|
BỘ XÂY DỰNG
-------
|
CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM
Độc lập - Tự do - Hạnh phúc
---------------
|
|
Số: 1114/QĐ-BXD
|
Hà Nội, ngày 29 tháng 11 năm 2022
|
QUYẾT ĐỊNH
BAN
HÀNH QUY CHẾ BẢO ĐẢM AN TOÀN THÔNG TIN, AN NINH MẠNG BỘ XÂY DỰNG
BỘ TRƯỞNG BỘ XÂY DỰNG
Căn cứ Luật An toàn thông tin mạng ngày
19/11/2015;
Căn cứ Luật An ninh mạng ngày 12/6/2018;
Căn cứ Nghị định số 85/2016/NĐ-CP ngày
01/7/2016 của Chính phủ về bảo đảm an toàn hệ thống thông tin theo cấp độ;
Căn cứ Nghị định số 142/2016/NĐ-CP ngày
01/7/2016 của Chính phủ về ngăn chặn xung đột thông tin trên mạng;
Căn cứ Nghị định số 52/2022/NĐ-CP ngày
08/8/2022 của Chính phủ Quy định chức năng, nhiệm vụ, quyền hạn và cơ cấu tổ chức
của Bộ Xây dựng;
Căn cứ Quyết định số 05/2017/QĐ-TTg ngày
16/3/2017 của Thủ tướng Chính phủ ban hành quy định về Hệ thống phương án ứng cứu
khẩn cấp bảo đảm an toàn thông tin mạng quốc gia;
Căn cứ Chỉ thị số 18/CT-TTg ngày 13/10/2022 của
Thủ tướng Chính phủ về đẩy mạnh các hoạt động ứng cứu sự cố an toàn thông tin mạng
Việt Nam;
Căn cứ Thông tư số 12/2022/TT-BTTTT ngày
12/8/2022 của Bộ Thông tin và Truyền thông quy định chi tiết và hướng dẫn một số
điều của Nghị định số 85/2016/NĐ-CP ngày 01/7/2016 của Chính phủ về bảo đảm an
toàn hệ thống thông tin theo cấp độ;
Căn cứ Thông tư số 31/2017/TT-BTTTT ngày
15/11/2017 của Bộ Thông tin và Truyền thông quy định hoạt động giám sát an toàn
hệ thống thông tin;
Căn cứ Thông tư số 20/2017/TT-BTTTT ngày
12/9/2017 của Bộ Thông tin và Truyền thông quy định về điều phối, ứng cứu sự cố
an toàn thông tin mạng trên toàn quốc;
Theo đề nghị của Giám đốc Trung tâm Thông
tin.
QUYẾT ĐỊNH:
Điều 1. Ban
hành kèm theo Quyết định này Quy chế bảo đảm an toàn thông tin, an ninh mạng Bộ
Xây dựng.
Điều 2. Quyết
định này có hiệu lực kể từ ngày ký ban hành và thay thế cho Quyết định số
319/QĐ-BXD ngày 25/3/2011.
Điều 3. Chánh
Văn phòng Bộ, Giám đốc Trung tâm Thông tin, Thủ trưởng các đơn vị trực thuộc Bộ
Xây dựng và các tổ chức, cá nhân có liên quan chịu trách nhiệm thi hành Quyết định
này./.
|
Nơi nhận:
- Như Điều 3;
- Bộ trưởng (để b/c):
- Các Thứ trưởng;
- Lưu: VT, TTTT.
|
KT. BỘ TRƯỞNG
THỨ TRƯỞNG
Nguyễn Văn Sinh
|
QUY CHẾ
BẢO
ĐẢM AN TOÀN THÔNG TIN, AN NINH MẠNG BỘ XÂY DỰNG
(Ban hành kèm theo Quyết định số: 1114/QĐ-BXD ngày 29/11/2022 của Bộ trưởng
Bộ Xây dựng)
Chương I
QUY ĐỊNH
CHUNG
Điều 1. Phạm vi điều
chỉnh
Quy chế này quy định về bảo đảm an toàn thông
tin mạng và an ninh mạng trong các hoạt động chuyển đổi số, ứng dụng công nghệ
thông tin, vận hành, khai thác hệ thống, hạ tầng thông tin, phần mềm, dữ liệu
thuộc phạm vi quản lý của Bộ Xây dựng và các đơn vị trực thuộc Bộ.
Điều 2. Đối tượng áp
dụng
1. Các cơ quan, đơn vị thuộc Bộ Xây dựng (sau
đây gọi là đơn vị) và cán bộ, công chức, viên chức, người lao động trong đơn vị
(sau đây gọi tắt là cá nhân).
2. Cơ quan, tổ chức, cá nhân có kết nối vào hệ
thống mạng Bộ Xây dựng.
3. Cơ quan, tổ chức, cá nhân cung cấp dịch vụ
công nghệ thông tin và an toàn thông tin mạng cho các đơn vị trực thuộc Bộ Xây
dựng.
Điều 3. Giải thích từ
ngữ
Trong Quy chế này, các từ ngữ dưới đây được
hiểu như sau:
1. An toàn thông tin mạng là sự bảo vệ
thông tin số và các hệ thống thông tin trên mạng tránh bị truy nhập, sử dụng,
tiết lộ, gián đoạn, sửa đổi hoặc phá hoại trái phép nhằm bảo đảm tính nguyên vẹn,
tính bảo mật và tính khả dụng của thông tin.
2. An ninh mạng là việc bảo đảm thông
tin trên mạng không gây phương hại đến an ninh quốc gia, trật tự an toàn xã hội,
bí mật nhà nước, quyền và lợi ích hợp pháp của tổ chức, cá nhân.
3. Hạ tầng công nghệ thông tin là tập
hợp các thiết bị tính toán, lưu trữ, thiết bị ngoại vi, thiết bị kết nối mạng,
thiết bị phụ trợ, đường truyền, mạng nội bộ, mạng diện rộng.
4. Trang thông tin điện tử là trang
thông tin hoặc tập hợp trang thông tin trên môi trường mạng phục vụ cho việc
cung cấp, trao đổi thông tin.
5. Cổng thông tin điện tử là điểm truy
nhập duy nhất của cơ quan, đơn vị trên môi trường mạng, liên kết, tích hợp các
kênh thông tin, các dịch vụ và các ứng dụng mà qua đó người dùng có thể khai
thác, sử dụng và cá nhân hóa việc hiển thị thông tin.
6. Mã độc là đoạn mã hoặc phần mềm có
khả năng gây ra hoạt động không bình thường cho một phần hay toàn bộ hệ thống
thông tin hoặc thực hiện sao chép, sửa đổi, xóa bỏ trái phép thông tin lưu trữ
trong hệ thống thông tin.
7. Mạng LAN là hệ thống mạng nội bộ
bao gồm mạng có dây và mạng không dây.
8. Dữ liệu nhạy cảm là dữ liệu có
thông tin mật, thông tin lưu hành nội bộ của đơn vị hoặc do đơn vị quản lý, nếu
lộ lọt ra ngoài sẽ gây ảnh hưởng xấu đến danh tiếng, tài chính và hoạt động của
đơn vị.
Điều 4. Nguyên tắc
chung bảo đảm an toàn thông tin mạng và an ninh mạng
1. Bảo đảm an toàn thông tin mạng và an ninh
mạng được thực hiện xuyên suốt, toàn bộ quá trình trong khâu mua sắm, nâng cấp,
vận hành, bảo trì và ngừng sử dụng hạ tầng, hệ thống thông tin, phần mềm, dữ liệu.
2. Trách nhiệm bảo đảm an toàn thông tin mạng
và an ninh mạng gắn với trách nhiệm của người đứng đầu cơ quan, đơn vị và cá
nhân trực tiếp liên quan.
3. Trường hợp có văn bản, quy định cập nhật,
thay thế hoặc quy định khác tại văn bản quy phạm pháp luật, quyết định của cấp
có thẩm quyền cao hơn thì áp dụng quy định tại văn bản đó.
4. Thông tin thuộc Danh mục bí mật nhà nước
được bảo vệ theo quy định của pháp luật về bảo vệ bí mật nhà nước.
5. Xử lý sự cố an toàn thông tin phải phù hợp
với trách nhiệm, quyền hạn và bảo đảm lợi ích hợp pháp của cơ quan, đơn vị, cá
nhân liên quan và theo quy định của pháp luật.
Điều 5. Các hành vi bị
nghiêm cấm
1. Các hành vi bị nghiêm cấm quy định tại Điều 7 của Luật An toàn thông tin mạng và Điều 8
của Luật An ninh mạng.
2. Tự ý đấu nối thiết bị mạng, thiết bị cấp
phát địa chỉ mạng, thiết bị phát sóng như điểm truy cập mạng không dây của cá
nhân vào mạng nội bộ mà không có sự hướng dẫn hoặc đồng ý của đơn vị quản lý hệ
thống thông tin.
3. Tự ý thay đổi, gỡ bỏ biện pháp an toàn
thông tin cài đặt trên thiết bị công nghệ thông tin phục vụ công việc; tự ý
thay thế, lắp mới, tráo đổi thành phần của máy tính phục vụ công việc.
4. Cố ý tạo ra, cài đặt, phát tán mã độc gây ảnh
hưởng đến hoạt động bình thường của hệ thống thông tin.
5. Cản trở hoạt động cung cấp dịch vụ của hệ
thống thông tin; ngăn chặn việc truy nhập đến thông tin của cơ quan, cá nhân
khác trên môi trường mạng, trừ trường hợp pháp luật cho phép.
6. Bẻ khóa, trộm cắp, sử dụng mật khẩu, khóa
mật mã và thông tin của cơ quan, cá nhân khác trên môi trường mạng.
7. Các hành vi khác làm mất an toàn, bí mật
thông tin của cơ quan, cá nhân khác được trao đổi, truyền đưa, lưu trữ trên môi
trường mạng.
Chương II
BẢO ĐẢM
AN TOÀN THÔNG TIN MẠNG
Điều 6. Quản lý trang
thiết bị công nghệ thông tin
1. Cá nhân hoặc tập thể có trách nhiệm bảo đảm
an toàn thông tin mạng trong quản lý, sử dụng thiết bị công nghệ thông tin được
giao.
2. Trang thiết bị công nghệ thông tin có lưu
trữ dữ liệu nhạy cảm khi thay đổi mục đích sử dụng hoặc thanh lý, đơn vị phải thực
hiện các biện pháp xóa, tiêu hủy dữ liệu đó đảm bảo không có khả năng phục hồi.
Trường hợp không thể tiêu hủy được dữ liệu, đơn vị phải thực hiện tiêu hủy cấu
phần lưu trữ dữ liệu trên trang thiết bị công nghệ thông tin đó.
3. Trang thiết bị công nghệ thông tin có bộ
phận lưu trữ dữ liệu hoặc thiết bị lưu trữ dữ liệu khi mang đi bảo hành, bảo dưỡng,
sửa chữa bên ngoài hoặc ngừng sử dụng phải tháo bộ phận lưu trữ khỏi thiết bị
hoặc xóa thông tin, dữ liệu lưu trữ trên thiết bị (trừ trường hợp để khôi phục
dữ liệu).
4. Các đơn vị trực thuộc Bộ có trách nhiệm bảo
dưỡng, bảo trì và hướng dẫn cách sử dụng, quản lý, vận hành hệ thống hạ tầng
công nghệ thông tin của mình; chỉ định bộ phận chuyên trách về công nghệ thông
tin thực hiện quản lý, vận hành và định kỳ kiểm tra, sửa chữa, bảo trì thiết bị
(bao gồm thiết bị đang hoạt động và thiết bị dự phòng).
Điều 7. Bảo đảm an
toàn thông tin trong việc quản lý cán bộ, công chức, viên chức và người lao động
1. Các đơn vị trực thuộc Bộ phải xây dựng các
yêu cầu, trách nhiệm bảo đảm an toàn, an ninh thông tin đối với từng vị trí
công việc. Sau khi tuyển dụng, tiếp nhận nhân sự mới, đơn vị phải có trách nhiệm
phổ biến cho nhân sự mới các quy định về bảo đảm an toàn, an ninh thông tin tại
đơn vị; đối với các vị trí tiếp xúc, quản lý các thông tin, dữ liệu quan trọng
hoặc quản trị các hệ thống thông tin quan trọng, đơn vị phải yêu cầu nhân sự mới
cam kết bảo mật thông tin bằng văn bản hoặc cam kết trong hợp đồng làm việc, hợp
đồng lao động.
2. Các đơn vị trực thuộc Bộ phải thường xuyên
tổ chức quán triệt các quy định về an toàn, an ninh thông tin nhằm nâng cao nhận
thức về trách nhiệm bảo đảm an toàn thông tin của từng cá nhân trong đơn vị.
3. Các đơn vị trực thuộc Bộ phải xây dựng quy
trình cấp mới, quản lý và thu hồi tài khoản, phân quyền truy cập các hệ thống
thông tin và tất cả các tài sản liên quan đến hệ thống thông tin đối với các cá
nhân do đơn vị quản lý.
4. Khi cán bộ, công chức, viên chức và người
lao động chấm dứt hoặc thay đổi công việc, cơ quan, đơn vị phải:
a) Xác định rõ trách nhiệm của cán bộ, nhân
viên và các bên liên quan trong quản lý, sử dụng các tài sản công nghệ thông
tin được giao;
b) Lập biên bản bàn giao tài sản công nghệ
thông tin;
c) Thay đổi hoặc thu hồi quyền truy cập các hệ
thống thông tin.
Điều 8. Bảo đảm an
toàn hệ thống công nghệ thông tin
1. Bảo đảm an toàn thông tin đối với trung
tâm dữ liệu/phòng máy chủ:
a) Các thiết bị kết nối mạng, thiết bị bảo mật
quan trọng như tường lửa (firewall), thiết bị định tuyến (router), hệ thống máy
chủ, hệ thống lưu trữ SAN, NAS,... phải được đặt trong trung tâm dữ liệu/phòng
máy chủ và phải được thiết lập cơ chế bảo vệ, theo dõi phát hiện xâm nhập và biện
pháp kiểm soát truy nhập, kết nối vật lý phù hợp với từng khu vực: máy chủ và hệ
thống lưu trữ; tủ mạng và đầu nối; thiết bị nguồn điện và dự phòng điện khẩn cấp;
vận hành, kiểm soát, quản trị hệ thống. Đơn vị vận hành trung tâm dữ liệu/phòng
máy chủ có trách nhiệm xây dựng nội quy hoặc hướng dẫn làm việc khu vực này;
b) Trung tâm dữ liệu/phòng máy chủ là khu vực
hạn chế tiếp cận chỉ những cá nhân có quyền, nhiệm vụ được giao theo quy định mới
được phép vào trung tâm dữ liệu/phòng máy chủ. Việc vào, ra phòng máy chủ phải
được kiểm soát bằng thiết bị bảo vệ (quẹt thẻ, vân tay, sinh trắc học,...);
c) Trung tâm dữ liệu/phòng máy chủ phải được
trang bị hệ thống lưu điện đủ công suất và duy trì thời gian hoạt động của các
máy chủ ít nhất 15 phút khi có sự cố mất điện;
d) Trung tâm dữ liệu/phòng máy chủ phải có hệ
thống làm mát điều hòa không khí, độ ẩm để đảm bảo môi trường vận hành; hệ thống
cảnh báo cháy, hệ thống chữa cháy tự động bằng khí, thiết bị phòng cháy, chữa
cháy khẩn cấp; hệ thống cảnh báo hệ thống nguồn điện; hệ thống chống sét lan
truyền. Các hệ thống này phải được thiết lập chế độ cảnh báo phù hợp. Đơn vị phải
cử cán bộ thường xuyên giám sát thiết bị, hạ tầng của trung tâm dữ liệu/phòng
máy chủ.
2. Bảo đảm an toàn thông tin khi sử dụng máy
tính:
a) Cá nhân chỉ cài đặt phần mềm hợp lệ và thuộc
danh mục phần mềm được phép sử dụng do cơ quan có thẩm quyền ban hành trên máy
tính được đơn vị cấp cho mình; không được tự ý cài đặt hoặc gỡ bỏ các phần mềm
khi chưa có sự đồng ý của bộ phận chuyên trách về công nghệ thông tin; thường
xuyên cập nhật phần mềm và hệ điều hành;
b) Cài đặt phần mềm phòng, chống mã độc có bản
quyền và thiết lập chế độ tự động cập nhật cơ sở dữ liệu cho phần mềm; khi phát
hiện bất kỳ dấu hiệu nào liên quan đến việc bị nhiễm phần mềm độc hại trên máy
tính phải tắt máy và báo trực tiếp cho bộ phận chuyên trách về công nghệ thông
tin để được xử lý kịp thời;
c) Chỉ truy nhập vào các trang/cổng thông tin
điện tử, ứng dụng trực tuyến tin cậy và các thông tin phù hợp với chức năng,
trách nhiệm, quyền hạn của mình; có trách nhiệm bảo mật tài khoản truy nhập
thông tin, không chia sẻ mật khẩu, thông tin cá nhân với người khác.
3. Bảo đảm an toàn thông tin đối với hệ thống
mạng máy tính:
a) Hệ thống mạng nội bộ (LAN) phải được thiết
kế phân vùng theo chức năng cơ bản (theo các chính sách an toàn thông tin
riêng), bao gồm: vùng mạng người dùng; vùng mạng kết nối hệ thống ra bên ngoài
Internet và các mạng khác; vùng mạng máy chủ công cộng; vùng mạng máy chủ nội bộ;
vùng mạng máy chủ quản trị. Dữ liệu trao đổi giữa các vùng mạng phải được quản
lý, giám sát bởi hệ thống các thiết bị mạng, thiết bị bảo mật;
b) Đơn vị trực thuộc Bộ tham gia kết nối, sử
dụng hệ thống mạng diện rộng (WAN) của Bộ Xây dựng có trách nhiệm bảo đảm an
toàn thông tin đối với hệ thống mạng nội bộ và các thiết bị của mình khi thực
hiện kết nối vào mạng diện rộng; Thông báo sự cố hoặc các hành vi phá hoại, xâm
nhập về Trung tâm Thông tin - Bộ Xây dựng để xử lý; Định kỳ sao lưu thông tin,
dữ liệu dùng chung lưu trữ trên mạng diện rộng; Không được tiết lộ phương thức
(tên đăng ký, mật khẩu, tiện ích, tệp hỗ trợ và các cách thức khác) để truy nhập
vào hệ thống mạng diện rộng cho tổ chức, cá nhân khác; Không được tìm cách truy
nhập dưới bất cứ hình thức nào vào các khu vực không được phép truy nhập;
c) Các đơn vị trực thuộc Bộ phải áp dụng các
biện pháp kỹ thuật cần thiết bảo đảm an toàn thông tin trong hoạt động kết nối
Internet, tối thiểu đáp ứng các yêu cầu sau: có hệ thống tường lửa và hệ thống
bảo vệ truy nhập Internet, đáp ứng nhu cầu kết nối đồng thời, hỗ trợ các công
nghệ mạng riêng ảo thông dụng và có phần cứng mã hóa tích hợp để tăng tốc độ mã
hóa dữ liệu và có khả năng bảo vệ hệ thống trước các loại tấn công từ chối dịch
vụ (DDoS); Lọc bỏ, không cho phép truy nhập các trang tin có nghi ngờ chứa mã độc
hoặc các nội dung không phù hợp;
d) Các đường truyền dữ liệu, đường truyền
Internet và các hệ thống dây dẫn các mạng LAN, WAN phải được lắp đặt trong ống,
máng che đậy kín, hạn chế khả năng tiếp cận trái phép. Ngắt kết nối cổng
Ethernet không sử dụng, đặc biệt là ở khu vực làm việc chung của các cơ quan,
đơn vị.
4. Quản lý tài khoản truy cập:
a) Cá nhân sử dụng hệ thống thông tin được cấp
và sử dụng tài khoản truy nhập với định danh duy nhất gắn với cá nhân đó;
b) Trường hợp cá nhân thay đổi vị trí công
tác, chuyển công tác, thôi việc hoặc nghỉ hưu, trong vòng không quá 05 ngày làm
việc sau khi có quyết định của cấp có thẩm quyền thì cơ quan, đơn vị quản lý cá
nhân đó phải thông báo cho cơ quan, đơn vị vận hành hệ thống thông tin bằng văn
bản có xác nhận của thủ trưởng đơn vị để điều chỉnh, thu hồi, hủy bỏ các quyền
sử dụng đối với hệ thống thông tin;
c) Tài khoản quản trị hệ thống (mạng, hệ điều
hành, thiết bị kết nối mạng, phần mềm, ứng dụng, cơ sở dữ liệu) phải tách biệt
với tài khoản truy nhập của người sử dụng thông thường. Tài khoản hệ thống phải
được giao đích danh cá nhân làm công tác quản trị. Hạn chế dùng chung tài khoản
quản trị;
d) Khi có yêu cầu khóa quyền truy cập hệ thống
thông tin của tài khoản đang hoạt động, lãnh đạo đơn vị phải yêu cầu bằng văn bản
gửi đơn vị chủ quản hệ thống thông tin hoặc đơn vị được giao vận hành trực tiếp
hệ thống thông tin để xem xét, thực hiện. Đơn vị vận hành hệ thống thông tin có
quyền khóa quyền truy cập của tài khoản trong trường hợp tài khoản đó thực hiện
các hành vi tấn công hoặc để xảy ra vấn đề mất an toàn, an ninh thông tin;
đ) Việc quản lý tài khoản thư điện tử công vụ
của Bộ Xây dựng theo quy định của Bộ Xây dựng về công tác quản lý và sử dụng hệ
thống thư điện tử. Công tác phòng chống thư rác thực hiện theo quy định tại Nghị
định số 91/2020/NĐ-CP ngày 14/8/2020 và hướng dẫn tại Thông tư số
22/2021/TT-BTTTT ngày 13/12/2021.
5. Bảo đảm an toàn thông tin mức ứng dụng:
a) Yêu cầu về bảo đảm an toàn thông tin phải
được đưa vào tất cả các công đoạn thiết kế, xây dựng, triển khai và vận hành, sử
dụng phần mềm, ứng dụng;
b) Phần mềm, ứng dụng phải đáp ứng các yêu cầu
sau: cấu hình phần mềm, ứng dụng để xác thực người sử dụng; giới hạn số lần
đăng nhập sai liên tiếp; giới hạn thời gian để chờ đóng phiên kết nối; mã hóa
thông tin xác thực trên hệ thống; không khuyến khích việc đăng nhập tự động;
c) Thiết lập, phân quyền truy nhập, quản trị,
sử dụng tài nguyên khác nhau của phần mềm, ứng dụng với người sử dụng/nhóm người
sử dụng có chức năng, yêu cầu nghiệp vụ khác nhau; tách biệt cổng giao tiếp quản
trị phần mềm ứng dụng với cổng giao tiếp cung cấp dịch vụ; đóng các cổng giao
tiếp không sử dụng;
d) Chỉ cho phép sử dụng các giao thức mạng có
hỗ trợ chức năng mã hóa thông tin như SSH, SSL, VPN hoặc tương đương khi truy
nhập, quản trị phần mềm, ứng dụng từ xa trên môi trường mạng; hạn chế truy cập
đến mã nguồn của phần mềm, ứng dụng và phải đặt mã nguồn trong môi trường an
toàn do bộ phận chuyên trách công nghệ thông tin quản lý;
đ) Ghi và lưu giữ bản ghi nhật ký hệ thống của
phần mềm, ứng dụng trong khoảng thời gian tối thiểu 03 tháng với những thông
tin cơ bản: thời gian, địa chỉ, tài khoản (nếu có), nội dung truy nhập và sử dụng
phần mềm, ứng dụng; các lỗi phát sinh trong quá trình hoạt động; thông tin đăng
nhập khi quản trị;
e) Phần mềm, ứng dụng cần được kiểm tra phát
hiện và khắc phục các điểm yếu về an toàn, an ninh thông tin trước khi đưa vào
sử dụng và trong quá trình sử dụng;
g) Thực hiện quy trình kiểm soát cài đặt, cập
nhật, vá lỗi bảo mật phần mềm, ứng dụng trên các máy chủ, máy tính cá nhân, thiết
bị kết nối mạng đang hoạt động thuộc hệ thống mạng nội bộ.
6. Bảo đảm an toàn thông tin mức dữ liệu:
a) Đơn vị phải thực hiện bảo vệ thông tin, dữ
liệu liên quan đến hoạt động công vụ, thông tin có nội dung quan trọng, nhạy cảm
hoặc không phải là thông tin công khai bằng các biện pháp như: thiết lập phương
án bảo đảm tính bí mật, nguyên vẹn và khả dụng của thông tin, dữ liệu; mã hóa
thông tin, dữ liệu khi lưu trữ trên hệ thống/thiết bị lưu trữ dữ liệu di động;
sử dụng chữ ký số để xác thực và bảo mật thông tin, dữ liệu;
b) Đơn vị cần triển khai hệ thống/phương tiện
lưu trữ độc lập với hệ thống lưu trữ trên các máy chủ dịch vụ để sao lưu dự
phòng; phân loại và quản lý thông tin, dữ liệu được lưu trữ theo từng loại/nhóm
thông tin được gán nhãn khác nhau; thực hiện sao lưu dự phòng các thông tin, dữ
liệu cơ bản sau: tập tin cấu hình hệ thống, tập tin sao lưu hệ điều hành máy chủ,
cơ sở dữ liệu; dữ liệu, thông tin nghiệp vụ;
c) Đơn vị cần bố trí máy tính riêng không kết
nối mạng, đặt mật khẩu, mã hóa dữ liệu và các biện pháp bảo mật khác bảo đảm an
toàn thông tin để soạn thảo, lưu trữ dữ liệu, thông tin và tài liệu quan trọng ở
các mức độ mật, tuyệt mật, tối mật;
d) Các đơn vị trực thuộc Bộ phải thường xuyên
kiểm tra, giám sát các hoạt động chia sẻ, gửi, nhận thông tin, dữ liệu trong hoạt
động nội bộ của mình; khuyến cáo việc chia sẻ, gửi, nhận thông tin trên môi trường
mạng cần phải sử dụng mật khẩu để bảo vệ thông tin;
đ) Đối với hoạt động trao đổi thông tin, dữ
liệu với bên ngoài, đơn vị và cá nhân thực hiện trao đổi thông tin, dữ liệu ra
bên ngoài cam kết và có biện pháp bảo mật thông tin, dữ liệu được trao đổi.
Giao dịch trực tuyến phải được truyền đầy đủ, đúng địa chỉ, tránh bị sửa đổi,
tiết lộ hoặc nhân bản một cách trái phép; sử dụng các cơ chế xác thực mạnh, chữ
ký số khi tham gia giao dịch, sử dụng các giao thức truyền thông an toàn.
Điều 9. Xác định cấp
độ và phương án bảo đảm an toàn hệ thống thông tin
1. Việc xác định cấp độ hệ thống thông tin và
xây dựng phương án bảo vệ hệ thống thông tin theo cấp độ phục vụ mục đích đánh
giá an toàn thông tin và bảo đảm an toàn thông tin cho các hệ thống thông tin.
Nguyên tắc bảo đảm an toàn thông tin theo cấp độ và nguyên tắc xác định cấp độ
căn cứ trên các nguyên tắc quy định tại Điều 4, Điều 5 Nghị định
85/2016/NĐ-CP.
2. Chủ quản hệ thống thông tin
a) Chủ quản hệ thống thông tin theo quy định
tại Điều 4 Thông tư số 12/2022/TT-BTTTT của Bộ Thông tin và
Truyền thông.
b) Chủ quản hệ thống thông tin có thể ủy quyền
cho một tổ chức trực thuộc có đủ năng lực để thay mặt thực hiện trách nhiệm của
chủ quản hệ thống thông tin quy định tại khoản 2 Điều 20 Nghị định
85/2016/NĐ-CP. Văn bản ủy quyền theo quy định tại khoản 3 Điều
4 Thông tư số 12/2022/TT-BTTTT.
3. Đơn vị vận hành hệ thống thông tin
a) Trung tâm Thông tin là đơn vị vận hành các
hệ thống thông tin, cơ sở dữ liệu dùng chung của Bộ và các hệ thống thông tin,
cơ sở dữ liệu chuyên ngành khác được giao quản lý, vận hành.
b) Các đơn vị trực thuộc Bộ là chủ quản hệ thống
thông tin chịu trách nhiệm phân công đơn vị vận hành hệ thống thông tin;
c) Các hệ thống thông tin trước khi đưa vào
khai thác, sử dụng phải được giao cho đơn vị quản lý, vận hành. Đơn vị vận hành
hệ thống thông tin theo quy định tại Điều 5 Thông tư số
12/2022/TT-BTTTT.
4. Đơn vị chuyên trách về an toàn thông tin
a) Trung tâm Thông tin là đơn vị chuyên trách
về an toàn thông tin của Bộ Xây dựng;
b) Đơn vị chuyên trách về công nghệ thông tin
tại các đơn vị trực thuộc Bộ đồng thời là đơn vị chuyên trách về an toàn thông
tin.
5. Thẩm quyền xác định cấp độ an toàn hệ thống
thông tin
a) Đơn vị lập hồ sơ đề xuất cấp độ: Đối với
các hệ thống thông tin thuộc các nhiệm vụ, dự án đang trong giai đoạn lập dự
án, đơn vị xây dựng dự án lập hồ sơ đề xuất cấp độ; Đối với các hệ thống thông
tin thuê dịch vụ, đơn vị chủ trì thuê dịch vụ lập hồ sơ đề xuất cấp độ; Đối với
các hệ thống thông tin đang trong giai đoạn triển khai, đơn vị chủ trì triển
khai lập hồ sơ đề xuất cấp độ; Đối với các hệ thống thông tin đang vận hành,
đơn vị vận hành lập hồ sơ đề xuất cấp độ;
b) Đối với các hệ thống thông tin được đề xuất
từ cấp độ 3 trở lên, đơn vị chuyên trách về an toàn thông tin của các đơn vị trực
thuộc Bộ cần gửi xin ý kiến chuyên môn của Trung tâm Thông tin trước khi trình
các cấp có thẩm quyền thẩm định, phê duyệt cấp độ;
c) Thẩm quyền thẩm định và phê duyệt cấp độ
theo quy định tại Điều 12 Nghị định số 85/2016/NĐ-CP.
6. Trình tự, thủ tục xác định cấp độ hệ thống
thông tin
a) Việc xác định, phân loại hệ thống thông
tin theo quy định tại Điều 7 Thông tư số 12/2022/TT-BTTTT;
b) Nội dung của hồ sơ đề xuất cấp độ hệ thống
thông tin theo quy định tại Điều 15 Nghị định 85/2016/NĐ-CP;
c) Nội dung, thời gian thẩm định hồ sơ đề xuất
cấp độ hệ thống thông tin quy định tại Điều 16 Nghị định
85/2016/NĐ-CP;
d) Trình tự, thủ tục xác định cấp độ hệ thống
thông tin theo quy định tại Điều 13, Điều 14 Nghị định
85/2016/NĐ-CP.
7. Phương án bảo đảm an toàn hệ thống thông
tin:
a) Phương án bảo đảm an toàn hệ thống thông
tin phải phù hợp với cấp độ của hệ thống thông tin và đáp ứng yêu cầu quy định
tại Thông tư số 12/2022/TT-BTTTT , phù hợp với tiêu chuẩn TCVN 11930:2017 , các
tiêu chuẩn, quy chuẩn kỹ thuật khác và chính sách an toàn thông tin mạng của Bộ
Xây dựng, chính sách an toàn thông tin mạng của các đơn vị trực thuộc Bộ (nếu
có).
b) Chủ quản hệ thống thông tin hoặc đơn vị được
ủy quyền quản lý trực tiếp hệ thống thông tin tổ chức triển khai phương án bảo
đảm an toàn hệ thống thông tin sau khi hồ sơ đề xuất cấp độ hoặc phương án bảo
đảm an toàn hệ thống được phê duyệt;
c) Đơn vị/bộ phận chuyên trách về an toàn
thông tin thuộc đơn vị chịu trách nhiệm giám sát việc triển khai các phương án
bảo đảm an toàn thông tin đã được phê duyệt.
Điều 10. Bảo đảm an
toàn thông tin khi tiếp nhận, phát triển, vận hành và bảo trì hệ thống thông
tin
1. Khi thực hiện nâng cấp, mở rộng, thay thế
một phần hệ thống thông tin, phải rà soát cấp độ, phương án bảo đảm an toàn của
hệ thống thông tin và thực hiện điều chỉnh, bổ sung hoặc thay mới hồ sơ đề xuất
cấp độ trong trường hợp cần thiết.
2. Khi tiếp nhận, phát triển, nâng cấp, bảo
trì hệ thống thông tin, đơn vị phải tiến hành phân tích, xác định rủi ro có thể
xảy ra, đánh giá phạm vi tác động và phải chuẩn bị các biện pháp hạn chế, loại
trừ các rủi ro này và yêu cầu các bên cung cấp, thi công, các cá nhân liên quan
thực hiện.
3. Trong quá trình vận hành hệ thống thông
tin, đơn vị chủ quản hệ thống thông tin cần thực hiện đánh giá, phân loại hệ thống
thông tin theo cấp độ: triển khai phương án bảo đảm an toàn hệ thống thông tin
đáp ứng yêu cầu cơ bản trong tiêu chuẩn, quy chuẩn kỹ thuật về bảo đảm an toàn
hệ thống thông tin theo cấp độ; thường xuyên kiểm tra, giám sát an toàn hệ thống
thông tin; tuân thủ quy trình vận hành, quy trình xử lý sự cố đã xây dựng; ghi
lại và lưu trữ đầy đủ thông tin nhật ký hệ thống để phục vụ quản lý, kiểm soát
thông tin.
4. Các đơn vị trực thuộc Bộ liên quan đến việc
phát triển phần mềm ứng dụng có trách nhiệm yêu cầu các đối tác (nếu có) thực
hiện các công tác đảm bảo an toàn thông tin, tránh lộ, lọt mã nguồn và dữ liệu,
tài liệu thiết kế, quản trị hệ thống mà đối tác đang xử lý ra bên ngoài.
Điều 11. Giám sát an
toàn thông tin mạng
1. Chủ quản hệ thống thông tin chỉ đạo việc
giám sát đối với các hệ thống thông tin thuộc phạm vi quản lý, phối hợp với
Trung tâm Thông tin của Bộ và các đơn vị chức năng của Bộ Thông tin và Truyền
thông giám sát theo quy định.
2. Nguyên tắc, yêu cầu, nội dung, phương thức,
hệ thống kỹ thuật phục vụ công tác giám sát thực hiện theo quy định tại Thông
tư số 31/2017/TT-BTTTT .
3. Đơn vị chuyên trách về an toàn thông tin của
các đơn vị trực thuộc Bộ cử 01 lãnh đạo đơn vị và 01 cán bộ (hoặc 01 đơn vị trực
thuộc) làm đầu mối giám sát an toàn thông tin mạng đề tiếp nhận cảnh báo, cung
cấp, trao đổi, chia sẻ thông tin với Trung tâm Thông tin trong các hoạt động
giám sát an toàn thông tin tại đơn vị và tại Bộ Xây dựng.
Điều 12. Kiểm tra,
đánh giá an toàn thông tin
1. Chủ quản hệ thống thông tin có thẩm quyền
yêu cầu kiểm tra, đánh giá đối với các hệ thống thông tin thuộc thẩm quyền quản
lý. Đơn vị chuyên trách về an toàn thông tin của chủ quản hệ thống thông tin có
thẩm quyền yêu cầu kiểm tra, đánh giá đối với các hệ thống thông tin do mình
phê duyệt hồ sơ đề xuất cấp độ.
2. Đơn vị chủ trì kiểm tra, đánh giá là đơn vị
được cấp có thẩm quyền giao nhiệm vụ hoặc được lựa chọn để thực hiện việc kiểm
tra, đánh giá. Đối tượng kiểm tra, đánh giá là chủ quản hệ thống thông tin hoặc
đơn vị vận hành hệ thống thông tin và các hệ thống thông tin có liên quan.
3. Nội dung, hình thức kiểm tra, đánh giá
theo quy định tại Điều 11 và Điều 12 của Thông tư số
12/2022/TT-BTTTT.
4. Trung tâm Thông tin của Bộ thực hiện kiểm tra
việc tuân thủ quy định của pháp luật về bảo đảm an toàn hệ thống thông tin theo
cấp độ tại Bộ Xây dựng theo quy định tại Điều 11 và Điều 12 của
Thông tư số 12/2022/TT-BTTTT.
5. Trung tâm Thông tin của Bộ, đơn vị chuyên
trách về an toàn thông tin của các đơn vị trực thuộc Bộ thực hiện việc đánh giá
hiệu quả của các biện pháp bảo đảm an toàn thông tin theo thẩm quyền. Nội dung
đánh giá là cơ sở để điều chỉnh phương án bảo đảm an toàn thông tin cho phù hợp.
Điều 13. Ứng cứu sự cố
an toàn thông tin mạng
1. Ban chỉ đạo, đơn vị chuyên trách ứng cứu
khẩn cấp sự cố an toàn thông tin mạng:
a) Ban Chỉ đạo chuyển đổi số của Bộ Xây dựng
đảm nhiệm chức năng Ban chỉ đạo ứng cứu khẩn cấp sự cố an toàn thông tin mạng của
Bộ Xây dựng. Trách nhiệm và quyền hạn của Ban Chỉ đạo chuyển đổi số của Bộ Xây
dựng được quy định tại Khoản 2, Điều 5 Quyết định số
05/2017/QĐ-TTg;
b) Trung tâm Thông tin là đơn vị chuyên trách
về ứng cứu sự cố an toàn thông tin mạng của Bộ Xây dựng. Bộ phận chuyên trách về
an toàn thông tin mạng tại các đơn vị trực thuộc Bộ đảm nhiệm vai trò chuyên
trách về ứng cứu sự cố an toàn thông tin mạng trong phạm vi quản lý công nghệ
thông tin của đơn vị. Đơn vị chuyên trách về ứng cứu sự cố an toàn thông tin mạng
thực hiện trách nhiệm quy định tại khoản 2 Điều 6 Quyết định số
05/2017/QĐ-TTg;
c) Trung tâm Thông tin trình Bộ thành lập Đội
ứng cứu an toàn thông tin mạng của Bộ và tổ chức ứng cứu sự cố trong phạm vi của
Bộ quản lý. Các đơn vị chuyên trách về ứng cứu sự cố tại các đơn vị trực thuộc
Bộ thành lập Đội ứng cứu sự cố của mình phù hợp với quy mô, tính chất của đơn vị.
2. Kế hoạch ứng phó sự cố bảo đảm an toàn
thông tin mạng:
a) Các đơn vị trực thuộc Bộ tổ chức xây dựng,
phê duyệt kế hoạch ứng phó sự cố cho các hệ thống thông tin do đơn vị trực tiếp
quản lý theo đề cương tại Phụ Lục II Quyết định
số 05/2017/QĐ-TTg (bao gồm các điều chỉnh do Bộ Thông tin và Truyền thông
ban hành nếu có) và tổ chức triển khai kế hoạch sau khi phê duyệt. Đối với các
nội dung trong kế hoạch vượt thẩm quyền quyết định của đơn vị, đơn vị lấy ý kiến
của Trung tâm Thông tin, Vụ Kế hoạch - Tài chính (đối với các nội dung yêu cầu
có kinh phí), báo cáo Bộ xem xét, quyết định.
b) Các kế hoạch ứng phó sự cố sau khi được phê
duyệt phải gửi Trung tâm Thông tin tổng hợp thành kế hoạch chung của Bộ Xây dựng.
Trung tâm Thông tin xây dựng kế hoạch ứng phó sự cố của Bộ Xây dựng, trình Lãnh
đạo Bộ phê duyệt.
3. Quy trình ứng cứu sự cố an toàn thông tin
mạng:
a) Các tổ chức, cá nhân khi phát hiện dấu hiệu
tấn công hoặc sự cố an toàn thông tin mạng cần nhanh chóng báo cho đơn vị vận
hành hệ thống thông tin, đơn vị chủ quản hệ thống thông tin liên quan, Trung
tâm Thông tin. Trung tâm Thông tin có trách nhiệm cập nhật, tổng hợp và báo cáo
đơn vị cơ quan quản lý nhà nước trong trường hợp cần thiết.
b) Khi xảy ra sự cố an toàn thông tin mạng
thuộc loại hình tấn công mạng, đơn vị vận hành hệ thống thông tin thực hiện báo
cáo theo quy định tại Điểm a Khoản 1 Điều 11 Quyết định
05/2017/QĐ-TTg và Điều 9 Thông tư 20/2017/TT-BTTT, đồng
thời báo cáo Trung tâm Thông tin để tổng hợp, báo cáo Ban Chỉ đạo chuyển đổi số
của Bộ Xây dựng. Trách nhiệm của các đơn vị khi phát hiện, tiếp nhận xác minh,
xử lý ban đầu và phân loại sự cố an toàn thông tin mạng theo quy định tại Điều 12 Quyết định 05/2017/QĐ-TTg và Điều 10
Thông tư số 20/2017/TT-BTTTT
c) Quy trình ứng cứu sự cố an toàn thông tin
mạng theo quy định tại Điều 13, Điều 14 Quyết định
05/2017/QĐ-TTg và Điều 11 Thông tư số 20/2017/TT-BTTTT
4. Diễn tập ứng cứu sự cố an toàn thông tin mạng:
a) Chủ quản hệ thống thông tin là các đơn vị
trực thuộc Bộ tổ chức diễn tập ứng cứu sự cố theo kế hoạch ứng phó sự cố được
phê duyệt;
b) Trung tâm Thông tin chủ trì, phối hợp với
các đơn vị trực thuộc Bộ tham gia các cuộc diễn tập quốc gia, quốc tế do Cơ
quan điều phối quốc gia, Bộ Thông tin và Truyền thông tổ chức và tổ chức diễn tập
ứng cứu sự cố trong phạm vi Bộ Xây dựng theo quy định.
Điều 14. Đào tạo, bồi
dưỡng nghiệp vụ, tuyên truyền, phổ biến nâng cao nhận thức về an toàn thông tin
mạng
1. Các đơn vị trực thuộc Bộ xác định nhu cầu
về đào tạo nguồn nhân lực bảo đảm an toàn thông tin tại đơn vị mình gửi Trung
tâm Thông tin để tổng hợp, trình Bộ phê duyệt kế hoạch dài hạn, kế hoạch hàng
năm về đào tạo, bồi dưỡng nghiệp vụ an toàn, an ninh thông tin cho cán bộ, công
chức, viên chức và người lao động của Bộ Xây dựng và thực hiện tổ chức đào tạo
theo kế hoạch đã phê duyệt.
2. Các đơn vị trực thuộc Bộ phải thường xuyên
tổ chức các hoạt động tuyên truyền, phổ biến nâng cao nhận thức về bảo đảm an
toàn thông tin mạng và an ninh mạng đến toàn thể bộ cán bộ, công chức, viên chức
và người lao động tại đơn vị.
3. Trung tâm Thông tin xây dựng trình Bộ kế
hoạch tuyên truyền, phổ biến nâng cao nhận thức về an toàn thông tin mạng và an
ninh mạng tại Bộ Xây dựng và thực hiện các nội dung theo kế hoạch đã được phê
duyệt.
Chương III
BẢO ĐẢM
AN NINH MẠNG
Điều 15. Triển khai
hoạt động bảo vệ an ninh mạng trong cơ quan, đơn vị thuộc Bộ Xây dựng.
1. Nội dung triển khai hoạt động bảo vệ an
ninh mạng bao gồm:
a) Xây dựng phương án bảo đảm an ninh mạng đối
với hệ thống thông tin; Xây dựng cơ chế tự cảnh báo và tiếp nhận cảnh báo về
nguy cơ đe dọa an ninh mạng, sự cố an ninh mạng, điểm yếu, lỗ hổng bảo mật, mã
độc, phần cứng, phần mềm độc hại và đề ra phương án ứng phó, khắc phục khẩn cấp.
b) Ứng dụng, triển khai phương án, biện pháp,
công nghệ bảo vệ an ninh mạng đối với hệ thống thông tin và thông tin, tài liệu
được lưu trữ, soạn thảo, truyền đưa trên hệ thống thông tin thuộc phạm vi quản
lý;
c) Tổ chức bồi dưỡng kiến thức về an ninh mạng
cho cán bộ, công chức, viên chức, người lao động; nâng cao năng lực bảo vệ an
ninh mạng cho lực lượng bảo vệ an ninh mạng;
d) Bảo vệ an ninh mạng trong hoạt động cung cấp
dịch vụ trực tuyến, cung cấp, trao đổi, thu thập thông tin với cơ quan, tổ chức,
cá nhân, chia sẻ thông tin trong nội bộ và với cơ quan khác;
đ) Triển khai kiểm tra an ninh mạng đối với hệ
thống thông tin; phòng, chống hành vi vi phạm pháp luật về an ninh mạng; ứng
phó, khắc phục sự cố an ninh mạng.
e) Chủ trì, phối hợp với lực lượng chuyên
trách bảo vệ an ninh mạng có thẩm quyền thường xuyên thực hiện giám sát an ninh
mạng đối với hệ thống thông tin thuộc phạm vi quản lý.
2. Người đứng đầu cơ quan, đơn vị có trách
nhiệm triển khai hoạt động bảo vệ an ninh mạng thuộc quyền quản lý.
3. Tuân thủ các quy định liên quan khác tại
Luật An ninh mạng
Chương IV
TRÁCH
NHIỆM CỦA CÁC TỔ CHỨC LIÊN QUAN
Điều 16. Trách nhiệm
của Trung tâm Thông tin
1. Thực hiện các trách nhiệm được giao tại Quy
chế này.
2. Hướng dẫn, giám sát, đôn đốc, kiểm tra việc
triển khai và thực hiện Quy chế này tại Bộ Xây dựng.
5. Chủ trì, phối hợp với các đơn vị thuộc Bộ
trong việc xây dựng kế hoạch, báo cáo về an toàn thông tin mạng và an ninh mạng
của Bộ Xây dựng.
6. Bảo đảm an toàn thông tin, an ninh mạng đối
với các hệ thống thông tin, cơ sở dữ liệu dùng chung của Bộ.
Điều 17. Trách nhiệm
của các đơn vị trực thuộc Bộ
1. Thực hiện các trách nhiệm được giao tại Quy
chế này.
2. Tổ chức triển khai thực hiện Quy chế này tại
đơn vị.
3. Thực hiện các báo cáo theo quy định, gửi
Trung tâm Thông tin tổng hợp, báo cáo Bộ.
4. Xây dựng, triển khai Quy chế/nội quy bảo đảm
an toàn, an ninh thông tin tại đơn vị bảo đảm phù hợp với Quy chế này và các
yêu cầu cụ thể của đơn vị.
5. Thực hiện việc quản lý trang thiết bị công
nghệ thông tin và cán bộ, công chức, viên chức, người lao động theo Điều 5 và Điều 6 của Quy chế này.
6. Đối với các Vụ thuộc Bộ: Phối hợp với
Trung tâm Thông tin thực hiện bảo đảm an toàn thông tin, an ninh mạng cho các hệ
thống thông tin, cơ sở dữ liệu dùng chung của Bộ và các hệ thống thông tin do
đơn vị quản lý, vận hành.
Điều 18. Trách nhiệm
của đơn vị chuyên trách về an toàn thông tin
1. Thực hiện trách nhiệm của đơn vị chuyên
trách về an toàn thông tin theo quy định tại Quy chế này và các nhiệm vụ do chủ
quản hệ thống thông tin phân công.
2. Phối hợp chặt chẽ với các bộ phận kỹ thuật
thuộc đơn vị vận hành hệ thống thông tin trong việc bảo đảm an toàn thông tin
trong tất cả các công đoạn liên quan đến hệ thống thông tin.
Điều 19. Trách nhiệm
của chủ quản hệ thống thông tin
1. Thực hiện trách nhiệm của đơn vị chủ quản
hệ thống thông tin theo quy định tại Quy chế này.
2. Chỉ đạo, phân công các đơn vị vận hành các
hệ thống thông tin triển khai công tác bảo đảm an toàn thông tin trong tất cả
các công đoạn liên quan đến hệ thống thông tin.
Điều 20. Trách nhiệm
của đơn vị vận hành hệ thống thông tin
1. Thực hiện trách nhiệm của đơn vị vận hành hệ
thống thông tin theo quy định tại Quy chế này và các nhiệm vụ do chủ quản hệ thống
thông tin phân công.
2. Chỉ đạo, phân công các bộ phận kỹ thuật
thuộc đơn vị (quản lý ứng dụng; quản lý dữ liệu; vận hành hệ thống thông tin;
triển khai và hỗ trợ kỹ thuật) triển khai công tác bảo đảm an toàn thông tin
trong tất cả các công đoạn liên quan đến hệ thống thông tin.
Điều 21. Trách nhiệm
cá nhân
1. Thủ trưởng đơn vị thuộc đối tượng áp dụng của
Quy chế này có trách nhiệm: phổ biến tới từng cán bộ, công chức, viên chức, người
lao động của đơn vị; thường xuyên kiểm tra việc thực hiện Quy chế này tại đơn vị;
chịu trách nhiệm trước pháp luật và Lãnh đạo Bộ Xây dựng về các vi phạm, thất
thoát thông tin, dữ liệu mật thuộc phạm vi quản lý của đơn vị do không tổ chức,
chỉ đạo, kiểm tra cán bộ của đơn vị thực hiện đúng quy định.
2. Cán bộ, công chức, viên chức, người lao động
của Bộ Xây dựng, các đơn vị trực thuộc Bộ và các đơn vị khác thuộc đối tượng áp
dụng của quy định có trách nhiệm: tuân thủ Quy chế; thông báo các vấn đề bất
thường liên quan tới an toàn thông tin cho đơn vị, bộ phận chuyên trách về an
toàn thông tin mạng của đơn vị; chịu trách nhiệm trước pháp luật và Lãnh đạo
đơn vị về các vi phạm, thất thoát dữ liệu mật do không tuân thủ Quy chế.
Chương V
TỔ CHỨC
THỰC HIỆN
Điều 22. Kinh phí thực
hiện
Kinh phí bảo đảm an toàn thông tin mạng và an
ninh mạng được lấy từ nguồn ngân sách nhà nước có trong dự toán hàng năm của Bộ
Xây dựng và từ nguồn kinh phí hợp pháp khác.
Căn cứ vào kế hoạch hàng năm, các đơn vị liên
quan có trách nhiệm xây dựng kế hoạch, đề xuất dự toán cho các hoạt động bảo đảm
an toàn thông tin mạng và an ninh mạng gửi Trung tâm Thông tin để tổng hợp, gửi
Văn phòng Bộ phối hợp với Vụ Kế hoạch - Tài chính thẩm định, trình lãnh đạo Bộ
phê duyệt.
Điều 23. Công tác kiểm
tra
1. Các đơn vị trực thuộc Bộ phải thường xuyên
kiểm tra, theo dõi và đánh giá công tác bảo đảm an toàn thông tin mạng và an
ninh mạng tại cơ quan, đơn vị mình, coi đây là nhiệm vụ thường xuyên của đơn vị.
2. Giao Trung tâm Thông tin chủ trì, phối hợp
với các cơ quan, đơn vị liên quan thực hiện kiểm tra và báo cáo Bộ việc thực hiện
Quy chế này tại các đơn vị trực thuộc Bộ.
Điều 24. Chế độ báo
cáo
1. Báo cáo định kỳ:
a) Báo cáo an toàn thông tin định kỳ hàng năm
gồm các nội dung quy định tại khoản 3 Điều 17 Thông tư
03/2017/TT-BTTTT.
b) Báo cáo hoạt động giám sát của chủ quản hệ
thống thông tin định kỳ 6 tháng theo Mẫu tại Phụ
Lục 2 Thông tư 31/2017/TT-BTTTT.
2. Báo cáo đột xuất: Báo cáo về công tác khắc
phục mã độc, lỗ hổng, điểm yếu, triển khai cảnh báo an toàn thông tin và các
báo cáo đột xuất khác theo yêu cầu của đơn vị chuyên trách về an toàn thông tin
của Bộ hoặc yêu cầu của Lãnh đạo Bộ.
3. Trách nhiệm lập, phê duyệt báo cáo:
a) Các đơn vị trực thuộc Bộ liên quan có
trách nhiệm lập báo cáo định kỳ, đột xuất theo yêu cầu và hướng dẫn của Trung
tâm Thông tin;
b) Trung tâm Thông tin chịu trách nhiệm tập hợp,
tổng hợp báo cáo của các đơn vị, trình Bộ phê duyệt, gửi các cơ quan quản lý
nhà nước về an toàn thông tin.
Điều 25. Khen thưởng,
kỷ luật
1. Kết quả thực hiện Quy chế này là một trong
những tiêu chí có thể sử dụng để đánh giá kết quả thực hiện hàng năm của cá
nhân, đơn vị
2. Đơn vị, cá nhân vi phạm Quy chế này và các
quy định khác của pháp luật về bảo đảm an toàn thông tin mạng và an ninh mạng,
tùy theo tính chất, mức độ vi phạm sẽ bị xử lý kỷ luật hoặc các hình thức xử lý
khác theo quy định của pháp luật; nếu vi phạm gây thiệt hại đến tài sản, thiết
bị, thông tin, dữ liệu thì chịu trách nhiệm bồi thường theo pháp luật hiện
hành.
Điều 26. Trách nhiệm
thi hành
1. Thủ trưởng các đơn vị trực thuộc Bộ có
trách nhiệm phổ biến, quán triệt đến toàn bộ cán bộ, nhân viên trong đơn vị thực
hiện các quy định của Quy chế này.
2. Trong quá trình thực hiện, nếu có những vấn
đề khó khăn, vướng mắc, các đơn vị phản ánh về Trung tâm Thông tin để tổng hợp,
trình Bộ trưởng xem xét, sửa đổi, bổ sung quy chế./.