|
BỘ KẾ HOẠCH VÀ
ĐẦU TƯ
-------
|
CỘNG HÒA XÃ HỘI
CHỦ NGHĨA VIỆT NAM
Độc lập - Tự do - Hạnh phúc
---------------
|
|
Số: 1318/QĐ-BKHĐT
|
Hà Nội, ngày 03
tháng 6 năm 2024
|
QUYẾT ĐỊNH
BAN
HÀNH QUY CHẾ BẢO ĐẢM AN TOÀN, AN NINH MẠNG VÀ BẢO VỆ DỮ LIỆU CÁ NHÂN CỦA BỘ KẾ
HOẠCH VÀ ĐẦU TƯ
BỘ TRƯỞNG BỘ KẾ HOẠCH VÀ ĐẦU TƯ
Căn cứ Luật An toàn thông tin mạng ngày 19 tháng
11 năm 2015;
Căn cứ Luật An ninh mạng ngày 12 tháng 6 năm
2018;
Căn cứ Luật Bảo vệ bí mật nhà nước ngày 15 tháng
11 năm 2018;
Căn cứ Nghị định số 85/2016/NĐ-CP ngày 01 tháng
7 năm 2016 của Chính phủ về bảo đảm an toàn hệ thống thông tin theo cấp độ;
Căn cứ Nghị định số 142/2016/NĐ-CP ngày 14 tháng
10 năm 2016 của Chính phủ ngăn chặn xung đột thông tin trên mạng;
Căn cứ Nghị định số 53/2022/NĐ-CP ngày 15 tháng
8 năm 2022 của Chính phủ quy định chi tiết một số điều của Luật An ninh mạng;
Căn cứ Nghị định số 13/2023/NĐ-CP ngày 17 tháng
4 năm 2023 của Chính phủ về bảo vệ dữ liệu cá nhân;
Căn cứ Nghị định số 89/2022/NĐ-CP ngày 28 tháng
10 năm 2022 của Chính phủ quy định chức năng, nhiệm vụ, quyền hạn và cơ cấu tổ
chức của Bộ Kế hoạch và Đầu tư;
Căn cứ Quyết định số 05/2017/QĐ-TTg ngày 16 tháng
3 năm 2017 của Thủ tướng Chính phủ ban hành Quy định về hệ thống phương án ứng
cứu khẩn cấp bảo đảm an toàn thông tin mạng quốc gia;
Căn cứ Thông tư số 20/2017/TT-BTTTT ngày 12
tháng 9 năm 2017 của Bộ trưởng Bộ Thông tin và Truyền thông quy định về điều phối,
ứng cứu sự cố an toàn thông tin mạng trên toàn quốc;
Căn cứ Thông tư số 31/2017/TT-BTTTT ngày 15
tháng 11 năm 2017 của Bộ trưởng Bộ Thông tin và Truyền thông quy định hoạt động
giám sát an toàn hệ thống thông tin;
Căn cứ Thông tư số 12/2022/TT-BTTTT ngày 12
tháng 8 năm 2022 của Bộ trưởng Bộ Thông tin và Truyền thông quy định chi tiết
và hướng dẫn một số điều của Nghị định số 85/2016/NĐ-CP ngày 01/7/2016 về bảo đảm
an toàn hệ thống thông tin theo cấp độ;
Theo đề nghị của Giám đốc Trung tâm Công nghệ
thông tin và chuyển đổi số.
QUYẾT ĐỊNH:
Điều 1. Ban hành kèm theo
Quyết định này Quy chế bảo đảm an toàn, an ninh mạng và bảo vệ dữ liệu cá nhân
của Bộ Kế hoạch và Đầu tư.
Điều 2. Quyết định này có
hiệu lực thi hành kể từ ngày ký, thay thế Quyết định số 1709/QĐ-BKHĐT ngày
24/12/2021 và Quyết định số 2421/QĐ-BKHĐT ngày 30/12/2022 của Bộ trưởng Bộ Kế
hoạch và Đầu tư.
Điều 3. Giám đốc Trung tâm
Công nghệ thông tin và chuyển đổi số, Chánh Văn phòng Bộ, Người đứng đầu các
đơn vị thuộc Bộ chịu trách nhiệm thi hành Quyết định này./.
|
Nơi nhận:
- Như Điều 3;
- Các đồng chí Thứ trưởng;
- Văn phòng Đảng ủy - Công đoàn Bộ;
- Đoàn Thanh niên Bộ;
- Lưu: VT, CNTT.
|
BỘ TRƯỞNG
Nguyễn Chí Dũng
|
QUY CHẾ
BẢO
ĐẢM AN TOÀN, AN NINH MẠNG VÀ BẢO VỆ DỮ LIỆU CÁ NHÂN CỦA BỘ KẾ HOẠCH VÀ ĐẦU TƯ
(Kèm theo Quyết định số 1318/QĐ-BKHĐT ngày 03 tháng 6 năm 2024 của Bộ trưởng
Bộ Kế hoạch và Đầu tư)
Chương I
QUY ĐỊNH CHUNG
Điều 1. Phạm vi điều chỉnh và
đối tượng áp dụng
1. Phạm vi điều chỉnh
Quy chế này quy định về công tác bảo đảm an toàn,
an ninh mạng và bảo vệ dữ liệu cá nhân của Bộ Kế hoạch và Đầu tư.
2. Đối tượng áp dụng
Quy chế này được áp dụng với các đơn vị, tổ chức,
cá nhân thuộc Bộ Kế hoạch và Đầu tư, các tổ chức, cá nhân trực tiếp tham gia hoặc
có liên quan đến công tác bảo đảm an toàn, an ninh mạng và bảo vệ dữ liệu cá
nhân của Bộ Kế hoạch và Đầu tư.
Điều 2. Giải thích từ ngữ
1. “Đơn vị chuyên trách về an toàn, an ninh mạng
của Bộ”; “Đơn vị đầu mối về bảo vệ dữ liệu cá nhân của Bộ” là Trung tâm Công
nghệ thông tin và chuyển đổi số, Bộ Kế hoạch và Đầu tư.
2. “Đơn vị quản lý, vận hành hệ thống thông tin”
là tổ chức, đơn vị được giao quản lý, vận hành đối với hệ thống thông tin.
3. “WPA2-Enterprise” là kiểu xác thực mạng
không dây, sử dụng tên và mật khẩu để đăng nhập.
4. “Mật khẩu mạnh” là một chuỗi có tối thiểu
08 ký tự, bao gồm chữ thường, chữ in hoa, ký tự đặc biệt, chữ số và được thay đổi
định kỳ chậm nhất 90 ngày sử dụng.
5. “Máy tính mật” là máy tính được đơn vị bố
trí, sử dụng trong quá trình soạn thảo văn bản chứa nội dung bí mật nhà nước,
lưu trữ bí mật nhà nước.
Điều 3. Nguyên tắc chung
1. Tuân thủ quy định của pháp luật về an toàn thông
tin, an ninh mạng, bảo vệ dữ liệu cá nhân và các quy định khác có liên quan.
Trường hợp có văn bản quy định cập nhật, thay thế hoặc quy định khác tại văn bản
quy phạm pháp luật, quyết định của cấp có thẩm quyền cao hơn thì áp dụng quy định
tại văn bản đó.
2. Bảo đảm an toàn thông tin, an ninh mạng, bảo vệ
dữ liệu cá nhân là yêu cầu bắt buộc, thường xuyên, liên tục, xuyên suốt quá
trình thiết kế, xây dựng, quản lý vận hành, bảo trì, bảo dưỡng, nâng cấp, hủy bỏ
hệ thống thông tin.
3. An toàn thông tin, an ninh mạng, bảo vệ dữ liệu
cá nhân phải gắn liền và hỗ trợ các hoạt động ứng dụng công nghệ thông tin,
chuyển đổi số của Bộ Kế hoạch và Đầu tư; hỗ trợ xử lý công việc của cán bộ,
công chức, viên chức, người lao động thuộc Bộ Kế hoạch và Đầu tư.
4. Xử lý sự cố an toàn thông tin, an ninh mạng, bảo
vệ dữ liệu cá nhân phải phù hợp với trách nhiệm, quyền hạn và bảo đảm lợi ích hợp
pháp của cơ quan, đơn vị, cá nhân liên quan và theo quy định của pháp luật.
5. Mỗi cán bộ, công chức, viên chức, người lao động
tại các đơn vị thuộc Bộ Kế hoạch và Đầu tư nêu cao tinh thần chủ động, tự giác
trong việc áp dụng các biện pháp an toàn thông tin, an ninh mạng, bảo vệ dữ liệu
cá nhân.
6. Các hành vi bị nghiêm cấm theo quy định của pháp
luật về an toàn thông tin mạng, an ninh mạng, bảo vệ dữ liệu cá nhân và các quy
định của pháp luật khác có liên quan.
Chương II
QUY ĐỊNH CỤ THỂ
Điều 4. Tuyên truyền, giáo dục
pháp luật, truyền thông, phổ biến, nâng cao nhận thức, kỹ năng về an toàn, an
ninh mạng, bảo vệ dữ liệu cá nhân
1. Thực hiện tuyên truyền, giáo dục pháp luật, truyền
thông, phổ biến, nâng cao nhận thức thông qua các phương tiện thông tin điện tử
và các hình thức phù hợp khác.
2. Xây dựng, duy trì Cổng thông tin An toàn, an
ninh mạng của Bộ Kế hoạch và Đầu tư để triển khai công tác tuyên truyền, phổ biến,
nâng cao nhận thức.
3. Nội dung tuyên truyền, giáo dục pháp luật, truyền
thông, phổ biến, nâng cao nhận thức, kỹ năng: các quy định của pháp luật, hướng
dẫn của cơ quan chức năng, quy định nội bộ, các cảnh báo của cơ quan chức năng,
các hãng công nghệ, bảo mật trong nước và quốc tế.
4. Thực hiện thường xuyên, liên tục đảm bảo tính kịp
thời, chính xác các nội dung tuyên truyền, giáo dục pháp luật, truyền thông, phổ
biến nâng cao nhận thức, kỹ năng.
Điều 5. Đào tạo, bồi dưỡng kiến
thức về an toàn, an ninh mạng, bảo vệ dữ liệu cá nhân
1. Xây dựng kế hoạch đào tạo, bồi dưỡng kiến thức về
an toàn, an ninh mạng, bảo vệ dữ liệu cá nhân trong kế hoạch đào tạo, bồi dưỡng
cán bộ, công chức, viên chức hằng năm của Bộ.
2. Tham gia các đề án đào tạo, bồi dưỡng kiến thức
về an toàn, an ninh mạng, bảo vệ dữ liệu cá nhân do cơ quan chức năng tổ chức.
3. Tổ chức đào tạo, bồi dưỡng kiến thức, kỹ năng về
an toàn, an ninh mạng, bảo vệ dữ liệu cá nhân cho cán bộ, công chức, viên chức
và người lao động của Bộ.
4. Tổ chức cho các cán bộ kỹ thuật công nghệ thông
tin, an toàn, an ninh mạng tham gia các khóa học chuyên sâu về an toàn, an ninh
mạng.
Điều 6. Xây dựng chính sách,
quy định, quy trình bảo đảm an toàn, an ninh mạng, bảo vệ dữ liệu cá nhân
1. Mỗi hệ thống thông tin phải được xây dựng quy chế
quản lý, vận hành, khai thác, sử dụng, bảo đảm an toàn, an ninh mạng và bảo vệ
dữ liệu cá nhân (nếu có).
2. Đơn vị chuyên trách về an toàn, an ninh mạng, bảo
vệ dữ liệu cá nhân của Bộ xây dựng, trình Bộ trưởng ban hành chính sách, quy định
chung, kế hoạch tổng thể về an toàn, an ninh mạng và bảo vệ dữ liệu cá nhân.
3. Các đơn vị quản lý vận hành hệ thống thông tin
xây dựng:
a) Trình cấp có thẩm quyền phê duyệt ban hành chính
sách, quy định quản lý, vận hành, khai thác, sử dụng, bảo đảm an toàn, an ninh
mạng và bảo vệ dữ liệu cá nhân (nếu có) đối với hệ thống thông tin do đơn vị quản
lý, vận hành.
b) Ban hành các quy định, quy trình, phương án kỹ
thuật cụ thể bảo đảm an toàn, an ninh mạng và bảo vệ dữ liệu cá nhân (nếu có).
Điều 7. Xây dựng, tổ chức lực
lượng tại chỗ bảo đảm an toàn, an ninh mạng, bảo vệ dữ liệu cá nhân
1. Lực lượng tại chỗ bảo đảm an toàn, an ninh mạng
gồm có:
a) Đơn vị chuyên trách về an toàn, an ninh mạng của
Bộ.
b) Đội Ứng cứu sự cố an toàn thông tin mạng của Bộ
(sau đây viết tắt là MPI CSIRT). MPI CSIRT gồm các thành viên của các đơn vị:
Trung tâm Công nghệ thông tin và chuyển đổi số, Tổng cục Thống kê (Cục Thu thập
dữ liệu và Ứng dụng công nghệ thông tin thống kê, Trung tâm Tin học Thống kê
khu vực I, II, III, các Cục Thống kê), Cục Quản lý đấu thầu, Cục Quản lý đăng
ký kinh doanh, các đơn vị quản lý, vận hành các hệ thống thông tin và các đơn vị,
tổ chức cung cấp dịch vụ bảo đảm an toàn, an ninh mạng cho các hệ thống thông
tin của Bộ (nếu có). Cơ cấu tổ chức của MPI CSIRT theo quy định của pháp luật,
hướng dẫn của cơ quan chức năng và quy định của Bộ.
c) Lực lượng bảo vệ an ninh mạng của Bộ quản lý trực
tiếp hệ thống thông tin quan trọng về an ninh quốc gia (nếu có).
2. Lực lượng tại chỗ bảo vệ dữ liệu cá nhân gồm có:
đơn vị đầu mối về bảo vệ dữ liệu cá nhân của Bộ; đơn vị, tổ chức quản lý dữ liệu
cá nhân; nhân sự được chỉ định, giao nhiệm vụ bảo vệ dữ liệu cá nhân. Mỗi đơn vị
chỉ định tối thiểu 01 cá nhân.
Điều 8. Bảo đảm an toàn thông
tin, an ninh mạng đối với hệ thống mạng
1. Hệ thống mạng nội bộ phải được thiết kế phân
vùng theo chức năng cơ bản, bao gồm: vùng mạng người dùng; vùng mạng kết nối hệ
thống ra bên ngoài Internet và các mạng khác; vùng mạng máy chủ công cộng; vùng
mạng máy chủ nội bộ; vùng mạng máy chủ cơ sở dữ liệu, vùng mạng máy chủ quản trị.
Dữ liệu trao đổi giữa các vùng mạng phải được quản lý, giám sát bởi hệ thống
các thiết bị mạng, thiết bị bảo mật.
2. Thiết bị phát sóng và kết nối mạng không dây phải
hỗ trợ kiểu xác thực WPA2-Enterprise. Mọi đối tượng quy định tại Điều 1 khi kết
nối mạng không dây phải sử dụng tài khoản truy cập được cấp. Khách đến làm việc
tại Bộ chỉ được kết nối mạng không dây để truy cập Internet và sử dụng thông
tin xác thực do đơn vị quản lý, vận hành hệ thống thông tin cung cấp.
3. Hệ thống mạng do các đơn vị thuộc Bộ được giao
quản lý, vận hành phải được kết nối mạng nội bộ với Trung tâm dữ liệu của Bộ để
triển khai việc chia sẻ thông tin, dữ liệu và giám sát an toàn thông tin theo
quy định.
4. Các đơn vị quản lý vận hành hệ thống mạng thực
hiện ngắt kết nối mạng Internet đối với các máy tính nội bộ của người sử dụng từ
22 giờ 00 hằng ngày đến 6 giờ 00 ngày hôm sau. Trường hợp các đơn vị có yêu cầu
làm việc ngoài khung giờ quy định, thực hiện đăng ký với đơn vị quản lý, vận
hành hệ thống mạng chậm nhất trước 16 giờ 00 của ngày làm việc.
Điều 9. Bảo đảm an toàn thông
tin, an ninh mạng tại Trung tâm dữ liệu
1. Các thiết bị kết nối mạng, thiết bị bảo mật quan
trọng như tường lửa, thiết bị định tuyến, hệ thống máy chủ, hệ thống lưu trữ...
phải được đặt trong Trung tâm dữ liệu và phải được thiết lập cơ chế bảo vệ,
theo dõi phát hiện xâm nhập và biện pháp kiểm soát truy cập, kết nối vật lý phù
hợp với từng khu vực: máy chủ và hệ thống lưu trữ; tủ mạng và đầu nối; thiết bị
nguồn điện và dự phòng điện khẩn cấp; vận hành, kiểm soát, quản trị hệ thống.
2. Trung tâm dữ liệu phải có hệ thống điện dự phòng
đủ công suất và duy trì thời gian hoạt động của các máy chủ ít nhất 24 giờ khi
có sự cố mất điện; hệ thống làm mát điều hòa không khí, độ ẩm để bảo đảm môi
trường vận hành; hệ thống cảnh báo cháy, hệ thống chữa cháy tự động, thiết bị
phòng cháy, chữa cháy khẩn cấp; hệ thống cảnh báo hệ thống nguồn điện; hệ thống
chống sét lan truyền; có quy chế, quy trình đối với công tác vận hành Trung tâm
dữ liệu. Các hệ thống này phải được thiết lập chế độ cảnh báo phù hợp, đảm bảo
an toàn.
3. Chỉ những cá nhân có quyền, nhiệm vụ theo quy định
của Người đứng đầu đơn vị được giao quản lý Trung tâm dữ liệu mới được phép
vào, ra Trung tâm dữ liệu. Việc vào, ra Trung tâm dữ liệu phải được kiểm soát bằng
thiết bị bảo vệ (quẹt thẻ, vân tay, sinh trắc học hoặc biện pháp phù hợp khác).
4. Đối với phần mềm thương mại tại Trung tâm dữ liệu
yêu cầu phải có bản quyền.
5. Toàn bộ thiết bị trong Trung tâm dữ liệu phải được
lắp đặt, cài đặt, cấu hình đúng tiêu chuẩn chung của Trung tâm dữ liệu, được bảo
trì, bảo dưỡng định kỳ để bảo đảm tính ổn định, sẵn sàng, an toàn trong vận
hành. Định kỳ rà soát an ninh bảo mật cho các thiết bị tin học, thiết bị kết nối
mạng, thiết bị quan trọng như tường lửa, thiết bị định tuyến, hệ thống máy chủ,
hệ thống lưu trữ,... Tủ thiết bị của Trung tâm dữ liệu phải được khóa trừ thời
gian thực hiện công việc.
6. Các vùng mạng, máy chủ trong Trung tâm dữ liệu
phải được kiểm soát bởi tường lửa, các thiết bị, phần mềm bảo mật. Mọi truy cập
vào ra giữa các vùng mạng, máy chủ phải có hệ thống theo dõi, giám sát và phát
hiện xâm nhập.
7. Các máy chủ phải được cài đặt phần mềm phòng chống
mã độc và được quản lý thống nhất, tập trung. Khi không còn sử dụng phải gỡ bỏ
hệ điều hành, dịch vụ, phần mềm, dữ liệu trên hệ thống máy chủ, ứng dụng.
8. Nhật ký hoạt động của thiết bị, phần mềm an toàn
thông tin, an ninh mạng phải được lưu giữ đảm bảo thời gian lưu giữ theo đúng cấp
độ an toàn của hệ thống thông tin để phục vụ công tác khảo sát, phân tích hoặc
điều tra khi có sự cố xảy ra.
9. Quản lý việc mang thiết bị vào, ra Trung tâm dữ
liệu
a) Việc mang thiết bị vào, ra để lắp đặt hoặc sửa
chữa phải có sự đồng ý của Lãnh đạo đơn vị quản lý, vận hành.
b) Thời gian tháo lắp thiết bị thực hiện ngoài giờ
hành chính trừ trường hợp xử lý sự cố khẩn cấp, trước khi vào Trung tâm dữ liệu
thiết bị phải được bóc, dỡ vỏ, hộp.
10. Làm việc trong Trung tâm dữ liệu
a) Quá trình vào, ra Trung tâm dữ liệu phải được
ghi vào sổ nhật ký.
b) Dữ liệu của hệ thống camera giám sát vào, ra phải
lưu tối thiểu 03 tháng.
Điều 10. Bảo đảm an toàn thông
tin, an ninh mạng đối với việc xây dựng, nâng cấp và sử dụng phần mềm ứng dụng
1. Yêu cầu về bảo đảm an toàn thông tin, an ninh mạng
phải được đưa vào tất cả các công đoạn thiết kế, xây dựng, triển khai và vận
hành, sử dụng phần mềm ứng dụng; các phần mềm ứng dụng phải áp dụng xác thực đa
yếu tố khi đăng nhập.
2. Phần mềm ứng dụng phải đáp ứng các yêu cầu sau:
áp dụng Khung phát triển phần mềm an toàn theo hướng dẫn của Bộ Thông tin và
Truyền thông; cấu hình phần mềm, ứng dụng để xác thực người sử dụng; giới hạn số
lần đăng nhập sai liên tiếp; giới hạn thời gian để chờ đóng phiên kết nối; mã
hóa thông tin xác thực trên hệ thống; không được để chế độ đăng nhập tự động.
3. Phần mềm ứng dụng cần được kiểm tra phát hiện và
khắc phục các điểm yếu về an toàn thông tin, an ninh mạng trước khi đưa vào sử
dụng và trong quá trình sử dụng.
4. Cá nhân sử dụng phần mềm do đơn vị quản lý, vận
hành hệ thống mạng cung cấp, cài đặt hoặc hướng dẫn.
5. Thiết lập, phân quyền truy cập, quản trị, sử dụng
tài nguyên khác nhau của phần mềm ứng dụng với người sử dụng/nhóm người sử dụng
có chức năng, yêu cầu nghiệp vụ khác nhau; tách biệt cổng giao tiếp quản trị phần
mềm ứng dụng với cổng giao tiếp cung cấp dịch vụ; đóng các cổng giao tiếp không
sử dụng.
6. Chỉ cho phép sử dụng các giao thức mạng có hỗ trợ
chức năng mã hóa thông tin (SSH, TLS, VPN hoặc tương đương) khi truy cập, quản
trị phần mềm, ứng dụng từ xa trên môi trường mạng; hạn chế truy cập đến mã nguồn
của phần mềm ứng dụng và phải đặt mã nguồn trong môi trường an toàn do bộ phận
quản lý, vận hành hệ thống quản lý.
7. Các ứng dụng dùng chung, hệ thống thông tin, cơ
sở dữ liệu trước khi nâng cấp, sửa chữa, bảo trì, xử lý sự cố phải thực hiện
sao lưu.
8. Thực hiện quy trình kiểm soát cài đặt, cập nhật,
vá lỗi bảo mật phần mềm, ứng dụng trên các máy chủ, máy tính cá nhân, thiết bị
kết nối mạng đang hoạt động thuộc hệ thống mạng nội bộ.
Điều 11. Bảo đảm an toàn thông
tin, an ninh mạng đối với hệ thống thông tin
1. Xác định cấp độ an toàn của hệ thống thông tin,
xây dựng và triển khai phương án bảo đảm an toàn hệ thống thông tin theo quy định
của pháp luật. Hồ sơ đề xuất cấp độ được xây dựng cùng với quá trình xây dựng
Báo cáo kinh tế - kỹ thuật, Báo cáo nghiên cứu khả thi, Kế hoạch thuê dịch vụ
công nghệ thông tin, Đề cương và dự toán chi tiết tương ứng. Khi thực hiện nâng
cấp, mở rộng, thay thế một phần hệ thống thông tin, đơn vị vận hành hệ thống
thông tin phải rà soát cấp độ, phương án bảo đảm an toàn của hệ thống thông tin
và thực hiện điều chỉnh, bổ sung hoặc thay mới hồ sơ đề xuất cấp độ trong trường
hợp cần thiết.
2. Rà soát, lập hồ sơ đề nghị đưa hệ thống thông
tin vào Danh mục hệ thống thông tin quan trọng về an ninh quốc gia.
3. Thực hiện các biện pháp quản lý rủi ro tuân thủ
theo tiêu chuẩn, quy chuẩn kỹ thuật và phù hợp với yêu cầu của mỗi hệ thống
thông tin.
4. Sử dụng chứng thư số cho các hệ thống thông tin,
các phần mềm ứng dụng trên nền tảng web.
Điều 12. Bảo đảm an toàn thông
tin, an ninh mạng đối với dữ liệu, dữ liệu cá nhân
1. Đơn vị quản lý, vận hành hệ thống thông tin phải
thiết lập cơ chế mã hóa, kiểm tra tính nguyên vẹn và khả dụng của thông tin, dữ
liệu; mã hóa thông tin, dữ liệu theo cấp độ an toàn hệ thống thông tin; sử dụng
chữ ký số để xác thực và bảo mật thông tin, dữ liệu; phân loại, quản lý và sử dụng
khóa bí mật và dữ liệu mã hóa (nếu có).
2. Tập tin cấu hình hệ thống, ảnh hệ điều hành máy
chủ, cơ sở dữ liệu; dữ liệu, thông tin nghiệp vụ phải được sao lưu dự phòng định
kỳ và lưu trữ độc lập với hệ thống lưu trữ trên các máy chủ dịch vụ để sao lưu
dự phòng.
3. Mỗi đơn vị cần bố trí máy tính, máy in riêng
không kết nối mạng, đặt mật khẩu mạnh cho máy tính và tệp văn bản điện tử, mã
hóa dữ liệu và các biện pháp bảo mật khác bảo đảm an toàn thông tin, an ninh mạng
để soạn thảo, lưu trữ tài liệu chứa bí mật nhà nước.
4. Việc chia sẻ, gửi, nhận thông tin không công
khai trên môi trường mạng (không bao gồm tài liệu chứa bí mật nhà nước) phải sử
dụng mật khẩu mạnh và mã hóa kết nối để bảo vệ thông tin.
5. Đối với dữ liệu cá nhân, mỗi cá nhân cần chủ động
trang bị những kiến thức cơ bản về an toàn, an ninh mạng, bảo vệ dữ liệu cá
nhân và phải có trách nhiệm đối với bảo mật dữ liệu của chính cá nhân đó, các
trang thiết bị, tài khoản chuyên dụng được cấp cho cá nhân cần được bảo mật và
sử dụng mật khẩu mạnh để đảm bảo an toàn dữ liệu. Các tổ chức, cá nhân có liên
quan tới xử lý dữ liệu cá nhân phải thực hiện các biện pháp quản lý dữ liệu cá
nhân theo quy định hiện hành.
Điều 13. Bảo đảm an toàn thông
tin, an ninh mạng Trung tâm điều hành
1. Trung tâm điều hành phải có hệ thống điện dự
phòng, hệ thống chống cháy và hệ thống chống sét; được trang bị hệ thống lưu điện
đủ công suất và duy trì thời gian hoạt động đảm bảo đủ thời gian để máy phát điện
cấp điện.
2. Toàn bộ thiết bị trong Trung tâm điều hành phải
được lắp đặt, cài đặt, cấu hình đúng thiết kế; được trang bị các hệ thống giám
sát hoạt động liên tục; được bảo trì, bảo dưỡng định kỳ để bảo đảm tính ổn định,
sẵn sàng, an toàn trong vận hành.
3. Kết nối mạng từ Trung tâm điều hành về Trung tâm
dữ liệu phải được mã hóa.
4. Thiết bị được lắp đặt cố định hay tạm thời tại
Trung tâm điều hành phải được kiểm tra, giám sát bởi đơn vị chuyên trách về an
toàn thông tin, an ninh mạng.
5. Chỉ được thực hiện ghi âm, ghi hình cuộc họp khi
được sự đồng ý của người chủ trì cuộc họp.
Điều 14. Bảo đảm an toàn thông
tin, an ninh mạng Trung tâm Giám sát an toàn, an ninh mạng
1. Toàn bộ thiết bị trong Trung tâm Giám sát an
toàn, an ninh mạng phải được lắp đặt, cài đặt, cấu hình đúng thiết kế; được bảo
trì, bảo dưỡng định kỳ để bảo đảm tính ổn định, sẵn sàng, an toàn trong vận
hành.
2. Kết nối mạng từ Trung tâm Giám sát an toàn, an
ninh mạng về Trung tâm dữ liệu phải được mã hóa.
3. Các hệ thống giám sát an toàn, an ninh mạng chỉ
được truy cập từ các thiết bị tại Trung tâm Giám sát an toàn, an ninh mạng.
Điều 15. Bảo đảm an toàn thông
tin, an ninh mạng đối với máy tính của người sử dụng và thiết bị đầu cuối
1. Máy tính kết nối mạng
a) Đặt tên máy tính theo quy ước: [Viết tắt tên Người
sử dụng] + [Số phòng] + [Tên tòa nhà]; Tên nhóm: đặt tên nhóm theo tên viết tắt
của đơn vị.
b) Phải được cài đặt phần mềm có bản quyền hoặc phần
mềm mã nguồn mở thuộc danh mục do cơ quan chức năng ban hành.
c) Phải được cài đặt phần mềm phòng chống mã độc tập
trung do đơn vị quản lý, vận hành hệ thống mạng triển khai.
d) Phải được cấu hình nhằm vô hiệu hóa tính năng tự
động thực thi (autoplay) các tệp tin trên các thiết bị lưu trữ di động.
đ) Được bảo trì, bảo dưỡng định kỳ, máy tính khi
mang đi bảo hành, bảo dưỡng, sửa chữa phải tháo ổ cứng hoặc xóa dữ liệu lưu
trên ổ cứng.
e) Không cài đặt, sử dụng phần mềm, công cụ có tính
năng hoặc tạo rủi ro mất an toàn an ninh mạng (cấp phát địa chỉ mạng, dò quét mật
khẩu, dò quét cổng mạng, giả lập tấn công...).
g) Đối với máy tính của khách đến làm việc tại Bộ,
đơn vị quản lý vận hành hệ thống mạng chỉ cấp quyền truy cập mạng Internet trên
cơ sở đề nghị của đơn vị chủ trì. Đề nghị truy cập cần xác định rõ thời gian
truy cập.
h) Đối với máy tính cá nhân làm việc trong hệ thống
mạng nội bộ, địa chỉ mạng của các máy tính người dùng cần được kiểm soát, phân
vùng theo đúng chức năng nhiệm vụ công việc của từng cá nhân. Đơn vị/cá nhân
chuyên trách về hệ thống mạng tại từng đơn vị cần phân loại, cấp phát địa chỉ mạng
cho các cá nhân theo đúng các phân vùng được quy định tại khoản
1, Điều 8 Quy chế này.
2. Máy tính soạn thảo văn bản chứa nội dung bí mật
nhà nước, lưu trữ bí mật nhà nước
a) Phải được cài đặt phần mềm có bản quyền hoặc phần
mềm mã nguồn mở thuộc danh mục do Bộ Thông tin và Truyền thông ban hành. Không
kết nối vào mạng Internet, mạng nội bộ, mạng không dây, mạng viễn thông, trừ
trường hợp đã áp dụng các biện pháp bảo vệ theo hướng dẫn của cơ quan có chức
năng. Không sử dụng thiết bị lưu trữ ngoài không do cơ quan có chức năng cung cấp,
trừ trường hợp cần cài đặt hệ điều hành, sửa chữa, nâng cấp phần mềm cho máy
tính hoặc phục vụ công tác kiểm tra, thanh tra về an toàn thông tin, an ninh mạng.
b) Máy tính mật phải được thiết lập cơ chế đăng nhập,
đặt mật khẩu mạnh.
c) Trường hợp ổ cứng lỗi không tiếp tục sử dụng được
thực hiện niêm phong, quản lý hoặc tiêu hủy theo quy định của pháp luật. Thực
hiện thay ổ cứng mới.
d) Đơn vị được cấp máy tính để soạn thảo, lưu trữ
bí mật nhà nước có trách nhiệm ban hành quy định nội bộ đối với việc sử dụng, bảo
đảm an toàn, an ninh mạng; chịu trách nhiệm kiểm tra, giám sát, đảm bảo việc sử
dụng máy tính tuân thủ đúng quy định.
đ) Các máy tính công vụ chuyển đổi để sử dụng làm
máy tính soạn thảo văn bản, tài liệu chứa bí mật nhà nước phải được làm sạch dữ
liệu, ngắt kết nối mạng, chỉ cài đặt hệ điều hành và phần mềm phục vụ soạn thảo
văn bản.
e) Các máy tính soạn thảo văn bản, tài liệu chứa bí
mật nhà nước được chuyển đổi để sử dụng làm máy tính công vụ thì phải thay thế ổ
cứng và bộ nhớ tạm (RAM) mới. Ổ cứng lưu dữ liệu, bộ nhớ tạm, tài liệu mật phải
được lưu giữ theo quy định về lưu giữ vật chứa bí mật nhà nước.
g) Việc soạn thảo văn bản chứa nội dung bí mật nhà
nước phải thực hiện tại Máy tính mật. Dự thảo văn bản có nội dung bí mật nhà nước
phải được quản lý, bảo vệ như văn bản ban hành chính thức từ khi soạn thảo và
tiêu hủy ngay sau khi hoàn thành việc soạn thảo, tạo ra nếu thấy không cần thiết
phải lưu giữ.
h) Máy vi tính, các thiết bị có chức năng lưu giữ (ổ
cứng di động, USB, đĩa mềm, thẻ nhớ... nếu có) trang bị cho công tác bảo vệ bí
mật nhà nước, trước khi đưa vào sử dụng phải qua kiểm tra.
i) Định kỳ, đơn vị thực hiện cài đặt, định dạng lại
toàn bộ ổ đĩa sử dụng máy tính.
k) Trường hợp các đơn vị có yêu cầu đặc thù khác
thì ban hành quy định cụ thể trong quy chế nội bộ của đơn vị.
3. Các thiết bị đầu cuối khác thực hiện kết nối vào
hệ thống mạng nội bộ theo hướng dẫn của đơn vị quản lý vận hành hệ thống mạng.
Điều 16. Quản lý tài khoản
truy cập
1. Mỗi cá nhân, đơn vị thuộc Bộ được cấp một tài
khoản truy cập dùng chung cho mọi ứng dụng nội bộ của Bộ từ Hệ thống định danh
tập trung, tài khoản truy cập với định danh duy nhất gắn với cá nhân đó, đơn vị
đó chỉ truy cập vào các trang/cổng thông tin điện tử, ứng dụng trực tuyến và
các thông tin phù hợp với chức năng, trách nhiệm, quyền hạn của mình. Thông tin
tài khoản đăng nhập phải được ứng dụng kỹ thuật mã hóa và đặt mật khẩu mạnh (đối
với tài khoản có quyền quản trị nội dung phải đặt mật khẩu mạnh tối thiểu 14 ký
tự).
2. Tài khoản quản trị hệ thống (mạng máy tính, hệ
điều hành, thiết bị kết nối mạng, phần mềm, ứng dụng, cơ sở dữ liệu, hệ thống
thông tin) phải tách biệt với tài khoản truy cập của người sử dụng thông thường.
Tài khoản hệ thống phải được giao đích danh cá nhân làm công tác quản trị, phải
đặt mật khẩu mạnh tối thiểu 14 ký tự.
3. Đơn vị quản lý, vận hành hệ thống thông tin cấp,
khóa quyền truy cập của tài khoản các hệ thống thông tin trong trường hợp tài
khoản đó thực hiện các hành vi tấn công hoặc để xảy ra vấn đề mất an toàn thông
tin, an ninh mạng.
4. Trường hợp cá nhân thay đổi vị trí công tác,
chuyển công tác, thôi việc hoặc nghỉ hưu, trước ít nhất 01 ngày làm việc kể từ
ngày quyết định của cấp có thẩm quyền có hiệu lực thì cơ quan, đơn vị quản lý
cá nhân đó phải thông báo đơn vị quản lý, vận hành hệ thống để điều chỉnh, thu
hồi, hủy bỏ các quyền sử dụng đối với hệ thống thông tin.
Điều 17. Giám sát an toàn
thông tin, an ninh mạng.
1. Thành phần giám sát trung tâm của đơn vị vận
hành hệ thống thông tin cần đáp ứng các yêu cầu sau:
a) Cung cấp đầy đủ các tính năng thu thập và tổng hợp
các thông tin an toàn thông tin mạng; phân tích các thông tin thu thập để phát
hiện và cảnh báo tấn công, rủi ro, sự cố an toàn thông tin mạng có khả năng ảnh
hưởng tới hoạt động hệ thống hoặc khả năng cung cấp các dịch vụ của hệ thống
thông tin được giám sát; cung cấp giao diện thuận tiện cho việc theo dõi, giám
sát liên tục của cán bộ giám sát.
b) Thực hiện thu thập và phân tích các thông tin đầu
vào tối thiểu sau đây: nhật ký máy chủ web (web server) với các ứng dụng web
(ví dụ: cổng thông tin điện tử, dịch vụ công trực tuyến...); cảnh báo/nhật ký của
thiết bị quan trắc cơ sở; cảnh báo/nhật ký của thiết bị tường lửa được thiết lập
bảo vệ luồng kết nối mạng Internet liên quan đến các đối tượng cần giám sát.
c) Năng lực xử lý thành phần giám sát trung tâm của
đơn vị vận hành hệ thống thông tin cần phù hợp với khối lượng, định dạng và có
khả năng phân tích thông tin an toàn thông tin mạng thu thập từ các hệ thống được
giám sát.
2. Thu thập thông tin an toàn thông tin mạng và
quan trắc cơ sở cần đáp ứng các yêu cầu sau:
a) Thực hiện thu thập thông tin an toàn thông tin mạng
từ nhật ký và cảnh báo của các phần mềm/thiết bị liên quan đến đối tượng cần
giám sát để cung cấp cho thành phần giám sát trung tâm của đơn vị vận hành hệ
thống thông tin hoặc theo yêu cầu của đơn vị chuyên trách về an toàn thông tin,
an ninh mạng. Các thông tin tối thiểu cần thu thập và cung cấp bao gồm: nhật ký
máy chủ web (web server) của các ứng dụng web (ví dụ: cổng thông tin điện tử, dịch
vụ công trực tuyến v.v...); cảnh báo/nhật ký của thiết bị quan trắc cơ sở; cảnh
báo/nhật ký của thiết bị tường lửa được thiết lập bảo vệ luồng kết nối mạng
Internet liên quan đến các đối tượng cần giám sát.
b) Các thiết bị quan trắc cơ sở đảm bảo các chức
năng phát hiện tấn công, rủi ro, sự cố an toàn thông tin mạng; cần được thiết lập
để đảm bảo khả năng giám sát bao phủ được tất cả các đường kết nối mạng
Internet của đối tượng cần giám sát.
c) Thiết bị quan trắc cần đáp ứng tối thiểu các chức
năng phát hiện, tạo lập luật phát hiện tấn công riêng dựa trên các thông tin
như: địa chỉ IP nguồn, địa chỉ IP đích, địa chỉ cổng nguồn, địa chỉ cổng đích,
các đoạn dữ liệu đặc biệt trong gói tin được truyền qua.
d) Đối với các hệ thống thông tin phục vụ Chính phủ
điện tử sử dụng giao thức có mã hóa (ví dụ: https), cần có phương án kỹ thuật đảm
bảo thiết bị quan trắc an toàn thông tin mạng có được đầy đủ thông tin để có thể
phát hiện được các tấn công, rủi ro, sự cố an toàn thông tin mạng.
đ) Thiết lập, kết nối các thiết bị quan trắc cơ sở
với hệ thống giám sát của Bộ Kế hoạch và Đầu tư và yêu cầu của đơn vị chuyên
trách về đảm bảo an toàn thông tin, an ninh mạng.
3. Nội dung thực hiện giám sát
a) Theo dõi, trực giám sát liên tục, lập báo cáo hằng
ngày, đảm bảo hệ thống giám sát của đơn vị vận hành hệ thống thông tin hoạt động
và thu thập thông tin ổn định, liên tục.
b) Theo dõi, vận hành các thiết bị quan trắc cơ sở
đảm bảo ổn định, liên tục, điều chỉnh kịp thời khi có các thay đổi và thực hiện
đầy đủ các hướng dẫn của Bộ Thông tin và Truyền thông để đảm bảo hiệu quả giám
sát.
c) Lập báo cáo kết quả giám sát hằng tuần để báo
cáo đơn vị vận hành hệ thống thông tin, nội dung báo cáo tuần bao gồm đầy đủ
các thông tin sau: thời gian giám sát; danh mục đối tượng bị tấn công cần chú ý
(địa chỉ IP, mô tả dịch vụ cung cấp, thời điểm bị tấn công); kỹ thuật tấn công
đã phát hiện được và chứng cứ liên quan; các đối tượng thực hiện tấn công; các
thay đổi trong hệ thống được giám sát và hệ thống giám sát; v.v....
d) Tiến hành phân loại nguy cơ, rủi ro, sự cố an
toàn thông tin mạng tùy theo tình hình cụ thể.
đ) Định kỳ thống kê kết quả xử lý nguy cơ, rủi ro,
sự cố an toàn thông tin mạng để phục vụ công tác lưu trữ, báo cáo.
e) Trong trường hợp đơn vị vận hành hệ thống thông
tin đề nghị đơn vị chuyên trách an toàn thông tin, an ninh mạng thực hiện giám
sát cơ sở đơn vị vận hành hệ thống thông tin có trách nhiệm cung cấp và cập nhật
thông tin về hệ thống thông tin cần giám sát và mô tả phương án kỹ thuật triển
khai hệ thống giám sát của đơn vị vận hành hệ thống thông tin cho đơn vị chuyên
trách an toàn thông tin, an ninh mạng. Mô tả đối tượng được giám sát, bao gồm
các thông tin cơ bản sau đây: địa chỉ IP, tên miền, dịch vụ cung cấp, tên và
phiên bản hệ điều hành, phần mềm máy chủ web; vị trí đặt hệ thống giám sát của
đơn vị vận hành hệ thống thông tin, dung lượng các đường truyền kết nối vào đối
tượng giám sát của đơn vị vận hành hệ thống thông tin, các thông tin dự kiến
thu thập và giao thức thu thập, ví dụ cảnh báo của hệ thống phát hiện xâm nhập,
nhật ký tường lửa, nhật ký máy chủ web,..
g) Năng lực lưu trữ thông tin giám sát tối thiểu đạt
mức trung bình 30 ngày hoạt động trong điều kiện bình thường.
h) Cung cấp thông tin giám sát theo thời gian thực,
định kỳ hoặc đột xuất có yêu cầu của đơn vị chuyên trách an toàn thông tin, an
ninh mạng.
4. Chia sẻ thông tin giám sát
a) Các thông tin chia sẻ, cung cấp và trao đổi bao
gồm các thông tin về tấn công, rủi ro, sự cố an toàn thông tin mạng; các phương
thức, thủ đoạn, nguồn gốc tấn công; các tác động, ảnh hưởng do sự cố gây ra; biện
pháp quản lý, kỹ thuật để xử lý, khắc phục
b) Thông tin giám sát mã độc phải được chia sẻ với
Trung tâm Giám sát an toàn không gian mạng quốc gia do Bộ Thông tin và Truyền
thông quản lý theo quy định của pháp luật và hướng dẫn của Bộ Thông tin và Truyền
thông.
Điều 18. Quản lý, ứng cứu sự cố
an toàn thông tin, an ninh mạng
1. Ứng dụng nền tảng điều phối xử lý sự cố do Bộ
Thông tin và Truyền thông xây dựng, quản lý để điều phối, ứng cứu sự cố đối với
các đơn vị quản lý, vận hành hệ thống thông tin.
2. Các đơn vị quản lý, vận hành hệ thống mạng triển
khai hệ thống quản lý sự cố tập trung đối với người sử dụng mạng nội bộ, phân
nhóm sự cố an toàn thông tin mạng.
3. Các đơn vị, cá nhân khi phát hiện dấu hiệu tấn
công hoặc sự cố an toàn thông tin, an ninh mạng cần báo ngay cho đơn vị chuyên
trách về an toàn thông tin, an ninh mạng.
4. Khi xảy ra sự cố an toàn thông tin, an ninh mạng
thuộc loại hình tấn công mạng, đơn vị vận hành hệ thống thông tin thực hiện báo
cáo theo quy định tại điểm a khoản 1 Điều 11 Quyết định số 05/2017/QĐ-TTg ngày
16 tháng 3 năm 2017 của Thủ tướng Chính phủ và Điều 9 Thông tư số
20/2017/TT-BTTTT ngày 12 tháng 9 năm 2017 của Bộ trưởng Bộ Thông tin và Truyền
thông và tổ chức khắc phục, xử lý kịp thời.
5. Quy trình ứng cứu sự cố an toàn thông tin mạng
theo quy định tại Điều 13, Điều 14 Quyết định 05/2017/QĐ-TTg ngày 16 tháng 3
năm 2017 của Thủ tướng Chính phủ và Điều 11 Thông tư số 20/2017/TT-BTTTT ngày
12 tháng 9 năm 2017 của Bộ trưởng Bộ Thông tin và Truyền thông.
6. Diễn tập ứng cứu sự cố: thực hiện theo mô hình
đánh giá mức độ trưởng thành, quy định tiêu chí trưởng thành. Đối với hệ thống
thông tin từ cấp độ 3 trở lên thực hiện diễn tập ứng cứu sự cố tối thiểu 01 lần/năm.
Điều 19. Kiểm tra, đánh giá an
toàn thông tin, an ninh mạng
1. Nội dung kiểm tra, đánh giá
a) Kiểm tra việc tuân thủ quy định của pháp luật về
bảo đảm an toàn thông tin, an ninh mạng theo cấp độ.
b) Đánh giá hiệu quả của biện pháp bảo đảm an toàn
thông tin, an ninh mạng đối với hệ thống thông tin.
c) Đánh giá phát hiện mã độc, lỗ hổng, điểm yếu, thử
nghiệm xâm nhập hệ thống.
d) Kiểm tra, đánh giá khác do đơn vị vận hành hệ thống
thông tin quy định.
2. Hình thức và thời gian kiểm tra, đánh giá
a) Kiểm tra, đánh giá định kỳ theo kế hoạch của đơn
vị vận hành hệ thống thông tin; kiểm tra thực hiện định kỳ theo phương án bảo đảm
an toàn hệ thống thông tin theo cấp độ đã được phê duyệt của đơn vị chuyên
trách an toàn thông tin, an ninh mạng.
b) Kiểm tra, đánh giá đột xuất theo yêu cầu của cấp
có thẩm quyền.
c) Hình thức thực hiện: Tự thực hiện hoặc thuê dịch
vụ.
Chương III
TỔ CHỨC THỰC HIỆN
Điều 20. Trách nhiệm của các
đơn vị, tổ chức thuộc Bộ
1. Thực hiện đúng các quy định liên quan tại Quy chế
này và các quy định của pháp luật, văn bản chỉ đạo và hướng dẫn của các cơ quan
có thẩm quyền về an toàn, an ninh mạng, bảo vệ dữ liệu cá nhân trong phạm vi
đơn vị.
2. Người đứng đầu các đơn vị, tổ chức có trách nhiệm
phổ biến, quán triệt Quy chế này đến toàn thể cán bộ, công chức, viên chức, người
lao động trong đơn vị, nghiêm túc tổ chức thực hiện các quy định tại Quy chế
này và chịu trách nhiệm trước Bộ trưởng trong công tác bảo đảm an toàn thông
tin, an ninh mạng, bảo vệ dữ liệu cá nhân tại đơn vị mình.
3. Phối hợp với Trung tâm Công nghệ thông tin và
chuyển đổi số trong việc triển khai các biện pháp an toàn an ninh mạng trên máy
tính của người dùng, gỡ mã độc (nếu phát hiện có mã độc mà phần mềm phòng diệt
mã độc không có khả năng xử lý), xác định nguyên nhân mất an toàn an ninh mạng
liên quan đến người dùng hoặc máy tính của người dùng; Phối hợp, cung cấp thông
tin và tạo điều kiện cho cán bộ kỹ thuật triển khai công tác kiểm tra, khắc phục
sự cố xảy ra một cách kịp thời, nhanh chóng và đạt hiệu quả.
4. Đề nghị Trung tâm Công nghệ thông tin và chuyển
đổi số cấp thiết bị lưu trữ ngoài (USB) do Ban Cơ yếu Chính phủ cung cấp để sử
dụng cho việc soạn thảo, lưu tài liệu mật phục vụ công việc của đơn vị. Đơn vị
có trách nhiệm quản lý thiết bị lưu trữ ngoài quy định của pháp luật hiện hành
về bảo vệ bí mật nhà nước.
5. Đề xuất, bố trí kinh phí để thực hiện công tác bảo
đảm an toàn, an ninh mạng, bảo vệ dữ liệu cá nhân quy định tại Quy chế này và
các quy định của pháp luật, văn bản chỉ đạo và hướng dẫn của các cơ quan liên
quan theo phân cấp thẩm quyền quản lý.
Điều 21. Trách nhiệm của cán bộ,
công chức, viên chức và người lao động
1. Thực hiện đúng các quy định liên quan tại Quy chế
này.
2. Không được tự ý gỡ bỏ các phần mềm phòng chống
mã độc, các phần mềm an toàn an ninh mạng do đơn vị quản lý, vận hành hệ thống
cài đặt ra khỏi máy tính khi sử dụng mạng của cơ quan; Cập nhật bản vá hệ điều
hành và quét mã độc thường xuyên máy tính do người dùng tự trang bị và sử dụng
để truy cập ứng dụng của Bộ Kế hoạch và Đầu tư.
3. Không đặt chế độ tự động đăng nhập vào các hệ thống
thông tin. Có trách nhiệm bảo mật tài khoản truy cập được cấp, không giao tài
khoản, mật khẩu cá nhân cho người khác. Máy tính cá nhân phải được khóa khi
không sử dụng và tắt trước khi về.
4. Không sử dụng hệ thống mạng của Bộ tạo ra, cài đặt,
phát tán phần mềm độc hại; bẻ khóa, trộm cắp, sử dụng mật khẩu, khóa mật mã và
thông tin của đơn vị, tổ chức, cá nhân trong và ngoài Bộ; xâm nhập, sửa đổi,
xóa bỏ nội dung thông tin của đơn vị, tổ chức, cá nhân trong và ngoài Bộ.
5. Không cản trở hoạt động cung cấp dịch vụ của hệ
thống thông tin.
6. Không kết nối mạng đối với thiết bị chứa thông
tin, dữ liệu thuộc bí mật nhà nước.
7. Không tự ý đấu nối thiết bị mạng và thiết bị cá
nhân không phục vụ mục đích công vụ vào mạng của Bộ.
8. Khi phát hiện ra bất kỳ dấu hiệu nào liên quan đến
việc bị nhiễm mã độc trên máy tính cá nhân (ví dụ: máy hoạt động chậm bất
thường, cảnh báo từ phần mềm phòng chống mã độc, mất dữ liệu...), người sử
dụng phải tắt máy và thông báo trực tiếp cho bộ phận kỹ thuật của đơn vị quản
lý, vận hành hệ thống thông tin để được hỗ trợ, xử lý.
9. Khi phát hiện có dấu hiệu lộ mật khẩu, thực hiện
các việc sau: đổi mật khẩu tại máy tính làm việc tại cơ quan; quét mã độc trên
các thiết bị của các nhân đã từng được sử dụng để truy cập thư điện tử công vụ
hoặc các ứng dụng của Bộ Kế hoạch và Đầu tư trước đó; cung cấp thông tin về sự
việc, hiện tượng cho bộ phận kỹ thuật của đơn vị quản lý, vận hành hệ thống
thông tin để được hỗ trợ, xử lý.
10. Nếu nghi ngờ hoặc phát hiện thư điện tử nhận được
là thư rác, thư giả mạo, người dùng chuyển tiếp thư này cho bộ phận kỹ thuật của
đơn vị quản lý, vận hành hệ thống để áp dụng biện pháp ngăn chặn. Không mở các
địa chỉ trong nội dung thư, mở tệp đính kèm hoặc thực hiện theo hướng dẫn của
thư điện tử có địa chỉ nhận không rõ nguồn gốc. Không mở thư điện tử công vụ và
các phần mềm nội bộ của Bộ Kế hoạch và Đầu tư trên máy tính công cộng hoặc máy
tính không đáp ứng yêu cầu quy định tại Quy chế này. Không sử dụng địa chỉ thư
điện tử công vụ để đăng ký sử dụng các ứng dụng, dịch vụ ngoài phạm vi công việc.
Mã hóa (đặt mật khẩu) các tệp tin có nội dung nhạy cảm trước khi gửi qua thư điện
tử và gửi mật khẩu cho người nhận bằng phương thức khác.
11. Thực hiện quét mã độc thiết bị lưu trữ ngoài
(thẻ nhớ, ổ đĩa ngoài,...) trước khi sử dụng. Bảo vệ thiết bị lưu trữ ngoài,
không để thất thoát thông tin, tài liệu quả cơ quan. Mã hóa hoặc đặt mật khẩu
các tệp tin có nội dung nhạy cảm trước khi lưu trữ trên thiết bị lưu trữ ngoài
và xóa thông tin, tài liệu của cơ quan trên thiết bị lưu trữ ngoài sau khi hoàn
thành xử lý công việc cần sử dụng thiết bị lưu trữ ngoài.
12. Thực hiện soạn thảo văn bản chứa nội dung bí mật
nhà nước, lưu trữ tài liệu mật tại máy tính được trang bị cho việc soạn thảo,
lưu trữ văn bản mật theo quy định. Không sử dụng thiết bị lưu trữ ngoài để lưu
thông tin, tài liệu mật, trừ trường hợp có áp dụng các biện pháp mã hóa do Ban
Cơ yếu Chính phủ cung cấp (trong trường hợp này, các thiết bị lưu trữ cần được
lưu giữ, bảo quản ở nơi an toàn và có phương án bảo vệ theo khoản 2 và khoản 3
Điều 12 Luật Bảo vệ bí mật nhà nước).
13. Thực hiện sao lưu dữ liệu trên máy tính cá nhân
(nếu cần thiết).
14. Khi thực hiện nhiệm vụ đảm bảo an toàn thông
tin, an ninh mạng, quản trị, vận hành hệ thống phải có trách nhiệm giữ bí mật
thông tin về hệ thống thông tin được giao quản lý, vận hành. Tham gia các hoạt
động, công tác bảo đảm an toàn thông tin khi có yêu cầu của tổ chức có thẩm quyền.
Điều 22. Trách nhiệm của các
đơn vị quản lý, vận hành hệ thống thông tin
1. Thực hiện đúng các quy định liên quan tại các điều
từ Điều 4 đến Điều 19 Quy chế này.
2. Tổ chức thực hiện bảo đảm an toàn thông tin, an
ninh mạng theo cấp độ đối với hệ thống thông tin do đơn vị quản lý, vận hành. Bố
trí nhân sự được đào tạo, bồi dưỡng về an toàn thông tin và có cam kết giữ bí mật
khi thực hiện nhiệm vụ bảo đảm an toàn thông tin, an ninh mạng kể cả sau khi
nghỉ việc.
3. Tổ chức triển khai phần mềm phòng chống mã độc
cho máy tính cá nhân và máy chủ thuộc hệ thống mạng do đơn vị quản lý, vận
hành, phối hợp với đơn vị chuyên trách về an toàn thông tin, an ninh mạng triển
khai các hoạt động chia sẻ thông tin, dữ liệu, giám sát an toàn thông tin, điều
phối, ứng cứu sự cố an toàn thông tin mạng.
4. Tổ chức triển khai, duy trì, bảo đảm kết nối đường
truyền giữa hệ thống mạng do đơn vị quản lý vận hành với Trung tâm dữ liệu của
Bộ để thực hiện chia sẻ, tích hợp dữ liệu.
5. Cung cấp thông tin về an toàn thông tin, an ninh
mạng theo yêu cầu của đơn vị chuyên trách về an toàn, an ninh mạng để tổng hợp,
xây dựng báo cáo an toàn thông tin, an ninh mạng của Bộ.
6. Định kỳ hoặc khi có thay đổi chính sách an toàn
thông tin kiểm tra lại tính phù hợp và thực hiện rà soát, cập nhật, bổ sung; tổ
chức xây dựng, cập nhật các quy định quản lý về chính sách, kỹ thuật và quy trình
quản trị, vận hành.
7. Xây dựng và triển khai kế hoạch ứng phó sự cố an
toàn thông tin, an ninh mạng, tổ chức diễn tập ứng cứu sự cố an toàn thông tin,
an ninh mạng thông tin mạng đối với các hệ thống thông tin do đơn vị quản lý;
tham gia diễn tập ứng cứu sự cố do đơn vị chuyên trách về an toàn thông tin, an
ninh mạng tổ chức.
8. Triển khai biện pháp quản lý, kỹ thuật để phòng
ngừa, phát hiện, ngăn chặn, gỡ bỏ thông tin có nội dung quy định tại các khoản
1, 2, 3, 4 và 5 Điều 16, điểm a, b, c, d và e khoản 1 Điều 19 Luật An ninh mạng
năm 2018 trên hệ thống thông tin thuộc phạm vi quản lý khi có yêu cầu của đơn vị
chuyên trách an toàn thông tin, an ninh mạng của Bộ, lực lượng chuyên trách bảo
vệ an ninh mạng; Triển khai biện pháp quản lý, kỹ thuật để phòng ngừa, phát hiện,
ngăn chặn hành vi gián điệp mạng, xâm phạm bí mật nhà nước, bí mật công tác, bí
mật kinh doanh, bí mật cá nhân, bí mật gia đình và đời sống riêng tư trên hệ thống
thông tin và kịp thời gỡ bỏ thông tin liên quan đến hành vi này.
9. Quản lý điểm yếu an toàn thông tin
a) Quản lý thông tin các thành phần trong hệ thống
có khả năng tồn tại điểm yếu an toàn thông tin: thiết bị hệ thống, hệ điều
hành, máy chủ, ứng dụng, dịch vụ và các thành phần khác (nếu có).
b) Quản lý, cập nhật nguồn cung cấp điểm yếu an
toàn thông tin; phân nhóm và mức độ của điểm yếu cho các thành phần trong hệ thống
đã xác minh.
c) Có cơ chế phối hợp với các nhóm chuyên gia, bên
cung cấp dịch vụ hỗ trợ trong việc xử lý, khắc phục điểm yếu an toàn thông tin.
d) Loại bỏ mã độc, phần cứng độc hại, khắc phục điểm
yếu, lỗ hổng bảo mật; phát hiện, ngăn chặn và xử lý các hoạt động xâm nhập bất
hợp pháp hoặc nguy cơ khác đe dọa an ninh mạng.
10. Phối hợp, thực hiện yêu cầu của đơn vị chuyên
trách về an toàn thông tin, an ninh mạng, lực lượng chuyên trách an ninh mạng về
phòng, chống gián điệp mạng, bảo vệ thông tin thuộc bí mật nhà nước, bí mật
công tác, bí mật kinh doanh, bí mật cá nhân, bí mật gia đình và đời sống riêng
tư trên hệ thống thông tin. Phối hợp với lực lượng chuyên trách bảo vệ an ninh
mạng thuộc Bộ Công an trong phòng ngừa, phát hiện, xử lý tình huống nguy hiểm về
an ninh mạng.
11. Thường xuyên rà soát, kiểm tra hệ thống thông
tin thuộc phạm vi quản lý nhằm loại trừ nguy cơ khủng bố mạng, cấu hình tối ưu,
tăng cường bảo mật cho thiết bị hệ thống trước khi đưa vào vận hành, khai thác.
12. Các đơn vị quản lý, vận hành hệ thống mạng máy
tính, hệ thống thông tin có trách nhiệm xây dựng, ban hành quy định việc quản
lý, sử dụng và bảo đảm an ninh mạng máy tính nội bộ, mạng máy tính có kết nối mạng
Internet được giao quản lý, vận hành; phương án bảo đảm an ninh mạng đối với hệ
thống thông tin; phương án ứng phó, khắc phục sự cố an ninh mạng; quản lý rủi
ro; quy định, quy trình truy cập và quản lý cấu hình hệ thống.
Điều 23. Trách nhiệm của Trung
tâm Công nghệ thông tin và chuyển đổi số
1. Tham mưu, giúp Bộ trưởng về công tác bảo đảm an
toàn thông tin, an ninh mạng, bảo vệ dữ liệu cá nhân.
2. Thực hiện trách nhiệm của đơn vị chuyên trách về
an toàn thông tin, an ninh mạng, lực lượng bảo vệ an ninh mạng của Bộ, đơn vị đầu
mối của Bộ về bảo vệ dữ liệu cá nhân.
3. Tổ chức xây dựng, quản lý vận hành Trung tâm
Giám sát an toàn, an ninh mạng của Bộ. Chia sẻ thông tin giám sát an toàn thông
tin mạng với Trung tâm Giám sát an toàn không gian mạng quốc gia do Bộ Thông
tin và Truyền thông quản lý theo quy định của pháp luật và hướng dẫn của Bộ
Thông tin và Truyền thông.
4. Lập kế hoạch, thực hiện kiểm tra, đánh giá an
toàn thông tin, an ninh mạng định kỳ hằng năm. Chủ trì kiểm tra việc tuân thủ
quy định của pháp luật về bảo đảm an toàn hệ thống thông tin theo cấp độ đối với
các đơn vị quản lý, vận hành hệ thống thông tin.
5. Chủ trì phối hợp với các cơ quan liên quan trong
việc xử lý, ứng cứu sự cố an toàn thông tin, an ninh mạng. Thực hiện nghĩa vụ
thành viên của Mạng lưới ứng cứu sự cố an toàn thông tin mạng quốc gia. Hằng
năm, tổ chức diễn tập ứng cứu sự cố an toàn thông tin, an ninh mạng.
6. Cấp, hủy tài khoản, quyền truy cập các hệ thống
thông tin được giao quản lý đối với các cá nhân, đơn vị, tổ chức.
7. Tổ chức thực hiện cấp thiết bị lưu trữ ngoài
(USB) do Ban Cơ yếu Chính phủ cung cấp cho các đơn vị thuộc Bộ để sử dụng cho
việc soạn thảo, lưu tài liệu mật; thực hiện việc mua sắm bản quyền phần mềm hệ,điều
hành, bộ phần mềm văn phòng cho Lãnh đạo Bộ, các Vụ, Thanh tra Bộ, Văn phòng Bộ
(không bao gồm Văn phòng phía Nam), Văn phòng Đảng ủy - Công đoàn Bộ trên cơ sở
nguồn kinh phí được giao và nhiệm vụ được phân cấp.
8. Tổ chức thực hiện tuyên truyền, phổ biến, tập huấn,
nâng cao nhận thức, kỹ năng về an toàn thông tin, an ninh mạng cho cán bộ, công
chức, viên chức và người lao động của Bộ.
9. Tổ chức thu thập, phát hiện các thông tin liên
quan tới lĩnh vực quản lý nhà nước của Bộ Kế hoạch và Đầu tư trên không gian mạng.
10. Thực hiện báo cáo cấp có thẩm quyền khi phát hiện
hành vi vi phạm pháp luật về an toàn thông tin, an ninh mạng.
11. Thực hiện thông báo cho lực lượng chuyên trách
bảo vệ an ninh mạng thuộc Bộ Công an khi phát hiện hành vi vi phạm pháp luật về
an ninh mạng sau khi báo cáo và được sự đồng ý của cấp có thẩm quyền.
12. Xây dựng, ban hành quy định, cơ chế phối hợp,
trao đổi thông tin an ninh mạng với cơ quan chuyên trách bảo vệ an ninh mạng của
Bộ Công an.
Điều 24. Trách nhiệm của Văn
phòng Bộ
1. Phối hợp với Trung tâm Công nghệ thông tin và
chuyển đổi số bảo đảm an toàn đối với các cơ sở hạ tầng mạng nội bộ, Trung tâm
dữ liệu, Trung tâm điều hành, Trung tâm Giám sát an toàn, an ninh mạng của Bộ.
2. Bố trí máy tính, máy in riêng không kết nối mạng
cho các đơn vị để soạn thảo văn bản, tài liệu chứa bí mật nhà nước trên cơ sở đề
xuất của các đơn vị và thực tế nguồn kinh phí được giao.
3. Tổng hợp đề xuất nhu cầu kinh phí từ nguồn ngân
sách nhà nước bảo đảm thực hiện công tác an toàn thông tin, an ninh mạng, bảo vệ
dữ liệu cá nhân của các đơn vị thuộc Bộ báo cáo Lãnh đạo Bộ bố trí kinh phí
trên cơ sở dự toán được giao hằng năm theo đúng quy định của pháp luật.
Điều 25. Điều khoản thi hành
1. Trung tâm Công nghệ thông tin và chuyển đổi số
chủ trì, phối hợp với các cơ quan, tổ chức, đơn vị có liên quan tổ chức hướng dẫn,
theo dõi và đôn đốc việc thực hiện các quy định của Quy chế này.
2. Trong quá trình thực hiện Quy chế này, nếu có những
vấn đề khó khăn, vướng mắc, các đơn vị phản ảnh về Trung tâm Công nghệ thông
tin và chuyển đổi số để tổng hợp, trình Bộ trưởng xem xét, quyết định cho phù hợp
với điều kiện thực tế và quy định của pháp luật hiện hành./.