|
BỘ
VĂN HÓA, THỂ THAO
VÀ DU LỊCH
-------
|
CỘNG
HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM
Độc lập - Tự do - Hạnh phúc
---------------
|
|
Số: 2593/QĐ-BVHTTDL
|
Hà
Nội, ngày 21 tháng 7 năm
2016
|
QUYẾT ĐỊNH
BAN HÀNH QUY CHẾ BẢO ĐẢM AN TOÀN THÔNG TIN MẠNG CỦA BỘ VĂN HÓA, THỂ
THAO VÀ DU LỊCH
BỘ TRƯỞNG BỘ VĂN HÓA, THỂ THAO VÀ DU LỊCH
Căn cứ Luật Công nghệ thông tin
ngày 29 tháng 6 năm 2006;
Căn cứ Luật An toàn thông tin mạng
ngày 19 tháng 11 năm 2015;
Căn cứ Nghị định số 76/2013/NĐ-CP
ngày 16 tháng 7 năm 2013 của Chính phủ quy định chức năng, nhiệm vụ, quyền hạn
và cơ cấu tổ chức của Bộ Văn hóa, Thể thao và Du lịch;
Căn cứ Quyết định số 898/QĐ-TTg
ngày 27 tháng 5 năm 2016 của Thủ tướng Chính phủ phê duyệt phương hướng, mục
tiêu, nhiệm vụ bảo đảm an toàn thông tin mạng giai đoạn 2016-2020;
Căn cứ Quyết định số
4011/QĐ-BVHTTDL ngày 18 tháng 11 năm 2015 của Bộ Văn hóa, Thể thao và Du lịch về
việc ban hành Kế hoạch xây dựng “Quy chế bảo đảm an
toàn thông tin mạng của Bộ Văn hóa, Thể thao và Du lịch”;
Xét đề nghị của Chánh Văn phòng Bộ
và Giám đốc Trung tâm Công nghệ thông tin,
QUYẾT ĐỊNH:
Điều 1. Ban hành kèm theo Quyết định này Quy chế bảo đảm
an toàn thông tin mạng của Bộ Văn hóa, Thể thao và Du lịch.
Điều 2. Quyết định này có hiệu lực thi hành kể từ ngày
ký.
Điều 3. Chánh Văn phòng Bộ, Giám đốc Trung tâm Công nghệ
thông tin, thủ trưởng các cơ quan, đơn vị thuộc Bộ chịu trách nhiệm thi hành
Quyết định này./.
|
Nơi nhận:
- Như Điều 3;
- Bộ trưởng, các Thứ trưởng;
- Lưu: VT, CNTT (5), NH.100.
|
KT. BỘ TRƯỞNG
THỨ TRƯỞNG
Đặng Thị Bích Liên
|
QUY CHẾ
BẢO ĐẢM AN TOÀN THÔNG TIN MẠNG CỦA BỘ VĂN HÓA, THỂ THAO VÀ DU LỊCH
(Ban hành theo Quyết định số 2593/QĐ-BVHTTDL ngày 21 tháng 7
năm 2016 của Bộ trưởng Bộ Văn hóa, Thể thao và Du lịch)
Chương I
QUY ĐỊNH CHUNG
Điều 1. Phạm vi
điều chỉnh, đối tượng áp dụng
1. Quy chế này quy định về công tác bảo đảm an toàn, an ninh thông tin trong hoạt động ứng dụng công
nghệ thông tin của Bộ Văn hóa, Thể thao và Du lịch.
2. Quy chế này áp dụng đối với các cơ
quan, đơn vị thuộc Bộ Văn hóa, Thể thao và Du lịch bao gồm:
a) Tổng cục, cục, vụ và các cơ quan
chuyên môn khác có chức năng tham mưu giúp Bộ trưởng quản lý nhà nước về ngành,
lĩnh vực;
b) Các đơn vị sự nghiệp;
c) Các doanh nghiệp 100% vốn Nhà nước
trong phạm vi quản lý của Bộ;
d) Cán bộ, công chức, viên chức, người
lao động làm việc trong các cơ quan, đơn vị thuộc Khoản 2 Điều này.
Điều 2. Giải
thích từ ngữ
Trong Quy chế này, các từ ngữ dưới
đây được hiểu như sau:
1. An toàn thông tin mạng là sự
bảo vệ thông tin, hệ thống thông tin trên mạng tránh bị truy nhập, sử dụng, tiết
lộ, gián đoạn, sửa đổi hoặc phá hoại trái phép nhằm bảo đảm tính nguyên vẹn,
tính bảo mật và tính khả dụng của thông tin.
2. Mạng thông tin của Bộ Văn hóa,
Thể thao và Du lịch (viết tắt là Mạng thông tin của Bộ) là tập hợp phần cứng,
phần mềm và cơ sở dữ liệu được thiết lập phục vụ mục đích tạo lập, cung cấp,
truyền đưa, thu thập, xử lý, lưu trữ và trao đổi thông tin trên mạng máy tính,
mạng đường truyền của Bộ.
3. Thiết bị mạng là các thiết
bị phần cứng công nghệ thông tin đóng vai trò xử lý một công việc nhất định
trong mạng máy tính; Các thiết bị mạng phổ biến như: tường lửa (firewall), định
tuyến (router), điểm truy cập không dây (access point), thiết bị cầu nối
(bridge), bộ lặp (repeater), chuyển mạch (switch), bộ chuyển
đổi mạng hoặc ứng dụng (gateway)...
4. Người dùng là cán bộ, công
chức, viên chức và người lao động tham gia vào hoạt động ứng
dụng công nghệ thông tin phục vụ công việc của Bộ Văn hóa, Thể thao và Du lịch.
5. Tường lửa là một thiết bị phần cứng
hoặc một phần mềm hoạt động trong một môi trường máy tính nổi mạng nhằm ngăn chặn
(hoặc cho phép nhưng kiểm soát được) những lưu lượng bị cấm (hoặc cho phép) bởi
chính sách an ninh của một cá nhân hay một tổ chức.
6. Thiết bị lưu trữ là thiết bị
được sử dụng để đọc, ghi dữ liệu. Căn cứ tính năng lưu trữ, thiết bị lưu trữ gồm:
thiết bị lưu trữ chuyên dụng cho máy chủ (DAS, NAS, SAN, iSCSI SAN...) và thiết
bị lưu trữ phổ thông (ổ cứng HHD/SSD, USB flash, thẻ nhớ,
đĩa từ...).
7. Sự cố an toàn thông tin mạng là việc thông tin, hệ
thống thông tin bị nguy hại, ảnh hưởng đến tính nguyên vẹn,
tính bảo mật hoặc tính khả dụng.
8. Rủi ro an toàn thông tin mạng
là những nhân tố chủ quan hoặc khách quan có khả năng ảnh hưởng tới trạng thái an toàn thông tin mạng.
9. Phần mềm độc hại là phần mềm
có khả năng gây ra hoạt động không bình thường cho một phần hay toàn bộ hệ thống
thông tin hoặc thực hiện sao chép, sửa đổi, xóa bỏ trái phép thông tin lưu trữ
trong hệ thống thông tin.
10. Virus máy tính là những chương trình hay đoạn mã được thiết
kế để tự nhân bản và sao chép chính nó tạo ra những tệp tin bị nhiễm virus trên
các thiết bị lưu trữ.
11. Mức độ gây mất an toàn thông
tin là các cấp độ ảnh hưởng của tác nhân gây sự cố mất an toàn thông tin.
a) Mức thấp là cấp độ ảnh hưởng
đến công việc của cá nhân, không gây gián đoạn hay đình trệ
công việc của đơn vị;
b) Mức trung bình là cấp độ ảnh
hưởng đến một nhóm người (phòng, ban...) không gây gián đoạn hay đình trệ công
việc của đơn vị;
c) Mức cao là cấp độ ảnh hưởng
đến một trong các hoạt động chính của cơ quan, có thể gây đình trệ một phần
công việc của đơn vị;
d) Mức khẩn cấp là cấp độ ảnh hưởng
nghiêm trọng, gây tê liệt đến hoạt động ứng dụng công nghệ
thông tin của đơn vị.
Điều 3. Mạng
thông tin của Bộ
Trong Quy chế này, Mạng thông tin của
Bộ được quy định như sau:
1. Hệ thống hạ tầng phần cứng tại cơ
quan Bộ; các cơ quan, đơn vị thuộc Bộ
a) Máy chủ, máy trạm;
b) Thiết bị mạng.
2. Hệ thống phần mềm, cơ sở dữ liệu
và thông tin số
a) Các cơ sở dữ liệu, tệp dữ liệu phục
vụ công tác quản lý, điều hành của Bộ và các đơn vị trong khối cơ quan Bộ;
b) Hệ thống thư điện tử công vụ;
c) Các phần mềm phục vụ công tác quản
lý, điều hành của Bộ hoạt động trên môi trường mạng;
d) Các phần mềm hệ thống, phần mềm
trung gian, phần mềm quản trị và quản lý cơ sở dữ liệu, phần
mềm an ninh, bảo mật và phòng chống virus tin học;
đ) Cổng thông tin điện tử của Bộ Văn
hóa, Thể thao và Du lịch;
e) Cổng/ trang thông tin điện tử của
các cơ quan, đơn vị thuộc Bộ Văn hóa, Thể thao và Du lịch;
g) Hệ thống thông tin trao đổi giữa Bộ Văn hóa, Thể thao và Du lịch và
Chính phủ, các Bộ, ngành, các Ủy ban nhân dân tỉnh, thành phố trực thuộc Trung
ương, các tổ chức khác;
h) Thông tin trao đổi giữa Bộ Văn
hóa, Thể thao và Du lịch và các đơn vị thuộc;
i) Thông tin trao đổi giữa người dùng
với nhau.
3. Mạng đường truyền của Bộ
a) Hệ thống mạng nội bộ tại cơ quan Bộ;
các cơ quan, đơn vị thuộc Bộ;
b) Mạng truyền số liệu chuyên dụng;
c) Mạng diện rộng (WAN).
Điều 4. Sử dụng
tài nguyên của Mạng thông tin của Bộ
1. Việc khai thác, sử dụng tài nguyên
của Mạng thông tin của Bộ phải tuân thủ Quy chế này và các quy định liên quan của
pháp luật hiện hành về an toàn thông tin mạng.
2. Chủ quản hệ thống thông tin ban
hành Quy chế sử dụng hệ thống thông tin bảo đảm phù hợp vị trí, vai trò của hệ
thống thông tin được giao quản lý và đồng bộ với Mạng thông tin của Bộ.
Điều 5. Nguyên tắc
chung về bảo đảm an toàn thông tin mạng
1. Hoạt động an toàn thông tin mạng của
cơ quan, đơn vị thuộc Bộ đúng quy định của pháp luật.
2. Cơ quan, đơn vị được Bộ giao nhiệm
vụ là đầu mối xử lý sự cố về an toàn thông tin mạng có trách nhiệm hướng dẫn, xử
lý, phối hợp xử lý sự cố an toàn thông tin mạng tại các cơ quan, đơn vị thuộc Bộ
trong phạm vi được phân công.
3. Hoạt động an toàn thông tin mạng
phải được thực hiện thường xuyên, liên tục, kịp thời và hiệu quả. Tổ chức, cá
nhân không được xâm phạm an toàn thông tin mạng của tổ chức, cá nhân khác.
4. Các hệ thống phần mềm, cơ sở dữ liệu
phải có phương án sao lưu dữ liệu dự phòng phù hợp với điều kiện của từng cơ
quan, đơn vị; dữ liệu được lưu trữ tại nơi an toàn, đồng thời phải thường xuyên
kiểm tra để bảo đảm sẵn sàng phục hồi khi có sự cố an toàn
thông tin mạng xảy ra. Lãnh đạo cơ quan, đơn vị phải chịu trách nhiệm nếu để xảy
ra mất mát dữ liệu do không kịp thời tiến hành sao lưu dự phòng.
5. Hệ thống máy chủ, máy tính, hệ thống
lưu trữ nội bộ, thiết bị mạng; hệ thống mạng không dây (Wifi) phải được bảo vệ
bởi mật khẩu an toàn. Mật khẩu đăng nhập vào các hệ thống thông tin, trang thiết
bị phải có độ phức tạp cao (có độ dài tối thiểu 8 ký tự, có ký tự thường, ký tự
số và ký tự đặc biệt như !, @, #, $, %,...) và phải định kỳ thay đổi ít nhất 3
tháng/lần.
6. Kiểm soát chặt chẽ việc cài đặt
các phần mềm lên máy chủ và máy trạm, bảo đảm tuân thủ quy
định quản lý an toàn, an ninh thông tin của cơ quan, đơn vị và các quy định
khác có liên quan. Phần mềm diệt virus, phần mềm tường lửa và các phần mềm ứng
dụng khác phải được thiết lập cơ chế tự động và thường xuyên cập nhật bản vá lỗ
hổng bảo mật từ nhà sản xuất.
7. Khi tham gia mạng xã hội:
- Thận trọng đối với các trang quảng
cáo tự động xuất hiện khi truy cập các trang mạng xã hội...
- Kiểm tra kỹ thông tin trước khi nhận
lời kết bạn, nhận tin từ mạng xã hội; không kết bạn với “người lạ”, không mở
các tin đột nhiên xuất hiện trên trang cá nhân.
- Thận trọng khi sử dụng dịch vụ mạng
xã hội, các dịch vụ lưu trữ dữ liệu, thư điện tử... miễn phí không rõ nguồn gốc
hoặc chưa được xác thực. Cân nhắc khi đưa thông tin cá nhân lên mạng.
- Không sử dụng một mật khẩu cho nhiều
tài khoản.
- Sử dụng trình duyệt web bảo mật
cao, phiên bản cập nhật thường xuyên.
8. Khi sử dụng điện thoại, máy tính bảng,
thiết bị di động:
- Thận trọng khi sử dụng dịch vụ định
vị, phần mềm miễn phí, phần mềm mạng xã hội (Facebook, Twitter...), phần mềm
OTT (Wechat, Line, Zalo, KakaoTalk...).
- Chỉ cài đặt những phần mềm cần thiết,
rõ nguồn gốc, hạn chế cài đặt và dùng thử phần mềm không rõ nguồn gốc xuất xứ.
- Cấu hình an toàn, cấp quyền cần thiết
cho các ứng dụng.
- Thận trọng khi thiết lập đồng bộ dữ
liệu.
- Không sử dụng để chụp ảnh tài liệu,
phòng làm việc, nhà riêng và các dữ liệu nhạy cảm, quan trọng khi máy đang để
chế độ đồng bộ qua mạng.
9. Trường hợp sử dụng dữ liệu nội bộ,
chứa thông tin bí mật nhà nước, cơ quan:
a) Khi đi công tác:
- Sử dụng các thiết bị tạm thời,
không chứa các dữ liệu quan trọng; trường hợp cần thiết phải
mã hoá thiết bị, tài liệu số mang theo.
- Bảo quản tốt các thiết bị số mang
theo.
- Không sử dụng mạng không dây (wifi)
không rõ nguồn gốc, không sử dụng thiết bị riêng là điểm phát sóng cho các thiết
bị khác truy cập...
- Cô lập ngay thiết bị khi nghi ngờ
nhiễm mã độc.
- Không sử dụng máy tính kết nối
Internet để soạn thảo, lưu trữ dữ liệu nội bộ chứa bí mật
nhà nước trong mọi trường hợp.
- Lưu ý nên đặt tên tệp (file) không
dấu, ký hiệu phiên bản để tránh nhầm lẫn nội dung và mất dữ liệu quan trọng.
- Thiết lập hệ thống quản lý, chống
sao chép dữ liệu bất hợp pháp qua thiết bị lưu trữ ngoài.
b) Sử dụng thiết bị lưu trữ ngoại vi:
- Các thiết bị lưu trữ ngoài lưu trữ
tài liệu nội bộ, tài liệu chứa bí mật
nhà nước phải sử dụng riêng và phải được quản lý chặt.
- Không kết nối các thiết bị lưu trữ
ngoài và các thiết bị có khả năng ghi nhớ qua lại giữa máy tính nội bộ và máy
tính kết nối Internet.
c) Đối với dữ liệu nội bộ, dữ liệu chứa
bí mật nhà nước:
- Không trao đổi thông tin, dữ liệu
chứa bí mật nhà nước qua Internet.
- Không lưu trữ thông tin, tài liệu nội
bộ, tài liệu chứa bí mật nhà nước trên máy tính, thiết bị có kết nối Internet
và những mạng khác (không được phòng vệ) có khả năng làm lộ, mất dữ liệu.
- Sử dụng các phần mềm mã hóa mạnh để mã hóa, bảo vệ dữ liệu, nhất là trong trường
hợp sao chép sang các thiết bị lưu trữ ngoại vi.
10. Có giải pháp bảo vệ an toàn về mặt
vật lý (như chống va đập, đảm bảo không gian, nhiệt độ, độ ẩm, nguồn điện, chống
sét, các tác động phá hoại từ phía con người...) đối với hệ thống phần cứng của
máy chủ, máy tính, thiết bị mạng và các thiết bị khác.
11. Các cơ quan, đơn vị thuê dịch vụ
công nghệ thông tin phải rà soát, phân định để có giải pháp bảo đảm an toàn
thông tin mạng theo Quy chế này.
12. Khi xảy ra sự cố an toàn thông
tin mạng, thủ trưởng cơ quan, đơn vị phải có trách nhiệm xây dựng phương án, tổ
chức khắc phục và báo cáo kết quả lên đơn vị đầu mối theo quy định của Bộ Văn
hóa, Thể thao và Du lịch. Trong trường hợp không tự khắc phục được phải thông
báo và kịp thời phối hợp với đơn vị đầu mối để được hướng dẫn, hỗ trợ, khắc phục
ngay sự cố.
13. Định kỳ hàng năm, các đơn vị báo
cáo Lãnh đạo Bộ về công tác an toàn thông tin của đơn vị. Căn cứ cứ tình hình
thực tế, Bộ tổ chức kiểm tra, rà soát, đánh giá công tác an toàn thông tin mạng
của đơn vị.
Điều 6. Các hành
vi bị nghiêm cấm
1. Ngăn chặn việc truyền tải
thông tin trên mạng, can thiệp, truy nhập, gây nguy hại, xóa, thay đổi, sao chép và làm sai lệch thông tin trên mạng trái pháp luật.
2. Gây ảnh hưởng, cản trở trái pháp
luật tới hoạt động bình thường của hệ thống thông tin hoặc tới khả năng truy nhập hệ thống thông tin của người sử dụng.
3. Tấn công, vô hiệu hóa trái pháp luật
làm mất tác dụng của biện pháp bảo vệ an toàn thông tin mạng của hệ thống thông
tin; tấn công, chiếm quyền điều khiển, phá hoại hệ thống thông tin.
4. Phát tán thư rác, phần mềm độc hại,
thiết lập hệ thống thông tin giả mạo, lừa đảo.
5. Thu thập, sử dụng, phát tán, kinh
doanh trái pháp luật thông tin cá nhân của người khác; lợi dụng sơ hở, điểm yếu
của hệ thống thông tin để thu thập, khai thác thông tin cá nhân.
6. Xâm nhập trái pháp luật bí mật mật
mã và thông tin đã mã hóa hợp pháp của cơ quan, tổ chức, cá nhân; tiết lộ thông tin về sản phẩm mật mã dân sự, thông tin về khách hàng sử dụng hợp pháp sản phẩm mật mã dân sự; sử
dụng, kinh doanh các sản phẩm mật mã dân sự không rõ nguồn gốc.
Chương II
BẢO ĐẢM AN TOÀN
MẠNG THÔNG TIN, MÁY TÍNH, MÁY CHỦ
Điều 7. Bảo đảm
an toàn thông tin máy trạm, máy chủ
1. Kiểm soát chặt chẽ việc cài đặt
các phần mềm mới trên máy trạm, máy chủ. Các phần mềm được cài đặt trên máy trạm,
máy chủ (bao gồm hệ điều hành, các phần mềm ứng dụng văn phòng, phần mềm phục vụ
công việc, tiện ích khác) phải được thường xuyên theo dõi, cập nhật bản vá lỗi
bảo mật của nhà phát triển, lựa chọn cài đặt các phần mềm
chống, diệt virus, mã độc và thường xuyên cập nhật phiên bản mới, đặt lịch quét
virus theo định kỳ ít nhất hàng tuần.
2. Thủ trưởng cơ quan, đơn vị phải
quy định cụ thể về quản lý, vận hành sử dụng máy chủ; quản
lý chặt chẽ nhật ký hoạt động trong quá trình vận hành máy chủ.
3. Tùy mức độ, quy mô, kiến trúc phần
mềm trên máy chủ để có cơ chế sao lưu định kỳ nhật ký hoạt động, hệ thống thông
tin tối thiểu 1 tháng/1 lần.
Điều 8. Bảo đảm
an toàn hệ thống mạng
1. Khuyến khích cơ quan nhà nước tổ
chức mạng nội bộ theo mô hình phân cấp (không ngang hàng); phân chia hệ thống mạng
nội bộ thành các vùng mạng theo phạm vi truy cập mạng nội bộ; khi kết nối với mạng
Internet phải thông qua thiết bị tường lửa, máy chủ trung gian chuyển tiếp và
có cơ chế cài bảo đảm an toàn về dịch vụ, cổng truy cập, phân vùng mạng... Tùy
điều kiện, yêu cầu thực tế về bảo mật dữ liệu, các cơ quan, đơn vị chủ động triển
khai xây dựng mô hình, giải pháp an toàn bảo mật hệ thống mạng tại cơ quan, đơn
vị cho phù hợp.
2. Quản lý hệ thống mạng không dây:
Khi thiết lập mạng không dây có kết nối vào mạng nội bộ phải thiết lập các
thông số cần thiết như định danh, mật khẩu, mã hóa dữ liệu, thay đổi mật khẩu định
kỳ tối thiểu 03 tháng/01 lần.
3. Quản lý truy cập từ xa vào mạng nội
bộ: Đối với việc truy cập từ xa vào mạng nội bộ phải được theo dõi, quản lý chặt
chẽ.
a) Truy cập sử dụng chức năng quản trị
phải thiết lập mật khẩu độ an toàn cao, nhắc nhở khuyến
cáo thường xuyên thay đổi mật khẩu, tăng cường sử dụng mạng riêng ảo, hạn chế
truy cập từ xa vào mạng nội bộ từ các điểm truy cập Internet công cộng;
b) Khuyến khích sử dụng công cụ hoặc
phần mềm chuyên dụng đối với hệ mạng nội bộ nhằm bảo vệ thông tin trong quá
trình truy cập từ xa vào mạng nội bộ (bao gồm cả mạng có dây và không dây) để
trao đổi thông tin.
4. Khi cơ quan, đơn vị thuộc Bộ đấu nối
với Mạng thông tin Bộ phải bảo đảm đồng bộ, thống nhất với toàn hệ thống.
Điều 9. Bảo đảm
an toàn truy cập, đăng nhập hệ thống thông tin
1. Thủ trưởng cơ quan, đơn vị quy định
cụ thể trách nhiệm, quyền hạn người dùng khi truy cập, đăng nhập các hệ thống
thông tin và tổ chức thực hiện nghiêm túc, phù hợp với các quy định của pháp luật
về an toàn thông tin. Mỗi tài khoản truy cập các hệ thống thông tin chỉ được cấp
cho một người quản lý và sử dụng.
Trường hợp một nhóm người sử dụng 01
tài khoản phải có cơ chế xác định trách nhiệm từng cá nhân trong việc quản lý
tài khoản. Người dùng chỉ được truy cập các thông tin phù hợp với chức năng,
trách nhiệm, quyền hạn của mình và có trách nhiệm bảo mật tài khoản truy cập được
cấp.
2. Cá nhân khi sử dụng các ứng dụng
dùng chung của Bộ phải ý thức tự bảo vệ thông tin cá nhân của mình; nghiêm cấm
tiết lộ tài khoản đăng nhập, đấu nối, truy cập trái phép vào hệ thống các phần
mềm dùng chung của Bộ.
3. Các hệ thống thông tin cần giới hạn
số lần đăng nhập sai liên tiếp vào hệ thống (từ 03 đến 05 lần). Nếu đăng nhập
sai vượt quá số lần quy định thì hệ thống tự động khóa tài khoản trong một khoảng
thời gian nhất định trước khi tiếp tục cho đăng nhập.
4. Tất cả máy chủ, máy trạm phải được
thiết lập mật khẩu truy cập và chế độ tự động bảo vệ màn hình sau 10 phút không
sử dụng.
5. Mật khẩu đăng nhập, truy cập hệ thống
thông tin phải có độ phức tạp cao (Theo quy định tại Điều 5, Khoản 5 Quy chế
này) và phải được thay đổi ít nhất 03 tháng/1 lần.
6. Cơ quan, đơn vị rà soát tối thiểu
03 tháng/01lần các tài khoản đăng nhập, bảo đảm các tài
khoản và quyền truy cập hệ thống được cấp phát đúng, đủ.
Khi người dùng thay đổi vị trí công
tác, chuyển công tác, thôi việc hoặc nghỉ hưu thì cơ quan, đơn vị phải kịp
thời thu hồi tài khoản đã cấp và thông báo cho cán bộ phụ trách
(theo thẩm quyền phân công tại cơ quan, đơn vị). Nếu là tài
khoản thuộc phạm vi do Bộ cấp, phải có văn bản báo cho cơ quan chuyên trách
công nghệ thông tin được phân công của Bộ thu hồi tài khoản được cấp.
Điều 10. Bảo đảm
an toàn cho dữ liệu, phần mềm ứng dụng trên máy trạm, máy chủ
1. Việc bảo đảm an toàn các phần mềm ứng
dụng phải được xem xét trong cả giai đoạn đầu tư (hoặc thuê dịch vụ công nghệ
thông tin). Đối với giai đoạn thiết kế, xây dựng, nâng cấp, hủy bỏ phải áp dụng
các biện pháp quản lý và kỹ thuật bảo đảm các quy trình, kết quả xử lý của phần
mềm phải trung thực, kiểm soát lỗ hỏng bảo mật trong quá trình thiết kế, xây dựng
phần mềm, kiểm soát phân quyền người dùng đăng nhập và kiểm soát các rủi ro mất
an toàn thông tin khác có thể phát sinh, thực hiện nghiêm túc việc kiểm tra thử
phần mềm trước khi đưa vào khai thác sử dụng.
2. Có giải pháp bảo vệ dữ liệu trên
máy chủ bảo đảm tính toàn vẹn, tính tin cậy, tính sẵn sàng. Áp dụng kỹ thuật mã
hóa đối với thông tin, dữ liệu quan trọng khi lưu trữ, trao đổi.
3. Chỉ sử dụng hệ thống hạ tầng, phần
mềm do Bộ, cơ quan, đơn vị triển khai để truy cập vào các hệ thống thông tin nội
bộ của Bộ, cơ quan, đơn vị như: hệ thống thư điện tử, phần mềm quản lý văn bản
và điều hành.
Chương III
BẢO ĐẢM AN TOÀN
CỔNG THÔNG TIN ĐIỆN TỬ, TRANG THÔNG TIN ĐIỆN TỬ
Điều 11. Bảo đảm
an toàn chung cho cổng thông tin điện tử, trang thông tin điện tử
1. Cơ quan, đơn vị căn cứ hiện trạng
quản lý, sử dụng, thuê dịch vụ công nghệ thông tin đối với cổng thông tin điện
tử, trang thông tin điện tử của đơn vị để có kế hoạch bảo đảm an toàn theo quy
định hiện hành.
2. Máy chủ, hệ thống máy chủ phục vụ
hoạt động của cổng thông tin điện tử, trang thông tin điện tử của cơ quan, đơn
vị phải đáp ứng các yêu cầu an toàn quy định tại Điều 7 của Quy chế này.
Trong trường hợp cơ quan, đơn vị thuê
dịch vụ công nghệ thông tin phải quy định rõ vai trò, trách nhiệm của đối tác
cung cấp dịch vụ.
3. Cơ sở dữ liệu và dữ liệu số của cổng
thông tin điện tử, trang thông tin điện tử của đơn vị phải đáp ứng yêu cầu an
toàn theo Điều 3, Khoản 2, Điều 5, Khoản 4 và Điều 9 của Quy chế này.
Đối với cổng thông tin điện tử, trang
thông tin điện tử được kết nối bởi một hoặc nhiều hệ thống thông tin, cơ sở dữ
liệu và dữ liệu số khác thì cơ quan chủ quản cổng thông
tin điện tử, trang thông tin điện tử có biện pháp bảo đảm đúng theo thẩm quyền
và quy định của pháp luật.
4. Thiết bị mạng, thiết bị lưu trữ
chuyên dụng, thiết bị tường lửa, thiết bị phát hiện, phòng chống xâm nhập và
các thiết bị khác phục vụ hoạt động của cổng thông tin điện
tử, trang thông tin điện tử được của đơn vị phải được lắp đặt, cấu hình phù hợp bảo đảm tính tối ưu, bảo vệ an toàn.
5. Bảo đảm an toàn cho các phần mềm, ứng
dụng khác trên máy chủ của cổng thông tin điện tử, trang
thông tin điện tử theo Điều 10 của Quy chế này.
Điều 12. Kiểm
tra hoạt động cổng thông tin điện tử, trang thông tin điện tử
1. Kiểm tra, kiểm soát thông tin công
bố lên cổng thông tin điện tử, trang thông tin điện tử nhằm bảo đảm hiển thị các thông tin đúng theo nhu cầu cung cấp của đơn vị, tránh hiển thị các thông tin riêng tư.
2. Kiểm tra rà soát hoạt động các chức
năng phần mềm của cổng thông tin điện tử, trang thông tin điện tử, phát hiện
các lỗi phát sinh có nguy cơ gây ra sự cố, rủi ro an toàn
thông tin mạng.
Điều 13. Nhân lực
và xử lý sự cố
1. Cơ quan, đơn
vị thuộc Bộ bố trí nhân lực thường xuyên theo dõi, giám sát hoạt động của cổng
thông tin điện tử, trang thông tin điện tử (đặc biệt trong các thời điểm nhạy cảm)
phát hiện hoạt động bất bình thường, báo cáo cấp có thẩm
quyền để kịp thời giải quyết.
2. Căn cứ mô hình quản lý, vận hành đối
với cổng thông tin điện tử, trang thông tin điện tử của đơn vị để xây dựng
phương án ứng cứu kịp thời. Trong trường hợp khẩn cấp, phải tạm dừng hoạt động
của cổng thông tin điện tử, trang thông tin điện tử của đơn vị để cách ly, hạn
chế tối đa ảnh hưởng đến Mạng thông tin Bộ.
Chương IV
BẢO ĐẢM AN TOÀN
THƯ ĐIỆN TỬ, CHỮ KÝ SỐ, CHỨNG THƯ SỐ
Điều 14. Bảo đảm
an toàn chung cho hệ thống thư điện tử
1. Việc bảo đảm an toàn đối với hệ thống
thư điện tử công vụ của Bộ Văn hóa, Thể thao và Du lịch do đơn vị đầu mối được
Lãnh đạo Bộ Văn hóa, Thể thao và Du lịch phân công thực hiện.
2. Các hệ thống thư điện tử của cơ
quan, đơn vị thuộc Bộ do cơ quan, đơn vị thuộc Bộ vận hành và chịu trách nhiệm về bảo đảm an toàn.
Cơ quan, đơn vị
thuộc Bộ phối hợp với đơn vị đầu mối trong phạm vi được Lãnh đạo Bộ phân công để
thực hiện.
3. Bảo vệ an toàn hệ thống thông tin
của hệ thống thư điện tử được thực hiện theo Điều 7 (đối với máy chủ thư điện tử),
Điều 9 (đối với việc quản trị cơ sở dữ liệu về thư điện tử), Điều 10 (đối với
phần mềm hệ thống, phần mềm ứng dụng quản trị hộp thư điện tử) và một số lưu ý
khi sử dụng thư điện tử:
- Kiểm tra kỹ
trước khi mở thư điện tử, tin nhắn và các đường dẫn, tập tin gửi kèm.
- Tuyệt đối không truy cập, xóa
ngay các thư điện tử, tin nhắn không rõ nguồn gốc, nội dung có dấu
hiệu nghi vấn, giả mạo.
- Thận trọng với các thư điện tử yêu
cầu khai báo thông tin truy cập, mật khẩu, mã pin (ngân hàng)...
- Trường hợp cần thiết phải liên lạc
với người gửi bằng phương tiện khác để xác thực trước khi mở các thư điện tử,
tin nhắn.
- Thận trọng khi truy cập vào địa chỉ
trang web lạ.
Điều 15: Kiểm
tra hoạt động của hệ thống thư điện tử công vụ
1. Người dùng được giao quản lý tài
khoản hộp thư điện tử công vụ cá nhân, tổ chức của cơ quan, đơn vị phải thực hiện
các yêu cầu về bảo mật tại Điều 5, Khoản 2 và Điều 9, Khoản 6 của Quy chế này.
2. Cơ quan, đơn vị thuộc Bộ sử dụng hệ
thống thư điện tử riêng bố trí nhân lực, thường xuyên rà soát hoạt động của hệ
thống thư điện tử bảo đảm an toàn, hiệu quả.
Nếu cơ quan, đơn vị không trực tiếp
quản trị hệ thống thư điện tử riêng của đơn vị cần có giải pháp chủ động bảo đảm
an toàn hệ thống thư điện tử.
Điều 16. Bảo đảm
an toàn chữ ký số
Chữ ký số chuyên dùng được xem là an
toàn khi đáp ứng điều kiện sau:
1. Chữ ký số được tạo ra trong thời
gian chứng thư số có hiệu lực và kiểm tra được bằng khóa
công khai ghi trên chứng thư số có hiệu lực đó.
2. Chữ ký số được tạo ra bằng việc sử
dụng khóa bí mật tương ứng với khóa công khai ghi trên chứng
thư số.
3. Khóa bí mật chỉ thuộc sự kiểm soát
của người ký tại thời điểm ký.
4. Khóa bí mật và nội dung thông điệp
dữ liệu chỉ gắn duy nhất với người ký khi người đó ký số thông điệp dữ liệu.
Điều 17. Bảo đảm
an toàn khi sử dụng chữ ký số và chứng thư số
1. Bảo đảm an toàn khi sử dụng chữ ký
số, chứng thư số theo quy định của Pháp luật về an toàn thông tin mạng, cơ yếu
và mật mã dân sự.
2. Cơ quan, đơn vị thuộc Bộ được giao
quản lý chứng thư số, chữ ký số của cá nhân, cơ quan, đơn vị thuộc Bộ phải tuân
thủ quy định của pháp luật và các quy định riêng của Bộ Văn hóa, Thể thao và Du
lịch.
Đơn vị đầu mối được giao quản lý chứng
thư số, chữ ký số của Bộ hướng dẫn việc bảo đảm an toàn trong quá trình sử dụng
theo quy định của Pháp luật hiện hành.
3. Thu hồi chứng thư số của cá nhân,
cơ quan, đơn vị thuộc Bộ trong các trường hợp:
a) Chứng thư số hết hạn sử dụng;
b) Khóa bí mật bị lộ hoặc nghi bị lộ;
c) Thiết bị lưu khóa bí mật bị thất lạc,
bị sao chép hoặc các trường hợp mất an toàn khác;
d) Theo yêu cầu bằng văn bản (hoặc
thông qua chứng thư số còn hiệu lực) từ cơ quan tiến hành tố tụng, cơ quan an
ninh;
đ) Theo yêu Cầu
bằng văn bản (hoặc thông qua chứng thư số còn hiệu lực) từ người quản lý thuê bao;
e) Thuê bao thay đổi vị trí công tác
hoặc nghỉ hưu;
g) Trường hợp chứng thư số cấp cho người có thẩm quyền của đơn vị theo quy định của pháp luật về
quản lý và sử dụng con dấu có thay đổi chức danh;
h) Thuê bao vi phạm các quy định về
quản lý, sử dụng khóa bí mật và thiết bị lưu khóa bí mật được quy định tại Quy
chế này.
Chương V
KIỂM TRA CÔNG
TÁC ĐẢM BẢO AN TOÀN, AN NINH THÔNG TIN MẠNG
Điều 18. Trách nhiệm và phối hợp
trong công tác kiểm tra
1. Trung tâm Công nghệ thông tin chủ trì,
phối hợp với các đơn vị có liên quan tiến hành kiểm tra
công tác đảm bảo an toàn, an ninh thông tin mạng định kỳ hàng năm đối với các cơ quan, đơn vị.
2. Các đơn vị liên quan được mời tham
gia đoàn kiểm tra: Cử cán bộ có chuyên môn về công nghệ thông tin tham gia đoàn
kiểm tra do Trung tâm Công nghệ thông tin tổ chức; phối hợp với đoàn kiểm tra
xây dựng các tiêu chí và quy trình kỹ thuật kiểm tra công tác đảm bảo an toàn,
an ninh thông tin.
4. Các cơ quan nhà nước có thẩm quyền
sẽ tiến hành kiểm tra các cơ quan, đơn vị khi phát hiện có dấu hiệu vi phạm
pháp luật về an toàn, an ninh thông tin trong hệ thống thông tin theo đúng quy
định.
5. Đoàn kiểm tra có trách nhiệm thông
báo thời gian, địa điểm, nội dung và thành phần cho đơn vị được kiểm tra biết
trước ít nhất 05 ngày để chuẩn bị.
6. Đơn vị được kiểm tra:
a) Chuẩn bị nội dung báo cáo theo yêu
cầu của Đoàn kiểm tra.
b) Có đại diện lãnh đạo và cán bộ đầu
mối về công nghệ thông tin của đơn vị để làm việc cùng
Đoàn kiểm tra.
c) Tạo thuận lợi cho công tác kiểm
tra.
Điều 19. Kiểm
tra định kỳ và đột xuất
1. Đoàn kiểm tra xây dựng kế hoạch và
thực hiện kiểm tra định kỳ hàng năm về công tác đảm bảo an toàn, an ninh thông
tin mạng trong hoạt động ứng dụng công nghệ thông tin của các cơ quan nhà nước.
2. Đoàn kiểm tra tiến hành kiểm tra đột
xuất các cơ quan, đơn vị có dấu hiệu vi phạm an toàn, an ninh thông tin.
Chương VI
TRÁCH NHIỆM CỦA
TỔ CHỨC, CÁ NHÂN VỀ AN TOÀN THÔNG TIN MẠNG
Điều 20. Thủ trưởng
cơ quan, đơn vị thuộc Bộ
1. Thủ trưởng cơ quan, đơn vị chịu
trách nhiệm đảm bảo an toàn thông tin của đơn vị và thực hiện báo cáo theo yêu
cầu của đơn vị chuyên trách công nghệ thông tin của Bộ.
2. Căn cứ Quy chế này và nhu cầu thực
tế của cơ quan, đơn vị về an toàn thông tin, thông tin mạng để xây dựng và ban
hành Quy chế an toàn thông tin của đơn vị mình. Quy chế của đơn vị gồm các quy
định cơ bản sau:
a) Quản lý và bảo đảm an toàn máy chủ,
máy trạm, các thiết bị di động và cơ chế sao lưu, phục hồi;
b) Quản lý và bảo đảm an toàn hệ thống
mạng máy tính, kết nối internet;
c) Quản lý và bảo đảm an toàn truy cập,
đăng nhập hệ thống thông tin;
d) Quản lý và bảo đảm an toàn các phần
mềm ứng dụng;
đ) Quản lý và bảo đảm an toàn thông
tin, dữ liệu số.
3. Trong trường hợp mua sắm trang bị
thiết bị hạ tầng công nghệ thông tin, xây dựng phần mềm có liên quan hoặc ảnh
hưởng tới hạ tầng công nghệ, phần mềm dùng chung của Bộ phải có tư vấn, thông
qua của đơn vị chuyên trách thẩm định để không gây ảnh hưởng tới hạ tầng công
nghệ chung của Bộ.
4. Cử cán bộ công chức, viên chức,
người lao động tham gia chương trình đào tạo, tập huấn của Bộ Văn hóa, Thể thao
và Du lịch về an toàn thông tin.
Điều 21. Công chức,
viên chức, người lao động
1. Trách nhiệm của cán bộ, công chức,
viên chức phụ trách an toàn thông tin của đơn vị:
a) Chịu trách nhiệm bảo đảm an toàn
thông tin của đơn vị;
b) Tham mưu lãnh đạo đơn vị ban hành
quy định, quy chế của đơn vị là đầu mối để triển khai thực hiện các giải pháp kỹ
thuật bảo đảm an toàn, an ninh thông tin;
c) Giám sát, đánh giá, kịp thời báo
cáo thủ trưởng đơn vị các nguy cơ gây mất an toàn thông tin của đơn vị;
d) Định kỳ báo cáo, đánh giá với thủ
trưởng đơn vị về tình hình đảm bảo an toàn thông tin và đề xuất các biện pháp
khắc phục, nâng cao an toàn an ninh thông tin.
đ) Phối hợp với các cá nhân, đơn vị
được giao đầu mối trong việc kiểm soát, phát hiện và khắc phục các sự cố an
toàn, an ninh thông tin.
2. Trách nhiệm của cán bộ, công chức,
viên chức, người lao động trong các cơ quan, đơn vị:
a) Nghiêm túc chấp hành các quy định,
quy trình nội bộ của đơn vị, Quy chế này và các quy định khác của pháp luật về
an toàn thông tin;
b) Chịu trách nhiệm bảo đảm an toàn
thông tin trong phạm vi trách nhiệm và quyền hạn được giao; tự quản lý, bảo quản
thiết bị mà mình được giao sử dụng;
c) Khi phát hiện nguy cơ hoặc sự cố mất
an toàn thông tin phải báo cáo ngay với bộ phận phụ trách an toàn thông tin của
đơn vị để kịp thời ngăn chặn và xử lý.
Điều 22. Trung
tâm Công nghệ thông tin
Ngoài việc thực hiện các quy định
chung, thực hiện các nhiệm vụ:
1. Trung tâm
Công nghệ thông tin là cơ quan chuyên trách quản lý nhà nước về an toàn và bảo
mật thông tin của Bộ; chịu trách nhiệm đôn đốc, kiểm tra,
đánh giá và báo cáo Lãnh đạo Bộ về tình hình an toàn, bảo mật thông tin.
2. Tổ chức đào tạo, bồi dưỡng về an
toàn, an ninh thông tin theo Kế hoạch ứng dụng công nghệ thông tin hàng năm của
Bộ Văn hóa, Thể thao và Du lịch.
3. Đầu mối triển khai các nhiệm vụ về
an ninh, an toàn thông tin của các cơ quan, đơn vị thuộc Bộ.
4. Hướng dẫn các đơn vị thuộc Bộ trong
việc xây dựng và thẩm định quy chế, quy định về an toàn, an ninh thông tin.
5. Phối hợp với Trung tâm Thông tin
Du lịch, Trung tâm Thông tin Thể dục thể thao trong việc đề xuất giải pháp và
triển khai các nhiệm vụ về an ninh, an toàn thông tin đối với Mạng thông tin Bộ.
Điều 23. Trung
tâm Thông tin Du lịch (Tổng
cục Du lịch)
Ngoài việc thực hiện các quy định
chung, thực hiện các nhiệm vụ:
1. Là đầu mối triển khai các nhiệm vụ
về an ninh, an toàn thông tin của các cơ quan, đơn vị trực thuộc Tổng cục Du lịch.
2. Hướng dẫn các đơn vị trực thuộc Tổng
cục Du lịch trong việc xây dựng quy chế, quy định về an toàn, an ninh thông
tin.
3. Phối hợp với Trung tâm Công nghệ
thông tin đề xuất giải pháp về an toàn, bảo mật thông tin của Bộ Văn hóa, Thể
thao và Du lịch.
Điều 24. Trung
tâm Thông tin Thể dục thể thao (Tổng cục TDTT)
Ngoài việc thực hiện các quy định
chung, thực hiện các nhiệm vụ:
1. Là đầu mối triển khai các nhiệm vụ
về an ninh, an toàn thông tin của các cơ quan, đơn vị trực thuộc Tổng cục Thể
dục thể thao;
2. Hướng dẫn các đơn vị trực thuộc Tổng
cục Thể dục thể thao trong việc xây dựng quy chế, quy định về an toàn, an ninh thông tin;
3. Phối hợp với Trung tâm Công nghệ
thông tin đề xuất giải pháp về an toàn, bảo mật thông tin của Bộ Văn hóa, Thể
thao và Du lịch.
Chương VII
TỔ CHỨC THỰC HIỆN
Điều 25. Khen
thưởng và xử lý vi phạm
1. Trung tâm Công nghệ thông tin tiến
hành kiểm tra, đánh giá, xếp hạng an toàn, an ninh thông tin, trên cơ sở đó
tham mưu, đề xuất Lãnh đạo Bộ xem xét khen thưởng hàng năm theo quy định.
2. Các cơ quan, đơn vị và các cán bộ,
công chức, viên chức người lao động trực thuộc Bộ có hành vi vi phạm quy chế
này tùy theo mức độ vi phạm bị xử lý theo quy định.
Điều 26. Điều
khoản thi hành
Trong quá trình thực hiện Quy chế, nếu
có khó khăn, vướng mắc, các cơ quan, đơn vị có liên quan phản ánh kịp thời về Bộ
Văn hóa, Thể thao và Du lịch (qua Trung tâm Công nghệ thông tin) để tổng hợp báo cáo trình Lãnh đạo Bộ sửa đổi, bổ sung
cho phù hợp./.