Từ khoá: Số Hiệu, Tiêu đề hoặc Nội dung ngắn gọn của Văn Bản...

Đăng nhập

Đang tải văn bản...

Quyết định 340/2008/QĐ-UBND Quy chế an toàn hệ thống công nghệ thông tin Phú Nhuận Hồ Chí Minh

Số hiệu: 340/2008/QĐ-UBND Loại văn bản: Quyết định
Nơi ban hành: Quận Phú Nhuận Người ký: Phạm Công Nghĩa
Ngày ban hành: 25/04/2008 Ngày hiệu lực: Đã biết
Ngày công báo: Đang cập nhật Số công báo: Đang cập nhật
Tình trạng: Đã biết

THÀNH PHỐ HỒ CHÍ MINH
UBND QUẬN PHÚ NHUẬN

-------

CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM
Độc lập - Tự do - Hạnh phúc
---------------

Số: 340/2008/QĐ-UBND

Phú Nhuận, ngày 25 tháng 4 năm 2008

QUYẾT ĐỊNH

BAN HÀNH QUY CHẾ VÀ CHÍNH SÁCH AN TOÀN, BẢO MẬT HỆ THỐNG CÔNG NGHỆ THÔNG TIN PHÚ NHUẬN

ỦY BAN NHÂN DÂN QUẬN PHÚ NHUẬN

Căn cứ Luật tổ chức Hội đồng nhân dân và Ủy ban nhân dân ngày 26/11/2003;

Căn cứ quyết định số 60/2006/QĐ-UBND ngày 14 tháng 4 năm 2006 của UBND Thành phố vgiao chỉ tiêu kế hoạch kinh phí các dự án công nghệ thông tin sử dụng nguồn ngân sách tập trung năm 2006 cho Sở Bưu chính, Vin thông;

Căn cứ Quyết định số 177/QĐ-SBCVT ngày 22/12/2006 và 135/QĐ-SBCVT ngày 26/10/2007 của Sở Bưu chính, Viễn thông Thành phố V/v phê duyệt dự án đầu tư “Hệ thống bảo v an toàn thông tin tại quận Phú Nhuận” của Văn phòng HĐND-UBND Q.Phú Nhuận;

Căn cứ nhu cầu thực tiễn tại quận Phú Nhuận,

QUYẾT ĐỊNH:

Điều 1. Ban hành kèm theo Quyết định này Quy chế và chính sách an toàn bảo mật hệ thống công nghệ thông tin tại quận Phú Nhuận.

Điều 2. Quyết định này có hiệu lực kể từ ngày ký.

Điều 3. Chánh Văn phòng HĐND và UBND quận, Thủ trưởng các phòng, ban chuyên môn trực thuộc và Chủ tịch Ủy ban nhân dân 15 phường chịu trách nhiệm thi hành Quyết định này./.


Nơi nhận:
- TT/UBND quận;
V
P/HĐND-UBND quận (các PVP);
- Như điều 3;
- VT, T
CNTT.

TM. ỦY BAN NHÂN DÂN QUẬN PHÚ NHUẬN
CHỦ TỊCH




Phạm Công Nghĩa

QUY CHẾ VÀ CHÍNH SÁCH AN TOÀN, BẢO MẬT

HỆ THỐNG CÔNG NGHỆ THÔNG TIN PHÚ NHUẬN
(Ban hành kèm theo Quyết định số 340/2008/QĐ-UBND ngày 25/4/2008 của Chủ Tịch UBND quận Phú Nhuận)

Chương I

QUY ĐỊNH CHUNG

Điều 1. Phạm vi điều chỉnh

Quy chế này quy định các u cầu đối với người sử dụng và các tiêu thức kỹ thuật an toàn cơ bn của hthống công nghệ thông tin tại Quận Phú Nhuận, nhằm thống nhất quản lý hthống công nghệ thông tin và các ứng dụng công nghệ thông tin vào các hoạt động của Quận một cách an toàn và hiệu qu.

Điều 2. Giải thích từ ngữ

2.1. Hệ thống công nghệ thông tin (CNTT): là một tập hợp có cấu trúc các trang thiết bị phn cứng, phần mềm, cơ sở dữ liệu và hệ thống mạng phục vụ cho một hoặc nhiều hoạt động kỹ thuật, nghiệp vụ.

2.2. Bức tường lửa (Firewall): là tập hợp các thành phn hoặc một hệ thống các trang thiết bị, phần mềm được đặt giữa hai mạng, nhằm kim soát tất ccác kết nối từ bên trong ra bên ngoài mạng hoặc ngược lại.

2.3. Tính toàn vn dữ liệu: là trạng thái tồn lại của dữ liệu ging như khi ở trong các tài liệu ban đầu và không bị thay đổi vdữ liệu, cu trúc hay mất mát dữ liệu.

2.4. Quản lý cu hình: là quản lý các thay đổi vphần cứng, phần mềm, tài liệu kỹ thuật, phương tiện kiểm tra, giao diện kết nối, quy trình kỹ thuật hoạt động, cu hình cài đặt và tất cả các thay đổi khác của hệ thống CNTT xuyên suốt quá trình từ khi cài đặt đến vận hành.

2.5. Lưu trữ: là tạo bn sao của một phn mềm hoặc dữ liệu nhằm mục đích bo vệ và phục hồi phần mềm, dữ liệu nguyên bản thành công khi có sự cố xảy ra.

2.6. Virus: là chương trình máy tính có thể tự nhân bn, lan truyền trên mạng máy tính hoặc qua các thiết bị lưu trữ dữ liệu, có khả năng phá hủy dữ liệu hoặc thực hiện các chức năng không mong muốn đối với hệ thống CNTT.

2.7. Cấp quyn: sự cấp phép được gắn cho một cá nhân hoặc nhóm người sử dụng tuân theo quy cách tổ chức đã được hình thành trước để truy nhập, sử dụng một chương trình, dữ liệu hoặc một tiến trình của hệ thống CNTT.

2.8. Mật khu (Password): một chuỗi ký tự hoặc một cách thức xác nhận định danh bảo mật được sử dụng để chứng thực quyền của người sử dụng.

2.9. Hệ thống an ninh mạng: là tập hợp các thiết bị lường lửa; thiết bị kiểm soát, phát hiện truy cập bất hợp pháp; phần mềm quản trị theo dõi, ghi nhật ký trạng thái an ninh mạng và các trang thiết bị khác có chức năng đảm bảo an toàn hoạt động của mạng, tất cả cùng hoạt động đồng bộ theo một chính sách an ninh mạng nhất quán nhm kiểm soát chặt chẽ tất cả các hoạt động trên mạng.

2.10. Kịch bản: là một tập hợp những yêu cầu, thủ tục, tình huống, dữ liệu và kết quả thực hiện được xác định trước, sử dụng cho quá trình kiểm tra, cài đặt, bo hành, bảo trì các trang thiết bị, phần mềm, cơ sở dữ liệu CNTT.

2.11. Mạng máy tính: bao gồm mạng máy tính cục bộ và mạng máy tính diện rộng.

2.11.1. Mạng máy tính cục bộ: là mạng máy tính sử dụng công nghệ kết nối mạng cục bộ để kết nối các máy tính trong phạm vi cho phép của công nghệ mạng cục bộ

2.11.2. Mạng máy tính diện rộng: là mạng máy tính sử dụng công nghệ kết nối mạng diện rộng để kết nối các máy tính, hệ thống máy tính trong phạm vi cho phép của công nghệ mạng diện rộng

2.12. Mạng cục bộ riêng ảo: là mạng máy tính cục bộ được thiết kế riêng biệt ca về mặt vật lý và logic.

2.13. Vùng phi quân sự (DMZ): là vùng mạng máy tính được thiết kế riêng cvề mặt vật lý và logic. Vùng này dùng để đặt các máy chủ, tài nguyên dùng chung của toàn đơn vị. Tất cả các luồng thông tin truy cập vào hoặc ra vùng phi quân sự đều phải được kiểm soát bởi hệ thống lường lửa.

2.14. Vùng an toàn: là vùng mạng máy tính được thiết kế riêng biệt cvề mặt vật lý và logic. Vùng này dùng để đặt các máy ch, tài nguyên mạng dùng riêng lại Văn phòng HĐND và UBND Quận.

Điều 3. Trách nhiệm của Văn phòng HĐND và UBND Quận

3.1. Triển khai chính sách, quy trình về an toàn, bảo mật hệ thống CNTT (gọi chung là chính sách an ninh CNTT), tổ chức thực hiện và kim tra việc thực hiện những chính sách đó. Thường xuyên cập nhật chính sách an ninh CNTT phù hợp với những thay đổi hệ thống CNTT của đơn vị, môi trường vận hành và những tiến bộ khoa học kỹ thuật về lĩnh vực an ninh CNTT.

3.2. Bố trí các nguồn lực cần thiết để thực hiện việc trang bị, triển khai, vn hành, quản lý, giám sát và xử lý các sự cố trong hoạt động ứng dụng CNTT, đảm bảo các hệ thống CNTT hoạt động an toàn, bảo mật phù hợp với yêu cầu hoạt động nghiệp vụ và chiến lược an ninh CNTT của đơn vị. Tiến hành các biện pháp phòng ngừa, phát hiện và xử lý kịp thời các gian lận, lỗi, mất ổn định và những yếu t bất thường, mất an toàn khác.

3.3. Tổ chức bộ phận quản lý an ninh CNTT thích hợp nhằm thống nhất quản lý, triển khai các hoạt động về an ninh CNTT từ khâu lập kế hoạch, thiết kế, triển khai cài đặt đến vận hành hệ thống CNTT, phù hợp với các quy định tại văn bản này. Tuyn chọn, đào tạo người quản trị hệ thng CNTT đảm bo các tiêu chuẩn: có đạo đức nghnghiệp, có kiến thức van ninh CNTT, và được trang bị các kiến thức liên quan tới hoạt động nghiệp vụ và hệ thống CNTT của đơn vị. Quyết định phân công nhiệm vụ quản trị hệ thống CNTT phải được thể hiện bằng văn bản.

3.4. Đảm bảo hệ thống CNTT sẵn sàng ở mức độ cao; xây dựng, thử nghiệm các kế hoạch dự phòng và khôi phục hệ thng khi có sự choặc thm họa.

3.5. Đánh giá vnăng lực, tính khthi, rủi ro liên quan đến các hoạt động CNTT do các đối tác bên ngoài cung cấp; xây dựng các thoả thuận để xác định rõ mi quan hệ, nghĩa vụ và trách nhiệm của các bên tham gia cung cấp dịch vụ CNTT như: mức độ cung cấp dịch vụ, dự kiến kết quả vận hành, khả năng thực thi, khnăng mở rộng, mức độ tuân thủ, kế hoạch dự phòng, mức độ dự phòng, an toàn bo mật, đình chdịch vụ, kiểm soát các nghĩa vụ thực hiện hp đồng và mối quan hệ với các h thng CNTT liên quan.

3.6. Thường xuyên phối hợp với các đơn vị chuyên môn v an ninh CNTT tổ chức các khoá đào tạo cập nhật kiến thức van ninh CNTT cho người sử dụng phù hợp với nhiệm vụ mà người đó đm nhiệm.

3.7. Các trang thiết bị, phần mềm, cơ sdữ liệu sử dụng trong hoạt động nghiệp vụ nên bn quyền sử dụng theo quy định của pháp luật.

Điều 4. Các yêu cầu an ninh thông tin

4.1. Tính bí mật: người sử dụng chỉ có quyền truy cập, và thao tác với những thông tin, dữ liệu tương ứng mà mình được phép truy cập.

4.2. Tính nguyên vẹn: người sử dụng không thtruy cập, sửa đổi và xoá những thông tin, dữ liệu mà minh không có quyền trên đó.

4.3. nh sn sàng: thông tin luôn sn sàng đáp ứng nhu cầu s dng của người có thẩm quyền.

4.4. Tính không thphủ nhận: người khởi tạo thông tin không th phnhận trách nhiệm đối với thông tin do mình tạo ra.

4.5. Tính xác thực: xác định được nguồn gốc của thông tin.

Điều 5. Xác định yêu cầu an ninh của hệ thống CNTT

Việc xếp loại yêu cầu, mức độ đầu tư cho an ninh hệ thống CNTT của Quận phải được xác định rõ dựa trên các yếu tố sau:

5.1. Vai trò của hệ thống CNTT trong việc thực hiện các mục tiêu của đơn vị.

5.2. Nguồn gốc, nguy cơ xảy ra các rủi ro đối với hệ thống CNTT.

5.3. Khả năng khc phục khi có rủi ro.

5.4. Mức độ rủi ro có thchấp nhận được.

5.5. nh hưởng của rủi ro nếu xảy ra đối với hoạt động của đơn vị

Điều 6. Các hành vi bị nghiêm cấm

6.1. Không tuân thủ các quy định về an ninh hệ thống CNTT của Nhà nước và của đơn vị.

6.2. Truy cập, cung cấp, phát n thông tin bất hợp pháp.

6.3. Tiết lộ kiến trúc h thng, thuật toán của h thng an ninh CNTT.

6.4. Sửa đổi trái phép kiến trúc, cơ chế hoạt động của hệ thống CNTT.

6.5. Sử dụng các trang thiết bị CNTT của đơn vị phục vụ cho mục đích cá nhân

6.6. Các hành vi khác làm cản trở, phá hoại hoạt động của hệ thống CNTT.

Chương II

CHÍNH SÁCH, THỦ TỤC, QUY ĐỊNH CỤ THỂ

Điều 7. Quản lý, xác thực người sử dụng trên hệ thống CNTT

7.1. Mọi hệ thống, ứng dụng CNTT trong quận phải quản lý, xác thực được người sử dụng truy nhập trên hệ thống đó.

7.2. Các ng dụng CNTT đang vận hành trên hệ thống mạng máy tính nên tổ chức dựa trên hệ thống qun lý, xác thực người sử dụng tập trung I.DAP nhằm làm tăng mức độ quản lý tập trung và dvận hành cho người sử dụng.

7.3. Các quy trình, chương trình, công cụ, thuật toán dùng cho thiết lập mt khẩu, thiết bị định danh và cơ sở dữ liệu khóa dùng để kiểm tra truy nhập phi được quản lý, sử dụng theo chế độ “Mật”.

7.4. Yêu cầu tổ chức hệ thống xác thực:

7.4.1. Có quy trình quản và xác thực người sử dụng cho từng hệ thống CNTT, ứng dụng CNTT phù hợp với yêu cầu an toàn, bảo mật của nghiệp vụ xử lý trên đó;

7.4.2. Xác thực quyền truy nhập của người sử dụng bằng tài khoản, bằng phương tiện định danh hoặc kết hợp của cả hai và chỉ cấp cho người sử dụng đủ quyền hạn để thực thi nhiệm vụ mà người đó được phân công;

7.4.3. Mật khu, dữ liệu định danh dùng cho việc xác thực truy nhập phải được bảo mật trong quá trình lưu tr, truyền qua mạng và hin thị trên màn hình của người sử dụng;

7.4.4. Môi trường nơi đặt trang thiết bị xác thực phải đảm bảo bí mật, an toàn cho sử dụng mật khu, phương tiện định danh;

7.4.5. Kiểm tra, vô hiệu hoá và loại bkịp thời những i khoản người sử dụng không còn thẩm quyền làm việc trên hệ thống CNTT;

7.4.6. Đình chỉ tạm thời quyền làm việc của tài khoản người sử dụng đã được đăng ký trên hệ thống CNTT, nhưng tạm thời không làm việc trên hệ thng đó trong thời gian từ 5 ngày làm việc tr lên;

7.4.7. Định kỳ hàng tuần, xem xét nhật ký truy nhập hệ thống, phát hiện và xử lý kp thời những trường hợp truy nhập bất hợp pháp hoặc thao tác vượt quá giới hạn thẩm quyền được giao của người sử dụng.

Điều 8. Các phương pháp xác thực

8.1. Xác thực dùng định danh (ID) và mật khu (password) phải đáp ứng các yêu cầu sau:

8.1.1. Mật khẩu phi có độ dài từ 06 ký tự trlên, cấu tạo gồm các kí tự s, chữ hoa, chthường và các ký tự đặc biệt khác nêu hệ thống cho phép. Các yêu cầu mật khẩu hp lphải được kiểm tra tự động khi thiết lập mật khu;

8.1.2. Các mật khẩu mặc định của nhà sản xuất cài đặt sn trên các trang thiết bị, phn mm, cơ sở dữ liệu phi được thay đổi ngay khi đưa vào sử dụng;

8.1.3. Các mật khẩu sử dụng khi có đơn vị bảo trì, khắc phục sự cố tại thiết bị phần cứng, phần mềm...phải được thay đổi ngay sau khi hoàn tất công việc.

8.1.4. Phần mềm quản lý mật khẩu phải có các chức năng:

8.1.4.1. Thông báo người sử dụng thay đổi mật khu sắp hết hạn sử dụng:

8.1.4.2. Huy hiệu lực của mật khu đã hết hạn sử dụng nhưng không thực hiện việc thay đổi mật khu:

8.1.4.3. Cho phép áp dụng các tiêu chuẩn về chiu dài và độ khó của mật khẩu.

8.1.4.4. Cho phép thay đổi ngay mật khẩu bị lộ, có nguy cơ bị lộ hoặc theo yêu cầu của người sử dụng;

8.1.4.5. Ngăn chặn việc sử dụng lại mật khẩu cũ trong một khong thời gian nhất định.

8.1.4.6. Vô hiệu hoá tài khon người sử dụng trong một khong thời gian nhất định khi số lần nhập sai mật khẩu của tài khon đó quá 3 lần.

8.1.4.7. Ghi nhật ký lại toàn bộ các tài khon đăng nhập thành công và không thành công vào hệ thống CNTT

Điều 9. Kiểm soát truy nhập hệ thống CNTT

9.1. Mọi hệ thống, ứng dụng CNTT đều phải được thiết lập chức năng kiểm soát truy nhập, cnh báo, ngăn chặn người sử dụng truy nhập bất hợp pháp hoặc sử dụng sai chức năng, quyền hạn trên hệ thống.

9.2. Các hệ thống, ứng dụng CNTT dùng chung của nội bộ Văn Phòng ND và UBND Quận và các đơn vị phòng ban chuyên môn, UBND phường bên ngoài phải được lưu trữ trong vùng Phi quân s (DMZ). Đồng thời mọi lung thông tin truy nhập vào hệ thống CNTT, ứng dụng CNTT dùng chung đều phải được khai báo rõ ràng và phi được thông qua sự kiểm soát của hệ thống tường lửa.

9.3. Các hệ thống, ứng dụng CNTT dùng riêng của nội bộ các phòng ban chuyên môn nằm trong khuôn viên Văn Phòng HĐND và UBND Quận phải được lưu trữ riêng trong vùng An toàn. Đồng thời mọi lung thông tin truy nhập vào hệ thống CNTT, ứng dụng CNTT riêng đều phải được khai báo rõ ràng và đều phải thông qua sự kiểm soát của hệ thng tường lửa.

9.4. Hệ thống sở dữ liệu của các hệ thống, ứng dụng CNTT đều phải được lưu trữ riêng trong vùng An toàn. Đồng thời mọi luồng thông tin truy cập vào hệ thống cơ sở dữ liệu đều phải được khai báo rõ ràng và đều phải thông qua sự kiểm soát của hệ thống tường lửa.

9.5. Mọi luồng dữ liệu qua lại giữa các phòng ban chuyên môn trong khuôn viên Văn phòng HĐND và UBND Quận và giữa các phòng ban chuyên môn, UBND phường bên ngoài đều phải được khai báo rõ ràng và đều phải thông qua s kim soát của hệ thống tường la.

9.6. Hệ thống kiểm soát truy nhập phải có các chức năng sau:

9.6.1. Tự động đình chỉ việc truy nhập hệ thống của người sử dụng nếu trong một khoảng thời gian định sẵn đã thực hiện 03 ln truy nhập liên tiếp không hợp lvào hệ thống. Tất cả các truy cập không thành công phải được hệ thống ghi nhật ký tự động:

9.6.2. Quản lý, xác nhận việc kết nối của các thiết bị đầu cui cùng như chp thuận cho các thiết bị đầu cuối được thực hiện kết nối;

9.6.3. Không cho phép người sử dụng trừ người quản trị hệ thống truy nhập đồng thời vào nhiều thiết bị đầu cuối tại một thời điểm;

9.6.4. Thiết bị đầu cuối cài đặt tự động chuyn sang chế độ không hoạt động, chế độ khoá màn hình có mật khẩu hoặc tự động thoát khỏi hệ thống sau một khoảng thời gian không sử dụng.

Điều 10. Ghi nhật ký giám sát hoạt động

10.1. Các hệ thống CNTT phải có chức năng ghi nhật ký giám sát các hoạt động trên hệ thống đó. Đồng hồ của các trang thiết bị trên cùng một hệ thống CNTT phải được đồng bộ từ cùng một nguồn nhm đảm bảo tính chính xác của nhật ký giám sát.

10.2. Các truy nhập và các thao tác của người sử dụng làm ảnh hưởng đến hoạt động của hệ thống phải được ghi nhật ký. File nhật ký phải được bảo vệ chống lại mọi sự thay đổi.

10.3. Thời gian lưu trữ file nhật ký cho từng hệ thống CNTT lối thiểu là 60 ngày, nhằm đảm bảo giám sát được các hoạt động trên hệ thống.

10.4. Người quản trị hệ thống có trách nhiệm thường xuyên xem xét các file nhật ký của hệ thống nhằm phát hiện, xử lý và ngăn chặn kịp thời các sự c gây mất an toàn, n định của hệ thống CNTT.

Điều 11. An toàn vật lý

11.1. Phòng máy chủ và các khu vực đặt, sử dụng các trang thiết bị CNTT phải có nội quy và áp dụng các biện pháp bảo vệ, kiểm soát ra vào, nên có camera giám sát nhằm đảm bảo chỉ những người có nhiệm vụ mi được vào những khu vực đó.

11.2. Những công việc tiến hành trong phòng máy chủ phải được ghi snhật ký làm việc hàng ngày.

11.3. Phòng máy tính phải đảm bảo vệ sinh công nghiệp: không đột, không thm nước; các trang thiết bị lắp đặt trên sàn kỹ thuật, không bị ánh nng chiếu rọi trực tiếp; độ ẩm, nhiệt độ đạt tiêu chuẩn quy định cho các thiết bị và máy ch: trang bị đầy đủ thiết bị phòng chống cháy, n, lũ lụt, hệ thống chống sét và hệ thống an ninh chống, truy nhập bất hợp pháp.

11.4. Các trang thiết bị dùng cho hoạt động nghiệp vụ lắp đặt bên ngoài trụ scủa đơn vị phải có biện pháp giám sát, bảo vệ an toàn phòng chống truy nhập bất hợp pháp và quản lý việc sử dụng các trang thiết bị đó.

11.5. Người sử dụng máy tính phải thoát ra khỏi hệ thống, hoặc sử dụng chức năng khoá máy tính (lock computer hoặc log off) ngay khi rời khi vị trí làm việc.

11.5.1. Các bước thực hiện việc khoá máy tính (Lock computer):

o Nhấn tổ hợp phím <Alt>, <Ctrl>, <Delete>

o Chọn nút: Lock Computer

o Chú ý: Khi khoá máy tính, các chương trình mà người sử dụng đang “mở và vận hành trên máy tính vẫn hoạt động bình thường

11.5.2. Các bước thực hiện việc thoát khỏi hệ thống máy tính (Log out):

o Nhấn tổ hợp phím <Alt>, <Ctrl>. <Delete>

o Chọn nút: Log Off

o Chú ý: Khi chọn chức năng thoát ra khỏi hệ thống máy tính, các chương trình mà người sử dụng đang mở và vận hành trên máy tính sbị tắt.

11.6. Người sử dụng phải thực hiện việc tt máy tính (Shutdown) khi hết giờ làm việc và ra v

11.7. Chương trình, số liệu của đơn vị có khả năng bị lợi dụng phi được loại bkhi giao các trang thiết bị có chứa các chương trình, dữ liệu đó cho đơn vị bên ngoài hoặc khi thanh lý tài sản.

11.8. Nguồn điện cho hệ thống CNTT:

11.8.1. Phòng máy chủ phải được trang bị ngun điện riêng với các tiêu chuẩn kỹ thuật công nghiệp phù hợp với các trang thiết bị lắp đặt trong phòng máy;

11.8.2. Nguồn điện dự phòng phải đủ tiêu chuẩn, công sut cho hoạt động bình thường của hệ thống CNTT trong thời gian nguồn đin chính bị gián đoạn vì sự cố.

Điều 12. An toàn mạng máy tính

12.1. Tài liệu kỹ thuật và vận hành hệ thống mạng máy tính phải gồm các loại như sau:

12.1.1. Hồ sơ khảo sát, thiết kế và thuyết minh kỹ thuật của mạng;

12.1.2. Tài liệu kiểm tra, đánh giá của đơn vị (test plan) xác định thiết kế của mạng đủ tiêu chuẩn an toàn cho vận hành;

12.1.3 Quy trình quản lý và vận hành mạng.

12.2. Yêu cầu an ninh mạng máy tính:

12.2.1 Kiểm soát, giám sát được các luồng dữ liệu truy nhập mạng;

12.2.2 Ngăn chặn được các truy cập trái phép;

12.2.3 Ghi nhật ký truy nhập mạng;

12.2.4 Có quy trình xử lý sự cố và phòng ngừa thm hoạ;

12.2.5 Có các biện pháp kỹ thuật, hành chính ngăn chặn, việc tiếp cận trái phép các trang thiết bị, đường truyền mạng.

12.3. Trách nhiệm người sử dụng mạng:

12.3.1 Phải đăng ký và được chấp thuận sử dụng trước khi truy nhập vào mạng:

12.3.2 Khi phát hiện thấy dấu hiệu mất an toàn, phải thông báo ngay cho người quản trị mạng xử lý;

12.3.3 Cập nhật phiên bản phần mềm chống virus mới và thường xuyên quét virus trên máy tính kết nối vào hệ thống mạng. Không tự ý thay đổi, gbỏ các chương trình, thông số kỹ thuật mà người quản trị mạng đã cài đặt;

12.3.4 Không sử dụng máy tính xử lý nghiệp vụ để kết nối Internet nếu chưa được bộ phận quản lý CNTT của đơn vị xác định đã đủ các điều kiện bảo vệ an toàn;

12.3.5 Chấp hành các quy định khác của đơn vị phù hợp với các quy định tại Quy chế này.

12.4. Trách nhiệm người qun trị mạng:

12.4.1 Kiểm tra, đảm bảo mạng máy tính hoạt động liên lục, ổn định và an toàn;

12.4.2 Quản lý cu hình mạng, tài nguyên và người sử dụng trên mạng;

12.4.3 Thiết lập đầy đủ các chế độ bảo mật và kiểm soát an ninh mạng;

12.4.3.1. Ngăn chặn người sử dụng tự ý thay đổi các thông smạng và cấu hình của máy tính trạm.

12.4.3.2. Ngăn chặn người sử dụng tự ý cài đặt thêm phn mm mới hoặc gỡ bỏ các phần mềm đã được cài đặt

12.4.3.3. Ngăn chặn người sử dụng thiết bị lưu trữ trong hoặc ngoài (Đĩa cứng, đĩa mềm, USB..) khi không được phép của các cấp có thẩm quyền

12.4.3.4. Ngăn chặn người sử dụng truy cập đến những dữ liệu, ứng dụng CNTT và các tài nguyên mạng mà họ chưa có đủ quyền truy cập hoặc chưa cho phép bởi các cấp có thm quyền.

12.4.3.5. Ngăn chặn người sử dụng truy cập đến những website có nội dung không được cho phép.

12.4.3.6. Ngăn chặn người sử dụng thay đổi giờ trên máy tính đang làm việc.

12.4.3.7. Ngăn chặn người sử dụng đăng nhập vào máy tính trạm bng tài khoản cục bộ.

12.4.3.8. Ngăn chặn người sử dụng có thể tạo hoặc sửa chữa hệ thống lài khoản cục bộ tại máy trạm.

12.4.3.9. Ngăn chặn người sử dụng thay đổi tên máy tính trạm đang làm việc

12.4.3.10. Ngăn chặn người sử dụng tự ý chia sẻ tài nguyên trên máy trạm đang làm việc

12.4.3.11. Ngăn chặn người sử dụng truy cập tới các máy tính trạm trong mạng khi chưa được phép.

12.4.3.12. Ngăn chặn người sử dụng kích hoại các chương trình cài đặt từ các thiết bị lưu trữ dữ liệu ngoài (USB, CD ROM, DVD ROM,...)

12.4.3.13. Ngăn chặn người sử dụng truy cp đến bảng điều khin máy tính trạm (Computer management Congole) khi chưa được phép.

12.4.3.14. Thiết lập chế độ tự động ánh xạ các ổ đĩa từ máy chủ lưu tập tin xung máy trạm tương ứng với i khon đăng nhập.

12.4.3.15. Cho phép người sử dụng có thshutdown máy tính trạm mà không cần đăng nhập.

12.4.4. Sử dụng các công cụ được trang bị, dò tìm và phát hiện kịp thời các điểm yếu, dễ bị tn thương và các truy nhập bất hợp pháp vào hệ thống mạng. Thưng xuyên xem xét, phát hiện những kết nối, trang thiết bị, phn mềm cài đặt bất hợp pháp vào mạng.

12.4.5. Phát hiện và xử lý kịp thời những lỗ hng van ninh của hthng mạng;

12.4.6. Hướng dẫn, hỗ trợ người sử dụng bảo vệ tài khoản, tài nguyên trên mạng, cài đặt phn mềm chống virus và giải quyết kịp thời những sự ctruy nhập mạng;

12.4.7. Kiểm tra và ngắt kết nối ra khỏi hệ thống mạng những máy tính của người sử dụng không tuân thủ các quy định của đơn vị về phòng, chống virus và các quy định khác về an ninh hệ thống mạng.

Điều 13. An toàn cơ sở dữ liệu (CSDL)

13.1. Hệ quản trị CSDL sử dụng cho các hoạt động nghiệp vụ phi đáp ng được yêu cầu sau:

13.1.1. Vận hành trên mạng và độc lập với máy chủ, hệ điều hành, ứng dụng;

13.1.2. Hoạt động ổn định; xử lý, lưu trữ được khối lượng dliệu lớn theo yêu cầu nghiệp vụ;

13.1.3. Bảo vệ và phân quyền truy nhập đối với các tài nguyên CSDL;

13.1.4. Qun lý, đảm bảo tính nhất quán của các bảng dữ liệu quan hvà của từng tác vụ xử lý trên CSDL;

13.1.5. Có tích hợp công cụ ngôn ngtruy vấn có cấu trúc (SQL);

13.1.6. Hỗ trợ lưu trữ CSDL trực tuyến và khôi phục CSDL từ phiên bn lưu;

13.1.7. Có khả năng nâng cấp phiên bản mới.

13.2. Chỉ sử dụng các CSDL đã được kiểm nghiệm qua thực tế hoạt động nghiệp vụ của các tổ chức tương tự trong hoặc ngoài nước.

13.3. Trách nhiệm của người quản trị CSDL:

13.3.1. Duy trì hệ thống CSDL hoạt động liên lục, ổn định và an toàn;

13.3.2. Thay đổi các mật khẩu mặc định ngay khi đưa CSDL vào sử dụng;

13.3.3. Phân quyền sử dụng tài nguyên cho người sử dụng CSDL;

13.3.4. Lập kế hoạch, thực hiện lưu trữ dữ liệu và kiểm tra kết quả lưu trữ;

13.3.5. Kiểm tra, đảm bảo khôi phục được hoàn toàn CSDL từ bn lưu trkhi cần thiết;

13.3.6. Quản lý chặt chẽ các bản lưu trữ, tránh nguy cơ mất mát, bị thay đổi và khai thác bất hợp pháp;

13.3.7. Thường xuyên kiểm tra tình trạng của CSDL cvề mặt vật lý và logic. Cập nhật kp thời các bản vá lỗi từ nhà cung cấp.

Điều 14. An toàn phần mềm ứng dụng

14.1. Yêu cầu chung:

14.1.1. Tài liệu kỹ thuật:

- Tài liệu đối với phần mềm do đơn vị txây dựng gồm:

u cầu người sử dụng;

■ Phân tích thiết kế hệ thống;

■ Quá trình phát triển

■ Thử nghiệm

■ Triển khai

■ Quản lý phiên bản và hướng dẫn vận hành;

- Tài liệu kèm theo phn mềm đóng gói do bên ngoài cung cấp gồm:

■ Tài liệu kỹ thuật

■ Tài liệu hướng dẫn sử dụng phần mềm.

14.1.2. Phần mềm phải tích hợp các giải pháp xác thực, kiểm soát truy nhập và mã hoá dữ liệu theo các quy định tại các Điều 8, Điều 9 và Điều 10 của Quy chế này;

14.1.3. Phn mềm phải vận hành ổn định, xử chính xác và đảm bảo tính nhất quán của dữ liệu;

14.1.4. Các phần mềm nghiệp vụ và tài liu kthuật phải được nhân bản và lưu giữ an toàn ti thiểu tại hai địa điểm tách biệt.

14.2. Phân tích, thiết kế và viết phần mềm:

14.2.1. Các yêu cầu an toàn, bảo mật của nghiệp vụ phi được xác định trướctổ chc, triển khai vào toàn bộ quy trình phát triển phần mềm từ khâu phân tích thiết kế đến triển khai vận hành, sao lưu dự phòng và bảo trì khắc phục sự c;

14.2.1. Các tài liệu về an toàn, bảo mật của phần mềm phải được hệ thống hoá và lưu trữ, sử dụng theo chế độ “Mật”.

14.3. Kim tra, thử nghiệm phn mềm:

Mọi phn mm trin khai vào thực tế phi qua các bước kim tra, thnghiệm sau:

14.3.1. Lập và phê duyệt kế hoạch, kịch bản thnghiệm. Việc thử nghiệm phải đảm bảo không ảnh hưởng đến hoạt động bình thường của nghiệp vụ và các hthống CNTT khác;

14.3.2. Tiến hành thử nghiệm trên môi trường riêng biệt. Lập báo cáo kết quthnghiệm trình cấp lãnh đạo phê duyệt đưa vào sử dụng;

14.3.3. Việc sử dụng dữ liệu thật trong quá trình thử nghiệm phi có biện pp phòng ngừa tránh bị lợi dụng hoặc gây nhầm ln.

14.4. Triển khai, vận hành phần mềm:

14.4.1. Việc triển khai phần mềm không được nh hưởng đến an toàn, bảo mật của các hệ thống CNTT đã có;

14.4.2. Trước khi triển khai phần mềm, phải đánh giá những rủi ro của quá trình triển khai đối với hoạt động nghiệp vụ, các hệ thống CNTT liên quan và lập, triển khai các phương án hạn chế, khắc phục rủi ro.

14.5. Qun lý phiên bản phần mềm:

14.5.1. Đối với mi yêu cầu thay đổi phn mềm, phải phân tích đánh giá nh hưởng của việc thay đổi đối với nghiệp vụ và các hệ thống CNTT có liên quan khác của đơn vị;

14.5.2. Các phiên bản phần mềm sau khi thử nghiệm thành công phải được quản lý chặt chẽ, tránh bị sửa đổi bất hợp pháp và sn sàng cho việc triển khai;

14.5.3. Đi kèm với phiên bản phần mm mới phải có các chdẫn rõ ràng vnội dung thay đổi, hướng dẫn cập nhật phần mềm và các thông tin liên quan khác:

14.5.4. Chỉ được triển khai vào hoạt động nghiệp vụ phiên bản phần mềm đã được lãnh đạo đơn vị phê duyệt cho trin khai.

14.6. Quản lý mã nguồn phần mềm:

14.6.1. Mã nguồn phần mềm phải được quản lý chặt chẽ để tránh bị sử dụng hoặc sửa đổi trái phép;

14.6.2. Phải có các thoả thuận, ràng buộc pháp lý về việc quản lý, chnh sửa mã nguồn dùng cho bảo trì, sửa chữa, cập nhật lỗ hổng bảo mật, cập nhật tính năng trong trường hợp những phần mềm đó do đối tác bên ngoài phát triển và không bàn giao mã nguồn.

14.7. Cơ sở dữ liệu của phần mềm ứng dụng không nên được nằm cùng máy chủ vận hành ứng, dụng, mà phải nm riêng tại máy chủ cơ sở dữ liệu trong vùng An toàn và được kim soát bởi hệ thống bc tường la.

Điều 15. An toàn hệ điều hành của máy chủ

15.1. Hệ điều hành được lựa chọn phải đáp ứng các yêu cầu sau:

15.1.1. Vận hành an toàn, ổn định;

15.1.2. Có tính sẵn sàng cao;

15.1.3. Quản lý người sử dụng, bảo vệ và phân quyền truy nhập tài nguyên;

15.1.4. Ghi nhật ký hoạt động của hệ thống;

15.1.5. Cập nhập phiên bản mi;

15.1.6. Kiểm tra, khôi phục hệ thống khi sự cố.

15.2. Chỉ sử dụng hệ điều hành đã được kim nghiệm qua thực tế hoạt động nghiệp vụ của các cơ quan tổ chức tương tự trong hoặc ngoài nước.

15.3. Trách nhiệm của người qun trị hệ điều hành:

15.3.1. Đảm bảo cho hđiều hành cài đặt trên máy chủ hoạt động liên tục, n định và an toàn;

15.3.2. Thường xuyên kiểm tra cu hình, các file nhật ký hoạt động của hệ điều hành, kịp thời phát hiện và xử lý những sự c nếu có;

15.3.3. Cấp quyền và quản lý truy nhập của người sử dụng trên máy chủ cài đặt hệ điều hành;

15.3.4. Qun lý các thay đổi cu hình kỹ thuật của hệ điều hành;

15.3.5. Thiết lập hệ thống tự động cập nhật các bản vá li hệ điều hành từ nhà cung cấp.

15.3.6. Thường xuyên cập nhật các bn sa lỗi hđiều hành từ nhà cung cp;

15.3.7. Loại bcác dịch vụ của hđiều hành không cần thiết hoặc không còn nhu cầu sử dụng.

Điều 16. Lưu trữ dữ liệu

16.1. Yêu cầu của hệ thống lưu trữ:

16.1.1. Đảm bảo tính toàn vẹn và đầy đủ của dữ liệu lưu trữ trong suốt thời gian lưu trữ theo quy định;

16.1.2. Lưu trữ đúng và đủ thời hạn của từng loại dữ liệu theo các quy định của Nhà nước;

16.1.3. Các loại dữ liệu cần thiết để duy trì hoặc khôi phục lại hoạt động ca đơn vị khi có sự cphải được lưu trữ tối thiu tại hai địa điểm cách biệt nhau;

16.1.4. Khi cần thiết, dữ liệu lưu trữ phải chuyn đổi được thành dạng dữ liệu ban đầu như trước khi lưu.

16.2. Trách nhiệm của Tổ CNTT:

16.2.1. Có phương án trang bị, quy trình kỹ thuật lưu trữ, kiểm tra, bo quản và khai thác dữ liệu lưu trữ được cấp có thm quyn phê duyt:

16.2.2. Đảm bo các điều kiện về địa điểm, môi trường lưu trữ, bảo quản thiết blưu trữ dữ liệu an toàn và khoa học;

16.2.3. Duy trì các trang thiết bị, phn mềm dùng cho lưu trữ, khai thác đồng thời với dữ liệu lưu trữ hoặc chuyển đổi dữ liệu lưu trữ phù hợp với những thay đổi của giải pháp lưu trữ để đảm bảo khai thác được dữ liệu đã lưu trữ tại mọi thời điểm;

16.2.4. Quy định phạm vi, tn xuất lưu trữ phù hợp đối với từng loại dữ liệu nghiệp vụ để đảm bảo khôi phục, duy trì được hoạt động liên lục của nghiệp vụ trong trường hợp xy ra sự cđối với dữ liệu hoạt động chính;

16.2.5. Kiểm soát và đối chiếu dữ liệu với các khâu xử lý nghiệp vụ liên quan để đảm bảo sự chính xác, khớp đúng và đầy đủ của dữ liệu trước khi lưu trữ;

16.2.6. Thực hiện ghi stheo dõi địa điểm, thời gian, danh mục dữ liệu, người thực hiện công việc lưu trữ và khai thác dữ liệu;

16.2.7. Ban hành và triển khai quy trình lưu trữ: sao lưu dữ liệu; khai thác dữ liệu lưu trữ; kiểm tra, giám sát an toàn đối với dữ liệu lưu trữ; bin pháp phòng nga và khc phục rủi ro cho dữ liệu lưu trữ; tiêu hủy dữ liệu lưu trữ hết thời hạn; và các nội dung khác có liên quan đến kỹ thuật lưu trữ và bảo quản dữ liệu lưu trữ an toàn, hiệu quả;

16.3. Trách nhiệm của bộ phận, cá nhân được giao nhiệm vụ lưu trữ:

16.3.1. Thực hiện đúng các quy định về việc lưu trữ, bảo quản dữ liệu lưu trữ và phải chịu trách nhiệm về các rủi ro đối với dữ liệu lưu trữ do chủ quan mình gây ra;

16.3.2. Không được phép cho bt cứ tổ chức, cá nhân nào khai thác, sử dụng dữ liệu lưu trữ nếu không có sự đồng ý bằng văn bản của lãnh đạo hoặc người được ủy quyền phê duyệt;

16.3.3. Trong trường hợp có rủi ro hoặc phát hiện nguy cơ xảy ra rủi ro với dữ liệu điện tử lưu trữ, phải báo cáo ngay cho người có thẩm quyền để có biện pháp xử lý, khắc phục kịp thời.

16.4. Quy đnh việc lưu trữ dữ liệu phòng ban và cá nhân

16.4.1. Tổ CNTT Văn phòng HĐND và UBND Quận phải thiết kế giải pháp, cấu trúc lưu trữ dữ liệu và triển khai hệ thống máy chủ lưu trữ tập tin (File server) cho toàn bộ phòng ban chuyên môn và cán bộ công chức năm trong khuôn viên Văn phòng HĐND và UBND Quận nhằm tránh các rủi ro do tình trạng lưu trữ dữ liệu rải rác trên các máy trạm.

16.4.2. Hệ thống máy chủ lưu trữ tập tin phải được đặt riêng trong vùng An toàn và phải được kim soát chặt chẽ của hệ thống tường lửa.

16.4.3. Tổ CNTT Văn phòng HĐND và UBND Quận phải cp quyền truy cp tương ứng cho từng phòng ban chuyên môn, cán bộ công chức khi truy cập đến hệ thống máy chủ lưu File (Share permission, NTFS permission).

16.4.4. Hệ thống lưu trữ tập tin tập trung phải được tự động ánh xạ đến từng tài khoản của người sử dụng khi đăng nhập vào hệ thống.

16.4.5. Các dữ liệu cá nhân của người sử dụng (Phim ảnh, âm nhạc, phần mềm...) không liên quan đến công việc của Quận thì được lưu trữ ở cứng cục bộ trên máy trạm và skhông được bộ phận tin học thực hiện sao lưu dự phòng.

16.4.6. Tổ CNTT Văn phòng ND và UBND Quận phải có kế hoạch, gii pháp, và thực hiện sao lưu dự phòng hàng ngày, tuần, tháng toàn bộ dữ liệu trên máy chủ lưu trữ tập tin.

Điều 17. Phòng, chống virus máy tính

17.1. Văn phòng HĐND và UBND Quận phải triển khai hệ thống phòng chống: virus, phần mềm gián điệp, phần mềm quảng cáo một cách tập trung (Antivirus server) hoặc phân tán cho toàn bộ các h thng CNTT của mình. Theo dõi và thông báo kịp thời cho người sử dụng các loại virus mới và cách phòng chng.

17.2. TCNTT Văn phòng ND và UBND Quận phải cài đặt và thiết lập cơ chế tự động cập nhật phiên bn quét virus và tự động quét virus cho tất c các máy nh trạm nm trong khuôn viên Văn phòng ND và UBND Quận.

17.3. Trách nhiệm phòng, chng virus của người sử dụng:

17.3.1. Thường xuyên kiểm tra và diệt virus;

17.3.2. Phần mềm, dữ liệu và các thiết bị lưu trữ dữ liệu di động nhận từ bên ngoài phi được kiểm tra hoặc nh qun trị mạng kiểm tra virus trước khi sử dụng;

17.3.3. Không mở các thư lạ, các tập tin (File) đính kèm hoặc các liên kết trong các thư lạ hoặc trong cửa schat (chương trình giao tiếp trực tiếp trên mạng như Yahoo messenger; MSN Messenger, AOL Messenger, ICQ Messenger..) để tránh virus;

17.3.4. Không vào các trang web không có nguồn gốc xuất xứ rõ ràng;

17.3.5. Cập nhật kịp thời các mẫu virus và các phần mềm chống virus mới;

17.3.6. Trường hợp phát hiện nhưng không diệt được virus, phải báo ngay cho người quản trị hệ thống mạng xử lý.

Điều 18. Chép dữ liệu ra và vào hệ thống CNTT

18.1. Nghiêm cm người sử dụng tự ý sao chép bất kỳ dữ liệu nào nm trong hệ thống mạng ra ngoài và với dưới bất kỳ hình thức nào nếu không được phép của cấp trên có thẩm quyền và của quản trị hệ thống mạng.

18.2. Khi người sử dụng muốn sao chép dữ liệu ra khỏi hệ thống mạng phải làm đầy đủ các thủ tục như sau:

18.2.1. Điền vào mu thủ tục sao chép dữ liệu từ hệ thống CNTT ra ngoài

18.2.2. Phải được cấp có thẩm quyền (Cp quản lý trực liếp) ký xác nhận.

18.2.3. Sau đó chuyn mẫu thủ tục sao chép dữ liệu sang cho Qun trị mạng để tiến hành sao chép dữ liệu và ký xác nhận.

3. Khi người sử dụng muốn sao chép dữ liệu từ bên ngoài vào hệ thng CNTT của quận thì phải làm đầy đủ các thủ tục như sau:

18.3.1. Điền vào mu thủ tục sao chép dữ liệu từ ngoài vào hệ thống CNTT

18.3.2. Phải được cấp có thm quyền (Cấp quản lý trực tiếp) ký xác nhận.

18.3.3. Sau đó chuyn mẫu thủ tục sao chép dữ liệu và dữ liệu sang cho Quản trị mạng kiểm tra virus và tiến hành sao chép dữ liệu vào hệ thống CNTT.

Điều 19. Kết nối, trao đổi dữ liệu với đơn vị bên ngoài

19.1. Văn phòng ND và UBND Quận thực hiện kết nối với đơn vị bên ngoài phải thực hiện theo nguyên tc không được ảnh hưởng đến an ninh và hoạt động bình thường hệ thống mạng của đơn vị.

19.2. Hệ thống mạng nội bộ đơn vị phải tách biệt vvật lý hoặc logic với mạng kết nối bên ngoài.

19.3. Việc kết nối, trao đổi dữ liệu với bên ngoài phải được quy định cụ thể về tiêu chuẩn kết nối, dịch vụ được sử dụng, quyền truy cập, quy cách dữ liệu và quy trình trao đổi.

19.4. Các bước triển khai kết nối:

19.4.1. Khảo sát, thiết kế cấu hình hệ thống, phương thức kết nối và dịch vụ sử dụng trên hệ thống mạng;

19.4.2. Phân tích những ảnh hưởng, nguy cơ mất an toàn và lựa chọn giải pháp an ninh phù hợp, phòng chống truy nhập trái phép;

19.4.3. Trình thủ trưởng đơn vị phê duyệt phương án kết nối, cách thức trao đổi dữ liệu;

19.4.4. Lắp đặt, kim tra, thử nghiệm đạt yêu cầu và đưa vào vận hành chính thức;

19.4.5. Triển khai các biện pháp phòng chống xâm nhập bất hợp pháp từ bên ngoài.

Điều 20. Kết nối Internet

20.1. Trách nhiệm của Tổ CNTT:

19.4.1. Thiết kế mạng dùng riêng cho kết ni Internet phải tách biệt về vật lý với mạng xử lý nghiệp vụ hoặc gia chúng phải được ngăn cách bằng hệ thống bức tường lửa đ khnăng kiểm soát toàn bộ các truy nhập giữa hai mạng và phải đảm bảo an toàn cho hoạt động của phần mềm, dữ liệu trên mạng nghiệp vụ;

19.4.2. Có hệ thống giám sát, quản lý người sử dụng Internet, quản lý băng thông và thời gian khai thác Internet.

19.4.3. Các máy tính dùng cho kết nối Internet phải được dán nhãn thông báo để dễ nhận biết:

19.4.4. Không lưu trữ dữ liệu trên máy tính kết nối Internet tài liệu, số liệu thuộc bí mật Nhà nước.

20.2. Trách nhiệm của người sử dụng Internet:

20.2.1. Có trách nhiệm bảo vệ hệ thống mạng của đơn vị, cảnh giác với những mặt trái của Internet. Chịu trách nhiệm theo quy định của pháp luật nếu bao che hoặc cho người khác sử dụng trang thiết bị, mật khẩu của mình để thực hiện các hành vi phạm pháp;

20.2.2. Chịu sự kiểm tra, giám sát của đơn vị và các cơ quan chức năng của Nhà nước đối với các thông tin gửi ra Internet và chịu trách nhiệm pháp lý về các thông tin đó:

20.2.3. Tự quản lý tài khoản của mình và có trách nhiệm thay đổi mật khẩu ti thiu 6 tháng một lần để tránh bị lộ;

20.2.4. Không được truy cập các trang web có ni dung xu, có nội dung phn động ảnh hưởng đến phong tục, tôn giáo và chính trị;

20.2.5. Không được sử dụng các chương trình Chat (Yahoo Messenger, Live Windows Messenger. Skype...). Trừ một vài trường hợp được phép Chat nhưng phải liên quan đến công việc;

20.2.6. Không được có hành động gây cản trở, phá hoại hoạt động của mạng Internet. Thông qua mạng Internet làm ảnh hưởng đến các hệ thống thông tin khác, hoặc xâm phạm đến quyền lợi, danh dcủa cá nhân khác;

20.2.7. Không sử dụng các công cụ, phần mềm và các biện pháp kỹ thuật dưới mọi hình thức nhằm chiếm dụng băng thông đường truyền, gây tắc nghẽn mạng:

20.2.8. Không được tự ý sao chép, truyền tải các dữ liệu nằm trong hệ thống CNTT ra internet dưới bất cứ hình thức nào (FTP, Website, web mail, hệ thống lưu trữ trực tuyến, send email có file đính kèm, gởi file trực tiếp bng cửa schat, bằng chương trình truyền tải ngang hàng...)

20.2.9. Không được sử dụng các chương trình tán ngẫu trực tuyến (chat) và truy cập vào các website có nội dung không lành mạnh, phn động và những website không có liên quan đến công việc trong giờ làm việc.

20.2.10. Không được nghe nhạc, xem phim và chơi trò chơi trực tuyến (online) trong giờ làm việc.

20.2.11. Tuân thnội quy sử dụng Internet khác nếu có của đơn vị và các quy định của Nhà nước về khai thác, sử dụng Internet.

Điều 21. Công tác dự phòng đối với các sự cố

21.1. Thiết kế các giải pháp phần cứng, phần mềm nhằm làm tăng tính sẵn sang của hệ thống. Đồng thời phải lên kế hoạch, thiết kế giải pháp sao lưu, phục hi dữ liệu phù hợp nhất về tài chính và kỹ thuật cho toàn bộ hệ thống, ứng dụng CNTT đang vận hành.

21.2. Thường xuyên cập nhật những gii pháp, phần mềm sao lưu, phục hi dữ liệu tiên tiến và mới nhất.

21.3. Giải pháp sao lưu, phục hi dữ liệu phải đi kèm với những kịch bản xảy ra rủi ro, thảm hoạ trong từng cp độ tương ứng.

21.4. Thường xuyên kiểm tra tính bo mật, và toàn vẹn đối với những dữ liệu dự phòng.

21.5. T CNTT Văn phòng HĐND và UBND Quận phi d trù kinh phí trong việc thiết kế, xây dựng và duy trì hoạt động của hệ thống dự phòng đảm bảo các yêu cầu sau:

21.5.1. Ban hành các quy định vquản lý và vận hành hệ thống dự phòng;

21.5.2. Hệ thng dự phòng không được đặt cùng toà với hệ thống xử lý chính:

21.5.3. Hệ thống dự phòng phải có đủ năng lực vsở vật chất, kỹ thuật, có người sẵn sàng đm nhận toàn bộ vai trò của hệ thống xử lý chính khi cần thiết;

21.5.4. Thiết kế đường điện tách biệt với hệ thng chính. Trang bị máy phải điện, bộ tích điện cung cấp ngun điện ổn định, liên lục, đáp ứng yêu cầu xử lý công việc bình thường;

21.5.5. Hệ thng cung cấp nguồn điện bao gồm lưới điện quốc gia, máy phát điện, bộ tích điện và được thiết kế tự động đảm bảo cung cấp nguồn điện ổn định, liên tục, đáp ứng yêu cu hoạt động 24 gi/ngày và 7 ngày/tun;

21.5.6. Cơ sở dữ liệu hoạt động nghiệp vụ trong Quận phải được lưu trữ tức thời từ trung tâm chính sang hệ thống dự phòng;

21.5.7. Tổ chức hệ thống an ninh, đảm bảo an toàn hệ thống trang thiết bị kỹ thuật và dữ liệu của h thng dự phòng;

21.5.8. Thời gian đưa hệ thống dự phòng vào hoạt động thay thế hoàn toàn cho hệ thống xử lý chính không quá 04 gi.

21.6. Hoạt động của hệ thống dự phòng:

21.6.1. Hoạt động từ hệ thống chính chuyển sang hệ thống dự phòng chỉ được thực hiện trong điều kiện hệ thống chính bị ngừng hoạt động và phải được lãnh đạo đơn vị phê duyệt cho thực hiện;

21.6.2. Việc đưa hệ thống dự phòng vào sử dụng phải thực hiện theo dùng các kịch bản đã được phê duyệt;

21.6.3. Diễn tập chuyn hoạt động từ hệ thống chính sang hệ thống dự phòng phải được thực hiện định kỳ tối thiểu mỗi năm một lần;

21.6.4. Hệ thng dự phòng phải được kiểm tra, giám sát đảm bảo vận hành tốt.

Điều 22. Yêu cầu và trách nhiệm của người vận hành

22.1. Phải được trang bị các kiến thức cơ bản về CNTT: mạng máy tính (máy chủ, máy trạm làm việc và các thiết bị mạng), hệ điều hành, cơ sở dữ liệu đang sử dụng.

22.2. Đã qua các khoá đào tạo, tập hun vnghiệp vụ được giao vận hành.

22.3. Chỉ được thực hiện những công việc được giao, tuân thủ đúng quy trình kỹ thuật nghiệp vụ, quy trình kỹ thuật vận hành.

22.4. Phải chịu trách nhiệm về những sai sót, chậm tr, mất an toàn do chủ quan mình gây ra.

22.5. Có trách nhiệm thông báo kịp thời cho người quản trị hệ thống về những sự cđối với hệ thống CNTT nếu có.

Điều 23. Kiểm tra nội bộ

23.1. Các đơn vị phải tự tổ chức kiểm tra việc tuân thủ các quy định van toàn, bảo mật hệ thống CNTT theo các quy định tại Quy chế này tối thiu mỗi năm một lần.

23.2. Nội dung kiểm tra:

23.2.1. Đánh giá chính sách an ninh CNTT;

23.2.2. Kim tra tuân th chính sách an ninh CNTT;

23.2.3. Đánh giá những rủi ro có thể xảy ra và kiến nghị xử lý;

23.2.4. Trường hợp kiểm tra phát hiện những vi phạm hoặc dấu hiệu có th dn đến mất an toàn, trong báo cáo kim tra phải liệt kê cụ thể danh mục những vn đề đó, đánh giá mức độ ảnh hưởng của nó đối với hoạt động của đơn vị và dự kiến thời gian phải được hoàn tất xử lý đối với từng vấn để cụ thể;

23.2.5. Nội dung kiểm tra phải được lập thành báo cáo gửi các cấp có thẩm quyền.

23.3. Trách nhiệm của lãnh đạo Quận:

23.3.1. Chỉ đạo, kiểm tra và tạo điều kiện cho bộ phận quản lý CNTT và các bộ phận liên quan có kế hoạch khắc phục ngay các kiến nghị sau kiểm tra;

23.3.2. Kiểm tra việc thực hiện các kiến nghị theo kế hoạch;

23.3.3. Xác định nguyên nhân và trách nhiệm của cá nhân, tổ chức đối với những kiến nghị kiểm tra không được xlý từ các ln kiểm tra trước nếu có.

Điều 24. Chính sách kiểm tra, bảo trì hệ thống CNTT

24.1. Văn phòng HĐND và UBND Quận phải xây dựng kế hoạch kiểm tra, bao trì thường xuyên để đảm bảo hệ thống CNTT hoạt động liên tục, ổn định và an toàn. ng năm, đề xuất lãnh đạo Quận bố trí kinh phí, nguồn lực thích hợp cho công tác bảo trì toàn bộ hệ thống CNTT.

24.2. Mọi hệ thống CNTT phải được bảo trì theo định kỳ. Tùy theo mức độ quan trọng của mỗi hệ thống CNTT đối với hoạt động của đơn vị để lập và triển khai cấp độ bảo trì phù hợp, nhưng đối với mỗi hệ thống ít nht mỗi năm phải thực hiện bảo trì một lần.

24.3. Các trang thiết bị CNTT phải được duy trì mức công sut d phòng tối thiu là 20 phn trăm so với yêu cầu xlý tại thời điểm sử dụng cao nhất.

24.4. Nhật ký bo trì:

24.4.1. Toàn bộ quá trình bảo trì của hệ thống CNTT phải được ghi snhật ký theo dõi các thay đổi về thiết kế, cu hình của hệ thống CNTT trong những ln sửa chữa, nâng cấp, thay thế hoặc lắp đặt mi;

24.4.2. Các tập tin lưu nhật ký của hệ thống phải được xem xét thường xuyên, lưu trữ có hệ thống và phân tích theo nhiều góc độ khác nhau. Trên cơ sở đó phát hiện và khắc phục kịp thời những sự c, biu hiện mất an toàn.

24.5. Công tác bảo trì:

24.5.1. Công tác bo trì phải được tiến hành có kế hoạch, có kịch bn, đảm bo hoạt động bảo trì không ảnh hưởng đến các hoạt động nghiệp vụ bình thường đang din ra;

24.5.2. Các trang thiết bị, phần mềm, cơ sở dữ liệu phải được kiểm tra, theo dõi và xử lý kịp thời các hư hỏng, biu hiện mất ổn định hoặc quá ti; cập nhật kịp thời các bản vá lỗi, lấp các lỗ hng van ninh.

24.5.3. Kiểm tra, giám sát đơn vị bo trì bên ngoài thực hiện bảo trì theo đúng kịch bản đã được lãnh đạo đơn vị phê duyệt.

Điều 25. Báo cáo về an ninh CNTT

25.1. Văn phòng HĐND và UBND Quận phi có trách nhiệm báo cáo bằng văn bản hoặc bằng file o cáo điện tử cho lãnh đạo Quận đang phụ trách về CNTT với những báo cáo sau đây:

25.1.1. Báo cáo kim tra nội bộ của đơn vị theo quy định tại Điều 23 của Quy chế này. Thời hạn báo cáo chậm nhất là 60 ngày kể từ thời điểm hoàn thành kiểm tra;

25.1.2. Báo cáo đột xuất các vụ, việc mất an toàn xảy ra đối với hệ thống CNTT của toàn bộ các đơn vị tham gia hệ thống. Nội dung báo cáo thực hiện theo khoản 2 của Điều này. Thời hạn báo cáo chậm nhất là 30 ngày kể từ thời điểm vụ, việc được phát hiện.

25.2. Nội dung báo cáo đột xuất:

25.2.1. Ngày, địa điểm phát sinh vụ, việc;

25.2.2. Nguyên nhân vụ, việc;

25.2.3. Đánh giá rủi ro, ảnh hưởng đối với hệ thống CNTT và nghiệp vụ tại nơi xảy ra vụ, việc và những địa điểm khác có liên quan;

25.2.4. Các biện pháp đơn vị đã tiến hành để ngăn chặn, khắc phục và phòng ngừa rủi ro;

25.2.5. Kiến nghị, đề xuất với lãnh đạo Quận.

Chương III

ĐIỀU KHOẢN THI HÀNH

Điều 26. Trách nhiệm thi hành và tổ chức thực hiện

26.1. Văn phòng HĐND và UBND Quận Phú Nhuận có trách nhiệm hướng dẫn, theo dõi và kiểm tra việc chp hành Quy chế, chính sách này cho các đơn vị tham gia vào hệ thống CNTT của Văn phòng HĐND và UBND Quận Phú Nhuận.

26.2. Thủ trưởng cao nhất của các đơn vị tham gia vào hệ thống CNTT thuộc Văn phòng ND và UBND Quận Phú Nhuận có trách nhiệm tổ chức trin khai và kiểm tra việc chấp hành tại đơn vị mình theo đúng các quy định của Quy chế và chính sách này.

26.3. Quy chế, chính sách này được đxuất b sung sa đổi tối thiểu mỗi một ln hoặc theo từng thời điểm phát triển của hthống CNTT.

Điều 27. Khen thưởng và Xử lý vi phạm

27.1. Cán bộ, công chức các đơn vị tham gia sử dụng hệ thống mạng CNTT thực hiện tốt và có nhiều thành tích tốt được xem xét khen thưởng hàng năm theo quy định của Nhà nước.

27.2. Các hành vi vi phạm quy định tại Quy chế, chính sách này, tuỳ theo mức độ vi phạm mà bị xlý theo các quy định của pháp luật.

Điều 28.y theo tình hình cụ thể tại từng thời điểm Chủ tịch UBND Quận Phú Nhuận quyết định việc sửa đổi, bsung Quy chế, chính sách này./.

Văn bản này chưa cập nhật nội dung Tiếng Anh

Bạn Chưa Đăng Nhập Thành Viên!


Vì chưa Đăng Nhập nên Bạn chỉ xem được Thuộc tính của văn bản.
Bạn chưa xem được Hiệu lực của Văn bản, Văn bản liên quan, Văn bản thay thế, Văn bản gốc, Văn bản tiếng Anh,...


Nếu chưa là Thành Viên, mời Bạn Đăng ký Thành viên tại đây


Bạn Chưa Đăng Nhập Thành Viên!


Vì chưa Đăng Nhập nên Bạn chỉ xem được Thuộc tính của văn bản.
Bạn chưa xem được Hiệu lực của Văn bản, Văn bản liên quan, Văn bản thay thế, Văn bản gốc, Văn bản tiếng Anh,...


Nếu chưa là Thành Viên, mời Bạn Đăng ký Thành viên tại đây


Bạn Chưa Đăng Nhập Thành Viên!


Vì chưa Đăng Nhập nên Bạn chỉ xem được Thuộc tính của văn bản.
Bạn chưa xem được Hiệu lực của Văn bản, Văn bản liên quan, Văn bản thay thế, Văn bản gốc, Văn bản tiếng Anh,...


Nếu chưa là Thành Viên, mời Bạn Đăng ký Thành viên tại đây


Bạn Chưa Đăng Nhập Thành Viên!


Vì chưa Đăng Nhập nên Bạn chỉ xem được Thuộc tính của văn bản.
Bạn chưa xem được Hiệu lực của Văn bản, Văn bản liên quan, Văn bản thay thế, Văn bản gốc, Văn bản tiếng Anh,...


Nếu chưa là Thành Viên, mời Bạn Đăng ký Thành viên tại đây


Quyết định 340/2008/QĐ-UBND ngày 25/04/2008 về Quy chế và chính sách an toàn, bảo mật hệ thống công nghệ thông tin Phú Nhuận, thành phố Hồ Chí Minh

Bạn Chưa Đăng Nhập Thành Viên!


Vì chưa Đăng Nhập nên Bạn chỉ xem được Thuộc tính của văn bản.
Bạn chưa xem được Hiệu lực của Văn bản, Văn bản liên quan, Văn bản thay thế, Văn bản gốc, Văn bản tiếng Anh,...


Nếu chưa là Thành Viên, mời Bạn Đăng ký Thành viên tại đây


27.566

DMCA.com Protection Status
IP: 18.188.101.251
Hãy để chúng tôi hỗ trợ bạn!