|
ỦY
BAN NHÂN DÂN
TỈNH BẮC KẠN
-------
|
CỘNG
HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM
Độc lập - Tự do - Hạnh phúc
---------
|
|
Số:
2196/2010/QĐ-UBND
|
Bắc
Kạn, ngày 14 tháng 10 năm 2010
|
QUYẾT ĐỊNH
BAN HÀNH QUY CHẾ ĐẢM BẢO AN TOÀN THÔNG TIN TRONG CÁC CƠ
QUAN NHÀ NƯỚC, CÁC TỔ CHỨC ĐOÀN THỂ TRÊN ĐỊA BÀN TỈNH BẮC KẠN
ỦY BAN NHÂN DÂN TỈNH BẮC KẠN
Căn cứ Luật Tổ chức HĐND và
UBND ngày 26/11/2003;
Căn cứ Luật Ban hành văn bản QPPL của HĐND, UBND ngày 03/12/2004;
Căn cứ Luật Công nghệ thông tin ngày 29/6/2006;
Căn cứ Nghị định số 64/2007/NĐ-CP ngày 10 tháng 4 năm 2007 của Chính phủ ứng dụng
công nghệ thông tin trong hoạt động của cơ quan nhà nước;
Căn cứ Quyết định số 63/QĐ-TTg của Thủ tướng Chính Phủ về việc phê duyệt Quy hoạch
phát triển an toàn thông tin số quốc gia đến năm 2020;
Theo đề nghị của Sở Thông tin và Truyền thông tại Tờ trình số 27/TTr-STTTT ngày
29/9/2010 và Báo cáo thẩm định số 180/BC-STP ngày 24/9/2010 của Sở Tư pháp,
QUYẾT ĐỊNH:
Điều 1. Ban hành kèm theo
Quyết định này Quy chế đảm bảo an toàn thông tin trong các cơ quan nhà nước,
các tổ chức Đoàn thể trên địa bàn tỉnh Bắc Kạn.
Điều 2. Quyết định này có
hiệu lực thi hành sau 10 ngày kể từ ngày ký.
Điều 3. Các ông, bà:
Chánh Văn phòng UBND tỉnh, Giám đốc Sở Thông tin và Truyền thông, Thủ trưởng
các cơ quan, ban, ngành, đoàn thể trong tỉnh, Chủ tịch UBND huyện, thị xã chịu
trách nhiệm thi hành Quyết định này./.
|
|
TM.
UỶ BAN NHÂN DÂN
KT. CHỦ TỊCH
PHÓ CHỦ TỊCH
Triệu Đức Lân
|
QUY CHẾ
ĐẢM BẢO AN TOÀN THÔNG TIN TRONG CÁC CƠ QUAN NHÀ NƯỚC, CÁC TỔ
CHỨC ĐOÀN THỂ TRÊN ĐỊA BÀN TỈNH BẮC KẠN
(Ban hành kèm theo Quyết định số 2196/2010/QĐ-UBND ngày 14/10/2010 của Ủy
ban nhân dân tỉnh)
Chương I
NHỮNG QUY ĐỊNH CHUNG
Điều 1. Phạm vi điều chỉnh, đối tượng áp dụng
Quy chế này
được áp dụng đối với tất cả các cơ quan nhà nước, các tổ chức đoàn thể trong việc
quản lý, khai thác thông tin số, đảm bảo an toàn thông tin trong lĩnh vực ứng dụng
công nghệ thông tin và các hoạt động liên quan đến nội dung số phục vụ công tác
quản lý nhà nước trên địa bàn tỉnh Bắc Kạn
Điều 2. Mục đích đảm bảo an toàn hệ thống thông tin
Việc áp dụng
Quy chế này nhằm giảm thiểu được các nguy cơ gây mất an toàn thông tin và đảm bảo
an ninh thông tin trong quá trình tham gia hoạt động trên mạng Internet.
Công tác đảm
bảo an toàn thông tin là một trong những nhiệm vụ trọng tâm để đảm bảo an toàn
về cơ sở dữ liệu và các thiết bị trong việc ứng dụng công nghệ thông tin trong
quản lý nhà nước.
Điều 3. Giải thích từ ngữ
Trong Quy chế
này, các từ ngữ dưới đây được hiểu như sau:
1. An toàn
thông tin số: Là thuật ngữ dùng để chỉ việc bảo vệ thông tin số và các hệ
thống thông tin chống lại các nguy cơ tự nhiên, các hành động truy cập, sử dụng,
phát tán, phá hoại, sửa đổi và phá hủy bất hợp pháp nhằm bảo đảm cho hệ thống
thông tin thực hiện đúng chức năng, phục vụ đúng đối tượng một cách sẵn sàng,
chính xác và tin cậy. An toàn thông tin bao hàm các nội dung bảo vệ và bảo mật
thông tin, an toàn dữ liệu, an toàn máy tính và an toàn mạng.
2. Virus
máy tính: Virus là một đoạn chương trình có hại cho máy tính, là một chương
trình hay một đoạn mã có khả năng tự sao chép chính nó từ đối tượng lây nhiễm
này sang đối tượng khác (đối tượng là các máy tính, file văn bản).
3. FireWall:
FireWall là một kỹ thuật được tích hợp vào máy tính và hệ thống mạng để chống lại
sự truy cập trái phép nhằm bảo vệ các nguồn thông tin nội bộ cũng như hạn chế sự
xâm nhập vào hệ thống của một số đối tượng khác không mong muốn.
4. Router:
Router là một thiết bị cho phép gửi các gói dữ liệu dọc theo mạng. Một Router
được kết nối tới ít nhất là hai mạng, thông thường hai mạng đó là LAN, WAN.
5. Phân
quyền: Là thao tác của nhân viên quản trị hệ thống mạng máy tính, quản lý
người dùng trên máy tính dựa vào tài khoản. Mỗi tài khoản người dùng như vậy có
tên, mật khẩu và kèm theo một số quyền hạn nhất định như: cho phép sao chép,
xem, sửa, xóa, in văn bản, thông tin trong máy tính; cho phép được truy cập
Internet, quy định thời gian sử dụng máy tính.
Chương II
CÔNG TÁC ĐẢM BẢO AN TOÀN
HỆ THỐNG THÔNG TIN
Điều 4. Đảm bảo an toàn mạng, hạ tầng thông tin, dữ liệu và ứng
dụng công nghệ thông tin
Mỗi cán bộ,
công chức, viên chức trong các cơ quan, đơn vị sử dụng máy tính phải đặt mật khẩu
truy cập vào máy tính của mình. Sử dụng thiết bị lưu trữ USB an toàn, đúng cách
để phòng ngừa Virus xâm nhập máy tính: khi trao đổi dữ liệu giữa USB và máy
tính, không được trực tiếp truy nhập ngay vào USB vì có thể rất nhiều virus được
kích hoạt và lây lan vào máy tính thông qua thao tác đó. Muốn truy cập USB an
toàn phải quét Virus đối với USB bằng phần mềm diệt Virus đáng tin cậy xong mới
được truy cập bình thường.
Những phần mềm
đã được cơ quan, đơn vị mua bản quyền nhằm phục vụ cho việc đảm bảo an toàn cho
hệ thống thông tin yêu cầu tất cả các cán bộ, công chức, viên chức sử dụng máy
tính phải cài đặt và thường xuyên cập nhật phiên bản mới theo hướng dẫn của nhà
cung cấp. Những cơ quan, đơn vị có sử dụng các phần mềm ứng dụng như phần mềm kế
toán, quản lý nhân sự, tiền lương, phần mềm báo cáo số liệu... phải đảm bảo
tính chính xác của thông tin, không gây ra sự cố mất dữ liệu, đảm bảo hệ thống
phần mềm luôn hoạt động liên tục.
Không được mở
các thư điện tử có phần đính kèm không rõ ràng vì hiện nay có rất nhiều virus
được đính kèm theo thư. Ngoài ra còn có các phần mềm gián điệp được gửi đi với
mục đích đánh cắp thông tin mật của người dùng máy tính.
Các thiết bị
mạng quan trọng như máy chủ, Switch, Router, FireWall phần cứng…của các cơ
quan, đơn vị có sử dụng các thiết bị đó phải được đặt cố định trong một phòng
riêng và được bảo vệ an toàn. Các cán bộ, công chức, viên chức không có nhiệm vụ
thì không được phép vào phòng máy chủ. Để hệ thống máy chủ luôn hoạt động ổn định,
cần có nguồn điện cung cấp cho hệ thống máy chủ phải ổn định, có nguồn điện dự
phòng khi mất điện, có điều hòa nhiệt độ để đảm bảo về nhiệt độ và độ ẩm phù hợp
với yêu cầu tiêu chuẩn kỹ thuật phòng máy.
Theo định kỳ
ít nhất 6 tháng một lần các cơ quan, đơn vị phải tiến hành tổ chức lưu trữ, sao
chép dữ liệu ra bộ nhớ ngoài như ổ cứng gắn ngoài, đĩa CD, USB .v.v. ; Các cơ
quan tự quy định hình thức sao lưu và lựa chọn thiết bị lưu trữ dữ liệu phù hợp.
Dữ liệu trong các máy tính phải tiến hành sao chép để bảo vệ là những dữ liệu
chuyên môn, quan trọng phục vụ công tác của cơ quan, đơn vị. Các thiết bị lưu
trữ thông tin này phải được bảo quản ở nơi an toàn và bảo mật.
Điều 5. Các biện pháp vận hành trong công tác an toàn thông
tin
1. Các cơ
quan, đơn vị cần trang bị đầy đủ các kiến thức cơ bản về máy tính, mạng máy
tính, bảo mật thông tin cho cán bộ, công chức, viên chức của cơ quan, đơn vị
mình trước khi truy nhập và sử dụng hệ thống thông tin.
2. Mỗi cơ
quan, đơn vị cần phân công một bộ phận hoặc một cán bộ chuyên trách về công nghệ
thông tin. Cán bộ chuyên trách công nghệ thông tin phải có chuyên môn về công
nghệ thông tin để quản lý các hoạt động hệ thống mạng máy tính trong cơ quan,
đơn vị; thường xuyên học tập nâng cao trình độ về công nghệ thông tin.
3. Bộ phận hoặc
cán bộ chuyên trách về công nghệ thông tin và an toàn hệ thống thông tin của mỗi
cơ quan, đơn vị có trách nhiệm:
- Tham
mưu với lãnh đạo cơ quan, đơn vị sử dụng phần mềm có bản quyền và phần mềm mã
nguồn mở cho hệ thống máy tính đơn vị mình.
- Vận
hành an toàn hệ thống thông tin của cơ quan, đơn vị theo nhiệm vụ được phân
công.
- Cập
nhật cấu hình chuẩn cho các thành phần của hệ thống khi tiến hành cài đặt và
thiết lập cấu hình chặt chẽ nhất cho các sản phẩm an toàn thông tin nhưng vẫn
duy trì yêu cầu hoạt động của hệ thống thông tin của cơ quan, đơn vị mình.
- Cấu
hình hệ thống thông tin chỉ cung cấp những chức năng thiết yếu nhất: hạn chế hoặc
không sử dụng chức năng, cổng giao tiếp mạng và các dịch vụ mạng không cần thiết.
- Sao
chép, lưu trữ thông tin tại nơi an toàn. Đồng thời tổ chức kiểm tra thông tin
sao lưu để đảm bảo tính sẵn sàng và toàn vẹn của thông tin.
- Triển
khai các biện pháp chống virus, thư rác cho hệ thống máy chủ và tại các máy trạm,
các thiết bị di động trong mạng của cơ quan, đơn vị mình. Tổ chức sử dụng biện
pháp chống virus, thư rác để phát hiện và loại trừ những đoạn mã độc hại
(virus, trojan…) được truyền tải bởi: thư điện tử, tập tin đính kèm từ
Internet, thiết bị lưu trữ tháo lắp để khai thác lỗ hổng của hệ thống thông
tin. Đồng thời cập nhật cơ chế chống virus, thư rác thường xuyên sao cho phù hợp
với quy trình quản lý cấu hình hệ thống thông tin của cơ quan, đơn vị.
- Thực
hiện thường xuyên việc đánh giá, báo cáo và đề xuất các biện pháp phòng chống
các rủi ro và mức độ nghiêm trọng các rủi ro đó với lãnh đạo đơn vị. Các rủi ro
đó có thể xảy ra do sự truy cập trái phép, sử dụng trái phép, mất, thay đổi hoặc
phá hủy thông tin và hệ thống thông tin.
- Hủy
quyền truy cập hệ thống thông tin, đảm bảo việc thu hồi lại thông tin liên quan
tới tài khoản trong hệ thống thông tin đối với cán bộ, công chức, viên chức nghỉ
chế độ, chuyển công tác và đảm bảo khả năng vẫn truy nhập được vào các hồ sơ được
tạo ra bởi cán bộ, công chức, viên chức đó.
Điều 6. Các biện pháp kỹ thuật trong công tác đảm bảo an toàn
thông tin
1. Có biện
pháp đảm bảo an toàn đối với hệ thống thông tin trong cơ quan, đơn vị mình
tránh được nguy cơ máy tính bị lây nhiễm Virus, hỏng hóc, mất dữ liệu. Đối với
các cơ quan, đơn vị có sử dụng hệ thống máy chủ hoặc những máy tính có chứa dữ
liệu quan trọng cần được bảo vệ và thường xuyên có kết nối Internet phải cài đặt
phần mềm diệt Virus tin cậy và có bản quyền trên những máy tính đó; cấu hình hệ
thống mạng máy tính nội bộ của cơ quan, đơn vị mình kết nối với mạng Internet
qua thiết bị Firewall.
2. Tổ chức quản
lý các tài khoản của hệ thống thông tin, bao gồm: tạo mới một tài khoản, kích
hoạt tài khoản đã tạo, sửa đổi thông tin tài khoản, vô hiệu hóa và loại bỏ các
tài khoản. Đồng thời tổ chức kiểm tra các tài khoản của hệ thống thông tin ít
nhất 01 lần/01 năm và sử dụng các phần mềm để hỗ trợ việc quản lý các tài khoản
của hệ thống thông tin.
3. Quản lý giới
hạn số lần đăng nhập sai 03 lần liên tiếp của một tài khoản. Hệ thống tự động
khóa tài khoản hoặc cô lập tài khoản trong một khoảng thời gian nhất định trước
khi tiếp tục cho đăng nhập nếu liên tục đăng nhập sai vượt quá số lần quy định.
4. Tổ chức
theo dõi và kiểm soát tất cả các phương pháp truy nhập từ xa (quay số, qua mạng
Internet…) tới hệ thống thông tin bao gồm cả sự truy nhập có chức năng đặc quyền.
Hệ thống cần có quá trình kiểm tra, cho phép ứng với mỗi phương pháp truy cập từ
xa và chỉ những người được phép mới có thể truy cập từ xa vào hệ thống. Đồng thời
tổ chức triển khai cơ chế tự động giám sát và điều khiển các truy nhập từ xa.
5. Cần thiết
lập phương pháp hạn chế truy cập mạng không dây (Wifi), giám sát và điều khiển
truy nhập không dây. Tổ chức sử dụng chứng thực và mã hóa để bảo vệ truy nhập
không dây tới hệ thống thông tin.
6. Hệ thống
thông tin trong máy chủ cần ghi nhận ít nhất các sự kiện sau: Quá trình đăng nhập
hệ thống, các thao tác cấu hình hệ thống và quá trình truy xuất hệ thống. Đồng
thời ghi nhận đầy đủ các thông tin trong các bản ghi nhật ký để xác định những
sự kiện nào đã xảy ra, nguồn gốc và các kết quả của sự kiện để có cơ chế bảo vệ
và lưu giữ nhật ký trong một khoảng thời gian nhất định.
7. Tổ chức quản
lý định danh, phân quyền người sử dụng theo nhóm (phòng, ban). Quy định về quyền
hạn, giới hạn về thời gian truy cập vào hệ thống thông tin của người sử dụng.
8. Hệ thống
thông tin cần ngăn chặn hoặc hạn chế các sự cố gây ra do tấn công từ chối dịch
vụ. Đối với hệ thống thông tin cho phép truy nhập công cộng thì có thể được bảo
vệ bằng cách tăng dung lượng, băng thông hoặc thiết lập hệ thống dự phòng.
Chương III
TRÁCH NHIỆM ĐẢM BẢO AN
TOÀN THÔNG TIN
Điều 7. Trách nhiệm của các cơ quan, đơn vị
Thủ trưởng
các cơ quan, đơn vị có trách nhiệm thực hiện Quy chế này và chiụ trách nhiệm
trước UBND tỉnh trong công tác bảo vệ an toàn hệ thống thông tin của cơ quan,
đơn vị mình.
Khi có sự cố
hoặc nguy cơ mất an toàn thông tin thì thủ trưởng đơn vị có chỉ đạo kịp thời,
áp dụng mọi biện pháp để khắc phục và hạn chế thiệt hại, ưu tiên sử dụng lực lượng
kỹ thuật an toàn thông tin của cơ quan, đơn vị và lập biên bản báo cáo bằng văn
bản cho cơ quan cấp trên trực tiếp quản lý và Sở Thông tin và Truyền thông.
Phối hợp, tạo
điều kiện cho các đơn vị liên quan triển khai công tác kiểm tra, khắc phục sự cố
về an toàn thông tin của đơn vị.
Hàng năm, cơ
quan đơn vị phải lập báo cáo tình hình an toàn, an ninh thông tin của đơn vị về
Sở Thông tin và Truyền thông theo định kỳ (vào tháng 12 hàng năm).
Điều 8. Trách nhiệm của cán bộ, công chức, viên chức trong
các cơ quan, đơn vị
Đảm bảo an
toàn thông tin là trách nhiệm của tất cả các cán bộ, công chức, viên chức trong
các cơ quan, đơn vị vì thông tin là tài sản quan trọng và cần được bảo vệ chặt
chẽ.
Nghiêm chỉnh
chấp hành quy chế về an toàn thông tin của cơ quan, đơn vị cũng như các quy định
khác của Nhà nước về an toàn thông tin. Chịu trách nhiệm trước thủ trưởng cơ
quan, đơn vị trong công tác đảm bảo an toàn thông tin.
Nâng cao ý thức
trách nhiệm đảm bảo an toàn thông tin tại cơ quan, đơn vị. Mỗi cán bộ, công chức,
viên chức sử dụng máy tính phải có trách nhiệm tự quản lý, bảo quản thiết bị mà
mình được giao sử dụng; không tự ý thay đổi, tháo lắp các thiết bị trên máy
tính; không được vào các trang web không rõ về nội dung; không tải và cài đặt
các phần mềm không rõ nguồn gốc, không liên quan đến công việc chuyên môn;
không click chuột vào các đường dẫn lạ không rõ về nội dung, truy cập và sử dụng
máy tính đúng quyền hạn được quy định.
Khi phát hiện
sự cố mất an toàn thông tin phải báo cáo ngay với cấp trên và bộ phận chuyên
trách để kịp thời ngăn chặn, xử lý.
Tham gia các
chương trình đào tạo, tập huấn về an toàn thông tin do các đơn vị chức năng tổ
chức.
Điều 9. Trách nhiệm của Sở Thông tin và Truyền thông
Tham mưu UBND
tỉnh về công tác đảm bảo an toàn thông tin tại các cơ quan nhà nước và các tổ
chức đoàn thể trên địa bàn tỉnh.
Thành lập
đoàn kiểm tra an toàn thông tin và tiến hành kiểm tra theo định kỳ hoặc kiểm
tra đột xuất tại các cơ quan, đơn vị. Nếu có các vi phạm về an toàn thông tin
thì phải xử lý theo quy định của pháp luật.
Xây dựng và
triển khai các chương trình tập huấn, hướng dẫn về công tác an toàn thông tin
trong các cơ quan, đơn vị trên địa bàn tỉnh.
Tùy theo mức
độ sự cố, phối hợp Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam (VNCERT) và các
đơn vị có liên quan hướng dẫn xử lý, ứng cứu các sự cố thông tin.
Hướng dẫn,
giám sát các cơ quan, đơn vị xây dựng quy chế đảm bảo an toàn thông tin theo
quy định của Nhà nước.
Chương IV
TỔ CHỨC THỰC HIỆN
Điều 10. Điều khoản thi hành
Sở Thông tin
và Truyền thông chủ trì, phối hợp với các sở, ban, ngành, UBND các huyện
và các cơ quan có liên quan triển khai thực hiện Quy chế này.
Căn cứ Quy chế
này, các cơ quan, đơn vị trên địa bàn tỉnh Bắc Kạn xây dựng Quy chế an toàn
thông tin số áp dụng nhiệm vụ chuyên môn nghiệp vụ cho đơn vị mình đảm bảo an
toàn thông tin và các dữ liệu của cơ quan.
Trong quá
trình thực hiện nếu có phát sinh khó khăn, vướng mắc cần sửa đổi, bổ sung các
cơ quan, đơn vị kịp thời phản ánh (bằng văn bản) về Sở Thông tin và Truyền
thông tổng hợp trình UBND tỉnh xem xét, quyết định./.