Kế hoạch 3636/KH-UBND năm 2020 triển khai bảo đảm an toàn thông tin cho các hệ thống thông tin của tỉnh Kon Tum theo mô hình “4 lớp”

KẾ HOẠCH

TRIỂN KHAI BẢO ĐẢM AN TOÀN THÔNG TIN CHO CÁC HỆ THỐNG THÔNG TIN CỦA TỈNH KON TUM THEO MÔ HÌNH “4 LỚP”

Căn cứ Luật An toàn thông tin mạng ngày 19 tháng 11 năm 2015; Luật An ninh mạng ngày 12 tháng 6 năm 2016; Nghị định số 85/2016/NĐ-CP ngày 01 tháng 7 năm 2016 của Chính phủ về bảo đảm an toàn thông tin theo cấp độ; Quyết định số 1017/QĐ-TTg ngày 14 tháng 8 năm 2018 của Thủ tướng Chính phủ^([1]); Nghị quyết số 17/NQ-CP ngày 07 tháng 3 năm 2019 của Chính phủ về một số nhiệm vụ, giải pháp trọng tâm phát triển Chính phủ điện tử giai đoạn 2019-2020 định hướng đến 2025; các Văn bản hướng dẫn của Bộ Thông tin và Truyền thông^([2]).

Ủy ban nhân dân tỉnh ban hành Kế hoạch triển khai bảo đảm an toàn thông tin cho các hệ thống thông tin của tỉnh theo mô hình “4 lớp”, với các nội dung cụ thể như sau:

I. Mục đích, yêu cầu

1. Mục đích

Triển khai bảo đảm an toàn thông tin cho các hệ thống thông tin của tỉnh theo mô hình “4 lớp” theo hướng dẫn tại Văn bản số 1552/BTTTT-CATTT ngày 28 tháng 4 năm 2020 của Bộ Thông tin và Truyền thông, gồm:

- Lớp 1: Kiện toàn đầu mối đơn vị chuyên trách về an toàn thông tin mạng để làm tốt công tác tham mưu, tổ chức thực thi và kiểm tra, đôn đốc thực hiện các quy định của pháp luật về bảo đảm an toàn, an ninh mạng.

- Lớp 2: Thực hiện giám sát, ứng cứu sự cố an toàn thông tin mạng, bảo vệ hệ thống thông tin thuộc quyền quản lý của tỉnh, thực hiện thu thập thông tin nhật ký các sự kiện an ninh từ các thiết bị đầu cuối của khách hàng, lưu trữ dữ liệu một cách tập trung và phân tích sự tương quan giữa các sự kiện để chỉ ra được các vấn đề lớn về an ninh mà hệ thống đang phải đối mặt, theo dõi các sự kiện an ninh theo thời gian thực, các loại mã độc bị nhiễm và tiến hành điều phối các hoạt động xử lý, đưa ra các mẫu báo cáo chi tiết về tình hình an toàn thông tin trong tỉnh theo các tiêu chí khác nhau. Giám sát các vấn đề thông tin trên môi trường mạng như phá hoại hệ thống thông tin; phát tán thư rác, phần mềm độc hại, thiết lập hệ thống thông tin giả mạo, lừa đảo; thu thập, sử dụng, phát tán, kinh doanh trái pháp luật thông tin cá nhân của người khác; xâm nhập trái pháp luật bí mật và thông tin đã mã hóa hợp pháp của cơ quan, tổ chức, cá nhân.

- Lớp 3: Thực hiện kiểm tra, đánh giá định kỳ an toàn thông tin mạng đối với hệ thống thông tin cấp độ 3 trở lên thuộc quyền quản lý của tỉnh hoặc kiểm tra, đánh giá đột xuất khi có yêu cầu theo quy định của pháp luật; đối với các hệ thống thông tin cấp độ 3 và cấp độ 4, định kỳ hàng năm thực hiện kiểm tra, đánh giá và báo cáo Bộ Thông tin và Truyền thông trước ngày 14/12 hàng năm để tổng hợp, báo cáo Thủ tướng Chính phủ.

- Lớp 4: Kết nối, chia sẻ thông tin với hệ thống giám sát quốc gia, kết nối, chia sẻ thông tin giám sát an toàn thông tin với Trung tâm Giám sát an toàn không gian mạng quốc gia trực thuộc Cục An toàn thông tin, Bộ Thông tin và Truyền thông.

2. Yêu cầu

- Hệ thống phải được xây dựng dựa trên một kiến trúc chuẩn về hệ thống mạng, hệ thống bảo mật, hệ thống lưu trữ, hệ thống kết nối chia sẽ thông tin đáp ứng theo các quy định tiêu chuẩn kỹ thuật của Bộ Thông tin và Truyền thông.

- Hệ thống giám sát an toàn thông tin đảm bảo giám sát lớp mạng, lớp máy chủ, lớp ứng dụng, lớp đầu cuối. Thực hiện thu thập thông tin nhật ký các sự kiện an ninh từ các thiết bị đầu cuối của khách hàng, lưu trữ dữ liệu một cách tập trung và phân tích sự tương quan giữa các sự kiện để chỉ ra được các vấn đề lớn về an ninh mà hệ thống đang phải đối mặt.

- Đánh  giá tổng thể về các khía cạnh từ hạ tầng mạng, ứng dụng, con người cho đến các quy trình vận hành để chỉ ra các điểm yếu của hệ thống. Dịch vụ giúp phát hiện và loại bỏ những cấu hình, điểm yếu không an toàn khi triển khai cài đặt mới hệ thống, cũng như đối với các hệ thống đang vận hành nhằm tăng cường và bảo đảm an toàn cho hệ thống; tư vấn, khuyến nghị các biện pháp để nâng cao khả năng bảo mật cho hệ thống

- Hệ thống phải đáp ứng các tiêu chuẩn kỹ thuật, quy chuẩn kỹ thuật theo các quy định của Bộ Thông tin và Truyền thông về yêu cầu giám sát quản lý tập trung, lưu trữ phải đảm thời gian tối thiểu để lưu trữ nhật ký hệ thống căn cứ vào cấp độ và kết nối chia sẽ thông tin với hệ thống giám sát Quốc gia.

- Giám sát dữ liệu trên Internet, quét các mạng xã hội chuyên biệt, blog, diễn đàn, trang tin tức.

- Việc triển khai thử nghiệm hệ thống giám sát an toàn thông tin tỉnh Kon Tum, xây dựng hệ thống hoàn thành trước ngày 30/9/2020, đưa vào vận hành chính thức từ ngày 01/10/2020.

II. Nội dung

1. Kiện toàn lực lượng đầu mối chuyên trách về an toàn thông tin

- Giao Sở Thông tin và Truyền thông là đầu mối đơn vị chuyên trách về an toàn thông tin mạng trên địa bàn tỉnh. Yêu cầu các sở, ban, ngành, Ủy ban nhân dân các huyện/thành phố bố trí nhân sự đảm nhận công tác an toàn thông tin, để thực hiện công tác tham mưu, tổ chức thực thi và kiểm tra, đôn đốc thực hiện các quy định của pháp luật về bảo đảm an toàn, an ninh mạng. Lập danh sách gửi về Sở Thông tin và Truyền thông trước ngày 25/9/2020.

- Hàng năm, Sở Thông tin và Truyền thông chủ trì, phối hợp với Sở Nội vụ và các đơn vị có liên quan tổ chức các lớp đào tạo, diễn tập kiến thức về an toàn thông tin để cung cấp cho học viên kiến thức về các tình huống có thể gây mất an toàn thông tin đối với người dùng thông thường và đào tạo chuyên môn, nghiệp vụ nhằm duy trì, cải thiện kỹ năng đảm bảo an toàn thông tin và khả năng phối hợp xử lý khi có sự cố mất an toàn thông tin theo quy định.

2. Thực hiện triển khai Hệ thống Giám sát An toàn thông tin

- Giao Sở Thông tin và Truyền thông tỉnh chủ trì triển khai hệ thống Giám sát an toàn thông tin trên địa bàn tỉnh.

- Triển khai theo hình thức thuê doanh nghiệp cung cấp dịch vụ Trung tâm điều hành an toàn thông tin, an ninh mạng (SOC) đáp ứng yêu cầu kết nối, chia sẻ thông tin được Bộ Thông tin và Truyền thông công nhận để thực hiện việc giám sát, ứng cứu sự cố An toàn thông tin mạng, bảo vệ các hệ thống thông tin thuộc quyền quản lý của tỉnh.

* Thời gian hoàn thành trước ngày 25/9/2020.

- Chuyển giao, hướng dẫn quản trị vận hành: Doanh nghiệp cung cấp dịch vụ phối hợp Sở Thông tin và Truyền thông tỉnh biên soạn các tài liệu, chuyển giao quy trình vận hành, quy trình xử lý mã độc và quy trình sử dụng các chức năng của hệ thống giám sát an toàn thông tin. Thời gian hoàn thành trước ngày 30/9/2020.

3. Thực hiện triển khai Hệ thống đánh giá An toàn thông tin

- Giao Sở Thông tin và Truyền thông tỉnh chủ trì lựa chọn/thuê tổ chức, doanh nghiệp độc lập với tổ chức, doanh nghiệp giám sát, bảo vệ để định kỳ kiểm tra, đánh giá an toàn thông tin mạng đối với hệ thống thông tin cấp độ 3 trở lên thuộc quyền quản lý hoặc kiểm tra, đánh giá đột xuất khi có yêu cầu theo quy định của pháp luật. Hoàn thành trước ngày 30/11/2020;

- Đối với các hệ thống thông tin cấp độ 3 và cấp độ 4, định kỳ hàng năm thực hiện kiểm tra, đánh giá và báo cáo Bộ Thông tin và Truyền thông trước ngày 14/2 hàng năm để tổng hợp, báo cáo Thủ tướng Chính phủ;

- Thực hiện đánh giá tổng thể về các khía cạnh từ hạ tầng mạng, ứng dụng, con người cho đến các quy trình vận hành để chỉ ra các điểm yếu của hệ thống;

- Phát hiện và loại bỏ những cấu hình, điểm yếu không an toàn khi triển khai cài đặt mới hệ thống, cũng như đối với các hệ thống đang vận hành nhằm tăng cường và bảo đảm an toàn cho hệ thống theo quy định của Nhà nước; tư vấn, khuyến nghị các biện pháp để nâng cao khả năng bảo mật cho hệ thống. Đánh giá mức độ tuân thủ các chính sách an toàn thông tin của người dùng trong tổ chức.

4. Thực hiện kết nối, chia sẽ với hệ thống giám sát Quốc gia: Giao Sở Thông tin và Truyền thông tỉnh chủ trì, phối hợp với đơn vị cung cấp phần mềm lập phương án kỹ thuật, thực hiện việc kết nối chia sẻ thông tin hệ thống Giám sát an toàn thông tin tỉnh Kon Tum với hệ thống Giám sát Quốc gia. Hoàn thành trước ngày 30/9/2020.

IV. Kinh phí thực hiện: Từ nguồn vốn sự nghiệp tỉnh.

V. Tổ chức thực hiện

1. Thủ trưởng các cơ quan chuyên môn thuộc Ủy ban nhân dân tỉnh, Chủ tịch Ủy ban nhân dân các huyện, thành phố: Chỉ đạo các bộ phận có liên quan, phối hợp chặt chẽ với Sở Thông tin và Truyền thông tỉnh và các nhà cung cấp dịch vụ ứng dụng công nghệ thông tin cho đơn vị, cho các hệ thống thông tin của tỉnh Kon Tum trong việc triển khai bảo đảm an toàn thông tin cho hệ thống thông tin tỉnh Kon Tum theo mô hình “4 lớp” nêu trên.

2. Sở Thông tin và Truyền thông: Chủ trì, phối hợp Sở Tài chính tham mưu Ủy ban nhân dân tỉnh xem xét, bố trí kinh phí thực hiện các nội dung nhiệm vụ theo quy định của pháp luật hiện hành về ngân sách nhà nước.

3. Sở Tài chính: Phối hợp với Sở Thông tin và Truyền thông tham mưu Ủy ban nhân dân tỉnh bố trí kinh phí để triển khai thực hiện các nội dung của Kế hoạch phù hợp với khả năng ngân sách, đúng qui định và theo phân cấp ngân sách nhà nước hiện hành, bảo đảm tiết kiệm, hiệu quả.

Căn cứ nội dung Kế hoạch, các cơ quan, đơn vị, địa phương triển khai thực hiện. Quá trình triển khai nếu có khó khăn, vướng mắc, kịp thời phản ánh về Sở Thông tin và Truyền thông để tổng hợp, báo cáo Ủy ban nhân dân tỉnh xem xét, chỉ đạo./.