ỦY
BAN NHÂN DÂN
TỈNH KHÁNH HÒA
-------
|
CỘNG
HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM
Độc lập – Tự do – Hạnh phúc
--------------
|
Số:
36/2010/QĐ-UBND
|
Nha
Trang, ngày 12 tháng 11 năm 2010
|
QUYẾT ĐỊNH
BAN HÀNH QUY CHẾ ĐẢM BẢO AN TOÀN, AN NINH THÔNG TIN TRONG HOẠT
ĐỘNG ỨNG DỤNG CÔNG NGHỆ THÔNG TIN CỦA CÁC CƠ QUAN QUẢN LÝ HÀNH CHÍNH NHÀ NƯỚC TỈNH
KHÁNH HÒA
ỦY BAN NHÂN DÂN TỈNH KHÁNH HÒA
Căn cứ Luật Tổ chức Hội đồng nhân
dân và Ủy ban nhân dân số 11/2003/QH11 ngày 26/11/2003;
Căn cứ Luật Ban hành văn bản quy phạm pháp luật của Hội đồng nhân dân, Ủy ban
nhân dân số 31/2004/QH11 ngày 03/12/2004;
Căn cứ Luật Công nghệ thông tin số 67/2006/QH11 ngày 29/6/2006;
Căn cứ Nghị định số 63/2007/NĐ-CP ngày 10/4/2007 của Chính phủ Quy định xử phạt
vi phạm hành chính trong lĩnh vực công nghệ thông tin;
Căn cứ Nghị định số 64/2007/NĐ-CP ngày 10/4/2007 của Chính phủ về Ứng dụng công
nghệ thông tin trong hoạt động của cơ quan nhà nước;
Căn cứ Chỉ thị số 03/2007/CT-BBCVT ngày 23/02/2007 của Bộ Bưu chính, Viễn thông
về việc tăng cường đảm bảo an ninh thông tin trên mạng Internet;
Căn cứ Quyết định số 20/2008/QĐ-BTTTT ngày 09/4/2008 của Bộ Thông tin và Truyền
thông ban hành Danh mục tiêu chuẩn về ứng dụng công nghệ thông tin trong cơ
quan nhà nước;
Theo đề nghị của Giám đốc Sở Thông tin và Truyền thông tại Tờ trình số
631/TTr-STTTT ngày 02/8/2010,
QUYẾT ĐỊNH:
Điều
1. Ban hành kèm theo Quyết định này Quy chế
đảm bảo an toàn, an ninh thông tin trong hoạt động ứng dụng công nghệ thông tin
của các cơ quan quản lý hành chính nhà nước tỉnh Khánh Hòa.
Điều
2. Quyết định này có hiệu lực sau 10 (mười)
ngày kể từ ngày ký.
Điều
3. Chánh Văn phòng Ủy ban nhân dân tỉnh;
Giám đốc các Sở, Ban, ngành; Chủ tịch Ủy ban nhân dân các huyện, thị xã Cam
Ranh, thành phố Nha Trang và các tổ chức, cá nhân có liên quan chịu trách nhiệm
thi hành Quyết định này./.
Nơi nhận:
- Như Điều 3;
- Bộ TT&TT;
- TT. Tỉnh ủy, HĐND, UBND tỉnh;
- Cục Kiểm tra văn bản - Bộ Tư pháp;
- Đoàn Đại biểu Quốc hội tỉnh;
- UBMTTQ và các đoàn thể tỉnh;
- Sở Tư pháp;
- Trung tâm Công báo tỉnh (2b);
- Đài PTTH, Báo Khánh Hòa;
- Lưu: VT, NN, QP.
|
TM.
UỶ BAN NHÂN DÂN
KT. CHỦ TỊCH
PHÓ CHỦ TỊCH
Lê Xuân Thân
|
QUY CHẾ
ĐẢM BẢO AN TOÀN, AN NINH THÔNG TIN TRONG HOẠT ĐỘNG ỨNG DỤNG
CÔNG NGHỆ THÔNG TIN CỦA CÁC CƠ QUAN QUẢN LÝ HÀNH CHÍNH NHÀ NƯỚC TỈNH KHÁNH HÒA
(Ban hành kèm theo Quyết định số 36/2010/QĐ-UBND ngày 12 tháng 11 năm 2010 của
Ủy ban nhân dân tỉnh Khánh Hòa)
Chương 1.
QUY ĐỊNH CHUNG
Điều 1. Phạm vi điều chỉnh
Quy chế này quy
định các nội dung của công tác đảm bảo an toàn, an ninh thông tin trong hoạt động
ứng dụng công nghệ thông tin của các cơ quan quản lý hành chính nhà nước thuộc
tỉnh Khánh Hòa, bao gồm: công tác xây dựng các quy định quản lý đảm bảo an
toàn, an ninh thông tin; việc áp dụng các biện pháp quản lý kỹ thuật, quản lý vận
hành đảm bảo an toàn, an ninh thông tin đối với hệ thống thông tin.
Điều 2. Đối tượng áp dụng
1. Quy chế này
được áp dụng đối với các cơ quan quản lý hành chính nhà nước thuộc tỉnh, bao gồm:
các sở, ban, ngành trực thuộc Ủy ban nhân dân tỉnh và Ủy ban nhân dân các huyện,
thị xã, thành phố thuộc tỉnh.
2. Cán bộ, công
chức đang làm việc trong các cơ quan nêu tại Khoản 1 điều này và những tổ chức,
cá nhân có liên quan áp dụng Quy chế này trong việc vận hành, khai thác và sử dụng
hệ thống thông tin tại các cơ quan, đơn vị.
Điều 3. Giải thích từ ngữ
Trong Quy chế
này, các từ ngữ dưới đây được hiểu như sau:
1. Tính tin cậy:
Đảm bảo thông tin chỉ có thể được truy cập bởi những người được cấp quyền sử dụng.
2. Tính toàn
vẹn: Bảo vệ tính chính xác và tính đầy đủ của thông tin và các phương pháp
xử lý thông tin.
3. Tính sẵn
sàng: Đảm bảo những người được cấp quyền có thể truy cập thông tin và các
tài sản liên quan ngay khi có nhu cầu.
4. TCVN
7562:2005: Tiêu chuẩn Việt Nam về mã thực hành quản lý an toàn thông tin.
5. ISO
17799:2005: Tiêu chuẩn Quốc tế cung cấp các hướng dẫn quản lý an toàn bảo mật
thông tin dựa trên quy phạm công nghiệp tốt nhất.
6. ISO
27001:2005: Tiêu chuẩn Quốc tế về quản lý bảo mật thông tin do Tổ chức Chất
lượng Quốc tế và Hội đồng Điện tử Quốc tế xuất bản vào tháng 10/2005.
Chương 2.
QUY ĐỊNH ĐẢM BẢO AN
TOÀN, AN NINH THÔNG TIN
Điều
4. Các biện pháp quản lý vận hành trong công tác đảm bảo an toàn, an ninh thông
tin
1. Các cơ quan,
đơn vị phải trang bị đầy đủ các kiến thức bảo mật cơ bản cho cán bộ công chức
trước khi cho phép truy cập và sử dụng hệ thống thông tin.
2. Các cơ quan,
đơn vị phải bố trí cán bộ chuyên trách về an toàn, an ninh thông tin (sau đây gọi
tắt là cán bộ chuyên trách). Cán bộ chuyên trách được đảm bảo điều kiện học tập,
tiếp thu công nghệ, kiến thức an toàn bảo mật thông tin trước khi tiến hành các
hoạt động quản lý hay kỹ thuật nghiệp vụ.
3. Cán bộ chuyên
trách phải thường xuyên cập nhật cấu hình chuẩn cho các thành phần của hệ thống
thông tin, thiết lập cấu hình một cách chặt chẽ nhất cho các sản phẩm an toàn
thông tin nhưng vẫn đảm bảo duy trì hoạt động thường xuyên của hệ thống thông
tin.
4. Cán bộ chuyên
trách phải tổ chức cấu hình hệ thống thông tin chỉ cung cấp những chức năng thiết
yếu nhất, đồng thời xác định các chức năng, cổng giao tiếp mạng, giao thức và dịch
vụ không cần thiết để cấm hoặc hạn chế sử dụng.
5. Hệ thống
thông tin tại các cơ quan, đơn vị phải có cơ chế sao lưu thông tin ở mức người
dùng và mức hệ thống (bao gồm: sao lưu trạng thái hệ thống thông tin và lưu trữ
thông tin sao lưu tại nơi an toàn), đồng thời thông tin sao lưu phải được tổ chức
kiểm tra thường xuyên để đảm bảo tính sẵn sàng và toàn vẹn thông tin.
6. Hệ thống
thông tin tại các cơ quan, đơn vị phải được triển khai cơ chế chống virus, thư
rác cho những hệ thống xung yếu hiện hữu (firewall, mail, server,…) và tại các
máy trạm, máy chủ trong mạng; tổ chức sử dụng cơ chế chống virus, thư rác để
phát hiện và loại trừ những đoạn mã độc hại (virus, trojan, worms…) có khả năng
khai thác các lỗ hổng của hệ thống thông tin, được truyền tải bởi thư điện tử,
tập tin đính kèm từ Internet, thiết bị lưu trữ tháo lắp; đồng thời thường xuyên
cập nhật cơ chế chống virus, thư rác phù hợp với quy trình và chính sách quản
lý cấu hình hệ thống thông tin của cơ quan, đơn vị.
7. Cán bộ chuyên
trách phải thường xuyên thực hiện đánh giá, báo cáo các rủi ro và mức độ nghiêm
trọng của các rủi ro đó. Các rủi ro có thể xảy ra do nguy cơ tự nhiên, truy cập
trái phép, sử dụng trái phép dẫn đến làm mất, thay đổi hoặc phá hủy thông tin
và hệ thống thông tin.
8. Đối với cán bộ,
công chức hoặc nhân viên đã nghỉ việc, các cơ quan, đơn vị phải thực hiện hủy
quyền truy cập hệ thống thông tin và thu hồi các tài sản liên quan tới hệ thống
thông tin (như: khóa, thẻ nhận dạng…) nhưng vẫn đảm bảo khả năng truy cập vào
các hồ sơ được tạo ra bởi cán bộ, công chức hoặc nhân viên đó.
9. Các cơ quan,
đơn vị quan tâm phân bổ đầu tư cần thiết để đảm bảo và tăng cường an toàn, an
ninh thông tin trong hoạt động ứng dụng công nghệ thông tin của đơn vị.
Điều
5. Các biện pháp quản lý kỹ thuật cho công tác đảm bảo an toàn, an ninh thông
tin
1. Các cơ quan,
đơn vị phải tổ chức quản lý các tài khoản của hệ thống thông tin, bao gồm: Tạo
mới, kích hoạt, sửa đổi, vô hiệu hóa và loại bỏ các tài khoản, đồng thời tổ chức
kiểm tra các tài khoản của hệ thống thông tin ít nhất 01 lần/01 năm và triển
khai các công cụ tự động để hỗ trợ việc quản lý các tài khoản của hệ thống
thông tin.
2. Hệ thống
thông tin tại các cơ quan, đơn vị phải có cơ chế giới hạn một số hữu hạn lần
đăng nhập sai liên tiếp. Nếu liên tục đăng nhập sai vượt quá số lần quy định thì
hệ thống sẽ tự động khóa hoặc cô lập tài khoản trong một khoảng thời gian nhất
định trước khi tiếp tục cho đăng nhập.
3. Cán bộ chuyên
trách có trách nhiệm tổ chức theo dõi và kiểm soát tất cả các phương pháp truy
cập từ xa (quay số, Internet…) tới hệ thống thông tin, bao gồm cả sự truy cập
có chức năng đặc quyền. Hệ thống thông tin tại các cơ quan, đơn vị phải có cơ
chế kiểm tra, cho phép tương ứng với mỗi phương pháp truy cập từ xa và cơ chế tự
động giám sát, điều khiển các truy cập từ xa.
4. Cán bộ chuyên
trách phải thiết lập phương pháp hạn chế truy cập mạng không dây, giám sát và
điều khiển truy cập không dây, tổ chức sử dụng chứng thực và mã hóa để bảo vệ
truy cập không dây tới hệ thống thông tin.
5. Hệ thống
thông tin tại các cơ quan, đơn vị phải ghi nhận được các sự kiện về quá trình
đăng nhập hệ thống, các thao tác cấu hình hệ thống, quá trình truy xuất hệ thống,
đồng thời ghi nhận đầy đủ các thông tin liên quan vào các bản ghi nhật ký nhằm
xác định những sự kiện nào đã xảy ra, nguồn gốc và các kết quả của sự kiện đó để
có cơ chế bảo vệ và lưu giữ nhật ký trong một khoảng thời gian nhất định.
6. Cán bộ chuyên
trách phải tổ chức quản lý định danh đối với tất cả người dùng tham gia sử dụng
hệ thống thông tin.
7. Hệ thống
thông tin tại các cơ quan, đơn vị phải có cơ chế ngăn chặn hoặc hạn chế các sự
cố gây ra do tấn công từ chối dịch vụ. Cán bộ chuyên trách sử dụng các thiết bị
đặt tại biên của mạng để lọc các gói tin nhằm bảo vệ các thiết bị bên trong,
tránh bị ảnh hưởng trực tiếp bởi tấn công từ chối dịch vụ.
Điều
6. Xây dựng quy chế nội bộ đảm bảo an toàn, an ninh thông tin
1. Các cơ quan
quản lý hành chính nhà nước phải ban hành quy chế nội bộ, đảm bảo quy định rõ
các vấn đề sau:
a) Mục tiêu và
phương hướng thực hiện công tác đảm bảo an toàn, an ninh cho hệ thống thông
tin;
b) Nguyên tắc
phân loại và quản lý mức độ ưu tiên đối với các tài nguyên của hệ thống thông
tin (phần mềm, dữ liệu, trang thiết bị);
c) Quản lý phân
quyền và trách nhiệm đối với từng cá nhân khi tham gia sử dụng hệ thống thông
tin;
d) Quản lý và điều
hành hệ thống máy chủ, thiết bị mạng, thiết bị bảo vệ mạng một cách an toàn;
đ) Kiểm tra, rà
soát và khắc phục sự cố mất an toàn, an ninh thông tin của hệ thống bằng cách sử
dụng các biện pháp trong Điều 4 và Điều 5 của Quy chế này;
e) Nguyên tắc
chung về sử dụng an toàn và hiệu quả đối với các cá nhân tham gia sử dụng hệ thống
thông tin;
g) Báo cáo tổng
hợp tình hình an toàn, an ninh thông tin của hệ thống theo định kỳ;
h) Các biện pháp
tổ chức thực hiện.
2. Các cơ quan,
đơn vị xây dựng quy chế an toàn, an ninh thông tin cần căn cứ các tiêu chuẩn kỹ
thuật quản lý an toàn trong bộ tiêu chuẩn TCVN 7562:2005 và ISO/IEC 17799:2005
tại Phụ lục I để áp dụng cho cơ quan, đơn vị mình.
Điều
7. Xây dựng và áp dụng quy trình đảm bảo an toàn, an ninh thông tin
1. Các cơ quan
quản lý hành chính nhà nước phải xây dựng và áp dụng quy trình đảm bảo an toàn,
an ninh thông tin cho hệ thống thông tin của mình nhằm giảm thiểu các nguy cơ
gây sự cố, tạo điều kiện cho việc khắc phục và truy vết trong trường hợp có sự
cố xảy ra.
Nội dung của quy
trình có thể chia làm các bước cơ bản như:
a) Lập kế hoạch
bảo vệ an toàn, an ninh thông tin cho hệ thống thông tin;
b) Xây dựng hệ
thống bảo vệ an toàn, an ninh thông tin;
c) Quản lý và vận
hành hệ thống bảo vệ an toàn, an ninh thông tin;
d) Kiểm tra đánh
giá hoạt động hệ thống bảo vệ an toàn, an ninh thông tin;
đ) Bảo trì và
nâng cấp hệ thống bảo vệ an toàn, an ninh thông tin.
2. Các cơ quan,
đơn vị tham khảo các bước cơ bản để xây dựng khung quy trình đảm bảo an toàn,
an ninh thông tin cho hệ thống thông tin tại Phụ lục II và tiêu chuẩn Quốc tế
ISO 27001:2005.
Chương 3.
TRÁCH NHIỆM ĐẢM BẢO AN
TOÀN, AN NINH THÔNG TIN
Điều
8. Trách nhiệm của các cơ quan quản lý hành chính nhà nước
1. Thủ trưởng các
cơ quan, đơn vị chịu trách nhiệm toàn diện trước Ủy ban nhân dân tỉnh trong
công tác đảm bảo an toàn, an ninh cho hệ thống thông tin của đơn vị mình, đồng
thời thực hiện nghiêm túc các quy định tại Quy chế này.
2. Khi có sự cố
hoặc nguy cơ mất an toàn, an ninh thông tin, kịp thời áp dụng mọi biện pháp để
khắc phục và hạn chế thiệt hại, ưu tiên sử dụng lực lượng kỹ thuật an toàn
thông tin của đơn vị, lập biên bản, báo cáo bằng văn bản cho cơ quan cấp trên
quản lý trực tiếp và Sở Thông tin và Truyền thông. Trường hợp có sự cố nghiêm
trọng vượt quá khả năng khắc phục của đơn vị, phải báo cáo ngay cho cơ quan cấp
trên quản lý trực tiếp và Sở Thông tin và Truyền thông để được hướng dẫn, hỗ trợ.
3. Tạo điều kiện
thuận lợi cho các cơ quan chức năng tham gia khắc phục sự cố và thực hiện đúng
theo hướng dẫn.
4. Phối hợp với
đoàn kiểm tra để triển khai công tác kiểm tra, khắc phục sự cố diễn ra nhanh
chóng và đạt hiệu quả, đồng thời cung cấp đầy đủ các thông tin khi đoàn kiểm
tra yêu cầu xuất trình.
5. Báo cáo tình
hình và kết quả thực hiện công tác đảm bảo an toàn, an ninh thông tin tại cơ
quan, đơn vị và gửi về Sở Thông tin và Truyền thông định kỳ mỗi năm 01 lần vào
cuối quý IV.
Điều
9. Trách nhiệm của cán bộ công chức trong các cơ quan quản lý hành chính nhà nước
1. Trách nhiệm của
cán bộ chuyên trách tại các cơ quan, đơn vị:
a) Chịu trách
nhiệm triển khai các biện pháp quản lý vận hành, quản lý kỹ thuật và tham mưu
xây dựng các quy định đảm bảo an toàn, an ninh thông tin cho hệ thống thông tin
tại đơn vị mình theo các quy định của Quy chế này.
b) Phối hợp với
các cá nhân, đơn vị liên quan trong việc kiểm tra, phát hiện và khắc phục sự cố
mất an toàn, an ninh thông tin.
c) Chịu trách
nhiệm tham mưu chuyên môn và vận hành an toàn hệ thống thông tin của đơn vị
theo nhiệm vụ được Thủ trưởng đơn vị phân công.
2. Trách nhiệm của
cán bộ công chức trong các cơ quan, đơn vị:
a) Nghiêm chỉnh
thi hành các quy chế nội bộ, quy trình về an toàn, an ninh thông tin của cơ
quan, đơn vị cũng như các quy định khác của pháp luật, nâng cao ý thức cảnh
giác, trách nhiệm đảm bảo an toàn, an ninh thông tin tại đơn vị.
b) Khi phát hiện
sự cố phải báo cáo ngay với cấp trên và bộ phận chuyên trách để kịp thời ngăn
chặn, xử lý.
c) Hưởng ứng,
tham gia các chương trình đào tạo, hội nghị về an toàn, an ninh thông tin do Sở
Thông tin và Truyền thông tổ chức.
Điều
10. Trách nhiệm của Sở Thông tin và Truyền thông
1. Tham mưu Ủy
ban nhân dân tỉnh về công tác đảm bảo an toàn, an ninh thông tin trên địa bàn tỉnh
và chịu trách nhiệm trước Ủy ban nhân dân tỉnh trong việc đảm bảo an toàn, an
ninh thông tin cho các hệ thống thông tin cấp tỉnh.
2. Thành lập
đoàn kiểm tra an toàn, an ninh thông tin và tiến hành kiểm tra, xử phạt theo định
kỳ hoặc kiểm tra đột xuất khi phát hiện có các dấu hiệu, hành vi vi phạm an
toàn, an ninh thông tin.
3. Xây dựng và
triển khai các chương trình đào tạo, hội nghị tuyên truyền đảm bảo an toàn, an
ninh thông tin trong công tác quản lý nhà nước trên địa bàn tỉnh.
4. Hướng dẫn các
cơ quan, đơn vị thực hiện các báo cáo về sự cố mất an toàn, an ninh thông tin
và kết quả thực hiện công tác đảm bảo an toàn, an ninh thông tin tại các cơ
quan, đơn vị.
5. Tùy theo mức
độ sự cố, phối hợp Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam (VNCERT) và các
đơn vị có liên quan hướng dẫn xử lý, ứng cứu các sự cố mất an toàn, an ninh
thông tin.
6. Hướng dẫn,
giám sát công tác xây dựng và áp dụng quy định về quản lý an toàn, an ninh
thông tin và quy trình đảm bảo an toàn, an ninh thông tin đối với hệ thống
thông tin tại các cơ quan quản lý hành chính nhà nước trên địa bàn tỉnh.
Chương 4.
KIỂM TRA CÔNG TÁC ĐẢM BẢO
AN TOÀN, AN NINH THÔNG TIN
Điều
11. Kế hoạch kiểm tra hàng năm
1. Sở Thông tin
và Truyền thông chủ trì, phối hợp với Văn phòng Ủy ban nhân dân tỉnh, Công an tỉnh
và các đơn vị có liên quan tiến hành kiểm tra công tác đảm bảo an toàn, an ninh
thông tin định kỳ hàng năm đối với các cơ quan quản lý hành chính nhà nước thuộc
tỉnh.
2. Tiến hành kiểm
tra đột xuất các cơ quan, đơn vị quản lý hành chính nhà nước khi có dấu hiệu vi
phạm an toàn, an ninh thông tin trong hệ thống thông tin.
Điều
12. Quan hệ phối hợp và trách nhiệm của các cơ quan chức năng liên quan
1. Sở Thông tin
và Truyền thông:
a) Chịu trách
nhiệm chính trong việc chủ trì, phối hợp với các cơ quan chức năng liên quan để
thành lập đoàn kiểm tra công tác đảm bảo an toàn, an ninh thông tin, triển khai
kiểm tra và báo cáo Ủy ban nhân dân tỉnh kết quả kiểm tra.
b) Tiến hành xử
phạt theo thẩm quyền đối với các hành vi vi phạm an toàn, an ninh thông tin gây
thiệt hại cho hệ thống thông tin của các cơ quan hành chính nhà nước trên địa
bàn tỉnh;
c) Tuyên truyền
công tác an toàn, an ninh thông tin tại các cơ quan hành chính trên địa bàn tỉnh.
2. Văn phòng Ủy
ban nhân dân tỉnh:
a) Cử bộ phận
chuyên trách an toàn, an ninh thông tin phối hợp với Sở Thông tin và Truyền
thông kiểm tra, đánh giá công tác đảm bảo an toàn, an ninh thông tin.
b) Phối hợp xây
dựng các tiêu chí và quy trình kỹ thuật kiểm tra công tác đảm bảo an toàn, an
ninh thông tin.
3. Trách nhiệm của
Công an tỉnh:
a) Phối hợp với
Sở Thông tin và Truyền thông kiểm tra công tác đảm bảo an toàn, an ninh thông
tin.
b) Điều tra và xử
lý các trường hợp vi phạm các quy định về an toàn, an ninh thông tin theo thẩm
quyền.
Chương 5.
TỔ CHỨC THỰC HIỆN
Điều
13. Khen thưởng, xử lý vi phạm
1. Hàng năm, Sở
Thông tin và Truyền thông dựa trên các điều tra, báo cáo công tác an toàn, an
ninh thông tin của các cơ quan, đơn vị để xác lập bảng xếp hạng an toàn, an
ninh thông tin, trên cơ sở đó đề xuất Ủy ban nhân dân tỉnh xét khen thưởng các
cá nhân, đơn vị theo quy định hiện hành.
2. Tổ chức, cá
nhân có hành vi vi phạm Quy chế này thì tùy theo tính chất, mức độ vi phạm mà bị
xử lý kỷ luật theo trách nhiệm, xử phạt hành chính hoặc bị truy cứu trách nhiệm
hình sự. Nếu gây thiệt hại thì phải bồi thường theo quy định hiện hành của pháp
luật.
Điều
14. Tổ chức thực hiện
Sở Thông tin và
Truyền thông chủ trì, phối hợp với các Sở, ban ngành, Ủy ban nhân dân các huyện,
thị xã Cam Ranh, thành phố Nha Trang và các cơ quan có liên quan triển khai thực
hiện Quy chế này.
Trong quá trình
thực hiện, nếu có khó khăn, vướng mắc, các cơ quan, đơn vị kịp thời báo cáo về
Sở Thông tin và Truyền thông để tổng hợp, trình Ủy ban nhân dân tỉnh xem xét,
quyết định./.
PHỤ LỤC I
NHỮNG NỘI DUNG CHÍNH CỦA ISO/IEC 17799:2005 DÙNG ĐỂ XÂY
DỰNG QUY CHẾ NỘI BỘ ĐẢM BẢO AN TOÀN, AN NINH CHO HỆ THỐNG THÔNG TIN
(Ban hành kèm theo Quyết định số 36/2010/QĐ-UBND ngày 12 tháng 11 năm 2010 của
Ủy ban nhân dân tỉnh Khánh Hòa)
1. Chính sách
an toàn, an ninh thông tin:
Chỉ thị và hướng
dẫn về an toàn, an ninh thông tin.
2. An ninh tổ
chức:
a) Hạ tầng an
ninh thông tin: Quản lý an ninh thông tin trong tổ chức.
b) An ninh đối với
bên truy cập thứ ba: Duy trì an ninh cho các phương tiện xử lý thông tin của tổ
chức và tài sản thông tin do các bên thứ ba truy cập.
3. Phân loại
và kiểm soát tài sản:
a) Trách nhiệm
giải trình tài sản: Duy trì bảo vệ tài sản.
b) Phân loại
thông tin tài sản: Đảm bảo mỗi loại tài sản có mức bảo vệ thích hợp.
4. An ninh cá
nhân:
a) An ninh trong
định nghĩa công việc và nguồn lực: Giảm rủi ro do các hành vi sai sót của con
người.
b) Đào tạo người
sử dụng: Đảm bảo người sử dụng nhận thức được các mối đe dọa và các vấn đề liên
quan đến an ninh thông tin.
c) Đối phó với
các sự cố an ninh: Giảm thiểu thiệt hại từ các trục trặc và sự cố an ninh, theo
dõi và rút kinh nghiệm.
5. An ninh
môi trường và vật lý:
a) Phạm vi an
ninh: Ngăn ngừa việc truy cập, gây hại và can thiệp trái phép vào vùng an ninh
và thông tin nghiệp vụ.
b) An ninh thiết
bị: Để tránh mất mát, lỗi hoặc các sự cố khác liên quan đến tài sản gây ảnh hưởng
tới các hoạt động nghiệp vụ.
c) Kiểm soát
chung: Ngăn ngừa làm hại hoặc đánh cắp thông tin và các phương tiện xử lý thông
tin.
6. Quản lý
truyền thông và hoạt động:
a) Thủ tục vận
hành và trách nhiệm vận hành hệ thống: Đảm bảo các phương tiện xử lý thông tin
hoạt động đúng và an toàn.
b) Lập kế hoạch
hệ thống và công nhận: Giảm thiểu rủi ro về lỗi hệ thống.
c) Bảo vệ chống
lại phần mềm cố ý gây hại: Bảo vệ tính toàn vẹn của phần mềm và thông tin.
d) Công việc quản
lý: Duy trì tính toàn vẹn và sẵn sàng của dịch vụ truyền đạt và xử lý thông
tin.
đ) Quản trị mạng:
Đảm bảo việc an toàn, an ninh thông tin trên mạng và bảo vệ cơ sở hạ tầng kỹ
thuật.
e) Trao đổi
thông tin: Ngăn ngừa mất mát, thay đổi hoặc sử dụng sai thông tin được trao đổi
giữa các đơn vị.
7. Kiểm soát
truy cập:
a) Các yêu cầu
nghiệp vụ đối với kiểm soát truy cập: Kiểm soát truy cập thông tin.
b) Quản lý truy
cập của người dùng: Để tránh các truy cập không được cấp phép vào hệ thống.
c) Trách nhiệm của
người dùng: Để tránh các truy cập của người dùng không được cấp phép.
d) Kiểm soát
truy cập mạng: Bảo vệ các dịch vụ mạng.
đ) Kiểm soát
truy cập hệ điều hành: Tránh truy cập vào các máy tính không được phép.
e) Kiểm soát
truy cập ứng dụng: Tránh các truy cập trái phép vào hệ thống.
g) Giám sát truy
cập hệ thống và giám sát sử dụng hệ thống: Để phát hiện các hoạt động không được
cấp phép.
h) Kiểm soát
truy cập từ xa: Đảm bảo an toàn, an ninh thông tin khi sử dụng các phương tiện
di động.
8. Phát triển
và duy trì hệ thống:
a) Yêu cầu an
ninh đối với các hệ thống: Để đảm bảo các yêu cầu an ninh được đưa vào trong
quá trình xây dựng hệ thống.
b) An ninh trong
hệ thống ứng dụng: Để ngăn ngừa mất mát, thay đổi hoặc lạm dụng dữ liệu người sử
dụng trong các hệ thống ứng dụng.
c) Các kiểm soát
mật mã hóa: Để bảo vệ tính tin cậy, xác thực hoặc toàn vẹn của thông tin.
d) An ninh các tệp
hệ thống: Đảm bảo rằng các dự án công nghệ thông tin và các hoạt động hỗ trợ được
quản lý một cách an toàn.
e) An ninh quá
trình hỗ trợ và phát triển: Duy trì an ninh của phần mềm và thông tin hệ thống ứng
dụng.
9. Sự tuân thủ:
a) Tuân thủ các
yêu cầu pháp lý: Để tránh bất kỳ các vi phạm luật hình sự và dân sự, các nghĩa
vụ có tính luật pháp, nguyên tắc và bất kỳ yêu cầu an ninh nào.
b) Soát xét của
chính sách an ninh và yêu cầu kỹ thuật để đảm bảo việc tuân thủ của hệ thống với
các chính sách và tiêu chuẩn an ninh của Tổ quốc.
c) Xem xét kiểm
tra hệ thống: Để tối đa tính hiệu lực để giảm thiểu sự can thiệp tới quy trình
kiểm tra hệ thống đó./.
PHỤ LỤC II
CÁC BƯỚC CƠ BẢN ĐỂ XÂY DỰNG KHUNG QUY TRÌNH ĐẢM BẢO AN
TOÀN, AN NINH THÔNG TIN CHO HỆ THỐNG THÔNG TIN
(Ban hành kèm theo Quyết định số 36/2010/QĐ-UBND ngày 12 tháng 11 năm 2010 của
Ủy ban nhân dân tỉnh Khánh Hòa)
Bước 1. Lập kế
hoạch bảo vệ an toàn cho hệ thống thông tin
- Thành lập bộ
phận quản lý an toàn, an ninh thông tin.
- Xây dựng định
hướng cơ bản cho công tác đảm bảo an toàn, an ninh thông tin trong đó chỉ rõ:
+ Mục tiêu ngắn
hạn và dài hạn.
+ Phương hướng
và văn bản pháp quy, tiêu chuẩn cần tuân thủ và tham khảo.
+ Ước lượng nhân
lực và kinh phí đầu tư.
- Lập kế hoạch
xây dựng hệ thống bảo vệ an toàn, an ninh thông tin:
+ Xác định và
phân loại các nguy cơ gây sự cố an toàn, an ninh thông tin.
+ Rà soát và lập
danh sách các đối tượng cần được bảo vệ với những mô tả đầy đủ về: Nhiệm vụ; chức
năng; mức độ quan trọng và các đặc điểm đối tượng (đối tượng ở đây có thể là một
phần mềm, máy chủ, quy trình tác nghiệp thuộc cơ quan đơn vị v.v…).
+ Xây dựng
phương án đảm bảo an toàn cho các đối tượng trong danh sách cần được bảo vệ:
Nguyên tắc quản lý, vận hành; các giải pháp bảo vệ và khắc phục sự cố v.v…
+ Liên lạc và hợp
tác chặt chẽ với Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam (VNCERT), Sở
Thông tin và Truyền thông cũng như các cơ quan, tổ chức nghiên cứu và cung cấp
dịch vụ an toàn mạng.
+ Lập kế hoạch dự
trù kinh phí đầu tư cho hệ thống bảo vệ.
Bước 2. Xây dựng
hệ thống bảo vệ an toàn, an ninh thông tin
- Tổ chức đội
ngũ nhân viên chuyên trách, đủ năng lực đảm bảo an toàn cho hệ thống thông tin.
- Xây dựng hệ thống
bảo vệ an toàn, an ninh thông tin theo kế hoạch.
Bước 3. Quản
lý và vận hành hệ thống bảo vệ an toàn, an ninh thông tin
- Vận hành và quản
lý chặt chẽ trang thiết bị, phần mềm theo đúng quy định đã đặt ra.
- Khi phát hiện
sự cố cần nhanh chóng xác định nguyên nhân, tìm biện pháp khắc phục và báo cáo
sự cố cho các cơ quan chức năng.
- Cài đặt đầy đủ
và thường xuyên cập nhật phần mềm theo hướng dẫn của nhà cung cấp.
Bước 4. Kiểm tra
đánh giá hoạt động của hệ thống bảo vệ an toàn, an ninh thông tin
- Thường xuyên
kiểm tra giám sát các hoạt động của hệ thống bảo vệ an toàn, an ninh thông tin
nói riêng cũng như toàn bộ hệ thống thông tin nói chung.
- Báo cáo tổng kết
tình hình theo định kỳ.
Bước 5. Bảo
trì và nâng cấp hệ thống bảo vệ an toàn, an ninh thông tin
Thường xuyên kiểm
tra và bảo trì hệ thống bảo vệ an toàn, an ninh thông tin. Cần nhanh chóng mở rộng,
nâng cấp hoặc thay đổi khi cần thiết./.