|
ỦY
BAN NHÂN DÂN
TỈNH TÂY NINH
-------
|
CỘNG
HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM
Độc lập - Tự do - Hạnh phúc
---------------
|
|
Số:
29/2021/QĐ-UBND
|
Tây
Ninh, ngày 15 tháng 12 năm 2021
|
QUYẾT ĐỊNH
BAN HÀNH QUY CHẾ BẢO ĐẢM AN TOÀN THÔNG TIN MẠNG TRONG HOẠT ĐỘNG ỨNG DỤNG
CÔNG NGHỆ THÔNG TIN TRÊN ĐỊA BÀN TỈNH TÂY NINH
ỦY BAN NHÂN DÂN TỈNH TÂY NINH
Căn cứ Luật Tổ chức chính quyền địa
phương ngày 19 tháng 6 năm 2015;
Căn cứ Luật Công nghệ thông tin
ngày 29 tháng 6 năm 2006;
Căn cứ Luật An toàn thông tin mạng
ngày 19 tháng 11 năm 2015;
Căn cứ Nghị định số 64/2007/NĐ-CP
ngày 10 tháng 4 năm 2007 của Chính phủ Ứng dụng công nghệ thông tin trong hoạt
động của cơ quan nhà nước;
Căn cứ Nghị định số 85/2016/NĐ-CP
ngày 01 tháng 7 năm 2016 của Chính phủ về bảo đảm an toàn hệ thống thông tin
theo cấp độ;
Căn cứ Nghị định số 142/2016/NĐ-CP
ngày 14 tháng 10 năm 2016 của Chính phủ về ngăn chặn xung đột thông tin trên mạng;
Căn cứ Thông tư số
03/2017/TT-BTTTT ngày 24 tháng 4 năm 2017 của Bộ trưởng Bộ Thông tin và Truyền
thông Quy định chi tiết và hướng dẫn một số điều của Nghị định số 85/2016/NĐ-CP
ngày 01/7/2016 của Chính phủ về bảo đảm an toàn hệ thống thông tin theo cấp độ;
Căn cứ Thông tư số
20/2017/TT-BTTTT ngày 12 tháng 9 năm 2017 của Bộ trưởng Bộ Thông tin và Truyền
thông quy định về điều phối, ứng cứu sự cố an toàn thông tin mạng trên toàn quốc;
Căn cứ Thông tư số
27/2017/TT-BTTTT ngày 20 tháng 10 năm 2017 của Bộ trưởng Bộ Thông tin và Truyền
thông quy định quản lý, vận hành, kết nối, sử dụng và bảo đảm an toàn thông tin
trên mạng truyền số liệu chuyên dùng của các cơ quan Đảng, Nhà nước;
Căn cứ Thông tư số
31/2017/TT-BTTTT ngày 15 tháng 11 năm 2017 của Bộ trưởng Bộ Thông tin Truyền
thông quy định hoạt động giám sát an toàn hệ thống thông tin;
Căn cứ Thông tư số
12/2019/TT-BTTTT ngày 05 tháng 11 năm 2019 của Bộ trưởng Bộ Thông tin và Truyền
thông sửa đổi, bổ sung một số điều của Thông tư Thông tư số 27/2017/TT-BTTTT
ngày 20 tháng 10 năm 2017 của Bộ trưởng Bộ Thông tin và Truyền thông quy định
quản lý, vận hành, kết nối, sử dụng và bảo đảm an toàn thông tin trên mạng truyền
số liệu chuyên dùng của các cơ quan Đảng, Nhà nước;
Theo đề nghị của Giám đốc Sở Thông
tin và Truyền thông tại Tờ trình số 1946/TTr-STTTT ngày 23 tháng 11 năm 2021.
QUYẾT ĐỊNH:
Điều 1. Ban hành kèm theo Quyết định này Quy chế bảo đảm
an toàn thông tin mạng trong hoạt động ứng dụng công nghệ thông tin trên địa
bàn tỉnh Tây Ninh.
Điều 2. Quyết định này có hiệu lực kể từ ngày 25 tháng
12 năm 2021.
Điều 3. Chánh Văn phòng Ủy ban nhân dân tỉnh, Giám đốc Sở
Thông tin và Truyền thông, Thủ trưởng các sở, ban, ngành, Chủ tịch Ủy ban nhân
dân các huyện, thị xã, thành phố và các đơn vị liên quan chịu trách nhiệm thi
hành Quyết định này./.
|
Nơi nhận:
- Văn phòng Chính phủ;
- Vụ Pháp chế - Bộ TTTT;
- Cục KTVB - Bộ Tư pháp;
- TT.TU, TT.HĐND tỉnh;
- Chủ tịch và các PCT. UBND tỉnh;
- Như Điều 3;
- Sở Tư pháp;
- LĐVP;
- Phòng KGVX, TTCBTH;
- Lưu: VT, VP UBND tỉnh.
|
TM.
ỦY BAN NHÂN DÂN
KT. CHỦ TỊCH
PHÓ CHỦ TỊCH
Võ Đức Trong
|
QUY CHẾ
BẢO ĐẢM AN TOÀN THÔNG TIN MẠNG TRONG HOẠT ĐỘNG ỨNG DỤNG CÔNG NGHỆ THÔNG
TIN TRÊN ĐỊA BÀN TỈNH TÂY NINH
(Kèm theo Quyết định số 29/2021/QĐ-UBND ngày 15 tháng 12 năm 2021 của Ủy ban
nhân dân tỉnh Tây Ninh)
Chương I
QUY ĐỊNH CHUNG
Điều 1. Phạm vi
điều chỉnh
Quy chế này quy định việc bảo đảm an
toàn thông tin (ATTT) mạng trong hoạt động ứng dụng công nghệ thông tin trên địa
bàn tỉnh Tây Ninh.
Điều 2. Đối tượng
áp dụng
1. Các sở, ban, ngành tỉnh; các đơn vị
sự nghiệp công lập trực thuộc Ủy ban nhân dân tỉnh (UBND); UBND các huyện, thị
xã, thành phố; UBND các xã, phường, thị trấn trên địa bàn tỉnh (gọi tắt là các
cơ quan, đơn vị).
2. Cán bộ, công chức, viên chức, người
lao động (gọi tắt là cán bộ, công chức) và các tổ chức, cá nhân có liên quan
tham gia vận hành, khai thác các hệ thống thông tin tại cơ quan, đơn vị quy định
tại khoản 1 Điều này.
3. Các doanh nghiệp cung cấp dịch vụ
viễn thông, công nghệ thông tin (CNTT), Internet; các doanh nghiệp, tổ chức, cá
nhân có tham gia vào các hoạt động ứng dụng CNTT của các cơ quan, đơn vị thuộc
khoản 1 Điều này.
4. Khuyến khích các cơ quan, đơn vị
khác hoạt động ứng dụng và phát triển CNTT trên địa bàn tỉnh áp dụng quy chế
này.
Điều 3. Giải
thích từ ngữ
Trong Quy chế này, các từ ngữ dưới
đây được hiểu như sau:
1. Nguy cơ mất ATTT mạng là những
nhân tố bên trong hoặc bên ngoài có khả năng ảnh hưởng tới trạng thái ATTT mạng.
2. Bản ghi nhật ký hệ thống
(Logfile) là một tập tin được tạo ra trên mỗi thiết bị của hệ thống thông
tin như: Tường lửa, máy chủ ứng dụng,... có chứa tất cả thông tin về các hoạt động
xảy ra trên thiết bị đó. Bản ghi nhật ký hệ thống dùng để phân tích những sự kiện
đã xảy ra, nguồn gốc và các kết quả để có các biện pháp xử lý thích hợp.
3. Trung tâm tích hợp dữ liệu tỉnh
bao gồm:
a) Phần cứng: thiết bị máy chủ, thiết
bị ngoại vi, thiết bị mạng, thiết bị phụ trợ, thiết bị lưu trữ, thiết bị bảo mật,
hệ thống Hội nghị truyền hình và các thiết bị khác có liên quan;
b) Hệ thống phần mềm: Hệ thống các ứng
dụng được cài đặt, lưu trữ tại trung tâm tích hợp dữ liệu của tỉnh;
c) Mạng truyền thông bao gồm: mạng nội
bộ, mạng internet (hữu tuyến và vô tuyến), mạng truyền số liệu chuyên dùng, mạng
LAN-WAN nội tỉnh;
d) Tài nguyên địa chỉ IP (Internet
Protocol - giao thức Internet) là một địa chỉ đơn nhất mà những thiết bị điện
tử hiện nay đang sử dụng để nhận diện và liên lạc với nhau trên mạng máy tính bằng
cách sử dụng giao thức Internet;
đ) Các phân vùng mạng VLAN (virtual
local area network) là một kỹ thuật cho phép tạo lập các mạng LAN độc lập một
cách logic trên cùng một kiến trúc hạ tầng vật lý. Việc tạo lập nhiều mạng LAN ảo
trong cùng một mạng cục bộ giúp giảm thiểu miền quảng bá (broadcast domain)
cũng như tạo thuận lợi cho việc quản lý một mạng cục bộ rộng lớn. VLAN tương
đương như mạng con.
Điều 4. Tài
nguyên thông tin cần bảo đảm ATTT
Tài nguyên thông tin cần bảo đảm ATTT
trên địa bàn tỉnh Tây Ninh bao gồm các thành phần sau đây:
1. Hệ thống hạ tầng kỹ thuật:
a) Thiết bị tính toán, lưu trữ (máy
chủ, máy trạm, SAN, NAS, DAS, VAS);
b) Thiết bị ngoại vi (máy in, máy
quét và các thiết bị số hóa, thiết bị lưu trữ dữ liệu di động);
c) Đường truyền dữ liệu, đường truyền
Internet;
d) Mạng nội bộ (LAN), mạng diện rộng
(WAN) và thiết bị kết nối mạng, thiết bị bảo mật, thiết bị phụ trợ;
đ) Thiết bị CNTT kết nối mạng trong
các cơ quan, đơn vị.
2. Hệ thống thông tin, phần mềm, ứng
dụng và cơ sở dữ liệu:
a) Hệ thống thông tin, cơ sở dữ liệu
dùng chung (hệ thống thư điện tử, hệ thống phần mềm một cửa và Cổng dịch vụ
công, hệ thống phần mềm văn phòng điện tử eGov, phần mềm Họp không giấy, phần mềm
quản lý số liệu kinh tế xã hội, phần mềm hỏi đáp trực tuyến, phần mềm đánh giá
các chỉ số);
b) Cổng thông tin điện tử của tỉnh và
Cổng/trang thông tin điện tử của các cơ quan, đơn vị;
c) Hệ thống thông tin nghiệp vụ và
các cơ sở dữ liệu chuyên ngành.
3. Thông tin, dữ liệu trao đổi, truyền
tải, xử lý và lưu trữ trên Trung tâm tích hợp dữ liệu và hạ tầng kỹ thuật của tỉnh.
Điều 5. Nguyên tắc
bảo đảm ATTT mạng
1. Bảo đảm ATTT mạng là yêu cầu bắt
buộc, có tính xuyên suốt và phải thường xuyên, liên tục được nâng cao, cải tiến
trong quá trình:
a) Thu thập, tạo lập, xử lý, truyền tải,
lưu trữ và sử dụng thông tin, dữ liệu;
b) Thiết kế, xây dựng, vận hành, nâng
cấp hoặc hủy bỏ hệ thống thông tin.
2. Cơ quan, tổ chức, cá nhân có trách
nhiệm bảo đảm ATTT mạng. Hoạt động ATTT mạng của cơ quan, tổ chức, cá nhân phải
đúng quy định của pháp luật, bảo đảm quốc phòng, an ninh quốc gia, bí mật nhà
nước.
3. Công tác đảm bảo ATTT mạng phải được
thực hiện trên cơ sở có sự phối hợp chặt chẽ giữa các cơ quan, đơn vị và cá
nhân.
4. Xử lý sự cố ATTT phải phù hợp với
trách nhiệm, quyền hạn và bảo đảm lợi ích hợp pháp của cơ quan, đơn vị và theo
quy định của pháp luật.
5. Các cơ quan, đơn vị phải bố trí
máy vi tính riêng, nghiêm cấm sử dụng máy tính kết nối Internet và các thiết bị
di động thông minh để soạn thảo văn bản, lưu giữ thông tin có nội dung mật theo
quy định. Các thiết bị viễn thông, máy tính được sử dụng để lưu giữ và truyền
thông tin bí mật nhà nước phải được chứng nhận của cơ quan chức năng kiểm tra,
kiểm định trước khi đưa vào sử dụng.
6. Phải có phương án tổ chức sao lưu
dữ liệu dự phòng cho mọi dữ liệu quan trọng của tỉnh, của cơ quan, đơn vị mình.
Lãnh đạo cơ quan, đơn vị phải chịu trách nhiệm nếu để xảy ra mất mát dữ liệu do
không tiến hành sao lưu dự phòng.
7. Để phục vụ hoạt động theo dõi,
giám sát, phân tích và điều tra, các cơ quan, đơn vị phải thực hiện việc lưu trữ
nhật ký của các hệ thống tại các máy chủ (của hệ điều hành và các phần mềm ứng
dụng) trong thời gian ít nhất là 30 ngày.
8. Các thiết bị viễn thông, máy tính
có chứa tài liệu của cơ quan nhà nước khi đưa đi công tác nước ngoài phải thực
hiện theo quy định của pháp luật về bảo vệ bí mật nhà nước.
Điều 6. Các hành
vi bị nghiêm cấm
Theo quy định tại Điều 7 Luật An toàn
thông tin mạng.
Chương II
NỘI DUNG BẢO ĐẢM
AN TOÀN THÔNG TIN MẠNG
Điều 7. Bảo đảm
ATTT cho Trung tâm tích hợp dữ liệu của tỉnh
1. Sở Thông tin và Truyền thông có trách
nhiệm đảm bảo an toàn cho Trung tâm tích hợp dữ liệu của tỉnh, bao gồm các nội
dung sau:
a) Xây dựng phương án đảm bảo ATTT
cho dữ liệu của các cơ quan, đơn vị đặt tại Trung tâm tích hợp dữ liệu nhưng phải
đảm bảo thuận lợi cho việc truy xuất và sử dụng các dữ liệu này;
b) Xây dựng Quy chế quản lý vận hành
Trung tâm tích hợp dữ liệu của tỉnh;
c) Xây dựng quy trình ứng phó các sự
cố có thể xảy ra tại Trung tâm tích hợp dữ liệu của tỉnh;
d) Đảm bảo các điều kiện về hạ tầng kỹ
thuật. ATTT đối với hệ thống máy chủ, thiết bị kết nối mạng đặt tại Trung tâm
tích hợp dữ liệu của tỉnh.
2. Các cơ quan, đơn vị đặt dữ liệu hoặc
kết nối vào Trung tâm tích hợp dữ liệu của tỉnh phải tuân thủ các chính sách
ATTT liên quan đến việc kết nối vào Trung tâm tích hợp dữ liệu của tỉnh do Sở
Thông tin và Truyền thông hướng dẫn; tự bảo vệ hệ thống đầu cuối của mình và phải
chịu trách nhiệm nếu để tin tặc kiểm soát máy tính và tấn công ngược vào Trung
tâm tích hợp dữ liệu của tỉnh. Các hệ thống thông tin trước khi cài đặt trên Trung
tâm tích hợp dữ liệu của tỉnh của tỉnh phải được kiểm tra, xác nhận về tính an
toàn, bảo mật.
Điều 8. Bảo đảm
ATTT mức vật lý
1. Bảo đảm ATTT mức vật lý là việc bảo
vệ hệ thống hạ tầng kỹ thuật, phần mềm, ứng dụng và cơ sở dữ liệu khỏi các mối
nguy hiểm vật lý (như: cháy, nổ; nhiệt độ, độ ẩm ngoài mức cho phép; thiên tai;
mất điện; tác động cơ học) có thể gây ảnh hưởng đến hoạt động hệ thống.
2. Các biện pháp cơ bản bảo đảm ATTT
mức vật lý bao gồm:
a) Quản lý Trung tâm tích hợp dữ liệu
của tỉnh:
Các thiết bị kết nối mạng, thiết bị bảo
mật quan trọng như tường lửa, thiết bị định tuyến, hệ thống máy chủ, hệ thống
lưu trữ SAN, NAS phải được đặt trong Trung tâm tích hợp dữ liệu của tỉnh.
Trung tâm tích hợp dữ liệu của tỉnh
phải được thiết lập cơ chế bảo vệ, theo dõi, phát hiện xâm nhập và biện pháp kiểm
soát truy nhập, kết nối vật lý phù hợp đối với từng khu vực: máy chủ và hệ thống
lưu trữ; từ mạng và đầu nối; thiết bị nguồn điện và dự phòng điện khẩn cấp; vận
hành, kiểm soát, quản trị hệ thống.
Quá trình vào, ra hoặc bàn giao ca trực
Trung tâm tích hợp dữ liệu phải được ghi nhận vào nhật ký quản lý Trung tâm
tích hợp dữ liệu. Chỉ những cá nhân có quyền, nhiệm vụ theo quy định có thủ trưởng
cơ quan, đơn vị mới được phép vào Trung tâm tích hợp dữ liệu của tỉnh.
Có phương án, kế hoạch phòng, chống
và khắc phục sự cố ngập dột nước, sét, tĩnh điện, cháy nổ; áp dụng các quy chuẩn
kỹ thuật về an toàn kỹ thuật nhiệt, độ ẩm, ánh sáng cho các thiết bị tính toán,
lưu trữ; bảo đảm điều kiện hoạt động ổn định cho các hệ thống hỗ trợ như máy điều
hòa nhiệt độ, nguồn cấp điện, dây dẫn;
Trung tâm tích hợp dữ liệu của tỉnh
phải được trang bị hệ thống lưu điện đủ công suất và duy trì thời gian hoạt động
của các máy chủ ít nhất 15 phút khi có sự cố mất điện.
b) Thiết lập cơ chế dự phòng đối với
các thiết bị hạ tầng kỹ thuật quan trọng; có kế hoạch kiểm tra, bảo dưỡng định
kỳ và duy trì thông số kỹ thuật các thiết bị này hoặc có phương án sửa chữa,
thay thế đáp ứng yêu cầu về độ sẵn sàng trong suốt thời gian lắp đặt, sử dụng;
c) Các đường truyền dữ liệu, đường
truyền Internet và hệ thống dây dẫn các mạng WAN, LAN phải được lắp đặt trong ống,
máng che đậy kín, hạn chế khả năng tiếp cận trái phép. Ngắt kết nối cổng
Ethernet không sử dụng, đặc biệt là ở khu vực làm việc chung của các cơ quan,
đơn vị;
d) Cá nhân sử dụng thiết bị lưu trữ dữ
liệu di động để lưu trữ thông tin, dữ liệu của cơ quan, đơn vị mình có trách
nhiệm bảo vệ thiết bị này và thông tin lưu trên thiết bị, tránh làm mất hoặc lộ,
lọt thông tin, dữ liệu;
đ) Thiết bị tính toán có bộ phận lưu
trữ hoặc thiết bị lưu trữ khi mang đi bảo hành, bảo dưỡng, sửa chữa bên ngoài
cơ quan, đơn vị hoặc ngừng sử dụng phải được tháo bộ phận lưu trữ khỏi thiết bị
hoặc xóa thông tin, dữ liệu lưu trữ trên thiết bị (trừ trường hợp để khôi phục
dữ liệu). Khi thanh lý thiết bị thì phải xóa nội dung lưu trữ bằng phần mềm hoặc
thiết bị hủy dữ liệu chuyên dụng hay phá hủy vật lý.
3. Cơ quan, đơn vị có trách nhiệm xây
dựng quy trình bảo dưỡng, bảo trì và hướng dẫn cách sử dụng, quản lý, vận hành
hệ thống hạ tầng kỹ thuật của mình; chỉ định bộ phận chuyên trách về CNTT thực
hiện quản lý, vận hành và định kỳ kiểm tra, sửa chữa, bảo trì thiết bị (bao gồm
thiết bị đang hoạt động và thiết bị dự phòng).
Điều 9. Bảo đảm
ATTT khi sử dụng máy tính và thiết bị CNTT
1. Bảo đảm an toàn cho máy tính, thiết
bị công nghệ thông tin và an toàn dữ liệu
Cá nhân sử dụng máy tính để xử lý
công việc tuân thủ các quy định sau:
a) Chỉ cài đặt phần mềm hợp lệ (phần
mềm có bản quyền thương mại, phần mềm nội bộ được đầu tư hoặc phần mềm mã nguồn
mở có nguồn gốc rõ ràng) và thuộc danh mục phần mềm được phép sử dụng do cơ
quan, đơn vị có thẩm quyền ban hành (nếu có) trên máy tính được cơ quan, đơn vị
cấp cho mình:
b) Cài đặt phần mềm phòng chống mã độc
và thiết lập chế độ tự động cập nhật cơ sở dữ liệu cho phần mềm; thực hiện kiểm
tra, rà quét phần mềm trước khi sao chép, mở các tập tin hoặc trước khi kết nối
các thiết bị lưu trữ dữ liệu di động với máy tính của mình; trước khi cài đặt,
kết nối phần mềm ứng dụng vào hạ tầng mạng nội bộ, hạ tầng Trung tâm tích hợp dữ
liệu cần thực hiện hiện kiểm tra để phòng, tránh phần mềm độc hại;
c) Khi phát hiện ra bất kỳ dấu hiệu
nào liên quan đến việc bị nhiễm phần mềm độc hại trên máy tính (máy chạy chậm bất
thường, cảnh báo từ phần mềm phòng, chống phần mềm độc hại, mất dữ liệu,...),
phải ngắt kết nối giữa máy với mạng nội bộ và báo trực tiếp cho bộ phận chuyên
trách về CNTT để được xử lý kịp thời;
d) Chỉ truy nhập vào các trang/cổng
thông tin điện tử, ứng dụng trực tuyến tin cậy và các thông tin phù hợp với chức
năng, trách nhiệm, quyền hạn của mình; sử dụng những trình duyệt an toàn; không
truy nhập, mở các trang tin, thư điện tử không rõ nguồn gốc: không sử dụng tính
năng lưu mật khẩu tự động hoặc đăng nhập tự động;
đ) Máy tính cá nhân phải được cài đặt
mật khẩu và thực hiện thao tác khóa máy tính (sử dụng tính năng có sẵn trên máy
tính) khi rời khỏi nơi đặt máy tính; tắt máy tính khi rời khỏi cơ quan;
e) Phải sử dụng hộp thư điện tử công
vụ của tỉnh có tên miền: @tayninh.gov.vn hoặc hộp thư điện tử có tên miền đặc
thù theo quy định của ngành nhưng phải đảm bảo tính an toàn, bảo mật khi trao đổi
trên môi trường mạng trong quá trình thực hiện nhiệm vụ công vụ;
g) Báo cáo và phải được thủ trưởng cơ
quan, đơn vị đồng ý, cho phép trước khi mang máy tính, thiết bị CNTT có kết nối
mạng thuộc sở hữu riêng đến nơi làm việc và kết nối với mạng nội bộ để thực hiện
xử lý công việc. Trong trường hợp này, cá nhân phải tuân thủ đầy đủ các quy định
tại các Điểm a, b, c, d, d, e, g của Khoản này và chịu sự giám sát của bộ phận
chuyên trách về CNTT của cơ quan, đơn vị.
2. Tài khoản truy nhập
a) Cá nhân sử dụng hệ thống thông tin
được cấp và sử dụng tài khoản truy nhập với định danh duy nhất gắn với cá nhân
đó;
b) Trường hợp cá nhân thay đổi vị trí
công tác, chuyển công tác, thôi việc hoặc nghỉ hưu, trong vòng không quá 05
ngày làm việc, cơ quan, đơn vị quản lý cá nhân đó phải thông báo cơ quan, đơn vị
chủ quản hệ thống thông tin để điều chỉnh, thu hồi, hủy bỏ các quyền sử dụng đối
với hệ thống thông tin; tài khoản quản trị hệ thống (mạng, hệ điều hành, thiết
bị kết nối mạng, phần mềm, ứng dụng, cơ sở dữ liệu) phải tách biệt với tài khoản
truy nhập của người sử dụng thông thường. Tài khoản quản trị hệ thống phải được
giao đích danh cá nhân làm công tác quản trị. Hạn chế dùng chung tài khoản quản
trị;
c) Có trách nhiệm bảo mật tài khoản
truy nhập thông tin, không chia sẻ mật khẩu, thông tin cá nhân với người khác.
Đặt mật khẩu với độ an toàn cao (có chữ thường, có chữ in hoa, có số và ký tự đặc
biệt như @, #, !) và khuyến khích thay đổi mật khẩu ít nhất 03 tháng/lần; các
tài khoản đăng nhập các hệ thống phải được đăng xuất khi không sử dụng; thường
xuyên xóa các biểu mẫu, mật khẩu, bộ nhớ cache và cookie trong trình duyệt trên
máy tính;
d) Tạm dừng quyền sử dụng đối với tài
khoản đã được đăng ký trên hệ thống nhưng không làm việc trong hệ thống từ 30
ngày trở lên.
Điều 10. Bảo đảm
ATTT đối với mạng máy tính
1. Hệ thống mạng nội bộ (LAN) phải được
thiết kế phân vùng theo chức năng cơ bản, bao gồm: vùng mạng người dùng; vùng mạng
kết nối hệ thống ra bên ngoài Internet và các mạng khác; vùng mạng máy chủ công
cộng; vùng mạng máy chủ nội bộ; vùng mạng máy chủ quản trị. Dữ liệu trao đổi giữa
các vùng mạng phải được quản lý giám sát bởi các hệ thống các thiết bị mạng,
thiết bị bảo mật.
Căn cứ điều kiện, yêu cầu thực tế về
bảo mật dữ liệu, cơ quan, đơn vị là chủ quản hệ thống mạng nội bộ chủ động triển
khai xây dựng mô hình, giải pháp an toàn bảo mật, bao gồm các biện pháp kỹ thuật
như sau:
a) Bước 1: Kiểm soát truy nhập từ bên
ngoài mạng (sử dụng các giao thức mạng có hỗ trợ chức năng mã hóa thông tin
như SSH, SSL/TLS, VPN);
b) Bước 2: Kiểm soát truy nhập từ bên
trong mạng (quản lý các thiết bị đầu cuối, máy tính người sử dụng kết nối vào hệ
thống mạng; giám sát, phát hiện và ngăn chặn truy nhập từ bên trong mạng đến
các địa chỉ Internet bị cấm truy nhập);
c) Bước 3: Phòng, chống xâm nhập và
phần mềm độc hại, bảo vệ các vùng mạng máy chủ công cộng, máy chủ nội bộ, máy chủ
cơ sở dữ liệu và vùng mạng nội bộ; có khả năng tự động cập nhật thời gian thực
cơ sở dữ liệu, dấu hiệu phát hiện tấn công. Vô hiệu hóa tất cả các dịch vụ
không cần thiết tại từng vùng mạng;
d) Bước 4: Cấu hình chức năng xác thực
trên các thiết bị kết nối mạng để xác thực người sử dụng quản trị thiết bị trực
tiếp hoặc từ xa;
đ) Bước 5: Mạng không dây phải có cơ
chế bảo toàn tính toàn vẹn và bí mật của thông tin được truyền đư trên môi trường
mạng, có hướng dẫn bảo đảm ATTT dành cho các thiết bị đầu cuối khi kết nối vào
mạng; được thiết lập các tham số: tên, nhận dạng dịch vụ (SSID), mật khẩu, cấp
phép truy nhập đối với địa chỉ vật lý (MAC address), mã hóa dữ liệu. Thường
xuyên thay đổi mật khẩu. Các điểm truy nhập không dây phải được bảo vệ, tránh bị
tiếp cận trái phép;
e) Bước 6: Hệ thống máy chủ phải có
chức năng tự động cập nhật bản ghi nhật ký hệ thống trong khoảng thời gian nhất
định (tối thiểu là 03 tháng), lưu trữ thông tin kết nối mạng, quá trình đăng nhập
vào máy chủ, các thao tác cấu hình hệ thống, lỗi phát sinh trong quá trình hoạt
động và các thông tin liên quan về ATTT để phục vụ công tác khắc phục sự cố và
điều tra về ATTT khi xảy ra. Xóa sạch thông tin, dữ liệu trên máy chủ khi chuyển
giao hoặc thay đổi mục đích sử dụng.
2. Cơ quan, đơn vị tham gia kết nối,
sử dụng hệ thống mạng diện rộng (WAN), mạng truyền số liệu chuyên dùng của tỉnh
có trách nhiệm:
a) Bảo đảm ATTT đối với hệ thống mạng
nội bộ và các thiết bị của mình khi thực hiện kết nối vào hệ thống mạng diện rộng,
mạng truyền số liệu chuyên dùng; thông báo sự cố hoặc các hành vi phá hoại, xâm
nhập về Sở Thông tin và Truyền thông để xử lý;
b) Phối hợp với Sở Thông tin và Truyền
thông rà soát đánh giá tính hợp lệ cấu hình địa chỉ IP kết nối mạng diện rộng,
mạng truyền số liệu chuyên dùng trong quá trình vận hành và sử dụng các hệ thống
thông tin, máy chủ, thiết bị CNTT của mình có kết nối với hệ thống mạng diện rộng;
c) Định kỳ sao lưu thông tin, dữ liệu
dùng chung lưu trữ trên mạng diện rộng;
d) Không tiết lộ phương thức (tên
đăng ký, mật khẩu, tiện ích, tệp hỗ trợ và các cách thức khác) để truy nhập vào
hệ thống mạng diện rộng, mạng Truyền số liệu chuyên dùng cho tổ chức, cá nhân
khác; không được tìm cách truy nhập dưới bất cứ hình thức nào vào các khu vực
không được phép truy nhập.
3. Cơ quan, đơn vị phải áp dụng các
biện pháp kỹ thuật cần thiết bảo đảm ATTT trong hoạt động kết nối Internet, tối
thiểu đáp ứng các yêu cầu sau;
a) Có hệ thống tường lửa và hệ thống
bảo vệ kiểm soát truy nhập Internet, đáp ứng nhu cầu kết nối đồng thời, hỗ trợ
các công nghệ mạng riêng ảo thông dụng và có phần cứng mã hóa tích hợp để tăng
tốc độ mã hóa dữ liệu, cung cấp đầy đủ các cơ chế bảo mật cơ bản như NAT, PAT,
quản lý luồng dữ liệu ra , vào và có khả năng bảo vệ hệ thống trước các loại tấn
công từ chối dịch vụ (DDoS);
b) Lọc bỏ, không cho phép truy nhập
các trang tin có nghi ngờ chứa mã độc hoặc các nội dung không phù hợp;
c) Không mở trang tin hoặc ứng dụng
Internet trên máy tính chứa dữ liệu quan trọng hoặc có khả năng tiếp cận các dữ
liệu, ứng dụng quan trọng; chỉ thiết lập kết nối Internet cho các máy chủ và
thiết bị CNTT cần phải có giao tiếp với Internet (các máy chủ, thiết bị cung cấp
giao diện ra Internet của trang tin điện tử, dịch vụ công, thư điện tử; thiết bị
cập nhật bản vá hệ điều hành, mẫu mã độc, mẫu điểm yếu, mẫu tấn công).
Điều 11. Kiểm
tra, khắc phục sự cố ATTT
1. Cơ quan, đơn vị chủ quản hệ thống
thông tin có trách nhiệm phối hợp với các cơ quan, đơn vị chuyên trách về CNTT,
ATTT của tỉnh:
a) Rà soát, đánh giá và xác định các
sự cố ATTT, các rủi ro ATTT có thể xảy ra với từng thành phần hệ thống thông
tin trong phạm vi quản lý của mình. Trên cơ sở đó, xây dựng và phê duyệt các
phương án ứng cứu, xử lý sự cố phù hợp với các rủi ro ATTT có thể xảy ra;
b) Chuẩn bị sẵn sàng các biện pháp,
phương tiện kỹ thuật để phục vụ cho triển khai các phương án ứng cứu đã được
xây dựng:
c) Xây dựng và ban hành các hướng dẫn,
quy trình xử lý sự cố ATTT đối với từng đối tượng người sử dụng cụ thể trong hệ
thống thông tin theo hướng dẫn của Sở Thông tin và Truyền thông;
d) Thông báo công khai các phương án
liên lạc với bộ phận xử lý sự cố cho toàn bộ cá nhân liên quan hệ thống thông
tin đang quản lý;
đ) Thường xuyên kiểm tra, rà soát
tính sẵn sàng của các phương án ứng cứu sự cố; thực hiện đúng các hướng dẫn,
quy trình xử lý sự cố ATTT.
2. Khi có sự cố hoặc nguy cơ mất
ATTT, thủ trưởng cơ quan, đơn vị thực hiện:
a) Chỉ đạo xác định nguyên nhân sự cố,
có biện pháp khắc phục kịp thời, hạn chế thiệt hại;
b) Trường hợp gặp sự cố nghiêm trọng ở
mức độ cao, khẩn cấp (hệ thống bị gián đoạn dịch vụ; dữ liệu tuyệt mật hoặc bí
mật nhà nước có khả năng bị tiết lộ; dữ liệu quan trọng của hệ thống không bảo
đảm tính toàn vẹn và không có khả năng khôi phục được; hệ thống bị mất quyền điều
khiển) hoặc chủ quản hệ thống không đủ khả năng tự kiểm soát, xử lý được sự cố
thì phải phối hợp chặt chẽ với Đội ứng cứu sự cố ATTT mạng của tỉnh và cung cấp
đầy đủ thông tin sự cố để được hướng dẫn, hỗ trợ cụ thể;
c) Chuẩn bị nội dung báo cáo sự cố,
bao gồm:
Tên, địa chỉ Đơn vị vận hành hệ thống
thông tin; chủ quản hệ thống thông tin; hệ thống thông tin bị sự cố; thời điểm
phát hiện sự cố;
Đầu mối liên lạc về sự cố của đơn vị
vận hành hệ thống bị sự cố: Tên, chức vụ, điện thoại, thư điện tử;
Mô tả về sự cố: Loại sự cố, hiện tượng,
đánh giá sơ bộ mức độ nguy hại, mức độ lây lan, tác động của sự cố đến hoạt động
bình thường của tổ chức;
Đơn vị cung cấp dịch vụ hạ tầng kỹ
thuật;
Liệt kê các biện pháp đã triển khai
hoặc dự kiến triển khai để xử lý khắc phục sự cố;
Các tổ chức, doanh nghiệp đang hỗ trợ
ứng cứu, xử lý và kết quả xử lý sự cố tính đến thời điểm báo cáo;
Kết quả ứng cứu sự cố ban đầu;
Kiến nghị đề xuất hướng ứng cứu xử lý
sự cố (nếu có);
Bản cập nhật mới nhất của tài liệu mô
tả các thành phần hệ thống thông tin, bao gồm: các vùng mạng chức năng; hệ thống
thiết bị mạng, thiết bị bảo mật; hệ thống máy chủ hệ thống; hệ thống máy chủ ứng
dụng; dịch vụ và các thành phần khác trong hệ thống thông tin (trong trường hợp
sự cố có khả năng xảy ra trên diện rộng hoặc gây ra các ảnh hưởng dây chuyền,
làm tổn hại cho các hệ thống thông tin quan trọng khác).
Điều 12. Tiếp nhận
thông tin báo cáo sự cố mất an toàn thông tin mạng, sự cố mạng truyền số liệu
chuyên dùng
1. Địa chỉ tiếp nhận thông tin, báo
cáo sự cố mất an toàn thông tin mạng; sự cố tắc, nghẽn, đứt, rớt, không truy cập
được của mạng truyền số liệu chuyên dùng: Trung tâm Giám sát điều hành kinh tế
xã hội tập trung thuộc Sở Thông tin và Truyền thông là bộ phận làm đầu mối liên
lạc ứng cứu ATTT máy tính trên địa bàn tỉnh và trong mạng lưới ứng cứu trên
toàn quốc, qua các thông tin liên hệ: Điện thoại: (0276) 3611169, Email:
hotro@tayninh.gov.vn.
2. Sở Thông tin và Truyền thông xây dựng
hệ thống thông tin tiếp nhận, xử lý và lưu vết thông tin xử lý sự cố trực tuyến,
xuất ra các báo cáo hàng tháng để báo cáo cho các cơ quan có thẩm quyền.
Điều 13. Giám
sát an toàn hệ thống thông tin mạng
1. Đối với các cơ quan, đơn vị:
Tổ chức thực hiện việc giám sát an
toàn hệ thống thông tin của cơ quan, đơn vị trực tiếp quản lý. Nội dung và đối
tượng giám sát thực hiện theo quy định tại các khoản 1, khoản 2 Điều 24 của Luật
ATTT mạng; thực hiện việc lưu trữ nhật ký tình trạng hoạt động của các hệ thống
thông tin tại các máy chủ trong thời gian ít nhất là 30 ngày để phục vụ các
công tác đảm bảo ATTT mạng.
2. Đối với các doanh nghiệp cung cấp
các dịch vụ viễn thông, CNTT, Internet có trách nhiệm thực hiện theo quy định tại
khoản 3 Điều 24 của Luật ATTT mạng.
Điều 14. Ngăn chặn
xung đột thông tin trên mạng
1. Đối với các cơ quan, đơn vị chủ quản
trực tiếp các hệ thống thông tin: Quản lý chặt chẽ các tài khoản đã cung cấp
cho người dùng và hệ thống thông tin do mình quản lý. Không để các phần tử xấu
lợi dụng hệ thống thông tin để thâm nhập, truy cập trái phép vào các trung tâm
đang quản lý, qua đó tấn công vào các hệ thống thông tin, cơ sở dữ liệu dùng
chung của tỉnh.
2. Sở Thông tin và Truyền thông:
a) Chủ trì, phối hợp với các đơn vị
liên quan của Bộ Thông tin và Truyền thông, các cơ quan, đơn vị có liên quan để
tham mưu xây dựng và triển khai các kế hoạch, phương án bảo vệ hệ thống thông
tin của tỉnh; sẵn sàng huy động lực lượng, phương tiện tham gia thực hiện các nội
dung ngăn chặn xung đột thông tin trên mạng trong phạm vi quản lý;
b) Xử lý, khắc phục các vụ việc liên
quan đến xung đột thông tin trên mạng thuộc phạm vi quản lý theo quy định pháp
luật.
3. Các doanh nghiệp cung cấp dịch vụ
viễn thông, CNTT, Internet cho các cơ quan quản lý nhà nước tỉnh có trách nhiệm
ngăn chặn xung đột thông tin trên mạng trong phạm vi thẩm quyền theo quy định tại
Nghị định số 142/2016/NĐ-CP ngày 14 tháng 10 năm 2016 của Chính phủ về ngăn chặn
xung đột thông tin trên mạng.
Điều 15. Xây dựng
quy chế bảo đảm ATTT nội bộ
Trên cơ sở quy chế này và hướng dẫn của Bộ, ngành Trung ương, các sở, ban, ngành tỉnh, UBND
các huyện, thị xã, thành phố ban hành quy chế bảo đảm ATTT nội bộ tại cơ quan,
địa phương quy định rõ các vấn đề cơ bản sau:
1. Phân công cụ thể cán bộ, công chức
chuyên trách CNTT, số điện thoại liên hệ khi có sự cố về ATTT.
2. Phân công cán bộ, công chức chịu
trách nhiệm quản lý máy tính để dự thảo các văn bản, tài liệu có tính mật; việc
sử dụng và vận hành máy tính này, đảm bảo tuân thủ các quy định của pháp luật về
bảo mật và ATTT.
3. Thiết lập quy tắc vào ra, quản lý
phòng máy chủ; quy tắc cài đặt phần mềm lên máy chủ, máy tính trạm.
4. Quy tắc phân loại và quản lý mức độ
ưu tiên đối với các tài nguyên của hệ thống thông tin (phần mềm, dữ liệu, trang
thiết bị CNTT).
5. Kiểm tra, rà soát và khắc phục sự
cố an toàn của hệ thống thông tin sử dụng các biện pháp trong Điều 11 của Quy
chế này.
6. Quy tắc quản lý bảo đảm an toàn hệ
thống thông tin tại đơn vị; đảm bảo tính toàn vẹn, tính tin cậy, tính thống nhất
và tính sẵn sàng của dữ liệu trong quản lý và vận hành trao đổi thông tin.
7. Quy trình xử lý các sự cố ảnh hưởng
đến an toàn hệ thống tại đơn vị.
8. Chế độ báo cáo tổng hợp tình hình
an toàn của hệ thống thông tin.
Điều 16. Quy
trình phối hợp ứng cứu sự cố mạng bảo đảm ATTT số trên địa bàn tỉnh
1. Quy trình xử lý khẩn cấp:
Khi phát hiện hệ thống có nguy cơ mất
ATTT như: hệ thống hoạt động chậm bất thường, không truy cập được hệ thống ứng
dụng, nội dung cổng (trang) thông tin điện tử hoặc giao diện ứng dụng bị thay đổi,
các sự cố khác có liên quan thực hiện các bước cơ bản như sau:
a) Bước 1: Ngắt kết nối hệ thống máy
chủ ra khỏi hệ thống mạng, báo cáo sự cố đến Thủ trưởng cơ quan, đơn vị;
b) Bước 2: Sao chép nhật ký truy cập
của người dùng (logfile) và toàn bộ dữ liệu của hệ thống ra thiết bị lưu trữ
(phục vụ cho công tác phân tích);
c) Bước 3: Khôi phục lại hệ thống, hoặc
sử dụng hệ thống dự phòng và chuyển dữ liệu sao lưu dự phòng (backup) mới nhất
để hệ thống hoạt động;
d) Bước 4: Tổng hợp, báo cáo sự cố và
nội dung khắc phục gửi về Đội ứng cứu để tổng hợp.
2. Nguyên tắc phối hợp trong ứng cứu
sự cố:
a) Đơn vị vận hành hệ thống thông
tin:
Thực hiện các bước khắc phục sự cố
theo Khoản 1 điều này.
Các sự cố vượt quá khả năng xử lý, đơn
vị thông báo đến Đội ứng cứu để hỗ trợ khắc phục và thực hiện báo cáo sự cố mạng.
Tổng hợp, báo cáo đơn vị chuyên trách
CNTT (Sở Thông tin và Truyền thông) theo định kỳ 06 tháng một lần và báo cáo đột
xuất khi có yêu cầu;
b) Đội ứng cứu:
Tiếp nhận thông tin, báo cáo sự cố mất
an toàn thông tin của đơn vị. Phản hồi đến email cần hỗ trợ theo 03 bước: Tiếp
nhận, Hướng xử lý, đóng xử lý. Việc xử lý lỗi được thực hiện ngay khi nhận được
email yêu cầu.
Phản hồi cho đơn vị, cá nhân gửi
thông báo, báo cáo ban đầu ngay sau khi nhận được để xác nhận về việc đã nhận
được thông báo, báo cáo sự cố.
Thẩm tra, xác minh và phân loại sự cố
an toàn thông tin mạng để lựa chọn phương án ứng cứu phù hợp hoặc đề xuất với
Ban chỉ đạo xây dựng CQDT hướng giải quyết trong trường hợp vượt thẩm quyền.
Chủ động hỗ trợ ngay đơn vị cần ứng cứu,
xử lý sự cố trong khả năng và trách nhiệm của mình, cử cán bộ kỹ thuật của Đội
có mặt tại đơn vị báo sự cố để phối hợp, hướng dẫn, ghi nhận giải quyết sự cố,
trong trường hợp sự cố phức tạp, nguy cơ cao về ATTT mà không thể hướng dẫn,
trao đổi qua điện thoại, email với đơn vị bị sự cố.
Giám sát diễn biến tình hình ứng cứu
sự cố và báo cáo Ban chỉ đạo xây dựng CQĐT tỉnh: đề xuất, xin ý kiến chỉ đạo
trong trường hợp không thuộc thẩm quyền, phạm vi trách nhiệm hoặc vượt khả năng
xử lý của mình.
Tổng hợp, báo cáo Cơ quan điều phối
quốc gia theo quy định và báo cáo đột xuất khi có yêu cầu.
c) Sở Thông tin và Truyền thông báo
cáo về Ủy ban nhân dân tỉnh đồng thời thông báo đến Bộ Thông tin và Truyền thông
thông qua Trung tâm ứng cứu khẩn cấp không gian mạng Việt Nam, để được hỗ trợ
khắc phục các sự cố vượt quá khả năng xử lý của địa phương.
Chương III
TỔ CHỨC THỰC HIỆN
Điều 17. Trách
nhiệm của tổ chức, cá nhân bên ngoài khi tham gia sử dụng hệ thống thông tin của
cơ quan nhà nước, để giao tiếp, cung cấp và trao đổi thông tin số với cơ quan
nhà nước
1. Nghiêm chỉnh thi hành quy chế này
và các quy định khác của pháp luật về bảo đảm ATTT mạng.
2. Khi phát hiện sự cố ảnh hưởng đến
an toàn hệ thống thông tin, phải thông báo ngay với cơ quan nhà nước, nơi tổ chức,
cá nhân đang thực hiện giao tiếp.
3. Các tổ chức, cá nhân tham gia vào
quá trình ứng dụng CNTT trên địa bàn tỉnh, chịu sự thanh tra, kiểm tra của các
cơ quan nhà nước có thẩm quyền về lĩnh vực ATTT.
Điều 18. Trách
nhiệm của cán bộ, công chức trong cơ quan nhà nước
1. Nghiêm chỉnh thi hành quy chế này
và các quy định khác của pháp luật về bảo đảm ATTT.
2. Khi phát hiện sự cố ảnh hưởng đến
an toàn hệ thống thông tin, phải thông báo ngay đến cán bộ, công chức chuyên
trách CNTT của đơn vị.
3. Các thông tin, tài liệu, văn bản
có tính mật theo quy định, phải dự thảo, lưu trữ đúng theo quy định về bảo mật
và ATTT.
4. Cán bộ, công chức chuyên trách
CNTT:
a) Theo nhiệm vụ được Thủ trưởng cơ
quan, đơn vị phân công, chịu trách nhiệm tham mưu chuyên môn và vận hành đảm bảo
an toàn hệ thống thông tin tại cơ quan, đơn vị;
b) Hướng dẫn, hỗ trợ người dùng tại
cơ quan, đơn vị giải pháp phòng, chống vi rút, mã độc máy tính. Thực hiện việc
đánh giá, báo cáo các rủi ro và mức độ các rủi ro ảnh hưởng đến hoạt động hệ thống
thông tin của đơn vị, các giải pháp cơ bản khắc phục các rủi ro:
c) Phối hợp với các cá nhân, tổ chức
có liên quan trong việc kiểm tra, phát hiện, phòng ngừa, đấu tranh, ngăn chặn
xâm phạm ATTT; tham gia khắc phục các sự cố mất ATTT.
Điều 19. Trách
nhiệm của các cơ quan, đơn vị
1. Đảm bảo an toàn thông tin mạng
theo quy định hiện hành của Chính phủ. Bộ Thông tin và Truyền thông. Quy chế
này và các quy chế nội bộ khác.
2. Báo cáo định kỳ vào ngày 15/10 hàng
năm hoặc đột xuất theo yêu cầu về Sở Thông tin và Truyền thông để tổng hợp, báo
cáo Ủy ban nhân dân tỉnh, Bộ Thông tin và Truyền thông.
3. Tuân thủ và bảo đảm ATTT trong ứng
dụng CNTT, đảm bảo an toàn thông tin mạng nội bộ của cơ quan, đơn vị theo hướng
dẫn của Sở Thông tin và Truyền thông theo quy định của quy chế này và các quy định
khác của pháp luật có liên quan.
4. Tuyên truyền, phổ biến quy chế này
và các quy định khác của pháp luật có liên quan về ATTT trong phạm vi trách nhiệm
và quyền hạn của từng cơ quan.
5. Xác định và trình cấp có thẩm quyền
phê duyệt cấp độ hệ thống thông tin của cơ quan, đơn vị.
6. Khi được kiểm tra công tác đảm bảo
an toàn thông tin mạng tại cơ quan, đơn vị cử cán bộ có chuyên môn về CNTT tham
gia đoàn kiểm tra; phối hợp với đoàn kiểm tra xây dựng các tiêu chí và quy
trình kỹ thuật kiểm tra công tác đảm bảo ATTT.
7. Xây dựng Quy chế đảm bảo ATTT nội
bộ tại cơ quan, đơn vị theo quy định tại Điều 15 của Quy chế này.
Điều 20. Trách
nhiệm của Sở Thông tin và Truyền thông
1. Tham mưu Ủy ban nhân dân tỉnh về
công tác đảm bảo ATTT trên địa bàn tỉnh và chịu trách nhiệm trước Ủy ban nhân
dân tỉnh trong việc đảm bảo an toàn cho các hệ thống thông tin cấp tỉnh.
2. Xây dựng và triển khai các Kế hoạch,
chương trình, dự án đầu tư, đào tạo về ATTT trong ứng dụng CNTT trên địa bàn tỉnh.
3. Tùy theo mức độ sự cố, phối hợp
Trung tâm ứng cứu khẩn cấp không gian mạng Việt Nam (VNCERT/CC) và các đơn vị
có liên quan hướng dẫn xử lý, ứng cứu các sự cố ATTT trên địa bàn tỉnh; cảnh
báo các vấn đề về ATTT trong các cơ quan nhà nước trên địa bàn tỉnh.
4. Quản lý vận hành, hướng dẫn kết nối
mạng truyền số liệu chuyên dùng của các cơ quan Đảng và nhà nước trên địa bàn tỉnh;
xử lý các vấn đề liên quan sự cố mạng truyền số liệu chuyên dùng.
5. Hướng dẫn, hỗ trợ sao lưu dự phòng
các thông tin, cơ sở dữ liệu của các cơ quan nhà nước một cách an toàn.
6. Hướng dẫn, giám sát các đơn vị xây
dựng quy chế và thực hiện việc đảm bảo an toàn cho hệ thống thông tin theo quy
định; hướng dẫn các cơ quan về khung báo cáo; định kỳ tổng hợp báo cáo Ủy ban
nhân dân tỉnh và Bộ Thông tin và Truyền thông và các cơ quan có thẩm quyền về
công tác ATTT số trên địa bàn tỉnh.
7. Tuyên truyền và định hướng tuyên
truyền, phối hợp tuyên truyền đến các phương tiện truyền thông đại chúng trên địa
bàn tỉnh về công tác bảo đảm ATTT.
8. Hàng năm, tổ chức đào tạo hoặc cử
nhân sự tham gia các khoá đào tạo chuyên sâu về ATTT mạng cho cán bộ, công chức
chuyên trách CNTT đảm bảo ATTT mạng của các cơ quan, đơn vị.
9. Tham mưu cung cấp, hỗ trợ các cơ
quan đơn vị thiết bị CNTT soạn thảo và lưu trữ văn bản mật. Chủ trì phối hợp với
Công an tỉnh thẩm định, bảo hành, bảo trì đảm bảo an toàn thông tin của thiết bị
CNTT soạn thảo và lưu trữ văn bản mật của các cơ quan, đơn vị.
10. Khảo sát, triển khai, xây dựng mô
hình kết nối mạng nội bộ (LAN) đảm bảo an toàn thông tin chung cho các cơ quan,
đơn vị triển khai thực hiện.
11. Tham mưu xây dựng kế hoạch hàng
năm, phối hợp với Công an tỉnh và các đơn vị có liên quan tổ chức kiểm tra định
kỳ đảm bảo an toàn thông tin mạng, hệ thống thông tin theo cấp độ của các cơ
quan, đơn vị.
12. Tổ chức đánh giá an toàn thông
tin mạng cho các hệ thống thông tin dùng chung, hạ tầng Trung tâm tích hợp dữ
liệu của tỉnh hàng năm theo quy định.
13. Chủ trì xây dựng dự toán kinh phí
thực hiện kế hoạch hàng năm từ nguồn Trung ương và tham mưu UBND tỉnh báo cáo Bộ
Thông tin và truyền thông để được bố trí vốn thực hiện hàng năm theo quy định.
14. Thông báo cho các đầu mối quản trị
công nghệ thông tin tại các cơ quan, đơn vị thời gian cụ thể khi có cập nhật
thay đổi hệ thống hoặc báo ngay cho các đầu mối khi có sự cố của các hệ thống
dùng chung để các đơn vị chủ động thông báo cho đơn vị.
Điều 21. Trách
nhiệm Đội ứng cứu
1. Tham mưu các văn bản hướng dẫn, cảnh
báo nguy cơ mất an toàn thông tin cho các cơ quan, đơn vị.
2. Phối hợp với Trung tâm ứng cứu khẩn
cấp không gian mạng Việt Nam (VNCERT/CC) và các đơn vị có liên quan trong thực
hiện nhiệm vụ đảm bảo ATTT mạng.
3. Tổ chức thực hiện việc tiếp nhận
và xử lý các sự cố về ATTT.
4. Tổ chức thực hiện các biện pháp bảo
đảm ATTT trên mạng máy tính của các cơ quan nhà nước trên địa bàn tỉnh; hỗ trợ
kỹ thuật cho các đơn vị trong việc ngăn chặn, phòng ngừa và khắc phục sự cố liên quan đến ATTT trên mạng máy tính.
Điều 22. Trách
nhiệm Công an tỉnh
1. Chủ trì, phối hợp với Sở Thông tin
và Truyền thông và các cơ quan, đơn vị có liên quan xây dựng kế hoạch và chịu
trách nhiệm quản lý, kiểm soát, phòng ngừa, đấu tranh, ngăn chặn các loại tội
phạm lợi dụng hệ thống thông tin gây phương hại đến ATTT mạng trong cơ quan nhà
nước.
2. Chủ trì, phối hợp với Sở Thông tin
và Truyền thông và các cơ quan, đơn vị có liên quan tổ chức Đoàn kiểm tra về
ATTT mạng để kịp thời phát hiện, xử lý các hành vi vi phạm theo quy định của
pháp luật.
3. Phối hợp Sở Thông tin và Truyền
thông thẩm định, bảo hành, bảo trì đảm bảo an toàn thông tin của thiết bị CNTT
soạn thảo và lưu trữ văn bản mật của các cơ quan, đơn vị.
4. Cử cán bộ phối hợp, tham gia đoàn
kiểm tra, đánh giá công tác đảm bảo ATTT trong hoạt động ứng dụng CNTT của các
cơ quan, đơn vị; Điều tra và xử lý các trường hợp vi phạm các quy định về ATTT
mạng theo thẩm quyền.
5. Kiểm tra đột xuất các cơ quan, đơn
vị khi phát hiện có dấu hiệu vi phạm pháp luật về ATTT trong hoạt động ứng dụng
CNTT theo đúng quy định của pháp luật.
Điều 23. Trách
nhiệm của các doanh nghiệp cung cấp dịch vụ viễn thông, CNTT và Internet
1. Đầu tư xây dựng, trang bị hạ tầng
kỹ thuật đáp ứng đầy đủ các yêu cầu, tiêu chuẩn kỹ thuật theo quy định của Bộ
Thông tin và Truyền thông về ATTT và các nội dung quy định tại Quy chế này.
2. Phối hợp với Sở Thông tin và Truyền
thông để tham gia các hoạt động điều phối, ứng cứu, khắc phục sự cố thông tin đảm
bảo ATTT mạng cho các cơ quan, đơn vị trong quá trình sử dụng, khai thác sử dụng
dịch vụ.
3. Đảm bảo mạng truyền số liệu chuyên
dùng cung cấp cho các cơ quan, đơn vị được thông suốt, ổn định.
4. Chịu hoàn toàn trách nhiệm nếu có
sự cố xảy ra mà thời gian xử lý vượt quá 4 giờ kể từ thời điểm nhận được thông
tin sự cố và chịu trách nhiệm trước Ủy ban nhân dân tỉnh về chất lượng dịch vụ
nếu để số sự cố xảy ra quả 3 lần/tháng/01 đơn vị.
Điều 24. Trách
nhiệm của Sở Tài chính
Phối hợp với Sở Thông tin và truyền
thông đảm bảo kinh phí thực hiện kế hoạch từ nguồn chi thường xuyên hàng năm theo
quy định.
Điều 25. Trách
nhiệm của Sở Kế hoạch và Đầu tư
Hàng năm, căn cứ khả năng cân đối
ngân sách và đề xuất của Sở Thông tin và Truyền thông và các cơ quan, đơn vị có
liên quan, tham mưu Ủy ban nhân dân tỉnh bố trí kinh phí triển khai thực hiện
các dự án, nhiệm vụ bảo đảm ATTT theo phân cấp hiện hành của Luật Ngân sách nhà
nước. Phấn đấu phân bổ tối thiểu 10% tổng mức chi cho ứng dụng CNTT để thực hiện
các nhiệm vụ về đảm bảo ATTT mạng.
Điều 26. Trách
nhiệm thi hành
1. Sở Thông tin và Truyền thông chủ
trì, phối hợp với các sở, ban ngành, UBND các huyện, thị xã thành phố và các
đơn vị có liên quan triển khai thực hiện Quy chế này.
2. Các văn bản quy phạm pháp luật dẫn
chiếu để áp dụng tại Quy chế này được sửa đổi, bổ sung hoặc thay thế bằng văn bản
mới thì áp dụng theo các văn bản sửa đổi, bổ sung hoặc thay thế.
3. Trong quá trình thực hiện, nếu có
phát sinh khó khăn, vướng mắc, các cơ quan, đơn vị kịp thời báo cáo về Sở Thông
tin và Truyền thông tổng hợp để trình UBND tỉnh xem xét, quyết định./.