ỦY
BAN NHÂN DÂN
TỈNH NINH THUẬN
--------
|
CỘNG
HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM
Độc lập - Tự do - Hạnh phúc
---------------
|
Số:
71/2012/QĐ-UBND
|
Ninh
Thuận, ngày 12 tháng 12 năm 2012
|
QUYẾT ĐỊNH
BAN HÀNH QUY CHẾ VỀ ĐẢM BẢO AN TOÀN, AN NINH THÔNG TIN TRONG
LĨNH VỰC ỨNG DỤNG CÔNG NGHỆ THÔNG TIN CỦA CÁC CƠ QUAN QUẢN LÝ HÀNH CHÍNH NHÀ NƯỚC
VÀ CÁC ĐƠN VỊ SỰ NGHIỆP TRÊN ĐỊA BÀN TỈNH NINH THUẬN
ỦY BAN NHÂN DÂN TỈNH NINH THUẬN
Căn cứ Luật Tổ chức Hội đồng
nhân dân và Ủy ban nhân dân ngày 26 tháng 11 năm 2003;
Căn cứ Luật Ban hành văn bản
quy phạm pháp luật của Hội đồng nhân dân và Ủy ban nhân dân ngày 03 tháng 12
năm 2004;
Căn cứ Luật Giao dịch điện tử
ngày 29 tháng 11 năm 2005;
Căn cứ Luật Công nghệ thông
tin ngày 29 tháng 6 năm 2006;
Căn cứ Nghị định số
64/2007/NĐ-CP ngày 10 tháng 4 năm 2007 của Chính phủ về việc ứng dụng công nghệ
thông tin trong hoạt động của cơ quan Nhà nước;
Căn cứ Quyết định số
63/QĐ-TTg ngày 13 tháng 01 năm 2010 của Thủ tướng Chính phủ về việc phê duyệt
Quy hoạch phát triển an toàn thông tin số quốc gia đến năm 2020;
Theo đề nghị của Giám đốc Sở
Thông tin và Truyền thông tại Tờ trình số 910/TTr-STTTT ngày 07 tháng 12 năm
2012,
QUYẾT ĐỊNH:
Điều 1.
Ban hành kèm theo Quyết định này Quy chế về đảm bảo an toàn, an ninh thông tin
trong lĩnh vực ứng dụng công nghệ thông tin của các cơ quan quản lý hành chính
Nhà nước và các đơn vị sự nghiệp trên địa bàn tỉnh Ninh Thuận; gồm 05 Chương,
15 Điều.
Điều 2.
Quyết định này có hiệu lực thi hành sau 10 (mười) ngày kể từ ngày ký ban hành.
Chánh Văn phòng Ủy ban nhân dân
tỉnh, Giám đốc các sở, ban, ngành; Chủ tịch Ủy ban nhân dân các huyện, thành phố
và thủ trưởng các cơ quan, tổ chức, cá nhân liên quan chịu trách nhiệm thi hành
Quyết định này./.
|
TM.
ỦY BAN NHÂN DÂN
KT. CHỦ TỊCH
PHÓ CHỦ TỊCH
Võ Đại
|
QUY CHẾ
VỀ ĐẢM BẢO AN TOÀN, AN NINH THÔNG TIN TRONG HOẠT ĐỘNG ỨNG DỤNG
CÔNG NGHỆ THÔNG TIN CỦA CÁC CƠ QUAN QUẢN LÝ HÀNH CHÍNH NHÀ NƯỚC VÀ CÁC ĐƠN VỊ SỰ
NGHIỆP TRÊN ĐỊA BÀN TỈNH NINH THUẬN
(Ban hành kèm theo Quyết định số 71/2012/QĐ-UBND ngày 12 tháng 12 năm
2012 của Ủy ban nhân dân tỉnh Ninh Thuận)
Chương I
QUY ĐỊNH CHUNG
Điều 1. Phạm
vi điều chỉnh
Quy chế này quy định về công tác
đảm bảo an toàn, an ninh thông tin trong hoạt động ứng dụng công nghệ thông tin
của các cơ quan quản lý hành chính Nhà nước và các đơn vị sự nghiệp trên địa
bàn tỉnh Ninh Thuận.
Điều 2. Đối
tượng áp dụng
Quy chế này được áp dụng đối với
các cơ quan quản lý hành chính Nhà nước và các đơn vị sự nghiệp thuộc Ủy ban
nhân dân tỉnh Ninh Thuận (sau đây gọi tắt là các cơ quan, đơn vị).
Điều 3. Mục
đích đảm bảo an toàn, an ninh thông tin
1. Giảm thiểu được các nguy cơ
gây sự cố mất an toàn thông tin và đảm bảo an ninh thông tin trong quá trình
tác nghiệp của công chức, viên chức.
2. Công tác đảm bảo an toàn, an
ninh thông tin, bảo mật trên môi trường mạng là một trong những nhiệm vụ trọng
tâm để đảm bảo thành công trong việc ứng dụng công nghệ thông tin trong hoạt động
của các cơ quan quản lý hành chính Nhà nước.
Điều 4. Giải
thích từ ngữ
Trong Quy chế này, các từ ngữ dưới
đây được hiểu như sau:
1. Tính tin cậy: đảm bảo thông
tin chỉ có thể được truy nhập bởi những người được cấp quyền sử dụng.
2. Tính toàn vẹn: bảo vệ sự
chính xác và đầy đủ của thông tin và các phương pháp xử lý.
3. Tính sẵn sàng: đảm bảo những
người được cấp quyền có thể truy nhập thông tin và các tài sản liên quan ngay
khi có nhu cầu.
4. TCVN 7562:2005: tiêu chuẩn Việt
Nam về mã thực hành quản lý an toàn thông tin.
5. ISO 17799:2005: tiêu chuẩn quốc
tế cung cấp các hướng dẫn quản lý an toàn bảo mật thông tin dựa trên quy phạm
công nghiệp tốt nhất (tập quy phạm cho quản lý an toàn bảo mật thông tin).
6. ISO 27001:2005: tiêu chuẩn quốc tế về quản lý bảo mật thông tin do tổ
chức Chất lượng quốc tế và Hội đồng Điện tử quốc tế xuất bản vào tháng 10 năm
2005.
7. Hệ thống thông tin: là một tập
hợp và kết hợp của các phần cứng, phần mềm và các hệ thống mạng truyền thông
được xây dựng và sử dụng để thu thập, tái tạo, phân phối và chia sẻ các dữ liệu,
thông tin và tri thức nhằm phục vụ các mục tiêu của tổ chức.
8.Virus máy tính: là một chương
trình hay một đoạn mã có khả năng tự sao chép chính nó từ đối tượng lây nhiễm
này sang đối tượng khác với mục đích gây hại cho máy tính.
9. Cổng giao tiếp (Port): để định danh các ứng dụng gửi và nhận dữ liệu,
mỗi ứng dụng sẽ tương ứng với một cổng giao tiếp, những ứng dụng phổ biến được
đặt với số hiệu cổng định trước nhằm định danh duy nhất các ứng dụng đó. Khi
máy tính sử dụng dịch vụ nào thì cổng giao tiếp tương ứng với dịch vụ đó sẽ mở.
10. Giao thức: là tập hợp các
quy tắc, quy ước truyền thông của mạng mà tất cả các thực thể tham gia truyền
thông phải tuân theo.
11. Bản ghi nhật ký hệ thống
(Logfile): là một tập tin được tạo ra trên mỗi thiết bị của hệ thống thông tin
như tường lửa, máy chủ ứng dụng, ... có chứa tất cả thông tin về các hoạt động
xảy ra trên thiết bị đó. Bản ghi nhật ký hệ thống dùng để phân tích những sự kiện
đã xảy ra, nguồn gốc và các kết quả để có các biện pháp xử lý thích hợp.
12. Mạng ngang hàng: là mạng mà
trong đó các máy tính có quyền bình đẳng như nhau, mỗi máy tính có quyền chia sẻ
tài nguyên và sử dụng các tài nguyên từ máy tính khác.
13. An toàn thông tin (ATTT):
bao gồm các hoạt động quản lý, nghiệp vụ và kỹ thuật đối với hệ thống thông tin
nhằm bảo vệ, khôi phục các hệ thống, các dịch vụ và nội dung thông tin đối với
nguy cơ tự nhiên hoặc do con người gây ra. Việc bảo vệ thông tin, tài sản và
con người trong hệ thống thông tin nhằm bảo đảm cho các hệ thống thực hiện đúng
chức năng, phục vụ đúng đối tượng một cách sẵn sàng, chính xác và tin cậy. An
toàn thông tin bao hàm các nội dung bảo vệ và bảo mật thông tin, an toàn dữ liệu
của máy tính và an toàn mạng.
Chương II
QUY ĐỊNH ĐẢM BẢO AN
TOÀN, AN NINH THÔNG TIN
Điều 5. Các
biện pháp quản lý vận hành trong công tác đảm bảo an toàn, an ninh thông tin
1. Đối với các cơ quan, đơn vị:
a) Trang bị đầy đủ các kiến thức
bảo mật cơ bản cho cán bộ công chức, viên chức trước khi cho phép truy nhập và
sử dụng hệ thống thông tin;
b) Bố trí công chức, viên chức
chuyên trách về an toàn hệ thống thông tin (sau đây gọi tắt là công chức, viên
chức chuyên trách). Công chức, viên chức chuyên trách được đảm bảo điều kiện học
tập, tiếp cận công nghệ, kiến thức an toàn bảo mật thông tin trước khi tiến
hành các hoạt động quản lý hay kỹ thuật nghiệp vụ;
c) Xác định và phân bổ kinh phí
chi thường xuyên cần thiết cho các hoạt động liên quan đến việc bảo vệ hệ thống
thông tin, thông qua việc đầu tư các thiết bị tường lửa, các chương trình chống
thư rác, virus máy tính trên các máy trạm, máy chủ, ... và các công việc khác
có liên quan đến việc bảo đảm an toàn, an ninh thông tin;
d) Các cơ quan, đơn vị phải bố
trí ít nhất 01 máy vi tính riêng, không kết nối mạng nội bộ và mạng internet
dùng để quản lý, soạn thảo các tài liệu mật theo quy định;
đ) Người đứng đầu cơ quan Nhà nước
phải chịu trách nhiệm về việc ứng dụng công nghệ thông tin thuộc thẩm quyền quản
lý của mình;
e) Kiểm tra việc thực hiện các nội
dung của Điều 6 Quy chế này.
2. Đối với công chức, viên chức
chuyên trách tại các cơ quan đơn vị:
a) Triển khai, thực hiện các nội
dung của Điều 6 Quy chế này;
b) Tham mưu chuyên môn và vận
hành an toàn hệ thống thông tin của đơn vị, triển khai các biện pháp bảo đảm an
toàn, an ninh thông tin cho tất cả công chức, viên chức trong đơn vị mình. Nắm
vững và thực hiện nghiêm túc Pháp lệnh Bảo vệ bí mật Nhà nước ngày 28 tháng 12
năm 2000. Thường xuyên tự nghiên cứu, cập nhật các kiến thức về an toàn, an
ninh thông tin, nguy cơ tiềm ẩn có thể gây mất mát thông tin và các biện pháp
phòng tránh khi tiến hành các hoạt động quản lý hay kỹ thuật nghiệp vụ;
c) Thường xuyên thực hiện việc
theo dõi bản ghi nhật ký hệ thống (logfile) và các sự kiện khác có liên quan để
đánh giá, báo cáo các rủi ro và mức độ nghiêm trọng các rủi ro đó;
d) Phối hợp chặt chẽ với cơ quan
Công an trong công tác phòng ngừa, đấu tranh, ngăn chặn các hoạt động xâm phạm
an toàn, an ninh thông tin;
đ) Khi tổ chức cấu hình hệ thống
thông tin chỉ cung cấp những chức năng thiết yếu nhất; xác định các chức năng,
cổng giao tiếp mạng, giao thức và dịch vụ không cần thiết để cấm hoặc hạn chế sử
dụng.
3. Đối với công chức, viên chức:
a) Thường xuyên cập nhật những chính
sách, thủ tục an toàn thông tin của đơn vị cũng như thực hiện những hướng dẫn về
an toàn, an ninh thông tin của công chức, viên chức chuyên trách;
b) Hạn chế việc sử dụng chức
năng chia sẻ tài nguyên (sharing), khi sử dụng chức năng này cần bật thuộc tính
bảo mật bằng mật khẩu và thực hiện việc thu hồi chức năng này khi đã sử dụng
xong;
c) Các máy tính khi không sử dụng
trong thời gian dài (quá 2 giờ làm việc) cần tắt máy hoặc ngưng kết nối mạng, để
tránh bị các hacker lợi dụng, sử dụng chức năng điều khiển từ xa dùng máy tính
của mình tấn công vào các hệ thống thông tin khác;
d) Khi mở các tập tin đính kèm
theo thư điện tử, nếu biết rõ người gửi thư thì phải lưu tập tin vào máy tính rồi
quét virus trước khi mở, không được mở các thư điện tử có tập tin đính kèm có
nguồn gốc không rõ ràng vì rất có thể có virus, phần mềm gián điệp được đính
kèm theo thư;
đ) Phải đặt mật khẩu truy nhập
vào máy tính của mình; đồng thời thiết lập chế độ bảo vệ màn hình (screen
saver) có sử dụng mật khẩu bảo vệ sau một khoảng thời gian nhất định không sử dụng
máy tính. Sử dụng các thiết bị lưu trữ (usb, ổ cứng gắn ngoài, ...) an toàn,
đúng cách để phòng ngừa virus, phần mềm gián điệp xâm nhập máy tính.
Điều 6. Các
biện pháp quản lý kỹ thuật cho công tác đảm bảo an toàn, an ninh thông tin
1. Tổ chức mô hình mạng: cài đặt,
cấu hình, tổ chức hệ thống mạng theo mô hình Clients/Server, hạn chế sử dụng mô
hình mạng ngang hàng. Đối với các cơ quan, đơn vị có nhiều phòng, ban, đơn vị
trực thuộc không nằm trong cùng một khu vực thì cần thiết lập mạng riêng ảo
(VPN - Virtual Private Network) để tăng cường an ninh cho hạ tầng mạng nội bộ.
Khi thiết lập các dịch vụ trên môi trường mạng internet, chỉ cung cấp những chức
năng thiết yếu nhất bảo đảm duy trì hoạt động của hệ thống thông tin; hạn chế sử
dụng chức năng, cổng giao tiếp mạng, giao thức và các dịch vụ không cần thiết.
2. Quản lý hệ thống mạng không
dây: khi thiết lập mạng không dây để kết nối với mạng cục bộ thông qua các điểm
truy nhập (Access Point -AP), cần thiết lập các tham số như: tên, tên của mạng
không dây (SSID), mật khẩu, mã hoá dữ liệu và thông báo các thông tin liên quan
đến điểm truy nhập để cơ quan sử dụng, định kỳ 3 tháng thay đổi mật khẩu nhằm
tăng cường công tác bảo mật.
3. Tổ chức quản lý tài khoản của
các hệ thống thông tin, bao gồm: tạo mới, kích hoạt, sửa đổi, vô hiệu hoá và loại
bỏ các tài khoản; đồng thời tổ chức kiểm tra các tài khoản của hệ thống thông
tin ít nhất 06 tháng/1 lần và triển khai các công cụ tự động để hỗ trợ việc quản
lý các tài khoản của hệ thống thông tin. Hủy tài khoản, quyền truy nhập hệ thống
thông tin, thu hồi lại tất cả các tài sản liên quan tới hệ thống thông tin
(khoá, thẻ nhận dạng, thư mục lưu trữ, ...) đối với công chức, viên chức đã
chuyển công tác, chấm dứt hợp đồng lao động.
4. Quản lý đăng nhập hệ thống:
các hệ thống thông tin cần giới hạn một số hữu hạn lần đăng nhập sai liên tiếp.
Hệ thống tự động khoá tài khoản hoặc cô lập tài khoản trong một khoảng thời
gian nhất định trước khi tiếp tục cho đăng nhập nếu liên tục đăng nhập sai vượt
quá số lần quy định. Tổ chức theo dõi và kiểm soát tất cả các phương pháp truy
nhập từ xa (quay số, internet, …) tới hệ thống thông tin bao gồm cả sự truy nhập
có chức năng quản trị, tăng cường việc sử dụng mạng riêng ảo (VPN) khi có nhu cầu
làm việc từ xa; yêu cầu người sử dụng đặt mật khẩu với độ an toàn cao, giám
sát, nhắc nhở khuyến cáo nên thay đổi thường xuyên mật khẩu. Hệ thống thông tin
cần có cơ chế kiểm tra, cho phép ứng với mỗi phương pháp truy nhập từ xa và cơ
chế tự động giám sát, điều khiển các truy nhập từ xa.
5. Quản lý Logfile: hệ thống
thông tin cần ghi nhận được các sự kiện cần thiết phục vụ quá trình kiểm soát:
quá trình đăng nhập hệ thống, các thao tác cấu hình hệ thống, quá trình truy xuất
hệ thống, ghi nhận đầy đủ các thông tin trong các bản ghi nhật ký để xác định
những sự kiện nào đã xảy ra, nguồn gốc và các kết quả của sự kiện để có cơ chế
bảo vệ và lưu giữ nhật ký trong một khoảng thời gian nhất định.
6. Chống mã độc, virus: lựa chọn,
triển khai các phần mềm chống virus, thư rác trên các máy chủ, các thiết bị di
động trong mạng và những hệ thống thông tin xung yếu như: cổng thông tin điện tử,
thư điện tử, “một cửa” điện tử, … để phát hiện, loại trừ những đoạn mã độc hại
(virus, trojan, worms, …) và hỗ trợ người sử dụng cài đặt các phần mềm này trên
máy trạm. Thường xuyên cập nhật các phiên bản mới, các bản vá lỗi của các phần
mềm chống virus để bảo đảm chương trình quét virus của cơ quan trên các máy chủ,
máy trạm luôn được cập nhật mới nhất, phù hợp với quy trình và chính sách quản
lý hệ thống thông tin của tổ chức, thiết lập chế độ quét thường xuyên ít nhất
là hằng tuần.
7. Tổ chức quản lý tài nguyên:
kiểm tra, giám sát chức năng chia sẻ thông tin (Network File and Folder
Sharing). Tổ chức cấp phát tài nguyên trên máy chủ theo danh mục thư mục cho từng
phòng/ban; khuyến cáo người sử dụng cân nhắc việc chia sẻ tài nguyên cục bộ
trên máy đang sử dụng, tuyệt đối không được chia sẻ toàn bộ ổ cứng. Khi thực hiện
việc chia sẻ tài nguyên trên máy chủ hoặc trên máy cục bộ nên sử dụng mật khẩu
để bảo vệ thông tin.
8. Thiết lập cơ chế sao lưu và
phục hồi máy chủ, máy trạm:
a) Đối với máy trạm, máy chủ: thực
hiện việc sao lưu dữ liệu như hệ điều hành, các phần mềm ứng dụng văn phòng, phần
mềm chuyên ngành, ... bằng các phần mềm như Pqmagic, FinalData, Symantec Ghost,
ZAR (Zero Assumption Recovery), NovaBackup Professional, Nero BackItUp &
Burn, Digital Rescue Premium, ... Sau khi sao lưu mỗi máy được lưu vào các thiết
bị lưu trữ như CD, ổ cứng ngoài, ... và thực hiện việc đánh số, dán nhãn để tránh
nhầm lẫn nhằm phục vụ cho công tác phục hồi dữ liệu một cách nhanh nhất;
b) Đối với máy chủ: cài đặt các
dịch vụ Mirror, Raid, Clustering bảo đảm thiết lập cơ chế sao lưu và phục hồi hệ
thống máy chủ. Đối với các máy chủ cài đặt hệ điều hành Windows sử dụng chức
năng System Restore để có thể dễ dàng khôi phục lại toàn bộ máy chủ hoặc các tập
tin, thư mục được lựa chọn phục hồi.
9. Các biện pháp kỹ thuật bảo đảm
an toàn cho trang thông tin điện tử/ cổng thông tin điện tử (gọi tắt là trang
Web):
a) Xác định cấu trúc thiết kế
trang web: quản lý toàn bộ các phiên bản của mã nguồn, phối hợp với đơn vị thực
hiện dịch vụ đăng tải trang tin điện tử (website), truyền tệp (FTP), … và tổ chức
mô hình trang tin điện tử hợp lý tránh khả năng tấn công leo thang đặc quyền.
Yêu cầu đơn vị cung cấp dịch vụ vụ đăng tải trang tin điện tử (website), truyền
tệp (FTP), … phải cài đặt các hệ thống phòng vệ như tường lửa (firewall), thiết
bị phát hiện/phòng chống xâm nhập (IDS/IPS), mức ứng dụng web (WAF - Web
Application Firewall);
b) Vận hành ứng dụng web an
toàn: các trang web khi đưa vào sử dụng hoặc khi bổ sung thêm các chức năng, dịch
vụ công mới cần liên hệ với Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam
(VNCERT) hoặc liên hệ với các tổ chức an ninh mạng đánh giá kiểm định nhằm
tránh được các lỗi bảo mật thường xuyên xảy ra trên ứng dụng web như: SQL
Injection, Cross - Site Scripting (XSS), Broken Authentication and Session
Management, Insecure Direct Object References, Cross Site Request Forgery
(CSRF), Security Misconfiguration, Failure to Restrict URL Access, Insecure
Cryptographic Storage, Insufficient Transport Layer Protection, Unvalidated
Redirects and Forwards, ...;
c) Thiết lập và cấu hình cơ sở dữ
liệu an toàn:
- Luôn cập nhật bản vá lỗi mới
nhất cho hệ quản trị cơ sở dữ liệu; sử dụng công cụ để đánh giá, tìm kiếm lỗ hổng
trên máy chủ cơ sở dữ liệu.
- Gỡ bỏ các cơ sở dữ liệu không
sử dụng.
- Có các cơ chế sao lưu dữ liệu,
tài liệu hoá quá trình thay đổi cấu trúc bằng cách xây dựng nhật ký CSDL với
các nội dung như: nội dung thay đổi, lý do thay đổi, thời gian, vị trí thay đổi,
...;
d) Phối hợp với các nhà cung cấp
dịch vụ đăng tải trang tin điện tử (website), truyền tệp (FTP), … xây dựng
phương án phục hồi trang tin điện tử, trong đó chú ý mỗi tháng thực hiện việc
sao lưu dự phòng (backup) toàn bộ nội dung trang web 1 lần bao gồm mã nguồn, cơ
sở dữ liệu, dữ liệu phi cấu trúc, ... để bảo đảm khi sự cố xảy ra có thể khắc
phục lại ngay trong vòng 24 giờ .
10. Xử lý khẩn cấp: khi phát hiện
hệ thống bị tấn công, thông qua các dấu hiệu như luồng tin (traffic) tăng lên bất
ngờ, nội dung trang chủ bị thay đổi, hệ thống hoạt động rất chậm khác thường,
... cần thực hiện các bước cơ bản sau:
a) Bước 1: ngắt kết nối máy chủ
ra khỏi mạng;
b) Bước 2: sao chép logfile và
toàn bộ dữ liệu của hệ thống ra thiết bị lưu trữ (phục vụ cho công tác phân
tích);
c) Bước 3: khôi phục hệ thống bằng
cách chuyển dữ liệu backup mới nhất để hệ thống hoạt động;
d) Bước 4: thực hiện các công việc
được quy định tại khoản 2 Điều 9.
11. Hệ thống thông tin cần có cơ
chế ngăn chặn hoặc hạn chế các sự cố gây ra do tấn công từ chối dịch vụ (Dos,
DDos). Công chức, viên chức chuyên trách sử dụng các thiết bị đặt tại biên của
mạng lọc gói tin để bảo vệ các thiết bị bên trong, tránh bị ảnh hưởng trực tiếp
bởi tấn công từ chối dịch vụ. Đối với hệ thống thông tin cho phép truy nhập
công cộng thì có thể được bảo vệ bằng cách tăng dung lượng, băng thông hoặc thiết
lập hệ thống dự phòng.
Điều 7. Xây
dựng quy chế nội bộ đảm bảo an toàn, an ninh thông tin
1. Các cơ quan, đơn vị phải ban
hành quy chế nội bộ, đảm bảo quy định rõ các vấn đề sau:
a) Mục tiêu và phương hướng thực
hiện công tác đảm bảo an toàn an ninh cho hệ thống thông tin;
b) Nguyên tắc phân loại và quản
lý mức độ ưu tiên đối với các tài nguyên của hệ thống thông tin (phần mềm, dữ
liệu, trang thiết bị, …);
c) Quản lý phân quyền và trách
nhiệm đối với từng cá nhân khi tham gia sử dụng hệ thống thông tin;
d) Quản lý và điều hành hệ thống
máy chủ, thiết bị mạng, thiết bị bảo vệ mạng một cách an toàn;
đ) Kiểm tra, rà soát và khắc phục
sự cố an toàn an ninh của hệ thống thông tin sử dụng các biện pháp trong Điều 5
và Điều 6 của Quy chế;
e) Nguyên tắc chung sử dụng an
toàn và hiệu quả đối với toàn bộ cá nhân tham gia sử dụng hệ thống thông tin;
g) Báo cáo tổng hợp tình hình an
toàn, an ninh của hệ thống thông tin theo định kỳ;
h) Các biện pháp tổ chức thực hiện.
2. Các cơ quan, đơn vị xây dựng
quy chế an toàn, an ninh thông tin cho đơn vị cần căn cứ các tiêu chuẩn kỹ thuật
quản lý an toàn của Bộ tiêu chuẩn TCVN 7562:2005 và ISO/IEC 17799:2005 tại Phụ lục 1 kèm theo Quy chế để áp dụng phù hợp cơ quan,
đơn vị mình.
Điều 8. Xây
dựng và áp dụng quy trình đảm bảo an toàn, an ninh thông tin
1. Các cơ quan, đơn vị phải xây
dựng và áp dụng quy trình đảm bảo an toàn, an ninh cho hệ thống thông tin của
mình nhằm giảm thiểu các nguy cơ gây ra sự cố, tạo điều kiện cho việc khắc phục
và truy vết trong trường hợp có sự cố xảy ra. Nội dung của quy trình có thể
chia làm các bước cơ bản như:
a) Lập kế hoạch bảo vệ an toàn,
an ninh cho hệ thống thông tin;
b) Xây dựng hệ thống bảo vệ an
toàn, an ninh thông tin;
c) Quản lý và vận hành hệ thống
bảo vệ an toàn, an ninh thông tin;
d) Kiểm tra đánh giá hoạt động của
hệ thống bảo vệ an toàn, an ninh thông tin;
đ) Bảo trì và nâng cấp hệ thống
bảo vệ an toàn, an ninh thông tin.
2. Các cơ quan, đơn vị tham khảo
các bước cơ bản để xây dựng khung quy trình đảm bảo an toàn, an ninh thông tin
cho hệ thống thông tin tại Phụ lục 2 kèm theo Quy
chế và tiêu chuẩn quốc tế ISO 27001:2005.
Chương III
TRÁCH NHIỆM ĐẢM BẢO AN
TOÀN, AN NINH THÔNG TIN
Điều 9.
Trách nhiệm của các cơ quan, đơn vị
1. Thủ trưởng các cơ quan, đơn vị
có trách nhiệm tổ chức thực hiện các quy định tại Quy chế này và chịu trách nhiệm
trước Ủy ban nhân dân tỉnh trong công tác bảo vệ an toàn, an ninh thông tin của
cơ quan, đơn vị mình.
2. Khi có sự cố hoặc nguy cơ mất
an toàn thông tin phải kịp thời áp dụng mọi biện pháp để khắc phục và hạn chế
thiệt hại, ưu tiên sử dụng lực lượng kỹ thuật an toàn, an ninh thông tin của đơn
vị và lập biên bản, báo cáo bằng văn bản cho cơ quan cấp trên quản lý trực tiếp
và Sở Thông tin và Truyền thông. Trường hợp có sự cố nghiêm trọng vượt quá khả
năng khắc phục của đơn vị, phải báo cáo ngay cho cơ quan cấp trên quản lý trực
tiếp và Sở Thông tin và Truyền thông để được hướng dẫn, hỗ trợ theo biểu mẫu tại
Phụ lục 3 của Quy chế này.
3. Phối hợp chặt chẽ với cơ quan
Công an trong công tác phòng ngừa, đấu tranh, ngăn chặn các hoạt động xâm phạm
an toàn, an ninh thông tin. Tạo điều kiện thuận lợi cho các cơ quan chức năng
tham gia khắc phục sự cố và thực hiện đúng theo hướng dẫn.
4. Phối hợp với đoàn kiểm tra để
triển khai công tác kiểm tra khắc phục sự cố xảy ra kịp thời nhanh chóng và đạt
hiệu quả; đồng thời cung cấp đầy đủ các thông tin khi đoàn kiểm tra yêu cầu.
5. Định kỳ hằng quý, lập báo cáo
tình hình an toàn, an ninh thông tin theo biểu mẫu tại Phụ
lục 4 của Quy chế này và gửi về Sở Thông tin và Truyền thông qua hộp thư điện
tử [email protected]. Riêng báo cáo quý IV hằng năm yêu cầu các đơn vị gửi
về Sở Thông tin và Truyền thông bằng văn bản (trước ngày 20 tháng 12).
Điều 10.
Trách nhiệm của công chức, viên chức trong các cơ quan, đơn vị
1. Trách nhiệm của công chức, viên
chức chuyên trách an toàn an ninh thông tin:
a) Chịu trách nhiệm triển khai
các biện pháp quản lý vận hành, quản lý kỹ thuật, tham mưu xây dựng các quy định
đảm bảo an toàn, an ninh thông tin cho hệ thống thông tin của đơn vị theo Quy
chế này;
b) Phối hợp với các cá nhân, đơn
vị có liên quan trong việc kiểm soát, phát hiện và khắc phục các sự cố an toàn,
an ninh thông tin.
2. Trách nhiệm của công chức,
viên chức trong các cơ quan, đơn vị:
a) Nghiêm chỉnh thi hành các quy
chế nội bộ, quy trình về an toàn, an ninh thông tin của cơ quan, đơn vị cũng
như các quy định khác của pháp luật, nâng cao ý thức cảnh giác và trách nhiệm đảm
bảo an ninh thông tin tại đơn vị;
b) Khi phát hiện sự cố phải báo
cáo ngay với cấp trên và bộ phận chuyên trách để kịp thời ngăn chặn, xử lý;
c) Hưởng ứng, tham gia các chương trình đào tạo, hội nghị về an toàn an
ninh thông tin do Sở Thông tin và Truyền thông hoặc các đơn vị chuyên môn tổ chức.
Điều 11. Trách
nhiệm của Sở Thông tin và Truyền thông
1. Tham mưu Ủy ban nhân dân tỉnh
về công tác đảm bảo an toàn, an ninh thông tin trên địa bàn tỉnh và chịu trách
nhiệm trước Ủy ban nhân dân tỉnh trong việc đảm bảo an toàn an ninh cho các hệ
thống thông tin cấp tỉnh.
2. Hằng năm xây dựng kế hoạch, dự
toán nguồn kinh phí để triển khai công tác an toàn và an ninh thông tin phục vụ
cho việc vận hành các hệ thống thông tin được Ủy ban nhân dân tỉnh giao quản
lý.
3. Chủ trì, phối hợp với các cơ
quan liên quan tổ chức kiểm tra theo định kỳ hoặc đột xuất; kịp thời phát hiện
và xử lý theo quy định của pháp luật đối với các cơ quan, tổ chức, cá nhân có
các dấu hiệu, hành vi vi phạm an toàn, an ninh thông tin trên địa bàn tỉnh.
4. Xây dựng và triển khai các
chương trình đào tạo, hội nghị tuyên truyền an toàn, an ninh thông tin trong
công tác quản lý Nhà nước trên địa bàn tỉnh.
5. Tùy theo mức độ sự cố, phối hợp
Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam (VNCERT) và các đơn vị có liên
quan hướng dẫn xử lý, ứng cứu các sự cố mất an toàn, an ninh thông tin.
6. Hướng dẫn, giám sát các cơ
quan, đơn vị trên địa bàn tỉnh xây dựng quy chế và thực hiện việc đảm bảo an
toàn, an ninh cho hệ thống thông tin theo quy định của Nhà nước.
Chương IV
THANH TRA, KIỂM TRA CÔNG
TÁC ĐẢM BẢO AN TOÀN, AN NINH THÔNG TIN
Điều 12. Kế
hoạch kiểm tra hằng năm
1. Sở Thông tin và Truyền thông
chủ trì, phối hợp với Công an tỉnh và các đơn vị có liên quan tiến hành kiểm
tra công tác đảm bảo an toàn, an ninh thông tin đối với các cơ quan Nhà nước
cấp tỉnh, Ủy ban nhân dân các huyện, thành phố định kỳ hằng năm tối thiểu 01 lần.
2. Tiến hành kiểm tra đột xuất
các cơ quan, đơn vị khi có dấu hiệu vi phạm an toàn an ninh trong hệ thống
thông tin.
Điều 13.
Quan hệ phối hợp và trách nhiệm của các cơ quan chức năng liên quan
1. Sở Thông tin và Truyền thông:
a) Chịu trách nhiệm chủ trì, phối
hợp với các cơ quan chức năng liên quan để thành lập đoàn kiểm tra công tác đảm
bảo an toàn, an ninh thông tin. Tổ chức triển khai và báo cáo công tác kiểm tra
an toàn, an ninh thông tin trên quy mô toàn tỉnh;
b) Xử lý theo thẩm quyền các
hành vi vi phạm an toàn, an ninh thông tin gây thiệt hại cho hệ thống thông tin
các cơ quan Nhà nước trên địa bàn tỉnh;
c) Tuyên truyền công tác an
toàn, an ninh thông tin cho các cơ quan trên địa bàn tỉnh.
2. Công an tỉnh:
a) Phối hợp Sở Thông tin và Truyền
thông kiểm tra công tác an toàn, an ninh thông tin;
b) Thường xuyên thông báo cho
các cơ quan, đơn vị về phương thức, thủ đoạn mới của các loại tội phạm xâm phạm
an toàn, an ninh thông tin để có biện pháp phòng ngừa, đấu tranh, ngăn chặn;
c) Điều tra và xử lý các trường
hợp vi phạm an toàn, an ninh thông tin theo thẩm quyền.
3. Trách nhiệm các cơ quan liên
quan:
a) Cử công chức, viên chức chuyên
trách tham gia đoàn kiểm tra, đánh giá công tác an toàn, an ninh thông tin khi
có đề nghị từ Sở Thông tin và Truyền thông;
b) Phối hợp xây dựng các tiêu
chí và quy trình kỹ thuật kiểm tra công tác an toàn, an ninh thông tin.
Chương V
TỔ CHỨC THỰC HIỆN
Điều 14.
Khen thưởng và xử lý vi phạm
1. Hằng năm, Sở Thông tin và
Truyền thông dựa trên các điều tra, báo cáo công tác an toàn, an ninh thông tin
của các cơ quan, đơn vị để xác lập bảng xếp hạng an toàn, an ninh thông tin,
trên cơ sở đó đề xuất Ủy ban nhân dân tỉnh xem xét khen thưởng theo quy định hiện
hành.
2. Các cơ quan, đơn vị có hành
vi vi phạm Quy chế này tùy theo tính chất, mức độ vi phạm mà bị xử lý theo quy
định của pháp luật hiện hành.
Điều 15. Điều
khoản thi hành
Sở Thông tin và Truyền thông chủ
trì, phối hợp với các sở, ban, ngành, Ủy ban nhân dân các huyện, thành phố và
các cơ quan có liên quan triển khai thực hiện Quy chế này.
Trong quá trình thực hiện, nếu
có khó khăn, vướng mắc cần điều chỉnh, sửa đổi, bổ sung, đề nghị các cơ quan,
đơn vị, địa phương phản ánh về Sở Thông tin và Truyền thông để tổng hợp, báo
cáo Ủy ban nhân dân tỉnh xem xét, điều chỉnh cho phù hợp./.
PHỤ LỤC 1
NHỮNG
NỘI DUNG CHÍNH CỦA ISO 17799:2005 DÙNG ĐỂ XÂY DỰNG QUY CHẾ NỘI BỘ ĐẢM BẢO AN
TOÀN, AN NINH CHO HỆ THỐNG THÔNG TIN
(Ban
hành kèm theo Quyết định số 71/2012/QĐ-UBND ngày 12 tháng 12 năm 2012 của Ủy
ban nhân dân tỉnh Ninh Thuận)
1. Chính sách an toàn, an ninh
thông tin: chỉ thị và hướng dẫn về an toàn, an ninh thông tin.
2. An ninh tổ chức:
a) Hạ tầng an ninh thông tin: quản
lý an ninh thông tin trong tổ chức;
b) An ninh đối với bên truy cập thứ ba: duy trì an ninh cho các phương
tiện xử lý thông tin của các tổ chức và tài sản thông tin do các bên thứ ba
truy cập.
3. Phân loại và kiểm soát tài sản:
a) Trách nhiệm giải trình tài sản: duy trì bảo vệ tài sản;
b) Phân loại thông tin tài sản: đảm bảo mỗi loại tài sản có mức bảo vệ
thích hợp.
4. An ninh cá nhân:
a) An ninh trong định nghĩa công việc và nguồn nhân lực: giảm rủi ro do
các hành vi sai sót của con người;
b) Đào tạo người sử dụng: đảm bảo người sử dụng nhận thức được các mối
đe dọa và các vấn đề liên quan đến an ninh thông tin;
c) Đối phó với các sự cố an
ninh: giảm thiểu thiệt hại từ các trục trặc và sự cố an ninh, theo dõi, rút
kinh nghiệm.
5. An ninh môi trường và vật lý:
a) Phạm vi an ninh: ngăn ngừa việc
truy cập, gây hại và can thiệp trái phép vào vùng an ninh và thông tin nghiệp vụ;
b) An ninh thiết bị: để tránh mất
mát, lỗi hoặc các sự cố khác liên quan đến tài sản gây ảnh hưởng tới các hoạt động
nghiệp vụ;
c) Kiểm soát chung: ngăn ngừa
làm hại hoặc đánh cắp thông tin và các phương tiện xử lý thông tin.
6. Quản lý truyền thông và hoạt
động:
a) Thủ tục vận hành và trách nhiệm
vận hành hệ thống: đảm bảo các phương tiện xử lý thông tin hoạt động đúng và an
toàn;
b) Lập kế hoạch hệ thống và công
nhận: giảm thiểu rủi ro và lỗi hệ thống;
c) Bảo vệ chống lại phần mềm cố
ý gây hại: bảo vệ tính toàn vẹn của phần mềm thông tin;
d) Công việc quản lý: duy trì
tính toàn vẹn và sẵn sàng của dịch vụ truyền đạt và xử lý thông tin;
e) Quản trị mạng: đảm bảo việc
an toàn, an ninh thông tin trên mạng và bảo vệ cơ sở hạ tầng kỹ thuật;
f) Trao đổi thông tin: ngăn ngừa
mất mát, thay đổi hoặc sử dụng sai thông tin được trao đổi giữa các đơn vị.
7. Kiểm soát truy cập:
a) Các yêu cầu nghiệp vụ đối với kiểm soát truy cập: kiểm soát truy cập
thông tin;
b) Quản lý truy cập người dùng:
để tránh các truy cập không được cấp phép vào hệ thống;
c) Trách nhiệm của người dùng: để
tránh các truy cập của người dùng không được cấp phép;
d) Kiểm soát truy cập mạng: bảo
vệ các dịch vụ mạng;
e) Kiểm soát truy cập hệ điều
hành: tránh truy cập vào các máy tính không được phép;
f) Kiểm soát truy cập ứng dụng:
tránh truy cập trái phép vào hệ thống;
g) Giám sát truy cập hệ thống và
giám sát sử dụng hệ thống: để phát hiện các hoạt động không được cấp phép;
h) Kiểm soát truy cập từ xa: đảm
bảo an toàn, an ninh thông tin khi sử dụng các phương tiện di động.
8. Phát triển và duy trì hệ thống:
a) Yêu cầu an ninh đối với các hệ
thống: để đảm bảo các yêu cầu an ninh được đưa vào trong quá trình xây dựng hệ
thống;
b) An ninh trong hệ thống ứng dụng:
để ngăn ngừa mất mát, thay đổi hoặc lạm dụng cơ sở dữ liệu người sử dụng trong
các hệ thống ứng dụng;
c) Các kiểm soát mật mã hoá: để
bảo vệ tính tin cậy, xác thực hoặc toàn vẹn của thông tin;
d) An ninh các file hệ thống: đảm
bảo rằng các dự án công nghệ thông tin và các hoạt động hỗ trợ được quản lý một
cách an toàn;
e) An ninh quá trình hỗ trợ và
phát triển: duy trì an ninh của phần mềm và thông tin hệ thống ứng dụng.
9. Sự tuân thủ:
a) Tuân thủ các yêu cầu pháp lý: để tránh bất kỳ các vi phạm Luật Hình sự
và Dân sự, các nghĩa vụ có tính luật pháp, nguyên tắt và bất kỳ yêu cầu an ninh
nào;
b) Soát xét của chính sách an
ninh và yêu cầu kỹ thuật để đảm bảo việc tuân thủ của hệ thống với các chính
sách và tiêu chuẩn an ninh của tổ quốc.
c) Xem xét kiểm tra hệ thống: để
tối đa tính hiệu lực để giảm thiểu sự can thiệp tới quy trình kiểm tra hệ thống
đó.
PHỤ LỤC 2
CÁC
BƯỚC CƠ BẢN ĐỂ XÂY DỰNG KHUNG QUY TRÌNH ĐẢM BẢO AN TOÀN, AN NINH THÔNG TIN
(Ban
hành kèm theo Quyết định số 71/2012/QĐ-UBND ngày 12 tháng 12 năm 2012 của Ủy
ban nhân dân tỉnh Ninh Thuận)
Bước 1. Lập kế hoạch bảo vệ
an toàn cho hệ thống thông tin
- Thành lập bộ phận quản lý an
toàn, an ninh thông tin;
- Xây dựng định hướng cơ bản cho
công tác đảm bảo an toàn, an ninh thông tin trong đó chỉ rõ:
+ Mục tiêu ngắn hạn và dài hạn.
+ Phương hướng và văn bản pháp quy, tiêu chuẩn cần tuân thủ và tham khảo.
+ Ước lượng nhân lực và kinh phí
đầu tư;
- Lập kế hoạch xây dựng hệ thống
bảo vệ an toàn, an ninh thông tin:
+ Xác định và phân loại các nguy
cơ gây sự cố an toàn, an ninh thông tin.
+ Rà soát và lập danh sách các đối
tượng cần được bảo vệ với những mô tả đầy đủ về: nhiệm vụ, chức năng, mức độ
quan trọng và các đặc điểm đối tượng (đối tượng ở đây có thể là phần mềm, máy
chủ, quy trình tác nghiệp thuộc cơ quan, đơn vị, …).
+ Xây dựng phương án đảm bảo an
toàn cho các đối tượng trong danh sách cần được bảo vệ: nguyên tắc quản lý, vận
hành; các giải pháp bảo vệ và khắc phục sự cố, …
+ Liên lạc và phối hợp chặt chẽ
với Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam (VNCERT), Sở Thông tin và Truyền
thông cũng như các cơ quan, tổ chức nghiên cứu và cung cấp dịch vụ an toàn mạng.
+ Lập dự trù kinh phí đầu tư cho
hệ thống bảo vệ.
Bước 2. Xây dựng hệ thống bảo
vệ an toàn, an ninh thông tin
- Tổ chức đội ngũ nhân viên
chuyên trách, đủ năng lực đảm bảo an toàn an ninh thông tin;
- Xây dựng hệ thống bảo vệ an
toàn, an ninh thông tin theo kế hoạch.
Bước 3. Quản lý và vận hành hệ thống bảo vệ an toàn, an ninh thông tin
- Vận hành và quản lý chặt chẽ
trang thiết bị, phần mềm theo đúng quy định đã đặt ra;
- Khi phát hiện sự cố cần nhanh
chóng xác định nguyên nhân, tìm biện pháp khắc phục và báo cáo sự cố cho các cơ
quan chức năng;
- Cài đặt đầy đủ và thường xuyên
cập nhật phần mềm theo hướng dẫn của nhà cung cấp.
Bước 4. Kiểm tra đánh giá hoạt
động của hệ thống bảo vệ an toàn, an ninh thông tin
- Thường xuyên kiểm tra giám sát
các hoạt động của hệ thống bảo vệ an toàn, an ninh thông tin nói riêng cũng như
toàn bộ hệ thống thông tin nói chung;
- Báo cáo tổng kết tình hình
theo định kỳ.
Bước 5. Bảo trì và nâng cấp hệ
thống bảo vệ an toàn, an ninh thông tin
Thường xuyên kiểm tra và bảo trì
hệ thống bảo vệ an toàn, an ninh thông tin. Cần nhanh chóng mở rộng, nâng cấp
hoặc thay đổi khi cần thiết.
PHỤ LỤC 3
MẪU
BÁO CÁO SỰ CỐ
(Ban
hành kèm theo Quyết định số 71/2012/QĐ-UBND ngày 12 tháng 12 năm 2012 của Ủy
ban nhân dân tỉnh Ninh Thuận)
Đơn
vị: ……………
--------
|
CỘNG
HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM
Độc lập - Tự do - Hạnh phúc
---------------
|
|
, ngày tháng năm
|
1. Thông tin chung:
Tên cơ
quan:.....................................................................................................
Email (cơ
quan):................................................................................................
Điện thoại (cơ
quan):..........................................................................................
2. Thông tin về sự cố:
Số lượng máy chủ bị sự
cố:.........................................................................
máy
Tên và chức năng chính
của từng máy chủ:
a) Tên máy chủ
1:..............................................................................................
Hệ điều hành:
* Windows Phiên bản (Version):.........................................................................
* Linux Phiên bản
(Version):...............................................................................
* Ubutu Phiên bản (Version):
.............................................................................
*
Khác:............................................................................................................
Chức
năng:.......................................................................................................
Thời gian xảy ra sự cố:.....................
/.......... /.......... /.......... / (giờ/phút/ngày/tháng/năm)
Mô tả sơ bộ về sự cố:........................................................................................
........................................................................................................................
Các
dịch vụ trên máy chủ (đánh dấu những dịch vụ được sử dụng trên hệ thống):
* Web
server
* Mail
server
* Database server
* FPT
server
* Proxy
server
* Application server
* Dịch vụ khác, đó là:........................................................................................
Địa chỉ IP của hệ thống:
* IP nội bộ với địa chỉ:.............
-........................ -...................... - ....................
* IP ngoài với địa chỉ:..............
-........................ -...................... -.....................
Các tên miền của hệ thống:
........................................................................................................................
Cách thức phát hiện (đánh dấu những hình thức
phát hiện khi sự cố):
* Người dùng cuối
báo
* Quản trị hệ thống
* Qua hệ thống
IDS/IPS
* Kiểm tra Log File
* Kiểm tra đường truyền
* Công ty, tổ chức tư vấn
* Khác, đó là:...................................................................................................
Các biện pháp đã xử lý khi gặp sự cố:
* Không làm gì cả
* Tự xử lý
* Báo cáo cấp
trên
* Yêu cầu hỗ trợ từ nơi
khác
* Hỗ trợ từ
VNCERT
* Báo cáo cảnh sát mạng
* Khác, đó là:...................................................................................................
Đối với mỗi biện pháp, đề nghị mô tả cụ thể
cách thức xử lý:
........................................................................................................................
........................................................................................................................
b) Tên máy chủ 2 (tương tự như mục a - nếu
có):................................................
c) Tên máy chủ 3 (tương tự như mục a - nếu
có):................................................
PHỤ LỤC 4
MẪU
BÁO CÁO TÌNH HÌNH AN TOÀN, AN NINH THÔNG TIN
(Ban
hành kèm theo Quyết định số 71/2012/QĐ-UBND ngày 12 tháng 12 năm 2012 của Ủy
ban nhân dân tỉnh Ninh Thuận)
Đơn
vị: ……………
--------
|
CỘNG
HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM
Độc lập - Tự do - Hạnh phúc
---------------
|
|
, ngày tháng năm
|
BÁO CÁO TÌNH HÌNH AN
TOÀN, AN NINH THÔNG TIN
I. Đánh giá hiện trạng
và dự kiến
1. Về chính sách, quản
lý:
Đơn vị:
+ Đã xây dựng kế hoạch
để bảo đảm an toàn, an ninh thông tin cho tổ chức?
* Rồi đề nghị gửi kèm
văn bản
* Chưa
+ Có các biện pháp vận
hành liên tục và khôi phục sự cố không?
*
Có
* Không
+ Có thường xuyên cập
nhật công nghệ bảo đảm an toàn, an ninh thông tin hay không?
* Có
* Không
2. Về đầu tư:
Đơn vị:
+ Phần trăm ngân sách
trong tổng số ngân sách cho công nghệ thông tin để đầu tư vào việc bảo đảm an
toàn thông tin: %.
+ Đã và dự kiến đầu tư
vào lĩnh vực nào, năm nào dưới đây:
Lĩnh vực
|
2013
|
Dự kiến năm 20...
|
Mô tả nội dung
|
1. Xây dựng chính sách/hướng dẫn/thủ tục
|
*
|
*
|
|
2. Sử dụng dịch vụ
|
*
|
*
|
|
3. Yêu cầu tư vấn
|
*
|
*
|
|
4. Mua thiết bị an toàn thông tin
|
*
|
*
|
|
5. Nghiên cứu sử dụng phần
mềm mã nguồn mở
|
*
|
*
|
|
6. Đào tạo nguồn nhân lực
|
*
|
*
|
|
7. Các vấn đề khác:.....................................................
|
|
|
|
+ Đã và dự kiến sử dụng những công cụ nào, năm nào để
bảo đảm an toàn, an ninh thông tin?
Công cụ
|
2012
|
Dự kiến năm 20...
|
Mô tả nội dung
|
1. Công cụ diệt virus (Anti virus)
|
*
|
*
|
|
2. Mật khẩu
|
*
|
*
|
|
3. Tường lửa
|
*
|
*
|
|
4. Công cụ lọc thư rác
|
*
|
*
|
|
5. Công cụ mã hoá tập tin
|
*
|
*
|
|
6. Công cụ chống DDos
|
*
|
*
|
|
7. Chữ ký điện tử
|
*
|
*
|
|
8. Mạng riêng o (VPN)
|
*
|
*
|
|
9. Hệ thống phát hiện xâm nhập
|
*
|
*
|
|
10. Những công cụ
khác:....................................................
|
|
|
|
3. Về tình hình an ninh mạng và xử lý sự cố:
+ Tổng kết về các sự cố an
ninh mạng đã xảy ra trong năm 20................................... đối với đơn
vị.
Sự cố
|
Số lượng
|
1. Virus
|
|
2. Lừa đảo (Phishing)
|
|
3. Thư rác (Spam mail)
|
|
4. Spyware/Adware
|
|
5. Tấn công từ chối dịch vụ (Dos, DDos)
|
|
6. Nội dung website đơn vị bị thay đổi
(deface website)
|
|
7. Sự cố khác:........................................................................................................
|
|
+ Mức độ thiệt hại ước
tính trong năm 20......................... do các sự cố an toàn, an ninh thông
tin gây ra.
* Thiệt hại gián tiếp:............................................................................
triệu đồng
* Thiệt hại trực tiếp:............................................................................
triệu đồng
* Chi phí khắc phục:............................................................................
triệu đồng
+ Biện pháp xử lý đã áp dụng
khi gặp sự cố:
Phương pháp
|
Số lần
|
1. Không làm gì cả
|
|
2. Tự xử lý
|
|
3. Báo cáo cấp trên trực tiếp
|
|
4. Yêu cầu hỗ trợ từ nơi khác
|
|
5. Báo cảnh sát mạng
|
|
6. Phương pháp khác, đó
là:....................................................................................
|
|
+ Cho biết công việc mà
cơ quan đã thực hiện sau khi khắc phục được sự cố trong năm qua:
* Sửa đổi chính sách/hướng
dẫn/thủ tục
* Nâng cao ý thức
* Tăng cường thiết bị
* Rà soát lại hệ thống
* Mở
rộng lại liên kết với các đơn vị hoạt động trong lĩnh vực an toàn thông tin
* Việc khác đó
là:.............................................................................................
4. Tổ chức nhân lực và
bồi dưỡng nghiệp vụ:
+ Đơn vị có bộ phận phụ
trách về bảo đảm an toàn, an ninh thông tin không?
O Có
O Không
+ Nếu có bộ phận có người
phụ trách là?
O Lãnh đạo cơ quan
O Giám đốc CNTT (CIO)
O Công chức, viên chức
chuyên trách CNTT
O Khác:
+ Nếu chưa có thì đơn vị
có dự kiến tổ chức bộ phận đó không?
O Có
O Không
Dự kiến sẽ triển khai
thành lập vào tháng............................. năm ....... , với số lượng
công chức, viên chức là người.
+ Đơn vị có nhu cầu bồi
dưỡng nghiệp vụ an toàn, an ninh thông tin?
* Dành cho lãnh đạo và công chức, viên chức quản lý, số lượng
dự kiến:
người.
* Cơ bản/Nâng cao về an toàn, an ninh thông tin cho cán bộ kỹ thuật, số lượng:
người.
* Kỹ năng an toàn, an ninh thông tin cho người dùng, số lượng dự kiến: người.
+ Đơn vị đã có dự trù kinh phí cho huấn
luyện nghiệp vụ, đào tạo phát triển nguồn nhân lực bảo đảm an ninh thông tin của
đơn vị hay chưa?
O Có
O Chưa
+ Nếu tự đánh giá mức độ
an toàn, an ninh thông tin của đơn vị trong năm 20xx là:
O Kém
O Trung bình O Tốt
O Rất tốt
II. Ý kiến phản hồi và
góp ý thêm:......................................................................
...........................................................................................................................
Chú ý:
- Điền thông tin đầy đủ
vào các câu hỏi;
- Để lựa chọn đánh dấu
x;
- Câu hỏi với ký hiệu O trước mỗi lựa chọn thì chỉ được phép
đánh dấu một kết quả (chọn một);
- Câu hỏi với ký hiệu * trước mỗi lựa chọn thì
có thể đánh dấu từ không tới nhiều kết quả (chọn nhiều);
- Ký, ghi tên và đóng dấu
đầy đủ vào cuối báo cáo và gửi về theo đường công văn cho Sở Thông tin và Truyền
thông.