ỦY BAN NHÂN DÂN TỈNH ĐỒNG THÁP -------	CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM Độc lập - Tự do - Hạnh phúc ---------------
Số: 927/QĐ-UBND-HC	Đồng Tháp, ngày 10 tháng 8 năm 2018

 

QUYẾT ĐỊNH

BAN HÀNH QUY CHẾ BẢO ĐẢM AN TOÀN THÔNG TIN MẠNG TRONG HOẠT ĐỘNG ỨNG DỤNG CÔNG NGHỆ THÔNG TIN CỦA CÁC CƠ QUAN NHÀ NƯỚC TRÊN ĐỊA BÀN TỈNH

ỦY BAN NHÂN DÂN TỈNH ĐỒNG THÁP

Căn cứ Luật Tổ chức chính quyền địa phương ngày 19 tháng 6 năm 2015;

Căn cứ Luật Công nghệ thông tin ngày 29 tháng 6 năm 2006;

Căn cứ Luật an toàn thông tin mạng ngày 19 tháng 11 năm 2015;

Căn cứ Nghị định số 85/2016/NĐ-CP ngày 01 tháng 7 năm 2016 của Chính phủ về bảo đảm an toàn hệ thống thông tin theo cấp độ; Nghị định số 142/2016/NĐ-CP ngày 14 tháng 10 năm 2016 của Chính phủ về ngăn chặn xung đột thông tin trên mạng;

Căn cứ Thông tư số 20/2017/TT-BTTTT ngày 12 tháng 9 năm 2017 của Bộ trưởng Bộ Thông tin và Truyền thông quy định về điều phối, ứng cứu sự cố an toàn thông tin mạng trên toàn quốc;

Xét đề nghị của Sở Thông tin và Truyền thông tại Tờ trình số 133/TTr-STTTT ngày 20 tháng 7 năm 2018,

QUYẾT ĐỊNH:

Điều 1. Ban hành kèm theo Quyết định này là Quy chế bảo đảm an toàn thông tin mạng trong hoạt động ứng dụng công nghệ thông tin của các cơ quan nhà nước trên địa bàn tỉnh.

Điều 2. Quyết định này có hiệu lực kể từ ngày ký và thay thế Quyết định số 915/QĐ-UBND-HC ngày 08 tháng 10 năm 2010 của Ủy ban nhân dân tỉnh về việc ban hành Quy chế bảo đảm an toàn, an ninh thông tin trong lĩnh vực ứng dụng công nghệ thông tin của các cơ quan nhà nước trên địa bàn tỉnh Đồng Tháp.

Điều 3. Chánh Văn phòng Ủy ban nhân dân tỉnh, Giám đốc các Sở, ban, ngành tỉnh, Chủ tịch Ủy ban nhân dân các huyện, thị xã, thành phố, các tổ chức, cá nhân có liên quan chịu trách nhiệm thi hành Quyết định này./.

 

Nơi nhận: - Bộ Thông tin và Truyền thông; - TT: TU, HĐND tỉnh; - Chủ tịch và các PCT. UBND tỉnh; - VP.TU, các Ban đảng; - UBMTTQ tỉnh; các TCCTXH tỉnh; - VP. UBND tỉnh; - Lưu: VT. KGVX, BM.

TM. ỦY BAN NHÂN DÂN CHỦ TỊCH Nguyễn Văn Dương

 

QUY CHẾ

BẢO ĐẢM AN TOÀN THÔNG TIN MẠNG TRONG HOẠT ĐỘNG ỨNG DỤNG CÔNG NGHỆ THÔNG TIN CỦA CÁC CƠ QUAN NHÀ NƯỚC TRÊN ĐỊA BÀN TỈNH ĐỒNG THÁP
(kèm theo Quyết định số 927/QĐ-UBND-HC ngày 10 tháng 8 năm 2018 của Ủy ban nhân dân tỉnh)

Chương I

QUY ĐỊNH CHUNG

Điều 1. Phạm vi điều chỉnh, đối tượng áp dụng

Quy chế này quy định về phạm vi tài nguyên thông tin, các nguyên tắc, chính sách, biện pháp cơ bản bảo đảm an toàn thông tin mạng trong hoạt động ứng dụng công nghệ thông tin của các cơ quan nhà nước trên địa bàn tỉnh.

Quy chế này áp dụng đối với các cơ quan nhà nước, đơn vị thuộc tỉnh (sau đây gọi là cơ quan, đơn vị) và cán bộ, công chức, viên chức, người lao động trong các cơ quan, đơn vị (sau đây gọi là cá nhân) tham gia vào hoạt động ứng dụng công nghệ thông tin của tỉnh.

Khuyến khích các cơ quan, đơn vị khác hoạt động ứng dụng và phát triển công nghệ thông tin trên địa bàn tỉnh áp dụng quy chế này.

Điều 2. Giải thích từ ngữ

Trong Quy chế này, các từ ngữ dưới đây được hiểu như sau:

1. An toàn thông tin mạng là sự bảo vệ thông tin, hệ thống thông tin trên mạng tránh bị truy nhập, sử dụng, tiết lộ, gián đoạn, sửa đổi hoặc phá hoại trái phép nhằm bảo đảm tính nguyên vẹn, tính bảo mật và tính khả dụng của thông tin.

2. Mạng là môi trường trong đó thông tin được cung cấp, truyền đưa, thu thập, xử lý, lưu trữ và trao đổi thông qua mạng viễn thông và mạng máy tính.

3. Hệ thống thông tin là tập hợp phần cứng, phần mềm và cơ sở dữ liệu được thiết lập phục vụ mục đích tạo lập, cung cấp, truyền đưa, thu thập, xử lý, lưu trữ và trao đổi thông tin trên mạng.

4. Chủ quản hệ thống thông tin là cơ quan, tổ chức, cá nhân có thẩm quyền quản lý trực tiếp đối với hệ thống thông tin.

5. Trang thông tin điện tử là trang thông tin hoặc một tập hợp trang thông tin trên môi trường mạng phục vụ cho việc cung cấp, trao đổi thông tin.

6. Cổng thông tin điện tử là điểm truy nhập duy nhất của cơ quan, đơn vị trên môi trường mạng, liên kết, tích hợp các kênh thông tin, các dịch vụ và các ứng dụng qua đó người dùng có thể khai thác, sử dụng và cá nhân hóa việc hiển thị thông tin.

7. Xâm phạm an toàn thông tin mạng là hành vi truy nhập, sử dụng, tiết lộ, làm gián đoạn, sửa đổi, phá hoại trái phép thông tin, hệ thống thông tin.

8. Sự cố an toàn thông tin mạng là việc thông tin, hệ thống thông tin bị gây nguy hại, ảnh hưởng tới tính nguyên vẹn, tính bảo mật hoặc tính khả dụng.

9. Rủi ro an toàn thông tin mạng là những nhân tố chủ quan hoặc khách quan có khả năng ảnh hưởng trạng thái an toàn thông tin mạng.

10. Phần mềm độc hại là phần mềm có khả năng gây ra hoạt động không bình thường cho một phần hay toàn bộ hệ thống thông tin hoặc thực hiện sao chép, sửa đổi, xóa bỏ trái phép thông tin lưu trữ trong hệ thống thông tin.

11. Bản ghi nhật ký hệ thống là một tập tin được tạo ra trên mỗi thiết bị của hệ thống thông tin như: thiết bị bảo mật, thiết bị tính toán, máy chủ ứng dụng,... có chứa tất cả thông tin về các hoạt động xảy ra trên thiết bị đó. Bản ghi nhật ký hệ thống dùng để phân tích những sự kiện đã xảy ra, nguồn gốc và các kết quả để có biện pháp xử lý thích hợp.

12. Người sử dụng là cá nhân sử dụng máy tính để xử lý công việc.

13. Thông tin cá nhân là thông tin gắn với việc xác định danh tính của một người cụ thể.

Điều 3. Tài nguyên thông tin cần bảo đảm an toàn thông tin

Tài nguyên thông tin cần bảo đảm an toàn thông tin trên địa bàn tỉnh Đồng Tháp bao gồm các thành phần sau đây:

1. Hệ thống hạ tầng kỹ thuật:

a) Thiết bị tính toán, lưu trữ (máy chủ, máy trạm, SAN, NAS,...).

b) Thiết bị ngoại vi (máy in, máy quét và các thiết bị số hóa, thiết bị lưu trữ dữ liệu di động,...).

c) Đường truyền dữ liệu, đường truyền Internet.

d) Mạng nội bộ (LAN), mạng diện rộng (WAN) và thiết bị kết nối mạng, thiết bị bảo mật, thiết bị phụ trợ.

đ) Thiết bị công nghệ thông tin kết nối mạng trong các cơ quan, đơn vị.

2. Hệ thống thông tin, phần mềm, ứng dụng và cơ sở dữ liệu:

a) Hệ thống thông tin, cơ sở dữ liệu dùng chung (hệ thống thư điện tử, hệ thống phần mềm một cửa điện tử và cổng dịch vụ công, hệ thống phần mềm quản lý văn bản và điều hành,...).

b) Cổng thông tin điện tử của tỉnh và hệ thống trang/Cổng thông tin điện tử của các cơ quan, đơn vị.

c) Hệ thống thông tin nghiệp vụ và các cơ sở dữ liệu chuyên ngành.

3. Thông tin, dữ liệu được trao đổi, truyền tải, xử lý và lưu trữ trên hạ tầng kỹ thuật của tỉnh.

Điều 4. Nguyên tắc chung về bảo đảm an toàn thông tin mạng

1. Bảo đảm an toàn thông tin mạng là yêu cầu bắt buộc, có tính xuyên suốt và phải thường xuyên, liên tục được nâng cao, cải tiến trong quá trình:

a) Thu thập, tạo lập, xử lý, truyền tải, lưu trữ và sử dụng thông tin, dữ liệu.

b) Thiết kế, xây dựng, vận hành, nâng cấp, hủy bỏ hệ thống thông tin.

2. Cơ quan, đơn vị và cá nhân có trách nhiệm thực hiện đầy đủ, nghiêm túc các quy định của pháp luật, quy định, quy chế của tỉnh về bảo vệ bí mật nhà nước và bảo đảm an toàn thông tin.

3. Các dự án ứng dụng công nghệ thông tin phải có ý kiến thẩm định nội dung liên quan đến an toàn thông tin trước khi được phê duyệt.

4. Khi thực hiện thuê dịch vụ công nghệ thông tin hoặc sử dụng dịch vụ công nghệ thông tin do bên thứ ba cung cấp, cơ quan, đơn vị và cá nhân phải quản lý việc sở hữu thông tin, dữ liệu từ dịch vụ đó; yêu cầu nhà cung cấp dịch vụ có trách nhiệm bảo mật thông tin; không để nhà cung cấp dịch vụ truy nhập, sử dụng thông tin, dữ liệu thuộc phạm vi nhà nước quản lý.

5. Xử lý sự cố an toàn thông tin phải phù hợp với trách nhiệm, quyền hạn và bảo đảm lợi ích hợp pháp của cơ quan, đơn vị, cá nhân liên quan và theo quy định của pháp luật.

Điều 5. Các hành vi bị nghiêm cấm

1. Vi phạm quy định, quy chế về quản lý, vận hành, sử dụng và bảo đảm an toàn thông tin đối với hạ tầng kỹ thuật và hệ thống thông tin của tỉnh.

2. Truy nhập, tác động trái phép, làm sai lệch, gây nguy hại đến thông tin, dữ liệu hoặc xâm phạm an toàn thông tin của cơ quan, đơn vị và cá nhân khác.

3. Tấn công, làm ảnh hưởng đến hoạt động bình thường của hệ thống thông tin hoặc ngăn chặn trái phép, gây gián đoạn truy nhập hợp pháp của người sử dụng tới hệ thống thông tin.

4. Sử dụng tài nguyên thông tin của tỉnh để phát tán thư rác, tin nhắn rác, phần mềm độc hại, thiết lập hệ thống thông tin giả mạo, lừa đảo.

Chương II

NỘI DUNG BẢO ĐẢM AN TOÀN THÔNG TIN MẠNG

Điều 6. Bảo đảm an toàn thông tin mức vật lý

1. Bảo đảm an toàn thông tin mức vật lý là việc bảo vệ hệ thống hạ tầng kỹ thuật, phần mềm, ứng dụng và cơ sở dữ liệu khỏi các mối nguy hiểm vật lý (như: cháy, nổ; nhiệt độ, độ ẩm ngoài mức cho phép; thiên tai; mất điện; tác động cơ học) có thể gây ảnh hưởng đến hoạt động hệ thống.

2. Các biện pháp cơ bản bảo đảm an toàn thông tin mức vật lý bao gồm:

a) Quản lý trung tâm tích hợp dữ liệu/phòng máy chủ:

- Các thiết bị kết nối mạng, thiết bị bảo mật quan trọng như tường lửa, thiết bị định tuyến, hệ thống máy chủ, hệ thống lưu trữ SAN, NAS,... phải được đặt trong trung tâm tích hợp dữ liệu/phòng máy chủ;

- Trung tâm tích hợp dữ liệu/phòng máy chủ phải được thiết lập cơ chế bảo vệ, theo dõi, phát hiện xâm nhập và biện pháp kiểm soát truy nhập, kết nối vật lý phù hợp đối với từng khu vực: máy chủ và hệ thống lưu trữ; từ mạng và đấu nối; thiết bị nguồn điện và dự phòng điện khẩn cấp; vận hành, kiểm soát, quản trị hệ thống. Cơ quan, đơn vị chủ quản trung tâm tích hợp dữ liệu/phòng máy chủ có trách nhiệm xây dựng nội quy hoặc hướng dẫn làm việc trong các khu vực này;

- Quá trình vào, ra hoặc bàn giao ca trực trung tâm tích hợp dữ liệu/phòng máy chủ phải được ghi nhận vào nhật ký quản lý trung tâm tích hợp dữ liệu/phòng máy chủ. Chỉ những cá nhân có quyền, nhiệm vụ theo quy định của thủ trưởng cơ quan, đơn vị mới được phép vào trung tâm tích hợp dữ liệu/phòng máy chủ;

- Có phương án, kế hoạch phòng, chống và khắc phục sự cố ngập dột nước, sét, tĩnh điện, cháy nổ; áp dụng các quy chuẩn kỹ thuật về an toàn kỹ thuật nhiệt, độ ẩm, ánh sáng cho các thiết bị tính toán, lưu trữ; bảo đảm điều kiện hoạt động ổn định cho các hệ thống hỗ trợ như máy điều hòa nhiệt độ, nguồn cấp điện, dây dẫn;

- Trung tâm tích hợp dữ liệu/phòng máy chủ phải được trang bị hệ thống lưu điện đủ công suất và duy trì thời gian hoạt động của các máy chủ ít nhất 15 phút khi có sự cố mất điện.

b) Thiết lập cơ chế dự phòng đối với các thiết bị hạ tầng kỹ thuật quan trọng; có kế hoạch kiểm tra, bảo dưỡng định kỳ và duy trì thông số kỹ thuật các thiết bị này hoặc có phương án sửa chữa, thay thế đáp ứng yêu cầu về độ sẵn sàng trong suốt thời gian lắp đặt, sử dụng.

c) Các đường truyền dữ liệu, đường truyền Internet và hệ thống dây dẫn các mạng WAN, LAN phải được lắp đặt trong ống, máng che đậy kín, hạn chế khả năng tiếp cận trái phép. Ngắt kết nối cổng Ethernet không sử dụng, đặc biệt là ở khu vực làm việc chung của các cơ quan, đơn vị.

d) Cá nhân sử dụng thiết bị lưu trữ dữ liệu di động để lưu trữ thông tin, dữ liệu của cơ quan, đơn vị mình có trách nhiệm bảo vệ thiết bị này và thông tin lưu trên thiết bị, tránh làm mất hoặc lộ, lọt thông tin, dữ liệu. Không mang ra nước ngoài thông tin, dữ liệu của cơ quan, đơn vị, của Nhà nước mà không liên quan tới nội dung công việc thực hiện ở nước ngoài.

đ) Thiết bị tính toán có bộ phận lưu trữ hoặc thiết bị lưu trữ khi mang đi bảo hành, bảo dưỡng, sửa chữa bên ngoài hoặc ngừng sử dụng phải được tháo bộ phận lưu trữ khỏi thiết bị hoặc xóa thông tin, dữ liệu lưu trữ trên thiết bị (trừ trường hợp để khôi phục dữ liệu). Khi thanh lý thiết bị thì phải xóa nội dung lưu trữ bằng phần mềm hoặc thiết bị hủy dữ liệu chuyên dụng hay phá hủy vật lý.

3. Cơ quan, đơn vị có trách nhiệm xây dựng quy trình bảo dưỡng, bảo trì và hướng dẫn cách sử dụng, quản lý, vận hành hệ thống hạ tầng kỹ thuật của mình; chỉ định bộ phận chuyên trách về công nghệ thông tin thực hiện quản lý, vận hành và định kỳ kiểm tra, sửa chữa, bảo trì thiết bị (bao gồm thiết bị đang hoạt động và thiết bị dự phòng).

Điều 7. Bảo đảm an toàn thông tin khi sử dụng máy tính

1. Cá nhân sử dụng máy tính để xử lý công việc tuân thủ các quy định sau:

a) Chỉ cài đặt phần mềm hợp lệ (phần mềm có bản quyền thương mại, phần mềm nội bộ được đầu tư hoặc phần mềm mã nguồn mở có nguồn gốc rõ ràng) và thuộc danh mục phần mềm được phép sử dụng do cơ quan, đơn vị có thẩm quyền ban hành (nếu có) trên máy tính được cơ quan, đơn vị cấp cho mình.

b) Cài đặt phần mềm xử lý phần mềm độc hại và thiết lập chế độ tự động cập nhật cơ sở dữ liệu cho phần mềm; thực hiện kiểm tra, rà quét phần mềm độc hại khi sao chép, mở các tập tin hoặc trước khi kết nối các thiết bị lưu trữ dữ liệu di động với máy tính của mình.

c) Khi phát hiện ra bất kỳ dấu hiệu nào liên quan đến việc bị nhiễm phần mềm độc hại trên máy tính (máy chạy chậm bất thường, cảnh báo từ phần mềm phòng, chống phần mềm độc hại, mất dữ liệu,...), phải ngắt kết nối giữa máy với mạng nội bộ và báo trực tiếp cho bộ phận chuyên trách về công nghệ thông tin để được xử lý kịp thời.

d) Chỉ truy nhập vào các trang/cổng thông tin điện tử, ứng dụng trực tuyến tin cậy và các thông tin phù hợp với chức năng, trách nhiệm, quyền hạn của mình; sử dụng những trình duyệt an toàn; không truy nhập, mở các trang tin, thư điện tử không rõ nguồn gốc; không sử dụng tính năng lưu mật khẩu tự động hoặc đăng nhập tự động.

đ) Có trách nhiệm bảo mật tài khoản truy nhập thông tin, không chia sẻ mật khẩu, thông tin cá nhân với người khác. Đặt mật khẩu với độ an toàn cao (có chữ thường, có chữ in hoa, có số và ký tự đặc biệt như @, #, !,...) và thay đổi mật khẩu ít nhất 06 tháng/lần; các tài khoản đăng nhập các hệ thống phải được đăng xuất khi không sử dụng; thường xuyên xóa các biểu mẫu, mật khẩu, bộ nhớ cache và cookie trong trình duyệt trên máy tính.

e) Máy tính cá nhân phải được cài đặt mật khẩu và thực hiện thao tác khóa máy tính (sử dụng tính năng có sẵn trên máy tính) khi rời khỏi nơi đặt máy tính; tắt máy tính khi rời khỏi cơ quan.

g) Phải sử dụng hộp thư điện tử công vụ của tỉnh có tên miền: @dongthap.gov.vn hoặc hộp thư điện tử có tên miền đặc thù theo quy định của ngành nhưng phải đảm bảo tính an toàn, bảo mật khi trao đổi trên môi trường mạng trong quá trình thực hiện nhiệm vụ công vụ.

h) Báo cáo và phải được thủ trưởng cơ quan, đơn vị đồng ý, cho phép trước khi mang máy tính, thiết bị công nghệ thông tin có kết nối mạng thuộc sở hữu riêng đến nơi làm việc và kết nối với mạng nội bộ để thực hiện xử lý công việc. Trong trường hợp này, cá nhân phải tuân thủ đầy đủ các quy định tại các Điểm a, b, c, d, đ, e, g của Khoản này và chịu sự giám sát của bộ phận chuyên trách về công nghệ thông tin của cơ quan, đơn vị.

2. Cơ quan, đơn vị có trách nhiệm tập hợp, cập nhật tài liệu hướng dẫn, quy định về bảo đảm an toàn thông tin khi sử dụng máy tính (cho phù hợp với điều kiện môi trường hoạt động, tình hình phát triển công nghệ thông tin) và phổ biến đến tất cả cá nhân thuộc phạm vi cơ quan, đơn vị mình để tuân thủ thực hiện.

3. Tài khoản truy nhập

a) Cá nhân sử dụng hệ thống thông tin được cấp và sử dụng tài khoản truy nhập với định danh duy nhất gắn với cá nhân đó. Các hệ thống thông tin dùng chung của tỉnh sử dụng cơ chế đăng nhập một lần, chung một tài khoản truy nhập và mật khẩu.

b) Trường hợp cá nhân thay đổi vị trí công tác, chuyển công tác, thôi việc hoặc nghỉ hưu, trong vòng không quá 05 ngày làm việc, cơ quan, đơn vị quản lý cá nhân đó phải thông báo cơ quan, đơn vị chủ quản hệ thống thông tin để điều chỉnh, thu hồi, hủy bỏ các quyền sử dụng đối với hệ thống thông tin.

c) Tài khoản quản trị hệ thống (mạng, hệ điều hành, thiết bị kết nối mạng, phần mềm, ứng dụng, cơ sở dữ liệu) phải tách biệt với tài khoản truy nhập của người sử dụng thông thường. Tài khoản quản trị hệ thống phải được giao đích danh cá nhân làm công tác quản trị. Hạn chế dùng chung tài khoản quản trị.

Điều 8. Bảo đảm an toàn thông tin đối với mạng máy tính

1. Hệ thống mạng nội bộ (LAN) phải được thiết kế phân vùng theo chức năng cơ bản (theo các chính sách an toàn thông tin riêng), bao gồm: vùng mạng người dùng; vùng mạng kết nối hệ thống ra bên ngoài Internet và các mạng khác; vùng mạng máy chủ công cộng; vùng mạng máy chủ nội bộ; vùng mạng máy chủ quản trị. Dữ liệu trao đổi giữa các vùng mạng phải được quản lý giám sát bởi các hệ thống các thiết bị mạng, thiết bị bảo mật.

Căn cứ điều kiện, yêu cầu thực tế về bảo mật dữ liệu, cơ quan, đơn vị là chủ quản hệ thống mạng nội bộ chủ động triển khai xây dựng mô hình, giải pháp an toàn bảo mật, bao gồm các biện pháp kỹ thuật sau đây:

a) Kiểm soát truy nhập từ bên ngoài mạng (sử dụng các giao thức mạng có hỗ trợ chức năng mã hóa thông tin như SSH, SSL/TLS, VPN hoặc tương đương).

b) Kiểm soát truy nhập từ bên trong mạng (quản lý các thiết bị đầu cuối, máy tính người sử dụng kết nối vào hệ thống mạng; giám sát, phát hiện và ngăn chặn truy nhập từ bên trong mạng đến các địa chỉ Internet bị cấm truy nhập).

c) Phòng, chống xâm nhập và phần mềm độc hại, bảo vệ các vùng mạng máy chủ công cộng, máy chủ nội bộ, máy chủ cơ sở dữ liệu và vùng mạng nội bộ; có khả năng tự động cập nhật thời gian thực cơ sở dữ liệu, dấu hiệu phát hiện tấn công. Vô hiệu hóa tất cả các dịch vụ không cần thiết tại từng vùng mạng.

d) Cấu hình chức năng xác thực trên các thiết bị kết nối mạng để xác thực người sử dụng quản trị thiết bị trực tiếp hoặc từ xa.

đ) Mạng không dây phải có cơ chế bảo toàn tính toàn vẹn và bí mật của thông tin được truyền đưa trên môi trường mạng, có hướng dẫn bảo đảm an toàn thông tin dành cho các thiết bị đầu cuối khi kết nối vào mạng; được thiết lập các tham số: tên, nhận dạng dịch vụ (SSID), mật khẩu, cấp phép truy nhập đối với địa chỉ vật lý (MAC address), mã hóa dữ liệu. Thường xuyên thay đổi mật khẩu. Các điểm truy nhập không dây phải được bảo vệ, tránh bị tiếp cận trái phép.

e) Hệ thống máy chủ phải có chức năng tự động cập nhật bản ghi nhật ký hệ thống trong khoảng thời gian nhất định (tối thiểu là 03 tháng), lưu trữ thông tin kết nối mạng, quá trình đăng nhập vào máy chủ, các thao tác cấu hình hệ thống, lỗi phát sinh trong quá trình hoạt động và các thông tin liên quan về an toàn thông tin để phục vụ công tác khắc phục sự cố và điều tra về an toàn thông tin khi xảy ra. Xóa sạch thông tin, dữ liệu trên máy chủ khi chuyển giao hoặc thay đổi mục đích sử dụng.

2. Cơ quan, đơn vị tham gia kết nối, sử dụng hệ thống mạng diện rộng (WAN) của tỉnh, mạng Truyền số liệu chuyên dùng có trách nhiệm:

a) Bảo đảm an toàn thông tin đối với hệ thống mạng nội bộ và các thiết bị của mình khi thực hiện kết nối vào hệ thống mạng diện rộng, mạng Truyền số liệu chuyên dùng; thông báo sự cố hoặc các hành vi phá hoại, xâm nhập về Sở Thông tin và Truyền thông để xử lý.

b) Phối hợp với Sở Thông tin và Truyền thông rà soát đánh giá tính hợp lệ cấu hình địa chỉ IP kết nối mạng diện rộng, mạng Truyền số liệu chuyên dùng trong quá trình vận hành và sử dụng các hệ thống thông tin, máy chủ, thiết bị công nghệ thông tin của mình có kết nối với hệ thống mạng diện rộng.

c) Định kỳ sao lưu thông tin, dữ liệu dùng chung lưu trữ trên mạng diện rộng.

d) Không tiết lộ phương thức (tên đăng ký, mật khẩu, tiện ích, tệp hỗ trợ và các cách thức khác) để truy nhập vào hệ thống mạng diện rộng, mạng Truyền số liệu chuyên dùng cho tổ chức, cá nhân khác; không được tìm cách truy nhập dưới bất cứ hình thức nào vào các khu vực không được phép truy nhập.

3. Cơ quan, đơn vị phải áp dụng các biện pháp kỹ thuật cần thiết bảo đảm an toàn thông tin trong hoạt động kết nối Internet, tối thiểu đáp ứng các yêu cầu sau:

a) Có hệ thống tường lửa và hệ thống bảo vệ kiểm soát truy nhập Internet, đáp ứng nhu cầu kết nối đồng thời, hỗ trợ các công nghệ mạng riêng ảo thông dụng và có phần cứng mã hóa tích hợp để tăng tốc độ mã hóa dữ liệu, cung cấp đầy đủ các cơ chế bảo mật cơ bản như NAT, PAT, quản lý luồng dữ liệu ra, vào và có khả năng bảo vệ hệ thống trước các loại tấn công từ chối dịch vụ (DDoS).

b) Lọc bỏ, không cho phép truy nhập các trang tin có nghi ngờ chứa mã độc hoặc các nội dung không phù hợp.

c) Không mở trang tin hoặc ứng dụng Internet trên máy tính chứa dữ liệu quan trọng hoặc có khả năng tiếp cận các dữ liệu, ứng dụng quan trọng; chỉ thiết lập kết nối Internet cho các máy chủ và thiết bị công nghệ thông tin cần phải có giao tiếp với Internet (các máy chủ, thiết bị cung cấp giao diện ra Internet của trang tin điện tử, dịch vụ công, thư điện tử; thiết bị cập nhật bản vá hệ điều hành, mẫu mã độc, mẫu điểm yếu, mẫu tấn công).

Điều 9. Bảo đảm an toàn thông tin mức ứng dụng

1. Cơ quan, đơn vị xây dựng, vận hành và sử dụng phần mềm, ứng dụng phải đáp ứng các yêu cầu sau:

a) Yêu cầu về bảo đảm an toàn thông tin phải được đưa vào tất cả các công đoạn thiết kế, xây dựng, triển khai, thử nghiệm, nghiệm thu và vận hành, sử dụng phần mềm, ứng dụng và các phần mềm thuê khoán.

b) Cấu hình phần mềm, ứng dụng để xác thực người sử dụng; giới hạn số lần đăng nhập sai liên tiếp; giới hạn thời gian chờ để đóng phiên kết nối; mã hóa thông tin xác thực trên hệ thống; không khuyến khích việc đăng nhập tự động.

c) Thiết lập phân quyền truy nhập, quản trị, sử dụng tài nguyên khác nhau của phần mềm, ứng dụng với người sử dụng/nhóm người sử dụng có chức năng, yêu cầu nghiệp vụ khác nhau; tách biệt cổng giao tiếp quản trị phần mềm ứng dụng với cổng giao tiếp cung cấp dịch vụ; đóng các cổng giao tiếp không sử dụng.

d) Chỉ cho phép sử dụng các giao thức mạng có hỗ trợ chức năng mã hóa thông tin như SSH, SSL/TLS, VPN hoặc tương đương khi truy nhập, quản trị phần mềm, ứng dụng từ xa trên môi trường mạng; hạn chế truy nhập tới mã nguồn của phần mềm, ứng dụng và phải đặt mã nguồn trong môi trường an toàn do bộ phận chuyên trách công nghệ thông tin quản lý.

đ) Ghi và lưu giữ bản ghi nhật ký hệ thống của phần mềm, ứng dụng trong khoảng thời gian tối thiểu là 03 tháng với những thông tin cơ bản: thời gian, địa chỉ, tài khoản (nếu có), nội dung truy nhập và sử dụng phần mềm, ứng dụng; các lỗi phát sinh trong quá trình hoạt động; thông tin đăng nhập khi quản trị.

e) Thực hiện quy trình kiểm soát việc cài đặt, cập nhật, vá lỗi bảo mật phần mềm, ứng dụng trên các máy chủ, máy tính cá nhân, thiết bị kết nối mạng đang hoạt động thuộc hệ thống mạng nội bộ.

g) Kiểm tra phát hiện và khắc phục điểm yếu về an toàn thông tin của ứng dụng trước khi đưa vào sử dụng và trong quá trình sử dụng (khi có thông tin xuất hiện điểm yếu mới trên môi trường hoạt động của ứng dụng; tối thiểu mỗi năm một lần).

2. Sở Thông tin và Truyền thông có trách nhiệm phối hợp với các cơ quan, đơn vị chủ quản hệ thống thông tin, cơ sở dữ liệu dùng chung của tỉnh thực hiện:

a) Xây dựng kế hoạch thực hiện các phương án bảo đảm an toàn thông tin cho các hệ thống thông tin, cơ sở dữ liệu dùng chung.

b) Thường xuyên theo dõi, giám sát an toàn thông tin và kiểm tra, rà soát hoạt động của các hệ thống thông tin, cơ sở dữ liệu dùng chung.

c) Xây dựng phương án ứng cứu, khắc phục sự cố.

Điều 10. Bảo đảm an toàn thông tin mức dữ liệu

1. Cơ quan, đơn vị thực hiện bảo vệ thông tin, dữ liệu liên quan đến hoạt động công vụ, thông tin có nội dung quan trọng, nhạy cảm hoặc không phải là thông tin công khai như sau:

a) Thiết lập phương án bảo đảm tính bí mật, nguyên vẹn và khả dụng của thông tin, dữ liệu; giám sát, cảnh báo khi có thay đổi hoặc phát hiện, ngăn chặn các tác động truy nhập, gửi, nhận dữ liệu trái phép; khuyến khích áp dụng chữ ký số để xác thực và bảo mật thông tin, dữ liệu, đặc biệt trong trường hợp cần bảo đảm chống từ chối nguồn gốc dữ liệu.

b) Mã hóa thông tin, dữ liệu khi lưu trữ trên hệ thống lưu trữ/thiết bị lưu trữ dữ liệu di động bằng giải pháp do Ban Cơ yếu Chính phủ cung cấp hoặc cơ quan, đơn vị có thẩm quyền chấp nhận sử dụng; thiết lập phân vùng lưu trữ mã hóa, chỉ cho phép cá nhân có quyền, trách nhiệm truy nhập, lưu trữ dữ liệu trên phân vùng mã hóa.

c) Triển khai hệ thống/phương tiện lưu trữ độc lập với hệ thống lưu trữ trên các máy chủ dịch vụ để sao lưu dự phòng; phân loại và quản lý thông tin, dữ liệu được lưu trữ theo từng loại/nhóm thông tin được gán nhãn khác nhau; thực hiện sao lưu, dự phòng các thông tin, dữ liệu cơ bản sau: tập tin cấu hình hệ thống, ảnh hệ điều hành máy chủ, cơ sở dữ liệu; dữ liệu, thông tin nghiệp vụ.

d) Bố trí máy tính riêng không kết nối mạng, đặt mật khẩu, mã hóa dữ liệu và các biện pháp bảo mật khác bảo đảm an toàn thông tin để soạn thảo, lưu trữ dữ liệu, thông tin và tài liệu quan trọng ở các mức độ mật, tối mật, tuyệt mật.

2. Cơ quan, đơn vị phải thường xuyên kiểm tra, giám sát hoạt động chia sẻ, gửi, nhận thông tin, dữ liệu trong hoạt động nội bộ của mình; khuyến cáo việc chia sẻ, gửi, nhận thông tin trên môi trường mạng cần phải sử dụng mật khẩu để bảo vệ thông tin.

3. Đối với hoạt động trao đổi thông tin, dữ liệu với bên ngoài, cơ quan, đơn vị và cá nhân thực hiện trao đổi thông tin, dữ liệu ra bên ngoài phải cam kết và có biện pháp bảo mật thông tin, dữ liệu được trao đổi; yêu cầu bên ngoài đáp ứng các thỏa thuận kết nối, bảo vệ thông tin phù hợp với quy định về bảo đảm an toàn thông tin của tỉnh; thiết lập chức năng phát hiện dữ liệu đính kèm có phần mềm độc hại, cơ chế bảo mật truyền thông không dây, mã hóa thông tin, dữ liệu trước khi truyền đưa, trao đổi trên môi trường mạng theo quy định của pháp luật.

4. Giao dịch trực tuyến phải được truyền đầy đủ, đúng địa chỉ, tránh bị sửa đổi, tiết lộ hoặc nhân bản một cách trái phép; sử dụng các cơ chế xác thực mạnh, chữ ký số khi tham gia giao dịch, sử dụng các giao thức truyền thông an toàn.

Điều 11. Bảo đảm an toàn thông tin khi tiếp nhận, phát triển, vận hành và bảo trì hệ thống thông tin

1. Khi tiếp nhận, phát triển, nâng cấp, bảo trì hệ thống thông tin, cơ quan, đơn vị phải tiến hành phân tích, xác định các rủi ro có thể xảy ra, đánh giá phạm vi tác động và phải chuẩn bị các biện pháp hạn chế, loại trừ các rủi ro này và yêu cầu các bên cung cấp, thi công, các cá nhân liên quan thực hiện các yêu cầu như sau:

a) Có phương án bảo đảm an toàn thông tin mạng được cơ quan, đơn vị có thẩm quyền của tỉnh thẩm định khi phát triển, mở rộng hoặc nâng cấp hệ thống thông tin.

b) Chỉ tiếp nhận và đưa vào vận hành hệ thống thông tin sau khi đã thực hiện nghiệm thu và kiểm thử hệ thống (được thẩm định, xác nhận của bộ phận chuyên trách và phê duyệt của cơ quan, đơn vị có thẩm quyền của tỉnh hoặc chủ quản hệ thống thông tin).

c) Hệ thống thông tin được tiếp nhận phải đi kèm:

- Tài liệu mô tả quy mô, phạm vi và đối tượng sử dụng, khai thác, quản lý vận hành hệ thống thông tin;

- Tài liệu mô tả các thành phần của hệ thống thông tin, gồm: các vùng mạng chức năng, hệ thống thiết bị mạng, thiết bị bảo mật; hệ thống máy chủ hệ thống; hệ thống máy chủ ứng dụng; dịch vụ và các thành phần khác trong hệ thống thông tin.

d) Xem xét tính tương thích với các phần mềm, ứng dụng hiện có, bảo đảm hoạt động ổn định, an toàn trước khi quyết định thay đổi hoặc nâng cấp hệ điều hành lên phiên bản mới hơn; kiểm soát chặt chẽ việc nâng cấp, mở rộng phần mềm, ứng dụng trong hệ thống. Việc bổ sung các thiết bị vào hệ thống thông tin cần có kế hoạch, quy trình bảo đảm việc tiếp nhận không làm gián đoạn hoạt động của hệ thống đang vận hành.

đ) Bảo trì hệ thống thông tin phải có kế hoạch từ trước và được thực hiện thường xuyên.

2. Trong quá trình vận hành hệ thống thông tin, cơ quan, đơn vị chủ quản hệ thống cần thực hiện:

a) Đánh giá, phân loại hệ thống thông tin theo cấp độ; triển khai phương án bảo đảm an toàn hệ thống thông tin đáp ứng yêu cầu cơ bản trong tiêu chuẩn, quy chuẩn kỹ thuật về bảo đảm an toàn hệ thống thông tin theo cấp độ.

b) Thường xuyên kiểm tra, giám sát việc tuân thủ các quy định về an toàn thông tin, cập nhật đầy đủ, lấp vá các chỗ trống bảo mật, áp dụng cơ chế sao lưu dự phòng, bảo đảm an toàn truy nhập, đăng nhập hệ thống.

c) Giám sát an toàn hệ thống thông tin, cảnh báo hành vi xâm phạm an toàn thông tin hoặc hành vi có khả năng gây ra sự cố an toàn thông tin đối với hệ thống thông tin; tiến hành phân tích yếu tố quan trọng nhất ảnh hưởng tới trạng thái an toàn thông tin; đề xuất thay đổi biện pháp kỹ thuật.

d) Giám sát hiệu năng hệ thống và thực hiện các biện pháp bảo trì cần thiết (dọn dẹp hệ thống, điều chỉnh thông số kỹ thuật và bổ sung mua sắm) để bảo đảm khả năng xử lý và tính sẵn sàng của hệ thống thông tin theo yêu cầu.

đ) Tuân thủ quy trình vận hành, quy trình xử lý sự cố đã xây dựng; ghi đầy đủ thông tin trong các bản ghi nhật ký hệ thống và lưu trữ nhật ký trong khoảng thời gian nhất định, để phục vụ việc quản lý, kiểm soát thông tin.

3. Đối tác phát triển phần mềm, ứng dụng cho cơ quan, đơn vị có trách nhiệm bảo đảm an toàn thông tin cho công tác phát triển, vận hành, bảo hành, bảo trì phần mềm, ứng dụng, tránh lộ lọt mã nguồn và dữ liệu, tài liệu thiết kế, quản trị hệ thống mà đối tác đang xử lý ra bên ngoài.

4. Các biện pháp kỹ thuật bảo đảm an toàn thông tin cho trang/cổng thông tin điện tử:

a) Xác định cấu trúc thiết kế trang/cổng thông tin điện tử: quản lý toàn bộ các phiên bản của mã nguồn của phần mềm, ứng dụng trang/cổng thông tin điện tử; yêu cầu đơn vị cung cấp dịch vụ hosting phải cài đặt các hệ thống phòng vệ như tường lửa, thiết bị phát hiện/phòng, chống xâm nhập (IDS/IPS) ở mức ứng dụng web (WAF - Web Application Firewall).

b) Vận hành phần mềm, ứng dụng trang/cổng thông tin điện tử: các trang/ cổng thông tin điện tử khi đưa vào sử dụng hoặc khi bổ sung thêm các chức năng mới cần đánh giá kiểm định nhằm tránh các lỗi bảo mật thường xảy ra trên ứng dụng web (như SQL Injection, Cross-Site Scripting, Broken Authentication and Session Management, Insecure Direct Object References, Cross Site Request Forgery, Security Misconfiguration, Failure to Restrict URL Access, Insecure Cryptoeraphic Storage, Insufficient Transport Layer Protection, Unvalidated Redirects and Forwards và các lỗi bảo mật khác).

c) Thiết lập và cấu hình cơ sở dữ liệu của trang/cổng thông tin điện tử:

- Luôn cập nhật bản vá lỗi mới nhất cho hệ quản trị cơ sở dữ liệu; sử dụng công cụ để đánh giá, tìm kiếm lỗ hổng trên máy chủ cơ sở dữ liệu;

- Gỡ bỏ các cơ sở dữ liệu không còn sử dụng;

- Có cơ chế sao lưu dữ liệu, tài liệu hóa quá trình thay đổi cấu trúc bằng cách xây dựng nhật ký cơ sở dữ liệu với các nội dung như: Nội dung thay đổi, lý do thay đổi, thời gian, vị trí thay đổi.

Điều 12. Kiểm tra, khắc phục sự cố an toàn thông tin

1. Cơ quan, đơn vị chủ quản hệ thống thông tin có trách nhiệm phối hợp với các cơ quan, đơn vị chuyên trách về công nghệ thông tin, an toàn thông tin của tỉnh:

a) Rà soát, đánh giá và xác định các sự cố an toàn thông tin, các rủi ro an toàn thông tin có thể xảy ra với từng thành phần hệ thống thông tin trong phạm vi quản lý của mình. Trên cơ sở đó, xây dựng và phê duyệt các phương án ứng cứu, xử lý sự cố phù hợp với các rủi ro an toàn thông tin có thể xảy ra.

b) Chuẩn bị sẵn sàng các biện pháp, phương tiện kỹ thuật để phục vụ cho triển khai các phương án ứng cứu đã được xây dựng.

c) Xây dựng và ban hành các hướng dẫn, quy trình xử lý sự cố an toàn thông tin đối với từng đối tượng người sử dụng cụ thể trong hệ thống thông tin theo hướng dẫn của Sở Thông tin và Truyền thông.

d) Thông báo công khai các phương án liên lạc với bộ phận xử lý sự cố cho toàn bộ cá nhân liên quan hệ thống thông tin đang quản lý.

đ) Thường xuyên kiểm tra, rà soát tính sẵn sàng của các phương án ứng cứu sự cố; thực hiện đúng các hướng dẫn, quy trình xử lý sự cố an toàn thông tin.

2. Khi có sự cố hoặc nguy cơ mất an toàn thông tin, thủ trưởng cơ quan, đơn vị thực hiện:

a) Chỉ đạo xác định nguyên nhân sự cố, có biện pháp khắc phục kịp thời, hạn chế thiệt hại.

b) Trường hợp gặp sự cố nghiêm trọng ở mức độ cao, khẩn cấp (hệ thống bị gián đoạn dịch vụ; dữ liệu tuyệt mật hoặc bí mật nhà nước có khả năng bị tiết lộ; dữ liệu quan trọng của hệ thống không bảo đảm tính toàn vẹn và không có khả năng khôi phục được; hệ thống bị mất quyền điều khiển) hoặc chủ quản hệ thống không đủ khả năng tự kiểm soát, xử lý được sự cố thì phải phối hợp chặt chẽ với Đội ứng cứu sự cố an toàn thông tin mạng của tỉnh và cung cấp đầy đủ thông tin sự cố để được hướng dẫn, hỗ trợ cụ thể.

c) Chuẩn bị tài liệu báo cáo sự cố, gồm các nội dung sau:

- Tên, địa chỉ Đơn vị vận hành hệ thống thông tin; chủ quản hệ thống thông tin; hệ thống thông tin bị sự cố; thời điểm phát hiện sự cố;

- Đầu mối liên lạc về sự cố của đơn vị vận hành hệ thống bị sự cố: Tên, chức vụ, điện thoại, thư điện tử;

- Mô tả về sự cố: Loại sự cố, hiện tượng, đánh giá sơ bộ mức độ nguy hại, mức độ lây lan, tác động của sự cố đến hoạt động bình thường của tổ chức;

- Đơn vị cung cấp dịch vụ hạ tầng kỹ thuật;

- Liệt kê các biện pháp đã triển khai hoặc dự kiến triển khai để xử lý khắc phục sự cố;

- Các tổ chức, doanh nghiệp đang hỗ trợ ứng cứu, xử lý và kết quả xử lý sự cố tính đến thời điểm báo cáo;

- Kết quả ứng cứu sự cố ban đầu;

- Kiến nghị đề xuất hướng ứng cứu xử lý sự cố (nếu có);

- Bản cập nhật mới nhất của tài liệu mô tả các thành phần hệ thống thông tin, bao gồm: các vùng mạng chức năng; hệ thống thiết bị mạng, thiết bị bảo mật; hệ thống máy chủ hệ thống; hệ thống máy chủ ứng dụng; dịch vụ và các thành phần khác trong hệ thống thông tin (trong trường hợp sự cố có khả năng xảy ra trên diện rộng hoặc gây ra các ảnh hưởng dây chuyền, làm tổn hại cho các hệ thống thông tin quan trọng khác).

Điều 13. Quản lý an toàn thông tin

1. Cơ quan, đơn vị phải thành lập hoặc chỉ định nhân sự/bộ phận chuyên trách về công nghệ thông tin (hoặc lựa chọn đối tác có đủ năng lực quản lý an toàn thông tin) đảm nhiệm:

a) Triển khai công tác giám sát, kiểm tra việc bảo đảm an toàn thông tin tại cơ quan, đơn vị và đánh giá rủi ro an toàn thông tin.

b) Làm đầu mối liên hệ với các cơ quan, đơn vị chuyên trách về công nghệ thông tin, an toàn thông tin của tỉnh và các tổ chức, cá nhân trong lĩnh vực an toàn thông tin.

c) Xây dựng hoặc chủ trì việc áp dụng các chính sách, quy trình quản lý an toàn thông tin, bao gồm:

- Chính sách quản lý kiểm soát truy nhập đi vào và từ hệ thống đi ra; sao lưu và dự phòng và khôi phục cấu hình hệ thống; quản lý, vận hành hoạt động bình thường của thiết bị tính toán, lưu trữ, thiết bị bảo vệ mạng, thiết bị lưu trữ di động, điện thoại thông minh và máy tính bảng;

- Quy trình kết nối thiết bị đầu cuối của người sử dụng vào hệ thống mạng; truy nhập và quản lý cấu hình hệ thống; cấu hình tối ưu, tăng cường bảo mật cho thiết bị mạng, bảo mật trong hệ thống và thực hiện quy trình trước khi đưa hệ thống vào vận hành khai thác;

- Nguyên tắc chung về phân loại và quản lý mức độ ưu tiên đối với các tài nguyên của hệ thống thông tin; kiểm tra, đánh giá các tài nguyên của hệ thống thông tin trước khi đưa vào sử dụng; sử dụng hệ thống thông tin an toàn và hiệu quả; xử lý an toàn các thiết bị, hệ thống thông tin trước khi thanh lý, ngừng sử dụng, chuyển giao, bảo trì sửa chữa.

2. Cơ quan, đơn vị thực hiện đánh giá rủi ro an toàn thông tin mỗi khi có thay đổi về nhu cầu bảo đảm an toàn thông tin, thay đổi về hạ tầng kỹ thuật và phần mềm, ứng dụng hoặc khi xuất hiện nguy cơ mất an toàn thông tin như sau:

a) Lập danh mục các rủi ro (các mối đe dọa, các điểm yếu, các hậu quả) có thể xảy ra đối với thông tin, dữ liệu và hệ thống thông tin quan trọng của mình; xác định phạm vi và giới hạn cho quản lý rủi ro an toàn thông tin; chỉ định bộ phận chuyên trách về công nghệ thông tin quản lý và thực hiện đánh giá rủi ro.

b) Phân tích rủi ro an toàn thông tin, đánh giá hậu quả, thực hiện xử lý rủi ro.

3. Cá nhân phải được bộ phận chuyên trách về công nghệ thông tin hướng dẫn, hỗ trợ, cung cấp các tài liệu, công cụ cần thiết để thực hiện trách nhiệm bảo đảm an toàn thông tin theo quy định.

Điều 14. Đầu mối tiếp nhận thông tin, báo cáo sự cố an toàn thông tin mạng

Đầu mối tiếp nhận thông tin, báo cáo sự cố an toàn thông tin mạng trên địa bàn tỉnh Đồng Tháp là Sở Thông tin và Truyền thông (Cơ quan Thường trực Đội ứng cứu sự cố an toàn thông tin mạng của tỉnh).

Thông tin liên hệ: Điện thoại: 0277 3873995, Fax: 0277 3873999, Email: cert@dongthap.gov.vn.

Điều 15. Quy trình phối hợp ứng cứu sự cố mạng bảo đảm an toàn thông tin số trên địa bàn tỉnh

1. Quy trình xử lý khẩn cấp:

Khi phát hiện hệ thống có nguy cơ mất an toàn thông tin như: hệ thống hoạt động chậm bất thường, không truy cập được hệ thống ứng dụng, nội dung trang/cổng thông tin điện tử hoặc giao diện ứng dụng bị thay đổi, các sự cố khác, ... chủ quản hệ thống thông tin thực hiện các bước cơ bản:

a) Bước 1: Ngắt kết nối hệ thống máy chủ ra khỏi hệ thống mạng, báo cáo sự cố đến Thủ trưởng cơ quan, đơn vị;

b) Bước 2: Sao chép bản ghi nhật ký hệ thống truy cập của người dùng và toàn bộ dữ liệu của hệ thống ra thiết bị lưu trữ (phục vụ cho công tác khôi phục và phân tích sự cố);

c) Bước 3: Khôi phục lại hệ thống, hoặc sử dụng hệ thống dự phòng và chuyển dữ liệu sao lưu dự phòng mới nhất để hệ thống hoạt động;

d) Bước 4: Tổng hợp, báo cáo sự cố và nội dung khắc phục gửi về Đội ứng cứu sự cố an toàn thông tin mạng tỉnh Đồng Tháp để tổng hợp.

2. Nguyên tắc phối hợp trong ứng cứu sự cố:

a) Đơn vị vận hành hệ thống thông tin:

- Thực hiện các bước khắc phục sự cố theo Khoản 1 điều này.

- Các sự cố vượt quá khả năng xử lý, đơn vị thông báo đến Đội ứng cứu để hỗ trợ khắc phục và thực hiện báo cáo sự cố mạng (theo phụ lục 1).

b) Đội Ứng cứu sự cố an toàn thông tin mạng tỉnh Đồng Tháp:

- Tiếp nhận thông tin, báo cáo sự cố mất an toàn thông tin của các cơ quan, đơn vị.

- Phản hồi cho đơn vị, cá nhân gửi thông báo, báo cáo ban đầu tối đa trong vòng 03 giờ sau khi nhận được để xác nhận về việc đã nhận được thông báo, báo cáo sự cố.

- Thẩm tra, xác minh và phân loại sự cố an toàn thông tin mạng để lựa chọn phương án ứng cứu phù hợp hoặc đề xuất với Ban chỉ đạo CNTT hướng giải quyết trong trường hợp vượt thẩm quyền tối đa trong vòng 12 giờ kể từ thời điểm phát sinh sự cố và nhận được thông báo của cơ quan, đơn vị có sự cố.

- Chủ động hỗ trợ ngay cho cơ quan, đơn vị cần ứng cứu, xử lý sự cố trong khả năng và trách nhiệm của mình, tối đa trong vòng 24 giờ phải cử cán bộ kỹ thuật của Đội có mặt tại đơn vị báo sự cố để phối hợp, hướng dẫn, ghi nhận giải quyết sự cố, trong trường hợp sự cố phức tạp, nguy cơ cao về mất an toàn thông tin mà không thể hướng dẫn, trao đổi qua điện thoại, email với cơ quan, đơn vị bị sự cố.

- Giám sát diễn biến tình hình ứng cứu sự cố và báo cáo Ban chỉ đạo CNTT tỉnh; đề xuất, xin ý kiến chỉ đạo trong trường hợp không thuộc thẩm quyền, phạm vi trách nhiệm hoặc vượt khả năng xử lý của mình.

- Tổng hợp, báo cáo Cơ quan điều phối quốc gia theo quy định và báo cáo đột xuất khi có yêu cầu.

c) Sở Thông tin và Truyền thông báo cáo về Ủy ban nhân dân tỉnh đồng thời thông báo đến Bộ Thông tin và Truyền thông thông qua Trung tâm ứng cứu khẩn cấp máy tính Việt Nam (VNCERT), để được hỗ trợ khắc phục các sự cố vượt quá khả năng xử lý của địa phương.

Chương III

TỔ CHỨC THỰC HIỆN

Điều 16. Trách nhiệm của thủ trưởng các cơ quan, đơn vị

1. Chỉ đạo, bảo đảm việc tuân thủ các quy định tại Quy chế này trong phạm vi tổ chức, quyền hạn của mình.

2. Tuyên truyền, phổ biến nội dung Quy chế này và nâng cao nhận thức về an toàn thông tin cho cán bộ, công chức, viên chức và người lao động thuộc cơ quan, đơn vị.

3. Căn cứ Quy chế này và nhu cầu thực tế của cơ quan, đơn vị, xây dựng hoặc rà soát, sửa đổi phương án quản lý an toàn thông tin đang áp dụng cho phù hợp.

4. Tổ chức kiểm tra, đánh giá định kỳ hàng năm về an toàn thông tin đối với các hệ thống thông tin đang vận hành, gửi kết quả về Sở Thông tin và Truyền thông để tổng hợp.

5. Tạo điều kiện để bồi dưỡng, đào tạo, tăng cường năng lực cho bộ phận hoặc cá nhân chuyên trách về công nghệ thông tin, an toàn thông tin.

6. Phối hợp, cung cấp thông tin và tạo điều kiện cho Sở Thông tin và Truyền thông, Đội Ứng cứu sự cố an toàn thông tin mạng của tỉnh triển khai công tác kiểm tra, khắc phục sự cố xảy ra một cách kịp thời, nhanh chóng và đạt hiệu quả.

7. Chỉ đạo thực hiện báo cáo định kỳ 6 tháng, hàng năm hoặc đột xuất theo yêu cầu, gửi về Sở Thông tin và Truyền thông để tổng hợp, báo cáo Ủy ban nhân dân tỉnh và Bộ Thông tin và Truyền thông (theo phụ lục 2) và các báo cáo khác theo yêu cầu của công tác bảo đảm an toàn thông tin.

Điều 17. Trách nhiệm của cá nhân

1. Cá nhân phụ trách an toàn thông tin có trách nhiệm:

a) Tham mưu cho thủ trưởng cơ quan, đơn vị ban hành các quy định, quy trình nội bộ và chịu trách nhiệm triển khai các giải pháp kỹ thuật bảo đảm an toàn thông tin tại cơ quan, đơn vị theo Quy chế này.

b) Thực hiện việc giám sát, đánh giá, báo cáo thủ trưởng cơ quan, đơn vị các rủi ro mất an toàn thông tin và mức độ nghiêm trọng của các rủi ro đó.

c) Phối hợp với các cá nhân, đơn vị có liên quan trong việc kiểm tra, phát hiện và khắc phục các sự cố mất an toàn thông tin.

2. Cá nhân là người sử dụng có trách nhiệm:

a) Chấp hành nghiêm túc các quy định về an toàn thông tin của cơ quan, đơn vị, các quy định tại Quy chế này và các quy định khác của pháp luật về an toàn thông tin; nâng cao ý thức cảnh giác và trách nhiệm bảo đảm an toàn thông tin trong phạm vi trách nhiệm và quyền hạn được giao.

b) Tự quản lý, bảo quản thiết bị mà mình được giao sử dụng. Khi phát hiện sự cố phải báo ngay với cấp trên và bộ phận chuyên trách về công nghệ thông tin để kịp thời ngăn chặn, xử lý.

c) Tích cực tham gia các chương trình đào tạo, hội nghị về an toàn thông tin do tỉnh hoặc các đơn vị chuyên môn tổ chức.

Điều 18. Trách nhiệm của Sở Thông tin và Truyền thông

1. Tham mưu Ủy ban nhân dân tỉnh về công tác đảm bảo an toàn thông tin trên địa bàn tỉnh và chịu trách nhiệm trước Ủy ban nhân dân tỉnh trong việc đảm bảo an toàn cho các hệ thống thông tin cấp tỉnh.

2. Xây dựng và triển khai các Kế hoạch, chương trình, dự án đầu tư, đào tạo về an toàn thông tin trong ứng dụng CNTT trên địa bàn tỉnh.

3. Tuyên truyền, định hướng tuyên truyền về công tác bảo đảm an toàn thông tin trên địa bàn tỉnh.

4. Tùy theo mức độ sự cố, phối hợp Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam và các đơn vị có liên quan hướng dẫn xử lý, ứng cứu các sự cố an toàn thông tin trên địa bàn tỉnh; Cảnh báo các vấn đề về an toàn thông tin trong các cơ quan nhà nước trên địa bàn tỉnh.

5. Quản lý vận hành, hướng dẫn kết nối mạng WAN tỉnh, chủ trì xử lý các vấn đề liên quan sự cố mạng WAN tỉnh; đảm bảo an toàn thông tin cho các hệ thống thông tin dùng chung của tỉnh tại Trung tâm tích hợp dữ liệu.

6. Hướng dẫn các cơ quan, đơn vị xây dựng quy chế và thực hiện việc đảm bảo an toàn cho hệ thống thông tin theo quy định; Hướng dẫn các cơ quan về khung báo cáo; định kỳ tổng hợp báo cáo Ủy ban nhân dân tỉnh và Bộ Thông tin và Truyền thông về công tác an toàn thông tin trên địa bàn tỉnh.

7. Hướng dẫn, hỗ trợ các cơ quan, đơn vị về mô hình triển khai, các yếu tố kỹ thuật nhằm đảm bảo an toàn thông tin cho hạ tầng kỹ thuật công nghệ thông tin, các hệ thống thông tin tại các cơ quan, đơn vị.

8. Hàng năm, tổ chức đào tạo, bồi dưỡng chuyên sâu về an toàn thông tin mạng cho cán bộ, công chức chuyên trách CNTT đảm bảo an toàn thông tin mạng của các cơ quan, đơn vị và tập huấn, bồi dưỡng nâng cao nhận thức, kỹ năng về an toàn thông tin cho cán bộ, công chức, viên chức và người lao động trong hệ thống các đơn vị, cơ quan nhà nước trên địa bàn tỉnh.

9. Hàng năm tham mưu xây dựng kế hoạch, phối hợp với Công an tỉnh và các đơn vị có liên quan tổ chức kiểm tra định kỳ công tác đảm bảo an toàn thông tin mạng của các cơ quan, đơn vị trên địa bàn tỉnh.

Điều 19. Trách nhiệm Đội ứng cứu sự cố an toàn thông tin mạng tỉnh Đồng Tháp

Đội Ứng cứu thực hiện trách nhiệm theo khoản 2 Điều 15 của Quy chế này, Quyết định số 95/QĐ-BCĐƯDCNTT ngày 25 tháng 9 năm 2017 của Ban Chỉ đạo ứng dụng CNTT tỉnh về việc thành lập Đội ứng cứu sự cố an toàn thông tin mạng tỉnh Đồng Tháp và Quy chế làm việc của Đội.

Điều 20. Khen thưởng và xử lý vi phạm

1. Hàng năm, Sở Thông tin và Truyền thông căn cứ kết quả kiểm tra, đánh giá, báo cáo công tác bảo đảm an toàn thông tin mạng của các cơ quan, đề xuất Ủy ban nhân dân tỉnh xem xét khen thưởng cho các cá nhân, đơn vị có nhiều thành tích trong công tác bảo đảm an toàn thông tin theo quy định hiện hành.

2. Các tổ chức, cá nhân có hành vi vi phạm quy chế này thì tùy theo tính chất, mức độ vi phạm mà bị xử lý kỷ luật, xử phạt hành chính hoặc bị truy cứu trách nhiệm hình sự, nếu gây thiệt hại thì phải bồi thường theo quy định của pháp luật.

Điều 21. Trách nhiệm thi hành

1. Sở Thông tin và Truyền thông chủ trì, phối hợp với các Sở, ban, ngành tỉnh, Ủy ban nhân dân các huyện, thị xã, thành phố và các đơn vị có liên quan triển khai thực hiện Quy chế này.

2. Trong quá trình thực hiện nếu có phát sinh khó khăn, vướng mắc cần sửa đổi, bổ sung các cơ quan, đơn vị kịp thời thông báo về Sở Thông tin và Truyền thông tổng hợp, trình Ủy ban nhân dân tỉnh xem xét, quyết định./.

 

PHỤ LỤC 1

MẪU BÁO CÁO BAN ĐẦU SỰ CỐ MẠNG
(kèm theo Quyết định số             /QĐ-UBND-HC ngày      tháng 8 năm 2018 của Ủy ban nhân dân tỉnh)

CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM
Độc lập - Tự do - Hạnh phúc
---------------

BÁO CÁO BAN ĐẦU SỰ CỐ MẠNG

Kính gửi: Sở Thông tin và Truyền thông

THÔNG TIN VỀ TỔ CHỨC/CÁ NHÂN BÁO CÁO SỰ CỐ

▪ Tên tổ chức/cá nhân báo cáo sự cố (*) .........................................................................

▪ Địa chỉ: (*) ......................................................................................................................

▪ Điện thoại (*) ………………………………………. Email (*)............................................

NGƯỜI LIÊN HỆ

▪ Họ và tên (*) ………………………………………. Chức vụ:............................................

▪ Điện thoại (*) ………………………………………. Email (*)............................................

THÔNG TIN CHI TIẾT VỀ HỆ THỐNG BỊ SỰ CỐ

Tên đơn vị vận hành hệ thống thông tin (*):	Điền tên đơn vị vận hành hoặc được thuê vận hành hệ thống thông tin
Cơ quan chủ quản:	Điền tên cơ quan chủ quản
Tên hệ thống bị sự cố:	Điền tên hệ thống bị sự cố và tên miền, địa chỉ ip liên quan
Phân loại cấp độ của hệ thống thông tin, (nếu có)	□ Cấp độ 1	□ Cấp độ 2	□ Cấp độ 3	□ Cấp độ 4	□ Cấp độ 5
Tổ chức cung cấp dịch vụ an toàn thông tin (nếu có):	Điền tên nhà cung cấp ở đây
Tên nhà cung cấp dịch vụ kết nối bên ngoài (nếu có)	Điền tên nhà cung cấp ở đây
Dải địa chỉ Public IP kết nối với hệ thống bên ngoài:	Điền thông tin ở đây

 

Mô tả sơ bộ về sự cố (*)
Đề nghị cung cấp một bản tóm tắt ngắn gọn về sự cố, bao gồm đánh giá sơ bộ cuộc tấn công đã xảy ra chưa và bất kỳ các nguy cơ dẫn đến khả năng phá hoại hoặc gián đoạn dịch vụ. Cũng vui lòng xác định mức độ nhạy cảm của thông tin liên quan hoặc những đối tượng bị ảnh hưởng bởi sự cố: ...................................................................... .......................................................................................................................................... .......................................................................................................................................... .......................................................................................................................................... ..........................................................................................................................................
Ngày phát hiện sự cố (*) (dd/mm/yy)	/           /	Thời gian phát hiện (*):	…….giờ.... phút

HIỆN TRẠNG SỰ CỐ (*)

□ Đã được xử lý                                             □ Chưa được xử lý

CÁCH THỨC PHÁT HIỆN * (Đánh dấu những cách thức được sử dụng để phát hiện sự cố)

□ Qua hệ thống phát hiện xâm nhập     □ Kiểm tra dữ liệu lưu lại (Log File)

□ Nhận được thông báo từ: ...............................................................................................

□ Khác, đó là ....................................................................................................................

ĐÃ GỬI THÔNG BÁO SỰ CỐ CHO *

□ Thành viên mạng lưới chịu trách nhiệm ứng cứu sự cố cho tổ chức, cá nhân

□ ISP đang trực tiếp cung cấp dịch vụ

□ Cơ quan điều phối

THÔNG TIN BỔ SUNG VỀ HỆ THỐNG XẢY RA SỰ CỐ

▪ Hệ điều hành……………………………….. Version ........................................................

▪ Các dịch vụ có trên hệ thống (Đánh dấu những dịch vụ được sử dụng trên hệ thống)

□ Web server                      □ Mail server                    □ Database server

□ Dịch vụ khác, đó là ........................................................................................................

▪ Các biện pháp an toàn thông tin đã triển khai (Đánh dấu những biện pháp đã triển khai)

□ Antivirus                          □ Firewall                          □ Hệ thống phát hiện xâm nhập

□ Khác: .............................................................................................................................

▪ Các địa chỉ IP của hệ thống (Liệt kê địa chỉ IP sử dụng trên Internet, không liệt kê địa chỉ IP nội bộ)

.........................................................................................................................................

▪ Các tên miền của hệ thống

.........................................................................................................................................

▪ Mục đích chính sử dụng hệ thống.................................................................................

.........................................................................................................................................

▪ Thông tin gửi kèm

□ Nhật ký hệ thống               □ Mẫu virus / mã độc               □ Khác: ………………………

▪ Các thông tin cung cấp trong thông báo sự cố này đều phải được giữ bí mật: □ Có □ Không

KIẾN NGHỊ, ĐỀ XUẤT HỖ TRỢ

Mô tả về đề xuất, kiến nghị

Đề nghị cung cấp tóm lược về các kiến nghị và đề xuất hỗ trợ ứng cứu (nếu có): ..................... .......................................................................................................................................... .......................................................................................................................................... ..........................................................................................................................................

THỜI GIAN THỰC HIỆN BÁO CÁO SỰ CỐ *: …/…./ …..../.../… (ngày/tháng/năm/giờ/phút)

 

CÁ NHÂN/NGƯỜI ĐẠI DIỆN THEO PHÁT LUẬT (Ký tên, đóng dấu)

Chú thích:

1. Phần (*) là những thông tin bắt buộc. Các phần còn lại có thể loại bỏ nếu không có thông tin.

2. Sử dụng tiêu đề (subject) bắt đầu bằng “[TBSC]” khi gửi thông báo qua email

 

PHỤ LỤC 2

MẪU BÁO CÁO TỔNG HỢP [06THÁNG/ 01 NĂM] VỀ HOẠT ĐỘNG TIẾP NHẬN VÀ XỬ LÝ SỰ CỐ
(kèm theo Quyết định số        /QĐ-UBND-HC ngày      tháng 8 năm 2018 của Ủy ban nhân dân tỉnh)

CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM
Độc lập - Tự do - Hạnh phúc
---------------

BÁO CÁO TỔNG HỢP [06 THÁNG/ 01 NĂM] VỀ HOẠT ĐỘNG TIẾP NHẬN VÀ XỬ LÝ SỰ CỐ

Kính gửi: Sở Thông tin và Truyền thông

□ Từ tháng ……./201 ... đến tháng ... ./201...

Tên cơ quan/tổ chức: ........................................................................................................

Địa chỉ: .............................................................................................................................

1. Số lượng sự cố và cách thức xử lý

Loại sự cố/tấn công mạng	Số lượng	Số sự cố tự xử lý	Số sự cố có sự hỗ trợ xử lý từ các tổ chức khác	Số sự cố có hỗ trợ xử lý từ tổ chức nước ngoài	Số sự cố đề nghị VNCERT hỗ trợ xử lý	Thiệt hại ước tính
Từ chối dịch vụ
Tấn công giả mạo
Tấn công sử dụng mã độc
Truy cập trái phép, chiếm quyền điều khiển
Thay đổi giao diện
Mã hóa phần mềm, dữ liệu, thiết bị
Phá hoại thông tin, dữ liệu, phần mềm
Nghe trộm, gián điệp, lấy cắp thông tin, dữ liệu
Tấn công tổng hợp sử dụng kết hợp nhiều hình thức
Các hình thức tấn công khác
Tổng số

2. Danh sách các tổ chức hỗ trợ xử lý sự cố

.........................................................................................................................................

3. Danh sách các tổ chức nước ngoài hỗ trợ xử lý sự cố

.........................................................................................................................................

4. Đề xuất kiến nghị:...........................................................................................................

.........................................................................................................................................

 

…… , ngày….. tháng….. năm…… NGƯỜI ĐẠI DIỆN THEO PHÁP LUẬT (Đóng dấu hoặc sử dụng chữ ký số)