- 1 Công văn 2132/BTTTT-VNCERT hướng dẫn đảm bảo an toàn thông tin cho các Cổng/Trang thông tin điện tử do Bộ Thông tin và Truyền thông ban hành
- 2 Công văn 430/BTTTT-CATTT năm 2015 hướng dẫn bảo đảm an toàn trật tự cho hệ thống thư điện tử của cơ quan, tổ chức nhà nước do Bộ Thông tin và Truyền thông ban hành
- 3 Thông tư 31/2017/TT-BTTTT về quy định hoạt động giám sát an toàn hệ thống thông tin do Bộ trưởng Bộ Thông tin và Truyền thông ban hành
- 4 Thông tư 24/2020/TT-BTTTT quy định về công tác triển khai, giám sát công tác triển khai và nghiệm thu dự án đầu tư ứng dụng công nghệ thông tin sử dụng nguồn vốn ngân sách nhà nước do Bộ Thông tin và Truyền thông ban hành
- 5 Quyết định 15/2023/QĐ-UBND về Quy chế quản lý, vận hành và sử dụng Trung tâm dữ liệu tỉnh Bắc Ninh
- 6 Quyết định 2164/QĐ-UBND năm 2023 về Quy chế hoạt động của Đội ứng cứu sự cố an toàn thông tin mạng trên địa bàn tỉnh Bắc Ninh
- 1 Công văn 2132/BTTTT-VNCERT hướng dẫn đảm bảo an toàn thông tin cho các Cổng/Trang thông tin điện tử do Bộ Thông tin và Truyền thông ban hành
- 2 Công văn 430/BTTTT-CATTT năm 2015 hướng dẫn bảo đảm an toàn trật tự cho hệ thống thư điện tử của cơ quan, tổ chức nhà nước do Bộ Thông tin và Truyền thông ban hành
- 3 Thông tư 31/2017/TT-BTTTT về quy định hoạt động giám sát an toàn hệ thống thông tin do Bộ trưởng Bộ Thông tin và Truyền thông ban hành
- 4 Thông tư 24/2020/TT-BTTTT quy định về công tác triển khai, giám sát công tác triển khai và nghiệm thu dự án đầu tư ứng dụng công nghệ thông tin sử dụng nguồn vốn ngân sách nhà nước do Bộ Thông tin và Truyền thông ban hành
- 5 Quyết định 15/2023/QĐ-UBND về Quy chế quản lý, vận hành và sử dụng Trung tâm dữ liệu tỉnh Bắc Ninh
- 6 Quyết định 2164/QĐ-UBND năm 2023 về Quy chế hoạt động của Đội ứng cứu sự cố an toàn thông tin mạng trên địa bàn tỉnh Bắc Ninh
- 1 Công văn 2132/BTTTT-VNCERT hướng dẫn đảm bảo an toàn thông tin cho các Cổng/Trang thông tin điện tử do Bộ Thông tin và Truyền thông ban hành
- 2 Công văn 430/BTTTT-CATTT năm 2015 hướng dẫn bảo đảm an toàn trật tự cho hệ thống thư điện tử của cơ quan, tổ chức nhà nước do Bộ Thông tin và Truyền thông ban hành
- 3 Thông tư 31/2017/TT-BTTTT về quy định hoạt động giám sát an toàn hệ thống thông tin do Bộ trưởng Bộ Thông tin và Truyền thông ban hành
- 4 Thông tư 24/2020/TT-BTTTT quy định về công tác triển khai, giám sát công tác triển khai và nghiệm thu dự án đầu tư ứng dụng công nghệ thông tin sử dụng nguồn vốn ngân sách nhà nước do Bộ Thông tin và Truyền thông ban hành
- 5 Quyết định 15/2023/QĐ-UBND về Quy chế quản lý, vận hành và sử dụng Trung tâm dữ liệu tỉnh Bắc Ninh
- 6 Quyết định 2164/QĐ-UBND năm 2023 về Quy chế hoạt động của Đội ứng cứu sự cố an toàn thông tin mạng trên địa bàn tỉnh Bắc Ninh
ỦY BAN NHÂN DÂN | CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM |
Số: 22/2024/QĐ-UBND | Bắc Ninh, ngày 05 tháng 9 năm 2024 |
ỦY BAN NHÂN DÂN TỈNH BẮC NINH
Căn cứ Luật Tổ chức chính quyền địa phương ngày 19 tháng 6 năm 2015; Luật sửa đổi, bổ sung một số điều của Luật tổ chức chính phủ và Luật tổ chức chính quyền địa phương ngày 22 tháng 11 năm 2019;
Căn cứ Luật ban hành văn bản quy phạm pháp luật ngày 22 tháng 6 năm 2015; Luật sửa đổi, bổ sung một số điều của Luật ban hành văn bản quy phạm pháp luật ngày 18 tháng 6 năm 2020;
Căn cứ Luật an toàn thông tin mạng ngày 19 tháng 11 năm 2015;
Căn cứ Nghị định số 64/2007/NĐ-CP ngày 10 tháng 4 năm 2007 của Chính phủ về ứng dụng công nghệ thông tin trong hoạt động của cơ quan Nhà nước;
Căn cứ Nghị định số 72/2013/NĐ-CP ngày 15 tháng 7 năm 2013 của Chính phủ về việc ban hành Nghị định quản lý, cung cấp, sử dụng dịch vụ Internet và thông tin trên mạng;
Căn cứ Nghị định số 85/2016/NĐ-CP ngày 01 tháng 7 năm 2016 của Chính phủ về bảo đảm an toàn hệ thống thông tin theo cấp độ;
Căn cứ Quyết định số 08/2023/QĐ-TTg ngày 05 tháng 4 năm 2023 của Thủ tướng Chính phủ về việc ban hành Quyết định về Mạng truyền số liệu chuyên dùng phục vụ các cơ quan Đảng, Nhà nước;
Căn cứ các Thông tư của Bộ trưởng Bộ Thông tin và Truyền thông: số 27/2017/TT-BTTTT ngày 20 tháng 10 năm 2017 quy định về quản lý, vận hành, kết nối, sử dụng và bảo đảm An toàn thông tin trên mạng truyền số liệu chuyên dùng của các cơ quan Đảng, Nhà nước; số 12/2019/TT-BTTTT ngày 05 tháng 11 năm 2019 về sửa đổi, bổ sung một số điều của Thông tư số 27/2017/TT-BTTTT ngày 20 tháng 10 năm 2017 của Bộ trưởng Bộ Thông tin và Truyền thông quy định về quản lý, vận hành, kết nối, sử dụng và bảo đảm An toàn thông tin trên mạng truyền số liệu chuyên dùng của các cơ quan Đảng, Nhà nước; số 12/2022/TT-BTTTT ngày 12 tháng 8 năm 2022 quy định chi tiết và hướng dẫn một số điều của Nghị định số 85/2016/NĐ-CP ngày 01 tháng 7 năm 2016 của Chính phủ về bảo đảm an toàn hệ thống thông tin theo cấp độ;
Căn cứ Thông báo kết luận số 117/TB-UBND ngày 20 tháng 8 năm 2024 của Chủ tịch UBND tỉnh thông báo kết luận phiên họp UBND tỉnh thường kỳ tháng 8 năm 2024;
Theo đề nghị của Sở Thông tin và Truyền thông tại Tờ trình số 29/TTr-STTTT ngày 08 tháng 8 năm 2024.
QUYẾT ĐỊNH:
Điều 2. Quyết định này có hiệu lực kể từ ngày 18 tháng 9 năm 2024.
Quyết định này thay thế Quyết định số 21/2019/QĐ-UBND ngày 22 tháng 10 năm 2019 của UBND tỉnh về việc ban hành Quy chế bảo đảm an toàn thông tin mạng trong hoạt động ứng dụng công nghệ thông tin của cơ quan nhà nước trên địa bàn tỉnh Bắc Ninh.
| TM. ỦY BAN NHÂN DÂN |
BẢO ĐẢM AN TOÀN THÔNG TIN MẠNG TRONG HOẠT ĐỘNG ỨNG DỤNG CÔNG NGHỆ THÔNG TIN CỦA CÁC CƠ QUAN NHÀ NƯỚC TRÊN ĐỊA BÀN TỈNH BẮC NINH
(Ban hành kèm theo Quyết định số: 22/2024/QĐ-UBND ngày 05/9/2024 của UBND tỉnh Bắc Ninh)
Điều 1. Phạm vi điều chỉnh và đối tượng áp dụng
1. Phạm vi điều chỉnh
Quy chế này quy định các chính sách quản lý và các biện pháp nhằm bảo đảm an toàn thông tin của các cơ quan nhà nước trên địa bàn tỉnh Bắc Ninh.
2. Đối tượng áp dụng
Quy chế này áp dụng đối với các sở, ban, ngành, đơn vị thuộc UBND tỉnh; UBND các huyện, thị xã, thành phố; UBND các xã, phường, thị trấn; các đơn vị sự nghiệp sử dụng ngân sách nhà nước; các cơ quan Trung ương trên địa bàn tỉnh, các tổ chức chính trị - xã hội được ngân sách nhà nước bảo đảm kinh phí hoạt động có sử dụng các hệ thống thông tin do UBND tỉnh triển khai và các tổ chức, cá nhân liên quan đến hoạt động ứng dụng công nghệ thông tin (sau đây gọi tắt là CNTT) của các cơ quan nhà nước tỉnh Bắc Ninh (sau đây gọi tắt là cơ quan, đơn vị); cán bộ, công chức, viên chức, người lao động, đang làm việc tại các cơ quan, đơn vị nêu trên.
Theo các văn bản pháp luật hiện hành, các từ ngữ dưới đây được hiểu như sau:
1. Bảo đảm an toàn thông tin mạng là việc bảo vệ thông tin, hệ thống thông tin trên mạng tránh bị truy nhập, sử dụng, tiết lộ, gián đoạn, sửa đổi hoặc phá hoại trái phép nhằm bảo đảm tính nguyên vẹn, tính bảo mật và tính khả dụng của thông tin.
2. Hệ thống thông tin là tập hợp phần cứng, phần mềm và cơ sở dữ liệu được thiết lập phục vụ mục đích tạo lập, cung cấp, truyền đưa, thu thập, xử lý, lưu trữ và trao đổi thông tin trên mạng.
3. Chính sách an toàn thông tin là các quy tắc, quy trình cho tất cả các tổ chức, cá nhân truy cập và sử dụng tài nguyên trong hệ thống thông tin của tổ chức nhằm bảo đảm tính an toàn cho hệ thống thông tin và chống lại các hoạt động tấn công của tội phạm.
4. Chủ quản hệ thống thông tin là cơ quan, tổ chức, cá nhân có thẩm quyền quản lý trực tiếp đối với hệ thống thông tin.
5. Sự cố an toàn thông tin mạng là việc thông tin, hệ thống thông tin bị gây nguy hại, ảnh hưởng tới tính nguyên vẹn, tính bảo mật hoặc tính khả dụng.
6. Ứng cứu các sự cố an toàn thông tin mạng là hoạt động nhằm xử lý, khắc phục sự cố gây mất an toàn thông tin mạng gồm: theo dõi, thu thập, phân tích, phát hiện, cảnh báo, kiểm tra, xác minh sự cố, ngăn chặn sự cố, khôi phục dữ liệu và khôi phục hoạt động bình thường của hệ thống thông tin.
7. Lỗ hổng bảo mật (Security vulnerability) là điểm yếu về an toàn thông tin (sau đây gọi tắt là ATTT) trên phần mềm hoặc phần cứng, bị tin tặc khai thác để truy cập trái phép vào hệ thống thông tin.
8. Phần mềm độc hại (virus) là phần mềm có khả năng gây ra hoạt động không bình thường cho một phần hay toàn bộ hệ thống thông tin hoặc thực hiện sao chép, sửa đổi, xóa bỏ trái phép thông tin lưu trữ trong hệ thống thông tin.
9. Phần mềm diệt virus là phần mềm có tính năng phát hiện, loại bỏ các virus máy tính, khắc phục (một phần hoặc hoàn toàn) hậu quả của virus gây ra và có khả năng được nâng cấp để nhận biết các loại virus mới.
10. Mạng riêng ảo (Virtual Private Network - VPN) là dịch vụ mạng dùng riêng để kết nối máy tính của các cơ quan, đơn vị hoặc máy tính cá nhân truy cập vào mạng nội bộ để bảo đảm an toàn an ninh thông tin trên đường truyền.
11. Tường lửa (Firewall) là hệ thống an ninh mạng, có thể là phần cứng hoặc phần mềm, sử dụng các quy tắc để kiểm soát lưu lượng truy cập (traffic) vào, ra hệ thống.
12. Hệ thống phát hiện xâm nhập (Intrusion Detection System - IDS) là phần mềm ứng dụng hoặc thiết bị được xây dựng để giám sát lưu lượng mạng, đồng thời cảnh báo mỗi khi có các hành vi bất thường xâm nhập vào hệ thống.
13. Hệ thống ngăn ngừa xâm nhập (Intrusion Prevention System - IPS) là hệ thống phát hiện xâm nhập ngoài khả năng theo dõi, giám sát thì còn có chức năng ngăn chặn kịp thời các hoạt động xâm nhập không mong muốn đối với hệ thống thông tin.
14. Dịch vụ an toàn thông tin mạng là dịch vụ bảo vệ thông tin, hệ thống thông tin.
15. Vùng mạng nội bộ (Local Area Network - LAN) là vùng mạng đặt các thiết bị mạng, máy trạm và máy chủ dùng trong khu vực giới hạn nhất định, tốc độ truyền tải cao.
16. Vùng mạng biên được thiết kế để kết nối hệ thống thông tin ra các mạng bên ngoài và mạng Internet; bảo vệ hệ thống thông tin từ bên ngoài Internet.
17. Vùng mạng DMZ (Demilitarized Zone - DMZ) là vùng mạng trung lập giữa mạng nội bộ và mạng Internet, là nơi chứa các thông tin cho phép người dùng từ Internet truy xuất vào và chấp nhận các rủi ro tấn công từ Internet. Các dịch vụ thường được triển khai trong vùng DMZ là: máy chủ Web, máy chủ Mail, máy chủ DNS, máy chủ FTP, …
18. Vùng máy chủ nội bộ đặt các máy chủ nội bộ, cung cấp các dịch vụ nội bộ cho người sử dụng trong hệ thống.
19. Mật khẩu mạnh là mật khẩu bao gồm chữ hoa, chữ thường, số, ký tự đặc biệt (!,@,#,$,...) có độ dài 8 ký tự trở lên.
Điều 3. Mục tiêu, nguyên tắc bảo đảm an toàn thông tin
1. Bảo đảm an toàn thông tin mạng là yêu cầu bắt buộc, thường xuyên, liên tục, có tính xuyên suốt quá trình liên quan đến thông tin và thiết kế, xây dựng, vận hành, nâng cấp, hủy bỏ hệ thống thông tin. Bảo đảm an toàn, tuân thủ các nguyên tắc chung quy định tại Điều 4 Luật An toàn thông tin mạng và Điều 4 Nghị định số 85/2016/NĐ-CP ngày 01/7/2016 của Chính phủ về bảo đảm an toàn hệ thống thông tin theo cấp độ.
2. Cơ quan, tổ chức, cá nhân có trách nhiệm bảo đảm ATTT mạng. Hoạt động ATTT mạng của cơ quan, tổ chức, cá nhân phải đúng các quy định của pháp luật liên quan.
3. Công tác bảo đảm ATTT mạng phải được thực hiện trên cơ sở có sự phối hợp chặt chẽ giữa các cơ quan, đơn vị và cá nhân.
4. Xử lý sự cố ATTT phải phù hợp với trách nhiệm, quyền hạn và bảo đảm lợi ích hợp pháp của cơ quan, đơn vị và theo quy định của pháp luật.
5. Phải có phương án tổ chức sao lưu dữ liệu dự phòng cho mọi dữ liệu quan trọng của tỉnh, của cơ quan, đơn vị mình. Lãnh đạo cơ quan, đơn vị phải chịu trách nhiệm nếu để xảy ra mất mát dữ liệu do không tiến hành sao lưu dự phòng.
6. Các thiết bị viễn thông, máy tính trong cơ quan nhà nước khi kết nối đến mạng truyền số liệu chuyên dùng của tỉnh phải tuân thủ theo Điều 8, Quyết định số 08/2023/QĐ-TTg ngày 05/4/2023 của Thủ tướng Chính phủ về việc ban hành Quyết định về Mạng truyền số liệu chuyên dùng phục vụ các cơ quan Đảng, Nhà nước.
Điều 4. Những hành vi nghiêm cấm
1. Các hành vi bị nghiêm cấm quy định tại Điều 7 Luật An toàn thông tin mạng.
2. Tự ý đấu nối thiết bị mạng, thiết bị cấp phát địa chỉ mạng, thiết bị phát sóng như điểm truy cập mạng không dây của cá nhân vào mạng nội bộ; trên cùng một thiết bị thực hiện đồng thời truy cập vào mạng nội bộ và truy cập Internet bằng thiết bị kết nối Internet của cá nhân (modem quay số, USB 3G/4G, điện thoại di động, máy tính bảng, máy tính xách tay).
3. Tự ý thay đổi, gỡ bỏ biện pháp an toàn thông tin cài đặt trên thiết bị công nghệ thông tin phục vụ công việc; tự ý thay thế, lắp mới, tráo đổi thành phần của máy tính phục vụ công việc.
4. Tạo ra, cài đặt, phát tán phần mềm độc hại.
5. Cản trở hoạt động cung cấp dịch vụ của hệ thống thông tin; ngăn chặn việc truy nhập đến thông tin của cơ quan, cá nhân khác trên môi trường mạng, trừ trường hợp pháp luật cho phép.
6. Bẻ khóa, trộm cắp, sử dụng mật khẩu, khóa mật mã và thông tin của cơ quan, cá nhân khác trên môi trường mạng.
7. Các hành vi khác làm mất an toàn, bí mật thông tin của cơ quan, cá nhân khác được trao đổi, truyền đưa, lưu trữ trên môi trường mạng.
Điều 5. Phối hợp với những cơ quan/tổ chức có thẩm quyền
1. Đầu mối liên hệ, phối hợp với các cơ quan, tổ chức có thẩm quyền quản lý về an toàn thông tin:
a) UBND tỉnh giao Sở Thông tin và Truyền thông là đầu mối liên hệ, phối hợp với các cơ quan, tổ chức có thẩm quyền quản lý về an toàn thông tin phục vụ việc bảo đảm an toàn thông tin mạng cho các hệ thống thông tin do UBND tỉnh làm chủ quản.
b) Sở Thông tin và Truyền thông làm đầu mối, tổ chức thực hiện việc tiếp nhận và xử lý các sự cố về an toàn thông tin mạng theo Quyết định số 2164/QĐ-UBND ngày 08/11/2023 của Chủ tịch UBND tỉnh Bắc Ninh về việc ban hành Quy chế hoạt động của Đội Ứng cứu sự cố an toàn thông tin mạng trên địa bàn tỉnh Bắc Ninh.
2. Tham gia các hoạt động, công tác bảo đảm an toàn thông tin khi có yêu cầu của các cơ quan, tổ chức có thẩm quyền.
Điều 6. Bảo đảm nguồn nhân lực
1. Tuyển dụng
a) Cán bộ được tuyển dụng vào vị trí làm về an toàn thông tin có trình độ, chuyên ngành về lĩnh vực công nghệ thông tin, an toàn thông tin, phù hợp với vị trí tuyển dụng.
b) Quy trình tuyển dụng cán bộ, điều kiện tuyển dụng cán bộ và các quy trình đánh giá, kiểm tra trình độ chuyên môn tuân theo các quy định liên quan.
2. Trong quá trình làm việc
a) Đối với người dùng cuối:
- Có trách nhiệm tuân thủ các quy định, hướng dẫn bảo đảm ATTT và các quy định của pháp luật, bảo đảm ATTT đối với từng vị trí công việc;
- Thông báo ngay cho đơn vị chủ quản hệ thống thông tin khi nghi ngờ hoặc phát hiện sự cố, hiện tượng bất thường của hệ thống thông tin;
- Tham gia đầy đủ các lớp tập huấn, đào tạo và tự cập nhật kiến thức về an toàn thông tin mạng;
- Chịu trách nhiệm quản lý, sử dụng trang thiết bị CNTT được giao, bảo đảm ATTT; không được giao cho các tổ chức, cá nhân khác sử dụng trang thiết bị CNTT đã được giao sử dụng; không được sử dụng trang thiết bị CNTT cá nhân để kết nối, truy cập vào các hệ thống thông tin nội bộ nếu chưa được phép của đơn vị chủ quản; không tự thay thế, lắp mới, tráo đổi thành phần của máy tính công vụ; không mang tài sản CNTT của đơn vị ra ngoài nếu chưa được phép của thủ trưởng đơn vị; có trách nhiệm bàn giao cho đơn vị quản lý các trang thiết bị CNTT khi chuyển công tác, thay đổi vị trí việc làm hoặc nghỉ việc.
b) Định kỳ hàng năm tổ chức phổ biến, tuyên truyền nâng cao nhận thức về an toàn thông tin cho người sử dụng.
c) Định kỳ hàng năm tổ chức đào tạo hoặc cử đi đào tạo về an toàn thông tin hàng năm cho 03 nhóm đối tượng bao gồm: cán bộ kỹ thuật, cán bộ quản lý và người sử dụng trong hệ thống.
Các đơn vị liên quan có trách nhiệm phối hợp với Sở Thông tin và Truyền thông xây dựng, triển khai kế hoạch đào tạo, bồi dưỡng, tập huấn về công tác bảo đảm ATTT, an ninh mạng cho đội ngũ công chức, viên chức của cơ quan, đơn vị.
3. Chấm dứt thay đổi công việc
a) Công chức, viên chức, người lao động nghỉ việc hoặc thay đổi công việc phải tuân thủ:
- Phải bàn giao lại công việc, tài khoản truy cập hệ thống thông tin, tài sản CNTT của cơ quan, đơn vị; phải có cam kết giữ bí mật thông tin liên quan đến tổ chức sau khi nghỉ việc;
- Quản trị viên hệ thống phải vô hiệu hóa tất cả các quyền ra, vào, truy cập tài nguyên, quản trị hệ thống sau khi công chức, viên chức, người lao động thôi việc.
b) Quy trình thực hiện vô hiệu hóa tất cả các quyền ra, vào, truy cập tài nguyên, quản trị hệ thống sau khi công chức, viên chức, người lao động thôi việc:
- Thu hồi tài khoản truy cập, các trang thiết bị máy móc, phần cứng và các tài sản khác thuộc sở hữu của đơn vị quản lý;
- Vô hiệu hóa các thông tin của công chức, viên chức, người lao động thôi việc được lưu trên các phương tiện lưu trữ, phần mềm;
- Vô hiệu hóa tất cả các quyền truy cập của công chức, viên chức, người lao động thôi việc vào tài nguyên, hệ thống phần mềm của đơn vị quản lý;
- Kiểm tra lại các quyền ra vào, truy cập tài nguyên, quản trị hệ thống đã cấp cho công chức, viên chức, người lao động thôi việc để bảo đảm đã hoàn toàn được gỡ bỏ khỏi hệ thống.
c) Cán bộ, công chức, viên chức nghỉ việc hoặc thay đổi công việc phải có cam kết giữ bí mật thông tin liên quan đến tổ chức sau khi nghỉ việc. Các thông tin bắt buộc cần giữ bí mật, tối thiểu bao gồm:
- Không tiết lộ thông tin được tiếp xúc trong quá trình công tác tại đơn vị cho các cá nhân, tổ chức gây ảnh hưởng bất lợi đến lợi ích của đơn vị;
- Không sử dụng các thông tin được tiếp xúc trong quá trình công tác tại đơn vị vào mục đích trục lợi cá nhân.
BẢO ĐẢM AN TOÀN THÔNG TIN TRONG QUẢN LÝ THIẾT KẾ, XÂY DỰNG HỆ THỐNG
Điều 7. Thiết kế an toàn hệ thống thông tin trong hồ sơ thiết kế
1. Khi thiết kế, xây dựng hệ thống thông tin phải mô tả quy mô, phạm vi và đối tượng sử dụng, khai thác, quản lý vận hành hệ thống thông tin:
a) Tài liệu phân tích lựa chọn kiến trúc, công nghệ.
b) Tài liệu thiết kế tổng thể hệ thống thể hiện thiết kế hạ tầng và kết nối các thành phần của hệ thống.
c) Các vùng mạng trong hệ thống: Vùng mạng nội bộ; vùng mạng biên; vùng mạng DMZ; vùng máy chủ nội bộ; vùng mạng không dây (nếu có) tách riêng, độc lập với các vùng mạng khác; vùng mạng máy chủ cơ sở dữ liệu; vùng quản trị; vùng quản trị thiết bị hệ thống.
d) Các giải pháp, thiết bị của hệ thống thông tin đáp ứng các quy định của Thông tư số 12/2022/TT-BTTTT ngày 12 tháng 8 năm 2022 của Bộ Thông tin và Truyền thông quy định chi tiết và hướng dẫn một số điều của Nghị định số 85/2016/NĐ-CP ngày 01 tháng 7 năm 2016 của Chính phủ về bảo đảm an toàn hệ thống thông tin theo cấp độ (Thông tư số 12/2022/TT-BTTTT).
2. Khi thiết kế, xây dựng hệ thống thông tin phải mô tả “Kiến trúc hệ thống” trong đó có mô tả thiết kế và các thành phần của hệ thống thông tin thông qua một số mô hình kiến trúc khác nhau nhằm mô tả hệ thống dưới nhiều góc nhìn khác nhau, bao gồm:
a) Thiết kế kiến trúc ứng dụng.
b) Thiết kế kiến trúc dữ liệu.
c) Thiết kế kiến trúc vật lý.
3. Khi thiết kế, xây dựng hệ thống thông tin phải mô tả phương án bảo đảm an toàn thông tin theo từng cấp độ tương ứng với hồ sơ đề xuất cấp độ được quy định tại Thông tư số 12/2022/TT-BTTTT.
4. Khi thiết kế, xây dựng hệ thống thông tin phải mô tả phương án lựa chọn giải pháp công nghệ bảo đảm an toàn thông tin, trong đó cần bảo đảm các tiêu chí:
a) Bảo đảm có từ 2 - 3 công nghệ được phân tích và đưa ra phương án lựa chọn.
b) Phân tích các ưu, nhược điểm của từng công nghệ để từ đó chọn ra công nghệ áp dụng phù hợp nhất.
5. Khi có thay đổi thiết kế, cần đánh giá lại tính phù hợp của phương án thiết kế đối với các yêu cầu an toàn đặt ra đối với hệ thống
Khi có thay đổi thiết kế, đơn vị được giao chủ trì cần phối hợp với các đơn vị liên quan đánh giá lại tính phù hợp của phương án thiết kế đối với các yêu cầu an toàn thông tin mạng đặt ra đối với hệ thống, xây dựng lại hồ sơ đề xuất cấp độ cho hệ thống và trình cấp có thẩm quyền thẩm định, phê duyệt theo quy định
6. Phương án quản lý và bảo vệ hồ sơ thiết kế
a) Hồ sơ thiết kế không được tùy tiện cung cấp cho cá nhân, đơn vị khác không có đủ thẩm quyền.
b) Hồ sơ thiết kế được bảo quản, lưu trữ theo quy định.
Điều 8. Phát triển phần mềm thuê khoán
1. Đối với các nội dung liên quan đến việc phát triển phần mềm thuê khoán, nhà phát triển phải bảo đảm có các cam kết bảo đảm ATTT
2. Nhà phát triển phải cung cấp mã nguồn sản phẩm cho đơn vị thuê theo hình thức ghi đĩa DVD hoặc USB; yêu cầu DVD, USB cần phải đặt mật khẩu để bảo đảm ATTT; Mã nguồn đã được nhà phát kiểm thử nội bộ trước khi bàn giao.
3. Kiểm thử phần mềm trên môi trường thử nghiệm và nghiệm thu trước khi đưa vào sử dụng:
Phần mềm phải được kiểm thử tại ít nhất một đơn vị thụ hưởng trước khi nghiệm thu, bàn giao đưa vào khai thác, sử dụng.
4. Cam kết bảo đảm tính bí mật của mã nguồn và bản quyền của phần mềm phát triển
a) Bên phát triển phải có cam kết về bảo đảm tính bí mật của mã nguồn, không cung cấp cho bên thứ 3.
b) Các cá nhân tham gia phát triển, triển khai hệ thống thông tin phái ký biên bản cam kết bảo mật ATTT.
Điều 9. Thử nghiệm và nghiệm thu hệ thống
Hoạt động thử nghiệm và nghiệm thu hệ thống thực hiện theo hướng dẫn tại Thông tư số 24/2020/TT-BTTTT ngày 09/9/2020 của Bộ trưởng Bộ Thông tin và Truyền thông về việc ban hành Thông tư quy định về công tác triển khai, giám sát công tác triển khai và nghiệm thu dự án đầu tư ứng dụng công nghệ thông tin sử dụng nguồn vốn ngân sách nhà nước.
BẢO ĐẢM AN TOÀN THÔNG TIN TRONG QUẢN LÝ VẬN HÀNH HỆ THỐNG
1. Quản lý, vận hành hoạt động bình thường của hệ thống:
a) Bảo đảm cho hệ điều hành, phần mềm cài đặt trên máy chủ hoạt động liên tục, ổn định và an toàn.
b) Thường xuyên kiểm tra cấu hình, các file nhật ký hoạt động của hệ điều hành, phần mềm nhằm kịp thời phát hiện và xử lý những sự cố nếu có.
c) Quản lý các thay đổi cấu hình kỹ thuật của hệ điều hành, phần mềm.
d) Thường xuyên cập nhật các bản vá lỗi hệ điều hành, phần mềm từ nhà cung cấp.
đ) Loại bỏ các thành phần của hệ điều hành, phần mềm không cần thiết hoặc không còn nhu cầu sử dụng.
e) Các bản quyền phần mềm cần được thống kê, quản lý thời gian phục vụ cho việc gia hạn.
g) Triển khai hệ thống phát hiện phòng chống xâm nhập giữa các vùng mạng quan trọng.
h) Sử dụng thêm các phương pháp xác thực đa nhân tố đối với các thiết bị mạng quan trọng.
i) Triển khai phương án cảnh báo thời gian thực trực tiếp đến người quản trị hệ thống thông qua hệ thống giám sát khi phát hiện sự cố trên các thiết bị mạng.
k) Duy trì ít nhất 02 kết nối mạng Internet từ các ISP sử dụng hạ tầng kết nối trong nước khác nhau (nếu hệ thống buộc phải có kết nối mạng Internet).
2. Cập nhật, sao lưu dự phòng và khôi phục sau khi xảy ra sự cố:
a) Triển khai hệ thống/phương tiện lưu trữ độc lập với hệ thống lưu trữ trên các máy chủ dịch vụ để sao lưu dự phòng; phân loại và quản lý thông tin, dữ liệu được lưu trữ theo từng loại/nhóm thông tin được gán nhãn khác nhau; thực hiện sao lưu, dự phòng các thông tin, dữ liệu cơ bản sau: tập tin cấu hình hệ thống, ảnh hệ điều hành máy chủ, cơ sở dữ liệu; dữ liệu, thông tin nghiệp vụ.
b) Triển khai phương án dự phòng nóng cho các thiết bị mạng chính bảo đảm khả năng vận hành liên tục của hệ thống; năng lực của thiết bị dự phòng phải đáp ứng theo quy mô hoạt động của hệ thống.
c) Triển khai hệ thống/phương tiện lưu trữ nhật ký độc lập và phù hợp với hoạt động của các thiết bị mạng. Dữ liệu nhật ký phải được lưu tối thiểu 06 tháng.
d) Triển khai hệ thống/phương tiện chống thất thoát dữ liệu trong hệ thống.
3. Truy cập và quản lý cấu hình hệ thống:
a) Cán bộ quản lý, nhân viên vận hành truy cập, khai thác thông tin tại hệ thống theo trách nhiệm và phân quyền được quy định; việc khai thác thông tin phải bảo đảm nguyên tắc bảo mật, không được tự ý cung cấp thông tin ra bên ngoài.
b) Cán bộ quản lý, nhân viên vận hành có trách nhiệm theo dõi và phát hiện các trường hợp truy cập hệ thống trái phép hoặc thao tác vượt quá giới hạn, báo cáo cho cán bộ quản lý để tiến hành ngăn chặn, thu hồi, khóa quyền truy cập của các tài khoản vi phạm.
c) Quy trình kết nối thiết bị đầu cuối của người sử dụng vào hệ thống mạng; truy nhập và quản lý cấu hình hệ thống; cấu hình tối ưu, tăng cường bảo mật cho thiết bị mạng, bảo mật (cứng hóa) trong hệ thống và thực hiện quy trình trước khi đưa hệ thống vào vận hành khai thác.
Điều 11. Quản lý an toàn máy chủ và ứng dụng
1. Quy định với máy chủ
a) Hệ thống máy chủ phải có tính năng sẵn sàng cao, cơ chế dự phòng linh hoạt để bảo đảm hoạt động liên tục.
b) Có biện pháp bảo vệ, dự phòng, phòng chống các nguy cơ do mất cắp, cháy nổ, ngập lụt, động đất và các thảm họa khác do thiên nhiên hoặc con người gây ra và các phương án khôi phục sau thảm họa cho hệ thống máy chủ.
c) Máy chủ phải được thiết lập chính sách xác thực; kiểm soát truy cập; kết nối về hệ thống giám sát tập trung; thực hiện biện pháp phòng chống xâm nhập; phòng chống phần mềm độc hại và xử lý dữ liệu trên máy chủ khi chuyển giao.
d) Máy chủ phải được nâng cấp, xử lý điểm yếu ATTT trên máy chủ trước khi đưa vào sử dụng.
đ) Việc kết nối, gỡ bỏ máy chủ khỏi hệ thống phải được sự cho phép của thủ trưởng đơn vị và thực hiện theo quy trình đã được phê duyệt.
e) Phần mềm hệ điều hành cài lên máy chủ ưu tiên là phần mềm hệ điều hành có bản quyền hoặc phần mềm mã nguồn mở được sử dụng rộng rãi trong nước và quốc tế.
g) Người quản trị chỉ được cấp quyền truy cập vào các máy chủ có thẩm quyền. Để được cấp tài khoản quản trị phải gửi công văn xin cấp bao gồm các thông tin tối thiểu: Tên, căn cước công dân, số điện thoại, phòng ban đơn vị công tác, mục đích, phạm vi máy chủ cần truy cập... và được phê duyệt bởi đơn vị quản lý hệ thống thông tin.
h) Ghi nhật ký, quy định thời gian về hoạt động tác động vào các máy chủ, người sử dụng, lỗi phát sinh và các sự cố nhằm trợ giúp cho việc điều tra giám sát về sau.
2. Quy định với ứng dụng
a) Các yêu cầu, thiết kế về an toàn bảo mật của phần mềm ứng dụng cần được xác định rõ trong tài liệu phân tích, thiết kế. Trong quá trình triển khai, vận hành các phần mềm ứng dụng cần bảo đảm nghiêm ngặt theo các yêu cầu, thiết kế về an toàn bảo mật.
b) Ứng dụng phải được thiết lập chính sách xác thực; kiểm soát truy cập; kết nối về hệ thống giám sát tập trung; có phương án bảo mật thông tin liên lạc, chống chối bỏ và biện pháp bảo đảm an toàn ứng dụng và mã nguồn.
c) Có phương án xác định và khắc phục rủi ro trước, trong quá trình triển khai và khi vận hành các phần mềm ứng dụng.
d) Ứng dụng phải kiểm tra, thử nghiệm và có biên bản đánh giá tính an toàn, bảo mật đối với phần mềm ứng dụng theo yêu cầu khi nghiệm thu các phần mềm này. Việc tiến hành thử nghiệm phải bảo đảm trên môi trường riêng biệt, không ảnh hưởng tới hoạt động và dữ liệu của đơn vị.
đ) Quản lý và phân quyền truy cập phần mềm ứng dụng và cơ sở dữ liệu phù hợp với chức năng, nhiệm vụ của người sử dụng. Quyền truy cập phải được phân ra theo từng cấp độ tương ứng với từng nhiệm vụ của nhân viên và phải được phê duyệt từ cấp trên.
3. Quy định với ứng dụng thư điện tử
a) Không sử dụng các hộp thư điện tử công cộng trong công việc; không sử dụng thư điện tử công vụ vào mục đích cá nhân.
b) Mỗi cá nhân cần đặt mật khẩu đủ mạnh cho hộp thư điện tử của mình.
c) Khi công chức, viên chức, người lao động nghỉ việc thì hộp thư điện tử sẽ bị khóa và xóa bỏ khỏi hệ thống thư điện tử.
d) Đơn vị quản lý hệ thống thư điện tử cần xây dựng phương án bảo đảm an toàn và tính khả dụng truy cập cho hệ thống thư điện tử trong nội bộ và trên Internet, phương án chống thư rác cho thư điện tử.
đ) Bảo đảm an toàn cho hệ thống thư điện tử: Thực hiện theo hướng dẫn tại công văn số 430/BTTTT-CATTT ngày 09 tháng 2 năm 2015 của Bộ Thông tin và Truyền thông về việc hướng dẫn bảo đảm an toàn thông tin cho hệ thống thư điện tử của cơ quan, tổ chức nhà nước.
4. Quy định đối với Cổng, trang thông tin điện tử
a) Quản lý toàn bộ các phiên bản của mã nguồn, tổ chức mô hình Cổng, trang thông tin điện tử hợp lý, tránh khả năng tấn công leo thang đặc quyền. Yêu cầu hệ thống thông tin của Cổng, trang thông tin điện tử phải có các hệ thống phòng vệ như tường lửa, thiết bị phát hiện, phòng chống xâm nhập (IDS/IPS), tường lửa web (WAP- Web Application Firewall).
b) Cổng, trang thông tin điện tử khi đưa vào sử dụng hoặc khi bổ sung thêm các chức năng mới cần đánh giá kiểm định nhằm tránh được các lỗi bảo mật thường xảy ra trên ứng dụng web như: SQL Injection, Cross-Site Scripting (xss),...
c) Xây dựng phương án sao lưu, phục hồi Cổng, trang thông tin điện tử, trong đó chú ý mỗi tháng thực hiện việc sao lưu dữ liệu toàn bộ nội dung Cổng, trang thông tin điện tử một lần bao gồm mã nguồn, cơ sở dữ liệu, dữ liệu phi cấu trúc,... để bảo đảm khi có sự cố có thể khắc phục lại ngay trong vòng 24 giờ.
d) Bảo đảm an toàn cho Cổng, trang thông tin điện tử: Thực hiện theo hướng dẫn tại công văn số 2132/BTTTT-VNCERT ngày 18 tháng 7 năm 2011 của Bộ Thông tin và Truyền thông về việc hướng dẫn bảo đảm an toàn thông tin cho các Cổng, trang thông tin điện tử.
Điều 12. Quản lý an toàn dữ liệu
1. Thực hiện quản lý, lưu trữ dữ liệu quan trọng trong hệ thống cùng với mã kiểm tra tính nguyên vẹn.
2. Có cơ chế sao lưu dữ liệu dự phòng, lưu trữ dữ liệu tại nơi an toàn đồng thời thường xuyên kiểm tra để bảo đảm sẵn sàng phục hồi nhằm ngăn ngừa và hạn chế khi sự cố ATTT mạng xảy ra.
3. Tiến hành cập nhật đồng bộ thông tin, dữ liệu giữa hệ thống sao lưu dự phòng chính và hệ thống phụ được thực hiện theo yêu cầu của đơn vị vận hành hệ thống.
4. Sử dụng mật mã để bảo đảm an toàn và bảo mật dữ liệu trong lưu trữ.
5. Quản lý chặt chẽ các thiết bị lưu trữ dữ liệu, nghiêm cấm việc di chuyển, thay đổi vị trí khi chưa được phép của người có thẩm quyền.
6. Quản lý và phân quyền truy cập phần mềm ứng dụng và cơ sở dữ liệu phù hợp với chức năng, nhiệm vụ của người sử dụng. Quyền truy cập phải được phân ra theo từng cấp độ tương ứng với từng nhiệm vụ của nhân viên và phải được phê duyệt từ cấp trên.
7. Định kỳ hoặc khi có thay đổi cấu hình trên hệ thống thực hiện quy trình sao lưu dự phòng: tập tin cấu hình hệ thống, bản dự phòng hệ điều hành máy chủ, cơ sở dữ liệu; dữ liệu, thông tin nghiệp vụ.
8. Lưu trữ có mã hóa các thông tin, dữ liệu (không phải là thông tin, dữ liệu công khai) trên hệ thống lưu trữ, phương tiện lưu trữ.
Điều 13. Quản lý an toàn thiết bị đầu cuối
Các thiết bị đầu cuối khi kết nối vào hệ thống phải được quản lý như sau:
1. Thông tin về thiết bị đầu cuối (tên, chủng loại, địa chỉ MAC, địa chỉ IP) phải được quản lý và cập nhật.
2. Các thiết bị đầu cuối phải được quản lý khi kết nối vào hệ thống mạng theo địa chỉ MAC, IP.
3. Khi truy cập và sử dụng thiết bị đầu cuối từ xa phải có cơ chế xác thực và sử dụng giao thức mạng an toàn.
4. Việc cài đặt, kết nối và gỡ bỏ thiết bị đầu cuối trong hệ thống phải được cho phép bởi người có thẩm quyền và thực hiện theo quy trình được phê duyệt.
5. Cấu hình tối ưu và tăng cường bảo mật cho máy tính người sử dụng và thực hiện quy trình trước khi đưa vào hệ thống sử dụng:
a) Máy tính người dùng trước khi đưa vào sử dụng phải được đánh giá, rà soát các điểm yếu ATTT, bảo đảm sử dụng hệ điều hành có bản quyền, còn trong hạn được hỗ trợ cập nhật của hãng phát hành. Trong trường hợp có thông báo hết hỗ trợ cập nhật bản vá từ hãng, phải có kế hoạch nâng cấp, thay thế. Cập nhật bản vá hệ điều hành đầy đủ tại thời điểm đưa vào sử dụng và trong quá trình sử dụng.
b) Gỡ bỏ các phần mềm không cần thiết, cài đặt chương trình diệt virus. Không cấp tài khoản quản trị máy tính cho người dùng, không để người dùng tự ý cài đặt các phần mềm độc hại trên máy tính.
6. Kiểm tra, đánh giá, xử lý điểm yếu ATTT cho thiết bị đầu cuối trước khi đưa vào sử dụng.
Điều 14. Quản lý phòng chống phần mềm độc hại
1. Tất cả các máy trạm, máy chủ phải được trang bị phần mềm phòng chống phần mềm độc hại. Các phần mềm phòng chống phần mềm độc hại phải được thiết lập chế độ tự động cập nhật; chế độ tự động quét phần mềm độc hại khi sao chép, mở các tập tin.
2. Hệ điều hành, phần mềm cài đặt trên máy chủ, máy trạm phải được cập nhật vá lỗ hổng bảo mật thường xuyên, kịp thời.
3. Cán bộ, công chức, viên chức và người lao động không được tự ý gỡ bỏ các phần mềm phòng, chống phần mềm độc hại trên máy tính khi chưa có sự đồng ý của người có thẩm quyền trong cơ quan.
4. Tất cả các máy tính của đơn vị phải được cấu hình vô hiệu hóa tính năng tự động thực thi (autoplay) các tập tin trên các thiết bị lưu trữ di động.
5. Các máy tính xách tay, thiết bị di động (điện thoại thông minh, máy tính bảng,...) trước khi kết nối vào mạng LAN nội bộ của cơ quan, đơn vị phải bảo đảm đã được cài chương trình phòng chống phần mềm độc hại và đã được kiểm duyệt về các phần mềm độc hại.
6. Tất cả các tập tin, thư mục phải được quét phần mềm độc hại trước khi sao chép, sử dụng.
7. Máy chủ chỉ được dùng để cài đặt các phần mềm, dịch vụ dùng chung của cơ quan, đơn vị; không cài đặt phần mềm không rõ nguồn gốc, phần mềm phục vụ mục đích cá nhân và mục đích khác, không phục vụ công việc.
8. Khi phát hiện ra bất kỳ dấu hiệu nào liên quan đến việc bị nhiễm phần mềm độc hại trên máy trạm như: máy hoạt động chậm bất thường, cảnh báo từ phần mềm phòng chống phần mềm độc hại, tình trạng này lặp đi lặp lại nhiều lần, ở các vị trí khác nhau; quan trọng nhất là có dấu hiệu mất dữ liệu..., người sử dụng phải tắt máy, ngắt kết nối từ máy tính đến mạng LAN nội bộ, mạng WAN nội tỉnh, mạng Internet,... và báo trực tiếp cho bộ phận có trách nhiệm của đơn vị để xử lý.
Điều 15. Quản lý giám sát an toàn hệ thống thông tin
Công tác triển khai: Hệ thống giám sát trung tâm; thông tin giám sát và danh mục các đối tượng giám sát; thực thi nhiệm vụ giám sát; nâng cao năng lực hoạt động giám sát; trách nhiệm giám sát an toàn thông tin của các Hệ thống thông tin của tỉnh được thực hiện theo Thông tư số 31/2017/TT-BTTTT ngày 15/11/2017 của Bộ Thông tin và Truyền thông quy định hoạt động giám sát an toàn hệ thống thông tin.
Điều 16. Quản lý điểm yếu an toàn thông tin
1. Đơn vị vận hành hệ thống thông tin có trách nhiệm:
a) Quản lý thông tin điểm yếu ATTT đối với từng thành phần có trong hệ thống (hệ điều hành, máy chủ, ứng dụng, dịch vụ…); phân loại mức độ nguy hiểm của điểm yếu; xây dựng phương án và quy trình xử lý đối với từng mức độ nguy hiểm của điểm yếu.
b) Quản trị viên hệ thống báo cáo lãnh đạo, cán bộ quản lý ngay khi phát hiện điểm yếu ATTT ở mức độ nghiêm trọng; thực hiện cảnh báo và xử lý điểm yếu ATTT theo chỉ đạo. Việc xử lý điểm yếu ATTT phải bảo đảm không làm ảnh hưởng, gián đoạn hoạt động của hệ thống.
c) Xây dựng phương án xử lý tạm thời đối với trường hợp điểm yếu ATTT chưa được khắc phục và phương án khôi phục hệ thống trong trường hợp xử lý điểm yếu thất bại.
d) Có trách nhiệm phối hợp với các nhóm chuyên gia, bên cung cấp dịch vụ hỗ trợ trong việc xử lý, khắc phục điểm yếu ATTT đối với các điểm yếu khi cần thiết.
2. Đối với hệ thống, hệ thống thành phần được đề xuất cấp độ phải thực hiện kiểm tra, đánh giá và xử lý điểm yếu ATTT cho thiết bị hệ thống, máy chủ, dịch vụ trước khi đưa vào sử dụng.
3. Định kỳ hàng năm kiểm tra, đánh giá điểm yếu ATTT cho toàn bộ hệ thống thông tin; thực hiện quy trình kiểm tra, đánh giá, xử lý điểm yếu ATTT thông tin khi có thông tin hoặc nhận được cảnh báo.
4. Hoạt động đánh giá phát hiện mã độc, lỗ hổng, điểm yếu, thử nghiệm xâm nhập hệ thống thực hiện theo quy định tại điểm c khoản 2 Điều 20 Nghị định số 85/2016/NĐ-CP ngày 01/7/2016 của Chính phủ về bảo đảm an toàn hệ thống thông tin theo cấp độ.
Điều 17. Quản lý sự cố an toàn thông tin
Các hoạt động, quy trình, kế hoạch ứng cứu sự cố an toàn thông tin mạng cho các hệ thống thông tin của tỉnh thực hiện theo theo Quyết định số 390/QĐ-UBND ngày 11/4/2024 của Chủ tịch UBND tỉnh về việc ban hành Kế hoạch ứng phó sự cố bảo đảm an toàn thông tin mạng trên địa bàn tỉnh Bắc Ninh.
Điều 18. Quản lý an toàn người sử dụng đầu cuối
1. Quản lý truy cập, sử dụng tài nguyên nội bộ và trên Internet
a) Người sử dụng khi truy cập, sử dụng tài nguyên nội bộ phải tuân thủ các quy định của pháp luật về bảo đảm ATTT và các quy định của cơ quan, tổ chức.
b) Khi cài đặt, kết nối máy tính, thiết bị đầu cuối phải thực hiện theo hướng dẫn, quy trình dưới sự giám sát của bộ phận chuyên trách về an toàn thông tin.
2. Cài đặt và sử dụng máy tính an toàn
a) Nghiêm túc chấp hành các quy chế, quy trình nội bộ và các quy định khác của pháp luật về ATTT mạng. Chịu trách nhiệm bảo đảm ATTT mạng trong phạm vi trách nhiệm và quyền hạn được giao.
b) Có trách nhiệm tự quản lý, bảo quản thiết bị, tài khoản, ứng dụng mà mình được giao sử dụng.
c) Khi phát hiện nguy cơ hoặc sự cố mất ATTT mạng phải báo cáo ngay với cấp trên và bộ phận phụ trách công nghệ thông tin của cơ quan, đơn vị để kịp thời ngăn chặn, xử lý.
d) Tham gia các chương trình đào tạo, hội nghị về ATTT mạng được cơ quan chức năng, đơn vị chuyên môn tổ chức.
Điều 19. Quản lý rủi ro an toàn thông tin
1. Xác định mức rủi ro
Mức ảnh hưởng | Tính bảo mật (C) | Tính toàn vẹn (I) | Tính sẵn sàng (A) |
Đặc biệt nghiêm trọng (5) | Việc bị lộ thông tin trái phép làm ảnh hưởng đặc biệt nghiêm trọng đến quốc phòng, an ninh | Việc sửa đổi hoặc phá hủy trái phép thông tin làm ảnh hưởng đặc biệt nghiêm trọng đến quốc phòng, an ninh | Việc gián đoạn truy cập hoặc sử dụng thông tin/hệ thống thông tin làm ảnh hưởng đặc biệt nghiêm trọng đến quốc phòng, an ninh |
Nghiêm trọng (4) | Việc bị lộ thông tin trái phép làm tổn hại đặc biệt nghiêm trọng tới lợi ích công cộng và trật tự, an toàn xã hội hoặc làm tổn hại nghiêm trọng tới quốc phòng, an ninh quốc gia | Việc sửa đổi hoặc phá hủy trái phép thông tin làm tổn hại đặc biệt nghiêm trọng tới lợi ích công cộng và trật tự, an toàn xã hội hoặc làm tổn hại nghiêm trọng tới quốc phòng, an ninh quốc gia | Việc gián đoạn truy cập hoặc sử dụng thông tin/hệ thống thông tin làm tổn hại đặc biệt nghiêm trọng tới lợi ích công cộng và trật tự, an toàn xã hội hoặc làm tổn hại nghiêm trọng tới quốc phòng, an ninh quốc gia |
Vừa phải (3) | Việc bị lộ thông tin trái phép làm tổn hại nghiêm trọng tới sản xuất, lợi ích công cộng và trật tự, an toàn xã hội hoặc làm tổn hại tới quốc phòng, an ninh quốc gia | Việc sửa đổi hoặc phá hủy trái phép thông tin làm tổn hại nghiêm trọng tới sản xuất, lợi ích công cộng và trật tự, an toàn xã hội hoặc làm tổn hại tới quốc phòng, an ninh quốc gia | Việc gián đoạn truy cập hoặc sử dụng thông tin/hệ thống thông tin làm tổn hại nghiêm trọng tới sản xuất, lợi ích công cộng và trật tự, an toàn xã hội hoặc làm tổn hại tới quốc phòng, an ninh quốc gia |
Nhỏ (2) | Việc bị lộ thông tin trái phép làm tổn hại nghiêm trọng tới quyền và lợi ích hợp pháp của tổ chức, cá nhân hoặc làm tổn hại tới lợi ích công cộng | Việc sửa đổi hoặc phá hủy trái phép thông tin làm tổn hại nghiêm trọng tới quyền và lợi ích hợp pháp của tổ chức, cá nhân hoặc làm tổn hại tới lợi ích công cộng | Việc gián đoạn truy cập hoặc sử dụng thông tin/hệ thống thông tin làm tổn hại nghiêm trọng tới quyền và lợi ích hợp pháp của tổ chức, cá nhân hoặc làm tổn hại tới lợi ích công cộng |
Không đáng kể (1) | Việc bị lộ thông tin trái phép làm tổn hại tới quyền và lợi ích hợp pháp của tổ chức, cá nhân | Việc sửa đổi hoặc phá hủy trái phép thông tin làm tổn hại tới quyền và lợi ích hợp pháp của tổ chức, cá nhân | Việc gián đoạn truy cập hoặc sử dụng thông tin/hệ thống thông tin làm tổn hại tới quyền và lợi ích hợp pháp của tổ chức, cá nhân |
2. Quy trình đánh giá và quản lý rủi ro
(Quy trình đánh giá và quản lý rủi ro của hệ thống thông tin thực hiện theo hướng dẫn tại Phụ lục kèm theo).
Điều 20. Kết thúc vận hành, khai thác, thanh lý, hủy bỏ
1. Thực hiện hủy bỏ toàn bộ thông tin, dữ liệu trên hệ thống với sự xác nhận của đơn vị chủ quản hệ thống thông tin khi kết thúc vận hành, khai thác, thanh lý, hủy bỏ hệ thống thông tin. Trong trường hợp thông tin, dữ liệu của hệ thống thông tin lưu trữ trên tài sản vật lý, đơn vị chủ quản hệ thống thông tin thực hiện các biện pháp tiêu hủy hoặc xóa thông tin bảo đảm không có khả năng phục hồi. Với trường hợp đặc biệt không thể tiêu hủy thông tin, dữ liệu thì sử dụng biện pháp tiêu hủy cấu trúc phần lưu trữ dữ liệu trên tài sản đó.
2. Đối với các hệ thống thông tin có dữ liệu được lưu trữ trên tài sản vật lý cần phải mang đi bảo hành, bảo dưỡng, sửa chữa bên ngoài thì phải được sự phê duyệt của cấp có thẩm quyền và thực hiện các biện pháp bảo vệ dữ liệu; có cam kết bảo mật thông tin giữa bên có dữ liệu và bên cung cấp dịch vụ sửa chữa thiết bị lưu trữ dữ liệu.
3. Việc thực hiện kết thúc vận hành, khai thác, thanh lý, hủy bỏ hệ thống thông tin được thực hiện theo quy định của pháp luật hiện hành.
TỔ CHỨC BẢO ĐẢM AN TOÀN THÔNG TIN
1. Nghiêm chỉnh thi hành quy chế này và các quy định khác của pháp luật về bảo đảm ATTT mạng.
2. Khi phát hiện sự cố ảnh hưởng đến an toàn hệ thống thông tin, phải thông báo ngay với cơ quan nhà nước, nơi tổ chức, cá nhân đang thực hiện giao tiếp.
3. Các tổ chức, cá nhân tham gia vào quá trình ứng dụng CNTT trên địa bàn tỉnh, chịu sự thanh tra, kiểm tra của các cơ quan nhà nước có thẩm quyền về lĩnh vực ATTT.
Điều 22. Trách nhiệm của các cơ quan, đơn vị
1. Bảo đảm an toàn thông tin mạng theo quy định hiện hành của các cấp có thẩm quyền, quy chế này và các quy chế nội bộ khác.
2. Báo cáo định kỳ vào ngày 15/10 hàng năm hoặc đột xuất theo yêu cầu về Sở Thông tin và Truyền thông để tổng hợp, báo cáo Ủy ban nhân dân tỉnh, Bộ Thông tin và Truyền thông.
3. Tuân thủ và bảo đảm ATTT trong ứng dụng CNTT, bảo đảm an toàn thông tin mạng nội bộ của cơ quan, đơn vị theo hướng dẫn của Sở Thông tin và Truyền thông theo quy định của quy chế này và các quy định khác của pháp luật có liên quan.
4. Tuyên truyền, phổ biến quy chế này và các quy định khác của pháp luật có liên quan về ATTT trong phạm vi trách nhiệm và quyền hạn của từng cơ quan.
5. Xác định và trình cấp có thẩm quyền phê duyệt cấp độ hệ thống thông tin của cơ quan, đơn vị.
6. Khi được kiểm tra công tác bảo đảm an toàn thông tin mạng tại cơ quan, đơn vị cử cán bộ có chuyên môn về CNTT tham gia đoàn kiểm tra; phối hợp với đoàn kiểm tra xây dựng các tiêu chí và quy trình kỹ thuật kiểm tra công tác bảo đảm ATTT.
7. Các sở, ban, ngành, UBND các huyện, thị xã, thành phố hàng năm, căn cứ khả năng cân đối ngân sách, tiêu chuẩn định mức khi được cấp có thẩm quyền giao nhiệm vụ bảo đảm ATTT mạng, các cơ quan, đơn vị phối hợp với Sở Tài chính rà soát (đối với nguồn kinh phí thường xuyên) để trình cấp có thẩm quyền bố trí kinh phí theo quy định hiện hành, phối hợp với Sở Kế hoạch và Đầu tư (đối với nguồn kinh phí đầu tư công) triển khai thực hiện các dự án, nhiệm vụ bảo đảm ATTT theo quy định.
Điều 23. Trách nhiệm của cán bộ, công chức, viên chức, người lao động trong cơ quan nhà nước.
1. Nghiêm chỉnh thi hành quy chế này và các quy định khác của pháp luật về bảo đảm ATTT.
2. Khi phát hiện sự cố ảnh hưởng đến an toàn hệ thống thông tin, phải thông báo ngay đến cán bộ, công chức chuyên trách CNTT của đơn vị.
3. Các thông tin, tài liệu, văn bản có tính mật theo quy định, phải dự thảo, lưu trữ đúng theo quy định về bảo mật và ATTT.
4. Cán bộ, công chức, viên chức chuyên trách CNTT:
a) Theo nhiệm vụ được Thủ trưởng cơ quan, đơn vị phân công, chịu trách nhiệm tham mưu chuyên môn và vận hành bảo đảm an toàn hệ thống thông tin tại cơ quan, đơn vị;
b) Hướng dẫn, hỗ trợ người dùng tại cơ quan, đơn vị giải pháp phòng, chống vi rút, mã độc máy tính. Thực hiện việc đánh giá, báo cáo các rủi ro và mức độ các rủi ro ảnh hưởng đến hoạt động hệ thống thông tin của đơn vị, các giải pháp cơ bản khắc phục các rủi ro:
c) Phối hợp với các cá nhân, tổ chức có liên quan trong việc kiểm tra, phát hiện, phòng ngừa, đấu tranh, ngăn chặn xâm phạm ATTT; tham gia khắc phục các sự cố mất ATTT.
Điều 24. Trách nhiệm của Sở Thông tin và Truyền thông
1. Tham mưu UBND tỉnh về công tác bảo đảm ATTT trên địa bàn tỉnh và chịu trách nhiệm trước UBND tỉnh trong việc bảo đảm an toàn cho các hệ thống thông tin cấp tỉnh.
2. Xây dựng và triển khai các Kế hoạch, chương trình, đào tạo về ATTT trong ứng dụng CNTT trên địa bàn tỉnh.
3. Tùy theo mức độ sự cố, phối hợp Trung tâm ứng cứu khẩn cấp không gian mạng Việt Nam (VNCERT/CC) và các đơn vị có liên quan hướng dẫn xử lý, ứng cứu các sự cố ATTT trên địa bàn tỉnh; cảnh báo các vấn đề về ATTT trong các cơ quan nhà nước trên địa bàn tỉnh.
4. Quản lý vận hành, hướng dẫn kết nối mạng truyền số liệu chuyên dùng của các cơ quan Đảng và nhà nước trên địa bàn tỉnh; xử lý các vấn đề liên quan sự cố mạng truyền số liệu chuyên dùng.
5. Hướng dẫn, hỗ trợ sao lưu dự phòng các thông tin, cơ sở dữ liệu của các cơ quan nhà nước một cách an toàn.
6. Hướng dẫn, giám sát các đơn vị xây dựng quy chế và thực hiện việc bảo đảm an toàn cho hệ thống thông tin theo quy định; hướng dẫn các cơ quan về khung báo cáo; định kỳ tổng hợp báo cáo Ủy ban nhân dân tỉnh và Bộ Thông tin và Truyền thông và các cơ quan có thẩm quyền về công tác ATTT số trên địa bàn tỉnh.
7. Tuyên truyền và định hướng tuyên truyền, phối hợp tuyên truyền đến các phương tiện truyền thông đại chúng trên địa bàn tỉnh về công tác bảo đảm ATTT.
8. Hàng năm, tổ chức đào tạo hoặc cử nhân sự tham gia các khoá đào tạo chuyên sâu về ATTT mạng cho cán bộ, công chức chuyên trách CNTT bảo đảm ATTT mạng của các cơ quan, đơn vị.
9. Tham mưu xây dựng kế hoạch hàng năm, phối hợp với Công an tỉnh và các đơn vị có liên quan tổ chức kiểm tra định kỳ bảo đảm an toàn thông tin mạng, hệ thống thông tin theo cấp độ của các cơ quan, đơn vị.
10. Tổ chức đánh giá an toàn thông tin mạng cho các hệ thống thông tin dùng chung, hạ tầng Trung tâm tích hợp dữ liệu của tỉnh hàng năm theo quy định.
11. Tổng hợp Báo cáo định kỳ của các cơ quan đơn vị (vào ngày 15/10 hàng năm) báo cáo Ủy ban nhân dân tỉnh, Bộ Thông tin và Truyền thông theo quy định.
12. Thông báo cho các đầu mối quản trị công nghệ thông tin tại các cơ quan, đơn vị thời gian cụ thể khi có cập nhật thay đổi hệ thống hoặc báo ngay cho các đầu mối khi có sự cố của các hệ thống dùng chung để các đơn vị chủ động thông báo cho đơn vị.
Điều 25. Trách nhiệm của Sở Tài chính, Sở Kế hoạch và Đầu tư
Hàng năm, căn cứ khả năng cân đối ngân sách, tiêu chuẩn định mức khi được cấp có thẩm quyền giao nhiệm vụ bảo đảm ATTT mạng: Sở Tài chính phối hợp với các cơ quan, đơn vị rà soát nguồn kinh phí thường xuyên để trình cấp có thẩm quyền bố trí kinh phí theo quy định hiện hành; Sở Kế hoạch và Đầu tư rà soát nguồn kinh phí đầu tư công triển khai thực hiện các dự án, nhiệm vụ bảo đảm ATTT theo quy định.
1. Trung tâm Công nghệ thông tin và Truyền thông chịu trách nhiệm quản trị, vận hành và bảo đảm an toàn thông tin cho các hệ thống dùng chung của tỉnh căn cứ theo Quyết định số 15/2023/QĐ-UBND ngày 18/8/2023 của UBND tỉnh về việc ban hành Quy chế quản lý, vận hành và sử dụng Trung tâm Dữ liệu tỉnh Bắc Ninh và các quy định tại Quy chế này.
2. Khảo sát, triển khai, xây dựng mô hình kết nối mạng nội bộ (LAN) bảo đảm an toàn thông tin chung cho các cơ quan, đơn vị triển khai thực hiện.
Điều 27. Trách nhiệm của các doanh nghiệp cung cấp dịch vụ viễn thông, CNTT và Internet
1. Đầu tư xây dựng, trang bị hạ tầng kỹ thuật đáp ứng đầy đủ các yêu cầu, tiêu chuẩn kỹ thuật theo quy định của Bộ Thông tin và Truyền thông về ATTT và các nội dung quy định tại Quy chế này.
2. Phối hợp với Sở Thông tin và Truyền thông để tham gia các hoạt động điều phối, ứng cứu, khắc phục sự cố thông tin bảo đảm ATTT mạng cho các cơ quan, đơn vị trong quá trình sử dụng, khai thác sử dụng dịch vụ.
3. Bảo đảm mạng truyền số liệu chuyên dùng cung cấp cho các cơ quan, đơn vị được thông suốt, ổn định.
4. Chịu hoàn toàn trách nhiệm nếu có sự cố xảy ra mà thời gian xử lý vượt quá 4 giờ kể từ thời điểm nhận được thông tin sự cố và chịu trách nhiệm trước Ủy ban nhân dân tỉnh về chất lượng dịch vụ nếu để số sự cố xảy ra quá 3 lần/tháng/01 đơn vị.
1. Sở Thông tin và Truyền thông chủ trì, phối hợp với các sở, ban, ngành, UBND các huyện, thị xã, thành phố và các tổ chức, cá nhân có liên quan triển khai thực hiện Quy chế này.
2. Thủ trưởng các sở, ban, ngành, đơn vị thuộc UBND tỉnh, Chủ tịch UBND các huyện, thị xã, thành phố và thủ trưởng các cơ quan, đơn vị liên quan chịu trách nhiệm tổ chức triển khai thực hiện Quy chế tại cơ quan, đơn vị, địa phương mình.
Điều 29. Sửa đổi, bổ sung Quy chế
Trong quá trình thực hiện nếu có phát sinh khó khăn, vướng mắc cần sửa đổi, bổ sung; các cơ quan, đơn vị kịp thời báo cáo về Sở Thông tin và Truyền thông tổng hợp trình UBND tỉnh xem xét, quyết định./.
QUY TRÌNH ĐÁNH GIÁ VÀ QUẢN LÝ RỦI RO
(Kèm theo Quyết định số 22/2024/QĐ-UBND ngày 05/9/2024 của UBND tỉnh)
1. Bước thiết lập bối cảnh, cơ quan, tổ chức cần đưa ra thông tin tổng quan, mục tiêu, quy mô, phạm vi và các thành phần của hệ thống cần bảo vệ.
Bước này, cơ quan, tổ chức cần đưa ra thông tin tổng quan, mục tiêu, quy mô, phạm vi và các thành phần của hệ thống cần bảo vệ, bao gồm nhưng không giới hạn các thông tin sau:
a) Thông tin Chủ quản hệ thống thông tin;
b) Thông tin Đơn vị vận hành;
c) Chức năng, nhiệm vụ, cơ cấu tổ chức của đơn vị vận hành;
d) Các cơ quan, tổ chức liên quan;
e) Phạm vi, quy mô của hệ thống.
2. Bước đánh giá rủi ro, cơ quan, tổ chức cần thực hiện nhận biết rủi ro, phân tích rủi ro và ước lượng rủi ro. Kết quả của việc thực hiện nội dung này là cần xác định tài sản, điểm yếu, mối đe dọa, hậu quả và mức ảnh hưởng đối với cơ quan, tổ chức khi rủi ro xảy ra đối với tài sản.
a) Tiêu chí chấp nhận rủi ro: Việc xử lý toàn bộ rủi ro được xác định là khó khả thi với bất kỳ cơ quan, tổ chức nào. Do đó, các rủi ro có thể xem xét giảm thiểu đến mức chấp nhận được; tiêu chí chấp nhận rủi ro phụ thuộc vào các chính sách, mục đích, mục tiêu bảo đảm an toàn thông tin của cơ quan, tổ chức và các lợi ích của các bên liên quan; mỗi tổ chức cần phải xác định mức chấp nhận rủi ro của riêng tổ chức mình. Việc xác định các tiêu chí chấp nhận rủi ro cần xem xét đến các yếu tố như: Nguồn lực để xử lý rủi ro so với hiệu quả mang lại sau khi rủi ro được xử lý, khả năng xử lý rủi ro theo điều kiện thực tế của cơ quan, tổ chức của mình.
b) Tiêu chí chấp nhận rủi ro có thể bao gồm nhiều ngưỡng với các tiêu chí tương ứng, căn cứ theo mục tiêu bảo đảm an toàn thông tin mà tổ chức đưa ra, như sau:
- Hệ thống thông tin cấp độ 3, có xử lý thông tin bí mật nhà nước, chỉ chấp nhận tồn tại các rủi ro ở mức thấp. Chỉ chấp nhận tồn tại các rủi ro mức trung bình đối với hệ thống thông tin cấp độ 3, không xử lý thông tin bí mật nhà nước;
- Hệ thống thông tin cấp độ 1 hoặc cấp độ 2, chỉ chấp nhận tồn tại các rủi ro mức trung bình.
- Cơ quan, tổ chức cần xác định rõ phạm vi thực hiện đánh giá và quản lý rủi ro để bảo toàn tài sản được bảo vệ trong quy trình thực hiện. Để xác định phạm vi, giới hạn, cơ quan, tổ chức cần xác định rõ thông tin liên quan sau:
- Phạm vi quản lý an toàn thông tin: Các mục tiêu bảo đảm an toàn thông tin của cơ quan, tổ chức; các quy định pháp lý phải tuân thủ; quy chế, chính sách bảo đảm an toàn thông tin của tổ chức.
- Phạm vi kỹ thuật: Sơ đồ tổng thể (vật lý, logic) và các thành phần trong hệ thống (thiết bị mạng, bảo mật, máy chủ, thiết bị đầu cuối…); xác định các hệ thống thông tin khác có liên quan hoặc có kết nối đến hoặc có ảnh hưởng quan trọng tới hoạt động bình thường của hệ thống thông tin được đề xuất; trong đó, xác định rõ mức độ ảnh hưởng đến hệ thống thông tin đang được đề xuất cấp độ khi các hệ thống này bị mất an toàn thông tin; danh mục các nguy cơ tấn công mạng, mất an toàn thông tin đối với hệ thống và các ảnh hưởng.
- Cơ quan, tổ chức cần xây dựng phương án, kế hoạch thực hiện quản lý rủi ro an toàn thông tin. Nội dung phương án, kế hoạch, trách nhiệm của các đơn vị, bộ phận liên quan cần đưa vào quy chế bảo đảm an toàn thông tin của cơ quan, tổ chức để thực hiện. Dưới đây là một số nội dung cơ bản cần thực hiện để tổ chức thực hiện quản lý rủi ro an toàn thông tin:
+ Phương án, kế hoạch thực hiện đánh giá và quản lý rủi ro;
+ Quy trình tổ chức thực hiện đánh giá và quản lý rủi ro;
+ Cơ chế phối hợp với các bên liên quan trong quá trình thực hiện;
+ Phương án, kế hoạch giám sát quy trình đánh giá và quản lý rủi ro.
- Nhận biết rủi ro là các bước để xác định ra các rủi ro, hậu quả và mức thiệt hại tương ứng. Để xác định được rủi ro, cơ quan, tổ chức cần thực hiện các bước sau:
+ Nhận biết về tài sản để xác định danh mục các tài sản của cơ quan, tổ chức cần bảo vệ bao gồm thông tin, hệ thống thông tin.
+ Nhận biết về mối đe dọa để xác định các mối đe dọa đối với mỗi tài sản.
+ Nhận biết về điểm yếu để xác định các điểm yếu có thể tồn tại đối với mỗi tài sản.
+ Kết quả của bước nhận biết rủi ro là danh mục các mối đe dọa và điểm yếu đối với các tài sản được xác định.
- Phân tích rủi ro để xác định ra các mức ảnh hưởng, các hậu quả đối với cơ quan, tổ chức trên cơ sở thực hiện bước nhận biết rủi ro ở trên. Để phân tích rủi ro, cơ quan, tổ chức cần thực hiện các bước sau:
+ Đánh giá các hậu quả để xác định mức ảnh hưởng đối với cơ quan, tổ chức khi tài sản bị khai thác điểm yếu gây ra các mối đe doạ.
+ Đánh giá khả năng xảy ra đối với từng loại sự cố.
+ Kết quả của bước phân tích rủi ro là xác định được các hậu quả, mức ảnh hưởng mà cơ quan, tổ chức phải xử lý.
- Ước lượng rủi ro để xác định ra các rủi ro và mức rủi ro tương ứng mà cơ quan, tổ chức phải xử lý. Mức rủi ro được xác định dựa vào 03 tham số được xác định ở bước trên.
3. Bước xử lý rủi ro, cơ quan, tổ chức cần xác định các phương án xử lý rủi ro, bao gồm các biện pháp quản lý và kỹ thuật để có thể xử lý, giảm thiểu các mối đe dọa có thể xảy ra đối với tài sản, dẫn tới hậu quả cho cơ quan, tổ chức.
Cơ quan, tổ chức có thể lựa chọn các phương án xử lý rủi ro khác nhau để bảo đảm đạt được các mục tiêu bảo đảm an toàn thông tin của đơn vị mình. Xử lý rủi ro có thể được thực hiện bởi một hoặc kết hợp nhiều phương án sau: thay đổi rủi ro, duy trì rủi ro, tránh rủi ro và chia sẻ rủi ro, cụ thể như dưới đây:
- Thay đổi rủi ro:
+ Thay đổi rủi ro là phương án thực hiện các biện pháp xử lý, khắc phục nhằm giảm mức rủi ro đã được xác định sao cho các rủi ro tồn đọng được đánh giá lại ở mức chấp nhận được;
+ Để thực hiện phương án này, cơ quan, tổ chức cần xây dựng một hệ thống các biện pháp kiểm soát phù hợp. Các biện pháp được lựa chọn căn cứ vào các tiêu chí liên quan đến chi phí, đầu tư và thời gian triển khai, trên cơ sở cân đối giữa nguồn lực bỏ ra và lợi ích đem lại đối với tổ chức khi thực hiện xử lý rủi ro đó.
- Duy trì rủi ro: Duy trì rủi ro là phương án chấp nhận rủi ro đã xác định mà không đưa ra các phương án xử lý để giảm thiểu rủi ro. Việc xác định rủi ro nào có thể được chấp nhận dựa vào mức rủi ro và tiêu chí chấp nhận rủi ro.
- Tránh rủi ro: Tránh rủi ro là phương án xử lý khi cơ quan, tổ chức phải đối mặt với mức rủi ro quá cao bằng cách làm thay đổi, loại bỏ hoặc dừng hoạt động của hệ thống, quy trình nghiệp vụ hoặc hoạt động của cơ quan, tổ chức để không phải đối mặt với rủi ro đã xác định. Tránh rủi ro là phương án thích hợp khi rủi ro được xác định vượt quá khả năng chấp nhận rủi ro của tổ chức.
- Chia sẻ rủi ro: Chia sẻ rủi ro là phương án chuyển rủi ro, một phần rủi ro phải đối mặt cho cơ quan, tổ chức khác. Phương án chia sẻ rủi ro thường được thực hiện khi cơ quan, tổ chức xác định rằng việc giải quyết rủi ro yêu cầu chuyên môn hoặc nguồn lực được cung cấp tốt hơn bởi các tổ chức khác.
- Chấp nhận rủi ro: Chấp nhận rủi ro là việc xem xét, đánh giá các rủi ro tồn đọng, chưa được xử lý hoàn toàn để đánh giá lại mức rủi ro sau xử lý có thể được chấp nhận hay không. Bởi vì có thể hệ thống tồn tại những rủi ro không có phương án xử lý triệt để mà chỉ có thể giảm thiểu.
4. Quá trình truyền thông và tư vấn rủi ro là quá trình cơ quan, tổ chức cần trao đổi, tham vấn ý kiến của các bên liên quan để có thông tin đầu vào khi thực hiện các bước ở trên; thực hiện tuyên truyền, phổ biến các nguy cơ, rủi ro có thể xảy ra.
Truyền thông và tư vấn rủi ro an toàn thông tin là hoạt động nhằm đào tạo, tuyên truyền nâng cao nhận thức cho các bên liên quan đến hoạt động đánh giá và quản lý rủi ro. Bên cạnh đó, việc này cũng nhằm đạt được sự thống nhất giữa các bên liên quan. Ví dụ trong trường hợp lựa chọn phương án chia sẻ rủi ro.
Cơ quan, tổ chức cần xây dựng kế hoạch truyền thông rủi ro định kỳ hoặc đột xuất. Hoạt động truyền thông rủi ro phải được thực hiện liên tục và thường xuyên.
5. Quá trình giám sát và soát xét rủi ro, cơ quan, tổ chức giám sát và đánh giá tuân thủ, tính hiệu quả của việc thực hiện việc quản lý rủi ro.
- Giám sát và soát xét rủi ro an toàn thông tin nhằm bảo đảm hoạt động đánh giá và quản lý rủi ro an toàn thông tin được thực hiện thường xuyên liên tục theo quy chế, chính sách bảo đảm an toàn thông tin của cơ quan, tổ chức và được cấp có thẩm quyền phê duyệt.
- Giám sát và soát xét các yếu tố rủi ro, việc giám sát và soát xét các yếu tố rủi ro cần bảo đảm các yếu tố sau:
+ Quản lý được các tài sản mới, sự thay đổi của tài sản, giá trị của tài sản;
+ Sự thay đổi, xuất hiện mới các mối đe dọa;
+ Sự thay đổi, xuất hiện mới các điểm yếu;
+ Sự thay đổi, xuất hiện mới các rủi ro;
+ Kết quả của việc giám sát và soát xét các yếu tố rủi ro là việc cập nhật thường xuyên, liên tục sự thay đổi đối với các yếu tố rủi ro được đề cập ở trên.
- Giám sát soát xét và cải tiến quản lý rủi ro:
+ Để bảo đảm hoạt động quản lý rủi ro an toàn thông tin được mang lại hiệu quả, việc giám sát, soát xét và cải tiến quy trình quản lý rủi ro an toàn thông tin cần được thực hiện thường xuyên, liên tục.
+ Các tiêu chí được sử dụng để giám sát soát xét và cải tiến quản lý rủi ro có thể bao gồm, nhưng không giới hạn các yếu tố sau: Các yếu tố liên quan đến quy định pháp lý; phương pháp tiếp cận đánh giá rủi ro; các loại tài sản và giá trị tài sản; tiêu chí tác động; tiêu chí ước lượng rủi ro; tiêu chí chấp nhận rủi ro; các nguồn lực cần thiết.
- 1 Công văn 2132/BTTTT-VNCERT hướng dẫn đảm bảo an toàn thông tin cho các Cổng/Trang thông tin điện tử do Bộ Thông tin và Truyền thông ban hành
- 2 Công văn 430/BTTTT-CATTT năm 2015 hướng dẫn bảo đảm an toàn trật tự cho hệ thống thư điện tử của cơ quan, tổ chức nhà nước do Bộ Thông tin và Truyền thông ban hành
- 3 Thông tư 31/2017/TT-BTTTT về quy định hoạt động giám sát an toàn hệ thống thông tin do Bộ trưởng Bộ Thông tin và Truyền thông ban hành
- 4 Thông tư 24/2020/TT-BTTTT quy định về công tác triển khai, giám sát công tác triển khai và nghiệm thu dự án đầu tư ứng dụng công nghệ thông tin sử dụng nguồn vốn ngân sách nhà nước do Bộ Thông tin và Truyền thông ban hành
- 5 Quyết định 15/2023/QĐ-UBND về Quy chế quản lý, vận hành và sử dụng Trung tâm dữ liệu tỉnh Bắc Ninh
- 6 Quyết định 2164/QĐ-UBND năm 2023 về Quy chế hoạt động của Đội ứng cứu sự cố an toàn thông tin mạng trên địa bàn tỉnh Bắc Ninh