|
BỘ TƯ PHÁP
-------
|
CỘNG HÒA XÃ HỘI
CHỦ NGHĨA VIỆT NAM
Độc lập - Tự do - Hạnh phúc
---------------
|
|
Số: 2692/QĐ-BTP
|
Hà Nội, ngày 09
tháng 11 năm 2023
|
QUYẾT ĐỊNH
BAN
HÀNH QUY CHẾ BẢO ĐẢM AN TOÀN, AN NINH THÔNG TIN MẠNG THEO CẤP ĐỘ CHO TRUNG TÂM
DỮ LIỆU ĐIỆN TỬ BỘ TƯ PHÁP
BỘ TRƯỞNG BỘ TƯ PHÁP
Căn cứ Luật An
toàn thông tin mạng số 86/2015/QH13 ngày 19/11/2015;
Căn cứ Luật An
ninh mạng số 24/2018/QH14 ngày 12/6/2018;
Căn cứ Luật Bảo vệ
bí mật nhà nước số 29/2018/QH14 ngày 15/11/2018;
Căn cứ Nghị định số 98/2022/NĐ-CP
ngày 29/11/2022 của Chính phủ quy định về chức năng, nhiệm vụ, quyền hạn và cơ
cấu tổ chức của Bộ Tư pháp;
Căn cứ Nghị định số 85/2016/NĐ-CP
ngày 01/7/2016 của Chính phủ về bảo đảm an toàn hệ thống thông tin theo cấp độ;
Căn cứ Nghị định số 53/2022/NĐ-CP
ngày 15/8/2022 của Chính phủ về Quy định chi tiết một số điều của Luật An ninh mạng;
Căn cứ Thông tư số 12/2022/TT-BTTTT
ngày 12/8/2022 của Bộ Thông tin và Truyền thông Quy định chi tiết và hướng dẫn
một số điều của Nghị định số 85/2016/NĐ-CP
ngày 01/7/2016 của Chính phủ về bảo đảm an toàn hệ thống thông tin theo cấp độ;
Theo đề nghị của Cục trưởng Cục Công nghệ thông
tin.
QUYẾT ĐỊNH:
Điều 1. Ban hành kèm theo Quyết định này Quy chế Bảo đảm an toàn, an
ninh thông tin mạng theo cấp độ cho Trung tâm dữ liệu điện tử Bộ Tư pháp.
Điều 2. Quyết định này có hiệu lực kể từ ngày ký.
Điều 3. Cục trưởng Cục Công nghệ thông tin, Chánh Văn phòng Bộ, Vụ
trưởng Vụ Tổ chức cán bộ, Cục trưởng Cục Kế hoạch - Tài chính, Thủ trưởng các
đơn vị và cá nhân có liên quan thuộc Bộ Tư pháp chịu trách nhiệm thi hành Quyết
định này./.
|
Nơi nhận:
- Như điều 3;
- Bộ trưởng Lê Thành Long (để b/c);
- Các Thứ trưởng (để biết);
- Lưu: VT, Cục CNTT.
|
KT. BỘ TRƯỞNG
THỨ TRƯỞNG
Mai Lương Khôi
|
QUY CHẾ
BẢO
ĐẢM AN TOÀN, AN NINH THÔNG TIN MẠNG THEO CẤP ĐỘ CHO TRUNG TÂM DỮ LIỆU ĐIỆN TỬ BỘ
TƯ PHÁP
(Ban hành kèm theo Quyết định số 2692/QĐ-BTP ngày 09 tháng 11 năm 2023 của Bộ
trưởng Bộ Tư pháp)
Chương I
QUY ĐỊNH CHUNG
Điều 1. Phạm vi điều chỉnh và
đối tượng áp dụng
1. Phạm vi điều chỉnh
Quy chế này quy định về các chính sách quản lý và
các biện pháp nhằm bảo đảm an toàn, an ninh thông tin mạng theo cấp độ cho
Trung tâm dữ liệu điện tử Bộ Tư pháp.
2. Đối tượng áp dụng
a) Các đơn vị thuộc Bộ Tư pháp (sau đây gọi là đơn
vị thuộc Bộ) và cán bộ, công chức, viên chức, người lao động của Bộ Tư pháp
(sau đây gọi là cá nhân thuộc Bộ).
b) Đơn vị, cá nhân có kết nối, sử dụng hệ thống mạng
tại Trung tâm dữ liệu điện tử Bộ Tư pháp.
c) Đơn vị, cá nhân cung cấp dịch vụ quản lý, vận
hành, duy trì, phát triển và bảo đảm an toàn, an ninh thông tin mạng phục vụ hoạt
động tại Trung tâm dữ liệu điện tử Bộ Tư pháp.
Điều 2. Giải thích từ ngữ
Trong quy chế này, các từ ngữ dưới đây được hiểu
như sau:
1. An toàn thông tin mạng là sự bảo vệ thông
tin, hệ thống thông tin trên mạng tránh bị truy nhập, sử dụng, tiết lộ, gián đoạn,
sửa đổi hoặc phá hoại trái phép nhằm bảo đảm tính nguyên vẹn, tính bảo mật và
tính khả dụng của thông tin.
2. An ninh mạng là sự bảo đảm hoạt động trên
không gian mạng không gây phương hại đến an ninh quốc gia, trật tự, an toàn xã
hội, quyền và lợi ích hợp pháp của cơ quan, tổ chức, cá nhân.
3. Hệ thống thông tin là tập hợp phần cứng,
phần mềm và cơ sở dữ liệu được thiết lập phục vụ mục đích tạo lập, cung cấp,
truyền đưa, thu thập, xử lý, lưu trữ và trao đổi thông tin trên mạng.
4. Phần mềm độc hại là phần mềm có khả năng
gây ra hoạt động không bình thường cho một phần hay toàn bộ hệ thống thông tin
hoặc thực hiện sao chép, sửa đổi, xóa bỏ trái phép thông tin lưu trữ trong hệ
thống thông tin.
5. Thiết bị đầu cuối là những thiết bị như
điện thoại cố định, điện thoại di động, máy tính, máy fax, USB, các thiết bị
Bluetooth, máy bán hàng,... có nhiệm vụ giải mã những tín hiệu và mã do tổng
đài hoặc trung tâm chuyển mạch chuyển đến.
Điều 3. Chủ quản hệ thống
thông tin
Chủ quản hệ thống thông tin được quy định tại khoản 2 điều 5 Quyết định số 45/QĐ-BTP ngày 16/01/2023 của Bộ
Tư pháp Ban hành Quy chế Bảo đảm an toàn, an ninh mạng Bộ Tư pháp.
Điều 4. Đơn vị vận hành hệ thống
thông tin
Đơn vị vận hành hệ thống thông tin được quy định tại
khoản 3 điều 5 Quyết định số 45/QĐ-BTP ngày 16/01/2023 của Bộ
Tư pháp Ban hành Quy chế Bảo đảm an toàn, an ninh mạng Bộ Tư pháp.
Điều 5. Đơn vị chuyên trách về
an toàn, an ninh mạng
Cục Công nghệ thông tin là đơn vị chuyên trách về
an toàn, an ninh mạng cho Trung tâm dữ liệu điện tử Bộ Tư pháp.
Điều 6. Mục tiêu, nguyên tắc bảo
đảm an toàn thông tin
1. Mục tiêu
Bảo vệ thông tin, hệ thống thông tin trên mạng tránh
bị truy nhập, sử dụng, tiết lộ, gián đoạn, sửa đổi hoặc phá hoại trái phép nhằm
bảo đảm tính nguyên vẹn, tính bảo mật và tính khả dụng tại Trung tâm dữ liệu điện
tử Bộ Tư pháp.
2. Nguyên tắc
a) Cơ quan, tổ chức thuộc đối tượng áp dụng Quy chế
này có trách nhiệm bảo đảm an toàn, an ninh thông tin mạng theo cấp độ cho
Trung tâm dữ liệu điện tử Bộ Tư pháp trong phạm vi xử lý công việc của mình
theo quy định của pháp luật, hướng dẫn của cơ quan, đơn vị có thẩm quyền và các
quy định tại Quy chế này.
b) Bảo đảm an toàn, an ninh thông tin mạng theo cấp
độ cho Trung tâm dữ liệu điện tử Bộ Tư pháp là yêu cầu bắt buộc, phải được thực
hiện thường xuyên, liên tục trong quá trình:
- Thu thập, tạo lập, xử lý, truyền tải, lưu trữ và
sử dụng thông tin, dữ liệu;
- Thiết kế, thiết lập và vận hành, nâng cấp, hủy bỏ
hệ thống thông tin.
c) Việc bảo đảm an toàn, an ninh thông tin mạng
theo cấp độ cho Trung tâm dữ liệu điện tử Bộ Tư pháp được thực hiện một cách tổng
thể, đồng bộ, tập trung trong việc đầu tư các giải pháp bảo vệ, có sự dùng
chung, chia sẻ tài nguyên để tối ưu hiệu năng, tránh đầu tư thừa, trùng lặp.
Điều 7. Những hành vi nghiêm cấm
Các hành vi bị nghiêm cấm quy định tại điều 4 Quyết định số 45/QĐ-BTP ngày 16/01/2023 của Bộ Tư pháp
Ban hành Quy chế Bảo đảm an toàn, an ninh mạng Bộ Tư pháp.
Điều 8. Phối hợp với những cơ
quan/tổ chức có thẩm quyền
1. Đầu mối liên hệ, phối hợp với các cơ quan, tổ chức
có thẩm quyền quản lý về an toàn, an ninh thông tin mạng theo cấp độ cho Trung
tâm dữ liệu điện tử Bộ Tư pháp:
a) Bộ Tư pháp giao Cục Công nghệ thông tin, là đầu
mối liên hệ, phối hợp với các cơ quan, tổ chức có thẩm quyền quản lý về an
toàn, an ninh thông tin mạng phục vụ việc bảo đảm an toàn, an ninh thông tin mạng
theo cấp độ tại Trung tâm dữ liệu điện tử Bộ Tư pháp.
b) Cục Công nghệ thông tin làm đầu mối, tổ chức thực
hiện việc tiếp nhận và xử lý các sự cố về an toàn, an ninh thông tin mạng theo
cấp độ cho Trung tâm dữ liệu điện tử Bộ Tư pháp.
2. Các đơn vị, cá nhân trực thuộc Bộ Tư pháp tham
gia các hoạt động, công tác bảo đảm an toàn, an ninh thông tin mạng khi có yêu
cầu của các cơ quan, tổ chức có thẩm quyền.
3. Các đơn vị thuộc Bộ Tư pháp trực tiếp xây dựng,
quản lý, vận hành Hệ thống thông tin của đơn vị được cài đặt vận hành trên nền
tảng hạ tầng kỹ thuật của Trung tâm dữ liệu điện tử Bộ Tư pháp có trách nhiệm
phối hợp với Cục Công nghệ thông tin trong việc xử lý các sự cố về an toàn, an
ninh thông tin mạng tại Trung tâm dữ liệu điện tử Bộ Tư pháp.
Điều 9. Bảo đảm an toàn, an
ninh thông tin trong việc quản lý công chức, viên chức và người lao động
1. Thực hiện tuyển dụng công chức, viên chức và người
lao động theo quy trình, quy định, điều kiện tiêu chuẩn của pháp luật.
2. Trách nhiệm bảo đảm an toàn thông tin cho công
chức quản lý và vận hành hệ thống:
a) Công chức chuyên trách phải thiết lập phương
pháp hạn chế truy cập mạng không dây, giám sát và điều khiển truy cập không
dây, tổ chức sử dụng chứng thực và mã hóa để bảo vệ truy cập không dây tới hệ
thống thông tin.
b) Công chức chuyên trách phải tổ chức quản lý định
danh đối với tất cả người dùng tham gia sử dụng hệ thống thông tin.
c) Các cơ quan, địa phương và các tổ chức, cá nhân
tham gia sử dụng các dịch vụ của hệ thống phải tuân thủ các quy định về bảo đảm
an toàn, an ninh thông tin và chịu trách nhiệm đối với mọi hoạt động trên tài
khoản truy cập của mình đã được cấp trên hệ thống.
Chương II
BẢO ĐẢM AN TOÀN THÔNG
TIN TRONG QUẢN LÝ THIẾT KẾ, XÂY DỰNG HỆ THỐNG
Điều 10. Xác định hệ thống
thông tin
Việc xác định, phân loại hệ thống thông tin theo
quy định tại Điều 5 Thông tư số 12/2022/TT-BTTTT.
Điều 11. Thiết kế an toàn hệ
thống thông tin
1. Có tài liệu mô tả quy mô, phạm vi và đối tượng sử
dụng, khai thác, quản lý vận hành hệ thống thông tin.
2. Có tài liệu mô tả thiết kế và các thành phần của
hệ thống thông tin.
3. Có tài liệu mô tả phương án bảo đảm an toàn
thông tin theo cấp độ.
4. Có tài liệu mô tả phương án lựa chọn giải pháp
công nghệ bảo đảm an toàn thông tin.
5. Khi có thay đổi thiết kế, đánh giá lại tính phù
hợp của phương án thiết kế đối với các yêu cầu an toàn đặt ra đối với hệ thống.
6. Có phương án quản lý và bảo vệ hồ sơ thiết kế.
7. Có bộ phận chuyên môn, tổ chuyên gia đánh giá hồ
sơ thiết kế hệ thống thông tin, các biện pháp bảo đảm an toàn thông tin trước
khi triển khai thực hiện.
Điều 12. Phát triển phần mềm
thuê khoán
1. Có biên bản, hợp đồng và các cam kết đối với bên
thuê khoán các nội dung liên quan đến việc phát triển phần mềm thuê khoán.
2. Yêu cầu các nhà phát triển cung cấp mã nguồn phần
mềm.
3. Kiểm thử phần mềm trên môi trường thử nghiệm trước
khi đưa vào sử dụng.
4. Kiểm tra, đánh giá an toàn thông tin, trước khi
đưa vào sử dụng.
5. Khi thay đổi mã nguồn, kiến trúc phần mềm thực
hiện kiểm tra, đánh giá an toàn thông tin cho phần mềm.
6. Có cam kết của bên phát triển về bảo đảm tính bí
mật và bản quyền của phần mềm phát triển.
Điều 13. Thử nghiệm và nghiệm
thu hệ thống
1. Thực hiện thử nghiệm và nghiệm thu hệ thống trước
khi bàn giao và đưa vào sử dụng.
2. Có nội dung, kế hoạch, quy trình thử nghiệm và
nghiệm thu hệ thống.
3. Có bộ phận có trách nhiệm thực hiện thử nghiệm
và nghiệm thu hệ thống.
4. Có đơn vị độc lập (bên thứ ba) hoặc bộ phận độc
lập thuộc đơn vị thực hiện tư vấn và giám sát quá trình thử nghiệm và nghiệm
thu hệ thống.
5. Có báo cáo nghiệm thu được xác nhận của bộ phận
chuyên trách và phê duyệt của chủ quản hệ thống thông tin trước khi đưa vào sử
dụng.
Chương III
BẢO ĐẢM AN TOÀN THÔNG
TIN TRONG QUẢN LÝ VẬN HÀNH HỆ THỐNG THÔNG TIN
Điều 14. Quản lý nguồn nhân lực
1. Tuyển dụng
a) Công chức được tuyển dụng vào vị trí làm về an
toàn thông tin có trình độ, chuyên ngành về lĩnh vực công nghệ thông tin, an
toàn thông tin, phù hợp với vị trí tuyển dụng;
b) Có quy định, quy trình tuyển dụng công chức và
điều kiện tuyển dụng cán bộ;
c) Có chuyên gia trong lĩnh vực đánh giá, kiểm tra
trình độ chuyên môn phù hợp với vị trí tuyển dụng.
2. Trong quá trình làm việc
a) Có quy định về việc thực hiện nội quy, quy chế bảo
đảm an toàn thông tin cho người sử dụng, công chức quản lý và vận hành hệ thống;
b) Có kế hoạch và định kỳ hàng năm tổ chức phổ biến,
tuyên truyền nâng cao nhận thức về an toàn thông tin cho người sử dụng;
c) Có kế hoạch và định kỳ hàng năm tổ chức đào tạo
về an toàn thông tin hàng năm cho 03 nhóm đối tượng bao gồm: công chức kỹ thuật,
công chức quản lý và người sử dụng trong hệ thống.
3. Chấm dứt thay đổi công việc
a) Công chức chấm dứt hoặc thay đổi công việc phải
thu hồi thẻ truy cập, thông tin được lưu trên các phương tiện lưu trữ, các
trang thiết bị máy móc, phần cứng, phần mềm và các tài sản khác (nếu có) thuộc
sở hữu của tổ chức;
b) Có quy trình và thực hiện vô hiệu hóa tất cả các
quyền ra, vào, truy cập tài nguyên, quản trị hệ thống sau khi cán bộ thôi việc;
c) Có cam kết giữ bí mật thông tin liên quan đến tổ
chức sau khi nghỉ việc.
Điều 15. Quản lý an toàn mạng
1. Quản lý, vận hành hoạt động bình thường của hệ
thống mạng
a) Bảo đảm cho các thiết bị mạng, thiết bị máy chủ,
thiết bị lưu trữ sao lưu, thiết bị bảo mật hoạt động liên tục, ổn định và an
toàn.
b) Thường xuyên kiểm tra cấu hình, các file nhật ký
hoạt động của các thiết bị mạng, thiết bị máy chủ, thiết bị lưu trữ sao lưu,
thiết bị bảo mật nhằm kịp thời phát hiện và xử lý những sự cố nếu có.
c) Quản lý các thay đổi cấu hình kỹ thuật của các
thiết bị mạng, thiết bị máy chủ, thiết bị lưu trữ sao lưu, thiết bị bảo mật.
d) Thường xuyên cập nhật các bản vá bảo mật phần mềm
cho các thiết bị mạng, thiết bị máy chủ, thiết bị lưu trữ sao lưu, thiết bị bảo
mật từ nhà cung cấp.
e) Các bản quyền phần mềm của các thiết bị mạng,
thiết bị máy chủ, thiết bị lưu trữ sao lưu, thiết bị bảo mật cần được thống kê,
quản lý thời gian hạn phục vụ cho việc gia hạn.
g) Triển khai hệ thống phát hiện phòng chống xâm nhập
giữa các vùng mạng quan trọng.
h) Sử dụng thêm các phương pháp xác thực đa nhân tố
đối với các thiết bị mạng, thiết bị máy chủ, thiết bị lưu trữ sao lưu, thiết bị
bảo mật quan trọng.
i) Triển khai phương án cảnh báo thời gian thực trực
tiếp đến người quản trị hệ thống thông qua hệ thống giám sát khi phát hiện sự cố
trên các thiết bị mạng, thiết bị máy chủ, thiết bị lưu trữ sao lưu, thiết bị bảo
mật.
k) Duy trì ít nhất 02 kết nối mạng Internet từ các
ISP sử dụng hạ tầng kết nối trong nước khác nhau (nếu hệ thống buộc phải có kết
nối mạng Internet).
2. Cập nhật, sao lưu dự phòng và khôi phục sau khi
xảy ra sự cố
a) Triển khai hệ thống/phương tiện lưu trữ độc lập
với hệ thống lưu trữ trên các máy chủ dịch vụ để sao lưu dự phòng; phân loại và
quản lý thông tin, dữ liệu được lưu trữ theo từng loại/nhóm thông tin được gán
nhãn khác nhau; thực hiện sao lưu, dự phòng các thông tin, dữ liệu cơ bản sau:
tập tin cấu hình hệ thống, ảnh hệ điều hành máy chủ, cơ sở dữ liệu; dữ liệu,
thông tin nghiệp vụ.
b) Triển khai phương án dự phòng cho các thiết bị mạng
chính bảo đảm khả năng vận hành liên tục của hệ thống; năng lực của thiết bị dự
phòng phải đáp ứng theo quy mô hoạt động của hệ thống.
c) Triển khai hệ thống/phương tiện lưu trữ nhật ký
độc lập và phù hợp với hoạt động của các thiết bị mạng. Dữ liệu nhật ký phải được
lưu tối thiểu 06 tháng.
3. Truy cập và quản lý cấu hình hệ thống
a) Công chức, viên chức quản lý, vận hành truy cập,
khai thác thông tin tại Trung tâm dữ liệu theo trách nhiệm và phân quyền được
quy định; việc khai thác thông tin phải bảo đảm nguyên tắc bảo mật, không được
tự ý cung cấp thông tin ra bên ngoài.
b) Công chức, viên chức quản lý, vận hành có trách
nhiệm theo dõi và phát hiện các trường hợp truy cập hệ thống trái phép hoặc
thao tác vượt quá giới hạn, báo cáo cho cán bộ quản lý để tiến hành ngăn chặn,
thu hồi, khóa quyền truy cập của các tài khoản vi phạm.
c) Cấu hình tối ưu, tăng cường bảo mật cho thiết bị
hệ thống (cứng hóa) trước khi đưa vào vận hành, khai thác.
d) Quy trình kết nối thiết bị đầu cuối của người sử
dụng vào hệ thống mạng; truy cập và quản lý cấu hình hệ thống; cấu hình tối ưu,
tăng cường bảo mật cho thiết bị mạng, bảo mật (cứng hóa) trong hệ thống và thực
hiện quy trình trước khi đưa hệ thống vào vận hành khai thác.
Điều 16. Quản lý an toàn máy
chủ và ứng dụng
1. Quản lý, vận hành hoạt động bình thường của hệ
thống máy chủ và dịch vụ:
a) Bảo đảm cho hệ điều hành, phần mềm cài đặt trên
máy chủ hoạt động liên tục, ổn định và an toàn.
b) Thường xuyên kiểm tra cấu hình, các file nhật ký
hoạt động của hệ điều hành, phần mềm nhằm kịp thời phát hiện và xử lý những sự
cố nếu có.
c) Quản lý các thay đổi cấu hình kỹ thuật của hệ điều
hành, phần mềm.
d) Thường xuyên cập nhật các bản vá lỗi hệ điều
hành, phần mềm từ nhà cung cấp.
đ) Loại bỏ các thành phần của hệ điều hành, phần mềm
không cần thiết hoặc không còn nhu cầu sử dụng.
e) Các bản quyền phần mềm cần được thống kê, quản
lý thời gian hạn phục vụ cho việc gia hạn.
2. Truy cập mạng của máy chủ
Bảo đảm các kết nối mạng trên máy chủ hoạt động
liên tục, ổn định và an toàn. Cấu hình, kiểm soát các kết nối, các cổng dịch vụ
từ bên trong đi ra cũng như bên ngoài vào hệ thống.
3. Truy cập và quản trị máy chủ và ứng dụng
a) Thay đổi các tài khoản, mật khẩu mặc định ngay
khi đưa hệ điều hành, phần mềm vào sử dụng.
b) Cấp quyền quản lý truy cập của người sử dụng
trên máy chủ cài đặt hệ điều hành.
c) Toàn bộ máy chủ và thiết bị công nghệ thông tin
không phải máy tính ngoại trừ các hệ thống bắt buộc phải có giao tiếp với
Internet (các hệ thống phục vụ truy cập Internet; cung cấp giao diện ra
Internet của trang tin điện tử, dịch vụ công, thư điện tử; phục vụ cập nhật bản
vá hệ điều hành, mẫu mã độc, mẫu điểm yếu, mẫu tấn công) không được kết nối
Internet.
4. Cập nhật, sao lưu dự phòng và khôi phục sau khi
xảy ra sự cố: Triển khai hệ thống/phương tiện lưu trữ độc lập với hệ thống lưu
trữ trên các máy chủ dịch vụ để sao lưu dự phòng; phân loại và quản lý thông
tin, dữ liệu được lưu trữ theo từng loại/nhóm thông tin được gán nhãn khác
nhau; thực hiện sao lưu, dự phòng các thông tin, dữ liệu cơ bản sau: tập tin cấu
hình hệ thống, ảnh hệ điều hành máy chủ, cơ sở dữ liệu; dữ liệu, thông tin nghiệp
vụ.
Điều 17. Quản lý an toàn dữ liệu
1. Yêu cầu an toàn đối với phương pháp mã hóa
a) Đơn vị phải xây dựng và áp dụng quy định sử dụng
các phương thức mã hóa thích hợp theo các chuẩn quốc gia hoặc quốc tế đã được
công nhận để bảo vệ thông tin.
b) Phải có biện pháp quản lý khóa mã hóa thích hợp
để hỗ trợ việc sử dụng các kỹ thuật mã hóa.
2. Phân loại, quản lý và sử dụng khóa bí mật và dữ
liệu mã hóa.
3. Cơ chế mã hóa và kiểm tra tính nguyên vẹn của dữ
liệu.
4. Sao lưu dự phòng và khôi phục dữ liệu (tần suất
sao lưu dự phòng, phương tiện lưu trữ, thời gian lưu trữ; nơi lưu trữ, phương
thức lưu trữ và phương thức lấy dữ liệu ra khỏi phương tiện lưu trữ).
Điều 18. Quản lý an toàn thiết
bị đầu cuối
Quy định về quản lý an toàn thiết bị đầu cuối bao gồm
các nội dung:
1. Quản lý, vận hành hoạt động bình thường cho thiết
bị đầu cuối.
2. Kết nối, truy cập và sử dụng thiết bị đầu cuối từ
xa.
3. Cài đặt, kết nối và gỡ bỏ thiết bị đầu cuối
trong hệ thống.
4. Cấu hình tối ưu và tăng cường bảo mật (cứng hóa)
cho máy tính người sử dụng và thực hiện quy trình trước khi đưa hệ thống vào sử
dụng.
5. Kiểm tra, đánh giá, xử lý điểm yếu an toàn thông
tin cho thiết bị đầu cuối trước khi đưa vào sử dụng.
Điều 19. Quản lý phòng chống
phần mềm độc hại
1. Cài đặt, cập nhật, sử dụng phần mềm phòng chống
mã độc; dò quét, kiểm tra phần mềm độc hại trên máy tính, máy chủ và thiết bị
di động.
2. Cài đặt, sử dụng phần mềm trên máy tính, thiết bị
di động và việc truy cập các trang thông tin trên mạng.
3. Rà quét tập tin trước khi Gửi nhận qua môi trường
mạng và các phương tiện lưu trữ di động.
4. Định kỳ hàng năm thực hiện kiểm tra và dò quét
phần mềm độc hại trên toàn bộ hệ thống; thực hiện kiểm tra và xử lý phần mềm độc
hại khi phát hiện dấu hiệu hoặc cảnh báo về dấu hiệu phần mềm độc hại xuất hiện
trên hệ thống.
Điều 20. Quản lý giám sát an
toàn hệ thống thông tin
Chính sách, quy trình quản lý giám sát an toàn hệ
thống thông tin bao gồm:
1. Quản lý, vận hành hoạt động bình thường của hệ
thống giám sát.
2. Đối tượng giám sát bao gồm: thiết bị hệ thống,
máy chủ, ứng dụng, dịch vụ và các thành phần khác trong hệ thống (nếu có).
3. Kết nối và gửi nhật ký hệ thống từ đối tượng
giám sát về hệ thống giám sát.
4. Truy cập và quản trị hệ thống giám sát.
5. Loại thông tin cần được giám sát.
6. Lưu trữ và bảo vệ thông tin giám sát (nhật ký hệ
thống).
7. Đồng bộ thời gian giữa hệ thống giám sát và thiết
bị được giám sát.
8. Theo dõi, giám sát và cảnh báo sự cố phát hiện
được trên hệ thống thông tin.
9. Bố trí nguồn lực và tổ chức giám sát an toàn hệ
thống thông tin 24/7.
Điều 21. Quản lý điểm yếu an
toàn thông tin
Chính sách, quy trình quản lý điểm yếu an toàn
thông tin bao gồm:
1. Quản lý thông tin các thành phần có trong hệ thống
có khả năng tồn tại điểm yếu an toàn thông tin: thiết bị hệ thống, hệ điều
hành, máy chủ, ứng dụng, dịch vụ và các thành phần khác (nếu có).
2. Quản lý, cập nhật nguồn cung cấp điểm yếu an
toàn thông tin; phân nhóm và mức độ của điểm yếu cho các thành phần trong hệ thống
đã xác định.
3. Cơ chế phối hợp với các nhóm chuyên gia, bên
cung cấp dịch vụ hỗ trợ trong việc xử lý, khắc phục điểm yếu an toàn thông tin.
4. Kiểm tra, đánh giá và xử lý điểm yếu an toàn
thông tin cho thiết bị hệ thống, máy chủ, dịch vụ trước khi đưa vào sử dụng.
5. Định kỳ kiểm tra, đánh giá điểm yếu an toàn
thông tin cho toàn bộ hệ thống thông tin theo quy định tại điểm
c khoản 2 điều 20 Nghị định 85/2016/NĐ-CP; thực hiện quy trình kiểm tra, đánh
giá, xử lý điểm yếu an toàn thông tin khi có thông tin hoặc nhận được cảnh báo
về điểm yếu an toàn thông tin đối với thành phần cụ thể trong hệ thống.
Điều 22. Quản lý sự cố an toàn
thông tin
1. Phân nhóm sự cố an toàn thông tin mạng theo quy
định tại Quyết định số 05/2017/QĐ-TTg của Thủ
tướng Chính phủ ngày 16/3/2017 quy định về hệ thống phương án ứng cứu khẩn cấp
bảo đảm an toàn thông tin mạng quốc gia (Quyết định số 05/2017/QĐ-TTg); Xây dựng phương án tiếp nhận,
phát hiện, phân loại và xử lý ban đầu sự cố an toàn thông tin mạng, ứng phó sự
cố an toàn thông tin mạng.
2. Xây dựng quy trình ứng cứu sự cố an toàn thông
tin mạng thông thường và nghiêm trọng theo quy định tại Điều 13,
Điều 14 Quyết định số 05/2017/QĐ-Tg.
3. Xây dựng và triển khai kế hoạch ứng phó sự cố an
toàn thông tin theo quy định tại Điều 16 Quyết định số
05/2017/QĐ-TTg.
4. Quyết định toàn diện về mặt kỹ thuật đối với các
đơn vị trong quá trình khắc phục sự cố về an toàn thông tin mạng; Hỗ trợ, phối
hợp và hướng dẫn các đơn vị khắc phục sự cố mất an toàn thông tin mạng; Yêu cầu
tạm dừng hoạt động một phần hoặc toàn bộ các hệ thống thông tin của các đơn vị
nhằm phục vụ công tác khắc phục sự cố về an toàn thông tin mạng; Phối hợp với
đơn vị chức năng trong điều tra các nguyên nhân gây ra sự cố mất an toàn thông
tin theo chỉ đạo của Lãnh đạo.
5. Phối hợp với đơn vị chức năng, các nhóm chuyên
gia, bên cung cấp dịch vụ hỗ trợ trong việc xử lý, khắc phục sự cố an toàn
thông tin; Yêu cầu bên cung cấp, hỗ trợ cung cấp quy trình xử lý sự cố cho các
dịch vụ do bên cung cấp, hỗ trợ cung cấp liên quan đến hệ thống.
Điều 23. Quản lý an toàn người
sử dụng đầu cuối
1. Kết nối máy tính/thiết bị đầu cuối của người sử
dụng vào hệ thống
a) Người sử dụng khi truy cập, sử dụng tài nguyên nội
bộ, truy cập mạng và tài nguyên trên Internet phải tuân thủ các quy định của
pháp luật về bảo đảm an toàn thông tin và các quy định của đơn vị, tổ chức.
b) Khi cài đặt, kết nối máy tính/thiết bị đầu cuối
phải thực hiện theo hướng dẫn/quy trình dưới sự giám sát của bộ phận phụ trách
công nghệ thông tin.
c) Máy tính/thiết bị đầu cuối phải được xử lý điểm
yếu an toàn thông tin, cấu hình cứng hóa bảo mật trước khi kết nối vào hệ thống.
2. Trong quá trình sử dụng
a) Nghiêm túc chấp hành các quy chế, quy trình nội
bộ và các quy định khác của pháp luật về an toàn thông tin mạng. Chịu trách nhiệm
bảo đảm an toàn thông tin mạng trong phạm vi trách nhiệm và quyền hạn được
giao.
b) Có trách nhiệm tự quản lý, bảo quản thiết bị,
tài khoản, ứng dụng mà mình được giao sử dụng.
c) Khi phát hiện nguy cơ hoặc sự cố mất an toàn
thông tin mạng phải báo cáo ngay với cấp trên và bộ phận phụ trách công nghệ
thông tin của đơn vị để kịp thời ngăn chặn và xử lý.
d) Tham gia các chương trình đào tạo, hội nghị về
an toàn thông tin mạng do các đơn vị chuyên môn tổ chức.
Điều 24. Kiểm tra, đánh giá và
quản lý rủi ro an toàn thông tin
1. Nội dung kiểm tra, đánh giá và quản lý rủi ro an
toàn thông tin
a) Kiểm tra việc tuân thủ quy định của pháp luật về
bảo đảm an toàn hệ thống thông tin theo cấp độ.
b) Đánh giá hiệu quả của biện pháp bảo đảm an toàn
hệ thống thông tin.
c) Đánh giá phát hiện mã độc, lỗ hổng, điểm yếu, thử
nghiệm xâm nhập hệ thống.
d) Kiểm tra, đánh giá khác do chủ quản hệ thống
thông tin quy định.
2. Tần suất kiểm tra, đánh giá
a) Trước khi đưa vào sử dụng.
b) Khi nâng cấp, thay đổi hệ thống, phần mềm.
c) Kiểm tra, đánh giá định kỳ theo quy định tại điểm c khoản 2 Điều 20 Nghị định 85/2016/NĐ-CP.
d) Kiểm tra, đánh giá đột xuất theo yêu cầu của cấp
có thẩm quyền.
3. Hình thức kiểm tra, đánh giá phát hiện mã độc, lỗ
hổng, điểm yếu, thử nghiệm xâm nhập hệ thống thông tin, gồm 03 hình thức sau:
a) Kiểm tra, đánh giá hộp đen (Black box).
b) Kiểm tra, đánh giá hộp xám (Gray box).
c) Kiểm tra, đánh giá hộp trắng (White box).
Điều 25. Kết thúc vận hành,
khai thác, thanh lý, hủy bỏ
1. Quy định về bảo đảm an toàn thông tin khi kết
thúc vận hành, khai thác, thanh lý, hủy bỏ.
2. Quy trình xử lý thông tin trên hệ thống khi thay
đổi mục đích sử dụng hoặc gỡ bỏ.
3. Phương án kỹ thuật thực hiện xử lý thông tin
trên hệ thống khi thay đổi mục đích sử dụng hoặc gỡ bỏ.
Chương IV
TRÁCH NHIỆM CỦA TỔ CHỨC,
CÁ NHÂN
Điều 26. Trách nhiệm của Cục
Công nghệ thông tin
1. Thực hiện trách nhiệm của đơn vị chuyên trách an
toàn, an ninh mạng theo quy định tại Điều 21 Nghị định
85/2016/NĐ-CP và Quy chế này.
2. Hướng dẫn triển khai Quy chế này và các quy định
liên quan của Nhà nước.
3. Xây dựng kế hoạch, báo cáo về an toàn, an ninh mạng
cho Trung tâm dữ liệu điện tử Bộ Tư pháp.
4. Bảo đảm an toàn, an ninh mạng cho các hệ thống
thông tin, cơ sở dữ liệu dùng chung của Bộ.
5. Đôn đốc, giám sát, kiểm tra và báo cáo Bộ việc
thực hiện Quy chế này tại các đơn vị thuộc Bộ.
6. Xây dựng kế hoạch tuyên truyền, phổ biến nâng
cao nhận thức về an toàn, an ninh mạng tại Trung tâm dữ liệu điện tử Bộ Tư pháp
và thực hiện các nội dung theo kế hoạch đã được phê duyệt.
7. Cục Công nghệ thông tin chủ trì đề xuất kế hoạch
dài hạn, kế hoạch hàng năm về đào tạo, bồi dưỡng nghiệp vụ an toàn, an ninh mạng
cho cán bộ, công chức, viên chức và người lao động của Bộ Tư pháp gửi Vụ Tổ chức
cán bộ tổng hợp. Trên cơ sở đề xuất của Cục Công nghệ thông tin, Vụ Tổ chức cán
bộ tham mưu trình lãnh đạo Bộ phê duyệt các kế hoạch về đào tạo, bồi dưỡng nghiệp
vụ an toàn, an ninh mạng cho các bộ, công chức, viên chức và người lao động của
Bộ Tư pháp và thực hiện theo kế hoạch được phê duyệt.
Điều 27. Trách nhiệm của Vụ Tổ
chức cán bộ
Căn cứ nhu cầu về đào tạo nguồn nhân lực bảo đảm an
toàn, an ninh mạng của các đơn vị thuộc Bộ, phối hợp với Cục Công nghệ thông
tin xây dựng trình Bộ phê duyệt kế hoạch dài hạn, kế hoạch hàng năm về đào tạo,
bồi dưỡng nghiệp vụ an toàn, an ninh mạng cho cán bộ, công chức, viên chức và
người lao động của Bộ và thực hiện tổ chức đào tạo theo kế hoạch đã phê duyệt.
Điều 28. Trách nhiệm của chủ
quản Hệ thống thông tin
1. Thực hiện trách nhiệm của đơn vị chủ quản hệ thống
thông tin theo quy định tại Điều 20 Nghị định 85/2016/NĐ-CP
và Quy chế này.
2. Chỉ đạo, phân công các đơn vị vận hành các hệ thống
thông tin triển khai công tác bảo đảm an toàn thông tin trong tất cả các công
đoạn liên quan đến hệ thống thông tin.
Điều 29. Trách nhiệm của đơn vị
vận hành Hệ thống thông tin
1. Thực hiện trách nhiệm của đơn vị vận hành hệ thống
thông tin theo quy định tại Điều 22, Nghị định số 85/2016/NĐ-CP,
tại Quy chế này và các nhiệm vụ do chủ quản hệ thống thông tin phân công.
2. Chỉ đạo, phân công các bộ phận kỹ thuật thuộc
đơn vị (quản lý ứng dụng; quản lý dữ liệu; vận hành hệ thống thông tin; triển
khai và hỗ trợ kỹ thuật) triển khai công tác bảo đảm an toàn thông tin trong tất
cả các công đoạn liên quan đến hệ thống thông tin.
Điều 30. Trách nhiệm cá nhân
1. Thủ trưởng đơn vị thuộc Bộ có trách nhiệm: phổ
biến tới từng công chức, viên chức, người lao động của đơn vị; tổ chức triển
khai và thường xuyên kiểm tra việc thực hiện Quy chế này tại đơn vị; chịu trách
nhiệm trước pháp luật và Lãnh đạo Bộ Tư pháp về các vi phạm, thất thoát thông
tin, dữ liệu bảo mật thuộc phạm vi quản lý của đơn vị do không tổ chức, chỉ đạo,
kiểm tra cán bộ của đơn vị thực hiện đúng quy định.
2. Công chức, viên chức, người lao động của Bộ Tư
pháp, các đơn vị thuộc Bộ và các đơn vị khác thuộc đối tượng áp dụng của quy định
có trách nhiệm: tuân thủ Quy chế; thông báo các vấn đề bất thường liên quan tới
an toàn Hệ thống thông tin cho lãnh đạo đơn vị và Cục Công nghệ thông tin; chịu
trách nhiệm trước pháp luật và Lãnh đạo đơn vị về các vi phạm, thất thoát dữ liệu
bảo mật của ngành Tư pháp do vi phạm Quy chế.
Điều 31. Trách nhiệm của đơn vị
cung cấp dịch vụ
1. Đơn vị cung cấp dịch vụ có trách nhiệm đảm bảo
cung cấp đầy đủ các thành phần, chức năng; thiết kế, thiết lập hệ thống đáp ứng
các yêu cầu kỹ thuật theo tiêu chuẩn TCVN
11930:2017.
2. Quản lý, vận hành, bảo đảm an toàn thông tin cho
các thành phần hệ thống thuộc phạm vi quản lý của mình tuân thủ các quy định tại
Quy chế này.
Chương V
TỔ CHỨC THỰC HIỆN
Điều 32. Tổ chức triển khai
Quy chế
1. Thủ trưởng các đơn vị thuộc Bộ phổ biến, quán
triệt và tổ chức thực hiện Quy chế này trong phạm vi đơn vị.
2. Cục Công nghệ thông tin theo dõi, đôn đốc, kiểm
tra các đơn vị thực hiện Quy chế này.
3. Vụ Tổ chức cán bộ chủ trì, phối hợp với Cục Công
nghệ thông tin trong việc đào tạo, bồi dưỡng nghiệp vụ an toàn, an ninh thông
tin cho cán bộ, công chức, viên chức và người lao động của Bộ.
4. Trong trường hợp các văn bản quy phạm pháp luật
được dẫn chiếu tại Quy chế này được bãi bỏ, thay thế, sửa đổi, bổ sung thì thực
hiện theo văn bản quy phạm pháp luật mới.
5. Trong quá trình tổ chức thực hiện, nếu có những
vấn đề vướng mắc các đơn vị kịp thời phản ánh về Cục Công nghệ thông tin để tổng
hợp, trình Bộ trưởng xem xét, quyết định việc sửa đổi, bổ sung cho phù hợp với
tình hình thực tế và các quy định của pháp luật./.