|
ỦY BAN NHÂN DÂN
TỈNH HẬU GIANG
-------
|
CỘNG HÒA XÃ HỘI
CHỦ NGHĨA VIỆT NAM
Độc lập - Tự do - Hạnh phúc
---------------
|
|
Số:
48/2024/QĐ-UBND
|
Hậu Giang, ngày
22 tháng 11 năm 2024
|
QUYẾT ĐỊNH
BAN
HÀNH QUY CHẾ BẢO ĐẢM AN TOÀN THÔNG TIN MẠNG TRONG HOẠT ĐỘNG ỨNG DỤNG CÔNG NGHỆ
THÔNG TIN CỦA CÁC CƠ QUAN NHÀ NƯỚC TRÊN ĐỊA BÀN TỈNH HẬU GIANG
ỦY BAN NHÂN DÂN TỈNH HẬU GIANG
Căn cứ Luật Tổ chức chính quyền địa phương ngày
19 tháng 6 năm 2015;
Căn cứ Luật sửa đổi, bổ sung một số điều của Luật
Tổ chức Chính phủ và Luật Tổ chức chính quyền địa phương ngày 22 tháng 11 năm
2019;
Căn cứ Luật Ban hành văn bản quy phạm pháp luật
ngày 22 tháng 6 năm 2015;
Căn cứ Luật sửa đổi, bổ sung một số điều của Luật
Ban hành văn bản quy phạm pháp luật ngày 18 tháng 6 năm 2020;
Căn cứ Luật Công nghệ thông tin ngày 29 tháng 6
năm 2006;
Căn cứ Luật An toàn thông tin mạng ngày 19 tháng
11 năm 2015;
Căn cứ Luật An ninh mạng ngày 12 tháng 6 năm
2018;
Căn cứ Luật Giao dịch điện tử ngày 22 tháng 6
năm 2023;
Căn cứ Nghị định số 64/2007/NĐ-CP ngày 10 tháng
4 năm 2007 của Chính phủ ứng dụng công nghệ thông tin trong hoạt động của cơ
quan nhà nước;
Căn cứ Nghị định số 72/2013/NĐ-CP ngày 15 tháng 7
năm 2013 của Chính phủ quản lý, cung cấp, sử dụng dịch vụ internet và thông tin
trên mạng;
Căn cứ Nghị định số 85/2016/NĐ-CP ngày 01 tháng
7 năm 2016 của Chính phủ về bảo đảm an toàn hệ thống thông tin theo cấp độ;
Căn cứ Nghị định số 53/2022/NĐ-CP ngày 15 tháng
8 năm 2022 của Chính phủ quy định chi tiết một số điều của Luật An ninh mạng;
Căn cứ Quyết định số 05/2017/QĐ-TTg ngày 16
tháng 3 năm 2017 của Thủ tướng Chính phủ ban hành quy định về hệ thống phương
án ứng cứu khẩn cấp bảo đảm an toàn thông tin mạng quốc gia;
Căn cứ Quyết định số 08/2023/QĐ-TTg ngày 05
tháng 4 năm 2023 của Thủ tướng Chính phủ về Mạng truyền số liệu chuyên dùng phục
vụ các cơ quan Đảng, Nhà nước;
Căn cứ Thông tư số 20/2017/TT-BTTTT ngày 12 năm
2017 của Bộ trưởng Bộ Thông tin và Truyền thông quy định về điều phối, ứng cứu
sự cố an toàn thông tin mạng trên toàn quốc;
Căn cứ Thông tư số 12/2022/TT-BTTTT ngày 12
tháng 8 năm 2022 của Bộ trưởng Bộ Thông tin và Truyền thông quy định chi tiết
và hướng dẫn một số điều của Nghị định 85/2016/NĐ-CP ngày 01 tháng 7 năm 2016 của
Chính phủ về việc bảo đảm an toàn hệ thống thông tin theo cấp độ;
Căn cứ Thông tư số 19/2023/TT-BTTTT ngày 25
tháng 12 năm 2023 của Bộ trưởng Bộ Thông tin và Truyền thông quy định chi tiết
và hướng dẫn một số điều của Quyết định số 08/2023/QĐ-TTg ngày 05 tháng 4 năm
2023 của Thủ tướng Chính phủ về mạng truyền số liệu chuyên dùng phục vụ các cơ
quan Đảng, Nhà nước;
Theo đề nghị của Giám đốc Sở Thông tin và Truyền
thông.
QUYẾT ĐỊNH:
Điều 1. Ban hành kèm theo
Quyết định này Quy chế bảo đảm an toàn thông tin mạng trong hoạt động ứng dụng
công nghệ thông tin của các cơ quan nhà nước trên địa bàn tỉnh Hậu Giang.
Điều 2. Quyết định này có
hiệu lực từ ngày 03 tháng 12 năm 2024 và thay thế Quyết định số 01/2012/QĐ-UBND
ngày 03 tháng 01 năm 2012 của Ủy ban nhân dân tỉnh Hậu Giang ban hành Quy chế đảm
bảo an toàn, an ninh thông tin trong hoạt động ứng dụng công nghệ thông tin của
các cơ quan, đơn vị quản lý hành chính nhà nước hên địa bàn tỉnh Hậu Giang.
Điều 3. Chánh Văn phòng Ủy
ban nhân dân tỉnh, Giám đốc sở, Thủ trưởng cơ quan, ban, ngành tỉnh, Chủ tịch Ủy
ban nhân dân huyện, thị xã, thành phố và các tổ chức, cá nhân có liên quan chịu
trách nhiệm thi hành Quyết định này./.
|
Nơi nhận:
- Văn phòng Chính phủ;
- Bộ Thông tin và Truyền thông;
- Cục Kiểm tra VBQPPL - Bộ Tư pháp;
- TT: TU, HĐND, UBND tỉnh;
- VP. Đoàn ĐBQH và HĐND tỉnh;
- Ủy ban MTTQVN tỉnh;
- Các Ban của HĐND tỉnh;
- Như điều 3;
- Cơ quan Báo, Đài tỉnh;
- Cổng TTĐT tỉnh;
- Công báo tỉnh;
- Lưu: VT.
|
TM. ỦY BAN NHÂN
DÂN
CHỦ TỊCH
Đồng Văn Thanh
|
QUY CHẾ
BẢO ĐẢM AN TOÀN THÔNG TIN MẠNG TRONG HOẠT ĐỘNG ỨNG DỤNG CÔNG
NGHỆ THÔNG TIN CỦA CÁC CƠ QUAN NHÀ NƯỚC TRÊN ĐỊA BÀN TỈNH HẬU GIANG
(Kèm theo Quyết định số 48/2024/QĐ-UBND ngày 22 tháng 11 năm 2024 của Ủy ban
nhân dân tỉnh Hậu Giang)
Chương I
QUY ĐỊNH CHUNG
Điều 1.
Phạm vi điều chỉnh, đối tượng áp dụng
1. Phạm vi điều chỉnh.
Quy chế này quy định một số nội
dung có liên quan đến bảo đảm an toàn thông tin các hệ thống thông tin trong hoạt
động ứng dụng công nghệ thông tin của các cơ quan nhà nước trên địa bàn tỉnh Hậu
Giang.
2. Đối tượng áp dụng.
a) Các quản lý hành chính nhà
nước cấp tỉnh, cấp huyện, cấp xã và các đơn vị sự nghiệp công lập thuộc Ủy ban
nhân dân tỉnh Hậu Giang.
b) Các tổ chức chính trị - xã hội
được ngân sách nhà nước bảo đảm kinh phí hoạt động có sử dụng các hệ thống
thông tin do Ủy ban nhân dân tỉnh triển khai.
c) Tổ chức, cá nhân có liên
quan đến an toàn thông tin mạng trong hoạt động ứng dụng công nghệ thông tin của
các cơ quan nhà nước.
d) Khuyến khích các cơ quan Đảng
áp dụng Quy chế này.
Điều 2.
Giải thích từ ngữ
Trong quy chế này, các từ ngữ
dưới đây được hiểu như sau:
1. Cán bộ, công chức, viên
chức chuyên trách về công nghệ thông tin là cán bộ, công chức, viên chức được
tuyển dụng phụ trách an toàn thông tin, công nghệ thông tin tại các cơ quan,
đơn vị.
2. Cán bộ quản lý, nhân viên
vận hành là cán bộ, công chức, viên chức được tuyển dụng hoặc được phân
công phụ trách quản lý, vận hành hoạt động thường xuyên của một hoặc nhiều hệ
thống thông tin của cơ quan, đơn vị.
Điều 3.
Nguyên tắc bảo đảm an toàn thông tin
Theo quy định tại Điều 4 Luật
An toàn thông tin mạng.
Điều 4. Các
hành vi bị cấm
1. Các hành vi bị nghiêm cấm về
an toàn, an ninh thông tin mạng quy định tại Điều 7 Luật An toàn thông tin mạng
năm 2015, Điều 8 Luật An ninh mạng năm 2018, Điều 5 Luật Bảo vệ bí mật nhà nước
năm 2018.
2. Các hành vi bị cấm trong quản
lý, cung cấp, sử dụng dịch vụ internet và thông tin trên mạng quy định tại Điều
5 Nghị định số 72/2013/NĐ-CP ngày 15 tháng 7 năm 2013 của Chính phủ quản lý,
cung cấp, sử dụng dịch vụ internet và thông tin trên mạng.
Điều 5. Phối
hợp với những cơ quan, tổ chức có thẩm quyền
1. Đầu mối liên hệ, phối hợp với
các cơ quan, tổ chức có thẩm quyền quản lý về an toàn thông tin.
Sở Thông tin và Truyền thông
làm đầu mối liên hệ, phối hợp với các cơ quan, tổ chức có thẩm quyền quản lý về
an toàn thông tin; tổ chức thực hiện việc tiếp nhận và xử lý các sự cố về an
toàn thông tin mạng trên địa bàn tỉnh; phối hợp với Văn phòng Ủy ban nhân dân tỉnh,
Công an tỉnh và các đơn vị có liên quan tiến hành kiểm tra công tác bảo đảm an
toàn thông tin mạng định kỳ hàng năm hoặc theo chỉ đạo của Ủy ban nhân dân tỉnh
kiểm tra đối với các cơ quan nhà nước trên địa bàn tỉnh.
2. Các cơ quan, đơn vị phân
công cán bộ, công chức, viên chức chuyên trách về an toàn thông tin phối hợp với
Sở Thông tin và Truyền thông, các cơ quan, tổ chức trong công tác hỗ trợ điều
phối xử lý sự cố an toàn thông tin: Tùy theo mức độ sự cố, phối hợp Cục An toàn
thông tin hoặc Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam và các đơn vị có
liên quan hướng dẫn xử lý, ứng cứu các sự cố an toàn thông tin mạng.
Điều 6. Bảo
đảm nguồn nhân lực
Cơ quan, đơn vị vận hành hệ thống
thông tin phải tuân thủ các nội dung sau:
1. Tuyển dụng
a) Cán bộ được tuyển dụng vào vị
trí việc làm về an toàn thông tin có trình độ, chuyên ngành về lĩnh vực công
nghệ thông tin, an toàn thông tin, phù hợp với vị trí tuyển dụng.
b) Có quy định, quy trình tuyển
dụng cán bộ và điều kiện tuyển dụng cán bộ.
c) Có chuyên gia trong lĩnh vực
đánh giá, kiểm tra trình độ chuyên môn phù hợp với vị trí tuyển dụng.
2. Trong quá trình làm việc
a) Có quy định về việc thực hiện
nội quy, quy chế bảo đảm an toàn thông tin cho người sử dụng, cán bộ quản lý và
vận hành hệ thống.
b) Có kế hoạch và định kỳ hàng
năm tổ chức phổ biến, tuyên truyền nâng cao nhận thức về an toàn thông tin cho
người sử dụng.
c) Có kế hoạch và định kỳ hàng
năm tổ chức đào tạo về an toàn thông tin hàng năm cho 03 nhóm đối tượng bao gồm:
cán bộ kỹ thuật, cán bộ quản lý và người sử dụng trong hệ thống.
3. Chấm dứt thay đổi công việc
a) Cán bộ chấm dứt hoặc thay đổi
công việc phải thu hồi thẻ truy cập, thông tin được lưu trên các phương tiện
lưu trữ, các trang thiết bị máy móc, phần cứng, phần mềm và các tài sản khác (nếu
có) thuộc sở hữu của tổ chức.
b) Có quy trình và thực hiện vô
hiệu hóa tất cả các quyền ra, vào, truy cập tài nguyên, quản trị hệ thống sau
khi cán bộ thôi việc.
c) Có cam kết giữ bí mật thông
tin liên quan đến tổ chức sau khi nghỉ việc.
Điều 7. Bảo
vệ bí mật nhà nước trong hoạt động ứng dụng công nghệ thông tin
1. Quy định về soạn thảo, in ấn,
phát hành và sao chụp tài liệu, vật chứa bí mật nhà nước.
a) Không được soạn thảo, lưu giữ,
chuyển giao, đăng tải, phát tán thông tin, tài liệu có chứa nội dung bí mật nhà
nước trên máy tính hoặc thiết bị khác đã kết nối hoặc đang kết nối với mạng
Internet, mạng máy tính, mạng viễn thông, trừ trường hợp lưu giữ bí mật nhà nước
theo quy định của pháp luật về cơ yếu.
b) Không được in, sao chụp tài
liệu bí mật nhà nước trên các thiết bị kết nối mạng internet.
c) Phải bố trí ít nhất 01 máy
vi tính độc lập riêng, không kết nối mạng nội bộ và mạng Internet dùng để quản
lý, soạn thảo, lưu giữ các tài liệu chứa nội dung bí mật nhà nước theo quy định.
2. Khi sửa chữa, khắc phục các
sự cố của máy tính dùng để soạn thảo, lưu giữ tài liệu có chứa nội dung bí mật
nhà nước, các phòng, đơn vị phải báo cáo cho người có thẩm quyền. Không được
cho phép các tổ chức, cá nhân không có trách nhiệm trực tiếp sửa chữa, xử lý,
khắc phục sự cố.
3. Trước khi thanh lý các máy
tính trong các cơ quan nhà nước phải dùng các biện pháp kỹ thuật xoá bỏ vĩnh viễn
dữ liệu trong ổ cứng máy tính.
Chương II
BẢO ĐẢM AN TOÀN THÔNG
TIN TRONG QUẢN LÝ THIẾT KẾ, XÂY DỰNG HỆ THỐNG
Điều 8. Thiết
kế an toàn hệ thống thông tin
Cơ quan, đơn vị vận hành hệ thống
thông tin phải tuân thủ các nội dung sau:
1. Có tài liệu mô tả quy mô, phạm
vi và đối tượng sử dụng, khai thác, quản lý vận hành hệ thống thông tin.
2. Có tài liệu mô tả thiết kế
và các thành phần của hệ thống thông tin.
3. Có tài liệu mô tả phương án
bảo đảm an toàn thông tin theo cấp độ.
4. Có tài liệu mô tả phương án
lựa chọn giải pháp công nghệ bảo đảm an toàn thông tin.
5. Khi có thay đổi thiết kế,
đánh giá lại tính phù hợp của phương án thiết kế đối với các yêu cầu an toàn đặt
ra đối với hệ thống.
Điều 9.
Phát triển phần mềm thuê khoán
Cơ quan, đơn vị vận hành hệ thống
thông tin phải tuân thủ các nội dung sau:
1. Có biên bản, hợp đồng và các
cam kết đối với bên thuê khoán các nội dung liên quan đến việc phát triển phần
mềm thuê khoán.
2. Yêu cầu các nhà phát triển
cung cấp mã nguồn phần mềm.
3. Kiểm thử phần mềm trên môi trường
thử nghiệm trước khi đưa vào sử dụng.
4. Kiểm tra, đánh giá an toàn
thông tin, trước khi đưa vào sử dụng.
5. Khi thay đổi mã nguồn, kiến
trúc phần mềm thực hiện kiểm tra, đánh giá an toàn thông tin cho phần mềm.
6. Có cam kết của bên phát triển
về bảo đảm tính bí mật và bản quyền của phần mềm phát triển.
Điều 10.
Thử nghiệm và nghiệm thu hệ thống
Cơ quan, đơn vị vận hành hệ thống
thông tin phải tuân thủ các nội dung sau:
1. Thực hiện thử nghiệm và nghiệm
thu hệ thống trước khi bàn giao và đưa vào sử dụng.
2. Có nội dung, kế hoạch, quy
trình thử nghiệm và nghiệm thu hệ thống.
3. Có bộ phận có trách nhiệm thực
hiện thử nghiệm và nghiệm thu hệ thống.
4. Có đơn vị độc lập (bên thứ
ba) hoặc bộ phận độc lập thuộc đơn vị thực hiện tư vấn và giám sát quá trình thử
nghiệm và nghiệm thu hệ thống.
5. Có báo cáo nghiệm thu được
xác nhận của bộ phận chuyên trách và phê duyệt của chủ quản hệ thống thông tin
trước khi đưa vào sử dụng.
Chương
III
BẢO ĐẢM AN TOÀN THÔNG
TIN TRONG QUẢN LÝ VẬN HÀNH HỆ THỐNG
Điều 11.
Quản lý an toàn mạng
Cơ quan, đơn vị vận hành hệ thống
thông tin phải tuân thủ các nội dung sau:
1. Quản lý, vận hành hoạt động
bình thường của hệ thống:
a) Bảo đảm cho hệ điều hành, phần
mềm cài đặt trên máy chủ hoạt động liên tục, ổn định và an toàn.
b) Thường xuyên kiểm tra cấu
hình, các tệp nhật ký hoạt động của hệ điều hành, phần mềm nhằm kịp thời phát
hiện và xử lý những sự cố nếu có.
c) Quản lý các thay đổi cấu
hình kỹ thuật của hệ điều hành, phần mềm.
d) Thường xuyên cập nhật các bản
vá lỗi hệ điều hành, phần mềm từ nhà cung cấp.
đ) Loại bỏ các thành phần của hệ
điều hành, phần mềm không cần thiết hoặc không còn nhu cầu sử dụng.
e) Các bản quyền phần mềm cần
được thống kê, quản lý thời gian phục vụ cho việc gia hạn.
g) Triển khai hệ thống phát hiện
phòng chống xâm nhập giữa các vùng mạng quan trọng.
h) Sử dụng thêm các phương pháp
xác thực đa nhân tố đối với các thiết bị mạng quan trọng.
i) Triển khai phương án cảnh
báo thời gian thực trực tiếp đến người quản trị hệ thống thông qua hệ thống
giám sát khi phát hiện sự cố trên các thiết bị mạng.
k) Duy trì ít nhất 02 kết nối mạng
Internet từ các ISP sử dụng hạ tầng kết nối trong nước khác nhau (nếu hệ thống
buộc phải có kết nối mạng Internet).
2. Cập nhật, sao lưu dự phòng
và khôi phục sau khi xảy ra sự cố:
a) Triển khai hệ thống/phương
tiện lưu trữ độc lập với hệ thống lưu trữ trên các máy chủ dịch vụ để sao lưu dự
phòng; phân loại và quản lý thông tin, dữ liệu được lưu trữ theo từng loại/nhóm
thông tin được gán nhãn khác nhau; thực hiện sao lưu, dự phòng các thông tin, dữ
liệu cơ bản sau: tập tin cấu hình hệ thống, ảnh hệ điều hành máy chủ, cơ sở dữ
liệu; dữ liệu, thông tin nghiệp vụ.
b) Triển khai phương án dự
phòng nóng cho các thiết bị mạng chính bảo đảm khả năng vận hành liên tục của hệ
thống; năng lực của thiết bị dự phòng phải đáp ứng theo quy mô hoạt động của hệ
thống.
c) Triển khai hệ thống/phương
tiện lưu trữ nhật ký độc lập và phù hợp với hoạt động của các thiết bị mạng. Dữ
liệu nhật ký phải được lưu tối thiểu 06 tháng.
d) Triển khai hệ thống/phương
tiện chống thất thoát dữ liệu trong hệ thống.
3. Truy cập và quản lý cấu hình
hệ thống:
a) Cán bộ quản lý, nhân viên vận
hành truy cập, khai thác thông tin tại hệ thống theo trách nhiệm và phân quyền
được quy định; việc khai thác thông tin phải bảo đảm nguyên tắc bảo mật, không
được tự ý cung cấp thông tin ra bên ngoài.
b) Cán bộ quản lý, nhân viên vận
hành có trách nhiệm theo dõi và phát hiện các trường hợp truy cập hệ thống trái
phép hoặc thao tác vượt quá giới hạn, báo cáo cho cán bộ quản lý để tiến hành
ngăn chặn, thu hồi, khóa quyền truy cập của các tài khoản vi phạm.
c) Cấu hình tối ưu, tăng cường
bảo mật cho thiết bị hệ thống trước khi đưa vào vận hành, khai thác.
d) Quy trình kết nối thiết bị đầu
cuối của người sử dụng vào hệ thống mạng; truy nhập và quản lý cấu hình hệ thống;
cấu hình tối ưu, tăng cường bảo mật cho thiết bị mạng, bảo mật trong hệ thống
và thực hiện quy trình trước khi đưa hệ thống vào vận hành khai thác.
4. Cấu hình tối ưu, tăng cường
bảo mật cho thiết bị hệ thống (cứng hóa) trước khi đưa vào vận hành, khai thác.
Điều 12.
Quản lý an toàn máy chủ và ứng dụng
Cơ quan, đơn vị vận hành hệ thống
thông tin phải tuân thủ các chính sách, quy trình quản lý an toàn máy chủ và ứng
dụng bao gồm:
1. Quản lý, vận hành hoạt động
bình thường của hệ thống máy chủ và dịch vụ:
a) Bảo đảm cho hệ điều hành, phần
mềm cài đặt trên máy chủ hoạt động liên tục, ổn định và an toàn.
b) Thường xuyên kiểm tra cấu
hình, nhật ký hoạt động của hệ điều hành, phần mềm nhằm kịp thời phát hiện và xử
lý những sự cố nếu có.
c) Quản lý các thay đổi cấu
hình kỹ thuật của hệ điều hành, phần mềm.
d) Thường xuyên cập nhật các bản
vá lỗi hệ điều hành, phần mềm từ nhà cung cấp.
đ) Loại bỏ các thành phần của hệ
điều hành, phần mềm không cần thiết hoặc không còn nhu cầu sử dụng.
e) Các bản quyền phần mềm cần
được thống kê, quản lý thời gian phục vụ cho việc gia hạn.
2. Truy cập mạng của máy chủ:
Bảo đảm các kết nối mạng trên
máy chủ hoạt động liên tục, ổn định và an toàn. Cấu hình, kiểm soát các kết nối,
các cổng dịch vụ từ bên trong đi ra cũng như bên ngoài vào hệ thống.
3. Truy cập và quản trị máy chủ
và ứng dụng:
a) Thay đổi các tài khoản, mật
khẩu mặc định ngay khi đưa hệ điều hành, phần mềm vào sử dụng.
b) Cấp quyền quản lý truy cập của
người sử dụng trên máy chủ cài đặt hệ điều hành.
c) Toàn bộ máy chủ và thiết bị
công nghệ thông tin không phải máy tính ngoại trừ các hệ thống bắt buộc phải có
giao tiếp với Internet (các hệ thống phục vụ truy cập Internet; cung cấp giao
diện ra Internet của trang tin điện tử; phục vụ cập nhật bản vá hệ điều hành, mẫu
mã độc, mẫu điểm yếu, mẫu tấn công) không được kết nối Internet.
d) Sử dụng cơ chế xác thực đa
nhân tố khi truy cập vào các máy chủ trong hệ thống, các tài khoản quản trị của
ứng dụng; có cơ chế yêu cầu người sử dụng thay đổi thông tin xác thực định kỳ.
đ) Kiểm tra tính toàn vẹn của
các tệp tin hệ thống và tính toàn vẹn của các quyền đã được cấp trên các tài
khoản hệ thống.
e) Sử dụng cơ chế mã hóa thông tin
xác thực của người sử dụng/bên sử dụng trước khi gửi đến ứng dụng qua môi trường
mạng.
g) Xác thực thông tin, nguồn gửi
khi trao đổi thông tin trong quá trình quản trị ứng dụng (không phải là thông
tin, dữ liệu công khai) qua môi trường mạng.
4. Cập nhật, sao lưu dự phòng
và khôi phục sau khi xảy ra sự cố:
a) Triển khai hệ thống/phương
tiện lưu trữ độc lập với hệ thống lưu trữ trên các máy chủ dịch vụ để sao lưu dự
phòng.
b) Phân loại và quản lý thông
tin, dữ liệu được lưu trữ theo từng loại/nhóm thông tin được gán nhãn khác nhau
thực hiện sao lưu, dự phòng các thông tin, dữ liệu cơ bản sau: tập tin cấu hình
hệ thống, ảnh hệ điều hành máy chủ, cơ sở dữ liệu; dữ liệu, thông tin nghiệp vụ.
5. Cài đặt, gỡ bỏ hệ điều hành,
dịch vụ, phần mềm trên hệ thống máy chủ và ứng dụng.
6. Kết nối và gỡ bỏ hệ thống
máy chủ và dịch vụ khỏi hệ thống.
7. Cấu hình tối ưu và tăng cường
bảo mật (cứng hóa) cho hệ thống máy chủ trước khi đưa vào vận hành, khai thác.
Điều 13.
Quản lý an toàn dữ liệu
Cơ quan, đơn vị vận hành hệ thống
thông tin phải tuân thủ các nội dung sau:
1. Thực hiện quản lý, lưu trữ dữ
liệu quan trọng trong hệ thống cùng với mã kiểm tra tính nguyên vẹn.
2. Định kỳ hoặc khi có thay đổi
cấu hình trên hệ thống thực hiện quy trình sao lưu dự phòng: tập tin cấu hình hệ
thống, bản dự phòng hệ điều hành máy chủ, cơ sở dữ liệu; dữ liệu, thông tin
nghiệp vụ.
3. Lưu trữ có mã hóa các thông
tin, dữ liệu (không phải là thông tin, dữ liệu công khai) trên hệ thống lưu trữ/phương
tiện lưu trữ.
Điều 14.
Quản lý an toàn thiết bị đầu cuối
Cơ quan, đơn vị vận hành hệ thống
thông tin phải tuân thủ quy định về quản lý an toàn thiết bị đầu cuối bao gồm
các nội dung:
1. Quản lý, vận hành hoạt động
bình thường cho thiết bị đầu cuối;
2. Kết nối, truy cập và sử dụng
thiết bị đầu cuối từ xa;
3. Cài đặt, kết nối và gỡ bỏ
thiết bị đầu cuối trong hệ thống.
Điều 15.
Quản lý phòng chống phần mềm độc hại
Cơ quan, đơn vị vận hành hệ thống
thông tin phải tuân thủ các nội dung sau:
1. Tất cả các máy trạm, máy chủ
phải được trang bị phần mềm phòng chống mã độc. Các phần mềm phòng chống mã độc
phải được thiết lập chế độ tự động cập nhật; chế độ tự động quét mã độc khi sao
chép, mở các tập tin.
2. Khi gửi văn bản điện tử gửi
qua hệ thống thư điện tử phải có định dạng theo Danh mục tiêu chuẩn kỹ thuật về
ứng dụng công nghệ thông tin trong cơ quan nhà nước như: (.txt), (.doc),
(.odt), (.pdf) và các định dạng khác theo quy định pháp luật, không được gửi
các file thực thi (.com), (.bat), (.exe) và các định dạng khác theo quy định
pháp luật.
3. Các cán bộ, công chức, viên
chức và người lao động trong cơ quan phải được hướng dẫn về phòng chống mã độc,
các rủi ro do mã độc gây ra; không được tự ý cài đặt hoặc gỡ bỏ các phần mềm
trên máy trạm khi chưa có sự đồng ý của người có thẩm quyền theo quy định của
cơ quan.
4. Tất cả các máy tính của đơn
vị phải được cấu hình nhằm vô hiệu hóa tính năng tự động thực thi (autoplay)
các tập tin trên các thiết bị lưu trữ di động.
5. Khi phát hiện ra bất kỳ dấu
hiện nào liên quan đến việc bị nhiễm mã độc trên máy trạm (ví dụ: máy hoạt động
chậm bất thường, cảnh báo từ phần mềm phòng chống mã độc, mất dữ liệu và các định
dạng khác theo quy định pháp luật), người sử dụng phải báo trực tiếp cho bộ phận
có trách nhiệm của đơn vị để xử lý.
6. Phần mềm ứng dụng trước khi
được cài đặt, sử dụng phải được kiểm tra xem có phần mềm độc hại tồn tại hay
không? Tất cả các tập tin, thư mục phải được quét mã độc trước khi sao chép, sử
dụng.
7. Định kỳ hàng năm thực hiện
kiểm tra và dò quét phần mềm độc hại trên toàn bộ hệ thống; Thực hiện kiểm tra
và xử lý phần mềm độc hại khi phát hiện dấu hiệu hoặc cảnh báo về dấu hiệu phần
mềm độc hại xuất hiện trên hệ thống.
Điều 16.
Quản lý giám sát an toàn hệ thống thông tin
1. Chủ quản hệ thống thông tin phải
triển khai hệ thống giám sát an toàn thông tin đáp ứng các yêu cầu tại Thông tư
số 31/2017/TT-BTTTT ngày 15 tháng 11 năm 2017 của Bộ trưởng Bộ Thông tin và
Truyền thông quy định hoạt động giám sát an toàn hệ thống thông tin.
2. Sở Thông tin và Truyền thông
có trách nhiệm tổ chức giám sát an toàn thông tin đối với các hệ thống thông
tin được đặt tại Trung tâm dữ liệu tỉnh.
3. Đối với các hệ thống thông
tin, phần mềm, ứng dụng, cơ sở dữ liệu không được đặt tại Trung tâm dữ liệu tỉnh
thì chủ quản hệ thống thông tin có trách nhiệm tự thực hiện hoặc yêu cầu doanh
nghiệp cung cấp dịch vụ bảo đảm các yêu cầu giám sát an toàn hệ thống thông tin
theo quy định của pháp luật.
4. Định kỳ hàng năm tổ chức
nâng cao năng lực hoạt động giám sát theo quy định tại Điều 9 Thông tư số
31/2017/TT-BTTTT.
Điều 17.
Quản lý điểm yếu an toàn thông tin
Cơ quan, đơn vị vận hành hệ thống
thông tin phải tuân thủ các nội dung sau:
1. Quản lý thông tin điểm yếu
an toàn thông tin đối với từng thành phần có trong hệ thống (hệ điều hành, máy
chủ, ứng dụng, dịch vụ và các định dạng khác theo quy định pháp luật); Phân loại
mức độ nguy hiểm của điểm yếu; Xây dựng phương án và quy trình xử lý đối với từng
mức độ nguy hiểm của điểm yếu.
2. Báo cáo Lãnh đạo/Cán bộ quản
lý ngay khi phát hiện điểm yếu an toàn thông tin ở mức độ nghiêm trọng. Thực hiện
cảnh báo và xử lý điểm yếu an toàn thông tin theo chỉ đạo. Việc xử lý điểm yếu
an toàn thông tin phải bảo đảm không làm ảnh hưởng/gián đoạn hoạt động của hệ
thống.
3. Xây dựng phương án xử lý tạm
thời đối với trường hợp điểm yếu an toàn thông tin chưa được khắc phục và
phương án khôi phục hệ thống trong trường hợp xử lý điểm yếu thất bại.
4. Có trách nhiệm phối hợp với
các nhóm chuyên gia, bên cung cấp dịch vụ hỗ trợ trong việc xử lý, khắc phục điểm
yếu an toàn thông tin đối với các điểm yếu khi cần thiết.
5. Kiểm tra, đánh giá và xử lý
điểm yếu an toàn thông tin cho thiết bị hệ thống, máy chủ, dịch vụ trước khi
đưa vào sử dụng.
6. Định kỳ hàng năm kiểm tra,
đánh giá điểm yếu an toàn thông tin cho toàn bộ hệ thống thông tin; Thực hiện
quy trình kiểm tra, đánh giá, xử lý điểm yếu an toàn thông tin khi có thông tin
hoặc nhận được cảnh báo về điểm yếu an toàn thông tin đối với thành phần cụ thể
trong hệ thống.
Điều 18.
Quản lý sự cố an toàn thông tin
1. Đơn vị/bộ phận chuyên trách
về an toàn thông tin có trách nhiệm
a) Phân nhóm sự cố an toàn
thông tin mạng theo quy định tại Quyết định số 05/2017/QĐ-TTg ngày 16 tháng 3
năm 2017 của Thủ tướng Chính phủ ban hành quy định về hệ thống phương án ứng cứu
khẩn cấp bảo đảm an toàn thông tin mạng quốc gia; Xây dựng phương án tiếp nhận,
phát hiện, phân loại và xử lý ban đầu sự cố an toàn thông tin mạng, ứng phó sự
cố an toàn thông tin mạng.
b) Phương án tiếp nhận, phát hiện,
phân loại và xử lý ban đầu sự cố an toàn thông tin mạng: các đơn vị vận hành
xây dựng quy trình ứng cứu sự cố an toàn thông tin mạng thông thường và nghiêm
trọng theo quy định tại Điều 13, 14 Quyết định số 05/2017/QĐ-TTg.
c) Kế hoạch ứng phó sự cố an
toàn thông tin mạng: các đơn vị vận hành xây dựng và triển khai kế hoạch ứng
phó sự cố an toàn thông tin theo quy định tại Điều 16 Quyết định số
05/2017/QĐ-TTg.
d) Đơn vị vận hành điều động
nhân lực có kinh nghiệm thực hiện giám sát, phát hiện và cảnh báo sự cố an toàn
thông tin, phối hợp với các đơn vị chuyên trách về an toàn thông tin đưa ra cảnh
báo sớm về nguy cơ mất an toàn thông tin trong hệ thống.
đ) Phối hợp với cơ quan chức
năng, các nhóm chuyên gia, bên cung cấp dịch vụ hỗ trợ trong việc xử lý, khắc
phục sự cố an toàn thông tin; Yêu cầu bên cung cấp, hỗ trợ cung cấp quy trình xử
lý sự cố cho các dịch vụ do bên cung cấp, hỗ trợ cung cấp liên quan đến hệ thống.
e) Định kỳ tổ chức diễn tập
phương án xử lý sự cố an toàn thông tin.
2. Trách nhiệm của người dùng:
Thông tin, báo cáo kịp thời cho cán bộ chuyên trách về an toàn thông tin của cơ
quan khi phát hiện các sự cố gây mất an toàn thông tin trong quá trình tham gia
vào hệ thống thông tin của đơn vị; phối hợp tích cực trong suốt quá trình giải
quyết và khắc phục sự cố.
Điều 19.
Quản lý an toàn người sử dụng đầu cuối
Chính sách, quy trình quản lý
an toàn người sử dụng đầu cuối bao gồm:
1. Quản lý truy cập, sử dụng
tài nguyên nội bộ:
a) Người sử dụng khi truy cập,
sử dụng tài nguyên nội bộ, truy cập mạng và tài nguyên trên Internet phải tuân
thủ các quy định của pháp luật về bảo đảm an toàn thông tin và các quy định của
cơ quan, tổ chức.
b) Khi cài đặt, kết nối máy
tính/thiết bị đầu cuối phải thực hiện theo hướng dẫn/quy trình dưới sự giám sát
của bộ phận chuyên trách về an toàn thông tin.
c) Máy tính/thiết bị đầu cuối
phải được xử lý điểm yếu an toàn thông tin, cấu hình cứng hóa bảo mật trước khi
kết nối vào hệ thống.
2. Quản lý truy cập mạng và tài
nguyên trên Internet:
a) Nghiêm túc chấp hành các quy
chế, quy trình nội bộ và các quy định khác của pháp luật về an toàn thông tin mạng.
Chịu trách nhiệm bảo đảm an toàn thông tin mạng trong phạm vi trách nhiệm và
quyền hạn được giao.
b) Có trách nhiệm tự quản lý, bảo
quản thiết bị, tài khoản, ứng dụng mà mình được giao sử dụng.
c) Khi phát hiện nguy cơ hoặc sự
cố mất an toàn thông tin mạng phải báo cáo ngay với cấp trên và bộ phận phụ
trách công nghệ thông tin của cơ quan, đơn vị để kịp thời ngăn chặn và xử lý.
d) Tham gia các chương trình
đào tạo, hội nghị về an toàn thông tin mạng được tỉnh hoặc đơn vị chuyên môn tổ
chức.
3. Cài đặt và sử dụng máy tính
an toàn.
Điều 20.
Quản lý rủi ro an toàn thông tin
Cơ quan, đơn vị vận hành hệ thống
thông tin có chính sách, quy trình quản lý rủi ro an toàn thông tin bao gồm:
1. Xác định mức rủi ro.
2. Quy trình đánh giá và quản
lý rủi ro.
3. Biện pháp kiểm soát rủi ro.
Điều 21. Kết
thúc vận hành, khai thác, thanh lý, hủy bỏ
1. Thực hiện hủy bỏ toàn bộ
thông tin, dữ liệu trên hệ thống với sự xác nhận của đơn vị chủ quản hệ thống
thông tin khi kết thúc vận hành, khai thác, thanh lý, hủy bỏ hệ thống thông
tin. Trong trường hợp thông tin, dữ liệu của hệ thống thông tin lưu trữ trên
tài sản vật lý, đơn vị chủ quản hệ thống thông tin thực hiện các biện pháp tiêu
hủy hoặc xóa thông tin bảo đảm không có khả năng phục hồi. Với trường hợp đặc
biệt không thể tiêu hủy thông tin, dữ liệu thì sử dụng biện pháp tiêu hủy cấu
trúc phần lưu trữ dữ liệu trên tài sản đó.
2. Đối với các hệ thống thông
tin có dữ liệu được lưu trữ trên tài sản vật lý cần phải mang đi bảo hành, bảo
dưỡng, sửa chữa bên ngoài thì phải được sự phê duyệt của cấp có thẩm quyền và
thực hiện các biện pháp bảo vệ dữ liệu; có cam kết bảo mật thông tin giữa bên
có dữ liệu và bên cung cấp dịch vụ sửa chữa thiết bị lưu trữ dữ liệu.
Chương IV
KIỂM TRA ĐÁNH GIÁ CÔNG
TÁC ĐẢM BẢO AN TOÀN THÔNG TIN MẠNG
Điều 22. Kế
hoạch kiểm tra hằng năm
1. Đội Ứng cứu sự cố An toàn
thông tin mạng tỉnh Hậu Giang (thường trực là Sở Thông tin và Truyền thông) chủ
trì, phối hợp với Công an tỉnh và các đơn vị liên quan tiến hành kiểm tra công
tác đảm bảo an toàn thông tin đối với các cơ quan, đơn vị trên địa bàn tỉnh
theo kế hoạch công tác hằng năm.
2. Tiến hành kiểm tra đột xuất
các cơ quan, đơn vị khi có dấu hiệu vi phạm an toàn đối với các hệ thống thông
tin trên địa bàn tỉnh.
Điều 23.
Thẩm quyền, nội dung, hình thức, đối tượng kiểm tra, đánh giá hệ thống thông
tin
1. Thẩm quyền kiểm tra, đánh
giá:
a) Đơn vị chuyên trách an toàn
thông tin tại Trung ương.
b) Ủy ban nhân dân tỉnh.
c) Đơn vị chủ trì kiểm tra,
đánh giá là đơn vị được cấp có thẩm quyền giao nhiệm vụ hoặc được lựa chọn để
thực hiện nhiệm vụ kiểm tra, đánh giá.
2. Nội dung kiểm tra, đánh giá:
a) Kiểm tra việc thực hiện các
nội dung theo Quy chế này; việc tuân thủ quy định của pháp luật về bảo đảm an
toàn hệ thống thông tin theo cấp độ; Kiểm tra hiệu quả của các biện pháp bảo đảm
an toàn thông tin.
b) Đánh giá hiệu quả của biện
pháp bảo đảm an toàn hệ thống thông tin; phát hiện mã độc, lỗ hổng, điểm yếu,
kiểm thử xâm nhập hệ thống.
c) Kiểm tra công tác giám sát
an toàn thông tin và ứng phó khi xảy ra sự cố an toàn thông tin.
d) Kiểm tra, đánh giá các nội
dung khác theo quy định của chủ quản hệ thống thông tin.
3. Hình thức kiểm tra, đánh
giá:
a) Kiểm tra, đánh giá định kỳ
theo kế hoạch của chủ quản hệ thống thông tin và đơn vị chuyên trách về an toàn
thông tin của tỉnh.
b) Kiểm tra, đánh giá đột xuất
theo yêu cầu của cấp có thẩm quyền.
4. Đối tượng kiểm tra, đánh giá
là chủ quản hệ thống thông tin hoặc đơn vị vận hành hệ thống thông tin và các hệ
thống thông tin có liên quan.
Chương V
TỔ CHỨC BẢO ĐẢM AN TOÀN
THÔNG TIN
Điều 24.
Trách nhiệm của Sở Thông tin và Truyền thông
1. Tham mưu Ủy ban nhân dân tỉnh
về công tác bảo đảm an toàn thông tin trên địa bàn tỉnh và chịu trách nhiệm trước
Ủy ban nhân dân tỉnh trong việc bảo đảm an toàn thông tin cho Trung tâm dữ liệu
của tỉnh.
2. Thực hiện thủ tục xác định cấp
độ an toàn thông tin và bảo đảm an toàn cho các hệ thống thông tin theo quy định
của Luật An toàn thông tin mạng và các văn bản hướng dẫn thi hành Luật An toàn
thông tin mạng.
3. Chủ trì, phối hợp với Công
an tỉnh và các cơ quan, đơn vị có liên quan tiến hành kiểm tra công tác bảo đảm
an toàn thông tin mạng định kỳ hàng năm hoặc đột xuất khi có yêu cầu của cơ
quan nhà nước có thẩm quyền.
4. Hàng năm, xây dựng và triển
khai các Kế hoạch đào tạo, tập huấn về công tác bảo đảm an toàn thông tin mạng
cho cán bộ, công chức, viên chức chuyên trách về công nghệ thông tin của các cơ
quan, đơn vị. Tổ chức các hội nghị, hội thảo chuyên đề và tuyên truyền về an
toàn thông tin mạng trong công tác quản lý nhà nước trên địa bàn tỉnh.
5. Phối hợp với Công an tỉnh
trong công tác phòng ngừa, phát hiện, ngăn chặn và xử lý các hành vi vi phạm
pháp luật trên môi trường mạng, nhất là trên các cổng/trang thông tin điện tử,
mạng xã hội theo thẩm quyền.
6. Là cơ quan đầu mối, phối hợp
với các cơ quan, tổ chức có thẩm quyền quản lý về an toàn thông tin; tổ chức thực
hiện việc tiếp nhận và xử lý các sự cố về an toàn thông tin mạng trên địa bàn tỉnh.
Điều 25.
Trách nhiệm của Công an tỉnh
1. Chủ trì, phối hợp với Sở
Thông tin và Truyền thông và các cơ quan, tổ chức có liên quan xây dựng kế hoạch,
kiểm soát, phòng ngừa, đấu tranh, ngăn chặn các loại tội phạm lợi dụng hệ thống
thông tin, môi trường mạng làm tổn hại đến an ninh quốc gia, lợi ích quốc gia,
an ninh, trật tự, an toàn xã hội trên địa bàn tỉnh.
2. Phối hợp với Sở Thông tin và
Truyền thông trong công tác thanh tra, kiểm tra về công tác bảo đảm an toàn
thông tin mạng.
3. Điều tra và xử lý các tổ chức,
cá nhân vi phạm pháp luật về an toàn thông tin mạng theo thẩm quyền.
Điều 26.
Trách nhiệm của Sở Kế hoạch và Đầu tư, Sở Tài chính
Theo chức năng, nhiệm vụ được
giao, phối hợp với Sở Thông tin và Truyền thông, các cơ quan, đơn vị có liên
quan, căn cứ khả năng cân đối ngân sách, bố trí nguồn vốn thực hiện Quy chế
theo đúng quy định.
Điều 27.
Trách nhiệm của các cơ quan, đơn vị chủ quản hệ thống thông tin
1. Chịu trách nhiệm trong công
tác bảo đảm an toàn thông tin mạng của cơ quan, đơn vị mình theo Quy chế này và
các quy định nhà nước về an toàn, an ninh thông tin khác.
2. Thực hiện xác định cấp độ an
toàn thông tin và bảo đảm an toàn cho hệ thống thông tin của đơn vị quản lý
theo quy định tại Luật An toàn thông tin mạng và các văn bản hướng dẫn thi hành
Luật An toàn thông tin mạng.
3. Phân công bộ phận hoặc cán bộ,
công chức, viên chức chuyên trách về công nghệ thông tin bảo đảm an toàn thông
tin của cơ quan, đơn vị; chỉ đạo công
chức, viên chức và người lao động
nghiêm túc chấp hành các quy định về bảo đảm an toàn thông tin; tạo điều kiện để
các cán bộ phụ trách an toàn thông tin được học tập, nâng cao trình độ về an
toàn thông tin; thường xuyên tổ chức quán triệt các quy định về an toàn thông
tin trong cơ quan, đơn vị; xác định các yêu cầu, trách nhiệm bảo đảm an toàn thông
tin đối với các vị trí cần tuyển dụng hoặc phân công.
4. Thường xuyên tổ chức, phổ biến
các quy định về đảm bảo an toàn thông tin, nhằm nâng cao nhận thức về trách nhiệm
đảm bảo an toàn thông tin cho tổ chức, cá nhân sử dụng hệ thống thông tin do cơ
quan, đơn vị quản lý.
5. Ban hành quy định, quy trình
nội bộ về bảo đảm an toàn thông tin gồm các nội dung cơ bản như quy định về quản
lý hạ tầng mạng, bảo đảm an toàn dữ liệu, bảo đảm an toàn thiết bị và người
dùng đầu cuối phù hợp với Quy chế này và các quy định của pháp luật.
6. Phối hợp, cung cấp thông tin
và tạo điều kiện cho các đơn vị có thẩm quyền triển khai công tác kiểm tra khắc
phục sự cố xảy ra một cách kịp thời, nhanh chóng và đạt hiệu quả.
7. Phối hợp chặt chẽ với Công
an tỉnh, Sở Thông tin và Truyền thông và các cơ quan, đơn vị liên quan trong
công tác phòng ngừa, đấu tranh, ngăn chặn các hoạt động xâm phạm an toàn thông
tin trên không gian mạng.
8. Hàng năm bố trí kinh phí cho
việc ứng dụng công nghệ thông tin nói chung và công tác bảo đảm an toàn thông
tin mạng nói riêng trong nội bộ cơ quan, đơn vị mình; lập kế hoạch nâng cấp, bảo
trì, sửa chữa, gia hạn bản quyền phần mềm... cho các hệ thống phần cứng, phần mềm
nhằm thực hiện tốt công tác bảo mật, bảo đảm an toàn thông tin mạng đưa vào dự
toán chi năm sau để triển khai thực hiện.
9. Các cơ quan, đơn vị cử đầu mối
liên hệ, phối hợp với các cơ quan, tổ chức trong công tác hỗ trợ điều phối xử
lý sự cố an toàn thông tin. Phân công lãnh đạo phụ trách công tác đảm bảo an
toàn thông tin đối với các hệ thống thông tin và cơ sở dữ liệu do đơn vị quản
lý
10. Thực hiện các báo cáo về an
toàn thông tin mạng khi được Sở Thông tin và Truyền thông yêu cầu.
Điều 28.
Trách nhiệm của đơn vị vận hành hệ thống thông tin
1. Thực hiện trách nhiệm của
đơn vị vận hành hệ thống thông tin theo quy định tại Quy chế này và các nhiệm vụ
do chủ quản hệ thống thông tin phân công.
2. Chỉ đạo, phân công các bộ phận
kỹ thuật thuộc đơn vị (quản lý ứng dụng; quản lý dữ liệu; vận hành hệ thống
thông tin; triển khai và hỗ trợ kỹ thuật) triển khai công tác bảo đảm an toàn
thông tin trong tất cả các công đoạn liên quan đến hệ thống thông tin.
Điều 29.
Trách nhiệm của cán bộ, công chức, viên chức và người lao động trong các cơ
quan, đơn vị
1. Trách nhiệm của cán bộ, công
chức, viên chức chuyên trách về công nghệ thông tin tại cơ quan, đơn vị:
a) Nghiêm túc chấp hành các quy
chế, quy trình nội bộ và các quy định khác của pháp luật về an toàn thông tin mạng.
Chịu trách nhiệm về các hành vi làm mất an toàn thông tin mạng do không tuân thủ
Quy chế này và các quy định của pháp luật có liên quan.
b) Tham mưu lãnh đạo cơ quan
ban hành các quy chế, quy trình nội bộ, triển khai các giải pháp kỹ thuật bảo đảm
an toàn thông tin mạng.
c) Thực hiện việc giám sát,
đánh giá, báo cáo Thủ trưởng cơ quan, đơn vị các rủi ro mất an toàn thông tin mạng
và mức độ nghiêm trọng của các rủi ro đó.
d) Phối hợp với các cá nhân,
đơn vị có liên quan trong việc kiểm soát, phát hiện và khắc phục các sự cố an
toàn thông tin mạng.
đ) Thường xuyên cập nhật nâng
cao kiến thức, trình độ chuyên môn đáp ứng yêu cầu bảo đảm an toàn thông tin mạng
của đơn vị.
2. Công chức, viên chức được
giao nhiệm vụ quản lý, vận hành truy cập, khai thác đối với các hệ thống thông
tin thực hiện theo trách nhiệm và phân quyền được quy định; việc khai thác
thông tin phải bảo đảm nguyên tắc bảo mật, không được tự ý cung cấp thông tin
ra bên ngoài; theo dõi và phát hiện các trường hợp truy cập hệ thống trái phép
hoặc thao tác vượt quá giới hạn, báo cáo cho cán bộ quản lý để tiến hành ngăn
chặn, thu hồi, khóa quyền truy cập của các tài khoản vi phạm.
3. Trách nhiệm của người sử dụng:
a) Nghiêm túc chấp hành các quy
chế, quy trình nội bộ và các quy định khác của pháp luật về an toàn thông tin mạng.
Chịu trách nhiệm bảo đảm an toàn thông tin mạng trong phạm vi trách nhiệm và
quyền hạn được giao.
b) Có trách nhiệm tự quản lý, bảo
quản thiết bị, tài khoản, ứng dụng được giao sử dụng.
c) Khi phát hiện nguy cơ hoặc sự
cố mất an toàn thông tin mạng phải báo cáo ngay với cấp trên và bộ phận phụ
trách công nghệ thông tin của cơ quan, đơn vị để kịp thời ngăn chặn và xử lý.
d) Tham gia các chương trình
đào tạo, hội nghị về an toàn thông tin mạng được cơ quan hoặc đơn vị chuyên môn
tổ chức.
Điều 30.
Trách nhiệm của các tổ chức, cá nhân liên quan
Các tổ chức, cá nhân liên quan
đến sử dụng, khai thác các hệ thống thông tin hoặc liên quan đến việc triển
khai hoạt động ứng dụng công nghệ thông tin của các cơ quan nhà nước trên địa
bàn tỉnh Hậu Giang phải tuân thủ Quy chế này và các quy định hiện hành của pháp
luật về an toàn, an ninh mạng.
Điều 31. Tổ
chức thực hiện
1. Căn cứ Quy chế này, Thủ trưởng
các cơ quan, đơn vị trên địa bàn tỉnh và các đơn vị liên quan có trách nhiệm tổ
chức triển khai thực hiện Quy chế này trong phạm vi quản lý của mình.
2. Sở Thông tin và Truyền thông
có trách nhiệm theo dõi, đôn đốc, kiểm tra, đánh giá việc thực hiện Quy chế,
báo cáo Ủy ban nhân dân tỉnh theo định kỳ hằng năm hoặc đột xuất theo yêu cầu của
cơ quan có thẩm quyền./.