|
BỘ KHOA HỌC VÀ
CÔNG NGHỆ
-------
|
CỘNG HÒA XÃ HỘI
CHỦ NGHĨA VIỆT NAM
Độc lập - Tự do - Hạnh phúc
---------------
|
|
Số: 1760/QĐ-BKHCN
|
Hà Nội, ngày 09
tháng 09 năm 2022
|
QUYẾT ĐỊNH
BAN HÀNH QUY CHẾ BẢO ĐẢM AN TOÀN THÔNG TIN MẠNG VÀ AN NINH
MẠNG
BỘ TRƯỞNG BỘ KHOA HỌC VÀ CÔNG NGHỆ
Căn cứ Luật An toàn thông tin
mạng ngày 19 tháng 11 năm 2015;
Căn cứ Luật An ninh mạng
ngày 12 tháng 06 năm 2018;
Căn cứ Nghị định số 85/2016/NĐ-CP
ngày 01 tháng 7 năm 2016 của Chính phủ về bảo đảm an toàn hệ thống thông tin
theo cấp độ; Thông tư số 03/2017/TT-BTTTT ngày 24 tháng 4 năm 2017 của Bộ Thông
tin và Truyền thông quy định chi tiết và hướng dẫn một số điều của Nghị định số
85/2016/NĐ- CP ngày 01 tháng 7 năm 2016 của Chính phủ về bảo đảm an toàn hệ
thống thông tin theo cấp độ;
Căn cứ Nghị định số 142/2016/NĐ-CP
ngày 01 tháng 7 năm 2016 của Chính phủ về ngăn chặn xung đột thông tin trên
mạng;
Căn cứ Nghị định số 95/2017/NĐ-CP
ngày 16 tháng 8 năm 2017 của Chính phủ Quy định chức năng, nhiệm vụ, quyền hạn
và cơ cấu tổ chức của Bộ Khoa học và Công nghệ;
Căn cứ Quyết định số 05/2017/QĐ-TTg
ngày 16 tháng 3 năm 2017 của Thủ tướng Chính phủ ban hành Quy định về hệ thống
phương án ứng cứu khẩn cấp bảo đảm an toàn thông tin mạng quốc gia;
Căn cứ Quyết định số 1622/QĐ-TTg
ngày 25 tháng 10 năm 2017 của Thủ tướng Chính phủ về việc phê duyệt Đề án đẩy
mạnh hoạt động của mạng lưới ứng cứu sự cố, tăng cường năng lực cho cán bộ, bộ
phận chuyên trách ứng cứu sự cố an toàn thông tin mạng trên toàn quốc đến 2020,
định hướng đến 2025;
Căn cứ Thông tư số 20/2017/TT-BTTTT
ngày 12 tháng 9 năm 2017 của Bộ Thông tin và Truyền thông quy định về điều
phối, ứng cứu sự cố an toàn thông tin mạng trên toàn quốc;
Căn cứ Thông tư số 31/2017/TT-BTTTT
ngày 15 tháng 11 năm 2017 của Bộ Thông tin và Truyền thông quy định hoạt động
giám sát an toàn hệ thống thông tin.
Theo đề nghị của Giám đốc Trung
tâm Công nghệ thông tin.
QUYẾT ĐỊNH:
Điều 1.
Ban hành kèm theo Quyết định này Quy chế bảo đảm an toàn thông
tin mạng và an ninh mạng.
Điều 2.
Quyết định này có hiệu lực thi hành kể từ ngày ký và thay
thế cho Quyết định số 4043/QĐ-BKHCN ngày 28 tháng 12 năm 2018.
Điều 3.
Giám đốc Trung tâm Công nghệ thông tin, Thủ trưởng các đơn
vị trực thuộc Bộ Khoa học và Công nghệ và tổ chức, cá nhân có liên quan chịu trách
nhiệm thi hành Quyết định này./.
|
Nơi nhận:
- Như Điều 3;
- Bộ trưởng, các Thứ trưởng;
- Cổng thông tin điện tử Bộ;
- Lưu: VT, TTCNTT.
|
KT.BỘ TRƯỞNG
THỨ TRƯỞNG
Bùi Thế Duy
|
QUY CHẾ
BẢO ĐẢM AN TOÀN THÔNG TIN MẠNG VÀ AN NINH MẠNG
(Ban hành kèm theo Quyết định số 1760/QĐ-BKHCN ngày 09 tháng 09 năm 2022 của
Bộ trưởng Bộ Khoa học và Công nghệ)
Chương I
QUY ĐỊNH CHUNG
Điều 1. Phạm
vi điều chỉnh và đối tượng áp dụng
1. Phạm vi điều chỉnh: Quy chế
này quy định về bảo đảm an toàn thông tin mạng và an ninh mạng trong các hoạt
động chuyển đổi số, ứng dụng công nghệ thông tin, vận hành, khai thác hệ thống,
hạ tầng thông tin, phần mềm, dữ liệu thuộc phạm vi quản lý của Bộ Khoa học và
Công nghệ và các đơn vị trực thuộc Bộ.
2. Đối tượng áp dụng:
a) Các đơn vị trực thuộc Bộ Khoa
học và Công nghệ (sau đây gọi là đơn vị) và cán bộ, công chức, viên chức và
người lao động trong đơn vị (sau đây gọi là cá nhân);
b) Cơ quan, tổ chức, cá nhân có
kết nối vào hệ thống mạng của Bộ Khoa học và Công nghệ;
c) Cơ quan, tổ chức, cá nhân cung
cấp dịch vụ công nghệ thông tin và an toàn thông tin mạng cho các đơn vị trực
thuộc Bộ.
Điều 2. Giải
thích từ ngữ
Trong Quy chế này, các từ ngữ dưới
đây được hiểu như sau:
1. An toàn thông tin mạng là
sự bảo vệ thông tin số và các hệ thống thông tin trên mạng tránh bị truy nhập, sử
dụng, tiết lộ, gián đoạn, sửa đổi hoặc phá hoại trái phép nhằm bảo đảm tính nguyên
vẹn, tính bảo mật và tính khả dụng của thông tin.
2. An ninh mạng là việc bảo
đảm thông tin trên mạng không gây phương hại đến an ninh quốc gia, trật tự an
toàn xã hội, bí mật nhà nước, quyền và lợi ích hợp pháp của tổ chức, cá nhân.
3. Hạ tầng kỹ thuật là
tập hợp các thiết bị tính toán, lưu trữ, thiết bị ngoại vi, thiết bị kết nối
mạng, thiết bị phụ trợ, đường truyền, mạng nội bộ, mạng diện rộng.
4. Trang thông tin điện tử
là trang thông tin hoặc tập hợp trang thông tin trên môi trường mạng phục vụ cho
việc cung cấp, trao đổi thông tin.
5. Cổng thông tin điện tử
là điểm truy nhập duy nhất của cơ quan, đơn vị trên môi trường mạng, liên kết, tích
hợp các kênh thông tin, các dịch vụ và các ứng dụng mà qua đó người dùng có thể
khai thác, sử dụng và cá nhân hóa việc hiển thị thông tin.
6. Mã độc là đoạn mã
hoặc phần mềm có khả năng gây ra hoạt động không bình thường cho một phần hay
toàn bộ hệ thống thông tin hoặc thực hiện sao chép, sửa đổi, xóa bỏ trái phép
thông tin lưu trữ trong hệ thống thông tin.
7. Mạng LAN là hệ thống mạng
nội bộ bao gồm mạng dây và mạng không dây.
8. Dữ liệu nhạy cảm là
dữ liệu có thông tin mật, thông tin lưu hành nội bộ của đơn vị hoặc do đơn vị
quản lý, nếu lộ lọt ra ngoài sẽ gây ảnh hưởng xấu đến danh tiếng, tài chính và
hoạt động của đơn vị.
Điều 3. Nguyên
tắc chung bảo đảm an toàn thông tin mạng và an ninh mạng
1. Bảo đảm an toàn thông tin
mạng và an ninh mạng được thực hiện xuyên suốt, toàn bộ quá trình trong khâu
mua sắm, nâng cấp, vận hành, bảo trì và ngừng sử dụng hạ tầng, hệ thống thông
tin, phần mềm, dữ liệu.
2. Trách nhiệm bảo đảm an toàn thông
tin mạng và an ninh mạng gắn với trách nhiệm của người đứng đầu cơ quan, đơn vị
và cá nhân trực tiếp liên quan.
3. Trường hợp có văn bản, quy
định cập nhật, thay thế hoặc quy định khác tại văn bản quy phạm pháp luật,
quyết định của cấp có thẩm quyền cao hơn thì áp dụng quy định tại văn bản đó.
4. Thông tin thuộc Danh mục bí mật
nhà nước được bảo vệ theo quy định của pháp luật về bảo vệ bí mật nhà nước.
5. Xử lý sự cố an toàn thông tin
phải phù hợp với trách nhiệm, quyền hạn và bảo đảm lợi ích hợp pháp của cơ quan,
đơn vị, cá nhân liên quan và theo quy định của pháp luật.
Điều 4. Các
hành vi bị nghiêm cấm
1. Các hành vi bị nghiêm cấm quy
định tại Điều 7 Luật An toàn thông tin mạng và Điều
8 Luật An ninh mạng.
2. Tự ý đấu nối thiết bị mạng, thiết
bị cấp phát địa chỉ mạng, thiết bị phát sóng như điểm truy cập mạng không dây
của cá nhân vào mạng nội bộ mà không có sự hướng dẫn hoặc đồng ý của đơn vị quản
lý hệ thống thông tin; trên cùng một thiết bị thực hiện đồng thời truy cập vào
mạng nội bộ và truy cập Internet bằng thiết bị kết nối Internet của cá nhân (modem
quay số, USB 3G/4G, điện thoại di động, máy tính bảng, máy tính xách tay).
3. Tự ý thay đổi, gỡ bỏ biện pháp
an toàn thông tin cài đặt trên thiết bị công nghệ thông tin phục vụ công việc;
tự ý thay thế, lắp mới, tráo đổi thành phần của máy tính phục vụ công việc.
4. Cố ý tạo ra, cài đặt, phát tán
mã độc gây ảnh hưởng đến hoạt động bình thường của hệ thống thông tin.
5. Cản trở hoạt động cung cấp
dịch vụ của hệ thống thông tin; ngăn chặn việc truy nhập đến thông tin của cơ
quan, cá nhân khác trên môi trường mạng, trừ trường hợp pháp luật cho phép.
6. Bẻ khóa, trộm cắp, sử dụng
mật khẩu, khóa mật mã và thông tin của cơ quan, cá nhân khác trên môi trường
mạng.
7. Các hành vi khác làm mất an toàn,
bí mật thông tin của cơ quan, cá nhân khác được trao đổi, truyền đưa, lưu trữ
trên môi trường mạng.
Chương II
BẢO ĐẢM AN TOÀN THÔNG TIN
MẠNG
Điều 5.
Quản lý trang thiết bị công nghệ thông tin
1. Cá nhân hoặc tập thể có trách
nhiệm bảo đảm an toàn thông tin mạng trong quản lý, sử dụng thiết bị công nghệ
thông tin được giao.
2. Trang thiết bị công nghệ thông
tin có lưu trữ dữ liệu nhạy cảm khi thay đổi mục đích sử dụng hoặc thanh lý,
đơn vị phải thực hiện các biện pháp xóa, tiêu hủy dữ liệu đó đảm bảo không có
khả năng phục hồi. Trường hợp không thể tiêu hủy được dữ liệu, đơn vị phải thực
hiện tiêu hủy cấu phần lưu trữ dữ liệu trên trang thiết bị công nghệ thông tin
đó.
3. Trang thiết bị công nghệ thông
tin có bộ phận lưu trữ dữ liệu hoặc thiết bị lưu trữ dữ liệu khi mang đi bảo
hành, bảo dưỡng, sửa chữa bên ngoài hoặc ngừng sử dụng phải tháo bộ phận lưu
trữ khỏi thiết bị hoặc xóa thông tin, dữ liệu lưu trữ trên thiết bị (trừ trường
hợp để khôi phục dữ liệu).
4. Các đơn vị trực thuộc Bộ có trách
nhiệm bảo dưỡng, bảo trì và hướng dẫn cách sử dụng, quản lý, vận hành hệ thống
hạ tầng kỹ thuật của mình; chỉ định bộ phận chuyên trách về công nghệ thông tin
thực hiện quản lý, vận hành và định kỳ kiểm tra, sửa chữa, bảo trì thiết bị
(bao gồm thiết bị đang hoạt động và thiết bị dự phòng).
Điều 6.
Bảo đảm an toàn thông tin trong việc quản lý cán bộ, công chức, viên chức và
người lao động
1. Các đơn vị trực thuộc Bộ
phải xây dựng các yêu cầu, trách nhiệm bảo đảm an toàn, an ninh thông tin đối
với từng vị trí công việc. Sau khi tuyển dụng, tiếp nhận nhân sự mới, đơn vị
phải có trách nhiệm phổ biến cho nhân sự mới các quy định về bảo đảm an toàn,
an ninh thông tin tại đơn vị; đối với các vị trí tiếp xúc, quản lý các thông
tin, dữ liệu quan trọng hoặc quản trị các hệ thống thông tin quan trọng, đơn vị
phải yêu cầu nhân sự mới cam kết bảo mật thông tin bằng văn bản hoặc cam kết
trong hợp đồng làm việc, hợp đồng lao động.
2. Các đơn vị trực thuộc Bộ
phải thường xuyên tổ chức quán triệt các quy định về an toàn, an ninh thông
tin, nhằm nâng cao nhận thức về trách nhiệm bảo đảm an toàn thông tin của từng
cá nhân trong đơn vị.
3. Các đơn vị trực thuộc Bộ
phải xây dựng quy trình cấp mới, quản lý và thu hồi tài khoản, phân quyền truy
cập các hệ thống thông tin và tất cả các tài sản liên quan đến hệ thống thông
tin đối với các cá nhân do đơn vị quản lý.
4. Khi cán bộ, công chức, viên chức
và người lao động chấm dứt hoặc thay đổi công việc, cơ quan, đơn vị phải:
a) Xác định rõ trách nhiệm của cán
bộ, nhân viên và các bên liên quan trong quản lý, sử dụng các tài sản công nghệ
thông tin được giao;
b) Lập biên bản bàn giao tài
sản công nghệ thông tin;
c) Thay đổi hoặc thu hồi quyền truy
cập các hệ thống thông tin.
Điều 7. Bảo
đảm an toàn hệ thống công nghệ thông tin
1. Bảo đảm an toàn thông tin
đối với trung tâm dữ liệu/phòng máy chủ:
a) Các thiết bị kết nối mạng, thiết
bị bảo mật quan trọng như tường lửa (firewall), thiết bị định tuyến (router),
hệ thống máy chủ, hệ thống lưu trữ SAN, NAS, ... phải được đặt trong trung tâm
dữ liệu/phòng máy chủ và phải được thiết lập cơ chế bảo vệ, theo dõi phát hiện
xâm nhập và biện pháp kiểm soát truy nhập, kết nối vật lý phù hợp với từng khu
vực: máy chủ và hệ thống lưu trữ; tủ mạng và đầu nối; thiết bị nguồn điện và dự
phòng điện khẩn cấp; vận hành, kiểm soát, quản trị hệ thống. Đơn vị vận hành
trung tâm dữ liệu/phòng máy chủ có trách nhiệm xây dựng nội quy hoặc hướng dẫn
làm việc khu vực này;
b) Trung tâm dữ liệu/phòng máy chủ
là khu vực hạn chế tiếp cận chỉ những cá nhân có quyền, nhiệm vụ được giao theo
quy định mới được phép vào trung tâm dữ liệu/phòng máy chủ. Việc vào, ra phòng
máy chủ phải được kiểm soát bằng thiết bị bảo vệ (quẹt thẻ, vân tay, sinh trắc
học,…);
c) Trung tâm dữ liệu/phòng máy chủ
phải được trang bị hệ thống lưu điện đủ công suất và duy trì thời gian hoạt động
của các máy chủ ít nhất 15 phút khi có sự cố mất điện;
d) Trung tâm dữ liệu/phòng máy chủ
phải có hệ thống làm mát điều hòa không khí, độ ẩm để đảm bảo môi trường vận hành;
hệ thống cảnh báo cháy, hệ thống chữa cháy tự động bằng khí, thiết bị phòng
cháy, chữa cháy khẩn cấp; hệ thống cảnh báo hệ thống nguồn điện; hệ thống chống
sét lan truyền. Các hệ thống này phải được thiết lập chế độ cảnh báo phù hợp.
Đơn vị phải cử cán bộ thường xuyên giám sát thiết bị, hạ tầng của trung tâm dữ
liệu/phòng máy chủ.
2. Bảo đảm an toàn thông tin khi
sử dụng máy tính:
a) Cá nhân chỉ cài đặt phần mềm
hợp lệ và thuộc danh mục phần mềm được phép sử dụng do cơ quan có thẩm quyền ban
hành trên máy tính được đơn vị cấp cho mình; không được tự ý cài đặt hoặc gỡ bỏ
các phần mềm khi chưa có sự đồng ý của bộ phận chuyên trách về công nghệ thông
tin; thường xuyên cập nhật phần mềm và hệ điều hành;
b) Cài đặt phần mềm phòng,
chống mã độc có bản quyền và thiết lập chế độ tự động cập nhật cơ sở dữ liệu
cho phần mềm; khi phát hiện bất kỳ dấu hiệu nào liên quan đến việc bị nhiễm
phần mềm độc hại trên máy tính phải tắt máy và báo trực tiếp cho bộ phận chuyên
trách về công nghệ thông tin để được xử lý kịp thời;
c) Chỉ truy nhập vào các trang/cổng
thông tin điện tử, ứng dụng trực tuyến tin cậy và các thông tin phù hợp với
chức năng, trách nhiệm, quyền hạn của mình; có trách nhiệm bảo mật tài khoản
truy nhập thông tin, không chia sẻ mật khẩu, thông tin cá nhân với người khác.
3. Bảo đảm an toàn thông tin
đối với hệ thống mạng máy tính:
a) Hệ thống mạng nội bộ (LAN)
phải được thiết kế phân vùng theo chức năng cơ bản (theo các chính sách an toàn
thông tin riêng), bao gồm: vùng mạng người dùng; vùng mạng kết nối hệ thống ra bên
ngoài Internet và các mạng khác; vùng mạng máy chủ công cộng; vùng mạng máy chủ
nội bộ; vùng mạng máy chủ quản trị. Dữ liệu trao đổi giữa các vùng mạng phải được
quản lý, giám sát bởi hệ thống các thiết bị mạng, thiết bị bảo mật;
b) Đơn vị trực thuộc Bộ tham gia
kết nối, sử dụng hệ thống mạng diện rộng (WAN) của Bộ Khoa học và Công nghệ có
trách nhiệm bảo đảm an toàn thông tin đối với hệ thống mạng nội bộ và các thiết
bị của mình khi thực hiện kết nối vào mạng diện rộng; Thông báo sự cố hoặc các
hành vi phá hoại, xâm nhập về Trung tâm Công nghệ thông tin để xử lý; Định kỳ
sao lưu thông tin, dữ liệu dùng chung lưu trữ trên mạng diện rộng; Không được tiết
lộ phương thức (tên đăng ký, mật khẩu, tiện ích, tệp hỗ trợ và các cách thức khác)
để truy nhập vào hệ thống mạng diện rộng cho tổ chức, cá nhân khác; Không được
tìm cách truy nhập dưới bất cứ hình thức nào vào các khu vực không được phép
truy nhập;
c) Các đơn vị trực thuộc Bộ
phải áp dụng các biện pháp kỹ thuật cần thiết bảo đảm an toàn thông tin trong
hoạt động kết nối Internet, tối thiểu đáp ứng các yêu cầu sau: có hệ thống
tường lửa và hệ thống bảo vệ truy nhập Internet, đáp ứng nhu cầu kết nối đồng
thời, hỗ trợ các công nghệ mạng riêng ảo thông dụng và có phần cứng mã hóa tích
hợp để tăng tốc độ mã hóa dữ liệu và có khả năng bảo vệ hệ thống trước các loại
tấn công từ chối dịch vụ (DDoS); Lọc bỏ, không cho phép truy nhập các trang tin
có nghi ngờ chứa mã độc hoặc các nội dung không phù hợp;
d) Các đường truyền dữ liệu,
đường truyền Internet và các hệ thống dây dẫn các mạng LAN, WAN phải được lắp
đặt trong ống, máng che đậy kín, hạn chế khả năng tiếp cận trái phép. Ngắt kết
nối cổng Ethernet không sử dụng, đặc biệt là ở khu vực làm việc chung của các
cơ quan, đơn vị.
4. Quản lý tài khoản truy cập:
a) Cá nhân sử dụng hệ thống thông
tin được cấp và sử dụng tài khoản truy nhập với định danh duy nhất gắn với cá
nhân đó;
b) Trường hợp cá nhân thay đổi vị
trí công tác, chuyển công tác, thôi việc hoặc nghỉ hưu, trong vòng không quá 05
ngày làm việc sau khi có quyết định của cấp có thẩm quyền thì cơ quan, đơn vị quản
lý cá nhân đó phải thông báo cho cơ quan, đơn vị vận hành hệ thống thông tin
bằng văn bản có xác nhận của thủ trưởng đơn vị để điều chỉnh, thu hồi, hủy bỏ
các quyền sử dụng đối với hệ thống thông tin;
c) Tài khoản quản trị hệ thống (mạng,
hệ điều hành, thiết bị kết nối mạng, phần mềm, ứng dụng, cơ sở dữ liệu) phải
tách biệt với tài khoản truy nhập của người sử dụng thông thường. Tài khoản hệ
thống phải được giao đích danh cá nhân làm công tác quản trị. Hạn chế dùng chung
tài khoản quản trị;
d) Khi có yêu cầu khóa quyền truy
cập hệ thống thông tin của tài khoản đang hoạt động, lãnh đạo đơn vị phải yêu
cầu bằng văn bản gửi đơn vị chủ quản hệ thống thông tin hoặc đơn vị được giao
vận hành trực tiếp hệ thống thông tin để xem xét, thực hiện. Đơn vị vận hành hệ
thống thông tin có quyền khóa quyền truy cập của tài khoản trong trường hợp tài
khoản đó thực hiện các hành vi tấn công hoặc để xảy ra vấn đề mất an toàn, an
ninh thông tin;
đ) Việc quản lý tài khoản thư điện
tử của Bộ Khoa học và Công nghệ theo quy định của Bộ Khoa học và Công nghệ về
công tác quản lý và sử dụng hệ thống công nghệ thông tin. Công tác phòng chống thư
rác theo quy định tại Nghị định số 91/2020/NĐ-CP ngày 14/8/2020 và hướng dẫn tại
Thông tư số 22/2021/TT-BTTTT ngày 13/12/2021.
5. Bảo đảm an toàn thông tin
mức ứng dụng:
a) Yêu cầu về bảo đảm an toàn thông
tin phải được đưa vào tất cả các công đoạn thiết kế, xây dựng, triển khai và
vận hành, sử dụng phần mềm, ứng dụng;
b) Phần mềm, ứng dụng phải đáp
ứng các yêu cầu sau: cấu hình phần mềm, ứng dụng để xác thực người sử dụng;
giới hạn số lần đăng nhập sai liên tiếp; giới hạn thời gian để chờ đóng phiên
kết nối; mã hóa thông tin xác thực trên hệ thống; không khuyến khích việc đăng
nhập tự động;
c) Thiết lập, phân quyền truy nhập,
quản trị, sử dụng tài nguyên khác nhau của phần mềm, ứng dụng với người sử dụng/nhóm
người sử dụng có chức năng, yêu cầu nghiệp vụ khác nhau; tách biệt cổng giao
tiếp quản trị phần mềm ứng dụng với cổng giao tiếp cung cấp dịch vụ; đóng các
cổng giao tiếp không sử dụng;
d) Chỉ cho phép sử dụng các giao
thức mạng có hỗ trợ chức năng mã hóa thông tin như SSH, SSL, VPN hoặc tương
đương khi truy nhập, quản trị phần mềm, ứng dụng từ xa trên môi trường mạng; hạn
chế truy cập đến mã nguồn của phần mềm, ứng dụng và phải đặt mã nguồn trong môi
trường an toàn do bộ phận chuyên trách công nghệ thông tin quản lý;
đ) Ghi và lưu giữ bản ghi nhật ký
hệ thống của phần mềm, ứng dụng trong khoảng thời gian tối thiểu 03 tháng
với những thông tin cơ bản: thời gian, địa chỉ, tài khoản (nếu có), nội dung truy
nhập và sử dụng phần mềm, ứng dụng; các lỗi phát sinh trong quá trình hoạt động;
thông tin đăng nhập khi quản trị;
e) Phần mềm, ứng dụng cần được kiểm
tra phát hiện và khắc phục các điểm yếu về an toàn, an ninh thông tin trước khi
đưa vào sử dụng và trong quá trình sử dụng;
g) Thực hiện quy trình kiểm soát
cài đặt, cập nhật, vá lỗi bảo mật phần mềm, ứng dụng trên các máy chủ, máy tính
cá nhân, thiết bị kết nối mạng đang hoạt động thuộc hệ thống mạng nội bộ.
6. Bảo đảm an toàn thông tin
mức dữ liệu:
a) Đơn vị phải thực hiện bảo vệ
thông tin, dữ liệu liên quan đến hoạt động công vụ, thông tin có nội dung quan trọng,
nhạy cảm hoặc không phải là thông tin công khai bằng các biện pháp như: thiết
lập phương án bảo đảm tính bí mật, nguyên vẹn và khả dụng của thông tin, dữ
liệu; mã hóa thông tin, dữ liệu khi lưu trữ trên hệ thống/thiết bị lưu trữ dữ liệu
di động; sử dụng chữ ký số để xác thực và bảo mật thông tin, dữ liệu;
b) Đơn vị cần triển khai hệ
thống/phương tiện lưu trữ độc lập với hệ thống lưu trữ trên các máy chủ dịch vụ
để sao lưu dự phòng; phân loại và quản lý thông tin, dữ liệu được lưu trữ theo
từng loại/nhóm thông tin được gán nhãn khác nhau; thực hiện sao lưu dự phòng các
thông tin, dữ liệu cơ bản sau: tập tin cấu hình hệ thống, ảnh hệ điều hành máy
chủ, cơ sở dữ liệu; dữ liệu, thông tin nghiệp vụ;
c) Đơn vị cần bố trí máy tính riêng
không kết nối mạng, đặt mật khẩu, mã hóa dữ liệu và các biện pháp bảo mật khác
bảo đảm an toàn thông tin để soạn thảo, lưu trữ dữ liệu, thông tin và tài liệu
quan trọng ở các mức độ mật, tuyệt mật, tối mật;
d) Các đơn vị trực thuộc Bộ
phải thường xuyên kiểm tra, giám sát các hoạt động chia sẻ, gửi, nhận thông
tin, dữ liệu trong hoạt động nội bộ của mình; khuyến cáo việc chia sẻ, gửi,
nhận thông tin trên môi trường mạng cần phải sử dụng mật khẩu để bảo vệ thông
tin;
đ) Đối với hoạt động trao đổi thông
tin, dữ liệu với bên ngoài, đơn vị và cá nhân thực hiện trao đổi thông tin, dữ
liệu ra bên ngoài cam kết và có biện pháp bảo mật thông tin, dữ liệu được trao
đổi. Giao dịch trực tuyến phải được truyền đầy đủ, đúng địa chỉ, tránh bị sửa
đổi, tiết lộ hoặc nhân bản một cách trái phép; sử dụng các cơ chế xác thực mạnh,
chữ ký số khi tham gia giao dịch, sử dụng các giao thức truyền thông an toàn.
Điều 8. Xác
định cấp độ và phương án bảo đảm an toàn hệ thống thông tin
1. Việc xác định cấp độ hệ
thống thông tin và xây dựng phương án bảo vệ hệ thống thông tin theo cấp độ
phục vụ mục đích đánh giá an toàn thông tin và bảo đảm an toàn thông tin cho
các hệ thống thông tin. Nguyên tắc bảo đảm an toàn thông tin theo cấp độ và
nguyên tắc xác định cấp độ căn cứ trên các nguyên tắc quy định tại Điều 4, Điều 5 Nghị định 85/2016/NĐ-CP.
2. Chủ quản hệ thống thông tin:
a) Chủ quản hệ thống thông tin theo
quy định tại Điều 5 Thông tư số 03/2017/TT-BTTTT;
b) Chủ quản hệ thống thông tin có
thể ủy quyền cho một tổ chức thay mặt mình thực hiện quyền quản lý trực tiếp đối
với hệ thống thông tin và trách nhiệm bảo đảm an toàn hệ thống thông tin theo
quy định tại Điều 20 Nghị định 85/2016/NĐ-CP. Văn bản ủy quyền
theo quy định tại khoản 3 Điều 5 Thông tư số 03/2017/TT-BTTTT.
3. Đơn vị vận hành hệ thống
thông tin:
a) Trung tâm Công nghệ thông tin
là đơn vị vận hành các hệ thống thông tin, cơ sở dữ liệu dùng chung của Bộ và
các hệ thống thông tin được giao khác;
b) Các đơn vị trực thuộc Bộ là chủ
quản hệ thống thông tin chịu trách nhiệm phân công đơn vị vận hành hệ thống
thông tin;
c) Các hệ thống thông tin trước
khi đưa vào khai thác, sử dụng phải được giao cho đơn vị quản lý, vận hành. Đơn
vị vận hành hệ thống thông tin theo quy định tại Điều 6 Thông tư
số 03/2017/TT-BTTTT.
4. Đơn vị chuyên trách về an
toàn thông tin:
a) Trung tâm Công nghệ thông tin
là đơn vị chuyên trách về an toàn thông tin của Bộ Khoa học và Công nghệ;
b) Đơn vị chuyên trách về công nghệ
thông tin tại các đơn vị trực thuộc Bộ đồng thời là đơn vị chuyên trách về an
toàn thông tin.
5. Thẩm quyền xác định cấp độ an
toàn hệ thống thông tin:
a) Đơn vị lập hồ sơ đề xuất cấp
độ: Đối với các hệ thống thông tin thuộc các nhiệm vụ, dự án đang trong giai
đoạn lập dự án, đơn vị lập dự án lập hồ sơ đề xuất cấp độ; Đối với các hệ thống
thông tin thuê dịch vụ, đơn vị chủ trì thuê dịch vụ lập hồ sơ đề xuất cấp độ;
Đối với các hệ thống thông tin đang trong giai đoạn triển khai, đơn vị chủ trì
triển khai lập hồ sơ đề xuất cấp độ; Đối với các hệ thống thông tin đang vận
hành, đơn vị vận hành lập hồ sơ đề xuất cấp độ;
b) Đối với các hệ thống thông tin
được đề xuất từ cấp độ 3 trở lên, đơn vị chuyên trách về an toàn thông tin của
các đơn vị trực thuộc Bộ cần gửi xin ý kiến chuyên môn của Trung tâm Công nghệ
thông tin trước khi trình các cấp có thẩm quyền thẩm định, phê duyệt cấp độ;
c) Thẩm quyền thẩm định và phê duyệt
cấp độ theo quy định tại Điều 12 Nghị định số 85/2016/NĐ-CP.
6. Trình tự, thủ tục xác định
cấp độ hệ thống thông tin:
a) Việc xác định, phân loại hệ thống
thông tin theo quy định tại Điều 4 Thông tư số 03/2017/TT-BTTTT;
b) Nội dung của hồ sơ đề xuất
cấp độ hệ thống thông tin theo quy định tại Điều 15 Nghị định
85/2016/NĐ-CP;
c) Nội dung, thời gian thẩm
định hồ sơ đề xuất cấp độ hệ thống thông tin quy định tại Điều
16 Nghị định 85/2016/NĐ-CP;
d) Trình tự, thủ tục xác định
cấp độ hệ thống thông tin theo quy định tại Điều 13, Điều 14
Nghị định 85/2016/NĐ-CP và Điều 14, Điều 15, Điều 16 Thông
tư số 03/2017/TT-BTTTT.
7. Phương án bảo đảm an toàn hệ
thống thông tin:
a) Phương án bảo đảm an toàn hệ
thống thông tin phải phù hợp với cấp độ của hệ thống thông tin và đáp ứng yêu
cầu quy định tại Thông tư số 03/2017/TT- BTTTT, phù hợp với tiêu chuẩn TCVN 11930:2017 ,
các tiêu chuẩn, quy chuẩn kỹ thuật khác và chính sách an toàn thông tin mạng
của Bộ Khoa học và Công nghệ, chính sách an toàn thông tin mạng của các đơn vị
trực thuộc Bộ (nếu có);
b) Chủ quản hệ thống thông tin hoặc
đơn vị được ủy quyền quản lý trực tiếp hệ thống thông tin tổ chức triển khai
phương án bảo đảm an toàn hệ thống thông tin sau khi hồ sơ đề xuất cấp độ hoặc
phương án bảo đảm an toàn hệ thống được phê duyệt;
c) Đơn vị/bộ phận chuyên trách về
an toàn thông tin thuộc đơn vị chịu trách nhiệm giám sát việc triển khai các phương
án bảo đảm an toàn thông tin đã được phê duyệt.
Điều 9. Bảo
đảm an toàn thông tin khi tiếp nhận, phát triển, vận hành và bảo trì hệ thống
thông tin
1. Khi thực hiện nâng cấp, mở
rộng, thay thế một phần hệ thống thông tin, phải rà soát cấp độ, phương án bảo
đảm an toàn của hệ thống thông tin và thực hiện điều chỉnh, bổ sung hoặc thay
mới hồ sơ đề xuất cấp độ trong trường hợp cần thiết.
2. Khi tiếp nhận, phát triển, nâng
cấp, bảo trì hệ thống thông tin, đơn vị phải tiến hành phân tích, xác định rủi
ro có thể xảy ra, đánh giá phạm vi tác động và phải chuẩn bị các biện pháp hạn
chế, loại trừ các rủi ro này và yêu cầu các bên cung cấp, thi công, các cá nhân
liên quan thực hiện.
3. Trong quá trình vận hành hệ thống
thông tin, đơn vị chủ quản hệ thống thông tin cần thực hiện đánh giá, phân loại
hệ thống thông tin theo cấp độ; triển khai phương án bảo đảm an toàn hệ thống
thông tin đáp ứng yêu cầu cơ bản trong tiêu chuẩn, quy chuẩn kỹ thuật về bảo
đảm an toàn hệ thống thông tin theo cấp độ; thường xuyên kiểm tra, giám sát an
toàn hệ thống thông tin; tuân thủ quy trình vận hành, quy trình xử lý sự cố đã
xây dựng; ghi lại và lưu trữ đầy đủ thông tin nhật ký hệ thống để phục vụ quản
lý, kiểm soát thông tin.
4. Các đơn vị trực thuộc Bộ liên
quan đến việc phát triển phần mềm ứng dụng có trách nhiệm yêu cầu các đối tác
(nếu có) thực hiện các công tác đảm bảo an toàn thông tin, tránh lộ, lọt mã nguồn
và dữ liệu, tài liệu thiết kế, quản trị hệ thống mà đối tác đang xử lý ra bên
ngoài.
Điều 10. Giám
sát an toàn thông tin mạng
1. Chủ quản hệ thống thông tin chỉ
đạo việc giám sát đối với các hệ thống thông tin thuộc phạm vi quản lý, phối hợp
với Trung tâm Công nghệ thông tin và các đơn vị chức năng của Bộ Thông tin và
Truyền thông giám sát theo quy định.
2. Nguyên tắc, yêu cầu, nội dung,
phương thức, hệ thống kỹ thuật phục vụ công tác giám sát thực hiện theo quy
định tại Thông tư số 31/2017/TT-BTTTT .
3. Đơn vị chuyên trách về an toàn
thông tin của các đơn vị trực thuộc Bộ cử 01 lãnh đạo đơn vị và 01 cán bộ (hoặc
01 đơn vị trực thuộc) làm đầu mối giám sát an toàn thông tin mạng đề tiếp nhận
cảnh báo, cung cấp, trao đổi, chia sẻ thông tin với Trung tâm Công nghệ thông
tin trong các hoạt động giám sát an toàn thông tin tại đơn vị và tại Bộ Khoa
học và Công nghệ.
Điều 11. Kiểm
tra, đánh giá an toàn thông tin
1. Chủ quản hệ thống thông tin có
thẩm quyền yêu cầu kiểm tra, đánh giá đối với các hệ thống thông tin thuộc thẩm
quyền quản lý. Đơn vị chuyên trách về an toàn thông tin của chủ quản hệ thống thông
tin có thẩm quyền yêu cầu kiểm tra, đánh giá đối với các hệ thống thông tin do
mình phê duyệt hồ sơ đề xuất cấp độ.
2. Đơn vị chủ trì kiểm tra, đánh
giá là đơn vị được cấp có thẩm quyền giao nhiệm vụ hoặc được lựa chọn để thực
hiện việc kiểm tra, đánh giá. Đối tượng kiểm tra, đánh giá là chủ quản hệ thống
thông tin hoặc đơn vị vận hành hệ thống thông tin và các hệ thống thông tin có
liên quan.
3. Nội dung, hình thức kiểm tra,
đánh giá theo quy định tại Điều 10 Thông tư số 03/2017/TT-BTTTT.
4. Trung tâm Công nghệ thông tin
thực hiện việc kiểm tra việc tuân thủ quy định của pháp luật về bảo đảm an toàn
hệ thống thông tin theo cấp độ tại Bộ Khoa học và Công nghệ theo quy định tại Điều 11 Thông tư số 03/2017/TT-BTTTT.
5. Trung tâm Công nghệ thông tin,
đơn vị chuyên trách về an toàn thông tin của các đơn vị trực thuộc Bộ thực hiện
việc đánh giá hiệu quả của các biện pháp bảo đảm an toàn thông tin theo thẩm quyền.
Nội dung đánh giá là cơ sở để điều chỉnh phương án bảo đảm an toàn thông tin
cho phù hợp.
Điều 12.
Ứng cứu sự cố an toàn thông tin mạng
1. Ban chỉ đạo, đơn vị chuyên trách
ứng cứu khẩn cấp sự cố an toàn thông tin mạng:
a) Ban Chỉ đạo chuyển đổi số
của Bộ Khoa học và Công nghệ đảm nhiệm chức năng Ban chỉ đạo ứng cứu khẩn cấp
sự cố an toàn thông tin mạng của Bộ Khoa học và Công nghệ. Trách nhiệm và quyền
hạn của Ban Chỉ đạo chuyển đổi số của Bộ Khoa học và Công nghệ được quy định
tại Khoản 2, Điều 5 Quyết định số 05/2017/QĐ-TTg;
b) Trung tâm Công nghệ thông tin
là đơn vị chuyên trách về ứng cứu sự cố an toàn thông tin mạng của Bộ Khoa học
và Công nghệ. Bộ phận chuyên trách về an toàn thông tin mạng tại các đơn vị trực
thuộc Bộ đảm nhiệm vai trò chuyên trách về ứng cứu sự cố an toàn thông tin mạng
trong phạm vi quản lý công nghệ thông tin của đơn vị. Đơn vị chuyên trách về
ứng cứu sự cố an toàn thông tin mạng thực hiện trách nhiệm quy định tại khoản 2 Điều 6 Quyết định số 05/2017/QĐ-TTg;
c) Trung tâm Công nghệ thông tin
trình Bộ thành lập Đội ứng cứu an toàn thông tin mạng của Bộ và tổ chức ứng cứu
sự cố trong phạm vi của Bộ quản lý. Các đơn vị chuyên trách về ứng cứu sự cố tại
các đơn vị trực thuộc Bộ thành lập Đội ứng cứu sự cố của mình phù hợp với quy
mô, tính chất của đơn vị.
2. Kế hoạch ứng phó sự cố bảo
đảm an toàn thông tin mạng:
a) Các đơn vị trực thuộc Bộ tổ chức
xây dựng, phê duyệt kế hoạch ứng phó sự cố cho các hệ thống thông tin do đơn vị
trực tiếp quản lý theo đề cương tại Phụ lục II Quyết định số 05/2017/QĐ-TTg
(bao gồm các điều chỉnh do Bộ Thông tin và Truyền thông ban hành nếu có) và tổ
chức triển khai kế hoạch sau khi phê duyệt. Đối với các nội dung trong kế hoạch
vượt thẩm quyền quyết định của đơn vị, đơn vị lấy ý kiến của Trung tâm Công
nghệ thông tin, Vụ Kế hoạch - Tài chính (đối với các nội dung yêu cầu có kinh
phí), báo cáo Bộ xem xét, quyết định;
b) Các kế hoạch ứng phó sự cố sau
khi được phê duyệt phải gửi Trung tâm Công nghệ thông tin tổng hợp thành kế hoạch
chung của Bộ Khoa học và Công nghệ. Trung tâm Công nghệ thông tin xây dựng kế
hoạch ứng phó sự cố của Bộ Khoa học và Công nghệ, trình Lãnh đạo Bộ phê duyệt.
3. Quy trình ứng cứu sự cố an toàn
thông tin mạng:
a) Các tổ chức, cá nhân khi phát
hiện dấu hiệu tấn công hoặc sự cố an toàn thông tin mạng cần nhanh chóng báo
cho đơn vị vận hành hệ thống thông tin, đơn vị chủ quản hệ thống thông tin liên
quan, Trung tâm Công nghệ thông tin. Trung tâm Công nghệ thông tin có trách
nhiệm cập nhật, tổng hợp và báo cáo đơn vị cơ quan quản lý nhà nước trong trường
hợp cần thiết;
b) Khi xảy ra sự cố an toàn thông
tin mạng thuộc loại hình tấn công mạng, đơn vị vận hành hệ thống thông tin thực
hiện báo cáo theo quy định tại Điểm a Khoản 1 Điều 11 Quyết
định 05/2017/QĐ-TTg và Điều 9 Thông tư 20/2017/TT- BTTT,
đồng thời báo cáo Trung tâm Công nghệ thông tin để tổng hợp, báo cáo Ban Chỉ
đạo chuyển đổi số của Bộ Khoa học và Công nghệ. Trách nhiệm của các đơn vị khi
phát hiện, tiếp nhận xác minh, xử lý ban đầu và phân loại sự cố an toàn thông
tin mạng theo quy định tại Điều 12 Quyết định 05/2017/QĐ-TTg
và Điều 10 Thông tư số 20/2017/TT-BTTTT;
c) Quy trình ứng cứu sự cố an toàn
thông tin mạng theo quy định tại Điều 13, Điều 14 Quyết định
05/2017/QĐ-TTg và Điều 11 Thông tư số 20/2017/TT- BTTTT.
4. Diễn tập ứng cứu sự cố an toàn
thông tin mạng:
a) Chủ quản hệ thống thông tin là
các đơn vị trực thuộc Bộ tổ chức diễn tập ứng cứu sự cố theo kế hoạch ứng phó
sự cố được phê duyệt;
b) Trung tâm Công nghệ thông tin
chủ trì, phối hợp với các đơn vị trực thuộc Bộ tham gia các cuộc diễn tập quốc gia,
quốc tế do Cơ quan điều phối quốc gia, Bộ Thông tin và Truyền thông tổ chức và
tổ chức diễn tập ứng cứu sự cố trong phạm vi Bộ Khoa học và Công nghệ theo tần suất
quy định tại điểm b Nhiệm vụ 4 mục II Điều
1 Quyết định số 1622/QĐ-TTg ngày 25/10/2017 của Thủ tướng Chính phủ.
Điều 13. Đào
tạo, bồi dưỡng nghiệp vụ, tuyên truyền, phổ biến nâng cao nhận thức về an toàn
thông tin mạng
1. Các đơn vị trực thuộc Bộ xác
định nhu cầu về đào tạo nguồn nhân lực bảo đảm an toàn thông tin tại đơn vị mình
gửi Trung tâm Công nghệ thông tin. Trung tâm Công nghệ thông tin tổng hợp, xây
dựng trình Bộ phê duyệt kế hoạch dài hạn, kế hoạch hàng năm về đào tạo, bồi dưỡng
nghiệp vụ an toàn, an ninh thông tin cho cán bộ, công chức, viên chức và người
lao động của Bộ Khoa học và Công nghệ và thực hiện tổ chức đào tạo theo kế hoạch
đã phê duyệt.
2. Các đơn vị trực thuộc Bộ tổ chức
đào tạo, bồi dưỡng nghiệp vụ về an toàn thông tin cho cán bộ công nghệ thông
tin, cán bộ chuyên trách an toàn thông tin mạng các đơn vị trực thuộc; đào tạo
cơ bản về an toàn thông tin cho cán bộ quản lý, người sử dụng máy tính thuộc đơn
vị.
3. Các đơn vị trực thuộc Bộ
phải thường xuyên tổ chức các hoạt động tuyên truyền, phổ biến nâng cao nhận
thức về bảo đảm an toàn thông tin mạng và an ninh mạng đến toàn thể bộ cán bộ,
công chức, viên chức và người lao động tại đơn vị.
4. Trung tâm Công nghệ thông tin
xây dựng trình Bộ kế hoạch tuyên truyền, phố biến nâng cao nhận thức về an toàn
thông tin mạng và an ninh mạng tại Bộ Khoa học và Công nghệ và thực hiện các
nội dung theo kế hoạch đã được phê duyệt.
Chương
III
BẢO ĐẢM AN NINH MẠNG
Điều 14. Triển
khai hoạt động bảo vệ an ninh mạng trong cơ quan, đơn vị thuộc Bộ Khoa học và
Công nghệ
1. Nội dung triển khai hoạt
động bảo vệ an ninh mạng bao gồm:
a) Xây dựng phương án bảo đảm an
ninh mạng đối với hệ thống thông tin; phương án ứng phó, khắc phục sự cố an ninh
mạng;
b) Ứng dụng, triển khai phương án,
biện pháp, công nghệ bảo vệ an ninh mạng đối với hệ thống thông tin và thông
tin, tài liệu được lưu trữ, soạn thảo, truyền đưa trên hệ thống thông tin thuộc
phạm vi quản lý;
c) Tổ chức bồi dưỡng kiến thức về
an ninh mạng cho cán bộ, công chức, viên chức, người lao động; nâng cao năng lực
bảo vệ an ninh mạng cho lực lượng bảo vệ an ninh mạng;
d) Bảo vệ an ninh mạng trong
hoạt động cung cấp dịch vụ trực tuyến, cung cấp, trao đổi, thu thập thông tin
với cơ quan, tố chức, cá nhân, chia sẻ thông tin trong nội bộ và với cơ quan
khác;
đ) Triển khai kiểm tra an ninh mạng
đối với hệ thống thông tin; phòng, chống hành vi vi phạm pháp luật về an ninh
mạng; ứng phó, khắc phục sự cố an ninh mạng.
2. Người đứng đầu cơ quan, đơn vị
có trách nhiệm triển khai hoạt động bảo vệ an ninh mạng thuộc quyền quản lý.
Điều 15.
Bảo vệ an ninh mạng đối với hệ thống thông tin quan trọng về an ninh quốc gia
Cơ quan, đơn vị có hệ thống thông
tin quan trọng về an ninh quốc gia có trách nhiệm:
1. Kiểm tra an ninh mạng đối
với hệ thống thông tin quan trọng về an ninh quốc gia; thông báo kết quả kiểm
tra bằng văn bản trước tháng 10 hằng năm cho lực lượng chuyên trách bảo vệ an
ninh mạng theo quy định tại Luật An ninh mạng.
2. Phối hợp với lực lượng chuyên
trách bảo vệ an ninh mạng tiến hành kiểm tra an ninh mạng đột xuất.
3. Chủ trì, phối hợp với lực
lượng chuyên trách bảo vệ an ninh mạng có thẩm quyền thường xuyên thực hiện
giám sát an ninh mạng đối với hệ thống thông tin thuộc phạm vi quản lý.
4. Xây dựng cơ chế tự cảnh báo và
tiếp nhận cảnh báo về nguy cơ đe dọa an ninh mạng, sự cố an ninh mạng, điểm yếu,
lỗ hổng bảo mật, mã độc, phần cứng, phần mềm độc hại và đề ra phương án ứng phó,
khắc phục khẩn cấp.
5. Xây dựng phương án ứng phó, khắc
phục sự cố an ninh mạng đối với hệ thống thông tin thuộc phạm vi quản lý; triển
khai phương án ứng phó, khắc phục khi sự cố an ninh mạng xảy ra và kịp thời báo
cáo với lực lượng chuyên trách bảo vệ an ninh mạng có thẩm quyền.
6. Tuân thủ các quy định liên quan
khác tại Luật An ninh mạng.
Điều 16.
Lực lượng bảo vệ an ninh mạng
1. Lực lượng bảo vệ an ninh
mạng của Bộ Khoa học và Công nghệ bố trí tại Vụ Công nghệ cao và Trung tâm Công
nghệ thông tin.
2. Cơ quan, đơn vị có hệ thống thông
tin quan trọng về an ninh quốc gia có trách nhiệm bố trí lực lượng an ninh mạng
để bảo vệ hệ thống thông tin quan trọng về an ninh quốc gia.
3. Tổ chức, cá nhân được huy
động tham gia bảo vệ an ninh mạng.
Chương IV
TRÁCH NHIỆM CỦA CÁC TỔ CHỨC
LIÊN QUAN
Điều 17. Trách
nhiệm của Trung tâm Công nghệ thông tin
1. Thực hiện các trách nhiệm
được giao tại Quy chế này.
2. Hướng dẫn triển khai Quy chế
này và các quy định liên quan của Nhà nước.
3. Giám sát, đôn đốc, kiểm tra việc
triển khai các nội dung tại Quy chế này.
4. Chủ trì/phối hợp với Vụ Công
nghệ cao trong việc hướng dẫn, hỗ trợ các cơ quan, đơn vị về công tác bảo đảm an
toàn thông tin và an ninh mạng.
5. Chủ trì/phối hợp với Vụ Công
nghệ cao trong việc xây dựng kế hoạch, báo cáo về an toàn thông tin mạng và an ninh
mạng của Bộ Khoa học và Công nghệ.
6. Bảo đảm an toàn, an ninh thông
tin cho các hệ thống thông tin, cơ sở dữ liệu dùng chung của Bộ.
Điều 18. Trách
nhiệm của các đơn vị trực thuộc Bộ
1. Thực hiện các trách nhiệm
được giao tại Quy chế này.
2. Tổ chức triển khai thực hiện
Quy chế này tại đơn vị.
3. Thực hiện các báo cáo theo quy
định, gửi Trung tâm Công nghệ thông tin tổng hợp, báo cáo Bộ.
4. Xây dựng, triển khai Quy
chế/nội quy bảo đảm an toàn, an ninh thông tin tại đơn vị bảo đảm phù hợp với
Quy chế này và các yêu cầu cụ thể của đơn vị.
5. Thực hiện việc quản lý trang
thiết bị công nghệ thông tin và cán bộ, công chức, viên chức, người lao động
theo Điều 5 và Điều 6 của Quy chế này.
6. Đối với các Vụ thuộc Bộ:
Phối hợp với Trung tâm Công nghệ thông tin bảo đảm an toàn, an ninh thông tin
cho các hệ thống thông tin, cơ sở dữ liệu dùng chung của Bộ và các hệ thống
thông tin do đơn vị quản lý, vận hành.
Điều 19. Trách
nhiệm của đơn vị chuyên trách về an toàn thông tin
1. Thực hiện trách nhiệm của đơn
vị chuyên trách về an toàn thông tin theo quy định tại Quy chế này và các nhiệm
vụ do chủ quản hệ thống thông tin phân công.
2. Phối hợp chặt chẽ với các bộ
phận kỹ thuật thuộc đơn vị vận hành hệ thống thông tin trong việc bảo đảm an toàn
thông tin trong tất cả các công đoạn liên quan đến hệ thống thông tin.
Điều 20. Trách
nhiệm của chủ quản hệ thống thông tin
1. Thực hiện trách nhiệm của đơn
vị chủ quản hệ thống thông tin theo quy định tại Quy chế này.
2. Chỉ đạo, phân công các đơn
vị vận hành các hệ thống thông tin triển khai công tác bảo đảm an toàn thông
tin trong tất cả các công đoạn liên quan đến hệ thống thông tin.
Điều 21. Trách
nhiệm của đơn vị vận hành hệ thống thông tin
1. Thực hiện trách nhiệm của đơn
vị vận hành hệ thống thông tin theo quy định tại Quy chế này và các nhiệm vụ do
chủ quản hệ thống thông tin phân công.
2. Chỉ đạo, phân công các bộ
phận kỹ thuật thuộc đơn vị (quản lý ứng dụng; quản lý dữ liệu; vận hành hệ
thống thông tin; triển khai và hỗ trợ kỹ thuật) triển khai công tác bảo đảm an
toàn thông tin trong tất cả các công đoạn liên quan đến hệ thống thông tin.
Điều 22. Trách
nhiệm cá nhân
1. Thủ trưởng đơn vị thuộc đối tượng
áp dụng của Quy chế này có trách nhiệm: phổ biến tới từng cán bộ, công chức, viên
chức, người lao động của đơn vị; thường xuyên kiểm tra việc thực hiện Quy chế
này tại đơn vị; chịu trách nhiệm trước pháp luật và Lãnh đạo Bộ Khoa học và Công
nghệ về các vi phạm, thất thoát thông tin, dữ liệu mật thuộc phạm vi quản lý
của đơn vị do không tổ chức, chỉ đạo, kiểm tra cán bộ của đơn vị thực hiện đúng
quy định.
2. Cán bộ, công chức, viên
chức, người lao động của Bộ Khoa học và Công nghệ, các đơn vị trực thuộc Bộ và
các đơn vị khác thuộc đối tượng áp dụng của quy định có trách nhiệm: tuân thủ
Quy chế; thông báo các vấn đề bất thường liên quan tới an toàn thông tin cho
đơn vị, bộ phận chuyên trách về an toàn thông tin mạng của đơn vị; chịu trách
nhiệm trước pháp luật và Lãnh đạo đơn vị về các vi phạm, thất thoát dữ liệu mật
của ngành khoa học và công nghệ do không tuân thủ Quy chế.
Chương
IV
TỔ CHỨC THỰC HIỆN
Điều 23. Kinh
phí thực hiện
Kinh phí bảo đảm an toàn thông tin
mạng và an ninh mạng được lấy từ nguồn ngân sách nhà nước dự toán hàng năm của
Bộ Khoa học và Công nghệ;
Căn cứ vào kế hoạch hàng năm, các
đơn vị liên quan có trách nhiệm xây dựng kế hoạch, đề xuất dự toán cho các hoạt
động bảo đảm an toàn thông tin mạng và an ninh mạng gửi Trung tâm Công nghệ thông
tin để tổng hợp, gửi Văn phòng Bộ phối hợp với Vụ Kế hoạch - Tài chính thẩm định,
trình lãnh đạo Bộ phê duyệt.
Điều 24. Công
tác kiểm tra
1. Các đơn vị trực thuộc Bộ
phải thường xuyên kiểm tra, theo dõi và đánh giá công tác bảo đảm an toàn thông
tin mạng và an ninh mạng tại cơ quan, đơn vị mình, coi đây là nhiệm vụ trọng
tâm của đơn vị.
2. Giao Trung tâm Công nghệ thông
tin kiểm tra và báo cáo Bộ việc thực hiện Quy chế này tại các đơn vị trực thuộc
Bộ.
Điều 25. Chế
độ báo cáo
1. Báo cáo định kỳ:
a) Báo cáo an toàn thông tin
định kỳ hàng năm gồm các nội dung quy định tại khoản 3 Điều 17
Thông tư 03/2017/TT-BTTTT;
b) Báo cáo hoạt động giám sát
của chủ quản hệ thống thông tin định kỳ 6 tháng theo mẫu tại Phụ lục 2 Thông tư
31/2017/TT-BTTTT .
2. Báo cáo đột xuất: Báo cáo về
công tác khắc phục mã độc, lỗ hổng, điểm yếu, triển khai cảnh báo an toàn thông
tin và các báo cáo đột xuất khác theo yêu cầu của đơn vị chuyên trách về an toàn
thông tin của Bộ hoặc yêu cầu của Lãnh đạo Bộ.
3. Trách nhiệm lập, phê duyệt
báo cáo:
a) Các đơn vị trực thuộc Bộ liên
quan có trách nhiệm lập báo cáo định kỳ, đột xuất theo yêu cầu và hướng dẫn của
Trung tâm Công nghệ thông tin;
b) Trung tâm Công nghệ thông tin
chịu trách nhiệm tập hợp, tổng hợp báo cáo của các đơn vị, trình Bộ phê duyệt, gửi
các cơ quan quản lý nhà nước về an toàn thông tin.
Điều 26. Khen
thưởng, kỷ luật
1. Kết quả thực hiện Quy chế
này là một trong những tiêu chí có thể sử dụng để đánh giá kết quả thực hiện
hàng năm của cá nhân, đơn vị
2. Đơn vị, cá nhân vi phạm Quy chế
này và các quy định khác của pháp luật về bảo đảm an toàn thông tin mạng và an
ninh mạng, tùy theo tính chất, mức độ vi phạm sẽ bị xử lý kỷ luật hoặc các hình
thức xử lý khác theo quy định của pháp luật; nếu vi phạm gây thiệt hại đến tài
sản, thiết bị, thông tin, dữ liệu thì chịu trách nhiệm bồi thường theo pháp luật
hiện hành.
Điều 27. Trách
nhiệm thi hành
1. Thủ trưởng các đơn vị trực thuộc
Bộ có trách nhiệm phổ biến, quán triệt đến toàn bộ cán bộ, nhân viên trong đơn
vị thực hiện các quy định của Quy chế này.
2. Trong quá trình thực hiện,
nếu có những vấn đề khó khăn, vướng mắc, các đơn vị phản ánh về Trung tâm Công
nghệ thông tin để tổng hợp, trình Bộ trưởng xem xét, sửa đổi, bổ sung quy chế./.