|
ỦY BAN DÂN TỘC
-------
|
CỘNG HÒA XÃ HỘI
CHỦ NGHĨA VIỆT NAM
Độc lập - Tự do - Hạnh phúc
---------------
|
|
Số: 650/QĐ-UBDT
|
Hà Nội, ngày 31
tháng 8 năm 2023
|
QUYẾT ĐỊNH
BAN
HÀNH QUY CHẾ BẢO ĐẢM AN NINH, AN TOÀN THÔNG TIN TRÊN MÔI TRƯỜNG MẠNG TRONG HOẠT
ĐỘNG CỦA ỦY BAN DÂN TỘC
BỘ TRƯỞNG, CHỦ NHIỆM ỦY BAN DÂN TỘC
Căn cứ Luật Công
nghệ thông tin ngày 29/6/2006;
Căn cứ Luật An
ninh mạng số 24/2018/QH14 ngày 12/6/2018;
Căn cứ Nghị định số 53/2022/NĐ-CP
ngày 15/8/2022 của Chính phủ về Quy định chi tiết một số điều của Luật An ninh mạng;
Căn cứ Nghị định số 64/2007/NĐ-CP
ngày 10/4/2007 của Chính phủ về việc ứng dụng công nghệ thông tin trong hoạt động
của cơ quan Nhà nước;
Căn cứ Nghị định số 66/2022/NĐ-CP
ngày 20/9/2022 của Chính phủ quy định chức năng, nhiệm vụ, quyền hạn và cơ cấu
tổ chức của Ủy ban Dân tộc;
Căn cứ Thông tư liên tịch số 06/2008/TTLT/BTTTT-BCA ngày 28/11/2008 của liên
Bộ Thông tin và Truyền thông và Bộ Công an về bảo đảm an toàn cơ sở hạ tầng và
an ninh thông tin trong hoạt động bưu chính, viễn thông và công nghệ thông tin;
Căn cứ Thông tư số 23/2011/TT-BTTTT
ngày 11/8/2011 của Bộ Thông tin và Truyền thông Quy định về việc quản lý, vận
hành, sử dụng và bảo đảm an toàn thông tin trên Mạng truyền số liệu chuyên dùng
của các cơ quan Đảng, Nhà nước;
Theo đề nghị của Giám đốc Trung tâm Chuyển đổi số.
QUYẾT ĐỊNH:
Điều 1. Ban hành kèm theo Quyết định này Quy chế đảm bảo an ninh, an
toàn trên mạng thông tin trong hoạt động của Ủy ban Dân tộc.
Điều 2. Quyết định này có hiệu lực kể từ ngày ký và thay thế Quyết định
số 146/QĐ-UBDT ngày 05/4/2016 của Bộ trưởng, Chủ nhiệm Ủy ban Dân tộc về việc
Ban hành Quy chế đảm bảo an ninh trên mạng thông tin trong hoạt động của Ủy ban
Dân tộc.
Điều 3. Giám đốc Trung tâm Chuyển đổi số, Chánh Văn phòng Ủy ban, Thủ
trưởng các Vụ, đơn vị và công chức, viên chức, người lao động thuộc Ủy ban chịu
trách nhiệm thi hành Quyết định này.
|
Nơi nhận:
- Như Điều 3;
- Bộ Thông tin và Truyền thông;
- Bộ trưởng, Chủ nhiệm (để b/c);
- Các Thứ trưởng, Phó Chủ nhiệm (để biết);
- Cổng TTĐT UBDT (để t/h);
- Lưu: VT, TTCĐS.
|
KT. BỘ TRƯỞNG,
CHỦ NHIỆM
THỨ TRƯỞNG, PHÓ CHỦ NHIỆM
Nông Quốc Tuấn
|
QUY CHẾ
QUY
CHẾ BẢO ĐẢM AN NINH, AN TOÀN THÔNG TIN TRÊN MÔI TRƯỜNG MẠNG TRONG HOẠT ĐỘNG CỦA
ỦY BAN DÂN TỘC
(Ban hành kèm theo Quyết định số 650/QĐ-UBDT ngày 31 tháng 8 năm 2023 của Bộ
trưởng, Chủ nhiệm Ủy ban Dân tộc)
Chương I
QUY ĐỊNH CHUNG
Điều 1. Phạm vi điều chỉnh,
đối tượng áp dụng
1. Quy chế này quy định việc sử dụng, quản
lý khai thác, bảo vệ an ninh, an toàn trên mạng thông tin trong hoạt động của
cơ quan Ủy ban Dân tộc (UBDT).
2. Quy chế này áp dụng đối với các Vụ, đơn vị
(sau đây gọi là đơn vị) thuộc UBDT và các cán bộ, công chức, viên chức, người
lao động (sau đây gọi là CCVC) đang làm việc tại các đơn vị được quyền khai
thác, sử dụng tài nguyên trên mạng thông tin của UBDT.
3. Đối với cơ quan bộ ngành, địa phương, các
đối tác khi sử dụng tài nguyên trên mạng thông tin của UBDT.
Điều 2. Mục đích đảm bảo
an ninh, an toàn trên mạng thông tin
1. Thực hiện bảo vệ bí mật nhà nước, giảm
thiểu, phòng, chống các nguy cơ gây sự cố mất an toàn thông tin và đảm bảo an
ninh thông tin trong quá trình tham gia hoạt động trên môi trường mạng.
2. Công tác đảm bảo an ninh thông tin, bảo mật
trên môi trường mạng là một trong những nhiệm vụ trọng tâm để đảm bảo thành
công trong việc ứng dụng công nghệ thông tin tại các đơn vị.
Điều 3. Giải thích từ ngữ
1. Mạng thông tin của Ủy ban Dân tộc: Là tên
viết tắt của hệ thống mạng thông tin của Ủy ban Dân tộc.
2. Người sử dụng: Là CCVC của các đơn vị trực
thuộc Ủy ban Dân tộc được quyền khai thác, sử dụng tài nguyên trên mạng thông
tin Ủy ban Dân tộc.
3. An toàn thông tin: Bao gồm các hoạt động
quản lý, nghiệp vụ và kỹ thuật đối với hệ thống thông tin nhằm bảo vệ, khôi phục
các hệ thống, các dịch vụ và nội dung thông tin đối với nguy cơ tự nhiên hoặc
do con người gây ra. Bảo đảm cho các hệ thống thực hiện đúng chức năng, phục vụ
đúng đối tượng một cách sẵn sàng, chính xác và tin cậy.
4. Tính tin cậy: Đảm bảo thông tin chỉ có thể
được truy nhập bởi những người được cấp quyền sử dụng.
5. Tính toàn vẹn: Bảo vệ sự chính xác và đầy
đủ của thông tin và các phương pháp xử lý.
6. Tính sẵn sàng: Đảm bảo những người được cấp
quyền có thể truy nhập thông tin và các tài sản liên quan ngay khi có nhu cầu.
7. Hệ thống an ninh mạng: Là tập hợp các thiết
bị tin học, các giải pháp kỹ thuật hoạt động đồng bộ theo một chính sách an
ninh mạng nhất quán nhầm quản lý, giám sát, kiểm soát chặt chẽ các hoạt động
trên mạng, phát hiện và xử lý các truy cập bất hợp pháp.
8. Hệ thống công nghệ thông tin: Là một tập
hợp có cấu trúc các trang thiết bị phần cứng, phần mềm, cơ sở dữ liệu và hệ thống
mạng phục vụ cho một hoặc nhiêu hoạt động kỹ thuật, nghiệp vụ của Ủy ban Dân tộc.
9. Tài sản công nghệ thông tin: Là các trang
thiết bị, thông tin thuộc hệ thống công nghệ thông tin của Ủy ban Dân tộc. Bao
gồm:
a) Tài sản hữu hình: Là các thiết bị công nghệ
thông tin, phương tiện truyền thông và các thiết bị phục vụ cho hoạt động của hệ
thống công nghệ thông tin;
b) Tài sản thông tin: Là các dữ liệu, tài liệu liên
quan đến hệ thống công nghệ thông tin. Tài sản thông tin được thể hiện bằng văn
bản giấy hoặc dữ liệu điện tử;
c) Tài sản phần mềm: Bao gồm các chương trình ứng dụng,
phần mềm hệ thống, cơ sở dữ liệu và công cụ phát triển.
10. Rủi ro công nghệ thông tin: Là khả năng
xảy ra tổn thất khi thực hiện các hoạt động liên quan đến hệ thống công nghệ
thông tin. Rủi ro công nghệ thông tin liên quan đến quản lý, sử dụng phần cứng,
phần mềm, truyền thông, giao diện hệ thống, vận hành và con người.
11. Quản lý rủi ro: Là các hoạt động phối hợp
nhằm xác định và kiểm soát các rủi ro công nghệ thông tin có thể xảy ra.
12. Bên thứ ba: Là các tổ chức, cá nhân có
chuyên môn được đơn vị thuê hoặc hợp tác với đơn vị nhằm cung cấp hàng hóa, dịch
vụ kỹ thuật cho hệ thống công nghệ thông tin.
13. Tường lửa: Là tập hợp các thành phần hoặc
một hệ thống các trang thiết bị phần cứng, phần mềm được đặt giữa hai mạng, nhằm
kiểm soát tất cả các kết nối từ bên trong ra bên ngoài mạng hoặc ngược lại.
14. Vi rút: Là chương trình máy tính có khả
năng lây lan, gây ra hoạt động không bình thường cho thiết bị số hoặc sao chép,
sửa đổi, xóa bỏ thông tin lưu trữ trong thiết bị số.
15. Phần mềm độc hại (mã độc): Là các phần mềm
có tính năng gây hại như vi rút, phần mềm do thám (spyware), phần mềm quảng cáo
(adware) hoặc các dạng tương tự khác.
16. Điểm yếu kỹ thuật: Là vị trí trong hệ thống
công nghệ thông tin dễ bị tổn thương khi bị tấn công hoặc xâm nhập bất hợp
pháp.
Điều 4. Những hành vi bị
nghiêm cấm
1. Vi phạm các quy định về quản lý, vận hành
và sử dụng hạ tầng mạng gây rối loạn hoạt động của hệ thống, trong đó bao gồm
các hành vi: không được tự ý thay đổi cấu trúc hạ tầng mạng như tự ý đấu nối
thiết bị mạng, thiết bị cấp phát địa chỉ IP, thiết bị phát sóng mạng không
dây... vào hệ thống mạng nội bộ.
2. Khởi tạo, cài đặt, phát tán vi rút máy
tính và phần mềm độc hại gây ảnh hưởng đến hệ thống; Xâm nhập, sửa đổi, xóa bỏ
nội dung thông tin của cơ quan, tổ chức, cá nhân khác.
3. Các hành vi gây mất an toàn, bí mật thông
tin của cơ quan, cá nhân khác được trao đổi, truyền đưa, lưu trữ trên môi trường
mạng.
4. Lợi dụng mạng để truyền bá thông tin,
quan điểm, thực hiện các hành vi gây phương hại đến an ninh quốc gia, trật tự,
an toàn xã hội; phá hoại khối đại đoàn kết dân tộc; tuyên truyền chiến tranh
xâm lược, khủng bố; gây thù hận, mâu thuẫn giữa các dân tộc, sắc tộc, tôn giáo.
Chương II
NỘI DUNG BẢO ĐẢM AN
NINH, AN TOÀN THÔNG TIN
Điều 5. Trang thiết bị và hạ
tầng công nghệ thông tin
1. Hạ tầng mạng nội bộ
a) Hệ thống mạng có dây:
Hệ thống mạng nội bộ của các đơn vị phải được thiết
kế thành một thể thống nhất, cùng kết hợp và hỗ trợ, tương tác hoạt động với nhau.
Mô hình mạng tại hệ thống máy chủ phải được đảm bảo đầy đủ chia thành ba vùng gồm:
Vùng ngoài, vùng máy chủ (DMZ), vùng làm việc. Hệ thống mạng tại mỗi đơn vị phải
được xây dựng theo mô hình miền (Domain) nhằm mục đích quản lý hệ thống chặt chẽ,
an toàn và bảo mật;
Các thiết bị mạng, máy chủ, được đặt riêng biệt
trong phòng máy chủ để đảm bảo tính an toàn, bảo mật và tập trung, tạo thuận lợi
cho việc quản trị hệ thống. Máy chủ phải được đặt trong vùng DMZ của bức tường
lửa. Thiết bị chuyển mạch lớp 3 (switch layer 3) đóng vai trò trung tâm kết nối
của hệ thống mạng, thiết bị chuyển mạch lớp 3 được đặt tại phòng máy chủ kết nối
các thiết bị chuyển mạch lớp 2 đặt tại mỗi tầng của đơn vị tạo thành hệ thống mạng
nội bộ tổng thể.
b) Hệ thống mạng không dây:
Ngoài giải pháp mạng có dây, có thể xây dựng giải
pháp mạng nội bộ kết hợp với mạng không dây. Hệ thống mạng không dây phải đảm bảo
kết nối tốt với các thiết bị đầu cuối và được bảo mật truy cập theo chuẩn bảo mật
mạng không dây an toàn nhất. Quản lý chặt chẽ việc cấp phát tài khoản truy cập
mạng không dây thông qua mật khẩu bảo vệ, mật khẩu phải được thay đổi định kỳ tối
thiểu 03 tháng đến 06 tháng một lần. Thực hiện việc xác thực người sử dụng
thông qua: Họ tên người dùng, tên thiết bị dùng truy cập, mã số của thiết bị
dùng truy cập.
2. Hệ thống máy chủ
a) Cấu hình máy chủ phải đủ mạnh để đáp ứng công việc.
Máy chủ của Ủy ban và các đơn vị trực thuộc chỉ dùng để triển khai các phần mềm
hệ thống, cài đặt các phần mềm dùng chung, các cơ sở dữ liệu cần thiết và các
phần mềm chống virus, ngoài ra không được cài thêm bất cứ phần mềm nào khác. Hệ
điều hành và các phần mềm ứng dụng hợp lệ cài đặt trên máy chủ phải có bản quyền
của nhà cung cấp, không được sử dụng các phần mềm vi phạm bản quyền, phần mềm bẻ
khóa.
b) Phòng máy chủ của Ủy ban Dân tộc phải độc lập và
do Trung tâm Chuyển đổi số trực tiếp quản lý, người không được giao quản lý
không được vào phòng máy chủ. Phòng máy chủ phải đảm bảo khô, thoáng, nguồn điện
cung cấp ổn định, được trang bị đầy đủ các hệ thống phòng cháy, chữa cháy theo
tiêu chuẩn kỹ thuật, hệ thống điều hòa không khí hoạt động liên tục.
3. Thiết bị mạng, bảo mật, tường lửa
a) Thiết bị mạng phải được cung cấp từ các hãng sản
xuất có uy tín, đáp ứng nhiều kết nối truy cập cùng một thời điểm, phải hỗ trợ
cơ chế cân bằng tải hạn chế việc tắc nghẽn đường truyền, hỗ trợ công nghệ ảo
hóa. Các thiết bị phải đảm bảo khả năng cung cấp các chức năng quản trị nhằm
tăng cường độ an toàn và bảo mật cho hệ thống mạng như: Hỗ trợ chức năng phân
vùng truy cập, xác thực thiết bị và người sử dụng.
b) Thiết bị bảo mật phải có hệ thống tường lửa phát
hiện và từ chối các truy cập không hợp lệ, có cơ chế ngăn chặn và sàng lọc các
gói tin có nội dung xấu, hỗ trợ việc lưu lịch sử truy cập mạng và mã hóa mọi
thông tin ra vào trong hệ thống mạng của Ủy ban Dân tộc. Hệ thống tường lửa phải
có khả năng phát hiện và bảo vệ hệ thống trước các hình thức tấn công mạng phổ
biến hiện nay như: Tấn công từ chối dịch vụ (DoS), tấn công bằng các gói tin
không hợp lệ.
4. Xác định trách nhiệm đối với tài sản công
nghệ thông tin
a) Thống kê, kiểm kê các loại tài sản công nghệ
thông tin tại đơn vị mỗi năm tối thiểu một lần. Nội dung thống kê tài sản phải
bao gồm các thông tin: Loại tài sản, giá trị, mức độ quan trọng, vị trí lắp đặt,
thông tin dự phòng, thông tin về bản quyền.
b) Phân loại, sắp xếp thứ tự ưu tiên theo giá trị,
mức độ quan trọng của tài sản công nghệ thông tin để có biện pháp bảo vệ tài sản
phù hợp. Xây dựng và thực hiện các quy định về quản lý, sử dụng tài sản.
c) Gắn quyền sử dụng tài sản cho các cá nhân hoặc bộ
phận cụ thể. Người sử dụng tài sản công nghệ thông tin phải tuân thủ các quy định
về quản lý, sử dụng tài sản, đảm bảo tài sản được sử dụng đúng mục đích.
5. Phân loại tài sản công nghệ thông tin
a) Phân loại tài sản thông tin theo các tiêu chí về
giá trị, độ nhạy cảm và tầm quan trọng, tần suất sử dụng, thời gian lưu trữ.
b) Thực hiện các biện pháp quản lý phù hợp với từng
loại tài sản thông tin đã phân loại.
Điều 6. Đảm bảo an toàn
thông tin trong đầu tư dự án công nghệ thông tin và xây dựng phần mềm
1. Yêu cầu về an toàn, bảo mật cho các hệ thống
thông tin
Khi xây dựng hệ thống thông tin mới hoặc cải tiến hệ
thống thông tin hiện tại, phải đưa ra các yêu cầu về an toàn, bảo mật cả về mặt
ứng dụng và các tài liệu sử dụng trong quá trình xây dựng.
2. Yêu cầu về đảm bảo an toàn, bảo mật các ứng
dụng
Các chương trình phần mềm ứng dụng phải đáp ứng các
yêu cầu sau:
- Kiểm soát được tính hợp lệ của dữ liệu nhập vào ứng
dụng;
- Lưu trữ lịch sử sử dụng nhằm phát hiện thông tin
sai lệch do các lỗi trong quá trình xử lý hoặc các hành vi sửa đổi thông tin có
chủ ý;
- Có các biện pháp đảm bảo tính xác thực và bảo vệ
sự toàn vẹn của dữ liệu được xử lý trong các ứng dụng;
- Kiểm tra tính hợp lệ của dữ liệu xuất ra từ các ứng
dụng, đảm bảo quá trình xử lý thông tin của các ứng dụng là chính xác và hợp lệ.
3. Yêu cầu về quản lý mã hóa
a) Quy định và đưa vào sử dụng các biện pháp mã hóa
và quản lý khóa theo các chuẩn quốc gia hoặc quốc tế đã được công nhận để bảo vệ
thông tin của đơn vị.
b) Dữ liệu về mật khẩu quản trị hệ thống, mật khẩu
người sử dụng và các dữ liệu nhạy cảm khác phải được mã hóa khi truyền lên mạng
và khi lưu trữ.
c) Mật khẩu hệ thống, mật khẩu người sử dụng và các
thông tin liên quan đến xác thực thông tin phải được thay đổi hàng tuần.
4. Yêu cầu về an toàn, bảo mật các tệp tin hệ
thống
a) Phải có quy trình về quản lý, cài đặt, cập nhật
các phần mềm, đảm bảo an toàn cho các tệp tin hệ thống.
b) Dữ liệu kiểm tra, thử nghiệm phải được lựa chọn,
bảo vệ, quản lý và kiểm soát một cách thận trọng.
c) Mã nguồn của các chương trình phải được quản lý
và kiểm soát chặt chẽ.
5. Yêu cầu về an toàn, bảo mật trong quy
trình hỗ trợ và phát triển
a) Phải có quy định về quản lý và kiểm soát sự thay
đổi hệ thống thông tin.
b) Khi thay đổi hệ điều hành phải kiểm tra và xem
xét các ứng dụng nghiệp vụ quan trọng để đảm bảo hệ thống hoạt động ổn định, an
toàn trên môi trường mới.
c) Việc sửa đổi các gói phần mềm phải được quản lý
và kiểm soát chặt chẽ từ khâu lên kế hoạch đến triển khai, nghiệm thu.
d) Giám sát, quản lý chặt chẽ việc thuê mua phần mềm
bên ngoài.
6. Yêu cầu về quản lý các điểm yếu về mặt kỹ
thuật
a) Có quy định về việc đánh giá, quản lý và kiểm
soát các điểm yếu kỹ thuật của các hệ thống công nghệ thông tin đang sử dụng. Định
kỳ đánh giá, lập báo cáo về các điểm yếu kỹ thuật của các hệ thống công nghệ
thông tin đang sử dụng.
b) Xây dựng và triển khai các giải pháp khắc phục
các điểm yếu kỹ thuật, hạn chế các rủi ro liên quan.
Điều 7. Bảo vệ bí mật nhà
nước trong ứng dụng công nghệ thông tin
1. Quy định về soạn thảo, in ấn, phát hành
và sao chụp tài liệu mật
a) Không được sử dụng máy tính nối mạng (Internet
và nội bộ) để soạn thảo văn bản, chuyển giao, lưu trữ thông tin có nội dung bí
mật nhà nước; không được cung cấp tin, bài, tài liệu và đưa thông tin bí mật
nhà nước lên Trang tin điện tử/Cổng Thông tin điện tử (gọi tắt là Cổng Thông
tin). Nghiêm cấm cài đặt, lắp đặt các thiết bị lưu trữ tài liệu có nội dung bí
mật nhà nước vào máy tính nối mạng Internet.
b) Không được in, sao chụp tài liệu, vật mang bí mật
nhà nước trên các thiết bị kết nối mạng Internet.
2. Khi sửa chữa, khắc phục các sự cố của máy
tính dùng để soạn thảo văn bản mật, các cơ quan phải chuyển cho Trung tâm Chuyển
đổi số xử lý. Không được cho phép bất kỳ các công ty tư nhân hoặc người không
có trách nhiệm trực tiếp sửa chữa, xử lý và khắc phục các sự cố của máy tính
dùng để soạn thảo văn bản mật.
3. Trước khi thanh lý các máy tính trong cơ
quan, cán bộ chuyên trách công nghệ thông tin phải dùng các chương trình phần mềm
xóa bỏ vĩnh viễn dữ liệu trong ổ cứng máy tính. Không được thanh lý ổ cứng máy
tính dùng soạn thảo và chứa các nội dung mật.
Điều 8. Đảm bảo an toàn cho
Cổng Thông tin
1. Tài liệu thiết kế và mã nguồn phần mềm
Quản lý toàn bộ các phiên bản của mã nguồn và các
tài liệu liên quan. Phối hợp với đơn vị cung cấp dịch vụ lưu trữ cổng Thông tin
đảm bảo an ninh bảo mật cho máy chủ lưu trữ cổng Thông tin, tránh khả năng tấn
công leo thang đặc quyền. Yêu cầu đơn vị cung cấp dịch vụ lưu trữ phải cài đặt
các hệ thống phòng vệ như tường lửa, thiết bị phát hiện/phòng chống xâm phạm
trái phép.
2. Vận hành ứng dụng Cổng Thông tin an toàn
a) Các Cổng Thông tin khi đưa vào sử dụng hoặc khi
bổ sung thêm các chức năng, dịch vụ công mới cần đánh giá kiểm định nhằm tránh
được các lỗi bảo mật thường xảy ra trên ứng dụng Cổng Thông tin.
b) Đơn vị phụ trách Cổng Thông tin phải đưa ra quy
chế quản trị và cập nhật tin bài đảm bảo an toàn bảo mật trong quá trình quản
trị và biên tập tin bài.
c) Máy tính và các thiết bị sử dụng cập nhật tin
bài lên Cổng Thông tin phải được đảm bảo an toàn và phải cài đặt các phần mềm
phòng chống virus, mã độc.
3. Các biện pháp dự phòng thảm họa, sự cố
Phối hợp với các nhà cung cấp dịch vụ quản lý tên
miền (hosting) các đơn vị kỹ thuật xây dựng phương án phục hồi Cổng Thông tin,
trong đó chú ý mỗi tháng thực hiện việc lưu trữ toàn bộ nội dung Cổng Thông tin
một lần bao gồm mã nguồn, cơ sở dữ liệu, dữ liệu phi cấu trúc,... để bảo đảm
khi có sự cố có thể khắc phục lại ngay trong vòng 24 giờ.
Điều 9. Đảm bảo an toàn
thông tin trong quản lý, vận hành hệ thống công nghệ thông tin
1. Quy trình vận hành
a) Yêu cầu hệ thống vận hành chính thức:
- Tách biệt với môi trường phát triển và môi trường
kiểm tra, thử nghiệm;
- Chỉ cho phép kết nối Internet đối với hệ thống
công nghệ thông tin đã được áp dụng đầy đủ các giải pháp an ninh, an toàn và đủ
khả năng bảo vệ trước các hiểm họa, tấn công từ bên ngoài;
- Không cài đặt các công cụ, phương tiện phát triển
ứng dụng trên hệ thống vận hành chính thức;
- Hệ thống vận hành chính thức chỉ bao gồm các ứng
dụng đã được đóng gói.
b) Ban hành và triển khai quy trình vận hành các hệ
thống công nghệ thông tin đến người sử dụng bao gồm: Quy trình bật, tắt thiết bị;
quy trình sao lưu, phục hồi dữ liệu; quy trình bảo dưỡng thiết bị; quy trình vận
hành ứng dụng; quy trình xử lý sự cố.
c) Kiểm soát sự thay đổi của hệ thống công nghệ
thông tin bao gồm: Các phiên bản phần mềm, cấu hình phần cứng, tài liệu, quy
trình vận hành; phải có phương án dự phòng trong quá trình nâng cấp thay đổi hệ
thống; ghi chép chi tiết các bước, nội dung thay đổi; lập kế hoạch thực hiện và
kiểm tra, vận hành thử nghiệm hệ thống trước khi áp dụng chính thức.
d) Đối với hệ thống thông tin điều hành tác nghiệp:
- Mỗi nghiệp vụ phải được chia thành các luồng công
việc khác nhau và phân quyền xử lý tới các cá nhân khác nhau;
- Không để một cá nhân làm toàn bộ các khâu từ khởi
tạo đến phê duyệt một giao dịch nghiệp vụ;
- Mọi tác vụ trên hệ thống được lưu vết, sẵn sàng
cho kiểm tra, kiểm soát khi cần thiết.
2. Quản lý các dịch vụ do bên thứ ba cung cấp
a) Phải giám sát và kiểm tra các dịch vụ do bên thứ
ba cung cấp đảm bảo chất lượng dịch vụ, khả năng hoạt động hệ thống đáp ứng
đúng quy trình nghiệp vụ, đáp ứng các yêu cầu về bảo mật.
b) Quản lý các thay đổi đối với các dịch vụ của bên
thứ ba cung cấp bao gồm: Nâng cấp phiên bản mới; sử dụng các kỹ thuật mới, các
công cụ và môi trường phát triển mới. Đánh giá đầy đủ tác động của việc thay đổi,
đảm bảo an toàn khi được đưa vào sử dụng.
3. Quản lý việc lập kế hoạch và tiếp nhận hệ
thống công nghệ thông tin
Giám sát việc lập kế hoạch công nghệ thông tin và
xây dựng các yêu cầu, tiêu chuẩn về kỹ thuật, an toàn thông tin. Thực hiện kiểm
tra đánh giá khả năng đáp ứng của hệ thống công nghệ thông tin mới hoặc hệ thống
nâng cấp trước khi áp dụng chính thức.
4. Sao lưu dự phòng
a) Ban hành và phổ biến quy trình sao lưu dự phòng
và phục hồi cho các phần mềm, dữ liệu cần thiết.
b) Lập danh sách các dữ liệu, phần mềm cần được sao
lưu, có phân loại theo thời gian lưu trữ, thời gian sao lưu, phương pháp sao
lưu và thời gian kiểm tra phục hồi hệ thống từ dữ liệu sao lưu.
c) Dữ liệu sao lưu phải được lưu trữ an toàn và được
kiểm tra thường xuyên đảm bảo sẵn sàng cho việc sử dụng khi cần. Kiểm tra, phục
hồi hệ thống từ dữ liệu sao lưu tối thiểu ba tháng một lần.
5. Quản lý về an toàn, bảo mật mạng
a) Thực hiện việc quản lý và kiểm soát mạng nhằm
ngăn ngừa các hiểm họa và duy trì an toàn cho các hệ thống, ứng dụng sử dụng mạng:
- Có sơ đồ logic và vật lý về hệ thống mạng;
- Sử dụng thiết bị tường lửa, thiết bị phát hiện và
ngăn chặn xâm nhập và các trang thiết bị khác đảm bảo an toàn bảo mật mạng.
b) Thiết lập, cấu hình đầy đủ các tính năng của thiết
bị an ninh mạng. Sử dụng các công cụ để dò tìm và phát hiện kịp thời các điểm yếu,
lỗ hổng và các truy cập bất hợp pháp vào hệ thống mạng. Thường xuyên kiểm tra,
phát hiện những kết nối, trang thiết bị, phần mềm cài đặt bất hợp pháp vào mạng.
c) Xác định và ghi rõ các tính năng an toàn, các mức
độ bảo mật của dịch vụ và yêu cầu quản lý trong các thỏa thuận về dịch vụ mạng
do bên thứ ba cung cấp.
6. Trao đổi thông tin
a) Ban hành các quy định trao đổi thông tin và phần
mềm qua mạng truyền thông giữa các đơn vị trong Ủy ban và với các đơn vị bên
ngoài. Xác định trách nhiệm và nghĩa vụ pháp lý với các thành phần tham gia.
b) Có thỏa thuận về an toàn bảo mật cho việc trao đổi
thông tin với bên ngoài.
c) Có biện pháp bảo vệ phương tiện mang tin khi vận
chuyển.
d) Xây dựng và thực hiện các biện pháp bảo vệ thông
tin trao đổi giữa các hệ thống công nghệ thông tin.
7. Phòng chống vi rút và phần mềm độc hại
Xây dựng và thực hiện quy định về phòng chống vi
rút, mã độc đáp ứng các yêu cầu cơ bản sau:
- Triển khai và thường xuyên nâng cấp hệ thống
phòng chống vi rút máy tính cho toàn bộ hệ thống công nghệ thông tin của đơn vị;
- Kiểm tra, diệt vi rút, mã độc cho toàn bộ hệ thống
công nghệ thông tin của đơn vị hàng ngày và phương tiện mang tin nhận từ bên
ngoài trước khi sử dụng;
- Không mở các thư điện tử lạ, các tệp tin đính kèm
hoặc các liên kết trong các thư lạ để tránh vi rút, mã độc;
- Không vào các Trang tin không có nguồn gốc xuất xứ
rõ ràng, đáng ngờ;
- Cập nhật kịp thời các mẫu vi rút, mã độc mới và
các phần mềm chống vi rút có bản quyền;
- Báo ngay cho người quản trị hệ thống xử lý trong
trường hợp phát hiện nhưng không diệt được vi rút, mã độc;
- Không tự ý cài đặt các phần mềm khi chưa được kiểm
định về tính an toàn bảo mật.
8. Giám sát và ghi nhật ký hoạt động của hệ
thống công nghệ thông tin
a) Ghi nhật ký và quy định thời gian lưu trữ các
thông tin về hoạt động của hệ thống công nghệ thông tin và người sử dụng, lỗi
phát sinh và các sự cố mất an toàn thông tin nhằm trợ giúp cho việc điều tra
giám sát về sau.
b) Xem xét và lập báo cáo định kỳ về nhật ký và có
các hoạt động xử lý các lỗi, sự cố cần thiết.
c) Bảo vệ các chức năng ghi nhật ký và thông tin nhật
ký, chống giả mạo và truy cập trái phép. Người quản trị hệ thống và người sử dụng
không được xóa hay sửa đổi nhật ký hệ thống ghi lại các hoạt động của chính họ.
d) Cỏ cơ chế đồng bộ thời gian giữa các hệ thống
công nghệ thông tin.
Điều 10. Đảm bảo an toàn
cho hệ thống mạng không dây
a) Tăng cường giám sát, phát hiện, ngăn chặn sự lây
lan virus, mã độc hại vào hệ thống mạng, tấn công truy cập trái phép vào các dịch
vụ máy chủ thông qua hệ thống mạng không dây.
b) Đề xuất và áp dụng các biện pháp bảo vệ an toàn
cho hệ thống mạng không dây.
c) Chỉ cho phép các thiết bị như: máy tính xách
tay, thiết bị cầm tay (máy tính bảng, điện thoại di động) đã đăng ký với Trung
tâm Chuyển đổi số truy cập mạng không dây.
đ) Lập kế hoạch kiểm tra hoạt động của hệ thống mạng
không dây và tất cả các trang thiết bị công nghệ thông tin (phát sóng mạng
không dây) theo định kỳ.
e) Xây dựng các phương án dự phòng cho thiết bị
phát sóng mạng không dây.
Điều 11. Đảm bảo an toàn sử
dụng mạng nội bộ, mạng Internet
a) Các máy trạm kết nối đến mạng nội bộ, mạng
Internet được thiết lập ban đầu các thông số cơ bản và cài đặt các phần mềm như
hệ điều hành, các phần mềm soạn thảo văn phòng, bộ gõ tiếng việt, đặt tên trên
máy theo theo quy chuẩn (tên cán bộ, vụ đơn vị), đặt địa chỉ IP mạng.
b) Máy tính sử dụng mạng nội bộ, mạng Internet phải
được đặt mật khẩu có độ dài 8 ký tự trở lên và gồm các ký tự hoa, thường, số và
ký tự đặc biệt; sau 3 tháng phải thay đổi mật khẩu nhằm đảm bảo an toàn.
c) Phần mềm phòng chống mã độc trên máy tính sử dụng
mạng nội bộ, mạng Internet phải được cập nhật các bản mới nhất và thường xuyên
quét mã độc nhằm đảm bảo an toàn cho hệ thống mạng nội bộ và kết nối mạng
Internet.
d) Không được sử dụng mạng nội bộ, mạng Internet để
phát tán các thông tin xuyên tạc, mã độc hại... với mục đích lôi kéo, kích động
thực hiện cách hành vi sai trái hoặc gây tắc nghẽn hệ thống mạng nội bộ và mạng
Internet.
đ) Xây dựng kế hoạch rà soát, đánh giá hoạt động của
hệ thống mạng nội bộ, mạng Internet và các trang thiết bị CNTT liên quan đến mạng
nội bộ và mạng Internet theo định kỳ; thường xuyên bảo trì bảo dưỡng hệ thống
trang thiết bị CNTT phục vụ cho hệ thống mạng nội bộ và mạng Internet.
e) Xây dựng các phương án dự phòng, phương án khắc
phục sự cố cho hệ thống mạng nội bộ và mang Internet.
Điều 12. Đảm bảo an toàn sử
dụng máy tính độc lập lưu giữ bí mật nhà nước (BMNN) và sử dụng thiết bị ngoại
vi
a) Máy tính sử dụng soạn thảo văn bản BMNN phải bảo
đảm không được kết nối mạng nội bộ, mạng Internet.
b) Máy tính sử dụng soạn thảo văn bản BMNN chỉ cung
cấp và bàn giao cho cán bộ được giao nhiệm vụ soạn thảo BMNN.
c) Máy tính sử dụng soạn thảo văn bản BMNN chỉ cung
cấp và bàn giao cho cán bộ được giao nhiệm vụ soạn thảo BMNN.
d) Máy tính sử dụng soạn thảo văn bản BMNN phải được
đặt mật khẩu có độ dài 8 ký tự trở lên và gồm các ký tự hoa, thường, số và ký tự
đặc biệt (!,@,#,$,%...), sau 03 tháng phải thay đổi mật khẩu nhằm đảm bảo an
toàn.
đ) Không được sử dụng các trang thiết bị di động
như ổ cứng di động, USB vào máy tính soạn thảo văn bản BMNN; trong trường hợp
phải sử dụng thiết bị di động (USB, ổ cứng di động) cần phải bảo quản chặt chẽ
không được mang ra khỏi phòng làm việc, không được cắm vào các máy tính khác để
sao lưu dữ liệu; đặc biệt sau khi dùng để sao lưu dữ liệu thì có thể xóa trắng
usb di động ổ cứng di động nhằm đảm bảo an toàn thông tin dữ liệu mật.
e) Đối với các máy tính không phải thực hiện nhiệm
vụ soạn thảo văn bản BMNN khi kết nối với USB, ổ cứng di động phải được quét mã
độc trước khi sử dụng.
Điều 13. Giải quyết và khắc
phục sự cố công nghệ thông tin
1. Báo cáo sự cố
a) Đơn vị chuyên trách về công nghệ thông tin xây dựng
quy trình báo cáo, mẫu báo cáo và xác định rõ người nhận báo cáo về các sự cố
công nghệ thông tin.
b) Quy định rõ trách nhiệm báo cáo của cán bộ, nhân
viên và bên thứ ba về các sự cố công nghệ thông tin.
c) Các sự cố mất an toàn phải được lập tức báo cáo
đến những người có thẩm quyền và những người có liên quan để có biện pháp khắc
phục trong thời gian sớm nhất.
2. Kiểm soát và khắc phục sự cố
a) Ban hành quy trình, trách nhiệm khắc phục và
phòng ngừa sự cố công nghệ thông tin, đảm bảo sự cố được xử lý trong thời gian
ngắn nhất và giảm thiểu khả năng sự cố lặp lại.
b) Quá trình xử lý sự cố phải được ghi chép và lưu
trữ tại đơn vị.
c) Thu thập, ghi chép, bảo toàn bằng chứng, chứng cử
phục vụ cho việc kiểm tra, xử lý, khắc phục và phòng ngừa sự cố. Trong trường hợp
sự cố về công nghệ thông tin có liên quan đến các vi phạm pháp luật, đơn vị có
trách nhiệm thu thập và cung cấp chứng cứ cho cơ quan có thẩm quyền đúng theo
quy định của pháp luật.
3. Đảm bảo hoạt động liên tục
a) Căn cứ quy mô và mức độ quan trọng của từng hệ
thống công nghệ thông tin đối với hoạt động của Ủy ban Dân tộc để lựa chọn ra
các hệ thống công nghệ thông tin trọng yếu, có ảnh hưởng lớn tới hoạt động của
đơn vị.
b) Xây dựng và triển khai kế hoạch, quy trình đảm bảo
hoạt động liên tục của các hệ thống công nghệ thông tin trọng yếu.
c) Tối thiểu 06 tháng một lần, tiến hành kiểm tra,
thử nghiệm, đánh giá và cập nhật các quy trình đảm bảo hoạt động liên tục của
các hệ thống công nghệ thông tin trọng yếu.
d) Kế hoạch, quy trình đảm bảo hoạt động liên tục
phải được kiểm tra, đánh giá và cập nhật khi có sự thay đổi của hệ thống.
4. Công tác dự phòng thảm họa
a) Xây dựng hệ thống dự phòng cho các hệ thống công
nghệ thông tin trọng yếu của Ủy ban và các đơn vị trực thuộc.
b) Hệ thống dự phòng phải thay thế được hệ thống
chính trong vòng 4 giờ kể từ khi hệ thống chính có sự cố không khắc phục được.
c) Tối thiểu 03 tháng một lần, phải chuyển hoạt động
từ hệ thống chính sang hệ thống dự phòng để đảm bảo tính đồng nhất và sẵn sàng
của hệ thống dự phòng.
d) Tối thiểu 03 tháng một lần, tiến hành kiểm tra,
đánh giá hoạt động của hệ thống dự phòng.
Điều 14. Quản lý nguồn
nhân lực nội bộ của đơn vị
1. Trước khi tuyển dụng hoặc phân công nhiệm vụ
a) Xác định trách nhiệm về an toàn, bảo mật công
nghệ thông tin của vị trí cần tuyển dụng hoặc phân công.
b) Kiểm tra lý lịch, xem xét đánh giá nghiêm ngặt
tư cách đạo đức, trình độ chuyên môn khi tuyển dụng, phân công cán bộ làm việc
tại các vị trí trọng yếu của hệ thống công nghệ thông tin như quản trị hệ thống,
quản trị hệ thống an ninh bảo mật, vận hành hệ thống, quản trị cơ sở dữ liệu.
c) Quyết định hoặc hợp đồng tuyển dụng (nếu có) phải
bao gồm các điều khoản về trách nhiệm đảm bảo an toàn, bảo mật công nghệ thông
tin của người được tuyển dụng trong và sau khi làm việc tại các đơn vị thuộc Ủy
ban Dân tộc.
2. Trong thời gian làm việc
a) Lãnh đạo các đơn vị có trách nhiệm phổ biến và cập
nhật các quy định về an toàn, bảo mật công nghệ thông tin cho CCVC của đơn vị
mình.
b) Trung tâm Chuyển đổi số có trách nhiệm phối hợp
với các đơn vị tiến hành kiểm tra việc thi hành các quy định về an toàn, bảo mật
công nghệ thông tin của cá nhân, tổ chức thuộc đơn vị tối thiểu mỗi năm một lần.
c) Áp dụng các hình thức khen thưởng và kỷ luật đối
với CCVC của đơn vị vi phạm quy định an toàn, bảo mật công nghệ thông tin.
d) Những công việc quan trọng như cấu hình hệ thống
an ninh mạng, thay đổi tham số hệ điều hành, cài đặt thiết bị tường lửa, thiết
bị phát hiện và ngăn chặn xâm nhập phải được thực hiện bởi ít nhất hai người hoặc
phải có người giám sát.
đ) Không được cấp quyền quản trị (người có thể chỉnh
sửa cấu hình, dữ liệu, nhật ký) trên hệ thống công nghệ thông tin chính và hệ
thống dự phòng cho cùng một cá nhân.
3. Khi chấm dứt hoặc thay đổi công việc
Khi CCVC chấm dứt hoặc thay đổi công việc, đơn vị
phải:
- Xác định rõ trách nhiệm của CCVC và các bên liên
quan về hệ thống công nghệ thông tin;
- CCVC có trách nhiệm bàn giao tài sản được giao quản
lý cho đơn vị;
- Thu hồi hoặc thay đổi quyền truy cập hệ thống
công nghệ thông tin của CCVC cho phù hợp với công việc được thay đổi.
Chương III
TRÁCH NHIỆM ĐẢM BẢO AN
NINH, AN TOÀN THÔNG TIN
Điều 15. Trách nhiệm của
Trung tâm Chuyển đổi số
1. Chủ trì tham mưu Lãnh đạo Ủy ban về công
tác đảm bảo an ninh an toàn thông tin và chịu trách nhiệm trước Lãnh đạo Ủy ban
trong việc đảm bảo an ninh, an toàn thông tin cho các hệ thống thông tin tại Ủy
ban Dân tộc (gồm các nội dung của Chương II).
2. Chủ trì và phối hợp với các cơ quan có
liên quan thành lập đoàn kiểm tra công tác đảm bảo an ninh, an toàn thông tin;
báo cáo Lãnh đạo Ủy ban về các hành vi vi phạm hành chính trong lĩnh vực công
nghệ thông tin tại Ủy ban Dân tộc để xử lý theo quy định của pháp luật.
3. Xây dựng và triển khai các chương trình
đào tạo, hội nghị, hội thảo, tập huấn tuyên truyền an ninh, an toàn thông tin
trong công tác quản lý nhà nước.
4. Tùy theo mức độ sự cố, phối hợp với các
đơn vị chuyên trách về công nghệ thông tin và an toàn thông tin của Bộ Thông
tin và Truyền thông và Bộ Công an hướng dẫn xử lý, ứng cứu các sự cố thông tin.
5. Hướng dẫn các cơ quan, đơn vị xây dựng
quy định đảm bảo an ninh, an toàn thông tin; hướng dẫn nội dung báo cáo định kỳ
để các cơ quan, đơn vị thực hiện thống nhất.
6. Trung tâm Chuyển đổi số chủ trì triển
khai cơ chế điều phối và phối hợp giữa các đơn vị nhằm đảm bảo an toàn an ninh
thông tin trên Internet.
7. Phối hợp với các cơ quan báo chí đẩy mạnh
tuyên truyền nâng cao nhân thức về an toàn an ninh thông tin trên mạng
internet.
Điều 16. Trách nhiệm của
cán bộ chuyên trách về công nghệ thông tin trong Ủy ban Dân tộc
1. Cán bộ chuyên trách về công nghệ thông
tin chịu trách nhiệm tham mưu và vận hành an toàn hệ thống thông tin của đơn vị,
tổ chức theo dõi, kiểm soát tất cả các phương pháp truy nhập từ xa tới hệ thống
thông tin bao gồm cả sự truy nhập có chức năng đặc quyền. Hệ thống phải có quá
trình kiểm tra, cho phép truy nhập từ xa và chỉ những người được phân quyền mới
có quyền truy cập từ xa vào hệ thống. Đồng thời tổ chức triển khai cơ chế tự động
giám sát và điều khiển các truy nhập từ xa.
2. Thường xuyên kiểm tra giám sát việc sao
lưu dự phòng đảm bảo tính sẵn sàng và toàn vẹn của thông tin.
3. Tổ chức triển khai các biện pháp phòng,
chống, lây nhiễm virus, mã độc, thư rác,... trong hệ thống thông tin.
4. Xây dựng cơ sở dữ liệu, thiết lập hệ thống
an toàn thông tin có khả năng ngăn chặn các truy nhập bất hợp pháp và chỉ cho
phép gửi/nhận các dữ liệu theo các địa chỉ hợp lệ.
5. Thường xuyên triển khai các biện pháp phòng
chống rủi ro có thể xảy ra do truy cập, sử dụng trái phép; làm mất, thay đổi hoặc
phá hủy hệ thống thông tin có liên quan tới hoạt động của đơn vị. Trường hợp xảy
ra rủi ro cần kịp thời tổng hợp, đánh giá và báo cáo mức độ nghiêm trọng để có
các biện pháp xử lý kịp thời.
Điều 17. Trách nhiệm của
các đơn vị thuộc Ủy ban Dân tộc
1. Lãnh đạo các đơn vị chịu trách nhiệm trước
Lãnh đạo Ủy ban trong công tác đảm bảo an toàn hệ thống thông tin của đơn vị
mình và có trách nhiệm thi hành và phổ biến quy chế này tới CCVC thuộc đơn vị
mình.
2. Khi có sự cố hoặc nguy cơ mất an toàn
thông tin, kịp thời áp dụng mọi biện pháp để khắc phục và hạn chế thấp nhất mức
thiệt hại có thể xảy ra báo cáo bằng văn bản cho cơ quan cấp trên quản lý trực
tiếp và Trung tâm Chuyển đổi số của Ủy ban Dân tộc. Trường hợp có sự cố nghiêm
trọng vượt quá khả năng khắc phục của đơn vị, phải báo cáo ngay cho cơ quan cấp
trên quản lý trực tiếp và Trung tâm Chuyển đổi số để kịp thời khắc phục.
3. Phối hợp với Trung tâm Chuyển đổi số lên
phương án dự phòng nhằm khắc phục sự cố và đảm bảo hệ thống hoạt động liên tục;
100% các ứng dụng giao dịch điện tử phải được đảm bảo về an toàn thông tin.
5. Lên kế hoạch đầu tư cần thiết để đảm bảo
và tăng cường an ninh an toàn thông tin trong hoạt động ứng dụng công nghệ
thông tin của đơn vị.
6. Báo cáo định kỳ hàng quý tình hình an
ninh, an toàn thông tin tại đơn vị mình, gửi về Trung tâm Chuyển đổi số để tổng
hợp, báo cáo Lãnh đạo Ủy ban.
Điều 18. Trách nhiệm của
CCVC trong Ủy ban
1. Nghiêm chỉnh chấp hành các quy định nội bộ,
quy trình về an toàn thông tin của cơ quan, đơn vị cũng như các quy định khác của
pháp luật, nâng cao ý thức cảnh giác và trách nhiệm đảm bảo an ninh thông tin tại
đơn vị.
2. Khi phát hiện các nguy cơ mất an toàn hoặc
sự cố phải báo cáo ngay cho bộ phận chuyên trách của cơ quan, đơn vị để kịp thời
ngăn chặn, xử lý.
3. Tham gia các chương trình đào tạo, hội
nghị về an ninh, an toàn thông tin do cơ quan cấp trên và Trung tâm Chuyển đổi
số tổ chức.
Điều 19. Trách nhiệm trong
công tác kiểm tra đảm bảo an ninh, an toàn thông tin
1. Trung tâm Chuyển đổi số chủ trì, phối hợp
với các đơn vị có liên quan tiến hành kiểm tra công tác đảm bảo an ninh, an
toàn thông tin định kỳ hàng năm đối với các đơn vị trong Ủy ban Dân tộc.
2. Các cơ quan liên quan được mời tham gia
đoàn kiểm tra: Cử cán bộ có chuyên môn về công nghệ thông tin tham gia đoàn kiểm
tra do Trung tâm Chuyển đổi số tổ chức; phối hợp với đoàn kiểm tra xây dựng các
tiêu chí và quy trình kỹ thuật kiểm tra công tác đảm bảo an ninh, an toàn thông
tin.
Chương IV
ĐIỀU KHOẢN THI HÀNH
Điều 20. Xử lý vi phạm
Tổ chức, cá nhân có hành vi vi phạm Quy chế này thì
tùy theo tính chất, mức độ vi phạm mà bị xử lý kỷ luật, xử phạt hành chính hoặc
bị truy cứu trách nhiệm hình sự. Nếu gây thiệt hại thì phải bồi thường theo quy
định hiện hành của pháp luật.
Điều 21. Trách nhiệm thi
hành
1. Trung tâm Chuyển đổi số chủ trì, phối hợp
với các đơn vị liên quan triển khai thực hiện Quy chế này.
2. Văn phòng Ủy ban có trách nhiệm phối hợp
với Trung tâm Chuyển đổi số kiểm tra việc chấp hành Quy chế này.
3. Thủ trưởng các đơn vị thuộc Ủy ban Dân tộc
trong phạm vi chức năng, nhiệm vụ của mình, có trách nhiệm tổ chức triển khai
và kiểm tra việc chấp hành tại đơn vị theo đúng các quy định của Quy chế này.
Điều 22. Tổ chức thực hiện
Trong quá trình tổ chức thực hiện, nếu phát sinh những
vấn đề khó khăn, vướng mắc cần sửa đổi, đề nghị các đơn vị thông báo ngay cho
Trung tâm Chuyển đổi số để tổng hợp, báo cáo Lãnh đạo Ủy ban xem xét, sửa đổi,
bổ sung Quy chế cho phù hợp./.