|
ỦY
BAN NHÂN DÂN
TỈNH ĐỒNG NAI
--------
|
CỘNG
HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM
Độc lập - Tự do - Hạnh phúc
---------------
|
|
Số:
02/2014/QĐ-UBND
|
Đồng
Nai, ngày 14 tháng 01 năm 2014
|
QUYẾT ĐỊNH
BAN HÀNH QUY CHẾ ĐẢM BẢO AN TOÀN THÔNG TIN TRONG HOẠT ĐỘNG ỨNG
DỤNG CÔNG NGHỆ THÔNG TIN CỦA CÁC CƠ QUAN QUẢN LÝ HÀNH CHÍNH NHÀ NƯỚC TRÊN ĐỊA
BÀN TỈNH ĐỒNG NAI
ỦY BAN NHÂN DÂN TỈNH ĐỒNG NAI
Căn cứ Luật Tổ
chức Hội đồng nhân dân và Ủy ban nhân dân ngày 26/11/2003;
Căn cứ Luật Ban
hành văn bản quy phạm pháp luật của Hội đồng nhân dân, Ủy ban nhân dân ngày
03/12/2004;
Căn cứ Luật
Công nghệ thông tin ngày 29/6/2006;
Căn cứ Nghị định
số 64/2007/NĐ-CP ngày 10/4/2007 của Chính phủ ứng dụng công nghệ
thông tin trong hoạt động cơ quan Nhà nước;
Căn cứ Quyết định
số 63/QĐ-TTg ngày 13/01/2010 của Thủ tướng Chính phủ về phê duyệt Quy hoạch
phát triển an toàn thông tin số Quốc gia đến năm 2020;
Căn cứ Chỉ thị
số 897/CT-TTg ngày 10/6/2011 của Thủ tướng Chính phủ về việc tăng cường triển
khai các hoạt động đảm bảo an toàn thông tin số;
Căn cứ Thông tư
số 23/2011/TT-BTTTT ngày 11/8/2011 của Bộ Thông tin và Truyền thông quy định về
việc quản lý, vận hành, sử dụng và bảo đảm an toàn thông tin trên mạng truyền số
liệu chuyên dùng của các cơ quan Đảng, Nhà nước;
Theo đề nghị của
Giám đốc Sở Thông tin và Truyền thông tại Tờ trình số 1348/TTr-STTTT ngày
13 tháng 12 năm 2013,
QUYẾT ĐỊNH:
Điều 1. Ban hành kèm theo Quyết định này quy chế đảm bảo an toàn
thông tin trong hoạt động ứng dụng công nghệ thông tin của các cơ quan quản lý hành
chính Nhà nước trên địa bàn tỉnh Đồng Nai.
Điều 2. Quyết định này có hiệu lực thi hành sau 10 ngày kể từ ngày
ký và thay thế Quyết định số 34/2009/QĐ-UBND ngày 21/5/2009 của UBND tỉnh ban
hành Quy chế đảm bảo an toàn, an ninh thông tin trong lĩnh vực ứng dụng công
nghệ thông tin của các cơ quan, đơn vị quản lý hành chính Nhà nước trên địa bàn
tỉnh Đồng Nai.
Điều 3. Chánh Văn phòng Ủy ban nhân dân tỉnh, Giám đốc Sở Thông tin
và Truyền thông, Giám đốc các sở, ban, ngành tỉnh; Chủ tịch Ủy ban nhân dân các
huyện, thị xã Long Khánh, thành phố Biên Hòa; Thủ trưởng các cơ quan, đơn vị và
cá nhân có liên quan chịu trách nhiệm thi hành Quyết định này./.
|
|
TM.
ỦY BAN NHÂN DÂN
KT. CHỦ TỊCH
PHÓ CHỦ TỊCH
Trần Văn Vĩnh
|
QUY CHẾ
ĐẢM BẢO AN TOÀN THÔNG TIN TRONG HOẠT ĐỘNG ỨNG
DỤNG CÔNG NGHỆ THÔNG TIN CỦA CÁC CƠ QUAN QUẢN LÝ HÀNH CHÍNH NHÀ NƯỚC TRÊN ĐỊA
BÀN TỈNH ĐỒNG NAI
(Ban hành kèm theo Quyết định số 02/2014/QĐ-UBND ngày 14 tháng 01 năm
2014 của UBND tỉnh Đồng Nai)
Chương I
QUY ĐỊNH CHUNG
Điều 1. Phạm vi điều chỉnh
Quy chế này quy định
về công tác đảm bảo an toàn thông tin trong hoạt động ứng dụng công nghệ thông
tin (CNTT) của các cơ quan quản lý hành chính Nhà nước thuộc tỉnh Đồng Nai.
Điều 2. Đối tượng áp dụng
1. Các cơ quan quản
lý hành chính Nhà nước thuộc tỉnh, bao gồm: Các sở, ban, ngành, Ủy ban nhân dân
các huyện, thị xã Long Khánh, thành phố Biên Hòa, các đơn vị sự nghiệp thuộc tỉnh
(sau đây gọi tắt là các cơ quan, đơn vị) và doanh nghiệp viễn thông, doanh nghiệp
cung cấp dịch vụ công nghệ thông tin trên địa bàn tỉnh.
2. Cán bộ, công chức,
viên chức đang làm việc trong các cơ quan, đơn vị nêu tại Khoản 1 Điều này và
những cá nhân, tổ chức có liên quan áp dụng Quy chế này trong việc vận hành,
khai thác hệ thống thông tin tại các cơ quan, đơn vị.
Điều 3. Giải thích từ ngữ
Trong Quy chế này,
các từ ngữ dưới đây được hiểu như sau:
1. An toàn thông
tin là bao gồm các hoạt động quản lý, nghiệp vụ và kỹ thuật đối với hệ thống
thông tin nhằm bảo vệ, khôi phục các hệ thống, các dịch vụ và nội dung thông
tin đối với nguy cơ tự nhiên hoặc do con người gây ra. Việc bảo vệ thông tin,
tài sản và con người trong hệ thống thông tin nhằm bảo đảm cho các hệ thống thực
hiện đúng chức năng, phục vụ đúng đối tượng một cách sẵn sàng, chính xác và tin
cậy. An toàn thông tin bao hàm các nội dung bảo vệ và bảo mật thông tin, an
toàn dữ liệu, an toàn máy tính và an toàn mạng.
2. Hệ thống thông
tin là tập hợp thiết bị phần cứng, phần mềm và cơ sở dữ liệu được thiết lập phục
vụ mục đích tạo lập, cung cấp, truyền đưa, thu thập, xử lý, lưu trữ và trao đổi
thông tin.
3. Xâm phạm an
toàn thông tin là hành vi truy cập, sử dụng, tiết lộ, làm gián đoạn, sửa đổi,
làm sai lệch chức năng, phá hoại trái phép thông tin và hệ thống thông tin.
4. Nguy cơ mất an toàn
thông tin là những nhân tố bên trong hoặc bên ngoài có khả năng ảnh hưởng tới
trạng thái an toàn thông tin.
5. Đánh giá rủi ro
an toàn thông tin là việc xác định, phân tích nguy cơ mất an toàn thông tin có thể
có và dự báo mức độ, phạm vi ảnh hưởng và khả năng gây thiệt hại khi xảy ra sự
cố mất an toàn thông tin.
6. Quản lý rủi ro
an toàn thông tin là việc thực hiện đánh giá rủi ro an toàn thông tin, xác định
yêu cầu bảo vệ thông tin và hệ thống thông tin và áp dụng giải pháp phòng, chống,
giảm thiểu thiệt hại khi có sự cố mất an toàn thông tin.
7. Mạng là khái niệm
chung dùng để chỉ mạng viễn thông cố định, di động, internet và mạng máy tính.
8. Phần mềm độc hại
là phần mềm có khả năng gây ra hoạt động không bình thường cho một phần hay
toàn bộ hệ thống thông tin hoặc thực hiện sao chép, sửa đổi, xóa bỏ trái phép
thông tin lưu trữ trong hệ thống thông tin.
9. Địa chỉ điện tử
là địa chỉ được sử dụng để gửi, nhận thông tin trên mạng.
10. Sản phẩm an
toàn thông tin là thiết bị phần cứng, phần mềm an toàn thông tin.
11. Tính tin cậy
là đảm bảo thông tin chỉ có thể được truy nhập bởi những người được cấp quyền sử
dụng.
12. Tính toàn vẹn
là bảo vệ sự chính xác và đầy đủ của thông tin và các phương pháp xử lý.
13. Tính sẵn sàng
là đảm bảo những người được cấp quyền có thể truy nhập thông tin và các tài sản
liên quan ngay khi có nhu cầu.
14. Cấu hình chuẩn
là cấu hình được các nhà sản xuất thiết bị, phần mềm, khuyến nghị áp dụng, nhằm
loại bỏ các xung đột, lỗ hổng có thể xảy ra trong quá trình cấu hình thiết bị.
15. Cổng giao tiếp
(Port) là để định danh các ứng dụng gửi và nhận dữ liệu, mỗi ứng dụng sẽ tương ứng
với một cổng giao tiếp, những ứng dụng phổ biến được đặt với số hiệu cổng định
trước, nhằm định danh duy nhất các ứng dụng đó. Khi máy tính sử dụng dịch vụ
nào thì cổng giao tiếp tương ứng với dịch vụ đó sẽ mở.
16. Giao thức là tập
hợp các quy tắc, quy ước truyền thông của mạng mà tất cả các thực thể tham gia
truyền thông phải tuân theo.
17. Bản ghi nhật
ký hệ thống (Logfile) là một tập tin được tạo ra trên mỗi thiết bị của hệ thống
thông tin như: Tường lửa, máy chủ ứng dụng,... có chứa tất cả thông tin về các
hoạt động xảy ra trên thiết bị đó. Bản ghi nhật ký hệ thống dùng để phân tích
những sự kiện đã xảy ra, nguồn gốc và các kết quả để có các biện pháp xử lý
thích hợp.
18. Mạng ngang
hàng là mạng mà trong đó các máy tính có quyền bình đẳng như nhau, mỗi máy tính
có quyền chia sẻ tài nguyên và sử dụng các tài nguyên từ máy tính khác.
19. TCVN
7562:2005: Tiêu chuẩn Việt Nam về mã thực hành quản lý ATTT.
20. ISO
17799:2005: Tiêu chuẩn Quốc tế cung cấp các hướng dẫn quản lý an toàn bảo mật
thông tin dựa trên quy phạm công nghiệp tốt nhất (tập quy phạm cho quản lý an
toàn bảo mật thông tin).
21. ISO
27001:2005: Tiêu chuẩn Quốc tế về quản lý bảo mật thông tin do Tổ chức tiêu chuẩn
hóa Quốc tế và Ủy ban kỹ thuật điện Quốc tế xuất bản vào tháng 10/2005.
Điều 4. Mục đích an toàn thông tin
1. Tăng cường khả
năng phòng, chống các nguy cơ tấn công, xâm nhập hệ thống công nghệ thông tin
và ngăn chặn, khắc phục kịp thời các sự cố mất an toàn thông tin trên mạng máy
tính và các hệ thống thông tin.
2. Ngăn ngừa việc
lộ, lọt tài liệu, thông tin bí mật Nhà nước.
Điều 5. Các hành vi bị nghiêm cấm
1. Ngăn chặn trái
phép việc truyền tải thông tin trên mạng; can thiệp trái phép, gây nguy hại,
xóa, thay đổi, sửa chữa, làm sai lệch thông tin trên mạng.
2. Cản trở trái
phép, gây ảnh hưởng tới sự hoạt động bình thường của hệ thống thông tin hoặc cản
trở trái phép, gây ảnh hưởng tới khả năng truy cập hợp pháp của người sử dụng tới
hệ thống thông tin.
3. Tấn công, vô hiệu
hóa trái phép làm mất tác dụng của biện pháp bảo vệ an toàn thông tin cho hệ thống
thông tin; lợi dụng sơ hở, điểm yếu của hệ thống thông tin để cố ý vượt qua biện
pháp kiểm soát truy cập, tấn công, chiếm quyền điều khiển trái phép đối với hệ
thống thông tin.
4. Phát tán thư
rác, tin nhắn rác, phần mềm độc hại, thiết lập hệ thống thông tin giả mạo, lừa
đảo.
5. Lợi dụng mạng để
truyền bá thông tin, quan điểm, thực hiện các hành vi gây phương hại đến an
ninh Quốc gia, trật tự, an toàn xã hội, lợi ích Quốc gia trên mạng; phá hoại khối
đại đoàn kết toàn dân; tuyên truyền chiến tranh xâm lược, khủng bố; gây hận
thù, mâu thuẫn giữa các dân tộc, sắc tộc, tôn giáo và bài ngoại.
6. Lợi dụng mạng để
truyền bá trái phép tài liệu, hình ảnh, âm thanh hoặc dạng thông tin khác nhằm
kích động bạo lực, dâm ô, đồi trụy, tội ác, tệ nạn xã hội, mê tín dị đoan, phá
hoại thuần phong, mỹ tục của dân tộc; bôi nhọ, gây thù hận, xâm hại tới quyền
và lợi ích hợp pháp của tổ chức, cá nhân.
Chương II
BẢO ĐẢM AN TOÀN
THÔNG TIN TRÊN MẠNG
Mục 1. BẢO VỆ HỆ THỐNG THÔNG TIN
Điều 6. Nội dung bảo vệ hệ thống thông tin
1. Ban hành quy định
về bảo đảm an toàn thông tin trong thiết kế, xây dựng, quản lý, vận hành, sử dụng,
nâng cấp, hủy bỏ hệ thống thông tin.
2. Áp dụng biện
pháp quản lý và kỹ thuật phù hợp với tiêu chuẩn, quy chuẩn kỹ thuật về an toàn
thông tin để phòng, chống nguy cơ, khắc phục sự cố an toàn thông tin.
3. Kiểm tra, giám
sát việc tuân thủ quy định và đánh giá hiệu quả của các biện pháp quản lý và kỹ
thuật được áp dụng.
4. Quản lý rủi ro
an toàn thông tin.
Điều 7. Giám sát an toàn hệ thống thông tin
1. Giám sát an
toàn hệ thống thông tin là hoạt động giám sát nhằm phát hiện hành vi xâm phạm
an toàn thông tin hoặc có khả năng gây ra sự cố mất an toàn thông tin đối với hệ
thống thông tin.
2. Hoạt động giám
sát an toàn hệ thống thông tin bao gồm:
a) Giám sát luồng
thông tin được gửi, nhận qua mạng;
b) Giám sát hoạt động
tại máy tính, thiết bị xử lý thông tin có kết nối mạng.
3. Tổ chức chủ quản
hệ thống thông tin quan trọng có trách nhiệm thực hiện giám sát an toàn hệ thống
thông tin và lưu trữ thông tin giám sát theo quy định.
4. Doanh nghiệp viễn
thông, doanh nghiệp cung cấp dịch vụ công nghệ thông tin có trách nhiệm thực
thi đầy đủ yêu cầu của cơ quan Nhà nước có thẩm quyền khi được yêu cầu phối hợp
giám sát an toàn hệ thống thông tin.
Mục 2. BẢO VỆ THÔNG TIN TRÊN MẠNG
Điều 8. Quản lý gửi thông tin trên mạng
1. Việc gửi thông
tin trên mạng phải đảm bảo:
a) Không giả mạo
nguồn gốc của thông tin;
b) Tuân thủ quy định
của Quy chế này và quy định của pháp luật khác liên quan.
2. Tổ chức, cá nhân
không được gửi thông tin mang tính thương mại vào địa chỉ điện tử của người tiếp
nhận khi chưa được người tiếp nhận đồng ý, yêu cầu, hoặc người tiếp nhận thông
tin từ chối, trừ trường hợp người tiếp nhận có nghĩa vụ phải tiếp nhận thông
tin theo quy định của pháp luật.
3. Doanh nghiệp
cung cấp dịch vụ viễn thông, doanh nghiệp cung cấp dịch vụ ứng dụng viễn thông
và doanh nghiệp cung cấp dịch vụ công nghệ thông tin thực hiện gửi thông tin có
trách nhiệm:
a) Tuân thủ quy định
của pháp luật về lưu trữ thông tin, bảo vệ thông tin cá nhân, thông tin của
khách hàng;
b) Áp dụng biện
pháp ngăn chặn, xử lý khi nhận được thông báo của tổ chức, cá nhân về thông tin
quấy rối, vi phạm quy định của pháp luật;
c) Cung cấp điều
kiện kỹ thuật và nghiệp vụ cần thiết để cơ quan Nhà nước có thẩm quyền thực hiện
nhiệm vụ quản lý Nhà nước về an toàn thông tin khi có yêu cầu.
Điều 9. Phát hiện, ngăn chặn và xử lý phần mềm độc hại
1. Tổ chức chủ quản
hệ thống thông tin quan trọng triển khai hệ thống kỹ thuật nghiệp vụ nhằm phát
hiện, ngăn chặn và xử lý kịp thời phần mềm độc hại.
2. Tổ chức cung cấp
dịch vụ thư điện tử, truyền đưa, lưu trữ thông tin trực tuyến phải có hệ thống
phát hiện và lọc phần mềm độc hại trong thông tin được gửi, nhận hoặc lưu trữ
trên hệ thống thông tin của mình và có trách nhiệm báo cáo cho cơ quan có thẩm
quyền theo quy định của pháp luật.
3. Doanh nghiệp
cung cấp dịch vụ internet có biện pháp ngăn chặn phát tán phần mềm độc hại theo
yêu cầu cơ quan chức năng.
Điều 10. Bảo đảm an toàn tài nguyên internet
1. Tổ chức, cá
nhân sử dụng tài nguyên internet có trách nhiệm:
a) Thông báo ngay
cho nhà đăng ký tên miền Quốc gia Việt Nam “.vn” hoặc cơ quan chức năng khi
phát hiện tên miền của mình bị chiếm quyền điều khiển;
b) Áp dụng các biện
pháp quản lý và kỹ thuật để ngăn chặn mất an toàn thông tin xuất phát từ tên miền,
địa chỉ internet của mình;
c) Cung cấp đầy đủ
thông tin và phối hợp với cơ quan quản lý Nhà nước có thẩm quyền khi được yêu cầu;
d) Quản lý, duy
trì quyền sử dụng tên miền của mình và phải chịu trách nhiệm đối với việc vi phạm
sử dụng tên miền của mình gây ra.
2. Tổ chức sử dụng
địa chỉ internet và số hiệu mạng phải có trách nhiệm thực hiện định tuyến và sử
dụng địa chỉ internet, số hiệu mạng theo quy định của Bộ Thông tin và Truyền
thông.
3. Tổ chức, doanh
nghiệp cung cấp dịch vụ internet phải có biện pháp quản lý, phát hiện và ngăn
chặn phát tán thông tin, phần mềm độc hại, thư rác từ địa chỉ internet do mình
quản lý và cung cấp.
4. Cơ quan quản lý
tài nguyên internet có trách nhiệm đảm bảo an toàn thông tin cho hệ thống máy
chủ phân giải tên miền của Quốc gia và kiểm tra, giám sát việc đảm bảo an toàn
thông tin hệ thống máy chủ phân giải tên miền của nhà đăng ký tên miền do mình
quản lý.
Chương III
KỸ THUẬT, BIỆN
PHÁP ĐẢM BẢO AN TOÀN THÔNG TIN
Điều 11. Tiêu chuẩn, quy chuẩn kỹ thuật an toàn thông tin
1. Hệ thống tiêu
chuẩn an toàn thông tin bao gồm tiêu chuẩn Quốc tế, tiêu chuẩn Quốc gia và tiêu
chuẩn cơ sở đối với hệ thống thông tin, thiết bị phần cứng, phần mềm, quy trình
quản lý, vận hành an toàn thông tin được công bố, áp dụng tại Việt Nam theo quy
định của pháp luật về tiêu chuẩn, quy chuẩn kỹ thuật và chất lượng sản phẩm, dịch
vụ.
2. Hệ thống quy
chuẩn kỹ thuật an toàn thông tin bao gồm quy chuẩn Quốc gia và quy chuẩn cơ sở
đối với hệ thống thông tin, thiết bị phần cứng, phần mềm, quy trình quản lý, vận
hành an toàn thông tin được xây dựng, ban hành và áp dụng tại Việt Nam theo quy
định của pháp luật về tiêu chuẩn, quy chuẩn kỹ thuật và chất lượng sản phẩm, dịch
vụ.
Điều 12. Các biện pháp quản lý vận hành trong công tác đảm bảo an toàn
thông tin
1. Đối với các cơ
quan, đơn vị:
a) Trang bị đầy đủ
các kiến thức bảo mật cơ bản cho cán bộ, công chức, viên chức về an toàn thông
tin (sau đây gọi tắt là cán bộ chuyên trách) trước khi cho phép truy nhập và sử
dụng hệ thống thông tin.
b) Bố trí cán bộ
chuyên trách về an toàn thông tin. Cán bộ chuyên trách được đảm bảo điều kiện học
tập, tiếp cận công nghệ, kiến thức an toàn bảo mật thông tin trước khi tiến
hành các hoạt động quản lý hay kỹ thuật nghiệp vụ. Trong trường hợp cơ quan,
đơn vị chưa có cán bộ chuyên trách, đề xuất bổ sung biên chế cán bộ chuyên
trách để thực hiện nhiệm vụ đảm bảo an toàn, an ninh thông tin.
c) Quan tâm và ưu
tiên bố trí kinh phí cần thiết để đảm bảo và tăng cường an toàn thông tin trong
hoạt động ứng dụng CNTT của cơ quan, đơn vị.
d) Các cơ quan,
đơn vị phải bố trí máy vi tính riêng, không sử dụng máy tính kết nối internet để
soạn thảo văn bản, lưu giữ thông tin có nội dung mật theo quy định. Không được
kết nối đồng thời internet công cộng của các nhà cung cấp dịch vụ internet khác
(như xDSL, thiết bị 3G, …) vào mạng truyền số liệu chuyên dùng.
đ) Riêng đối với
các thiết bị viễn thông, máy tính được sử dụng để lưu giữ và truyền thông tin
bí mật Nhà nước phải được chứng nhận của cơ quan chức năng kiểm tra, kiểm định
trước khi đưa vào sử dụng.
2. Đối với cán bộ
chuyên trách tại các cơ quan, đơn vị:
a) Tham mưu cho
lãnh đạo triển khai thực hiện các biện pháp để đảm bảo an toàn, an ninh hệ thống
thông tin của cơ quan, đơn vị. Thường xuyên nghiên cứu, cập nhật các kiến thức
về an toàn thông tin, có biện pháp phòng tránh các nguy cơ tiềm ẩn có thể gây mất
thông tin khi tiến hành các hoạt động quản lý hay kỹ thuật nghiệp vụ.
b) Thường xuyên cập
nhật cấu hình chuẩn cho các thành phần của hệ thống thông tin, thiết lập cấu
hình chặt chẽ nhất nhưng vẫn đảm bảo duy trì hoạt động thường xuyên của hệ thống
thông tin.
c) Khi thiết lập cấu
hình hệ thống thông tin chỉ cung cấp những chức năng thiết yếu nhất; xác định
các chức năng, cổng giao tiếp mạng, giao thức và dịch vụ không cần thiết để cấm
hoặc hạn chế sử dụng.
d) Thường xuyên thực
hiện việc theo dõi bản ghi nhật ký hệ thống và các sự kiện khác có liên quan để
đánh giá, báo cáo các rủi ro và mức độ nghiêm trọng các rủi ro đó. Các rủi ro
đó có thể xảy ra do sự truy cập trái phép, sử dụng trái phép, mất, thay đổi hoặc
phá hủy thông tin và hệ thống thông tin.
đ) Kiểm soát chặt
chẽ cài đặt phần mềm vào máy trạm và máy chủ.
e) Cán bộ chuyên
trách có trách nhiệm cấu hình máy trạm và máy chủ đảm bảo người dùng không được
phép cài đặt phần mềm, không sử dụng chức năng chia sẻ tài nguyên.
3. Đối với cán bộ,
công chức, viên chức:
a) Thường xuyên cập
nhật những chính sách, thủ tục an toàn thông tin của cơ quan, đơn vị và thực hiện
đúng hướng dẫn về an toàn thông tin của cán bộ chuyên trách.
b) Các máy tính
khi kết nối mạng internet không sử dụng trong thời gian dài (quá 02 giờ làm việc)
cần tắt máy hoặc ngưng kết nối mạng, để tránh bị các tin tặc lợi dụng, sử dụng
chức năng điều khiển từ xa dùng máy tính của mình tấn công vào các hệ thống
thông tin khác.
c) Phải thực hiện
quét virus trước khi mở các tập tin đính kèm theo thư điện tử, không mở các thư
điện tử khi chưa rõ người gửi hoặc tập tin đính kèm có nguồn gốc không rõ ràng
để tránh virus, phần mềm gián điệp lây nhiễm máy tính.
d) Phải đặt mật khẩu
cho máy tính (mật khẩu đăng nhập, mật khẩu bảo vệ màn hình). Sử dụng các thiết
bị lưu trữ thông tin (USB, ổ cứng gắn ngoài, thẻ nhớ...) đảm bảo an toàn, đúng
cách để phòng ngừa virus, phần mềm gián điệp xâm nhập máy tính phá hoại, đánh cắp
thông tin. Định kỳ thường xuyên quét virus, phần mềm gián điệp trên máy tính.
Điều 13. Các biện pháp quản lý kỹ thuật cho công tác đảm bảo an toàn
thông tin
1. Tổ chức mô hình
mạng:
Khuyến khích cài đặt,
cấu hình, tổ chức hệ thống mạng theo mô hình Clients/Server, hạn chế sử dụng mô
hình mạng ngang hàng. Các cơ quan, đơn vị có nhiều phòng, ban, đơn vị trực thuộc
không nằm trong cùng một khu vực, cần thiết lập mạng riêng ảo (Virtual Private
Network - VPN) để đảm bảo an ninh cho mạng nội bộ. Khi thiết lập các dịch vụ
trên môi trường mạng internet, chỉ cung cấp những chức năng thiết yếu nhất bảo
đảm duy trì hoạt động của hệ thống thông tin; hạn chế sử dụng chức năng, cổng
giao tiếp mạng, giao thức và các dịch vụ không cần thiết.
2. Quản lý hệ thống
mạng không dây:
a) Khi thiết lập mạng
không dây để kết nối với mạng cục bộ thông qua các điểm truy nhập, cần thiết lập
các tham số như: Tên, SSID, mật khẩu, cấp phép truy cập đối với địa chỉ vật lý
(MAC address), mã hóa dữ liệu và thông báo các thông tin liên quan đến điểm
truy nhập để cơ quan sử dụng, thường xuyên thay đổi mật khẩu nhằm tăng cường
công tác bảo mật.
b) Thực hiện quản
lý chặt chẽ tài khoản của các hệ thống thông tin. Đối với cán bộ, công chức,
viên chức đã nghỉ việc, chuyển công tác, phải có biện pháp khóa hoặc hủy tài
khoản, quyền truy nhập, thu hồi các thiết bị liên quan tới hệ thống thông tin
(khóa, thẻ nhận dạng,...) cho phù hợp.
3. Quản lý đăng nhập
hệ thống:
Các hệ thống thông
tin cần giới hạn một số hữu hạn lần đăng nhập sai liên tiếp. Nếu liên tục đăng
nhập sai vượt quá số lần quy định thì hệ thống phải tự động khóa tài khoản hoặc
cô lập tài khoản trong một khoảng thời gian nhất định trước khi tiếp tục cho
đăng nhập. Tổ chức theo dõi, và kiểm soát tất cả các phương pháp truy nhập từ
xa (quay số, internet…) tới hệ thống thông tin, bao gồm cả sự truy nhập có chức
năng quản trị, tăng cường sử dụng mạng riêng ảo khi có nhu cầu làm việc từ xa;
yêu cầu người dùng đặt mật khẩu với độ an toàn cao (có chữ thường, có chữ in
hoa, có số và ký tự đặc biệt như @, #, !...) và thường xuyên thay đổi mật khẩu.
4. Quản lý bản ghi
nhật ký hệ thống:
Hệ thống thông tin
cần ghi nhận đầy đủ thông tin trong các bản ghi nhật ký (quá trình đăng nhập hệ
thống, các thao tác cấu hình hệ thống, quá trình truy xuất hệ thống,…), lưu giữ
nội dung nhật ký trong khoảng thời gian nhất định, để phục vụ việc quản lý, kiểm
soát hệ thống thông tin.
5. Chống mã độc,
virus:
Lựa chọn, triển
khai các phần mềm chống virus, thư rác có hiệu quả trên các máy chủ, máy trạm,
các thiết bị, phương tiện kỹ thuật trong mạng, các hệ thống thông tin quan trọng
như: Cổng/Trang thông tin điện tử, thư điện tử, một cửa điện tử,…; đồng thời,
thường xuyên cập nhật phiên bản mới, bản vá lỗi của các phần mềm chống virus,
nhằm kịp thời phát hiện, loại trừ mã độc máy tính (virus, trojan, worms,…).
6. Tổ chức quản lý
tài nguyên:
Kiểm tra, giám sát
chức năng chia sẻ thông tin. Tổ chức cấp phát tài nguyên trên máy chủ theo danh
mục thư mục cho từng phòng/ban; khuyến cáo người sử dụng cân nhắc việc chia sẻ
tài nguyên cục bộ trên máy đang sử dụng, khi thực hiện việc chia sẻ tài nguyên
cần phải sử dụng mật khẩu để bảo vệ thông tin.
7. Các biện pháp kỹ
thuật bảo đảm an toàn cho Trang thông tin điện tử/Cổng thông tin điện tử (gọi tắt
là trang web):
a) Xác định cấu
trúc thiết kế trang web: Quản lý toàn bộ các phiên bản của mã nguồn, phối hợp với
đơn vị thực hiện dịch vụ hosting tổ chức mô hình trang web hợp lý tránh khả
năng tấn công leo thang đặc quyền. Yêu cầu đơn vị cung cấp dịch vụ hosting phải
cài đặt các hệ thống phòng vệ như tường lửa (firewall), thiết bị phát hiện/phòng
chống xâm nhập (IDS/IPS) ở mức ứng dụng web (WAF - Web Application Firewall).
b) Vận hành ứng dụng
web an toàn: Các trang web khi đưa vào sử dụng hoặc khi bổ sung thêm các chức
năng, dịch vụ công mới cần đánh giá kiểm định nhằm tránh được các lỗi bảo mật
thường xảy ra trên ứng dụng web như: SQL Injection, Cross-Site Scripting (xss),
Broken Authentication and Session Management, Insecure Direct Object
References, Cross Site Request Forgery (CSRF), Security Misconfiguration,
Failure to Restrict URL Access, Insecure Cryptographic Storage, Insufficient
Transport Layer Protection, Unvalidated Redirects and Forwards và các lỗi khác.
c) Thiết lập và cấu
hình cơ sở dữ liệu an toàn:
- Luôn cập nhật bản
vá lỗi mới nhất cho hệ quản trị cơ sở dữ liệu; sử dụng công cụ để đánh giá, tìm
kiếm lỗ hổng trên máy chủ cơ sở dữ liệu;
- Gỡ bỏ các cơ sở
dữ liệu không sử dụng;
- Có các cơ chế
sao lưu dữ liệu, tài liệu hóa quá trình thay đổi cấu trúc bằng cách xây dựng nhật
ký cơ sở dữ liệu với các nội dung như: Nội dung thay đổi, lý do thay đổi, thời
gian, vị trí thay đổi.
d) Phối hợp với
các nhà cung cấp dịch vụ hosting xây dựng phương án phục hồi trang web, trong
đó chú ý ít nhất mỗi tháng thực hiện việc sao lưu toàn bộ nội dung trang web 01
lần bao gồm mã nguồn, cơ sở dữ liệu, dữ liệu phi cấu trúc để bảo đảm khi có sự
cố có thể khắc phục trong thời gian ngắn nhất.
8. Thiết lập cơ chế
sao lưu và phục hồi hệ thống:
Hệ thống thông tin
phải có cơ chế sao lưu thông tin ở mức người dùng và mức hệ thống, được lưu trữ
tại nơi an toàn; đồng thời, thường xuyên kiểm tra để đảm bảo tính sẵn sàng phục
hồi và toàn vẹn thông tin. Có giải pháp sao lưu dự phòng dữ liệu ra chỗ khác nhằm
tránh tình trạng hỏa hoạn, thiên tai, lũ lụt.
9. Xử lý khẩn cấp:
Khi phát hiện hệ
thống máy chủ bị tấn công, thông qua các dấu hiệu như luồng tin tăng lên bất ngờ,
nội dung trang chủ bị thay đổi, hệ thống hoạt động rất chậm khác thường,... cần
thực hiện các bước cơ bản sau:
a) Bước 1: Ngắt kết
nối máy chủ ra khỏi mạng.
b) Bước 2: Sao
chép logfile và toàn bộ dữ liệu của hệ thống ra thiết bị lưu trữ (phục vụ cho
công tác phân tích).
c) Bước 3: Khôi phục
hệ thống bằng cách chuyển dữ liệu backup mới nhất để hệ thống hoạt động.
d) Bước 4: Thông
báo cho cơ quan chức năng để được hướng dẫn, hỗ trợ.
10. Hệ thống thông
tin tại các cơ quan, đơn vị cần có cơ chế ngăn chặn hoặc hạn chế các sự cố gây
ra do tấn công từ chối dịch vụ (DoS, DDoS). Sử dụng các thiết bị đặt tại biên của
mạng để lọc các gói tin nhằm bảo vệ các thiết bị bên trong, tránh bị ảnh hưởng
trực tiếp bởi tấn công từ chối dịch vụ. Đối với hệ thống thông tin cho phép
truy nhập công cộng có thể thực hiện bảo vệ bằng cách tăng dung lượng, băng thông
hoặc thiết lập hệ thống dự phòng.
Điều 14. Xây dựng quy chế nội bộ đảm bảo an toàn thông tin
1. Các cơ quan,
đơn vị phải ban hành hoặc điều chỉnh, bổ sung quy chế nội bộ, đảm bảo quy định
rõ các vấn đề sau:
a) Mục tiêu và
phương hướng thực hiện công tác đảm bảo an toàn, an ninh cho hệ thống thông
tin.
b) Nguyên tắc phân
loại và quản lý mức độ ưu tiên đối với các tài nguyên của hệ thống thông tin
(phần mềm, dữ liệu, trang thiết bị…).
c) Quản lý phân
quyền và trách nhiệm đối với từng cá nhân khi tham gia sử dụng hệ thống thông
tin.
d) Quản lý và điều
hành hệ thống máy chủ, thiết bị mạng, thiết bị bảo vệ mạng một cách an toàn.
đ) Kiểm tra, khắc
phục sự cố an toàn, an ninh của hệ thống thông tin bằng cách sử dụng các biện
pháp tại Quy chế này.
e) Nguyên tắc chung
về sử dụng an toàn và hiệu quả đối với các cá nhân tham gia sử dụng hệ thống
thông tin.
g) Báo cáo tổng hợp
tình hình an toàn, an ninh của hệ thống thông tin theo định kỳ.
h) Các biện pháp tổ
chức thực hiện.
2. Các cơ quan,
đơn vị xây dựng quy chế an toàn thông tin cần căn cứ các tiêu chuẩn kỹ thuật quản
lý an toàn của Bộ tiêu chuẩn TCVN 7562:2005 và ISO/IEC 17799:2005 tại Phụ lục I kèm theo Quy chế này, để áp dụng cho phù hợp.
Điều 15. Xây dựng và áp dụng quy trình đảm bảo an toàn thông tin
1. Các cơ quan,
đơn vị phải xây dựng và áp dụng quy trình đảm bảo an toàn, an ninh cho hệ thống
thông tin nhằm giảm thiểu các nguy cơ gây ra sự cố, tạo điều kiện cho việc khắc
phục và truy vết trong trường hợp có sự cố xảy ra. Nội dung của quy trình có thể
chia làm các bước cơ bản như:
a) Lập kế hoạch bảo
vệ an toàn, an ninh cho hệ thống thông tin.
b) Xây dựng hệ thống
bảo vệ an toàn thông tin.
c) Quản lý và vận
hành hệ thống bảo vệ an toàn thông tin.
d) Kiểm tra đánh
giá hoạt động của hệ thống bảo vệ an toàn thông tin.
đ) Bảo trì và nâng
cấp hệ thống bảo vệ an toàn thông tin.
2. Các cơ quan,
đơn vị tham khảo các bước cơ bản để xây dựng khung quy trình đảm bảo an toàn
thông tin cho hệ thống thông tin tại Phụ lục II kèm
theo Quy chế này và tiêu chuẩn Quốc tế ISO 27001:2005.
Chương IV
TRÁCH NHIỆM ĐẢM
BẢO AN TOÀN THÔNG TIN
Điều 16. Trách nhiệm của các cơ quan, đơn vị
1. Quan tâm và ưu
tiên bố trí kinh phí cho việc mua sắm, nâng cấp các trang thiết bị phần cứng, phần
mềm để đảm bảo và tăng cường an toàn thông tin trong hoạt động ứng dụng CNTT của
cơ quan, đơn vị.
2. Thủ trưởng các
cơ quan, đơn vị có trách nhiệm tuyên truyền, nâng cao nhận thức cho cán bộ,
công chức, viên chức về các nguy cơ mất an toàn, an ninh hệ thống thông tin; tổ
chức triển khai thực hiện các quy định tại Quy chế này và chịu trách nhiệm trước
UBND tỉnh trong công tác đảm bảo an toàn thông tin của cơ quan, đơn vị mình.
3. Khi có sự cố hoặc
có nguy cơ mất an toàn thông tin phải kịp thời chỉ đạo khắc phục ngay, ưu tiên
sử dụng cán bộ kỹ thuật chuyên trách trong cơ quan, đơn vị, kịp thời cho doanh
nghiệp cung cấp dịch vụ và thông báo bằng văn bản cho Sở Thông tin và Truyền
thông, cơ quan cấp trên quản lý trực tiếp biết. Trường hợp không khắc phục được
thì phối hợp với Sở Thông tin và Truyền thông hoặc cơ quan cấp trên quản lý để
được hướng dẫn, hỗ trợ.
4. Phối hợp chặt
chẽ với cơ quan Công an trong công tác phòng ngừa, đấu tranh, ngăn chặn các hoạt
động xâm phạm an toàn thông tin. Tạo điều kiện thuận lợi cho các cơ quan chức
năng tham gia khắc phục sự cố và thực hiện đúng theo hướng dẫn.
5. Phối hợp với Sở
Thông tin và Truyền thông và các đơn vị liên quan thực hiện công tác kiểm tra
khắc phục sự cố; đồng thời cung cấp đầy đủ các thông tin khi đoàn kiểm tra yêu
cầu.
6. Báo cáo tình
hình và kết quả thực hiện công tác đảm bảo an toàn thông tin tại cơ quan, đơn vị
và gửi về Sở Thông tin và Truyền thông định kỳ hàng năm (trước ngày 15 tháng
11).
Điều 17. Trách nhiệm của Sở Thông tin và Truyền thông
1. Tham mưu UBND tỉnh
về công tác đảm bảo an toàn thông tin trên địa bàn tỉnh và chịu trách nhiệm trước
UBND tỉnh trong việc đảm bảo an toàn an ninh cho các hệ thống thông tin cấp tỉnh.
2. Hàng năm xây dựng
kế hoạch, tổng hợp kinh phí để triển khai công tác an toàn và an ninh thông tin
trong hoạt động ứng dụng CNTT của cơ quan Nhà nước.
3. Chủ trì, phối hợp
với các cơ quan liên quan thành lập đoàn kiểm tra, tiến hành kiểm tra định kỳ
hoặc đột xuất khi phát hiện có các dấu hiệu, hành vi vi phạm an toàn thông tin.
4. Xây dựng và triển
khai các chương trình đào tạo, hội nghị tuyên truyền an toàn thông tin trong
công tác quản lý Nhà nước trên địa bàn tỉnh.
5. Tùy theo mức độ
sự cố, phối hợp Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam (VNCERT), các đơn
vị có liên quan xử lý, ứng cứu các sự cố mất an toàn thông tin. Thực hiện đúng
các yêu cầu điều phối ứng cứu sự cố và báo cáo, phản hồi đầy đủ kết quả thực hiện
cho Trung tâm VNCERT. Thực hiện nghĩa vụ thành viên mạng lưới ứng cứu sự cố mạng
internet.
6. Hướng dẫn cụ thể
về nghiệp vụ quản lý vận hành, kỹ thuật đảm bảo an toàn thông tin; đồng thời, hỗ
trợ các cơ quan, đơn vị giải quyết sự cố khi có yêu cầu.
7. Thông báo cho
các cơ quan, đơn vị biết và có biện pháp phòng ngừa, ngăn chặn các nguy cơ mất
an toàn thông tin cho virus, phần mềm gián điệp,... gây ra.
Điều 18. Trách nhiệm của Công an tỉnh
1. Phối hợp Sở
Thông tin và Truyền thông kiểm tra công tác an toàn thông tin.
2. Điều tra và xử
lý các trường hợp vi phạm an toàn thông tin theo thẩm quyền.
Điều 19. Trách nhiệm của cán bộ, công chức, viên chức trong các cơ
quan, đơn vị
1. Trách nhiệm của
cán bộ chuyên trách:
a) Chịu trách nhiệm
triển khai các biện pháp quản lý vận hành, quản lý kỹ thuật, tham mưu xây dựng
quy định về đảm bảo an toàn, an ninh cho hệ thống thông tin của cơ quan, đơn vị
theo Quy chế này.
b) Phối hợp với
các cá nhân, đơn vị có liên quan trong việc kiểm tra, phát hiện và khắc phục
các sự cố mất an toàn thông tin.
2. Trách nhiệm của
cán bộ, công chức, viên chức:
a) Chấp hành
nghiêm túc các quy định về an toàn thông tin của cơ quan, đơn vị cũng như các
quy định khác của pháp luật, nâng cao ý thức cảnh giác và trách nhiệm đảm bảo
an ninh thông tin tại cơ quan, đơn vị.
b) Khi phát hiện sự
cố phải báo ngay với cấp trên và bộ phận chuyên trách để kịp thời ngăn chặn, xử
lý.
c) Tích cực tham
gia các chương trình đào tạo, hội nghị về an toàn an ninh thông tin do Sở Thông
tin và Truyền thông hoặc các đơn vị chuyên môn tổ chức.
Chương V
TỔ CHỨC THỰC HIỆN
Điều 20. Khen thưởng và xử lý vi phạm
1. Hàng năm, Sở Thông
tin và Truyền thông dựa trên các điều tra, báo cáo công tác an toàn thông tin của
các cơ quan, đơn vị để lập bảng xếp hạng an toàn thông tin, trên cơ sở đó đề xuất
UBND tỉnh xem xét khen thưởng theo quy định.
2. Các cơ quan,
đơn vị, cá nhân có hành vi vi phạm Quy chế này, tùy theo tính chất, mức độ vi
phạm mà bị xử lý theo quy định của pháp luật.
Điều 21. Điều khoản thi hành
Sở Thông tin và
Truyền thông có trách nhiệm hướng dẫn triển khai thực hiện Quy chế này.
Trong quá trình thực
hiện, nếu có vướng mắc, phát sinh, các cơ quan, đơn vị, địa phương kịp thời phản
ánh về Sở Thông tin và Truyền thông để tổng hợp, báo cáo Ủy ban nhân dân tỉnh
xem xét sửa đổi, bổ sung quy chế cho phù hợp./.
PHỤ LỤC I
NHỮNG NỘI DUNG CHÍNH CỦA ISO 17799:2005 DÙNG
ĐỂ XÂY DỰNG QUY CHẾ NỘI BỘ ĐẢM BẢO AN TOÀN, AN NINH CHO HỆ THỐNG THÔNG TIN
(Ban hành kèm theo Quyết định số 02/2014/QĐ-UBND ngày 14/01/2013 của Ủy ban
nhân dân tỉnh Đồng Nai)
1. Chính sách an
toàn thông tin:
Chỉ thị và hướng dẫn
về an toàn thông tin.
2. An ninh tổ chức:
a) Hạ tầng an ninh
thông tin: Quản lý an ninh thông tin trong tổ chức.
b) An ninh đối với
bên truy cập thứ ba: Duy trì an ninh cho các phương tiện xử lý thông tin của
các tổ chức và tài sản thông tin do các bên thứ ba truy cập.
3. Phân loại và kiểm
soát tài sản:
a) Trách nhiệm giải
trình tài sản: Duy trì bảo vệ tài sản.
b) Phân loại thông
tin tài sản: Đảm bảo mỗi loại tài sản có mức bảo vệ thích hợp.
4. An ninh cá
nhân:
a) An ninh trong định
nghĩa công việc và nguồn nhân lực: Giảm rủi ro do các hành vi sai sót của con
người.
b) Đào tạo người sử
dụng: Đảm bảo người sử dụng nhận thức được các mối đe dọa và các vấn đề liên
quan đến an ninh thông tin.
c) Đối phó với các
sự cố an ninh: Giảm thiểu thiệt hại từ các trục trặc và sự cố an ninh, theo
dõi, rút kinh nghiệm.
5. An ninh môi trường
và vật lý:
a) Phạm vi an
ninh: Ngăn ngừa việc truy cập, gây hại và can thiệp trái phép vào vùng an ninh
và thông tin nghiệp vụ.
b) An ninh thiết bị:
Để tránh mất mát, lỗi hoặc các sự cố khác liên quan đến tài sản gây ảnh hưởng tới
các hoạt động nghiệp vụ.
c) Kiểm soát
chung: Ngăn ngừa làm hại hoặc đánh cắp thông tin và các phương tiện xử lý thông
tin.
6. Quản lý truyền
thông và hoạt động:
a) Thủ tục vận
hành và trách nhiệm vận hành hệ thống: Đảm bảo các phương tiện xử lý thông tin
hoạt động đúng và an toàn.
b) Lập kế hoạch hệ
thống và công nhận: Giảm thiểu rủi ro và lỗi hệ thống.
c) Bảo vệ chống lại
phần mềm cố ý gây hại: Bảo vệ tính toàn vẹn của phần mềm thông tin.
d) Công việc quản lý:
Duy trì tính toàn vẹn và sẵn sàng của dịch vụ truyền đạt và xử lý thông tin.
đ) Quản trị mạng:
Đảm bảo việc an toàn thông tin trên mạng và bảo vệ cơ sở hạ tầng kỹ thuật.
e) Trao đổi thông
tin: Ngăn ngừa mất mát, thay đổi hoặc sử dụng sai thông tin được trao đổi giữa
các đơn vị.
7. Kiểm soát truy
cập:
a) Các yêu cầu
nghiệp vụ đối với kiểm soát truy cập: Kiểm soát truy cập thông tin.
b) Quản lý truy cập
người dùng: Để tránh các truy cập không được cấp phép vào hệ thống.
c) Trách nhiệm của
người dùng: Để tránh các truy cập của người dùng không được cấp phép.
d) Kiểm soát truy
cập mạng: Bảo vệ các dịch vụ mạng.
đ) Kiểm soát truy
cập hệ điều hành: Tránh truy cập vào các máy tính không được phép.
e) Kiểm soát truy
cập ứng dụng: Tránh truy cập trái phép vào hệ thống.
g) Giám sát truy cập
hệ thống và giám sát sử dụng hệ thống: Để phát hiện các hoạt động không được cấp
phép.
h) Kiểm soát truy
cập từ xa: Đảm bảo an toàn thông tin khi sử dụng các phương tiện di động.
8. Phát triển và
duy trì hệ thống:
a) Yêu cầu an ninh
đối với các hệ thống: Để đảm bảo các yêu cầu an ninh được đưa vào trong quá
trình xây dựng hệ thống.
b) An ninh trong hệ
thống ứng dụng: Để ngăn ngừa mất mát, thay đổi hoặc lạm dụng cơ sở dữ liệu người
sử dụng trong các hệ thống ứng dụng.
c) Các kiểm soát mật
mã hóa: Để bảo vệ tính tin cậy, xác thực hoặc toàn vẹn của thông tin.
d) An ninh các
file hệ thống: Đảm bảo rằng các dự án công nghệ thông tin và các hoạt động hỗ
trợ được quản lý một cách an toàn.
đ) An ninh quá
trình hỗ trợ và phát triển: Duy trì an ninh của phần mềm và thông tin hệ thống ứng
dụng.
9. Sự tuân thủ:
a) Tuân thủ các
yêu cầu pháp lý: Để tránh bất kỳ các vi phạm Luật Hình sự và Dân sự, các nghĩa
vụ có tính luật pháp, nguyên tắc và bất kỳ yêu cầu an ninh nào.
b) Soát xét của
chính sách an ninh và yêu cầu kỹ thuật để đảm bảo việc tuân thủ của hệ thống với
các chính sách và tiêu chuẩn an ninh của tổ quốc.
c) Xem xét kiểm
tra hệ thống: Để tối đa tính hiệu lực để giảm thiểu sự can thiệp tới quy trình
kiểm tra hệ thống đó.
PHỤ LỤC II
CÁC BƯỚC CƠ BẢN ĐỂ XÂY DỰNG KHUNG QUY TRÌNH
ĐẢM BẢO AN TOÀN THÔNG TIN
(Ban hành kèm theo Quyết định số 02/2014/QĐ-UBND
ngày 14/01/2014 của Ủy ban nhân dân tỉnh Đồng Nai )
Bước 1. Lập kế hoạch
bảo vệ an toàn cho hệ thống thông tin
- Thành lập bộ phận
quản lý an toàn thông tin.
- Xây dựng định hướng
cơ bản cho công tác đảm bảo an toàn thông tin trong đó chỉ rõ:
+ Mục tiêu ngắn hạn
và dài hạn.
+ Phương hướng và
văn bản pháp quy, tiêu chuẩn cần tuân thủ và tham khảo.
+ Ước lượng nhân lực
và kinh phí đầu tư.
- Lập kế hoạch xây
dựng hệ thống bảo vệ an toàn thông tin:
+ Xác định và phân
loại các nguy cơ gây sự cố an toàn thông tin.
+ Rà soát và lập
danh sách các đối tượng cần được bảo vệ với những mô tả đầy đủ về: Nhiệm vụ; chức
năng; mức độ quan trọng và các đặc điểm đối tượng (đối tượng ở đây có thể là phần
mềm, máy chủ, quy trình tác nghiệp thuộc cơ quan, đơn vị…).
+ Xây dựng phương
án đảm bảo an toàn cho các đối tượng trong danh sách cần được bảo vệ: Nguyên tắc
quản lý, vận hành; các giải pháp bảo vệ và khắc phục sự cố…
+ Liên lạc và phối
hợp chặt chẽ với Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam (VNCERT), Sở
Thông tin và Truyền thông cũng như các cơ quan, tổ chức nghiên cứu và cung cấp
dịch vụ an toàn mạng.
+ Lập dự trù kinh
phí đầu tư cho hệ thống bảo vệ.
Bước 2. Xây dựng hệ
thống bảo vệ an toàn thông tin
- Tổ chức đội ngũ
nhân viên chuyên trách, đủ năng lực đảm bảo an toàn an ninh thông tin.
- Xây dựng hệ thống
bảo vệ an toàn thông tin theo kế hoạch.
Bước 3. Quản lý và
vận hành hệ thống bảo vệ an toàn thông tin
- Vận hành và quản
lý chặt chẽ trang thiết bị, phần mềm theo đúng quy định đã đặt ra.
- Khi phát hiện sự
cố cần nhanh chóng xác định nguyên nhân, tìm biện pháp khắc phục và báo cáo sự
cố cho các cơ quan chức năng.
- Cài đặt đầy đủ
và thường xuyên cập nhật phần mềm theo hướng dẫn của nhà cung cấp.
Bước 4. Kiểm tra
đánh giá hoạt động của hệ thống bảo vệ an toàn thông tin
- Thường xuyên kiểm
tra giám sát các hoạt động của hệ thống bảo vệ an toàn thông tin nói riêng cũng
như toàn bộ hệ thống thông tin nói chung.
- Báo cáo tổng kết
tình hình theo định kỳ.
Bước 5. Bảo trì và
nâng cấp hệ thống bảo vệ an toàn thông tin
Thường xuyên kiểm
tra và bảo trì hệ thống bảo vệ an toàn thông tin. Cần nhanh chóng mở rộng, nâng
cấp hoặc thay đổi khi cần thiết.