Hệ thống pháp luật
Đang tải nội dung, vui lòng chờ giây lát...
Đang tải nội dung, vui lòng chờ giây lát...

ỦY BAN NHÂN DÂN
TỈNH ĐẮK NÔNG

-------

CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM
Độc lập - Tự do - Hạnh phúc
---------------

Số: 20/2017/QĐ-UBND

Đắk Nông, ngày 23 tháng 08 năm 2017

 

QUYẾT ĐỊNH

BAN HÀNH QUY CHẾ BẢO ĐẢM AN TOÀN, AN NINH THÔNG TIN TRONG HOẠT ĐỘNG ỨNG DỤNG CÔNG NGHỆ THÔNG TIN CỦA CÁC CƠ QUAN NHÀ NƯỚC TRÊN ĐỊA BÀN TỈNH ĐẮK NÔNG

ỦY BAN NHÂN DÂN TỈNH ĐẮK NÔNG

Căn cứ Luật Tổ chức chính quyền địa phương ngày 19/6/2015;

Căn cứ Luật Ban hành văn bản quy phạm pháp luật ngày 22/6/2015;

Căn cứ Luật Công nghệ thông tin ngày 29/6/2006;

Căn cứ Luật An toàn an ninh mạng ngày 19/11/2015;

Căn cứ Nghị định số 64/2007/NĐ-CP ngày 10/4/2007 của Chính phủ về ứng dụng công nghệ thông tin trong hoạt động của cơ quan nhà nước;

Căn cứ Nghị định số 72/2013/NĐ-CP ngày 15/7/2013 của Chính phủ về quản lý, cung cấp, sử dụng dịch vụ Internet và thông tin mạng;

Căn cứ Nghị định số 85/2016/NĐ-CP ngày 01/7/2016 của Chính phủ về đảm bảo an toàn hệ thống thông tin theo cấp độ;

Căn cứ Nghị định số 142/2016/NĐ-CP ngày 14/10/2016 của Chính phủ về ngăn chặn xung động thông tin trên mạng;

Căn cứ Quyết định số 05/2017/QĐ-TTg ngày 16/3/2017 của Thủ tướng Chính phủ ban hành quy định về hệ thống phương án ứng cứu khẩn cấp bảo đảm an toàn thông tin mạng quốc gia;

Căn cứ Thông tư số 03/2017/TT-BTTTT ngày 24/4/2017 của Bộ Thông tin và Truyền thông quy định chi tiết và hướng dẫn một số điều của Nghị định số 85/2016/NĐ-CP ngày 01/7/2016 của Chính phủ về bảo đảm an toàn hệ thống thông tin theo cấp độ;

Theo đề nghị của Giám đốc Sở Thông tin và Truyền thông tại Tờ trình số 31/TTr-STTTT ngày 03/7/2017.

QUYẾT ĐỊNH:

Điều 1. Ban hành kèm theo Quyết định này Quy chế bảo đảm an toàn, an ninh thông tin trong hoạt động ứng dụng công nghệ thông tin của cơ quan nhà nước trên địa bàn tỉnh Đắk Nông.

Điều 2. Quyết định này có hiệu lực kể từ ngày ký ban hành.

Thay thế Quyết định số 28/2010/QĐ-UBND ngày 28/9/2010 của Ủy ban nhân dân tỉnh về việc ban hành Quy chế đảm bảo an toàn, an ninh thông tin trong lĩnh vực ứng dụng công nghệ thông tin của các cơ quan, đơn vị quản lý hành chính nhà nước trên địa bàn tỉnh Đắk Nông.

Điều 3. Chánh Văn phòng Ủy ban nhân dân tỉnh; Thủ trưởng các Sở, Ban, ngành; Chủ tịch Ủy ban nhân dân các huyện, thị xã; Chủ tịch Ủy ban nhân dân xã, phường, thị trấn và các tổ chức, cá nhân có liên quan chịu trách nhiệm thi hành Quyết định này./.

 


Nơi nhận:
- Như Điều 3;
- Văn phòng Chính phủ;
- Bộ Thông tin và Truyền thông;
- Cục Kiểm tra văn bản (Bộ Tư pháp);
- Thường trực Tỉnh ủy;
- Thường trực HĐND tỉnh;
- CT, các PCT UBND tỉnh;
- Ủy ban MTTQ Việt Nam tỉnh;
- Ban Tuyên giáo Tỉnh ủy;
- Ban Nội chính Tỉnh ủy;
- Văn phòng Đoàn ĐBQH tỉnh;
- Văn phong HĐND tỉnh;
- Văn phòng UBND tỉnh;
- Các thành viên BCĐ CCHC tỉnh;
- Báo Đắk Nông, Đài PT-TH tỉnh;
- Công báo tỉnh;
- Cổng TTĐT tỉnh Đắk Nông;
- Chi Cục Văn thư - Lưu trữ tỉnh;
- Lưu: VT, NC, CNXD, KGVX (Q)

TM. ỦY BAN NHÂN DÂN
CHỦ TỊCH




Nguyễn Bốn

 

QUY CHẾ

BẢO ĐẢM AN TOÀN, AN NINH THÔNG TIN TRONG HOẠT ĐỘNG ỨNG DỤNG CÔNG NGHỆ THÔNG TIN CỦA CÁC CƠ QUAN NHÀ NƯỚC TRÊN ĐỊA BÀN TỈNH ĐẮK NÔNG
(Ban hành kèm theo Quyết định số 20/2017/QĐ-UBND ngày 23 tháng 8 năm 2017 của Ủy ban nhân dân tỉnh Đắk Nông)

Chương I

QUY ĐỊNH CHUNG

Điều 1. Phạm vi điều chỉnh

Quy chế này quy định về công tác bảo đảm an toàn, an ninh thông tin trong hoạt động ứng dụng công nghệ thông tin (CNTT) của các cơ quan nhà nước trên địa bàn tỉnh Đắk Nông (sau đây gọi tắt là các cơ quan, đơn vị).

Điều 2. Đối tượng áp dụng

1. Quy chế này áp dụng đối với các cơ quan nhà nước và các đối tượng có liên quan trên địa bàn tỉnh Đắk Nông, bao gồm:

a) Các Sở, Ban, ngành và các đơn vị trực thuộc;

b) Các đơn vị sự nghiệp công lập thuộc Ủy ban nhân dân tỉnh;

c) Ủy ban nhân dân các huyện, thị xã và các đơn vị trực thuộc;

d) Ủy ban nhân dân các xã, phường, thị trấn;

đ) Các doanh nghiệp cung cấp dịch vụ viễn thông, công nghệ thông tin, Internet; Các doanh nghiệp, tổ chức, cá nhân tham gia vào hoạt động ứng dụng công nghệ thông tin của cơ quan nhà nước trên địa bàn tỉnh.

2. Cán bộ, công chức, viên chức và người lao động đang làm việc tại các cơ quan, đơn vị quy định tại khoản 1 Điều này.

3. Khuyến khích các cơ quan, đơn vị khác hoạt động ứng dụng và phát triển CNTT trên địa bàn tỉnh áp dụng quy chế này.

Điều 3. Giải thích từ ngữ

Trong Quy chế này, các từ ngữ dưới đây được hiểu như sau:

1. An toàn thông tin mạng: Là sự bảo vệ thông tin, hệ thống thông tin trên mạng tránh bị truy nhập, sử dụng, tiết lộ, gián đoạn, sửa đổi hoặc phá hoại trái phép nhằm bảo đảm tính nguyên vẹn, tính bảo mật và tính khả dụng của thông tin.

2. Mạng: Là môi trường trong đó thông tin được cung cấp, truyền đưa, thu thập, xử lý, lưu trữ và trao đổi thông qua mạng viễn thông và mạng máy tính.

3. Cán bộ được giao phụ trách bảo đảm an toàn, an ninh thông tin: Là cán bộ kỹ thuật hoặc cán bộ quản lý được giao phụ trách công tác bảo đảm an toàn, an ninh thông tin cho việc triển khai, vận hành, khai thác hệ thống CNTT tại đơn vị.

4. Bên thứ ba: Là các tổ chức, cá nhân có chuyên môn về an toàn, an ninh thông tin được các đơn vị thuê hoặc hợp tác nhằm cung cấp hàng hóa, dịch vụ kỹ thuật cho hệ thống CNTT.

5. Tài sản CNTT: Là các trang thiết bị, thông tin thuộc hệ thống CNTT của đơn vị, bao gồm:

a) Tài sản vật lý: Là các thiết bị công nghệ thông tin, phương tiện truyền thông và các thiết bị khác gắn với hoạt động của hệ thống công nghệ thông tin, như: Máy vi tính, máy tính bảng, thiết bị lưu trữ, thiết bị ngoại vi, hệ thống điều hòa, hệ thống cung cấp điện, hệ thống chống sét, hệ thống quan sát…;

b) Tài sản thông tin: Là các dữ liệu, tài liệu liên quan đến hệ thống công nghệ thông tin;

c) Tài sản phần mềm: Là các chương trình ứng dụng, phần mềm hệ thống, cơ sở dữ liệu và công cụ phát triển.

6. Tính toàn vẹn: bảo vệ tính chính xác và tính đầy đủ của thông tin và các phương pháp xử lý thông tin.

7. Tính tin cậy: Bảo đảm thông tin chỉ có thể được truy cập bởi những người được cấp quyền sử dụng.

8. Tính sẵn sàng: Bảo đảm những người được cấp quyền có thể truy cập thông tin và các tài nguyên (mạng, máy chủ, tên miền, tài khoản thư điện tử...) ngay khi có nhu cầu.

9. Logfile: Là một tập tin ghi lại các sự kiện xảy ra trong hệ điều hành hoặc các phần mềm trong quá trình hoạt động.

10. Máy chủ ảo: Là dạng máy chủ được tạo ra bằng phương pháp phân chia một máy chủ vật lý thành nhiều máy chủ khác nhau bằng công nghệ ảo hóa, máy chủ ảo chạy dưới dạng chia sẻ tài nguyên từ máy chủ vật lý ban đầu.

11. Mạng nội bộ: Là mạng máy tính trong phạm vi trụ sở của một cơ quan, đơn vị.

12. Mạng riêng ảo (VPN - Virtual Private Network): Là một mạng máy tính dành riêng để kết nối các máy tính của các cơ quan nhà nước với nhau thông qua mạng Internet.

13. Thiết bị di động: Các thiết bị di động cá nhân có kết nối vào mạng nội bộ của cơ quan nhà nước như máy tính xách tay, máy tính bảng, điện thoại di động, các thiết bị di động khác.

Điều 4. Nguyên tắc chung

1. Việc bảo đảm an toàn, an ninh thông tin là yêu cầu bắt buộc trong quá trình thiết kế, xây dựng, vận hành, nâng cấp, sử dụng và hủy bỏ trong ứng dụng CNTT của cơ quan nhà nước.

2. Việc thực hiện các phương pháp bảo đảm an toàn, an ninh thông tin phải tuân theo quy định của Luật An toàn thông tin mạng, Nghị định số 85/2016/NĐ-CP ngày 01/7/2016 của Chính phủ về việc bảo đảm an toàn hệ thống thông tin theo cấp độ và quy định của pháp luật có liên quan.

3. Thủ trưởng các cơ quan, đơn vị là người chịu trách nhiệm trực tiếp chỉ đạo công tác bảo đảm an toàn, an ninh thông tin.

4. Xác định rõ quyền hạn, trách nhiệm của Thủ trưởng, các phòng, ban và từng cá nhân trong cơ quan, đơn vị đối với công tác bảo đảm an toàn, an ninh thông tin.

5. Bố trí nguồn lực phù hợp với quy mô, điều kiện của cơ quan, đơn vị nhằm thực hiện tốt nhất công tác bảo đảm an toàn, an ninh thông tin.

6. Các văn bản có nội dung “Mật” trở lên khi gửi, nhận qua mạng phải được thủ trưởng cơ quan, đơn vị cho phép và phải được mã hóa theo quy định của Luật cơ yếu và các văn bản pháp luật liên quan.

Chương II

QUY ĐỊNH BẢO ĐẢM AN TOÀN, AN NINH THÔNG TIN

Điều 5. Quản lý tài sản CNTT

1. Các cơ quan, đơn vị phải thống kê, kiểm kê tài sản CNTT (tài sản vật lý, tài sản thông tin, tài sản phần mềm) tối thiểu mỗi năm 01 lần.

2. Các cơ quan, đơn vị có trách nhiệm kiểm tra, đánh giá mức độ an toàn đối với các tài sản CNTT trước khi đưa vào sử dụng. Trước khi đưa vào sử dụng, đơn vị có thể đề nghị cơ quan công an chủ trì, phối hợp với Sở Thông tin và Truyền thông, đơn vị quân đội và đơn vị tư vấn giám sát kiểm tra, đánh giá đối với các thiết bị CNTT sử dụng tại các cơ quan trọng yếu, phục vụ các công việc yêu cầu bảo đảm bí mật.

3. Thông tin liên quan đến tài sản (loại tài sản, số hiệu, vị trí, thông tin bản quyền, các mô tả khác cho việc thay thế, phục hồi, khắc phục sửa lỗi nhanh...) cần được lưu trữ, quản lý và cập nhật kịp thời.

4. Phân loại tài sản công nghệ thông tin (vật lý, thông tin, dữ liệu) theo mức độ giá trị, độ nhạy cảm, tầm ảnh hưởng đối với hệ thống, tần suất sử dụng, thời gian lưu trữ để xây dựng nội quy, biện pháp kỹ thuật nghiệp vụ phù hợp (định kỳ sao lưu dữ liệu, bảo trì hệ thống...).

5. Gắn quyền sử dụng tài sản cho các cá nhân hoặc bộ phận cụ thể, người sử dụng tài sản CNTT phải tuân thủ các quy định về quản lý, sử dụng tài sản, bảo đảm tài sản được sử dụng đúng mục đích và an toàn.

6. Phải xây dựng kế hoạch kiểm tra, bảo dưỡng tài sản theo định kỳ. Trang thiết bị lưu trữ thông tin khi không sử dụng nữa cần phải hủy bỏ thông tin, dữ liệu để tránh lộ, lọt thông tin bí mật, mất dữ liệu và phải bảo đảm không thể phục hồi.

Điều 6. Quản lý cán bộ, công chức, viên chức và người lao động

1. Các cơ quan, đơn vị thường xuyên tổ chức quán triệt các quy định về an toàn thông tin nhằm nâng cao nhận thức về trách nhiệm bảo đảm an toàn, an ninh thông tin của từng cá nhân trong cơ quan.

2. Cán bộ, công chức, viên chức, người lao động phải nghiêm túc tuân thủ thực hiện các quy định bảo đảm an toàn, an ninh thông tin của cơ quan, đơn vị mình.

3. Cần phải bố trí nhân sự có năng lực và đạo đức đảm nhận vị trí phụ trách công tác bảo đảm an toàn, an ninh thông tin, quản trị hệ thống CNTT của cơ quan, đơn vị.

4. Các cơ quan, đơn vị lập kế hoạch đào tạo cho cán bộ, công chức, viên chức và người lao động để nâng cao kiến thức cơ bản và kỹ năng an toàn mạng, an toàn, an ninh thông tin; đồng thời, phổ biến, cập nhật các quy chế về an toàn, an ninh thông tin hàng năm để mọi người hiểu rõ các quyền và trách nhiệm đối với việc bảo đảm an toàn thông tin. Thường xuyên kiểm tra việc thực hiện các nội quy, quy định về an toàn, an ninh thông tin của đơn vị đối với cán bộ, công chức, viên chức, người lao động theo định kỳ.

5. Khi chấm dứt hoặc thay đổi công việc, các cơ quan, đơn vị phải: Xác định rõ trách nhiệm của cán bộ, công chức, viên chức, người lao động và các bên liên quan về hệ thống CNTT; hủy tài khoản, quyền truy cập hoặc thay đổi quyền truy cập hệ thống CNTT (mật khẩu, chứng thư số, thư mục lưu trữ, thư điện tử, máy vi tính, thiết bị lưu trữ dùng chung...) cho phù hợp với công việc được thay đổi.

Điều 7. Quản lý, bảo đảm an toàn, an ninh hạ tầng ứng dụng CNTT

1. Đối với khu vực đặt trang thiết bị CNTT

a) Các khu vực có yêu cầu cao về an toàn, bảo mật như phòng máy chủ, nơi đặt các thiết bị lưu trữ phải áp dụng biện pháp kiểm soát vào ra thích hợp, bảo đảm chỉ những người có nhiệm vụ mới được vào khu vực đó;

b) Phòng đặt thiết bị CNTT (đối với các cơ quan, đơn vị đang quản lý, vận hành các hệ thống thông tin, cơ sở dữ liệu của tỉnh) phải bảo đảm các điều kiện đáp ứng các yêu cầu cơ bản (được bố trí ở khu vực có điều kiện an ninh tốt; khô ráo, có điều hòa không khí; nguồn cung cấp điện ổn định và có nguồn điện dự phòng; có bình chữa cháy hoặc hệ thống tự động cảnh báo, chữa cháy khẩn cấp; phòng, chống sét; có nội quy, quy trình làm việc trong khu vực an toàn bảo mật). Phải thiết lập cơ chế bảo vệ mạng nội bộ, bảo đảm an toàn thông tin khi có kết nối với mạng ngoài bằng các công cụ, thiết bị bảo vệ (tường lửa, hệ thống chống xâm nhập trái phép, hệ thống giám sát, cảnh báo sớm);

c) Có nội quy, hướng dẫn làm việc trong các khu vực có lưu trữ thông tin cần bảo đảm an toàn, bảo mật.

2. Các cơ quan, đơn vị phải thực hiện các biện pháp bảo vệ cần thiết để phòng chống cháy nổ, tránh mất cắp hoặc phá hoại tại các khu lắp đặt các thiết bị xử lý và lưu trữ của hệ thống thông tin, chỉ những người có quyền, nhiệm vụ mới được phép vào.

3. Các thiết bị CNTT dùng để soạn thảo, in ấn văn bản, lưu trữ thông tin bí mật nhà nước trong các cơ quan, đơn vị phải được bố trí riêng, tiến hành ở nơi bảo đảm bí mật, an toàn; không được kết nối vào mạng LAN của đơn vị. Đặc biệt là không được sử dụng máy tính đã nối mạng Internet đánh máy, in, sao tài liệu mật. Trên máy tính này phải thực hiện các chế độ mã hóa, phân quyền và đặt mật khẩu (password) cho người được giao sử dụng để bảo đảm an toàn, bảo mật thông tin.

4. Kiểm soát chặt chẽ việc cài đặt các phần mềm mới lên máy chủ, máy trạm và các thiết bị di động. Các phần mềm được cài đặt trên máy chủ, máy trạm và các thiết bị di động (bao gồm hệ điều hành, các phần mềm ứng dụng văn phòng, phần mềm phục vụ công việc, tiện ích khác) phải được thường xuyên theo dõi, cập nhật bản vá lỗi bảo mật của nhà phát triển, lựa chọn cài đặt các phần mềm chống, diệt virus, mã độc và thường xuyên cập nhật phiên bản mới, đặt lịch quét virus theo định kỳ ít nhất hàng tuần.

5. Cơ quan nhà nước phải quy định cụ thể về quản lý, vận hành sử dụng máy chủ, quản lý chặt chẽ logfile để ghi nhận thông tin quá trình đăng nhập hệ thống, các thay đổi, cấu hình hệ thống, theo dõi các dịch vụ, sự kiện trong quá trình vận hành máy chủ. Chỉ cài đặt các phần mềm cần thiết, không được cài đặt các phần mềm bẻ khóa, tắt các dịch vụ, các port (cổng) không sử dụng; chia sẻ tài nguyên trên máy chủ phải được phân quyền khoa học, rõ ràng.

6. Hệ thống máy chủ (Servers) phải được dán nhãn, có sơ đồ đấu nối, thể hiện cụ thể về địa chỉ IP, tên máy chủ. Sơ đồ đấu nối phải được cập nhật nếu có sự thay đổi.

7. Ứng dụng chữ ký số chuyên dùng để bảo đảm an toàn thông tin trong việc triển khai ứng dụng CNTT trong hoạt động cơ quan nhà nước và phục vụ công dân, tổ chức.

8. Về việc tổ chức mô hình mạng: Cài đặt, cấu hình, tổ chức hệ thống mạng theo mô hình mạng phân lớp, hạn chế sử dụng mô hình mạng ngang hàng. Các đơn vị có nhiều phòng, ban, đơn vị trực thuộc không nằm trong cùng một khu vực, cần thiết lập hệ thống mạng riêng bảo mật để bảo đảm an ninh cho mạng nội bộ.

9. Quản lý hệ thống mạng nội bộ: Mạng nội bộ của các cơ quan nhà nước phải được tổ chức theo mô hình Clients/Server; mạng nội bộ khi kết nối với mạng Internet phải thông qua thiết bị tường lửa kiểm soát (tường lửa phải thường xuyên được cập nhật dữ liệu theo hướng dẫn, yêu cầu của nhà sản xuất), có phân chia hệ thống mạng nội bộ thành các vùng mạng theo phạm vi truy cập, vô hiệu hóa tất cả các dịch vụ không sử dụng tại từng vùng mạng, thực hiện nguyên tắc chỉ mở các dịch vụ cần thiết khi có yêu cầu.

10. Quản lý truy cập từ xa vào mạng nội bộ: Đối với việc truy cập từ xa vào mạng nội bộ phải được theo dõi, quản lý chặt chẽ, nhất là truy cập có sử dụng chức năng quản trị, phải thiết lập mật mã độ an toàn cao, nhắc nhở khuyến cáo thường xuyên thay đổi mật mã, tăng cường sử dụng mạng riêng ảo, hạn chế truy cập từ xa vào mạng nội bộ từ các điểm truy cập Internet công cộng.

11. Về việc quản lý hệ thống mạng không dây (Wifi): Khi thiết lập mạng không dây cho phép các thiết bị kết nối với mạng cục bộ qua hình thức không dây tại các điểm truy nhập, điểm đấu nối của thiết bị không dây vào mạng nội bộ cần ở lớp ngoài của mạng (khu vực không bảo mật), thiết bị không dây cần được thiết lập các tham số như: tên, mật khẩu, mã hóa dữ liệu... và thông báo các thông tin liên quan đến điểm truy nhập để cơ quan sử dụng, thường xuyên thay đổi mật khẩu nhằm tăng cường công tác bảo mật.

12. Tất cả máy chủ, máy trạm phải được thiết lập mật mã truy cập và chế độ tự động bảo vệ màn hình sau 10 phút không sử dụng. Mật mã đăng nhập, truy cập hệ thống thông tin phải có độ phức tạp cao (có độ dài tối thiểu 8 ký tự, có ký tự thường, ký tự hoa, ký tự số hoặc ký tự đặc biệt như: !, @, #, $, %,...) và phải được thay đổi ít nhất 03 tháng/01 lần.

13. Đối với các cơ quan nhà nước có sử dụng đường truyền Internet ngoài đường truyền số liệu chuyên dùng trong hệ thống các cơ quan Đảng, Nhà nước, phải thông báo về Sở Thông tin và Truyền thông để được hướng dẫn đấu nối, thiết lập các thông số của các thiết bị định tuyến, cấu hình địa chỉ IP cho hệ thống mạng nội bộ, các máy chủ, máy trạm trong cơ quan thống nhất với toàn hệ thống.

14. Chống mã độc, virus và các hình thức xâm nhập khác: Lựa chọn, triển khai các thiết bị phần cứng và phần mềm chống xâm nhập (Firewall), chống virus, mã độc có hiệu quả trên các máy chủ, máy trạm, các thiết bị, phương tiện kỹ thuật trong mạng, bảo vệ các hệ thống thông tin quan trọng như: cổng/trang thông tin điện tử; hộp thư điện tử công vụ; một cửa điện tử; quản lý văn bản và điều hành; Hội nghị truyền hình qua mạng... Đồng thời, thường xuyên cập nhật phiên bản mới, bản vá lỗi của các phần mềm hệ thống, phần mềm chống xâm nhập, chống virus... nhằm kịp thời phát hiện, loại trừ mã độc máy tính.

15. Thiết bị có chứa thông tin mật, quan trọng của Cơ quan, đơn vị trước khi mang đi bảo hành, bảo dưỡng, sửa chữa ở ngoài phạm vi cơ quan phải được sự đồng ý của người đứng đầu cơ quan, phải tháo thiết bị lưu trữ dữ liệu hoặc xóa hết dữ liệu đã lưu trữ trong thiết bị (theo phương pháp không thể phục hồi) và thực hiện các biện pháp theo các quy định về bảo vệ bí mật nhà nước.

16. Chỉ tiếp nhận và đưa vào vận hành hệ thống thông tin sau khi đã thực hiện nghiệm thu và kiếm thử hệ thống (được thẩm định, xác nhận của bộ phận chuyên trách và phê duyệt của cơ quan, đơn vị có thẩm quyền của Sở Thông tin và Truyền thông, Bộ Thông tin và Truyền thông hoặc chủ quản hệ thống thông tin).

17. Xem xét tính tương thích của phần mềm, ứng dụng hiện có, bảo đảm hoạt động ổn định, an toàn trước khi quyết định thay đổi hoặc nâng cấp hệ điều hành lên phiên bản mới hơn; kiểm soát chặt chẽ việc nâng cấp, mở rộng phần mềm, ứng dụng trong hệ thống. Việc bổ sung các thiết bị vào hệ thống thông tin cần có kế hoạch, quy trình bảo đảm việc tiếp nhận không làm gián đoạn hoạt động của hệ thống đang vận hành; bảo trì hệ thống thông tin phải có kế hoạch từ trước và được thực hiện thường xuyên.

18. Các cơ quan, đơn vị trong phạm vi quyền hạn của mình có trách nhiệm ngăn chặn xung đột thông tin trên mạng theo các nội dung quy định tại khoản 1 Điều 28 Luật an toàn thông tin mạng; khoản 1 Điều 8; khoản 1, Điều 9; các khoản 3, 4, 5 Điều 12; các khoản 1, 2 Điều 14 và Điều 27 Nghị định số 142/2016/NĐ-CP ngày 14/10/2016 của Chính phủ và các quy định sau:

a) Phải thực hiện các biện pháp bảo vệ hệ thống thông tin của mình quản lý, không để các phần tử xấu lợi dụng hệ thống thông tin để thâm nhập, truy cập trái phép vào các trung tâm đang quản lý các hệ thống thông tin, cơ sở dữ liệu của tỉnh;

b) Cán bộ, công chức của các cơ quan, đơn vị có trách nhiệm ngăn chặn xung đột thông tin trên mạng theo các nội dung quy định tại khoản 1 Điều 28 Luật an toàn thông tin mạng; khoản 1 Điều 7; các khoản 4, 5 Điều 12 và Điều 27 Nghị định số 142/2016/NĐ-CP ngày 14/10/2016 của Chính phủ.

Điều 8. Quy định đối với bên thứ ba khi tham gia vào hệ thống an toàn an ninh thông tin

1. Khi bên thứ ba thực hiện việc cung cấp, bảo dưỡng, sửa chữa tài sản CNTT, các cơ quan, đơn vị phải thực hiện việc quản lý bảo đảm an toàn thông tin như sau:

a) Đánh giá về năng lực kỹ thuật, nhân sự, khả năng tài chính của bên thứ ba trước khi ký kết hợp đồng cung cấp hàng hóa, dịch vụ;

b) Xác định rõ trách nhiệm, quyền hạn và nghĩa vụ của các bên về bảo đảm an toàn thông tin khi ký hợp đồng. Hợp đồng với bên thứ ba, phải bao gồm các điều khoản về việc xử lý khi có vi phạm quy định an toàn, an ninh thông tin và trách nhiệm phải bồi thường thiệt hại của bên thứ ba trong trường hợp có thiệt hại do hành vi vi phạm của bên thứ ba gây ra;

c) Chú ý đến các vấn đề về tính bí mật, tính toàn vẹn, tính sẵn sàng, tin cậy, hiệu năng tối đa, khả năng phục hồi sau thảm họa, phương tiện lưu trữ của hệ thống thông tin khi có sự tham gia của bên thứ ba;

d) Áp dụng các biện pháp giám sát chặt chẽ và giới hạn quyền truy cập của bên thứ ba khi cho phép truy cập vào hệ thống CNTT của cơ quan, đơn vị;

đ) Khi phát hiện bên thứ ba có dấu hiệu vi phạm hoặc vi phạm quy chế an toàn, bảo mật thông tin của bên thứ ba thì cơ quan, đơn vị phải: Tạm dừng hoặc đình chỉ hoạt động của bên thứ ba tùy theo mức độ vi phạm; thông báo chính thức các vi phạm về an toàn, bảo mật CNTT của nhân sự cho bên thứ ba; kiểm tra xác định, lập báo cáo mức độ vi phạm và thông báo cho bên thứ ba thiệt hại xảy ra; thu hồi ngay quyền truy cập hệ thống CNTT đã được cấp cho bên thứ ba;

e) Sau khi kết thúc công việc, phải thu hồi quyền truy cập hệ thống CNTT đã được cấp của bên thứ ba; thay đổi các khóa, mật khẩu nhận bàn giao từ bên thứ ba.

2. Trách nhiệm của bên thứ ba trong quá trình triển khai cơ quan, đơn vị cần:

a) Cung cấp danh sách nhân sự tham gia và ký cam kết không tiết lộ thông tin của cơ quan, đơn vị đối với các thông tin quan trọng;

b) Tuân thủ đầy đủ các quy định về an toàn thông tin và giám sát quá trình khi triển khai thực hiện hệ thống CNTT tại cơ quan, đơn vị;

c) Sau khi kết thúc công việc: phải bàn giao lại tài sản sử dụng của đơn vị trong quá trình triển khai công việc, tài khoản, quyền truy cập hệ thống CNTT đã được cấp khi tham gia vào hệ thống CNTT tại cơ quan, đơn vị.

Điều 9. Bảo đảm an toàn, an ninh trong quá trình vận hành, khai thác sử dụng các hệ thống thông tin

1. Tùy theo tình hình thực tế triển khai ứng dụng CNTT, các đơn vị cần thực hiện việc quản lý và kiểm soát mạng nhằm ngăn ngừa các hiểm họa và duy trì an toàn cho các hệ thống thông tin, phần mềm ứng dụng sử dụng mạng. Các nội dung có thể bao gồm:

a) Sử dụng thiết bị tường lửa, thiết bị phát hiện, ngăn chặn xâm nhập trái phép và các trang thiết bị khác nhằm bảo đảm an toàn bảo mật mạng;

b) Thiết lập, cấu hình đầy đủ các tính năng của thiết bị an ninh mạng;

c) Sử dụng các công cụ để dò tìm và phát hiện kịp thời các điểm yếu, lỗ hổng và các truy cập bất hợp pháp vào hệ thống mạng;

d) Thường xuyên kiểm tra, phát hiện những kết nối, trang thiết bị, phần mềm cài đặt bất hợp pháp vào hệ thống mạng.

2. Quản lý bản ghi nhật ký hệ thống: Hệ thống thông tin cần ghi nhận đầy đủ thông tin trong các bản ghi nhật ký khi thao tác trên hệ thống và lưu giữ nội dung nhật ký trong khoảng thời gian nhất định, để phục vụ việc quản lý, kiểm soát hệ thống thông tin. Thường xuyên thực hiện việc theo dõi bản ghi nhật ký hệ thống và các sự kiện khác có liên quan để đánh giá, báo cáo các rủi ro và mức độ nghiêm trọng các rủi ro đó. Các rủi ro có thể xảy ra do sự truy cập trái phép, sử dụng trái phép, xóa mất, thay đổi hoặc phá hủy thông tin và hệ thống thông tin.

3. Quản lý đăng nhập hệ thống: Các hệ thống thông tin cần giới hạn một số hữu hạn lần đăng nhập sai liên tiếp. Tổ chức theo dõi và kiểm soát tất cả các phương pháp truy nhập từ xa tới hệ thống thông tin; yêu cầu người dùng đặt mật khẩu với độ an toàn cao.

4. Tổ chức quản lý tài nguyên: Kiểm tra, giám sát chức năng chia sẻ thông tin. Tổ chức cấp phát tài nguyên trên máy chủ theo danh mục thư mục cho từng phòng/ban; khuyến cáo người sử dụng cân nhắc việc chia sẻ tài nguyên thông tin trên máy đang sử dụng, khi thực hiện việc chia sẻ tài nguyên nếu cần thiết phải sử dụng mật khẩu để bảo vệ thông tin.

5. Khai thác, sử dụng các ứng dụng, hệ thống thông tin theo đúng chức năng, nhiệm vụ được giao, bảo đảm phục vụ tốt công tác chuyên môn, nghiệp vụ của đơn vị, phục vụ công dân, doanh nghiệp.

6. Trong quá trình vận hành hệ thống cần thực hiện quy định về phòng chống virus, mã độc đáp ứng các yêu cầu cơ bản như: Kiểm tra, diệt virus và mã độc trên các phương tiện mạng thông tin, dữ liệu nhận từ bên ngoài trước khi sử dụng; không mở các thư điện tử lạ, các tập tin đính kèm hoặc các liên kết trong các thư lạ để tránh virus, mã độc; không vào các trang thông tin điện tử hoặc mở các email (thư điện tử) không rõ nguồn gốc xuất xứ, đáng ngờ; không tải các trò chơi vào máy hoạt động công vụ; không tự ý cài đặt các phần mềm không rõ nguồn gốc, không có bản quyền; trong trường hợp phát hiện nhưng không diệt được virus, mã độc thì cần phải tắt nguồn điện vào thiết bị và báo ngay cho người quản trị hệ thống xử lý.

7. Cơ quan nhà nước rà soát tối thiểu 03 tháng/01 lần các tài khoản đăng nhập, bảo đảm các tài khoản và quyền truy cập hệ thống được cấp phát đúng, đủ. Khi người dùng thay đổi vị trí công tác, chuyển công tác, thôi việc hoặc nghỉ hưu thì cơ quan nhà nước phải kịp thời thông báo cho Sở Thông tin và Truyền thông thu hồi tài khoản được cấp (đối với các hệ thống do Sở Thông tin và Truyền thông quản lý tập trung tại Trung tâm tích hợp dữ liệu tỉnh).

8. Đối với bên thứ ba:

a) Thực hiện giám sát và kiểm tra các dịch vụ do bên thứ ba cung cấp bảo đảm mức độ cung cấp dịch vụ, khả năng hoạt động hệ thống đáp ứng đúng theo thỏa thuận đã ký kết;

b) Bảo đảm triển khai, duy trì các biện pháp an toàn, bảo mật của dịch vụ do bên thứ ba cung cấp theo đúng thỏa thuận;

c) Quản lý các thay đổi đối với các dịch vụ của bên thứ ba cung cấp bao gồm: Nâng cấp phiên bản mới; sử dụng các kỹ thuật mới, các công cụ và môi trường phát triển mới;

d) Đánh giá đầy đủ tác động của việc thay đổi, bảo đảm an toàn khi được đưa vào sử dụng.

Điều 10. Quản lý, khắc phục sự cố, lưu trữ và dự phòng

1. Các sự kiện, sự cố về an toàn, an ninh thông tin dưới đây cần được xem xét phân loại và xử lý theo khoản 2, 3 của Điều này, bao gồm:

a) Những truy cập trái phép, hành vi vi phạm tính bảo mật và tính toàn vẹn dữ liệu, ứng dụng;

b) Phát hiện mã độc, tấn công từ chối dịch vụ;

c) Phát hiện ra điểm yếu, lỗ hổng bảo mật của hạ tầng, hệ điều hành, ứng dụng;

d) Hệ thống trục trặc nhiều lần hoặc quá tải;

đ) Mất thiết bị, phương tiện công nghệ thông tin;

e) Không tuân thủ chính sách an toàn, an ninh thông tin hoặc các chỉ dẫn bắt buộc của đơn vị hoặc hành vi vi phạm an ninh vật lý;

g) Các trục trặc của phần mềm hay phần cứng không khắc phục được gây ảnh hưởng đến hoạt động của hệ thống CNTT;

h) Các sự cố khác gây gián đoạn, ảnh hưởng đến hoạt động bình thường của các ứng dụng CNTT tại đơn vị.

2. Đơn vị cần phân loại mức độ nghiêm trọng của các sự cố, bao gồm:

a) Thấp: Sự cố gây ảnh hưởng cá nhân và không làm gián đoạn hay đình trệ hoạt động chính của cơ quan;

b) Trung bình: Sự cố ảnh hưởng đến một nhóm người dùng nhưng không gây gián đoạn hay đình trệ hoạt động chính của đơn vị;

c) Cao: Sự cố làm cho thiết bị, phần mềm hay hệ thống không thể sử dụng được và gây ảnh hưởng đến hoạt động chung của cơ quan;

d) Khẩn cấp: Sự cố ảnh hưởng đến sự liên tục của nhiều hoạt động chính của cơ quan.

3. Khi có sự cố hoặc nguy cơ mất an toàn, an ninh thông tin thì lãnh đạo đơn vị phải chỉ đạo kịp thời

a) Áp dụng mọi biện pháp để khắc phục và hạn chế thiệt hại do sự cố xảy ra, lập biên bản báo cáo cho cơ quan cấp trên quản lý trực tiếp;

b) Trường hợp có sự cố nghiêm trọng ở mức độ cao, khẩn cấp hoặc vượt quá khả năng khắc phục của cơ quan, đơn vị, lãnh đạo cơ quan, đơn vị phải báo cáo ngay cho Sở Thông tin và Truyền thông để được hướng dẫn, hỗ trợ;

c) Tạo điều kiện thuận lợi cho cơ quan chức năng tham gia khắc phục sự cố và thực hiện theo đúng hướng dẫn;

d) Báo cáo bằng văn bản về sự cố cho cơ quan cấp trên quản lý trực tiếp và Sở Thông tin và Truyền thông (theo Phụ lục 02).

4. Tất cả cán bộ, công chức, viên chức, người lao động và bên thứ ba khi phát hiện các sự cố về an toàn, an ninh thông tin của đơn vị cần thực hiện việc báo cáo với cấp trên và bộ phận phụ trách công nghệ thông tin của cơ quan, đơn vị đó để kịp thời ngăn chặn và xử lý kịp thời.

5. Thiết lập cơ chế sao lưu và phục hồi hệ thống

a) Các dữ liệu quan trọng của cơ quan phải được sao lưu, bao gồm: thông tin cấu hình của hệ thông mạng, máy chủ; cơ sở dữ liệu của các phần mềm ứng dụng (quản lý văn bản và điều hành, một cửa điện tử, cổng/trang thông tin điện tử, thư điện tử công vụ...); tập tin ghi nhật ký;

b) Ban hành và thực hiện quy trình sao lưu dự phòng và phục hồi dữ liệu cho các phần mềm, dữ liệu cần thiết khi gặp sự cố;

c) Lập danh sách các dữ liệu, phần mềm cần được sao lưu, có phân loại theo thời gian lưu trữ, thời gian sao lưu, phương pháp sao lưu và thời gian phục hồi hệ thống từ dữ liệu sao lưu;

d) Dữ liệu sao lưu phải được lưu trữ an toàn và được kiểm tra thường xuyên, bảo đảm sẵn sàng cho việc sử dụng khi cần.

Điều 11. Bảo đảm an toàn, an ninh thông tin các hệ thống thông tin, ứng dụng, cơ sở hạ tầng dùng chung, tích hợp ứng dụng và chia sẻ dữ liệu

1. Trong quá trình khai thác, vận hành và sử dụng các ứng dụng, cơ sở hạ tầng dùng chung, các đơn vị tham gia phải tuân thủ các quy chế về bảo đảm an toàn, an ninh thông tin theo yêu cầu của từng hệ thống, ứng dụng, đặc biệt là các hệ thống, phần mềm, hạ tầng dùng chung của tỉnh, bao gồm:

a) Khai thác mạng tin học diện rộng của tỉnh (WAN);

b) Sử dụng và vận hành Trung tâm tích hợp dữ liệu của tỉnh;

c) Khai thác sử dụng hệ thống thư điện tử công vụ;

d) Mạng nội bộ, mạng diện rộng, mạng truyền số liệu chuyên dùng;

đ) Hệ thống cơ sở dữ liệu, trung tâm dữ liệu, điện toán đám mây;

e) Hệ thống xác thực điện tử, chứng thực điện tử, chữ ký số;

g) Hệ thống họp, hội nghị truyền hình trực tuyến;

h) Các trang/cổng thông tin điện tử, các phần mềm dùng chung: Quản lý văn bản và điều hành và trục liên thông văn bản điện tử, một cửa điện tử và dịch vụ công trực tuyến;

2. Trong quá trình triển khai việc tích hợp các hệ thống, phần mềm ứng dụng, chia sẻ dữ liệu, cần triển khai các giải pháp bảo đảm an toàn, an ninh thông tin cho từng hệ thống, phần mềm ứng dụng và trong quá trình chia sẻ dữ liệu cũng như làm rõ trách nhiệm của từng cơ quan, đơn vị, từng cá nhân tham gia vào hệ thống.

3. Trong trao đổi thông tin, dữ liệu phục vụ công việc, cơ quan nhà nước, cán bộ công chức, viên chức phải sử dụng hệ thống thông tin do cơ quan nhà nước có thẩm quyền triển khai như: hệ thống thư điện tử công vụ tỉnh (@daknong.gov.vn), phần mềm quản lý văn bản và điều hành, hệ thống họp giao ban trực tuyến,... Hạn chế việc sử dụng các phương tiện trao đổi thông tin dữ liệu, hệ thống thư điện tử, lưu trữ điện tử công cộng, mạng xã hội trên Internet trong hoạt động của cơ quan nhà nước.

Điều 12. Ban hành và triển khai quy chế bảo đảm an toàn, an ninh thông tin tại cơ quan, đơn vị, địa phương

1. Các cơ quan, đơn vị, địa phương phải xây dựng quy chế nội bộ bảo đảm an toàn, an ninh cho hệ thống thông tin, trong đó bao gồm tối thiểu các nội dung sau:

a) Yêu cầu và nguyên tắc của công tác bảo đảm an toàn, an ninh;

b) Yêu cầu về quản lý tài sản CNTT của cơ quan, đơn vị;

c) Yêu cầu về quản lý về cán bộ, công chức, viên chức và người lao động khi tham gia vào hệ thống CNTT của đơn vị;

d) Yêu cầu về quản lý, bảo đảm an toàn môi trường mạng;

đ) Yêu cầu về bảo đảm an toàn vận hành các hệ thống thông tin;

e) Quản lý sự cố, lưu trữ và dự phòng;

g) Phân công trách nhiệm và tổ chức thực hiện.

2. Các cơ quan, đơn vị, địa phương phải tổ chức giám sát việc thực hiện quy chế bảo đảm an toàn, an ninh cho hệ thống thông tin sau khi được ban hành.

Chương III

TRÁCH NHIỆM ĐẢM BẢO AN TOÀN, AN NINH THÔNG TIN

Điều 13. Trách nhiệm của cán bộ, công chức, viên chức và người lao động trong các cơ quan, đơn vị, địa phương

1. Trách nhiệm của cán bộ, công chức, viên chức và người lao động được giao phụ trách an toàn, an ninh thông tin:

a) Chịu trách nhiệm đảm bảo an toàn, an ninh thông tin của cơ quan, đơn vị;

b) Tham mưu lãnh đạo cơ quan ban hành các quy chế, quy trình nội bộ, triển khai các giải pháp kỹ thuật bảo đảm an toàn, an ninh thông tin;

c) Thực hiện việc giám sát, đánh giá, báo cáo Thủ trưởng cơ quan, đơn vị các rủi ro mất an toàn, an ninh thông tin và mức độ nghiêm trọng của các rủi ro đó;

d) Phối hợp với các cá nhân, đơn vị có liên quan trong việc kiểm soát, phát hiện và khắc phục các sự cố an toàn, an ninh thông tin;

đ) Thường xuyên cập nhật nâng cao kiến thức, trình độ chuyên môn đáp ứng yêu cầu đảm bảo an toàn, an ninh thông tin của cơ quan, đơn vị.

2. Trách nhiệm của cán bộ, công chức, viên chức, người lao động trong các cơ quan, đơn vị, địa phương:

a) Nghiêm túc chấp hành các quy chế, quy trình nội bộ và các quy định khác của pháp luật về an toàn, an ninh thông tin. Chịu trách nhiệm đảm bảo an toàn, an ninh thông tin trong phạm vi trách nhiệm và quyền hạn được giao;

b) Mỗi cán bộ, công chức, viên chức và người lao động phải có trách nhiệm tự quản lý, bảo quản thiết bị, tài khoản, ứng dụng mà mình được giao sử dụng;

c) Khi phát hiện nguy cơ hoặc sự cố mất an toàn, an ninh thông tin phải báo cáo ngay với cấp trên và bộ phận phụ trách công nghệ thông tin của cơ quan, đơn vị để kịp thời ngăn chặn và xử lý;

d) Tham gia các chương trình đào tạo, hội nghị về an toàn, an ninh thông tin được tỉnh hoặc đơn vị chuyên môn tổ chức.

Điều 14. Trách nhiệm của các Cơ quan, đơn vị, địa phương

1. Thủ trưởng các cơ quan, đơn vị, địa phương có trách nhiệm tổ chức thực hiện các quy định tại Quy chế này và chịu trách nhiệm trước Ủy ban nhân dân tỉnh trong công tác bảo đảm an toàn, an ninh thông tin của cơ quan, đơn vị, địa phương mình.

2. Phân công một bộ phận hoặc cán bộ phụ trách bảo đảm an toàn thông tin của đơn vị, tạo điều kiện để các cán bộ được học tập, nâng cao trình độ về an toàn, an ninh thông tin.

3. Xây dựng quy chế, quy trình về bảo đảm an toàn, an ninh thông tin phù hợp với quy định tại Điều 12, Quy chế này và các quy định của pháp luật; đưa nội dung thực hiện bảo đảm an toàn thông tin vào kế hoạch ứng dụng công nghệ thông tin hàng năm của cơ quan, đơn vị.

4. Phối hợp, cung cấp thông tin và tạo điều kiện cho các đơn vị có thẩm quyền triển khai công tác kiểm tra khắc phục sự cố xảy ra một cách kịp thời, nhanh chóng và đạt hiệu quả.

5. Phối hợp chặt chẽ với Sở Thông tin và Truyền thông, Công an tỉnh trong công tác phòng ngừa, đấu tranh, ngăn chặn các hoạt động xâm phạm an toàn, an ninh thông tin.

6. Hàng năm bố trí kinh phí cho việc ứng dụng công nghệ thông tin nói chung và công tác bảo đảm an toàn, an ninh thông tin nói riêng trong nội bộ cơ quan, đơn vị, địa phương mình.

7. Phân loại thông tin và hệ thống thông tin, xây dựng phương án đảm bảo an toàn hệ thống thông tin theo cấp độ được quy định tại Điều 9, Điều 14 Thông tư 03/2017/TT-BTTTT ngày 24/4/2017 của Bộ Thông tin và Truyền thông quy định chi tiết và hướng dẫn một số điều của Nghị định 85/2016/NĐ-CP ngày 01/7/2016 của Chính phủ về bảo đảm an toàn hệ thống thông tin theo cấp độ.

8. Chủ tịch UBND cấp huyện có trách nhiệm chỉ đạo các phòng, ban chuyên môn và UBND cấp xã thuộc phạm vi quản lý tổ chức thực hiện quy chế này.

9. Báo cáo tình hình, kết quả thực hiện công tác bảo đảm an toàn thông tin tại cơ quan, đơn vị, địa phương và gửi về Sở Thông tin và Truyền thông định kỳ mỗi năm 02 lần vào trước ngày 15 tháng 6 và ngày 15 tháng 12 hàng năm (hoặc đột xuất) theo biểu mẫu tại Phụ lục 01 Quy chế này, làm cơ sở để Sở Thông tin và Truyền thông tổng hợp, báo cáo Ủy ban nhân dân tỉnh và Bộ Thông tin và Truyền thông.

Điều 15. Trách nhiệm của Sở Thông tin và Truyền thông

1. Tham mưu Ủy ban nhân dân tỉnh về công tác bảo đảm an toàn thông tin trong các cơ quan nhà nước tỉnh và chịu trách nhiệm trước Ủy ban nhân dân tỉnh trong việc bảo đảm an toàn cho các hệ thống thông tin dùng chung của tỉnh như: Cổng thông tin điện tử, Thư điện tử, Giao ban điện tử và các hệ thống thông tin dùng chung khác của tỉnh.

2. Chịu trách nhiệm xây dựng, trình Ủy ban nhân dân tỉnh hoặc tham mưu Ủy ban nhân dân tỉnh trình Hội đồng nhân dân tỉnh ban hành các cơ chế, chính sách và hướng dẫn, khuyến nghị về đảm bảo an toàn thông tin mạng cho các cơ quan, đơn vị.

3. Tham mưu Ủy ban nhân dân tỉnh xây dựng đội ngũ cán bộ chuyên trách về an toàn thông tin có trình độ đáp ứng yêu cầu theo quy định; tổ chức bộ phận chuyên trách về an toàn thông tin có trách nhiệm đảm bảo an toàn thông tin cho các hệ thống CNTT dùng chung của tỉnh và hỗ trợ các cơ quan, đơn vị trong tỉnh xử lý sự cố an toàn thông tin mạng.

4. Chủ trì, phối hợp với Công an tỉnh và các cơ quan, đơn vị có liên quan định kỳ hàng năm tiến hành công tác thanh tra, kiểm tra, đánh giá công tác bảo đảm an toàn thông tin và xử lý các hành vi vi phạm an toàn thông tin mạng tại các cơ quan nhà nước trên địa bàn tỉnh. Tổ chức kiểm tra đột xuất các cơ quan đơn vị khi có dấu hiệu vi phạm an toàn thông tin mạng.

5. Hàng năm, xây dựng kế hoạch, chương trình, dự án, tổng hợp kinh phí để triển khai công tác an toàn thông tin trong hoạt động ứng dụng CNTT của các cơ quan, đơn vị trên địa bàn tỉnh.

6. Thẩm định về an toàn thông tin mạng trong hồ sơ thiết kế hệ thống thông tin trong của các cơ quan, đơn vị trên địa bàn tỉnh.

7. Tổ chức thẩm định hồ sơ đề xuất cấp độ về bảo đảm an toàn hệ thống thông tin theo cấp độ 1, 2, 3 được quy định tại khoản 1, Điều 15, Thông tư 03/2017/TT-BTTTT ngày 24/4/2017 của Bộ Thông tin và Truyền thông quy định chi tiết và hướng dẫn một số điều của Nghị định 85/2016/NĐ-CP ngày 01/7/2016 của Chính phủ về bảo đảm an toàn hệ thống thông tin theo cấp độ.

8. Đầu mối đơn vị chuyên trách về an toàn thông tin của tỉnh Đắk Nông trình Bộ Thông tin và Truyền thông thẩm định hồ sơ được đề xuất cấp độ 4, 5 được quy định tại khoản 2, Điều 15, Thông tư Thông tư số 03/2017/TT-BTTTT ngày 24/4/2017 của Bộ Thông tin và Truyền thông quy định chi tiết và hướng dẫn một số điều của Nghị định số 85/2016/NĐ-CP ngày 01/7/2016 của Chính phủ về bảo đảm an toàn hệ thống thông tin theo cấp độ.

9. Xây dựng và triển khai các chương trình đào tạo, hội nghị tuyên truyền an toàn thông tin mạng trong công tác quản lý nhà nước trên địa bàn tỉnh.

10. Hướng dẫn cụ thể về nghiệp vụ quản lý vận hành, kỹ thuật bảo đảm an toàn thông tin; đồng thời, hỗ trợ các cơ quan, đơn vị giải quyết sự cố an toàn thông tin mạng khi có yêu cầu.

11. Thực hiện nhiệm vụ cảnh báo về nguy cơ hoặc sự cố mất an toàn thông tin mạng; tiếp nhận thông tin, hỗ trợ kỹ thuật và tham gia xử lý các sự cố về an toàn thông tin mạng cho các cơ quan, đơn vị. Tổ chức thực hiện các hoạt động điều phối của Đội ứng cứu sự cố an toàn thông tin mạng trên địa bàn tỉnh và các nhiệm vụ được quy định tại khoản 2, 3 Điều 6; các khoản 2, 3 Điều 9; khoản 3, Điều 14; các khoản 1, 3 Điều 15 và Điều 16, 17, 18 của Nghị định số 142/2016/NĐ-CP ngày 14/10/2016 của Chính phủ.

12. Thông báo cho các cơ quan, đơn vị biết và có biện pháp phòng ngừa, ngăn chặn rủi ro an toàn thông tin mạng, các nguy cơ mất an toàn thông tin do virus, phần mềm độc hại, phần mềm gián điệp gây ra.

13. Phối hợp với Cục An toàn thông tin, Trung tâm ứng cứu khẩn cấp máy tính Việt Nam (VNCERT) và các tổ chức, đơn vị liên quan trong hoạt động liên quan đến công tác bảo đảm an toàn thông tin mạng.

14. Định kỳ 6 tháng, hàng năm hoặc đột xuất tổng hợp báo cáo Ủy ban nhân dân tỉnh về tình hình bảo đảm an toàn thông tin mạng trong các cơ quan nhà nước tỉnh Đắk Nông.

15. Trung tâm Công nghệ thông tin và Truyền thông trực thuộc Sở Thông tin và Truyền thông là đơn vị trực tiếp vận hành kỹ thuật Trung tâm tích hợp dữ liệu tỉnh, phải chịu trách nhiệm ban hành quy chế nội bộ theo các nội dung của Quy chế này và Quy chế quản lý, vận hành, khai thác Trung tâm tích hợp dữ liệu tỉnh, các tiêu chuẩn quốc gia và tham khảo các tiêu chuẩn quốc tế về an toàn thông tin.

Điều 16. Trách nhiệm của Công an tỉnh

1. Chủ trì, phối hợp với Sở Thông tin và Truyền thông và các đơn vị có liên quan xây dựng kế hoạch để ngăn chặn, kiểm soát, phòng ngừa, đấu tranh, các loại tội phạm lợi dụng hệ thống mạng gây hại đến an toàn, an ninh thông tin trong cơ quan nhà nước.

2. Phối hợp với các cơ quan có liên quan tham mưu Ủy ban nhân dân tỉnh hướng dẫn việc sử dụng các thiết bị CNTT để lưu giữ và truyền tải thông tin bí mật nhà nước. Hỗ trợ các cơ quan, đơn vị thực hiện việc kiểm tra, đánh giá nguy cơ mất an toàn, an ninh thông tin khi có yêu cầu.

3. Xử lý các trường hợp vi phạm pháp luật về an toàn, an ninh thông tin theo thẩm quyền.

Điều 17. Trách nhiệm của Sở Tài chính, Sở Kế hoạch và Đầu tư

1. Phối hợp với Sở Thông tin và Truyền thông tham mưu Ủy ban nhân dân tỉnh bố trí kinh phí sự nghiệp hàng năm và kinh phí thực hiện các nhiệm vụ đột xuất phục vụ việc mua sắm máy móc, thiết bị, nâng cấp hạ tầng máy chủ, máy trạm, hệ thống tường lửa, kinh phí đào tạo, tập huấn cho các bộ chuyên trách công nghệ thông tin, kinh phí ứng cứu sự cố an toàn thông tin mạng... bảo đảm cho các hoạt động an toàn, an ninh thông tin trong hoạt động ứng dụng CNTT cho các cơ quan, đơn vị trên địa bàn tỉnh.

2. Hướng dẫn mục chi cho công tác bảo đảm an toàn thông tin trong dự toán ngân sách, hướng dẫn quản lý và sử dụng kinh phí sự nghiệp chi cho công tác bảo đảm an toàn thông tin trong hoạt động của các cơ quan, tổ chức nhà nước.

3. Chủ trì, phối hợp với Sở Thông tin và Truyền thông tổng hợp, tham mưu ưu tiên bố trí nguồn vốn ngân sách trong kế hoạch chi đầu tư phát triển hàng năm để thực hiện các dự án đầu tư bảo đảm an toàn thông tin mạng cho các cơ quan, đơn vị.

Điều 18. Trách nhiệm của Ban chỉ đạo Cải cách hành chính tỉnh

1. Chỉ đạo công tác điều phối, ứng cứu sự cố trong hoạt động ứng dụng CNTT trên địa bàn tỉnh; chỉ đạo các cơ quan, đơn vị trên địa bàn tỉnh phối hợp, tuân thủ yêu cầu của Cơ quan điều phối quốc gia, Đội ứng cứu sự cố mạng máy tính tỉnh trong điều phối, ứng cứu sự cố.

2. Triệu tập, chỉ đạo bộ phận tác nghiệp ứng cứu sự cố tại các cơ quan, đơn vị theo đề xuất của Đội ứng cứu sự cố mạng máy tính tỉnh.

Điều 19. Trách nhiệm của Đội ứng cứu sự cố mạng máy tính tỉnh

1. Tham mưu cho Ủy ban nhân dân tỉnh, Ban chỉ đạo Cải cách hành chính tỉnh, Sở Thông tin và Truyền thông chỉ đạo tổ chức triển khai công tác bảo đảm an toàn an ninh thông tin và ứng cứu sự cố mạng, máy tính đối với các cơ quan, đơn vị trên địa bàn tỉnh.

2. Hỗ trợ các cơ quan, đơn vị trên địa bàn tỉnh trong công tác bảo đảm an toàn, an ninh thông tin trong hoạt động ứng dụng CNTT và tổ chức ứng cứu các sự cố mạng, máy tính.

3. Là cơ quan thường trực Ban chỉ đạo Cải cách hành chính tỉnh, phối hợp với Trung tâm ứng cứu khẩn cấp máy tính Việt Nam (VNCERT), các đơn vị chức năng có liên quan ngăn chặn, xử lý và khắc phục sự cố mạng, máy tính các cơ quan, đơn vị trên địa bàn tỉnh.

4. Thực hiện trách nhiệm làm đầu mối ứng cứu sự cố của tỉnh trong mạng lưới ứng cứu sự cố mạng, máy tính trên toàn quốc dưới sự điều phối của Trung tâm ứng cứu khẩn cấp máy tính Việt Nam (VNCERT).

Điều 20. Trách nhiệm của các doanh nghiệp viễn thông, CNTT cung cấp hạ tầng phục vụ ứng dụng CNTT trong cơ quan nhà nước

1. Đầu tư xây dựng, trang bị hạ tầng kỹ thuật đáp ứng đầy đủ các yêu cầu, tiêu chuẩn kỹ thuật theo quy định của Bộ Thông tin và Truyền thông về an ninh mạng và an toàn thông tin và các nội dung quy định tại Quy chế này.

2. Phối hợp với Sở Thông tin và Truyền thông tham gia các hoạt động điều phối, ứng cứu, khắc phục sự cố thông tin đảm bảo an toàn thông tin mạng cho các cơ quan, đơn vị trong quá trình sử dụng, khai thác dịch vụ.

3. Viễn thông Đắk Nông có trách nhiệm bảo đảm hệ thống mạng truyền số liệu chuyên dùng của các cơ quan, đơn vị trên địa bàn tỉnh; phối hợp với Cục Bưu điện Trung ương, Sở Thông tin và Truyền thông trong việc xử lý khắc phục khi có sự cố trên hệ thống mạng truyền số liệu chuyên dùng của tỉnh.

Điều 21. Trách nhiệm của các tổ chức, cá nhân, doanh nghiệp tham gia quản lý, vận hành, khai thác ứng dụng CNTT trong hoạt động các cơ quan Nhà nước của tỉnh Đắk Nông

1. Xây dựng quy chế, quy định về bảo đảm an toàn thông tin mạng cho hệ thống thông tin của cơ quan, đơn vị; tham mưu xây dựng kế hoạch và tổ chức thực hiện các biện pháp bảo đảm an toàn thông tin mạng để quản lý vận hành các hệ thống thông tin.

2. Chủ động phối hợp và tuân thủ theo sự hướng dẫn kỹ thuật của Sở Thông tin và Truyền thông trong quá trình khắc phục sự cố về an toàn thông tin mạng.

3. Cử cán bộ chuyên trách an toàn thông tin tham gia đầy đủ các khóa đào tạo về bảo đảm an toàn thông tin mạng do các cơ quan chuyên môn tổ chức.

4. Thực hiện các nội dung đã được quy định tại quy chế này; các quy chế, nội quy của cơ quan, đơn vị và các quy định khác của pháp luật về an toàn thông tin mạng trong quá trình sử dụng, khai thác thông tin mạng.

5. Khi phát hiện nguy cơ hoặc sự cố mất an toàn thông tin mạng phải báo cáo kịp thời cho lãnh đạo đơn vị để có giải pháp ngăn chặn, xử lý kịp thời.

6. Chịu trách nhiệm về các thông tin cá nhân đăng ký, khai báo khi sử dụng tương tác các ứng dụng CNTT của tỉnh; tuân thủ các hướng dẫn khi sử dụng dịch vụ CNTT của tỉnh.

7. Không thu thập, sử dụng, phát tán, quảng cáo, kinh doanh trái pháp luật thông tin cá nhân của người khác; lợi dụng sơ hở, điểm yếu của hệ thống dịch vụ ứng dụng CNTT để thu thập, khai thác thông tin cá nhân.

Chương IV

TỔ CHỨC THỰC HIỆN

Điều 22. Điều khoản thi hành

1. Thủ trưởng các Sở, Ban, ngành; Chủ tịch Ủy ban nhân dân các huyện, thị xã; Chủ tịch Ủy ban nhân dân các xã, phường, thị trấn và các cơ quan, đơn vị có liên quan chịu trách nhiệm tổ chức triển khai thực hiện Quy chế này.

2. Trong quá trình thực hiện Quy chế, nếu có vấn đề vướng mắc, phát sinh, các cơ quan, đơn vị phản ánh về Sở Thông tin và Truyền thông để tổng hợp báo cáo Ủy ban nhân dân tỉnh kịp thời điều chỉnh, bổ sung./.

 

PHỤ LỤC 1

MẪU BÁO CÁO TÌNH HÌNH AN TOÀN THÔNG TIN
(Kèm theo Quyết định số 20/2017/QĐ-UBND ngày 23/8/2017 của UBND tỉnh Đắk Nông)

UBND TỈNH ĐẮK NÔNG
TÊN ĐƠN VỊ
-------

CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM
Độc lập - Tự do - Hạnh phúc
---------------

 

Đắk Nông, ngày …. tháng …. năm 20…

 

BÁO CÁO TÌNH HÌNH AN TOÀN THÔNG TIN THÁNG/NĂM………..

1. Đánh giá hiện trạng và dự kiến

1. Về chính sách, quản lý

- Xây dựng quy chế nội bộ đảm bảo an toàn thông tin trong hoạt động ứng dụng công nghệ thông tin:

□ Không □ Có, số văn bản ……................................... ngày …………………………………

- Có thường xuyên cập nhật công nghệ đảm bảo an toàn thông tin:

□ Có □ Không

2. Về đầu tư

- Đã và dự kiến đầu tư vào các nội dung nào dưới đây:

Nội dung

Năm………..

Dự kiến năm tiếp theo

Mua thiết bị (phần cứng và phần mềm) an toàn thông tin

Nghiên cứu sử dụng phần mềm mã nguồn mở

Đào tạo nguồn nhân lực

Các nội dung khác:

……………………………….

……………………………….

……………………………….

……………………………….

……………………………….

……………………………….

- Đã và dự kiến sử dụng những công cụ nào để bảo đảm an toàn thông tin:

Công cụ

Năm…………..

Dự kiến năm tiếp theo

Phần mềm diệt virus

Mật khẩu

Tường lửa

Công cụ mã hóa tập tin

Chữ ký điện tử

Mạng riêng ảo VPN

Hệ thống phát hiện xâm nhập

Những công cụ khác:

……………………………….

……………………………….

……………………………….

……………………………….

……………………………….

……………………………….

3. Về tình hình an ninh mạng và xử lý sự cố

- Tổng kết các sự cố an ninh mạng đã xảy ra trong năm:

Sự cố

Số lượng

Virus

 

Lừa đảo

 

Spyware/ Adware

 

Tấn công từ chối dịch vụ (Dos, Ddos)

 

Nội dung Website đơn vị bị thay đổi (deface website)

 

Sự cố khác: ……………………………………………………………….

…………………..………………………………………………………….

 

- Mức độ thiệt hại ước tính trong năm do các sự cố an toàn thông tin gây ra:

□ Thiệt hại gián tiếp:………………………………………………………………… triệu đồng

□ Thiệt hại trực tiếp:………………………………………………………………… triệu đồng

□ Chi phí khắc phục:………………………………………………………………… triệu đồng

- Biện pháp xử lý đã áp dụng khi gặp sự cố:

Phương pháp

Số lần

Không làm gì cả

 

Tự xử lý

 

Báo cáo cấp trên

 

Yêu cầu hỗ trợ từ nơi khác

 

Phương pháp khác: ………………………………………………….

………………………..…………………………………………………

 

- Công việc mà cơ quan đã thực hiện sau khi khắc phục được sự cố:

□ Sửa đổi chính sách/hướng dẫn

□ Nâng cao ý thức

□ Đầu tư thêm thiết bị

□ Rà soát lại hệ thống

□ Đào tạo nâng cao cho quản trị

□ Đào tạo nâng cao cho người dùng, …..………………………………………………………

4. Tổ chức nhân lực và bồi dưỡng nghiệp vụ:

- Số lượng cán bộ chuyên trách và kiêm nhiệm về công nghệ thông tin:

□ Cán bộ chuyên trách về CNTT, ………… người, trình độ chuyên môn: …………………

□ Cán bộ kiêm nhiệm về CNTT, ………… người, trình độ chuyên môn: ……………………

- Số lượng cán bộ thực hiện công tác đảm bảo an toàn thông tin trong hoạt động ứng dụng CNTT:

□ Cán bộ thực hiện công tác đảm bảo an toàn thông tin là cán bộ chuyên trách/ kiêm nhiệm về CNTT, ……..... người, trình độ chuyên môn: ……………….…………………………………………

□ Cán bộ thực hiện công tác đảm bảo an toàn thông tin không là cán bộ chuyên trách/ kiêm nhiệm về CNTT, ……..... người, trình độ chuyên môn: ……………….…………………………….

- Đơn vị có nhu cầu bồi dưỡng nghiệp vụ an toàn thông tin:

□ Dành cho lãnh đạo và cán bộ quản lý, số lượng dự kiến người

□ Cơ bản/Nâng cao về an toàn thông tin cho cán bộ thực hiện công tác đảm bảo an toàn thông tin, số lượng dự kiến …………… người

□ Cho người dùng, số lượng dự kiến ………… người

II. Ý kiến phản hồi và góp ý thêm

………………………………………………………………………………………………………

………………………………………………………………………………………………………

………………………………………………………………………………………………………

………………………………………………………………………………………………………

 


Nơi nhận:
- Sở TT & TT;
- ……

THỦ TRƯỞNG ĐƠN VỊ
(Ký tên và đóng dấu)

 

PHỤ LỤC 2

MẪU BÁO CÁO SỰ CỐ
(Kèm theo Quyết định số 20/2017/QĐ-UBND ngày 23/8/2017 của UBND tỉnh Đắk Nông)

UBND TỈNH ĐẮK NÔNG
TÊN ĐƠN VỊ
-------

CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM
Độc lập - Tự do - Hạnh phúc
---------------

 

Đắk Nông, ngày …. tháng …. năm 20…

 

BÁO CÁO SỰ CỐ THÁNG/NĂM………..

I. Thông tin chung

1. Tên, địa chỉ Đơn vị vận hành hệ thống thông tin: ..........................................................

2. Cơ quan chủ quản hệ thống thông tin: ..........................................................................

3. E-mail cơ quan: .............................................................................................................

4. Điện thoại cơ quan: .......................................................................................................

II. Thông tin về sự cố an toàn an ninh thông tin

1. Thông tin về sự cố:

- Hệ thống thông tin bị sự cố:

- Thời điểm phát hiện sự cố:

2. Đầu mối liên lạc về sự cố của đơn vị vận hành hệ thống bị sự cố:

- Họ và tên: ...........................................................................................................................

- Chức vụ: .............................................................................................................................

- Điện thoại: ………………………………………………..; Thư điện tử: ………………………

3. Mô tả về sự cố:

- Loại sự cố: .........................................................................................................................

- Hiện tượng: ........................................................................................................................

- Đánh giá sơ bộ mức độ nguy hại; mức độ lây lan; tác động của sự cố đến hoạt động bình thường của tổ chức;

4. Thông tin bổ sung về hệ thống xảy ra sự cố:

- Hệ điều hành ……………………………. Version ..............................................................

Các dịch vụ có trên hệ thống (Đánh dấu những dịch vụ được sử dụng trên hệ thống)

□ Web server □ Mail server □ Database server

□ Dịch vụ khác, đó là ............................................................................................................

Các biện pháp an toàn thông tin đã triển khai (Đánh dấu những biện pháp đã triển khai)

□ Antivirus □ Firewall □ Hệ thống phát hiện xâm nhập

□ Khác: .................................................................................................................................

Các địa chỉ IP của hệ thống (Liệt kê địa chỉ IP sử dụng trên Internet, không liệt kê địa chỉ IP nội bộ ……………)

Các tên miền của hệ thống .................................................................................................

Mục đích chính sử dụng hệ thống ......................................................................................

Thông tin gửi kèm

□ Nhật ký hệ thống □ Mẫu virus / mã độc □ Khác: .............................................................

Các thông tin cung cấp trong thông báo sự cố này đều phải được giữ bí mật: □ Có □ Không

Sự cố đã được khắc phục: □ Đã khắc phục □ Chưa khắc phục (đề nghị ứng cứu)

5. Đơn vị cung cấp dịch vụ hạ tầng công nghệ thông tin, viễn thông

6. Liệt kê các biện pháp đã triển khai hoặc dự kiến triển khai để xử lý khắc phục sự cố:

7. Các tổ chức, doanh nghiệp đang hỗ trợ ứng cứu, xử lý và kết quả xử lý sự cố tính đến thời điểm báo cáo:    

8. Kết quả ứng cứu sự cố ban đầu: ...................................................................................

9. Kiến nghị đề xuất hướng xử lý sự cố (nếu có):...............................................................

 


Nơi nhận:
- Sở TT & TT;
- ……

THỦ TRƯỞNG ĐƠN VỊ
(Ký tên và đóng dấu)