ỦY BAN NHÂN DÂN
TỈNH AN GIANG
-------
|
CỘNG HÒA XÃ HỘI
CHỦ NGHĨA VIỆT NAM
Độc lập - Tự do - Hạnh phúc
---------------
|
Số:
59/2024/QĐ-UBND
|
An Giang, ngày 27
tháng 12 năm 2024
|
QUYẾT ĐỊNH
BAN
HÀNH QUY CHẾ BẢO ĐẢM AN TOÀN THÔNG TIN MẠNG TRONG HOẠT ĐỘNG CỦA CÁC CƠ QUAN NHÀ
NƯỚC TRÊN ĐỊA BÀN TỈNH AN GIANG
ỦY BAN NHÂN DÂN TỈNH AN GIANG
Căn cứ Luật Tổ chức chính
quyền địa phương ngày 19 tháng 6 năm 2015; Luật Sửa đổi, bổ sung một số điều
của Luật Tổ chức Chính phủ và Luật Tổ chức chính quyền địa phương ngày 22 tháng
11 năm 2019;
Căn cứ Luật Ban hành văn bản
quy phạm pháp luật ngày 22 tháng 6 năm 2015; Luật Sửa đổi, bổ sung một số điều
của Luật Ban hành văn bản quy phạm pháp luật ngày 18 tháng 6 năm 2020;
Căn cứ Luật Công nghệ thông
tin ngày 29 tháng 6 năm 2006;
Căn cứ Luật An toàn thông
tin mạng ngày 19 tháng 11 năm 2015;
Căn cứ Luật An ninh mạng
ngày 12 tháng 6 năm 2018;
Căn cứ Luật Bảo vệ bí mật
nhà nước ngày 15 tháng 11 năm 2018;
Căn cứ Luật Giao dịch điện
tử ngày 22 tháng 6 năm 2023;
Căn cứ Nghị định số
64/2007/NĐ-CP ngày 10 tháng 4 năm 2007 của Chính phủ ứng dụng công nghệ thông
tin trong hoạt động của cơ quan nhà nước;
Căn cứ Nghị định số
72/2013/NĐ-CP ngày 15 tháng 7 năm 2013 của Chính phủ quản lý, cung cấp, sử dụng
dịch vụ internet và thông tin trên mạng;
Căn cứ Nghị định số
85/2016/NĐ-CP ngày 01 tháng 7 năm 2016 của Chính phủ về bảo đảm an toàn hệ
thống thông tin theo cấp độ;
Căn cứ Nghị định số
53/2022/NĐ-CP ngày 15 tháng 8 năm 2022 của Chính phủ quy định chi tiết một số
điều của Luật An ninh mạng;
Căn cứ Nghị định số
13/2023/NĐ-CP ngày 17 tháng 4 năm 2023 của Chính phủ về bảo vệ dữ liệu cá nhân;
Căn cứ Nghị định số
69/2024/NĐ-CP ngày 25 tháng 6 năm 2024 của Chính phủ quy định về định danh và
xác thực điện tử;
Căn cứ Quyết định số
05/2017/QĐ-TTg ngày 16 tháng 3 năm 2017 của Thủ tướng Chính phủ ban hành Quy
định về hệ thống phương án ứng cứu khẩn cấp bảo đảm an toàn thông tin mạng quốc
gia;
Căn cứ Thông tư số
20/2017/TT-BTTTT ngày 12 tháng 9 năm 2017 của Bộ trưởng Bộ Thông tin và Truyền
thông quy định về điều phối, ứng cứu sự cố an toàn thông tin mạng trên toàn
quốc;
Căn cứ Thông tư số
24/2020/TT-BTTTT ngày 09 tháng 9 năm 2020 của Bộ trưởng Bộ Thông tin và Truyền
thông quy định về công tác triển khai, giám sát công tác triển khai và nghiệm
thu dự án đầu tư ứng dụng công nghệ thông tin sử dụng nguồn vốn ngân sách nhà
nước;
Căn cứ Thông tư số
19/2021/TT-BTTTT ngày 03 tháng 12 năm 2021 của Bộ trưởng Bộ Thông tin và Truyền
thông ban hành Danh mục sản phẩm công nghệ thông tin trọng điểm;
Căn cứ Thông tư số
08/2023/TT-BTTTT ngày 28 tháng 7 năm 2023 của Bộ trưởng Bộ Thông tin và Truyền
thông hướng dẫn về vị trí việc làm lãnh đạo, quản lý và chức danh nghề nghiệp
viên chức chuyên ngành; cơ cấu viên chức theo chức danh nghề nghiệp trong đơn
vị sự nghiệp công lập thuộc ngành, lĩnh vực thông tin và truyền thông;
Căn cứ Thông tư số
09/2023/TT-BTTTT ngày 28 tháng 7 năm 2023 của Bộ trưởng Bộ Thông tin và Truyền
thông hướng dẫn về vị trí việc làm công chức nghiệp vụ chuyên ngành Thông tin
và Truyền thông trong cơ quan, tổ chức thuộc ngành, linh vực Thông tin và
Truyền thông;
Căn cứ Thông tư số
12/2022/TT-BTTTT ngày 12 tháng 8 năm 2022 của Bộ trưởng Bộ Thông tin và Truyền
thông quy định chi tiết và hướng dẫn một số điều của Nghị định 85/2016/NĐ-CP
ngày 01 tháng 7 năm 2016 của Chính phủ về việc bảo đảm an toàn hệ thống thông
tin theo cấp độ;
Căn cứ Thông tư số
46/2022/TT-BCA ngày 04 tháng 11 năm 2022 của Bộ trưởng Bộ Công an quy định về
việc kết nối, chia sẻ và khai thác thông tin giữa Cơ sở dữ liệu quốc gia về dân
cư với cơ sở dữ liệu quốc gia, cơ sở dữ liệu chuyên ngành và hệ thống thông tin
khác;
Theo đề nghị của Giám đốc Sở
Thông tin và Truyền thông tại Tờ trình số 141/TTr-STTTT ngày 05 tháng 11 năm 2024.
QUYẾT ĐỊNH:
Điều 1. Ban hành kèm
theo Quyết định này Quy chế bảo đảm an toàn thông tin mạng trong hoạt động của
các cơ quan Nhà nước trên địa bàn tỉnh An Giang.
Điều 2. Điều khoản thi
hành
1. Quyết định này có hiệu lực
thi hành kể từ ngày 08 tháng 01 năm 2025.
2. Quyết định này thay thế
Quyết định số 67/2017/QĐ-UBND ngày 04 tháng 10 năm 2017 của Ủy ban nhân dân
tỉnh ban hành Quy chế bảo đảm an toàn thông tin mạng trong hoạt động ứng dụng
công nghệ thông tin của các cơ quan nhà nước trên địa bàn tỉnh An Giang; Quyết
định số 61/2018/QĐ-UBND ngày 27 tháng 12 năm 2018 của Ủy ban nhân dân tỉnh sửa
đổi, bổ sung một số điều của Quy chế ban hành kèm theo Quyết định số
67/2017/QĐ-UBND .
Điều 3. Chánh Văn phòng
Ủy ban nhân dân tỉnh; Giám đốc Sở Thông tin và Truyền thông; Thủ trưởng các Sở,
ban, ngành tỉnh; Chủ tịch Ủy ban nhân dân huyện, thị xã, thành phố; các cơ
quan, đơn vị và cá nhân có liên quan chịu trách nhiệm thi hành Quyết định này./.
Nơi nhận:
- Bộ Thông tin và Truyền thông;
- Cục Kiểm tra văn bản QPPL - Bộ Tư pháp;
- TT: TU, HĐND tỉnh, UBND tỉnh;
- UBMTTQ VN tỉnh;
- VP.TU, các Ban đảng;
- Sở, ban, ngành, đoàn thể tỉnh;
- UBND huyện, thị xã, thành phố;
- Cơ quan Báo, Đài tỉnh;
- Trung tâm Công báo - Tin học;
- Cổng thông tin điện tử tỉnh;
- Phòng: KGVX, TH;
- Lưu: VT.
|
TM. ỦY BAN NHÂN
DÂN
CHỦ TỊCH
Hồ Văn Mừng
|
QUY CHẾ
BẢO
ĐẢM AN TOÀN THÔNG TIN MẠNG TRONG HOẠT ĐỘNG CỦA CÁC CƠ QUAN NHÀ NƯỚC TRÊN ĐỊA
BÀN TỈNH AN GIANG
(Kèm theo Quyết định 59/2024/QĐ-UBND ngày 27 tháng 12 năm 2024 của Ủy ban
nhân dân tỉnh An Giang)
Chương I
QUY ĐỊNH CHUNG
Điều 1. Phạm vi điều chỉnh
Quy chế này quy định các nội
dung, trách nhiệm và công tác bảo đảm an toàn thông tin (gọi tắt là ATTT) mạng
cho các hệ thống thông tin trong hoạt động chuyển đổi số của các cơ quan nhà
nước trên địa bàn tỉnh.
Điều 2. Đối tượng áp dụng
1. Sở, ban, ngành tỉnh; UBND
huyện, thị xã, thành phố; UBND xã, phường, thị trấn trên địa bàn tỉnh; các đơn
vị sự nghiệp trực thuộc Ủy ban nhân dân (UBND) tỉnh; các đơn vị sự nghiệp trực
thuộc các sở, ngành tỉnh; đơn vị thuộc UBND cấp huyện (gọi tắt là các cơ quan,
đơn vị).
2. Cán bộ, công chức, viên chức
(gọi tắt là CCVC), người lao động và các tổ chức, cá nhân có liên quan tham gia
vận hành, khai thác các hệ thống thông tin tại cơ quan, đơn vị quy định tại
khoản 1 Điều này.
3. Các cơ quan, tổ chức, doanh nghiệp,
cá nhân cung cấp dịch vụ công nghệ thông tin (CNTT), Internet, ATTT mạng hoặc
có tham gia vào các hoạt động chuyển đổi số của các cơ quan, đơn vị thuộc khoản
1 Điều này.
Điều 3. Giải thích từ ngữ
Trong quy chế này, các từ ngữ
dưới đây được hiểu như sau
1. An toàn thông tin mạng theo
quy định tại khoản 1 Điều 3 của Luật An toàn thông tin mạng số 86/2015/QH13.
2. Mạng theo quy định tại khoản
2 Điều 3 của Luật An toàn thông tin mạng.
3. Hệ thống thông tin theo quy
định tại khoản 3 Điều 3 của Luật An toàn thông tin mạng.
4. Xâm phạm ATTT mạng theo quy
định tại khoản 6 Điều 3 của Luật An toàn thông tin mạng.
5. Sự cố An toàn thông tin mạng
theo quy định tại khoản 7 Điều 3 của Luật An toàn thông tin mạng.
6. Phần mềm độc hại theo quy
định tại khoản 11 Điều 3 của Luật An toàn thông tin mạng.
7. Tấn công mạng theo quy định
tại khoản 8 Điều 2 của Luật An ninh mạng số 24/2018/QH14.
8. Chủ quản hệ thống thông tin
theo quy định tại khoản 1 Điều 3 Nghị định số 85/2016/NĐ-CP ngày 01 tháng 7 năm
2016 của Chính phủ về bảo đảm an toàn hệ thống thông tin theo cấp độ.
9. Đơn vị vận hành hệ thống
thông tin theo quy định tại khoản 3 Điều 3 Nghị định số 85/2016/NĐ-CP .
10. Đơn vị chuyên trách về CNTT
theo quy định tại khoản 4 Điều 3 Nghị định số 85/2016/NĐ-CP .
11. Đơn vị chuyên trách về ATTT
theo quy định tại khoản 5 Điều 3 Nghị định số 85/2016/NĐ-CP .
12. Bộ phận chuyên trách về
ATTT theo quy định tại khoản 6 Điều 3 Nghị định số 85/2016/NĐ-CP .
Bộ phận phụ trách về ATTT mạng
là bộ phận do thủ trưởng cơ quan, đơn vị thành lập hoặc chỉ định để thực thi
nhiệm vụ bảo đảm ATTT và ứng cứu sự cố ATTT mạng. Trường hợp cơ quan, đơn vị
không có Bộ phận phụ trách về ATTT mạng thì nhân sự phụ trách về ATTT mạng thực
hiện nhiệm vụ bảo đảm ATTT và ứng cứu sự cố ATTT mạng tại cơ quan, đơn vị.
13. Nhân sự phụ trách về ATTT
mạng là CCVC, chuyên gia, người lao động đào tạo ngành CNTT hoặc tương đương,
được giao nhiệm vụ quản lý, tham mưu về lĩnh vực ATTT mạng các cơ quan, đơn vị;
có ít nhất 01 chứng chỉ hoặc chứng nhận được đào tạo về ATTT mạng (trường hợp
chưa có chứng chỉ, chứng nhận thì phải được đào tạo, bồi dưỡng ngay sau đó,
trong khoảng thời sau không quá 03 tháng kể từ khi được phân công).
14. Mật khẩu mạnh là mật khẩu
có tối thiểu 08 ký tự, bao gồm sự kết hợp chữ hoa, chữ thường, số và ký tự đặc
biệt.
Điều 4. Nguyên tắc bảo đảm
An toàn thông tin mạng
Thực hiện theo quy định tại
Điều 4 Luật An toàn thông tin mạng.
Điều 5. Các hành vi bị
nghiêm cấm và xử lý vi phạm về ATTT mạng
1. Các hành vi bị nghiêm cấm về
an toàn, an ninh thông tin mạng quy định tại Điều 7 Luật ATTT mạng; Điều 8 Luật
An ninh mạng; Điều 5 Luật Bảo vệ bí mật nhà nước số 29/2018/QH14.
2. Xử lý vi phạm pháp luật về
ATTT mạng theo quy định tại Điều 8 Luật An toàn thông tin mạng.
Chương II
QUY ĐỊNH VỀ BẢO ĐẢM AN TOÀN THÔNG TIN MẠNG
Điều 6. Bảo vệ dữ liệu cá
nhân
1. CCVC, người lao động có
trách nhiệm tự bảo vệ thông tin cá nhân của mình và tuân thủ các quy định tại
khoản 1, khoản 2 Điều 10; khoản 1, khoản 4 Điều 16; khoản 3 Điều 17; khoản 1
Điều 18 Luật An toàn thông tin mạng và văn bản pháp luật có liên quan.
2. Khi sử dụng, khai thác các
hệ thống thông tin của cơ quan, đơn vị trên địa bàn tỉnh, có trách nhiệm:
a) Tự quản lý và chịu trách
nhiệm về bảo vệ thông tin cá nhân đã được khai báo trong các hệ thống thông
tin; không tiết lộ tài khoản đăng nhập, đấu nối, truy cập trái phép vào các
phần mềm dùng chung của tỉnh. Thực hiện bảo mật tài khoản truy cập các hệ
thống, không chia sẻ tài khoản, mật khẩu, thông tin cá nhân với người khác nếu
trường hợp bận công tác thì phải có giấy ủy quyền việc quản lý, sử dụng tài
khoản ghi rõ thời gian ủy quyền, nêu rõ trách nhiệm của các bên.
b) Phải thực hiện việc đổi mật
khẩu mạnh ngay sau khi được cấp tài khoản truy cập vào các phần mềm dùng chung
của tỉnh, cơ quan, đơn vị; Thực hiện cơ chế xác thực hai hay nhiều yếu tố xác
thực khi đăng nhập (nếu hệ thống có hỗ trợ tính năng), định kỳ thay đổi mật
khẩu ít nhất 06 tháng một lần.
c) Khi khai thác, sử dụng các
phần mềm dùng chung của tỉnh tại các điểm truy cập internet công cộng, phải bảo
đảm sử dụng tiêu chuẩn kết nối giao thức truyền tải siêu văn bản (HTTPS
- HyperText Transfer Protocol Secure) khi đăng nhập các tài khoản, tuyệt đối không
đặt chế độ lưu trữ mật khẩu trong quá trình sử dụng.
3. Các cơ quan, đơn vị, cá nhân
khi xử lý thông tin cá nhân phải tuân thủ đầy đủ các nội dung theo quy định tại
khoản 2, 3, 4, 5 Điều 16; khoản 1, 2 Điều 17; khoản 3 Điều 18; Điều 19 của Luật
ATTT mạng và các quy định sau:
a) Quản lý và phân quyền truy
cập trong các phần mềm ứng dụng, hệ thống thông tin, cơ sở dữ liệu phù hợp với
chức năng, nhiệm vụ, quyền hạn của người tham gia quản lý, vận hành, khai thác,
sử dụng các phần mềm ứng dụng, hệ thống thông tin, cơ sở dữ liệu.
b) Khi CCVC, người lao động đã
nghỉ việc hoặc chuyển công tác, các cơ quan, đơn vị phải thực hiện việc thu hồi
các máy móc, thiết bị CNTT liên quan theo quy định; đồng thời phải thông báo
ngay bằng văn bản đến cơ quan quản lý, quản trị nền tảng, phần mềm ứng dụng, hệ
thống thông tin, cơ sở dữ liệu để thực hiện các biện pháp kỹ thuật cập nhật lại,
khóa hoặc hủy tài khoản người dùng.
c) Việc cấp phát, đóng, khóa
tài khoản CCVC, người lao động có quyền tra cứu thông tin trên Cơ sở dữ liệu
quốc gia về dân cư liên quan đến các hệ thống thông tin, nền tảng ứng dụng dùng
chung của tỉnh An Giang:
- Các cơ quan, đơn vị có văn
bản gửi Sở Thông tin và Truyền thông để tổng hợp gửi Phòng Cảnh sát quản lý
hành chính về trật tự xã hội (PC06) – Công an tỉnh An Giang khi có thông tin
liên quan đến việc thêm mới, đóng, khóa tài khoản có quyền tra cứu thông tin
công dân.
- CCVC, người lao động thay đổi
vị trí công tác, chuyển công tác, thôi việc, nghỉ hưu thì trong vòng không quá
05 ngày làm việc, cơ quan, đơn vị quản lý CCVC, người lao động đó phải thông
báo cho cơ quan, đơn vị chủ quản hệ thống thông tin để điều chỉnh, thu hồi, hủy
bỏ các quyền sử dụng trên hệ thống thông tin, nền tảng ứng dụng dùng chung của tỉnh.
4. Sở Thông tin và Truyền
thông, Công an tỉnh thực hiện công tác quản lý nhà nước về bảo vệ thông tin cá
nhân trên mạng theo các nội dung quy định tại Điều 20 của Luật ATTT mạng, Điều
29 của Nghị định số 13/2023/NĐ-CP ngày 17 tháng 4 năm 2023 của Chính phủ về bảo
vệ dữ liệu cá nhân.
5. Thực hiện các hoạt động bảo
vệ dữ liệu cá nhân theo quy định tại Chương II Nghị định số 13/2023/NĐ-CP .
Điều 7. Bảo đảm an toàn hệ
thống thông tin theo cấp độ
1. Người đứng đầu cơ quan, đơn
vị trực tiếp chỉ đạo và phụ trách công tác bảo đảm ATTT mạng; chịu trách nhiệm trước
pháp luật và Chủ tịch UBND tỉnh nếu để hệ thống thông tin thuộc phạm vi quản lý
không bảo đảm ATTT mạng, để xảy ra sự cố nghiêm trọng.
2. Việc đảm bảo an toàn hệ
thống thông tin theo cấp độ trong hoạt động của cơ quan, đơn vị phải được thực
hiện thường xuyên, liên tục từ khâu thiết kế, xây dựng, vận hành đến khi hủy
bỏ; tuân thủ theo tiêu chuẩn, quy chuẩn kỹ thuật của Bộ Thông tin và Truyền
thông và các quy định có liên quan khác.
3. Chủ quản hệ thống thông tin
có trách nhiệm chỉ đạo, tổ chức thực hiện phương án đảm bảo an toàn hệ thống
thông tin theo cấp độ theo quy định tại Nghị định số 85/2016/NĐ-CP .
4. Đơn vị vận hành hệ thống
thông tin thực hiện xác định cấp độ và lập hồ sơ đề xuất cấp độ trình cấp có
thẩm quyền phê duyệt, đồng thời triển khai kịp thời các phương án đảm bảo ATTT
theo hồ sơ cấp độ đã được phê duyệt.
5. Hệ thống thông tin khi được
đầu tư xây dựng mới hoặc mở rộng, nâng cấp cần được kiểm thử về tính an toàn,
bảo mật trước khi nghiệm thu, bàn giao đưa vào khai thác, sử dụng theo quy định
tại điểm b khoản 3 Điều 10 Thông tư số 24/2020/TT-BTTTT ngày 09 tháng 9 năm
2020 của Bộ trưởng Bộ Thông tin và Truyền thông quy định về công tác triển
khai, giám sát công tác triển khai và nghiệm thu dự án đầu tư ứng dụng CNTT sử
dụng nguồn vốn ngân sách nhà nước.
6. Lưu trữ nhật ký kết nối,
chia sẻ, khai thác thông tin với Cơ sở dữ liệu quốc gia về dân cư tuân thủ theo
quy định tại khoản 2 Điều 8 Thông tư số 46/2022/TT- BCA ngày 04 tháng 11 năm
2022 của Bộ trưởng Bộ Công an quy định về việc kết nối, chia sẻ và khai thác
thông tin giữa cơ sở dữ liệu quốc gia về dân cư với Cơ sở dữ liệu quốc gia, cơ
sở dữ liệu chuyên ngành và hệ thống thông tin khác.
7. Hệ thống thông tin có kết
nối, chia sẻ và khai thác thông tin với Cơ sở dữ liệu quốc gia về dân cư phải
bảo đảm các cơ chế: xác thực đăng nhập; yêu cầu người dùng đặt mật khẩu mạnh;
việc thay đổi mật khẩu mặc định, mật khẩu đăng nhập lần đầu không được trùng
với mật khẩu mặc định; sau 05 lần đăng nhập mật khẩu không thành công thì hệ
thống tự động khóa tài khoản người dùng; mật khẩu được yêu cầu thay đổi định kỳ
ít nhất 06 tháng một lần; ngăn chặn tấn công vét cạn mật khẩu (mã Captcha); xác
thực đăng nhập 02 lớp hoặc nhiều yếu tố xác thực khi đăng nhập; ghi nhận dấu hiệu
bất thường liên quan đến việc sử dụng tài khoản người dùng, quản trị khai thác dữ
liệu hệ thống và quy định pháp luật.
Điều 8. Quản lý thuê dịch vụ
CNTT
1. Xác định rõ phạm vi, trách
nhiệm, quyền hạn và nghĩa vụ của các bên về bảo đảm ATTT khi ký kết hợp đồng
thuê. Trong hợp đồng phải bao gồm các điều khoản về việc xử lý vi phạm quy định
bảo đảm ATTT và trách nhiệm bồi thường thiệt hại do hành vi vi phạm của bên
cung cấp dịch vụ gây ra.
2. Cơ quan, đơn vị chủ trì thuê
dịch vụ CNTT phải có trách nhiệm
a) Quản lý chặt chẽ thông tin,
dữ liệu phát sinh từ dịch vụ thuê, không cho phép bên cung cấp dịch vụ truy
nhập, sử dụng thông tin, dữ liệu thuộc phạm vi Nhà nước quản lý.
b) Yêu cầu bên cung cấp dịch vụ
phải bảo mật thông tin, dữ liệu, mã nguồn, tài liệu thiết kế; triển khai các
biện pháp bảo đảm ATTT theo quy định tại Quy chế này, Luật ATTT mạng và các quy
định khác có liên quan.
c) Giám sát chặt chẽ và giới
hạn quyền truy cập của bên cung cấp dịch vụ khi cho phép truy cập vào hệ thống thông
tin của cơ quan, đơn vị.
d) Khi phát hiện bên cung cấp
dịch vụ có dấu hiệu vi phạm quy định bảo đảm ATTT phải tạm dừng hoặc đình chỉ
hoạt động của bên cung cấp dịch vụ tùy theo mức độ vi phạm; thông báo chính
thức các hành vi vi phạm của bên cung cấp dịch vụ cho cơ quan chức năng để phối
hợp xử lý vi phạm theo quy định pháp luật; thu hồi ngay lập tức quyền truy cập
hệ thống thông tin đã cấp cho bên cung cấp dịch vụ; kiểm tra, xác định, lập báo
cáo mức độ vi phạm và thiệt hại xảy ra, thông báo cho bên cung cấp dịch vụ và tiến
hành các thủ tục xử lý vi phạm và bồi thường thiệt hại.
đ) Yêu cầu bên cung cấp dịch vụ
phải có trách nhiệm lập hồ sơ ATTT theo cấp độ được quy định tại Nghị định số
85/2016/NĐ-CP .
e) Yêu cầu bên cung cấp dịch vụ
phải đảm bảo khả năng kết nối, mở rộng, chia sẻ dữ liệu với các hệ thống thông
tin dùng chung của tỉnh; tuân thủ Kiến trúc chính quyền điện tử tỉnh An Giang; Khung
kiến trúc chính phủ điện tử Việt Nam hiện hành.
3. Trách nhiệm của cơ quan, đơn
vị chủ trì thuê khi kết thúc hợp đồng sử dụng dịch vụ
a) Thu hồi quyền truy cập hệ
thống thông tin và các tài sản khác liên quan đã cấp cho bên cung cấp dịch vụ;
thay đổi các khóa, mật khẩu truy cập hệ thống thông tin.
b) Yêu cầu bên cung cấp dịch vụ
chuyển giao đầy đủ các thông tin, dữ liệu, mã nguồn, tài liệu thiết kế và các công
cụ cần thiết để bảo đảm cơ quan, đơn vị vẫn có thể khai thác sử dụng dịch vụ
được liên tục kể cả trong trường hợp thay đổi bên cung cấp dịch vụ.
4. Đơn vị cung cấp dịch vụ khi
có thay đổi về mặt hệ thống, ứng dụng, mã nguồn và chức năng hệ thống phần mềm phục
vụ kết nối cơ sở dữ liệu quốc gia về dân cư cần báo cáo về Sở Thông tin và Truyền
thông để tổng hợp báo cáo Tổ chức có liên quan về triển khai và đảm bảo an toàn
cơ sở dữ liệu quốc gia về dân cư trên địa bàn tỉnh để phối hợp đơn vị nghiệp vụ
Bộ Công an, Bộ Thông tin và Truyền thông thực hiện kiểm tra an ninh, ATTT đảm
bảo đáp ứng các tiêu chí theo hướng dẫn của Bộ Công an, Bộ Thông tin và Truyền
thông và quy định pháp luật.
5. Có phương án hợp đồng chặt
chẽ với nhà cung cấp dịch vụ và có cơ chế quản lý đối với các tài khoản thuộc
các hệ thống thuê dịch vụ hạ tầng của nhà cung cấp dịch vụ, tránh tình trạng ủy
quyền toàn bộ việc quản trị, vận hành hệ thống cho nhà cung cấp dịch vụ liên quan
đến khai thác, sử dụng cơ sở dữ liệu quốc gia về dân cư.
Điều 9. Bảo vệ bí mật nhà
nước trong hoạt động chuyển đổi số
1. Quy định về soạn thảo, in
ấn, phát hành và sao, chụp tài liệu mật
a) Không được soạn thảo, lưu
giữ, chuyển giao, đăng tải, phát hành thông tin, có chứa nội dung bí mật nhà nước
trên máy tính hoặc thiết bị khác đã kết nối hoặc đang kết nối với mạng Internet,
mạng máy tính, mạng viễn thông, trừ trường hợp lưu giữ bí mật nhà nước theo quy
định của pháp luật về cơ yếu.
b) Không được in, sao, chụp tài
liệu bí mật nhà nước trên các thiết bị kết nối mạng Internet, mạng máy tính,
mạng viễn thông.
c) Phải bố trí ít nhất 01 máy
tính độc lập riêng, không kết nối mạng nội bộ và mạng Internet và được bảo quản
theo chế độ mật, dùng để quản lý, soạn thảo, lưu trữ các văn bản, tài liệu mật
của nhà nước theo quy định.
2. Khi sửa chữa, khắc phục sự
cố của máy tính dùng soạn thảo văn bản mật, các phòng, đơn vị phải báo cáo cho
người có thẩm quyền. Không được cho phép các tổ chức, cá nhân không có trách
nhiệm trực tiếp sửa chữa, xử lý, khắc phục sự cố.
3. Trước khi thanh lý, chuyển
mục đích sử dụng các máy tính hoặc các thiết bị khác trong các cơ quan nhà nước
có mang thông tin mật, phải dùng các biện pháp kỹ thuật xoá bỏ vĩnh viễn dữ
liệu bí mật nhà nước trên các thiết bị.
Điều 10. Bảo đảm an toàn dữ
liệu
1. Quản lý tài khoản và chữ ký
số
a) Khi được cấp tài khoản, chữ
ký số lần đầu cho người dùng truy nhập, người dùng phải thay đổi mật khẩu sau
khi đăng nhập thành công lần đầu; chủ tài khoản, chữ ký số không chia sẻ, không
giao quyền tài khoản, không giao chứng thư chữ ký số và mật khẩu truy nhập cho người
khác.
b) Các Cổng/Trang thông tin
điện tử phải được cấu hình truy cập sử dụng theo tiêu chuẩn kết nối giao thức
truyền tải siêu văn bản (HTTPS - HyperText Transfer Protocol Secure). Các hệ
thống thông tin khi phân quyền phải thiết lập chế độ giới hạn số lần đăng nhập
không hợp lệ vào hệ thống tối đa không quá 05 lần, khi người dùng đăng nhập sai
vượt quá số lần quy định, tài khoản chuyển sang chế độ khóa quyền truy cập; các
hệ thống thông tin xác lập chế độ thoát ra khỏi hệ thống nếu người sử dụng
không tương tác trên hệ thống của phiên làm việc quá 10 phút.
c) Tài khoản thư điện tử công
vụ (https://mail.angiang.gov.vn), chữ ký số chuyên dùng công vụ chỉ phục vụ cho
các hoạt động mang tính công vụ, không sử dụng để giao dịch, đăng ký trên mạng xã
hội, các trang thông tin điện tử công cộng khác.
2. Đối với các dữ liệu quan
trọng, các cơ quan, đơn vị cần lên phương án sao lưu dự phòng theo phương án
sao lưu tối thiểu theo quy tắc 3-2-1, bao gồm: giữ ít nhất ba bản sao dữ liệu,
lưu trữ hai bản sao trên các phương tiện lưu trữ khác nhau, lưu trữ một bản sao
lưu ngoại vi. Các cơ quan, đơn vị khi thuê dịch vụ cần yêu cầu nhà cung cấp
dịch vụ thiết lập các giải pháp sao lưu tự động đối với dữ liệu trên máy chủ cơ
sở dữ liệu và máy chủ ứng dụng và xây dựng các kịch bản có sẵn để khôi phục lại
toàn bộ máy chủ hoặc các tập tin, thư mục khi xảy ra sự cố. Dữ liệu sao lưu
phải được lưu trữ an toàn trên Hệ thống lưu trữ dự phòng, thiết bị lưu trữ
ngoài và được kiểm tra thường xuyên đảm bảo sẵn sàng cho việc sử dụng khi cần;
việc kiểm tra, phục hồi hệ thống từ dữ liệu sao lưu tối thiểu 6 tháng một lần
(hoặc khi có yêu cầu đột xuất).
3. Tên miền phục vụ cho tổ
chức, cơ quan chính phủ trên địa bàn tỉnh (*.angiang.gov.vn) khi không còn sử
dụng, các cơ quan, đơn vị có văn bản gửi đến Sở Thông tin và Truyền thông để đề
nghị thu hồi tên miền; các hệ thống thông tin không sử dụng, chủ quản hệ thống
thông tin thực hiện việc thu hồi máy chủ, thu hồi ứng dụng và thực hiện việc
lưu trữ dữ liệu ra thiết bị lưu trữ ngoài và yêu cầu cơ quan, đơn vị cung cấp
dịch vụ lưu ký xóa hoàn toàn dữ liệu trên các máy chủ.
4. Cơ quan, đơn vị quản lý máy
chủ, máy trạm và thiết bị lưu trữ khi mang đi bảo hành, bảo dưỡng, sửa chữa bên
ngoài cơ quan, đơn vị phải tháo rời bộ phận lưu trữ khỏi thiết bị và để lại cơ quan,
đơn vị hoặc xóa dữ liệu lưu trữ trên thiết bị. Trường hợp thiết bị lưu trữ cần
bảo hành, bảo dưỡng, sửa chữa phải sao lưu dữ liệu trên thiết bị sang thiết bị
lưu trữ khác hoặc xóa dữ liệu lưu trữ trên thiết bị. Khi thanh lý thiết bị phải
xóa dữ liệu lưu trữ bằng phần mềm hoặc thiết bị hủy dữ liệu chuyên dụng.
5. Thông tin, dữ liệu thuộc
phạm vi bí mật Nhà nước phải được quản lý theo quy định hiện hành về bảo vệ bí
mật Nhà nước.
Điều 11. Bảo đảm an toàn
thiết bị đầu cuối
1. CCVC, người lao động sử dụng
máy tính để xử lý công việc phải tuân thủ các quy định sau:
a) Phải thiết lập chế độ tự
động cập nhật hệ điều hành trên máy tính, phải thiết lập mật khẩu truy nhập chế
độ tự động bảo vệ màn hình khi không sử dụng; sử dụng những trình duyệt an
toàn, đáng tin cậy, cài đặt phần mềm phòng chống mã độc; thiết lập chế độ tự
động cập nhật phần mềm phòng chống mã độc, chế độ tự động rà quét mã độc khi
sao chép, mở các tập tin hoặc trước khi kết nối các thiết bị lưu trữ dữ liệu di
động với máy tính của CCVC, người lao động chế độ rà quét máy tính định kỳ hằng
tuần. Ưu tiên sử dụng phần mềm có bản quyền (hệ điều hành, phần mềm phòng chống
mã độc, phần mềm soạn thảo văn bản …). Các máy tính dành cho CCVC, người lao
động tiếp nhận hồ sơ tại Bộ phận tiếp nhận và trả kết quả các cấp cần phải bảo
đảm trang bị các phần mềm có bản quyền: hệ điều hành, phần mềm soạn văn bản và
phần mềm phòng chống mã độc (kết nối về Trung tâm giám sát an toàn không gian
mạng quốc gia).
b) Chỉ cài đặt phần mềm hợp lệ
(phần mềm có bản quyền thương mại, phần mềm nội bộ được đầu tư hoặc phần mềm mã
nguồn mở có nguồn gốc rõ ràng) và thuộc danh mục phần mềm được phép sử dụng do
cơ quan, đơn vị có thẩm quyền ban hành (nếu có) hoặc được sự đồng ý bằng văn
bản của người đứng đầu cơ quan, đơn vị; không tự ý cài đặt hoặc gỡ bỏ các phần
mềm khi chưa có sự đồng ý của bộ phận phụ trách, chuyên trách về ATTT mạng;
thường xuyên cập nhật phần mềm và hệ điều hành. Tuyệt đối không tự ý lắp đặt
thêm thiết bị; không sử dụng phần mềm bên thứ ba hoặc công cụ tự nghiên cứu,
phát triển riêng nhưng chưa được cơ quan chuyên trách về ATTT mạng kiểm tra,
đánh giá an ninh, ATTT để tra cứu, khai thác Cơ sở dữ liệu quốc gia về dân cư.
c) Chỉ truy cập vào các trang,
cổng thông tin điện tử, ứng dụng trực tuyến tin cậy và các thông tin phù hợp
với chức năng, trách nhiệm, quyền hạn, nhiệm vụ của CCVC, người lao động; sử
dụng những trình duyệt an toàn; không truy nhập, mở các trang tin, thư điện tử
không rõ nguồn gốc; không sử dụng tính năng lưu mật khẩu tự động hoặc đăng nhập
tự động. Các hệ thống phải được đăng xuất khi không sử dụng; thường xuyên xóa
các biểu mẫu, mật khẩu, bộ nhớ đệm và phiên đăng nhập được lưu trong trình
duyệt trên máy tính.
d) Khi phát hiện ra bất kỳ dấu
hiệu nào liên quan đến việc bị nhiễm phần mềm độc hại trên máy tính (máy chạy
chậm bất thường, cảnh báo từ phần mềm phòng, chống phần mềm độc hại, mất dữ
liệu,…), phải tắt máy và báo trực tiếp cho bộ phận phụ trách, chuyên trách về
ATTT mạng để được xử lý kịp thời.
đ) Thực hiện thao tác khóa máy
tính (sử dụng tính năng có sẵn trên máy tính) khi rời khỏi nơi đặt máy tính;
phải tắt máy tính khi rời khỏi cơ quan.
e) Báo cáo và phải được thủ
trưởng cơ quan, đơn vị đồng ý, cho phép trước khi mang máy tính, thiết bị CNTT
có kết nối mạng thuộc sở hữu riêng đến nơi làm việc và kết nối với mạng nội bộ
để thực hiện xử lý công việc. Trong trường hợp này, cá nhân phải tuân thủ đầy
đủ các quy định tại các điểm a, b, c, d, đ khoản này và chịu sự giám sát của bộ
phận phụ trách, chuyên trách về ATTT mạng của cơ quan, đơn vị.
g) Trường hợp mang máy tính,
thiết bị CNTT của cơ quan ra khỏi cơ quan phải báo cáo và được sự đồng ý cả thủ
trưởng cơ quan, đơn vị. Trong trường hợp này, cá nhân tuân thủ đầy đủ các quy định
tại các điểm a, b, c, d, đ khoản này và có trách nhiệm theo khoản 3 Điều 19 của
Quy chế này.
2. Khi thực hiện mua sắm trang
thiết bị, máy tính liên quan đến bí mật nhà nước, phải được kiểm định ATTT của
cơ quan có thẩm quyền trước khi đưa vào sử dụng.
3. Khuyến khích các cơ quan,
đơn vị đầu tư, mua sắm thiết bị CNTT sản xuất trong nước. Không mua sắm thiết
bị CNTT thuộc danh mục sản phẩm, hàng hóa có khả năng gây mất an toàn thuộc trách
nhiệm quản lý của Bộ Thông tin và Truyền thông quy định.
4. Quản lý hệ thống mạng không
dây
a) Khi thiết lập mạng không dây
để kết nối với mạng cục bộ thông qua các điểm truy nhập (Access Point - AP), cơ
quan, đơn vị vận hành phải thiết lập các tham số: Tên, nhận dạng dịch vụ (Service
Set Identifier - SSID), mật khẩu mạnh, cấp phép truy nhập đối với địa chỉ vật
lý (MAC Address), mã hóa dữ liệu theo cơ chế bảo mật WPA2 hoặc WPA3.
b) Mật khẩu đăng nhập phải được
thiết lập có độ phức tạp cao, định kỳ 6 tháng thay đổi mật khẩu nhằm tăng cường
công tác bảo mật.
c) Khi cung cấp truy cập
Internet qua mạng không dây cho người ngoài cơ quan, đơn vị sử dụng, cơ quan,
đơn vị vận hành phải tạo thêm một SSID riêng, phân lớp, phân vùng mạng riêng,
tách biệt mạng LAN nội bộ cơ quan, giới hạn băng thông và có mật khẩu truy cập
phù hợp đối với đối tượng này. Trường hợp người ngoài cơ quan, đơn vị muốn sử
dụng mạng không dây nội bộ cơ quan thì phải được thủ trưởng cơ quan, đơn vị
đồng ý, cho phép.
Điều 12. Giám sát an toàn hệ
thống thông tin
1. Chủ quản hệ thống thông tin
phải triển khai hệ thống giám sát ATTT đáp ứng các yêu cầu tại Thông tư số 31/2017/TT-BTTTT
ngày 15 tháng 11 năm 2017 của Bộ trưởng Bộ Thông tin và Truyền thông quy định
hoạt động giám sát an toàn hệ thống thông tin.
2. Sở Thông tin và Truyền thông
có trách nhiệm tổ chức giám sát ATTT mạng đối với các hệ thống thông tin được
đặt tại Trung tâm tích hợp dữ liệu tỉnh.
3. Đối với các hệ thống thông
tin, phần mềm, ứng dụng, cơ sở dữ liệu không được đặt tại Trung tâm tích hợp dữ
liệu tỉnh thì chủ quản hệ thống thông tin có trách nhiệm tự thực hiện hoặc yêu
cầu doanh nghiệp cung cấp dịch vụ bảo đảm các yêu cầu giám sát an toàn hệ thống
thông tin theo quy định của pháp luật.
4. Định kỳ hàng năm tổ chức
đánh giá, kiểm tra đối với hệ thống thông tin nội bộ tại cơ quan, đơn vị. Thực
hiện các biện pháp bảo trì cần thiết để bảo đảm khả năng xử lý và tính sẵn sàng
của hệ thống thông tin.
5. Thủ trưởng cơ quan, đơn vị
thành lập Tổ giám sát và xử lý sự cố ATTT mạng tại các cơ quan, đơn vị. Trường
hợp không đủ điều kiện thành lập Tổ giám sát và xử lý sự cố ATTT mạng thì việc
giám sát và xử lý sự cố ATTT mạng sẽ do bộ phận phụ trách về ATTT mạng, chuyển
đổi số của cơ quan, đơn vị thực hiện.
Điều 13. Ứng cứu sự cố an
toàn thông tin mạng
1. Nguyên tắc điều phối, ứng
cứu sự cố theo quy định tại Điều 4 Thông tư số 20/2017/TT-BTTT ngày 12 tháng 9
năm 2017 của Bộ trưởng Bộ Thông tin và Truyền thông quy định về điều phối, ứng
cứu sự cố ATTT mạng trên toàn quốc.
2. Phân nhóm sự cố ATTT
a) Sự cố do bị tấn công mạng:
tấn công từ chối dịch vụ; tấn công giả mạo; tấn công sử dụng mã độc; truy cập
trái phép, chiếm quyền điều khiển; tấn công thay đổi giao diện; tấn công mã hóa
phần mềm, dữ liệu, thiết bị; phá hoại thông tin, dữ liệu, phần mềm; nghe trộm,
gián điệp, lấy cắp thông tin, dữ liệu; các hình thức tấn công mạng khác.
b) Sự cố do lỗi của hệ thống,
thiết bị, phần mềm, hạ tầng kỹ thuật.
c) Sự cố do lỗi của người quản
trị, vận hành hệ thống.
d) Sự cố liên quan đến các thảm
họa tự nhiên như bão, lụt, động đất, hỏa hoạn.
3. Phân loại mức độ nghiêm
trọng sự cố
a) Thấp: sự cố gây ảnh hưởng cá
nhân và không làm gián đoạn hay đình trệ hoạt động chính của cơ quan, đơn vị.
b) Trung bình: sự cố ảnh hưởng
đến một nhóm người dùng nhưng không gây gián đoạn hay đình trệ hoạt động chính
của cơ quan, đơn vị.
c) Cao: sự cố tác động đến khả
năng vận hành của hệ thống thông tin, ảnh hưởng đến dữ liệu, thiết bị, gây ảnh
hưởng đến hoạt động chung của cơ quan, đơn vị và hoạt động cung cấp dịch vụ
công cho người dân, doanh nghiệp.
d) Nghiêm trọng: sự cố gây gián
đoạn hoặc đình trệ hệ thống trong một khoảng thời gian ngắn, ảnh hưởng nghiêm
trọng đến dữ liệu, thiết bị của hệ thống, gây thiệt hại nghiêm trọng cho cơ quan,
đơn vị và người dân, doanh nghiệp.
4. Quy trình phối hợp ứng cứu
sự cố
a) Bước 1: Nếu hệ thống có nguy
cơ mất ATTT mạng thuộc thẩm quyền cơ quan, đơn vị trực tiếp quản lý thì thực
hiện tiếp Bước 2. Nếu hệ thống có nguy cơ mất ATTT mạng thuộc Trung tâm Công
nghệ thông tin và Truyền thông trực thuộc Sở Thông tin và Truyền thông quản lý
(các hệ thống được triển khai tập trung tại Trung tâm tích hợp Dữ liệu tỉnh)
thì thực hiện tiếp Bước 3.
b) Bước 2: Tiến hành xử lý sự
cố theo quy chế nội bộ của cơ quan, đơn vị. Nếu sự cố được khắc phục thì lập
biên bản ghi nhận và kết thúc quy trình phối hợp xử lý sự cố. Khi sự cố vượt
quá khả năng xử lý của cơ quan, đơn vị, lập biên bản ghi nhận và thực hiện tiếp
Bước 3.
c) Bước 3: Báo sự cố đến Sở
Thông tin và Truyền thông theo mẫu số 03 ban hành kèm theo Thông tư số
20/2017/TT-BTTTT .
d) Bước 4: Phối hợp với Trung
tâm Công nghệ thông tin và Truyền thông trực thuộc Sở Thông tin và Truyền thông
và các cơ quan, đơn vị, tổ chức có liên quan để tiến hành khắc phục sự cố và
thực hiện tiếp Bước 5.
đ) Bước 5: Lập biên bản ghi
nhận và kết thúc quy trình phối hợp xử lý sự cố theo mẫu số 04 ban hành kèm
theo Thông tư số 20/2017/TT-BTTTT. Lãnh đạo cơ quan, đơn vị phải chỉ đạo kịp
thời để khắc phục và hạn chế thiệt hại, báo cáo bằng văn bản cho cơ quan cấp
trên trực tiếp quản lý và Sở Thông tin và Truyền thông.
5. Trường hợp có sự cố ở mức độ
cao, nghiêm trọng, khẩn cấp hoặc vượt quá khả năng khắc phục của cơ quan, đơn
vị; lãnh đạo cơ quan, đơn vị phải báo cáo ngay cho cơ quan cấp trên quản lý
trực tiếp và Sở Thông tin và Truyền thông để được hướng dẫn, hỗ trợ.
6. Đơn vị chuyên trách về ATTT
(Sở Thông tin và Truyền thông) có trách nhiệm:
a) Xây dựng phương án tiếp
nhận, phát hiện, phân loại và xử lý ban đầu sự cố ATTT mạng, ứng phó sự cố ATTT
mạng.
b) Xây dựng quy trình ứng cứu
sự cố ATTT mạng theo quy định.
c) Phối hợp với cơ quan chức
năng, các nhóm chuyên gia, bên cung cấp dịch vụ hỗ trợ trong việc xử lý, khắc
phục sự cố ATTT; yêu cầu bên cung cấp dịch vụ hỗ trợ cung cấp quy trình xử lý
sự cố cho các dịch vụ do bên cung cấp, hỗ trợ cung cấp liên quan đến hệ thống.
d) Tổ chức diễn tập phương án
xử lý sự cố ATTT.
Chương III
KIỂM TRA ĐÁNH GIÁ CÔNG TÁC BẢO ĐẢM ATTT MẠNG
Điều 14. Kế hoạch kiểm tra
hàng năm
1. Sở Thông tin và Truyền thông
chủ trì, phối hợp với Công an tỉnh và các đơn vị liên quan tiến hành kiểm tra
công tác đảm bảo ATTT đối với các cơ quan, đơn vị trên địa bàn tỉnh theo Kế
hoạch công tác hàng năm.
2. Tiến hành kiểm tra đột xuất
các cơ quan, đơn vị khi có dấu hiệu vi phạm ATTT mạng đối với các hệ thống
thông tin trên địa bàn tỉnh
Điều 15. Thẩm quyền, nội
dung, hình thức, đối tượng kiểm tra, đánh giá hệ thống thông tin
1. Nội dung kiểm tra, đánh giá
a) Kiểm tra việc thực hiện theo
các nội dung theo Quy chế này; việc tuân thủ quy định của pháp luật về bảo đảm
an toàn hệ thống thông tin theo cấp độ; kiểm tra hiệu quả của các biện pháp, phương
án bảo đảm, ứng phó, khắc phục sự cố ATTT mạng.
b) Đánh giá hiệu quả của biện
pháp bảo đảm an toàn hệ thống thông tin; phát hiện mã độc, lỗ hổng, điểm yếu,
thử nghiệm xâm nhập hệ thống.
c) Kiểm tra công tác giám sát
ATTT và ứng phó khi xảy ra sự cố ATTT.
d) Kiểm tra, đánh giá các nội
dung khác theo quy định của chủ quản hệ thống thông tin.
2. Hình thức kiểm tra, đánh giá
a) Kiểm tra, đánh giá định kỳ
theo kế hoạch của chủ quản hệ thống thông tin và đơn vị chuyên trách về ATTT
của tỉnh.
b) Kiểm tra, đánh giá đột xuất
theo yêu cầu của cấp có thẩm quyền.
3. Thẩm quyền yêu cầu kiểm tra,
đánh giá
a) Đơn vị chuyên trách ATTT tại
Trung ương.
b) Ủy ban nhân dân tỉnh hoặc Sở
Thông tin và Truyền thông (đơn vị chuyên trách về ATTT trên địa bàn tỉnh).
c) Đơn vị chủ trì kiểm tra,
đánh giá là đơn vị được cấp có thẩm quyền giao nhiệm vụ hoặc được lựa chọn để
thực hiện nhiệm vụ kiểm tra, đánh giá.
4. Đối tượng kiểm tra, đánh giá
là chủ quản hệ thống thông tin hoặc đơn vị vận hành hệ thống thông tin.
Chương IV
TRÁCH NHIỆM BẢO ĐẢM ATTT MẠNG VÀ TỔ CHỨC THỰC HIỆN
Điều 16. Trách nhiệm của Sở
Thông tin và Truyền thông
1. Tham mưu giúp Ủy ban nhân
dân tỉnh về công tác bảo đảm ATTT mạng trên địa bàn tỉnh và chịu trách nhiệm
trước Ủy ban nhân dân tỉnh trong việc bảo đảm ATTT mạng cho Trung tâm tích hợp
dữ liệu của tỉnh.
2. Thực hiện thủ tục xác định
cấp độ ATTT và bảo đảm an toàn cho các hệ thống thông tin theo quy định của Luật
ATTT mạng; Nghị định số 85/2016/NĐ-CP .
3. Chủ trì, phối hợp với Công
an tỉnh và các cơ quan, đơn vị có liên quan tiến hành kiểm tra công tác bảo đảm
ATTT mạng định kỳ hàng năm hoặc đột xuất khi có yêu cầu của cơ quan nhà nước có
thẩm quyền.
4. Hàng năm, xây dựng và triển
khai các Kế hoạch đào tạo, tập huấn về công tác bảo đảm ATTT mạng cho CCVC phụ
trách về ATTT mạng của các cơ quan, đơn vị. Tổ chức diễn tập, diễn tập thực
chiến ứng cứu sự cố ATTT mạng; tổ chức các hội nghị, hội thảo chuyên đề và
tuyên truyền về ATTT mạng trong công tác quản lý nhà nước trên địa bàn tỉnh.
5. Phối hợp với Công an tỉnh
trong công tác phòng ngừa, phát hiện, ngăn chặn và xử lý các hành vi vi phạm
pháp luật trên môi trường mạng, nhất là trên các cổng/trang thông tin điện tử,
mạng xã hội theo thẩm quyền.
6. Là cơ quan đầu mối, phối hợp
với các cơ quan, tổ chức có thẩm quyền quản lý về ATTT mạng; tổ chức thực hiện
việc tiếp nhận và xử lý các sự cố về ATTT mạng trên địa bàn tỉnh.
7. Tham mưu, thành lập các Tổ,
Nhóm chịu trách nhiệm quản lý ATTT theo cấp độ, theo phân cấp phê duyệt hồ sơ
cấp độ về ATTT.
Điều 17. Trách nhiệm Công an
tỉnh
1. Triển khai hoạt động bảo vệ
dữ liệu cá nhân, bảo vệ quyền của chủ thể dữ liệu trước các hành vi vi phạm quy
định của pháp luật về bảo vệ dữ liệu cá nhân trên địa bàn tỉnh.
2. Phối hợp Sở Thông tin và
Truyền thông và các cơ quan có liên quan thực hiện kiểm tra, giải quyết khiếu
nại, tố cáo, xử lý hành vi vi phạm quy định về bảo vệ dữ liệu cá nhân theo quy
định của pháp luật.
Điều 18. Trách nhiệm của các
cơ quan, đơn vị
1. Chịu trách nhiệm trong công
tác bảo đảm ATTT mạng của cơ quan, đơn vị mình theo Quy chế này và các quy định
nhà nước về an toàn, an ninh thông tin khác.
2. Thực hiện xác định cấp độ
ATTT và bảo đảm an toàn cho hệ thống thông tin của đơn vị quản lý theo quy định
tại Luật ATTT mạng và Nghị định số 85/2016/NĐ- CP.
3. Phân công bộ phận hoặc nhân
sự phụ trách về ATTT mạng bảo đảm ATTT mạng của cơ quan, đơn vị; chỉ đạo CCVC, người
lao động nghiêm túc chấp hành các quy định về bảo đảm ATTT; tạo điều kiện để
các CCVC phụ trách về ATTT mạng được học tập, nâng cao trình độ về ATTT; thường
xuyên tổ chức quán triệt các quy định về ATTT trong cơ quan, đơn vị; xác định
các yêu cầu, trách nhiệm bảo đảm ATTT đối với các vị trí cần tuyển dụng hoặc
phân công.
4. Thường xuyên tổ chức, phổ
biến các quy định về đảm bảo ATTT, nhằm nâng cao nhận thức về trách nhiệm đảm
bảo ATTT cho tổ chức, cá nhân sử dụng hệ thống thông tin do cơ quan, đơn vị
quản lý.
5. Phối hợp, cung cấp thông tin
và tạo điều kiện cho các đơn vị có thẩm quyền triển khai công tác kiểm tra khắc
phục sự cố xảy ra một cách kịp thời, nhanh chóng và đạt hiệu quả.
6. Phối hợp chặt chẽ với Công
an tỉnh, Sở Thông tin và Truyền thông và các cơ quan, đơn vị liên quan trong
công tác phòng ngừa, đấu tranh, ngăn chặn các hoạt động xâm phạm ATTT trên
không gian mạng.
7 Hàng năm bố trí kinh phí cho
việc ứng dụng CNTT nói chung và công tác bảo đảm ATTT mạng nói riêng trong nội
bộ cơ quan, đơn vị mình; lập kế hoạch nâng cấp, bảo trì, sửa chữa, gia hạn bản
quyền phần mềm... cho các hệ thống phần cứng, phần mềm nhằm thực hiện tốt công
tác bảo mật, bảo đảm ATTT mạng đưa vào dự toán chi năm sau để triển khai thực
hiện.
8. Các cơ quan, đơn vị cử đầu
mối liên hệ, phối hợp với các cơ quan, tổ chức trong công tác hỗ trợ điều phối
xử lý sự cố ATTT.
9. Đề xuất thành lập Tổ quản
trị và vận hành kỹ thuật hệ thống thông tin theo cấp độ do cơ quan, đơn vị phụ
trách, quản lý.
10. Thực hiện các báo cáo về
ATTT mạng khi được Sở Thông tin và Truyền thông yêu cầu.
Điều 19. Trách nhiệm của cán
bộ, công chức, người lao động trong các cơ quan, đơn vị
1. Trách nhiệm của nhân sự phụ
trách về ATTT mạng tại cơ quan, đơn vị:
a) Nghiêm túc chấp hành các quy
chế, quy trình nội bộ và các quy định khác của pháp luật về ATTT mạng. Chịu
trách nhiệm về các hành vi làm mất ATTT mạng do không tuân thủ Quy chế này và
các quy định của pháp luật có liên quan.
b) Tham mưu lãnh đạo cơ quan
ban hành các quy chế, quy trình nội bộ, triển khai các giải pháp kỹ thuật bảo
đảm ATTT mạng.
c) Phối hợp với các cá nhân,
đơn vị có liên quan trong việc kiểm soát, phát hiện và khắc phục các sự cố ATTT
mạng.
d) Thường xuyên cập nhật nâng
cao kiến thức, trình độ chuyên môn đáp ứng yêu cầu bảo đảm ATTT mạng của đơn vị.
2. Trách nhiệm của người sử dụng
a) Nghiêm túc chấp hành các quy
chế, quy trình nội bộ và các quy định khác của pháp luật về ATTT mạng. Chịu
trách nhiệm bảo đảm ATTT mạng trong phạm vi trách nhiệm và quyền hạn được giao.
b) Có trách nhiệm tự quản lý,
bảo quản thiết bị, tài khoản, ứng dụng mà mình được giao sử dụng.
c) Khi phát hiện nguy cơ hoặc
sự cố mất ATTT mạng phải báo cáo ngay với cấp trên và bộ phận phụ trách ATTT
mạng của cơ quan, đơn vị để kịp thời ngăn chặn và xử lý.
d) Tham gia các chương trình
đào tạo, hội nghị về ATTT mạng được cơ quan hoặc đơn vị chuyên môn tổ chức.
đ) CCVC được giao nhiệm vụ quản
lý, vận hành truy cập, khai thác đối với các hệ thống thông tin thực hiện theo trách
nhiệm và phân quyền được quy định; việc khai thác thông tin phải bảo đảm nguyên
tắc bảo mật, không được tự ý cung cấp thông tin ra bên ngoài; theo dõi và phát
hiện các trường hợp truy cập hệ thống trái phép hoặc thao tác vượt quá giới
hạn, báo cáo cho cán bộ quản lý để tiến hành ngăn chặn, thu hồi, khóa quyền
truy cập của các tài khoản vi phạm.
Điều 20. Trách nhiệm của các
tổ chức, cá nhân liên quan
Các tổ chức, cá nhân liên quan
đến sử dụng, khai thác các hệ thống thông tin hoặc liên quan đến việc triển
khai hoạt động ứng dụng CNTT, chuyển đổi số của các cơ quan nhà nước trên địa
bàn tỉnh phải tuân thủ Quy chế này và các quy định hiện hành của pháp luật về
an toàn, an ninh thông tin mạng.
Điều 21. Tổ chức thực hiện
1. Căn cứ Quy chế này, thủ
trưởng các cơ quan, đơn vị trên địa bàn tỉnh và các đơn vị liên quan có trách
nhiệm tổ chức triển khai thực hiện Quy chế này trong phạm vi quản lý của mình.
2. Trường hợp văn bản quy phạm
pháp luật được viện dẫn tại Quy chế này được sửa đổi, bổ sung hoặc thay thế bằng
văn bản quy phạm pháp luật khác thì thực hiện theo nội dung của văn bản quy
phạm pháp luật sửa đổi, bổ sung hoặc thay thế đó.
3. Sở Thông tin và Truyền thông
có trách nhiệm theo dõi, đôn đốc, kiểm tra, đánh giá việc thực hiện Quy chế,
báo cáo Ủy ban nhân dân tỉnh theo định kỳ hằng năm hoặc đột xuất theo yêu cầu
của cơ quan có thẩm quyền.
4. Trong quá trình thực hiện
quy chế, nếu có vấn đề vướng mắc, phát sinh, các cơ quan, đơn vị phản ánh kịp
thời về Ủy ban nhân dân tỉnh (thông qua Sở Thông tin và Truyền thông) để xem
xét điều chỉnh, bổ sung./.