ỦY BAN NHÂN DÂN
TỈNH VĨNH LONG
-------
|
CỘNG HÒA XÃ HỘI
CHỦ NGHĨA VIỆT NAM
Độc lập - Tự do - Hạnh phúc
---------------
|
Số: 08/CT-UBND
|
Vĩnh Long, ngày
11 tháng 6 năm 2024
|
CHỈ THỊ
VỀ TĂNG CƯỜNG BẢO ĐẢM AN TOÀN THÔNG TIN MẠNG, AN NINH MẠNG
TRÊN ĐỊA BÀN TỈNH VĨNH LONG
Trước tình hình hoạt động tấn
công mạng, đặc biệt là mã độc tống tiền (ransomware) tăng mạnh thời gian gần
đây và có thể tiếp tục diễn biến phức tạp trong giai đoạn tới, nguy cơ ảnh hưởng
nghiêm trọng đến hoạt động phát triển kinh tế - xã hội; đồng thời để khắc phục
những tồn tại, hạn chế, tăng cường kỷ luật, kỷ cương trong công tác bảo đảm
ATTT mạng, ngày 07/4/2024 Thủ tướng Chính phủ có Công điện số 33/CĐ-TTg về tăng
cường bảo đảm ATTT mạng; ngày 12/4/2024 Bộ Thông tin và Truyền thông có Công
văn số 1337/BTTTT-CATTT về việc hướng dẫn rà soát, đánh giá tình hình bảo đảm
ATTT mạng đối với các hệ thống thông tin thuộc phạm vi quản lý.
Để tăng cường công tác bảo đảm
an toàn thông tin (ATTT) mạng, khả năng phòng, chống các nguy cơ tấn công mạng,
bao gồm cả việc ứng cứu sự cố nhằm phục hồi, giảm thiểu thiệt hại, đưa các hệ
thống thông tin trở lại hoạt động bình thường trong thời gian sớm nhất khi gặp
sự cố tấn công mạng, Chủ tịch UBND tỉnh yêu cầu:
1. Thủ trưởng
các sở, ban, ngành tỉnh, Chủ tịch UBND các huyện, thị xã, thành phố
a) Trực tiếp chỉ đạo và phụ
trách công tác bảo đảm ATTT mạng; chịu trách nhiệm trước pháp luật và Chủ tịch
UBND tỉnh nếu để hệ thống thông tin thuộc phạm vi quản lý không bảo đảm ATTT mạng,
để xảy ra sự cố nghiêm trọng.
b) Tổ chức phổ biến, quán triệt
các đơn vị thuộc phạm vi quản lý rà soát, nghiêm túc tuân thủ các quy định pháp
luật về bảo đảm ATTT mạng.
c) Bảo đảm 100% hệ thống thông
tin đang trong quá trình thiết kế, xây dựng, nâng cấp, mở rộng trước khi đưa
vào vận hành, khai thác phải được phê duyệt cấp độ an toàn hệ thống thông tin
và triển khai đầy đủ phương án bảo đảm an toàn thông tin theo hồ sơ đề xuất cấp
độ được phê duyệt.
d) Tổ chức rà soát, thống kê, cập
nhật danh mục hệ thống thông tin thuộc phạm vi quản lý; Xây dựng Kế hoạch hoàn
thiện và có lộ trình cụ thể đối với các hệ thống thông tin chưa thực hiện phê
duyệt hồ sơ đề xuất cấp độ và triển khai đầy đủ phương án bảo đảm an toàn thông
tin theo cấp độ được phê duyệt; Bảo đảm 100% hệ thống thông tin đang vận hành
phải được phê duyệt cấp độ an toàn hệ thống thông tin chậm nhất trong tháng
9/2024; triển khai đầy đủ phương án bảo đảm an toàn thông tin theo hồ sơ đề
xuất cấp độ được phê duyệt chậm nhất trong tháng 12/2024.
đ) Sử dụng thường xuyên, liên tục
các nền tảng hỗ trợ bảo đảm an toàn thông tin do Bộ Thông tin và Truyền thông
cung cấp (Nền tảng Điều phối xử lý sự cố ATTT mạng quốc gia (IRLab); Nền tảng Hỗ
trợ điều tra số (DFLab); Nền tảng quản lý cấp độ tại đường dẫn:
https://capdo.ais.gov.vn).
e) Ưu tiên triển khai hệ thống
thông tin trên các hạ tầng số (như Trung tâm dữ liệu, dịch vụ Điện toán đám
mây) đã được triển khai đầy đủ phương án bảo đảm an toàn thông tin để kế thừa
các biện pháp bảo đảm an toàn thông tin đã có.
g) Định kỳ tổ chức hoạt động
thanh tra, kiểm tra, đánh giá tuân thủ các quy định, giám sát việc thực hiện
công tác bảo đảm an toàn thông tin theo cấp độ trong phạm vi quản lý, tối thiểu
01 lần/01 năm và báo cáo kết quả thực hiện về Sở Thông tin và Truyền thông trước
ngày 20/12 hàng năm.
h) Rà soát, triển khai các nhiệm
vụ liên quan Chỉ thị số 11/CT-UBND ngày 19/7/2023 của Chủ tịch UBND tỉnh Vĩnh
Long về việc đẩy mạnh đảm bảo ATTT mạng và triển khai các hoạt động ứng cứu sự
cố ATTT mạng trên địa bàn tỉnh Vĩnh Long. Thống kê, đánh giá về công tác xây dựng
kế hoạch ứng phó sự cố đối với các hệ thống thông tin thuộc phạm vi quản lý. Kịp
thời cập nhật phương án xử lý sự cố tương ứng với loại sự cố/hình thức tấn công
mạng, đặc biệt là các phương án ứng phó sự cố đối với nguy cơ tấn công mã độc/mã
hóa tống tiền (ransomware), tấn công chiếm quyền điều khiển, thay đổi giao diện,…
i) Triển khai phương án sao lưu
định kỳ hệ thống và dữ liệu quan trọng để kịp thời khôi phục khi bị tấn công mã
hóa dữ liệu và báo cáo sự cố về Sở Thông tin và Truyền thông theo quy định tại
Quyết định số 05/2017/QĐ-TTg ngày 16/3/2017 và Chỉ thị số 18/CT-TTg ngày
13/10/2022 của Thủ tướng Chính phủ; Thông tư số 20/2017/TT-BTTTT ngày 12/9/2017
của Bộ trưởng Bộ Thông tin và Truyền thông.
k) Kiểm tra, cập nhật các bản
vá ATTT cho các hệ thống quan trọng theo cảnh báo của Sở Thông tin và Truyền
thông và các cơ quan, tổ chức liên quan; định kỳ kiểm tra, đánh giá, rà soát để
phát hiện kịp thời các lổ hỗng ATTT, các điểm yếu đang tồn tại trên hệ thống tối
thiểu theo quy định tại khoản 2, Điều 20 Nghị định số 85/2016/NĐ-CP ngày
01/7/2016 và Điều 12 Thông tư số 12/2022/TT-BTTTT ngày 12/8/2022.
l) Rà soát, xây dựng, triển
khai kế hoạch ứng dụng công nghệ thông tin hàng năm, giai đoạn 5 năm và các dự
án công nghệ thông tin; bảo đảm tỷ lệ kinh phí chi cho các sản phẩm, dịch vụ
ATTT mạng đạt tối thiểu 10% tổng kinh phí triển khai các kế hoạch, dự án này
theo chỉ đạo của Thủ tướng Chính phủ tại Chỉ thị số 14/CT-TTg ngày 07/6/2019.
m) Phối hợp với Sở Thông tin và
Truyền thông thực hiện rà soát, đánh giá tình hình thực hiện kiểm tra, đánh giá
an toàn thông tin và quản lý rủi ro an toàn thông tin theo quy định tại Khoản
2, Điều 20 Nghị định số 85/2016/NĐ-CP ngày 01/7/2016 của Chính phủ; Điều 12
Thông tư số 12/2022/TT-BTTTT ngày 12/8/2022 của Bộ trưởng Bộ Thông tin và Truyền
thông. Đối với các hệ thống thông tin cấp độ 3 bảo đảm ATTT theo mô hình 4 lớp;
các hệ thống thông tin cấp độ 1, 2 triển khai các giải pháp bảo đảm ATTT theo hồ
sơ cấp độ đã được phê duyệt, đặc biệt là nâng cao năng lực của lớp giám sát, bảo
vệ chuyên nghiệp và duy trì liên tục, ổn định kết nối, chia sẻ thông tin với Hệ
thống giám sát ATTT (SOC) tỉnh để chia sẻ về Trung tâm Giám sát an toàn không
gian mạng quốc gia trực thuộc Cục An toàn thông tin - Bộ Thông tin và Truyền
thông.
Trường hợp xảy ra sự cố tấn
công mạng, tuân thủ nghiêm túc theo quy định và chỉ đạo tại Quyết định số
05/2017/QĐ-TTg ngày 16/3/2017 của Thủ tướng Chính phủ; Chỉ thị số 18/CT-TTg
ngày 13/10/2022 của Thủ tướng Chính phủ, Thông tư số 20/2017/TT-BTTTT ngày
12/9/2017 của Bộ trưởng Bộ Thông tin và Truyền thông. Lưu ý, tuân thủ theo sự
điều phối ứng cứu sự cố của Cơ quan điều phối quốc gia, Sở Thông tin và Truyền
thông và các cơ quan chức năng có liên quan trong việc thu thập, phân tích
thông tin; xử lý, khắc phục sự cố, xác minh nguyên nhân và truy tìm nguồn gốc;
phát ngôn và công bố thông tin. Kịp thời báo cáo đầy đủ thông tin về sự cố, thiệt
hại và các thông tin liên quan về cơ quan Thường trực Đội Ứng cứu sự cố ATTT mạng
tỉnh (Sở Thông tin và Truyền thông; Điện thoại: 02703.837113, di động
0919.155804); đồng thời tổng kết, phân tích, đánh giá, rút ra bài học và
báo cáo về Sở Thông tin và Truyền thông để tổng hợp báo cáo về Cơ quan điều phối
quốc gia.
n) Định kỳ trước ngày 15 của
tháng cuối Quý báo cáo kết quả rà soát, đánh giá tình hình bảo đảm ATTT mạng
đối với các hệ thống thông tin thuộc phạm vi quản lý gửi về Sở Thông tin và
Truyền thông (theo Phụ lục I và Phụ lục II đính kèm).
2. Sở Thông
tin và Truyền thông
a) Chủ trì, phối hợp các cơ
quan có liên quan tổ chức kiểm tra việc triển khai thực hiện và tuân thủ các
quy định pháp luật về công tác đảm bảo an ninh, ATTT mạng tại các cơ quan, tổ
chức nhà nước và các tổ chức, doanh nghiệp cung cấp dịch vụ trực tuyến phục vụ
người dân, doanh nghiệp; kiên quyết xử lý nghiêm theo quy định pháp luật đối với
các trường hợp vi phạm, để xảy ra sự cố mất an ninh, an toàn thông tin mạng.
b) Rà soát, đánh giá công tác
xây dựng kế hoạch ứng phó sự cố ATTT mạng, tổ chức diễn tập ATTT mạng
- Thống kê, đánh giá về công
tác xây dựng kế hoạch ứng phó sự cố đối với các hệ thống thông tin thuộc phạm
vi quản lý. Kịp thời cập nhật phương án xử lý sự cố tương ứng với loại sự cố/hình
thức tấn công mạng, đặc biệt là các phương án ứng phó sự cố đối với nguy cơ tấn
công mã độc/mã hóa tống tiền (ransomware), tấn công chiếm quyền điều khiển,
thay đổi giao diện,….
- Đánh giá tình hình thực hiện
và tổ chức diễn tập thực chiến ATTT đối với các hệ thống thông tin thuộc phạm
vi quản lý theo chỉ đạo tại Chỉ thị số 18/CT- TTg ngày 13/8/2022 về đẩy mạnh
triển khai các hoạt động ứng cứu sự cố ATTT mạng Việt Nam.
- Xây dựng, cập nhật kế hoạch để
đảm bảo triển khai tổ chức diễn tập, ứng phó các sự cố có thể xảy ra đối với
các hệ thống thông tin thuộc phạm vi quản lý, đặc biệt là các hệ thống thông
tin quan trọng, hệ thống thông tin cung cấp dịch vụ trực tuyến cho người dân và
doanh nghiệp.
c) Phối hợp với Công an tỉnh và
các đơn vị có liên quan thực hiện
Tổ chức triển khai thực hiện
công tác giám sát nhằm kịp thời phát hiện, cảnh báo sớm và có biện pháp ứng cứu
các sự cố an toàn thông tin mạng; đồng thời hướng dẫn các đơn vị, địa phương, tổ
chức, doanh nghiệp sử dụng các nền tảng công nghệ hỗ trợ công tác bảo đảm an
ninh, an toàn thông tin để quản lý và thực thi pháp luật về an toàn thông tin mạng.
- Thống kê, rà soát việc tổ chức
thực hiện kiểm tra, đánh giá an toàn thông tin và quản lý rủi ro ATTT đối với
các hệ thống thông tin thuộc phạm vi quản lý theo quy định tại khoản 2, Điều 20
Nghị định số 85/2016/NĐ-CP ngày 01/7/2016 của Chính phủ và Điều 12 Thông tư số
12/2022/TT-BTTTT ngày 12/8/2022 của Bộ trưởng Bộ Thông tin và Truyền thông.
- Xây dựng kế hoạch, bố trí nguồn
lực để tổ chức kiểm tra, đánh giá ATTT và quản lý rủi ro ATTT đối với các hệ thống
thông tin chưa thực hiện kiểm tra, đánh giá định kỳ (tối thiểu 01 lần/02 năm đối
với hệ thống cấp độ 1, cấp độ 2; 01 lần/năm đối với hệ thống thông tin cấp độ
3). Kịp thời khắc phục các tồn tại, lỗ hổng, điểm yếu nhằm phòng ngừa các sự cố
tấn công mạng, đặc biệt là các hệ thống cung cấp dịch vụ trực tuyến cho người
dân và doanh nghiệp.
- Xây dựng kế hoạch diễn tập thực
chiến tối thiểu 01 lần/năm, nhằm đánh giá khả năng phòng ngừa xâm nhập và khả
năng phát hiện kịp thời các điểm yếu theo chỉ đạo của Cục An toàn thông tin - Bộ
thông tin và Truyền thông, đảm bảo các điều kiện tổ chức thực hiện diễn tập hiệu
quả, thiết thực.
d) Tổng hợp báo cáo định kỳ trước
ngày 20 của tháng cuối Quý kết quả rà soát, đánh giá tình hình bảo đảm ATTT
mạng đối với các hệ thống thông tin thuộc phạm vi quản lý gửi về Cục An toàn
thông tin - Bộ Thông tin và Truyền thông (theo Phụ lục I và Phụ lục II đính
kèm).
3. Công an
tỉnh (Cơ quan thường trực Tiểu ban An toàn, An ninh mạng tỉnh)
a) Chủ trì, phối hợp với các
thành viên Tiểu ban An toàn, An ninh mạng tăng cường công tác kiểm tra, giám
sát việc thực hiện các quy định về bảo đảm an toàn, an ninh mạng hệ thống thông
tin trọng yếu, xử lý nghiêm các vụ việc gây mất an ninh mạng và lộ, lọt, mất
tài liệu liên quan đến bí mật Nhà nước, dữ liệu cá nhân trên không gian mạng
theo quy định của pháp luật; thường xuyên phối hợp với các sở, ban ngành liên
quan kiểm tra, rà soát các hệ thống thông tin quan trọng trên địa bàn tỉnh nhằm
kịp thời phát hiện các sơ hở để chủ động phòng, chống tấn công mạng, gián điệp
mạng.
b) Hỗ trợ, phối hợp với các cơ
quan, đơn vị là chủ quản hệ thống thông tin trọng yếu trong việc kết nối với hệ
thống giám sát của Trung tâm An ninh mạng quốc gia để kịp thời phát hiện các lỗ
hổng, có biện pháp cảnh báo, giám sát và khắc phục các sự cố, tình huống nguy cấp
gây mất an toàn, an ninh mạng
c) Phối hợp với Sở Thông tin và
Truyền thông và các đơn vị có liên quan thực hiện rà soát, đánh giá tình hình
thực hiện kiểm tra, đánh giá ATTT và quản lý rủi ro ATTT trong phạm vi quản lý.
4. Sở Kế hoạch
và Đầu tư
Phối hợp các đơn vị có liên
quan cân đối, bố trí nguồn vốn đầu tư công cho các dự án công nghệ thông tin
theo kế hoạch đầu tư công trung hạn được cấp có thẩm quyền phê duyệt.
5. Sở Tài
chính
Phối hợp với các cơ quan, đơn vị
tham mưu UBND tỉnh bố trí kinh phí hạng mục công nghệ thông tin; bảo đảm tỷ lệ
kinh phí chi cho các sản phẩm, dịch vụ ATTT mạng đạt tối thiểu 10% tổng kinh
phí triển khai các kế hoạch, dự án theo chỉ đạo của Thủ tướng Chính phủ tại Chỉ
thị số 14/CT-TTg ngày 07/6/2019 do các cơ quan đơn vị đề xuất trình UBND tỉnh
xem xét quyết định.
6. Đài Phát
thanh và Truyền hình tỉnh, Báo Vĩnh Long
Chủ trì, phối hợp với Sở Thông
tin và Truyền thông xây dựng các chương trình, kế hoạch để đẩy mạnh các hoạt động
tuyên truyền, nâng cao nhận thức về công tác bảo đảm ATTT mạng và ứng cứu sự cố
trên các phương tiện thông tin đại chúng.
Thủ trưởng các sở, ban, ngành tỉnh,
Chủ tịch UBND cấp huyện, Thủ trưởng các cơ quan, đơn vị có liên quan căn cứ chức
năng, nhiệm vụ được giao nghiêm túc triển khai thực hiện Chỉ thị này./.
Nơi nhận:
- Bộ Thông tin và Truyền thông;
- CT, PCT.UBND tỉnh phụ trách VX;
- CVP, PCVP.UBND tỉnh phụ trách VX;
- P.VHXH,TTTH-CB;
- Các sở, ban, ngành tỉnh;
- Công an tỉnh;
- Báo Vĩnh Long, Đài PT&THVL;
- UBND các huyện, thị xã, thành phố;
- P.VHXH; Ban NCTCD; TT.THCB;
- Lưu: VT, 18.VHXH.
|
KT. CHỦ TỊCH
PHÓ CHỦ TỊCH
Nguyễn Thị Quyên Thanh
|
PHỤ LỤC I
BÁO CÁO TÌNH HÌNH BẢO ĐẢM ATTT MẠNG ĐỐI VỚI CÁC HỆ THỐNG
THÔNG TIN THUỘC PHẠM VI QUẢN LÝ
(Kèm theo Chỉ thị số 08/CT-UBND ngày 11/6/2024 của Chủ tịch UBND tỉnh)
I. VỀ TRIỂN
KHAI BẢO ĐẢM AN TOÀN HỆ THỐNG THÔNG TIN (HTTT) THEO CẤP ĐỘ
1. Thống kê HTTT thuộc phạm
vi quản lý
a) Danh mục hệ thống thông tin
TT
|
Tên hệ thống thông tin
|
Cấp độ đề xuất (1-5)
|
Đơn vị vận
hành
|
Thực trạng phê duyệt (*)
|
Ghi chú
|
1
|
Hệ thống thông tin 1
|
…
|
…
|
…
|
…
|
2
|
Hệ thống thông tin 2
|
…
|
…
|
…
|
…
|
…
|
…
|
…
|
…
|
…
|
…
|
n
|
Hệ thống thông tin n
|
…
|
…
|
…
|
…
|
(*) Đã phê duyệt hoặc chưa phê
duyệt
b) Số HTTT thuộc phạm vi quản lý:…………………………….
c) Số lượng HTTT đã được phê
duyệt hồ sơ đề xuất cấp độ/tương ứng với tỉ lệ trên tổng số HTTT:…….hệ thống/đạt
tỉ lệ……..%.
Trong đó:
+ Số HTTT đã được phê duyệt cấp
độ 1/tương ứng với tỉ lệ phần trăm trên tổng số HTTT được phê duyệt: …….hệ thống/tương
ứng tỉ lệ…..%.
+ Số HTTT đã được phê duyệt cấp
độ 2/tương ứng với tỉ lệ phần trăm trên tổng số HTTT được phê duyệt: …….hệ thống/tương
ứng tỉ lệ…..%.
+ Số HTTT đã được phê duyệt cấp
độ 3/tương ứng với tỉ lệ phần trăm trên tổng số HTTT được phê duyệt: …….hệ thống/tương
ứng tỉ lệ…..%.
+ Số HTTT đã được phê duyệt cấp
độ 4/tương ứng với tỉ lệ phần trăm trên tổng số HTTT được phê duyệt: …….hệ thống/tương
ứng tỉ lệ…..%.
+ Số HTTT đã được phê duyệt cấp
độ 5/tương ứng với tỉ lệ phần trăm trên tổng số HTTT được phê duyệt: …….hệ thống/tương
ứng tỉ lệ…..%.
2. Tỉ lệ HTTT triển khai đầy
đủ phương án bảo vệ theo Hồ sơ đề xuất cấp độ đã được phê duyệt
Số lượng HTTT đã triển khai đầy
đủ phương án bảo vệ theo Hồ sơ đề xuất cấp độ đã được phê duyệt/tương ứng với tỉ
lệ phần trăm trên tổng số HTTT được phê duyệt: ……. hệ thống/tương ứng tỉ lệ……..%.
3. Kế hoạch hoàn thành phê
duyệt và triển khai đầy đủ phương án bảo vệ theo Hồ sơ đề xuất cấp độ đã được
phê duyệt năm 20…
(Đối với các Hệ thống thông
tin chưa phê duyệt HSĐXCĐ và triển khai đầy đủ phương án bảo đảm an toàn hệ thống
thông tin theo cấp độ được phê duyệt)
TT
|
Tên hệ thống thông tin
|
Cấp độ đề xuất (1-5)
|
Thời hạn hoàn phê duyệt (Tháng/Năm)
|
Thời hạn triển khai đầy đủ (Tháng/năm)
|
Ghi chú
|
1
|
Hệ thống thông tin 1
|
…
|
…
|
…
|
…
|
2
|
Hệ thống thông tin 2
|
…
|
…
|
…
|
…
|
…
|
…
|
…
|
…
|
…
|
…
|
n
|
Hệ thống thông tin n
|
…
|
…
|
…
|
…
|
Lưu ý:
Việc đánh giá thực trạng phê
duyệt và triển khai đầy đủ phương án bảo đảm ATTT mạng đối với các hệ thống
thông tin, Bộ Thông tin và Truyền thông (Cục An toàn thông tin) sẽ đánh giá, đối
chiếu với thực trạng quản lý thông tin trên Nền tảng quản lý cấp độ theo chỉ đạo
của Thủ tướng Chính phủ tại Chỉ thị số 09/CT-TTg .
II. VỀ KIỂM
TRA, ĐÁNH GIÁ ĐỊNH KÌ HỆ THỐNG THÔNG TIN
1. Kết quả năm 2023 (hoặc
trước năm kỳ báo cáo)
a) Số lượng HTTT được kiểm tra,
đánh giá đầy đủ các nội dung theo quy định tại Thông tư số 12/2022/TT-BTTTT
ngày 12/8/2022
- Số lượng HTTT của Bộ/địa
phương đã được kiểm tra, đánh giá/tương ứng với tỉ lệ phần trăm trên tổng số
HTTT:……..hệ thống/ tương ứng tỉ lệ……..%.
Trong đó:
+ Số HTTT được đánh giá lỗ hổng,
bảo mật:…..……..hệ thống.
+ Số HTTT được đánh giá mã nguồn
ứng dụng:……..hệ thống.
b) Danh sách hệ thống thông tin
được kiểm tra, đánh giá đến hiện tại:
TT
|
Tên hệ thống thông tin
|
Cấp độ đề xuất (1-5)
|
Thời gian tổ chức kiểm tra, đánh giá (Tháng/Năm)
|
Hình thức thực hiện (Thuê ngoài/Tự thực hiện)
|
Ghi chú
|
1
|
Hệ thống thông tin 1
|
…
|
…
|
…
|
…
|
2
|
Hệ thống thông tin 2
|
…
|
…
|
…
|
…
|
…
|
…
|
…
|
…
|
…
|
…
|
n
|
Hệ thống thông tin n
|
…
|
…
|
…
|
…
|
2. Kế hoạch kiểm tra, đánh
giá năm 2024 (hoặc năm kỳ báo cáo)
TT
|
Tên hệ thống thông tin
|
Cấp độ đề xuất (1-5)
|
Thời gian tổ chức kiểm tra, đánh giá (Tháng/Năm)
|
Hình thức thực hiện (Thuê ngoài/Tự thực hiện)
|
Ghi chú
|
1
|
Hệ thống thông tin 1
|
…
|
…
|
…
|
…
|
2
|
Hệ thống thông tin 2
|
…
|
…
|
…
|
…
|
…
|
…
|
…
|
…
|
…
|
…
|
n
|
Hệ thống thông tin n
|
…
|
…
|
…
|
…
|
III. VỀ TỔ
CHỨC DIỄN TẬP THỰC CHIẾN
1. Kết quả năm 2023 (hoặc
trước năm kỳ báo cáo)
a) Tổ chức diễn tập thực chiến
ATTT mạng
- Số lượng cuộc diễn tập theo
hình thức thông thường được tổ chức:
- Số lượng cuộc diễn tập thực
chiến được tổ chức:
- Số lượng HTTT được lựa chọn để
tổ chức diễn tập thực chiến:
- Chi tiết kết quả hoạt động diễn
tập thực chiến ATTT mạng:
STT
|
Tên cuộc Diễn tập thực chiến
|
Ngày tổ chức
|
Đơn vị tổ chức
|
Phạm vi, quy mô
|
Số lượng sự cố đã phát hiện
|
Số lượng sự cố đã được xử lý
|
1
|
…
|
…/…/20…
|
(Phối hợp hoặc tự tổ chức)
|
(Tên Hệ thống thông tin
thuộc phạm vi quản lý được lựa chọn để tổ chức, cấp độ an toàn của hệ thống)
|
…
|
…
|
2
|
…
|
…/…/20…
|
…
|
…
|
…
|
…
|
…
|
…
|
…/…/20…
|
…
|
…
|
…
|
…
|
b) Phát hiện và xử lý sự cố
ATTT mạng
- Số lượng sự cố đã phát hiện tại
các HTTT thuộc phạm vi quản lý:
Ghi chú: Số lượng sự cố, đánh
giá năng lực phát hiện sự cố gồm cả sự cố tự phát hiện và sự cố từ các cảnh báo
của các đơn vị chuyên trách.
- Số lượng sự cố đã được xử lý
tại các Bộ/địa phương/tương ứng với tỉ lệ trên số lượng sự cố được phát hiện:
Chi tiết kết quả phát hiện, xử
lý sự cố ATTT mạng:
2. Kế hoạch năm 2024 (hoặc
năm kỳ báo cáo)
a) Số lượng và thời gian diễn tập:
b) Danh sách các thống dự kiến
sẽ triển khai diễn tập thực chiến
TT
|
Tên hệ thống thông tin
|
Cấp độ đề xuất (1-5)
|
Thời gian tổ chức diễn tập thực chiến
|
Ghi chú
|
1
|
Hệ thống thông tin 1
|
…
|
…
|
…
|
|
2
|
Hệ thống thông tin 2
|
…
|
…
|
…
|
|
…
|
…
|
…
|
…
|
…
|
|
N
|
Hệ thống thông tin n
|
…
|
…
|
…
|
|
IV. VỀ
KINH PHÍ ĐẦU TƯ HẠNG MỤC AN TOÀN THÔNG TIN (năm 2023, 2024,…)
1. Kết quả năm 2023 (trước
năm kỳ báo cáo)
- Kinh phí đầu tư từ NSNN chi cho
an toàn thông tin:
- Kinh phí thường xuyên từ NSNN
chi cho an toàn thông tin:
- Tỉ lệ kinh phí bảo đảm an
toàn thông tin so với kinh phí chi cho khoa học công nghệ, chuyển đổi số, ứng dụng
công nghệ thông tin:
Trong đó gồm:
- Kinh phí giám sát an toàn thông
tin:
- Kinh phí kiểm tra, đánh giá
an toàn thông tin:
- Kinh phí diễn tập, ứng cứu sự
cố an toàn thông tin:
- Kinh phí đào tạo, tập huấn và
tuyên truyền, nâng cao nhận thức về an toàn thông tin:
- Kính phí chi dành cho an toàn
thông tin của cơ quan Bộ/Tỉnh sử dụng các giải pháp an toàn thông tin nội địa:
- Kinh phí khác (nếu có): Chi
tiết:
STT
|
Năm
|
Kinh phí đầu tư từ ngân sách nhà nước chi cho an toàn thông
tin
|
Kinh phí thường xuyên từ ngân sách nhà nước chi cho an toàn thông
tin
|
Kinh phí chi thuê dịch vụ các hạng mục về an toàn thông tin
|
Kinh phí đầu tư hạ tầng các hạng mục về an toàn thông tin
|
Tỷ lệ kinh phí chi cho các sản phẩm, dịch vụ ATTT mạng trong tổng
kinh phí triển khai kế hoạch ứng dụng công nghệ thông
tin (%)
|
1
|
2022
|
…
|
…
|
…
|
…
|
…
|
2
|
2023
|
…
|
…
|
…
|
…
|
…
|
3
|
2024
|
…
|
…
|
…
|
…
|
…
|
..
|
…..
|
…
|
…
|
…
|
…
|
…
|
2. Kế hoạch năm 2024 (hoặc
năm báo cáo)
- Kinh phí đầu tư từ NSNN chi
cho an toàn thông tin:
- Kinh phí thường xuyên từ NSNN
chi cho an toàn thông tin:
- Tỉ lệ kinh phí bảo đảm an
toàn thông tin so với kinh phí chi cho chuyển đổi số, ứng dụng công nghệ thông
tin:
Trong đó gồm:
- Kinh phí giám sát an toàn
thông tin:
- Kinh phí kiểm tra, đánh giá
an toàn thông tin:
- Kinh phí diễn tập, ứng cứu sự
cố an toàn thông tin:
- Kinh phí đào tạo, tập huấn và
tuyên truyền, nâng cao nhận thức về an toàn thông tin:
- Kính phí chi dành cho an toàn
thông tin của cơ quan Bộ/Tỉnh sử dụng các giải pháp an toàn thông tin nội địa:
- Kinh phí khác (nếu có):
PHỤ LỤC II
RÀ SOÁT, ĐÁNH GIÁ TÌNH HÌNH BẢO ĐẢM ATTT MẠNG ĐỐI VỚI
CÁC HỆ THỐNG THÔNG TIN THUỘC PHẠM VI QUẢN LÝ
(Kèm theo Chỉ thị số 08/CT-UBND ngày 11/6/2024 của Chủ tịch UBND tỉnh )
1. Đối với Hệ thống thông
tin cấp độ 1, 2
STT
|
Tên hệ thống thông tin
|
Cấp độ đề xuất
|
Tình trạng phê duyệt
|
Cung cấp dịch vụ trực tuyến
|
Các phương án kỹ thuật tương ứng với cấp độ đề xuất
|
Quản lý truy cập từ xa
|
Quản lý các vùng mạng
|
Phòng chống mã độc
|
Phòng chống tấn công web
|
An toàn thư điện tử
|
Dự phòng thiết bị chính
|
(1)
|
(2)
|
(3)
|
(4)
|
(5)
|
(6)
|
(7)
|
(8)
|
(9)
|
(10)
|
(11)
|
Chú thích
(- Từ tiêu chí số 1 đến
tiêu chí số 3 đối với Hệ thống thông tin cấp độ 1;
- Từ tiêu chí số 1 đến
tiêu chí số 6 đối với Hệ thống thông tin cấp độ 2;
- Đánh dấu “x” trong trường
hợp Hệ thống đã đáp ứng tiêu chí.)
|
1
|
Hệ thống thông tin 1
|
…
|
…
|
…
|
…
|
…
|
…
|
…
|
…
|
…
|
2
|
Hệ thống thông tin 2
|
…
|
…
|
…
|
…
|
…
|
…
|
…
|
…
|
…
|
…
|
…
|
…
|
…
|
…
|
…
|
…
|
…
|
…
|
…
|
…
|
n
|
Hệ thống thông tin n
|
|
|
|
|
|
|
|
|
|
Ghi chú:
(1) Số thứ tự
(2) Tên Hệ thống thông tin
thuộc phạm vi quản lý
(3) Cấp độ đề xuất tương ứng
(Ví dụ: cấp độ 1)
(4) Tình trạng phê duyệt hồ
sơ đề xuất cấp độ của Hệ thống (Ví dụ: Đã phê duyệt)
(5) Đánh dấu “x” trong trường
hợp là Hệ thống cung cấp dịch vụ trực tuyến phục vụ người dân, doanh nghiệp
(6) Các phương án kỹ thuật
tương ứng với cấp độ đề xuất theo quy định tại Thông tư số 12/2022/TT-BTTTT , cụ
thể:
- Tiêu chí 1: Có phương án
quản lý truy cập, quản trị hệ thống từ xa an toàn
- Tiêu chí 2: Có phương án
quản lý truy cập giữa các vùng mạng và phòng chống xâm nhập
- Tiêu chí 3: Có phương án
phòng chống mã độc cho máy chủ và máy trạm
- Tiêu chí 4: Có phương án
phòng chống tấn công mạng cho ứng dụng web
- Tiêu chí 5: Có phương án bảo
đảm an toàn thông tin cho hệ thống thư điện tử (nếu có)
- Tiêu chí 6: Có phương án dự
phòng cho các thiết bị mạng chính, bao gồm thiết bị chuyển mạch trung tâm hoặc
tương đương, thiết bị tường lửa trung tâm
2. Đối với Hệ thống thông
tin cấp độ 3, 4, 5
2.1. Hệ thống thông tin 1
2.1.1. Tên hệ thống thông tin:
2.1.2. Hiện trạng phê duyệt Hồ
sơ đề xuất cấp độ:
- Đã phê duyệt : □ Quyết định số:
……………. Ngày phê duyệt:…/…/20….
- Chưa phê duyệt : □
2.1.3. Kết quả rà soát các tiêu
chí theo cấp độ đề xuất
STT
|
Yêu cầu
|
Giải pháp/thiết bị/phương án đang triển khai
|
Ghi chú
|
Tiêu chí theo Công văn số
708/BTTTT-CATTT
(- Từ tiêu chí số 1 đến
tiêu chí số 16 đối với Hệ thống thông tin cấp độ 3;
- Từ tiêu chí số 1 đến
tiêu chí số 17 đối với Hệ thống thông tin cấp độ 4;
- Từ tiêu chí số 1 đến
tiêu chí số 19 đối với Hệ thống thông tin cấp độ 5)
|
1
|
Có phương án quản lý truy cập,
quản trị hệ thống từ xa an toàn
|
|
|
2
|
Có phương án quản lý truy cập
giữa các vùng mạng và phòng chống xâm nhập
|
|
|
3
|
Có phương án phòng chống tấn
công mạng cho ứng dụng web
|
|
|
4
|
Có phương án cân bằng tải, dự
phòng nóng cho các thiết bị mạng chính (Đối với HTTT cấp độ 5 yêu cầu có dự
phòng nóng cho các thiết bị mạng)
|
|
|
5
|
Có phương án bảo đảm an toàn
cho máy chủ cơ sở dữ liệu
|
|
|
6
|
Có phương án chặn lọc phần mềm
độc hại trên môi trường mạng
|
|
|
7
|
Có phương án phòng chống tấn
công từ chối dịch vụ
|
|
|
8
|
Có phương án bảo đảm an toàn
thông tin cho hệ thống thư điện tử (nếu có)
|
|
|
9
|
Có phương án quản lý truy cập
lớp mạng
|
|
|
10
|
Có phương án giám sát hệ thống
thông tin tập trung
|
|
|
11
|
Có phương án giám sát an toàn
hệ thống thông tin tập trung
|
|
|
12
|
Có phương án quản lý sao lưu
dự phòng tập trung
|
|
|
13
|
Có phương án quản lý phần mềm
phòng chống mã độc trên máy chủ/máy tính người dùng
|
|
|
14
|
Có phương án phòng, chống thất
thoát dữ liệu
|
|
|
15
|
Có phương án dự phòng kết nối
mạng Internet cho các máy chủ dịch vụ
|
|
|
16
|
Có phương án bảo đảm an toàn
cho mạng không dây (nếu có)
|
|
|
17
|
Có phương án quản lý tài khoản
đặc quyền, sử dụng Sản phẩm Quản lý tài khoản đặc quyền (HTTT cấp độ 4, 5)
|
|
|
18
|
Có phương án dự phòng hệ thống
ở vị trí địa lý khác nhau, cách nhau tối thiểu 30 km (HTTT cấp độ 5)
|
|
|
19
|
Có phương án dự phòng cho kết
nối mạng giữa các hệ thống chính và dự phòng (HTTT tin cấp độ 5)
|
|
|
2.2 Hệ thống thông tin 2
2.2.1. Tên hệ thống thông tin:
2.2.2. Hiện trạng phê duyệt Hồ
sơ đề xuất cấp độ:
- Đã phê duyệt : □ Quyết định số:
……………. Ngày phê duyệt:…/…/20….
- Chưa phê duyệt : □
2.2.3. Kết quả rà soát các tiêu
chí theo cấp độ đề xuất
(Tương tự mục 2.1.3 ở trên)
n. Hệ thống thông tin n
(Nội dung báo cáo
tương tự hệ thống thông tin 1).