|
VIỆN
KIỂM SÁT NHÂN DÂN
TỐI CAO
-------
|
CỘNG
HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM
Độc lập - Tự do - Hạnh phúc
---------------
|
|
Số: 245/QĐ-VKSTC
|
Hà
Nội, ngày 29 tháng 7
năm 2021
|
QUYẾT ĐỊNH
BAN HÀNH QUY CHẾ BẢO ĐẢM AN TOÀN, AN NINH THÔNG TIN MẠNG CỦA VIỆN KIỂM SÁT
NHÂN DÂN
VIỆN TRƯỞNG VIỆN KIỂM SÁT NHÂN DÂN TỐI CAO
Căn cứ Luật Tổ chức Viện Kiểm sát nhân dân năm 2014;
Căn cứ Luật Công nghệ thông tin
năm 2006 (sửa đổi, bổ sung năm 2017);
Căn cứ
Luật An toàn thông tin mạng
năm 2015;
Căn cứ
Luật An ninh mạng năm 2018;
Căn cứ
Nghị định số 85/2016/NĐ-CP ngày 01/7/2016 của Chính
phủ về bảo đảm an toàn hệ thống thông tin theo cấp độ;
Căn cứ Chỉ thị số 02/CT-TTg ngày 04/7/2018 của Thủ tướng Chính phủ về công tác bảo vệ bí mật nhà
nước trên không gian mạng;
Căn cứ
Thông tư số 03/2017/TT-BTTTT ngày 24/4/2017 của Bộ
Thông tin và Truyền thông về việc quy định chi tiết
và hướng dẫn một số điều
của Nghị định số 85/2016/NĐ-CP ngày 01/7/2016 của Chính phủ về bảo đảm an toàn hệ thống thông
tin theo cấp độ;
Xét đề nghị của Cục trưởng Cục Thống kê tội phạm và Công nghệ thông tin.
QUYẾT ĐỊNH:
Điều 1. Ban hành kèm theo Quyết định này Quy chế bảo đảm
an toàn, an ninh thông tin mạng của Viện kiểm sát nhân dân.
Điều 2. Quyết định này có hiệu lực kể từ ngày ký.
Điều 3. Thủ trưởng các đơn vị thuộc Viện kiểm sát nhân
dân tối cao, Viện trưởng Viện kiểm sát quân sự trung ương, Viện trưởng Viện kiểm
sát nhân dân cấp cao, Viện trưởng Viện kiểm sát nhân dân cấp tỉnh, thành phố trực
thuộc trung ương, Viện trưởng Viện Kiểm sát nhân dân cấp huyện chịu trách nhiệm
thi hành Quyết định này./.
|
Nơi nhận:
- Các đ/c Phó Viện
trưởng VKSNDTC;
- Như Điều 3 (để thực hiện);
- Lưu: VT, Cục 2.
|
VIỆN
TRƯỞNG
Lê Minh Trí
|
QUY CHẾ
BẢO ĐẢM AN TOÀN, AN NINH THÔNG TIN MẠNG CỦA VIỆN KIỂM SÁT NHÂN DÂN
(Ban hành kèm theo Quyết định số 245/QĐ-VKSTC
ngày 29/7/2021 của Viện
trưởng Viện kiểm sát nhân dân tối cao)
Chương I
QUY ĐỊNH CHUNG
Điều 1. Phạm vi
điều chỉnh và đối tượng áp dụng
1. Quy chế này quy định nguyên tắc, nội
dung bảo đảm và trách nhiệm của các cơ quan, tổ chức, cá nhân về bảo đảm an toàn, an ninh thông tin mạng trong hệ thống Viện kiểm sát nhân dân.
2. Quy chế này áp dụng đối với:
a) Viện kiểm sát nhân dân tối cao, Viện
kiểm sát nhân dân cấp dưới;
b) Công chức, viên chức, người lao động
trong Viện kiểm sát nhân dân;
c) Cơ quan, tổ chức, cá nhân tham gia
quản lý, vận hành, cung cấp dịch vụ công nghệ thông tin cho Viện Kiểm sát nhân
dân; tổ chức, cá nhân sử dụng hệ thống mạng của Viện kiểm sát nhân dân;
d) Viện trưởng Viện kiểm sát quân sự trung
ương quy định cụ thể việc bảo đảm an
toàn, an ninh thông tin mạng trong hệ thống Viện Kiểm sát quân sự.
Điều 2. Từ ngữ
sử dụng trong Quy chế
Các thuật ngữ: an toàn thông tin mạng,
an ninh thông tin mạng, hạ tầng kỹ thuật, trang thông tin điện tử, cổng thông tin điện tử, phần mềm độc hại, mạng LAN,
trung tâm dữ liệu, hệ thống thông tin, đơn vị vận hành hệ thống thông tin...
trong Quy chế này được thực hiện theo quy định tại Luật an toàn thông tin mạng
và pháp luật khác có liên quan.
Điều 3. Nguyên
tắc bảo đảm an toàn, an ninh thông tin mạng
1. Các quy định về bảo đảm an toàn,
an ninh thông tin mạng phải thực hiện nghiêm theo quy định của pháp luật có
liên quan.
2. Bảo đảm an
toàn, an ninh thông tin mạng là yêu cầu bắt buộc, thường xuyên, liên tục, xuyên
suốt quá trình thiết kế, xây dựng, vận hành, nâng cấp, hủy bỏ hệ thống thông
tin.
3. Xử lý sự cố an toàn, an ninh thông
tin mạng phải phù hợp với trách nhiệm, quyền hạn và bảo đảm lợi ích hợp pháp của cơ quan, đơn vị, cá nhân liên quan và theo quy định
của pháp luật.
Điều 4. Các hành
vi bị nghiêm cấm
Ngoài các hành vi bị nghiêm cấm theo
quy định của Luật an ninh mạng và các văn bản pháp luật khác, thì các hành vi
sau đây bị nghiêm cấm:
1. Nghiêm cấm soạn
thảo, lưu trữ, sao chụp thông tin bí mật nhà nước trên máy
tính hoặc thiết bị khác có tính năng lưu trữ thông tin có
kết nối Internet; kết nối vật lý hệ thống mạng nội bộ chứa thông tin bí mật nhà
nước với mạng Internet và ngược lại.
2. Nghiêm cấm chuyển đổi mục đích sử
dụng từ máy tính dùng để soạn thảo,
lưu trữ thông tin mật có nội dung bí mật nhà nước sang máy tính có kết nối Internet và ngược lại mà chưa có giải
pháp hủy dữ liệu triệt để.
3. Nghiêm cấm sử
dụng thiết bị nhớ ngoài USB, ổ cứng di động và các thiết bị, phương tiện điện tử có khả năng lưu trữ dữ liệu khác để sao chép dữ liệu giữa các máy tính soạn thảo nội dung bí mật nhà nước
với máy tính hoặc thiết bị, phương tiện điện tử có kết nối Internet.
4. Tự ý đấu nối thiết bị cấp phát địa
chỉ mạng và thiết bị khác vào mạng nội bộ mà không được sự
đồng ý của đơn vị chuyên trách về an toàn, an ninh thông tin mạng.
5. Sử dụng hệ thống mạng của Viện kiểm sát nhân dân để thực hiện hành vi bẻ khóa, trộm
cắp, sử dụng mật khẩu, khóa mật mã và thông tin của cơ
quan, cá nhân.
Chương II
NỘI DUNG BẢO ĐẢM
AN TOÀN, AN NINH THÔNG TIN MẠNG
Điều 5. Chủ quản
hệ thống thông tin
1. Viện kiểm sát nhân dân tối cao là
chủ quản hệ thống thông tin do Viện kiểm sát nhân dân tối
cao quyết định đầu tư xây dựng, thiết lập, nâng cấp, mở
rộng hệ thống thông tin.
2. Các đơn vị thuộc Viện kiểm sát
nhân dân tối cao, Viện kiểm sát nhân dân cấp dưới là chủ
quản hệ thống thông tin do đơn vị quyết định đầu tư xây dựng,
thiết lập, nâng cấp, mở rộng.
3. Chủ quản hệ thống thông tin có thẩm
quyền bảo đảm an toàn, an ninh thông
tin mạng theo quy định của pháp luật liên quan và theo quy định của Quy chế này.
Điều 6. Đơn vị
chuyên trách về an toàn, an ninh thông tin mạng
1. Cục Thống kê tội phạm và Công nghệ
thông tin là đơn vị chuyên trách về an toàn, an ninh thông
tin mạng của cơ quan Viện kiểm sát nhân dân tối cao và của Viện kiểm sát nhân
dân cấp dưới.
2. Đơn vị chuyên trách về công nghệ
thông tin tại các đơn vị trực thuộc Viện Kiểm sát nhân dân tối cao có hệ thống
thông tin do đơn vị quyết định đầu tư xây dựng, thiết lập là đơn vị chuyên
trách về an toàn, an ninh thông tin mạng của đơn vị mình.
3. Đơn vị chuyên trách về công nghệ
thông tin tại Viện kiểm sát nhân dân cấp cao là đơn vị chuyên trách về an toàn,
an ninh thông tin mạng của đơn vị mình và các đơn vị trực
thuộc.
4. Đơn vị chuyên
trách về công nghệ thông tin tại Viện kiểm sát nhân dân cấp
tỉnh là đơn vị chuyên trách về an toàn, an ninh thông tin
mạng của đơn vị mình và cấp dưới trực thuộc.
5. Đơn vị chuyên trách về an toàn, an
ninh thông tin mạng có thẩm quyền bảo đảm an toàn, an ninh
thông tin mạng theo quy định của pháp luật liên quan và theo quy định của Quy
chế này.
Điều 7. Về người
sử dụng hệ thống thông tin mạng trong Viện kiểm sát nhân dân
1. Các đơn vị có
trách nhiệm bảo đảm an toàn, an ninh thông tin mạng của đơn vị mình; căn cứ quy
mô, chức năng, điều kiện thực tế của đơn vị để bố trí
nhân sự chuyên trách chịu trách nhiệm bảo đảm
an toàn, an ninh thông tin mạng cho phù hợp; xác định rõ quyền hạn, trách nhiệm
của Thủ trưởng đơn vị, từng bộ phận, cá nhân trong đơn vị
đối với công tác bảo đảm an toàn, an ninh thông tin mạng.
2. Công chức, viên chức và người lao
động trong Viện Kiểm sát nhân dân có trách nhiệm bảo đảm an toàn, an ninh thông
tin mạng trong phạm vi xử lý công việc của mình theo quy định của Nhà nước và của
Viện kiểm sát nhân dân.
Điều 8. Xác định
cấp độ và phương án bảo đảm an toàn, an ninh hệ thống thông tin
1. Chủ quản hệ thống thông tin có
trách nhiệm xác định cấp độ hệ thống thông tin và xây dựng phương
án bảo đảm hệ thống thông tin theo cấp độ phục vụ mục đích đánh giá an toàn, an
ninh thông tin mạng và bảo đảm an toàn, an ninh thông tin mạng cho các hệ thống
thông tin của đơn vị mình.
2. Đơn vị chuyên trách về an toàn, an
ninh thông tin mạng có trách nhiệm thực hiện thẩm định hồ sơ đề xuất cấp độ căn cứ trên các nguyên tắc quy định của pháp luật.
3. Phương án bảo đảm an toàn, an ninh
hệ thống thông tin
a) Phương án bảo đảm an toàn, an ninh
hệ thống thông tin mạng phải phù hợp với cấp độ của hệ thống thông tin và đáp ứng
yêu cầu quy định của pháp luật, các tiêu chuẩn, quy chuẩn kỹ thuật khác;
b) Đơn vị chuyên trách về an toàn, an
ninh thông tin mạng thuộc đơn vị chịu trách nhiệm giám sát việc triển khai các
phương án bảo đảm an toàn, an ninh thông tin mạng đã được phê duyệt.
Điều 9. Bảo đảm
an toàn, an ninh thông tin tại Trung tâm dữ liệu
1. Các thiết bị kết nối mạng, thiết bị bảo mật quan trọng như tường lửa, thiết bị định
tuyến, hệ thống máy chủ, hệ thống lưu trữ... phải được đặt trong Trung tâm dữ liệu và phải được thiết lập cơ chế bảo vệ,
theo dõi phát hiện xâm nhập và biện pháp kiểm soát truy cập,
kết nối vật lý phù hợp với từng khu vực: máy chủ và hệ thống
lưu trữ; tủ mạng và đầu nối; thiết bị nguồn điện và dự
phòng điện khẩn cấp; vận hành, kiểm soát, quản trị hệ thống.
2. Trung tâm dữ liệu phải có hệ thống
lưu điện đủ công suất và duy trì
thời gian hoạt động của các máy chủ ít nhất 15 phút khi có sự cố mất điện; hệ thống
làm mát điều hòa không khí, độ ẩm để bảo đảm môi trường vận
hành; hệ thống cảnh báo cháy, hệ thống chữa cháy tự động bằng khí, thiết bị phòng cháy, chữa cháy khẩn cấp; hệ
thống cảnh báo hệ thống nguồn điện; hệ thống chống sét lan truyền. Các hệ thống này phải được thiết lập chế độ cảnh báo
phù hợp.
3. Chỉ những cá
nhân có quyền, nhiệm vụ theo quy định của thủ trưởng đơn vị
mới được phép vào, ra Trung tâm dữ liệu. Việc vào, ra
Trung tâm dữ liệu phải được kiểm soát bằng thiết bị bảo vệ (quẹt thẻ, vân tay, sinh trắc học, ...).
4. Đối với phần mềm thương mại tại
Trung tâm dữ liệu yêu cầu phải có bản quyền.
Điều 10. Bảo đảm
an toàn, an ninh thông tin đối với hệ thống mạng
1. Hệ thống mạng nội bộ (LAN) phải được
thiết kế phân vùng theo chức năng cơ bản, bao gồm: vùng mạng
người dùng; vùng mạng kết nối hệ thống ra bên ngoài Internet và các mạng khác;
vùng mạng máy chủ công cộng; vùng mạng máy chủ nội bộ;
vùng mạng máy chủ cơ sở dữ liệu, vùng mạng máy chủ quản trị. Dữ liệu trao đổi giữa các vùng mạng phải được quản lý, giám sát bởi hệ thống các thiết bị mạng, thiết bị bảo mật.
2. Đơn vị trực thuộc tham gia kết nối, sử dụng hệ thống mạng nội bộ có trách nhiệm bảo đảm an toàn, an ninh thông tin đối với hệ thống mạng nội bộ và các
thiết bị của mình khi thực hiện kết nối vào mạng nội bộ; thông báo sự cố hoặc
các hành vi phá hoại, xâm nhập bất hợp pháp về đơn vị chuyên trách về an toàn,
an ninh thông tin mạng để xử lý; không được tìm cách truy cập dưới bất cứ hình thức nào vào các khu vực không được
phép truy cập.
3. Các hệ thống cáp mạng máy tính phải
được lắp đặt trong ống, máng che đậy kín, hạn chế khả năng tiếp cận trái phép.
Điều 11. Bảo đảm
an toàn, an ninh thông tin đối với thiết bị kết nối mạng
1. Trang thiết bị công nghệ thông tin
có lưu trữ thông tin lưu hành nội bộ của đơn vị hoặc do đơn vị quản lý khi thay
đổi mục đích sử dụng hoặc thanh lý, đơn vị phải thực hiện
các biện pháp xóa, tiêu hủy dữ liệu đó bảo đảm không có khả năng phục hồi.
2. Trang thiết bị công nghệ thông tin
có bộ phận lưu trữ dữ liệu khi mang đi bảo hành, bảo dưỡng, sửa chữa bên ngoài hoặc ngừng sử
dụng phải tháo bộ phận lưu trữ khỏi thiết bị hoặc xóa thông tin, dữ liệu lưu trữ
trên thiết bị (trừ trường hợp để khôi phục dữ liệu).
3. Khi phát hiện bất kỳ dấu hiệu nào
liên quan đến việc bị nhiễm phần mềm độc hại trên máy tính, thiết bị kết nối mạng
máy tính thì phải tắt máy và báo trực tiếp cho đơn vị chuyên trách về an toàn,
an ninh thông tin mạng để được xử lý kịp thời.
Điều 12. Quản lý
tài khoản truy cập
1. Cá nhân sử dụng hệ thống thông tin
được cấp và sử dụng tài khoản truy
cập với định danh duy nhất gắn với cá nhân đó, chỉ truy cập
vào các trang/cổng thông tin điện tử, ứng dụng trực tuyến
và các thông tin phù hợp với chức năng, trách nhiệm, quyền hạn của mình; có trách nhiệm bảo mật tài khoản truy cập thông tin, không chia sẻ
mật khẩu, thông tin cá nhân với người khác.
2. Tài khoản quản trị hệ thống (mạng
máy tính, hệ điều hành, thiết bị kết nối mạng, phần mềm, ứng
dụng, cơ sở dữ liệu) phải tách biệt với tài khoản truy cập của người sử dụng
thông thường. Tài khoản hệ thống phải được giao đích danh cá nhân làm công tác quản trị, hạn chế dùng chung tài khoản quản
trị.
3. Đơn vị chuyên trách về an toàn, an
ninh thông tin mạng khóa quyền truy cập của tài khoản các
hệ thống thông tin trong trường hợp tài khoản đó thực hiện
các hành vi tấn công hoặc để xảy ra vấn đề mất an toàn, an
ninh thông tin mạng.
4. Trường hợp cá nhân thay đổi vị trí
công tác, chuyển công tác, thôi việc hoặc nghỉ hưu, trong vòng không quá 05 ngày làm việc sau khi có quyết định của cấp
có thẩm quyền thì cơ quan, đơn vị quản lý cá nhân đó phải
thông báo cơ quan, đơn vị chuyên trách về an toàn, an ninh thông tin mạng để
điều chỉnh, thu hồi, hủy bỏ các quyền sử dụng
đối với hệ thống thông tin.
Điều 13. Bảo đảm
an toàn, an ninh thông tin đối với việc xây dựng và sử dụng phần mềm ứng dụng
1. Yêu cầu về bảo
đảm an toàn, an ninh thông tin phải được đưa vào tất cả các công đoạn thiết kế, xây dựng, triển khai và vận hành,
sử dụng phần mềm ứng dụng.
2. Phần mềm ứng dụng phải đáp ứng các
yêu cầu sau: cấu hình phần mềm, ứng dụng để xác thực người
sử dụng; giới hạn số lần đăng nhập sai liên tiếp; giới hạn thời gian để chờ đóng phiên kết nối; mã hóa thông tin xác thực
trên hệ thống; không được để chế độ đăng nhập tự động.
3. Phần mềm ứng dụng cần được kiểm
tra phát hiện và khắc phục các điểm yếu về an toàn, an
ninh thông tin mạng trước khi đưa vào sử dụng và trong quá
trình sử dụng.
4. Cá nhân chỉ sử
dụng phần mềm do đơn vị chuyên trách về an toàn, an ninh thông tin mạng cài đặt
trên máy tính, thiết bị kết nối mạng máy tính được cấp; không được tự ý cài đặt hoặc gỡ bỏ
các phần mềm khi chưa có sự đồng ý của đơn vị chuyên trách về an toàn, an ninh
thông tin mạng.
5. Thiết lập,
phân quyền truy cập, quản trị, sử dụng tài nguyên khác nhau của phần mềm ứng dụng
với người sử dụng/nhóm người sử dụng có chức năng, yêu cầu
nghiệp vụ khác nhau; tách biệt cổng giao tiếp quản trị phần
mềm ứng dụng với cổng giao tiếp
cung cấp dịch vụ; đóng các cổng giao
tiếp không sử dụng.
6. Chỉ cho phép sử dụng các giao thức
mạng có hỗ trợ chức năng mã hóa thông tin (SSH, SSL, VPN hoặc tương đương) khi truy cập, quản trị phần mềm, ứng dụng
từ xa trên môi trường mạng; hạn chế truy cập đến mà nguồn của phần mềm ứng dụng
và phải đặt mã nguồn trong môi trường an toàn do bộ phận chuyên trách công nghệ
thông tin quản lý.
Điều 14. Bảo đảm
an toàn, an ninh thông tin đối với dữ liệu
1. Chủ quản hệ thống thông tin phải
thiết lập phương án bảo đảm tính bí mật,
nguyên vẹn và khả dụng của thông tin, dữ liệu; mã hóa thông
tin, dữ liệu khi lưu trữ trên hệ thống/thiết bị lưu trữ dữ liệu di động; sử
dụng chữ ký số để xác thực và bảo mật thông tin, dữ liệu.
2. Tập tin cấu hình hệ thống, ảnh hệ
điều hành máy chủ, cơ sở dữ liệu; dữ liệu,
thông tin nghiệp vụ phải được sao lưu dự phòng định kỳ và
lưu trữ độc lập với hệ thống lưu trữ trên các máy chủ dịch
vụ để sao lưu dự phòng.
3. Đơn vị cần bố trí máy tính riêng
không kết nối mạng, đặt mật khẩu, mã hóa dữ liệu và các biện
pháp bảo mật khác bảo đảm an toàn, an ninh thông tin để soạn thảo, lưu trữ dữ liệu, thông tin và tài liệu quan trọng ở
các mức độ mật, tuyệt mật, tối mật.
Điều 15. Bảo đảm
an toàn, an ninh thông tin khi tiếp nhận, phát triển, vận hành và bảo trì hệ thống
thông tin
1. Khi thực hiện nâng cấp, mở rộng, thay thế một phần hệ thống thông tin, chủ quản
hệ thống thông tin phải rà soát cấp độ, phương án bảo đảm an toàn của hệ thống
thông tin và thực hiện điều chỉnh, bổ sung hoặc thay mới hồ sơ đề xuất cấp độ trong trường hợp cần thiết.
2. Khi tiếp nhận, phát triển, nâng cấp,
bảo trì hệ thống thông tin, chủ quản hệ thống thông tin phải
tiến hành phân tích, xác định rủi ro có thể xảy ra, đánh giá phạm vi tác động và phải chuẩn bị các biện pháp hạn chế, loại trừ các rủi ro này và yêu cầu các bên
cung cấp, thi công, các cá nhân liên quan thực hiện.
3. Trong quá trình vận hành hệ thống
thông tin, chủ quản hệ thống thông tin cần thực hiện đánh
giá, phân loại hệ thống thông tin theo cấp độ; triển khai phương án bảo đảm an toàn hệ thống thông tin đáp ứng yêu cầu cơ bản
trong tiêu chuẩn, quy chuẩn kỹ thuật về bảo đảm an toàn hệ
thống thông tin theo cấp độ; thường xuyên kiểm tra, giám sát an toàn hệ thống
thông tin; tuân thủ quy trình vận hành, quy trình xử lý sự
cố đã xây dựng; ghi lại và lưu trữ đầy
đủ thông tin nhật ký hệ thống để
phục vụ quản lý, kiểm soát thông tin.
4. Chủ quản hệ thống thông tin phải
thực hiện công tác bảo đảm an toàn, an ninh thông tin mạng,
tránh lộ, lọt mã nguồn và dữ liệu, tài liệu thiết kế, quản trị hệ thống mà đối tác đang xử lý ra bên ngoài
khi xây dựng, nâng cấp phần mềm ứng dụng.
Điều 16. Giám
sát an toàn, an ninh thông tin mạng
1. Các hệ thống thông tin bắt buộc phải
có chức năng ghi và lưu giữ bản ghi nhật ký hệ thống của
phần mềm ứng dụng trong khoảng thời gian tối thiểu 03 tháng với những thông tin cơ bản: thời gian, địa chỉ, tài khoản (nếu
có), nội dung truy cập và sử dụng phần mềm, ứng dụng; các
lỗi phát sinh trong quá trình hoạt động; thông tin đăng nhập khi quản trị. Thực
hiện việc bảo vệ các chức năng ghi nhật ký và thông tin nhật
ký, chống giả mạo, sửa đổi, phá hủy và truy cập trái phép.
2. Đơn vị chuyên trách về an toàn, an
ninh thông tin mạng phải thường xuyên kiểm tra, giám sát các hoạt động chia sẻ,
gửi, nhận thông tin, dữ liệu trong hoạt động nội bộ của mình; việc chia sẻ, gửi,
nhận thông tin trên môi trường mạng cần phải sử dụng mật khẩu để bảo vệ thông tin.
3. Đối với hoạt động trao đổi thông
tin, dữ liệu với bên ngoài, đơn vị và cá nhân thực hiện
trao đổi thông tin, dữ liệu ra bên ngoài phải cam kết và có biện pháp bảo mật thông tin, dữ liệu được trao đổi. Giao dịch điện tử phải được truyền đầy đủ, đúng
địa chỉ, tránh bị sửa đổi, tiết lộ hoặc nhân bản một cách trái phép; sử dụng
các cơ chế xác thực mạnh, chữ ký số khi tham gia giao dịch,
sử dụng các giao thức truyền thông an toàn.
4. Nguyên tắc,
yêu cầu, nội dung, phương thức, hệ thống kỹ thuật phục vụ công tác giám sát thực hiện theo quy định của pháp luật về hoạt động giám
sát an toàn hệ thống thông tin.
Điều 17. Ứng cứu
sự cố an toàn, an ninh thông tin mạng
1. Các đơn vị, cá nhân khi phát hiện
dấu hiệu tấn công hoặc sự cố an toàn, an ninh thông tin mạng cần nhanh chóng
báo cho đơn vị chuyên trách về an toàn, an ninh thông tin mạng.
2. Khi xảy ra sự cố an toàn, an ninh
thông tin mạng thuộc loại hình tấn công mạng, đơn vị vận
hành hệ thống thông tin thực hiện báo cáo đơn vị chuyên trách về an toàn, an
ninh thông tin mạng để khắc phục, xử lý kịp thời.
Điều 18. Kiểm
tra, đánh giá, chế độ báo cáo an toàn, an ninh thông tin mạng
1. Nội dung kiểm tra, đánh giá:
a) Kiểm tra việc tuân thủ quy định của
pháp luật về bảo đảm an toàn, an ninh thông tin theo cấp độ;
b) Đánh giá hiệu quả của biện pháp bảo
đảm an toàn, an ninh hệ thống thông tin;
c) Đánh giá phát hiện mã độc, lỗ hổng,
điểm yếu, thử nghiệm xâm nhập hệ thống;
d) Kiểm tra, đánh giá khác do chủ quản hệ thống thông tin quy định.
2. Hình thức kiểm tra, đánh giá:
a) Kiểm tra, đánh
giá định kỳ theo kế hoạch của chủ quản hệ thống thông tin;
b) Kiểm tra, đánh giá đột xuất theo
yêu cầu của cấp có thẩm quyền.
3. Chế độ báo cáo
a) Đơn vị vận
hành hệ thống thông tin hàng năm định kỳ hoặc đột xuất báo cáo công tác thực thi bảo đảm an toàn hệ thống thông tin theo chủ quản hệ thống
thông tin hoặc cơ quan quản lý nhà nước chuyên ngành có thẩm quyền.
b) Báo cáo định kỳ gửi về Cục Thống kê tội phạm và Công nghệ thông tin trước ngày 30 tháng
11 hàng năm để tổng hợp báo cáo lãnh
đạo Viện Kiểm sát nhân dân tối cao.
Điều 19. Kinh phí
thực hiện
1. Kinh phí thực hiện yêu cầu về bảo
đảm an toàn, an ninh thông tin theo cấp độ từ nguồn vốn ngân sách nhà nước.
2. Kinh phí đầu tư cho bảo đảm an toàn, an ninh thông tin mạng sử dụng vốn đầu
tư công thực hiện theo quy định của Luật đầu tư công. Đối
với dự án đầu tư công để xây dựng mới hoặc mở rộng, nâng cấp hệ thống thông tin, kinh phí đầu tư cho bảo đảm an toàn,
an ninh thông tin mạng theo cấp độ được
bố trí trong vốn đầu tư của dự án tương ứng.
3. Kinh phí thực hiện giám sát, đánh
giá, quản lý rủi ro an toàn, an ninh thông tin mạng; đào tạo
ngắn hạn, tuyên truyền, phổ biến nâng cao nhận thức, diễn tập an toàn thông tin
và ứng cứu sự cố được cân đối bố trí trong dự toán ngân sách hàng năm.
Điều 20. Xử lý
vi phạm
Đơn vị, cá nhân thuộc đối tượng áp dụng
của Quy chế này vi phạm Quy chế và các quy định của pháp luật về bảo đảm an
toàn, an ninh thông tin mạng, tùy theo tính chất, mức độ
vi phạm sẽ bị xử lý kỷ luật hoặc các hình thức xử lý khác theo quy định của
pháp luật; nếu vi phạm gây thiệt hại đến tài sản, thiết bị, thông tin, dữ liệu
thì chịu trách nhiệm bồi thường theo pháp luật hiện hành.
Chương III
ĐIỀU KHOẢN THI
HÀNH
Điều 21. Hiệu lực
thi hành
Quy chế này có hiệu lực thi hành kể
từ ngày ký Quyết định ban hành. Các quy định trước đây trái với
Quy chế này bị bãi bỏ.
Điều 22. Trách
nhiệm thực hiện
1. Thủ trưởng đơn vị thuộc Viện kiểm
sát nhân dân tối cao, Viện trưởng Viện kiểm sát nhân dân
và Viện Kiểm sát quân sự các cấp chịu trách nhiệm tổ chức thực hiện Quy chế
này.
2. Giao Cục Thống
kê tội phạm và Công nghệ thông tin chủ trì, phối hợp với Văn phòng Viện kiểm
sát nhân dân tối cao và các đơn vị có liên quan theo dõi, đôn đốc, hướng dẫn,
kiểm tra việc thực hiện Quy chế này.
3. Trong quá trình thực hiện, nếu có
khó khăn vướng mắc hoặc phát sinh những vấn đề cần phải sửa đổi, bổ sung thì kịp
thời báo cáo Viện kiểm sát nhân dân tối cao qua Cục Thống kê tội phạm và Công
nghệ thông tin để tổng hợp, báo cáo
Viện trưởng Viện kiểm sát nhân dân tối cao xem xét, quyết
định./.