|
ỦY BAN NHÂN DÂN
TỈNH TUYÊN QUANG
-------
|
CỘNG HÒA XÃ HỘI CHỦ
NGHĨA VIỆT NAM
Độc lập - Tự do - Hạnh phúc
---------------
|
|
Số: 1101/QĐ-UBND
|
Tuyên Quang, ngày
09 tháng 8 năm 2022
|
QUYẾT
ĐỊNH
PHÊ DUYỆT PHƯƠNG ÁN BẢO ĐẢM AN TOÀN THÔNG TIN
MẠNG TRUYỀN SỐ LIỆU CHUYÊN DÙNG CẤP II DO VIETTEL TRIỂN KHAI TRÊN ĐỊA BÀN TỈNH
TUYÊN QUANG
CHỦ TỊCH
ỦY BAN NHÂN DÂN TỈNH TUYÊN QUANG
Căn cứ Luật Tổ chức
chính quyền địa phương ngày 19/6/2015; Luật sửa đổi, bổ sung một số điều của
Luật Tổ chức Chính phủ và Luật Tổ chức chính quyền địa phương ngày 22/11/2019;
Căn cứ Luật an toàn
thông tin mạng ngày 19 tháng 11 năm 2015;
Căn cứ Nghị định số
85/2016/NĐ-CP ngày 01 tháng 7 năm 2016 của Chính phủ về việc bảo đảm an toàn hệ
thống thông tin theo cấp độ;
Căn cứ Thông tư số
03/2017/TT-BTTTT ngày 24 tháng 4 năm 2017 của Bộ Thông tin và Truyền thông quy
định chi tiết và hướng dẫn một số điều của Nghị định 85/2016/NĐ-CP ngày 01
tháng 7 năm 2016 của Chính phủ về bảo đảm an toàn hệ thống thông tin theo cấp
độ;
Căn cứ Thông tư số
27/2017/TT-BTTTT ngày 20 tháng 10 năm 2017 của Bộ Thông tin và Truyền thông quy
định về quản lý, vận hành, kết nối, sử dụng và bảo đảm an toàn thông tin trên
mạng truyền số liệu chuyên dùng của các cơ quan Đảng, Nhà nước; Thông tư số
12/2019/TT-BTTTT ngày 05 tháng 11 năm 2019 của Bộ Thông tin và Truyền thông về
việc sửa đổi, bổ sung một số điều của Thông tư số 27/2017/TT-BTTTT ngày 20
tháng 10 năm 2017 của Bộ Thông tin và Truyền thông;
Theo đề nghị của Giám
đốc sở Thông tin và Truyền thông tại Tờ trình số 79/TTr-STTTT ngày 26 tháng 7
năm 2022, Báo cáo thẩm định số 191/BC-STTTT ngày 25 tháng 7 năm 2022 thẩm định
an toàn hệ thống thông tin cấp độ 3 mạng truyền số liệu chuyên dùng cấp II do
Viettel triển khai trên địa bàn tỉnh.
QUYẾT
ĐỊNH:
Điều 1. Phê duyệt
phương án bảo đảm an toàn hệ thống thông tin mạng truyền số liệu chuyên dùng cấp
II do Viettel triển khai trên địa bàn tỉnh Tuyên Quang, cụ thể như sau:
1. Thông tin chung
a) Tên hệ thống thông
tin: Mạng truyền số liệu chuyên dùng cấp II do Viettel triển khai trên địa bàn
tỉnh Tuyên Quang.
b) Đơn vị vận hành hệ
thống thông tin: Viettel Tuyên Quang - Chi nhánh Tập đoàn Công nghiệp Viễn
thông Quân đội.
c) Địa chỉ: Số 172, đường
Bình Thuận, phường Tân Quang, thành phố Tuyên Quang, tỉnh Tuyên Quang.
2. Phương án bảo đảm
an toàn thông tin
a) Phương án bảo đảm
an toàn thông tin trong thiết kế hệ thống thông tin tương ứng với cấp độ 3 là
phù hợp với tiêu chuẩn quốc gia (TCVN11930:2017), quy chuẩn kỹ thuật quốc gia
(TCVN11930:2017) về bảo đảm an toàn hệ thống thông tin theo cấp độ.
b) Phương án bảo đảm
an toàn thông tin trong quá trình vận hành hệ thống tương ứng với cấp độ 3 là
phù hợp với tiêu chuẩn quốc gia (TCVN11930:2017), quy chuẩn kỹ thuật quốc gia
(TCVN11930:2017) về bảo đảm an toàn hệ thống thông tin theo cấp độ.
Điều 2. Tổ chức thực
hiện
1. Viettel Tuyên Quang
- Chi nhánh Tập đoàn Công nghiệp Viễn thông Quân đội chịu trách nhiệm bảo đảm
an toàn hệ thống thông tin mình quản lý theo các quy định tại Điều 22 Nghị định
số 85/2016/NĐ-CP ngày 01/7/2016 của Chính phủ về bảo đảm an toàn hệ thống
thông tin theo cấp độ.
2. Sở Thông tin và
Truyền thông có trách nhiệm kiểm tra, giám sát, theo dõi, đôn đốc Viettel Tuyên
Quang - Chi nhánh Tập đoàn Công nghiệp Viễn thông Quân đội thực hiện theo các
quy định nêu trên, báo cáo Ủy ban nhân dân tỉnh theo quy định.
Điều 3. Quyết
định này có hiệu lực thi hành kể từ ngày ký.
Chánh Văn phòng Ủy
ban nhân dân tỉnh, Giám đốc Sở Thông tin và Truyền thông, Viettel Tuyên Quang -
Chi nhánh Tập đoàn Công nghiệp Viễn thông Quân đội và các cơ quan liên quan
chịu trách nhiệm thi hành Quyết định này./.
|
Nơi nhận:
-
Bộ
Thông tin và Truyền thông;
- Thường trực Tỉnh ủy;
- Thường trực HĐND tỉnh;
- Chủ tịch UBND tỉnh;
- Phó Chủ tịch UBND tỉnh;
- Phó CVP UBND tỉnh;
- Cổng thông tin điện tử tỉnh;
- Công báo Tuyên Quang;
- Như Điều 3;
- Lưu: VT, TG CNTT 02.
|
KT. CHỦ TỊCH
PHÓ CHỦ TỊCH
Hoàng
Việt Phương
|
PHƯƠNG
ÁN BẢO ĐẢM AN TOÀN THÔNG TIN
MẠNG TRUYỀN SỐ LIỆU CHUYÊN DÙNG CẤP II DO
VIETTEL TRIỂN KHAI TRÊN ĐỊA BÀN TỈNH TUYÊN QUANG
(Kèm
theo Quyết định số 1101/QĐ-UBND, ngày 09/8/2022 của Chủ tịch Ủy ban nhân dân
tỉnh Tuyên Quang)
I. Phương án bảo đảm
an toàn, an ninh mạng đối với hệ thống thông tin mạng truyền số liệu chuyên
dùng cấp II do Viettel triển khai trên địa bàn tỉnh Tuyên Quang
1. Hồ sơ, tài liệu
quản lý
a) Lập hồ sơ, tài
liệu hệ thống như tài liệu thiết kế, triển khai, quản trị, vận hành, bảo đảm an
toàn thông tin.
b) Lưu trữ, bảo quản
hồ sơ, tài liệu, xác định phạm vi phổ biến, sử dụng của tài liệu.
c) Thực hiện cập
nhật tài liệu thường xuyên khi có thay đổi, xem xét định kỳ hàng năm.
2. Kiểm tra, đánh giá
an toàn, an ninh mạng
a) Thực hiện kiểm
tra, đánh giá chức năng và an toàn, an ninh mạng các hệ thống thông tin trước
khi đưa vào sử dụng khi triển khai hệ thống mới hoặc nâng cấp hệ thống có thay
đổi kiến trúc của hệ thống.
b) Thực hiện kiểm
tra, đánh giá chức năng và an toàn, an ninh mạng trước khi đưa vào sử dụng đối
với các phần mềm thuê khoán khi xây dựng phần mềm mới hoặc khi thay đổi phần
mềm, thay đổi mã nguồn mà có ảnh hưởng đến kiến trúc của phần mềm.
c) Chuẩn bị hồ sơ,
thực hiện các bước, quy trình kiểm tra, đánh giá an toàn, an ninh mạng theo
quy định, quy trình, hướng dẫn của đơn vị chuyên trách an toàn, an ninh mạng
của Bộ Thông tin và Truyền thông.
3. Giám sát an toàn,
an ninh mạng
a) Triển khai giám
sát 24/7 đối với các hệ thống thông tin.
b) Các yêu cầu giám
sát cơ bản gồm: Trạng thái hoạt động up/down; lưu lượng mạng, dịch vụ. Ngoài
ra, thực hiện giám sát an toàn thông tin theo hướng dẫn tại Thông tư số
31/2017/TT-BTTTT ngày 15/11/2017 của Bộ Thông tin và Truyền thông. Tùy vào
điều kiện, nguồn lực và mức độ quan trọng của các hệ thống thông tin, có thể
triển khai thêm các phương án giám sát khác để giám sát bất thường, nguy cơ,
rủi ro hoặc dấu hiệu an toàn, an ninh mạng của hệ thống thông tin.
c) Xây dựng các quy
trình xử lý đối với các sự cố an toàn, an ninh mạng được phát hiện qua công
tác giám sát. Đối với các sự cố chưa có trong quy trình, có khả năng ảnh
hưởng nguy hiểm tới các hệ thống thông tin quan trọng thì thực hiện cung cấp
thông tin kịp thời cho đơn vị chuyên trách an toàn, an ninh mạng của Bộ Thông
tin và Truyền thông để phối hợp điều tra, phân tích và xử lý.
d) Thực hiện báo cáo
định kỳ, báo cáo khi có sự cố xảy ra hoặc báo cáo đột xuất theo yêu cầu của
các cấp có thẩm quyền.
4. Quản lý rủi ro
a) Thực hiện đánh
giá rủi ro đối với các hệ thống thông tin.
b) Nội dung đánh giá
rủi ro tập trung xác định các điểm yếu, mối đe dọa đối với tài sản của các hệ
thống thông tin, từ đó xác định hậu quả và mức độ ảnh hưởng. Đồng thời đưa ra
biện pháp để xử lý rủi ro bảo đảm cân đối giữa nguồn lực và giá trị mang lại.
5. Kết thúc vận hành,
khai thác, sửa chữa, thanh lý, hủy bỏ
a) Thực hiện hủy bỏ
toàn bộ thông tin, dữ liệu trên hệ thống với sự xác nhận của đơn vị chủ quản
hệ thống thông tin khi kết thúc vận hành, khai thác, thanh lý, hủy bỏ hệ thống
thông tin. Trong trường hợp thông tin, dữ liệu của hệ thống thông tin lưu trữ
trên tài sản vật lý, đơn vị chủ quản hệ thống thông tin thực hiện các biện
pháp tiêu hủy hoặc xóa thông tin bảo đảm không có khả năng phục hồi. Với
trường hợp đặc biệt không thể tiêu hủy được thông tin, dữ liệu thì sử dụng
biện pháp tiêu hủy cấu trúc phần lưu trữ dữ liệu trên tài sản đó.
b) Đối với các hệ
thống thông tin có dữ liệu được lưu trữ trên tài sản vật lý cần phải mang đi
bảo hành, bảo dưỡng, sửa chữa bên ngoài thì phải được sự phê duyệt của cấp
có thẩm quyền và thực hiện các biện pháp bảo vệ dữ liệu; có cam kết bảo mật
thông tin giữa bên có dữ liệu và bên cung cấp dịch vụ sửa chữa thiết bị lưu
trữ dữ liệu.
II. Phương án ứng
phó, khắc phục sự cố an toàn, an ninh mạng đối với mạng truyền số liệu chuyên
dùng cấp II do Viettel triển khai trên địa bàn tỉnh Tuyên Quang
1. Nguyên tắc thực
hiện
Phương án ứng phó,
khắc phục sự cố an toàn, an ninh mạng được thực hiện theo nguyên tắc: Phát
hiện hoặc tiếp nhận sự cố; xác minh, phân tích, đánh giá và phân loại sự cố;
quyết định lựa chọn phương án và phối hợp các đơn vị liên quan; ứng cứu sự
cố, khôi phục hệ thống; điều phối, ứng cứu sự cố; kết thúc sự cố; khắc phục,
phòng ngừa sự cố tái diễn; hỗ trợ sau sự cố.
2. Đánh giá các nguy
cơ, sự cố an toàn, an ninh mạng
a) Thực hiện đánh giá,
xác định nguy cơ, sự cố an toàn, an ninh mạng trong hoạt động quản trị, vận
hành các hệ thống thông tin.
b) Xác định phạm vi
sự cố: (1) Sự cố do lỗi phần cứng, phần mềm hoặc do công tác quản trị, vận
hành làm gián đoạn hệ thống thông tin. (2) Sự cố do bị tấn công mạng: Tấn công
từ chối dịch vụ; tấn công giả mạo; tấn công sử dụng mã độc; truy cập trái phép,
chiếm quyền điều khiển; tấn công thay đổi giao diện; tấn công mã hóa phần mềm,
dữ liệu, thiết bị; phá hoại thông tin, dữ liệu, phần mềm; nghe trộm, gián điệp,
lấy cắp thông tin, dữ liệu; các hình thức tấn công mạng khác.
3. Phương án ứng phó,
khắc phục đối với một số tình huống cụ thể:
- An toàn đường
truyền
+ Các kết nối vào mạng
truyền số liệu chuyên dùng (TSLCD) sử dụng đường truyền WAN MPLS (L3VPN/L2VPN),
Viettel cung cấp đường truyền và giải pháp đảm bảo hình thành một mạng riêng,
an toàn cho mọi đơn vị kết nối vào mạng TSLCD.
+ Phần mạng lõi
(mạng truyền tải MPLS Viettel): Mạng lõi Viettel chạy trên nền tảng giao thức
chuyển mạch MPLS, cho phép thiết lập các kênh WAN VPN bằng cách tạo các Tunnel
riêng cho từng khách hàng. Các VPN Tunnel tách biệt nhau về mặt logic bằng các
kênh ảo lớp 3 (VRF) hoặc các kênh ảo lớp 2 (pseudo - wire). Trên mạng truyền
tài MPLS Viettel, các khách hàng được phân tách về logic, khách hàng khác nhau
sẽ không thể nhìn và đọc thông tin của nhau.
+ Phần mạng ngoại vi:
Từ Router biên đến site khách hàng, Viettel triển khai trên hạ tầng mạng cáp
quang sử dụng công nghệ AON và GPON đảm bảo tách biệt giữa mạng số liệu chuyên
dùng và các khách hàng khác.
- An toàn trong quản
lý và vận hành mạng TSLCD cấp II
+ Tổng đài tiếp nhận
phản ánh chất lượng dịch vụ kênh truyền: 18008000 nhánh 3. Tổng đài này
hoạt động 24/7, sẵn sàng tiếp nhận và xử lý các phản ánh về chất lượng dịch vụ
kênh truyền của khách hàng ở bất cứ thời điểm nào trong ngày, bất cứ ngày nào
trong năm.
+ Phương án giám sát
băng thông: VIETTEL cung cấp cho mỗi khách hàng một tài khoản trên hệ thống
giám sát kênh truyền do Viettel quản lý, công cụ giám sát đặt trên trang thông
tin điện tử của VIETTEL. Các cơ quan Đảng, Nhà nước hoàn toàn có thể chủ
động giám sát chất lượng đường truyền của mình bằng công cụ này.
√ Giám sát và quản lý
đường truyền thông tin 24/7.
√ Có khả năng giám
sát riêng băng thông upload, băng thông download.
√ Cung cấp các thông
số chi tiết cùng biểu đồ mô phỏng về hiện trạng mức độ sử dụng, mức độ hoạt
động tại các điểm kết nối theo yêu cầu.
√ Cho phép xem lại
lịch sử hiệu năng mạng cung cấp cho khách hàng, có thể tùy chọn xem theo tuần,
xem theo tháng…
+ Tổ chức lực lượng:
Lực lượng kỹ thuật của VIETTEL được tổ chức rộng khắp từ Trung ương đến cấp
xã theo phân cấp chức năng chuyên biệt, đảm bảo tính chuyên môn hóa cao, tối
ưu chất lượng và tốc độ xử lý các vấn đề kỹ thuật: Cấp quốc gia/toàn cầu, cấp
khu vực, cấp tỉnh, cấp huyện, cấp xã.
+ Hoạt động: Lực
lượng kỹ thuật được duy trì hoạt động 24/24 ở tất cả các cấp, đảm bảo luôn sẵn
sàng cho mọi tình huống vận hành, khai thác mạng lưới truyền dẫn.
- Quy trình xử lý sự
cố kỹ về chất lượng dịch vụ
Mô tả:
+ Phát sinh sự cố:
√ Khi có sự cố phát
sinh, khách hàng tiến hành phân tích, nếu sự cố thuộc phía tuyến Viettel thì
chuyển sang bước 2: Thông báo sự cố cho Viettel.
+ Thông báo sự cố:
√ Khách hàng gọi điện
trực tiếp báo sự cố theo số điện thoại tiếp nhận sự cố của Viettel: 18008000.
√ Với những trường
hợp cần có đầu mối để phối hợp xử lý, khách hàng sẽ cử đầu mối làm việc sang
bên Viettel.
+ Tiếp nhận sự cố:
√ Đầu mối Viettel
tiếp nhận thông báo sự cố từ phía khách hàng.
√ Tất cả các trường
hợp thay đổi đầu mối tiếp nhận sự cố, Viettel sẽ thông báo cho khách hàng để
đảm bảo chất lượng dịch vụ ở mức tốt nhất. Thời gian tiếp nhận sự cố 24/7/365.
+ Phân tích sự cố:
√ Viettel phối hợp
với kách hàng để tìm nguyên nhân về sự cố:
○ Nếu sự cố thuộc
bên khách hàng thì phía khách hàng sẽ khắc phục sự cố.
○ Nếu sự cố thuộc
bên Viettel thì chuyển sang bước 5.
√ Viettel có trách
nhiệm thông báo lại cho khách hàng biết nguyên nhân sự cố và thời gian để khắc
phục sự cố này.
√ Các quy định đặc
biệt theo cam kết với khách hàng.
+ Xử lý sự cố:
√ Viettel triển khai
các biện pháp để khắc phục sự cố trừ các trường hợp thiên tai bất khả kháng.
√ Các sự cố chưa xử
lý xong nhưng đã quá hạn, Viettel có hệ thống nhắn tin cảnh báo sự cố quá hạn
nội bộ từ cấp xử lý trực tiếp (Trung tâm Viettel thành phố, huyện) đến mức cao
nhất chịu trách nhiệm về chất lượng dịch vụ.
√ Thời gian khắc phục
sự cố ≤ 3 giờ.
+ Xác nhận khắc phục
xong sự cố:
√ Khi khắc phục xong
sự cố, Viettel sẽ thông báo lại cho khách hàng về tình trạng sự cố đã được
khắc phục bằng điện thoại, đồng thời hệ thống của Viettel sẽ tự động nhắn tin
và gửi email cho đầu mối khách hàng (do khách hàng cung cấp) thông báo sự cố
đã được xử lý, thời gian xử lý và nguyên nhân lỗi.
+ Kết thúc/Lưu hồ sơ:
√ Hai bên thống nhất
về thời gian tiếp nhận sự cố và thời gian khắc phục xong sự cố. Thời gian sự
cố sẽ được tính theo thời gian sự cố thực tế giữa kỹ thuật của khách hàng
và Viettel.
√ Hai bên đóng sự
cố và kết thúc sự cố./.