|
BỘ
THÔNG TIN VÀ
TRUYỀN THÔNG
-------
|
CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM
Độc lập - Tự do - Hạnh phúc
---------------
|
|
Số:
856/QĐ-BTTTT
|
Hà
Nội, ngày 06 tháng 06 năm 2017
|
QUYẾT ĐỊNH
BAN HÀNH QUY CHẾ BẢO ĐẢM AN TOÀN THÔNG TIN TRONG HOẠT ĐỘNG ỨNG
DỤNG CÔNG NGHỆ THÔNG TIN CỦA BỘ THÔNG TIN VÀ TRUYỀN THÔNG
BỘ TRƯỞNG BỘ THÔNG TIN VÀ TRUYỀN THÔNG
Căn cứ Luật Công
nghệ thông tin ngày 29 tháng 6 năm 2006;
Căn cứ Luật An
toàn thông tin mạng ngày 19 tháng 11 năm 2015;
Căn cứ Nghị định số
17/2017/NĐ-CP ngày 17 tháng 02 năm 2017 của Chính phủ quy định chức năng, nhiệm
vụ, quyền hạn và cơ cấu tổ chức của Bộ Thông tin và Truyền thông;
Căn cứ Nghị định số
64/2007/NĐ-CP ngày 10 tháng 4 năm 2007 của Chính phủ về ứng dụng công nghệ
thông tin trong hoạt động của cơ quan nhà nước;
Thực hiện Quyết định
số 509/QĐ-BTTTT ngày 05 tháng 4 năm 2016 của Bộ trưởng Bộ Thông tin và Truyền
thông phê duyệt Kế hoạch ứng dụng công nghệ thông tin trong hoạt động của cơ
quan nhà nước, xây dựng Bộ Thông tin và Truyền thông điện tử giai đoạn
2016-2020;
Xét đề nghị của
Giám đốc Trung tâm Thông tin,
QUYẾT ĐỊNH:
Điều
1. Ban hành kèm theo Quyết định
này “Quy chế bảo đảm an toàn thông tin trong hoạt động ứng dụng công nghệ thông
tin của Bộ Thông tin và Truyền thông”.
Điều
2. Quyết định này có hiệu lực
thi hành kể từ ngày ký.
Điều
3. Chánh Văn phòng, Giám đốc
Trung tâm Thông tin, Thủ trưởng các cơ quan, đơn vị thuộc Bộ có liên quan chịu
trách nhiệm thi hành Quyết định này./.
|
Nơi nhận:
- Như Điều 3;
- Bộ trưởng và các Thứ trưởng;
- Lưu: VT, TTTT.
|
BỘ TRƯỞNG
Trương Minh Tuấn
|
QUY CHẾ
BẢO ĐẢM AN TOÀN THÔNG TIN TRONG HOẠT ĐỘNG ỨNG
DỤNG CÔNG NGHỆ THÔNG TIN CỦA BỘ THÔNG TIN VÀ TRUYỀN THÔNG
(Ban hành kèm theo Quyết định số 856/QĐ-BTTTT ngày 06 tháng 6 năm 2017 của Bộ
trưởng Bộ Thông tin và Truyền thông)
Chương I
QUY ĐỊNH CHUNG
Điều 1. Phạm
vi điều chỉnh, đối tượng áp dụng
1. Quy chế này quy định phạm vi tài
nguyên thông tin và các nguyên tắc, chính sách, biện pháp cơ bản bảo đảm an
toàn thông tin trong hoạt động ứng dụng công nghệ thông tin của Bộ Thông tin và
Truyền thông.
2. Quy chế này áp dụng đối với các
cơ quan, đơn vị thuộc Bộ Thông tin và Truyền thông (sau đây gọi là cơ quan, đơn
vị) và cán bộ, công chức, viên chức, người lao động trong các cơ quan, đơn vị
(sau đây gọi là cá nhân) tham gia vào hoạt động ứng dụng công nghệ thông tin của
Bộ.
Điều 2. Giải
thích từ ngữ
Trong Quy chế này, các từ ngữ dưới
đây được hiểu như sau:
1. An toàn thông tin là sự bảo
vệ thông tin và các hệ thống thông tin tránh bị truy nhập, sử dụng, tiết lộ,
gián đoạn, sửa đổi hoặc phá hoại trái phép nhằm bảo đảm tính nguyên vẹn, tính bảo
mật và tính khả dụng của thông tin.
2. Xâm phạm an toàn thông tin
là hành vi truy nhập, sử dụng, tiết lộ, làm gián đoạn, sửa đổi, làm sai lệch chức
năng, phá hoại trái phép thông tin và hệ thống thông tin.
3. Hạ tầng kỹ thuật là tập hợp
thiết bị tính toán, lưu trữ, thiết bị ngoại vi, thiết bị kết nối mạng, thiết bị
phụ trợ, đường truyền, mạng nội bộ, mạng diện rộng.
4. Hệ thống thông tin là tập
hợp phần cứng, phần mềm và cơ sở dữ liệu được thiết lập phục vụ mục đích tạo lập,
cung cấp, truyền đưa, thu thập, xử lý, lưu trữ và trao đổi thông tin trên môi
trường mạng.
5. Trang thông tin điện tử
là trang thông tin hoặc một tập hợp trang thông tin trên môi trường mạng phục vụ
cho việc cung cấp, trao đổi thông tin.
6. Cổng thông tin điện tử là
điểm truy nhập duy nhất của cơ quan, đơn vị trên môi trường mạng, liên kết,
tích hợp các kênh thông tin, các dịch vụ và các ứng dụng mà qua đó người dùng
có thể khai thác, sử dụng và cá nhân hóa việc hiển thị thông tin.
7. Phần mềm độc hại là phần
mềm có khả năng gây ra hoạt động không bình thường cho một phần hay toàn bộ hệ
thống thông tin hoặc thực hiện sao chép, sửa đổi, xóa bỏ trái phép thông tin
lưu trữ trong hệ thống thông tin.
8. Cổng giao tiếp dùng để định
danh các ứng dụng gửi và nhận dữ liệu. Mỗi ứng dụng sẽ được gắn tương ứng
(không cố định) với một cổng giao tiếp. Những ứng dụng phổ biến được đặt với số
hiệu cổng định trước, nhằm định danh duy nhất các ứng dụng đó. Khi máy tính sử
dụng dịch vụ nào thì cổng giao tiếp tương ứng với dịch vụ đó sẽ mở.
9. Bản ghi nhật ký hệ thống là
một tập tin được tạo ra trên mỗi thiết bị của hệ thống thông tin như: thiết bị
bảo mật, thiết bị tính toán, máy chủ ứng dụng, ... có chứa tất cả thông tin về
các hoạt động xảy ra trên thiết bị đó. Bản ghi nhật ký hệ thống dùng để phân
tích những sự kiện đã xảy ra, nguồn gốc và các kết quả để có các biện pháp xử
lý thích hợp.
10. Thiết bị lưu trữ dữ liệu di
động là thiết bị được sử dụng để đọc, ghi dữ liệu có thể được di chuyển tới
nhiều nơi, nhiều người có thể sử dụng (ổ cứng di động, USB, máy tính xách tay,
thẻ nhớ, CD, DVD, ...).
11. Lưu trữ trên môi trường mạng
là phương thức lưu trữ sử dụng các ứng dụng lưu trữ của các nhà cung cấp. Dữ liệu
được đưa lên máy chủ của nhà cung cấp dịch vụ lưu trữ.
12. Người sử dụng là cá nhân
sử dụng máy tính để xử lý công việc.
13. Tiêu chuẩn TCVN 7562:2005
là tiêu chuẩn Việt Nam về quy tắc thực hành quản lý an toàn thông tin (tương
đương tiêu chuẩn ISO/IEC 17799:2000).
Điều 3. Tài
nguyên thông tin cần bảo đảm an toàn thông tin
Tài nguyên thông tin cần bảo đảm an
toàn thông tin của Bộ Thông tin và Truyền thông bao gồm các thành phần sau đây:
1. Hệ thống hạ tầng kỹ thuật:
a) Thiết bị tính toán, lưu trữ (máy
chủ, máy trạm, SAN, NAS, ...).
b) Thiết bị ngoại vi (máy in, máy
quét và các thiết bị số hóa, thiết bị lưu trữ dữ liệu di động, ...).
c) Đường truyền dữ liệu, đường kết
nối Internet.
d) Mạng nội bộ (LAN), mạng diện rộng
(WAN) và thiết bị kết nối mạng, thiết bị bảo mật, thiết bị phụ trợ.
đ) Thiết bị công nghệ thông tin được
kết nối mạng trong các cơ quan, đơn vị.
2. Hệ thống thông tin, phần mềm, ứng
dụng và cơ sở dữ liệu:
a) Hệ thống thông tin, cơ sở dữ liệu
dùng chung (thư điện tử, quản lý văn bản và điều hành, thông tin nội bộ, quản
lý nhân sự và thi đua khen thưởng, quản lý tài sản, hồ sơ hành chính điện tử, dữ
liệu thống kê tổng hợp, ...).
b) Phần mềm, ứng dụng cung cấp dịch
vụ công trực tuyến.
c) Cổng thông tin điện tử của Bộ và
hệ thống trang/Cổng thông tin điện tử của các cơ quan, đơn vị.
d) Hệ thống thông tin nghiệp vụ và
các cơ sở dữ liệu chuyên ngành.
đ) Phần mềm, ứng dụng phục vụ công
tác quản lý, điều hành hoạt động của cơ quan nhà nước.
3. Thông tin, dữ liệu được trao đổi,
truyền tải, xử lý và lưu trữ trên hạ tầng kỹ thuật của Bộ Thông tin và Truyền
thông.
Điều 4. Nguyên
tắc chung về bảo đảm an toàn thông tin
1. Bảo đảm an toàn thông tin là yêu
cầu bắt buộc, có tính xuyên suốt và phải thường xuyên, liên tục được nâng cao,
cải tiến trong quá trình:
a) Thu thập, tạo lập, xử lý, truyền
tải, lưu trữ và sử dụng thông tin, dữ liệu.
b) Thiết kế, xây dựng, vận hành,
nâng cấp, hủy bỏ hệ thống thông tin.
2. Cơ quan, đơn vị và cá nhân có
trách nhiệm thực hiện đầy đủ, nghiêm túc các quy định của pháp luật, quy định,
quy chế của Bộ Thông tin và Truyền thông về bảo vệ bí mật nhà nước và bảo đảm
an toàn thông tin.
3. Các dự án ứng dụng công nghệ
thông tin hoặc dự án có cấu phần công nghệ thông tin phải có ý kiến thẩm định nội
dung liên quan đến an toàn thông tin trước khi được phê duyệt.
4. Khi thực hiện thuê dịch vụ công
nghệ thông tin hoặc sử dụng dịch vụ công nghệ thông tin do bên thứ ba cung cấp,
cơ quan, đơn vị và cá nhân phải làm quản lý việc sở hữu thông tin, dữ liệu từ dịch
vụ đó; yêu cầu nhà cung cấp dịch vụ có trách nhiệm bảo mật thông tin; không để
nhà cung cấp dịch vụ truy nhập, sử dụng thông tin, dữ liệu thuộc phạm vi nhà nước
quản lý.
5. Xử lý sự cố an toàn thông tin phải
phù hợp với trách nhiệm, quyền hạn và bảo đảm lợi ích hợp pháp của cơ quan, đơn
vị, cá nhân liên quan và theo quy định của pháp luật.
Điều 5. Các
hành vi bị nghiêm cấm
1. Vi phạm các quy định, quy chế,
quy trình về quản lý, vận hành, sử dụng và bảo đảm an toàn thông tin đối với hạ
tầng kỹ thuật và hệ thống thông tin của Bộ Thông tin và Truyền thông.
2. Truy nhập, tác động trái phép,
làm sai lệch, gây nguy hại đến thông tin, dữ liệu hoặc xâm phạm an toàn thông
tin của cơ quan, đơn vị và cá nhân khác.
3. Tấn công, làm ảnh hưởng đến hoạt
động bình thường của hệ thống thông tin hoặc ngăn chặn trái phép, gây gián đoạn
truy nhập hợp pháp của người sử dụng tới hệ thống thông tin.
4. Sử dụng tài nguyên thông tin của
Bộ để phát tán thư rác, tin nhắn rác, phần mềm độc hại, thiết lập hệ thống
thông tin giả mạo, lừa đảo.
Chương II
QUY ĐỊNH BẢO ĐẢM AN TOÀN
THÔNG TIN
Điều 6. Bảo đảm
an toàn thông tin mức vật lý
1. Bảo đảm an toàn thông tin mức vật
lý là việc bảo vệ hệ thống hạ tầng kỹ thuật, phần mềm, ứng dụng và cơ sở dữ liệu
khỏi các mối nguy hiểm vật lý (như: cháy, nổ; nhiệt độ, độ ẩm ngoài mức cho phép;
thiên tai; mất điện; tác động cơ học) có thể gây ảnh hưởng đến hoạt động hệ thống.
2. Các biện pháp cơ bản bảo đảm an
toàn thông tin mức vật lý bao gồm:
a) Quản lý trung tâm dữ liệu/phòng
máy chủ:
- Các thiết bị kết nối mạng, thiết
bị bảo mật quan trọng như tường lửa, thiết bị định tuyến, hệ thống máy chủ, hệ
thống lưu trữ SAN, NAS, ... phải được đặt trong trung tâm dữ liệu/phòng máy chủ;
- Trung tâm dữ liệu/phòng máy chủ
phải được thiết lập cơ chế bảo vệ, theo dõi, phát hiện xâm nhập và biện pháp kiểm
soát truy nhập, kết nối vật lý phù hợp đối với từng khu vực: máy chủ và hệ thống
lưu trữ; từ mạng và đấu nối; thiết bị nguồn điện và dự phòng điện khẩn cấp; vận
hành, kiểm soát, quản trị hệ thống. Cơ quan, đơn vị chủ quản trung tâm dữ liệu/phòng
máy chủ có trách nhiệm xây dựng nội quy hoặc hướng dẫn làm việc trong các khu vực
này;
- Quá trình vào, ra trung tâm dữ liệu/phòng
máy chủ phải được ghi nhận vào nhật ký quản lý trung tâm dữ liệu/phòng máy chủ.
Chỉ những cá nhân có quyền, nhiệm vụ theo quy định của thủ trưởng cơ quan, đơn
vị mới được phép vào trung tâm dữ liệu/phòng máy chủ. Trang bị cơ chế kiểm tra
xác thực nâng cao (thẻ, token, vân tay ...) khi cần thiết;
- Có phương án, kế hoạch phòng, chống
và khắc phục sự cố ngập dột nước, sét, tĩnh điện, cháy nổ; áp dụng các quy chuẩn
kỹ thuật về an toàn kỹ thuật nhiệt, độ ẩm, ánh sáng cho các thiết bị tính toán,
lưu trữ; bảo đảm điều kiện hoạt động ổn định cho các hệ thống hỗ trợ như máy điều
hòa nhiệt độ, nguồn cấp điện, dây dẫn;
- Trung tâm dữ liệu/phòng máy chủ
phải được trang bị hệ thống lưu điện đủ công suất và duy trì thời gian hoạt động
của các máy chủ ít nhất 15 phút khi có sự cố mất điện.
b) Thiết lập cơ chế dự phòng đối với
các thiết bị hạ tầng kỹ thuật quan trọng; có kế hoạch kiểm tra, bảo dưỡng định
kỳ và duy trì thông số kỹ thuật các thiết bị này hoặc có phương án sửa chữa,
thay thế đáp ứng yêu cầu về độ sẵn sàng trong suốt thời gian lắp đặt, sử dụng.
c) Các đường truyền dữ liệu, đường
truyền Internet và hệ thống dây dẫn các mạng WAN, LAN phải được lắp đặt trong ống,
máng che đậy kín, hạn chế khả năng tiếp cận trái phép. Ngắt kết nối cổng
Ethernet không sử dụng, đặc biệt là ở khu vực làm việc chung của các cơ quan,
đơn vị.
d) Cá nhân sử dụng thiết bị lưu trữ
dữ liệu di động để lưu trữ thông tin, dữ liệu của Bộ Thông tin và Truyền thông,
cơ quan, đơn vị mình có trách nhiệm bảo vệ thiết bị này và thông tin lưu trên
thiết bị, tránh làm mất hoặc lộ, lọt thông tin, dữ liệu. Không mang ra nước
ngoài thông tin, dữ liệu của cơ quan, đơn vị, của Nhà nước mà không liên quan tới
nội dung công việc thực hiện ở nước ngoài.
đ) Thiết bị tính toán có bộ phận
lưu trữ hoặc thiết bị lưu trữ khi mang đi bảo hành, bảo dưỡng, sửa chữa bên
ngoài hoặc ngừng sử dụng phải được tháo bộ phận lưu trữ khỏi thiết bị hoặc xóa
thông tin, dữ liệu lưu trữ trên thiết bị (trừ trường hợp để khôi phục dữ liệu).
Khi thanh lý thiết bị thì phải xóa nội dung lưu trữ bằng phần mềm hoặc thiết bị
hủy dữ liệu chuyên dụng hay phá hủy vật lý.
3. Cơ quan, đơn vị có trách nhiệm
xây dựng quy trình bảo dưỡng, bảo trì và hướng dẫn cách sử dụng, quản lý, vận
hành hệ thống hạ tầng kỹ thuật của mình; chỉ định bộ phận chuyên trách về công
nghệ thông tin thực hiện quản lý, vận hành và định kỳ kiểm tra, sửa chữa, bảo
trì thiết bị (bao gồm thiết bị đang hoạt động và thiết bị dự phòng).
Điều 7. Bảo đảm
an toàn thông tin khi sử dụng máy tính
1. Cá nhân sử dụng máy tính để xử
lý công việc tuân thủ các quy định sau:
a) Chỉ cài đặt phần mềm hợp lệ (phần
mềm có bản quyền thương mại, phần mềm nội bộ được đầu tư hoặc phần mềm mã nguồn
mở có nguồn gốc rõ ràng) và thuộc danh mục phần mềm được phép sử dụng do cơ
quan, đơn vị có thẩm quyền của Bộ Thông tin và Truyền thông ban hành (nếu có)
trên máy tính được cơ quan, đơn vị cấp cho mình; không được tự ý cài đặt hoặc gỡ
bỏ các phần mềm khi chưa có sự đồng ý của bộ phận chuyên trách về công nghệ
thông tin; thường xuyên cập nhật phần mềm và hệ điều hành.
b) Cài đặt phần mềm xử lý phần mềm
độc hại và thiết lập chế độ tự động cập nhật cơ sở dữ liệu cho phần mềm; thực
hiện kiểm tra, rà quét phần mềm độc hại khi sao chép, mở các tập tin hoặc trước
khi kết nối các thiết bị lưu trữ dữ liệu di động với máy tính của mình.
c) Khi phát hiện ra bất kỳ dấu hiệu
nào liên quan đến việc bị nhiễm phần mềm độc hại trên máy tính (máy chạy chậm bất
thường, cảnh báo từ phần mềm phòng, chống phần mềm độc hại, mất dữ liệu,...),
phải tắt máy và báo trực tiếp cho bộ phận chuyên trách về công nghệ thông tin để
được xử lý kịp thời.
d) Chỉ truy nhập vào các trang/cổng
thông tin điện tử, ứng dụng trực tuyến tin cậy và các thông tin phù hợp với chức
năng, trách nhiệm, quyền hạn của mình; sử dụng những trình duyệt an toàn; không
truy nhập, mở các trang tin, thư điện tử không rõ nguồn gốc; không sử dụng tính
năng lưu mật khẩu tự động hoặc đăng nhập tự động.
đ) Có trách nhiệm bảo mật tài khoản
truy nhập thông tin, không chia sẻ mật khẩu, thông tin cá nhân với người khác.
Đặt mật khẩu với độ an toàn cao (có chữ thường, có chữ in hoa, có số và ký tự đặc
biệt như @, #, !,...) và thay đổi mật khẩu ít nhất 01 lần/tháng; các tài khoản
đăng nhập các hệ thống phải được đăng xuất khi không sử dụng; thường xuyên xóa
các biểu mẫu, mật khẩu, bộ nhớ cache và cookie trong trình duyệt trên máy tính.
e) Thực hiện thao tác khóa máy tính
(sử dụng tính năng có sẵn trên máy tính) khi rời khỏi nơi đặt máy tính; tắt máy
tính khi rời khỏi cơ quan.
g) Báo cáo và phải được thủ trưởng
cơ quan, đơn vị đồng ý, cho phép trước khi mang máy tính, thiết bị công nghệ
thông tin có kết nối mạng thuộc sở hữu riêng đến nơi làm việc và kết nối với mạng
nội bộ để thực hiện xử lý công việc. Trong trường hợp này, cá nhân phải tuân thủ
đầy đủ các quy định tại các Điểm a, b, c, d, đ, e Khoản này và chịu sự giám sát
của bộ phận chuyên trách về công nghệ thông tin của cơ quan, đơn vị.
2. Cơ quan, đơn vị có trách nhiệm tập
hợp, cập nhật tài liệu hướng dẫn, quy định về bảo đảm an toàn thông tin khi sử
dụng máy tính (cho phù hợp với điều kiện môi trường hoạt động, tình hình phát
triển công nghệ thông tin) và phổ biến đến tất cả cá nhân thuộc phạm vi cơ
quan, đơn vị mình để tuân thủ thực hiện.
3. Tài khoản truy nhập
a) Cá nhân sử dụng hệ thống thông
tin được cấp và sử dụng tài khoản truy nhập với định danh duy nhất gắn với cá
nhân đó. Các hệ thống thông tin dùng chung của Bộ sử dụng cơ chế đăng nhập một
lần, chung một tài khoản truy nhập và mật khẩu.
b) Trường hợp cá nhân thay đổi vị
trí công tác, chuyển công tác, thôi việc hoặc nghỉ hưu, cơ quan, trong vòng
không quá 05 ngày làm việc, đơn vị quản lý cá nhân đó phải thông báo cơ quan,
đơn vị chủ quản hệ thống thông tin để điều chỉnh, thu hồi, hủy bỏ các quyền sử
dụng đối với hệ thống thông tin.
c) Tài khoản quản trị
hệ thống (mạng, hệ điều hành, thiết bị kết nối mạng, phần mềm, ứng dụng, cơ sở
dữ liệu) phải tách biệt với tài khoản truy nhập của người sử dụng thông thường.
Tài khoản quản trị hệ thống phải được giao đích danh cá nhân làm công tác quản
trị. Hạn chế dùng chung tài khoản quản trị.
Điều
8. Bảo đảm an toàn thông tin đối với mạng máy tính
1. Hệ thống mạng nội
bộ (LAN) phải được thiết kế phân vùng theo chức năng cơ bản (theo các chính
sách an toàn thông tin riêng), bao gồm: vùng mạng người dùng; vùng mạng kết nối
hệ thống ra bên ngoài Internet và các mạng khác; vùng mạng máy chủ công cộng;
vùng mạng máy chủ nội bộ; vùng mạng máy chủ quản trị. Dữ liệu trao đổi giữa các
vùng mạng phải được quản lý giám sát bởi các hệ thống các thiết bị mạng, thiết
bị bảo mật.
Căn cứ điều kiện, yêu
cầu thực tế về bảo mật dữ liệu, cơ quan, đơn vị là chủ quản hệ thống mạng nội bộ
chủ động triển khai xây dựng mô hình, giải pháp an toàn bảo mật, bao gồm các biện
pháp kỹ thuật sau đây:
a) Kiểm soát truy nhập
từ bên ngoài mạng (sử dụng các giao thức mạng có hỗ trợ chức năng mã hóa thông
tin như SSH, SSL/TLS, VPN hoặc tương đương).
b) Kiểm soát truy nhập
từ bên trong mạng (quản lý các thiết bị đầu cuối, máy tính người sử dụng kết nối
vào hệ thống mạng; giám sát, phát hiện và ngăn chặn truy nhập từ bên trong mạng
đến các địa chỉ Internet bị cấm truy nhập).
c) Phòng, chống xâm
nhập và phần mềm độc hại, bảo vệ các vùng mạng máy chủ công cộng, máy chủ nội bộ,
máy chủ cơ sở dữ liệu và vùng mạng nội bộ; có khả năng tự động cập nhật thời
gian thực cơ sở dữ liệu, dấu hiệu phát hiện tấn công. Vô hiệu hóa tất cả các dịch
vụ không cần thiết tại từng vùng mạng.
d) Cấu hình chức năng
xác thực trên các thiết bị kết nối mạng để xác thực người sử dụng quản trị thiết
bị trực tiếp hoặc từ xa.
đ) Mạng không dây phải
có cơ chế bảo toàn tính toàn vẹn và bí mật của thông tin được truyền đưa trên
môi trường mạng, có hướng dẫn bảo đảm an toàn thông tin dành cho các thiết bị đầu
cuối khi kết nối vào mạng; được thiết lập các tham số: tên, nhận dạng dịch vụ
(SSID), mật khẩu, cấp phép truy nhập đối với địa chỉ vật lý (MAC address), mã
hóa dữ liệu. Thường xuyên thay đổi mật khẩu. Các điểm truy nhập không dây phải
được bảo vệ, tránh bị tiếp cận trái phép.
e) Hệ thống máy chủ
phải có chức năng tự động cập nhật bản ghi nhật ký hệ thống trong khoảng thời
gian nhất định (tối thiểu là 03 tháng), lưu trữ thông tin kết nối mạng, quá
trình đăng nhập vào máy chủ, các thao tác cấu hình hệ thống, lỗi phát sinh
trong quá trình hoạt động và các thông tin liên quan về an toàn thông tin để phục
vụ công tác khắc phục sự cố và điều tra về an toàn thông tin khi xảy ra. Xóa sạch
thông tin, dữ liệu trên máy chủ khi chuyển giao hoặc thay đổi mục đích sử dụng.
2. Cơ quan, đơn vị
tham gia kết nối, sử dụng hệ thống mạng diện rộng (WAN) của Bộ Thông tin và
Truyền thông, mạng Truyền số liệu chuyên dùng có trách nhiệm:
a) Bảo đảm an toàn
thông tin đối với hệ thống mạng nội bộ và các thiết bị của mình khi thực hiện kết
nối vào hệ thống mạng diện rộng; thông báo sự cố hoặc các hành vi phá hoại, xâm
nhập về Trung tâm Thông tin để thống nhất xử lý.
b) Phối hợp với Trung
tâm Thông tin rà soát đánh giá tính hợp lệ cấu hình địa chỉ IP kết nối mạng diện
rộng trong quá trình vận hành và sử dụng các hệ thống thông tin, máy chủ, thiết
bị công nghệ thông tin của mình có kết nối với hệ thống mạng diện rộng.
c) Định kỳ sao lưu
thông tin, dữ liệu dùng chung lưu trữ trên mạng diện rộng.
d) Không tiết lộ
phương thức (tên đăng ký, mật khẩu, tiện ích, tệp hỗ trợ và các cách thức khác)
để truy nhập vào hệ thống mạng diện rộng cho tổ chức, cá nhân khác; không được
tìm cách truy nhập dưới bất cứ hình thức nào vào các khu vực không được phép
truy nhập.
3. Cơ quan, đơn vị phải
áp dụng các biện pháp kỹ thuật cần thiết bảo đảm an toàn thông tin trong hoạt động
kết nối Internet, tối thiểu đáp ứng các yêu cầu sau:
a) Có hệ thống tường
lửa và hệ thống bảo vệ kiểm soát truy nhập Internet, đáp ứng nhu cầu kết nối đồng
thời, hỗ trợ các công nghệ mạng riêng ảo thông dụng và có phần cứng mã hóa tích
hợp để tăng tốc độ mã hóa dữ liệu, cung cấp đầy đủ các cơ chế bảo mật cơ bản
như NAT, PAT, quản lý luồng dữ liệu ra, vào và có khả năng bảo vệ hệ thống trước
các loại tấn công từ chối dịch vụ (DDoS).
b) Lọc bỏ, không cho
phép truy nhập các trang tin có nghi ngờ chứa mã độc hoặc các nội dung không
phù hợp.
c) Không mở trang tin
hoặc ứng dụng Internet trên máy tính chứa dữ liệu quan trọng hoặc có khả năng
tiếp cận các dữ liệu, ứng dụng quan trọng; chi thiết lập kết nối Internet cho
các máy chủ và thiết bị công nghệ thông tin cần phải có giao tiếp với Internet
(các máy chủ, thiết bị cung cấp giao diện ra Internet của trang tin điện tử, dịch
vụ công, thư điện tử; thiết bị cập nhật bản và hệ điều hành, mẫu mã độc, mẫu điểm
yếu, mẫu tấn công).
Điều
9. Bảo đảm an toàn thông tin mức ứng dụng
1. Cơ quan, đơn vị
xây dựng, vận hành và sử dụng phần mềm, ứng dụng phải đáp ứng các yêu cầu sau:
a) Yêu cầu về bảo đảm
an toàn thông tin phải được đưa vào tất cả các công đoạn thiết kế, xây dựng,
triển khai và vận hành, sử dụng phần mềm, ứng dụng.
b) Cấu hình phần mềm,
ứng dụng để xác thực người sử dụng; giới hạn số lần đăng nhập sai liên tiếp; giới
hạn thời gian chờ để đóng phiên kết nối; mã hóa thông tin xác thực trên hệ thống;
không khuyến khích việc đăng nhập tự động.
c) Thiết lập phân quyền
truy nhập, quản trị, sử dụng tài nguyên khác nhau của phần mềm, ứng dụng với
người sử dụng/nhóm người sử dụng có chức năng, yêu cầu nghiệp vụ khác nhau;
tách biệt cổng giao tiếp quản trị phần mềm ứng dụng với cổng giao tiếp cung cấp
dịch vụ; đóng các cổng giao tiếp không sử dụng.
d) Chỉ cho phép sử dụng
các giao thức mạng có hỗ trợ chức năng mã hóa thông tin như SSH, SSL/TLS, VPN
hoặc tương đương khi truy nhập, quản trị phần mềm, ứng dụng từ xa thông trên
môi trường mạng; hạn chế truy nhập tới mã nguồn của phần mềm, ứng dụng và phải
đặt mã nguồn trong môi trường an toàn do bộ phận chuyên trách công nghệ thông
tin quản lý.
đ) Ghi và lưu giữ bản
ghi nhật ký hệ thống của phần mềm, ứng dụng trong khoảng thời gian tối thiểu là
03 tháng với những thông tin cơ bản: thời gian, địa chỉ, tài khoản (nếu có), nội
dung truy nhập và sử dụng phần mềm, ứng dụng; các lỗi phát sinh trong quá trình
hoạt động; thông tin đăng nhập khi quản trị.
e) Thực hiện quy
trình kiểm soát việc cài đặt, cập nhật, vá lỗi bảo mật phần mềm, ứng dụng trên
các máy chủ, máy tính cá nhân, thiết bị kết nối mạng đang hoạt động thuộc hệ thống
mạng nội bộ.
g) Kiểm tra phát hiện
và khắc phục điểm yếu của ứng dụng trước khi đưa vào sử dụng và trong quá trình
sử dụng (khi có thông tin xuất hiện điểm yếu mới trên môi trường hoạt động của ứng
dụng; tối thiểu mỗi năm một lần).
2. Trung tâm Thông
tin có trách nhiệm phối hợp với các cơ quan, đơn vị chủ quản hệ thống thông
tin, cơ sở dữ liệu dùng chung của Bộ thực hiện:
a) Xây dựng, thống nhất
kế hoạch, các phương án bảo đảm an toàn thông tin cho các hệ thống thông tin,
cơ sở dữ liệu dùng chung.
b) Thường xuyên theo
dõi, giám sát an toàn thông tin và kiểm tra, rà soát hoạt động của các hệ thống
thông tin, cơ sở dữ liệu dùng chung.
c) Xây dựng phương án
ứng cứu, khắc phục sự cố.
Điều
10. Bảo đảm an toàn thông tin mức dữ liệu
1. Cơ quan, đơn vị thực
hiện bảo vệ thông tin, dữ liệu liên quan đến hoạt động công vụ, thông tin có nội
dung quan trọng, nhạy cảm hoặc không phải là thông tin công khai như sau:
a) Thiết lập phương
án bảo đảm tính bí mật, nguyên vẹn và khả dụng của thông tin, dữ liệu; giám
sát, cảnh báo khi có thay đổi hoặc phát hiện, ngăn chặn các tác động truy nhập,
gửi, nhận dữ liệu trái phép; khuyến khích áp dụng chữ ký số để xác thực và bảo
mật thông tin, dữ liệu, đặc biệt trong trường hợp cần bảo đảm chống từ chối nguồn
gốc dữ liệu.
b) Mã hóa thông tin,
dữ liệu khi lưu trữ trên hệ thống lưu trữ/thiết bị lưu trữ dữ liệu di động bằng
giải pháp do Ban Cơ yếu Chính phủ cung cấp hoặc cơ quan, đơn vị có thẩm quyền của
Bộ Thông tin và Truyền thông chấp nhận sử dụng; thiết lập phân vùng lưu trữ mã
hóa, chỉ cho phép cá nhân có quyền, trách nhiệm truy nhập, lưu trữ dữ liệu trên
phân vùng mã hóa.
c) Triển khai hệ thống/phương
tiện lưu trữ độc lập với hệ thống lưu trữ trên các máy chủ dịch vụ để sao lưu dự
phòng; phân loại và quản lý thông tin, dữ liệu được lưu trữ theo từng loại/nhóm
thông tin được gán nhãn khác nhau; thực hiện sao lưu, dự phòng các thông tin, dữ
liệu cơ bản sau: tập tin cấu hình hệ thống, ảnh hệ điều hành máy chủ, cơ sở dữ
liệu; dữ liệu, thông tin nghiệp vụ.
d) Bố trí máy tính
riêng không kết nối mạng, đặt mật khẩu, mã hóa dữ liệu và các biện pháp bảo mật
khác bảo đảm an toàn thông tin để soạn thảo, lưu trữ dữ liệu, thông tin và tài
liệu quan trọng ở các mức độ mật, tối mật, tuyệt mật.
2. Cơ quan, đơn vị phải
thường xuyên kiểm tra, giám sát hoạt động chia sẻ, gửi, nhận thông tin, dữ liệu
trong hoạt động nội bộ của mình; khuyến cáo việc chia sẻ, gửi, nhận thông tin
trên môi trường mạng cần phải sử dụng mật khẩu để bảo vệ thông tin.
3. Đối với hoạt động
trao đổi thông tin, dữ liệu với bên ngoài, cơ quan, đơn vị và cá nhân thực hiện
trao đổi thông tin, dữ liệu ra bên ngoài phải cam kết và có biện pháp bảo mật
thông tin, dữ liệu được trao đổi; yêu cầu bên ngoài đáp ứng các thỏa thuận kết
nối, bảo vệ thông tin phù hợp với quy định về bảo đảm an toàn thông tin của Bộ;
thiết lập chức năng phát hiện dữ liệu đính kèm có phần mềm độc hại, cơ chế bảo
mật truyền thông không dây, mã hóa thông tin, dữ liệu trước khi truyền đưa,
trao đổi trên môi trường mạng theo quy định của pháp luật.
4. Giao dịch trực tuyến
phải được truyền đầy đủ, đúng địa chỉ, tránh bị sửa đổi, tiết lộ hoặc nhân bản
một cách trái phép; sử dụng các cơ chế xác thực mạnh, chữ ký số khi tham gia
giao dịch, sử dụng các giao thức truyền thông an toàn.
Điều
11. Bảo đảm an toàn thông tin khi tiếp nhận, phát triển, vận hành và bảo trì hệ
thống thông tin
1. Khi tiếp nhận,
phát triển, nâng cấp, bảo trì hệ thống thông tin, cơ quan, đơn vị phải tiến
hành phân tích, xác định các rủi ro có thể xảy ra, đánh giá phạm vi tác động và
phải chuẩn bị các biện pháp hạn chế, loại trừ các rủi ro này và yêu cầu các bên
cung cấp, thi công, các cá nhân liên quan thực hiện.
Một số yêu cầu như
sau:
a) Có phương án bảo đảm
an toàn thông tin mạng được cơ quan, đơn vị có thẩm quyền của Bộ Thông tin và
Truyền thông thẩm định khi phát triển, mở rộng hoặc nâng cấp hệ thống thông
tin.
b) Chỉ tiếp nhận và
đưa vào vận hành hệ thống thông tin sau khi đã thực hiện nghiệm thu và kiểm thử
hệ thống (được thẩm định, xác nhận của bộ phận chuyên trách và phê duyệt của cơ
quan, đơn vị có thẩm quyền của Bộ Thông tin và Truyền thông hoặc chủ quản hệ thống
thông tin).
c) Hệ thống thông tin
được tiếp nhận phải đi kèm:
- Tài liệu mô tả quy
mô, phạm vi và đối tượng sử dụng, khai thác, quản lý vận hành hệ thống thông
tin;
- Tài liệu mô tả các
thành phần của hệ thống thông tin, gồm: các vùng mạng chức năng, hệ thống thiết
bị mạng, thiết bị bảo mật; hệ thống máy chủ hệ thống; hệ thống máy chủ ứng dụng;
dịch vụ và các thành phần khác trong hệ thống thông tin.
d) Xem xét tính tương
thích với các phần mềm, ứng dụng hiện có, bảo đảm hoạt động ổn định, an toàn
trước khi quyết định thay đổi hoặc nâng cấp hệ điều hành lên phiên bản mới hơn;
kiểm soát chặt chẽ việc nâng cấp, mở rộng phần mềm, ứng dụng trong hệ thống. Việc
bổ sung các thiết bị vào hệ thống thông tin cần có kế hoạch, quy trình bảo đảm
việc tiếp nhận không làm gián đoạn hoạt động của hệ thống đang vận hành.
đ) Bảo trì hệ thống
thông tin phải có kế hoạch từ trước và được thực hiện thường xuyên.
2. Trong quá trình vận
hành hệ thống thông tin, cơ quan, đơn vị chủ quản hệ thống cần thực hiện:
a) Đánh giá, phân loại
hệ thống thông tin theo cấp độ; triển khai phương án bảo đảm an toàn hệ thống
thông tin đáp ứng yêu cầu cơ bản trong tiêu chuẩn, quy chuẩn kỹ thuật về bảo đảm
an toàn hệ thống thông tin theo cấp độ.
b) Thường xuyên kiểm
tra, giám sát việc tuân thủ các quy định về an toàn thông tin, cập nhật đầy đủ
các lỗ hổng bảo mật, áp dụng cơ chế sao lưu dự phòng, bảo đảm an toàn truy nhập,
đăng nhập hệ thống.
c) Giám sát an toàn hệ
thống thông tin, cảnh báo hành vi xâm phạm an toàn thông tin hoặc hành vi có khả
năng gây ra sự cố an toàn thông tin đối với hệ thống thông tin; tiến hành phân
tích yếu tố then chốt ảnh hưởng tới trạng thái an toàn thông tin; đề xuất thay
đổi biện pháp kỹ thuật.
d) Giám sát hiệu năng
hệ thống và thực hiện các biện pháp bảo trì cần thiết (dọn dẹp hệ thống, điều
chỉnh thông số kỹ thuật và bổ sung mua sắm) để bảo đảm khả năng xử lý và tính sẵn
sàng của hệ thống thông tin theo yêu cầu.
đ) Tuân thủ quy trình
vận hành, quy trình xử lý sự cố đã xây dựng; ghi đầy đủ thông tin trong các bản
ghi nhật ký hệ thống và lưu trữ nhật ký trong khoảng thời gian nhất định, để phục
vụ việc quản lý, kiểm soát thông tin.
3. Đối tác phát triển
phần mềm, ứng dụng cho cơ quan, đơn vị có trách nhiệm bảo đảm an toàn thông tin
cho công tác phát triển, vận hành, bảo hành, bảo trì phần mềm, ứng dụng, tránh
lộ lọt mã nguồn và dữ liệu, tài liệu thiết kế, quản trị hệ thống mà đối tác
đang xử lý ra bên ngoài.
4. Các biện pháp kỹ
thuật bảo đảm an toàn thông tin cho trang/cổng thông tin điện tử:
a) Xác định cấu trúc
thiết kế trang/cổng thông tin điện tử: quản lý toàn bộ các phiên bản của mã nguồn
của phần mềm, ứng dụng trang/cổng thông tin điện tử; phối hợp với đơn vị thực
hiện dịch vụ thuê máy chủ tổ chức mô hình trang/cổng thông tin điện tử hợp lý
tránh khả năng tấn công leo thang đặc quyền; yêu cầu đơn vị cung cấp dịch vụ
hosting phải cài đặt các hệ thống phòng vệ như tường lửa, thiết bị phát hiện/phòng,
chống xâm nhập (IDS/IPS) ở mức ứng dụng web (WAF - Web Application Firewall).
b) Vận hành phần mềm,
ứng dụng trang/cổng thông tin điện tử: các trang/ cổng thông tin điện tử khi
đưa vào sử dụng hoặc khi bổ sung thêm các chức năng thực hiện dịch vụ công trực
tuyến mới cần đánh giá kiểm định nhằm tránh được các lỗi bảo mật thường xảy ra
trên ứng dụng web (như SQL Injection, Cross-Site Scripting, Broken
Authentication and Session Management, Insecure Direct Object References, Cross
Site Request Forgery, Security Misconfiguration, Failure to Restrict URL
Access, Insecure Cryptoeraphic Storage, Insufficient Transport Layer
Protection, Unvalidated Redirects and Forwards và các lỗi bảo mật khác).
c) Thiết lập và cấu hình
cơ sở dữ liệu của trang/cổng thông tin điện tử:
- Luôn cập nhật bản
vá lỗi mới nhất cho hệ quản trị cơ sở dữ liệu; sử dụng công cụ để đánh giá, tìm
kiếm lỗ hổng trên máy chủ cơ sở dữ liệu;
- Gỡ bỏ các cơ sở dữ
liệu không còn sử dụng;
- Có cơ chế sao lưu dữ
liệu, tài liệu hóa quá trình thay đổi cấu trúc bằng cách xây dựng nhật ký cơ sở
dữ liệu với các nội dung như: Nội dung thay đổi, lý do thay đổi, thời gian, vị
trí thay đổi.
d) Phối hợp với các
nhà cung cấp dịch vụ thuê máy chủ xây dựng phương án phục hồi trang/cổng thông
tin điện tử, trong đó chú ý ít nhất mỗi tháng thực hiện việc sao lưu toàn bộ nội
dung trang/cổng thông tin điện tử 01 lần bao gồm mã nguồn, cơ sở dữ liệu, dữ liệu
phi cấu trúc để bảo đảm khi có sự cố có thể khắc phục trong thời gian ngắn nhất.
Điều
12. Kiểm tra, khắc phục sự cố an toàn thông tin
1. Cơ quan, đơn vị chủ
quản hệ thống thông tin có trách nhiệm phối hợp với các cơ quan, đơn vị chuyên
trách về công nghệ thông tin, an toàn thông tin của Bộ:
a) Rà soát, đánh giá và
xác định các sự cố an toàn thông tin, các rủi ro an toàn thông tin có thể xảy
ra với từng thành phần hệ thống thông tin trong phạm vi quản lý của mình. Trên
cơ sở đó, xây dựng và phê duyệt các phương án ứng cứu, xử lý sự cố phù hợp với
các rủi ro an toàn thông tin có thể xảy ra.
b) Chuẩn bị sẵn sàng
các biện pháp, phương tiện kỹ thuật để phục vụ cho triển khai các phương án ứng
cứu đã được xây dựng.
c) Xây dựng và ban
hành các hướng dẫn, quy trình xử lý sự cố an toàn thông tin đối với từng đối tượng
người sử dụng cụ thể trong hệ thống thông tin theo hướng dẫn của Trung tâm ứng
cứu khẩn cấp máy tính Việt Nam.
d) Thông báo công
khai các phương án liên lạc với bộ phận xử lý sự cố cho toàn bộ cá nhân liên
quan hệ thống thông tin đang quản lý.
đ) Thường xuyên kiểm
tra, rà soát tính sẵn sàng của các phương án ứng cứu sự cố; thực hiện đúng các
hướng dẫn, quy trình xử lý sự cố an toàn thông tin.
2. Khi có sự cố hoặc
nguy cơ mất an toàn thông tin, thủ trưởng cơ quan, đơn vị thực hiện:
a) Chỉ đạo xác định
nguyên nhân sự cố, có biện pháp khắc phục kịp thời, hạn chế thiệt hại.
b) Trường hợp gặp sự
cố nghiêm trọng ở mức độ cao, khẩn cấp (hệ thống bị gián đoạn dịch vụ; dữ liệu
tuyệt mật hoặc bí mật nhà nước có khả năng bị tiết lộ; dữ liệu quan trọng của hệ
thống không bảo đảm tính toàn vẹn và không có khả năng khôi phục được; hệ thống
bị mất quyền điều khiển) hoặc chủ quản hệ thống không đủ khả năng tự kiểm soát,
xử lý được sự cố thì phải phối hợp chặt chẽ với Trung tâm Thông tin, Trung tâm ứng
cứu khẩn cấp máy tính Việt Nam, cung cấp đầy đủ thông tin sự cố để được hướng dẫn,
hỗ trợ cụ thể.
c) Chuẩn bị tài liệu
báo cáo sự cố, gồm các nội dung sau:
- Tên, địa chỉ Đơn vị
vận hành hệ thống thông tin; chủ quản hệ thống thông tin; hệ thống thông tin bị
sự cố; thời điểm phát hiện sự cố;
- Đầu mối liên lạc về
sự cố của đơn vị vận hành hệ thống bị sự cố: Tên, chức vụ, điện thoại, thư điện
tử;
- Mô tả về sự cố: Loại
sự cố, hiện tượng, đánh giá sơ bộ mức độ nguy hại, mức độ lây lan, tác động của
sự cố đến hoạt động bình thường của tổ chức;
- Đơn vị cung cấp dịch
vụ hạ tầng kỹ thuật;
- Liệt kê các biện
pháp đã triển khai hoặc dự kiến triển khai để xử lý khắc phục sự cố;
- Các tổ chức, doanh
nghiệp đang hỗ trợ ứng cứu, xử lý và kết quả xử lý sự cố tính đến thời điểm báo
cáo;
- Kết quả ứng cứu sự
cố ban đầu;
- Kiến nghị đề xuất
hướng ứng cứu xử lý sự cố (nếu có);
- Bản cập nhật mới nhất
của tài liệu mô tả các thành phần hệ thống thông tin, bao gồm: các vùng mạng chức
năng; hệ thống thiết bị mạng, thiết bị bảo mật; hệ thống máy chủ hệ thống; hệ
thống máy chủ ứng dụng; dịch vụ và các thành phần khác trong hệ thống thông tin
(trong trường hợp sự cố có khả năng xảy ra trên diện rộng hoặc gây ra các ảnh
hưởng dây chuyền, làm tổn hại cho các hệ thống thông tin quan trọng khác).
3. Trung tâm Ứng cứu
khẩn cấp máy tính Việt Nam chủ trì, phối hợp với Trung tâm Thông tin, chủ quản
hệ thống thông tin giám sát liên tục diễn biến sự cố (ở mức độ cao, khẩn cấp)
và thông báo, cập nhật đến bên liên quan; tiến hành phân tích sự cố và khắc phục
sự cố, gỡ bỏ phần mềm độc hại.
Điều 13. Quản
lý an toàn thông tin
1. Cơ quan, đơn vị phải thành lập
hoặc chỉ định nhân sự/bộ phận chuyên trách về công nghệ thông tin (hoặc lựa chọn
đối tác có đủ năng lực quản lý an toàn thông tin) đảm nhiệm:
a) Triển khai công tác giám sát, kiểm
tra việc bảo đảm an toàn thông tin tại cơ quan, đơn vị và đánh giá rủi ro an
toàn thông tin.
b) Làm đầu mối liên hệ với các cơ
quan, đơn vị chuyên trách về công nghệ thông tin, an toàn thông tin của Bộ và các
tổ chức, cá nhân trong lĩnh vực an toàn thông tin.
c) Xây dựng hoặc chủ trì việc áp dụng
các chính sách, quy trình quản lý an toàn thông tin, bao gồm:
- Chính sách quản lý kiểm soát truy
nhập đi vào và từ hệ thống đi ra; sao lưu và dự phòng và khôi phục cấu hình hệ
thống; quản lý, vận hành hoạt động bình thường của thiết bị tính toán, lưu trữ,
thiết bị bảo vệ mạng, thiết bị lưu trữ di động, điện thoại thông minh và máy
tính bảng;
- Quy trình kết nối thiết bị đầu cuối
của người sử dụng vào hệ thống mạng; truy nhập và quản lý cấu hình hệ thống; cấu
hình tối ưu, tăng cường bảo mật cho thiết bị mạng, bảo mật (cứng hóa) trong hệ
thống và thực hiện quy trình trước khi đưa hệ thống vào vận hành khai thác;
- Nguyên tắc chung về phân loại và
quản lý mức độ ưu tiên đối với các tài nguyên của hệ thống thông tin; kiểm tra,
đánh giá các tài nguyên của hệ thống thông tin trước khi đưa vào sử dụng; sử dụng
hệ thống thông tin an toàn và hiệu quả; xử lý an toàn các thiết bị, hệ thống
thông tin trước khi thanh lý, ngừng sử dụng, chuyển giao, bảo trì sửa chữa.
2. Các cơ quan, đơn vị khi xây dựng
quy chế bảo đảm an toàn thông tin nội bộ cần căn cứ Tiêu chuẩn TCVN 7562:2005
và các quy chuẩn, tiêu chuẩn kỹ thuật quản lý an toàn thông tin có liên quan để
áp dụng cho phù hợp.
3. Cơ quan, đơn vị thực hiện đánh
giá rủi ro an toàn thông tin mỗi khi có thay đổi về nhu cầu bảo đảm an toàn
thông tin, thay đổi về hạ tầng kỹ thuật và phần mềm, ứng dụng hoặc khi xuất hiện
nguy cơ mất an toàn thông tin như sau:
a) Lập danh mục các rủi ro (các mối
đe dọa, các điểm yếu, các hậu quả) có thể xảy ra đối với thông tin, dữ liệu và
hệ thống thông tin quan trọng của mình; xác định phạm vi và giới hạn cho quản
lý rủi ro an toàn thông tin; chỉ định bộ phận chuyên trách về công nghệ thông
tin quản lý và thực hiện đánh giá rủi ro.
b) Phân tích rủi ro an toàn thông
tin, đánh giá hậu quả, thực hiện xử lý rủi ro.
4. Cá nhân phải được bộ phận chuyên
trách về công nghệ thông tin hướng dẫn, hỗ trợ, cung cấp các tài liệu, công cụ
cần thiết để thực hiện trách nhiệm bảo đảm an toàn thông tin theo quy định.
Chương III
TỔ CHỨC THỰC HIỆN
Điều
14. Trách nhiệm của thủ trưởng cơ quan, đơn vị
1. Chỉ đạo, bảo đảm
việc tuân thủ các quy định tại Quy chế này trong phạm vi tổ chức, quyền hạn của
mình và thực hiện báo cáo việc thực hiện Quy chế theo yêu cầu của Trung tâm
Thông tin.
2. Căn cứ Quy chế này
và nhu cầu thực tế của cơ quan, đơn vị, xây dựng hoặc rà soát sửa đổi phương án
quản lý an toàn thông tin đang áp dụng cho phù hợp.
3. Tổ chức kiểm tra,
đánh giá định kỳ hằng năm về an toàn thông tin đối với các hệ thống thông tin
đang vận hành, gửi kết quả về Trung tâm Thông tin để tổng hợp, báo cáo Lãnh đạo
Bộ.
4. Tuyên truyền, phổ
biến nội dung Quy chế này tới từng cá nhân thuộc cơ quan, đơn vị; nâng cao nhận
thức cho các cá nhân về các nguy cơ mất an toàn thông tin.
5. Tạo điều kiện để bồi
dưỡng, đào tạo, tăng cường năng lực cho bộ phận chuyên trách về công nghệ thông
tin và cá nhân làm công tác an toàn thông tin.
6. Phối hợp, cung cấp
thông tin và tạo điều kiện cho Trung tâm Thông tin, Cục An toàn thông tin,
Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam triển khai công tác kiểm tra khắc
phục sự cố xảy ra một cách kịp thời, nhanh chóng và đạt hiệu quả.
Điều
15. Trách nhiệm của cá nhân
1. Cá nhân phụ trách
an toàn thông tin có trách nhiệm:
a) Tham mưu cho thủ
trưởng cơ quan, đơn vị ban hành các quy định, quy trình nội bộ và chịu trách
nhiệm triển khai các giải pháp kỹ thuật bảo đảm an toàn thông tin tại cơ quan,
đơn vị theo Quy chế này.
b) Thực hiện việc
giám sát, đánh giá, báo cáo thủ trưởng cơ quan, đơn vị các rủi ro mất an toàn
thông tin và mức độ nghiêm trọng của các rủi ro đó.
c) Phối hợp với các
cá nhân, đơn vị có liên quan trong việc kiểm tra, phát hiện và khắc phục các sự
cố mất an toàn thông tin.
2. Cá nhân là người sử
dụng có trách nhiệm:
a) Chấp hành nghiêm
túc các quy định về an toàn thông tin của cơ quan, đơn vị, các quy định tại Quy
chế này và các quy định khác của pháp luật về an toàn thông tin; nâng cao ý thức
cảnh giác và trách nhiệm bảo đảm an toàn thông tin trong phạm vi trách nhiệm và
quyền hạn được giao.
b) Tự quản lý, bảo quản
thiết bị mà mình được giao sử dụng. Khi phát hiện sự cố phải báo ngay với cấp
trên và bộ phận chuyên trách về công nghệ thông tin để kịp thời ngăn chặn, xử
lý.
c) Tích cực tham gia
các chương trình đào tạo, hội nghị về an toàn thông tin do Bộ Thông tin và Truyền
thông hoặc các đơn vị chuyên môn tổ chức.
Điều
16. Trách nhiệm của Trung tâm Thông tin
1. Là đơn vị chuyên trách
về công nghệ thông tin của Bộ, giúp Lãnh đạo Bộ thực hiện quản lý an toàn thông
tin trong hoạt động ứng dụng công nghệ thông tin của Bộ Thông tin và Truyền
thông theo quy định của Quy chế này và các quy định khác của pháp luật có liên
quan.
2. Tổ chức phổ biến,
triển khai và hướng dẫn, kiểm tra việc thực hiện Quy chế này trong phạm vi Bộ
Thông tin và Truyền thông; định kỳ báo cáo Lãnh đạo Bộ về thông tin, tình hình
thực hiện.
3. Chủ trì triển khai
các giải pháp bảo đảm an toàn thông tin đối với hạ tầng kỹ thuật, hệ thống
thông tin và cơ sở dữ liệu được triển khai tại cơ quan Bộ.
4. Tổ chức truyền
thông, nâng cao nhận thức về gắn kết bảo đảm an toàn thông tin với triển khai ứng
dụng công nghệ thông tin, phát triển Bộ Thông tin và Truyền thông điện tử.
5. Tùy theo mức độ sự
cố, phối hợp với Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam và các cơ quan chức
năng ứng cứu các sự cố mất an toàn thông tin.
Điều
17. Trách nhiệm của Cục An toàn thông tin
1. Đánh giá về mức độ
an toàn, an ninh thông tin đối với hệ thống thông tin đầu tư mới của các cơ
quan, đơn vị thuộc Bộ trong quá trình xây dựng và trước khi nghiệm thu sản phẩm,
chính thức đưa vào sử dụng.
2. Chủ trì, phối hợp
với Trung tâm Thông tin xây dựng các tiêu chí và quy trình kỹ thuật kiểm tra
công tác an toàn thông tin trong Bộ Thông tin và Truyền thông.
3. Xây dựng và chủ
trì triển khai các quy định gắn kết bảo đảm an toàn thông tin với triển khai ứng
dụng công nghệ thông tin, phát triển Bộ Thông tin và Truyền thông điện tử.
4. Phối hợp kiểm tra
đánh giá công tác bảo đảm an toàn thông tin trong các cơ quan, đơn vị của Bộ
Thông tin và Truyền thông; thực hiện đánh giá an toàn thông tin cho các hệ thống
thông tin trong cơ quan, đơn vị.
Điều
18. Trách nhiệm của Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam
1. Là đơn vị đầu mối
tiếp nhận và điều phối ứng cứu sự cố máy tính; chủ trì, hướng dẫn công tác
phòng ngừa và ứng cứu sự cố an toàn thông tin; hỗ trợ các cơ quan, đơn vị giải
quyết sự cố khi có yêu cầu.
2. Tổ chức các hoạt động
diễn tập ứng cứu sự cố máy tính theo chức năng, nhiệm vụ được giao.
3. Thực hiện kiểm
tra, đánh giá định kỳ hàng năm đối với các hệ thống thông tin, cơ sở dữ liệu
đang vận hành trong Bộ; kiểm tra, đánh giá an toàn thông tin cho các thiết bị kỹ
thuật theo phân công của Lãnh đạo Bộ hoặc theo đề nghị của cơ quan, đơn vị liên
quan.
4. Phối hợp với Trung
tâm Thông tin trong các hoạt động giám sát an toàn hệ thống thông tin của Bộ,
hoạt động ứng cứu, xử lý sự cố, phòng chống tấn công mạng; thực hiện giám sát
an toàn thông tin cho hệ thống mạng của Bộ.
Điều 19. Đào tạo
về an toàn thông tin
1. Hằng năm Trung tâm Thông tin phối
hợp với Cục An toàn thông tin, Trung tâm ứng cứu khẩn cấp máy tính Việt Nam tổ
chức đào tạo, tập huấn về an toàn thông tin và tăng cường năng lực ứng cứu, xử
lý sự cố an toàn thông tin cho các cán bộ, công chức, viên chức, và người lao động
trong Bộ Thông tin và Truyền thông.
2. Nguồn kinh phí đào tạo từ nguồn
ngân sách nhà nước.
Điều 20. Khen
thưởng, xử lý vi phạm
1. Trung tâm Thông tin tiến hành kiểm
tra, đánh giá, xếp hạng an toàn thông tin, trên cơ sở đó tham mưu, đề xuất Lãnh
đạo Bộ khen thưởng cơ quan, đơn vị và cá nhân thực hiện tốt Quy chế này hằng
năm theo quy định.
2. Cơ quan, đơn vị hoặc cá nhân vi
phạm Quy chế này, tùy theo tính chất, mức độ vi phạm có thể bị xử lý hành
chính, xử lý kỷ luật hoặc các hình thức xử lý khác theo quy định hiện hành; nếu
vi phạm gây thiệt hại lớn đến tài nguyên thông tin của Bộ thì phải chịu trách
nhiệm về những thiệt hại gây ra theo quy định của pháp luật.
3. Việc giải quyết khiếu nại, tố
cáo và tranh chấp được thực hiện theo quy định liên quan của pháp luật.
Điều 21. Điều
khoản thi hành
Trong quá trình thực hiện Quy chế
này, nếu có vướng mắc, cơ quan, đơn vị, cá nhân phản ánh về Trung tâm Thông tin
để tổng hợp, báo cáo Lãnh đạo Bộ Thông tin và Truyền thông xem xét sửa đổi, bổ
sung Quy chế cho phù hợp./.