Công văn 4486/GDĐT-TTTT năm 2019 về đảm bảo an toàn, an ninh các hệ thống công nghệ thông tin tại đơn vị cơ sở giáo dục do Sở Giáo dục và Đào tạo Thành phố Hồ Chí Minh ban hành

Số hiệu 4486/GDĐT-TTTT
Ngày ban hành 03/12/2019
Ngày có hiệu lực 03/12/2019
Loại văn bản Công văn
Cơ quan ban hành Sở Giáo dục và Đào tạo Thành phố Hồ Chí Minh
Người ký Nguyễn Văn Hiếu
Lĩnh vực Công nghệ thông tin,Giáo dục

ỦY BAN NHÂN DÂN
THÀNH PHỐ HỒ CHÍ MINH
SỞ GIÁO DỤC VÀ ĐÀO TẠO
-------

CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM
Độc lập - Tự do - Hạnh phúc
---------------

Số: 4486/GDĐT-TTTT
Về đảm bảo an toàn, an ninh các hệ thống CNTT tại đơn vị cơ sở giáo dục

Thành phố Hồ Chí Minh, ngày 03 tháng 12 năm 2019

 

Kính gửi:

- Trưởng phòng Giáo dục và Đào tạo các quận, huyện;
- Hiệu trưởng các trường THPT (Công lập và Ngoài Công lập);
- Giám đốc các Trung tâm GDNN-GDTX, Trung tâm GDTX;
- Thủ trưởng các đơn vị trực thuộc.

Căn cứ quyết định 2453/QĐ-GDĐT-VP ngày 27 tháng 11 năm 2017 của Giám đốc Sở Giáo dục và Đào tạo về phê duyệt Quy chế đảm bảo an toàn, an ninh thông tin trong hoạt động ứng dụng công nghệ thông tin của Ngành Giáo dục và Đào tạo Thành phố Hồ Chí Minh.

Nhằm nâng cao hiệu quả việc đảm bảo an toàn, an ninh các hệ thống CNTT của Ngành Giáo dục và Đào tạo, Sở Giáo dục và Đào tạo đề nghị thủ trưởng các đơn vị thực hiện và triển khai các giải pháp, nhiệm vụ cụ thể như sau:

I. Nội dung thực hiện:

Thủ trưởng các đơn vị tổ chức tổng rà soát việc đảm bảo an toàn, an ninh các hệ thống thông tin của đơn vị ở những nội dung sau:

1. Tổ chức thực hiện:

1.1 Trách nhiệm của thủ trưởng đơn vị:

- Thủ trưởng đơn vị có trách nhiệm tổ chức thực hiện các quy định tại Quy chế đảm bảo an toàn, an ninh thông tin.

- Ban hành quyết định phân công bộ phận hoặc các bộ phụ trách các hệ thống của đơn vị.

- Chịu trách nhiệm trước đơn vị quản lý trực tiếp và Sở Giáo dục và Đào tạo trong công tác đảm bảo an toàn thông tin của đơn vị.

1.2 Trách nhiệm của cán bộ phụ trách hệ thống:

- Cán bộ phụ trách hệ thống thông tin chịu trách nhiệm đảm bảo an toàn, an ninh thông tin của đơn vị;

- Phải thay đổi mật khẩu khi tiếp nhận các hệ thống thông tin (bao gồm cả hệ thống camera quan sát), không sử dụng mật khẩu mặc định hoặc các mật khẩu đơn giản (ví dụ: 123456, 123456789, abcd1234, ...). Mật khẩu phải có độ phức tạp cao (độ dài tối thiểu 8 ký tự, có ký tự thường, ký tự số, ký tự đặc biệt như: !, @, #, $, %, ...) và phải thường xuyên thay đổi mật khẩu.

- Tham mưu thủ trưởng đơn vị các giải pháp bảo mật hệ thống. Giám sát, đánh giá, báo cáo thủ trưởng đơn vị các rủi ro có thể xảy ra trong quá trình vận hành hệ thống.

- Phối hợp với các cá nhân, đơn vị liên quan tích cực khắc phục khi xảy ra sự cố an toàn, an ninh thông tin.

2. Quản trị hệ thống:

2.1 Quản lý phòng máy chủ, nơi đặt thiết bị lưu trữ:

- Vị trí đặt máy chủ, thiết bị lưu trữ dữ liệu là khu vực hạn chế tiếp cận. (Không đặt máy chủ, thiết bị lưu trữ dữ liệu, hình ảnh camera, ... tại phòng bảo vệ hoặc các phòng chức năng không đảm bảo an toàn).

- Chỉ những người có trách nhiệm theo sự phân công của thủ trưởng mới được phép vào các khu vực này.

2.2 Sao lưu dữ liệu:

Các dữ liệu quan trọng của đơn vị phải được sao lưu, bao gồm: thông tin cấu hình hệ thống, cơ sở dữ liệu, nhật ký hệ thống. Đảm bảo khả năng phục hồi dữ liệu khi có sự cố xảy ra.

2.3 Quản lý truy cập:

- Tài khoản quản trị có quyền cao nhất (Admin) chỉ được cấp bằng văn bản cho một người. Các tài khoản khác khi truy cập hệ thống cần được phân quyền cụ thể, chỉ được phép truy cập các thông tin phù hợp với chức năng, nhiệm vụ, quyền hạn được phân công.

- Người được giao tài khoản trên hệ thống có trách nhiệm bảo mật tài khoản và chịu trách nhiệm trước thủ trưởng đơn vị nếu để xảy ra sự cố mất an ninh, an toàn thông tin.

- Hệ thống mạng không dây của đơn vị phải có mật khẩu truy cập và chỉ cho phép truy cập Internet (chặn các kết nối đến hệ thống máy chủ, hệ thống mạng của đơn vị).

3. Các hành vi bị cấm:

Nghiêm cấm các hành vi sử dụng hệ thống sai mục đích, gây nguy cơ nhiễm vi rút, phần mềm độc hại, ... Không sử dụng thông tin của đơn vị sai mục đích, không cung cấp thông tin đơn vị (thông tin học sinh, nhân sự, dữ liệu hình ảnh camera, ...) cho đối tượng, đơn vị khác.

4. Tuyên truyền về công tác đảm bảo an toàn, an ninh hệ thống CNTT

[...]