ỦY BAN NHÂN
DÂN
TỈNH BẮC NINH
--------
|
CỘNG HÒA XÃ
HỘI CHỦ NGHĨA VIỆT NAM
Độc lập - Tự do - Hạnh phúc
---------------
|
Số:
21/2019/QĐ-UBND
|
Bắc Ninh, ngày
22 tháng 10 năm 2019
|
QUYẾT ĐỊNH
BAN HÀNH QUY CHẾ BẢO ĐẢM AN TOÀN THÔNG TIN MẠNG TRONG HOẠT ĐỘNG
ỨNG DỤNG CÔNG NGHỆ THÔNG TIN CỦA CƠ QUAN NHÀ NƯỚC TRÊN ĐỊA BÀN TỈNH BẮC NINH
ỦY BAN NHÂN DÂN TỈNH BẮC NINH
Căn cứ Luật Tổ chức chính quyền địa phương
ngày 19/6/2015;
Căn cứ Luật Ban hành văn bản quy phạm pháp luật
ngày 22/6/2015;
Căn cứ Luật Công nghệ thông tin ngày
29/6/2006;
Căn cứ Luật An toàn thông tin mạng ngày
19/11/2015;
Căn cứ Luật An ninh mạng ngày 12/06/2018;
Căn cứ Nghị định số 64/2007/NĐ-CP ngày
10/4/2007 của Chính phủ về ứng dụng công nghệ thông tin trong hoạt động của cơ
quan nhà nước;
Căn cứ Nghị định số 72/2013/NĐ-CP ngày
15/7/2013 của Chính phủ về quản lý, cung cấp, sử dụng dịch vụ internet và thông
tin trên mạng;
Căn cứ Nghị định số 85/2016/NĐ-CP ngày 01/7/2016
của Chính phủ về bảo đảm an toàn hệ thống thông tin theo cấp độ;
Căn cứ Quyết định số 05/2017/QĐ-TTg ngày
16/3/2017 của Thủ tướng Chính phủ ban hành quy định về hệ thống phương án ứng cứu
khẩn cấp bảo đảm an toàn thông tin mạng quốc gia;
Căn cứ Thông tư số 03/2017/TT-BTTTT ngày
24/4/2017 của Bộ Thông tin và Truyền thông quy định chi tiết và hướng dẫn một số
điều của Nghị định số 85/2016/NĐ-CP ngày 01/7/2016 của Chính phủ về bảo đảm an
toàn hệ thống thông tin theo cấp độ;
Căn cứ Thông tư số 20/2017/TT-BTTTT ngày
12/09/2017củaBộ Thông tin và Truyền thông quy định về điều phối, ứng cứu
sự cố an toàn thông tin mạng trên toàn quốc;
Căn cứ Thông tư số 27/2017/TT-BTTTT
ngày20/10/2017củaBộ Thông tin và Truyền thông quy định về quản lý, vận hành, kết
nối, sử dụng và bảo đảm an toàn thông tin trên mạng truyền số liệu chuyên dùng
của các cơ quan Đảng, Nhà nước;
Theo đề nghị của Giám đốc Sở Thông tin và
Truyền thông,
QUYẾT ĐỊNH:
Điều 1. Ban hành kèm theo Quyết
định này “Quy chế bảo đảm an toàn thông tin mạng trong hoạt động ứng dụng công
nghệ thông tin của cơ quan nhà nước trên địa bàn tỉnh Bắc Ninh”.
Điều 2. Quyết định này có hiệu
lực thi hành kể từ ngày 04/11/2019, thay thế Quyết định số 456/2014/QĐ-UBND
ngày 24/10/2014 về ban hành Quy chế bảo đảm an toàn thông tin trong hoạt động ứng
dụng công nghệ thông tin của cơ quan nhà nước trên địa bàn tỉnh Bắc Ninh.
Điều 3. Chánh Văn phòng UBND tỉnh,
Giám đốc Công an tỉnh; Thủ trưởng các Sở, Ban, ngành, đơn vị thuộc UBND tỉnh;
Chủ tịch UBND các huyện, thị xã, thành phố và các tổ chức, cá nhân có liên quan
chịu trách nhiệm thi hành Quyết định này./.
Nơi nhận:
- Như Điều 3;
- Văn phòng Chính phủ (b/c);
- Bộ Thông tin và Truyền thông (b/c);
- Bộ Tư pháp (b/c);
- TT.TU, TT.HĐND, Đoàn ĐBQH tỉnh (b/c);
- Chủ tịch và các Phó Chủ tịch UBND tỉnh;
- Cục Kiểm tra văn bản quy phạm
pháp luật - Bộ Tư pháp;
- Báo Bắc Ninh, Đài PTTH tỉnh;
- Văn phòng UBND tỉnh: Các phòng, đơn vị trực thuộc, các CVNC, các PCVP, CVP;
- Lưu: VT, CN.XDCB.
|
TM. ỦY BAN
NHÂN DÂN
KT. CHỦ TỊCH
PHÓ CHỦ TỊCH
Nguyễn Tiến Nhường
|
QUY CHẾ
BẢO ĐẢM AN TOÀN THÔNG TIN MẠNG TRONG HOẠT ĐỘNG ỨNG DỤNG CÔNG
NGHỆ THÔNG TIN CỦA CÁC CƠ QUAN NHÀ NƯỚC TRÊN ĐỊA BÀN TỈNH BẮC NINH
(Ban hành kèm theo Quyết định số: 21/2019/QĐ-UBND ngày 22/10/2019 của UBND tỉnh
Bắc Ninh)
Chương I
QUY ĐỊNH CHUNG
Điều 1. Phạm
vi điều chỉnh và đối tượng áp dụng
1. Phạm vi điều chỉnh:
Quy chế này quy định về bảo đảm an toàn thông
tin mạng trong hoạt động ứng dụng công nghệ thông tin của các cơ quan nhà nước trên
địa bàn tỉnh Bắc Ninh.
2. Đối tượng áp dụng:
Quy chế này áp dụng đối với các sở, ban, ngành,
đơn vị thuộc UBND tỉnh; UBND các huyện, thị xã, thành phố; UBND các xã, phường,
thị trấn; các đơn vị sự nghiệp sử dụng ngân sách nhà nước;các cơ quan Đảng, các
cơ quan Trung ương trên địa bàn tỉnh, các tổ chức chính trị - xã hội được ngân
sách nhà nước bảo đảm kinh phí hoạt động có sử dụng các hệ thống thông tin do
UBND tỉnh triển khai và các tổ chức, cá nhân liên quan đến hoạt động ứng dụng
công nghệ thông tin của các cơ quan nhà nước tỉnh Bắc Ninh (sau đây gọi tắt là
cơ quan, đơn vị);cán bộ, công chức, viên chức đang làm việc trong các cơ quan,
đơn vị nêu trên.
Điều 2. Mục
đích, nguyên tắc bảo đảm an toàn thông tin mạng
1. Việc áp dụng Quy chế này nhằm phòng ngừa,
ngăn chặn, xử lý và giảm các nguy cơ gây mất an toàn thông tin mạng và bảo đảm
an ninh thông tin trong quá trình ứng dụng công nghệ thông tin trong hoạt động
của các cơ quan, đơn vị.
2. Hoạt động ứng dụng công nghệ thông tin của
các cơ quan, đơn vị phải tuân thủ theo nguyên tắc bảo đảm an toàn thông tin mạng
được quy định tại Điều 4 Luật An toàn thông tin mạng số 86/2015/QH15 ngày
19/11/2015, cụ thể như sau:
a) Cơ quan, tổ chức, cá nhân
có trách nhiệm bảo đảm an toàn thông tin mạng. Hoạt động an toàn thông tin mạng
của cơ quan, tổ chức, cá nhân phải đúng quy định của pháp luật, bảo đảm quốc
phòng, an ninh quốc gia, bí mật nhà nước, giữ vững ổn định chính trị, trật tự,
an toàn xã hội và thúc đẩy phát triển kinh tế - xã hội;
b) Tổ chức, cá nhân không được
xâm phạm an toàn thông tin mạng của tổ chức, cá nhân khác;
c) Việc xử lý sự cố an toàn
thông tin mạng phải bảo đảm quyền và lợi ích hợp pháp của tổ chức, cá nhân,
không xâm phạm đến đời sống riêng tư, bí mật cá nhân, bí mật gia đình của cá
nhân, thông tin riêng của tổ chức;
d) Hoạt động an toàn thông tin
mạng phải được thực hiện thường xuyên, liên tục, kịp thời và hiệu quả;
Điều 3. Giải
thích từ ngữ
1. Mạng được quy định tại Khoản 2 Điều 3
Luật An toàn thông tin mạng. Cụ thể: là môi trường trong đó thông tin được cung
cấp, truyền đưa, thu thập, xử lý, lưu trữ và trao đổi thông qua mạng viễn thông
và mạng máy tính.
2. An toàn thông tin mạng được quy định tại
Khoản 1 Điều 3 Luật An toàn thông tin mạng. Cụ thể: An toàn thông tin mạng là sự
bảo vệ thông tin, hệ thống thông tin trên mạng tránh bị truy nhập, sử dụng, tiết
lộ, gián đoạn, sửa đổi hoặc phá hoại trái phép nhằm bảo đảm tính nguyên vẹn,
tính bảo mật và tính khả dụng của thông tin.
3. Hệ thống thông tin được quy định tại Khoản
3 Điều 3 Luật An toàn thông tin mạng. Cụ thể: Hệ thống thông tin là tập hợp phần
cứng, phần mềm và cơ sở dữ liệu được thiết lập phục vụ mục đích tạo lập, cung cấp,
truyền đưa, thu thập, xử lý, lưu trữ và trao đổi thông tin trên mạng.
4. Xâm phạm an toàn thông tin mạng được
quy định tại Khoản 6 Điều 3 Luật An toàn thông tin mạng. Cụ thể: Xâm phạm an
toàn thông tin mạng là hành vi truy nhập, sử dụng, tiết lộ, làm gián đoạn, sửa
đổi, phá hoại trái phép thông tin, hệ thống thông tin.
5. Sự cố an toàn thông tin mạng được quy
định tại Khoản 7 Điều 3 Luật An toàn thông tin mạng. Cụ thể:Sự cố an toàn thông
tin mạng là việc thông tin, hệ thống thông tin bị gây nguy hại, ảnh hưởng tới
tính nguyên vẹn, tính bảo mật hoặc tính khả dụng.
6. Rủi ro an toàn thông tin mạng được quy
định tại Khoản 8 Điều 3 Luật An toàn thông tin mạng. Cụ thể:Rủi ro an toàn
thông tin mạng là những nhân tố chủ quan hoặc khách quan có khả năng ảnh hưởng
tới trạng thái an toàn thông tin mạng.
7. Phần mềm độc hại được quy định tại Khoản
11 Điều 3 Luật An toàn thông tin mạng. Cụ thể: Phần mềm độc hại là phần mềm có
khả năng gây ra hoạt động không bình thường cho một phần hay toàn bộ hệ thống
thông tin hoặc thực hiện sao chép, sửa đổi, xóa bỏ trái phép thông tin lưu trữ
trong hệ thống thông tin.
8. Nguy cơ mất an toàn thông tin mạng là
những nhân tố bên trong hoặc bên ngoài có khả năng ảnh hưởng tới trạng thái an
toàn thông tin mạng.
Điều 4. Các
hành vi bị nghiêm cấm
1. Các hành vi bị
nghiêm cấm quy định tại Điều 7 Luật An toàn thông tin mạng số 86/2015/QH13
ngày 19/11/2015. Cụ thể:
a) Ngăn chặn việc truyền
tải thông tin trên mạng, can thiệp, truy nhập, gây nguy hại, xóa, thay đổi, sao
chép và làm sai lệch thông tin trên mạng trái pháp luật;
b) Gây ảnh hưởng, cản
trở trái pháp luật tới hoạt động bình thường của hệ thống thông tin hoặc tới khả
năng truy nhập hệ thống thông tin của người sử dụng;
c) Tấn công, vô hiệu
hóa trái pháp luật làm mất tác dụng của biện pháp bảo vệ an toàn thông tin mạng
của hệ thống thông tin; tấn công, chiếm quyền điều khiển, phá hoại hệ thống
thông tin;
d) Phát tán thư rác,
phần mềm độc hại, thiết lập hệ thống thông tin giả mạo, lừa đảo;
đ) Thu thập, sử dụng,
phát tán, kinh doanh trái pháp luật thông tin cá nhân của người khác; lợi dụng
sơ hở, điểm yếu của hệ thống thông tin để thu thập, khai thác thông tin cá
nhân;
e) Xâm nhập trái pháp
luật bí mật mật mã và thông tin đã mã hóa hợp pháp của cơ quan, tổ chức, cá
nhân; tiết lộ thông tin về sản phẩm mật mã dân sự, thông tin về khách hàng sử dụng
hợp pháp sản phẩm mật mã dân sự; sử dụng, kinh doanh các sản phẩm mật mã dân sự
không rõ nguồn gốc.
2. Tự ý lắp đặt các thiết bị phát sóng Wifi
(Access Point) vào mạng máy tính của cơ quan, đơn vị và lắp đặt các thiết bị tiếp
sóng Wifi (Wireless card, wireless USB) trên máy tính có kết nối mạng nội bộ để
truy cập mạng wifi ngoài khi chưa được phê duyệt của Lãnh đạo cơ quan, đơn vị.
3. Lợi dụng mạng để truyền bá thông tin, quan điểm,
thực hiện các hành vi gây phương hại đến an ninh quốc gia, trật tự, an toàn xã
hội, lợi ích quốc gia trên mạng; phá hại khối đại đoàn kết toàn dân; tuyên truyền
chiến tranh xâm lược, khủng bố; gây hận thù, mâu thuẫn giữa các dân tộc, sắc tộc,
tôn giáo và bài ngoại.
4. Lợi dụng mạng để truyền bá trái phép tài liệu,
hình ảnh, âm thanh hoặc dạng thông tin khác nhằm kích động bạo lực, dâm ô, đồi
trụy, tội ác, tệ nạn xã hội, mê tín dị đoan, phá hoại thuần phong, mỹ tục của
dân tộc; bôi nhọ, gây thù hận, xâm hại tới quyền và lợi ích hợp pháp của tổ chức,
cá nhân.
5. Tự ý tải về, chia sẻ dưới mọi hình thức
các dữ liệu, tài liệu, số liệu nội bộ, những văn bản chưa được cấp có thẩm
quyền công khai lên mạng internet và các phương tiện thông tin đại chúng
khác.
Chương II
ĐẢM BẢO AN TOÀN
THÔNG TIN MẠNG
Điều 5. Quản lý an toàn
thông tin của các cơ quan, đơn vị đối với người sử dụng
1. Các cơ quan, đơn vị khi tiếp
nhận, tuyển dụng nhân sự mới phải có trách nhiệm phổ biến cho nhân sự mới các
quy định về bảo đảm an toàn thông tin mạng tại cơ quan, đơn vị.
2. Các cơ quan, đơn vị phải
thường xuyên tổ chức quán triệt các quy định về an toàn thông tin mạng, nhằm
nâng cao nhận thức về trách nhiệm bảo đảman toàn thông tin mạng của từng cá
nhân trong cơ quan, đơn vị.
3. Các cơ quan, đơn vị có
trách nhiệm quản lý và thu hồi tài khoản, quyền truy cập các hệ thống thông tin
và tất cả các tài sản liên quan tới hệ thống thông tin khi cán bộ chuyển công
tác, nghỉ việc, nghỉ theo chế độ.
Điều 6. Quản lý truy cập
1. Đối với Cơ quan, đơn vị, người sử dụng có
trách nhiệm
a) Bảo vệ bí mật thông tin tài
khoản cá nhân, hoặc tài khoản của cơ quan, đơn vị khi được phân công nắm giữ
đồng thời phải thay đổi ngay mật khẩu tài khoản khi mới được cấp và tự chịu
trách nhiệm trong việc quản lý, bảo vệ mật khẩu của tài khoản, không được cho
người khác sử dụng tài khoản cá nhân hoặc của cơ quan, đơn vị;
b) Không đặt chế độ tự động
ghi nhớ mật khẩu của các trình duyệt trong mọi trường hợp sử dụng;
c) Thiết lập mật mã truy cập
và chế độ tự động bảo vệ màn hình sau 10 phút không sử dụng cho tất cả hệ thống
máy chủ, máy trạm của người sử dụng;
d) Hệ thống mạng không dây
(wifi) của các cơ quan, đơn vị phải được đặt mật khẩu (password) khi truy cập.
Thiết lập phương pháp hạn chế người dùng truy cập mạng không dây, giám sát và
điều khiển truy cập mạng không dây;
đ) Đặt mật khẩu đăng nhập, truy cập hệ thống
thông tincó độ phức tạp cao (có độ dài tối thiểu 8 ký tự, có ký tự thường, ký tự
hoa, ký tự số hoặc ký tự đặc biệt như !, @, #, $, %) và phải được thay đổi ít
nhất 03 tháng/lần cho tất cả các tài khoản truy cập vào hệ thống máy chủ, thiết
bị mạng, máy tính, các ứng dụng;
e) Các cơ quan, đơn vị cần rà
soát tối thiểu 03 tháng/lần các tài khoản đăng nhập, bảo đảm các tài khoản và
quyền truy cập hệ thống được cấp phát đúng, đủ.
2. Đối với các hệ thống thông tin
a) Bảo đảm mỗi tài khoản của tổ
chức, cá nhân truy cập vào hệ thống thông tin là duy nhất;
b) Các hệ thống thông tin cần
giới hạn số lần đăng nhập sai liên tiếp vào hệ thống (từ 03 đến 05 lần). Hệ thống
tự động khóa tài khoản trong một khoảng thời gian nhất định nếu liên tục đăng
nhập sai vượt quá số lần quy định trước khi tiếp tục cho đăng nhập và có phương
thức hỗ trợ cấp lại mật khẩu tài khoản;
c) Đơn vị quản lý, vận
hành các hệ thống dùng chung sẽ không chịu trách nhiệm về những thiệt hại
do phía người dùng không tuân thủ các quy định về bảo vệ bí mật tài khoản dẫn
đến thông tin cá nhân bị đánh cắp hay bị sửa đổi, các ứng dụng bị sử dụng mạo
danh hay các hậu quả tiêu cực khác.
Điều 7. Quản lý nhật ký
trong quá trình vận hành các hệ thống thông tin
1. Các cơ quan, đơn vị phải thực hiện việc ghi
nhật ký trên các thiết bị mạng máy tính, phần mềm ứng dụng, hệ điều hành, cơ sở
dữ liệu nhằm bảo đảm các sự kiện quan trọng xảy ra trên hệ thống được ghi nhận
và lưu giữ. Các bản ghi nhật kýnày phải được bảo vệ an toàn nhằm sử dụng để phục
vụ công tác kiểm tra, phân tích khi cần thiết.
2. Các sự kiện tối thiểu cần phải được ghi nhật
ký gồm: quá trình đăng nhập hệ thống; tạo, cập nhật hoặc xóa dữ liệu; các hành
vi xem, thiết lập cấu hình hệ thống; việc thiết lập các kết nối bất thường vào và
ra hệ thống; thay đổi quyền truy cập hệ thống.
3. Thường xuyên thực hiện việc theo dõi bản ghi
nhật ký của hệ thống và các sự kiện khác có liên quan để đánh giá, báo cáo các
rủi ro và mức độ nghiêm trọng các rủi ro đó.
Điều 8. Phòng chống phần mềm
độc hại
1. Tất cả các máy trạm, máy chủ phải được trang
bị phần mềm phòng chống phần mềm độc hại. Các phần mềm phòng chống phần mềm độc
hại phải được thiết lập chế độ tự động cập nhật; chế độ tự động quét phần mềm độc
hại khi sao chép, mở các tập tin.
2. Hệ điều hành, phần mềm cài đặt trên máy chủ,
máy trạm phải được cập nhật vá lỗ hổng bảo mật thường xuyên, kịp thời.
3. Cán bộ, công chức, viên chức và người lao động
không được tự ý gỡ bỏ các phần mềm phòng, chống phần mềm độc hại trên máy tính
khi chưa có sự đồng ý của người có thẩm quyền trong cơ quan.
4. Tất cả các máy tính của đơn vị phải được cấu
hình vô hiệu hóa tính năng tự động thực thi (autoplay) các tập tin trên các thiết
bị lưu trữ di động.
5. Các máy tính xách tay, thiết bị di động (điện
thoại thông minh, máy tính bảng,...)trước khi kết nối vào mạng LAN nội bộ của
cơ quan, đơn vị phải bảo đảm đã được cài chương trình phòng chống phần mềm độc
hại và đã được kiểm duyệt về các phần mềm độc hại.
6. Tất cả các tập tin, thư mục phải được quét phần
mềm độc hại trước khi sao chép, sử dụng.
7. Máy chủ chỉ được dùng để cài đặt các phần mềm,
dịch vụ dùng chung của cơ quan, đơn vị; không cài đặt phần mềm không rõ nguồn
gốc, phần mềm phục vụ mục đích cá nhân và mục đích khác, không phục vụ công việc.
8. Khi phát hiện ra bất kỳ dấu hiệu nào liên
quan đến việc bị nhiễm phần mềm độc hại trên máy trạm như: máy hoạt động chậm bất
thường, cảnh báo từ phần mềm phòng chống phần mềm độc hại, tình trạng này lặp
đi lặp lại nhiều lần, ở các vị trí khác nhau; quan trọng nhất là có dấu hiệu mất
dữ liệu..., người sử dụng phải tắt máy, ngắt kết nối từ máy tính đến mạng LAN nội
bộ, mạng WAN nội tỉnh, mạng Internet,... và báo trực tiếp cho bộ phận có trách
nhiệm của đơn vị để xử lý.
Điều 9. Bảo đảm an toàn
trong xây dựng hệ thống thông tin
1. Các hoạt động liên quan đến xây dựng, thiết lập,
quản lý, vận hành, nâng cấp mở rộng hệ thống thông tin phải thực hiện xác định
cấp độ và phương án bảo đảm an toàn thông tin mạng theo quy định tại Nghị định số
85/2016/NĐ-CP ngày 01/7/2016 của Chính phủ về bảo đảm an toàn hệ thống thông
tin theo cấp độ và hướng dẫn tại Thông tư số 03/2017/TT-BTTTT ngày 24/4/2017 của
Bộ Thông tin và Truyền thông quy định chi tiết và hướng dẫn một số điều của
Nghị định số 85/2016/NĐ-CP ngày 01/7/2016 của Chính phủ về bảo đảm an toàn hệ
thống thông tin theo cấp độ.
2. Nhiệm vụ quản lý về hướng dẫn xác định hệ
thống thông tin và cấp độ an toàn hệ thống thông tin; thực hiện các yêu cầu
bảo đảm an toàn hệ thống thông tin theo cấp độ; thực hiện kiểm tra, đánh giá
an toàn thông tin mạng; tiếp nhận và thẩm định hồ sơ đề xuất cấp độ; báo cáo,
chia sẻ thông tin thực hiện theo hướng dẫn của Bộ Thông tin và Truyền
thông tại Thông tư số 03/2017/TT-BTTTT ngày 24/4/2017.
3. Cơ quan, đơn vị chủ quản hệ thống thông
tin phải tổ chức kiểm tra, đánh giá định kỳ về an toàn thông tin của các
hệ thống thông tin đang quản lý.
4. Sở Thông tin và Truyền thông tổ chức kiểm
tra, đánh giá an toàn thông tin đối với các hệ thống thông tin do Sở phê
duyệt hồ sơ đề xuất cấp độ; kiểm tra việc tuân thủ quy định của pháp luật về bảo
đảm an toàn hệ thống thông tin
Điều 10. Sao lưu dữ liệu dự
phòng
1. Đối với các Cơ quan, đơn vị và người sử dụng:
a) Khi lưu trữ, khai thác,
trao đổi thông tin, dữ liệu phải bảo đảm tính toàn vẹn, tính tin cậy, tính sẵn
sàng. Khi lưu trữ, trao đổi thông tin, dữ liệu quan trọng phải áp dụng kỹ thuật
mã hóa, thiết lập mật mã, ứng dụng chữ ký số và phải có cơ chế lưu trữ dự
phòng;
b) Phải lập kế hoạch và thực
hiện sao lưu dữ liệu dự phòng định kỳ ít nhất một lần trong tháng các dữ liệu
quan trọng, bao gồm: cơ sở dữ liệu và các dữ liệu quan trọng được triển khai,
lưu trữ (bao gồm dữ liệu phát sinh trong quá trình vận hành các phần mềm ứng dụng
như: các tập tin văn bản, hình ảnh, các tập tin dữ liệu khác). Sau khi sao lưu,
lưu trữ bản sao lưu bằng thiết bị lưu trữ ngoài (như: đĩa quang, ổ cứng ngoài,
các thiết bị lưu trữ khác) theo quy định lưu trữ hiện hành, bảo đảm tính sẵn
sàng, bảo mật và toàn vẹnnhằm đáp ứng yêu cầu phục hồi dữ liệu, khắc phục hệ thống
thông tin cho hoạt động bình thường kịp thời khi có sự cố xảy ra.
2. Đối với cơ quan, đơn vị chủ quản các hệ
thống thông tin
a) Có trách nhiệm ban hành và
thực hiện quy trình sao lưu dự phòng và phục hồi cho các phần mềm, dữ liệu;
b) Xây dựng danh sách các dữ
liệu, phần mềm cần được sao lưu, có phân loại theo thời gian lưu trữ, thời gian
sao lưu, phương pháp sao lưu và thời gian kiểm tra phục hồi hệ thống từ dữ liệu
sao lưu;
c) Phải lưu trữ dữ liệu sao
lưu ở nơi an toàn, không cùng phân vùng lưu trữ các ứng dụng và được kiểm tra
thường xuyên, bảo đảm sẵn sàng cho việc sử dụng khi cần thiết.
Điều 11. Quản lý sự cố
1. Phân loại mức độ nghiêm trọng của các sự cố,
bao gồm:
a) Thấp: sự cố gây ảnh hưởng cá nhân và không
làm gián đoạn hay đình trệ hoạt động chính của cơ quan, đơn vị như: máy tính trạm
bị nhiễm phần mềm độc hại, phần mềm hệ điều hành, các phần mềm ứng dụng cài đặt
trên máy tính cá nhân phát sinh lỗi;
b) Trung bình: sự cố ảnh hưởng đến một nhóm người
dùng nhưng không gây gián đoạn hay đình trệ hoạt động chính của đơn vị như: hệ
thống mạng của 1 (một) phòng, ban thuộc đơn vị bị ngưng hoạt động, phần mềm độc
hại lây nhiễm tất cả các máy tính trạm trong 01 phòng, ban;
c) Cao: sự cố làm cho thiết bị, phần mềm hay hệ
thống không thể sử dụng được và gây ảnh hưởng đến một trong các hoạt động chính
của cơ quan như: hệ thống quản lý văn bản và điều hành, hồ sơ cấp phép, một cửa
điện tử của đơn vị bị ngưng hoạt động, một số thiết bị công nghệ thông tin quan
trọng (bộ chuyển mạch trung tâm, thiết bị định tuyến, thiết bị tường lửa, máy
chủ quản lý tập tin chung,) bị hư hỏng;
d) Khẩn cấp: sự cố ảnh hưởng đến sự liên tục của
nhiều hoạt động chính của cơ quan, đơn vị như: toàn bộ hệ thống thiết bị công
nghệ thông tin, hệ thống cung cấp điện ngừng hoạt động, hệ thống trang thông
tin điện tử bị tin tặc (hacker) tấn công, xâm nhập, thay đổi nội dung...
2. Khi có sự cố hoặc nguy cơ mất an toàn thông
tin mạng xảy ra như: hệ thống hoạt động chậm bất thường, không truy cập được hệ
thống, nội dung thông tin bị thay đổi không chủ động hoặc các dấu hiệu bất thường
khác thì tiến hành quy trình ứng cứu sự cố theo các bước sau:
a) Bước 1: Nếu hệ thống có nguy cơ mất an toàn
thông tin mạng thuộc thẩm quyền cơ quan, đơn vị trực tiếp quản lý thì thực hiện
tiếp Bước 2. Nếu hệ thống có nguy cơ mất an toàn thông tin mạng thuộc Trung tâm
Công nghệ thông tin và Truyền thông trực thuộc Sở Thông tin và Truyền thông quản
lý (các hệ thống được triển khai tập trung tại Trung tâm Dữ liệu tỉnh) thì thực
hiện tiếp Bước 3;
b) Bước 2: Tiến hành xử lý sự cố theo quy chế nội
bộ của cơ quan, đơn vị. Nếu sự cố được khắc phục thì lập biên bản ghi nhận và kết
thúc quy trình phối hợp xử lý sự cố. Khi sự cố vượt quá khả năng xử lý của cơ
quan, lập biên bản ghi nhận và thực hiện tiếp Bước 3;
c) Bước 3: Báo sự cố đến Sở Thông tin và Truyền
thông theo mẫu số 03 của Thông tư số
20/2017/TT-BTTTT và thực hiện tiếp Bước 4;
d) Bước 4: Phối hợp với Trung tâm Công nghệ
thông tin và Truyền thông trực thuộc Sở Thông tin và Truyền thông và các cơ
quan,tổ chức có liên quan để tiến hành khắc phục sự cố và thực hiện tiếp Bước
5;
đ) Bước 5: Lập biên bản ghi nhận và kết thúc quy
trình phối hợp xử lý sự cố theo mẫu số 04
của Thông tư số 20/2017/TT-BTTTT , lãnh đạo cơ quan, đơn vị phải chỉ đạo kịp thời
để khắc phục và hạn chế thiệt hại, báo cáo bằng văn bản cho cơ quan cấp trên trực
tiếp quản lý và Sở Thông tin và Truyền thông.
3. Trường hợp có sự cố nghiêm trọng ở mức độ
cao, khẩn cấp hoặc vượt quá khả năng khắc phục của cơ quan, đơn vị, lãnh đạo cơ
quan, đơn vị phải báo cáo ngay cho cơ quan cấp trên quản lý trực tiếp và Sở
Thông tin và Truyền thông để được hướng dẫn, hỗ trợ.
Chương III
TRÁCH NHIỆM BẢO ĐẢM AN
TOÀN THÔNG TIN MẠNG
Điều 12. Trách nhiệm của
Ban chỉ đạo xây dựng chính quyền điện tử
Ban chỉ đạo xây dựng chính quyền điện tử tỉnh đảm
nhiệm chức năng Ban chỉ đạo ứng cứu khẩn cấp sự cố an toàn thông tin mạng tại tỉnh
Bắc Ninh và có trách nhiệm, quyền hạn thực hiện theo quy định tại Điều 5 Quyết
định số 05/2017/QĐ-TTg ngày 16/3/2017 của Thủ tướng Chính phủ về ban hành quy định
về hệ thống phương án ứng cứu khẩn cấp bảo đảm an toàn thông tin mạng quốc gia.
Điều 13. Trách nhiệm của Sở
Thông tin và Truyền thông
1. Tham mưu giúp UBND tỉnh về công tác bảo đảm
an toàn thông tin mạng trên địa bàn tỉnh và chịu trách nhiệm trước UBND tỉnh
trong việc bảo đảm an toàn thông tin mạng cho các hệ thống thông tin của tỉnh.
2. Thực hiện thủ tục xác định cấp độ an toàn
thông tin mạng và bảo đảm an toàn cho các hệ thống thông tin theo quy định của
Luật An toàn thông tin mạng, Nghị định số 85/2016/NĐ-CP ngày 01/7/2016 của
Chính phủ về bảo đảm an toàn hệ thống thông tin theo cấp độ và hướng dẫn tại
Thông tư số 03/2017/TT-BTTTT ngày 24/4/2017 của Bộ Thông tin và Truyền thông
quy định chi tiết và hướng dẫn một số điều của Nghị định số 85/2016/NĐ-CP
ngày 01/7/2016 của Chính phủ về bảo đảm an toàn hệ thống thông tin theo cấp độ.
3. Hàng năm xây dựng kế hoạch, tổng hợp nhu cầu
của các cơ quan, đơn vị để triển khai công tác an toàn thông tin mạng trong hoạt
động ứng dụng công nghệ thông tin của cơ quan nhà nước trên địa bàn tỉnh theo
quy định.
4. Chủ trì, phối hợp với các cơ quan, đơn vị
liên quan thanh tra, kiểm tra định kỳ hoặc đột xuất; kịp thời phát hiện và xử
lý theo thẩm quyền đối với các hành vi vi phạm an toàn thông tin mạng trên địa
bàn tỉnh.
5. Xây dựng và triển khai các chương trình đào tạo,
hội nghị tuyên truyền về an toàn thông tin mạng trong hoạt động ứng dụng công
nghệ thông tin của các cơ quan nhà nước trên địa bàn tỉnh.
6. Chỉ đạo, hướng dẫn về nghiệp vụ quản lý vận
hành, kỹ thuật bảo đảm an toàn thông tin mạng; hỗ trợ giải quyết sự cố khi có
yêu cầu.
7. Hướng dẫn, giám sát các cơ quan, đơn vị trên địa
bàn tỉnh xây dựng quy định nội bộ và thực hiện việc bảo đảm an toàn thông tin mạng
cho hệ thống thông tin theo quy định của Nhà nước.
8. Tham gia mạng lưới ứng cứu sự cố an toàn
thông tin mạng quốc gia và thực hiện trách nhiệm, quyền hạn của thành viên mạng
lưới ứng cứu an toàn thông tin mạng quốc gia theo quy định tại Quyết định số
05/2017/QĐ-TTg ngày 16/3/2017 của Thủ tướng Chính phủ ban hành quy định về hệ
thống phương án ứng cứu khẩn cấp bảo đảm an toàn thông tin mạng quốc gia.
9. Tổng hợp và báo cáo về tình hình an toàn
thông tin mạng theo định kỳ cho Bộ Thông tin và Truyền thông, Ủy ban nhân dân tỉnh
và các cơ quan, đơn vị có liên quan.
Điều 14. Trách nhiệm của
Công an tỉnh
1. Chủ trì, phối hợp với Sở Thông tin và Truyền
thông và các cơ quan, đơn vị có liên quan xây dựng kế hoạch, kiểm soát, phòng
ngừa, đấu tranh, ngăn chặn các loại tội phạm lợi dụng hệ thống thông tin gây
phương hại đến an ninh quốc gia, gây mất an ninh trật tự và an toàn xã hội
trên địa bàn tỉnh.
2. Phối hợp với Sở Thông tin và Truyền thông
trong công tác thanh tra, kiểm tra về an toàn thông tin mạng.
3. Điều tra và xử lý các tổ chức, cá nhân vi phạm
pháp luật về an toàn thông tin mạng theo thẩm quyền.
Điều 15. Trách nhiệm của Sở
Kế hoạch và Đầu tư
Tổng hợp các Đề án, Dự án về bảo đảm an toàn
thông tin mạng của các sở, ban, ngành; Chủ trì, phối hợp các đơn vị liên quan
tham mưu UBND tỉnh trình Hội đồng nhân dân thông qua vốn phân bổ kế hoạch vốn
trung hạn và hàng năm của các sở, ban, ngành thực hiện các Đề án, Dự án về bảo
đảm an toàn thông tin mạng.
Điều 16. Trách nhiệm của Sở
Tài chính
Hàng năm, căn cứ khả năng cân đối ngân sách và
chế độ, tiêu chuẩn, định mức do nhà nước ban hành, tham mưu UBND tỉnh bố trí
kinh phí triển khai thực hiện các dự án, nhiệm vụ về bảo đảm an toàn thông tin
mạng.
Điều 17. Trách nhiệm của
các cơ quan, đơn vị
1. Thủ trưởng cơ quan, đơn vị có trách nhiệm tổ
chức thực hiện các quy định tại Quy chế này và chịu trách nhiệm trước Ủy ban
nhân dân tỉnh trong công tác bảo đảm an toàn thông tin mạng của cơ quan, đơn vị
mình.
2. Phân công bộ phận hoặc cán bộ chuyên trách bảo
đảm an toàn thông tin mạng của đơn vị; tạo điều kiện để các cán bộ phụ trách an
toàn thông tin mạng được học tập, nâng cao trình độ về an toàn thông tin mạng;
thường xuyên tổ chức quán triệt các quy định về an toàn thông tin mạng trong cơ
quan, đơn vị; xác định các yêu cầu, trách nhiệm bảo đảm an toàn thông tin mạng
đối với các vị trí cần tuyển dụng hoặc phân công.
3. Ban hành quy định, quy trình nội bộ về bảo đảm
an toàn thông tin mạng phù hợp với Quy chế này và các quy định của pháp luật.
4. Các cơ quan, đơn vị có trách nhiệm thực hiện
xác định cấp độ an toàn thông tin mạng và bảo đảm an toàn cho hệ thống thông
tin của đơn vị quản lý theo quy định tại Luật An toàn thông tin mạng, Nghị định
số 85/2016/NĐ-CP ngày 01/7/2016 của Chính phủ về bảo đảm an toàn hệ thống
thông tin theo cấp độ và hướng dẫn tại Thông tư số 03/2017/TT-BTTTT ngày
24/4/2017 của Bộ Thông tin và Truyền thông quy định chi tiết và hướng dẫn một
số điều của Nghị định số 85/2016/NĐ-CP ngày 01/7/2016 của Chính phủ về bảo đảm
an toàn hệ thống thông tin theo cấp độ.
5. Phối hợp, cung cấp thông tin và tạo điều kiện
cho các đơn vị có thẩm quyền triển khai công tác kiểm tra khắc phục sự cố an
toàn thông tin mạng kịp thời, nhanh chóng và đạt hiệu quả.
6. Phối hợp chặt chẽ với Công an tỉnh, Sở Thông
tin và Truyền thông và các đơn vị liên quan trong công tác phòng ngừa, đấu
tranh, ngăn chặn các hoạt động xâm phạm an toàn thông tin mạng.
7. Định kỳ mỗi 6 tháng các cơ quan, đơn vị lập
báo cáo về tình hình an toàn thông tin mạng, gửi về Sở Thông tin và Truyền
thông (theo hướng dẫn của Sở Thông tin và Truyền thông).
Điều 18. Trách nhiệm của
cán bộ, công chức, viên chức và người lao động trong các cơ quan, đơn vị
1. Trách nhiệm của cán bộ, công chức, viên chức
phụ trách an toàn thông tin mạng:
a) Chịu trách nhiệm bảo đảman toàn thông tin mạng
của đơn vị;
b) Tham mưu lãnh đạo cơ quan, đơn vị ban hành
các quy định, quy trình nội bộ, triển khai các giải pháp kỹ thuật bảo đảman
toàn thông tin mạng;
c) Thực hiện việc giám sát, đánh giá, báo cáo thủ
trưởng cơ quan, đơn vị các rủi ro mất an toàn thông tin mạng và mức độ nghiêm
trọng của các rủi ro đó;
d) Phối hợp với các tổ chức, cá nhân có liên
quan trong việc kiểm soát, phát hiện và khắc phục các sự cố an toàn, an ninh
thông tin.
2. Trách nhiệm của cán bộ, công chức, viên chức
và người lao động trong các cơ quan, đơn vị:
a) Nghiêm túc chấp hành các quy định, quy trình
nội bộ, Quy chế này và các quy định khác của pháp luật về an toàn thông tin mạng.
Chịu trách nhiệm bảo đảm an toàn thông tin mạng trong phạm vi trách nhiệm và
quyền hạn được giao;
b) Khi tham gia vận hành mạng máy tính của cơ
quan, đơn vị phải nghiêm chỉnh chấp hành chế độ bảo mật, an toàn, an ninh thông
tin đồng thời chịu trách nhiệm đối với các thông tin mà mình cung cấp. Mỗi cán
bộ, công chức, viên chức và người lao động phải có trách nhiệm tự quản lý, bảo
quản thiết bị mà mình được giao sử dụng; không tự ý thay đổi, tháo lắp các thiết
bị trên máy tính; không được vào các trang thông tin điện tử không rõ về nội
dung; không tải và cài đặt các phần mềm không rõ nguồn gốc, không liên quan đến
công việc chuyên môn; không nhấp chuột vào các đường dẫn lạ không rõ về nội
dung; không cho phép bất cứ hành vi nào gây tổn hại đến dịch vụ, gây hư hỏng
thiết bị mạng; không cung cấp thông tin không trung thực để công bố trên mạng;
sử dụng mạng để thâm nhập vào các mạng máy tính khi chưa được phép; không đưa
các thông tin có nội dung “mật”, “tối mật” và “tuyệt mật” lên hệ thống máy tính
có kết nối mạng Internet;
c) Trong trao đổi thông tin, dữ liệu phục vụ
công việc, các cơ quan, đơn vị, cán bộ, công chức, viên chức phải sử dụng hệ thống
thông tin do cơ quan, đơn vị có thẩm quyền triển khai như: hệ thống thư điện tử
tỉnh (@bacninh.gov.vn) hoặc hệ thống thư điện tử của bộ, ngành, lĩnh vực; hệ thống
quản lý văn bản và điều hành. Mỗi cán bộ, công chức, viên chức và người lao động
không sử dụng các trang mạng xã hội, các dịch vụ thư điện tử công cộng,… để
trao đổi thông tin quan trọng liên quan đến công việc chuyên môn của cơ quan,
đơn vị;
d) Khi phát hiện nguy cơ hoặc sự cố mất an toàn
thông tin mạng phải báo cáo ngay với cấp trên và bộ phận chuyên trách công nghệ
thông tin của đơn vị để kịp thời ngăn chặn và xử lý;
đ)Tham gia các chương trình đào tạo, hội nghị về
an toàn thông tin mạng do các cơ quan, đơn vị chuyên trách an toàn thông tin mạnghoặc
Sở Thông tin và Truyền thông tổ chức.
Điều 19. Trách nhiệm của
các tổ chức, cá nhân khác
Các tổ chức, cá nhân khác có sử dụng các hệ thống
thông tin do UBND tỉnh triển khai hoặcliên quan đến hoạt động ứng dụng công nghệ
thông tin của các cơ quan nhà nước tỉnh Bắc Ninh phải tuân thủ Quy chế này và
các quy định hiện hành của pháp luật có liên quan.
Chương IV
ĐIỀU KHOẢN THI HÀNH
Điều 20. Khen thưởng và xử
lý vi phạm
1. Hàng năm, Sở Thông tin và
Truyền thông căn cứ kết quả kiểm tra, đánh giá, báo cáo công tác bảo đảm an
toàn thông tin mạng của các cơ quan, đơn vị đề xuất UBND tỉnh xem xét khen thưởng
cho các cá nhân, đơn vị có nhiều thành tích trong công tác bảo đảm an toàn
thông tin mạng theo quy định hiện hành.
2. Tổ chức, cá nhân có hành vi
vi phạm quy chế này thì tùy theo tính chất, mức độ vi phạm mà bị xử lý theo quy
định hiện hành.
Điều 21. Tổ chức thực hiện
1. Sở Thông tin và Truyền
thông chủ trì, phối hợp với các sở, ban, ngành, UBND các huyện, thị xã, thành
phố và các tổ chức, cá nhân có liên quan triển khai thực hiện Quy chế này.
2. Thủ trưởng các sở, ban,
ngành, đơn vị thuộc UBND tỉnh, Chủ tịch Ủy ban nhân dân các huyện, thị xã,
thành phố chịu trách nhiệm tổ chức triển khai thực hiện Quy chế tại cơ quan,
đơn vị, địa phương mình.
3. Trong quá trình thực hiện nếu
có phát sinh khó khăn, vướng mắc cần sửa đổi, bổ sung các cơ quan, đơn vị kịp
thời báo cáo về Sở Thông tin và Truyền thông tổng hợp trình UBND tỉnh xem xét,
giải quyết./.