QUY CHẾ
ĐẢM BẢO AN TOÀN THÔNG TIN
TRONG HOẠT ĐỘNG ỨNG DỤNG CÔNG NGHỆ THÔNG TIN CỦA CƠ QUAN NHÀ NƯỚC TỈNH KIÊN
GIANG
(Ban hành kèm theo Quyết định số 1760/QĐ-UBND ngày 20 tháng 8 năm 2015 của
Chủ tịch Ủy ban nhân dân tỉnh Kiên Giang)
Điều 1. Phạm vi điều chỉnh
Quy chế này
quy định về công tác đảm bảo an toàn thông tin trong hoạt động ứng dụng công
nghệ thông tin (gọi tắt là CNTT) của các cơ quan nhà nước tỉnh Kiên Giang.
Điều 2. Đối tượng áp dụng
1. Quy chế này
áp dụng đối với các cơ quan, đơn vị trên địa bàn tỉnh Kiên Giang, bao gồm:
a) Ủy ban nhân
dân tỉnh và các cơ quan chuyên môn trực thuộc;
b) Ủy ban nhân
dân các huyện, thị xã, thành phố và các phòng, ban chuyên môn trực thuộc;
c) Ủy ban nhân
dân các xã, phường, thị trấn;
d) Các đơn vị
sự nghiệp công lập; các doanh nghiệp nhà nước trên địa bàn tỉnh;
đ) Các tổ
chức, cá nhân có liên quan khi tham gia sử dụng hệ thống thông tin của cơ quan
nhà nước, để giao tiếp, cung cấp và trao đổi thông tin số với cơ quan nhà nước.
2. Cán bộ,
công chức, viên chức và người lao động đang làm việc tại các đơn vị quy định
tại Khoản 1 Điều này.
Điều 3. Giải thích từ ngữ
Trong Quy chế
này, các từ ngữ dưới đây được hiểu như sau:
1. An toàn
thông tin: Bao gồm các hoạt động quản lý, nghiệp vụ và kỹ thuật đối với hệ
thống thông tin nhằm bảo vệ, khôi phục các hệ thống, các dịch vụ và nội dung
thông tin đối với nguy cơ tự nhiên hoặc do con người gây ra. Việc bảo vệ thông
tin, tài sản và con người trong hệ thống thông tin, nhằm bảo đảm cho các hệ
thống thực hiện đúng chức năng, phục vụ đúng đối tượng một cách sẵn sàng, chính
xác và tin cậy. An toàn thông tin bao hàm các nội dung bảo vệ và bảo mật thông
tin, an toàn dữ liệu, an toàn máy tính và an toàn mạng.
2. Cán bộ được
giao phụ trách đảm bảo an toàn thông tin: Là cán bộ kỹ thuật hoặc cán bộ quản
lý được giao phụ trách công tác bảo đảm an toàn thông tin cho việc triển khai,
vận hành, khai thác hệ thống CNTT tại đơn vị.
3. Bên thứ ba:
Là các tổ chức, cá nhân có chuyên môn được đơn vị thuê hoặc hợp tác với đơn vị
nhằm cung cấp hàng hóa, dịch vụ kỹ thuật cho hệ thống CNTT.
4. Tài sản
CNTT: Là các trang thiết bị, thông tin thuộc hệ thống công nghệ thông tin của
đơn vị, bao gồm:
a) Tài sản vật
lý: Là các thiết bị công nghệ thông tin, phương tiện truyền thông và các thiết
bị khác gắn với hoạt động của hệ thống công nghệ thông tin, như: Thiết bị ngoại
vi, hệ thống điều hòa, hệ thống cung cấp điện, hệ thống chống sét, hệ thống
quan sát…;
b) Tài sản
thông tin: Là các dữ liệu, tài liệu liên quan đến hệ thống công nghệ thông tin;
c) Tài sản
phần mềm: Là các chương trình ứng dụng, phần mềm hệ thống, cơ sở dữ liệu và
công cụ phát triển.
Điều 4. Nguyên tắc chung
1. Việc bảo
đảm an toàn thông tin là yêu cầu bắt buộc trong quá trình thiết kế, xây dựng,
vận hành, nâng cấp, sử dụng và hủy bỏ trong ứng dụng CNTT của cơ quan nhà nước.
2. Thủ trưởng
đơn vị là người chịu trách nhiệm trực tiếp chỉ đạo công tác đảm bảo an toàn
thông tin.
3. Xác định rõ
quyền hạn, trách nhiệm của Thủ trưởng, các phòng, ban và từng cá nhân trong đơn
vị đối với công tác đảm bảo an toàn thông tin.
4. Các đơn vị
xây dựng, triển khai Quy chế đảm bảo an toàn thông tin, phải tuân theo các nội
dung tại Quy chế này.
5. Bố trí
nguồn lực phù hợp với quy mô, điều kiện của đơn vị, nhằm thực hiện tốt nhất
công tác đảm bảo an toàn thông tin.
Điều 5. Quản lý tài sản CNTT
1. Đơn vị phải
thống kê, kiểm kê tài sản CNTT (tài sản vật lý, tài sản thông tin, tài sản phần
mềm) tối thiểu mỗi năm 01 lần.
2. Đơn vị có
trách nhiệm kiểm tra, đánh giá mức độ an toàn đối với các tài sản CNTT trước
khi đưa vào sử dụng.
3. Việc quản
lý, sử dụng các tài sản CNTT khi thực hiện các hoạt động có liên quan đến nước
ngoài (đi công tác nước ngoài, giao dịch, làm việc với các tổ chức nước
ngoài,..) thực hiện theo quy định Nhà nước. Các thiết bị CNTT sử dụng khi đi
công tác nước ngoài phải được kiểm tra trước và sau mỗi chuyến công tác.
4. Thông tin
liên quan đến tài sản (loại tài sản, số hiệu, vị trí, thông tin bản quyền, các
mô tả khác cho việc thay thế, phục hồi, khắc phục sửa lỗi nhanh) cần được lưu
trữ, quản lý và cập nhật kịp thời.
5. Phân loại
tài sản công nghệ thông tin (vật lý, thông tin, phần mềm) theo mức độ giá trị,
độ nhạy cảm, tầm ảnh hưởng đối với hệ thống, tần suất sử dụng, thời gian lưu
trữ để xây dựng nội quy, biện pháp kỹ thuật nghiệp vụ phù hợp (định kỳ sao lưu
dữ liệu, bảo trì hệ thống...), nhằm dự phòng, khắc phục sự cố.
6. Gắn quyền
sử dụng tài sản cho các cá nhân hoặc bộ phận cụ thể, người sử dụng tài sản CNTT
phải tuân thủ các quy định về quản lý, sử dụng tài sản, đảm bảo tài sản được sử
dụng đúng mục đích và an toàn.
7. Phải xây
dựng kế hoạch kiểm tra, bảo dưỡng tài sản theo định kỳ. Trang thiết bị lưu trữ
thông tin khi không sử dụng nữa cần phải được hủy bỏ đúng quy trình kỹ thuật,
tránh lộ, lọt thông tin bí mật, mất dữ liệu và không thể phục hồi.
8. Việc kiểm
tra, đánh giá về khả năng đảm bảo an toàn thông tin đối với các tài sản CNTT
thực hiện theo các quy định của pháp luật và hướng dẫn của cơ quan chức năng.
9. Khi bên thứ
ba thực hiện việc cung cấp, bảo dưỡng, sửa chữa tài sản CNTT cho đơn vị, phải
thực hiện việc quản lý đảm bảo an toàn thông tin của đơn vị, như sau:
a) Đánh giá về
năng lực kỹ thuật, nhân sự, khả năng tài chính của bên thứ ba trước khi ký kết
hợp đồng cung cấp hàng hóa, dịch vụ;
b) Xác định rõ
trách nhiệm, quyền hạn và nghĩa vụ của các bên về đảm bảo an toàn thông tin khi
ký hợp đồng. Hợp đồng với bên thứ ba, phải bao gồm các điều khoản về việc xử lý
khi có vi phạm quy chế an toàn, bảo mật thông tin và trách nhiệm phải bồi
thường thiệt hại của bên thứ ba trong trường hợp có thiệt hại do hành vi vi
phạm của bên thứ ba gây ra;
c) Chú ý đến
các vấn đề về tính bí mật, tính toàn vẹn, tính sẵn sàng, tin cậy, hiệu năng tối
đa, khả năng phục hồi sau thảm họa, phương tiện lưu trữ của hệ thống thông tin
khi có sự tham gia của bên thứ ba;
d) Áp dụng các
biện pháp giám sát chặt chẽ và giới hạn quyền truy cập của bên thứ ba khi cho
phép truy cập vào hệ thống CNTT của đơn vị.
Điều 6. Quản lý nguồn nhân lực
1. Cán bộ,
công chức, viên chức, người lao động phải cam kết tuân thủ thực hiện các quy
chế bảo đảm an toàn thông tin của đơn vị mình.
2. Các cá nhân
trong đơn vị liên quan đến bảo mật thông tin phải ký cam kết bảo mật thông tin.
3. Cần phải bố
trí nhân sự có năng lực và đạo đức đảm nhận vị trí phụ trách cho công tác bảo
đảm an toàn thông tin, quản trị hệ thống công nghệ thông tin của đơn vị.
4. Đơn vị phải
lập kế hoạch đào tạo cho cán bộ, công chức, viên chức và người lao động để nâng
cao kiến thức cơ bản và kỹ năng an toàn mạng, an toàn thông tin; đồng thời phổ
biến, cập nhật các quy chế về an toàn thông tin hàng năm để mọi người hiểu rõ
các quyền và trách nhiệm đối với việc đảm bảo an toàn thông tin. Thường xuyên
kiểm tra việc thực hiện các nội quy, quy chế về an toàn thông tin của đơn vị
đối với cán bộ, công chức, viên chức, người lao động theo định kỳ.
5. Trước khi
phân công nhiệm vụ, đơn vị cần xác định yêu cầu về đảm bảo an toàn thông tin
của vị trí phân công. Kiểm tra lý lịch, xem xét đánh giá tư cách đạo đức, trình
độ chuyên môn khi phân công, giao nhiệm vụ cho cán bộ, công chức, viên chức và
người lao động làm việc tại các vị trí trọng yếu của hệ thống CNTT như quản trị
hệ thống, quản trị hệ thống an ninh bảo mật, vận hành hệ thống, quản trị cơ sở
dữ liệu.
6. Khi chấm
dứt hoặc thay đổi công việc, đơn vị phải: Xác định rõ trách nhiệm của cán bộ,
công chức, viên chức và người lao động và các bên liên quan về hệ thống CNTT;
thu hồi hoặc thay đổi quyền truy cập hệ thống CNTT cho phù hợp với công việc
được thay đổi.
7. Đối với bên
thứ ba, trong quá trình triển khai đơn vị cần:
a) Yêu cầu bên
thứ ba cung cấp danh sách nhân sự tham gia và yêu cầu bên thứ ba ký cam kết
không tiết lộ thông tin của đơn vị đối với các thông tin quan trọng;
b) Cung cấp và
yêu cầu bên thứ ba tuân thủ đầy đủ các quy chế về an toàn thông tin của đơn vị
và giám sát quá trình thực hiện;
c) Trong
trường hợp phát hiện dấu hiệu vi phạm hoặc vi phạm quy chế an toàn, bảo mật
thông tin của bên thứ ba, đơn vị cần: Tạm dừng hoặc đình chỉ hoạt động của bên
thứ ba tùy theo mức độ vi phạm; thông báo chính thức các vi phạm về an toàn,
bảo mật CNTT của nhân sự cho bên thứ ba; kiểm tra xác định, lập báo cáo mức độ
vi phạm và thông báo cho bên thứ ba thiệt hại xảy ra; thu hồi ngay quyền truy
cập hệ thống CNTT đã được cấp cho bên thứ ba;
d) Sau khi kết
thúc công việc: Yêu cầu bên thứ ba bàn giao lại tài sản sử dụng của đơn vị
trong quá trình triển khai công việc; thu hồi quyền truy cập hệ thống CNTT đã
được cấp của bên thứ ba ngay sau khi kết thúc công việc; thay đổi các khóa, mật
khẩu nhận bàn giao từ bên thứ ba.
Điều 7. Quản lý, đảm bảo an toàn hạ tầng ứng dụng CNTT
1. Đối với khu
vực đặt trang thiết bị CNTT:
a) Các khu vực
có yêu cầu cao về an toàn, bảo mật như phòng máy chủ, nơi đặt các thiết bị lưu
trữ phải áp dụng biện pháp kiểm soát ra vào thích hợp, đảm bảo chỉ những người
có nhiệm vụ mới được vào khu vực đó;
b) Bảo đảm an
toàn môi trường vật lý (nhiệt, độ ẩm, ánh sáng,...) cho phòng máy chủ, các hệ
thống hỗ trợ (máy điều hòa nhiệt độ, nguồn cấp điện, hệ thống chống sét, dự
phòng nguồn điện, cáp quang truyền dẫn) được an toàn và hoạt động ổn định, sẵn
sàng;
c) Có biện
pháp bảo vệ phòng chống nguy cơ do cháy nổ, ngập lụt, động đất và các thảm họa
khác do thiên nhiên và con người gây ra. Có nội quy, hướng dẫn làm việc trong
khu vực an toàn, bảo mật.
2. Đơn vị phải
thực hiện các biện pháp bảo vệ cần thiết để phòng tránh mất cắp hoặc phá hoại
tại các khu lắp đặt các thiết bị xử lý và lưu trữ của hệ thống thông tin, chỉ
những người có quyền, nhiệm vụ mới được phép vào. Đặc biệt là khu vực xử lý,
lưu trữ thông tin quan trọng, nhạy cảm của đơn vị cần phải trang bị cơ chế kiểm
tra xác thực nâng cao (thẻ, token, vân tay...).
3. Chủ động
thực hiện việc phân tích và đánh giá các mối đe dọa khách quan như: Bão, lũ,
cháy nổ, lở đất, vật liệu độc hại hoặc các mối đe dọa khác do thiên nhiên và có
kế hoạch phòng chống.
4. Phải bố trí
máy tính riêng đã được kiểm tra an ninh, không kết nối mạng nhằm tránh thất thoát
thông tin khi soạn thảo các tài liệu mật.
5. Hệ thống
máy chủ phải được dán nhãn, có sơ đồ đấu nối, thể hiện cụ thể về địa chỉ IP,
tên máy chủ. Sơ đồ đấu nối phải được cập nhật nếu có sự thay đổi.
6. Ứng dụng
chữ ký số chuyên dùng để đảm bảo an toàn thông tin trong việc triển khai ứng
dụng CNTT trong hoạt động cơ quan nhà nước và phục vụ công dân, tổ chức.
7. Về việc tổ
chức mô hình mạng: Cài đặt, cấu hình, tổ chức hệ thống mạng theo mô hình mạng
phân lớp, hạn chế sử dụng mô hình mạng ngang hàng. Các đơn vị có nhiều phòng,
ban, đơn vị trực thuộc không nằm trong cùng một khu vực, cần thiết lập hệ thống
mạng riêng bảo mật để đảm bảo an ninh cho mạng nội bộ.
8. Về việc
quản lý hệ thống mạng không dây: Khi thiết lập mạng không dây cho phép các
thiết bị kết nối với mạng cục bộ qua hình thức không dây tại các điểm truy
nhập, điểm đấu nối của thiết bị không dây vào mạng nội bộ cần ở lớp ngoài của
mạng (khu vực không bảo mật), thiết bị không dây cần được thiết lập các tham số
như: tên, mật khẩu, mã hóa dữ liệu... và thường xuyên thay đổi mật khẩu nhằm
tăng cường công tác bảo mật.
9. Chống mã
độc, virus: Lựa chọn, triển khai các phần mềm chống virus, mã độc có hiệu quả
trên các máy chủ, máy trạm, các thiết bị, phương tiện kỹ thuật trong mạng, các
hệ thống thông tin quan trọng như: Cổng/trang thông tin điện tử, thư điện tử,
một cửa điện tử,... đồng thời, thường xuyên cập nhật phiên bản mới, bản vá lỗi
của các phần mềm chống virus, nhằm kịp thời phát hiện, loại trừ mã độc máy tính.
10. Thiết bị
có chứa thông tin mật, quan trọng của đơn vị trước khi mang đi bảo hành, bảo
dưỡng, sửa chữa, phải tháo thiết bị lưu trữ dữ liệu hoặc xóa hết dữ liệu đã lưu
trữ trong thiết bị.
Điều 8. Đảm bảo an toàn trong quá trình vận hành, khai thác
sử dụng các hệ thống thông tin
1. Tùy theo
tình hình thực tế triển khai ứng dụng CNTT, các đơn vị cần thực hiện việc quản
lý và kiểm soát mạng nhằm ngăn ngừa các hiểm họa và duy trì an toàn cho các hệ
thống, ứng dụng sử dụng mạng. Các nội dung có thể bao gồm:
a) Sử dụng
thiết bị tường lửa, thiết bị phát hiện và ngăn chặn xâm nhập trái phép và các
trang thiết bị khác đảm bảo an toàn bảo mật mạng;
b) Thiết lập,
cấu hình đầy đủ các tính năng của thiết bị an ninh mạng;
c) Sử dụng các
công cụ để dò tìm và phát hiện kịp thời các điểm yếu, lỗ hổng và các truy cập
bất hợp pháp vào hệ thống mạng;
d) Thường
xuyên kiểm tra, phát hiện những kết nối, trang thiết bị, phần mềm cài đặt bất
hợp pháp vào mạng.
2. Quản lý bản
ghi nhật ký hệ thống: Hệ thống thông tin cần ghi nhận đầy đủ thông tin trong
các bản ghi nhật ký khi thao tác trên hệ thống và lưu giữ nội dung nhật ký
trong khoảng thời gian nhất định, để phục vụ việc quản lý, kiểm soát hệ thống
thông tin. Thường xuyên thực hiện việc theo dõi bản ghi nhật ký hệ thống và các
sự kiện khác có liên quan để đánh giá, báo cáo các rủi ro và mức độ nghiêm
trọng các rủi ro đó. Các rủi ro có thể xảy ra do sự truy cập trái phép, sử dụng
trái phép, xóa mất, thay đổi hoặc phá hủy thông tin và hệ thống thông tin.
3. Quản lý
đăng nhập hệ thống: Các hệ thống thông tin cần giới hạn một số hữu hạn lần đăng
nhập sai liên tiếp. Tổ chức theo dõi, và kiểm soát tất cả các phương pháp truy
nhập từ xa tới hệ thống thông tin; yêu cầu người dùng đặt mật khẩu với độ an
toàn cao.
4. Tổ chức
quản lý tài nguyên: Kiểm tra, giám sát chức năng chia sẻ thông tin. Tổ chức cấp
phát tài nguyên trên máy chủ theo danh mục thư mục cho từng phòng/ ban; khuyến
cáo người sử dụng cân nhắc việc chia sẻ tài nguyên cục bộ trên máy đang sử
dụng, khi thực hiện việc chia sẻ tài nguyên cần phải sử dụng mật khẩu để bảo vệ
thông tin.
5. Khai thác,
sử dụng các ứng dụng, hệ thống thông tin theo đúng chức năng, nhiệm vụ được
giao, đảm bảo phục vụ tốt công tác chuyên môn, nghiệp vụ của đơn vị, phục vụ
công dân, doanh nghiệp.
6. Trong quá
trình vận hành hệ thống cần thực hiện quy định về phòng chống virus, mã độc đáp
ứng các yêu cầu cơ bản như: Kiểm tra, diệt virus và mã độc trên các phương tiện
mang thông tin, dữ liệu nhận từ bên ngoài trước khi sử dụng; không mở các thư
điện tử lạ, các tập tin đính kèm hoặc các liên kết trong các thư lạ để tránh
virus, mã độc; không vào các trang web không rõ nguồn gốc xuất xứ, đáng ngờ;
báo ngay cho người quản trị hệ thống xử lý trong trường hợp phát hiện nhưng
không diệt được virus, mã độc; không tự ý cài đặt các phần mềm khi chưa được phép
của người quản trị hệ thống.
7. Đối với bên
thứ ba:
a) Thực hiện
giám sát và kiểm tra các dịch vụ do bên thứ ba cung cấp đảm bảo mức độ cung cấp
dịch vụ, khả năng hoạt động hệ thống đáp ứng đúng theo thỏa thuận đã ký kết;
b) Đảm bảo
triển khai, duy trì các biện pháp an toàn, bảo mật của dịch vụ do bên thứ ba
cung cấp theo đúng thỏa thuận;
c) Quản lý các
thay đổi đối với các dịch vụ của bên thứ ba cung cấp bao gồm: Nâng cấp phiên
bản mới; sử dụng các kỹ thuật mới, các công cụ và môi trường phát triển mới;
d) Đánh giá
đầy đủ tác động của việc thay đổi, đảm bảo an toàn khi được đưa vào sử dụng.
Điều 9. Quản lý và khắc phục sự cố, lưu trữ và dự phòng
1. Các sự
kiện, sự cố an toàn thông tin dưới đây cần được xem xét phân loại và xử lý theo
Quy chế tại Khoản 2, 3 Điều này, bao gồm:
a) Những truy
cập trái phép, hành vi vi phạm tính bảo mật và tính toàn vẹn dữ liệu, ứng dụng;
b) Phát hiện
mã độc, tấn công từ chối dịch vụ;
c) Phát hiện
ra điểm yếu, lỗ hổng bảo mật của hạ tầng, hệ điều hành, ứng dụng;
d) Hệ thống
trục trặc nhiều lần hoặc quá tải;
đ) Mất thiết
bị, phương tiện công nghệ thông tin;
e) Không tuân
thủ chính sách an toàn thông tin hoặc các chỉ dẫn bắt buộc của đơn vị hoặc hành
vi vi phạm an ninh vật lý;
g) Các trục
trặc của phần mềm hay phần cứng không khắc phục được gây ảnh hưởng đến hoạt
động của hệ thống CNTT;
h) Các sự cố
khác gây gián đoạn, ảnh hưởng đến hoạt động bình thường của các ứng dụng CNTT
tại đơn vị.
2. Đơn vị cần
phân loại mức độ nghiêm trọng của các sự cố, bao gồm:
a) Thấp: Sự cố
gây ảnh hưởng cá nhân và không làm gián đoạn hay đình trệ hoạt động chính của
cơ quan;
b) Trung bình:
Sự cố ảnh hưởng đến một nhóm người dùng nhưng không gây gián đoạn hay đình trệ
hoạt động chính của đơn vị;
c) Cao: Sự cố
làm cho thiết bị, phần mềm hay hệ thống không thể sử dụng được và gây ảnh hưởng
đến hoạt động chung của cơ quan;
d) Khẩn cấp:
Sự cố ảnh hưởng đến sự liên tục của nhiều hoạt động chính của cơ quan.
3. Khi có sự
cố hoặc nguy cơ mất an toàn thông tin thì lãnh đạo đơn vị phải chỉ đạo kịp thời:
a) Áp dụng mọi
biện pháp để khắc phục và hạn chế thiệt hại do sự cố xảy ra, lập biên bản báo
cáo cho cơ quan cấp trên quản lý trực tiếp;
b) Trường hợp
có sự cố nghiêm trọng ở mức độ cao, khẩn cấp hoặc vượt quá khả năng khắc phục
của đơn vị, lãnh đạo đơn vị phải báo cáo ngay cho cơ quan cấp trên quản lý trực
tiếp và Sở Thông tin và Truyền thông để được hướng dẫn, hỗ trợ;
c) Tạo điều
kiện thuận lợi cho cơ quan chức năng tham gia khắc phục sự cố và thực hiện theo
đúng hướng dẫn;
d) Cung cấp
đầy đủ, chính xác, kịp thời những thông tin cần thiết cho cơ quan cấp trên quản
lý trực tiếp;
đ) Báo cáo
bằng văn bản về sự cố cho cơ quan cấp trên quản lý trực tiếp và Sở Thông tin và
Truyền thông.
4. Tất cả công
chức, viên chức, người lao động và bên thứ ba khi phát hiện các sự cố về an
toàn thông tin của đơn vị cần thực hiện việc báo cáo với cấp trên và bộ phận
phụ trách công nghệ thông tin của đơn vị đó để kịp thời ngăn chặn và xử lý kịp
thời.
5. Thiết lập
cơ chế sao lưu và phục hồi hệ thống:
a) Ban hành và
thực hiện quy trình sao lưu dự phòng và phục hồi dữ liệu cho các phần mềm, dữ
liệu cần thiết khi gặp sự cố;
b) Lập danh
sách các dữ liệu, phần mềm cần được sao lưu, có phân loại theo thời gian lưu
trữ, thời gian sao lưu, phương pháp sao lưu và thời gian phục hồi hệ thống từ
dữ liệu sao lưu;
c) Dữ liệu sao
lưu phải được lưu trữ an toàn và được kiểm tra thường xuyên đảm bảo sẵn sàng
cho việc sử dụng khi cần.
Điều 10. Đảm bảo an toàn thông tin các ứng dụng, cơ sở hạ
tầng dùng chung, tích hợp ứng dụng và chia sẻ dữ liệu
1. Trong quá
trình khai thác, vận hành và sử dụng các ứng dụng, cơ sở hạ tầng dùng chung,
các đơn vị tham gia phải tuân thủ các quy chế về đảm bảo an toàn thông tin theo
yêu cầu của từng hệ thống, ứng dụng, đặc biệt là các ứng dụng, hạ tầng dùng
chung của tỉnh, bao gồm:
a) Khai thác
mạng tin học diện rộng của tỉnh (WAN);
b) Sử dụng và
vận hành Trung tâm dữ liệu của tỉnh;
c) Khai thác
sử dụng hệ thống thư điện tử;
d) Trang/cổng
thông tin điện tử, các phần mềm dùng chung: Quản lý văn bản và hồ sơ công việc;
đ) Hệ thống
một cửa điện tử.
2. Trong quá
trình triển khai việc tích hợp ứng dụng, chia sẻ dữ liệu, cần triển khai các
giải pháp đảm bảo an toàn thông tin cho từng ứng dụng và trong quá trình chia
sẻ dữ liệu cũng như làm rõ trách nhiệm của từng đơn vị, từng ứng dụng tham gia
vào hệ thống.
Điều 11. Ban hành và triển khai quy chế đảm bảo an toàn
thông tin tại đơn vị
1. Các đơn vị
phải xây dựng quy chế nội bộ bảo đảm an toàn cho hệ thống thông tin, trong đó
bao gồm các nội dung sau:
a) Yêu cầu và
nguyên tắc của công tác bảo đảm an toàn an ninh;
b) Yêu cầu về
quản lý tài sản CNTT của đơn vị;
c) Yêu cầu về
quản lý nguồn nhân lực;
d) Yêu cầu về
quản lý, đảm bảo an toàn môi trường mạng;
đ) Yêu cầu về
đảm bảo an toàn vận hành các hệ thống thông tin;
e) Quản lý sự
cố, lưu trữ và dự phòng;
g) Phân công
trách nhiệm và tổ chức thực hiện.
2. Các đơn vị
phải tổ chức giám sát việc thực hiện quy chế bảo đảm an toàn cho hệ thống thông
tin sau khi được ban hành.
Điều 12. Trách nhiệm của cán bộ, công chức, viên chức và
người lao động trong các cơ quan
1. Trách nhiệm
của cán bộ, công chức, viên chức và người lao động được giao phụ trách an toàn
thông tin:
a) Chịu trách
nhiệm đảm bảo an toàn thông tin của đơn vị;
b) Tham mưu
lãnh đạo cơ quan ban hành các quy chế, quy trình nội bộ, triển khai các giải
pháp kỹ thuật đảm bảo an toàn thông tin;
c) Thực hiện
việc giám sát, đánh giá, báo cáo Thủ trưởng cơ quan các rủi ro mất an toàn
thông tin và mức độ nghiêm trọng của các rủi ro đó;
d) Phối hợp
với các cá nhân, đơn vị có liên quan trong việc kiểm soát, phát hiện và khắc
phục các sự cố an toàn thông tin;
đ) Thường
xuyên cập nhật nâng cao kiến thức, trình độ chuyên môn đáp ứng yêu cầu đảm bảo
an toàn thông tin của đơn vị.
2. Trách nhiệm
của cán bộ, công chức, viên chức, người lao động trong các đơn vị.
a) Nghiêm túc
chấp hành các quy chế, quy trình nội bộ và các quy định khác của pháp luật về
an toàn thông tin. Chịu trách nhiệm đảm bảo an toàn thông tin trong phạm vi
trách nhiệm và quyền hạn được giao;
b) Mỗi cán bộ,
công chức, viên chức và người lao động phải có trách nhiệm tự quản lý, bảo quản
thiết bị, tài khoản, ứng dụng mà mình được giao sử dụng;
c) Khi phát
hiện nguy cơ hoặc sự cố mất an toàn thông tin phải báo cáo ngay với cấp trên và
bộ phận phụ trách công nghệ thông tin của đơn vị để kịp thời ngăn chặn và xử lý;
d) Tham gia
các chương trình đào tạo, hội nghị về an toàn an ninh thông tin được tỉnh hoặc
đơn vị tổ chức.
Điều 13. Trách
nhiệm của các đơn vị
1. Thủ trưởng
các đơn vị có trách nhiệm tổ chức thực hiện các quy định tại Quy chế này và
chịu trách nhiệm trong công tác đảm bảo an toàn thông tin của đơn vị mình.
2. Phân công
một bộ phận hoặc cán bộ phụ trách đảm bảo an toàn thông tin của đơn vị, tạo
điều kiện để các cán bộ phụ trách an toàn thông tin được học tập, nâng cao
trình độ về an toàn thông tin.
3. Xây dựng
quy chế, quy trình nội bộ về đảm bảo an toàn thông tin phù hợp với Quy chế này
và các quy định của Nhà nước.
4. Phối hợp,
cung cấp thông tin và tạo điều kiện cho các đơn vị có thẩm quyền triển khai
công tác kiểm tra khắc phục sự cố xảy ra một cách kịp thời, nhanh chóng và đạt
hiệu quả.
5. Phối hợp
chặt chẽ với Công an tỉnh trong công tác phòng ngừa, đấu tranh, ngăn chặn các
hoạt động xâm phạm an toàn thông tin.
6. Định kỳ
hàng năm, các đơn vị lập báo cáo về tình hình an toàn thông tin và gửi về Sở
Thông tin và Truyền thông trước ngày 30/01 của năm tiếp theo.
Điều 14. Trách nhiệm của Sở Thông tin và Truyền thông
1. Tham mưu Ủy
ban nhân dân tỉnh về công tác đảm bảo an toàn thông tin trên địa bàn tỉnh.
2. Tổ chức
thực hiện việc tiếp nhận và xử lý các sự cố về an toàn thông tin.
3. Xây dựng
khung quy chế mẫu về đảm bảo an toàn an ninh thông tin để các đơn vị tham khảo,
điều chỉnh và áp dụng phù hợp với tình hình từng đơn vị.
4. Chủ trì,
phối hợp với Văn phòng Ủy ban nhân dân tỉnh, Công an tỉnh và các đơn vị có liên
quan tiến hành kiểm tra công tác bảo đảm an toàn thông tin định kỳ hàng năm đối
với các đơn vị quản lý nhà nước trong tỉnh.
5. Tùy theo
mức độ sự cố, phối hợp Trung tâm ứng cứu khẩn cấp máy tính Việt Nam (VNCERT) và
các đơn vị có liên quan hướng dẫn xử lý, ứng cứu các sự cố an toàn thông tin.
6. Tổng hợp và
báo cáo về tình hình an toàn thông tin theo định kỳ cho Bộ Thông tin và Truyền
thông, Ủy ban nhân dân tỉnh và các đơn vị có liên quan.
7. Hàng năm
xây dựng và triển khai các chương trình đào tạo, tập huấn về an toàn thông tin
cho lực lượng đảm bảo an toàn thông tin của các đơn vị. Tổ chức các hội nghị,
hội thảo chuyên đề và tuyên truyền về an toàn thông tin trong công tác quản lý
nhà nước trên địa bàn tỉnh.
Điều 15. Trách nhiệm của Công an tỉnh
1. Chủ trì,
phối hợp với Sở Thông tin và Truyền thông và các đơn vị có liên quan xây dựng
kế hoạch và chịu trách nhiệm kiểm soát, phòng ngừa, đấu tranh, ngăn chặn các
loại tội phạm lợi dụng hệ thống thông tin gây hại đến an toàn thông tin trong
cơ quan nhà nước.
2. Xử lý các
trường hợp vi phạm pháp luật về an toàn thông tin theo thẩm quyền.
3. Hỗ trợ các
đơn vị thực hiện việc kiểm tra, đánh giá các tài sản CNTT trước khi đưa vào sử
dụng khi có yêu cầu.
Điều 16. Tổ chức thực hiện
Trong quá
trình thực hiện nếu có các vấn đề phát sinh, chưa phù hợp hoặc chưa được quy
định rõ, các đơn vị gửi kiến nghị, đề xuất về Sở Thông tin và Truyền thông để
tổng hợp, báo cáo Ủy ban nhân dân tỉnh kịp thời điều chỉnh, bổ sung cho phù hợp
với tình hình thực tiễn./.