Các hoạt động bảo vệ an ninh mạng của Bộ Giáo dục và Đào tạo từ ngày 30/10/2024 như thế nào?

Nội dung chính

• Các hoạt động bảo vệ an ninh mạng của Bộ Giáo dục và Đào tạo từ ngày 30/10/2024 như thế nào?
• Kiểm tra, đánh giá an toàn, an ninh thông tin mạng của Bộ giáo dục và Đào tạo như thế nào?
• Quản lý, sử dụng mạng máy tính đối với hệ thống tài khoản sử dụng của Bộ Giáo dục và Đào tạo ra sao?

Các hoạt động bảo vệ an ninh mạng của Bộ Giáo dục và Đào tạo từ ngày 30/10/2024 như thế nào?

Căn cứ theo Điều 12 Quy chế kèm theo Quyết định 3238/QĐ-BGDĐT năm 2024 quy định về các hoạt động bảo vệ an ninh mạng của Bộ Giáo dục và Đào tạo như sau:

Việc triển khai các hoạt động bảo vệ an ninh mạng do đơn vị quản lý hệ thống thông tin chịu trách nhiệm, bao gồm:

(1) Xác định rõ hệ thống thông tin quan trọng cần ưu tiên bảo đảm an ninh mạng.

(2) Xây dựng quy định, nguyên tắc quản lý, sử dụng và bảo đảm an ninh mạng; mạng máy tính nội bộ có lưu trữ, truyền đưa bí mật nhà nước phải được tách biệt vật lý hoàn toàn với mạng máy tính, các thiết bị, phương tiện điện tử có kết nối mạng Internet, trường hợp khác phải bảo đảm quy định của pháp luật về bảo vệ bí mật nhà nước.

(3) Xây dựng quy trình quản lý, nghiệp vụ, kỹ thuật trong vận hành, sử dụng và bảo đảm an ninh mạng đối với dữ liệu, hạ tầng kỹ thuật, trong đó phải đáp ứng các yêu cầu cơ bản bảo đảm an toàn hệ thống thông tin.

(4) Đảm bảo điều kiện về nhân sự làm công tác quản trị mạng, vận hành hệ thống, bảo đảm an ninh mạng, an toàn thông tin và liên quan đến hoạt động soạn thảo, lưu trữ, truyền đưa bí mật nhà nước qua hệ thống mạng máy tính.

(5) Quy định rõ trách nhiệm của từng bộ phận, cán bộ, nhân viên trong quản lý, sử dụng, bảo đảm an ninh mạng, an toàn thông tin.

(6) Quy định chế tài xử lý những vi phạm quy định về đảm bảo an ninh mạng.

(7) Quy định về đảm bảo trang bị các phần mềm, công cụ... thực hiện việc giám sát, cảnh báo, ngăn chặn các cuộc tấn công; bóc gỡ thành phần mã độc bị cài đặt khai thác.

Các hoạt động bảo vệ an ninh mạng của Bộ Giáo dục và Đào tạo từ ngày 30/10/2024 như thế nào? (Hình ảnh Internet)

Kiểm tra, đánh giá an toàn, an ninh thông tin mạng của Bộ giáo dục và Đào tạo như thế nào?

Căn cứ theo Điều 16 Quy chế kèm theo Quyết định 3238/QĐ-BGDĐT năm 2024 quy định về kiểm tra, đánh giá an toàn, an ninh thông tin như sau:

- Đơn vị chủ quản hệ thống thông tin:

+ Có thẩm quyền yêu cầu kiểm tra, đánh giá an toàn, an ninh thông tin đối với các hệ thống thông tin thuộc thẩm quyền quản lý, có thẩm quyền giao nhiệm vụ hoặc được lựa chọn thuê dịch vụ để thực hiện việc kiểm tra, đánh giá. Đối tượng kiểm tra, đánh giá là Đơn vị quản lý, sử dụng hệ thống thông tin hoặc đơn vị vận hành hệ thống thông tin và các hệ thống thông tin có liên quan.

+ Hệ thống thông tin quan trọng về an ninh quốc gia thực hiện trình tự, thủ tục đánh giá, kiểm tra theo quy định tại Điều 14, Điều 16 Nghị định 53/2022/NĐ-CP và theo hướng dẫn của Bộ Công an. Tổ chức, doanh nghiệp cung cấp dịch vụ kiểm tra, đánh giá an toàn, an ninh mạng phải độc lập với tổ chức, doanh nghiệp cung cấp dịch vụ giám sát an toàn, an ninh mạng cho đơn vị.

- Cục Công nghệ thông tin:

+ Có thẩm quyền yêu cầu kiểm tra, đánh giá đối với các hệ thống thông tin do các đơn vị phê duyệt hồ sơ đề xuất cấp độ.

+ Thực hiện việc kiểm tra việc tuân thủ quy định của pháp luật về bảo đảm an toàn hệ thống thông tin theo cấp độ tại Bộ Giáo dục và Đào tạo theo quy định tại Điều 12 Thông tư 12/2022/TT-BTTTT.

+ Thực hiện việc đánh giá hiệu quả các biện pháp bảo đảm an toàn thông tin theo thẩm quyền. Nội dung đánh giá là cơ sở để điều chỉnh phương án bảo đảm an toàn thông tin cho phù hợp.

Quản lý, sử dụng mạng máy tính đối với hệ thống tài khoản sử dụng của Bộ Giáo dục và Đào tạo ra sao?

Căn cứ theo Điều 11 Quy chế kèm theo Quyết định 3238/QĐ-BGDĐT năm 2024 quy định về quản lý, sử dụng mạng máy tính đối với hệ thống tài khoản sử dụng của Bộ Giáo dục và Đào tạo như sau:

(1) Tài khoản truy cập hệ thống thông tin

- Đơn vị quản lý hệ thống thông tin có trách nhiệm:

+ Cấp tài khoản đúng thẩm quyền sử dụng cho các tổ chức, cá nhân sử dụng hệ thống thông tin và sử dụng tài khoản truy cập với định danh duy nhất gắn với cá nhân đó. Riêng đối với các hệ thống thông tin dùng chung của Bộ sử dụng cơ chế đăng nhập một lần, chung một tài khoản truy nhập và mật khẩu do Cục Công nghệ thông tin cung cấp.

+ Hệ thống tài khoản sử dụng phải được rà soát hàng năm, bảo đảm các tài khoản và quyền truy cập hệ thống được cấp phát đúng. Các tài khoản không sử dụng trong thời gian 01 năm phải bị khóa hoặc xóa bỏ (sau khi trao đổi, xác nhận với đơn vị sử dụng).

+ Khi có yêu cầu khóa quyền truy cập hệ thống thông tin của tài khoản đang hoạt động, lãnh đạo đơn vị phải yêu cầu bằng văn bản gửi đơn vị Đơn vị quản lý hệ thống thông tin. Đơn vị quản lý hệ thống thông tin có quyền khóa quyền truy cập của tài khoản trong trường hợp tài khoản thực hiện các hành vi tấn công hoặc để xảy ra vấn đề mất an toàn, an ninh thông tin.

+ Trường hợp người dùng thay đổi vị trí công tác, chuyển công tác, thôi việc hoặc nghỉ hưu thì đơn vị phải thông báo bằng văn bản cho đơn vị quản lý hệ thống thông tin để thực hiện điều chỉnh, thu hồi, hủy bỏ các quyền sử dụng của người dùng đó.

- Các cá nhân sử dụng

+ Có trách nhiệm bảo vệ thông tin tài khoản được cấp, không tiết lộ mật khẩu, không khuyến khích để chế độ lưu mật khẩu tự động hoặc đưa cho người khác phương tiện xác thực tài khoản của mình ngoại trừ các trường hợp: cần xử lý công việc khẩn cấp của đơn vị; cần cung cấp, bàn giao cho đơn vị các thông tin, tài liệu do cá nhân quản lý.

+ Đổi ngay mật khẩu sau khi nhận bàn giao từ người khác hoặc có thông báo về sự cố an toàn thông tin, điểm yếu liên quan đến khả năng lộ mật khẩu.

(2) Tài khoản quản trị hệ thống

Đơn vị quản lý, vận hành hệ thống thông tin có trách nhiệm:

- Quản lý và cấp tài khoản quản trị hệ thống, tài khoản quản trị hệ thống phải tách biệt với tài khoản truy cập của người dùng thông thường. Tài khoản hệ thống phải được giao đích danh cá nhân làm công tác quản trị. Hạn chế dùng chung tài khoản quản trị.

- Mật khẩu quản trị phải được quản lý trong các phần mềm mã hóa trên các thiết bị dành riêng cho quản trị hệ thống. Trường hợp cần thiết để bảo đảm an toàn, an ninh cho hệ thống, phải triển khai hệ thống quản lý tài khoản đặc quyền để thực hiện quản lý, lưu giữ, cấp phát tài khoản quản trị hệ thống.

- Thiết bị (máy tính cá nhân, máy tính bảng, điện thoại...) phục vụ quản trị hệ thống, chỉ được sử dụng cho mục đích quản trị hệ thống, chỉ cài đặt và sử dụng các phần mềm quản trị đúng bản quyền, nguồn gốc rõ ràng, thực sự cần thiết, không được kết nối trực tiếp đến máy chủ để thực hiện quản trị cấu hình mà phải kết nối với máy chủ quản trị qua các đường truyền có mã hóa bảo mật theo quy định.

(3) Quy định về mật khẩu của tài khoản

- Độ dài mật khẩu tối thiểu 12 ký tự, trong đó có tối thiểu 3 trong 5 loại ký tự sau: chữ cái viết hoa (A - Z), chữ cái viết thường (a - z), chữ số (0 - 9) và các ký tự đặc biệt khác trên bàn phím máy tính và dấu cách.

- Mật khẩu không chứa tên tài khoản.

- Mật khẩu phải được thay đổi tối thiểu 06 tháng một lần.