|
THÀNH
PHỐ HỒ CHÍ MINH
UBND QUẬN PHÚ NHUẬN
-------
|
CỘNG
HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM
Độc lập - Tự do - Hạnh phúc
---------------
|
|
Số: 340/2008/QĐ-UBND
|
Phú Nhuận, ngày 25 tháng 4 năm 2008
|
QUYẾT ĐỊNH
BAN HÀNH QUY CHẾ VÀ CHÍNH SÁCH AN TOÀN, BẢO MẬT HỆ THỐNG CÔNG NGHỆ
THÔNG TIN PHÚ NHUẬN
ỦY BAN NHÂN DÂN QUẬN PHÚ NHUẬN
Căn cứ Luật tổ chức Hội đồng nhân dân và Ủy ban nhân dân ngày 26/11/2003;
Căn cứ quyết định số 60/2006/QĐ-UBND ngày 14 tháng 4 năm 2006 của UBND Thành phố về giao chỉ tiêu kế hoạch kinh phí các dự án
công nghệ thông tin sử dụng nguồn ngân sách tập trung năm 2006 cho Sở Bưu
chính, Viễn thông;
Căn cứ Quyết định số 177/QĐ-SBCVT
ngày 22/12/2006 và 135/QĐ-SBCVT ngày 26/10/2007 của Sở Bưu chính, Viễn thông
Thành phố V/v phê duyệt dự án đầu tư “Hệ thống bảo vệ an toàn thông tin tại quận Phú Nhuận” của Văn phòng HĐND-UBND Q.Phú Nhuận;
Căn cứ nhu cầu thực tiễn tại quận Phú Nhuận,
QUYẾT ĐỊNH:
Điều 1. Ban hành kèm theo Quyết định này Quy chế và
chính sách an toàn bảo mật hệ thống công nghệ thông tin tại quận Phú Nhuận.
Điều 2. Quyết định này có hiệu lực kể từ ngày ký.
Điều 3. Chánh Văn phòng HĐND và UBND quận, Thủ trưởng
các phòng, ban chuyên môn trực thuộc và Chủ tịch Ủy ban nhân dân 15 phường chịu
trách nhiệm thi hành Quyết định này./.
|
Nơi nhận:
- TT/UBND quận;
VP/HĐND-UBND quận (các PVP);
- Như điều 3;
- VT, Tổ CNTT.
|
TM.
ỦY BAN NHÂN DÂN QUẬN PHÚ NHUẬN
CHỦ TỊCH
Phạm Công Nghĩa
|
QUY CHẾ VÀ CHÍNH SÁCH AN TOÀN, BẢO MẬT
HỆ THỐNG CÔNG NGHỆ THÔNG TIN PHÚ NHUẬN
(Ban hành kèm theo Quyết định số 340/2008/QĐ-UBND ngày 25/4/2008 của Chủ Tịch UBND quận Phú Nhuận)
Chương I
QUY ĐỊNH CHUNG
Điều 1. Phạm vi
điều chỉnh
Quy chế này quy định các yêu cầu đối với người sử dụng và các tiêu thức kỹ thuật an toàn cơ
bản của hệ thống công nghệ thông tin tại Quận Phú Nhuận, nhằm thống
nhất quản lý hệ thống công nghệ thông tin và các ứng dụng công nghệ thông
tin vào các hoạt động của Quận một cách an
toàn và hiệu quả.
Điều 2. Giải
thích từ ngữ
2.1. Hệ
thống công nghệ thông tin (CNTT): là một tập hợp có cấu
trúc các trang thiết bị phần cứng, phần mềm, cơ sở dữ liệu và hệ thống mạng phục vụ cho một hoặc nhiều hoạt động kỹ thuật,
nghiệp vụ.
2.2. Bức
tường lửa (Firewall): là tập hợp các thành phần hoặc một hệ
thống các trang thiết bị, phần mềm được đặt giữa hai mạng,
nhằm kiểm soát tất cả các kết nối từ bên trong ra bên ngoài mạng hoặc
ngược lại.
2.3. Tính
toàn vẹn dữ liệu: là trạng thái tồn lại của dữ liệu giống như khi ở trong các tài liệu ban đầu và không bị
thay đổi về dữ liệu, cấu trúc hay mất mát dữ liệu.
2.4. Quản
lý cấu hình: là quản lý các thay đổi về phần cứng, phần mềm, tài liệu kỹ thuật, phương tiện kiểm tra, giao diện
kết nối, quy trình kỹ thuật hoạt động,
cấu hình cài đặt và tất cả các thay đổi khác của hệ thống
CNTT xuyên suốt quá trình từ khi cài đặt đến vận hành.
2.5. Lưu
trữ: là tạo bản sao của một phần mềm
hoặc dữ liệu nhằm mục đích bảo vệ và phục hồi phần mềm, dữ
liệu nguyên bản thành công khi có sự cố xảy ra.
2.6.
Virus: là chương trình máy tính có thể
tự nhân bản, lan
truyền trên mạng máy tính hoặc qua các thiết bị lưu trữ dữ liệu, có khả năng
phá hủy dữ liệu hoặc thực hiện các chức năng không mong muốn đối với hệ thống CNTT.
2.7. Cấp quyền: là sự cấp phép được
gắn cho một cá nhân hoặc nhóm người sử dụng tuân theo quy cách tổ chức đã được hình thành
trước để truy nhập, sử dụng một
chương trình, dữ liệu hoặc một tiến trình của hệ thống CNTT.
2.8. Mật
khẩu (Password): Là một chuỗi ký tự hoặc một cách thức xác nhận định danh bảo mật được sử dụng để
chứng thực quyền của người sử dụng.
2.9. Hệ
thống an ninh mạng: là tập hợp các thiết bị lường lửa; thiết bị
kiểm soát, phát hiện truy cập bất hợp pháp; phần mềm quản trị theo dõi, ghi nhật
ký trạng thái an ninh mạng và các trang thiết bị khác có
chức năng đảm bảo an toàn hoạt động của mạng, tất cả cùng
hoạt động đồng bộ theo một chính sách an ninh mạng nhất quán nhằm kiểm soát chặt chẽ tất cả các hoạt động
trên mạng.
2.10. Kịch
bản: là một tập hợp những yêu cầu, thủ tục, tình huống, dữ
liệu và kết quả thực hiện được xác định trước, sử dụng cho quá trình kiểm tra,
cài đặt, bảo hành, bảo trì các trang
thiết bị, phần mềm, cơ sở dữ liệu CNTT.
2.11. Mạng
máy tính: bao gồm mạng máy tính cục bộ và mạng máy tính diện rộng.
2.11.1. Mạng máy tính cục bộ: là mạng
máy tính sử dụng công nghệ kết nối mạng cục bộ để kết nối
các máy tính trong phạm vi cho phép của công nghệ mạng cục bộ
2.11.2. Mạng máy tính diện rộng: là mạng
máy tính sử dụng công nghệ kết nối mạng diện rộng để kết nối các máy tính, hệ
thống máy tính trong phạm vi cho phép của công nghệ mạng diện rộng
2.12. Mạng
cục bộ riêng ảo: là mạng máy tính cục bộ được thiết kế riêng biệt ca về mặt vật
lý và logic.
2.13.
Vùng phi quân sự (DMZ): là vùng mạng máy tính được
thiết kế riêng cả về mặt vật lý và logic. Vùng
này dùng để đặt các máy chủ, tài nguyên dùng chung của toàn đơn vị. Tất cả các luồng thông tin truy cập vào hoặc ra vùng phi quân sự đều phải
được kiểm soát bởi hệ thống lường lửa.
2.14.
Vùng an toàn: là vùng mạng máy tính được thiết kế riêng biệt cả về mặt vật lý và logic. Vùng này
dùng để đặt các máy chủ, tài nguyên mạng
dùng riêng lại Văn phòng HĐND và UBND Quận.
Điều 3. Trách
nhiệm của Văn phòng HĐND và UBND Quận
3.1. Triển
khai chính sách, quy trình về an toàn, bảo mật hệ thống CNTT (gọi chung là chính
sách an ninh CNTT), tổ chức thực hiện và kiểm tra việc thực
hiện những chính sách đó. Thường
xuyên cập nhật chính sách an ninh CNTT phù hợp với những
thay đổi hệ thống CNTT của đơn vị, môi trường vận hành và những tiến bộ khoa học kỹ thuật về lĩnh vực an ninh CNTT.
3.2. Bố
trí các nguồn lực cần thiết để thực hiện việc trang bị, triển khai, vận hành, quản lý, giám sát và xử lý các sự
cố trong hoạt động ứng dụng CNTT, đảm bảo các hệ thống
CNTT hoạt động an toàn, bảo mật phù hợp với yêu cầu hoạt động nghiệp vụ và chiến
lược an ninh CNTT của đơn vị. Tiến hành
các biện pháp phòng ngừa, phát hiện và xử lý kịp thời các
gian lận, lỗi, mất ổn định và những yếu tố bất thường, mất
an toàn khác.
3.3. Tổ
chức bộ phận quản lý an ninh CNTT thích hợp nhằm thống nhất
quản lý, triển khai các hoạt động về an ninh CNTT từ khâu
lập kế hoạch, thiết kế, triển khai cài đặt đến vận hành hệ thống CNTT, phù hợp với
các quy định tại văn bản này. Tuyển chọn, đào tạo người quản trị
hệ thống CNTT đảm bảo các tiêu chuẩn: có đạo đức nghề nghiệp, có kiến thức về an
ninh CNTT, và được trang bị các kiến thức liên quan tới hoạt động nghiệp vụ và
hệ thống CNTT của đơn vị. Quyết định phân công nhiệm vụ quản trị hệ thống CNTT
phải được thể hiện bằng văn bản.
3.4. Đảm
bảo hệ thống CNTT sẵn sàng ở mức độ cao; xây dựng, thử nghiệm các
kế hoạch dự phòng và khôi phục hệ thống khi có sự cố
hoặc thảm họa.
3.5. Đánh
giá về năng lực, tính khả thi, rủi ro
liên quan đến các hoạt động CNTT do các đối tác bên ngoài cung cấp; xây dựng các thoả thuận để xác định rõ mối quan hệ, nghĩa vụ và trách nhiệm của các bên tham gia cung cấp dịch vụ
CNTT như: mức độ cung cấp dịch vụ, dự kiến kết quả vận hành, khả năng thực thi, khả năng mở rộng,
mức độ tuân thủ, kế hoạch dự phòng, mức độ dự phòng, an
toàn bảo mật, đình chỉ dịch vụ, kiểm soát các nghĩa vụ thực hiện hợp đồng và mối quan hệ với các hệ thống CNTT liên quan.
3.6. Thường
xuyên phối hợp với các đơn vị chuyên môn về an ninh CNTT tổ
chức các khoá đào tạo cập nhật kiến thức về an
ninh CNTT cho người sử dụng phù hợp với nhiệm vụ mà người đó đảm nhiệm.
3.7. Các
trang thiết bị, phần mềm, cơ sở dữ liệu sử dụng trong hoạt
động nghiệp vụ nên có bản quyền sử dụng
theo quy định của pháp luật.
Điều 4. Các yêu cầu
an ninh thông tin
4.1. Tính
bí mật: người sử dụng chỉ có quyền truy cập, và thao tác với những thông tin, dữ
liệu tương ứng mà mình được phép truy cập.
4.2. Tính
nguyên vẹn: người sử dụng không thể truy cập, sửa đổi và
xoá những thông tin, dữ liệu mà minh không có quyền trên
đó.
4.3. Tính sẵn sàng: thông tin luôn sẵn sàng đáp ứng nhu cầu sử dụng
của người có thẩm quyền.
4.4. Tính
không thể phủ nhận: người khởi tạo
thông tin không thể phủ nhận trách
nhiệm đối với thông tin do mình tạo ra.
4.5. Tính
xác thực: xác định được nguồn gốc của thông tin.
Điều 5. Xác định
yêu cầu an ninh của hệ thống CNTT
Việc xếp loại
yêu cầu, mức độ đầu tư cho an ninh hệ thống CNTT của Quận phải được xác định rõ
dựa trên các yếu tố sau:
5.1. Vai
trò của hệ thống CNTT trong việc thực hiện các mục tiêu của
đơn vị.
5.2. Nguồn
gốc, nguy cơ xảy ra các rủi ro đối với hệ thống CNTT.
5.3. Khả
năng khắc phục khi có rủi ro.
5.4. Mức
độ rủi ro có thể chấp nhận được.
5.5. Ảnh hưởng của rủi ro nếu xảy ra đối với hoạt động của đơn vị
Điều 6. Các hành
vi bị nghiêm cấm
6.1. Không tuân thủ các quy định về
an ninh hệ thống CNTT của Nhà nước và của
đơn vị.
6.2. Truy cập, cung cấp, phát tán thông tin bất hợp pháp.
6.3. Tiết lộ kiến trúc hệ thống, thuật toán của hệ thống an ninh CNTT.
6.4. Sửa đổi trái phép kiến trúc, cơ chế hoạt động của hệ
thống CNTT.
6.5. Sử dụng các trang thiết bị CNTT
của đơn vị phục vụ cho mục đích cá nhân
6.6. Các hành vi khác làm cản trở,
phá hoại hoạt động của hệ thống CNTT.
Chương II
CHÍNH SÁCH, THỦ
TỤC, QUY ĐỊNH CỤ THỂ
Điều 7. Quản lý,
xác thực người sử dụng trên hệ thống CNTT
7.1. Mọi
hệ thống, ứng dụng CNTT trong quận phải quản lý, xác thực
được người sử dụng truy nhập trên hệ thống đó.
7.2. Các ứng dụng CNTT đang vận hành trên hệ thống mạng máy
tính nên tổ chức dựa trên hệ thống quản lý, xác thực người sử dụng tập trung I.DAP nhằm
làm tăng mức độ quản lý tập trung và dễ vận hành cho người sử dụng.
7.3. Các
quy trình, chương trình, công cụ, thuật toán dùng cho thiết
lập mật khẩu, thiết bị định danh và cơ sở dữ liệu khóa dùng để kiểm tra truy nhập phải được quản lý, sử dụng theo chế độ “Mật”.
7.4. Yêu cầu tổ chức hệ thống xác thực:
7.4.1. Có quy trình quản lý và xác thực người sử dụng cho từng hệ thống CNTT,
ứng dụng CNTT phù hợp với yêu cầu an toàn, bảo mật của nghiệp vụ
xử lý trên đó;
7.4.2. Xác thực quyền truy nhập của người sử dụng bằng tài khoản, bằng phương tiện định danh hoặc kết hợp của cả hai và chỉ cấp cho người
sử dụng đủ quyền hạn để thực thi nhiệm vụ mà người đó được phân công;
7.4.3. Mật khẩu,
dữ liệu định danh dùng cho việc xác thực truy nhập phải được
bảo mật trong quá trình lưu trữ, truyền qua mạng và hiển thị trên màn hình của người sử dụng;
7.4.4. Môi trường nơi đặt trang thiết bị xác thực phải đảm bảo bí mật,
an toàn cho sử dụng mật khẩu, phương tiện định danh;
7.4.5. Kiểm tra,
vô hiệu hoá và loại
bỏ kịp thời những tài khoản người sử dụng không còn thẩm quyền làm việc
trên hệ thống CNTT;
7.4.6. Đình chỉ
tạm thời quyền làm việc của tài khoản người sử dụng đã
được đăng ký trên hệ thống CNTT, nhưng tạm thời không làm việc trên hệ thống đó trong thời gian từ 5 ngày làm việc trở lên;
7.4.7. Định kỳ hàng tuần, xem xét nhật ký truy nhập hệ thống, phát hiện và xử
lý kịp thời những trường hợp truy nhập bất hợp
pháp hoặc thao tác vượt quá giới hạn thẩm quyền được giao
của người sử dụng.
Điều 8. Các
phương pháp xác thực
8.1. Xác
thực dùng định danh (ID) và mật khẩu (password) phải đáp ứng
các yêu cầu sau:
8.1.1. Mật khẩu phải có độ dài từ 06 ký tự trở lên, cấu tạo gồm các kí tự số, chữ hoa, chữ thường và các ký tự đặc biệt khác
nêu hệ thống cho phép. Các yêu cầu mật khẩu hợp lệ phải được kiểm tra tự động khi thiết lập mật
khẩu;
8.1.2. Các mật khẩu mặc định của nhà
sản xuất cài đặt sẵn trên các trang thiết bị, phần mềm, cơ sở dữ liệu phải được
thay đổi ngay khi đưa vào sử dụng;
8.1.3. Các mật khẩu sử dụng khi có
đơn vị bảo trì, khắc phục sự cố tại thiết bị phần cứng, phần mềm...phải được
thay đổi ngay sau khi hoàn tất công việc.
8.1.4. Phần mềm quản lý mật khẩu phải
có các chức năng:
8.1.4.1. Thông báo người sử dụng thay đổi mật khẩu sắp hết hạn
sử dụng:
8.1.4.2. Huy hiệu lực của mật khẩu đã hết hạn sử dụng nhưng
không thực hiện việc thay đổi mật khẩu:
8.1.4.3. Cho phép áp dụng các tiêu chuẩn về chiều dài và độ khó của mật khẩu.
8.1.4.4. Cho phép thay đổi ngay mật
khẩu bị lộ, có nguy cơ bị lộ hoặc theo yêu cầu của người sử dụng;
8.1.4.5. Ngăn chặn việc sử dụng lại mật
khẩu cũ trong một khoảng thời gian nhất định.
8.1.4.6. Vô hiệu hoá tài khoản người sử dụng trong một khoảng thời gian nhất định khi số lần nhập sai mật khẩu của tài khoản đó quá 3 lần.
8.1.4.7. Ghi nhật ký lại toàn bộ các tài khoản đăng nhập thành công và không
thành công vào hệ thống CNTT
Điều 9. Kiểm soát
truy nhập hệ thống CNTT
9.1. Mọi
hệ thống, ứng dụng CNTT đều phải được thiết lập chức năng
kiểm soát truy nhập, cảnh báo, ngăn chặn người sử dụng
truy nhập bất hợp pháp hoặc sử dụng sai chức năng, quyền hạn trên hệ thống.
9.2. Các
hệ thống, ứng dụng CNTT dùng chung của nội bộ Văn Phòng HĐND
và UBND Quận và các đơn vị phòng ban chuyên môn, UBND phường
bên ngoài phải được lưu trữ trong vùng Phi quân sự (DMZ). Đồng thời mọi luồng thông tin truy nhập vào hệ thống CNTT, ứng dụng CNTT dùng chung đều phải được khai báo rõ ràng và phải được thông
qua sự kiểm soát của hệ thống tường lửa.
9.3. Các
hệ thống, ứng dụng CNTT dùng riêng của nội bộ các phòng ban chuyên môn nằm
trong khuôn viên Văn Phòng HĐND và UBND Quận phải được lưu trữ riêng trong vùng An toàn. Đồng thời mọi luồng thông
tin truy nhập vào hệ thống CNTT, ứng dụng CNTT riêng đều phải được khai báo rõ
ràng và đều phải thông qua sự kiểm soát của hệ thống tường lửa.
9.4. Hệ
thống Cơ sở dữ liệu của các hệ thống, ứng dụng
CNTT đều phải được lưu trữ riêng trong vùng An toàn. Đồng thời mọi luồng thông
tin truy cập vào hệ thống cơ sở dữ liệu đều phải được khai báo rõ ràng và đều
phải thông qua sự kiểm soát của hệ thống tường lửa.
9.5. Mọi
luồng dữ liệu qua lại giữa các phòng ban chuyên môn trong khuôn viên Văn phòng
HĐND và UBND Quận và giữa các phòng ban chuyên môn, UBND phường bên ngoài đều
phải được khai báo rõ ràng và đều phải thông
qua sự kiểm soát của hệ thống tường lửa.
9.6. Hệ
thống kiểm soát truy nhập phải có các chức năng sau:
9.6.1. Tự động đình chỉ việc truy nhập
hệ thống của người sử dụng nếu trong một khoảng thời gian định sẵn đã thực hiện
03 lần truy nhập liên tiếp không hợp
lệ vào hệ thống. Tất cả các truy cập không thành công phải
được hệ thống ghi nhật ký tự động:
9.6.2. Quản lý, xác nhận việc kết nối
của các thiết bị đầu cuối cùng như chấp thuận cho các thiết bị đầu cuối được thực hiện kết nối;
9.6.3. Không cho phép người sử dụng
trừ người quản trị hệ thống truy nhập đồng thời vào nhiều thiết bị đầu cuối tại
một thời điểm;
9.6.4. Thiết bị đầu cuối cài đặt tự động
chuyển sang chế độ không hoạt động, chế độ khoá màn hình có mật khẩu hoặc tự động thoát khỏi hệ thống sau một
khoảng thời gian không sử dụng.
Điều 10. Ghi nhật
ký giám sát hoạt động
10.1. Các
hệ thống CNTT phải có chức năng ghi nhật ký giám sát các hoạt động trên hệ thống
đó. Đồng hồ của các trang thiết bị trên cùng một hệ thống CNTT phải được đồng bộ
từ cùng một nguồn nhằm đảm bảo tính chính xác của nhật ký
giám sát.
10.2. Các
truy nhập và các thao tác của người sử dụng làm ảnh hưởng
đến hoạt động của hệ thống phải được ghi nhật ký. File nhật ký phải được bảo vệ
chống lại mọi sự thay đổi.
10.3. Thời
gian lưu trữ file nhật ký cho từng hệ thống CNTT lối thiểu là 60 ngày, nhằm đảm
bảo giám sát được các hoạt động trên hệ thống.
10.4. Người
quản trị hệ thống có trách nhiệm thường
xuyên xem xét các file nhật ký của hệ thống nhằm phát hiện,
xử lý và ngăn chặn kịp thời các sự cố
gây mất an toàn, ổn định của hệ thống
CNTT.
Điều 11. An toàn
vật lý
11.1.
Phòng máy chủ và các khu vực đặt, sử dụng các trang thiết
bị CNTT phải có nội quy và áp dụng các biện pháp bảo vệ,
kiểm soát ra vào, nên có camera giám sát nhằm đảm bảo chỉ những người có nhiệm
vụ mới được vào những khu vực đó.
11.2. Những
công việc tiến hành trong phòng máy chủ phải được ghi sổ nhật
ký làm việc hàng ngày.
11.3.
Phòng máy tính phải đảm bảo vệ sinh công nghiệp: không đột, không thấm nước; các trang thiết bị lắp đặt trên sàn kỹ thuật, không bị ánh nắng chiếu rọi trực tiếp; độ ẩm, nhiệt độ đạt tiêu
chuẩn quy định cho các thiết bị và máy chủ: trang bị đầy đủ thiết bị phòng chống cháy, nổ, lũ lụt, hệ thống
chống sét và hệ thống an ninh chống, truy nhập bất hợp pháp.
11.4. Các
trang thiết bị dùng cho hoạt động nghiệp vụ lắp đặt bên ngoài trụ sở của đơn vị phải có biện pháp giám sát, bảo vệ an toàn phòng chống truy
nhập bất hợp pháp và quản lý việc sử dụng các trang thiết bị đó.
11.5. Người
sử dụng máy tính phải thoát ra khỏi hệ thống, hoặc sử dụng
chức năng khoá máy tính (lock computer hoặc log off) ngay khi rời khỏi vị trí làm việc.
11.5.1. Các bước thực hiện việc khoá
máy tính (Lock computer):
o Nhấn tổ hợp phím <Alt>, <Ctrl>, <Delete>
o Chọn nút: Lock Computer
o Chú ý: Khi
khoá máy tính, các chương trình mà người sử dụng đang “mở và vận hành trên máy tính vẫn hoạt động bình thường
11.5.2. Các bước thực hiện việc thoát
khỏi hệ thống máy tính (Log out):
o Nhấn tổ hợp
phím <Alt>, <Ctrl>. <Delete>
o Chọn nút: Log Off
o Chú ý: Khi chọn chức năng
thoát ra khỏi hệ thống máy tính, các chương trình mà người sử dụng đang mở và vận
hành trên máy tính sẽ bị tắt.
11.6. Người
sử dụng phải thực hiện việc tắt máy tính (Shutdown) khi hết
giờ làm việc và ra về
11.7.
Chương trình, số liệu của đơn vị có khả năng bị lợi dụng phải được loại bỏ khi giao các trang thiết bị có chứa
các chương trình, dữ liệu đó cho đơn vị bên ngoài hoặc khi thanh lý tài sản.
11.8. Nguồn
điện cho hệ thống CNTT:
11.8.1. Phòng máy chủ phải được trang
bị nguồn điện riêng với các tiêu chuẩn kỹ thuật công nghiệp phù hợp với các trang thiết bị lắp đặt
trong phòng máy;
11.8.2. Nguồn điện dự phòng phải đủ
tiêu chuẩn, công suất cho hoạt động bình thường của hệ thống CNTT trong thời gian nguồn điện chính bị gián đoạn vì sự
cố.
Điều 12. An toàn
mạng máy tính
12.1. Tài liệu kỹ thuật và vận
hành hệ thống mạng máy tính phải gồm
các loại như sau:
12.1.1. Hồ sơ khảo
sát, thiết kế và thuyết minh kỹ thuật của mạng;
12.1.2. Tài liệu kiểm tra, đánh giá của
đơn vị (test plan) xác định thiết kế của mạng đủ tiêu chuẩn
an toàn cho vận hành;
12.1.3 Quy trình
quản lý và vận hành mạng.
12.2. Yêu cầu an ninh mạng máy
tính:
12.2.1 Kiểm soát, giám sát được các
luồng dữ liệu truy nhập mạng;
12.2.2 Ngăn chặn được các truy cập
trái phép;
12.2.3 Ghi nhật ký truy nhập mạng;
12.2.4 Có quy trình xử lý sự cố và
phòng ngừa thảm hoạ;
12.2.5 Có các biện pháp kỹ thuật,
hành chính ngăn chặn, việc tiếp cận trái phép các trang thiết bị, đường truyền mạng.
12.3. Trách nhiệm người sử dụng
mạng:
12.3.1 Phải đăng ký và được chấp thuận
sử dụng trước khi truy nhập vào mạng:
12.3.2 Khi phát hiện thấy dấu hiệu mất
an toàn, phải thông báo ngay cho người quản trị mạng xử
lý;
12.3.3 Cập nhật
phiên bản phần mềm chống virus mới và thường xuyên quét virus
trên máy tính kết nối vào hệ thống mạng. Không tự ý thay đổi, gỡ bỏ các chương trình, thông số kỹ thuật mà người
quản trị mạng đã cài đặt;
12.3.4 Không sử dụng máy tính xử lý
nghiệp vụ để kết nối Internet nếu chưa được bộ phận quản
lý CNTT của đơn vị xác định đã đủ các điều kiện bảo vệ an
toàn;
12.3.5 Chấp hành các quy định khác của đơn vị phù hợp với các quy định tại Quy chế này.
12.4. Trách nhiệm người quản trị mạng:
12.4.1 Kiểm tra, đảm bảo mạng máy
tính hoạt động liên lục, ổn định và an toàn;
12.4.2 Quản lý cấu hình mạng, tài nguyên và người sử dụng trên mạng;
12.4.3 Thiết lập đầy đủ các chế độ bảo
mật và kiểm soát an ninh mạng;
12.4.3.1. Ngăn chặn người sử dụng tự ý thay đổi các thông số mạng và cấu hình của
máy tính trạm.
12.4.3.2. Ngăn chặn người sử dụng tự
ý cài đặt thêm phần mềm mới hoặc gỡ bỏ các phần mềm đã được cài đặt
12.4.3.3. Ngăn chặn người sử dụng thiết
bị lưu trữ trong hoặc ngoài (Đĩa cứng, đĩa mềm, USB..) khi không được phép của các cấp có thẩm quyền
12.4.3.4. Ngăn chặn người sử dụng
truy cập đến những dữ liệu, ứng dụng CNTT và các tài nguyên
mạng mà họ chưa có đủ quyền truy cập hoặc
chưa cho phép bởi các cấp có thẩm quyền.
12.4.3.5. Ngăn chặn người sử dụng truy cập đến những website có nội dung không được cho phép.
12.4.3.6. Ngăn chặn người sử dụng
thay đổi giờ trên máy tính đang làm việc.
12.4.3.7. Ngăn chặn người sử dụng
đăng nhập vào máy tính trạm bằng tài
khoản cục bộ.
12.4.3.8. Ngăn chặn người sử dụng có
thể tạo hoặc sửa chữa hệ thống lài khoản cục bộ tại máy trạm.
12.4.3.9. Ngăn chặn người sử dụng
thay đổi tên máy tính trạm đang làm
việc
12.4.3.10. Ngăn chặn người sử dụng tự
ý chia sẻ tài nguyên trên máy trạm
đang làm việc
12.4.3.11. Ngăn chặn người sử dụng
truy cập tới các máy tính trạm trong mạng khi chưa được phép.
12.4.3.12. Ngăn chặn người sử dụng kích hoại các chương trình cài đặt từ các
thiết bị lưu trữ dữ liệu ngoài (USB, CD ROM, DVD ROM,...)
12.4.3.13. Ngăn chặn người sử dụng
truy cập đến bảng điều khiển máy tính trạm (Computer management Congole) khi
chưa được phép.
12.4.3.14. Thiết lập chế độ tự động ánh xạ các
ổ đĩa từ máy chủ lưu tập tin xuống máy trạm tương ứng với tài khoản đăng nhập.
12.4.3.15. Cho phép người sử dụng có thể shutdown máy tính trạm mà
không cần đăng nhập.
12.4.4. Sử dụng các công cụ được
trang bị, dò tìm và phát hiện kịp thời các điểm yếu, dễ bị tổn thương và các truy nhập bất hợp pháp vào hệ thống mạng. Thường xuyên xem xét, phát hiện những kết nối, trang
thiết bị, phần mềm cài đặt bất hợp pháp vào mạng.
12.4.5. Phát hiện và xử lý kịp thời những lỗ hổng về an ninh của hệ
thống mạng;
12.4.6. Hướng dẫn, hỗ trợ người sử dụng bảo vệ tài khoản, tài nguyên trên mạng, cài đặt phần mềm chống virus và giải quyết kịp thời những sự cố truy nhập mạng;
12.4.7. Kiểm tra và ngắt kết nối ra
khỏi hệ thống mạng những máy tính của người sử dụng không tuân thủ các quy định
của đơn vị về phòng, chống virus và các quy định khác về an ninh hệ thống mạng.
Điều 13. An toàn
cơ sở dữ liệu (CSDL)
13.1. Hệ quản trị CSDL sử
dụng cho các hoạt động nghiệp vụ phải
đáp ứng được yêu cầu sau:
13.1.1. Vận hành trên mạng và độc lập
với máy chủ, hệ điều hành, ứng dụng;
13.1.2. Hoạt động
ổn định; xử lý, lưu trữ được khối lượng dữ liệu lớn theo
yêu cầu nghiệp vụ;
13.1.3. Bảo vệ và phân quyền truy nhập
đối với các tài nguyên CSDL;
13.1.4. Quản lý,
đảm bảo tính nhất quán của các bảng dữ liệu quan hệ
và của từng tác vụ xử lý trên CSDL;
13.1.5. Có tích hợp công cụ ngôn ngữ
truy vấn có cấu trúc (SQL);
13.1.6. Hỗ trợ lưu trữ CSDL trực tuyến
và khôi phục CSDL từ phiên bản lưu;
13.1.7. Có khả năng nâng cấp phiên bản
mới.
13.2. Chỉ sử dụng các CSDL đã
được kiểm nghiệm qua thực tế hoạt động nghiệp vụ của các tổ chức tương tự trong
hoặc ngoài nước.
13.3. Trách nhiệm của người quản
trị CSDL:
13.3.1. Duy trì hệ
thống CSDL hoạt động liên lục, ổn định và an toàn;
13.3.2. Thay đổi các mật khẩu mặc định
ngay khi đưa CSDL vào sử dụng;
13.3.3. Phân quyền sử dụng tài nguyên cho người sử dụng CSDL;
13.3.4. Lập kế hoạch, thực hiện lưu
trữ dữ liệu và kiểm tra kết quả lưu trữ;
13.3.5. Kiểm tra, đảm bảo khôi phục
được hoàn toàn CSDL từ bản lưu trữ
khi cần thiết;
13.3.6. Quản lý chặt chẽ các bản lưu
trữ, tránh nguy cơ mất mát, bị thay đổi và khai thác bất hợp
pháp;
13.3.7. Thường xuyên kiểm tra tình trạng của CSDL cả về mặt vật lý và logic. Cập nhật kịp thời các bản vá lỗi từ nhà cung cấp.
Điều 14. An toàn
phần mềm ứng dụng
14.1. Yêu cầu chung:
14.1.1. Tài liệu kỹ thuật:
- Tài liệu đối với phần mềm do đơn vị
tự xây dựng gồm:
■ Yêu cầu người
sử dụng;
■ Phân tích thiết kế hệ thống;
■ Quá trình phát triển
■ Thử nghiệm
■ Triển khai
■ Quản lý phiên bản và hướng dẫn vận
hành;
- Tài liệu kèm theo phần mềm đóng gói do bên ngoài cung cấp gồm:
■ Tài liệu kỹ thuật
■ Tài liệu hướng dẫn sử dụng phần mềm.
14.1.2. Phần mềm phải tích hợp các giải
pháp xác thực, kiểm soát truy nhập và mã hoá dữ liệu theo các quy định tại các
Điều 8, Điều 9 và Điều 10 của Quy chế này;
14.1.3. Phần mềm
phải vận hành ổn định, xử lý chính xác và đảm bảo tính nhất
quán của dữ liệu;
14.1.4. Các phần mềm nghiệp vụ và tài
liệu kỹ thuật phải được nhân bản và
lưu giữ an toàn tối thiểu tại hai địa điểm tách biệt.
14.2. Phân tích, thiết kế và
viết phần mềm:
14.2.1. Các yêu cầu an toàn, bảo
mật của nghiệp vụ phải được xác định trước và tổ chức, triển khai vào toàn bộ quy trình phát triển phần mềm từ khâu phân tích thiết kế đến triển khai vận hành, sao lưu dự phòng và bảo trì
khắc phục sự cố;
14.2.1. Các tài liệu về an toàn, bảo
mật của phần mềm phải được hệ thống hoá và lưu trữ, sử dụng
theo chế độ “Mật”.
14.3. Kiểm tra, thử nghiệm phần mềm:
Mọi phần mềm triển khai vào thực tế phải qua các bước kiểm tra, thử nghiệm
sau:
14.3.1. Lập và phê duyệt kế hoạch, kịch bản thử nghiệm. Việc thử nghiệm
phải đảm bảo không ảnh hưởng đến hoạt động bình thường của
nghiệp vụ và các hệ thống CNTT khác;
14.3.2. Tiến
hành thử nghiệm trên môi trường riêng biệt. Lập báo cáo kết
quả thử nghiệm trình cấp lãnh đạo phê
duyệt đưa vào sử dụng;
14.3.3. Việc sử dụng dữ liệu thật
trong quá trình thử nghiệm phải có biện pháp phòng ngừa tránh bị lợi dụng hoặc gây nhầm lẫn.
14.4. Triển khai, vận hành phần
mềm:
14.4.1. Việc triển khai phần mềm
không được ảnh hưởng đến an toàn, bảo mật của các hệ thống
CNTT đã có;
14.4.2. Trước khi triển khai phần mềm,
phải đánh giá những rủi ro của quá trình triển khai đối với hoạt động nghiệp vụ,
các hệ thống CNTT liên quan và lập, triển khai các phương án hạn chế, khắc phục rủi ro.
14.5. Quản lý phiên bản phần mềm:
14.5.1. Đối với mỗi yêu cầu thay đổi phần mềm, phải phân tích đánh
giá ảnh hưởng của việc thay đổi đối với nghiệp vụ và các hệ
thống CNTT có liên quan khác của đơn vị;
14.5.2. Các phiên bản phần mềm sau
khi thử nghiệm thành công phải được quản lý chặt chẽ, tránh bị sửa đổi bất hợp
pháp và sẵn sàng cho việc triển khai;
14.5.3. Đi kèm với phiên bản phần mềm mới phải có các chỉ dẫn rõ
ràng về nội dung thay đổi, hướng dẫn cập nhật phần mềm và
các thông tin liên quan khác:
14.5.4. Chỉ được triển khai vào hoạt
động nghiệp vụ phiên bản phần mềm đã được lãnh đạo đơn vị
phê duyệt cho triển khai.
14.6. Quản lý mã nguồn phần mềm:
14.6.1. Mã nguồn phần mềm phải được
quản lý chặt chẽ để tránh bị sử dụng hoặc sửa đổi trái phép;
14.6.2. Phải có các thoả thuận, ràng buộc pháp lý về việc quản lý, chỉnh sửa mã nguồn dùng cho bảo trì, sửa chữa, cập nhật lỗ hổng bảo mật, cập
nhật tính năng trong trường hợp những phần mềm đó do đối
tác bên ngoài phát triển và không bàn
giao mã nguồn.
14.7. Cơ sở dữ liệu của phần mềm ứng dụng không nên được
nằm cùng máy chủ vận hành ứng, dụng, mà phải nằm riêng tại máy chủ cơ sở dữ
liệu trong vùng An toàn và được kiểm soát bởi hệ thống bức tường lửa.
Điều 15. An toàn
hệ điều hành của máy chủ
15.1. Hệ điều hành được lựa chọn
phải đáp ứng các yêu cầu sau:
15.1.1. Vận hành an toàn, ổn định;
15.1.2. Có tính sẵn sàng cao;
15.1.3. Quản lý người sử dụng, bảo vệ
và phân quyền truy nhập tài nguyên;
15.1.4. Ghi nhật ký hoạt động của hệ
thống;
15.1.5. Cập nhập
phiên bản mới;
15.1.6. Kiểm
tra, khôi phục hệ thống khi sự cố.
15.2. Chỉ sử dụng hệ điều hành
đã được kiểm nghiệm qua thực tế hoạt
động nghiệp vụ của các cơ quan tổ chức tương
tự trong hoặc ngoài nước.
15.3. Trách nhiệm của người quản trị hệ điều hành:
15.3.1. Đảm bảo cho hệ điều hành cài đặt trên máy chủ hoạt động liên tục, ổn định và an toàn;
15.3.2. Thường xuyên kiểm tra cấu hình, các file nhật ký hoạt động của hệ điều hành, kịp thời phát hiện và xử lý những sự cố nếu
có;
15.3.3. Cấp quyền và quản lý truy nhập
của người sử dụng trên máy chủ cài đặt hệ điều hành;
15.3.4. Quản lý
các thay đổi cấu hình kỹ thuật của hệ
điều hành;
15.3.5. Thiết lập
hệ thống tự động cập nhật các bản vá lỗi hệ điều hành từ nhà cung cấp.
15.3.6. Thường xuyên cập nhật các bản sửa lỗi hệ điều hành từ nhà cung cấp;
15.3.7. Loại bỏ các
dịch vụ của hệ điều hành không cần thiết hoặc không còn nhu
cầu sử dụng.
Điều 16. Lưu trữ
dữ liệu
16.1. Yêu cầu của hệ thống
lưu trữ:
16.1.1. Đảm bảo tính toàn vẹn và đầy
đủ của dữ liệu lưu trữ trong suốt thời gian lưu trữ theo quy định;
16.1.2. Lưu trữ đúng và đủ thời hạn của từng loại dữ liệu theo các quy định của Nhà nước;
16.1.3. Các loại dữ liệu cần thiết để
duy trì hoặc khôi phục lại hoạt động của đơn
vị khi có sự cố phải được lưu trữ tối thiểu tại hai địa điểm cách biệt nhau;
16.1.4. Khi cần
thiết, dữ liệu lưu trữ phải chuyển đổi được thành dạng dữ liệu ban đầu như trước khi lưu.
16.2. Trách nhiệm của Tổ CNTT:
16.2.1. Có phương án trang bị, quy
trình kỹ thuật lưu trữ, kiểm tra, bảo quản và khai thác dữ liệu lưu trữ được cấp có thẩm quyền phê duyệt:
16.2.2. Đảm bảo các điều kiện về địa điểm, môi trường lưu trữ, bảo
quản thiết bị lưu trữ dữ liệu an toàn và khoa học;
16.2.3. Duy trì các trang thiết
bị, phần mềm dùng cho
lưu trữ, khai thác đồng thời với dữ liệu lưu trữ hoặc chuyển đổi dữ liệu lưu trữ phù hợp
với những thay đổi của giải pháp lưu trữ để đảm bảo khai thác được dữ liệu đã lưu trữ tại mọi thời điểm;
16.2.4. Quy định phạm vi, tần xuất lưu trữ phù hợp đối với từng loại dữ liệu
nghiệp vụ để đảm bảo khôi phục, duy trì được hoạt động liên lục của nghiệp vụ trong trường hợp xảy ra sự cố đối với dữ liệu hoạt động chính;
16.2.5. Kiểm soát và đối chiếu dữ liệu
với các khâu xử lý nghiệp vụ liên quan để đảm bảo sự chính
xác, khớp đúng và đầy đủ của dữ liệu trước khi lưu trữ;
16.2.6. Thực hiện ghi sổ theo dõi địa điểm, thời gian, danh mục dữ liệu, người thực hiện công việc lưu trữ và khai thác dữ liệu;
16.2.7. Ban hành và triển khai quy
trình lưu trữ: sao lưu dữ liệu; khai thác dữ liệu lưu trữ;
kiểm tra, giám sát an toàn đối với dữ
liệu lưu trữ; biện pháp phòng ngừa và
khắc phục rủi ro cho dữ liệu lưu trữ; tiêu hủy dữ liệu lưu
trữ hết thời hạn; và các nội dung khác có liên quan đến kỹ
thuật lưu trữ và bảo quản dữ liệu lưu trữ an toàn, hiệu quả;
16.3. Trách nhiệm của bộ phận, cá nhân được giao nhiệm vụ lưu trữ:
16.3.1. Thực hiện đúng các quy định về
việc lưu trữ, bảo quản dữ liệu lưu trữ và phải chịu trách nhiệm về các rủi ro đối
với dữ liệu lưu trữ do chủ quan mình gây ra;
16.3.2. Không được phép cho bất cứ tổ chức, cá nhân nào khai thác, sử dụng dữ liệu
lưu trữ nếu không có sự đồng ý bằng văn bản của lãnh đạo
hoặc người được ủy quyền phê duyệt;
16.3.3. Trong trường hợp có rủi ro hoặc
phát hiện nguy cơ xảy ra rủi ro với dữ liệu điện tử lưu trữ, phải báo cáo ngay
cho người có thẩm quyền để có biện pháp xử lý, khắc phục kịp
thời.
16.4. Quy định việc lưu trữ dữ liệu phòng ban và cá nhân
16.4.1. Tổ CNTT Văn phòng HĐND và UBND Quận phải thiết kế giải pháp, cấu trúc lưu trữ dữ liệu và triển khai hệ thống máy chủ lưu trữ tập tin (File server) cho toàn bộ phòng
ban chuyên môn và cán bộ công chức năm trong khuôn viên Văn phòng HĐND và UBND
Quận nhằm tránh các rủi ro do tình trạng lưu trữ dữ liệu rải rác trên các máy
trạm.
16.4.2. Hệ thống máy chủ lưu trữ tập
tin phải được đặt riêng trong vùng An toàn và phải được kiểm soát chặt chẽ của hệ thống tường lửa.
16.4.3. Tổ CNTT Văn phòng HĐND và UBND Quận phải cấp quyền truy cập tương ứng cho từng phòng ban chuyên môn, cán bộ công chức khi truy cập
đến hệ thống máy chủ lưu File (Share permission, NTFS
permission).
16.4.4. Hệ thống lưu trữ tập tin tập
trung phải được tự động ánh xạ đến từng
tài khoản của người sử dụng khi đăng nhập vào hệ thống.
16.4.5. Các dữ liệu cá nhân của người
sử dụng (Phim ảnh, âm nhạc, phần mềm...) không liên quan đến công việc của Quận
thì được lưu trữ ở ổ cứng cục bộ trên máy trạm và sẽ
không được bộ phận tin học thực hiện sao lưu dự phòng.
16.4.6. Tổ CNTT Văn phòng HĐND và UBND Quận phải có kế hoạch, giải pháp, và thực hiện sao lưu dự phòng hàng ngày, tuần, tháng toàn bộ dữ liệu trên máy chủ lưu trữ tập tin.
Điều 17. Phòng, chống
virus máy tính
17.1. Văn
phòng HĐND và UBND Quận phải triển khai hệ thống phòng chống: virus, phần mềm
gián điệp, phần mềm quảng cáo một cách tập trung
(Antivirus server) hoặc phân tán cho toàn bộ các hệ thống CNTT của mình. Theo dõi và thông báo kịp thời
cho người sử dụng các loại virus mới và cách phòng chống.
17.2. Tổ
CNTT Văn phòng HĐND và UBND Quận phải cài đặt và thiết lập
cơ chế tự động cập nhật phiên bản quét virus và tự động quét virus cho tất cả các máy tính trạm nằm trong
khuôn viên Văn phòng HĐND và UBND
Quận.
17.3. Trách nhiệm phòng, chống virus của người sử dụng:
17.3.1. Thường
xuyên kiểm tra và diệt virus;
17.3.2. Phần mềm, dữ liệu và các thiết bị lưu trữ dữ liệu di động nhận từ bên ngoài phải được kiểm tra hoặc nhờ quản trị mạng
kiểm tra virus trước khi sử dụng;
17.3.3. Không mở các thư lạ, các tập
tin (File) đính kèm hoặc các liên kết
trong các thư lạ hoặc trong cửa sổ chat (chương trình giao
tiếp trực tiếp trên mạng như Yahoo messenger; MSN
Messenger, AOL Messenger, ICQ Messenger..) để tránh virus;
17.3.4. Không vào các trang web không
có nguồn gốc xuất xứ rõ ràng;
17.3.5. Cập nhật kịp thời các mẫu
virus và các phần mềm chống virus mới;
17.3.6. Trường hợp phát hiện nhưng
không diệt được virus, phải báo ngay cho người quản trị hệ thống mạng xử lý.
Điều 18. Chép dữ
liệu ra và vào hệ thống CNTT
18.1. Nghiêm cấm người sử dụng tự ý sao chép bất kỳ dữ liệu nào nằm trong hệ thống mạng ra ngoài và với dưới bất kỳ hình thức nào nếu không được phép của cấp trên có thẩm
quyền và của quản trị hệ thống mạng.
18.2. Khi người sử dụng muốn sao chép dữ liệu ra khỏi
hệ thống mạng phải làm đầy đủ các thủ tục như sau:
18.2.1. Điền vào mẫu thủ tục sao chép dữ liệu từ hệ thống CNTT ra ngoài
18.2.2. Phải được cấp có thẩm quyền
(Cấp quản lý trực liếp) ký xác nhận.
18.2.3. Sau đó
chuyển mẫu thủ tục sao chép dữ liệu sang cho Quản trị mạng để tiến hành sao
chép dữ liệu và ký xác nhận.
3. Khi
người sử dụng muốn sao chép dữ liệu từ bên ngoài vào hệ thống CNTT của quận thì phải làm đầy đủ các thủ tục
như sau:
18.3.1. Điền vào
mẫu thủ tục sao chép dữ liệu từ ngoài
vào hệ thống CNTT
18.3.2. Phải được cấp có thẩm quyền (Cấp quản lý trực tiếp) ký xác nhận.
18.3.3. Sau đó chuyển mẫu thủ tục sao chép dữ liệu và dữ liệu sang cho Quản trị mạng kiểm
tra virus và tiến hành sao chép dữ liệu vào hệ thống CNTT.
Điều 19. Kết nối,
trao đổi dữ liệu với đơn vị bên ngoài
19.1. Văn
phòng HĐND và UBND Quận thực hiện kết nối với đơn vị bên
ngoài phải thực hiện theo nguyên tắc không được ảnh hưởng đến an ninh và hoạt động bình thường hệ thống mạng của đơn vị.
19.2. Hệ
thống mạng nội bộ đơn vị phải tách biệt về vật lý hoặc logic với mạng kết nối bên ngoài.
19.3. Việc
kết nối, trao đổi dữ liệu với bên ngoài phải được quy định cụ thể về tiêu chuẩn kết nối, dịch vụ được sử dụng, quyền truy cập, quy cách dữ liệu và quy trình trao đổi.
19.4. Các
bước triển khai kết nối:
19.4.1. Khảo sát, thiết kế cấu hình hệ
thống, phương thức kết nối và dịch vụ sử dụng trên hệ thống mạng;
19.4.2. Phân tích những ảnh hưởng, nguy
cơ mất an toàn và lựa chọn giải pháp an ninh phù hợp, phòng chống truy nhập
trái phép;
19.4.3. Trình thủ trưởng đơn vị phê
duyệt phương án kết nối, cách thức trao đổi dữ liệu;
19.4.4. Lắp đặt, kiểm tra, thử nghiệm đạt yêu cầu và đưa vào vận hành
chính thức;
19.4.5. Triển khai các biện pháp
phòng chống xâm nhập bất hợp pháp từ bên ngoài.
Điều 20. Kết nối
Internet
20.1. Trách nhiệm của Tổ CNTT:
19.4.1. Thiết kế mạng dùng riêng cho
kết nối Internet phải tách biệt về vật
lý với mạng xử lý nghiệp vụ hoặc giữa chúng phải được ngăn
cách bằng hệ thống bức tường lửa đủ khả năng kiểm soát toàn bộ các truy nhập giữa hai mạng và phải đảm bảo an
toàn cho hoạt động của phần mềm, dữ liệu trên mạng nghiệp vụ;
19.4.2. Có hệ thống giám sát, quản lý
người sử dụng Internet, quản lý băng thông và thời gian khai thác Internet.
19.4.3. Các máy tính dùng cho kết nối
Internet phải được dán nhãn thông báo để dễ nhận biết:
19.4.4. Không lưu trữ dữ liệu trên
máy tính kết nối Internet tài liệu, số liệu thuộc bí mật Nhà nước.
20.2. Trách nhiệm của người sử
dụng Internet:
20.2.1. Có trách nhiệm bảo vệ hệ thống
mạng của đơn vị, cảnh giác với những mặt trái của
Internet. Chịu trách nhiệm theo quy định của pháp luật nếu
bao che hoặc cho người khác sử dụng trang thiết bị, mật khẩu
của mình để thực hiện các hành vi phạm pháp;
20.2.2. Chịu sự kiểm tra, giám sát của đơn vị và các cơ quan chức năng của Nhà nước đối với
các thông tin gửi ra Internet và chịu trách nhiệm pháp lý về các thông tin đó:
20.2.3. Tự quản lý tài khoản của mình và có trách nhiệm thay đổi mật khẩu tối thiểu 6 tháng một lần để tránh bị lộ;
20.2.4. Không được truy cập các trang web có nội dung xấu, có nội
dung phản động ảnh hưởng đến phong tục, tôn giáo và chính trị;
20.2.5. Không được sử dụng các chương
trình Chat (Yahoo Messenger, Live Windows Messenger. Skype...). Trừ một vài trường
hợp được phép Chat nhưng phải liên quan đến công việc;
20.2.6. Không được có hành động gây cản
trở, phá hoại hoạt động của mạng Internet. Thông qua mạng Internet làm ảnh hưởng
đến các hệ thống thông tin khác, hoặc xâm phạm đến quyền lợi, danh dự của cá nhân khác;
20.2.7. Không sử dụng các công cụ, phần
mềm và các biện pháp kỹ thuật dưới mọi hình thức nhằm chiếm dụng băng thông đường truyền, gây tắc nghẽn mạng:
20.2.8. Không được tự ý sao chép, truyền
tải các dữ liệu nằm trong hệ thống CNTT ra internet dưới bất cứ hình thức nào
(FTP, Website, web mail, hệ thống lưu trữ trực tuyến, send email có file đính kèm, gởi file trực tiếp bằng cửa sổ chat, bằng chương trình truyền tải ngang
hàng...)
20.2.9. Không được sử dụng các chương
trình tán ngẫu trực tuyến (chat) và
truy cập vào các website có nội dung không lành mạnh, phản
động và những website không có liên quan đến công việc trong giờ làm việc.
20.2.10. Không được nghe nhạc, xem
phim và chơi trò chơi trực tuyến (online) trong giờ làm việc.
20.2.11. Tuân thủ nội quy sử dụng Internet khác nếu có của đơn vị và các quy định của Nhà nước về khai thác, sử dụng Internet.
Điều 21. Công
tác dự phòng đối với các sự cố
21.1. Thiết
kế các giải pháp phần cứng, phần mềm nhằm làm tăng tính sẵn
sang của hệ thống. Đồng thời phải lên kế hoạch, thiết kế
giải pháp sao lưu, phục hồi dữ liệu
phù hợp nhất về tài chính và kỹ thuật cho toàn bộ hệ thống,
ứng dụng CNTT đang vận hành.
21.2. Thường
xuyên cập nhật những giải pháp, phần mềm sao lưu, phục hồi dữ liệu tiên tiến và mới nhất.
21.3. Giải
pháp sao lưu, phục hồi dữ liệu phải đi
kèm với những kịch bản xảy ra rủi ro, thảm hoạ trong từng
cấp độ tương ứng.
21.4. Thường
xuyên kiểm tra tính bảo mật, và toàn vẹn đối với những dữ liệu
dự phòng.
21.5. Tổ CNTT Văn phòng HĐND và UBND Quận phải dự trù kinh phí trong việc thiết kế,
xây dựng và duy trì hoạt động của hệ thống dự phòng đảm bảo các yêu cầu sau:
21.5.1. Ban hành các quy định về
quản lý và vận hành hệ thống dự phòng;
21.5.2. Hệ thống dự phòng không được đặt cùng toà với hệ thống xử
lý chính:
21.5.3. Hệ thống
dự phòng phải có đủ năng lực về cơ sở
vật chất, kỹ thuật, có người sẵn sàng đảm nhận toàn bộ vai trò của hệ thống
xử lý chính khi cần thiết;
21.5.4. Thiết kế
đường điện tách biệt với hệ thống chính. Trang bị máy phải điện, bộ tích điện cung cấp nguồn điện ổn định, liên lục,
đáp ứng yêu cầu xử lý công việc bình thường;
21.5.5. Hệ thống cung cấp nguồn điện bao gồm lưới điện quốc gia, máy phát điện, bộ tích điện và được thiết kế
tự động đảm bảo cung cấp nguồn điện ổn định,
liên tục, đáp ứng yêu cầu hoạt động
24 giờ/ngày và 7 ngày/tuần;
21.5.6. Cơ sở dữ liệu hoạt động nghiệp
vụ trong Quận phải được lưu trữ tức thời từ trung tâm
chính sang hệ thống dự phòng;
21.5.7. Tổ chức hệ thống an ninh, đảm bảo an toàn hệ thống trang thiết bị kỹ thuật và dữ liệu của hệ thống dự phòng;
21.5.8. Thời gian đưa hệ thống dự
phòng vào hoạt động thay thế hoàn toàn
cho hệ thống xử lý chính không quá 04 giờ.
21.6. Hoạt động của hệ thống
dự phòng:
21.6.1. Hoạt động từ hệ thống chính
chuyển sang hệ thống dự phòng chỉ được thực hiện trong điều kiện hệ thống chính bị ngừng hoạt động và phải được
lãnh đạo đơn vị phê duyệt cho thực hiện;
21.6.2. Việc đưa hệ thống dự phòng
vào sử dụng phải thực hiện theo dùng các kịch bản đã được phê duyệt;
21.6.3. Diễn tập chuyển hoạt động từ hệ thống chính sang hệ thống dự phòng
phải được thực hiện định kỳ tối thiểu mỗi năm một lần;
21.6.4. Hệ thống dự phòng phải được kiểm tra, giám sát đảm bảo vận hành tốt.
Điều 22. Yêu cầu
và trách nhiệm của người vận hành
22.1. Phải
được trang bị các kiến thức cơ bản về CNTT: mạng máy tính (máy chủ, máy trạm làm việc và các thiết bị mạng),
hệ điều hành, cơ sở dữ liệu đang sử dụng.
22.2. Đã
qua các khoá đào tạo, tập huấn về
nghiệp vụ được giao vận hành.
22.3. Chỉ
được thực hiện những công việc được giao, tuân thủ đúng quy trình kỹ thuật nghiệp vụ, quy trình kỹ thuật vận hành.
22.4. Phải
chịu trách nhiệm về những sai sót, chậm trễ, mất an toàn
do chủ quan mình gây ra.
22.5. Có
trách nhiệm thông báo kịp thời cho người quản trị hệ thống về những sự cố
đối với hệ thống CNTT nếu có.
Điều 23. Kiểm
tra nội bộ
23.1. Các
đơn vị phải tự tổ chức kiểm tra việc tuân thủ các quy định
về an toàn, bảo mật hệ thống CNTT theo các quy định tại
Quy chế này tối thiểu mỗi năm một lần.
23.2. Nội dung kiểm tra:
23.2.1. Đánh giá chính sách an ninh
CNTT;
23.2.2. Kiểm tra tuân thủ chính sách an ninh CNTT;
23.2.3. Đánh giá những rủi ro có thể
xảy ra và kiến nghị xử lý;
23.2.4. Trường hợp kiểm tra phát hiện
những vi phạm hoặc dấu hiệu có thể dẫn
đến mất an toàn, trong báo cáo kiểm tra phải liệt kê
cụ thể danh mục những vấn đề đó, đánh giá mức độ ảnh hưởng của nó đối với
hoạt động của đơn vị và dự kiến thời gian phải được
hoàn tất xử lý đối với từng vấn để cụ thể;
23.2.5. Nội dung kiểm tra phải được lập
thành báo cáo gửi các cấp có thẩm quyền.
23.3. Trách nhiệm của lãnh đạo
Quận:
23.3.1. Chỉ đạo, kiểm tra và tạo điều
kiện cho bộ phận quản lý CNTT và các bộ phận liên quan có kế hoạch khắc phục
ngay các kiến nghị sau kiểm tra;
23.3.2. Kiểm tra việc thực hiện các
kiến nghị theo kế hoạch;
23.3.3. Xác định nguyên nhân và trách
nhiệm của cá nhân, tổ chức đối với những kiến nghị kiểm tra không được xử
lý từ các lần kiểm tra trước nếu có.
Điều 24. Chính
sách kiểm tra, bảo trì hệ thống CNTT
24.1. Văn
phòng HĐND và UBND Quận phải xây dựng kế hoạch kiểm tra, bao trì thường xuyên để
đảm bảo hệ thống CNTT hoạt động liên tục, ổn định và an toàn. Hàng năm, đề xuất lãnh đạo Quận bố trí kinh phí, nguồn lực thích hợp cho
công tác bảo trì toàn bộ hệ thống CNTT.
24.2. Mọi
hệ thống CNTT phải được bảo trì theo
định kỳ. Tùy theo mức độ quan trọng của mỗi hệ thống CNTT
đối với hoạt động của đơn vị để lập và triển khai cấp độ bảo trì phù hợp, nhưng
đối với mỗi hệ thống ít nhất mỗi năm phải
thực hiện bảo trì một lần.
24.3. Các
trang thiết bị CNTT phải được duy trì mức công suất dự phòng tối thiểu là 20 phần trăm so với yêu cầu xử lý tại thời điểm sử dụng cao nhất.
24.4. Nhật ký bảo trì:
24.4.1. Toàn bộ quá trình bảo trì của
hệ thống CNTT phải được ghi sổ nhật ký theo dõi các thay đổi về thiết kế, cấu hình của hệ
thống CNTT trong những lần sửa chữa, nâng cấp, thay thế hoặc
lắp đặt mới;
24.4.2. Các tập tin lưu nhật ký của hệ
thống phải được xem xét thường xuyên, lưu trữ có hệ thống
và phân tích theo nhiều góc độ khác
nhau. Trên cơ sở đó phát hiện và khắc phục kịp thời những
sự cố, biểu hiện mất an toàn.
24.5. Công tác bảo trì:
24.5.1. Công tác bảo trì phải được tiến hành có kế hoạch, có kịch bản, đảm bảo hoạt động bảo trì
không ảnh hưởng đến các hoạt động nghiệp vụ bình thường đang diễn ra;
24.5.2. Các trang thiết bị, phần mềm, cơ sở dữ liệu phải được kiểm tra, theo dõi và xử lý kịp thời các hư hỏng, biểu hiện mất ổn định
hoặc quá tải; cập nhật kịp thời các bản
vá lỗi, lấp các lỗ hổng về an ninh.
24.5.3. Kiểm tra, giám sát đơn vị bảo trì bên ngoài thực hiện bảo
trì theo đúng kịch bản đã được lãnh đạo đơn vị phê duyệt.
Điều 25. Báo cáo
về an ninh CNTT
25.1. Văn phòng HĐND và UBND Quận
phải có trách nhiệm báo cáo bằng văn bản hoặc bằng file báo cáo điện tử cho lãnh đạo
Quận đang phụ trách về CNTT với những báo cáo sau đây:
25.1.1. Báo cáo
kiểm tra nội bộ của đơn vị theo quy định tại Điều 23 của
Quy chế này. Thời hạn báo cáo chậm nhất là 60 ngày kể từ thời điểm hoàn thành
kiểm tra;
25.1.2. Báo cáo
đột xuất các vụ, việc mất an toàn xảy ra đối với hệ thống CNTT của toàn bộ các
đơn vị tham gia hệ thống. Nội dung báo cáo thực hiện theo khoản 2 của Điều này.
Thời hạn báo cáo chậm nhất là 30 ngày kể từ thời điểm vụ, việc được phát hiện.
25.2. Nội
dung báo cáo đột xuất:
25.2.1. Ngày, địa điểm phát sinh vụ,
việc;
25.2.2. Nguyên nhân vụ, việc;
25.2.3. Đánh giá rủi ro, ảnh hưởng đối
với hệ thống CNTT và nghiệp vụ tại nơi xảy ra vụ, việc và những địa điểm khác
có liên quan;
25.2.4. Các biện pháp đơn vị đã tiến
hành để ngăn chặn, khắc phục và phòng ngừa rủi ro;
25.2.5. Kiến nghị, đề xuất với lãnh đạo
Quận.
Chương III
ĐIỀU KHOẢN THI HÀNH
Điều 26. Trách
nhiệm thi hành và tổ chức thực hiện
26.1. Văn
phòng HĐND và UBND Quận Phú Nhuận có trách nhiệm hướng dẫn,
theo dõi và kiểm tra việc chấp hành Quy chế,
chính sách này cho các đơn vị tham gia vào hệ thống CNTT của Văn
phòng HĐND và UBND Quận Phú Nhuận.
26.2. Thủ
trưởng cao nhất của các đơn vị tham gia vào hệ thống CNTT thuộc Văn phòng HĐND và UBND Quận Phú Nhuận có trách nhiệm tổ chức triển khai và kiểm tra việc chấp hành tại đơn vị mình theo đúng các quy định
của Quy chế và chính sách này.
26.3. Quy
chế, chính sách này được đề xuất bổ sung sửa đổi tối thiểu mỗi một lần
hoặc theo từng thời điểm phát triển của
hệ thống CNTT.
Điều 27. Khen
thưởng và Xử lý vi phạm
27.1. Cán
bộ, công chức các đơn vị tham gia sử dụng hệ thống mạng CNTT thực hiện tốt và
có nhiều thành tích tốt được xem xét khen thưởng hàng năm theo quy định của Nhà
nước.
27.2. Các hành vi vi phạm quy định tại Quy chế, chính sách này, tuỳ theo mức độ vi phạm mà bị xử lý theo các quy định
của pháp luật.
Điều 28.
Tùy theo tình hình cụ thể tại từng thời điểm Chủ tịch UBND Quận Phú Nhuận quyết định việc sửa đổi, bổ sung
Quy chế, chính sách này./.