ỦY BAN NHÂN DÂN TỈNH HÒA BÌNH --------	CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM Độc lập - Tự do - Hạnh phúc ---------------
Số: 38/2024/QĐ-UBND	Hoà Bình, ngày 20 tháng 9 năm 2024

QUYẾT ĐỊNH

BAN HÀNH QUY CHẾ QUẢN LÝ, VẬN HÀNH VÀ KHAI THÁC TRUNG TÂM TÍCH HỢP DỮ LIỆU TỈNH HÒA BÌNH

ỦY BAN NHÂN DÂN TỈNH HÒA BÌNH

Căn cứ Luật tổ chức Chính quyền địa phương ngày 19 tháng 6 năm 2015; Luật sửa đổi, bổ sung một số điều của Luật Tổ chức Chính phủ và Luật Tổ chức chính quyền địa phương ngày 22 tháng 11 năm 2019;

Căn cứ Luật ban hành văn bản quy phạm pháp luật ngày 22 tháng 6 năm 2015; Luật sửa đổi, bổ sung một số điều của Luật ban hành văn bản quy phạm pháp luật ngày 18 tháng 6 năm 2020;

Căn cứ Luật Giao dịch điện tử ngày 22 tháng 6 năm 2023;

Căn cứ Luật Công nghệ thông tin ngày 29 tháng 6 năm 2006;

Căn cứ Luật An toàn thông tin mạng ngày 19 tháng 11 năm 2015;

Căn cứ Luật Viễn thông ngày 24 tháng 11 năm 2023;

Căn cứ Nghị định số 85/2016/NĐ-CP ngày 01 tháng 7 năm 2016 của Chính phủ về bảo đảm an toàn hệ thống thông tin theo cấp độ;

Căn cứ Nghị định số 53/2022/NĐ-CP ngày 15 tháng 8 năm 2022 của Chính phủ quy định chi tiết một số điều của Luật An ninh mạng;

Căn cứ Thông tư số 03/2013/TT-BTTTT ngày 22 tháng 01 năm 2013 của Bộ trưởng Bộ Thông tin và Truyền thông quy định áp dụng tiêu chuẩn, quy chuẩn kỹ thuật đối với Trung tâm Dữ liệu; Thông tư số 23/2022/TT-BTTTT ngày 30 tháng 11 năm 2022 của Bộ trưởng Bộ Thông tin và Truyền thông sửa đổi, bổ sung một số điều Thông tư số 03/2013/TT-BTTTT ngày 22 tháng 01 năm 2013 của Bộ trưởng Bộ Thông tin và Truyền thông quy định áp dụng tiêu chuẩn, quy chuẩn kỹ thuật đối với Trung tâm Dữ liệu;

Căn cứ Thông tư số 20/2017/TT-BTTTT ngày 12 tháng 9 năm 2017 của Bộ trưởng Bộ Thông tin và Truyền thông quy định về điều phối, ứng cứu sự cố an toàn thông tin mạng trên toàn quốc;

Căn cứ Thông tư số 31/2017/TT-BTTTT ngày 15 tháng 11 năm 2017 của Bộ trưởng Bộ Thông tin và Truyền thông quy định hoạt động giám sát an toàn hệ thống thông tin;

Căn cứ Thông tư số 39/2017/TT-BTTTT ngày 15 tháng 12 năm 2017 của Bộ trưởng Bộ Thông tin và Truyền thông ban hành danh mục tiêu chuẩn kỹ thuật về ứng dụng công nghệ thông tin trong cơ quan nhà nước;

Căn cứ Thông tư số 12/2022/TT-BTTTT ngày 12 tháng 8 năm 2022 của Bộ trưởng Bộ Thông tin và Truyền thông quy định chi tiết và hướng dẫn một số điều của Nghị định 85/2016/NĐ-CP ngày 01 tháng 7 năm 2016 của Chính phủ về bảo đảm an toàn hệ thống thông tin theo cấp độ;

Theo đề nghị của Giám đốc Sở Thông tin và Truyền thông tại Tờ trình số 69/TTr-STTTT ngày 18 tháng 9 năm 2024.

QUYẾT ĐỊNH

Điều 1. Ban hành kèm theo Quyết định này Quy chế Quản lý, vận hành và khai thác Trung tâm Tích hợp dữ liệu tỉnh Hòa Bình.

Điều 2. Quyết định này có hiệu lực thi hành kể từ ngày 03 tháng 10 năm 2024.

Điều 3. Chánh Văn phòng Ủy ban nhân dân tỉnh; Giám đốc các Sở; Thủ trưởng các cơ quan, ban, ngành tỉnh; Chủ tịch Ủy ban nhân dân các huyện, thành phố; Chủ tịch Ủy ban nhân dân các xã, phường, thị trấn và các tổ chức, cá nhân có liên quan chịu trách nhiệm thi hành Quyết định này./.

Nơi nhận: - Như Điều 3; - Văn phòng Chính phủ; - Bộ Thông tin và Truyền thông; - Cục kiểm tra VBQPPL - Bộ Tư pháp; - Thường trực Tỉnh uỷ; - Thường trực Hội đồng nhân dân tỉnh; - Chủ tịch, các Phó Chủ tịch UBND tỉnh; - Ủy ban MTTQ Việt Nam tỉnh; - Các cơ quan tham mưu giúp việc Tỉnh ủy; - Các Ban của HĐND tỉnh; - Đại biểu HĐND tỉnh; - Văn phòng Đoàn ĐBQH tỉnh; - Các tổ chức chính trị xã hội của tỉnh; - Các doanh nghiệp viễn thông; - Cổng TTĐT tỉnh; Đài PT&TH tỉnh, Báo Hòa Bình; - Chánh, các Phó Chánh VPUBD tỉnh; - Trung tâm Tin học và Công báo tỉnh; - Lưu: VT, NVK (NQV).

TM. ỦY BAN NHÂN DÂN KT. CHỦ TỊCH PHÓ CHỦ TỊCH Nguyễn Văn Chương

QUY CHẾ

QUẢN LÝ, VẬN HÀNH VÀ KHAI THÁC TRUNG TÂM TÍCH HỢP DỮ LIỆU TỈNH HÒA BÌNH
(Kèm theo Quyết định số 38/2024/QĐ-UBND ngày 20/9/2024 của Uỷ ban nhân dân tỉnh Hòa Bình)

Chương I

QUY ĐỊNH CHUNG

Điều 1. Phạm vi điều chỉnh, đối tượng áp dụng

1. Phạm vi điều chỉnh: Quy chế này quy định việc quản lý, vận hành và khai thác Trung tâm Tích hợp dữ liệu tỉnh Hòa Bình (gọi tắt là Trung tâm Tích hợp dữ liệu).

2. Đối tượng áp dụng: Quy chế này áp dụng đối với các cơ quan nhà nước, các tổ chức chính trị - xã hội, các đơn vị sự nghiệp trên địa bàn tỉnh Hòa Bình; các tổ chức, cá nhân có liên quan tham gia quản lý, vận hành, khai thác và sử dụng dịch vụ của Trung tâm Tích hợp dữ liệu.

Điều 2. Giải thích từ ngữ

Trong Quy chế này, các từ ngữ dưới đây được hiểu như sau:

1. Cơ quan chủ quản Trung tâm Tích hợp dữ liệu (gọi tắt là Cơ quan chủ quản): Ủy ban nhân dân tỉnh Hòa Bình.

2. Cơ quan chịu trách nhiệm quản lý Trung tâm Tích hợp dữ liệu (gọi tắt là cơ quan quản lý); Đơn vị chuyên trách về an toàn thông tin mạng theo quy định: Sở Thông tin và Truyền thông.

3. Đơn vị trực tiếp khai thác, vận hành và quản trị hệ thống Trung tâm Tích hợp dữ liệu (gọi tắt là đơn vị vận hành): Trung tâm Công nghệ Thông tin và Truyền thông (trực thuộc Sở Thông tin và Truyền thông).

4. Cơ quan, đơn vị tham gia sử dụng hạ tầng, dịch vụ, ứng dụng của Trung tâm Tích hợp dữ liệu (gọi tắt là cơ quan, đơn vị): Cơ quan nhà nước, các tổ chức chính trị - xã hội, các đơn vị sự nghiệp trên địa bàn tỉnh.

5. Ứng dụng dùng chung: Là các phần mềm (hệ thống phần mềm) ứng dụng cung cấp dịch vụ cho các cơ quan, đơn vị và người sử dụng được Ủy ban nhân dân (UBND) tỉnh thống nhất triển khai đưa vào hoạt động tại Trung tâm Tích hợp dữ liệu.

6. Hệ thống máy chủ tên miền (hệ thống DNS): là tập hợp các cụm máy chủ được kết nối với nhau để trả lời địa chỉ IP tương ứng với một tên miền khi được hỏi đến. Hệ thống DNS do đơn vị vận hành trực tiếp quản lý phục vụ việc truy vấn địa chỉ IP cho tên miền các cấp dưới tên miền “.hoabinh.gov.vn”.

7. Mạng diện rộng (sau đây gọi tắt là Mạng WAN): Là mạng tin học được thiết lập bằng việc kết nối giữa Trung tâm Tích hợp dữ liệu và mạng nội bộ của các cơ quan, đơn vị trên địa bàn tỉnh thông qua hạ tầng mạng của nhà cung cấp dịch vụ và cho phép kết nối với mạng của Chính phủ khi có yêu cầu.

8. Mạng truyền số liệu chuyên dùng của các cơ quan Đảng, Nhà nước: Là hệ thống thông tin quan trọng quốc gia, được sử dụng trong hoạt động truyền số liệu chuyên dùng của các cơ quan Đảng, Nhà nước được tổ chức, quản lý thống nhất, bảo đảm chất lượng, an toàn, bảo mật thông tin để trao đổi, chia sẻ dữ liệu giữa các cơ quan Đảng, Nhà nước (sau đây gọi là mạng truyền số liệu chuyên dùng và viết tắt là “mạng TSLCD”). Mạng TSLCD bao gồm: mạng TSLCD cấp I và mạng TSLCD cấp II (được quy định tại Quyết định số 08/2023/QĐ-TTg ngày 05/4/2023 của Thủ tướng Chính phủ về mạng truyền số liệu chuyên dùng phục vụ các cơ quan Đảng, Nhà nước).

9. Hạ tầng kỹ thuật của Trung tâm Tích hợp dữ liệu: Là tập hợp thiết bị công nghệ thông tin (hệ thống máy chủ, thiết bị bảo mật, thiết bị định tuyến, thiết bị chuyển mạch, thiết bị lưu trữ dữ liệu, các thiết bị giám sát…), thiết bị điện (điều hòa chính xác, tủ điện, chống sét, máng cáp điện…), thiết bị phòng cháy, chữa cháy, thiết bị viễn thông, thiết bị ngoại vi, mạng nội bộ, mạng WAN, mạng TSLCD có kết nối với Trung tâm Tích hợp dữ liệu và các thiết bị kỹ thuật chuyên dùng khác.

10. An toàn an ninh thông tin: Bao gồm các hoạt động quản lý, nghiệp vụ và kỹ thuật đối với hệ thống thông tin nhằm bảo vệ, khôi phục các hệ thống, các dịch vụ và nội dung thông tin đối với nguy cơ tự nhiên hoặc do con người gây ra. Việc bảo vệ thông tin, tài sản và con người trong hệ thống thông tin nhằm bảo đảm cho các hệ thống thực hiện đúng chức năng, phục vụ đúng đối tượng một cách sẵn sàng, chính xác và tin cậy. An toàn an ninh thông tin bao hàm các nội dung bảo vệ và bảo mật thông tin, an toàn dữ liệu, an toàn máy tính và an toàn mạng theo quy định của Luật An toàn thông tin mạng số 86/2015/QH13.

Điều 3. Chức năng, kiến trúc hạ tầng và dịch vụ của Trung tâm Tích hợp dữ liệu

1. Trung tâm Tích hợp dữ liệu có chức năng: lưu trữ, xử lý, tích hợp, phân tích, quản lý và chia sẻ cơ sở dữ liệu; hệ thống bảo mật, an toàn dữ liệu; hệ thống phụ trợ; quản lý mạng WAN, mạng TSLCD; các hệ thống thông tin dùng chung; hệ thống thông tin chuyên ngành của các cơ quan, đơn vị và các hệ thống thông tin khác liên quan làm nền tảng số đẩy nhanh quá trình chuyển đổi số, phát triển chính phủ số, kinh tế số và xã hội số cho các cơ quan, đơn vị, doanh nghiệp và nhân dân trên địa bàn tỉnh Hòa Bình.

2. Kiến trúc Trung tâm Tích hợp dữ liệu có các phân hệ sau đây:

a) Phân hệ mạng và truyền dẫn: Phân hệ mạng được chia làm nhiều vùng khác nhau, mỗi vùng được thiết lập các chính sách an ninh và truy cập riêng để phục vụ các mục đích khác nhau. Trung tâm Tích hợp dữ liệu sử dụng mạng TSLCD để kết nối các mạng nội bộ (LAN) với nhau để hình thành mạng diện rộng (WAN) tỉnh Hòa Bình nhằm phục vụ các cơ quan, đơn vị trên địa bàn tỉnh khai thác các hệ thống cơ sở dữ liệu dùng chung và cơ sở dữ liệu chuyên ngành, sử dụng đường truyền riêng để cung cấp dịch vụ truy cập qua Internet.

b) Phân hệ an ninh: Bao gồm các thiết bị tường lửa, thiết bị bảo mật cho các lớp mạng và lớp ứng dụng, các thiết bị ngăn chặn xâm nhập trái phép, thiết bị cân bằng tải và các ứng dụng an ninh hệ thống, an ninh máy chủ, an toàn dữ liệu. Mỗi thành phần trong phân hệ an ninh đều được thiết kế bảo đảm tính dự phòng và bổ sung hỗ trợ lẫn nhau trong toàn bộ hệ thống của Trung tâm Tích hợp dữ liệu.

c) Phân hệ máy chủ: Bao gồm các hệ thống máy chủ vật lý độc lập (còn gọi là máy chủ phiến hay Blade Server) được đặt tại Trung tâm Tích hợp dữ liệu với khả năng sẵn sàng cho việc mở rộng số lượng máy chủ vật lý nhằm ảo hóa cung cấp tài nguyên cho các cơ quan nhà nước trong hoạt động ứng dụng công nghệ thông tin và chuyển đổi số. Hệ thống máy chủ có khả năng cung cấp năng lực xử lý, tính toán cho nhiều nền tảng với nhiều mục đích khác nhau như: Các cơ sở dữ liệu dùng chung, cơ sở dữ liệu chuyên ngành và các hệ thống thông tin khác.

d) Phân hệ lưu trữ: Hệ thống quản trị với năng lực xử lý lưu trữ tập trung ở mức cao, khả năng lưu trữ lớn, có giải pháp sao lưu, phục hồi dữ liệu cho toàn bộ hệ thống. Hệ thống được thiết kế bảo đảm khả năng mờ rộng trong gia tăng dữ liệu trong tương lai.

đ) Phân hệ cơ sở dữ liệu: Bao gồm các cơ sở dữ liệu dùng chung và cơ sở dữ liệu chuyên ngành được xây dựng nhằm kết nối, tích hợp, chia sẻ dữ liệu phục vụ ứng dụng công nghệ thông tin và chuyển đổi số trong các cơ quan, đơn vị trên địa bàn tỉnh, đồng thời, phục vụ người dân, doanh nghiệp.

Các cơ sở dữ liệu dùng chung, cơ sở dữ liệu chuyên ngành và hệ thống thông tin khác phục vụ cho việc triển khai các ứng dụng công nghệ thông tin và chuyển đối số cho các cơ quan nhà nước bao gồm: Nền tảng kết nối, chia sẻ dữ liệu địa phương (LGSP); Hệ thống Thư điện tử tỉnh; Hệ thống Quản lý văn bản và điều hành; Hệ thống phòng họp không giấy tờ cấp tỉnh; Hệ thống cổng thông tin điện tử và các ứng dụng dùng riêng, ứng dụng chuyên ngành của các cơ quan nhà nước trên địa bàn tỉnh Hòa Bình. Căn cứ vào nhu cầu thực tế, các cơ quan, đơn vị sẽ đăng ký bổ sung thêm các ứng dụng khác đưa vào cài đặt, kết nối, vận hành tại Trung tâm Tích hợp dữ liệu.

e) Phân hệ các hệ thống phụ trợ: Bao gồm hệ thống điện, điều hòa, thiết bị lưu điện, máy phát điện, sàn nâng, hệ thống phòng cháy - chữa cháy, camera an ninh,... được thiết kế theo tiêu chuẩn quốc gia: TCVN 9250:2021: Trung tâm dữ liệu - Yêu cầu hạ tầng kỹ thuật viễn thông; bảo đảm các thiết bị luôn được hoạt động trong môi trường tiêu chuẩn, ổn định với độ dự phòng cao.

3. Các ứng dụng, dịch vụ sự nghiệp công được cung cấp tại Trung tâm Tích hợp dữ liệu:

a) Các ứng dụng được nhà nước đảm bảo toàn bộ kinh phí hàng năm bao gồm: các ứng dụng dùng chung phục vụ cho việc ứng dụng công nghệ thông tin, chuyển đổi số cho các cơ quan, đơn vị trên địa bàn tỉnh.

b) Các dịch vụ được cung cấp tại Trung tâm tích hợp dữ liệu bao gồm: Các ứng dụng máy chủ vật lý, máy chủ ảo.

Lưu trữ, lưu ký (Hosting) websites như: Các cơ sở dữ liệu dùng chung, cơ sở dữ liệu chuyên ngành và nhiều hệ thống thông tin khác của các cơ quan nhà nước trên địa bàn tỉnh.

Vận hành, kết nối, tích hợp, chia sẻ các cơ sở dữ liệu dùng chung và chuyên ngành phục vụ cho Chính quyền điện tử và phát triển Chính quyền số tỉnh Hòa Bình.

Vận hành ứng dụng, tạo lập, số hóa, lưu trữ dữ liệu, quản trị hạ tầng.

Rà quét, đánh giá, ứng cứu, khắc phục sự cố bảo mật ứng dụng. Hỗ trợ cung cấp kết nối, chia sẻ dữ liệu.

Phân quyền tài nguyên hệ thống, cấp tên miền, địa chỉ IP, an toàn bảo mật. Các dịch vụ khác theo quy định của cơ quan có thẩm quyền.

Điều 4. Nguyên tắc về quản lý, khai thác và vận hành Trung tâm Tích hợp dữ liệu

1. Tuân thủ các nguyên tắc, bảo đảm hạ tầng kỹ thuật và hệ thống thông tin phục vụ ứng dụng, phát triển công nghệ thông tin và chuyển đổi số theo quy định tại các văn bản quy phạm pháp luật và các văn bản khác có liên quan.

2. Bảo đảm các yêu cầu về an toàn thông tin và an ninh mạng theo Luật An toàn thông tin mạng, Luật An ninh mạng và các văn bản liên quan.

3. Việc thiết lập, vận hành hệ thống quản lý an toàn thông tin - ISMS (Information security management system) đảm bảo tuân thủ theo tiêu chuẩn quốc tế ISO/IEC 27001:2013 về công nghệ thông tin - các kỹ thuật an ninh - các yêu cầu hệ thống quản lý an ninh thông tin.

4. Việc duy trì, quản lý vận hành, nâng cấp Trung tâm Tích hợp dữ liệu phải tuân thủ các tiêu chuẩn, quy chuẩn kỹ thuật quy định sau đây:

a) Tiêu chuẩn, quy chuẩn kỹ thuật đối với Trung tâm Dữ liệu quy định tại Thông tư số 03/2013/TT-BTTTT ngày 22/01/2013, Thông tư số 23/2022/TT- BTTTT ngày 30/11/2022 của Bộ trưởng Bộ Thông tin và Truyền thông; Tiêu chuẩn quốc gia TCVN 11930:2017 về Công nghệ thông tin - Các kỹ thuật an toàn - Yêu cầu cơ bản về an toàn hệ thống thông tin theo cấp độ.

b) Kiến trúc Chính quyền điện tử tỉnh Hòa Bình phiên bản 2.0 tại Quyết định số 2643/QĐ-UBND ngày 30/10/2020 của UBND tỉnh Hòa Bình và các phiên bản tiếp theo.

c) Việc quản lý, kết nối và chia sẻ dữ liệu của Trung tâm Tích hợp dữ liệu phải tuân thủ theo Nghị định số 47/2020/NĐ-CP ngày 09/04/2020 của Chính phủ về Quản lý, kết nối và chia sẻ dữ liệu số của cơ quan nhà nước.

d) Việc tạo lập, lưu trữ, quản lý, chia sẻ dữ liệu số chứa thông tin thuộc phạm vi bí mật Nhà nước được thực hiện theo Luật Bảo vệ bí mật Nhà nước và các văn bản pháp lý hiện hành.

5. Đơn vị vận hành Trung tâm Tích hợp dữ liệu sử dụng, quản lý tài sản theo đúng các quy định hiện hành về quản lý, sử dụng tài sản công và được phép thuê dịch vụ đảm bảo vận hành các hệ thống thông tin, triển khai cung cấp các dịch vụ các dịch vụ sự nghiệp công theo quy định của pháp luật trên cơ sở đảm bảo khai thác an toàn, hiệu quả hạ tầng Trung tâm Tích hợp dữ liệu hiện có.

6. Các tổ chức, cá nhân sử dụng các dịch vụ và hạ tầng thông tin của Trung tâm Tích hợp dữ liệu phải tuân thủ các quy định về bảo đảm an toàn, an ninh thông tin và chịu trách nhiệm đối với mọi hoạt động trên tài khoản truy cập và cơ sở dữ liệu của đơn vị mình.

7. Ngân sách Nhà nước thường xuyên hàng năm bảo đảm cho công tác quản lý, khai thác và vận hành Trung tâm Tích hợp dữ liệu thực hiện theo quy định của Luật Ngân sách Nhà nước và các văn bản quy phạm pháp luật có liên quan.

Điều 5. Các hành vi bị nghiêm cấm trong quản lý, vận hành và khai thác Trung tâm Tích hợp dữ liệu

1. Mọi hành vi liên quan đến phá hoại cơ sở hạ tầng thông tin, làm gián đoạn hoặc cản trở hoạt động chung của Trung tâm Tích hợp dữ liệu.

2. Sử dụng hoặc phát tán các thông tin cá nhân do Trung tâm Tích hợp dữ liệu nắm giữ vì mục đích vụ lợi, vi phạm quy định pháp luật hiện hành; trừ các yêu cầu đặc biệt của các cơ quan chức năng có thẩm quyền.

3. Đánh cắp, giả mạo tài khoản để truy cập trái phép vào các phần mềm ứng dụng, hệ thống thông tin, cơ sở dữ liệu tại Trung tâm Tích hợp dữ liệu.

4. Sử dụng các công cụ, phần mềm có nguy cơ hoặc gây mất an toàn hệ thống, ảnh hưởng đến hoạt động chung của Trung tâm Tích hợp dữ liệu.

5. Khai thác, sử dụng cơ sở hạ tầng thông tin, dữ liệu, dịch vụ của Trung tâm Tích hợp dữ liệu cho mục đích: phá hoại, lưu trữ, truyền tải các nội dung không phù hợp với thuần phong mỹ tục, trái pháp luật, quy định của Nhà nước; khai thác trái phép các dịch vụ trên mạng Internet và các hoạt động vi phạm khác theo quy định của pháp luật.

Chương II

QUẢN LÝ, VẬN HÀNH VÀ KHAI THÁC TRUNG TÂM TÍCH HỢP DỮ LIỆU

Điều 6. Quy định về chế độ làm việc tại Trung tâm Tích hợp dữ liệu

1. Quy định đối với cơ quan quản lý và đơn vị vận hành:

a) Đảm bảo tất cả các hoạt động của thiết bị phần cứng, phần mềm hệ thống, phần mềm ứng dụng, hệ thống mạng, các hệ thống thông tin, thiết bị phụ trợ tại Trung tâm Tích hợp dữ liệu được hoạt động ổn định, thông suốt liên tục 24 giờ/ngày và 7 ngày/tuần.

b) Duy trì chế độ trực vận hành và giám sát an toàn thông tin, đảm bảo có 02 cán bộ kỹ thuật trực kỹ thuật tại Trung tâm Tích hợp dữ liệu trong và ngoài giờ hành chính (bao gồm: ngày nghỉ trong tuần và các ngày lễ, tết).

2. Quy định đối với quản trị viên vận hành hệ thống:

a) Trong quá trình làm việc và trực vận hành tại Trung tâm Tích hợp dữ liệu phải tuân thủ nghiêm ngặt các quy trình, quy định, nội quy lao động; đảm bảo nguyên tắc hệ thống hoạt động ổn định và đảm bảo an toàn an ninh thông tin, không xảy ra tình trạng mất kết nối thông tin do nguyên nhân chủ quan của con người.

b) Quản trị viên quản trị, vận hành truy cập, khai thác thông tin tại Trung tâm Tích hợp dữ liệu theo nhiệm vụ, quyền hạn được giao và phân quyền được quy định; việc khai thác thông tin phải bảo đảm nguyên tắc bảo mật, không được tự ý cung cấp, để lộ thông tin ra bên ngoài; không được tự ý can thiệp vào các phần mềm ứng dụng, dữ liệu do các cơ quan, đơn vị khác triển khai tại Trung tâm Tích hợp dữ liệu.

c) Quá trình làm việc, thực hiện các nghiệp vụ chuyên môn có sự tác động đến các thiết bị, phần mềm hệ thống của Trung tâm Tích hợp dữ liệu phải được ghi chép cụ thể vào sổ Nhật ký hệ thống.

3. Quy định đối với cơ quan, đơn vị, tổ chức, cá nhân đến làm việc tại Trung tâm Tích hợp dữ liệu:

a) Tuân thủ nghiêm theo các quy trình, quy định làm việc, chế độ vào, ra tại Trung tâm Tích hợp dữ liệu.

b) Các cơ quan, đơn vị, tổ chức, cá nhân đến đăng ký làm việc phải cung cấp Giấy giới thiệu của cơ quan, đơn vị hoặc văn bản đề nghị làm việc tại Trung tâm Tích hợp dữ liệu; danh sách những người đến làm việc, thời gian làm việc (có thông tin về căn cước hoặc hộ chiếu kèm theo) và tuân thủ theo các quy định của đơn vị quản lý Trung tâm Tích hợp dữ liệu.

c) Không được tự ý sử dụng, mang theo các thiết bị như: điện thoại, máy tính xách tay, máy tính bảng, các thiết bị điện tử cá nhân khác (thiết bị ghi âm, ghi hình, lưu trữ) khi vào bên trong Trung tâm Tích hợp dữ liệu, trừ trường hợp có sự đồng ý của lãnh đạo cơ quan quản lý hoặc lãnh đạo đơn vị vận hành Trung tâm Tích hợp dữ liệu.

Điều 7. Cung cấp, tiếp nhận thiết bị, phần cứng và phần mềm

1. Việc triển khai các dự án, nhiệm vụ ứng dụng công nghệ thông tin và chuyển đổi số tại Trung tâm Tích hợp dữ liệu phải được quy định cụ thể trong thiết kế kỹ thuật, phù hợp với kiến trúc chính quyền điện tử cấp tỉnh và được cơ quan có thẩm quyền thẩm định, phê duyệt giải pháp kỹ thuật công nghệ.

2. Đối với các cơ quan, đơn vị có nhu cầu cung cấp thiết bị, đặt máy chủ hoặc cần cung cấp tài nguyên để cài đặt phần mềm, cơ sở dữ liệu để triển khai các ứng dụng trên nền tảng hạ tầng kỹ thuật của Trung tâm Tích hợp dữ liệu: Các cơ quan, đơn vị gửi văn bản đề nghị về cơ quan quản lý xem xét, quyết định trên cơ sở ý kiến đánh giá đáp ứng hệ thống tại Trung tâm Tích hợp dữ liệu của đơn vị vận hành.

3. Cơ quan, đơn vị chịu trách nhiệm quản trị, vận hành và đảm bảo an toàn thông tin về nguồn tài nguyên đã được đơn vị vận hành cung cấp và các phần mềm, cơ sở dữ liệu, ứng dụng khi cài đặt tại Trung tâm Tích hợp dữ liệu.

Trường hợp đặt máy chủ tại Trung tâm Tích hợp dữ liệu, cơ quan, đơn vị có thể ủy quyền toàn bộ hoặc một phần nhiệm vụ quản trị, vận hành các thiết bị phần cứng, máy chủ cho đơn vị vận hành thông qua văn bản thống nhất hoặc biên bản ký kết giữa hai bên. Theo đó, đơn vị vận hành chịu trách nhiệm quản trị, vận hành máy móc, thiết bị phần cứng, máy chủ; cơ quan, đơn vị chịu trách nhiệm quản trị, vận hành phần mềm, cơ sở dữ liệu, ứng dụng được cài đặt tại Trung tâm Tích hợp dữ liệu.

Điều 8. Quản lý trang thiết bị

1. Trang thiết bị công nghệ thông tin đặt tại Trung tâm Tích hợp dữ liệu phải được đánh số, đặt tên và dán nhãn theo đúng quy định tại Thông tư số 23/2022/TT-BTTTT ngày 30/11/2022 của Bộ Thông tin và Truyền thông và Tiêu chuẩn quốc gia: TCVN 9250 - 2021 (hoặc ANSI/TIA-942-B:2017).

2. Đơn vị vận hành phải thực hiện tổng hợp tình hình quản lý, sử dụng trang thiết bị tại Trung tâm Tích hợp dữ liệu hàng quý, năm và báo cáo các cơ quan có thẩm quyền.

3. Việc nâng cấp, mở rộng hoặc sửa chữa, thay thế trang thiết bị hư hỏng được thực hiện định kỳ hoặc đột xuất theo đề xuất của vị vận hành và từ ngân sách Nhà nước cấp hàng năm cho đơn vị.

4. Trường hợp trang thiết bị hỏng gây ảnh hưởng đến hoạt động của Trung tâm Tích hợp dữ liệu, đơn vị vận hành phải báo cáo ngay cơ quan quản lý để có biện pháp khắc phục nhanh chóng, kịp thời.

5. Đơn vị vận hành phải ghi nhật ký, quy định thời gian lưu trữ các thông tin về hoạt động của các trang thiết bị, người sử dụng, lỗi phát sinh và các sự cố để có phương án nâng cấp, thay thế trang thiết bị kịp thời.

Điều 9. Quản lý các hệ thống ứng dụng, phần mềm

1. Danh sách các ứng dụng được lập với các thông tin cơ bản gồm: Tên tài sản, giá trị, mức độ quan trọng, mục đích sử dụng, phạm vi sử dụng, chủ thể quản lý, thông tin về bản quyền, phiên bản, nơi lưu giữ.

2. Đơn vị vận hành phải phân loại và đánh giá mức độ rủi ro dựa trên yêu cầu về tính bảo mật, tính toàn vẹn, tính sẵn sàng cho việc sử dụng của tài sản phần mềm để thực hiện các biện pháp quản lý, bảo vệ phù hợp.

3. Các phần mềm, ứng dụng sử dụng tại Trung tâm Tích hợp dữ liệu phải có bản quyền và sử dụng theo đúng quy định của pháp luật.

4. Hệ thống máy chủ tên miền (hệ thống DNS): chỉ cung cấp tên miền cho các ứng dụng tại Trung tâm Tích hợp dữ liệu. Trường hợp đặc biệt phải cung cấp tên miền đến địa chỉ IP ngoài Trung tâm Tích hợp dữ liệu phải có ý kiến của cơ quan quản lý và đơn vị sử dụng phải cam kết đảm bảo an toàn an ninh thông tin và chịu trách nhiệm về tên miền được cấp.

5. Cài đặt và sử dụng các hệ thống phần mềm:

a) Đối với phần mềm cài đặt mới tại Trung tâm Tích hợp dữ liệu:

Quy mô và kiến trúc của phần mềm phải đáp ứng được các yêu cầu về kỹ thuật, phù hợp với hồ sơ thiết kế thi công, phù hợp với kiến trúc chính quyền điện tử, được cơ quan có thẩm quyền phê duyệt.

Trước khi cài đặt phần mềm phải phối hợp với cơ quan quản lý, đơn vị vận hành tiến hành đánh giá về an toàn thông tin; kiểm tra, rà quét (scan) virus, rà quét mã độc và sử dụng máy tính có ghi màn hình tất cả quá trình thao tác tại Trung tâm Tích hợp dữ liệu; Kiểm thử phần mềm trước khi đưa vào sử dụng (theo quy định tại Khoản 2, Điều 10 Quy chế này).

b) Đối với các phần mềm đang sử dụng tại Trung tâm Tích hợp dữ liệu:

Các cơ quan, đơn vị chịu trách nhiệm thường xuyên cập nhật thông tin, nội dung của các hệ thống thông tin, cơ sở dữ liệu, phần mềm chuyên ngành của cơ quan, đơn vị; cung cấp thông tin ra ngoài phải đảm bảo các yêu cầu về an toàn, bảo mật, phạm vi cung cấp thông tin, tính đúng đắn, hợp pháp của thông tin; thường xuyên cập nhật các bản vá lỗi đối với hệ điều hành, các phần mềm nền tảng, hệ thống mã nguồn theo khuyến nghị của nhà sản xuất.

Không phát tán, chia sẻ các hệ thống phần mềm tại Trung tâm Tích hợp dữ liệu dưới bất kỳ hình thức nào khi chưa được sự đồng ý của cơ quan có thẩm quyền.

Điều 10. Vận hành thử hệ thống, kiểm thử phần mềm đặt tại Trung tâm Tích hợp dữ liệu

1. Đối với các máy chủ của các cơ quan đơn vị có nhu cầu đặt tại Trung tâm Tích hợp dữ liệu: trước khi đưa vào sử dụng phải được vận hành thử tại Trung tâm Tích hợp dữ liệu để đánh giá hiệu năng, đánh giá hiệu suất hoạt động và định mức sử dụng luồng dữ liệu tài nguyên mạng. Việc đánh giá này do đơn vị vận hành chủ trì phối hợp thực hiện.

2. Đối với các phần mềm nội bộ của các cơ quan đơn vị có nhu cầu đặt tại Trung tâm Tích hợp dữ liệu: trước khi đưa vào sử dụng chính thức phải được kiểm thử chấp nhận hoạt động (OAT) bao gồm: kiểm thử hiệu năng; kiểm thử an toàn, bảo mật; kiểm tra về tài liệu vận hành hệ thống (nếu có); kiểm tra một số yếu tố phi chức năng khác như khả năng kết nối, chia sẻ dữ liệu với các hệ thống khác (nếu cần thiết)…theo quy định tại Thông tư số 24/2020/TT-BTTTT ngày 09/9/2020 của Bộ Thông tin và Truyền thông và các quy định về kiểm thử có liên quan. Quá trình kiểm thử do đơn vị vận hành phối hợp với đơn vị có chức năng nhiệm vụ và năng lực đáp ứng yêu cầu triển khai thực hiện.

Điều 11. Quản lý hồ sơ

1. Danh sách các loại hồ sơ lưu trữ:

a) Các quy trình vận hành kỹ thuật, bảo trì, bảo dưỡng các hệ thống.

b) Báo cáo quản trị hệ thống, nhật ký vận hành hệ thống

c) Hồ sơ thiết kế, thuyết minh kỹ thuật, hoàn công.

d) Hồ sơ quản trị các hệ thống thông tin (báo cáo định kỳ, báo cáo sự cố, nhật ký hệ thống, nhật ký hoạt động).

đ) Hồ sơ lưu các dịch vụ cung cấp cho khách hàng.

e) Bảng thống kê danh sách thiết bị; danh sách các thiết bị hỏng, hết khấu hao sử dụng chờ thanh lý, tiêu hủy; biên bản bàn giao thiết bị.

g) Tài liệu, biên bản kiểm tra, đánh giá của đơn vị vận hành.

h) Các hồ sơ, tài liệu kỹ thuật khác.

2. Hồ sơ phải được lưu bằng văn bản, tập tin bản mềm trên máy tính và phải được cập nhật khi có sự thay đổi.

Điều 12. Quản lý mật khẩu

1. Lãnh đạo đơn vị vận hành Trung tâm Tích hợp dữ liệu có trách nhiệm tiếp nhận mật khẩu quản trị hệ thống sau khi hệ thống được bàn giao và đưa vào sử dụng, sau đó tiến hành bàn giao cho cán bộ quản trị hệ thống có biên bản kèm theo, lưu vào nơi an toàn (cho vào phong bì, để vào tủ có khóa). Đối với hệ thống trọng yếu, yêu cầu sử dụng phương thức xác nhận truy cập hai bước.

2. Công chức, viên chức vận hành được giao mật khẩu truy cập hệ thống từ cán bộ quản trị hệ thống phải thực hiện đổi mật khẩu sau khi tiếp nhận trong vòng 24 giờ. Việc đổi mật khẩu phải tuân thủ theo đúng quy định hướng dẫn về mật khẩu theo quy định tại Khoản 3 điều này.

3. Mật khẩu phải bảo đảm độ an toàn về độ phức tạp, thời gian sử dụng theo các quy tắc sử dụng như sau:

a) Độ dài của mật khẩu:

Đối với mật khẩu của cán bộ, công chức, viên chức và người sử dụng (dùng để đăng nhập: các phần mềm và ứng dụng dùng chung của tỉnh, các ứng dụng nghiệp vụ, máy tính cá nhân) yêu cầu tối thiểu là 08 ký tự.

Đối với mật khẩu quản trị, truy cập hệ thống (sử dụng cho các hệ thống mạng, bảo mật, máy chủ, các phần mềm và ứng dụng dùng chung của tỉnh) tối thiểu là 12 ký tự.

b) Nội dung thiết lập mật khẩu:

Không bao gồm các từ dễ nhớ như tên, ngày sinh, số điện thoại; Không được đặt theo ký tự chữ cái, ký tự chữ số tuần tự hoặc một dãy các ký tự giống nhau.

Thiết lập mật khẩu đủ mạnh bao gồm: kết hợp các loại ký tự sau: Chữ cái in thường, chữ cái in hoa, ký tự số và các ký tự đặc biệt.

c) Thời gian sử dụng mật khẩu:

Thời gian sử dụng mật khẩu quản trị tối đa 45 ngày.

Thời gian sử dụng mật khẩu người dùng tối đa 90 ngày.

Trường hợp có thay đổi về nhân sự hoặc yêu cầu tăng cường bảo mật về an toàn, an ninh thông tin thì lãnh đạo đơn vị vận hành Trung tâm Tích hợp dữ liệu quyết định việc thay đổi toàn bộ mật khẩu quản trị của Trung tâm Tích hợp dữ liệu.

d) Quy định sử dụng và lưu trữ mật khẩu:

Người sử dụng phải thay đổi mật khẩu ngay từ lần đăng nhập đầu tiên. Không được lưu trữ mật khẩu trên máy tính cá nhân, các thiết bị điện tử.

Không được tiết lộ mật khẩu của cá nhân, tổ chức dưới bất kỳ hình thức nào; trường hợp bàn giao tài khoản truy cập ứng dụng phải có biên bản bàn giao.

Phải tiến hành thay đổi mật khẩu ngay khi nghi ngờ bị lộ, lọt thông tin mật khẩu.

Mật khẩu mới thay đổi phải đảm bảo không trùng với những mật khẩu đã từng sử dụng trước đó.

Các tài liệu liên quan đến mật khẩu được bảo quản ở chế độ “mật”.

Điều 13. Quản lý Mạng truyền số liệu chuyên dùng

1. Đơn vị vận hành là đơn vị đầu mối triển khai các ứng dụng hoạt động trên mạng TSLCD tỉnh Hòa Bình.

2. Các đơn vị sử dụng mạng TSLCD kết nối với các ứng dụng của Trung tâm Tích hợp dữ liệu phải tuân thủ các quy định về quản lý, vận hành, kết nối, sử dụng và bảo đảm an toàn thông tin trên mạng TSLCD theo quy định tại:

Nghị định số 85/2016/NĐ-CP ngày 01/7/2016 của Chính phủ về đảm bảo an toàn hệ thống thông tin theo cấp độ.

Quyết định số 08/2023/QĐ-TTg ngày 05/4/2023 của Thủ tướng Chính phủ về Mạng truyền số liệu chuyên dùng phục vụ các cơ quan Đảng, Nhà nước.

Thông tư số 19/2023/TT-BTTTT ngày 25/12/2023 của Bộ trưởng Bộ Thông tin và Truyền thông Quy định chi tiết và hướng dẫn một số điều của Quyết định số 08/2023/QĐ-TTg ngày 05/4/2023 của Thủ tướng Chính phủ về Mạng truyền số liệu chuyên dùng phục vụ các cơ quan Đảng, Nhà nước.

Quyết định số 20/2023/QĐ-UBND ngày 27/7/2023 của UBND tỉnh Hòa Bình Ban hành Quy chế bảo đảm an toàn thông tin mạng trong hoạt động ứng dụng công nghệ thông tin của các cơ quan nhà nước trên địa bàn tỉnh Hòa Bình và các văn bản mới của tỉnh có hiệu lực thi hành.

3. Đơn vị cung cấp dịch vụ viễn thông phải cấu hình mạng TSLCD đảm bảo việc giám sát an toàn, an ninh thông tin tập trung tại Trung tâm Tích hợp dữ liệu, đồng thời báo cáo đột xuất khi có yêu cầu tình hình sử dụng mạng TSLCD của các cơ quan, đơn vị gửi đơn vị vận hành theo định kỳ.

Điều 14. An toàn hoạt động

1. Trung tâm Tích hợp dữ liệu được ban hành nội quy, quy trình hoạt động, trực vận hành và được giám sát thường xuyên thông qua hệ thống kiểm soát ra vào.

2. Trung tâm Tích hợp dữ liệu chỉ được thiết lập các thiết bị đang hoạt động, thiết bị chuyên dụng phục vụ vận hành hệ thống và các thiết bị khác phục vụ hoạt động của Trung tâm Tích hợp dữ liệu. Các thiết bị lỗi, hỏng, thiết bị chờ thanh lý, thiết bị hết khấu hao, tài liệu, vật tư… liên quan đến Trung tâm Tích hợp dữ liệu phải được lưu tại kho riêng không thuộc khu vực hoạt động của các thiết bị tại Trung tâm Tích hợp dữ liệu. Các loại hồ sơ thiết bị, tài liệu vận hành phải được lưu trữ tại tủ hồ sơ của khu vực phòng làm việc của cán bộ quản trị vận hành.

3. Trung tâm Tích hợp dữ liệu phải đảm bảo vệ sinh công nghiệp: môi trường khô ráo, sạch sẽ, không thấm nước, không bị ánh nắng chiếu trực tiếp; độ ẩm, nhiệt độ môi trường đạt tiêu chuẩn quy định.

4. Hệ thống phòng cháy, chữa cháy của Trung tâm Tích hợp dữ liệu phải đảm bảo an toàn về cháy cho nhà và công trình theo quy định tại Thông tư số 06/2022/TT-BXD ngày 30/11/2022 của Bộ trưởng Bộ Xây dựng ban hành QCVN 06:2022/BXD quy chuẩn kỹ thuật quốc gia về an toàn cháy cho nhà và công trình và Thông tư số 09/2023/TT-BXD ngày 16/10/2023 của Bộ trưởng Bộ Xây dựng ban hành sửa đổi 1:2023 QCVN 06:2022/BXD quy chuẩn kỹ thuật quốc gia về an toàn cháy cho nhà và công trình

5. Hệ thống điện phải được trang bị máy phát điện dự phòng, hệ thống lưu điện (UPS) để đảm bảo cho hệ thống hoạt động trong thời gian nguồn điện chính gặp sự cố.

6. Hệ thống camera thực hiện giám sát toàn bộ Trung tâm Tích hợp dữ liệu liên tục 24/24 giờ; dữ liệu hình ảnh phải được lưu trữ ít nhất trong thời gian là 30 ngày.

7. Hệ thống quản lý vào ra (Access Control) hoạt động 24/24 giờ các ngày trong tuần và ghi đầy đủ nhật ký nhằm đảm bảo an ninh, chính xác và linh hoạt cho Trung tâm Tích hợp dữ liệu.

Điều 15. Đảm bảo an toàn, an ninh thông tin

1. Các hệ thống thông tin tại Trung tâm Tích hợp dữ liệu phải đáp ứng các yêu cầu trong tiêu chuẩn, quy chuẩn kỹ thuật về đảm bảo an toàn thông tin cấp độ 3 theo quy định tại Nghị định số 85/2016/NĐ-CP ngày 01/7/2016 của Chính phủ, Thông tư 12/2022/TT-BTTTT ngày 12/8/2022 của Bộ Thông tin và Truyền thông, Quyết định số 20/2023/QĐ-UBND ngày 27/7/2023 của UBND tỉnh Hòa Bình.

2. Theo dõi, kiểm tra, xử lý các cảnh báo của hệ thống giám sát an toàn thông tin của Trung tâm Tích hợp dữ liệu, ghi nhận đầy đủ các sự kiện, biện pháp xử lý. Thực hiện rà soát, đánh giá theo hướng dẫn nghiệp vụ của Cục An toàn thông tin, Trung tâm Giám sát không gian mạng quốc gia (NCSC) và Trung tâm ứng cứu khẩn cấp không gian mạng Việt Nam (VNCERT/CC).

3. Các hệ thống thông tin từ cấp độ 3 trở lên tại Trung tâm Tích hợp dữ liệu phải được kiểm tra, đánh giá an toàn thông tin theo định kỳ bởi doanh nghiệp, tổ chức độc lập có chuyên môn đáp ứng để thực hiện việc kiểm tra, đánh giá và tổng hợp, báo cáo cơ quan có thẩm quyền.

4. Thường xuyên kiểm tra kết nối, chia sẻ thông tin với hệ thống giám sát quốc gia: Trung tâm giám sát an toàn không gian mạng quốc gia trực thuộc Cục An toàn thông tin, Bộ Thông tin và Truyền thông.

5. Hệ thống bảo mật được thiết lập cấu hình, cập nhật tự động các dấu hiệu, phương thức tấn công mới để hệ thống ở trạng thái hoạt động tốt nhất nhằm ngăn chặn, xử lý hiệu quả dấu hiệu tấn công mạng, bảo đảm an toàn, bảo mật cho Trung tâm Tích hợp dữ liệu.

6. Tất cả các máy chủ vận hành tại Trung tâm Tích hợp dữ liệu cần được cập nhật bản vá tự động hoặc thủ công và đảm bảo trạng thái hoạt động tốt nhất.

7. Các hệ thống thông tin của các cơ quan, đơn vị đặt tại Trung tâm Tích hợp dữ liệu phải được cơ quan có thẩm quyền phê duyệt cấp độ trước khi đưa vào sử dụng theo quy định; các hệ thống thông tin hiện đang sử dụng chưa được phê duyệt cấp độ phải hoàn thành hồ sơ, trình phê duyệt cấp độ theo quy định tại Nghị định số 85/2016/NĐ-CP ngày 01/7/2016 của Chính phủ và Thông tư số 12/2022/TT-BTTTT ngày 12/8/2022 của Bộ Thông tin và Truyền thông.

Điều 16. Kiểm soát truy cập và xác thực

1. Các nguyên tắc kiểm soát truy cập:

a) Tất cả các hệ thống thông tin tại Trung tâm Tích hợp dữ liệu phải được bảo vệ khỏi truy cập trái phép thông qua chính sách kiểm soát truy cập.

b) Quyền truy cập được thiết lập dựa trên yêu cầu nghiệp vụ và yêu cầu về an toàn thông tin của Trung tâm Tích hợp dữ liệu.

c) Quyền truy cập phải được rà soát, định kỳ; Quyền truy cập phải được loại bỏ khi không còn nhu cầu sử dụng.

d) Theo dõi giám sát người sử dụng truy cập vào hệ thống thông tin quan trọng.

2. Cấp phát quyền truy cập từ xa hoặc truy cập trực tiếp để sử dụng và khai thác ứng dụng, tài nguyên của Trung tâm Tích hợp dữ liệu phải đảm bảo chặt chẽ, đúng mục đích sử dụng. Mỗi người dùng, quản trị viên hệ thống chỉ được cấp một tài khoản duy nhất và được phân quyền đủ để thực hiện nhiệm vụ được phân công.

3. Bộ phận vận hành chịu trách nhiệm kiểm tra và vô hiệu tài khoản của quản trị viên hệ thống trên hệ thống sau khi quản trị viên hệ thống không còn làm việc hoặc không còn nhiệm vụ liên quan.

4. Giới hạn số lần đăng nhập không thành công vào hệ thống là 03 lần. Sau 03 lần không đăng nhập thành công, tài khoản sẽ bị khóa trong 15 phút. Vô hiệu tài khoản sau 05 lần đăng nhập sai.

5. Quản trị viên hệ thống có trách nhiệm theo dõi và phát hiện các trường hợp truy cập hệ thống trái phép hoặc hành vi vượt quá giới hạn, báo cáo cho cán bộ quản lý để tiến hành ngăn chặn, thu hồi, khóa quyền truy cập các tài khoản vi phạm.

Điều 17. Hệ thống mạng và truyền dẫn

1. Hệ thống mạng phải bảo đảm:

a) Hệ thống mạng hoạt động liên tục, nhanh, ổn định và an toàn, đáp ứng được yêu cầu về chất lượng băng thông cho các ứng dụng hệ thống.

b) Hệ thống mạng cần quản lý quyền truy cập theo vai trò, nhiệm vụ và mức độ tin cậy nhằm đảm bảo tính bảo mật, hiệu suất cho các thành phần trong hệ thống mạng

c) Áp dụng các giải pháp kiểm soát việc truy cập mạng để đảm bảo các quy định về an ninh, các chính sách bảo mật, các chính sách về an toàn dịch vụ mạng.

d) Tuân thủ các tiêu chuẩn, quy chuẩn kỹ thuật của Trung tâm Tích hợp dữ liệu về bấm dây, dán nhãn, chuẩn cáp mạng, cách thức thi công dây, đấu nối, phân bổ nút mạng.

đ) Đối với các kết nối Internet phải có các giải pháp, chính sách bảo mật đảm bảo hệ thống không bị tấn công xâm nhập, lây lan virus, phần mềm độc hại từ bên ngoài; ngăn chặn, không để phát tán virus, phần mềm độc hại từ các thiết bị ngoại vi hoặc từ mạng nội bộ của các cơ quan, đơn vị.

e) Đường truyền Internet cho Trung tâm Tích hợp dữ liệu tối thiểu phải từ 02 nhà cung cấp dịch vụ khác nhau, có giải pháp chia tải, cân bằng tải đường truyền để đảm bảo độ dự phòng cao và tính sẵn sàng cho hệ thống.

g) Cán bộ quản trị, vận hành hệ thống không được sử dụng trình duyệt hoặc các phần mềm để truy cập Internet từ các máy tính có địa chỉ IP chung hệ thống máy chủ thuộc Trung tâm Tích hợp dữ liệu.

h) Hệ thống mạng không dây tại Trung tâm Tích hợp dữ liệu là đường truyền riêng biệt không có kết nối với hệ thống mạng tại Trung tâm Tích hợp dữ liệu.

2. Đơn vị vận hành chịu trách nhiệm giám sát, kiểm tra nội dung và băng thông truy cập, ngăn chặn, đề xuất các biện pháp xử lý các hành vi vi phạm.

Điều 18. Sao lưu, phục hồi dữ liệu

1. Tạo lập chế độ lưu trữ thông tin theo quy định với những yêu cầu sau:

a) Với dữ liệu trên máy chủ, lưu trữ chuyên dụng, thực hiện sao lưu lên thiết bị sao lưu chuyên dụng.

b) Chu kỳ sao lưu: Đối với máy chủ thực hiện sao lưu đầy đủ ít nhất 02 lần/tháng, sao lưu dữ liệu đầy đủ ít nhất 04 lần/tháng; chu kỳ sao lưu dữ liệu thay đổi ít nhất 01 lần/ngày.

c) Đối chiếu, xóa bản sao lưu: Đảm bảo nguyên tắc có ít nhất 01 bản sao lưu đầy đủ gần nhất, thực hiện đối chiếu, thử nghiệm khôi phục đảm bảo bản sao lưu hoạt động bình thường khi tiến hành khôi phục.

d) Thông tin về tất cả các lần sao lưu đều được ghi rõ trong nhật ký sao lưu dữ liệu.

2. Đối với dữ liệu quan trọng, bộ phận vận hành đề xuất cơ quan quản lý thuê Trung tâm Tích hợp dữ liệu dự phòng để ngăn ngừa, bảo đảm an toàn dữ liệu của hệ thống.

Điều 19. Bảo trì, bảo dưỡng

1. Đơn vị vận hành có trách nhiệm

a) Xây dựng, tham mưu cơ quan quản lý phê duyệt và ban hành quy trình bảo trì, bảo dưỡng hệ thống.

b) Trực tiếp thực hiện hoặc thuê dịch vụ để thực hiện bảo trì, bảo dưỡng các hệ thống.

2. Yêu cầu về bảo trì, bảo dưỡng

a) Việc thực hiện bảo trì, bảo dưỡng không được làm gián đoạn và ảnh hưởng đến tình hình cung cấp dịch vụ của Trung tâm Tích hợp dữ liệu.

b) Quá trình bảo trì, bảo dưỡng phải thực hiện theo đúng kịch bản, quy trình và ghi nhật ký về tình trạng hoạt động trước và sau khi thực hiện.

3. Hệ thống máy chủ

a) Tần suất thực hiện bảo trì, bảo dưỡng: Tối thiểu 6 tháng/01 lần.

b) Các công việc bảo trì, bảo dưỡng hệ thống:

Vệ sinh máy chủ, hệ thống máy chủ 01 tháng/0l lần.

Kiểm tra chức năng của giao diện quản trị máy chủ, các phần mềm quản trị hệ thống máy chủ liên quan.

Kiểm tra đánh giá tình trạng vật lý máy chủ.

Xử lý các vấn đề phát hiện được sau khi kiểm tra.

Nhận xét, đánh giá hiện trạng của hệ thống và đưa ra những khuyến nghị, dự báo sự cố có thể xảy ra với hệ thống (nếu có).

4. Hệ thống lưu trữ, sao lưu, khôi phục dữ liệu

a) Tần suất thực hiện bảo trì, bảo dưỡng: Tối thiểu 6 tháng/01 lần.

b) Các công việc bảo trì, bảo dưỡng hệ thống:

Vệ sinh công nghiệp toàn bộ hệ thống.

Kiểm tra kết nối và trạng thái dây tín hiệu và dây nguồn. Xử lý các vấn đề phát hiện được sau khi kiểm tra.

Nhận xét, đánh giá hiện trạng của hệ thống và đưa ra những khuyến nghị, dự báo sự cố có thể xảy ra với hệ thống (nếu có).

Điều 20. Ứng cứu sự cố an toàn thông tin

1. Nguyên tắc ứng cứu xử lý sự cố

a) Chủ động, kịp thời, nhanh chóng, chính xác, đồng bộ và hiệu quả.

b) Phối hợp chặt chẽ, tuân thủ quy định của pháp luật về điều phối ứng cứu sự cố an toàn thông tin.

c) Ứng cứu xử lý sự cố trước hết phải được thực hiện, xử lý bằng lực lượng tại chỗ và trách nhiệm chính của chủ quản hệ thống thông tin.

d) Việc xử lý sự cố an toàn thông tin phải bảo đảm quyền và lợi ích hợp pháp của cơ quan, đơn vị; cá nhân, bảo mật thông tin cá nhân, thông tin riêng của cơ quan, đơn vị khi tham gia các hoạt động ứng cứu xử lý sự cố.

2. Phân nhóm sự cố an toàn thông tin:

a) Sự cố do bị tấn công mạng: Từ chối dịch vụ; giả mạo; sử dụng mã độc; truy cập trái phép, chiếm quyền điều khiển; thay đổi giao diện; mã hóa phần mềm, dữ liệu, thiết bị; phá hoại thông tin, dữ liệu, phần mềm; nghe trộm, gián điệp, lấy cắp thông tin, dữ liệu; các hình thức tấn công mạng khác.

b) Sự cố do lỗi của hệ thống, thiết bị, phần mềm, hạ tầng kỹ thuật.

c) Sự cố do lỗi của người quản trị, vận hành hệ thống.

d) Sự cố liên quan đến các loại thiên tai như bão, lốc, sét, động đất,.. Phương án tiếp nhận, phát hiện, phân loại và xử lý ban đầu sự cố an toàn thông tin: Hoạt động ứng cứu sự cố an toàn thông tin mạng huy động các nguồn lực nằm ngoài phạm vi của đơn vị vận hành hệ thống thông tin để đối phó với các sự cố. Việc phân loại sự cố quy định tại Khoản 3 điều này.

3. Phân loại sự cố an toàn thông tin:

a) Thấp: Sự cố gây ảnh hưởng cá nhân và không làm gián đoạn hay đình trệ hoạt động chính của cơ quan, đơn vị.

b) Trung bình: Sự cố ảnh hưởng đến một nhóm người dùng nhưng không gây gián đoạn hay đình trệ hoạt động chính của cơ quan, đơn vị.

c) Cao: Sự cố tác động đến khả năng vận hành của hệ thống thông tin, ảnh hưởng đến dữ liệu, thiết bị, gây ảnh hưởng đến hoạt động chung của cơ quan, đơn vị và hoạt động cung cấp dịch vụ công cho người dân, doanh nghiệp.

d) Nghiêm trọng: Sự cố gây gián đoạn hoặc đình trệ hệ thống trong một khoảng thời gian ngắn, ảnh hưởng nghiêm trọng đến dữ liệu, thiết bị của hệ thống, gây thiệt hại nghiêm trọng cho cơ quan, đơn vị và người dân, doanh nghiệp.

4. Quy trình phối hợp ứng cứu xử lý sự cố

a) Bước 1: Nếu hệ thống có nguy cơ mất an toàn thông tin mạng thuộc thẩm quyền cơ quan, đơn vị trực tiếp quản lý thì thực hiện tiếp Bước 2. Nếu hệ thống có nguy cơ mất an toàn thông tin mạng thuộc Trung tâm Tích hợp dữ liệu thì thực hiện tiếp Bước 3.

b) Bước 2: Tiến hành xử lý sự cố theo quy chế nội bộ của cơ quan, đơn vị. Nếu sự cố được khắc phục thì lập biên bản ghi nhận và kết thúc quy trình phối hợp xử lý sự cố. Khi sự cố vượt quá khả năng xử lý của cơ quan, đơn vị, lập biên bản ghi nhận và thực hiện tiếp Bước 3.

c) Bước 3: Báo sự cố đến đơn vị quản lý (Báo cáo theo mẫu số 01 Quyết định số 20/2023/QĐ-UBND ngày 27/7/2023 của UBND tỉnh Hòa Bình).

d) Bước 4: Phối hợp với đơn vị vận hành và các cơ quan, đơn vị, tổ chức có liên quan để tiến hành khắc phục sự cố và thực hiện tiếp Bước 5.

đ) Bước 5: Lập biên bản ghi nhận và kết thúc quy trình phối hợp xử lý sự cố (Biên bản theo mẫu số 02 kèm theo Quyết định số 20/2023/QĐ-UBND ngày 27/7/2023 của UBND tỉnh Hòa Bình). Lãnh đạo cơ quan, đơn vị phải chỉ đạo kịp thời để khắc phục và hạn chế thiệt hại, báo cáo bằng văn bản cho cơ quan cấp trên trực tiếp quản lý và cơ quan có thẩm quyền về an toàn thông tin.

5. Trường hợp có sự cố ở mức độ cao, nghiêm trọng hoặc vượt quá khả năng khắc phục của cơ quan, đơn vị. Lãnh đạo cơ quan, đơn vị phải báo cáo ngay cho cơ quan cấp trên quản lý trực tiếp và cơ quan có thẩm quyền về an toàn thông tin để được hướng dẫn, hỗ trợ triển khai thực hiện.

Điều 21. Kiểm tra, báo cáo định kỳ

1. Thực hiện kiểm tra, báo cáo theo định kỳ tháng, quý, năm: Đơn vị vận hành phải tiến hành kiểm tra định kỳ, đánh giá phân tích hiệu quả hoạt động của Trung tâm Tích hợp dữ liệu và tổng hợp báo cáo cơ quan quản lý.

2. Các nội dung kiểm tra:

a) Việc bảo đảm các điều kiện về môi trường cho hoạt động của Trung tâm Tích hợp dữ liệu.

b) Tình hình sử dụng thiết bị, khai thác ứng dụng của hệ thống.

c) Hoạt động của các hệ thống máy chủ, máy trạm, các dịch vụ (cập nhật nâng cấp, bản vá lỗi, tài nguyên, hiệu năng sử dụng…).

d) Tình hình an ninh, bảo mật hệ thống, đánh giá hiệu quả của hệ thống bảo mật.

đ) Kiểm tra công tác sao lưu, lưu trữ, phục hồi dữ liệu.

e) Việc tuân thủ các quy định khác nêu tại Quy chế này.

3. Cơ quan quản lý tổ chức kiểm tra việc tuân thủ các quy định về quản lý kỹ thuật, triển khai, vận hành và khai thác sử dụng Trung tâm Tích hợp dữ liệu theo các quy định tại Quy chế này tối thiểu 06 tháng một lần mà không cần báo trước thời gian. Các vấn đề phát hiện sau khỉ kiểm tra phải được tổng hợp, đánh giá phân tích mức độ ảnh hưởng với hoạt động của Trung tâm Tích hợp dữ liệu và giao đơn vị vận hành lập kế hoạch khắc phục xử lý.

Chương III

TRÁCH NHIỆM CỦA CÁC CƠ QUAN, TỔ CHỨC, CÁ NHÂN TRONG VIỆC QUẢN LÝ, KHAI THÁC VÀ VẬN HÀNH TRUNG TÂM TÍCH HỢP DỮ LIỆU - TỔ CHỨC THỰC HIỆN

Điều 22. Trách nhiệm của cơ quan quản lý

1. Tham mưu UBND tỉnh về việc quy hoạch hệ thống, các giải pháp, phương án kỹ thuật, các kế hoạch phát triển, nâng cấp và mở rộng Trung tâm Tích hợp dữ liệu để đáp ứng nhu cầu cho việc chỉ đạo điều hành, phát triển hạ tầng số, dịch vụ số, làm giàu cơ sở dữ liệu để thu hút đầu tư, nâng cao năng lực canh tranh cấp tỉnh.

2. Tham mưu UBND tỉnh ban hành theo thẩm quyền về đơn giá các dịch vụ sự nghiệp công của Trung tâm Tích hợp dữ liệu.

3. Ban hành các văn bản hướng dẫn chuyển giao máy móc, thiết bị, cài đặt phần mềm và quản lý tài sản tại Trung tâm Tích hợp dữ liệu; phê duyệt quy trình vận hành, bảo trì, bảo dưỡng và khắc phục sự cố Trung tâm Tích hợp dữ liệu.

4. Triển khai các giải pháp bảo đảm an toàn, an ninh thông tin mạng đối với các hệ thống thông tin thuộc Trung tâm Tích hợp dữ liệu; Quy hoạch tài nguyên hệ thống, các giải pháp, phương án kỹ thuật, các kế hoạch phát triển Trung tâm Tích hợp dữ liệu.

5. Xây dựng kế hoạch đào tạo bồi dưỡng đảm bảo nguồn nhân lực quản lý, vận hành có chuyên môn đáp ứng yêu cầu, được trang bị các kiến thức liên quan tới hoạt động của Trung tâm Tích hợp dữ liệu.

6. Nghiên cứu, đề xuất nhiệm vụ tích hợp chung theo hướng chuẩn hóa, thống nhất các ứng dụng công nghệ thông tin trên nền tảng hạ tâng kỹ thuật, dịch vụ hệ thống Trung tâm Tích hợp dữ liệu.

7. Thanh tra, kiểm tra và giám sát việc vận hành, khai thác dịch vụ của đơn vị vận hành Trung tâm Tích hợp dữ liệu.

8. Thực hiện chế độ báo cáo định kỳ, đột xuất cho Ủy ban nhân dân tỉnh và Bộ Thông tin và Truyền thông về tình hình hoạt động và an toàn thông tin của Trung tâm Tích hợp dữ liệu.

Điều 23. Trách nhiệm của đơn vị vận hành

1. Chịu trách nhiệm về việc quản trị, vận hành và quản lý khai thác có hiệu quả hoạt động của Trung tâm Tích hợp dữ liệu theo quy định.

2. Ban hành nội quy làm việc tại Trung tâm Tích hợp dữ liệu; xây dựng kế hoạch trực các ngày lễ, ngày tết; xây dựng lịch trực hàng tuần và bố trí cán bộ trực vận hành hệ thống đảm bảo 24 giờ/ngày giờ, 7 ngày/tuần và quy định chế độ trực vận hành, giám sát an toàn thông tin tại Trung tâm Tích hợp dữ liệu ngoài giờ hành chính, ngày nghỉ trong tuần, ngày nghỉ lễ, ngày tết.

3. Quản trị, vận hành Trung tâm Tích hợp dữ liệu đảm bảo hiệu quả, đảm bảo an toàn an ninh thông tin gồm các hệ thống ứng dụng dùng chung sau đây:

a) Quản trị cơ sở hạ tầng kỹ thuật Trung tâm Tích hợp dữ liệu tỉnh.

b) Quản trị các phần mềm dùng chung, phân quyền, giám sát tài khoản người dùng.

c) Quản trị tên miền: “hoabinh.gov.vn”; quy hoạch, vận hành, kiểm tra, đánh giá tài nguyên hệ thống.

4. Giám sát hệ thống, quản lý tài khoản quản trị; kiểm soát truy cập giữa các vùng mạng, kiểm soát ứng dụng, giao thức kết nối; kiểm soát cổng kết nối; tăng cường giải pháp giám sát an toàn an ninh thông tin.

5. Tham mưu về quy định thủ tục chuyển giao thiết bị, cài đặt phần mềm và quản lý tài sản của Trung tâm Tích hợp dữ liệu; ban hành quy trình vận hành, tổ chức thực hiện sao lưu dữ liệu, bảo trì, bảo dưỡng, sửa chữa thiết bị và khắc phục sự cố hệ thống.

6. Tham mưu cơ quan quản lý các giải pháp, phương án kỹ thuật, kế hoạch phát triển Trung tâm Tích hợp dữ liệu để nâng cao năng lực quản lý nhà nước, tăng cường giải pháp ứng dụng công nghệ số và chuyển đổi số cấp tỉnh.

7. Tiếp nhận các yêu cầu cung cấp hạ tầng, dịch vụ của các cơ quan, đơn vị trong phạm vi quy định và triển khai cung cấp theo đúng với tiêu chuẩn chất lượng, quy trình và trên cơ sở khai thác, sử dụng hiệu quả hạ tầng Trung tâm Tích hợp dữ liệu.

8. Hàng năm xây dựng kinh phí đảm bảo duy trì hoạt động, vận hành, bảo dưỡng, sửa chữa, thay thế trang thiết bị, xây dựng hoặc nâng cấp, cập nhật phần mềm quản lý, duy trì bản quyền (licence) phần mềm và thiết bị tại Trung tâm Tích hợp dữ liệu và thanh toán chế độ trực 24/24 giờ cho cán bộ quản trị, vận hành, tổng hợp dự toán trình cấp có thẩm quyền phê duyệt.

9. Đào tạo, trang bị các kiến thức liên quan tới hoạt động của Trung tâm Tích hợp dữ liệu cho cán bộ quản lý, vận hành để đáp ứng yêu cầu thực tiễn.

10. Thực hiện báo cáo định kỳ hoặc đột xuất cho cơ quan quản lý về tình hình hoạt động, cung cấp hạ tầng của Trung tâm Tích hợp dữ liệu.

Điều 24. Trách nhiệm của cơ quan, đơn vị, cá nhân tham gia sử dụng hạ tầng, dịch vụ của Trung tâm Tích hợp dữ liệu

1. Sử dụng cơ sở hạ tầng, dịch vụ của Trung tâm Tích hợp dữ liệu theo Quy chế này và các quy định khác có liên quan.

2. Tuân thủ quy chế đảm bảo an toàn, an ninh thông tin trong hoạt động ứng dụng công nghệ thông tin và chuyển đổi số của các cơ quan nhà nước trên địa bàn tỉnh Hòa Bình và các quy định về an toàn, bảo mật thông tin trong quản lý, vận hành và khai thác Trung tâm Tích hợp dữ liệu.

3. Đối với cơ quan, đơn vị có hệ thống thông tin đặt tại Trung tâm Tích hợp dữ liệu:

a) Chịu trách nhiệm về các nội dung, thông tin lưu trữ tại Trung tâm Tích hợp dữ liệu do cơ quan, đơn vị cung cấp. Sao lưu dữ liệu thường xuyên của đơn vị theo sự hướng dẫn của đơn vị vận hành; thường xuyên cập nhật các bản vá hệ điều hành, phần mềm mã nguồn và ứng dụng theo khuyến cáo của nhà sản xuất.

b) Phối hợp với cơ quan quản lý, đơn vị vận hành trong công tác bảo đảm an toàn, an ninh thông tin, duy trì hoạt động các hệ thống thông tin của cơ quan đặt tại Trung tâm Tích hợp dữ liệu.

c) Hàng năm, xây dựng kinh phí đảm bảo duy trì, vận hành, nâng cấp trang thiết bị phần cứng và cập nhật phần mềm đặt tại Trung tâm Tích hợp dữ liệu; tổng hợp chung trong dự toán chi nghiệp vụ chuyên môn của cơ quan, đơn vị, trình cấp có thẩm quyền phê duyệt.

4. Đối với người sử dụng:

a) Tuân thủ các quy định về an toàn, bảo mật thông tin quản lý, khai thác và vận hành Trung tâm Tích hợp dữ liệu.

b) Không được thực hiện các hành vi đánh cắp, giả mạo tài khoản, truy cập trái phép, sử dụng các công cụ, phần mềm làm tổn hại đến hoạt động của Trung tâm Tích hợp dữ liệu; không được cung cấp thông tin về tài khoản, mật khẩu người dùng cho người khác và các hành vi bị nghiêm cấm quy định tại Điều 5 Quy chế này.

5. Trường hợp phát sinh sự cố phải thông báo ngay cho cán bộ kỹ thuật của đơn vị vận hành để phối hợp xử lý sự cố và xác nhận kết quả xử lý.

Điều 25. Tổ chức thưc hiện

1. Sở Thông tin và Truyền thông: Là đơn vị chủ trì, chịu trách nhiệm trước UBND tỉnh, Chủ tịch UBND tỉnh về việc quản lý, khai thác và vận hành Trung tâm Tích hợp dữ liệu đảm bảo ổn định, thông suốt, liên tục, an toàn bảo mật thông tin, quản lý tài sản theo đúng quy định; chủ trì tổ chức triển khai, hướng dẫn thực hiện Quy chế này; theo dõi, kiểm tra định kỳ báo cáo UBND tỉnh tình hình triển khai của các cơ quan, đơn vị.

2. Sở Kế hoạch và Đầu tư: Phối hợp các cơ quan, đơn vị liên quan tham mưu UBND tỉnh cân đối kế hoạch nguồn vốn đầu tư trung hạn và hàng năm theo quy định của Luật Đầu tư công trong khả năng cân đối của ngân sách tỉnh để đầu tư, nâng cấp, mở rộng Trung tâm Tích hợp dữ liệu, đảm bảo việc quản lý, khai thác và vận hành Trung tâm Tích hợp dữ liệu phục vụ hiệu quả cho việc triển khai Chính quyền số và đảm bảo an toàn, an ninh thông tin.

3. Sở Tài chính: Hàng năm, căn cứ khả năng cân đối và phân cấp ngân sách nhà nước, phối hợp với Sở Thông tin và Truyền thông tham mưu UBND tỉnh bố trí kinh phí chi thường xuyên trong dự toán kinh phí công nghệ thông tin để đảm bảo thực hiện nhiệm vụ nâng cấp và duy trì hoạt động hiệu quả, đảm bảo an toàn an ninh thông tin Trung tâm Tích hợp dữ liệu theo quy định hiện hành.

4. Các cơ quan nhà nước trên địa bàn tỉnh, các tổ chức, đơn vị sử dụng dịch vụ tại Trung tâm Tích hợp dữ liệu:

a) Trình phê duyệt cấp độ đối với hệ thống thông tin đang đặt tại Trung tâm Tích hợp dữ liệu; quản trị, vận hành hệ thống thông tin của đơn vị mình đảm bảo hiệu quả, đảm bảo an toàn an ninh thông tin.

b) Chủ động phối hợp với đơn vị quản lý, đơn vị vận hành khi phát hiện những vấn đề liên quan ảnh hưởng đến an toàn thông tin, an toàn dữ liệu, mất kết nối thông tin để phối hợp khắc phục và xử lý kịp thời.

5. Trong quá trình thực hiện Quy chế này, nếu có vướng mắc hoặc phát sinh mới, các cơ quan, đơn vị cần kịp thời phản ánh về Sở Thông tin và Truyền thông tổng hợp, tham mưu và trình UBND tỉnh xem xét, quyết định./.