|
ỦY BAN NHÂN DÂN
TỈNH HÒA BÌNH
-------
|
CỘNG HÒA XÃ
HỘI CHỦ NGHĨA VIỆT NAM
Độc lập - Tự do - Hạnh phúc
---------------
|
|
Số: 628/QĐ-UBND
|
Hòa Bình, ngày 20 tháng 05 năm 2014
|
QUYẾT ĐỊNH
BAN
HÀNH QUY CHẾ ĐẢM BẢO AN TOÀN, AN NINH THÔNG TIN TRONG HOẠT ĐỘNG ỨNG DỤNG CÔNG
NGHỆ THÔNG TIN CỦA CÁC CƠ QUAN NHÀ NƯỚC VÀ CÁC ĐƠN VỊ SỰ NGHIỆP TRÊN ĐỊA BÀN TỈNH
HÒA BÌNH
ỦY BAN NHÂN DÂN TỈNH HÒA BÌNH
Căn cứ Luật Tổ chức Hội đồng nhân dân
và Ủy ban nhân dân số 11/2003/QH11 ngày
26/11/2003;
Căn cứ Luật Giao dịch điện tử số 51/2005/QH11
ngày 29/11/2005; Luật Công nghệ thông tin
số 67/2006/QH11 ngày 29/6/2006;
Căn cứ Quyết định số 63/QĐ-TTg ngày
13/01/2010 của Thủ tướng Chính phủ phê duyệt Quy hoạch phát triển an toàn thông
tin số quốc gia đến năm 2020;
Căn cứ Chỉ thị số 897/CT-TTg ngày
10/6/2011 của Thủ tướng Chính phủ về việc tăng cường
triển khai các hoạt động đảm bảo an toàn thông tin số;
Căn cứ Thông tư số 22/2013/TT-BTTTT
ngày 23/12/2013 của Bộ Thông tin và Truyền thông ban hành danh mục tiêu chuẩn kỹ
thuật về ứng dụng công nghệ thông tin
trong cơ quan nhà nước;
Căn cứ Kế
hoạch số 77-KH/TU ngày 16/12/2013 của Tỉnh ủy Hòa Bình về việc thực hiện
Chỉ thị số 28-CT/TW ngày 16/9/2013 của Ban Bí thư Trung ương Đảng về tăng cường
công tác đảm bảo an toàn thông tin mạng;
Xét đề nghị của Giám đốc Sở Thông tin
và Truyền thông tại Tờ trình số 14/TTr-STTTT ngày 08/5/2014,
QUYẾT ĐỊNH:
Điều 1. Ban hành kèm theo Quyết định này Quy chế đảm bảo an toàn, an
ninh thông tin trong hoạt động ứng dụng công nghệ
thông tin của các cơ quan nhà nước và các đơn vị sự nghiệp trên địa bàn
tỉnh Hòa Bình.
Điều 2. Quyết định này có hiệu lực kể từ ngày ký.
Điều 3. Chánh Văn phòng Ủy ban
nhân dân tỉnh, Giám đốc các Sở, thủ trưởng
các Ban, ngành, đoàn thể, Chủ tịch Ủy ban nhân dân các huyện, thành phố chịu
trách nhiệm thi hành Quyết định này./.
|
Nơi nhận:
-
Như Điều 3;
- Bộ Thông tin và Truyền thông;
- TT.Tỉnh ủy, TT.HĐND tỉnh;
- Chủ tịch, các Phó Chủ tịch UBND tỉnh;
- Lưu: VY, VX (NV50b).
|
TM. ỦY BAN
NHÂN DÂN
CHỦ TỊCH
Nguyễn Văn Quang
|
QUY CHẾ
ĐẢM
BẢO AN TOÀN, AN NINH THÔNG TIN TRONG HOẠT ĐỘNG ỨNG DỤNG CÔNG NGHỆ THÔNG TIN CỦA
CÁC CƠ QUAN NHÀ NƯỚC VÀ CÁC ĐƠN VỊ SỰ NGHIỆP TRÊN ĐỊA BÀN TỈNH HÒA BÌNH
(Ban hành kèm theo Quyết định số 628/QĐ-UBND
ngày 20/5/2014 của Ủy ban nhân dân tỉnh
Hòa Bình)
Chương I
NHỮNG
QUY ĐỊNH CHUNG
Điều 1. Phạm
vi điều chỉnh
Quy chế này quy định về công tác đảm bảo
an toàn, an ninh thông tin trong hoạt động ứng dụng công nghệ thông tin của các cơ quan nhà nước và các
đơn vị sự nghiệp thuộc tỉnh Hòa Bình.
Điều 2. Đối tượng
áp dụng
1. Các cơ quan nhà nước thuộc tỉnh,
bao gồm: các sở, ban ngành,
đơn vị sự nghiệp trực thuộc Ủy ban nhân
dân tỉnh; Ủy ban nhân dân các huyện,
thành phố, Ủy ban nhân dân các xã, phường,
thị trấn (sau đây gọi tắt là cơ quan, đơn vị).
2. Cán bộ, công chức, viên chức đang
làm việc trong các cơ quan, đơn vị nêu tại khoản 1, điều này và những tổ chức,
cá nhân có liên quan áp dụng Quy chế này trong việc vận hành, khai thác và sử dụng
hệ thống thông tin tại các cơ quan, đơn vị.
Điều 3. Mục
đích đảm bảo an toàn, an ninh thông tin, bảo mật trên môi trường mạng
1. Tăng cường khả năng phòng, chống
các nguy cơ tấn công, xâm nhập hệ thống công nghệ
thông tin và ngăn chặn, khắc phục kịp thời các sự cố mất an toàn thông
tin trên mạng máy tính và các hệ thống thông tin trong hoạt động các cơ quan
nhà nước tỉnh Hòa Bình.
2. Bảo đảm tính bí mật, tính toàn vẹn,
sẵn sàng, cho tài sản thông tin phục vụ hoạt động điều hành, quản lý của các cơ
quan nhà nước trên địa bàn tỉnh.
Điều 4. Giải thích từ
ngữ
Trong Quy chế này, các từ ngữ dưới đây
được hiểu như sau:
1. Tính tin cậy: Đảm bảo
thông tin chỉ có thể được truy nhập bởi những người được cấp quyền sử dụng.
2. Tính toàn vẹn: Bảo vệ sự
chính xác và đầy đủ của thông tin và các phương pháp xử lý thông tin.
3. Tính sẵn sàng: Đảm bảo những
người được cấp quyền có thể truy nhập thông tin vào các tài sản liên quan ngay
khi có nhu cầu.
4. Hệ thống thông tin: Là một tập hợp
và kết hợp của các phần cứng, phần mềm, các hệ
thống mạng truyền thông được xây dựng và sử dụng để thu thập, tạo, tái tạo,
phân phối, chia sẻ các dữ liệu, thông tin nhằm phục vụ các mục tiêu của tổ chức.
5. Đảm bảo an toàn, an ninh thông
tin (ATANTT): Bao gồm các hoạt động quản lý, nghiệp vụ và kỹ thuật đối với
hệ thống thông tin số nhằm chống lại các nguy cơ tự nhiên hoặc do con người gây
ra. Việc bảo vệ thông tin, tài sản, con người trong hệ thống thông tin để hệ thống
thực hiện đúng chức năng, phục vụ đúng đối tượng một cách sẵn sàng, chính xác,
tin cậy. An toàn, an ninh thông tin bao gồm các nội dung về bảo mật thông tin,
an toàn dữ liệu, an toàn máy tính và an toàn mạng.
6. Tài sản liên quan đến hệ thống
thông tin: Bao gồm
thông tin (cơ sở dữ liệu, tài liệu hệ thống), phần cứng (máy tính, thiết bị mạng,
thiết bị lưu trữ), phần mềm (ứng dụng, công cụ quản lý, công cụ phát triển),
con người (tài khoản, thẻ nhận dạng)...
7. Cấu hình chuẩn: Là cấu hình
được các nhà sản xuất thiết bị, phần mềm, khuyến nghị áp dụng, nhằm loại bỏ các
xung đột, lỗ hỏng có thể xảy ra trong quá
trình cấu hình thiết bị.
8. Cổng giao tiếp (Port): Để định danh
các ứng dụng gửi và nhận dữ liệu, mỗi ứng dụng sẽ tương ứng với một cổng giao
tiếp, những ứng dụng phổ biến được đặt với số hiệu cổng định trước, nhằm định
danh duy nhất các ứng dụng đó. Khi máy tính sử dụng dịch vụ nào thì cổng giao
tiếp tướng ứng với dịch vụ đó sẽ mở.
9. Giao thức (Protocol): Là tập hợp
các qui tắc, qui ước truyền thông của mạng mà tất cả các thực thể tham gia truyền
thông phải tuân theo.
10. Mô hình mạng trạm - chủ (Clients/Server),
mạng ngang hàng:
- Mạng trạm - chủ (Clients/Server): Các máy trạm
được nối với các máy chủ, nhận quyền truy nhập mạng và tài nguyên mạng từ các
máy chủ.
- Mạng ngang hàng: Mô hình này
không có máy chủ, các máy trên mạng chia sẻ tài nguyên không phụ thuộc vào các
máy khác trên mạng.
11. Virus máy tính: Là một
chương trình hay một đoạn mã có khả năng tự sao chép chính nó từ đối tượng lây
nhiễm này sang đối tượng khác với mục đích gây hại cho máy tính.
12. Bản ghi nhật ký hệ thống
(Logfile):
Là một tập tin được tạo ra trên mỗi thiết bị của hệ thống thông tin như tường lửa,
máy chủ ứng dụng... có chứa tất cả thông tin về các hoạt động xảy ra trên thiết
bị đó. Bản ghi nhật ký hệ thống dùng để phân tích những sự kiện xảy ra, nguồn gốc
và các kết quả để có biện pháp xử lý thích hợp.
13. TCVN 7562: 2005 : Tiêu chuẩn
Việt Nam về mã thực hành quản lý an ninh thông tin.
14. TCVN 27002:2011: Tiêu chuẩn Việt
Nam về các kỹ thuật an toàn - Quy tắc thực hành quản lý an toàn thông tin.
15. TCVN 27001:2009: Tiêu chuẩn
Việt Nam về công nghệ thông tin - Hệ thống
quản lý an toàn thông tin - các yêu cầu.
Chương II
NỘI
DUNG ĐẢM BẢO AN TOÀN, AN NINH THÔNG TIN
Điều 5. Các biện pháp
quản lý vận hành trong công tác an toàn, an ninh thông tin và bảo mật
1. Đối với các cơ quan, đơn vị
a) Trang bị đầy đủ kiến thức bảo mật
cơ bản cho cán bộ, công chức, viên chức trước khi cho phép truy nhập và sử dụng
hệ thống thông tin.
b) Bố trí cán bộ, công chức, viên chức
chuyên trách hoặc phụ trách về công nghệ thông
tin (sau đây gọi là cán bộ chuyên trách). Cán bộ chuyên trách cần phải
có các kiến thức về mạng và quản trị mạng máy tính; kiến thức về an toàn, an
ninh thông tin trước khi tiến hành các hoạt động quản lý hay kỹ thuật nghiệp vụ.
c) Phải hủy bỏ quyền truy nhập hệ thống
thông tin, đảm bảo việc thu hồi lại tất cả các tài sản liên quan tới hệ thống
thông tin đối với nhân viên đã chấm dứt hợp đồng hay nghỉ việc và đảm bảo khả năng
vẫn truy nhập được vào các hồ sơ được tạo ra bởi nhân viên đó (phải bàn giao
trước khi rời khỏi cơ quan, đơn vị);
d) Xác định và phân bổ kinh phí đầu tư cần thiết để bảo vệ hệ thống
thông tin hoạt động tối ưu thông qua việc đầu tư các thiết bị tường lửa, các
chương trình chống thư rác, virus máy tính trên các máy trạm, máy chủ... và các công
việc khác liên quan đến việc đảm bảo an toàn, an ninh thông tin.
đ) Các cơ quan, đơn vị phải bố trí ít
nhất 01 máy vi tính riêng, không kết nối mạng nội bộ và mạng Internet dùng để
quản lý, soạn thảo các tài liệu mật theo quy định.
e) Kiểm tra việc thực hiện các nội
dung của Điều 6 Quy chế này.
2. Đối với cán bộ chuyên trách công nghệ thông tin tại các cơ quan, đơn vị
a) Triển khai, thực hiện các nội dung
của Điều 6 Quy chế này.
b) Chịu trách nhiệm tham mưu chuyên
môn và vận hành an toàn hệ thống thông tin của cơ quan, đơn vị. Triển khai các
biện pháp đảm bảo an toàn, an ninh thông tin cho tất cả các công chức, viên chức
trong đơn vị mình. Nắm vững và thực hiện
nghiêm túc Pháp lệnh bảo vệ bí mật nhà nước. Thường xuyên nghiên cứu, cập nhật
các kiến thức về an toàn, an ninh thông tin, nguy cơ tiềm ẩn có thể gây mất mát
thông tin và các biện pháp phòng tránh khi tiến hành các hoạt động quản lý hay
kỹ thuật nghiệp vụ.
c) Thường xuyên cập nhật cấu hình chuẩn
cho các thành phần của hệ thống thông tin, khi tiến hành cài đặt và thiết lập cấu
hình cho các sản phẩm an toàn thông tin (phần cứng và phần mềm) nhưng vẫn phải
duy trì yêu cầu hoạt động tốt của hệ thống
thông tin, không bị gián đoạn.
d) Thường xuyên thực hiện việc theo
dõi bản ghi nhật ký hệ thống (logfile) và các sự kiện khác có liên quan để đánh
giá, báo cáo các rủi ro và mức độ nghiêm trọng của các rủi ro. Các rủi ro đó có
thể xảy ra do sự truy cập trái phép, sử dụng
trái phép, mất, thay đổi hoặc phá hủy thông tin và hệ thống thông tin.
đ) Sao lưu thông tin ở mức người dùng
và mức hệ thống (bao gồm trạng thái hệ thống thông tin) và lưu trữ thông tin
sao lưu tại nơi an toàn, đồng thời, tổ chức kiểm tra thông tin sao lưu để đảm bảo
tính sẵn sàng và toàn vẹn thông tin.
e) Triển khai cơ chế chống virus, thư
rác cho những hệ thống xung yếu hiện hữu (firewall, mail server...) và tại các
máy trạm, máy chủ, các thiết bị di động trong mạng. Tổ chức sử dụng cơ chế chống
virus, thư rác để phát hiện và loại trừ những đoạn mã độc hại (virus, trojan,
worms...) được truyền tải bởi thư điện tử, tập tin đính kèm từ Internet, thiết
bị lưu trữ di động để khai thác lỗ hổng của hệ thống thông tin. Đồng thời, cập
nhật cơ chế chống virus, thư rác thường xuyên sao cho phù hợp với quy trình và
chính sách quản lý cấu hình hệ thống thông tin của tổ chức. Cần cân nhắc việc sử
dụng phần mềm chống virus từ nhiều hãng phân phối khác nhau.
f) Phối hợp chặt chẽ với cơ quan Công
an, Sở Thông tin và Truyền thông trong công tác phòng ngừa, đấu tranh, ngăn chặn
các hoạt động xâm phạm an toàn, an ninh thông tin.
3. Đối với cán bộ, công chức, viên chức
a) Thường xuyên cập nhật những chính
sách, thủ tục an toàn thông tin của đơn vị
cũng như thực hiện những hướng dẫn về an toàn, an ninh thông tin của công chức,
viên chức chuyên trách.
b) Hạn chế sử dụng chức năng chia sẻ
tài nguyên (Sharing), khi sử dụng chức năng này cần bật thuộc tính bảo mật bằng
mật khẩu và thực hiện việc thu hồi chức năng này khi đã sử dụng xong.
c) Khi mở các tập tin đính kèm thư điện
tử, nếu biết rõ người gửi thư thì phải lưu tập tin vào máy tính rồi quét virus
trước khi mở. Không mở các thư điện tử có tập tin đính kèm nguồn gốc
không rõ ràng vì rất có thể là virus, phần mềm gián điệp được đính kèm theo
thư.
d) Phải đặt mật khẩu truy cập vào máy
tính của mình, đồng thời thiết lập chế độ bảo vệ màn hình (Screen Saver) có sử dụng mật khẩu
sau một khoảng thời gian nhất định không sử dụng máy tính. Sử dụng các thiết bị lưu trữ (USB, ổ cứng gắn
ngoài...) an toàn, đúng cách để phòng ngừa virus, phần mềm gián điệp xâm nhập
vào máy tính.
Điều 6. Các biện pháp
quản lý kỹ thuật cho công tác an toàn, an ninh thông tin
1. Tổ chức mô hình mạng: Cài đặt, cấu
hình, tổ chức theo mô hình Clients/Server (Có độ an toàn và bảo mật thông tin
cao), hạn chế sử dụng mô hình mạng ngang hàng (độ an toàn và bảo mật kém).
Sơ đồ hệ thống mạng của cơ quan, đơn vị
phải được bảo mật tuyệt đối theo quy định
và ứng với từng chức năng vận hành của các máy chủ mà có cơ chế, chính sách bảo
mật phù hợp riêng, tùy theo các dịch vụ hay ứng dụng như: Websites, hệ thống
thư điện tử, hệ thống quản lý tên miền, cơ sở dữ liệu,... mà thiết lập các tường
lửa thích hợp (phần cứng hoặc phần mềm) và chính sách an toàn, an ninh khác
nhau nhằm đảm bảo an toàn, an ninh thông tin tốt nhất.
2. Đối với cán bộ chuyên trách chịu
trách nhiệm quản trị mạng luôn tuyệt đối tuân theo các quy định, quy trình, quy
chế về an toàn, an ninh thông tin mạng và theo các quy định hiện hành của nhà
nước.
3. Các cơ quan, đơn vị tổ chức quản lý
các tài khoản của hệ thống thông tin, bao gồm: Tạo mới, kích hoạt, sửa đổi, vô
hiệu hóa và loại bỏ các tài khoản. Đồng thời, tổ chức kiểm tra các tài khoản của
hệ thống thông tin ít nhất 06 tháng/lần và triển khai các công cụ tự động để hỗ
trợ việc quản lý các tài khoản của hệ thống thông tin.
4. Hệ thống thông tin phải giới hạn một
số hữu hạn lần đăng nhập sai liên tiếp (tối đa 03 lần). Hệ thống tự động khóa
tài khoản hoặc cô lập tài khoản trong một khoảng thời gian nhất định trước khi
tiếp tục cho đăng nhập nếu liên tục đăng nhập sai vượt quá số lần quy định.
5. Tổ chức theo dõi và kiểm soát tất cả
các phương pháp truy nhập từ xa (quay số, Internet...) tới hệ thống thông tin
bao gồm cả sự truy nhập có chức năng quản trị. Hệ thống cần có quá trình kiểm tra,
cho phép ứng với mỗi phương pháp truy nhập từ xa và chỉ cho phép những người thật
sự cần thiết truy nhập từ xa vào. Đồng thời, tổ chức triển khai cơ chế tự động
giám sát và điều khiển các truy nhập từ xa.
6. Quản lý hệ thống mạng không dây:
Khi thiết lập mạng không dây để kết nối với mạng cục bộ thông qua các điểm truy
cập (Access Point - AP), cần thiết lập các tham số như: tên, tên của mạng không
dây (SSID), mật khẩu, mã hóa dữ liệu và thông báo các thông tin liên quan đến
điểm truy cập để cơ quan sử dụng. Định kỳ 03 tháng thay đổi mật khẩu nhằm tăng
cường công tác bảo mật.
7. Hệ thống thông tin cần ghi nhận vào
bản nhật ký (Logfile) ít nhất các sự kiện sau: Quá trình đăng nhập hệ thống,
các thao tác cấu hình hệ thống và quá trình truy xuất hệ thống. Đồng thời, ghi
nhận đầy đủ các thông tin trong các bản ghi nhật ký để xác định những sự kiện
nào đã xảy ra, nguồn gốc và các kết quả của sự kiện để có cơ chế bảo vệ và lưu
giữ nhật ký trong một khoảng thời gian nhất
định.
8. Chống mã độc, virus: Lựa chọn, triển
khai các phần mềm chống virus, thư rác trên các máy chủ, các thiết bị di động
trong mạng và các hệ thống xung yếu như: Cổng/Trang thông điện tử, thư điện tử,
một cửa điện tử..., để phát hiện và loại trừ các đoạn mã độc hại (virus, trojan,
worms...) và hỗ trợ người sử dụng cài đặt trên các máy trạm. Thường xuyên cập
nhật các phiên bản mới, các bản vá lỗi của
các phần mềm chống virus để đảm bảo luôn được cập nhật mới nhất, phù hợp với
chính sách quản lý hệ thống thông tin của tổ chức, thiết lập chế độ quét thường
xuyên ít nhất là 1 tuần/1 lần.
9. Tổ chức quản lý tài nguyên: Kiểm
tra, giám sát chức năng chia sẻ thông tin (Network File and Folder Sharing). Tổ chức
cấp mật khẩu tài nguyên trên máy chủ theo danh mục thư mục cho từng phòng/ban;
khuyến cáo người sử dụng cân nhắc việc chia sẻ tài nguyên cục bộ trên máy tính đang sử dụng, tuyệt
đối không chia sẻ toàn bộ ổ cứng. Khi thực hiện việc chia sẻ tài nguyên trên
máy chủ hoặc trên máy trạm nên sử dụng mật khẩu để bảo vệ thông tin.
10. Thiết lập cơ chế sao lưu và phục hồi
máy chủ, máy trạm:
a) Đối với máy trạm, máy chủ: Thực hiện
việc sao lưu dữ liệu như hệ điều hành, các phần mềm ứng dụng văn phòng, phần mềm
chuyên ngành. Sau khi sao lưu mỗi máy được lưu vào các thiết bị lưu trữ như CD,
ổ cứng ngoài...
và
thực hiện việc đánh số, dán nhãn để tránh nhầm lẫn nhằm phục vụ cho công tác phục
hồi dữ liệu một cách nhanh nhất.
b) Đối với máy chủ: Thiết lập cơ chế
sao lưu và phục hồi hệ thống máy chủ, đối với các máy chủ cài đặt hệ điều hành
Windows sử dụng chức năng System Restore để có thể dễ dàng phục hồi lại toàn bộ
máy chủ hoặc các tập tin, thư mục được lựa chọn phục hồi.
11. Các biện pháp kỹ thuật đảm bảo an
toàn cho Cổng/Trang thông tin điện tử (gọi tắt là trang Web):
a) Xác định cấu trúc thiết kế trang
Web: Quản lý toàn bộ các phiên bản của mã nguồn, phối hợp với đơn vị thực hiện
dịch vụ đăng tải trang tin điện tử (website), truyền tệp (FTP),... và tổ chức
mô hình cổng/ Trang thông tin điện tử hợp lý tránh khả năng tấn công leo thang
đặc quyền (chiếm quyền user hoặc admin...). Yêu cầu đơn vị cung cấp dịch vụ
đăng tải Cổng/Trang thông tin điện tử phải cài đặt hệ thống phòng vệ như tường
lửa (firewall), thiết bị phát hiện/phòng chống xâm nhập (IDS/IPS), mức ứng dụng
web (WAF- Web Application Firewall).
b) Vận hành ứng dụng web an toàn: Các
trang web khi đưa vào sử dụng hoặc khi bổ sung thêm các chức năng, dịch vụ công
mới cần liên hệ với Sở Thông tin và Truyền thông hoặc Trung tâm ứng cứu khẩn cấp
Máy tính Việt Nam (VNVERT) nhằm tránh được các lỗi bảo mật thường xuyên xảy ra
trên ứng dụng web như: SQL Injection, Cross-site Scripting (XSS), Broken
Authentication and Session Management, Insecure Direct Object References....
c) Thiết lập và cấu hình cơ sở dữ liệu
an toàn: Luôn cập nhật bản vá lỗi mới nhất cho hệ thống quản trị cơ sở dữ liệu,
áp dụng các biện pháp kỹ thuật để đánh giá, tìm kiếm lỗ hổng trên máy chủ cơ sở
dữ liệu; Gỡ bỏ các cơ sở dữ liệu không sử dụng; Có các cơ chế sao lưu dữ liệu,
tài liệu hóa quá trình thay đổi cấu trúc bằng cách xây dựng nhật ký cơ sở dữ liệu
với các nội dung sau: Nội dung thay đổi, lý do thay đổi, thời gian, vị trí thay
đổi...
d) Phối hợp với các nhà cung cấp dịch
vụ đăng tải trang tin điện tử (website), truyền tệp (FTP),... xây dựng phương
án phục hồi trang tin điện tử, trong đó chú ý mỗi tháng thực hiện việc sao lưu
dự phòng (backup) toàn bộ nội dung trang web 1 lần bao gồm mã nguồn, cơ sở dữ liệu, dữ liệu phi cấu trúc,... để đảm
bảo khi sự cố xảy ra có thể khắc phục lại ngay trong vòng 24h.
12. Xử lý khẩn cấp: Khi phát hiện hệ
thống bị tấn công, thông qua các dấu hiệu như luồng tin (traffic) tăng lên bất
ngờ, nội dung trang chủ bị thay đổi, hệ thống hoạt động rất chậm khác thường...
cần thực hiện các bước cơ bản sau:
a) Bước 1: ngắt kết nối máy chủ ra khỏi mạng;
b) Bước 2: Sao chép Logfile và toàn bộ dữ
liệu của hệ thống ra thiết bị lưu trữ (phục vụ cho công tác phân tích).
c) Bước 3: Khôi phục hệ thống bằng cách
chuyển dữ liệu backup mới nhất để hệ thống hoạt động.
d) Bước 4: Thực hiện các công việc được
quy định tại Khoản 2 Điều 9.
13. Hệ thống thông tin cần có cơ chế
ngăn chặn hoặc hạn chế các sự cố gây ra do tấn công từ chối dịch vụ (DoS,
DDoS). Sử dụng tường lửa (phần cứng hoặc phần mềm) để tạo kết nối an toàn từ
vùng mạng bên trong ra bên ngoài hệ thống,
cũng như đảm bảo không có những truy cập trái phép từ bên ngoài vào những máy
chủ và thiết bị bên
trong của hệ thống thông tin. Đối với hệ thống thông tin cho phép truy cập công
cộng thì có thể được bảo vệ bằng cách tăng dung lượng, băng thông hoặc thiết lập
hệ thống dự phòng.
Điều 7. Xây dựng quy
chế nội bộ đảm bảo an toàn, an ninh thông tin
1. Các cơ quan, đơn vị phải ban hành
quy chế nội bộ, đảm bảo quy định rõ các vấn đề sau:
a) Mục tiêu và phương hướng thực hiện
công tác đảm bảo an toàn, an ninh cho hệ thống thông tin.
b) Nguyên tắc phân loại và quản lý mức
độ ưu tiên đối với các tài nguyên của hệ thống thông tin (phần mềm, dữ liệu,
trang thiết bị,...).
c) Quản lý phân quyền và trách nhiệm đối
với từng cá nhân khi tham gia sử dụng hệ
thống thông tin.
d) Quản lý và điều hành hệ thống máy
chủ, thiết bị mạng, thiết bị bảo vệ mạng một cách an toàn.
đ) Kiểm tra, rà soát và khắc phục sự cố
an toàn, an ninh của hệ thống thông tin sử dụng các biện pháp trong Điều 5 và
Điều 6 của Quy chế này.
e) Nguyên tắc chung sử dụng an toàn và
hiệu quả đối với toàn bộ cá nhân tham gia sử dụng hệ thống thông tin.
g) Báo cáo tổng hợp tình hình an toàn,
an ninh của hệ thống thông tin theo định kỳ.
2. Các cơ quan, đơn vị xây dựng quy chế
an toàn, an ninh thông tin căn cứ các tiêu chuẩn kỹ thuật quản lý an toàn, an
ninh thông tin theo bộ tiêu chuẩn TCVN 7562:2005 và TCVN 27002:2011 tại Phụ lục I kèm theo Quy chế này để có sự lựa chọn áp dụng
phù hợp cơ quan, đơn vị mình.
Điều 8. Xây dựng và
áp dụng quy trình đảm bảo an toàn, an ninh thông tin
1. Các cơ quan, đơn vị phải xây dựng và áp dụng quy trình đảm bảo
an toàn, an ninh cho hệ thống thông tin nhằm giảm thiểu các nguy cơ gây sự cố,
tạo điều kiện cho việc khắc phục và truy vết trong trường hợp có sự cố xảy ra.
Nội dung của quy trình có thể chia làm các bước cơ bản như sau:
a) Lập kế hoạch bảo vệ an toàn, an ninh
cho hệ thống thông tin.
b) Xây dựng hệ thống bảo vệ an toàn, an
ninh thông tin.
c) Quản lý và vận hành hệ thống bảo vệ
an toàn, an ninh thông tin.
d) Kiểm tra đánh giá hoạt động của hệ
thống bảo vệ an toàn, an ninh thông tin.
đ) Bảo trì và nâng cấp hệ thống bảo vệ
an toàn, an ninh thông tin.
2. Các cơ quan, đơn vị tham khảo các
bước cơ bản để xây dựng khung quy trình đảm bảo an toàn, an ninh thông tin cho
hệ thống thông tin tại Phụ lục II kèm theo Quy chế
này và tiêu chuẩn Việt Nam TCVN 27001:2009.
Chương III
TRÁCH
NHIỆM ĐẢM BẢO AN TOÀN, AN NINH THÔNG TIN, CÔNG TÁC THANH TRA, KIỂM TRA
Điều 9. Trách nhiệm của các cơ quan, đơn vị
1. Thủ trưởng các cơ quan, đơn vị có trách
nhiệm thực hiện các quy định tại Quy chế này và chịu trách nhiệm trước Ủy ban nhân dân tỉnh trong công tác bảo vệ an
toàn, an ninh thông tin của cơ quan, đơn vị phụ trách.
2. Khi có sự cố hoặc nguy cơ mất an
toàn, an ninh thông tin kịp thời áp dụng mọi biện pháp để khắc phục và hạn chế
thiệt hại, ưu tiên sử dụng lực lượng kỹ thuật về an toàn, an ninh thông tin của
cơ quan, đơn vị và lập biên bản, báo cáo bằng văn bản cho cơ quan cấp trên quản
lý trực tiếp và Sở Thông tin và Truyền thông. Trường
hợp có sự cố nghiêm trọng vượt quá khả năng khắc phục của cơ quan, đơn vị, phải
báo cáo ngay cho cơ quan cấp trên quản lý trực tiếp và Sở Thông tin và Truyền
thông để được hướng dẫn, hỗ trợ theo biểu mẫu Phụ lục III
của Quy chế này.
3. Tạo điều kiện thuận lợi cho các cơ
quan chức năng (Sở Thông tin và Truyền thông, Công an tỉnh và các đơn vị liên
quan) tham gia khắc phục sự cố và thực hiện đúng theo hướng dẫn.
4. Phối hợp với đoàn kiểm tra để việc
triển khai công tác kiểm tra khắc phục sự cố diễn ra nhanh chóng và đạt hiệu quả;
đồng thời cung cấp đầy đủ các thông tin khi đoàn kiểm tra yêu cầu.
5. Báo cáo tình hình và kết quả thực
hiện công tác đảm bảo an toàn, an ninh thông tin tại cơ quan, đơn vị tại Phụ lục IV và gửi về Sở Thông tin và Truyền thông qua hộp
thư phongcntt.tttt@hoabinh.gov.vn. Riêng báo cáo năm, các đơn vị gửi về Sở Thông tin và Truyền thông bằng
văn bản (trước ngày 15 tháng 12).
Điều 10. Trách nhiệm
của cán bộ, công chức, viên chức trong các cơ quan, đơn vị
1. Nghiêm chỉnh thi hành các quy chế nội
bộ, quy trình về an toàn, an ninh thông tin của cơ quan, đơn vị cũng như các
quy định khác của pháp luật; nâng cao ý thức cảnh giác và trách nhiệm đảm bảo
an toàn, an ninh thông tin tại cơ quan, đơn vị.
2. Khi phát hiện sự cố phải báo cáo
ngay với cấp trên và bộ phận chuyên trách để kịp thời ngăn chặn, xử lý.
3. Hưởng ứng, tham gia các chương
trình đào tạo, hội nghị về an toàn, an ninh thông tin do Sở Thông tin và Truyền
thông và các cơ quan chức năng tổ chức.
Điều 11. Trách nhiệm
của Sở Thông tin và Truyền thông
1. Tham mưu cho Ủy ban nhân dân tỉnh về công tác đảm bảo an
toàn, an ninh thông tin trên địa bàn tỉnh và phối hợp với các cơ quan, đơn vị
liên quan trong việc đảm bảo an toàn, an ninh cho các hệ thống thông tin của tỉnh.
2. Hàng năm xây dựng kế hoạch, dự toán
nguồn kinh phí để triển khai công tác an toàn và an ninh thông tin phục vụ cho
việc vận hành hệ thống thông tin được Ủy ban
nhân dân tỉnh giao quản lý.
3. Xây dựng và triển khai các chương
trình đào tạo, hội nghị tuyên truyền an toàn, an ninh thông tin trong công tác quản lý nhà nước trên địa bàn tỉnh.
4. Tùy theo mức độ sự cố, phối hợp Trung
tâm ứng cứu khẩn cấp máy tính Việt Nam (VNCERT) và các đơn vị có liên quan hướng
dẫn xử lý, ứng cứu các sự cố thông tin.
5. Hướng dẫn, giám sát các cơ quan,
đơn vị xây dựng quy chế và thực hiện việc đảm bảo an toàn, an ninh cho hệ thống
thông tin theo quy định của pháp luật.
6. Chủ trì, phối hợp với các cơ quan
liên quan tổ chức tuyên truyền công tác đảm bảo an toàn, an ninh thông tin tại
các cơ quan, đơn vị trên địa bàn tỉnh. Tổ chức kiểm tra theo định kỳ hoặc đột
xuất; kịp thời phát hiện và xử lý theo
quy định của pháp luật đối với các cơ quan, tổ chức, cá nhân có các dấu hiệu,
hành vi vi phạm an toàn, an ninh thông tin trên địa bàn tỉnh.
Điều 12. Trách nhiệm
của Công an tỉnh
1. Phối hợp Sở Thông tin
và Truyền thông kiểm tra công tác an toàn, an ninh thông tin;
2. Điều tra và xử lý các trường hợp vi
phạm an toàn, an ninh thông tin theo thẩm quyền.
3. Thường xuyên thông báo cho các cơ
quan, đơn vị về phương thức, thủ đoạn mới của các loại tội phạm xâm phạm an
toàn, an ninh thông tin để có biện pháp phòng ngừa, đấu tranh, ngăn chặn.
Chương IV
TỔ
CHỨC THỰC HIỆN
Điều 13. Khen thưởng
và xử lý vi phạm
1. Hàng năm, Sở Thông tin và Truyền
thông dựa trên kết quả điều tra, báo cáo công tác an toàn, an ninh thông tin của
các cơ quan, đơn vị để xác lập bảng xếp hạng an toàn, an ninh thông tin; Trên
cơ sở đó đề xuất Ủy ban nhân dân tỉnh xem
xét, khen thưởng theo quy định hiện hành.
2. Các cơ quan, đơn vị có hành vi vi
phạm Quy chế này, tùy theo tính chất, mức độ vi phạm mà bị xử lý theo quy định
của pháp luật hiện hành.
Điều 14. Điều khoản
thi hành
Các sở, ban, ngành, Ủy ban nhân dân các huyện, thành phố và các cơ quan có liên quan triển
khai thực hiện Quy chế này.
Trong quá trình thực hiện nếu có phát
sinh khó khăn, vướng mắc cần sửa đổi, bổ sung các cơ quan, đơn vị kịp thời phản
ánh về Sở Thông tin và Truyền thông để tổng hợp, báo cáo Ủy ban nhân dân tỉnh xem xét, quyết định./.
PHỤ
LỤC I
NHỮNG
NỘI DUNG CHÍNH CỦA TCVN 7562:2005 VÀ TCVN 27002:2011 DÙNG ĐỂ XÂY DỰNG QUY CHẾ NỘI
BỘ ĐẢM BẢO AN TOÀN, AN NINH CHO HỆ THỐNG THÔNG TIN
(Ban
hành kèm
theo
Quyết định số 628/QĐ-UBND ngày 20/5/2014 của Ủy ban nhân dân tỉnh)
1. Chính sách an toàn,
an ninh thông tin
Chỉ thị và hướng dẫn về an toàn, an
ninh thông tin.
2. An ninh tổ chức
a) Hạ tầng an ninh thông tin: Quản lý an
ninh thông tin trong tổ chức;
b) An ninh đối với bên truy cập thứ
ba: Duy trì an ninh cho các phương tiện xử lý thông tin của các tổ chức và tài
sản thông tin do các bên thứ ba truy cập.
3. Phân loại và kiểm soát tài sản
a) Trách nhiệm giải trình tài sản: Duy
trì bảo vệ tài sản;
b) Phân loại thông tin tài sản: Đảm bảo
mỗi loại tài sản có mức bảo vệ thích hợp.
4. An ninh cá nhân
a) An ninh trong định nghĩa công việc
và nguồn nhân lực: Giảm rủi ro do các hành vi sai sót của con người;
b) Đào tạo người sử dụng: Đảm bảo người
sử dụng nhận thức được các mối đe dọa và các vấn đề liên quan đến an ninh thông
tin;
c) Đối phó với các sự cố an ninh: Giảm
thiểu thiệt hại từ các trục trặc và sự cố an ninh, theo dõi, rút kinh nghiệm.
5. An ninh môi trường và vật lý
a) Phạm vi an ninh: Ngăn ngừa việc
truy cập, gây hại và can thiệp trái phép vào vùng an ninh và thông tin nghiệp vụ;
b) An ninh thiết bị: Để tránh mất mát,
lỗi hoặc các sự cố khác liên quan đến tài sản gây ảnh hưởng tới các hoạt động
nghiệp vụ;
c) Kiểm soát chung: Ngăn ngừa làm hại
hoặc đánh cắp thông tin và các phương tiện xử lý thông tin.
6. Quản lý truyền thông và hoạt động
a) Thủ tục vận hành và trách nhiệm vận
hành hệ thống: Đảm bảo các phương tiện xử lý thông tin hoạt động đúng và an
toàn;
b) Lập kế hoạch hệ thống và công nhận:
Giảm thiểu rủi ro và lỗi hệ thống;
c) Bảo vệ chống lại phần mềm cố ý gây
hại: Bảo vệ tính toàn vẹn của phần mềm thông tin;
d) Công việc quản lý: Duy trì tính
toàn vẹn và sẵn sàng của dịch vụ truyền đạt và xử lý thông tin;
đ) Quản trị mạng: Đảm bảo việc an
toàn, an ninh thông tin trên mạng và bảo vệ cơ sở hạ tầng kỹ thuật;
g) Trao đổi thông tin: Ngăn ngừa mất
mát, thay đổi hoặc sử dụng sai thông tin được trao đổi giữa các đơn vị.
7. Kiểm soát truy cập
a) Các yêu cầu nghiệp vụ đối với kiểm
soát truy cập: Kiểm soát truy cập thông tin;
b) Quản lý truy cập người dùng: Để
tránh các truy cập không được cấp phép vào hệ thống;
c) Trách nhiệm của người dùng: để
tránh các truy cập của người dùng không được cấp
phép;
d) Kiểm soát truy cập mạng: Bảo vệ các
dịch vụ mạng;
đ) Kiểm soát truy cập hệ điều hành:
Tránh truy cập vào các máy tính không được phép;
g) Kiểm soát truy cập ứng dụng: Tránh
truy cập trái phép vào hệ thống;
h) Giám sát truy cập hệ thống và giám
sát sử dụng hệ thống: Để phát hiện các hoạt động không được cấp phép;
i) Kiểm soát truy cập từ xa: Đảm bảo
an toàn, an ninh thông tin khi sử dụng các phương tiện di động.
8. Phát triển và duy trì hệ thống
a) Yêu cầu an ninh đối với các hệ thống:
Để đảm bảo các yêu cầu an ninh được đưa vào trong quá trình xây dựng hệ thống;
b) An ninh trong hệ thống ứng dụng: Để
ngăn ngừa mất mát, thay đổi hoặc lạm dụng cơ sở
dữ liệu người sử dụng trong các hệ thống ứng
dụng;
c) Các kiểm soát mật mã hóa: Để bảo vệ
tính tin cậy, xác thực hoặc toàn vẹn của thông tin;
d) An ninh các File hệ thống: Đảm bảo
rằng các dự án công nghệ thông tin và các
hoạt động hỗ trợ được quản lý một cách an toàn;
đ) An ninh quá trình hỗ trợ và phát
triển: Duy trì an ninh của phần mềm và thông tin hệ thống ứng dụng.
9. Sự tuân thủ
a) Tuân thủ các yêu cầu pháp lý: Để
tránh bất kỳ các vi phạm luật hình sự và dân sự, các nghĩa vụ có tính luật
pháp, nguyên tắc và bất kỳ
yêu cầu an ninh nào;
b) Soát xét của chính sách an ninh và
yêu cầu kỹ thuật để đảm bảo việc tuân thủ của hệ thống với các chính sách và
tiêu chuẩn an ninh của Tổ quốc;
c) Xem xét kiểm tra hệ thống: Để tối
đa tính hiệu lực để giảm thiểu sự can thiệp tới quy trình kiểm tra hệ thống đó.
PHỤ
LỤC II
CÁC
BƯỚC CƠ BẢN ĐỂ XÂY DỰNG KHUNG QUY TRÌNH ĐẢM BẢO AN TOÀN, AN NINH THÔNG TIN
(Ban hành kèm theo Quyết định số 628/QĐ-UBND ngày 20/5/2014 của Ủy ban nhân dân tỉnh)
Bước 1. Lập kế hoạch bảo vệ an toàn
cho hệ thống thông tin
- Thành lập bộ phận quản lý an toàn, an ninh
thông tin.
- Xây dựng định hướng cơ bản cho công
tác đảm bảo an toàn, an ninh thông tin trong đó chỉ rõ:
+ Mục tiêu ngắn hạn và dài hạn.
+ Phương hướng và văn bản pháp quy,
tiêu chuẩn cần tuân thủ và tham khảo.
+ Ước lượng nhân lực và kinh phí đầu
tư.
- Lập kế hoạch xây dựng hệ thống bảo vệ
an toàn, an ninh thông tin:
+ Xác định và phân loại các nguy cơ
gây sự cố an toàn, an ninh thông tin.
+ Rà soát và lập danh sách các đối tượng
cần được bảo vệ với những mô tả đầy đủ về: nhiệm vụ; chức năng; mức độ quan trọng
và các đặc điểm đối tượng (đối tượng ở đây có thể là phần mềm, máy chủ, quy
trình tác nghiệp thuộc cơ quan, đơn vị...)
+ Xây dựng phương án đảm bảo an toàn
cho các đối tượng trong danh sách cần được bảo vệ: Nguyên tắc quản lý, vận
hành; các giải pháp bảo vệ và khắc phục sự cố...
+ Liên lạc và phối hợp chặt chẽ với
Trung tâm ứng cứu khẩn cấp máy tính Việt Nam (VNCERT), Sở Thông tin và Truyền
thông cũng như các cơ quan, tổ chức nghiên cứu và cung cấp dịch vụ an toàn mạng.
+ Lập dự trù kinh phí đầu tư cho hệ thống
bảo vệ.
Bước 2. Xây dựng hệ thống bảo vệ an
toàn, an ninh thông tin
- Tổ chức đội ngũ nhân viên chuyên
trách, đủ năng lực đảm bảo an toàn an ninh thông tin.
- Xây dựng hệ thống bảo vệ an toàn, an ninh
thông tin theo kế hoạch.
Bước
3. Quản lý và vận hành hệ thống bảo vệ an toàn, an ninh thông tin
- Vận hành và quản lý chặt chẽ trang
thiết bị, phần mềm theo đúng quy định đã đặt ra.
- Khi phát hiện sự cố cần nhanh chóng
xác định nguyên nhân, tìm biện pháp khắc phục và báo cáo sự cố cho các cơ quan
chức năng.
- Cài đặt đầy đủ và thường xuyên cập
nhật phần mềm theo hướng dẫn của nhà cung cấp.
Bước 4. Kiểm tra đánh giá hoạt động của
hệ thống bảo vệ an toàn, an ninh thông tin
- Thường xuyên kiểm tra giám sát các
hoạt động của hệ thống bảo vệ an toàn an ninh thông tin nói riêng cũng như toàn
bộ hệ thống thông tin nói chung.
- Báo cáo tổng kết tình hình theo định
kỳ.
Bước 5. Bảo trì và nâng cấp hệ thống bảo
vệ an toàn, an ninh thông tin
Thường xuyên kiểm tra và bảo trì hệ thống
bảo vệ an toàn, an ninh thông tin. Cần nhanh chóng mở rộng, nâng cấp hoặc thay
đổi khi cần thiết./.
PHỤ
LỤC III
MẪU
BÁO CÁO SỰ CỐ
(Ban hành kèm theo Quyết định số 628/QĐ-UBND ngày 20/5/2014 của Ủy ban nhân dân tỉnh)
|
Đơn vị:……………
-------
|
CỘNG HÒA XÃ
HỘI CHỦ NGHĨA VIỆT NAM
Độc lập - Tự do - Hạnh phúc
---------------
|
|
|
……., ngày tháng năm
|
1. Thông tin chung:
Tên cơ quan:...................................................................................................................
Email (cơ quan): .............................................................................................................
Điện thoại (cơ quan): .......................................................................................................
2. Thông tin về sự cố:
Số lượng máy chủ bị sự cố: ……… máy
Tên và chức năng chính của từng máy chủ:
a) Tên máy chủ: ..............................................................................................................
Hệ điều hành:...................................................................................................................
* Windows Phiên bản (Version): .......................................................................................
* Linux Phiên bản (Version):..............................................................................................
* Ubutu Phiên bản (Version):.............................................................................................
* Khác: ...........................................................................................................................
Chức năng: .....................................................................................................................
Thời gian xảy ra sự cố: …./ …../….. /……
/ (giờ/phút/ngày/tháng/năm)
Mô tả sơ bộ về sự cố: ....................................................................................................
.......................................................................................................................................
Các dịch vụ trên máy chủ (đánh dấu những
dịch vụ được sử dụng trên hệ thống):
|
□ Web server
|
□ Mail server
|
□ Database server
|
|
□ FPT server
|
□ Proxy server
|
□ Application server
|
□ Dịch vụ khác, đó là: ……………………………………………………………………………….
Địa chỉ IP của hệ thống:
* IP nội bộ với địa chỉ: ……..-……… - …………..- ………
* IP ngoài với địa chỉ: ……..-……… - …………..- ………
Các tên miền của hệ thống:
…………………………………………………………………………………………………………..
Cách thức phát hiện (đánh dấu những
hình thức phát hiện khi sự cố):
|
□ Người dùng cuối báo
|
□ Quản trị hệ thống
|
|
□ Qua hệ thống IDS/IPS
|
□ Kiểm tra Log file
|
|
□ Kiểm tra đường truyền
|
□ Công ty, tổ chức tư vấn
|
* Khác, đó là: ………………………………………………………………………………………….
Các biện pháp đã xử lý khi gặp sự cố:
|
□ Không làm gì cả
|
□ Tự xử lý
|
|
□ Báo cáo cấp trên
|
□ Yêu cầu hỗ trợ từ nơi khác
|
|
□ Hỗ trợ từ VNCERT
|
□ Báo cáo cảnh sát mạng
|
* Khác, đó là: ………………………………………………………………………………………….
Đối với mỗi biện pháp, đề nghị mô tả cụ
thể cách thức xử lý:
.......................................................................................................................................
.......................................................................................................................................
b) Tên máy chủ 2 (tương tự như mục a - nếu
có):..............................................................
c) Tên máy chủ 3 (tương tự như mục a - nếu
có):..............................................................
Xin vui lòng cho biết:
● Họ và tên người
báo cáo sự cố:
● Bộ phận công
tác:
● Chức vụ:
● Điện thoại
liên lạc:
● Email:
|
Người
kê khai
(Ký và ghi rõ họ, tên)
|
Hòa Bình,
ngày tháng năm
Lãnh
đạo cơ quan, đơn vị
(Ký tên, đóng dấu)
|
PHỤ
LỤC IV
MẪU
BÁO CÁO TÌNH HÌNH AN TOÀN, AN NINH THÔNG TIN
(Ban
hành kèm theo Quyết định số 628/QĐ-UBND ngày 20/5/2014 của Ủy ban nhân dân tỉnh)
|
Đơn vị……………
-------
|
CỘNG HÒA XÃ
HỘI CHỦ NGHĨA VIỆT NAM
Độc lập - Tự do - Hạnh phúc
---------------
|
|
|
…….., ngày tháng năm
|
BÁO CÁO TÌNH
HÌNH AN TOÀN, AN NINH THÔNG TIN
Thông tin chung:
Tên cơ quan: ..................................................................................................................
Email (cơ quan): .............................................................................................................
Điện thoại (cơ quan): .......................................................................................................
I. Đánh giá hiện trạng và dự kiến
1. Về chính sách, quản lý:
- Kế hoạch để bảo đảm an toàn, an ninh thông
tin cho cơ quan, đơn vị:
□ Có □ Chưa
+ Nếu có, đề nghị gửi kèm văn bản hoặc
cung cấp đường link đăng tải trên Cổng/ Trang thông tin điện tử.
- Biện pháp vận hành liên tục và khôi
phục sự cố:
□ Có □ Không
- Thường xuyên cập nhật công nghệ bảo
đảm an toàn, an ninh thông tin:
□ Có □ Không
2. Về đầu tư cho
an toàn, an ninh thông tin:
- Phần trăm ngân sách trong tổng số
ngân sách cho công nghệ thông tin để đầu tư vào việc bảo đảm an toàn thông tin năm……….: %.
- Đã và dự kiến đầu tư vào lĩnh vực
nào, năm nào dưới đây:
|
Lĩnh vực
|
20....
|
Dự kiến năm 20...
|
Mô tả nội dung
|
|
1. Xây dựng chính sách/hướng dẫn/thủ
tục
|
□
|
□
|
|
|
2. Sử dụng dịch vụ
|
□
|
□
|
|
|
3. Yêu cầu tư vấn
|
□
|
□
|
|
|
4. Mua thiết bị an toàn thông tin
|
□
|
□
|
|
|
5. Nghiên cứu sử dụng phần mềm mã
nguồn mở
|
□
|
□
|
|
|
6. Đào tạo nguồn nhân lực
|
□
|
□
|
|
|
7. Các vấn đề khác: …………….
|
|
|
|
- Đã và dự kiến sử dụng những công cụ
nào, năm nào để bảo đảm an toàn, an ninh thông tin?
|
Công cụ
|
20....
|
Dự kiến năm 20...
|
Mô tả nội dung
|
|
1. Công cụ diệt virus (Anti virus)
|
□
|
□
|
|
|
2. Mật khẩu
|
□
|
□
|
|
|
3. Tường lửa
|
□
|
□
|
|
|
4. Công cụ lọc thư rác
|
□
|
□
|
|
|
5. Công cụ mã hóa tập tin
|
□
|
□
|
|
|
6. Công cụ chống DDos
|
□
|
□
|
|
|
7. Chữ ký điện tử
|
□
|
□
|
|
|
8. Mạng riêng o (VPN)
|
□
|
□
|
|
|
9. Hệ thống phát hiện xâm nhập
|
□
|
□
|
|
|
10. Những công cụ khác: ...............
|
|
|
|
3. Về tình hình an ninh mạng và xử lý
sự cố:
● Tổng kết về các sự cố an ninh mạng
đã xảy ra trong năm 20.... đối với đơn vị.
|
Sự cố
|
Số lượng
|
|
1. Virus
|
|
|
2. Lừa đảo (Phishing)
|
|
|
3. Thư rác (Spam mail)
|
|
|
4. Spyware/Adware
|
|
|
5. Tấn công từ chối dịch vụ (Dos,
DDos)
|
|
|
6. Nội dung website đơn vị bị thay đổi
(deface website)
|
|
|
7. Sự cố khác: …………………………………………………………..
|
|
• Mức độ thiệt hại ước tính trong năm 20... do
các sự cố an toàn, an ninh thông tin gây ra:
□ Thiệt hại gián tiếp: …………………triệu đồng
□ Thiệt hại trực tiếp: ………………… triệu đồng
□ Chi phí khắc phục: ………………… triệu đồng
• Biện pháp xử lý đã áp dụng khi gặp sự cố:
|
Phương pháp
|
Số lần
|
|
1. Không làm gì cả
|
|
|
2. Tự xử lý
|
|
|
3. Báo cáo cấp trên trực tiếp
|
|
|
4. Yêu cầu hỗ trợ từ nơi khác
|
|
|
5. Báo cảnh sát mạng
|
|
|
6. Phương pháp khác, đó là: ……………………….
|
|
• Cho biết công việc mà cơ quan đã thực
hiện sau khi khắc phục được sự cố trong năm qua:
□ Sửa đổi chính sách/hướng dẫn/thủ tục.
□ Nâng cao ý thức.
□ Tăng cường thiết bị.
□ Rà soát lại hệ thống.
□ Mở rộng lại liên kết với các đơn vị hoạt động trong
lĩnh vực an toàn thông tin.
□ Việc khác đó là: ………………………………………
4. Tổ chức nhân lực và bồi dưỡng nghiệp
vụ:
● Đơn vị có bộ phận
phụ trách về bảo đảm an toàn, an ninh thông tin không?
□ Có □ Không
- Nếu có, bộ phận có người phụ trách
là?
□ Lãnh đạo cơ quan □ Giám đốc CNTT
(CIO)
□ Công chức, viên chức chuyên trách
CNTT □ Khác:
- Nếu chưa có, thì đơn vị có dự kiến tổ
chức bộ phận đó không?
□ Có □ Không
Dự kiến sẽ triển khai thành lập vào
tháng ………năm …….., với số lượng công chức, viên chức là ………….. người.
● Nhu cầu bồi
dưỡng nghiệp vụ an toàn, an ninh thông tin:
- Dành cho lãnh đạo và công chức, viên
chức quản lý, số lượng dự kiến: ……………..người.
- Cơ bản/Nâng cao về an toàn, an ninh
thông tin cho cán bộ kỹ thuật, số lượng: ……..người.
- Kỹ năng an toàn, an ninh thông tin
cho người dùng, số lượng dự kiến:…………….. người.
● Đơn vị đã có
dự trù kinh phí cho huấn luyện nghiệp vụ, đào tạo phát triển nguồn nhân lực bảo
đảm an ninh thông tin của đơn vị hay
chưa?
□ Có □ Chưa
● Nếu tự đánh giá mức độ an toàn, an
ninh thông tin của đơn vị trong năm
20....là:
□ Kém □ Trung bình □
Tốt □ Rất tốt
II. Ý kiến phản hồi và
góp ý thêm:
....................................................................................................................................
....................................................................................................................................
Xin vui lòng cho biết:
● Họ và tên người báo cáo:
● Bộ phận công
tác:
● Chức vụ:
● Điện thoại liên lạc:
● Email:
|
Người kê khai
(Ký
và ghi rõ họ, tên)
|
Hòa Bình,
ngày tháng năm
Lãnh đạo cơ quan, đơn vị
(Ký tên, đóng dấu)
|
Chú ý:
- Điền thông tin đầy đủ vào các câu hỏi;
- Để lựa chọn đánh dấu x;
- Gửi về đường công văn cho Sở Thông
tin và Truyền thông; bản mềm gửi theo địa chỉ email:
phongcntt.tttt@hoabinh.gov.vn