủ quản hệ thống thông tin. Đơn vị chủ quản hệ thống thông tin có quyền khóa
quyền truy cập của tài khoản trong trường hợp tài khoản đó thực hiện các hành
vi tấn công hoặc để xảy ra vấn đề mất an toàn, an ninh thông tin.
đ) Việc quản lý tài khoản thư điện tử
của Bộ Tài nguyên và Môi trường theo quy định của Quy chế quản lý, sử dụng hệ
thống thư điện tử của Bộ Tài nguyên và Môi trường (Quyết định số 2019/QĐ-BTNMT
ngày 01/9/2016). Công tác phòng chống thư rác theo quy định tại Nghị định số
90/2008/NĐ-CP và hướng dẫn tại các Thông tư số 12/2008/TT-BTTTT ; 77/2012/NĐ-CP .
5. Bảo đảm an toàn thông tin mức ứng
dụng
a) Yêu cầu về bảo đảm an toàn thông
tin phải được đưa vào tất cả các công đoạn thiết kế, xây dựng, triển khai và vận
hành, sử dụng phần mềm, ứng dụng.
b) Phần mềm, ứng dụng phải đáp ứng
các yêu cầu sau: cấu hình phần mềm, ứng dụng để xác thực người sử dụng; giới hạn
số lần đăng nhập sai liên tiếp; giới hạn thời gian để chờ đóng phiên kết nối;
mã hóa thông tin xác thực trên hệ thống; không khuyến khích việc đăng nhập tự động.
c) Thiết lập, phân quyền truy nhập,
quản trị, sử dụng tài nguyên khác nhau của phần mềm, ứng dụng với người sử dụng/nhóm
người sử dụng có chức năng, yêu cầu nghiệp vụ khác nhau; tách biệt cổng giao tiếp
quản trị phần mềm ứng dụng với cổng giao tiếp cung cấp dịch vụ; đóng các cổng
giao tiếp không sử dụng.
d) Chỉ cho phép sử dụng các giao thức
mạng có hỗ trợ chức năng mã hóa thông tin như SSH, SSL, VPN hoặc tương đương
khi truy nhập, quản trị phần mềm, ứng dụng từ xa trên môi trường mạng; hạn chế
truy cập đến mã nguồn của phần mềm, ứng dụng và phải đặt mã nguồn trong môi trường
an toàn do bộ phận chuyên trách công nghệ thông tin quản lý.
đ) Ghi và lưu giữ bản ghi nhật ký hệ
thống của phần mềm, ứng dụng trong khoảng thời gian tối thiểu 03 tháng với những
thông tin cơ bản: thời gian, địa chỉ, tài khoản (nếu có), nội dung truy nhập và
sử dụng phần mềm, ứng dụng; các lỗi phát sinh trong quá trình hoạt động; thông
tin đăng nhập khi quản trị.
e) Phần mềm, ứng dụng cần được kiểm
tra phát hiện và khắc phục các điểm yếu về an toàn, an ninh thông tin trước khi
đưa vào sử dụng và trong quá trình sử dụng.
g) Thực hiện quy trình kiểm soát cài
đặt, cập nhật, vá lỗi bảo mật phần mềm, ứng dụng trên các máy chủ, máy tính cá
nhân, thiết bị kết nối mạng đang hoạt động thuộc hệ thống mạng nội bộ.
6. Bảo đảm an toàn thông tin mức dữ
liệu
a) Đơn vị phải thực hiện bảo vệ thông
tin, dữ liệu liên quan đến hoạt động công vụ, thông tin có nội dung quan trọng,
nhạy cảm hoặc không phải là thông tin công khai bằng các biện pháp như: thiết lập
phương án bảo đảm tính bí mật, nguyên vẹn và khả dụng của thông tin, dữ liệu;
mã hóa thông tin, dữ liệu khi lưu trữ trên hệ thống/thiết bị lưu trữ dữ liệu di
động; sử dụng chữ ký số để xác thực và bảo mật thông tin, dữ liệu.
b) Đơn vị cần triển khai hệ thống/phương
tiện lưu trữ độc lập với hệ thống lưu trữ trên các máy chủ dịch vụ để sao lưu dự
phòng; phân loại và quản lý thông tin, dữ liệu được lưu trữ theo từng loại/nhóm
thông tin được gán nhãn khác nhau; thực hiện sao lưu dự phòng các thông tin, dữ
liệu cơ bản sau: tập tin cấu hình hệ thống, ảnh hệ điều hành máy chủ, cơ sở dữ
liệu; dữ liệu, thông tin nghiệp vụ.
c) Đơn vị cần bố trí máy tính riêng
không kết nối mạng, đặt mật khẩu, mã hóa dữ liệu và các biện pháp bảo mật khác
bảo đảm an toàn thông tin để soạn thảo, lưu trữ dữ liệu, thông tin và tài liệu
quan trọng ở các mức độ mật, tuyệt mật, tối mật.
d) Các đơn vị trực thuộc Bộ phải thường
xuyên kiểm tra, giám sát các hoạt động chia sẻ, gửi, nhận thông tin, dữ liệu
trong hoạt động nội bộ của mình; khuyến cáo việc chia sẻ, gửi, nhận thông tin
trên môi trường mạng cần phải sử dụng mật khẩu để bảo vệ thông tin.
đ) Đối với hoạt động trao đổi thông
tin, dữ liệu với bên ngoài, đơn vị và cá nhân thực hiện trao đổi thông tin, dữ
liệu ra bên ngoài cam kết và có biện pháp bảo mật thông tin, dữ liệu được trao
đổi. Giao dịch trực tuyến phải được truyền đầy đủ, đúng địa chỉ, tránh bị sửa đổi,
tiết lộ hoặc nhân bản một cách trái phép; sử dụng các cơ chế xác thực mạnh, chữ
ký số khi tham gia giao dịch, sử dụng các giao thức truyền thông an toàn.
Điều 8. Xác định
cấp độ và phương án bảo đảm an toàn hệ thống thông tin
1. Việc xác định cấp độ hệ thống
thông tin và xây dựng phương án bảo vệ hệ thống thông tin theo cấp độ phục vụ mục
đích đánh giá an toàn thông tin và bảo đảm an toàn thông tin cho các hệ thống
thông tin. Nguyên tắc bảo đảm an toàn thông tin theo cấp độ và nguyên tắc xác định
cấp độ căn cứ trên các nguyên tắc quy định tại Điều 4, Điều 5
Nghị định 85/2016/NĐ-CP.
2. Chủ quản hệ thống thông tin
a) Bộ Tài nguyên và Môi trường là chủ
quản hệ thống thông tin đối với các hệ thống do Bộ quyết định đầu tư hoặc Bộ được
giao làm chủ đầu tư nhiệm vụ, dự án xây dựng, thiết lập, nâng cấp, mở rộng hệ
thống thông tin.
b) Các đơn vị trực thuộc Bộ là chủ quản
hệ thống thông tin do đơn vị quyết định đầu tư dự án xây dựng, thiết lập, nâng
cấp, mở rộng hệ thống thông tin hoặc được Bộ ủy quyền theo quy định tại Khoản 3, Điều 5 Thông tư số 03/2017/TT-BTTTT.
3. Đơn vị vận hành hệ thống thông tin
a) Giao Cục Công nghệ thông tin và Dữ
liệu tài nguyên môi trường là đơn vị vận hành các hệ thống thông tin, cơ sở dữ
liệu dùng chung của Bộ và các hệ thống thông tin do các Vụ thuộc Bộ làm chủ quản.
b) Các hệ thống thông tin trước khi
đưa vào khai thác, sử dụng phải được giao cho đơn vị quản lý, vận hành. Đơn vị
vận hành hệ thống thông tin theo quy định tại Điều 6 Thông tư số
03/2017/TT-BTTTT.
4. Đơn vị chuyên trách về an toàn
thông tin
a) Cục Công nghệ thông tin và Dữ liệu
tài nguyên môi trường là đơn vị chuyên trách về an toàn thông tin của Bộ Tài
nguyên và Môi trường.
b) Đơn vị chuyên trách về công nghệ
thông tin tại các đơn vị trực thuộc Bộ đồng thời là đơn vị chuyên trách về an
toàn thông tin.
5. Thẩm quyền xác định cấp độ an toàn
hệ thống thông tin
a) Đơn vị lập hồ sơ đề xuất cấp độ: Đối
với các hệ thống thông tin thuộc các nhiệm vụ, dự án đang trong giai đoạn lập dự
án, đơn vị lập dự án lập hồ sơ đề xuất cấp độ; Đối với các hệ thống thông tin
thuê dịch vụ, đơn vị chủ trì thuê dịch vụ lập hồ sơ đề xuất cấp độ; Đối với các
hệ thống thông tin đang trong giai đoạn triển khai, đơn vị chủ trì triển khai lập
hồ sơ đề xuất cấp độ; Đối với các hệ thống thông tin đang vận hành, đơn vị vận
hành lập hồ sơ đề xuất cấp độ.
b) Đối với các hệ thống thông tin được
đề xuất từ cấp độ 3 trở lên, đơn vị chuyên trách về an toàn thông tin của các
đơn vị trực thuộc Bộ cần gửi xin ý kiến chuyên môn của Cục Công nghệ thông tin
và Dữ liệu tài nguyên môi trường trước khi trình các cấp có thẩm quyền thẩm định,
phê duyệt cấp độ.
c) Thẩm quyền thẩm định và phê duyệt
cấp độ theo quy định tại Điều 12 Thông tư số 03/2017/TT-BTTTT.
6. Trình tự, thủ tục xác định cấp độ
hệ thống thông tin
a) Việc xác định, phân loại hệ thống
thông tin theo quy định tại Điều 4 Thông tư số 03/2017/TT-BTTTT.
b) Nội dung của hồ sơ đề xuất cấp độ
hệ thống thông tin theo quy định tại Điều 15 Nghị định
85/2016/NĐ-CP.
c) Nội dung, thời gian thẩm định hồ
sơ đề xuất cấp độ hệ thống thông tin quy định tại Điều 16 Nghị
định 85/2016/NĐ-CP.
d) Trình tự, thủ tục xác định cấp độ
hệ thống thông tin theo quy định tại Điều 13, Điều 14 Nghị định
85/2016/NĐ-CP và Điều 14, Điều 15, Điều 16 Thông tư số
03/2017/TT-BTTTT.
7. Phương án bảo đảm an toàn hệ thống
thông tin
a) Phương án bảo đảm an toàn hệ thống
thông tin phải phù hợp với cấp độ của hệ thống thông tin và đáp ứng yêu cầu quy
định tại Thông tư số 03/2017/TT-BTTTT , phù hợp với tiêu chuẩn TCVN 11930:2017 ,
các tiêu chuẩn, quy chuẩn kỹ thuật khác và chính sách an toàn thông tin mạng của
Bộ Tài nguyên và Môi trường, chính sách an toàn thông tin mạng của các đơn vị
trực thuộc Bộ (nếu có).
b) Chủ quản hệ thống thông tin hoặc
đơn vị được ủy quyền quản lý trực tiếp hệ thống thông tin tổ chức triển khai
phương án bảo đảm an toàn hệ thống thông tin sau khi hồ sơ đề xuất cấp độ hoặc
phương án bảo đảm an toàn hệ thống được phê duyệt.
c) Đơn vị/bộ phận chuyên trách về an
toàn thông tin thuộc đơn vị chịu trách nhiệm giám sát việc triển khai các
phương án bảo đảm an toàn thông tin đã được phê duyệt.
Điều 9. Bảo đảm
an toàn thông tin khi tiếp nhận, phát triển, vận hành và bảo trì hệ thống thông
tin
1. Khi thực hiện nâng cấp, mở rộng,
thay thế một phần hệ thống thông tin, phải rà soát cấp độ, phương án bảo đảm an
toàn của hệ thống thông tin và thực hiện điều chỉnh, bổ sung hoặc thay mới hồ
sơ đề xuất cấp độ trong trường hợp cần thiết.
2. Khi tiếp nhận, phát triển, nâng cấp,
bảo trì hệ thống thông tin, đơn vị phải tiến hành phân tích, xác định rủi ro có
thể xảy ra, đánh giá phạm vi tác động và phải chuẩn bị các biện pháp hạn chế,
loại trừ các rủi ro này và yêu cầu các bên cung cấp, thi công, các cá nhân liên
quan thực hiện.
3. Trong quá trình vận hành hệ thống
thông tin, đơn vị chủ quản hệ thống thông tin cần thực hiện đánh giá, phân loại
hệ thống thông tin theo cấp độ; triển khai phương án bảo đảm an toàn hệ thống
thông tin đáp ứng yêu cầu cơ bản trong tiêu chuẩn, quy chuẩn kỹ thuật về bảo đảm
an toàn hệ thống thông tin theo cấp độ; thường xuyên kiểm tra, giám sát an toàn
hệ thống thông tin; tuân thủ quy trình vận hành, quy trình xử lý sự cố đã xây dựng;
ghi lại và lưu trữ đầy đủ thông tin nhật ký hệ thống để phục vụ quản lý, kiểm
soát thông tin.
4. Đối tác phát triển phần mềm ứng dụng
cho các đơn vị trực thuộc Bộ có trách nhiệm bảo đảm an toàn thông tin cho công
tác phát triển, vận hành, bảo hành, bảo trì phần mềm, ứng dụng, tránh lộ, lọt
mã nguồn và dữ liệu, tài liệu thiết kế, quản trị hệ thống mà đối tác đang xử lý
ra bên ngoài.
Điều 10. Giám
sát an toàn thông tin mạng
1. Chủ quản hệ thống thông tin chỉ đạo
việc giám sát đối với các hệ thống thông tin thuộc phạm vi quản lý, phối hợp với
Cục Công nghệ thông tin và Dữ liệu tài nguyên môi trường và các đơn vị chức năng
của Bộ Thông tin và Truyền thông giám sát theo quy định.
2. Các hệ thống thông tin bắt buộc phải
có chức năng ghi và lưu trữ nhật ký về hoạt động của hệ thống và người sử dụng
hệ thống thông tin. Thực hiện việc bảo vệ các chức năng ghi nhật ký và thông tin
nhật ký, chống giả mạo, sửa đổi, phá hủy và truy cập trái phép.
3. Nguyên tắc, yêu cầu, nội dung,
phương thức, hệ thống kỹ thuật phục vụ công tác giám sát thực hiện theo quy định
tại Thông tư số 31/2017/TT-BTTTT .
4. Đơn vị chuyên trách về an toàn
thông tin của các đơn vị trực thuộc Bộ cử 01 lãnh đạo đơn vị và 01 cán bộ (hoặc
01 đơn vị trực thuộc) làm đầu mối giám sát an toàn thông tin mạng để tiếp nhận cảnh báo, cung cấp, trao đổi, chia sẻ thông tin với Cục Công
nghệ thông tin và Dữ liệu tài nguyên môi trường trong các hoạt động giám sát an
toàn thông tin tại đơn vị và tại Bộ Tài nguyên và Môi trường.
Điều 11. Kiểm
tra, đánh giá an toàn thông tin
1. Chủ quản hệ thống thông tin có thẩm
quyền yêu cầu kiểm tra, đánh giá đối với các hệ thống thông tin thuộc thẩm quyền
quản lý. Đơn vị chuyên trách về an toàn thông tin của chủ quản hệ thống thông
tin có thẩm quyền yêu cầu kiểm tra, đánh giá đối với các hệ thống thông tin do
đơn vị này phê duyệt hồ sơ đề xuất cấp độ.
2. Đơn vị chủ trì kiểm tra, đánh giá
là đơn vị được cấp có thẩm quyền giao nhiệm vụ hoặc được lựa chọn để thực hiện
việc kiểm tra, đánh giá. Đối tượng kiểm tra, đánh giá là chủ quản hệ thống
thông tin hoặc đơn vị vận hành hệ thống thông tin và các hệ thống thông tin có
liên quan.
3. Nội dung, hình thức kiểm tra, đánh
giá theo quy định tại Điều 10 Thông tư số 03/2017/TT-BTTTT.
4. Cục Công nghệ thông tin và Dữ liệu
tài nguyên môi trường thực hiện việc kiểm tra việc tuân thủ quy định của pháp
luật về bảo đảm an toàn hệ thống thông tin theo cấp độ tại Bộ Tài nguyên và Môi
trường theo quy định tại Điều 11 Thông tư số 03/2017/TT-BTTTT.
5. Cục Công nghệ thông tin và Dữ liệu
tài nguyên môi trường, đơn vị chuyên trách về an toàn thông tin của các đơn vị
trực thuộc Bộ thực hiện việc đánh giá hiệu quả của các biện pháp bảo đảm an
toàn thông tin theo thẩm quyền. Nội dung đánh giá là cơ sở để điều chỉnh phương
án bảo đảm an toàn thông tin cho phù hợp.
Điều 12. Ứng cứu
sự cố an toàn thông tin mạng
1. Ban chỉ đạo, đơn vị chuyên trách ứng
cứu khẩn cấp sự cố an toàn thông tin mạng
a) Ban chỉ đạo ứng dụng và phát triển
công nghệ thông tin theo Quyết định số 674/QĐ-BTNMT ngày 31/3/2017 đảm nhiệm chức
năng Ban chỉ đạo ứng cứu khẩn cấp sự cố an toàn thông tin mạng của Bộ Tài
nguyên và Môi trường. Trách nhiệm và quyền hạn của Ban chỉ đạo ứng cứu khẩn cấp
sự cố an toàn thông tin mạng của Bộ Tài nguyên và Môi trường được quy định tại Khoản 2, Điều 5 Quyết định số 05/2017/QĐ-TTg.
b) Cục Công nghệ thông tin và Dữ liệu
tài nguyên môi trường là đơn vị chuyên trách về ứng cứu sự cố an toàn thông tin
mạng của Bộ Tài nguyên và Môi trường. Bộ phận chuyên trách về an toàn thông tin
mạng tại các đơn vị trực thuộc Bộ đảm nhiệm vai trò chuyên trách về ứng cứu sự
cố an toàn thông tin mạng trong phạm vi quản lý công nghệ thông tin của đơn vị.
Đơn vị chuyên trách về ứng cứu sự cố an toàn thông tin mạng thực hiện trách nhiệm
quy định tại khoản 2 Điều 6 Quyết định số 05/2017/QĐ-TTg.
c) Cục Công nghệ thông tin và Dữ liệu
tài nguyên môi trường trình Bộ thành lập Đội ứng cứu an toàn thông tin mạng của
Bộ và tổ chức ứng cứu sự cố trong phạm vi của Bộ quản lý. Các đơn vị chuyên
trách về ứng cứu sự cố tại các đơn vị trực thuộc Bộ thành lập Đội ứng cứu sự cố
thuộc đơn vị.
2. Kế hoạch ứng phó sự cố bảo đảm an
toàn thông tin mạng
a) Các đơn vị trực thuộc Bộ tổ chức
xây dựng, phê duyệt kế hoạch ứng phó sự cố cho các hệ thống thông tin do đơn vị
trực tiếp quản lý theo đề cương tại Phụ lục
II Quyết định số 05/2017/QĐ-TTg (bao gồm các điều chỉnh do Bộ Thông tin và
Truyền thông ban hành nếu có) và tổ chức triển khai kế hoạch sau khi phê duyệt.
Đối với các nội dung trong kế hoạch vượt thẩm quyền quyết định của đơn vị, đơn
vị lấy ý kiến của Cục Công nghệ thông tin và Dữ liệu tài nguyên môi trường, Vụ
Kế hoạch - Tài chính (đối với các nội dung yêu cầu có kinh phí), báo cáo Bộ xem
xét, quyết định.
b) Các kế hoạch ứng phó sự cố sau khi
được phê duyệt phải gửi Cục Công nghệ thông tin và Dữ liệu tài nguyên môi trường
tổng hợp thành kế hoạch chung của Bộ Tài nguyên và Môi trường. Cục Công nghệ
thông tin và Dữ liệu tài nguyên môi trường có trách nhiệm xây dựng kế hoạch ứng
phó sự cố của Bộ Tài nguyên và Môi trường, trình Lãnh đạo Bộ phê duyệt.
c) Kế hoạch ứng phó sự cố được rà
soát và điều chỉnh hàng năm (nếu cần thiết) trước ngày 31 tháng 10, làm cơ sở để
xây dựng kế hoạch bảo đảm an toàn, an ninh thông tin năm tiếp theo.
3. Quy trình ứng cứu sự cố an toàn
thông tin mạng
a) Các tổ chức, cá nhân khi phát hiện
dấu hiệu tấn công hoặc sự cố an toàn thông tin mạng cần nhanh chóng báo cho đơn
vị vận hành hệ thống thông tin, đơn vị chủ quản hệ thống thông tin liên quan, Cục
Công nghệ thông tin và Dữ liệu tài nguyên môi trường. Cục Công nghệ thông tin
và Dữ liệu tài nguyên môi trường có trách nhiệm cập nhật, công khai thông tin
liên lạc, đường dây nóng của các đơn vị/bộ phận tiếp nhận thông tin sự cố của Bộ
và của các đơn vị trực thuộc Bộ trên Cổng thông tin điện tử của Bộ Tài nguyên
và Môi trường.
b) Khi xảy ra sự cố an toàn thông tin
mạng thuộc loại hình tấn công mạng, đơn vị vận hành hệ thống thông tin thực hiện
báo cáo theo quy định tại Điểm a Khoản 1 Điều 11 Quyết định
05/2017/QĐ-TTg và Điều 9 Thông tư 20/2017/TT-BTTT, đồng
thời báo cáo Cục Công nghệ thông tin và Dữ liệu tài nguyên môi trường để tổng hợp,
báo cáo Ban Chỉ đạo ứng cứu khẩn cấp sự cố an toàn thông tin mạng Bộ Tài nguyên
và Môi trường. Trách nhiệm của các đơn vị khi phát hiện, tiếp nhận xác minh, xử
lý ban đầu và phân loại sự cố an toàn thông tin mạng theo quy định tại Điều 12 Quyết định 05/2017/QĐ-TTg và Điều 10
Thông tư số 20/2017/TT-BTTTT.
c) Quy trình ứng cứu sự cố an toàn
thông tin mạng theo quy định tại Điều 13, Điều 14 Quyết định
05/2017/QĐ-TTg và Điều 11 Thông tư số 20/2017/TT-BTTTT.
4. Diễn tập ứng cứu sự cố an toàn
thông tin mạng
a) Chủ quản hệ thống thông tin tổ chức
diễn tập ứng cứu sự cố theo kế hoạch ứng phó sự cố được phê duyệt.
b) Cục Công nghệ thông tin và Dữ liệu
tài nguyên môi trường chủ trì, phối hợp với các đơn vị trực thuộc Bộ tham gia
các cuộc diễn tập quốc gia, quốc tế do Cơ quan điều phối quốc gia, Bộ Thông tin
và Truyền thông tổ chức và tổ chức diễn tập ứng cứu sự cố trong phạm vi Bộ Tài
nguyên và Môi trường theo tần suất quy định tại điểm b Nhiệm vụ
4 mục II Điều 1 Quyết định số 1622/QĐ-TTg ngày 25/10/2017 của Thủ tướng
Chính phủ.
Điều 13. Đào tạo,
bồi dưỡng nghiệp vụ, tuyên truyền, phổ biến nâng cao nhận thức về an toàn thông
tin mạng
1. Các đơn vị trực thuộc Bộ xác định
nhu cầu về đào tạo nguồn nhân lực bảo đảm an toàn thông tin tại đơn vị mình gửi
Cục Công nghệ thông tin và Dữ liệu tài nguyên môi trường. Cục Công nghệ thông
tin và Dữ liệu tài nguyên môi trường tổng hợp, xây dựng trình Bộ phê duyệt kế
hoạch dài hạn, kế hoạch hàng năm về đào tạo, bồi dưỡng nghiệp vụ an toàn, an
ninh thông tin cho cán bộ, công chức, viên chức và người lao động của Bộ Tài
nguyên và Môi trường và thực hiện tổ chức đào tạo theo kế hoạch đã phê duyệt.
2. Các đơn vị trực thuộc Bộ tổ chức
đào tạo, bồi dưỡng nghiệp vụ về an toàn thông tin cho cán bộ công nghệ thông
tin, cán bộ chuyên trách an toàn thông tin mạng các đơn vị trực thuộc; đào tạo
cơ bản về an toàn thông tin cho cán bộ quản lý, người sử dụng máy tính thuộc
đơn vị.
3. Các đơn vị trực thuộc Bộ phải thường
xuyên tổ chức các hoạt động tuyên truyền, phổ biến nâng cao nhận thức về bảo đảm
an toàn, an ninh thông tin mạng đến toàn thể bộ cán bộ, công chức, viên chức và
người lao động tại đơn vị.
4. Cục Công nghệ thông tin và Dữ liệu
tài nguyên môi trường xây dựng trình Bộ kế hoạch tuyên truyền, phổ biến nâng
cao nhận thức về an toàn, an ninh thông tin mạng tại Bộ Tài nguyên và Môi trường
và thực hiện các nội dung theo kế hoạch đã được phê duyệt.
Chương III
TRÁCH NHIỆM CỦA
CÁC TỔ CHỨC LIÊN QUAN
Điều 14. Trách
nhiệm của Cục Công nghệ thông tin và Dữ liệu tài nguyên môi trường
1. Thực hiện các trách nhiệm được
giao tại Quy chế này.
2. Hướng dẫn triển khai Quy chế này
và các quy định liên quan của Nhà nước.
3. Tổ chức triển khai thực hiện Quy
chế tại trụ sở cơ quan Bộ Tài nguyên và Môi trường.
4. Xây dựng kế hoạch, báo cáo về an
toàn, an ninh thông tin mạng của Bộ Tài nguyên và Môi trường.
5. Bảo đảm an toàn, an ninh thông tin
cho các hệ thống thông tin, cơ sở dữ liệu dùng chung của Bộ.
Điều 15. Trách
nhiệm của các đơn vị trực thuộc Bộ
1. Thực hiện các trách nhiệm được
giao tại Quy chế này.
2. Tổ chức triển khai thực hiện Quy
chế này tại đơn vị.
3. Thực hiện các báo cáo theo quy định,
gửi Cục Công nghệ thông tin và Dữ liệu tài nguyên môi trường tổng hợp, báo cáo
Bộ.
4. Xây dựng, triển khai Quy chế bảo đảm
an toàn, an ninh thông tin tại đơn vị bảo đảm phù hợp với Quy chế này và các
yêu cầu cụ thể của đơn vị.
5. Thực hiện việc quản lý trang thiết
bị công nghệ thông tin và cán bộ, công chức, viên chức, người lao động theo Điều
5 và Điều 6 của Quy chế này.
6. Đối với các Vụ
thuộc Bộ: Phối hợp với Cục Công nghệ thông tin và Dữ liệu tài nguyên môi trường
bảo đảm an toàn, an ninh thông tin cho các hệ thống thông tin, cơ sở dữ liệu
dùng chung của Bộ và các hệ thống thông tin do đơn vị quản lý, vận hành.
Điều 16. Trách
nhiệm của đơn vị chuyên trách về an toàn thông tin
1. Thực hiện trách nhiệm của đơn vị
chuyên trách về an toàn thông tin theo quy định tại Quy chế này và các nhiệm vụ
do chủ quản hệ thống thông tin phân công.
2. Phối hợp chặt chẽ với các bộ phận
kỹ thuật thuộc đơn vị vận hành hệ thống thông tin trong việc bảo đảm an toàn
thông tin trong tất cả các công đoạn liên quan đến hệ thống thông tin.
Điều 17. Trách
nhiệm của chủ quản hệ thống thông tin
1. Thực hiện trách nhiệm của đơn vị
chủ quản hệ thống thông tin theo quy định tại Quy chế này.
2. Chỉ đạo, phân công các đơn vị vận
hành các hệ thống thông tin triển khai công tác bảo đảm an toàn thông tin trong
tất cả các công đoạn liên quan đến hệ thống thông tin.
Điều 18. Trách
nhiệm của đơn vị vận hành hệ thống thông tin
1. Thực hiện trách nhiệm của đơn vị vận
hành hệ thống thông tin theo quy định tại Quy chế này và các nhiệm vụ do chủ quản
hệ thống thông tin phân công.
2. Chỉ đạo, phân công các bộ phận kỹ
thuật thuộc đơn vị (quản lý ứng dụng; quản lý dữ liệu; vận hành hệ thống thông
tin; triển khai và hỗ trợ kỹ thuật) triển khai công tác bảo đảm an toàn thông
tin trong tất cả các công đoạn liên quan đến hệ thống thông tin.
Điều 19. Trách
nhiệm cá nhân
1. Thủ trưởng đơn vị thuộc đối tượng
áp dụng của Quy chế này có trách nhiệm: phổ biến tới từng cán bộ, công chức, viên
chức, người lao động của đơn vị; thường xuyên kiểm tra việc thực hiện Quy chế
này tại đơn vị; chịu trách nhiệm trước pháp luật và Lãnh đạo Bộ Tài nguyên và
Môi trường về các vi phạm, thất thoát thông tin, dữ liệu mật thuộc phạm vi quản
lý của đơn vị do không tổ chức, chỉ đạo, kiểm tra cán bộ của đơn vị thực hiện
đúng quy định.
2. Cán bộ, công chức, viên chức, người
lao động của Bộ Tài nguyên và Môi trường, các đơn vị trực thuộc Bộ và các đơn vị
khác thuộc đối tượng áp dụng của quy định có trách nhiệm: tuân thủ Quy chế;
thông báo các vấn đề bất thường liên quan tới an toàn thông tin cho đơn vị, bộ
phận chuyên trách về an toàn thông tin mạng của đơn vị; chịu trách nhiệm trước
pháp luật và Lãnh đạo đơn vị về các vi phạm, thất thoát dữ liệu mật của ngành
tài nguyên môi trường do không tuân thủ Quy chế.
Chương IV
TỔ CHỨC THỰC HIỆN
Điều 20. Kinh
phí thực hiện
Kinh phí bảo đảm an toàn, an ninh
thông tin mạng được lấy từ nguồn ngân sách nhà nước dự toán hàng năm của Bộ Tài
nguyên và Môi trường.
Căn cứ vào kế hoạch hàng năm, các đơn
vị liên quan có trách nhiệm xây dựng kế hoạch, đề xuất dự toán cho các hoạt động
bảo đảm an toàn, an ninh thông tin mạng gửi Cục Công nghệ thông tin và Dữ liệu
tài nguyên môi trường để tổng hợp, gửi Vụ Kế hoạch Tài chính thẩm định, trình Bộ
phê duyệt.
Điều 21. Công
tác kiểm tra
1. Các đơn vị trực thuộc Bộ phải thường
xuyên kiểm tra, theo dõi và đánh giá công tác bảo đảm an toàn, an ninh thông
tin mạng tại cơ quan, đơn vị mình, coi đây là nhiệm vụ trọng tâm của đơn vị.
2. Giao Cục Công nghệ thông tin và Dữ
liệu tài nguyên môi trường kiểm tra và báo cáo Bộ việc thực hiện Quy chế này tại
các đơn vị trực thuộc Bộ.
Điều 22. Chế độ
báo cáo
1. Báo cáo định kỳ:
a) Báo cáo an toàn thông tin định kỳ
hàng năm gồm các nội dung quy định tại khoản 3 Điều 17 Thông tư
03/2017/TT-BTTTT.
b) Báo cáo hoạt động giám sát của chủ
quản hệ thống thông tin định kỳ 6 tháng theo mẫu tại Phụ lục 2 Thông tư 31/2017/TT-BTTTT .
2. Báo cáo đột xuất: Báo cáo về công
tác khắc phục mã độc, lỗ hổng, điểm yếu, triển khai cảnh báo an toàn thông tin
và các báo cáo đột xuất khác theo yêu cầu của các cơ quan quản lý nhà nước về
an toàn thông tin.
3. Trách nhiệm lập, phê duyệt báo cáo
a) Các đơn vị trực thuộc Bộ chịu
trách nhiệm:
- Lập báo cáo an toàn thông tin theo
quy định tại điểm a khoản 1 điều này, gửi Cục Công nghệ thông tin và Dữ liệu
tài nguyên môi trường trước ngày 15 tháng 11 hàng năm.
- Lập báo cáo hoạt động giám sát của
chủ quản hệ thống thông tin theo quy định tại điểm b khoản 1 điều này, gửi Cục
Công nghệ thông tin và Dữ liệu tài nguyên môi trường trước ngày 15 tháng 6 và
15 tháng 12 hàng năm.
- Báo cáo đột xuất theo hướng dẫn của
Cục Công nghệ thông tin và Dữ liệu tài nguyên môi trường.
b) Cục Công nghệ thông tin và Dữ liệu
tài nguyên môi trường chịu trách nhiệm tập hợp, tổng hợp báo cáo của các đơn vị,
trình Bộ phê duyệt, gửi các cơ quan quản lý nhà nước về an toàn thông tin.
Điều 23. Khen
thưởng, kỷ luật
1. Kết quả thực hiện Quy chế này là một
trong những tiêu chí đánh giá kết quả thực hiện hàng năm của cá nhân, đơn vị đồng
thời là tiêu chí bắt buộc để xem xét tình hình khen thưởng và danh hiệu thi đua
đối với các tổ chức, cá nhân.
2. Đơn vị, cá nhân vi phạm Quy chế
này và các quy định khác của pháp luật về bảo đảm an toàn, an ninh thông tin mạng,
tùy theo tính chất, mức độ vi phạm sẽ bị xử lý kỷ luật hoặc các hình thức xử lý
khác theo quy định của pháp luật; nếu vi phạm gây thiệt hại đến tài sản, thiết
bị, thông tin, dữ liệu thì chịu trách nhiệm bồi thường theo pháp luật hiện
hành.
Điều 24. Trách
nhiệm thi hành
1. Thủ trưởng các đơn vị trực thuộc Bộ
có trách nhiệm phổ biến, quán triệt đến toàn bộ cán bộ, nhân viên trong đơn vị
thực hiện các quy định của Quy chế này.
2. Trong quá trình thực hiện, nếu có
những vấn đề khó khăn, vướng mắc, các đơn vị phản ảnh về Cục Công nghệ thông
tin và Dữ liệu tài nguyên môi trường để tổng hợp, trình Bộ trưởng xem xét, sửa
đổi, bổ sung quy chế ./.