- 1 Nghị định 85/2016/NĐ-CP về bảo đảm an toàn hệ thống thông tin theo cấp độ
- 2 Thông tư 03/2017/TT-BTTTT hướng dẫn Nghị định 85/2016/NĐ-CP về bảo đảm an toàn hệ thống thông tin theo cấp độ do Bộ trưởng Bộ Thông tin và Truyền thông ban hành
- 3 Thông tư 12/2019/TT-BTTTT sửa đổi Thông tư 27/2017/TT-BTTTT quy định về quản lý, vận hành, kết nối, sử dụng và bảo đảm an toàn thông tin trên mạng truyền số liệu chuyên dùng của cơ quan Đảng, Nhà nước do Bộ trưởng Bộ Thông tin và Truyền thông ban hành
ỦY BAN NHÂN DÂN | CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM |
Số: 1077/QĐ-UBND | Bình Phước, ngày 27 tháng 4 năm 2021 |
BAN HÀNH QUY CHẾ QUẢN LÝ, VẬN HÀNH VÀ KHAI THÁC TRUNG TÂM TÍCH HỢP DỮ LIỆU TỈNH BÌNH PHƯỚC
CHỦ TỊCH ỦY BAN NHÂN DÂN TỈNH
Căn cứ Luật Tổ chức chính quyền địa phương ngày 19/6/2015;
Căn cứ Luật Giao dịch điện tử ngày 29/11/2005;
Căn cứ Luật Công nghệ thông tin ngày 29/6/2006;
Căn cứ Luật An toàn thông tin mạng ngày 19/11/2015;
Căn cứ Luật Sửa đổi, bổ sung một số điều của Luật Tổ chức Chính phủ và Luật Tổ chức chính quyền địa phương ngày 22/11/2019;
Căn cứ Nghị định số 64/2007/NĐ-CP ngày 10/4/2007 của Chính phủ về ứng dụng Công nghệ thông tin trong hoạt động của cơ quan nhà nước;
Căn cứ Thông tư số 03/2013/TT-BTTTT ngày 22/01/2013 của Bộ Trưởng Bộ Thông tin và Truyền thông quy định áp dụng tiêu chuẩn, quy chuẩn kỹ thuật đối với Trung tâm dữ liệu;
Căn cứ Quyết định số 2231/QĐ-UBND ngày 09/9/2020 của UBND tỉnh về việc phê duyệt đề án thành lập Trung tâm tích hợp dữ liệu tỉnh Bình Phước;
Theo đề nghị của Sở Thông tin và Truyền thông tại Tờ trình số 27/TTr-STTTT ngày 12/3/2021.
QUYẾT ĐỊNH:
Điều 1. Phê duyệt kèm theo Quyết định này Quy chế quản lý, vận hành và khai thác Trung tâm tích hợp dữ liệu tỉnh Bình Phước.
Điều 2. Chánh Văn phòng Ủy ban nhân dân tỉnh; Giám đốc Sở Thông tin và Truyền thông; Thủ trưởng các sở, ban, ngành; Chủ tịch Ủy ban nhân dân các huyện, thị xã, thành phố và các tổ chức, cá nhân có liên quan chịu trách nhiệm thi hành Quyết định này, kể từ ngày ký./.
| KT. CHỦ TỊCH |
QUẢN LÝ, VẬN HÀNH VÀ KHAI THÁC TRUNG TÂM TÍCH HỢP DỮ LIỆU TỈNH BÌNH PHƯỚC
(Ban hành kèm theo Quyết định số 1077/QĐ-UBND ngày 27 tháng 4 năm 2021 của Chủ tịch Ủy ban nhân dân tỉnh Bình Phước)
Quy chế này quy định việc quản lý, vận hành và khai thác Trung tâm tích hợp dữ liệu tỉnh Bình Phước (Trung tâm tích hợp dữ liệu).
Quy chế này áp dụng đối với cơ quan hành chính, đơn vị sự nghiệp công lập nhà nước trên địa bàn tỉnh và các tổ chức, cá nhân có liên quan tham gia quản lý, vận hành và khai thác Trung tâm tích hợp dữ liệu.
Trong Quy chế này, các từ ngữ dưới đây được hiểu như sau:
1. Trung tâm tích hợp dữ liệu là một công trình xây dựng, bao gồm hạ tầng kỹ thuật (nhà trạm, hệ thống cáp) và hệ thống máy tính cùng các thiết bị phụ trợ được lắp đặt vào đó để lưu trữ, trao đổi và quản lý tập trung dữ liệu của một hay nhiều tổ chức, cá nhân.
2. Ứng dụng dùng chung là các phần mềm ứng dụng cung cấp nhiều loại dịch vụ cho các cơ quan, đơn vị và người sử dụng được Ủy ban nhân dân tỉnh thống nhất triển khai đưa vào hoạt động tại Trung tâm Tích hợp dữ liệu.
3. Hạ tầng kỹ thuật là tập hợp thiết bị gồm (máy chủ, máy trạm, router, firewall), thiết bị ngoại vi, thiết bị kết nối mạng, thiết bị phụ trợ, mạng nội bộ, mạng diện rộng, internet.
4. Mạng Truyền số liệu chuyên dùng là mạng truyền dẫn tốc độ cao, sử dụng phương thức chuyển mạch nhãn đa giao thức trên nền giao thức liên mạng (IP/MPLS) sử dụng riêng trong hoạt động ứng dụng công nghệ thông tin của các cơ quan Đảng và Nhà nước do tập đoàn Bưu chính Viễn thông Việt Nam xây dựng và vận hành.
5. Thiết bị thông tin - viễn thông, đa phương tiện bao gồm các thiết bị tổng đài, truyền dẫn, đầu cuối mạng, cáp quang, cáp thông tin, thiết bị thông tin vệ tinh, thiết bị truyền dẫn - phát sóng.
6. An toàn an ninh thông tin bao gồm các hoạt động quản lý, nghiệp vụ và kỹ thuật đối với hệ thống thông tin nhằm bảo vệ, khôi phục các hệ thống, các dịch vụ và nội dung thông tin đối với nguy cơ tự nhiên hoặc do con người gây ra. Việc bảo vệ thông tin trong hệ thống thông tin nhằm bảo đảm cho các hệ thống thực hiện đúng chức năng, phục vụ đúng đối tượng một cách sẵn sàng, chính xác và tin cậy. An toàn an ninh thông tin bao hàm các nội dung bảo vệ và bảo mật thông tin, an toàn dữ liệu, an toàn máy tính và an toàn mạng.
7. Tên miền là dãy ký tự được sử dụng để định danh địa chỉ Internet của máy chủ gồm: Tên miền (dãy ký tự) cấp 2, cấp 3, cấp 4, cấp 5 là các tên miền theo thứ tự nằm dưới tên miền cấp cao nhất.
8. Sở Thông tin và Truyền thông là cơ quan chịu trách nhiệm quản lý nhà nước đối với Trung tâm tích hợp dữ liệu.
9. Trung tâm Công nghệ thông tin và Truyền thông (Sở Thông tin và Truyền thông) là đơn vị chịu trách nhiệm quản trị, vận hành và khai thác Trung tâm tích hợp dữ liệu.
10. Đối tượng sử dụng là tổ chức, cá nhân tham gia sử dụng dịch vụ của Trung tâm tích hợp dữ liệu.
Điều 4. Kiến trúc và dịch vụ Trung tâm tích hợp dữ liệu
1. Kiến trúc của Trung tâm tích hợp dữ liệu được chia làm các phân hệ sau đây:
a) Phân hệ mạng và truyền dẫn: bao gồm các kết nối Internet cho phép mở rộng khi có nhu cầu. Phân hệ mạng được chia làm nhiều vùng khác nhau, mỗi vùng được áp đặt các chính sách an ninh và truy cập riêng để phục vụ cho các mục đích khác nhau.
b) Phân hệ an ninh: bao gồm các thiết bị có liên quan nhằm bảo đảm sự an toàn về thông tin cho lớp mạng, lớp ứng dụng, lớp cơ sở dữ liệu nhằm ngăn chặn xâm nhập trái phép vào các hệ thống tại Trung tâm tích hợp dữ liệu. Mỗi thiết bị trong phân hệ an ninh được thiết kế có tính dự phòng và bổ sung hỗ trợ lẫn nhau.
c) Phân hệ máy chủ: bao gồm hệ thống máy chủ đã được đầu tư phục vụ triển khai các ứng dụng công nghệ thông tin, với khả năng sẵn sàng cho việc mở rộng số lượng máy chủ trong tương lai. Hệ thống máy chủ có khả năng cung cấp năng lực tính toán cho nhiều nền tảng với nhiều mục đích khác nhau như ứng dụng chuyên ngành, trang/cổng thông tin điện tử, cơ sở dữ liệu chuyên ngành của tỉnh.
c) Phân hệ lưu trữ: hệ thống quản trị với năng lực xử lý lưu trữ tập trung ở mức cao, khả năng lưu trữ lớn, có trang bị hệ thống băng từ để bảo đảm cho mục đích sao lưu, phục hồi dữ liệu cho toàn bộ hệ thống. Hệ thống được thiết kế bảo đảm khả năng mở rộng dữ liệu trong tương lai.
d) Phân hệ các hệ thống phụ trợ: bao gồm các hệ thống phụ trợ cho Trung tâm tích hợp dữ liệu như hệ thống điện, điều hòa, thiết bị lưu điện, máy phát điện, hệ thống phòng cháy chữa cháy, camera an ninh được thiết kế tuân theo tiêu chuẩn, bảo đảm các thiết bị luôn được hoạt động trong môi trường tiêu chuẩn, ổn định với độ dự phòng cao.
2. Các dịch vụ của Trung tâm tích hợp dữ liệu bao gồm:
a) Dịch vụ máy chủ, máy chủ ảo.
b) Dịch vụ (Hosting).
c) Dịch vụ thiết bị lưu trữ (Storage).
d) Dịch vụ tên miền.
đ) Dịch vụ quản trị hệ thống.
e) Các dịch vụ công nghệ thông tin có giá trị gia tăng khác.
Điều 5. Nguyên tắc về quản lý và khai thác Trung tâm tích hợp dữ liệu
1. Tuân thủ các nguyên tắc, biện pháp bảo đảm cơ sở hạ tầng thông tin phục vụ ứng dụng và phát triển công nghệ thông tin theo Luật Công nghệ thông tin.
2. Tuân thủ các tiêu chuẩn, quy chuẩn kỹ thuật quy định áp dụng đối với Trung tâm tích hợp dữ liệu theo quy định của Bộ Thông tin và Truyền thông tại: Thông tư số 03/2013/TT-BTTTT ngày 22/01/2013, Thông tư 03/2017/TT-BTTTT ngày 24/4/2017, Thông tư số 12/2019/TT-BTTTT ngày 05/11/2019; tiêu chuẩn quốc tế ISO 27001:2013; tiêu chuẩn quốc gia TCVN 11930:2017 và các văn bản khác có liên quan.
3. Bảo đảm các yêu cầu về an toàn, an ninh thông tin theo quy định của Luật an toàn thông tin mạng, Nghị định số 85/2016/NĐ-CP ngày 01/7/2016 của Chính phủ và Quy chế bảo đảm an toàn thông tin mạng trong hoạt động ứng dụng công nghệ thông tin của các cơ quan nhà nước trên địa bàn tỉnh.
4. Tuân thủ nguyên tắc xây dựng, quản lý, khai thác, bảo vệ và duy trì cơ sở dữ liệu được quy định tại Điều 13 Nghị định số 64/2007/NĐ-CP ngày 10/4/2007 của Chính phủ.
5. Đơn vị quản trị, vận hành Trung tâm tích hợp dữ liệu triển khai cung cấp cho các tổ chức, cá nhân theo quy định của pháp luật và trên cơ sở khai thác hiệu quả hạ tầng Trung tâm tích hợp dữ liệu tỉnh.
6. Các tổ chức, cá nhân sử dụng dịch vụ Trung tâm tích hợp dữ liệu phải tuân thủ các quy định của Nhà nước về bảo đảm an toàn, an ninh thông tin và chịu trách nhiệm cho mọi hoạt động trên tài khoản truy cập của mình.
YÊU CẦU ĐỐI VỚI HOẠT ĐỘNG CỦA TRUNG TÂM TÍCH HỢP DỮ LIỆU
1. Quy định đối với quản trị viên vận hành hệ thống
a) Thời gian làm việc:
- Ca 1: Từ 06 giờ đến 14 giờ.
- Ca 2: Từ 14 giờ đến 22 giờ.
- Ca 3: Từ 22 giờ đến 06 giờ.
b) Đi làm đúng thời gian quy định và đảm bảo giờ làm việc; khi làm việc phải đeo thẻ chức danh, mặc đồng phục công sở hoặc đồng phục theo quy định.
c) Trong quá trình trực và làm việc phải tuân thủ nghiêm ngặt theo các quy trình, quy định đã được phê duyệt và nội quy lao động.
d) Quản trị viên vận hành hệ thống truy cập, khai thác, sử dụng thông tin tại Trung tâm tích hợp dữ liệu theo trách nhiệm và phân quyền được quy định; việc khai thác, sử dụng thông tin phải bảo đảm nguyên tắc bảo mật, không được tự ý cung cấp thông tin ra bên ngoài.
2. Quy định đối với tổ chức, cá nhân sử dụng dịch vụ tại Trung tâm tích hợp dữ liệu
a) Yêu cầu:
- Tuân thủ nghiêm ngặt theo các quy trình, quy định làm việc tại Trung tâm tích hợp dữ liệu.
- Không được mang, sử dụng các thiết bị điện thoại, máy tính xách tay, máy tính bảng hoặc các thiết bị điện tử cá nhân khác (máy chụp hình, máy quay phim, thiết bị lưu trữ,...) khi vào bên trong Trung tâm tích hợp dữ liệu.
b) Thủ tục: người sử dụng đăng ký làm việc tại Trung tâm tích hợp dữ liệu cần có các giấy tờ sau:
- Phiếu yêu cầu về việc vào ra Trung tâm tích hợp dữ liệu đã được phê duyệt.
- Các thiết bị điện tử chuyên dùng đưa vào/ra Trung tâm tích hợp dữ liệu phải đăng ký
3. Quy định đối với các tổ chức, cá nhân liên quan đến đăng ký thăm quan tại Trung tâm tích hợp dữ liệu:
a) Yêu cầu: Không được mang các thiết bị điện tử cá nhân (điện thoại, máy chụp hình, máy quay phim, thiết bị lưu trữ,...) vào trong Trung tâm tích hợp dữ liệu.
b) Thủ tục: Các tổ chức, cá nhân đến đăng ký tham quan cần tuân thủ theo các quy định của đơn vị quản lý Trung tâm tích hợp dữ liệu (cung cấp Giấy giới thiệu của cơ quan, đơn vị hoặc Đơn đề nghị tham quan tại Trung tâm tích hợp dữ liệu).
c) Thời gian tham quan (trong giờ làm việc hành chính), cụ thể:
- Buổi sáng: từ 7g30 đến 11g00.
- Buổi chiều: từ 13g30 đến 17g00.
4. Quy định đối các cơ sở dữ liệu bắt buộc đặt tại Trung tâm tích hợp dữ liệu:
- Các cơ sở dữ liệu dùng chung.
- Các cơ sở dữ liệu chuyên ngành.
- Các cơ sở dữ liệu được chia sẻ, tích hợp kết nối từ các bộ, ngành, địa phương để phục vụ cho tỉnh.
1. Lãnh đạo cơ quan quản trị, vận hành Trung tâm tích hợp dữ liệu có trách nhiệm tiếp nhận mật khẩu quản trị hệ thống sau khi hệ thống được bàn giao và đưa vào sử dụng; sau đó tiến hành bàn giao cho cán bộ quản lý hệ thống có biên bản kèm theo, lưu vào nơi an toàn (cho vào phong bì, để vào tủ có khóa).
2. Nhân viên vận hành được giao mật khẩu quản trị hệ thống từ cán bộ quản lý hệ thống phải thực hiện đổi mật khẩu sau khi tiếp nhận trong vòng 01 ngày. Việc đổi mật khẩu quản trị hệ thống phải tuân thủ theo đúng quy định hướng dẫn về mật khẩu do cơ quan quản lý ban hành.
3. Mật khẩu phải bảo đảm độ phức tạp về độ dài, nội dung và thời gian sử dụng.
a) Độ dài của mật khẩu:
- Đối với mật khẩu của nhân viên và người sử dụng (dùng để đăng nhập thư điện tử, ứng dụng nghiệp vụ, máy tính cá nhân): Tối thiểu 08 ký tự;
- Đối với mật khẩu quản trị hệ thống (sử dụng cho quản trị các hệ thống mạng, bảo mật, máy chủ, ứng dụng dùng chung): Tối thiểu 11 ký tự.
b) Nội dung mật khẩu:
- Không bao gồm các từ dễ nhớ như tên, ngày sinh, số điện thoại;
- Không được đặt theo ký tự chữ cái, ký tự chữ số tuần tự hoặc một dãy các ký tự giống nhau, ví dụ: ABCDEFGH, 98765432 hoặc !!!!!!!!.
- Đối với mật khẩu quản trị hệ thống phải kết hợp các loại ký tự sau: chữ cái in thường (a, b, c), chữ cái in hoa (A, B, C), ký tự số (1, 2, 3) và các ký tự đặc biệt (@, !, #).
c) Thời gian sử dụng mật khẩu:
- Đối với mật khẩu của nhân viên vận hành: Định kỳ phải được thay đổi ít nhất 3 tháng một lần;
- Đối với mật khẩu của người quản trị hệ thống (không phải admin): Định kỳ phải được thay đổi ít nhất 1 tháng một lần.
Trường hợp có thay đổi về nhân sự hoặc yêu cầu tăng cường bảo mật về an toàn an ninh thông tin thì Lãnh đạo đơn vị quản trị, vận hành Trung tâm tích hợp dữ liệu quyết định việc thay đổi toàn bộ mật khẩu quản trị của Trung tâm tích hợp dữ liệu.
d) Quy định sử dụng và lưu trữ mật khẩu:
- Người sử dụng phải thay đổi mật khẩu ngay từ lần đăng nhập đầu tiên.
- Không được lưu trữ mật khẩu trên máy tính cá nhân, các thiết bị điện tử;
- Không được tiết lộ mật khẩu của cá nhân, tổ chức, trường hợp bàn giao tài khoản truy cập ứng dụng phải có biên bản bàn giao.
Điều 8. Kiểm soát truy nhập và xác thực
1. Việc quản lý, xác thực nhân viên, người sử dụng truy nhập trên hệ thống phải có đầy đủ thông tin, bao gồm họ tên, chức vụ, cơ quan công tác, số điện thoại trên hệ thống xác thực người dùng.
2. Mỗi nhân viên Trung tâm tích hợp dữ liệu chỉ được cấp một tài khoản và được phân quyền đủ để thực hiện nhiệm vụ được phân công.
3. Cán bộ quản lý hệ thống chịu trách nhiệm kiểm tra và loại bỏ tài khoản của nhân viên trên hệ thống trong vòng 1 giờ sau khi nhân viên không còn làm việc tại đơn vị.
4. Tạm dừng quyền sử dụng đối với tài khoản đã được đăng ký trên hệ thống nhưng không làm việc trong hệ thống từ 30 ngày trở lên.
5. Giới hạn số lần đăng nhập không thành công vào hệ thống là 5 lần. Sau 5 lần đăng nhập không thành công, tài khoản sẽ bị khóa trong 30 phút.
6. Nhân viên vận hành hệ thống có trách nhiệm theo dõi và phát hiện các trường hợp truy cập hệ thống trái phép hoặc thao tác vượt quá giới hạn, báo cáo cho cán bộ quản lý để tiến hành ngăn chặn, thu hồi, khóa quyền truy cập của các tài khoản vi phạm.
Điều 9. Sao lưu, phục hồi dữ liệu
1. Thực hiện lưu trữ đầy đủ các dữ liệu của người dùng, ứng dụng và hệ thống. Tùy theo từng loại dữ liệu, thực hiện lưu trữ đúng và đủ thời hạn theo các quy định tại quy trình vận hành hệ thống do cơ quan quản lý ban hành.
2. Đơn vị quản trị, vận hành có trách nhiệm xây dựng và triển khai thực hiện quy trình sao lưu dữ liệu dự phòng cho Trung tâm tích hợp dữ liệu.
3. Dữ liệu phải được phân loại để lưu trữ theo thứ tự ưu tiên về mức độ quan trọng, sao lưu theo thời gian, loại thông tin, nơi lưu trữ. Đối với các dữ liệu quan trọng phải được lưu trữ tối thiểu tại hai địa điểm cách biệt nhau.
4. Dữ liệu phải được kiểm soát và đối chiếu sau khi sao lưu. Đối với các dữ liệu quan trọng thực hiện sao lưu dữ liệu tối thiểu một tuần một lần.
1. Duy trì, cập nhật thường xuyên đối với hệ thống bảo mật (firewall, phòng chống mã độc, phát hiện và ngăn chặn xâm nhập) để bảo đảm an toàn, bảo mật cho Trung tâm tích hợp dữ liệu.
2. Tất cả các máy chủ, máy trạm tại Trung tâm tích hợp dữ liệu phải được cài đặt phần mềm diệt mã độc được cơ quan quản lý phê duyệt.
3. Chương trình diệt mã độc phải luôn được cập nhật kịp thời các bản vá, các mẫu mã độc mới và phải được đặt ở chế độ quét thường xuyên, quét khi có kết nối với các thiết bị ngoại vi (usb, ổ cứng cắm ngoài).
4. Những máy tính được phát hiện có mã độc phải được cách ly ngay khỏi hệ thống để tránh lây nhiễm sang các máy tính khác.
5. Việc thay đổi cấu hình của hệ thống bảo mật tại Trung tâm tích hợp dữ liệu phải được sự phê duyệt của cơ quan chủ quản (Sở Thông tin và Truyền thông).
Điều 11. Hệ thống mạng và truyền dẫn
1. Hệ thống mạng và truyền dẫn phải đảm bảo hiệu năng cho các ứng dụng, khả năng sẵn sàng và có các giải pháp để đảm bảo an toàn hệ thống.
2. Hệ thống mạng và truyền dẫn phải bảo đảm:
a) Hệ thống mạng hoạt động liên tục, nhanh, ổn định và an toàn, đáp ứng được yêu cầu về băng thông cho các ứng dụng hệ thống.
b) Có các giải pháp kiểm soát việc truy cập mạng đảm bảo các quy định về an ninh, các chính sách bảo mật.
c) Tuân thủ theo các tiêu chuẩn của Trung tâm tích hợp dữ liệu về bấm dây, dán nhãn, chuẩn cáp mạng, cách thức đi dây, đấu nối, phân bổ nút mạng.
d) Tuân thủ quy định về các phân vùng chức năng đã được quy hoạch. Mỗi phân vùng trong Trung tâm tích hợp dữ liệu ứng với dải địa chỉ IP cấp phát riêng và VLAN tương ứng, đồng thời được thiết lập các chính sách an ninh và truy cập khác nhau.
1. Trung tâm tích hợp dữ liệu phải có nội quy sử dụng đối với nhân viên và được giám sát thường xuyên thông qua hệ thống kiểm soát ra vào.
2. Trung tâm tích hợp dữ liệu chỉ được đặt các thiết bị đang hoạt động phục vụ vận hành hệ thống, tuyệt đối không đặt các thiết bị khác: Thiết bị hỏng, thiết bị chờ thanh lý, thanh hủy, tài liệu, vật tư, các vật dụng dễ cháy nổ.
3. Trung tâm tích hợp dữ liệu phải đảm bảo vệ sinh công nghiệp: Môi trường khô ráo, sạch sẽ, không dột, không thấm nước, không bị ánh nắng chiếu rọi trực tiếp. Độ ẩm, nhiệt độ đạt tiêu chuẩn quy định cho các thiết bị công nghệ thông tin.
4. Hệ thống phòng cháy, chữa cháy phải được cấp giấy phép của Phòng Cảnh sát Phòng cháy chữa cháy.
5. Hệ thống điện phải được trang bị máy phát điện dự phòng để đảm bảo cho hệ thống hoạt động trong thời gian nguồn điện chính gặp sự cố.
6. Hệ thống điều hoà phải bảo đảm nhiệt độ cho phòng máy chủ theo đúng tiêu chuẩn quy định đối với Trung tâm tích hợp dữ liệu;
7. Hệ thống camera giám sát phải bảo đảm giám sát toàn bộ Trung tâm tích hợp dữ liệu liên tục 24 giờ/7 ngày; bảo đảm dữ liệu hình ảnh phải được lưu trữ ít nhất trong thời gian 30 ngày.
1. Thiết bị công nghệ thông tin đặt tại Trung tâm tích hợp dữ liệu phải đặt tên và dán nhãn theo đúng quy định.
2. Đơn vị quản trị, vận hành phải thực hiện tổng hợp tình hình quản lý, sử dụng thiết bị tại Trung tâm tích hợp dữ liệu hàng quý.
3. Đơn vị quản trị, vận hành đề xuất mua thêm thiết bị công nghệ thông tin và các thiết bị phụ trợ khác trong trường hợp thiết bị hết bảo hành bị hỏng. Thiết bị được trang bị phải tuân theo các tiêu chuẩn về thiết bị cho Trung tâm tích hợp dữ liệu.
4. Đối với thiết bị hỏng còn bảo hành, đơn vị quản trị, vận hành, khai thác yêu cầu đơn vị cung cấp sửa chữa. Thiết bị hỏng đã hết bảo hành, đơn vị quản trị, vận hành báo cáo cơ quan quản lý về phương án sửa chữa.
5. Trường hợp thiết bị hỏng là thiết bị quan trọng (máy chủ, thiết bị định tuyến, thiết bị chuyển mạch, thiết bị firewall), đơn vị quản trị, vận hành phải báo cáo ngay về cơ quan quản lý để có biện pháp khắc phục nhanh.
Điều 14. Quản lý, khai thác, sử dụng Internet
1. Hằng năm, đơn vị quản trị, vận hành đề xuất cơ quan quản lý về thuê đường truyền Internet đảm bảo tốc độ, băng thông cho hoạt động Trung tâm tích hợp dữ liệu. Đường truyền Internet cho Trung tâm tích hợp dữ liệu phải tối thiểu từ 02 nhà cung cấp dịch vụ khác nhau để đảm bảo độ dự phòng cao và tính sẵn sàng cho hệ thống.
2. Hạ tầng kết nối Internet phải có các giải pháp bảo mật đảm bảo hệ thống không bị tấn công xâm nhập, lây lan virus từ bên ngoài.
3. Đơn vị quản trị, vận hành chịu trách nhiệm giám sát, kiểm tra nội dung và băng thông truy cập, ngăn chặn, đề xuất xử lý các hành vi vi phạm.
Điều 15. Quản lý bản quyền phần mềm
1. Các phần mềm, chương trình ứng dụng cài đặt tại Trung tâm tích hợp dữ liệu phải có bản quyền sử dụng theo đúng quy định của pháp luật.
2. Chỉ được cài đặt và sử dụng các phần mềm đã mua bản quyền. Các phần mềm có bản quyền khác, phần mềm mã nguồn mở, phần mềm miễn phí phải được cơ quan quản lý phê duyệt trước khi sử dụng.
3. Đơn vị quản trị, vận hành tổ chức quản lý, theo dõi sử dụng các bản quyền phần mềm tại Trung tâm tích hợp dữ liệu.
4. Không phát tán, chia sẻ phần mềm có bản quyền của Trung tâm tích hợp dữ liệu ra bên ngoài.
1. Danh sách các loại hồ sơ lưu trữ:
a) Các quy trình vận hành kỹ thuật, bảo trì, bảo dưỡng các hệ thống.
b) Hồ sơ thiết kế, thuyết minh kỹ thuật, hoàn công.
c) Hồ sơ quản trị các hệ thống thông tin (báo cáo định kỳ, báo cáo sự cố, nhật ký vận hành).
d) Hồ sơ lưu các dịch vụ cung cấp cho khách hàng.
đ) Bảng thống kê danh sách thiết bị; danh sách các thiết bị hỏng, hết khấu hao sử dụng chờ thanh lý, tiêu hủy; biên bản bàn giao thiết bị.
e) Tài liệu, biên bản kiểm tra, đánh giá của Trung tâm tích hợp dữ liệu.
g) Các hồ sơ, tài liệu kỹ thuật khác.
2. Hồ sơ phải được lưu bằng văn bản, tập tin bản mềm trên máy tính và phải được cập nhật khi có sự thay đổi.
1. Khi phát hiện có sự cố, đơn vị quản trị, vận hành thực hiện các biện pháp cô lập và xác định nguyên nhân xảy ra sự cố theo nguyên tắc hạn chế tối đa ảnh hưởng tới hoạt động của hệ thống; đồng thời phải thông báo cho bộ phận sử dụng và các cơ quan, đơn vị có liên quan về tình hình sự cố.
2. Tùy thuộc vào mức độ ảnh hưởng của sự cố, đánh giá và phân loại theo 03 mức: sự cố thông thường, sự cố nghiêm trọng và sự cố đặc biệt nghiêm trọng:
a) Đối với các sự cố thông thường (không gây ảnh hưởng đến hoạt động của Trung tâm tích hợp dữ liệu), đơn vị quản trị, vận hành nhanh chóng xử lý sự cố. Trường hợp không xử lý được, thông báo cơ quan quản lý để phối hợp giải quyết.
b) Đối với các sự cố nghiêm trọng (các sự cố liên quan đến thiết bị mạng, thiết bị bảo mật, máy chủ, đường truyền dữ liệu, cơ sở dữ liệu, các sự cố liên quan đến an ninh thông tin, mất mát dữ liệu, gây ảnh hưởng trực tiếp đến hoạt động của Trung tâm tích hợp dữ liệu), ngay sau khi phát hiện sự cố đơn vị quản trị, vận hành cần đánh giá ảnh hưởng của sự cố và thực hiện báo cáo về cơ quan quản lý để được hướng dẫn xử lý.
c) Đối với các sự cố đặc biệt nghiêm trọng (gây ngưng trệ đến toàn bộ hoạt động của Trung tâm tích hợp dữ liệu), đơn vị quản trị, vận hành và cơ quan quản lý phải có đánh giá ảnh hưởng của sự cố và thực hiện báo cáo ngay về cơ quan chủ sở hữu để có chỉ đạo xử lý.
3. Yêu cầu đối với việc xử lý sự cố cần tuân thủ các nguyên tắc:
a) Phải tuân thủ quy trình xử lý sự cố do cơ quan quản lý Trung tâm tích hợp dữ liệu phê duyệt và ban hành.
b) Đảm bảo tuyệt đối an toàn cho người và thiết bị của hệ thống.
c) Các dữ liệu quan trọng phải được sao lưu trước khi xử lý sự cố.
d) Ghi nhật ký sự cố kỹ thuật phát sinh tại chỗ.
e) Trường hợp sự cố vượt quá khả năng tự xử lý, thông báo cho Trung tâm VNCERT phối hợp ngăn chặn, khắc phục sự cố.
f) Thông báo cho các bên liên quan về thời gian khắc phục xong sự cố.
g) Lập báo cáo sự cố gửi cơ quan quản lý đối với các sự cố nghiêm trọng và đặc biệt nghiêm trọng trong vòng 24 giờ kể từ khi phát hiện sự cố.
1. Đơn vị quản trị, vận hành có trách nhiệm
a) Xây dựng, tham mưu cơ quan quản lý phê duyệt và ban hành quy trình bảo trì, bảo dưỡng hệ thống.
b) Trực tiếp thực hiện hoặc thuê dịch vụ để thực hiện bảo trì, bảo dưỡng các hệ thống.
2. Yêu cầu về bảo trì, bảo dưỡng
a) Việc thực hiện bảo trì, bảo dưỡng không được làm gián đoạn và ảnh hưởng đến tình hình cung cấp dịch vụ của Trung tâm tích hợp dữ liệu.
b) Quá trình bảo trì, bảo dưỡng phải thực hiện theo đúng kịch bản, quy trình và ghi nhật ký về tình trạng hoạt động trước và sau khi thực hiện.
Điều 19. Kiểm tra, báo cáo định kỳ
1. Hằng tuần, công chức, viên chức quản trị, vận hành Trung tâm tích hợp dữ liệu phải thực hiện báo cáo tình hình hoạt động của Trung tâm lên Lãnh đạo đơn vị.
2. Cơ quan quản lý tổ chức kiểm tra việc tuân thủ các quy định về quản lý, triển khai, vận hành và khai thác sử dụng Trung tâm tích hợp dữ liệu theo các quy định tại Quy chế này tối thiểu 06 tháng một lần.
3. Các nội dung kiểm tra:
a) Việc bảo đảm các điều kiện về môi trường cho hoạt động của Trung tâm tích hợp dữ liệu.
b) Tình hình sử dụng thiết bị, sử dụng ứng dụng của hệ thống.
c) Hoạt động của hệ thống máy chủ, máy trạm, các dịch vụ (cập nhật các bản vá, bản sửa lỗi, dung lượng ổ cứng, hiệu năng sử dụng).
d) Tình hình an ninh bảo mật hệ thống, đánh giá hiệu quả (khả năng phát hiện và ngăn chặn) của hệ thống bảo mật.
đ) Kiểm tra công tác sao lưu, lưu trữ, phục hồi dữ liệu.
e) Quản lý hồ sơ: ghi nhật ký, cập nhật, tổng hợp thiết bị, báo cáo
g) Việc tuân thủ các quy định khác nêu tại quy chế này.
4. Hằng tháng đơn vị quản trị, vận hành tiến hành kiểm tra định kỳ, đánh giá phân tích hiệu quả hoạt động của Trung tâm tích hợp dữ liệu và tổng hợp báo cáo với cơ quan quản lý. Trong trường hợp phát hiện các bất cập, lỗi liên quan đến các hệ thống, cần thực hiện báo cáo nhanh và xây dựng kế hoạch khắc phục.
Điều 20. Trách nhiệm của Cơ quan quản lý Trung tâm tích hợp dữ liệu
1. Tham mưu Ủy ban nhân dân tỉnh:
- Phê duyệt danh mục, đơn giá khai thác và sử dụng các dịch vụ của Trung tâm tích hợp dữ liệu để đáp ứng nhu cầu ứng dụng công nghệ thông tin và truyền thông trên địa bàn tỉnh.
- Nâng cấp và mở rộng Trung tâm tích hợp dữ liệu bảo đảm cho ứng dụng công nghệ thông tin và xây dựng chính quyền điện tử, chuyển đổi số.
- Ban hành theo thẩm quyền về đơn giá (nếu có) các dịch vụ của Trung tâm tích hợp dữ liệu.
2. Phê duyệt các quy trình về vận hành, bảo trì, bảo dưỡng và khắc phục sự cố; quy trình sao lưu, phục hồi dữ liệu Trung tâm tích hợp dữ liệu.
3. Hướng dẫn các cơ quan, cán bộ, công chức, viên chức và các tổ chức, cá nhân có liên quan tham gia quản lý sử dụng dịch vụ Trung tâm tích hợp dữ liệu; triển khai các giải pháp bảo đảm an toàn, an ninh đối với các hệ thống thông tin thuộc Trung tâm tích hợp dữ liệu theo quy định tại điểm c, khoản 2, Điều 20 Nghị định số 85/2016/NĐ-CP ngày 01/7/2016 của Chính phủ.
4. Thiết lập tài nguyên hệ thống, các giải pháp, phương án kỹ thuật, các kế hoạch phát triển Trung tâm tích hợp dữ liệu.
5. Chỉ đạo mở hoặc dừng đột xuất một số dịch vụ Trung tâm tích hợp dữ liệu trong các trường hợp cụ thể.
6. Thanh tra, kiểm tra và giám sát việc vận hành, khai thác dịch vụ, chấp hành cơ chế tài chính của đơn vị quản trị, vận hành Trung tâm tích hợp dữ liệu.
7. Báo cáo Ủy ban nhân dân tỉnh định kỳ hằng năm (trước ngày 31/12) về tình hình hoạt động của Trung tâm tích hợp dữ liệu.
Điều 21. Trách nhiệm của đơn vị quản trị, vận hành
1. Đơn vị quản trị, vận hành chịu trách nhiệm về quản trị, vận hành và khai thác có hiệu quả hoạt động của Trung tâm tích hợp dữ liệu.
2. Có trách nhiệm khảo sát nhu cầu sử dụng các cơ quan hành chính, sự nghiệp công lập để lập, chấp hành dự toán, thực hiện chế độ kế toán, chịu trách nhiệm quản lý và sử dụng các nguồn tài chính, tài sản và cơ sở vật chất được giao theo quy định của pháp luật.
3. Xây dựng và tham mưu cho cơ quan quản lý ban hành các quy trình cung cấp dịch vụ, các quy trình vận hành, bảo trì, bảo dưỡng, khắc phục sự cố và Quy trình sao lưu, phục hồi dữ liệu của Trung tâm tích hợp dữ liệu và triển khai thực hiện sau khi được phê duyệt.
4. Có trách nhiệm lập hồ sơ đề xuất thẩm định cấp độ đối với hệ thống thông tin tại Trung tâm tích hợp dữ liệu theo quy định tại Nghị định số 85/2016/NĐ-CP ngày 01/7/2016 của Chính phủ gửi về cơ quan quản lý, cơ quan có thẩm quyền thẩm định xem xét, phê duyệt.
5. Bảo đảm các yêu cầu về hạ tầng kỹ thuật, chất lượng dịch vụ, an toàn thông tin và hoạt động thông suốt của Trung tâm tích hợp dữ liệu.
6. Đào tạo cán bộ quản lý, vận hành có chuyên môn đáp ứng yêu cầu, được trang bị các kiến thức liên quan tới hoạt động của Trung tâm tích hợp dữ liệu.
7. Phối hợp cung cấp thông tin trong tư vấn, hỗ trợ người dân, doanh nghiệp sử dụng dịch vụ Trung tâm tích hợp dữ liệu.
8. Xây dựng kế hoạch hợp tác, khai thác Trung tâm tích hợp dữ liệu với các tổ chức có liên quan và triển khai các nhiệm vụ khác có liên quan.
9. Trực tiếp tiếp nhận yêu cầu cung cấp dịch vụ của các tổ chức, cá nhân trong phạm vi quy định và triển khai cung cấp dịch vụ theo đúng với tiêu chuẩn chất lượng, quy trình và trên cơ sở khai thác hiệu quả hạ tầng Trung tâm tích hợp dữ liệu.
10. Thực hiện báo cáo định kỳ hằng tháng cho cơ quan quản lý về tình hình hoạt động và cung cấp dịch vụ của Trung tâm tích hợp dữ liệu và báo cáo đột xuất khi có yêu cầu.
11. Tuân thủ và thực hiện đúng các quy định của nhà nước, quy định của ngành và các quy định nêu trong văn bản này.
1. Đăng ký với đơn vị quản lý Trung tâm tích hợp dữ liệu.
2. Chịu trách nhiệm về nội dung, thông tin lưu trữ tại Trung tâm tích hợp dữ liệu theo đúng quy định pháp luật.
3. Phối hợp với cơ quan quản trị, vận hành Trung tâm tích hợp dữ liệu trong công tác bảo đảm an toàn, an ninh thông tin cho các hệ thống thông tin của đơn vị đặt tại Trung tâm tích hợp dữ liệu.
Điều 23. Trách nhiệm của người sử dụng
1. Sử dụng dịch vụ Trung tâm tích hợp dữ liệu trong phạm vi cho phép.
2. Tuân thủ các quy định về an toàn bảo mật thông tin, quản lý vận hành và khai thác Trung tâm tích hợp dữ liệu.
3. Không được thực hiện các hành vi đánh cắp, giả mạo tài khoản để truy cập vào các hệ thống thông tin thuộc Trung tâm tích hợp dữ liệu.
4. Không được sử dụng các công cụ, phần mềm làm tổn hại đến hoạt động của Trung tâm tích hợp dữ liệu.
5. Trường hợp phát sinh sự cố, thông báo cho cán bộ kỹ thuật của đơn vị quản trị, vận hành để được hướng dẫn và hỗ trợ khắc phục. Phối hợp với cán bộ kỹ thuật của đơn vị quản trị, vận hành trong việc xử lý sự cố và xác nhận kết quả xử lý.
Điều 24. Trách nhiệm của Ủy ban nhân dân các huyện, thị xã, thành phố
1. Khi phê duyệt chủ trương đầu tư các dự án công nghệ thông tin cấp huyện, thị xã, thành phố thống nhất đặt dữ liệu tại Trung tâm tích hợp dữ liệu.
2. Phối hợp với đơn vị quản lý, vận hành Trung tâm tích hợp dữ liệu trong việc triển khai và vận hành nếu có yêu cầu.
Điều 25. Sở Thông tin và Truyền thông
1. Triển khai thực hiện nhiệm vụ của cơ quan quản lý Trung tâm tích hợp dữ liệu đúng với các quy định tại Điều 20 Quy chế này.
2. Chỉ đạo đơn vị quản trị, vận hành
a) Triển khai thực hiện nhiệm vụ quản lý, vận hành, khai thác Trung tâm tích hợp dữ liệu đúng với các quy định tại Quy chế này.
b) Tham mưu quy trình cung cấp dịch vụ; quy trình vận hành, bảo dưỡng, khắc phục sự cố của Trung tâm tích hợp dữ liệu và triển khai thực hiện sau khi được cấp có thẩm quyền phê duyệt.
c) Phối hợp với các đơn vị chức năng bảo đảm an toàn an ninh thông tin cho Trung tâm tích hợp dữ liệu.
3. Tuyên truyền, phổ biến, hướng dẫn việc thực hiện các quy định của Quy chế này.
Điều 26. Các cơ quan, tổ chức, cá nhân sử dụng dịch vụ tại Trung tâm tích hợp dữ liệu
1. Liên hệ với đơn vị quản trị, vận hành Trung tâm tích hợp dữ liệu để thực hiện thủ tục đưa các Trang thông tin điện tử, cơ sở dữ liệu, phần mềm ứng dụng chuyên ngành, dịch vụ công trực tuyến của cơ quan, đơn vị vào lưu ký, vận hành tập trung tại Trung tâm tích hợp dữ liệu.
2. Đối với các các cơ quan hành chính, đơn vị sự nghiệp công lập nhà nước trên địa bàn tỉnh được miễn phí khai thác, sử dụng dịch vụ tại Trung tâm tích hợp dữ liệu.
3. Đối với các cá nhân, tổ chức khác áp dụng chi phí theo danh mục và đơn giá khai thác và sử dụng các dịch vụ của Trung tâm tích hợp dữ liệu do Ủy ban nhân dân tỉnh ban hành.
4. Các cơ quan, đơn vị sử dụng dịch vụ Trung tâm tích hợp dữ liệu trong phạm vi chức năng, nhiệm vụ của mình, có trách nhiệm tổ chức triển khai và kiểm tra việc chấp hành các quy định tại Quy chế này.
Phối hợp với Sở Thông tin và Truyền thông tham mưu Ủy ban nhân dân tỉnh phê duyệt kinh phí hằng năm để thực hiện công tác quản lý, vận hành Trung tâm tích hợp dữ liệu.
Trong quá trình thực hiện nếu có khó khăn, vướng mắc hoặc phát sinh những vấn đề mới, các cơ quan, đơn vị cần phản ánh kịp thời về Sở Thông tin và Truyền thông để tổng hợp, báo cáo Ủy ban nhân dân tỉnh xem xét điều chỉnh, bổ sung Quy chế cho phù hợp./.
- 1 Nghị định 85/2016/NĐ-CP về bảo đảm an toàn hệ thống thông tin theo cấp độ
- 2 Thông tư 03/2017/TT-BTTTT hướng dẫn Nghị định 85/2016/NĐ-CP về bảo đảm an toàn hệ thống thông tin theo cấp độ do Bộ trưởng Bộ Thông tin và Truyền thông ban hành
- 3 Thông tư 12/2019/TT-BTTTT sửa đổi Thông tư 27/2017/TT-BTTTT quy định về quản lý, vận hành, kết nối, sử dụng và bảo đảm an toàn thông tin trên mạng truyền số liệu chuyên dùng của cơ quan Đảng, Nhà nước do Bộ trưởng Bộ Thông tin và Truyền thông ban hành