QUY
CHẾ
VỀ ĐẢM BẢO AN TOÀN, AN NINH THÔNG
TIN TRONG HOẠT ĐỘNG ỨNG DỤNG CÔNG NGHỆ THÔNG TIN CỦA CÁC CƠ QUAN, ĐƠN VỊ QUẢN
LÝ HÀNH CHÍNH NHÀ NƯỚC TRÊN ĐỊA BÀN TỈNH HẬU GIANG
(Ban hành kèm theo Quyết định số: 01/2012/QĐ-UBND ngày 3 tháng 12 năm 2012 của
Ủy ban nhân dân tỉnh Hậu Giang)
Chương I
NHỮNG QUY ĐỊNH CHUNG
Điều 1. Phạm vi và đối tượng điều chỉnh
1. Quy chế này quy định về công
tác đảm bảo an toàn, an ninh thông tin trong hoạt động ứng dụng công nghệ thông
tin của các cơ quan, đơn vị quản lý hành chính Nhà nước trên địa bàn tỉnh Hậu
Giang.
2. Quy chế này áp dụng đối với tất
cả cơ quan, đơn vị quản lý hành chính Nhà nước trên địa bàn tỉnh Hậu Giang.
3. Đối với lực lượng vũ trang
(Công an, Quân sự) ngoài việc thực hiện theo quy định chung còn thực hiện theo
quy định riêng của ngành trong đảm bảo an ninh thông tin, bảo mật trên môi trường
mạng.
Điều 2. Mục đích đảm bảo an toàn, an ninh thông tin trên
môi trường mạng
1. Giảm thiểu được các nguy cơ
gây sự cố mất an toàn thông tin và đảm bảo an ninh thông tin trong quá trình
tham gia hoạt động trên môi trường mạng.
2. Công tác đảm bảo an toàn, an
ninh thông tin, bảo mật trên môi trường mạng là một trong những nhiệm vụ trọng
tâm để đảm bảo thành công trong việc ứng dụng công nghệ thông tin trong cơ quan
quản lý nhà nước.
Điều 3. Giải thích từ ngữ
Trong Quy chế này, các từ ngữ dưới
đây được hiểu như sau:
1. An toàn, an ninh thông tin
(ATANTT): Bao gồm các hoạt động quản lý, nghiệp vụ và kỹ thuật đối với hệ
thống thông tin nhằm bảo vệ, khôi phục các hệ thống, các dịch vụ và nội dung
thông tin đối với nguy cơ tự nhiên hoặc do con người gây ra. Việc bảo vệ thông
tin, tài sản và con người trong hệ thống thông tin nhằm bảo đảm cho các hệ thống
thực hiện đúng chức năng, phục vụ đúng đối tượng một cách sẵn sàng, chính xác
và tin cậy. An toàn, an ninh thông tin bao hàm các nội dung bảo vệ và bảo mật
thông tin, an toàn dữ liệu, an toàn máy tính và an toàn mạng.
2. Tính tin cậy: Đảm bảo
thông tin chỉ có thể được truy nhập bởi những người được cấp quyền sử dụng.
3. Tính toàn vẹn: Bảo vệ
sự chính xác và đầy đủ của thông tin và các phương pháp xử lý.
4. Tính sẵn sàng: Đảm bảo
những người được cấp quyền có thể truy nhập thông tin và các tài sản liên quan
ngay khi có nhu cầu.
5. TCVN 7562: 2005: Tiêu
chuẩn Việt Nam về mã thực hành quản lý ATTT.
6. ISO 17799:2005: Tiêu
chuẩn Quốc tế cung cấp các hướng dẫn quản lý an toàn bảo mật thông tin dựa trên
quy phạm công nghiệp tốt nhất (tập quy phạm cho quản lý an toàn bảo mật thông
tin).
7. ISO 27001: 2005: Tiêu
chuẩn Quốc tế về quản lý bảo mật thông tin do Tổ chức Chất lượng Quốc tế và Hội
đồng Điện tử Quốc tế xuất bản vào tháng 10/2005.
8. Hệ thống thông tin:
là một tập hợp và kết hợp của các phần cứng, phần mềm và các hệ mạng truyền
thông được xây dựng và sử dụng để thu thập, tạo, tái tạo, phân phối và chia sẻ
các dữ liệu, thông tin và tri thức nhằm phục vụ các mục tiêu của tổ chức.
Chương II
NỘI DUNG ĐẢM BẢO
AN TOÀN, AN NINH THÔNG TIN
Điều 4. Các biện pháp quản lý vận hành trong công tác an
toàn, an ninh thông tin và bảo mật
1. Đối với các cơ
quan, đơn vị:
a) Trang bị đầy đủ
các kiến thức bảo mật cơ bản cho cán bộ công chức, viên chức trước khi cho phép
truy nhập và sử dụng hệ thống thông tin;
b) Cần bố trí công
chức chuyên trách về an toàn hệ thống thông tin. Công chức này cần phải có các
kiến thức về an toàn, an ninh thông tin trước khi tiến hành các hoạt động quản
lý hay kỹ thuật nghiệp vụ;
c) Cần hủy bỏ quyền
truy nhập hệ thống thông tin, đảm bảo việc thu hồi lại tất cả các tài sản liên
quan tới hệ thống thông tin (khóa, thẻ nhận dạng,…) đối với nhân viên đã chấm dứt
hợp đồng và đảm bảo khả năng vẫn truy nhập được vào các hồ sơ được tạo ra bởi
nhân viên đó;
d) Xác định và
phân bổ đầu tư cần thiết để bảo vệ hệ thống thông tin.
2. Đối với công chức
chuyên trách tại các cơ quan đơn vị:
a) Được Thủ trưởng
đơn vị đảm bảo điều kiện học tập, tiếp thu công nghệ, kiến thức an toàn bảo mật
thông tin;
b) Chịu trách nhiệm
tham mưu chuyên môn và vận hành an toàn hệ thống thông tin của đơn vị theo nhiệm
vụ được Thủ trưởng đơn vị phân công;
c) Cần cập nhật cấu
hình chuẩn cho các thành phần của hệ thống khi tiến hành cài đặt và thiết lập cấu
hình chặt chẽ nhất cho các sản phẩm an toàn thông tin nhưng vẫn duy trì yêu cầu
hoạt động của hệ thống thông tin;
d) Cấu hình hệ thống
thông tin chỉ cung cấp những chức năng thiết yếu nhất; cấm, hạn chế sử dụng chức
năng, cổng giao tiếp mạng, giao thức, và dịch vụ không cần thiết;
đ) Sao lưu thông
tin ở mức người dùng và mức hệ thống (bao gồm trạng thái hệ thống thông tin) và
lưu trữ thông tin sao lưu tại nơi an toàn. Đồng thời tổ chức kiểm tra thông tin
sao lưu để đảm bảo tính sẵn sàng và toàn vẹn thông tin;
e) Triển khai cơ
chế chống virus, thư rác cho những hệ thống xung yếu hiện hữu (firewall, mail
server,…) và tại các máy trạm, máy chủ, các thiết bị di động trong mạng. Tổ chức
sử dụng cơ chế chống virus, thư rác để phát hiện và loại trừ những đoạn mã độc
hại (virus, trojan, worms…) được truyền tải bởi: Thư điện tử, tập tin đính kèm
từ Internet, thiết bị lưu trữ tháo lắp khai thác lỗ hổng của hệ thống thông
tin. Đồng thời cập nhật cơ chế chống virus, thư rác thường xuyên sao cho phù hợp
với quy trình và chính sách quản lý cấu hình hệ thống thông tin của tổ chức. Cần
cân nhắc việc sử dụng phần mềm chống virus từ nhiều hãng phân phối khác nhau (sử
dụng một hãng cho máy chủ và hãng khác cho máy trạm);
g) Thực hiện việc
đánh giá, báo cáo các rủi ro và mức độ nghiêm trọng các rủi ro đó. Các rủi ro
đó có thể xảy ra do sự truy cập trái phép, sử dụng trái phép, mất, thay đổi hoặc
phá hủy thông tin và hệ thống thông tin.
Điều 5. Các biện pháp quản
lý kỹ thuật cho công tác an toàn an ninh thông tin
1. Các cơ quan,
đơn vị tổ chức quản lý các tài khoản của hệ thống thông tin, bao gồm: Tạo mới,
kích hoạt, sửa đổi, vô hiệu hóa và loại bỏ các tài khoản. Đồng thời tổ chức kiểm
tra các tài khoản của hệ thống thông tin ít nhất 01 lần/năm và triển khai các
công cụ tự động để hỗ trợ việc quản lý các tài khoản của hệ thống thông tin.
2. Hệ thống thông
tin giới hạn một số hữu hạn lần đăng nhập sai liên tiếp. Hệ thống tự động khóa
tài khoản hoặc cô lập tài khoản trong một khoảng thời gian nhất định trước khi
tiếp tục cho đăng nhập nếu liên tục đăng nhập sai vượt quá số lần quy định.
3. Tổ chức theo
dõi, và kiểm soát tất cả các phương pháp truy nhập từ xa (quay số, Internet…) tới
hệ thống thông tin bao gồm cả sự truy nhập có chức năng đặc quyền. Hệ thống cần
có quá trình kiểm tra, cho phép ứng với mỗi phương pháp truy nhập từ xa và chỉ
cho phép những người thật sự cần thiết truy nhập từ xa vào. Đồng thời tổ chức
triển khai cơ chế tự động giám sát và điều khiển các truy nhập từ xa.
4. Cần thiết lập
phương pháp hạn chế truy cập mạng không dây; giám sát và điều khiển truy nhập
không dây. Tổ chức sử dụng chứng thực và mã hóa để bảo vệ truy nhập không dây tới
hệ thống thông tin.
5. Hệ thống thông
tin cần ghi nhận ít nhất các sự kiện sau: Quá trình đăng nhập hệ thống, các
thao tác cấu hình hệ thống và quá trình truy xuất hệ thống. Đồng thời ghi nhận
đầy đủ các thông tin trong các bản ghi nhật ký để xác định những sự kiện nào đã
xảy ra, nguồn gốc và các kết quả của sự kiện để có cơ chế bảo vệ và lưu giữ nhật
ký trong một khoảng thời gian nhất định.
6. Tổ chức quản lý
định danh người dùng.
7. Hệ thống thông
tin cần ngăn chặn hoặc hạn chế các sự cố gây ra do tấn công từ chối dịch vụ
(DOS). Công chức chuyên trách có thể sử dụng các thiết bị đặt tại biên của mạng
lọc gói tin để bảo vệ các thiết bị bên trong, tránh bị ảnh hưởng trực tiếp bởi
tấn công từ chối dịch vụ. Đối với hệ thống thông tin cho phép truy nhập công cộng
thì có thể được bảo vệ bằng cách tăng dung lượng, băng thông hoặc thiết lập hệ
thống dự phòng.
Điều 6. Xây dựng quy chế nội bộ đảm bảo an toàn, an ninh thông
tin
1.
Các cơ quan đơn vị quản lý hành chính Nhà nước phải ban hành quy chế nội bộ, đảm
bảo quy định rõ các vấn đề sau:
a)
Mục tiêu và phương hướng thực hiện công tác đảm bảo an toàn an ninh cho hệ thống
thông tin;
b)
Nguyên tắc phân loại và quản lý mức độ ưu tiên đối với các tài nguyên của hệ thống
thông tin (phần mềm, dữ liệu, trang thiết bị…);
c)
Quản lý phân quyền và trách nhiệm đối với từng cá nhân khi tham gia sử dụng hệ
thống thông tin;
d)
Quản lý và điều hành hệ thống máy chủ, thiết bị mạng, thiết bị bảo vệ mạng một
cách an toàn;
đ)
Kiểm tra, rà soát và khắc phục sự cố an toàn an ninh của hệ thống thông tin sử
dụng các biện pháp trong Điều 4 và Điều 5 của Quy chế;
e)
Nguyên tắc chung sử dụng an toàn và hiệu quả đối với toàn bộ cá nhân tham gia sử
dụng hệ thống thông tin;
g)
Báo cáo tổng hợp tình hình an toàn, an ninh của hệ thống thông tin theo định kỳ;
h)
Tổ chức thực hiện.
2.
Các cơ quan, đơn vị xây dựng quy chế an toàn, an ninh thông tin cho đơn vị căn
cứ các tiêu chuẩn kỹ thuật quản lý an toàn của bộ tiêu chuẩn TCVN 7562:2005 và
ISO/IEC 17799:2005 tại Phụ lục I kèm theo Quy chế, để có sự lựa chọn áp dụng
phù hợp từng cơ quan, đơn vị mình.
Điều 7. Xây dựng
và áp dụng quy trình đảm bảo an toàn, an ninh thông tin
1. Các cơ quan, đơn vị quản lý
hành chính phải xây dựng và áp dụng
quy trình đảm bảo an toàn, an ninh cho hệ thống thông tin nhằm giảm thiểu các nguy cơ gây sự cố, tạo điều kiện cho việc
khắc phục và truy vết trong trường hợp có sự cố xảy ra. Nội dung của quy trình
có thể chia làm các bước cơ bản như:
a) Lập
kế hoạch bảo vệ an toàn, an ninh cho hệ thống thông tin;
b) Xây
dựng hệ thống bảo vệ an toàn, an ninh thông tin;
c) Quản
lý và vận hành hệ thống bảo vệ an toàn, an ninh thông tin;
d) Kiểm
tra đánh giá hoạt động của hệ thống bảo vệ an toàn, an ninh thông tin;
đ) Bảo trì và nâng cấp hệ thống bảo vệ an toàn, an ninh thông
tin.
2.
Các cơ quan, đơn vị tham khảo các bước cơ bản
để xây dựng khung quy trình đảm bảo an
toàn,
an ninh thông tin cho hệ thống thông tin tại
Phụ lục II kèm theo Quy chế và tiêu chuẩn Quốc tế ISO 27001:2005.
Chương III
TRÁCH NHIỆM
ĐẢM BẢO AN TOÀN, AN NINH THÔNG TIN
Điều 8. Trách nhiệm của các cơ quan, đơn vị quản
lý hành chính Nhà nước
1. Thủ
trưởng các cơ quan, đơn vị có trách nhiệm thực hiện các quy định tại Quy chế
này và chiụ trách nhiệm toàn diện trước UBND tỉnh trong công tác bảo vệ an
toàn, an ninh thông tin của cơ quan, đơn vị mình.
2. Khi
có sự cố hoặc nguy cơ mất an toàn thông tin, kịp thời áp dụng mọi biện pháp để
khắc phục và hạn chế thiệt hại, ưu tiên sử dụng lực lượng kỹ thuật ATANTT của
đơn vị và lập biên bản, báo cáo bằng văn bản cho cơ quan cấp trên quản lý trực
tiếp và Sở Thông tin và Truyền thông. Trường hợp có sự cố nghiêm trọng vượt quá
khả năng khắc phục của đơn vị, phải báo cáo ngay cho cơ quan cấp trên quản lý
trực tiếp và Sở Thông tin và Truyền thông hướng dẫn, hỗ trợ.
3. Tạo
điều kiện thuận lợi cho các cơ quan chức năng tham gia khắc phục sự cố và thực
hiện đúng theo hướng dẫn.
4. Phối
hợp với đoàn kiểm tra để việc triển khai công tác kiểm tra khắc phục sự cố diễn
ra nhanh chóng và đạt hiệu quả; đồng thời cung cấp đầy đủ các thông tin khi
đoàn kiểm tra yêu cầu.
5. Báo
cáo tình hình và kết quả thực hiện công tác đảm bảo an toàn, an ninh thông tin
tại cơ quan, đơn vị và gửi về Sở Thông tin và Truyền thông định kỳ hàng năm
(trước ngày 15 tháng 12).
Điều 9. Trách nhiệm của công chức, viên chức trong các cơ
quan, đơn vị quản lý hành chính Nhà nước
1.
Nghiêm chỉnh thi hành các quy chế nội bộ, quy trình về ATANTT của cơ quan, đơn
vị cũng như các quy định khác của pháp luật, nâng cao ý thức cảnh giác và trách
nhiệm đảm bảo an ninh thông tin tại đơn vị.
2. Khi
phát hiện sự cố phải báo cáo ngay với cấp trên và bộ phận chuyên trách để kịp
thời ngăn chặn, xử lý.
3. Hưởng
ứng, tham gia các chương trình đào tạo, hội nghị về an toàn an ninh thông tin
do Sở Thông tin và Truyền thông đề ra.
Điều 10. Trách nhiệm của Sở Thông tin và Truyền thông
1.
Tham mưu UBND tỉnh về công tác đảm bảo an toàn, an ninh thông tin trên địa bàn
tỉnh và phối hợp Văn phòng UBND tỉnh trong việc đảm bảo an toàn an ninh cho các
hệ thống thông tin cấp tỉnh.
2. Xây
dựng và triển khai các chương trình đào tạo, hội nghị tuyên truyền an toàn, an
ninh thông tin trong công tác quản lý Nhà nước trên địa bàn tỉnh.
3. Tùy
theo mức độ sự cố, phối hợp Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam
(VNCERT) và các đơn vị có liên quan hướng dẫn xử lý, ứng cứu các sự cố thông
tin.
4. Hướng
dẫn, giám sát các đơn vị xây dựng quy chế và thực hiện việc đảm bảo an toàn, an
ninh cho hệ thống thông tin theo quy định của Nhà nước.
Chương IV
CÔNG TÁC
THANH TRA, KIỂM TRA AN TOÀN, AN NINH THÔNG TIN
Điều
11. Kế hoạch kiểm tra hàng năm
1. Sở Thông tin và
Truyền thông chủ trì, phối hợp Văn phòng Ủy ban nhân dân tỉnh, Công an tỉnh và
các đơn vị có liên quan tiến hành công tác kiểm tra an toàn, an ninh thông tin
tại tất cả các đơn vị hành chính tỉnh, cấp huyện định kỳ hàng năm tối thiểu 01
lần.
2. Tiến hành kiểm tra
đột xuất các cơ quan, đơn vị quản lý hành chính khi có dấu hiệu vi phạm an toàn
an ninh trong hệ thống thông tin.
Điều
12. Quan hệ phối hợp và trách nhiệm của các cơ quan chức năng liên quan
1. Sở Thông tin và
Truyền thông:
a) Chịu trách
nhiệm chủ trì, phối hợp với các cơ quan chức
năng liên quan để thành lập Đoàn kiểm tra và
triển khai, báo cáo công tác kiểm tra an toàn, an ninh thông tin trên quy mô
toàn tỉnh.
b) Tổ chức xử
lý các hành vi vi phạm an toàn, an ninh thông tin gây thiệt hại cho hệ thống
thông tin thuộc các cơ quan, đơn vị Nhà nước trên địa bàn tỉnh theo thẩm quyền;
c) Tuyên truyền công
tác an toàn, an ninh thông tin tại các đơn vị hành chính trên địa bàn tỉnh.
2. Văn phòng UBND tỉnh:
a) Cử bộ phận chuyên
trách an toàn, an ninh thông tin phối hợp Sở Thông tin và Truyền thông kiểm
tra, đánh giá công tác an toàn, an ninh thông tin;
b) Phối hợp xây dựng
các tiêu chí và quy trình kỹ thuật kiểm tra công tác an toàn, an ninh thông
tin.
3. Trách nhiệm của
Công an tỉnh:
a) Phối
hợp Sở Thông tin và Truyền thông kiểm tra công tác an toàn, an ninh thông tin;
b) Điều
tra và xử lý các trường hợp vi phạm an toàn, an ninh thông tin theo thẩm quyền.
Chương V
TỔ CHỨC THỰC
HIỆN
Điều 13. Khen thưởng và xử lý vi phạm
1.
Khen thưởng:
a) Đưa
công tác đảm bảo ATANTT trên môi trường mạng trong hoạt động ứng dụng CNTT của
các cơ quan, đơn vị hành chính Nhà nước trên địa bàn tỉnh Hậu Giang là một
trong những tiêu chí thi đua khen thưởng cuối năm của khối, cụm và là cơ sở để
Sở Nội vụ đề xuất UBND tỉnh xét khen thưởng các cá nhân, đơn vị theo quy định của
pháp luật;
b)
Hàng năm, Sở Thông tin và Truyền thông dựa trên các điều tra, báo cáo công tác
ATANTT của các cơ quan, đơn vị để xác lập bảng xếp hạng ATANTT; báo cáo UBND tỉnh
và Ban thi đua khen thưởng tỉnh làm tiêu chí xét khen thưởng.
2. Xử
lý vi phạm:
Các cơ
quan, đơn vị, tổ chức, cá nhân có hành vi vi phạm Quy chế này tùy theo tính chất,
mức độ vi phạm mà bị xử ltheo quy định của pháp luật hiện hành.
Điều 14. Điều khoản
thi hành
Sở Thông
tin và Truyền thông chủ trì, phối hợp với các sở, ban, ngành, UBND các huyện, thị xã, thành phố và các cơ
quan có liên quan triển khai thực hiện Quy chế này.
Trong
quá trình thực hiện nếu có phát sinh khó khăn, vướng mắc cần sửa đổi, bổ sung
các cơ quan, đơn vị kịp thời báo cáo về Sở Thông tin và Truyền thông tổng hợp
trình UBND tỉnh xem xét, quyết định./.
PHỤ LỤC I
NHỮNG NỘI DUNG CHÍNH CỦA ISO 17799:2005 DÙNG ĐỂ XÂY DỰNG
QUY CHẾ NỘI BỘ ĐẢM BẢO AN TOÀN, AN NINH CHO HỆ THỐNG THÔNG TIN
(Ban hành kèm theo Quyết định số: ……/2011/QĐ-UBND
ngày tháng năm 2011
của Ủy ban nhân dân tỉnh Hậu Giang)
1. Chính sách an toàn, an
ninh thông tin:
Chỉ thị và hướng dẫn về an toàn,
an ninh thông tin
2. An ninh tổ chức:
a) Hạ tầng an ninh thông tin: Quản
lý an ninh thông tin trong tổ chức;
b) An ninh đối với bên truy cập
thứ ba: Duy trì an ninh cho các phương tiện xử lý thông tin của các tổ chức và
tài sản thông tin do các bên thứ ba truy cập.
3. Phân loại và kiểm soát tài
sản:
a) Trách nhiệm giải trình tài sản:
Duy trì bảo vệ tài sản;
b) Phân loại thông tin tài sản:
Đảm bảo mỗi loại tài sản có mức bảo vệ thích hợp
4. An ninh cá nhân:
a) An ninh trong định nghĩa công
việc và nguồn nhân lực:Giảm rủi ro do các hành vi sai sót của con người;
b) Đào tạo người sử dụng: Đảm bảo
người sử dụng nhận thức được các mối đe dọa và các vấn đề liên quan đến an ninh
thông tin;
c) Đối phó với các sự cố an
ninh: Giảm thiểu thiệt hại từ các trục trặc và sự cố an ninh, theo dõi, rút
kinh nghiệm.
5. An ninh môi trường và vât
lý:
a) Phạm vi an ninh: Ngăn ngừa việc
truy cập, gây hại và can thiệp trái phép vào vùng an ninh và thông tin nghiệp vụ;
b) An ninh thiết bị: Để tránh mất
mát, lỗi hoạch các sự cố khác liên quan đến tài sản gây ảnh hưởng tới các hoạt
động nghiệp vụ;
c) Kiểm soát chung: Ngăn ngừa
làm hại hoặc đánh cắp thông tin và các phương tiện xử lý thông tin.
6. Quản lý truyền thông và hoạt
động:
a) Thủ tục vân hành và trách nhiệm
vân hành hệ thống: Đảm bảo các phương tiện xử lý thông tin hoạt động đúng và an
toàn;
b) Lập kế hoạch hệ thống và công
nhận: Giảm thiểu rủi ro và lỗi hệ thống;
c) Bảo vệ chống lại phần mềm cố
ý gây hại: Bảo vệ tính toàn vẹn của phần mềm thông tin;
d) Công việc quản lý: Duy trì
tính toàn vẹn và sẳn sàng của dịch vụ truyền đạt và xử lý thông tin;
đ) Quản trị mạng: Đảm bảo việc
an toàn, an ninh thông tin trên mạng và bảo vệ cơ sở hạ tầng kỹ thuật;
g) Trao đổi thông tin: Ngăn ngừa
mất mát, thay đổi hoặc sử dụng sai thông tin được trao đổi giữa các đơn vị.
7. Kiểm soát truy cập:
a) Các yêu cầu nghiệp vụ đối với
kiểm soát truy cập: Kiểm soát truy cập thông tin;
b) Quản lý truy cập người dùng:
Để tránh các truy cập không được cấp phép vào hệ thống;
c) Trách nhiệm của người dùng: để
tránh các truy cập của người dụng không được cấp phép;
d) Kiểm soát truy cập mạng: Bảo
vệ các dịch vụ mạng;
đ) Kiểm soát truy cập hệ điều
hành: Tránh truy cập vào các máy tính không được phép;
g) Kiểm soát truy cập ứng dụng:
Tránh truy cập trái phép vào hệ thống;
h) Giám sát truy cập hệ thống và
giám sát sử dụng hệ thống: Để phát hiện các hoạt động không được cấp phép;
i) Kiểm soát truy cập từ xa: Đảm
bảo an toàn, an ninh thông tin khi sử dụng các phương tiện di động.
8. Phát triển và duy trì hệ
thống:
a) Yêu cầu an ninh đối với các hệ
thống: Để đảm bảo các yêu cầu an ninh được đưa vào trong quá trình xây dựng hệ
thống;
b) An ninh trong hệ thống ứng dụng:
Để ngăn ngừa mất mát, thay đổi hoặc lạm dụng cơ sở dữ liệu người sử dụng trong
các hệ thống ứng dụng;
c) Các kiểm soát mật mã hóa: Để
bảo vệ tính tin cậy, xác thực hoặc toàn vẹn của thông tin;
d) An ninh các File hệ thống: Đảm
bảo rằng các dự án công nghệ thông tin và các hoạt động hỗ trợ được quản lý một
cách an toàn;
đ) An ninh quá trình hỗ trợ và
phát triển: Duy trì an ninh của phần mềm và thông tin hệ thống ứng dụng.
9. Sự tuân thủ:
a) Tuân thủ các yêu cầu pháp lý:
Để tránh bất kỳ các vi phạm luật hình sự và dân sự, các nghĩa vụ có tính luật
pháp, nguyên tắt và bất kỳ yêu cầu an ninh nào;
b) Soát xét của chính sách an
ninh và yêu cầu kỹ thuật để đảm bảo việc tuân thủ của hệ thống với các chính
sách và tiêu chuwrn an ninh của Tổ quốc;
c) Xem xét kiểm tra hệ thống: Để
tối đa tính hiệu lực để giảm thiểu sự can thiệp tới quy trình kiểm tra hệ thống
đó.
PHỤ LỤC II
CÁC BƯỚC CƠ BẢN ĐỂ XÂY DỰNG KHUNG QUY TRÌNH ĐẢM BẢO AN
TOÀN, AN NINH THÔNG TIN
(Ban hành kèm theo Quyết định số:
……/2011/QĐ-UBND ngày
tháng năm 2011 của Ủy ban nhân dân tỉnh Hậu
Giang)
Bước 1. Lập kế hoạch bảo vệ
an toàn cho hệ thống thông tin
- Thành lập bộ phận quản lý an
toàn, an ninh thông tin
- Xây dựng định hướng cơ bản cho
công tác đảm bảo an toàn, an ninh thông tin trong đó chỉ rõ:
+ Mục tiêu ngắn hạn và dài hạn.
+ Phương hướng và văn bản pháp
quy, tiêu chuẩn cần tuân thủ và tham khảo.
+ Ước lượng nhân lực và kinh phí
đầu tư.
- Lập kế hoạch xây dựng hệ thống
bảo vệ an toàn, an ninh thông tin:
+ Xác định và phân loại các nguy
cơ gây sự cố an toàn, an ninh thông tin.
+ Rà soát và lập danh sách các đối
tượng cần được bảo vệ với những mô tả đầy đủ về: nhiệm vụ; chức năng; mức độ
quan trọng và các đặc điểm đối tượng (đối tượng ở đây có thể là phần mềm, máy
chủ, quy trình tác nghiệp thuộc cơ quan, đơn vị…)
+ Xây dựng phương án đảm bảo an
toàn cho các đối tượng trong danh sách cần được bảo vệ: Nguyên tắc quản lý, vân
hành; các giải pháp bảo vẹ và khắc phục sự cố…
+ Liên lạc và phối hợp chặt chẽ
với Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam (VNCERT), Sở Thông tin và Truyền
thông cũng như các cơ quan, tổ chức nghiên cứu và cung cấp dịch vụ an toàn mạng.
+ Lập dự trù kinh phí đầu tư cho
hệ thống bảo vệ.
Bước 2. Xây dựng hệ thống bảo
vệ an toàn, an ninh thông tin
- Tổ chức đội ngũ nhân viên
chuyên trách, đủ năng lực đảm bảo an toàn an ninh thông tin.
- Xây dựng hệ thống bảo vệ an
toàn, an ninh thông tin theo kế hoạch
Bước 3. Quản lý và vận hành hệ
thống bảo vệ an toàn, an ninh thông tin
- Vân hành và quản lý chặt chẽ
trang thiết bị, phần mềm theo đúng quy định đã đặt ra.
- Khi phát hiện sự cố cần nhanh
chóng xác định nguyên nhân, tìm biện pháp khắc phục và báo cáo sự cố cho các cơ
quan chức năng.
- Cài đặt đầy đủ và thường xuyên
cập nhật phần mềm theo hướng dẫn chủa nhà cung cấp
Bước 4. Kiểm tra đánh giá hoạt
động của hệ thống bảo vệ an toàn, an ninh thông tin
- Thường xuyên kiểm tra giám sát
các hoạt động của hệ thống bảo vệ an toàn an ninh thông tin nói riêng cũng như
toàn bộ hệ thống thông tin nói chung.
- Báo cáo tổng kết tình hình
theo định kỳ.
Bước 5. Bảo trì và nâng cấp hệ
thống bảo vệ an toàn, an ninh thông tin
Thường xuyên kiểm tra và bảo trì
hệ thống bảo vệ an toàn, an ninh thông tin. Cần nhanh chóng mở rộng, nâng cấp
hoặc thay đổi khi cần thiết.