QUYẾT ĐỊNH

BAN HÀNH QUY ĐỊNH ĐẢM BẢO AN NINH AN TOÀN HỆ THỐNG VÀ DỮ LIỆU; BẢO VỆ DỮ LIỆU CÁ NHÂN TRONG QUÁ TRÌNH KẾT NỐI CHIA SẺ DỮ LIỆU DÂN CƯ TRONG THỰC HIỆN ĐỀ ÁN PHÁT TRIỂN ỨNG DỤNG DỮ LIỆU DÂN CƯ, ĐỊNH DANH VÀ XÁC THỰC ĐIỆN TỬ PHỤC VỤ CHUYỂN ĐỔI SỐ QUỐC GIA GIAI ĐOẠN 2022-2025, TẦM NHÌN ĐẾN NĂM 2030 CỦA CHÍNH PHỦ (ĐỀ ÁN 06) TRÊN ĐỊA BÀN TỈNH QUẢNG NAM

ỦY BAN NHÂN DÂN TỈNH QUẢNG NAM

Căn cứ Luật Tổ chức chính quyền địa phương ngày 19/6/2015; Luật sửa đổi, bổ sung một số điều của Luật Tổ chức chính phủ số 76/2015/QH13 và Luật Tổ chức chính quyền địa phương số 77/2015/QH13 ngày 22/11/2019;

Căn cứ Nghị định số 26/2020/NĐ-CP , ngày 28/02/2020 của Chính phủ quy định chi tiết một số điều của Luật Bảo vệ bí mật nhà nước; Nghị định số 13/2023/NĐ-CP ngày 17/4/2023 của Chính phủ về Bảo vệ dữ liệu cá nhân;

Căn cứ Quyết định số 06/QĐ-TTg , ngày 06/01/2022 của Thủ tướng Chính phủ về phê duyệt Đề án Phát triển ứng dụng dữ liệu dân cư, định danh và xác thực điện tử phục vụ chuyển đổi số quốc gia giai đoạn 2022-2025, tầm nhìn đến năm 2030 của Chính phủ;

Căn cứ Thông tư số 46/2022/TT-BCA ngày 04/11/2022 của Bộ Công an quy định về kết nối, chia sẻ và khai thác thông tin giữa Cơ sở dữ liệu quốc gia về dân cư với cơ sở dữ liệu quốc gia, cơ sở dữ liệu chuyên ngành và hệ thống thông tin khác.

Căn cứ Kế hoạch số 1543/KH-UBND ngày 16/3/2022 của Ủy ban nhân dân tỉnh về Triển khai thực hiện Đề án phát triển ứng dụng dữ liệu dân cư, định danh và xác thực điện tử phục vụ chuyển đổi số quốc gia giai đoạn 2022- 2025, tầm nhìn đến năm 2030;

Theo đề nghị của Công an tỉnh tại Tờ trình số 2322/TTr-CAT-PA06 ngày 02 tháng 06 năm 2023.

QUYẾT ĐỊNH:

Điều 1. Ban hành kèm theo Quyết định này Quy định đảm bảo an ninh an toàn hệ thống và dữ liệu; bảo vệ dữ liệu cá nhân trong quá trình kết nối chia sẻ dữ liệu dân cư trong việc triển khai thực hiện Đề án Phát triển ứng dụng dữ liệu dân cư, định danh và xác thực điện tử phục vụ chuyển đổi số quốc gia giai đoạn 2022-2025, tầm nhìn đến năm 2030 của Chính phủ trên địa bàn tỉnh Quảng Nam.

Điều 2. Quyết định này có hiệu lực thi hành từ ngày ký ban hành.

Điều 3. Chánh Văn phòng Ủy ban nhân dân tỉnh; Giám đốc Công an tỉnh; Thủ trưởng các Sở, Ban, ngành trực thuộc UBND tỉnh, Chủ tịch Ủy ban nhân dân các huyện, thị xã, thành phố và các cơ quan, tổ chức, cá nhân có liên quan chịu trách nhiệm thi hành Quyết định này./.

QUY ĐỊNH

ĐẢM BẢO AN NINH AN TOÀN HỆ THỐNG VÀ DỮ LIỆU; BẢO VỆ DỮ LIỆU CÁ NHÂN TRONG QUÁ TRÌNH KẾT NỐI CHIA SẺ DỮ LIỆU DÂN CƯ TRONG THỰC HIỆN ĐỀ ÁN PHÁT TRIỂN ỨNG DỤNG DỮ LIỆU DÂN CƯ, ĐỊNH DANH VÀ XÁC THỰC ĐIỆN TỬ PHỤC VỤ CHUYỂN ĐỔI SỐ QUỐC GIA GIAI ĐOẠN 2022-2025, TẦM NHÌN ĐẾN NĂM 2030 CỦA CHÍNH PHỦ TRÊN ĐỊA BÀN TỈNH QUẢNG NAM
(Ban hành kèm theo Quyết định số 1218/QĐ-UBND ngày 14 tháng 6 năm 2023 của UBND tỉnh Quảng Nam)

Chương I

QUY ĐỊNH CHUNG

Điều 1. Phạm vi điều chỉnh

Quy định này quy định về hoạt động đảm bảo an ninh, an toàn thông tin hệ thống thiết bị, phương tiện, tiêu chuẩn kỹ thuật quản lý, sử dụng, chế tài xử lý, trách nhiệm của các tổ chức cá nhân trong thực hiện Đề án 06 trên địa bàn tỉnh Quảng Nam.

Điều 2. Đối tượng áp dụng

Quy định này áp dụng đối với các cơ quan, Ban, ngành, đoàn thể, địa phương (gọi tắt là cơ quan, đơn vị, địa phương) và các tổ chức, cá nhân có liên quan trong thực hiện Đề án 06 trên địa bàn tỉnh Quảng Nam.

Điều 3. Giải thích từ ngữ

1. Đề án 06 là đề án về ứng dụng Cơ sở dữ liệu quốc gia về dân cư, hệ thống định danh và xác thực điện tử, thẻ căn cước công dân gắn chíp điện tử trong công cuộc chuyển đổi số quốc gia một cách linh hoạt, sáng tạo để phục vụ 05 nhóm lợi ích, cụ thể: phục vụ giải quyết thủ tục hành chính và cung cấp dịch vụ công trực tuyến; phục vụ phát triển kinh tế xã hội; phục vụ công dân số, hoàn thiện hệ sinh thái; phục vụ kết nối, khai thác bổ sung làm giàu dữ liệu dân cư; phục vụ chỉ đạo điều hành của lãnh đạo các cấp.

2. Kết nối hệ thống được hiểu là các thiết bị phần mềm kết nối trực tiếp vào Hệ thống Cơ sở dữ liệu quốc gia về dân cư qua mạng chuyên dụng của Bộ Công an theo quy định hoặc kết nối trực tiếp vào hạ tầng, nền tảng tích hợp chia sẻ dữ liệu của tỉnh để khai thác Cơ sở dữ liệu quốc gia về dân cư theo hướng dẫn của Bộ Công an, Bộ Thông tin và Truyền thông và Văn phòng Chính phủ.

3. Người được phép nắm giữ thông tin bảo mật là những người có tên được đăng ký tham gia trực tiếp vào Hệ thống thông tin giải quyết thủ tục hành chính; Thủ trưởng cơ quan, đơn vị kết nối vào hệ thống; lãnh đạo, cán bộ thực hiện công tác quản trị hệ thống thuộc Đề án 06.

4. Đảm bảo an ninh, an toàn thông tin hệ thống là các phương tiện, thiết bị, phần mềm phục vụ cho việc kết nối vào hệ thống dữ liệu thuộc Đề án 06 phải được kiểm tra đánh giá an ninh, an toàn thông tin đảm bảo theo các quy định của pháp luật về bảo vệ bí mật nhà nước.

5. Phòng chống thu thập bí mật nhà nước qua hệ thống các phương tiện, thiết bị, phần mềm là hoạt động ngăn chặn không cho các đối tượng sử dụng các thiết bị, phương tiện, phần mềm tấn công vào hệ thống nhằm thu thập thông tin, tài liệu của hệ thống.

6. Nội dung thực hiện an toàn thông tin là sự bảo vệ thông tin số và các hệ thống thông tin tránh bị truy cập, sử dụng, tiết lộ, gián đoạn, sửa đổi hoặc phá hoại trực tiếp nhằm đảm bảo tính nguyên vẹn, tính bảo mật và tính khả dụng của thông tin.

7. Nội dung an ninh thông tin là đảm bảo thông tin trên mạng không gây phương hại đến an ninh quốc gia, trật tự an toàn xã hội, bí mật nhà nước, quyền và lợi ích hợp pháp của tổ chức cá nhân.

8. Nội dung bảo mật thông tin là việc đảm bảo bí mật về thông tin trong hệ thống.

9. Thông tin bảo mật là tất cả các thông tin trên hệ thống, cơ quan, đơn vị khai thác, xác thực thông tin không được cung cấp cho bên thứ ba hoặc sử dụng thông tin bảo mật vì bất kỳ lý do gì.

10. Dữ liệu cá nhân là thông tin dưới dạng ký hiệu, chữ viết, chữ số, hình ảnh, âm thanh hoặc dạng tương tự trên môi trường điện tử gắn liền với một con người cụ thể hoặc giúp xác định một con người cụ thể. Dữ liệu cá nhân bao gồm dữ liệu cá nhân cơ bản và dữ liệu cá nhân nhạy cảm.

11. Bảo vệ dữ liệu cá nhân trong quá trình kết nối chia sẻ dữ liệu dân cư giữa hệ thống thông tin giải quyết thủ tục hành chính trên địa bàn tỉnh Quảng Nam với Cơ sở dữ liệu quốc gia về dân cư và các hệ thống thông tin khác là việc phòng ngừa, phát hiện, ngăn chặn, xử lý hành vi xâm phạm quy định của pháp luật về dữ liệu cá nhân.

Chương II

QUY ĐỊNH VỀ TIÊU CHUẨN KỸ THUẬT VÀ QUẢN LÝ SỬ DỤNG THIẾT BỊ, PHƯƠNG TIỆN PHẦN MỀM THEO ĐỀ ÁN 06

Điều 4. Tiêu chuẩn kỹ thuật cần đáp ứng đối với thiết bị

Điều 5. Quy định về quản lý, sử dụng thiết bị, phần mềm đảm bảo an ninh, an toàn thông tin

1. Phạm vi áp dụng

1.1. Các thiết bị, phương tiện, phần mềm được trang cấp cho các cơ quan, đơn vị, địa phương thực hiện Đề án 06.

1.2. Các thiết bị được các cơ quan, đơn vị, địa phương thực hiện Đề án 06 tự trang bị bổ sung hoặc thay thế để kết nối với hệ thống.

2. Vị trí và các điều kiện đảm bảo khi lắp đặt thiết bị

2.1. Thiết bị phải được đặt ở vị trí nơi làm việc của cơ quan, đơn vị đảm bảo điều kiện về hạ tầng (diện tích, nhiệt độ, độ ẩm...) đảm bảo hoạt động lâu dài của thiết bị, tránh tình trạng không đảm bảo nhiệt độ, độ ẩm, gây hư hỏng các bộ phận phần cứng.

2.2. Không được tự ý di chuyển thiết bị ra khỏi nơi bảo quản khi chưa có sự đồng ý của lãnh đạo cơ quan, đơn vị.

2.3. Thường xuyên vệ sinh sạch sẽ thiết bị và nơi đặt thiết bị.

3. Các hành vi bị nghiêm cấm trong quá trình sử dụng các thiết bị kết nối vào hệ thống của Đề án 06

3.1. Các hành vi bị nghiêm cấm quy định tại Điều 7 Luật An toàn thông tin mạng.

3.2. Tự ý đấu nối thiết bị mạng, thiết bị cấp phát địa chỉ mạng, thiết bị phát sóng như điểm truy cập mạng không dây của cá nhân vào mạng hệ thống Đề án 06 khi chưa được sự đồng ý, hướng dẫn của Công an tỉnh Quảng Nam, trên cùng một thiết bị thực hiện đồng thời truy cập vào mạng nội bộ và truy cập internet bằng thiết bị kết nối internet của cá nhân (USB 3G/4G, điện thoại di động, máy tính bảng, máy tính xách tay...)

3.3. Tự ý thay đổi, gỡ bỏ biện pháp an toàn thông tin (gỡ bỏ phần mềm diệt virus, tắt Window Defender trên hệ điều hành Windows và các phần mềm bảo vệ khác đã được cài đặt) tự ý thay thế, lắp mới, trao đổi thành phần của máy tính phục vụ vào mục đích khác mà không có sự đồng ý hướng dẫn “làm sạch” của Công an tỉnh Quảng Nam.

3.4. Tạo ra, cài đặt, phát tán phần mềm độc hại gây ảnh hưởng đến hoạt động bình thường của hệ thống thông tin. Tự ý cài đặt phần mềm không thuộc danh sách các phần mềm được sử dụng tại Điều 4 của Quy định này.

3.5 Thu thập, sử dụng, tán phát trái phép thông tin cá nhân nằm trong hệ thống, lợi dụng sơ hở, thiếu sót của hệ thống để thu thập, khai thác thông tin công dân.

4. Quản lý sử dụng thiết bị

4.1. Thực hiện theo Luật Bảo vệ bí mật nhà nước ngày 15/11/2018, Nghị định số 26/2020/NĐ-CP ngày 28/02/2020 của Chính phủ; Quyết định số 30/2021/QĐ-UBND của UBND tỉnh Quảng Nam Ban hành Quy chế bảo vệ bí mật nhà nước trên địa bàn tỉnh Quảng Nam.

4.2. Đối với máy tính phục vụ khai thác cập nhật hệ thống Đề án 06 thì quản lý, sử dụng như sau: Ổ đĩa cứng máy tính được quản lý sử dụng như một thiết bị lưu trữ dữ liệu có tính bảo mật cao. Khi bảo hành sửa chữa, không được tự ý mang ổ đĩa cứng ra khỏi cơ quan, đơn vị. Khi ổ đĩa cứng hỏng hoặc chuyển đổi mục đích sử dụng, mang đi bảo hành phải trao đổi Công an tỉnh để được hướng dẫn thực hiện theo quy định.

4.3. Lãnh đạo cơ quan, đơn vị phải bố trí cán bộ và gắn trách nhiệm trực tiếp cho việc quản lý sử dụng thiết bị đảm bảo an ninh an toàn theo quy định, định kỳ cập nhật phần mềm.

4.4. Máy tính và các thiết bị ngoại vi trước khi kết nối vào hệ thống phải được Công an tỉnh kiểm tra an ninh, an toàn thông tin.

4.5. Quá trình sử dụng, cán bộ quản lý không được tự ý thay đổi các tham số cài đặt trên thiết bị (địa chỉ IP, quy tắc an ninh, an toàn thông tin...). Trường hợp cần thiết phải thay đổi, cán bộ có trách nhiệm báo cáo cơ quan, đơn vị, có văn bản trao đổi thông báo Công an tỉnh để xử lý (trường hợp tự ý thay đổi khi không được sự đồng ý của các đơn vị chức năng sẽ bị xử lý trách nhiệm theo quy định).

4.6. Khi phát hiện các thiết bị gặp sự cố hỏng hóc, có dấu hiệu, nguy cơ mất an ninh, an toàn thông tin, cán bộ quản lý báo cáo cơ quan, đơn vị để thông báo ngay Công an tỉnh ghi nhận sự cố.

4.7. Thường xuyên cập nhật phần mềm diệt virus, hệ điều hành, phần mềm chuyên dụng... theo sự hướng dẫn của Công an tỉnh Quảng Nam.

4.8. Quản lý hệ thống phần mềm kết nối vào Hệ thống Cơ sở dữ liệu quốc gia về dân cư:

- Các hệ thống thông tin kết nối Cơ sở dữ liệu quốc gia về dân cư phải đảm bảo các điều kiện về an ninh, an toàn mạng theo quy định của Bộ công an, Bộ Thông tin và Truyền thông, có hồ sơ đề xuất cấp độ được thẩm định và phê duyệt, triển khai đầy đủ phương án đảm bảo an toàn Hệ thống thông tin theo cấp độ.

- Phải có phương án đảm bảo an toàn thông tin đáp ứng các yêu cầu an toàn cấp độ 3 trở lên theo quy định tại Điều 19 Nghị định số 85/2016/NĐ-CP của Chính phủ, Thông tư số 12/2012/TT-BTTTT của Bộ Thông tin và Truyền thông và tiêu chuẩn Quốc gia TCVN 11930:2017 về Công nghệ thông tin - Các kỹ thuật an toàn - Yêu cầu cơ bản về an toàn Hệ thống thông tin theo cấp độ.

- Hệ thống thông tin phải được kiểm tra, đánh giá an toàn thông tin bởi các cơ quan, đơn vị chức năng của Bộ Công an, Bộ Thông tin và Truyền Thông trước khi kết nối, chia sẻ dữ liệu với Cơ sở dữ liệu quốc gia về dân cư và khi có thay đổi về thiết kế hệ thống.

4.9. Tuân thủ nghiêm, đầy đủ các yêu cầu và bảo mật an toàn thông tin. Chỉ cán bộ có tài khoản mới được khai thác thông tin từ cơ sở dữ liệu và phải thực hiện đúng quyền, nghĩa vụ theo quy định.

4.10. Cán bộ đăng ký tài khoản chỉ sử dụng dữ liệu được khai thác từ hệ thống đúng mục đích. Không thực hiện các hành vi cố ý gây thiệt hại, mất mát, lộ lọt thông tin trong hệ thống. Không tự ý truy cập hệ thống, thực hiện các chức năng nằm ngoài quyền hạn khai thác, tấn công hoặc lợi dụng các vấn đề, điểm yếu an ninh trong kết nối hệ thống.

4.11. Có trách nhiệm bảo vệ các thông tin trong khi sử dụng, lưu trữ, truyền tải, trước các hành động truy cập sử dụng trái phép.

4.12. Có trách nhiệm đảm bảo an ninh an toàn cho những thông tin (dữ liệu, tài khoản...) nhận được, khai thác được từ hệ thống, đảm bảo không có cán bộ nào liên quan tiết lộ, sử dụng lưu trữ mô phỏng hoặc sao chép thông tin phục vụ cho mục đích cá nhân.

5. Quản lý sử dụng tài khoản/USB Token truy cập phần mềm hệ thống

5.1. Các tổ chức, cá nhân quản lý, sử dụng thiết bị, phần mềm đảm bảo an ninh, an toàn thông tin phải có bản cam kết đảm bảo An ninh an toàn và bảo mật thông tin trong kết nối đến Cơ sở dữ liệu quốc gia về dân cư.

5.2. Lãnh đạo các cơ quan, đơn vị, địa phương chịu trách nhiệm quản lý, phân công cán bộ trực tiếp sử dụng tài khoản/USB Token và áp dụng các biện pháp đảm bảo an ninh, an toàn thông tin dữ liệu hệ thống. Phân quyền truy cập cho cán bộ đăng ký tài khoản sử dụng dữ liệu được khai thác từ hệ thống để đảm bảo cán bộ sử dụng tài khoản không vượt quá quyền, chức năng, nhiệm vụ và tránh để xảy ra tình trạng tự ý truy cập hệ thống, thực hiện các chức năng nằm ngoài quyền hạn khai thác.

5.3. Cán bộ được phân công quản lý, sử dụng tài khoản quản trị (Admin) phải được thủ trưởng đơn vị trực tiếp giao bằng văn bản.

5.4. Cán bộ sử dụng phần mềm kết nối hệ thống có trách nhiệm:

- Quản lý tài khoản, mật khẩu sử dụng, thường xuyên thực hiện thay đổi mật khẩu tài khoản đảm bảo an ninh, an toàn thông tin, nghiêm cấm việc cung cấp tài khoản truy cập, cho người khác hoặc sử dụng tài khoản của người khác trái quy định.

- Không sử dụng tài khoản vượt quá quyền, chức năng nhiệm vụ. Trường hợp phát hiện cá nhân tổ chức sử dụng tài khoản với mục đích cá nhân kịp thời báo cáo lãnh đạo xử lý theo quy định.

- Sau khi sử dụng xong và không còn thao tác trên hệ thống, cán bộ tiến hành đăng xuất, thoát khỏi phiên làm việc, khóa thiết bị trước khi rời khỏi vị trí thiết bị.

- Lãnh đạo các cơ quan, đơn vị, địa phương thường xuyên kiểm tra việc quản lý tài khoản và sử dụng phần mềm thuộc hệ thống của cán bộ được giao nhiệm vụ đảm bảo an ninh, an toàn thông tin, xử lý các trường hợp để lộ lọt tài khoản mật khẩu và dữ liệu được lưu trữ trên hệ thống.

6. Quản lý dữ liệu đảm bảo an ninh, an toàn thông tin

6.1. Lãnh đạo các đơn vị, địa phương chịu trách nhiệm trực tiếp đảm bảo an ninh, an toàn thông tin, bảo mật dữ liệu liên quan đến thông tin công dân trên phần mềm, máy trạm, thiết bị lưu trữ thuộc hệ thống và chịu trách nhiệm theo quy định của Pháp luật nếu xảy ra vi phạm.

6.2. Cán bộ được giao tài khoản sử dụng truy cập hệ thống có trách nhiệm quản lý dữ liệu thuộc hệ thống. Cán bộ sử dụng khai thác dữ liệu thông tin hệ thống phải cam kết bảo vệ bí mật nhà nước và chịu trách nhiệm nếu để xảy ra sai phạm.

7. Kiểm tra giám sát

Thủ trưởng các cơ quan, đơn vị thường xuyên theo dõi, xây dựng kế hoạch kiểm tra định kỳ và đột xuất, trong đó thực hiện kiểm tra quá trình sử dụng thiết bị, phần mềm... đảm bảo an ninh, an toàn thông tin kết nối hệ thống.

Chương III

QUY ĐỊNH VỀ VIỆC KẾT NỐI, CHIA SẺ, KHAI THÁC THÔNG TIN VÀ BẢO VỆ DỮ LIỆU CÁ NHÂN TRONG CƠ SỞ DỮ LIỆU QUỐC GIA VỀ DÂN CƯ

Điều 6. Phương thức kết nối, chia sẻ thông tin giữa Cơ sở dữ liệu quốc gia về dân cư với Hệ thống thông tin giải quyết thủ tục hành chính cấp tỉnh và các hệ thống thông tin khác.

1. Việc kết nối, chia sẻ thông tin giữa Cơ sở dữ liệu quốc gia về dân cư với Hệ thống thông tin giải quyết thủ tục hành chính cấp tỉnh, Hệ thống thông tin khác được thực hiện thông qua nền tảng tích hợp, chia sẻ dữ liệu quốc gia, trục liên thông văn bản quốc gia, các nền tảng kết nối, tích hợp khác theo quy định của pháp luật.

2. Phương thức kết nối thông qua giao diện lập trình ứng dụng.

Điều 7. Điều kiện kết nối với Cơ sở dữ liệu quốc gia về dân cư.

1. Hệ thống thông tin của các cơ quan, tổ chức kết nối với Cơ sở dữ liệu quốc gia về dân cư phải đáp ứng các yêu cầu bảo đảm an toàn hệ thống thông tin cấp độ 3 trở lên theo quy định pháp luật về bảo đảm an toàn hệ thống thông tin theo cấp độ.

2. Trước khi thực hiện kết nối hoặc sau khi thực hiện kết nối với Cơ sở dữ liệu quốc gia về dân cư mà hệ thống thông tin của các cơ quan, tổ chức có sự điều chỉnh, thay đổi về thiết kế hệ thống thì phải được kiểm tra, đánh giá an ninh, an toàn thông tin. Việc kiểm tra, đánh giá được tiến hành bằng các thiết bị, phần mềm nghiệp vụ của lực lượng Công an nhân dân; nội dung kiểm tra, đánh giá gồm:

2.1. Việc thiết lập cấu hình bảo mật trên thiết bị hệ thống, máy chủ, ứng dụng và cơ sở dữ liệu;

2.2. Phát hiện mã độc, lỗ hổng, điểm yếu, thử nghiệm xâm nhập hệ thống đối với thiết bị hệ thống, máy chủ và ứng dụng;

2.3. An toàn thông tin cho mã nguồn ứng dụng;

2.4. An ninh, an toàn phần cứng;

2.5. Việc ban hành các quy định, chính sách quản lý tài khoản, ra, vào khu vực máy chủ, quản lý mật khẩu các tài khoản quản trị, quản lý truy cập, các văn bản thỏa thuận về quyền, nghĩa vụ, trách nhiệm của chủ thể tham gia quản lý, vận hành, cung cấp dịch vụ đối với hệ thống thông tin.

3. Đối với các hệ thống thông tin của Bộ Quốc phòng quản lý, cơ quan quản lý Cơ sở dữ liệu quốc gia về dân cư Bộ Công an có trách nhiệm phối hợp, hướng dẫn đơn vị chuyên môn của Bộ Quốc phòng thực hiện việc đánh giá, kiểm tra an ninh, an toàn thông tin theo quy định tại khoản 2 Điều này.

4. Cục An ninh mạng và phòng chống tội phạm sử dụng công nghệ cao chủ trì, phối hợp với Cục Kỹ thuật nghiệp vụ, cơ quan quản lý Cơ sở dữ liệu quốc gia về dân cư Bộ Công an và đơn vị có liên quan thực hiện:

4.1. Kiểm tra, đánh giá an ninh, an toàn thông tin của hệ thống thông tin có yêu cầu kết nối với Cơ sở dữ liệu quốc gia về dân cư trước khi kết nối và có văn bản xác nhận việc bảo đảm an ninh, an toàn thông tin; trường hợp các hệ thống thông tin có yêu cầu kết nối với Cơ sở dữ liệu quốc gia về dân cư đã được kết nối với nền tảng định danh và xác thực điện tử thì không phải kiểm tra, đánh giá an ninh, an toàn thông tin theo quy định tại khoản 2 Điều này.

4.2. Kiểm tra, đánh giá đột xuất việc bảo đảm an ninh, an toàn thông tin của hệ thống thông tin kết nối với Cơ sở dữ liệu quốc gia về dân cư theo nội dung quy định tại khoản 2 Điều này.

4.3. Kiểm tra, đánh giá định kỳ (01 lần trong 01 năm) bảo đảm an ninh, an toàn thông tin của hệ thống thông tin kết nối với Cơ sở dữ liệu quốc gia về dân cư theo nội dung quy định tại khoản 2 Điều này; trừ hệ thống thông tin do Bộ Quốc phòng quản lý; hệ thống thông tin đã được chia sẻ trực tuyến dữ liệu về giám sát an ninh mạng, an toàn thông tin cho Bộ Công an hoặc hệ thống thông tin đã được cơ quan có thẩm quyền tiến hành kiểm tra, đánh giá, xác nhận việc bảo đảm an ninh, an toàn không quá 01 năm theo quy định pháp luật về bảo đảm an toàn hệ thống thông tin theo cấp độ.

Điều 8. Quy trình thực hiện kết nối giữa Cơ sở dữ liệu quốc gia về dân cư với Hệ thống thông tin giải quyết thủ tục hành chính cấp tỉnh và các hệ thống thông tin khác.

1. Cơ quan, tổ chức quản lý hệ thống thông tin có văn bản đề nghị kết nối với Cơ sở dữ liệu quốc gia về dân cư gửi cơ quan quản lý Cơ sở dữ liệu quốc gia về dân cư Bộ Công an. Văn bản đề nghị kết nối gồm các nội dung sau: Đơn vị đăng ký; chức năng, nhiệm vụ, quyền hạn được giao; tên hệ thống thông tin, cơ sở dữ liệu đề nghị được kết nối, chia sẻ; thông tin cán bộ phụ trách kết nối, chia sẻ và khai thông tin; mục đích, phạm vi, nội dung thông tin, số lượng trường thông tin cần chia sẻ; dịch vụ đăng ký sử dụng trong Cơ sở dữ liệu quốc gia về dân cư, tài liệu mô tả kỹ thuật thành phần hệ thống có kết nối với Cơ sở dữ liệu quốc gia về dân cư.

2. Ngay sau khi nhận được văn bản đề nghị, cơ quan quản lý Cơ sở dữ liệu quốc gia về dân cư Bộ Công an thực hiện:

2.1. Cung cấp tài liệu kỹ thuật phục vụ kết nối, chia sẻ, khai thác thông tin trong Cơ sở dữ liệu quốc gia về dân cư cho cơ quan, tổ chức có đề nghị kết nối.

2.2. Hỗ trợ các cơ quan, tổ chức thực hiện kết nối, điều chỉnh phần mềm và kiểm thử kỹ thuật các dịch vụ chia sẻ, khai thác thông tin trong Cơ sở dữ liệu quốc gia về dân cư.

2.3. Phối hợp với Cục An ninh mạng và phòng chống tội phạm sử dụng công nghệ cao, Cục Kỹ thuật nghiệp vụ thuộc Bộ Công an và đơn vị có liên quan tiến hành kiểm tra, đánh giá việc bảo đảm an ninh, an toàn thông tin hệ thống thông tin của cơ quan, tổ chức có đề nghị kết nối.

Điều 9. Lưu trữ nhật ký kết nối, chia sẻ, khai thác thông tin.

1. Cơ quan quản lý Cơ sở dữ liệu quốc gia về dân cư Bộ Công an và cơ quan, tổ chức có các hoạt động kết nối, chia sẻ và khai thác thông tin với Cơ sở dữ liệu quốc gia về dân cư có trách nhiệm lưu lại nhật ký thực hiện kết nối, chia sẻ, khai thác thông tin để phục vụ công tác theo dõi, kiểm tra, giám sát.

2. Thời hạn tối thiểu lưu trữ nhật ký về kết nối, chia sẻ, khai thác thông tin trong hệ thống Cơ sở dữ liệu quốc gia về dân cư là 02 năm kể từ thời điểm thực hiện việc kết nối, chia sẻ, khai thác thông tin.

Điều 10. Nguyên tắc bảo vệ thông tin dữ liệu cá nhân và khai thác sử dụng thông tin, dữ liệu cá nhân, xử lý vi phạm quy định bảo vệ dữ liệu cá nhân.

1. Cá nhân bảo vệ thông tin, dữ liệu cá nhân của mình và tuân thủ quy định của pháp luật về cung cấp thông tin, dữ liệu cá nhân khi sử dụng dịch vụ trong hệ thống cơ sở dữ liệu quốc gia về dân cư. Dữ liệu cá nhân được xử lý theo quy định của pháp luật.

2. Cơ quan, tổ chức, cá nhân xử lý thông tin, dữ liệu cá nhân có trách nhiệm bảo đảm an toàn thông tin đối với thông tin, dữ liệu do mình xử lý phải xây dựng và công bố công khai biện pháp xử lý, bảo vệ thông tin, dữ liệu cá nhân của tổ chức, cá nhân mình.

3. Không được cung cấp, chia sẻ, thông tin, dữ liệu cá nhân mà mình đã khai thác, sử dụng cho bên thứ ba, trừ trường hợp có sự đồng ý của chủ thể thông tin, dữ liệu cá nhân đó hoặc theo yêu cầu của cơ quan nhà nước có thẩm quyền.

4. Dữ liệu cá nhân được áp dụng các biện pháp bảo vệ, bảo mật trong quá trình xử lý, bao gồm cả việc bảo vệ trước các hành vi vi phạm quy định về bảo vệ dữ liệu cá nhân và phòng, chống sự mất mát, phá hủy hoặc thiệt hại do sự cố, sử dụng các biện pháp kỹ thuật.

5. Cơ quan, tổ chức, cá nhân vi phạm quy định bảo vệ dữ liệu cá nhân tùy theo mức độ có thể bị xử lý kỷ luật, xử phạt vi phạm hành chính, xử lý hình sự theo quy định.

Điều 11. Bảo đảm an toàn thông tin, dữ liệu cá nhân, hành vi bị nghiêm cấm

1. Tổ chức, cá nhân xử lý thông tin, dữ liệu cá nhân phải áp dụng biện pháp quản lý, kỹ thuật phù hợp để bảo vệ thông tin, dữ liệu cá nhân do mình thu thập, lưu trữ; tuân thủ các tiêu chuẩn, quy chuẩn kỹ thuật và bảo đảm an toàn thông tin.

2. Khi xảy ra hoặc có nguy cơ xảy ra sự cố an toàn thông tin, tổ chức, cá nhân xử lý thông tin, dữ liệu cá nhân cần áp dụng biện pháp khắc phục, ngăn chặn trong thời gian sớm nhất.

3. Xử lý dữ liệu cá nhân trái với quy định của pháp luật về bảo vệ dữ liệu cá nhân.

4. Xử lý dữ liệu cá nhân để tạo ra thông tin, dữ liệu nhằm chống lại nhà nước Cộng hòa xã hội chủ nghĩa Việt Nam.

5. Xử lý dữ liệu cá nhân để tạo ra thông tin, dữ liệu gây ảnh hưởng tới an ninh quốc gia, trật tự an toàn xã hội, quyền và lợi ích hợp pháp của tổ chức, cá nhân khác.

6. Cản trở hoạt động bảo vệ dữ liệu cá nhân của cơ quan có thẩm quyền.

7. Lợi dụng hoạt động bảo vệ dữ liệu cá nhân để vi phạm pháp luật.

Chương IV

TRÁCH NHIỆM CỦA CÁC TỔ CHỨC CÁ NHÂN VÀ KHEN THƯỞNG, XỬ LÝ VI PHẠM

Điều 12. Trách nhiệm của các tổ chức cá nhân

1. Tuyên truyền, nâng cao nhận thức cho Lãnh đạo, cán bộ, công nhân viên chức tại các cơ quan, đơn vị về đảm bảo an ninh, an toàn thông tin theo quy định của Luật Bảo vệ bí mật nhà nước.

2. Thủ trưởng các cơ quan, đơn vị chịu trách nhiệm chỉ đạo, rà soát, nâng cao hạ tầng Công nghệ thông tin của đơn vị đảm bảo các yêu cầu về an toàn an ninh mạng; xây dựng hồ sơ đề xuất cấp độ an toàn thông tin đối với các hệ thống được giao chủ quản và tổ chức triển khai theo hồ sơ được duyệt; ban hành quy chế đảm bảo an toàn thông tin tại đơn vị, chịu trách nhiệm trước Trưởng Ban chỉ đạo về vấn đề quản lý, sử dụng vận hành hệ thống của cơ quan, đơn vị khi kết nối vào hệ thống thuộc Đề án 06.

3. Thường xuyên kiểm tra, đề xuất kiểm tra an ninh, an toàn thông tin; phối hợp với các đơn vị có liên quan trong Công an tỉnh và Sở Thông tin và Truyền thông để kiểm tra an ninh, an toàn thông tin xử lý các sự cố có liên quan.

Điều 13. Khen thưởng và xử lý vi phạm

1. Cơ quan đơn vị, cá nhân có thành tích trong việc thực hiện Đề án 06 thì được khen thưởng theo quy định của Pháp luật.

2. Nếu vi phạm Quy định này và các quy định khác của Pháp luật trong việc tham gia thực hiện Đề án 06 thì tùy theo tính chất, mức độ, hậu quả của sai phạm sẽ bị xử lý kỷ luật, vi phạm hành chính hoặc truy cứu trách nhiệm hình sự theo quy định của pháp luật.

Chương V

TỔ CHỨC THỰC HIỆN

Điều 14. Trách nhiệm thi hành

1. Căn cứ vào nội dung Quy định này, lãnh đạo các cơ quan, đơn vị, địa phương khẩn trương tổ chức thực hiện các phần công việc được phân công, kịp thời tháo gỡ những khó khăn, vướng mắc, phát hiện sơ hở, thiếu sót trong việc đảm bảo an ninh, an toàn thông tin các thiết bị kết nối hệ thống.

2. Sở Thông tin và Truyền thông tỉnh xây dựng tài liệu hướng dẫn sử dụng, thực hiện các dịch vụ khai thác thông tin trong Cơ sở dữ liệu quốc gia về dân cư và các hệ thống thông tin khác với hệ thống thông tin giải quyết thủ tục hành chính trên địa bàn tỉnh Quảng Nam; quá trình thao tác, sử dụng các chức năng, thực hiện kết nối, chia sẻ giữa các hệ thống thông tin, nếu phát sinh sự cố cần xử lý, hỗ trợ, giải đáp vướng mắc các cơ quan, tổ chức, các nhân liên hệ Sở Thông tin và Truyền thông để thực hiện.

3. Công an tỉnh chủ trì, phối hợp với Sở Thông tin và Truyền thông và các đơn vị có liên quan thành lập Đoàn kiểm tra, định kỳ kiểm tra tại các đơn vị, địa phương theo kế hoạch; theo dõi, hướng dẫn, kiểm tra việc chấp hành quy định này, kết quả kiểm tra các quy định phải đánh giá ưu điểm, hạn chế, phát hiện những sơ hở, thiếu sót, lỗ hổng và kiến nghị các biện pháp khắc phục, xử lý kỷ luật (nếu có) và được thể hiện bằng văn bản. Trong quá trình thực hiện, nếu có khó khăn, vướng mắc, kịp thời báo cáo Ủy ban nhân dân tỉnh (qua Công an tỉnh) để theo dõi, chỉ đạo hoặc điều chỉnh, bổ sung cho phù hợp./.