|
ỦY BAN NHÂN DÂN
TỈNH ĐỒNG NAI
--------
|
CỘNG HÒA XÃ HỘI CHỦ
NGHĨA VIỆT NAM
Độc lập - Tự do - Hạnh phúc
----------------
|
|
Số: 34/2009/QĐ-UBND
|
Biên Hòa, ngày 21
tháng 05 năm 2009
|
QUYẾT ĐỊNH
BAN
HÀNH QUY CHẾ ĐẢM BẢO AN TOÀN, AN NINH THÔNG TIN TRONG LĨNH VỰC ỨNG DỤNG CÔNG
NGHỆ THÔNG TIN CỦA CÁC CƠ QUAN, ĐƠN VỊ QUẢN LÝ HÀNH CHÍNH NHÀ NƯỚC TRÊN ĐỊA BÀN
TỈNH ĐỒNG NAI
ỦY BAN NHÂN DÂN TỈNH ĐỒNG NAI
Căn cứ Luật Tổ chức Hội đồng nhân dân và Ủy
ban nhân dân ngày 26 tháng 11 năm 2003;
Căn cứ Luật Giao dịch điện tử ngày 29 tháng 11 năm 2005;
Căn cứ Luật Công nghệ thông tin ngày 29 tháng 6 năm 2006;
Căn cứ Nghị định số 63/2007/NĐ-CP ngày 10 tháng 4 năm 2007 của Chính phủ về quy
định xử phạt vi phạm hành chính trong lĩnh vực công nghệ thông tin;
Căn cứ Nghị định số 64/2007/NĐ-CP ngày 10 tháng 4 năm 2007 của Chính phủ về ứng
dụng công nghệ thông tin trong hoạt động của cơ quan Nhà nước;
Căn cứ Chỉ thị số 03/2007/CT-BBCVT ngày 23 tháng 02 năm 2007 của Bộ Bưu chính
Viễn thông về việc tăng cường đảm bảo an ninh thông tin trên mạng Internet;
Theo đề nghị của Giám đốc Sở Thông tin và Truyền thông tại Tờ trình số
224/TTr-STTT ngày 07/4/2009,
QUYẾT ĐỊNH:
Điều 1. Ban hành kèm theo
Quyết định này Quy chế đảm bảo an toàn, an ninh thông tin trong lĩnh vực ứng
dụng công nghệ thông tin của các cơ quan, đơn vị quản lý hành chính Nhà nước
trên địa bàn tỉnh Đồng Nai.
Điều 2. Quyết định có hiệu
lực thi hành sau 10 ngày kể từ ngày ký.
Điều 3. Chánh Văn phòng Ủy ban
nhân dân tỉnh, Giám đốc các sở, ban, ngành, Chủ tịch Ủy ban nhân dân các huyện,
thị xã Long Khánh, thành phố Biên Hòa có trách nhiệm thi hành Quyết định này./.
|
|
ỦY BAN NHÂN DÂN
TỈNH ĐỒNG NAI
CHỦ TỊCH
Võ Văn Một
|
QUY CHẾ
ĐẢM
BẢO AN TOÀN, AN NINH THÔNG TIN TRONG LĨNH VỰC ỨNG DỤNG CÔNG NGHỆ THÔNG TIN CỦA
CÁC CƠ QUAN, ĐƠN VỊ QUẢN LÝ HÀNH CHÍNH NHÀ NƯỚC TRÊN ĐỊA BÀN TỈNH ĐỒNG NAI
(Ban hành kèm theo Quyết định số: 34/2009/QĐ-UBND ngày 21 tháng 5 năm 2009
của Ủy ban nhân dân tỉnh Đồng Nai)
Chương I
QUY ĐỊNH
CHUNG
Điều 1. Phạm vi điều chỉnh
Quy
chế này quy định về công tác đảm bảo an toàn an ninh thông tin trong lĩnh vực
ứng dụng công nghệ thông tin phục vụ cho công tác điều hành và quản lý hành
chính Nhà nước trên địa bàn.
Điều 2. Đối tượng áp dụng
Quy
chế này được áp dụng đối với tất cả cơ quan, đơn vị quản lý hành chính Nhà nước
trên địa bàn tỉnh Đồng Nai.
Điều 3. Giải thích từ ngữ
Trong
Quy chế này, các từ ngữ dưới đây được hiểu như sau:
1.
An toàn thông tin (ATTT): Bao gồm các hoạt động quản lý, nghiệp vụ và kỹ
thuật đối với hệ thống thông tin nhằm bảo vệ, khôi phục các hệ thống, các dịch
vụ và nội dung thông tin đối với nguy cơ tự nhiên hoặc do con người gây ra.
Việc bảo vệ thông tin, tài sản và con người trong hệ thống thông tin nhằm bảo
đảm cho các hệ thống thực hiện đúng chức năng, phục vụ đúng đối tượng một cách
sẵn sàng, chính xác và tin cậy. An toàn thông tin bao hàm các nội dung bảo vệ
và bảo mật thông tin, an toàn dữ liệu, an toàn máy tính và an toàn mạng.
2.
Tính tin cậy: Đảm bảo thông tin chỉ có thể được truy nhập bởi những
người được cấp quyền sử dụng.
3.
Tính toàn vẹn: Bảo vệ sự chính xác và đầy đủ của thông tin và các phương
pháp xử lý.
4.
Tính sẵn sàng: Đảm bảo những người được cấp quyền có thể truy nhập thông
tin và các tài sản liên quan ngay khi có nhu cầu.
5.
TCVN 7562: 2005: Tiêu chuẩn Việt Nam về mã thực hành quản lý ATTT.
6.
ISO 17799:2005: Tiêu chuẩn Quốc tế cung cấp các hướng dẫn quản lý an
toàn bảo mật thông tin dựa trên quy phạm công nghiệp tốt nhất (tập quy phạm cho
quản lý an toàn bảo mật thông tin).
7.
ISO 27001: 2005: Tiêu chuẩn Quốc tế về quản lý bảo mật thông tin do Tổ
chức Chất lượng Quốc tế và Hội đồng Điện tử Quốc tế xuất bản vào tháng 10/2005.
Chương II
NỘI DUNG
ĐẢM BẢO AN TOÀN AN NINH THÔNG TIN
Điều 4. Các biện pháp quản lý vận hành trong công tác an
toàn an ninh thông tin
1.
Trang bị đầy đủ các kiến thức bảo mật cơ bản cho cán bộ công chức trước khi cho
phép truy nhập và sử dụng hệ thống thông tin.
2.
Các cơ quan, đơn vị cần xác định cán bộ chuyên trách về an toàn hệ thống thông
tin. Cán bộ này cần phải có các kiến thức về an toàn, an ninh thông tin trước
khi tiến hành các hoạt động quản lý hay kỹ thuật nghiệp vụ.
3.
Cán bộ chuyên trách tại các cơ quan, đơn vị được Thủ trưởng đơn vị đảm bảo điều
kiện học tập, tiếp thu công nghệ, kiến thức an toàn bảo mật thông tin.
4.
Cán bộ chuyên trách an toàn hệ thống thông tin chịu trách nhiệm tham mưu chuyên
môn và vận hành an toàn hệ thống thông tin của đơn vị theo nhiệm vụ được Thủ
trưởng đơn vị phân công.
5.
Cán bộ chuyên trách cần cập nhật cấu hình chuẩn cho các thành phần của hệ thống
khi tiến hành cài đặt và thiết lập cấu hình chặt chẽ nhất cho các sản phẩm an
toàn thông tin nhưng vẫn duy trì yêu cầu hoạt động của hệ thống thông tin.
6.
Cán bộ chuyên trách cần cấu hình hệ thống thông tin chỉ cung cấp những chức
năng thiết yếu nhất; cấm, hạn chế sử dụng chức năng, cổng giao tiếp mạng, giao
thức, và dịch vụ không cần thiết.
7.
Cán bộ chuyên trách cần sao lưu thông tin ở mức người dùng và mức hệ thống (bao
gồm trạng thái hệ thống thông tin) và lưu trữ thông tin sao lưu tại nơi an
toàn. Đồng thời tổ chức kiểm tra thông tin sao lưu để đảm bảo tính sẵn sàng và
toàn vẹn thông tin.
8.
Cán bộ chuyên trách cần triển khai cơ chế chống virus, thư rác cho những hệ
thống xung yếu hiện hữu (firewall, mail server,…) và tại các máy trạm, máy chủ,
các thiết bị di động trong mạng. Tổ chức sử dụng cơ chế chống virus, thư rác để
phát hiện và loại trừ những đoạn mã độc hại (virus, trojan, worms…) được truyền
tải bởi: Thư điện tử, tập tin đính kèm từ Internet, thiết bị lưu trữ tháo lắp
khai thác lỗ hổng của hệ thống thông tin. Đồng thời cập nhật cơ chế chống
virus, thư rác thường xuyên sao cho phù hợp với quy trình và chính sách quản lý
cấu hình hệ thống thông tin của tổ chức. Cần cân nhắc việc sử dụng phần mềm
chống virus từ nhiều hãng phân phối khác nhau (sử dụng một hãng cho máy chủ và
hãng khác cho máy trạm).
9.
Cán bộ chuyên trách cần thực hiện việc đánh giá, báo cáo các rủi ro và mức độ
nghiêm trọng các rủi ro đó. Các rủi ro đó có thể xảy ra do sự truy cập trái
phép, sử dụng trái phép, mất, thay đổi hoặc phá hủy thông tin và hệ thống thông
tin.
10.
Các cơ quan, đơn vị cần hủy quyền truy nhập hệ thống thông tin, đảm bảo việc
thu hồi lại tất cả các tài sản liên quan tới hệ thống thông tin (khóa, thẻ nhận
dạng,…) đối với nhân viên đã chấm dứt hợp đồng và đảm bảo khả năng vẫn truy
nhập được vào các hồ sơ được tạo ra bởi nhân viên đó.
11.
Các cơ quan, đơn vị xác định và phân bổ đầu tư cần thiết để bảo vệ hệ thống
thông tin.
Điều 5. Các biện pháp quản lý kỹ thuật cho công tác an
toàn an ninh thông tin
1.
Tổ chức quản lý các tài khoản của hệ thống thông tin, bao gồm: Tạo mới, kích
hoạt, sửa đổi, vô hiệu hóa và loại bỏ các tài khoản. Đồng thời tổ chức kiểm tra
các tài khoản của hệ thống thông tin ít nhất 01 lần/01 năm và triển khai các
công cụ tự động để hỗ trợ việc quản lý các tài khoản của hệ thống thông tin.
2.
Hệ thống thông tin giới hạn một số hữu hạn lần đăng nhập sai liên tiếp. Hệ
thống tự động khóa tài khoản hoặc cô lập tài khoản trong một khoảng thời gian
nhất định trước khi tiếp tục cho đăng nhập nếu liên tục đăng nhập sai vượt quá
số lần quy định.
3.
Tổ chức theo dõi, và kiểm soát tất cả các phương pháp truy nhập từ xa (quay số,
Internet…) tới hệ thống thông tin bao gồm cả sự truy nhập có chức năng đặc
quyền. Hệ thống cần có quá trình kiểm tra, cho phép ứng với mỗi phương pháp
truy nhập từ xa và chỉ cho phép những người thật sự cần thiết truy nhập từ xa
vào. Đồng thời tổ chức triển khai cơ chế tự động giám sát và điều khiển các
truy nhập từ xa.
4.
Cần thiết lập phương pháp hạn chế truy cập mạng không dây; giám sát và điều khiển
truy nhập không dây. Tổ chức sử dụng chứng thực và mã hóa để bảo vệ truy nhập
không dây tới hệ thống thông tin.
5.
Hệ thống thông tin cần ghi nhận ít nhất các sự kiện sau: Quá trình đăng nhập hệ
thống, các thao tác cấu hình hệ thống và quá trình truy xuất hệ thống. Đồng
thời ghi nhận đầy đủ các thông tin trong các bản ghi nhật ký để xác định những
sự kiện nào đã xảy ra, nguồn gốc và các kết quả của sự kiện để có cơ chế bảo vệ
và lưu giữ nhật ký trong một khoảng thời gian nhất định.
6.
Tổ chức quản lý định danh người dùng.
7.
Hệ thống thông tin cần ngăn chặn hoặc hạn chế các sự cố gây ra do tấn công từ
chối dịch vụ. Cán bộ chuyên trách có thể sử dụng các thiết bị đặt tại biên của
mạng lọc gói tin để bảo vệ các thiết bị bên trong, tránh bị ảnh hưởng trực tiếp
bởi tấn công từ chối dịch vụ. Đối với hệ thống thông tin cho phép truy nhập
công cộng thì có thể được bảo vệ bằng cách tăng dung lượng, băng thông hoặc
thiết lập hệ thống dự phòng.
Điều 6. Xây dựng quy chế nội bộ đảm bảo an toàn cho hệ
thống thông tin
1.
Các cơ quan đơn vị quản lý hành chính Nhà nước phải ban hành quy chế nội bộ,
đảm bảo quy định rõ các vấn đề sau:
a)
Mục tiêu và phương hướng thực hiện công tác đảm bảo an toàn an ninh cho hệ
thống thông tin.
b)
Nguyên tắc phân loại và quản lý mức độ ưu tiên đối với các tài nguyên của hệ
thống thông tin (phần mềm, dữ liệu, trang thiết bị…).
c)
Quản lý phân quyền và trách nhiệm đối với từng cá nhân khi tham gia sử dụng hệ
thống thông tin.
d)
Quản lý và điều hành hệ thống máy chủ, thiết bị mạng, thiết bị bảo vệ mạng một
cách an toàn.
e)
Kiểm tra, rà soát và khắc phục sự cố an toàn an ninh của hệ thống thông tin sử
dụng các biện pháp trong Điều 4 và Điều 5 của Quy chế.
f)
Nguyên tắc chung sử dụng an toàn và hiệu quả đối với toàn bộ cá nhân tham gia
sử dụng hệ thống thông tin.
g)
Báo cáo tổng hợp tình hình an toàn an ninh của hệ thống thông tin theo định kỳ.
h)
Tổ chức thực hiện.
2.
Các cơ quan, đơn vị xây dựng quy chế an toàn an ninh cho đơn vị căn cứ các tiêu
chuẩn kỹ thuật quản lý an toàn của bộ tiêu chuẩn TCVN 7562:2005 và ISO/IEC
17799:2005 tại phụ lục I để có sự lựa chọn áp dụng phù hợp từng cơ quan, đơn vị
mình.
Điều 7. Xây dựng và áp dụng quy trình đảm bảo an toàn, an
ninh cho hệ thống thông tin
1.
Các cơ quan, đơn vị quản lý hành chính phải xây dựng và áp dụng quy trình đảm
bảo an toàn, an ninh cho hệ thống thông tin nhằm giảm thiểu các nguy cơ gây sự
cố, tạo điều kiện cho việc khắc phục và truy vết trong trường hợp có sự cố xảy
ra.
Nội
dung của quy trình có thể chia làm các bước cơ bản như:
a)
Lập kế hoạch bảo vệ an toàn, an ninh cho hệ thống thông tin;
b)
Xây dựng hệ thống bảo vệ an toàn, an ninh thông tin;
c)
Quản lý và vận hành hệ thống bảo vệ an toàn, an ninh thông tin;
d)
Kiểm tra đánh giá hoạt động của hệ thống bảo vệ an toàn, an ninh thông tin;
e)
Bảo trì và nâng cấp hệ thống bảo vệ an toàn, an ninh thông tin.
2.
Các cơ quan, đơn vị tham khảo các bước cơ bản để xây dựng khung quy trình đảm
bảo an toàn, an ninh thông tin cho hệ thống thông tin tại phụ lục II và tiêu
chuẩn Quốc tế ISO 27001.
Chương III
TRÁCH
NHIỆM ĐẢM BẢO AN TOÀN, AN NINH THÔNG TIN
Điều 8. Trách nhiệm của các cơ quan, đơn vị quản lý
hành chính Nhà nước
1.
Thủ trưởng các cơ quan, đơn vị có trách nhiệm thực hiện Điều 6 và Điều 7 của
Quy chế này và chiụ trách nhiệm toàn diện trước UBND tỉnh trong công tác bảo vệ
an toàn hệ thống thông tin của đơn vị.
2.
Khi có sự cố hoặc nguy cơ mất an toàn thông tin, kịp thời áp dụng mọi biện pháp
để khắc phục và hạn chế thiệt hại, ưu tiên sử dụng lực lượng kỹ thuật ATTT của
đơn vị và lập biên bản báo cáo bằng văn bản cho cơ quan cấp trên quản lý trực
tiếp và Sở Thông tin và Truyền thông theo biểu mẫu tại phụ lục III. Trường hợp
có sự cố nghiêm trọng vượt quá khả năng khắc phục của đơn vị, phải báo cáo ngay
cho cơ quan cấp trên quản lý trực tiếp và Sở Thông tin và Truyền thông.
3.
Tạo điều kiện thuận lợi cho các cơ quan chức năng tham gia khắc phục sự cố và
thực hiện đúng theo hướng dẫn.
4.
Phối hợp với đoàn kiểm tra để việc triển khai công tác kiểm tra khắc phục sự cố
diễn ra nhanh chóng và đạt hiệu quả; đồng thời cung cấp đầy đủ các thông tin
khi đoàn kiểm tra yêu cầu xuất trình.
5.
Báo cáo tình hình an toàn, an ninh thông tin theo biểu mẫu tại phụ lục IV gửi
về Sở Thông tin và Truyền thông định kỳ hàng năm 01 lần vào cuối quý III.
Điều 9. Trách nhiệm của cán bộ công chức trong các cơ
quan, đơn vị quản lý hành chính Nhà nước
1.
Nghiêm chỉnh thi hành các quy chế nội bộ, quy trình về ATTT của cơ quan, đơn vị
cũng như các quy định khác của pháp luật, nâng cao ý thức cảnh giác và trách
nhiệm đảm bảo an ninh thông tin tại đơn vị.
2.
Khi phát hiện sự cố phải báo cáo ngay với cấp trên và bộ phận chuyên trách để
kịp thời ngăn chặn, xử lý.
3.
Hưởng ứng, tham gia các chương trình đào tạo, hội nghị về an toàn an ninh thông
tin do Sở Thông tin và Truyền thông đề ra.
Điều 10. Trách nhiệm của Sở Thông tin và Truyền thông
1.
Tham mưu UBND tỉnh về công tác đảm bảo an toàn, an ninh thông tin trên địa bàn
và chịu trách nhiệm trước UBND tỉnh trong việc đảm bảo an toàn an ninh cho các
hệ thống thông tin cấp tỉnh.
2.
Thành lập đoàn kiểm tra an toàn, an ninh thông tin và tiến hành kiểm tra, xử
phạt theo định kỳ hoặc kiểm tra đột xuất khi phát hiện có các dấu hiệu, hành vi
vi phạm an toàn, an ninh thông tin.
3.
Xây dựng và triển khai các chương trình đào tạo, hội nghị tuyên truyền an toàn,
an ninh thông trong công tác quản lý Nhà nước trên địa bàn tỉnh.
4.
Tùy theo mức độ sự cố, phối hợp Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam
(VNCERT) và các đơn vị có liên quan hướng dẫn xử lý, ứng cứu các sự cố thông
tin.
5.
Hướng dẫn, giám sát các đơn vị xây dựng quy chế đảm bảo an toàn, an ninh cho hệ
thống thông tin theo quy định của Nhà nước.
Chương IV
CÔNG TÁC
THANH TRA, KIỂM TRA AN TOÀN, AN NINH THÔNG TIN
Điều 11. Kế hoạch kiểm tra hàng năm
1.
Sở Thông tin và Truyền thông chủ trì, phối hợp Văn phòng UBND tỉnh, Công an
tỉnh và các đơn vị có liên quan tiến hành công tác kiểm tra an toàn, an ninh
thông tin tại tất cả các đơn vị hành chính cấp tỉnh, huyện định kỳ hàng năm tối
thiểu 01 lần vào quý III, kiểm tra tại cơ sở cấp phường/xã theo kế hoạch của Sở
Thông tin và Truyền thông.
2.
Tiến hành kiểm tra đột xuất các cơ quan, đơn vị quản lý hành chính khi có dấu
hiệu vi phạm an toàn an ninh trong hệ thống thông tin.
Điều 12. Quan hệ phối hợp và trách nhiệm của các
cơ quan chức năng liên quan
1.
Sở Thông tin và Truyền thông:
a)
Chịu trách nhiệm chính trong việc chủ trì và phối hợp với các cơ quan chức
năng liên quan để thành lập đoàn kiểm tra và triển khai, báo cáo công tác kiểm
tra an toàn, an ninh thông tin trên quy mô toàn tỉnh.
b)
Tiến hành xử phạt các hành vi vi phạm an toàn, an ninh thông tin gây thiệt hại
cho hệ thống thông tin thuộc các cơ quan, đơn vị Nhà nước trên địa bàn tỉnh;
c)
Tuyên truyền công tác an toàn, an ninh thông tin tại các đơn vị hành chính trên
địa bàn tỉnh.
2.
Văn phòng UBND tỉnh:
a)
Cử bộ phận chuyên trách an toàn an ninh thông tin phối hợp Sở Thông tin và
Truyền thông kiểm tra, đánh giá công tác an toàn an ninh thông tin.
b)
Phối hợp xây dựng các tiêu chí và quy trình kỹ thuật kiểm tra công tác an toàn,
an ninh thông tin.
3.
Trách nhiệm của Công an tỉnh:
a)
Phối hợp Sở Thông tin và Truyền thông kiểm tra công tác an toàn, an ninh thông
tin.
b)
Điều tra và xử lý các trường hợp vi phạm an toàn, an ninh thông tin theo thẩm
quyền.
Chương V
KHEN
THƯỞNG, XỬ LÝ VI PHẠM
Điều 13. Khen thưởng
Hàng
năm, Sở Thông tin và Truyền thông dựa trên các điều tra, báo cáo công tác ATTT
của các cơ quan, đơn vị để xác lập bảng xếp hạng ATTT; trên cơ sở đó đề xuất
UBND tỉnh xét khen thưởng các cá nhân, đơn vị theo quy định hiện hành.
Điều 14. Xử lý vi phạm
Tổ
chức, cá nhân có hành vi vi phạm Quy chế này thì tùy theo tính chất, mức độ vi
phạm mà bị xử lý kỷ luật theo trách nhiệm, xử phạt hành chính hoặc bị truy cứu
trách nhiệm hình sự. Nếu gây thiệt hại thì phải bồi thường theo quy định của
pháp luật hiện hành.
Chương VI
ĐIỀU
KHOẢN THI HÀNH
Điều 15. Sở Thông tin và
Truyền thông chủ trì, phối hợp với các sở, ban, ngành, UBND các huyện, thị xã
Long Khánh, thành phố Biên Hòa và các cơ quan có liên quan triển khai thực hiện
Quy chế này.
Điều 16. Trong quá trình thực
hiện nếu có phát sinh khó khăn, vướng mắc cần sửa đổi, bổ sung các cơ quan, đơn
vị kịp thời báo cáo về Sở Thông tin và Truyền thông tổng hợp trình UBND tỉnh
xem xét, quyết định./.
|
FILE
ĐƯỢC ĐÍNH KÈM THEO VĂN BẢN
|