ỦY BAN NHÂN DÂN
TỈNH VĨNH LONG
-------
|
CỘNG HÒA XÃ HỘI
CHỦ NGHĨA VIỆT NAM
Độc lập - Tự do - Hạnh phúc
---------------
|
Số: 1588/QĐ-UBND
|
Vĩnh Long, ngày
06 tháng 7 năm 2023
|
QUYẾT ĐỊNH
BAN
HÀNH QUY CHẾ BẢO ĐẢM AN TOÀN THÔNG TIN HỆ THỐNG THÔNG TIN VĂN PHÒNG UBND TỈNH
CHỦ TỊCH ỦY BAN NHÂN DÂN TỈNH
Căn cứ Luật Tổ chức Chính quyền địa phương ngày
19/6/2015; Luật sửa đổi, bổ sung một số điều của Luật Tổ chức Chính phủ và Luật
Tổ chức Chính quyền địa phương ngày 22/11/2019;
Căn cứ Luật Công nghệ thông tin ngày 29 tháng 6
năm 2006;
Căn cứ Luật An toàn thông tin mạng ngày 19 tháng
11 năm 2015;
Căn cứ Luật An ninh mạng ngày 12 tháng 6 năm
2018;
Căn cứ Nghị định số 85/2016/NĐ-CP , ngày 01 tháng
7 năm 2016 của Chính phủ về bảo đảm an toàn thông tin theo cấp độ;
Căn cứ Thông tư số 03/2013/TT-BTTTT ngày 22
tháng 01 năm 2013 của Bộ trưởng Bộ Thông tin và Truyền thông quy định áp dụng
tiêu chuẩn, quy chuẩn kỹ thuật đối với Trung tâm dữ liệu;
Căn cứ Thông tư số 27/2017/TT-BTTTT ngày 20
tháng 10 năm 2017 của Bộ trưởng Bộ Thông tin và Truyền thông quy định về quản
lý, vận hành, kết nối, sử dụng và bảo đảm an toàn thông tin trên mạng truyền số
liệu chuyên dùng của các cơ quan Đảng, Nhà nước;
Căn cứ Thông tư số 31/2017/TT-BTTTT ngày 15
tháng 11 năm 2017 của Bộ trưởng Bộ Thông tin và Truyền thông quy định hoạt động
giám sát an toàn hệ thống thông tin;
Căn cứ Thông tư số 39/2017/TT-BTTTT ngày 15
tháng 12 năm 2017 của Bộ trưởng Bộ Thông tin và Truyền thông ban hành danh mục tiêu
chuẩn kỹ thuật về ứng dụng công nghệ thông tin trong cơ quan nhà nước;
Căn cứ Quyết định số 13/2023/QĐ-UBND ngày 20
tháng 6 năm 2023 của Ủy ban nhân dân tỉnh Quy định chức năng, nhiệm vụ, quyền hạn
và cơ cấu tổ chức của Văn phòng Ủy ban nhân dân tỉnh Vĩnh Long;
Theo đề nghị tại Tờ trình số 921/TTr-VPUBND ngày
22 tháng 6 năm 2023 của Chánh Văn phòng Ủy ban nhân dân tỉnh.
QUYẾT ĐỊNH:
Điều 1. Ban hành kèm theo
Quyết định này Quy chế Bảo đảm an toàn thông tin Hệ thống thông tin Văn phòng Ủy
ban nhân dân tỉnh.
Điều 2. Giao Chánh Văn
phòng Ủy ban nhân dân tỉnh chủ trì phối hợp các đơn vị có liên quan triển khai
thực hiện, đảm bảo hiệu quả và tiết kiệm; định kỳ báo cáo kết quả thực hiện cho
Chủ tịch Ủy ban nhân dân tỉnh theo quy định.
Điều 3. Chánh Văn phòng Ủy
ban nhân dân tỉnh, Thủ trưởng các sở, ban, ngành tỉnh, Chủ tịch Ủy ban nhân dân
các huyện, thị xã, thành phố và các cơ quan, đơn vị có liên quan chịu trách nhiệm
thi hành Quyết định.
Quyết định có hiệu lực thi hành kể từ ngày ký./.
Nơi nhận:
- Như Điều 3;
- CT, PCT UBND tỉnh;
- Lãnh đạo VP UBND tỉnh;
- Công an tỉnh (PA05);
- Các phòng, ban, trung tâm thuộc VPUBT;
- Lưu: VT, 3.30.05.
|
KT.CHỦ TỊCH
PHÓ CHỦ TỊCH
Nguyễn Thị Quyên Thanh
|
QUY CHẾ
BẢO
ĐẢM AN TOÀN THÔNG TIN HỆ THỐNG THÔNG TIN VĂN PHÒNG UBND TỈNH
(Ban hành kèm theo Quyết định số 1588/QĐ-UBND ngày 06/7/2023 của Chủ tịch
UBND tỉnh)
Chương I:
QUY ĐỊNH CHUNG
Điều 1. Phạm vi điều chỉnh, đối
tượng áp dụng
1. Quy chế này quy định phạm vi tài nguyên thông
tin, các nguyên tắc, biện pháp, quy trình xử lý về công tác đảm bảo an toàn
thông tin (ATTT) cho Hệ thống thông tin Văn phòng UBND tỉnh.
2. Quy chế này áp dụng đối với Văn phòng UBND tỉnh,
các sở ban ngành tỉnh, UBND cấp huyện, UBND cấp xã (sau đây gọi là cơ quan, đơn
vị); cán bộ, công chức, viên chức, người lao động trong cơ quan, đơn vị (sau
đây gọi là cá nhân) có tham gia vào hoạt động khai thác sử dụng các hệ thống
thông tin dùng chung của tỉnh (bao gồm: Hệ thống thông tin Quản lý văn bản và
điều hành, Hệ thống giải quyết thủ tục hành chính, Hệ thống Cổng thông tin điện
tử, Hệ thống báo cáo, Hệ thống họp không giấy,…) do Văn phòng UBND tỉnh quản lý
sau đây gọi là Hệ thống thông tin Văn phòng UBND tỉnh hoặc kết nối vào Hệ thống
thông tin Văn phòng UBND tỉnh.
Điều 2. Mục tiêu và nguyên tắc
đảm bảo an toàn thông tin
1. Mục tiêu đảm bảo an toàn thông tin
a) Nâng cao nhận thức về vai trò quan trọng của
công tác đảm bảo ATTT trong quản lý, ứng dụng công nghệ thông tin; phòng chống
và bảo vệ thông tin trên không gian mạng tại cơ quan, đơn vị và trên môi trường
Internet.
b) Nhằm chủ động phòng ngừa, ngăn chặn có hiệu quả
và giảm các nguy cơ gây mất ATTT và đảm bảo ATTT trong quá trình vận hành ứng dụng
công nghệ thông tin trong hoạt động của cơ quan, đơn vị.
2. Nguyên tắc đảm bảo an toàn thông tin
a) Hoạt động đảm bảo ATTT của cơ quan, đơn vị phải
đúng quy định của pháp luật, giữ bí mật cá nhân, nhà nước, cơ quan, đơn vị.
b) Việc xử lý sự cố ATTT mạng phải đảm bảo quyền và
lợi ích hợp pháp của tổ chức, cá nhân, không xâm phạm đến đời sống riêng tư, bí
mật cá nhân, bí mật gia đình của cá nhân, thông tin cơ quan, đơn vị.
c) Chủ động phòng ngừa, phát hiện, ngăn chặn kịp thời
và hiệu quả các nguy cơ đe dọa ATTT của cơ quan, đơn vị.
d) Thông tin thuộc quy định danh mục bí mật nhà nước
của các cơ quan, đơn vị phải được phân loại, lưu trữ, bảo vệ trên cơ sở quy định
của pháp luật về bảo vệ bí mật nhà nước.
đ) Việc đảm bảo ATTT là yêu cầu bắt buộc trong quá
trình thiết kế, xây dựng, vận hành, nâng cấp và hủy bỏ các hệ thống thông tin,
hạ tầng kỹ thuật của cơ quan, đơn vị.
Điều 3. Giải thích từ ngữ
Trong Quy chế này, các từ ngữ dưới đây được hiểu
như sau:
1. An toàn thông tin là sự bảo vệ thông tin và các
hệ thống thông tin tránh bị truy nhập, sử dụng, tiết lộ, gián đoạn, sửa đổi hoặc
phá hoại trái phép nhằm đảm bảo tính nguyên vẹn, tính bảo mật và tính khả dụng
của thông tin.
2. Sự cố an toàn thông tin là việc thông tin, hệ thống
thông tin bị gây nguy hại, ảnh hưởng tới tính nguyên vẹn, tính bảo mật hoặc
tính khả dụng.
3. Xâm phạm ATTT là hành vi truy nhập, sử dụng, tiết
lộ, làm gián đoạn, sửa đổi, làm sai lệch chức năng, phá hoại trái phép thông
tin và hệ thống thông tin.
4. Hạ tầng kỹ thuật là tập hợp thiết bị tính toán,
lưu trữ, thiết bị ngoại vi, thiết bị kết nối mạng, thiết bị phụ trợ, đường truyền,
mạng nội bộ, mạng diện rộng.
5. Hệ thống thông tin là tập hợp phần cứng, phần mềm
và cơ sở dữ liệu được thiết lập phục vụ mục đích tạo lập, cung cấp, truyền đưa,
thu thập, xử lý, lưu trữ và trao đổi thông tin trên môi trường mạng.
6. Trang thông tin điện tử là trang thông tin hoặc
một tập hợp trang thông tin trên môi trường mạng phục vụ cho việc cung cấp,
trao đổi thông tin.
7. Cổng thông tin điện tử là điểm truy nhập duy nhất
của cơ quan, đơn vị trên môi trường mạng, liên kết, tích hợp các kênh thông
tin, các dịch vụ và các ứng dụng mà qua đó người dùng có thể khai thác, sử dụng
và cá nhân hóa việc hiển thị thông tin.
8. Phần mềm độc hại là phần mềm có khả năng gây ra
hoạt động không bình thường cho một phần hay toàn bộ hệ thống thông tin hoặc thực
hiện sao chép, sửa đổi, xóa bỏ trái phép thông tin lưu trữ trong hệ thống thông
tin.
9. Cổng giao tiếp dùng để định danh các ứng dụng gửi
và nhận dữ liệu. Mỗi ứng dụng sẽ được gắn tương ứng (không cố định) với một cổng
giao tiếp. Những ứng dụng phổ biến được đặt với số hiệu cổng định trước, nhằm định
danh duy nhất các ứng dụng đó. Khi máy tính sử dụng dịch vụ nào thì cổng giao
tiếp tương ứng với dịch vụ đó sẽ mở.
10. Bản ghi nhật ký hệ thống là một tập tin được tạo
ra trên mỗi thiết bị của hệ thống thông tin như: thiết bị bảo mật, thiết bị
tính toán, máy chủ ứng dụng, ... có chứa tất cả thông tin về các hoạt động xảy
ra trên thiết bị đó. Bản ghi nhật ký hệ thống dùng để phân tích những sự kiện
đã xảy ra, nguồn gốc và các kết quả để có các biện pháp xử lý thích hợp.
11. Thiết bị lưu trữ dữ liệu di động là thiết bị được
sử dụng để đọc, ghi dữ liệu có thể được di chuyển tới nhiều nơi, nhiều người có
thể sử dụng (ổ cứng di động, USB, máy tính xách tay, thẻ nhớ, CD, DVD,...).
12. Lưu trữ trên môi trường mạng là phương thức lưu
trữ sử dụng các ứng dụng lưu trữ của các nhà cung cấp. Dữ liệu được đưa lên máy
chủ của nhà cung cấp dịch vụ lưu trữ.
13. Thông tin cá nhân là thông tin gắn với việc xác
định danh tính của một người cụ thể.
14. Xử lý thông tin cá nhân là việc thực hiện một hoặc
một số thao tác thu thập, biên tập, sử dụng, lưu trữ, cung cấp, chia sẻ, phát
tán thông tin cá nhân trên mạng nhằm mục đích thương mại.
Điều 4. Tài nguyên thông tin cần
đảm bảo an toàn thông tin
Tài nguyên thông tin cần đảm bảo ATTT của Hệ thống
thông tin Văn phòng UBND tỉnh bao gồm các thành phần sau đây:
1. Hệ thống hạ tầng kỹ thuật:
a) Thiết bị tính toán, lưu trữ: Máy chủ, máy trạm,
thiết bị lưu trữ (SAN), tường lửa (Firewall),...
b) Thiết bị ngoại vi: Máy in, máy quét và các thiết
bị số hóa, thiết bị lưu trữ dữ liệu di động,...
c) Đường truyền dữ liệu, đường kết nối Internet.
d) Mạng nội bộ (LAN), mạng diện rộng (WAN) và thiết
bị kết nối mạng, thiết bị bảo mật, thiết bị phụ trợ.
đ) Thiết bị công nghệ thông tin được kết nối mạng trong
các cơ quan, đơn vị.
2. Hệ thống thông tin, phần mềm, ứng dụng và cơ sở
dữ liệu đang được lưu giữ (hosting) tại Hệ thống mạng tin học Văn phòng UBND tỉnh.
3. Thông tin, dữ liệu được trao đổi, truyền tải, xử
lý và lưu trữ trên hạ tầng kỹ thuật của cơ quan, đơn vị.
Điều 5. Các hành vi bị nghiêm cấm
1. Vi phạm các quy định, quy chế, quy trình về quản
lý, vận hành, sử dụng và đảm bảo ATTT đối với hạ tầng kỹ thuật và hệ thống
thông tin của cơ quan, đơn vị.
2. Vi phạm các quy chế quản lý, vận hành Hệ thống thông
tin Văn phòng UBND tỉnh (bao gồm: Hệ thống thông tin quản lý Văn bản và điều
hành, Hệ thống Cổng thông tin điện tử, Hệ thống thông tin báo cáo, Hệ thống
thông tin giải quyết thủ tục hành chính, Hệ thống họp không giấy,…)
3. Ngăn chặn việc truyền tải thông tin, can thiệp,
truy nhập, gây nguy hại, xóa, thay đổi, sao chép và làm sai lệch thông tin trên
không gian mạng của cơ quan, đơn vị, mạng Internet trái quy định.
4. Làm ảnh hưởng, cản trở, tấn công, chiếm quyền điều
khiển, phá hoại hoạt động bình thường hoặc tới khả năng truy nhập các tài
nguyên thông tin của cơ quan, đơn vị.
5. Tấn công, vô hiệu hóa tác dụng của các dịch vụ
ATTT mạng của cơ quan, đơn vị.
6. Sử dụng tài nguyên của cơ quan, đơn vị để phát
tán thư rác, phần mềm độc hại, thiết lập hệ thống thông tin giả mạo, lừa đảo.
7. Xử lý thông tin cá nhân trái với quy định của
pháp luật; lợi dụng sơ hở, điểm yếu của hệ thống quản lý tài nguyên thông tin để
xử lý thông tin cá nhân, bí mật cơ quan, nhà nước.
8. Lợi dụng hoặc lạm dụng hoạt động bảo vệ tài
nguyên thông tin mạng để xâm phạm chủ quyền, lợi ích, an ninh quốc gia, trật tự,
an toàn xã hội, quyền và lợi ích hợp pháp của cơ quan, tổ chức, cá nhân hoặc để
trục lợi.
9. Tự ý thay đổi, gỡ bỏ biện pháp an toàn thông tin
cài đặt trên thiết bị công nghệ thông tin phục vụ công việc; tự ý thay thế, lắp
mới, tráo đổi thành phần của máy tính phục vụ công việc.
10. Tự ý đấu nối thiết bị mạng, thiết bị cấp phát địa
chỉ mạng, thiết bị phát sóng như điểm truy cập mạng không dây của cá nhân vào mạng
nội bộ mà không có sự hướng dẫn hoặc đồng ý của đơn vị quản lý hệ thống thông
tin; trên cùng một thiết bị thực hiện đồng thời truy cập vào mạng nội bộ và
truy cập Internet bằng thiết bị kết nối Internet của cá nhân.
Chương II
QUY ĐỊNH ĐẢM BẢO AN TOÀN
THÔNG TIN
Điều 6. Đảm bảo an toàn thông
tin mức vật lý
1. Đảm bảo ATTT mức vật lý là việc bảo vệ hệ thống
hạ tầng kỹ thuật, phần mềm, ứng dụng và cơ sở dữ liệu khỏi các mối nguy hiểm vật
lý (như: cháy, nổ; nhiệt độ, độ ẩm ngoài mức cho phép; thiên tai; mất điện; tác
động cơ học) có thể gây ảnh hưởng đến hoạt động hệ thống.
2. Các biện pháp đảm bảo ATTT mức vật lý bao gồm
a) Quản lý Trung tâm Dữ liệu Văn phòng UBND tỉnh
- Các thiết bị kết nối mạng, thiết bị bảo mật quan
trọng như: Tường lửa, thiết bị định tuyến, hệ thống máy chủ, hệ thống lưu trữ
(SAN), hệ thống sao lưu (NAS),... phải được đặt trong Trung tâm Dữ liệu.
- Máy chủ phải được bảo vệ, theo dõi, và kiểm soát
truy nhập, kết nối vật lý phù hợp đối với từng khu vực: máy chủ và hệ thống lưu
trữ; kết nối mạng; thiết bị nguồn điện và dự phòng điện khẩn cấp; vận hành, kiểm
soát, quản trị hệ thống.
- Quá trình vào, ra Trung tâm Dữ liệu phải được ghi
nhận vào nhật ký quản lý Trung tâm Dữ liệu. Chỉ những cá nhân có quyền, được
giao nhiệm vụ theo quy định của Thủ trưởng cơ quan, đơn vị mới được phép vào
Trung tâm Dữ liệu. Cá nhân ngoài đơn vị chỉ được phép vào Trung tâm Dữ liệu khi
được sự cho phép của Thủ trưởng của cơ quan, đơn vị hoặc lãnh đạo phụ trách quản
lý.
- Có phương án, kế hoạch phòng, chống và khắc phục
sự cố ngập, dột nước, sét, tĩnh điện, cháy nổ; áp dụng các quy chuẩn kỹ thuật về
an toàn kỹ thuật nhiệt, độ ẩm, ánh sáng cho các thiết bị tính toán, lưu trữ; đảm
bảo điều kiện hoạt động ổn định cho các hệ thống hỗ trợ như máy điều hòa nhiệt
độ, nguồn cấp điện, dây dẫn.
- Trung tâm Dữ liệu phải được trang bị hệ thống lưu
điện đủ công suất và duy trì thời gian hoạt động của các máy chủ ít nhất 15
phút khi có sự cố mất điện.
b) Thiết lập cơ chế dự phòng đối với các thiết bị hạ
tầng kỹ thuật quan trọng; có kế hoạch kiểm tra, bảo dưỡng định kỳ và duy trì
thông số kỹ thuật các thiết bị này hoặc có phương án sửa chữa, thay thế đáp ứng
yêu cầu về độ sẵn sàng trong suốt thời gian lắp đặt, sử dụng.
c) Các đường truyền dữ liệu, đường truyền Internet
và hệ thống dây dẫn các mạng WAN, LAN phải được lắp đặt trong ống, máng che đậy
kín, hạn chế khả năng tiếp cận trái phép. Ngắt kết nối cổng Ethernet không sử dụng,
đặc biệt là ở khu vực làm việc chung của các cơ quan, đơn vị.
d) Cá nhân sử dụng thiết bị lưu trữ dữ liệu di động
để lưu trữ thông tin, cơ quan, đơn vị mình có trách nhiệm bảo vệ thiết bị này
và thông tin lưu trên thiết bị, tránh làm mất hoặc lộ, lọt thông tin, dữ liệu.
Không mang ra nước ngoài thông tin, dữ liệu của cơ quan, đơn vị, của Nhà nước
mà không liên quan tới nội dung công việc thực hiện ở nước ngoài.
đ) Thiết bị tính toán có bộ phận lưu trữ hoặc thiết
bị lưu trữ khi mang đi bảo hành, bảo dưỡng, sửa chữa bên ngoài hoặc ngừng sử dụng
phải được tháo bộ phận lưu trữ khỏi thiết bị hoặc xóa thông tin, dữ liệu lưu trữ
trên thiết bị (trừ trường hợp để khôi phục dữ liệu). Khi thanh lý thiết bị thì
phải xóa thông tin lưu trữ trên thiết bị đảm bảo không thể phục hồi, bằng thiết
bị hủy dữ liệu chuyên dụng hoặc phá hủy vật lý.
e) Thiết bị đầu cuối phải đảm bảo đầy đủ thông tin
(tên, chủng loại, địa chỉ MAC, địa chỉ IP) phải được quản lý và cập nhật; việc
cài đặt, kết nối và gỡ bỏ thiết bị đầu cuối trong hệ thống phải được cho phép bởi
người có thẩm quyền và thực hiện theo quy trình được phê duyệt.
Điều 7. Đảm bảo an toàn hệ thống
máy chủ và ứng dụng
1. Quản lý, vận hành hoạt động bình thường của hệ
thống máy chủ và dịch vụ
- Bảo đảm cho hệ điều hành, phần mềm cài đặt trên
máy chủ hoạt động liên tục, ổn định và an toàn.
- Thường xuyên kiểm tra cấu hình, các file nhật ký
hoạt động của hệ điều hành, phần mềm nhằm kịp thời phát hiện và xử lý những sự
cố nếu có.
- Quản lý các thay đổi cấu hình kỹ thuật của hệ điều
hành, phần mềm.
- Có phương án cập nhật bản vá, xử lý điểm yếu an
toàn thông tin cho hệ điều hành và các dịch vụ hệ thống trên máy chủ;
- Loại bỏ các thành phần của hệ điều hành, phần mềm
không cần thiết hoặc không còn nhu cầu sử dụng.
- Các bản quyền phần mềm cần được thống kê, quản lý
thời gian hạn phục vụ cho việc gia hạn.
2. Truy cập mạng của máy chủ
Bảo đảm các kết nối mạng trên máy chủ hoạt động
liên tục, ổn định và an toàn. Cấu hình, kiểm soát các kết nối, các cổng dịch vụ
từ bên trong đi ra cũng nhưng bên ngoài vào hệ thống.
3. Truy cập và quản trị máy chủ và ứng dụng
- Thay đổi các tài khoản, mật khẩu mặc định ngay
khi đưa hệ điều hành, phần mềm vào sử dụng.
- Cấp quyền quản lý truy cập của người sử dụng trên
máy chủ cài đặt hệ điều hành.
- Toàn bộ máy chủ và thiết bị công nghệ thông tin
không phải máy tính ngoại trừ các hệ thống bắt buộc phải có giao tiếp với Internet
(các hệ thống phục vụ truy cập Internet; cung cấp giao diện ra Internet của
Trang tin điện tử, dịch vụ công, thư điện tử; phục vụ cập nhật bản vá hệ điều
hành, mẫu mã độc, mẫu điểm yếu, mẫu tấn công) không được kết nối Internet.
4. Cập nhật, sao lưu dự phòng và khôi phục sau khi
xảy ra sự cố: Triển khai hệ thống/phương tiện lưu trữ độc lập với hệ thống lưu
trữ trên các máy chủ dịch vụ để sao lưu dự phòng; phân loại và quản lý thông
tin, dữ liệu được lưu trữ theo từng loại/nhóm thông tin được gán nhãn khác
nhau; thực hiện sao lưu, dự phòng các thông tin, dữ liệu cơ bản sau: tập tin cấu
hình hệ thống, ảnh hệ điều hành máy chủ, cơ sở dữ liệu; dữ liệu, thông tin nghiệp
vụ.
5. Khi truy cập và sử dụng thiết bị đầu cuối từ xa
phải có cơ chế xác thực và sử dụng giao thức mạng an toàn.
Điều 8. Quản lý an toàn người sử
dụng đầu cuối
1. Cá nhân sử dụng máy tính để xử lý công việc tuân
thủ các quy định sau:
a) Chỉ cài đặt phần mềm hợp lệ (phần mềm có bản quyền
thương mại, phần mềm nội bộ được đầu tư hoặc phần mềm mã nguồn mở có nguồn gốc
rõ ràng) và thuộc danh mục phần mềm được phép sử dụng do cơ quan, đơn vị theo
quy định trên máy tính được cơ quan, đơn vị cấp cho mình; không được tự ý cài đặt
hoặc gỡ bỏ các phần mềm khi chưa có sự đồng ý của bộ phận kỹ thuật của cơ quan,
đơn vị; thường xuyên cập nhật phần mềm và hệ điều hành.
b) Cài đặt phần mềm xử lý phần mềm độc hại và thiết
lập chế độ tự động cập nhật cơ sở dữ liệu cho phần mềm; thực hiện kiểm tra, rà
quét phần mềm độc hại khi sao chép, mở các tập tin hoặc trước khi kết nối các
thiết bị lưu trữ dữ liệu di động với máy tính của mình.
c) Khi phát hiện ra bất kỳ dấu hiệu nào liên quan đến
việc bị nhiễm phần mềm độc hại trên máy tính (máy chạy chậm bất thường, cảnh
báo từ phần mềm phòng, chống phần mềm độc hại, mất dữ liệu,...), phải tắt máy
và báo trực tiếp cho bộ phận kỹ thuật để được xử lý kịp thời.
d) Chỉ truy nhập vào các Cổng hoặc trang thông tin
điện tử, ứng dụng trực tuyến tin cậy và các thông tin phù hợp với chức năng,
trách nhiệm, quyền hạn của mình; sử dụng những trình duyệt an toàn; không truy
nhập, mở các trang tin, thư điện tử không rõ nguồn gốc; không sử dụng tính năng
lưu mật khẩu tự động hoặc đăng nhập tự động.
đ) Có trách nhiệm bảo mật tài khoản truy nhập thông
tin, không chia sẻ mật khẩu, thông tin cá nhân với người khác. Đặt mật khẩu với
độ an toàn cao (có độ dài tối thiểu 8 ký tự bao gồm chữ thường, chữ in hoa, số
và ký tự đặc biệt như @, #, !,...) và thay đổi mật khẩu ít nhất 03 tháng/lần;
các tài khoản đăng nhập các hệ thống phải được đăng xuất khi không sử dụng; thường
xuyên xóa các biểu mẫu, mật khẩu, thông tin lưu trên trình duyệt máy tính (bộ
nhớ cache và cookie).
e) Thực hiện thao tác khóa máy tính (phím Window +
L) khi rời khỏi nơi đặt máy tính; tắt máy tính khi rời khỏi cơ quan.
g) Báo cáo và phải được thủ trưởng cơ quan, đơn vị
đồng ý, cho phép trước khi mang máy tính, thiết bị công nghệ thông tin có kết nối
mạng thuộc sở hữu riêng đến nơi làm việc và kết nối với mạng nội bộ để thực hiện
xử lý công việc. Trong trường hợp này, cá nhân phải tuân thủ đầy đủ các quy định
tại các điểm a, b, c, d, e khoản này và chịu sự giám sát của bộ phận kỹ thuật của
cơ quan, đơn vị.
2. Cơ quan, đơn vị có trách nhiệm tập hợp, cập nhật
tài liệu hướng dẫn, quy định về đảm bảo ATTT khi sử dụng máy tính (cho phù hợp
với điều kiện môi trường hoạt động, tình hình phát triển công nghệ thông tin)
và phổ biến đến tất cả cá nhân thuộc phạm vi cơ quan, đơn vị mình để tuân thủ
thực hiện.
3. Tài khoản truy nhập
a) Cá nhân sử dụng hệ thống thông tin được cấp và sử
dụng tài khoản truy nhập với định danh duy nhất gắn với cá nhân đó.
b) Trường hợp cá nhân thay đổi vị trí công tác,
chuyển công tác, thôi việc hoặc nghỉ hưu, cơ quan, trong vòng không quá 05 ngày
làm việc, bộ phận quản lý cán bộ phải thông báo cho bộ phận kỹ thuật quản lý để
điều chỉnh, thu hồi, hủy bỏ các quyền sử dụng đối với hệ thống thông tin.
c) Tài khoản quản trị hệ thống (mạng, hệ điều hành,
thiết bị kết nối mạng, phần mềm, ứng dụng, cơ sở dữ liệu) phải tách biệt với
tài khoản truy nhập của người sử dụng thông thường. Tài khoản quản trị hệ thống
phải được giao đích danh cá nhân làm công tác quản trị. Hạn chế dùng chung tài
khoản quản trị. Cá nhân được giao tài khoản quản trị hệ thống phải thực hiện
cam kết về bảo mật thông tin khi được giao sử dụng. Thực hiện hạn chế IP, giới
hạn đăng nhập dựa trên địa chỉ IP đối với tài khoản quản trị hệ thống.
Điều 9. Đảm bảo an toàn thông
tin đối với mạng máy tính
1. Hệ thống mạng của hệ thống phải được thiết kế
phân vùng theo chức năng, bao gồm: vùng mạng người dùng; vùng mạng kết nối hệ
thống với mạng Internet và các mạng khác; vùng mạng máy chủ công cộng; vùng mạng
máy chủ nội bộ; vùng mạng máy chủ quản trị. Dữ liệu trao đổi giữa các vùng mạng
phải được quản lý, giám sát bởi các hệ thống các thiết bị mạng, thiết bị bảo mật.
Theo yêu cầu về bảo mật an toàn dữ liệu theo cấp độ, đơn vị quản lý, vận hành
phải triển khai các biện pháp kỹ thuật sau đây:
a) Kiểm soát truy nhập từ bên ngoài mạng (sử dụng
các giao thức mạng có hỗ trợ chức năng mã hóa thông tin như SSH, SSL/TLS, VPN
hoặc tương đương).
b) Kiểm soát truy nhập từ bên trong mạng (quản lý
các thiết bị đầu cuối, máy tính người sử dụng kết nối vào hệ thống mạng; giám
sát, phát hiện và ngăn chặn truy nhập từ bên trong mạng đến các địa chỉ
Internet bị cấm truy nhập).
c) Phòng, chống xâm nhập và phần mềm độc hại, bảo vệ
các vùng mạng máy chủ công cộng, máy chủ nội bộ, máy chủ cơ sở dữ liệu và vùng
mạng nội bộ; có khả năng tự động cập nhật thời gian thực cơ sở dữ liệu, dấu hiệu
phát hiện tấn công. Vô hiệu hóa tất cả các dịch vụ không cần thiết tại từng
vùng mạng.
d) Cấu hình chức năng xác thực trên các thiết bị kết
nối mạng để xác thực người sử dụng quản trị thiết bị trực tiếp hoặc từ xa.
đ) Mạng không dây phải có cơ chế bảo toàn tính toàn
vẹn và bí mật của thông tin được truyền đưa trên môi trường mạng, có hướng dẫn
đảm bảo ATTT dành cho các thiết bị đầu cuối khi kết nối vào mạng; có giải pháp
phân chia vùng mạng dành riêng cho từng đối tượng sử dụng nhằm đảm bảo an toàn
thông tin cho người dùng và hệ thống; thiết lập các tham số: tên, nhận dạng dịch
vụ (SSID), mật khẩu, cấp phép truy nhập đối với địa chỉ vật lý (MAC address),
mã hóa dữ liệu. Thường xuyên thay đổi mật khẩu. Các điểm truy nhập không dây phải
được bảo vệ, tránh bị tiếp cận trái phép.
e) Hệ thống máy chủ phải có chức năng tự động cập
nhật bản ghi nhật ký hệ thống trong khoảng thời gian nhất định (tối thiểu là 03
tháng), lưu trữ thông tin kết nối mạng, quá trình đăng nhập vào máy chủ, các
thao tác cấu hình hệ thống, lỗi phát sinh trong quá trình hoạt động và các
thông tin liên quan về ATTT để phục vụ công tác khắc phục sự cố và điều tra về
ATTT khi xảy ra. Xóa sạch thông tin, dữ liệu trên máy chủ khi chuyển giao hoặc
thay đổi mục đích sử dụng.
g) Theo yêu cầu thực tế về đảm bảo ATTT theo mức độ
của hệ thống, đơn vị chuyên trách về ATTT của cơ quan, đơn vị chủ động tham mưu
các giải pháp triển khai thực hiện theo quy định.
2. Phòng chống phần mềm độc hại
a) Tất cả máy trạm, máy chủ phải được trang bị phần
mềm chống mã độc có bản quyền và phải được cập nhật thường xuyên. Các phần mềm
phòng chống mã độc phải được thiết lập chế độ tự động cập nhật; chế độ tự động
quét mã độc khi sao chép, mở các tập tin.
b) Khi phát hiện ra bất kỳ dấu hiệu nào liên quan đến
việc bị nhiễm mã độc trên máy trạm (ví dụ: máy hoạt động chậm bất thường, cảnh
báo từ phần mềm phòng chống mã độc, mất dữ liệu,…), người sử dụng phải báo trực
tiếp cho bộ phận có trách nhiệm của đơn vị để xử lý.
c) Phần mềm ứng dụng trước khi được cài đặt, sử dụng
phải được kiểm tra phần mềm độc hại; tất cả các tập tin, thư mục phải được quét
mã độc trước khi sao chép, sử dụng.
d) Định kỳ hàng năm thực hiện kiểm tra và dò quét
phần mềm độc hại trên toàn bộ hệ thống; thực hiện kiểm tra và xử lý phần mềm độc
hại khi phát hiện dấu hiệu hoặc cảnh báo về dấu hiệu phần mềm độc hại xuất hiện
trên hệ thống.
3. Cơ quan, đơn vị phải áp dụng các biện pháp kỹ
thuật cần thiết đảm bảo ATTT trong hoạt động kết nối Internet, tối thiểu đáp ứng
các yêu cầu sau:
a) Có hệ thống tường lửa và hệ thống bảo vệ kiểm
soát truy nhập Internet, đáp ứng nhu cầu kết nối đồng thời, hỗ trợ các công nghệ
mạng riêng ảo thông dụng và có phần cứng mã hóa tích hợp để tăng tốc độ mã hóa
dữ liệu, cung cấp đầy đủ các cơ chế bảo mật cơ bản như NAT, PAT, quản lý luồng
dữ liệu ra, vào và có khả năng bảo vệ hệ thống trước các loại tấn công.
b) Lọc bỏ, không cho phép truy nhập các trang tin
có nghi ngờ chứa mã độc hoặc các nội dung không phù hợp.
c) Không mở trang tin hoặc ứng dụng Internet trên
máy tính chứa dữ liệu quan trọng hoặc có khả năng tiếp cận các dữ liệu, ứng dụng
quan trọng; chỉ thiết lập kết nối Internet cho các máy chủ và thiết bị công nghệ
thông tin cần phải có giao tiếp với Internet; thiết bị phải được cập nhật bản
vá hệ điều hành, mẫu mã độc, mẫu điểm yếu, mẫu tấn công).
Điều 10. Đảm bảo an toàn thông
tin mức ứng dụng
1. Cơ quan, đơn vị xây dựng, vận hành và sử dụng phần
mềm, ứng dụng phải đáp ứng các yêu cầu sau:
a) Yêu cầu về đảm bảo ATTT phải được đưa vào tất cả
các công đoạn thiết kế, xây dựng, triển khai và vận hành, sử dụng phần mềm.
b) Cấu hình phần mềm, ứng dụng để xác thực người sử
dụng; giới hạn số lần đăng nhập sai liên tiếp; giới hạn thời gian chờ để đóng
phiên kết nối; mã hóa thông tin xác thực trên hệ thống; không khuyến khích việc
đăng nhập tự động.
c) Thiết lập phân quyền truy nhập, quản trị, sử dụng
tài nguyên khác nhau của phần mềm, ứng dụng với người sử dụng/nhóm người sử dụng
có chức năng, yêu cầu nghiệp vụ khác nhau; tách biệt cổng giao tiếp quản trị phần
mềm ứng dụng với cổng giao tiếp cung cấp dịch vụ; đóng các cổng giao tiếp không
sử dụng.
d) Chỉ cho phép sử dụng các giao thức mạng có hỗ trợ
chức năng mã hóa thông tin như SSH, SSL/TLS, VPN hoặc tương đương khi truy nhập,
quản trị phần mềm, ứng dụng từ xa thông trên môi trường mạng; hạn chế truy nhập
tới mã nguồn của phần mềm, ứng dụng và phải đặt mã nguồn trong môi trường an
toàn do bộ phận có trách nhiệm quản lý.
đ) Ghi và lưu giữ bản ghi nhật ký hệ thống của phần
mềm, ứng dụng trong khoảng thời gian tối thiểu là 03 tháng với những thông tin
cơ bản: thời gian, địa chỉ, tài khoản (nếu có), nội dung truy nhập và sử dụng
phần mềm, ứng dụng; các lỗi phát sinh trong quá trình hoạt động; thông tin đăng
nhập khi quản trị.
e) Thực hiện quy trình kiểm soát việc cài đặt, cập nhật,
vá lỗi bảo mật phần mềm, ứng dụng trên các máy chủ, máy tính cá nhân, thiết bị
kết nối mạng đang hoạt động thuộc hệ thống mạng nội bộ.
g) Kiểm tra và khắc phục điểm yếu của ứng dụng trước
khi đưa vào sử dụng và trong quá trình sử dụng.
h) Xây dựng quy định và hướng dẫn về việc khai
thác, sử dụng hệ thống thông tin có liên quan đến người dân.
2. Văn phòng UBND tỉnh có trách nhiệm phối hợp với
các cơ quan, đơn vị tham mưu UBND tỉnh như sau:
a) Xây dựng kế hoạch, các phương án đảm bảo ATTT
cho Hệ thống thông tin Văn phòng UBND tỉnh.
b) Thường xuyên theo dõi, giám sát ATTT và kiểm
tra, rà soát hoạt động của Hệ thống thông tin Văn phòng UBND tỉnh.
c) Xây dựng phương án ứng cứu, khắc phục sự cố.
Điều 11. Đảm bảo an toàn thông
tin mức dữ liệu
1. Cơ quan, đơn vị thực hiện bảo vệ thông tin, dữ
liệu liên quan đến hoạt động công vụ, thông tin có nội dung quan trọng, nhạy cảm
hoặc không phải là thông tin công khai như sau:
a) Thiết lập phương án đảm bảo tính bí mật, nguyên
vẹn và khả dụng của thông tin, dữ liệu; giám sát, cảnh báo khi có thay đổi hoặc
phát hiện, ngăn chặn các tác động truy nhập, gửi, nhận dữ liệu trái phép; khuyến
khích áp dụng chữ ký số để xác thực và bảo mật thông tin, dữ liệu, đặc biệt
trong trường hợp cần đảm bảo chống từ chối nguồn gốc dữ liệu.
b) Mã hóa thông tin, dữ liệu khi lưu trữ trên hệ thống
lưu trữ/thiết bị lưu trữ dữ liệu di động; thiết lập phân vùng lưu trữ mã hóa,
chỉ cho phép cá nhân có quyền, trách nhiệm truy nhập, lưu trữ dữ liệu trên phân
vùng mã hóa.
c) Triển khai hệ thống/phương tiện lưu trữ độc lập
với hệ thống lưu trữ trên các máy chủ dịch vụ để sao lưu dự phòng; phân loại và
quản lý thông tin, dữ liệu được lưu trữ theo từng loại/nhóm thông tin được gán
nhãn khác nhau; thực hiện sao lưu, dự phòng các thông tin, dữ liệu cơ bản sau:
tập tin cấu hình hệ thống, ảnh hệ điều hành máy chủ, cơ sở dữ liệu; dữ liệu,
thông tin nghiệp vụ.
d) Bố trí máy tính riêng không kết nối mạng, đặt mật
khẩu, mã hóa dữ liệu, phân quyền tài khoản người dùng và các biện pháp bảo mật
khác đảm bảo ATTT để soạn thảo, lưu trữ dữ liệu, thông tin và tài liệu quan trọng
ở các mức độ mật, tối mật, tuyệt mật.
2. Cơ quan, đơn vị phải thường xuyên kiểm tra, giám
sát hoạt động chia sẻ, gửi, nhận thông tin, dữ liệu trong hoạt động nội bộ của
mình; khuyến cáo việc chia sẻ, gửi, nhận thông tin trên môi trường mạng cần phải
sử dụng mật khẩu để bảo vệ thông tin.
3. Đối với hoạt động trao đổi thông tin, dữ liệu với
bên ngoài, cơ quan, đơn vị và cá nhân thực hiện trao đổi thông tin, dữ liệu ra
bên ngoài phải có biện pháp bảo mật thông tin, dữ liệu được trao đổi; yêu cầu
bên ngoài đáp ứng các thỏa thuận kết nối, bảo vệ thông tin phù hợp với quy định
về đảm bảo ATTT; thiết lập chức năng phát hiện dữ liệu đính kèm có phần mềm độc
hại, cơ chế bảo mật truyền thông không dây, mã hóa thông tin, dữ liệu trước khi
truyền đưa, trao đổi trên môi trường mạng theo quy định của pháp luật.
Điều 12. Đảm bảo an toàn thông
tin khi tiếp nhận, vận hành và bảo trì hệ thống thông tin.
1. Khi tiếp nhận, phát triển, nâng cấp, bảo trì hệ
thống thông tin, cơ quan, đơn vị phải tiến hành phân tích, xác định các rủi ro
có thể xảy ra, đánh giá phạm vi tác động và phải chuẩn bị các biện pháp hạn chế,
loại trừ các rủi ro này và yêu cầu các bên cung cấp, thi công, các cá nhân liên
quan thực hiện một số yêu cầu như sau:
a) Có phương án đảm bảo ATTT được cơ quan, đơn vị
có thẩm quyền của cơ quan chức năng thẩm định khi phát triển, mở rộng hoặc nâng
cấp hệ thống thông tin.
b) Chỉ tiếp nhận và đưa vào vận hành hệ thống thông
tin sau khi đã thực hiện nghiệm thu và kiểm thử hệ thống (được thẩm định, xác
nhận và phê duyệt của cơ quan, đơn vị chuyên môn có thẩm quyền hoặc chủ quản hệ
thống thông tin).
c) Hệ thống thông tin được tiếp nhận phải đi kèm:
- Tài liệu mô tả quy mô, phạm vi và đối tượng sử dụng,
khai thác, quản lý vận hành hệ thống thông tin.
- Tài liệu mô tả các thành phần của hệ thống thông
tin gồm: các vùng mạng chức năng, hệ thống thiết bị mạng, thiết bị bảo mật; hệ
thống máy chủ hệ thống; hệ thống máy chủ ứng dụng; dịch vụ và các thành phần khác
trong hệ thống thông tin.
d) Xem xét tính tương thích với các phần mềm, ứng dụng
hiện có, đảm bảo hoạt động ổn định, an toàn trước khi quyết định thay đổi hoặc
nâng cấp hệ điều hành lên phiên bản mới hơn; kiểm soát chặt chẽ việc nâng cấp,
mở rộng phần mềm, ứng dụng trong hệ thống. Việc bổ sung các thiết bị vào hệ thống
thông tin cần có kế hoạch, quy trình đảm bảo việc tiếp nhận không làm gián đoạn
hoạt động của hệ thống đang vận hành.
đ) Bảo trì hệ thống thông tin phải có kế hoạch từ
trước và được thực hiện thường xuyên.
2. Trong quá trình vận hành hệ thống thông tin, cơ
quan, đơn vị chủ quản hệ thống cần thực hiện:
a) Đánh giá, phân loại hệ thống thông tin theo cấp
độ; triển khai phương án đảm bảo an toàn hệ thống thông tin đáp ứng yêu cầu cơ
bản trong tiêu chuẩn, quy chuẩn kỹ thuật về đảm bảo an toàn hệ thống thông tin
theo cấp độ.
b) Thường xuyên kiểm tra, giám sát việc tuân thủ
các quy định về ATTT, cập nhật đầy đủ các lỗ hổng bảo mật, áp dụng cơ chế sao
lưu dự phòng, đảm bảo an toàn truy nhập, đăng nhập hệ thống.
c) Giám sát an toàn hệ thống thông tin, cảnh báo
hành vi xâm phạm ATTT hoặc hành vi có khả năng gây ra sự cố ATTT đối với hệ thống
thông tin; tiến hành phân tích yếu tố then chốt ảnh hưởng tới trạng thái ATTT;
đề xuất thay đổi biện pháp kỹ thuật.
d) Giám sát hiệu năng hệ thống và thực hiện các biện
pháp bảo trì cần thiết để đảm bảo khả năng xử lý và tính sẵn sàng của hệ thống
thông tin theo yêu cầu.
đ) Tuân thủ quy trình vận hành, quy trình xử lý sự cố
đã xây dựng; ghi đầy đủ thông tin trong các bản ghi nhật ký hệ thống và lưu trữ
nhật ký trong khoảng thời gian nhất định, để phục vụ việc quản lý, kiểm soát
thông tin.
e) Thông tin cấu hình các thiết bị kết nối mạng,
thiết bị bảo mật quan trọng như tường lửa, thiết bị định tuyến, hệ thống máy chủ,
hệ thống lưu trữ,...sơ đồ mạng logic và vật lý phải được cập nhật, sao lưu dự
phòng khi có thay đổi. Mọi thay đổi cấu hình của các thiết bị phải được sự đồng
ý cho phép của thủ trưởng đơn vị hoặc lãnh đạo được giao phụ trách quản lý.
g) Từng thiết bị mạng, máy chủ trong hệ thống có
tài liệu quản lý, theo dõi, danh sách những phần mềm hệ thống đã được cài đặt.
3. Đối tác phát triển phần mềm, ứng dụng cho cơ
quan, đơn vị có trách nhiệm đảm bảo ATTT cho công tác phát triển, vận hành, bảo
hành, bảo trì phần mềm, ứng dụng, tránh lộ lọt mã nguồn, dữ liệu, tài liệu thiết
kế, quản trị hệ thống mà đối tác đang xử lý ra bên ngoài.
4. Các biện pháp kỹ thuật đảm bảo ATTT cho các hệ
thống ứng dụng đặt tại Trung tâm Dữ liệu Văn phòng UBND tỉnh:
a) Quản lý toàn bộ các phiên bản mã nguồn của phần
mềm, cơ sở dữ liệu, ứng dụng Cổng hoặc trang thông tin điện tử; xác định cấu
trúc thiết kế Cổng hoặc trang thông tin điện tử; trang bị các hệ thống phòng vệ
như: tường lửa, thiết bị phát hiện/phòng, chống xâm nhập (IDS/IPS), WAF (Web
Application Firewall).
b) Có giải pháp phòng/chống các lỗi bảo mật thường
xảy ra trên ứng dụng web (như SQL Injection, Cross-Site Scripting, Broken
Authentication and Session Management, Insecure Direct Object References, Cross
Site Request Forgery, Security Misconfiguration, Failure to Restrict URL
Access, Insecure Cryptographic Storage, Insufficient Transport Layer
Protection, Unvalidated Redirects and Forwards và các lỗi bảo mật khác).
c) Thiết lập và cấu hình cơ sở dữ liệu:
- Luôn cập nhật bản vá lỗi mới nhất cho hệ quản trị
cơ sở dữ liệu; sử dụng công cụ để đánh giá, tìm kiếm lỗ hổng trên máy chủ cơ sở
dữ liệu.
- Gỡ bỏ các cơ sở dữ liệu không còn sử dụng.
- Có cơ chế sao lưu dữ liệu, có nhật ký về cơ sở dữ
liệu với các nội dung như: nội dung thay đổi, lý do thay đổi, thời gian, vị trí
thay đổi.
d) Xây dựng phương án phục hồi, trong đó đảm bảo ít
nhất mỗi tháng thực hiện việc sao lưu toàn bộ nội dung một lần bao gồm mã nguồn,
cơ sở dữ liệu, dữ liệu phi cấu trúc để đảm bảo khi có sự cố có thể khắc phục
trong thời gian ngắn nhất.
Điều 13. Kiểm tra, khắc phục sự
cố an toàn thông tin
1. Quản lý sự cố an toàn thông tin và kiểm tra,
đánh giá và quản lý rủi ro an toàn thông tin
a) Văn phòng UBND tỉnh có trách nhiệm phối hợp với
các cơ quan, đơn vị chuyên trách về CNTT, ATTT tham mưu triển khai thực hiện
như sau:
- Rà soát, đánh giá và xác định các sự cố ATTT, các
rủi ro ATTT có thể xảy ra với từng thành phần hệ thống thông tin trong phạm vi
quản lý của mình. Trên cơ sở đó, xây dựng các phương án ứng cứu, xử lý sự cố
phù hợp với các rủi ro ATTT có thể xảy ra.
- Chuẩn bị sẵn sàng các biện pháp, phương tiện kỹ
thuật để phục vụ cho triển khai các phương án ứng cứu đã được xây dựng.
- Thường xuyên kiểm tra, rà soát tính sẵn sàng của
các phương án ứng cứu sự cố; thực hiện đúng các hướng dẫn, quy trình xử lý sự cố
ATTT.
b) Khi có sự cố hoặc nguy cơ mất ATTT, thủ trưởng
cơ quan, đơn vị thực hiện:
- Khi phát hiện sự cố: Tổ chức theo dõi, ghi chép
và tập hợp các thông tin liên quan đến sự cố và tổ chức thông báo hoặc báo cáo
sự cố theo quy định;
- Khi tiếp nhận thông báo sự cố: Phản hồi ngay cho
tổ chức, cá nhân gửi thông báo sự cố để xác nhận thông tin;
- Xác minh sự cố và xử lý ban đầu: Chủ trì, phối hợp
với đơn vị chịu trách nhiệm bảo đảm an toàn thông tin (nếu có), đơn vị chuyên
trách về ứng cứu sự cố liên quan và các doanh nghiệp viễn thông, Internet (ISP)
để tiến hành phân tích, xác minh, đánh giá sự cố; thực hiện ngay các hoạt động ứng
cứu sự cố ban đầu, triển khai quy trình ứng cứu sự cố theo kế hoạch ứng phó sự
cố an toàn thông tin mạng đã được cấp thẩm quyền phê duyệt; trường hợp xác định
sự cố có khả năng là sự cố nghiêm trọng, cần báo cáo ngay với chủ quản hệ thống
thông tin, đơn vị chuyên trách về ứng cứu sự cố liên quan để đề xuất nâng cấp sự
cố nghiêm trọng, đồng thời gửi Cơ quan điều phối quốc gia.
c) Trung tâm Tin học – Công báo chuẩn bị tài liệu
báo cáo sự cố (thông tin chủ quản, đầu mối liên hệ xử lý, mô tả sự cố, đơn vị
cung cấp, biện pháp đã triển khai ứng cứu, đơn vị đang phối hợp xử lý, kết quả ứng
cứu ban đầu, kiến nghị đề xuất thông tin thiết kế và phần mềm hệ thống,…) chủ
trì, phối hợp với cơ quan, đơn vị có liên quan đến các hệ thống thông tin, giám
sát liên tục diễn biến sự cố kịp thời tham mưu thủ trưởng cơ quan chỉ đạo xử
lý; tiến hành phân tích, khắc phục sự cố và phục hồi hệ thống.
d) Đầu mối tiếp nhận, xử lý sự cố ATTT và mạng máy
tính của Văn phòng UBND tỉnh:
Trung tâm Tin học - Công báo (Tầng 2, 3 Toà nhà Khu
hành chính), địa chỉ: Số 88 Võ Văn Kiệt, Khóm 3, Phường 9, Thành phố Vĩnh Long,
tỉnh Vĩnh Long; thư điện tử: [email protected]; điện thoại:
0270.3826350.
2. Quản lý điểm yếu an toàn thông tin
a) Quản lý thông tin điểm yếu an toàn thông tin đối
với từng thành phần có trong hệ thống (hệ điều hành, máy chủ, ứng dụng, dịch vụ…);
Phân loại mức độ nguy hiểm của điểm yếu; Xây dựng phương án và quy trình xử lý
đối với từng mức độ nguy hiểm của điểm yếu.
b) Báo cáo Lãnh đạo Văn phòng UBND tỉnh ngay khi
phát hiện điểm yếu an toàn thông tin ở mức độ nghiêm trọng. Thực hiện cảnh báo
và xử lý điểm yếu an toàn thông tin theo chỉ đạo. Việc xử lý điểm yếu an toàn
thông tin phải bảo đảm không làm ảnh hưởng/gián đoạn hoạt động của hệ thống.
c) Xây dựng phương án xử lý tạm thời đối với trường
hợp điểm yếu an toàn thông tin chưa được khắc phục và phương án khôi phục hệ thống
trong trường hợp xử lý điểm yếu thất bại.
d) Có trách nhiệm phối hợp với các nhóm chuyên gia,
bên cung cấp dịch vụ hỗ trợ trong việc xử lý, khắc phục điểm yếu an toàn thông tin
đối với các điểm yếu khi cần thiết.
e) Kiểm tra, đánh giá và xử lý điểm yếu an toàn
thông tin cho thiết bị hệ thống, máy chủ, dịch vụ trước khi đưa vào sử dụng.
g) Định kỳ 1 năm kiểm tra, đánh giá điểm yếu an
toàn thông tin cho toàn bộ hệ thống thông tin; Thực hiện quy trình kiểm tra,
đánh giá, xử lý điểm yếu an toàn thông tin khi có thông tin hoặc nhận được cảnh
báo về điểm yếu an toàn thông tin đối với thành phần cụ thể trong hệ thống.
3. Quản lý giám sát an toàn hệ thống thông tin
a) Triển khai hệ thống giám sát trung tâm phải đáp ứng
yêu cầu tại khoản 1, Điều 5 Thông tư số 31/2017/TT-BTTTT .
b) Thông tin giám sát và danh mục các đối tượng
giám sát phải đáp ứng yêu cầu tại khoản 2, Điều 5 Thông tư số 31/2017/TT-BTTTT .
c) Kết nối và gửi nhật ký hệ thống từ đối tượng
giám sát về hệ thống giám sát.
d) Thực thi nhiệm vụ giám sát theo quy định tại khoản
3, Điều 5 Thông tư số 31/2017/TT-BTTTT .
Điều 14. Thiết kế, xây dựng hệ
thống
1. Thiết kế an toàn hệ thống thông tin
a) Yêu cầu phải có tài liệu mô tả quy mô, phạm vi
và đối tượng sử dụng, khai thác, quản lý vận hành hệ thống thông tin.
b) Yêu cầu phải có tài liệu mô tả thiết kế và các
thành phần của hệ thống thông tin.
c) Yêu cầu phải có tài liệu mô tả phương án bảo đảm
an toàn thông tin theo cấp độ.
d) Yêu cầu phải có tài liệu mô tả phương án lựa chọn
giải pháp công nghệ bảo đảm an toàn thông tin.
đ) Khi có thay đổi thiết kế, đánh giá lại tính phù
hợp của phương án thiết kế đối với các yêu cầu an toàn đặt ra đối với hệ thống.
2. Phát triển phần mềm thuê khoán
a) Yêu cầu có biên bản, hợp đồng và các cam kết đối
với bên thuê khoán các nội dung liên quan đến việc phát triển phần mềm thuê
khoán.
b) Yêu cầu nội dung quy chế bảo đảm ATTT hiện tại
phải có quy định về việc yêu cầu các nhà phát triển cung cấp mã nguồn phần mềm.
c) Yêu cầu nội dung quy chế bảo đảm ATTT hiện tại
phải có quy định về việc kiểm thử phần mềm trên môi trường thử nghiệm và nghiệm
thu trước khi đưa vào sử dụng.
d) Yêu cầu nội dung quy chế bảo đảm ATTT hiện tại
phải có quy định về việc kiểm tra, đánh giá an toàn thông tin, trước khi đưa
vào sử dụng.
Chương III
TỔ CHỨC THỰC HIỆN
Điều 15. Trách nhiệm của Văn
phòng UBND tỉnh
1. Chịu trách nhiệm trước UBND tỉnh về tình hình
ATTT đối với hệ thống thông tin Văn phòng UBND tỉnh, công tác đảm bảo ATTT, kế hoạch
phát triển, nâng cấp và mở rộng hệ thống, đảm bảo duy trì hệ thống hoạt động
thông suốt, an toàn và bảo mật.
2. Phối hợp với Sở Tài chính lập dự trù kinh phí
hàng năm phục vụ cho công tác duy trình, nâng cấp các thiết bị bảo mật trình
UBND tỉnh phê duyệt triển khai thực hiện.
3. Chủ trì phối hợp với Sở Thông tin và Truyền
thông hướng dẫn việc thực hiện Quy chế này đối với các cơ quan nhà nước trên địa
bàn tỉnh; phát hiện và xử lý các vi phạm theo thẩm quyền do pháp luật quy định.
4. Thường xuyên chỉ đạo kiểm tra, bảo trì, giám sát
hoạt động hệ thống đảm bảo hệ thống vận hành liên tục 24 giờ trong tất cả các
ngày.
5. Thực hiện chế độ báo cáo định kỳ hàng năm, báo
cáo đột xuất cho UBND tỉnh về tình hình ATTT của đơn vị.
Điều 16. Trách nhiệm của Sở
Thông tin và Truyền thông
1. Thực hiện công tác quản lý nhà nước về ATTT đối
với các hệ thống thông tin Văn phòng UBND tỉnh theo quy định; hướng lập, thẩm định
và trình cấp có thẩm quyền phê duyệt hồ sơ cấp độ đối với hệ thống thông tin
Văn phòng UBND tỉnh theo quy định đảm bảo kịp thời hiệu quả.
2. Phối hợp với Công an tỉnh và các đơn vị có liên
quan tổ chức kiểm tra định kỳ về tình hình ATTT Hệ thống thông tin Văn phòng
UBND tỉnh để kịp thời ngăn chặn và xử lý các hành vi vi phạm pháp luật.
Điều 17. Trách nhiệm Công an tỉnh
Chủ trì, phối hợp với Sở Thông tin và Truyền thông
và các cơ quan, đơn vị có liên quan xây dựng kế hoạch định kỳ kiểm tra, đánh
giá tình hình ATTT Hệ thống thông tin Văn phòng UBND tỉnh nhằm kịp thời ngăn chặn
và xử lý các loại tội phạm lợi dụng hệ thống thông tin gây ảnh hưởng đến ATTT mạng.
Điều 18. Trách nhiệm của Sở
Tài chính
Chủ trì tham mưu UBND tỉnh phân bổ ngân sách hàng
năm để đảm bảo việc duy trì, nâng cấp các trang thiết bị phục vụ hoạt động Hệ
thống thông tin Văn phòng UBND tỉnh.
Điều 19. Trách nhiệm của Trung
tâm Tin học – Công báo
1. Là đơn vị chuyên trách CNTT, chuyển đổi số của
Văn phòng UBND tỉnh, giúp Lãnh đạo Văn phòng thực hiện quản lý ATTT trong hoạt
động ứng dụng CNTT, chuyển đổi số của cơ quan theo quy định của Quy chế này và
các quy định khác của pháp luật có liên quan. Chịu trách nhiệm trước Chánh Văn
phòng UBND tỉnh về tình hình an toàn an ninh thông tin đối với Hệ thống thông
tin Văn phòng UBND tỉnh; là đơn vị đầu mối về kỹ thuật, giải pháp đảm bảo an
toàn an ninh thông tin và nâng cấp mở rộng hệ thống, đảm bảo duy trì hệ thống
hoạt động thông suốt, an toàn và bảo mật Hệ thống thông tin Văn phòng UBND tỉnh
phục vụ công tác chỉ đạo điều hành của UBND, Chủ tịch UBND tỉnh.
2. Chủ trì triển khai các giải pháp đảm bảo ATTT đối
với Hệ thống thông tin Văn phòng UBND tỉnh và hướng dẫn việc thực hiện Quy chế
này đối với các với phòng, ban, trung tâm và cơ quan, đơn vị có tham gia khai
thác sử dụng Hệ thống thông tin Văn phòng UBND tỉnh.
3. Thường xuyên kiểm tra, bảo trì, giám sát hoạt động
hệ thống Văn phòng UBND tỉnh, đảm bảo hệ thống vận hành liên tục 24 giờ trong tất
cả các ngày.
4. Đảm bảo ATTT cho hệ thống Văn phòng UBND tỉnh được
quy định tại Điều 6, 7, 8, 9, 10, 11, 12 của Chương II thuộc Quy chế này.
5. Đầu mối tiếp nhận, cài đặt, kiểm tra và khắc phục
các sự cố xảy ra đối với hoạt động các Hệ thống thông tin được lưu giữ
(hosting) tại Văn phòng UBND tỉnh.
Điều 20. Trách nhiệm của Thủ
trưởng cơ quan, đơn vị
1. Chỉ đạo cán bộ, công chức và viên chức đảm bảo
việc tuân thủ các quy định của Quy chế này trong phạm vi tổ chức, quyền hạn của
đơn vị.
2. Tuyên truyền, phổ biến nội dung Quy chế này tới
từng cá nhân thuộc cơ quan, đơn vị; nâng cao nhận thức cho các cá nhân về các
nguy cơ mất ATTT đối với Hệ thống thông tin Văn phòng UBND tỉnh.
3. Phối hợp với Trung tâm Tin học - Công báo cung cấp
thông tin và tạo điều kiện thuận lợi để triển khai công tác ATTT và khắc phục sự
cố đối với Hệ thống thông tin Văn phòng UBND tỉnh thuộc Quy chế này, đảm bảo thực
hiện kịp thời, nhanh chóng và hiệu quả.
Điều 21. Trách nhiệm của cá
nhân
1. Cá nhân phụ trách ATTT có trách nhiệm:
a) Chịu trách nhiệm triển khai các giải pháp kỹ thuật
đảm bảo ATTT tại cơ quan, đơn vị theo Quy chế này.
b) Phối hợp với các cá nhân, đơn vị có liên quan
trong việc kiểm tra, phát hiện và khắc phục các sự cố mất ATTT.
c) Thường xuyên cập nhật, nâng cao kiến thức, trình
độ chuyên môn đáp ứng yêu cầu đảm bảo an toàn thông tin của đơn vị.
2. Cá nhân là người sử dụng có trách nhiệm: chấp
hành đúng các quy định tại Điều 5, khoản 1 Điều 8 của Quy chế này, đồng thời thực
hiện tốt các nội dung sau:
a) Chấp hành nghiêm túc các quy định về ATTT của cơ
quan, đơn vị và các quy định khác của pháp luật về ATTT; nâng cao ý thức cảnh
giác và trách nhiệm đảm bảo ATTT trong phạm vi trách nhiệm và quyền hạn được
giao.
b) Tự quản lý, bảo quản thiết bị mà mình được giao
sử dụng. Khi phát hiện sự cố phải báo ngay với cấp trên hoặc bộ phận chuyên
trách về công nghệ thông tin để kịp thời ngăn chặn, xử lý.
c) Tích cực tham gia các chương trình đào tạo, hội
nghị về ATTT do các đơn vị chuyên môn tổ chức.
Điều 22. Khen thưởng và xử lý
vi phạm
1. Cơ quan, đơn vị, tổ chức, cá nhân thực hiện tốt
Quy chế này và có sáng kiến, giải pháp kỹ thuật đảm bảo an toàn, an ninh thông tin
đem lại hiệu quả tốt, thiết thực sẽ được xem xét đánh giá khen thưởng.
2. Trường hợp vi phạm Quy chế này thì tùy theo tính
chất, mức độ vi phạm sẽ bị xử lý kỷ luật theo quy định của pháp luật.
Điều 23. Điều khoản thi hành
1. Quy chế này được phổ biến đến tất cả các cá nhân
thuộc cơ quan, đơn vị có tham gia khai thác sử dụng Hệ thống thông tin Văn
phòng UBND tỉnh.
2. Trong quá trình thực hiện Quy chế này, nếu có vướng
mắc, Thủ trưởng các sở, ban, ngành tỉnh, Chủ tịch Ủy ban nhân dân các huyện, thị
xã, thành phố và các cơ quan, đơn vị phản ánh kịp thời về Văn phòng UBND tỉnh để
tổng hợp, báo cáo Chủ tịch Ủy ban nhân dân tỉnh xem xét sửa đổi, bổ sung Quy chế
đảm bảo phù hợp quy định hiện hành./.