|
ỦY BAN NHÂN DÂN
TỈNH BẮC GIANG
--------
|
CỘNG HÒA XÃ HỘI
CHỦ NGHĨA VIỆT NAM
Độc lập - Tự do - Hạnh phúc
--------------------
|
|
Số:
34/2020/QĐ-UBND
|
Bắc Giang, ngày
14 tháng 10 năm 2020
|
QUYẾT ĐỊNH
BAN
HÀNH QUY CHẾ BẢO ĐẢM AN TOÀN THÔNG TIN TRONG HOẠT ĐỘNG ỨNG DỤNG CÔNG NGHỆ THÔNG
TIN CỦA CÁC CƠ QUAN NHÀ NƯỚC TỈNH BẮC GIANG
ỦY BAN NHÂN DÂN TỈNH BẮC GIANG
Căn cứ Luật Tổ chức chính quyền địa phương ngày
19 tháng 6 năm 2015;
Căn cứ Luật Ban hành văn bản quy phạm pháp luật
ngày 22 tháng 6 năm 2015;
Căn cứ Luật Công nghệ thông tin ngày 29 tháng 6
năm 2006;
Căn cứ Luật An toàn thông tin mạng ngày 19 tháng
11 năm 2015;
Căn cứ Luật An ninh mạng ngày 12 tháng 06 năm
2018;
Căn cứ Nghị định số 64/2007/NĐ-CP ngày 10 tháng
4 năm 2007 của Chính phủ về ứng dụng công nghệ thông tin trong hoạt động của cơ
quan nhà nước;
Căn cứ Nghị định số 72/2013/NĐ-CP ngày 15 tháng
7 năm 2013 của Chính phủ về quản lý, cung cấp, sử dụng dịch vụ internet và
thông tin trên mạng;
Căn cứ Nghị định số 85/2016/NĐ-CP ngày 01 tháng
7 năm 2016 của Chính phủ về bảo đảm an toàn hệ thống thông tin theo cấp độ;
Căn cứ Quyết định số 05/2017/QĐ-TTg ngày 16
tháng 3 năm 2017 của Thủ tướng Chính phủ ban hành quy định về hệ thống phương án
ứng cứu khẩn cấp bảo đảm an toàn thông tin mạng quốc gia;
Căn cứ Thông tư số 03/2017/TT-BTTTT ngày 24
tháng 4 năm 2017 của Bộ trưởng Bộ Thông tin và Truyền thông quy định chi tiết
và hướng dẫn một số điều của Nghị định số 85/2016/NĐ-CP ngày 01 tháng 7 năm
2016 của Chính phủ về bảo đảm an toàn hệ thống thông tin theo cấp độ;
Căn cứ Thông tư số 20/2017/TT-BTTTT ngày 12
tháng 09 năm 2017 của Bộ trưởng Bộ Thông tin và Truyền thông quy định về điều
phối, ứng cứu sự cố an toàn thông tin mạng trên toàn quốc;
Căn cứ Thông tư số 27/2017/TT-BTTTT ngày 20
tháng 10 năm 2017 của Bộ trưởng Bộ Thông tin và Truyền thông quy định về quản
lý, vận hành, kết nối, sử dụng và bảo đảm an toàn thông tin trên mạng truyền số
liệu chuyên dùng của các cơ quan Đảng, Nhà nước;
Căn cứ Thông tư số 31/2017/TT-BTTTT ngày 15
tháng 11 năm 2017 của Bộ trưởng Bộ Thông tin và Truyền thông quy định hoạt động
giám sát an toàn hệ thống thông tin;
Căn cứ Thông tư số 12/2019/TT-BTTTT ngày 05
tháng 11 năm 2019 của Bộ trưởng Bộ Thông tin và Truyền thông về sửa đổi, bổ
sung một số điều của Thông tư số 27/2017/TT-BTTTT ngày 20 tháng 10 năm 2017 của
Bộ trưởng Bộ Thông tin và Truyền thông quy định về quản lý, vận hành, kết nối,
sử dụng và bảo đảm an toàn thông tin trên mạng truyền số liệu chuyên dùng của các
cơ quan Đảng, Nhà nước;
Theo đề nghị của Giám đốc Sở Thông tin và Truyền
thông tại Tờ trình số 44/TTr-STTTT ngày 14 tháng 09 năm 2020.
QUYẾT ĐỊNH:
Điều 1. Ban hành kèm theo Quyết định này Quy chế bảo đảm an toàn
thông tin trong hoạt động ứng dụng công nghệ thông tin của các cơ quan nhà nước
tỉnh Bắc Giang.
Điều 2. Quyết định này có hiệu lực thi hành kể từ ngày 01 tháng 11
năm 2020 và thay thế Quyết định số 176/2012/QĐ-UBND ngày 18 tháng 6 năm 2012 của
Ủy ban nhân dân tỉnh ban hành Quy định đảm bảo an toàn, an ninh thông tin trong
hoạt động ứng dụng công nghệ thông tin của cơ quan nhà nước tỉnh Bắc Giang.
Điều 3. Giám đốc sở, Thủ trưởng cơ quan, đơn vị thuộc Ủy ban nhân
dân tỉnh; Chủ tịch Ủy ban nhân dân huyện, thành phố; Chủ tịch Ủy ban nhân dân
xã, phường, thị trấn và các tổ chức, cá nhân có liên quan chịu trách nhiệm thi
hành Quyết định này./.
|
Nơi nhận:
- Như Điều 3;
- Văn phòng Chính phủ;
- Bộ Thông tin và Truyền thông;
- Cục Kiểm tra văn bản QPPL - Bộ Tư pháp;
- TT Tỉnh ủy, TT HĐND tỉnh;
- Chủ tịch, các Phó Chủ tịch UBND tỉnh;
- VP Tỉnh ủy, các ban, cơ quan thuộc Tỉnh ủy;
- UBMTTQVN tỉnh và các tổ chức chính trị-xã hội tỉnh;
- Các cơ quan Trung ương đóng trên địa bàn tỉnh;
- VP Đoàn ĐBQH tỉnh;
- VP HĐND, các ban HĐND tỉnh;
- VP UBND tỉnh: LĐVP, các phòng, TT Thông tin;
- Lưu: VT, KGVX.Cường.
|
TM. ỦY BAN NHÂN
DÂN
KT. CHỦ TỊCH
PHÓ CHỦ TỊCH
Lê Ánh Dương
|
QUY CHẾ
BẢO ĐẢM AN TOÀN THÔNG TIN TRONG HOẠT ĐỘNG ỨNG DỤNG CÔNG NGHỆ THÔNG TIN
CỦA CÁC CƠ QUAN NHÀ NƯỚC TỈNH BẮC GIANG
(Ban hành kèm theo Quyết định số 34/2020/QĐ-UBND ngày 14 tháng 10 năm 2020 của
Ủy ban nhân dân tỉnh Bắc Giang)
Chương I
QUY ĐỊNH CHUNG
Điều 1. Phạm vi điều chỉnh
Quy chế này quy định các nội dung về bảo đảm an
toàn hạ tầng mạng, an toàn máy chủ, an toàn dữ liệu, an toàn thiết bị và người
dùng đầu cuối, quản lý thiết kế, xây dựng hệ thống thông tin, quản lý thuê dịch
vụ công nghệ thông tin, giám sát an toàn hệ thống thông tin và ứng cứu xử lý sự
cố an toàn thông tin trong hoạt động ứng dụng công nghệ thông tin của các cơ
quan nhà nước tỉnh Bắc Giang.
Điều 2. Đối tượng áp dụng
Quy chế này áp dụng đối với các sở, cơ quan thuộc Ủy
ban nhân dân tỉnh; các cơ quan Trung ương đóng trên địa bàn tỉnh; Ủy ban nhân
dân huyện, thành phố; Ủy ban nhân dân xã, phường, thị trấn; các đơn vị sự nghiệp
sử dụng ngân sách nhà nước; các tổ chức chính trị - xã hội được ngân sách nhà
nước bảo đảm kinh phí hoạt động có sử dụng các hệ thống thông tin do Ủy ban
nhân dân tỉnh triển khai và các tổ chức, cá nhân liên quan đến hoạt động ứng dụng
công nghệ thông tin của các cơ quan nhà nước tỉnh Bắc Giang (sau đây gọi tắt là
cơ quan, đơn vị); công chức, viên chức và người lao động đang làm việc trong
các cơ quan, đơn vị nêu trên.
Điều 3. Nguyên tắc bảo đảm an
toàn thông tin
Các hoạt động ứng dụng công nghệ thông tin phải
tuân theo nguyên tắc đảm bảo an toàn thông tin được quy định tại Điều 41 Nghị định
số 64/2007/NĐ- CP ngày 10 tháng 4 năm 2007 của Chính phủ về ứng dụng công nghệ
thông tin trong hoạt động của cơ quan nhà nước và Điều 4 Luật An toàn thông tin
mạng.
Chương II
QUY ĐỊNH CỤ THỂ
Điều 4. Bảo đảm an toàn hạ tầng
mạng
1. Quản lý hạ tầng mạng nội bộ
a) Tuân thủ các quy định kiến trúc hệ thống, tiêu
chuẩn, quy chuẩn kỹ thuật; cài đặt, cấu hình, tổ chức hệ thống mạng phù hợp với
các tiêu chuẩn ứng dụng công nghệ thông tin của các cơ quan Nhà nước, bảo đảm
an toàn thông tin; hạn chế sử dụng mô hình mạng có nguy cơ mất an toàn thông
tin cao;
b) Đối với các cơ quan, đơn vị có nhiều phòng, đơn
vị trực thuộc có trụ sở làm việc không nằm trong cùng một khu vực, khi cấu hình
kết nối trên hệ thống mạng phải thiết lập mạng riêng ảo (Virtual Private
Network - VPN);
c) Trang bị thiết bị tường lửa chuyên dụng hoặc phần
mềm tường lửa để ngăn chặn và phát hiện xâm nhập trái phép vào mạng nội bộ của
cơ quan, đơn vị khi kết nối với hệ thống bên ngoài;
d) Khi thực hiện truy nhập từ xa vào mạng nội bộ thực
hiện chức năng quản trị, phải sử dụng giao thức mạng có mã hóa thông tin (như:
SSL/TLS, VPN...) và thiết lập mật khẩu có độ phức tạp cao.
2. Quản lý mạng không dây
a) Khi thiết lập mạng không dây để kết nối với mạng
cục bộ thông qua các điểm truy nhập (Access Point - AP), cơ quan, đơn vị vận
hành phải thiết lập các tham số: Tên, nhận dạng dịch vụ (Service Set Identifier
- SSID), mật khẩu có độ phức tạp cao (có độ dài tối thiểu 8 ký tự, có ký tự thường,
ký tự hoa, ký tự số hoặc ký tự đặc biệt như: !, @, #, $, %), cấp phép truy nhập
đối với địa chỉ vật lý (MAC Address), mã hóa dữ liệu theo cơ chế bảo mật WPA2
hoặc WPA3;
b) Mật khẩu đăng nhập phải được thiết lập có độ phức
tạp cao, định kỳ 6 tháng thay đổi mật khẩu nhằm tăng cường công tác bảo mật;
c) Khi cung cấp truy cập Internet qua mạng không
dây cho người ngoài, cơ quan, đơn vị vận hành phải tạo thêm một SSID riêng và
giới hạn băng thông truy cập phù hợp đối với đối tượng này.
Điều 5. Bảo đảm an toàn máy chủ
1. Trên hệ thống máy chủ
a) Hệ điều hành được cài đặt là phần mềm có bản quyền
(bao gồm bản quyền thương mại hoặc mã nguồn mở có nguồn gốc rõ ràng), các dịch
vụ cài đặt trên máy chủ là các dịch vụ được sử dụng dùng chung cho cơ quan, đơn
vị, không cài đặt các dịch vụ không sử dụng;
b) Thiết lập chế độ tự động cập nhật phiên bản và hệ
điều hành, phần mềm, ứng dụng và hệ quản trị cơ sở dữ liệu được cài đặt trên
máy chủ, phải thiết lập mật khẩu truy nhập chế độ tự động bảo vệ màn hình sau
10 phút không sử dụng đối với tất cả máy chủ;
c) Các máy chủ cần được cài đặt mật khẩu ở phần cấu
hình (setup) của BIOS (Basic Input/Output System), trong đó lưu ý việc vô hiệu
hóa các cổng USB trên máy chủ.
2. Cơ quan chủ quản có trách nhiệm trang bị phần mềm
phòng chống mã độc (antivirus) có bản quyền cho hệ thống máy chủ; cơ quan, đơn
vị vận hành thiết lập chế độ tự động cập nhật phiên bản mới, các bản vá lỗi; chế
độ tự động quét mã độc khi sao chép, mở các tập tin; chế độ quét toàn bộ máy
tính định kỳ hằng tuần.
3. Định kỳ hằng tuần, cơ quan, đơn vị vận hành phải
kiểm tra các tiến trình trên máy chủ nhằm sớm phát hiện nguy cơ cài cắm phần mềm
độc hại trên máy chủ.
4. Quản lý logfile: Cơ quan, đơn vị vận hành phải
thường xuyên kiểm tra, quản lý, sao lưu các logfile theo từng tháng, thời gian
lưu trữ logfile trên máy chủ và thiết bị từ 06 - 12 tháng, các tập tin logfile
cũ trong 03 năm trước đó cần được lưu trữ trên các ổ cứng ngoài; định kỳ 6
tháng thiết bị giám sát bảo đảm tính toàn vẹn của các logfile, hạn chế tình trạng
tràn logfile gây ảnh hưởng đến hoạt động của hệ thống thông tin.
5. Quản lý lưu ký hệ thống: Việc thực hiện lưu ký hệ
thống thông tin yêu cầu cơ quan, đơn vị cung cấp dịch vụ lưu ký phải tổ chức
máy chủ cơ sở dữ liệu và máy chủ ứng dụng nằm trên hai máy chủ khác nhau và được
bảo vệ bởi lớp bảo vệ bao gồm: Tường lửa, thiết bị phòng chống tấn công từ chối
dịch vụ DDoS (Distributed Denial of Service), thiết bị phát hiện và phòng chống
xâm nhập trái phép (IPS/IDS);
6. Quản lý phiên bản: Cơ quan, đơn vị vận hành xây
dựng nhật ký quản lý phiên bản hệ thống thông tin bao gồm các thông tin: Chủ đầu
tư, tên hệ thống thông tin, đơn vị phát triển, tên phiên bản; các chức năng của
phiên bản; các chức năng thay đổi so với phiên bản trước, thời gian thay đổi;
lưu trữ các phiên bản hệ thống thông tin tại hệ thống lưu trữ độc lập;
7. Khi thiết lập cung cấp các dịch vụ ra môi trường
mạng (tuân thủ theo TCP/UDP Port), cơ quan, đơn vị vận hành yêu cầu nhà cung cấp
dịch vụ cấu hình trên máy chủ ứng dụng những dịch vụ thiết yếu nhất để bảo đảm
hoạt động của hệ thống, không kích hoạt những chức năng, cổng giao tiếp mạng,
giao thức và các dịch vụ không sử dụng (không thiết lập cấu hình các dịch vụ ra
môi trường mạng đối với máy chủ cơ sở dữ liệu).
Điều 6. Bảo đảm an toàn dữ liệu
1. Quản lý tài khoản và chữ ký số
a) Khi cấp tài khoản, chữ ký số lần đầu cho người
dùng truy nhập, cơ quan, đơn vị vận hành phải thông báo (qua email, điện thoại)
và người dùng phải thay đổi mật khẩu sau khi đăng nhập thành công lần đầu;
b) Các hệ thống thông tin khi phân quyền phải thiết
lập chế độ giới hạn số lần đăng nhập không hợp lệ vào hệ thống tối đa không quá
05 lần, khi người dùng đăng nhập sai vượt quá số lần quy định, tài khoản chuyển
sang chế độ khóa quyền truy cập; các hệ thống thông tin xác lập chế độ thoát ra
khỏi hệ thống nếu người sử dụng không tương tác trên hệ thống của phiên làm việc
quá 10 phút;
c) Chủ tài khoản, chữ ký số không chia sẻ, giao quyền
tài khoản, chữ ký số và mật khẩu truy nhập cho người khác. Không sử dụng tài
khoản của người khác (ví dụ tài khoản thư điện tử, chữ ký số, chứng thư số) để
đăng nhập vào hệ thống thông tin, cơ sở dữ liệu;
d) Tài khoản thư điện tử, chữ ký số chuyên dùng
(xxx@bacgiang.gov.vn và chữ ký số do Ban Cơ yếu Chính phủ cấp) để phục vụ cho
các hoạt động mang tính công vụ, không sử dụng để giao dịch, đăng ký trên mạng
xã hội, các trang thông tin điện tử công cộng khác;
đ) Tài khoản quản trị hệ thống được giao cho công
chức, viên chức chuyên trách công nghệ thông tin phục vụ cho công tác quản trị,
phân quyền, cấu hình hệ thống đó. Công chức, viên chức quản trị hệ thống không
sử dụng cùng một mật khẩu cho nhiều tài khoản khác nhau;
e) Khi cá nhân thay đổi vị trí công tác, chuyển
công tác, thôi việc, nghỉ hưu, ngay từ thời điểm Quyết định có hiệu lực, cơ
quan, đơn vị quản lý cá nhân đó phải thông báo cho cơ quan, đơn vị vận hành để
điều chỉnh, thu hồi, hủy bỏ tài khoản, chữ ký số, chứng thư số.
2. Các cơ quan, đơn vị khi triển khai dịch vụ sao
lưu dự phòng ở mức vật lý cần thiết lập chức năng RAID (Redundant Arrays of
Inexpensive Disks hoặc Redundant Arrays of Independent Disks) để tăng tốc độ đọc
ghi hoặc bảo đảm khả năng lưu trữ dự phòng. Các cơ quan, đơn vị khi thuê dịch vụ
cần yêu cầu nhà cung cấp dịch vụ thiết lập các giải pháp sao lưu tự động đối với
dữ liệu trên máy chủ cơ sở dữ liệu và máy chủ ứng dụng và xây dựng các kịch bản
có sẵn để khôi phục lại toàn bộ máy chủ hoặc các tập tin, thư mục khi xảy ra sự
cố.
3. Cơ quan, đơn vị vận hành, các tổ chức cung cấp dịch
vụ phải xây dựng nhật ký về quá trình sao lưu dữ liệu, thay đổi cấu trúc CSDL
(cơ sở dữ liệu): Nội dung thay đổi, lý do thay đổi, thời gian, vị trí thay đổi;
phân quyền đối với các thao tác thay đổi cấu trúc CSDL (tạo CSDL, tạo bảng,
thay đổi cấu trúc bảng); việc thay đổi, hủy chữ ký số tuân thủ các quy định
pháp luật về chữ ký số.
4. Các tên miền (bao gồm cả tên miền
xxx.bacgiang.gov.vn) khi không còn sử dụng, các cơ quan, đơn vị có văn bản gửi
đến Sở Thông tin và Truyền thông và Trung Tâm Internet Việt Nam (VNNIC) để đề
nghị hủy tên miền; các hệ thống thông tin không sử dụng, chủ quản hệ thống
thông tin thực hiện việc thu hồi máy chủ, thu hồi ứng dụng và thực hiện việc
lưu trữ dữ liệu ra thiết bị lưu trữ ngoài và yêu cầu cơ quan, đơn vị cung cấp dịch
vụ lưu ký xóa hoàn toàn dữ liệu trên các máy chủ.
5. Khi thực hiện chia sẻ tài nguyên trên máy chủ hoặc
máy trạm, cơ quan, đơn vị vận hành phải sử dụng mật khẩu để bảo vệ thông tin, dữ
liệu; không thực hiện chia sẻ toàn bộ ổ cứng; theo dõi, giám sát để kết thúc
chia sẻ tài nguyên ngay khi hoàn thành.
6. Cơ quan, đơn vị quản lý máy chủ, máy trạm và thiết
bị lưu trữ khi mang đi bảo hành, bảo dưỡng, sửa chữa bên ngoài cơ quan, đơn vị
phải tháo rời bộ phận lưu trữ khỏi thiết bị và để lại cơ quan, đơn vị hoặc xóa
dữ liệu lưu trữ trên thiết bị. Khi thanh lý thiết bị phải xóa dữ liệu lưu trữ bằng
phần mềm hoặc thiết bị hủy dữ liệu chuyên dụng.
7. Thông tin, dữ liệu thuộc phạm vi bí mật Nhà nước
phải được quản lý theo quy định hiện hành về bảo vệ bí mật Nhà nước.
Điều 7. Bảo đảm an toàn thiết bị
và người dùng đầu cuối
1. Trên máy tính cá nhân phải thiết lập chế độ tự động
cập nhật bản và hệ điều hành trên máy tính, phải thiết lập mật khẩu truy nhập
chế độ tự động bảo vệ màn hình sau 10 phút không sử dụng; sử dụng những trình duyệt
an toàn, đáng tin cậy, cài đặt phần mềm phòng chống mã độc; thiết lập chế độ tự
động cập nhật phần mềm phòng chống mã độc, chế độ tự động rà quét mã độc khi
sao chép, mở các tập tin, chế độ rà quét máy tính định kỳ hằng tuần.
2. Khuyến khích các cơ quan, đơn vị đầu tư, mua sắm
thiết bị công nghệ thông tin sản xuất trong nước. Nếu mua sắm thiết bị công nghệ
thông tin nhập khẩu thuộc danh mục sản phẩm, hàng hóa có khả năng gây mất an
toàn thuộc trách nhiệm quản lý của Bộ Thông tin và Truyền thông quy định tại
Thông tư số 04/2018/TT-BTTTT ngày 8 tháng 5 năm 2018 của Bộ Thông tin và Truyền
thông thì phải có Giấy phép nhập khẩu sản phẩm an toàn thông tin mạng và Đăng
ký kiểm tra Nhà nước về chất lượng hàng hóa nhập khẩu.
Điều 8. Quản lý thiết kế, xây dựng
hệ thống thông tin
1. Bảo đảm an toàn thông tin là yêu cầu bắt buộc,
phải được thực hiện thường xuyên, liên tục trong suốt quá trình thiết kế, xây dựng,
vận hành, nâng cấp, hủy bỏ hệ thống thông tin.
2. Khi thiết kế xây dựng, nâng cấp, mở rộng hệ thống
thông tin, chủ quản hệ thống thông tin phải xây dựng phương án bảo đảm an toàn
thông tin trong hồ sơ thiết kế và gửi đơn vị chuyên trách về an toàn thông tin
của chủ quản hệ thống thông tin thẩm định trước khi trình cấp có thẩm quyền phê
duyệt dự án.
3. Đánh giá, phân loại cấp độ an toàn thông tin của
hệ thống thông tin
a) Chủ quản hệ thống thông tin có trách nhiệm tổ chức
đánh giá, phân loại cấp độ an toàn thông tin của hệ thống thông tin theo quy định
tại Nghị định số 85/2016/NĐ-CP ngày 01 tháng 7 năm 2016 của Chính phủ về bảo đảm
an toàn hệ thống theo cấp độ (gọi tắt là Nghị định số 85/2016/NĐ-CP) để áp dụng
phương án bảo đảm an toàn thông tin phù hợp;
b) Hồ sơ đề xuất cấp độ lập theo hướng dẫn tại Điều
15 Nghị định số 85/2016/NĐ-CP , gửi đơn vị chuyên trách về an toàn thông tin của
chủ quản hệ thống thông tin thẩm định, trình cấp có thẩm quyền phê duyệt;
c) Đối với hệ thống thông tin được xây dựng mới hoặc
nâng cấp, mở rộng, việc thẩm định phương án bảo đảm an toàn thông tin và hồ sơ
đề xuất cấp độ an toàn thông tin thực hiện đồng thời với thẩm định dự án ứng dụng
công nghệ thông tin.
4. Trước khi đưa vào vận hành, khai thác hệ thống
thông tin, chủ quản hệ thống thông tin phối hợp với tổ chức chuyên môn có đủ
năng lực (đơn vị sự nghiệp nhà nước có chức năng, nhiệm vụ phù hợp hoặc tổ chức
chuyên môn được cơ quan, đơn vị có thẩm quyền cấp phép theo Nghị định số
108/2016/NĐ- CP ngày 01 tháng 7 năm 2016 của Chính phủ quy định chi tiết điều
kiện kinh doanh sản phẩm, dịch vụ an toàn thông tin mạng - gọi tắt là Nghị định
số 108/2016/NĐ-CP) thực hiện đánh giá, kiểm định an toàn thông tin. Trên cơ sở
đề xuất của đơn vị kiểm định, chủ quản hệ thống thông tin có trách nhiệm tổ chức
triển khai hiệu chỉnh thiết kế, mã nguồn để hạn chế, phòng ngừa rủi ro, nguy
cơ xảy ra mất an toàn thông tin.
Điều 9. Quản lý thuê dịch vụ
công nghệ thông tin
1. Khi ký kết hợp đồng thuê dịch vụ công nghệ
thông tin, cơ quan, đơn vị sử dụng dịch vụ phải xác định rõ phạm vi, trách nhiệm,
quyền hạn và nghĩa vụ của các bên về bảo đảm an toàn thông tin. Trong hợp đồng
phải bao gồm các điều khoản về việc xử lý vi phạm quy định bảo đảm an toàn
thông tin và trách nhiệm bồi thường thiệt hại do hành vi vi phạm của bên cung
cấp dịch vụ gây ra.
2. Trách nhiệm của cơ quan, đơn vị trong quá trình
sử dụng dịch vụ công nghệ thông tin
a) Quản lý thông tin, dữ liệu phát sinh từ dịch vụ
đó, không để bên cung cấp dịch vụ truy nhập, sử dụng thông tin, dữ liệu thuộc
phạm vi Nhà nước quản lý;
b) Yêu cầu bên cung cấp dịch vụ phải bảo mật thông
tin, dữ liệu, mã nguồn, tài liệu thiết kế; triển khai các biện pháp bảo đảm an
toàn thông tin theo quy định tại Quy chế này, Luật An toàn thông tin mạng và
các quy định khác có liên quan;
c) Giám sát chặt chẽ và giới hạn quyền truy cập của
bên cung cấp dịch vụ khi cho phép truy cập vào hệ thống thông tin của cơ quan,
đơn vị.
3. Trách nhiệm của cơ quan, đơn vị khi phát hiện
bên cung cấp dịch vụ có dấu hiệu vi phạm quy định bảo đảm an toàn thông tin
a) Tạm dừng hoặc đình chỉ hoạt động của bên cung cấp
dịch vụ tùy theo mức độ vi phạm;
b) Thông báo chính thức các hành vi vi phạm của bên
cung cấp dịch vụ;
c) Thu hồi ngay lập tức quyền truy cập hệ thống
thông tin đã cấp cho bên cung cấp dịch vụ;
d) Kiểm tra, xác định, lập báo cáo mức độ vi phạm
và thiệt hại xảy ra; thông báo cho bên cung cấp dịch vụ và tiến hành các thủ tục
xử lý vi phạm và bồi thường thiệt hại.
4. Trách nhiệm của cơ quan, đơn vị khi kết thúc sử
dụng dịch vụ
a) Thu hồi quyền truy cập hệ thống thông tin và
các tài sản khác liên quan đã cấp cho bên cung cấp dịch vụ; thay đổi các khóa,
mật khẩu truy cập hệ thống thông tin;
b) Yêu cầu bên cung cấp dịch vụ chuyển giao đầy đủ
các thông tin, dữ liệu, mã nguồn, tài liệu thiết kế và các công cụ cần thiết để
bảo đảm cơ quan, đơn vị vẫn có thể khai thác sử dụng dịch vụ được liên tục kể cả
trong trường hợp thay đổi bên cung cấp dịch vụ.
Điều 10. Giám sát an toàn hệ
thống thông tin
1. Các hệ thống thông tin dùng chung của tỉnh Bắc
Giang được cài đặt tại Trung tâm tích hợp dữ liệu tỉnh là đối tượng bắt buộc
giám sát an toàn thông tin.
2. Đối với các hệ thống thông tin, phần mềm, ứng dụng,
cơ sở dữ liệu được lưu ký tại Trung tâm tích hợp dữ liệu tỉnh/hệ thống máy chủ
riêng của cơ quan, đơn vị hoặc lưu ký tại doanh nghiệp ngoài, chủ quản hệ thống
thông tin có trách nhiệm tự thực hiện hoặc yêu cầu doanh nghiệp cung cấp dịch vụ
lưu ký bảo đảm các yêu cầu giám sát an toàn hệ thống thông tin tại Thông tư số
31/2017/TT- BTTTT ngày 15 tháng 11 năm 2017 của Bộ trưởng Bộ Thông tin và Truyền
thông quy định hoạt động giám sát an toàn hệ thống thông tin.
3. Sở Thông tin và Truyền thông có trách nhiệm tổ
chức giám sát an toàn thông tin đối với các hệ thống thông tin lưu ký tại Trung
tâm tích hợp dữ liệu tỉnh.
4. Cơ quan, đơn vị vận hành thường xuyên giám sát
hiệu năng hệ thống và thực hiện các biện pháp bảo trì cần thiết để bảo đảm khả
năng xử lý và tính sẵn sàng của hệ thống thông tin.
Điều 11. Ứng cứu xử lý sự cố
an toàn thông tin
1. Nguyên tắc ứng cứu xử lý sự cố
a) Chủ động, kịp thời, nhanh chóng, chính xác,
đồng bộ và hiệu quả;
b) Phối hợp chặt chẽ, tuân thủ quy định của pháp luật
về điều phối ứng cứu sự cố an toàn thông tin;
c) Ứng cứu xử lý sự cố trước hết phải được thực hiện,
xử lý bằng lực lượng tại chỗ và trách nhiệm chính của chủ quản hệ thống thông tin;
d) Việc xử lý sự cố an toàn thông tin phải bảo đảm
quyền và lợi ích hợp pháp của cơ quan, đơn vị; cá nhân, bảo mật thông tin cá
nhân, thông tin riêng của cơ quan, đơn vị khi tham gia các hoạt động ứng cứu xử
lý sự cố.
2. Phân loại sự cố an toàn thông tin
a) Sự cố do bị tấn công mạng: Tấn công từ chối dịch
vụ; tấn công giả mạo; tấn công sử dụng mã độc; tấn công truy cập trái phép, chiếm
quyền điều khiển; tấn công thay đổi giao diện; tấn công mã hóa phần mềm, dữ liệu,
thiết bị; tấn công phá hoại thông tin, dữ liệu, phần mềm; tấn công nghe trộm,
gián điệp, lấy cắp thông tin, dữ liệu;
b) Sự cố do lỗi của hệ thống, thiết bị, phần mềm, hạ
tầng kỹ thuật;
c) Sự cố do lỗi của công chức, viên chức quản trị,
vận hành hệ thống;
d) Sự cố do các thảm họa tự nhiên.
3. Phân loại mức độ nghiêm trọng sự cố
a) Thấp: Sự cố gây ảnh hưởng cá nhân và không làm
gián đoạn hay đình trệ hoạt động chính của cơ quan, đơn vị;
b) Trung bình: Sự cố ảnh hưởng đến một nhóm người
dùng nhưng không gây gián đoạn hay đình trệ hoạt động chính của cơ quan, đơn vị;
c) Cao: Sự cố tác động đến khả năng vận hành của hệ
thống thông tin, ảnh hưởng đến dữ liệu, thiết bị, gây ảnh hưởng đến hoạt động
chung của cơ quan, đơn vị và hoạt động cung cấp dịch vụ công cho người dân,
doanh nghiệp;
d) Nghiêm trọng: sự cố gây gián đoạn hoặc đình trệ
hệ thống trong một khoảng thời gian ngắn, ảnh hưởng nghiêm trọng đến dữ liệu,
thiết bị của hệ thống, gây thiệt hại nghiêm trọng cho cơ quan, đơn vị và người
dân, doanh nghiệp;
đ) Đặc biệt nghiêm trọng: Sự cố làm tê liệt toàn bộ
hoạt động của hệ thống, gây thiệt hại đặc biệt nghiêm trọng cho cơ quan, đơn vị
và người dân, doanh nghiệp, đe dọa trật tự an toàn xã hội.
4. Quy trình phối hợp ứng cứu xử lý sự cố
a) Bước 1: Nếu hệ thống có nguy cơ mất an toàn
thông tin mạng thuộc thẩm quyền cơ quan, đơn vị trực tiếp quản lý thì thực hiện
tiếp Bước 2. Nếu hệ thống có nguy cơ mất an toàn thông tin mạng thuộc Trung tâm
Công nghệ thông tin và Truyền thông trực thuộc Sở Thông tin và Truyền thông quản
lý (các hệ thống được triển khai tập trung tại Trung tâm tích hợp Dữ liệu tỉnh)
thì thực hiện tiếp Bước 3;
b) Bước 2: Tiến hành xử lý sự cố theo quy chế nội bộ
của cơ quan, đơn vị. Nếu sự cố được khắc phục thì lập biên bản ghi nhận và kết
thúc quy trình phối hợp xử lý sự cố. Khi sự cố vượt quá khả năng xử lý của cơ
quan, đơn vị, lập biên bản ghi nhận và thực hiện tiếp Bước 3;
c) Bước 3: Báo sự cố đến Sở Thông tin và Truyền
thông theo mẫu số 03 của Thông tư số
20/2017/TT-BTTTT và thực hiện tiếp Bước 4;
d) Bước 4: Phối hợp với Trung tâm Công nghệ thông
tin và Truyền thông trực thuộc Sở Thông tin và Truyền thông và các cơ quan, đơn
vị, tổ chức có liên quan để tiến hành khắc phục sự cố và thực hiện tiếp Bước 5;
đ) Bước 5: Lập biên bản ghi nhận và kết thúc quy
trình phối hợp xử lý sự cố theo mẫu số 04
của Thông tư số 20/2017/TT-BTTTT , lãnh đạo cơ quan, đơn vị phải chỉ đạo kịp thời
để khắc phục và hạn chế thiệt hại, báo cáo bằng văn bản cho cơ quan cấp trên trực
tiếp quản lý và Sở Thông tin và Truyền thông.
3. Trường hợp có sự cố nghiêm trọng ở mức độ cao,
khẩn cấp hoặc vượt quá khả năng khắc phục của cơ quan, đơn vị; Lãnh đạo cơ
quan, đơn vị phải báo cáo ngay cho cơ quan cấp trên quản lý trực tiếp và Sở
Thông tin và Truyền thông để được hướng dẫn, hỗ trợ.
Chương III
TỔ CHỨC THỰC HIỆN
Điều 12. Sở Thông tin và Truyền
thông
1. Tham mưu giúp Ủy ban nhân dân tỉnh về công tác bảo
đảm an toàn thông tin trên địa bàn tỉnh và chịu trách nhiệm trước Ủy ban nhân
dân tỉnh trong việc bảo đảm an toàn thông tin cho Trung tâm tích hợp dữ liệu của
tỉnh và các hệ thống thông tin của tỉnh.
2. Thực hiện thủ tục xác định cấp độ an toàn thông
tin và bảo đảm an toàn cho các hệ thống thông tin theo quy định của Luật An
toàn thông tin mạng, Nghị định số 85/2016/NĐ-CP và hướng dẫn tại Thông tư số
03/2017/TT-BTTTT ngày 24 tháng 4 năm 2017 của Bộ trưởng Bộ Thông tin và Truyền
thông quy định chi tiết và hướng dẫn một số điều của Nghị định số
85/2016/NĐ-CP .
3. Khi xây dựng Kế hoạch ứng dụng công nghệ thông
tin của các cơ quan nhà nước trên địa bàn tỉnh trình Ủy ban nhân dân tỉnh trong
tháng 9 hằng năm phải tổng hợp nhu cầu bảo đảm an toàn thông tin của các cơ
quan, đơn vị để triển khai công tác an toàn thông tin trong hoạt động ứng dụng
công nghệ thông tin của cơ quan nhà nước trên địa bàn tỉnh theo quy định.
4. Chủ trì, phối hợp với các cơ quan, đơn vị liên
quan thanh tra, kiểm tra định kỳ hoặc đột xuất; kịp thời phát hiện và xử lý
theo thẩm quyền đối với các hành vi vi phạm an toàn thông tin trên địa bàn tỉnh.
5. Xây dựng và triển khai các chương trình đào tạo,
hội nghị tuyên truyền về an toàn thông tin trong hoạt động ứng dụng công nghệ
thông tin của các cơ quan nhà nước trên địa bàn tỉnh.
6. Chỉ đạo, hướng dẫn về nghiệp vụ quản lý vận
hành, kỹ thuật bảo đảm an toàn thông tin; hỗ trợ giải quyết sự cố khi có yêu cầu.
7. Hướng dẫn, giám sát các cơ quan, đơn vị trên địa
bàn tỉnh xây dựng quy định nội bộ và thực hiện việc bảo đảm an toàn thông tin
cho hệ thống thông tin theo quy định của Nhà nước.
8. Tham gia mạng lưới ứng cứu sự cố an toàn thông
tin mạng quốc gia và thực hiện trách nhiệm, quyền hạn của thành viên mạng lưới ứng
cứu an toàn thông tin mạng quốc gia theo quy định tại Quyết định số
05/2017/QĐ-TTg ngày 16 tháng 3 năm 2017 của Thủ tướng Chính phủ ban hành quy định
về hệ thống phương án ứng cứu khẩn cấp bảo đảm an toàn thông tin mạng quốc gia.
Điều 13. Công an tỉnh
1. Chủ trì, phối hợp với Sở Thông tin và Truyền
thông và các cơ quan, đơn vị có liên quan xây dựng kế hoạch, kiểm soát, phòng
ngừa, đấu tranh, ngăn chặn các loại tội phạm lợi dụng hệ thống thông tin gây phương
hại đến an ninh quốc gia, gây mất an ninh trật tự và an toàn xã hội trên địa
bàn tỉnh.
2. Phối hợp với Sở Thông tin và Truyền thông trong
công tác thanh tra, kiểm tra về an toàn thông tin.
3. Điều tra và xử lý các tổ chức, cá nhân vi phạm
pháp luật về an toàn thông tin theo thẩm quyền.
Điều 14. Các cơ quan, đơn vị
1. Thủ trưởng cơ quan, đơn vị có trách nhiệm tổ chức
thực hiện các quy định tại Quy chế này và chịu trách nhiệm trước Ủy ban nhân
dân tỉnh trong công tác bảo đảm an toàn thông tin của cơ quan, đơn vị mình.
2. Phân công bộ phận hoặc công chức, viên chức
chuyên trách bảo đảm an toàn thông tin của cơ quan, đơn vị; chỉ đạo công chức,
viên chức và người lao động nghiêm túc chấp hành các quy định về bảo đảm an
toàn thông tin; tạo điều kiện để các công chức, viên chức phụ trách an toàn
thông tin được học tập, nâng cao trình độ về an toàn thông tin; thường xuyên tổ
chức quán triệt các quy định về an toàn thông tin trong cơ quan, đơn vị; xác định
các yêu cầu, trách nhiệm bảo đảm an toàn thông tin đối với các vị trí cần tuyển
dụng hoặc phân công.
3. Ban hành quy định, quy trình nội bộ về bảo đảm
an toàn thông tin gồm các nội dung cơ bản như quy định về quản lý hạ tầng mạng,
bảo đảm an toàn dữ liệu, bảo đảm an toàn thiết bị và người dùng đầu cuối phù hợp
với Quy chế này và các quy định của pháp luật.
4. Các cơ quan, đơn vị có trách nhiệm thực hiện xác
định cấp độ an toàn thông tin và bảo đảm an toàn cho hệ thống thông tin của đơn
vị quản lý theo quy định tại Luật An toàn thông tin mạng, Nghị định số 85/2016/NĐ-CP
và hướng dẫn tại Thông tư số 03/2017/TT-BTTTT ngày 24 tháng 4 năm 2017 của Bộ
trưởng Bộ Thông tin và Truyền thông quy định chi tiết và hướng dẫn một số điều
của Nghị định số 85/2016/NĐ-CP .
5. Phối hợp, cung cấp thông tin và tạo điều kiện
cho các cơ quan, đơn vị có thẩm quyền triển khai công tác kiểm tra khắc phục sự
cố an toàn thông tin kịp thời, nhanh chóng và đạt hiệu quả.
6. Phối hợp chặt chẽ với Công an tỉnh, Sở Thông tin
và Truyền thông và các cơ quan, đơn vị liên quan trong công tác phòng ngừa, đấu
tranh, ngăn chặn các hoạt động xâm phạm an toàn thông tin.
Điều 15. Công chức, viên chức
và người lao động trong các cơ quan, đơn vị
1. Trách nhiệm của công chức, viên chức phụ trách
an toàn thông tin
a) Chịu trách nhiệm bảo đảm an toàn thông tin của
cơ quan, đơn vị;
b) Tham mưu lãnh đạo cơ quan, đơn vị ban hành các
quy định, quy trình nội bộ, triển khai các giải pháp kỹ thuật bảo đảm an toàn
thông tin;
c) Thực hiện việc giám sát, đánh giá, báo cáo thủ
trưởng cơ quan, đơn vị các rủi ro mất an toàn thông tin và mức độ nghiêm trọng
của các rủi ro đó;
d) Phối hợp với các tổ chức, cá nhân có liên quan
trong việc kiểm soát, phát hiện và khắc phục các sự cố an toàn, an ninh thông
tin.
2. Trách nhiệm của công chức, viên chức và người
lao động trong các cơ quan, đơn vị
a) Nghiêm túc chấp hành các quy định, quy trình nội
bộ về an toàn thông tin. Chịu trách nhiệm bảo đảm an toàn thông tin trong phạm
vi trách nhiệm và quyền hạn được giao;
b) Khi phát hiện nguy cơ hoặc sự cố mất an toàn
thông tin phải báo cáo ngay với cấp trên và bộ phận chuyên trách công nghệ
thông tin của cơ quan, đơn vị để kịp thời ngăn chặn và xử lý;
c) Tham gia các chương trình đào tạo, hội nghị về
an toàn thông tin do các cơ quan, đơn vị chuyên trách an toàn thông tin hoặc Sở
Thông tin và Truyền thông tổ chức.
Điều 16. Trách nhiệm của các
tổ chức, cá nhân khác
Các tổ chức, cá nhân khác có sử dụng các hệ thống
thông tin do Ủy ban nhân dân tỉnh triển khai hoặc liên quan đến hoạt động ứng dụng
công nghệ thông tin của các cơ quan nhà nước tỉnh Bắc Giang phải tuân thủ Quy
chế này và các quy định hiện hành của pháp luật có liên quan.
Điều 17. Điều khoản thi hành
Trong quá trình thực hiện nếu có vấn đề khó khăn,
vướng mắc phát sinh đề nghị cơ quan, đơn vị gửi ý kiến về Ủy ban nhân dân tỉnh
(qua Sở Thông tin và Truyền thông) để xem xét sửa đổi, bổ sung cho phù hợp./.