Quyết định 1588/QĐ-UBND năm 2023 về Quy chế Bảo đảm an toàn thông tin Hệ thống thông tin Văn phòng Ủy ban nhân dân tỉnh Vĩnh Long

QUYẾT ĐỊNH

BAN HÀNH QUY CHẾ BẢO ĐẢM AN TOÀN THÔNG TIN HỆ THỐNG THÔNG TIN VĂN PHÒNG UBND TỈNH

CHỦ TỊCH ỦY BAN NHÂN DÂN TỈNH

Căn cứ Luật Tổ chức Chính quyền địa phương ngày 19/6/2015; Luật sửa đổi, bổ sung một số điều của Luật Tổ chức Chính phủ và Luật Tổ chức Chính quyền địa phương ngày 22/11/2019;

Căn cứ Luật Công nghệ thông tin ngày 29 tháng 6 năm 2006;

Căn cứ Luật An toàn thông tin mạng ngày 19 tháng 11 năm 2015;

Căn cứ Luật An ninh mạng ngày 12 tháng 6 năm 2018;

Căn cứ Nghị định số 85/2016/NĐ-CP, ngày 01 tháng 7 năm 2016 của Chính phủ về bảo đảm an toàn thông tin theo cấp độ;

Căn cứ Thông tư số 03/2013/TT-BTTTT ngày 22 tháng 01 năm 2013 của Bộ trưởng Bộ Thông tin và Truyền thông quy định áp dụng tiêu chuẩn, quy chuẩn kỹ thuật đối với Trung tâm dữ liệu;

Căn cứ Thông tư số 27/2017/TT-BTTTT ngày 20 tháng 10 năm 2017 của Bộ trưởng Bộ Thông tin và Truyền thông quy định về quản lý, vận hành, kết nối, sử dụng và bảo đảm an toàn thông tin trên mạng truyền số liệu chuyên dùng của các cơ quan Đảng, Nhà nước;

Căn cứ Thông tư số 31/2017/TT-BTTTT ngày 15 tháng 11 năm 2017 của Bộ trưởng Bộ Thông tin và Truyền thông quy định hoạt động giám sát an toàn hệ thống thông tin;

Căn cứ Thông tư số 39/2017/TT-BTTTT ngày 15 tháng 12 năm 2017 của Bộ trưởng Bộ Thông tin và Truyền thông ban hành danh mục tiêu chuẩn kỹ thuật về ứng dụng công nghệ thông tin trong cơ quan nhà nước;

Căn cứ Quyết định số 13/2023/QĐ-UBND ngày 20 tháng 6 năm 2023 của Ủy ban nhân dân tỉnh Quy định chức năng, nhiệm vụ, quyền hạn và cơ cấu tổ chức của Văn phòng Ủy ban nhân dân tỉnh Vĩnh Long;

Theo đề nghị tại Tờ trình số 921/TTr-VPUBND ngày 22 tháng 6 năm 2023 của Chánh Văn phòng Ủy ban nhân dân tỉnh.

QUYẾT ĐỊNH:

Điều 1. Ban hành kèm theo Quyết định này Quy chế Bảo đảm an toàn thông tin Hệ thống thông tin Văn phòng Ủy ban nhân dân tỉnh.

Điều 2. Giao Chánh Văn phòng Ủy ban nhân dân tỉnh chủ trì phối hợp các đơn vị có liên quan triển khai thực hiện, đảm bảo hiệu quả và tiết kiệm; định kỳ báo cáo kết quả thực hiện cho Chủ tịch Ủy ban nhân dân tỉnh theo quy định.

Điều 3. Chánh Văn phòng Ủy ban nhân dân tỉnh, Thủ trưởng các sở, ban, ngành tỉnh, Chủ tịch Ủy ban nhân dân các huyện, thị xã, thành phố và các cơ quan, đơn vị có liên quan chịu trách nhiệm thi hành Quyết định.

Quyết định có hiệu lực thi hành kể từ ngày ký./.

QUY CHẾ

BẢO ĐẢM AN TOÀN THÔNG TIN HỆ THỐNG THÔNG TIN VĂN PHÒNG UBND TỈNH
(Ban hành kèm theo Quyết định số 1588/QĐ-UBND ngày 06/7/2023 của Chủ tịch UBND tỉnh)

Chương I:

QUY ĐỊNH CHUNG

Điều 1. Phạm vi điều chỉnh, đối tượng áp dụng

1. Quy chế này quy định phạm vi tài nguyên thông tin, các nguyên tắc, biện pháp, quy trình xử lý về công tác đảm bảo an toàn thông tin (ATTT) cho Hệ thống thông tin Văn phòng UBND tỉnh.

QUYẾT ĐỊNH

BAN HÀNH QUY CHẾ BẢO ĐẢM AN TOÀN THÔNG TIN HỆ THỐNG THÔNG TIN VĂN PHÒNG UBND TỈNH

CHỦ TỊCH ỦY BAN NHÂN DÂN TỈNH

Căn cứ Luật Tổ chức Chính quyền địa phương ngày 19/6/2015; Luật sửa đổi, bổ sung một số điều của Luật Tổ chức Chính phủ và Luật Tổ chức Chính quyền địa phương ngày 22/11/2019;

Căn cứ Luật Công nghệ thông tin ngày 29 tháng 6 năm 2006;

Căn cứ Luật An toàn thông tin mạng ngày 19 tháng 11 năm 2015;

Căn cứ Luật An ninh mạng ngày 12 tháng 6 năm 2018;

Căn cứ Nghị định số 85/2016/NĐ-CP, ngày 01 tháng 7 năm 2016 của Chính phủ về bảo đảm an toàn thông tin theo cấp độ;

Căn cứ Thông tư số 03/2013/TT-BTTTT ngày 22 tháng 01 năm 2013 của Bộ trưởng Bộ Thông tin và Truyền thông quy định áp dụng tiêu chuẩn, quy chuẩn kỹ thuật đối với Trung tâm dữ liệu;

Căn cứ Thông tư số 27/2017/TT-BTTTT ngày 20 tháng 10 năm 2017 của Bộ trưởng Bộ Thông tin và Truyền thông quy định về quản lý, vận hành, kết nối, sử dụng và bảo đảm an toàn thông tin trên mạng truyền số liệu chuyên dùng của các cơ quan Đảng, Nhà nước;

Căn cứ Thông tư số 31/2017/TT-BTTTT ngày 15 tháng 11 năm 2017 của Bộ trưởng Bộ Thông tin và Truyền thông quy định hoạt động giám sát an toàn hệ thống thông tin;

Căn cứ Thông tư số 39/2017/TT-BTTTT ngày 15 tháng 12 năm 2017 của Bộ trưởng Bộ Thông tin và Truyền thông ban hành danh mục tiêu chuẩn kỹ thuật về ứng dụng công nghệ thông tin trong cơ quan nhà nước;

Căn cứ Quyết định số 13/2023/QĐ-UBND ngày 20 tháng 6 năm 2023 của Ủy ban nhân dân tỉnh Quy định chức năng, nhiệm vụ, quyền hạn và cơ cấu tổ chức của Văn phòng Ủy ban nhân dân tỉnh Vĩnh Long;

Theo đề nghị tại Tờ trình số 921/TTr-VPUBND ngày 22 tháng 6 năm 2023 của Chánh Văn phòng Ủy ban nhân dân tỉnh.

QUYẾT ĐỊNH:

Điều 1. Ban hành kèm theo Quyết định này Quy chế Bảo đảm an toàn thông tin Hệ thống thông tin Văn phòng Ủy ban nhân dân tỉnh.

Điều 2. Giao Chánh Văn phòng Ủy ban nhân dân tỉnh chủ trì phối hợp các đơn vị có liên quan triển khai thực hiện, đảm bảo hiệu quả và tiết kiệm; định kỳ báo cáo kết quả thực hiện cho Chủ tịch Ủy ban nhân dân tỉnh theo quy định.

Điều 3. Chánh Văn phòng Ủy ban nhân dân tỉnh, Thủ trưởng các sở, ban, ngành tỉnh, Chủ tịch Ủy ban nhân dân các huyện, thị xã, thành phố và các cơ quan, đơn vị có liên quan chịu trách nhiệm thi hành Quyết định.

Quyết định có hiệu lực thi hành kể từ ngày ký./.

QUY CHẾ

BẢO ĐẢM AN TOÀN THÔNG TIN HỆ THỐNG THÔNG TIN VĂN PHÒNG UBND TỈNH
(Ban hành kèm theo Quyết định số 1588/QĐ-UBND ngày 06/7/2023 của Chủ tịch UBND tỉnh)

Chương I:

QUY ĐỊNH CHUNG

Điều 1. Phạm vi điều chỉnh, đối tượng áp dụng

1. Quy chế này quy định phạm vi tài nguyên thông tin, các nguyên tắc, biện pháp, quy trình xử lý về công tác đảm bảo an toàn thông tin (ATTT) cho Hệ thống thông tin Văn phòng UBND tỉnh.

2. Quy chế này áp dụng đối với Văn phòng UBND tỉnh, các sở ban ngành tỉnh, UBND cấp huyện, UBND cấp xã (sau đây gọi là cơ quan, đơn vị); cán bộ, công chức, viên chức, người lao động trong cơ quan, đơn vị (sau đây gọi là cá nhân) có tham gia vào hoạt động khai thác sử dụng các hệ thống thông tin dùng chung của tỉnh (bao gồm: Hệ thống thông tin Quản lý văn bản và điều hành, Hệ thống giải quyết thủ tục hành chính, Hệ thống Cổng thông tin điện tử, Hệ thống báo cáo, Hệ thống họp không giấy,…) do Văn phòng UBND tỉnh quản lý sau đây gọi là Hệ thống thông tin Văn phòng UBND tỉnh hoặc kết nối vào Hệ thống thông tin Văn phòng UBND tỉnh.

Điều 2. Mục tiêu và nguyên tắc đảm bảo an toàn thông tin

1. Mục tiêu đảm bảo an toàn thông tin

a) Nâng cao nhận thức về vai trò quan trọng của công tác đảm bảo ATTT trong quản lý, ứng dụng công nghệ thông tin; phòng chống và bảo vệ thông tin trên không gian mạng tại cơ quan, đơn vị và trên môi trường Internet.

b) Nhằm chủ động phòng ngừa, ngăn chặn có hiệu quả và giảm các nguy cơ gây mất ATTT và đảm bảo ATTT trong quá trình vận hành ứng dụng công nghệ thông tin trong hoạt động của cơ quan, đơn vị.

2. Nguyên tắc đảm bảo an toàn thông tin

a) Hoạt động đảm bảo ATTT của cơ quan, đơn vị phải đúng quy định của pháp luật, giữ bí mật cá nhân, nhà nước, cơ quan, đơn vị.

b) Việc xử lý sự cố ATTT mạng phải đảm bảo quyền và lợi ích hợp pháp của tổ chức, cá nhân, không xâm phạm đến đời sống riêng tư, bí mật cá nhân, bí mật gia đình của cá nhân, thông tin cơ quan, đơn vị.

c) Chủ động phòng ngừa, phát hiện, ngăn chặn kịp thời và hiệu quả các nguy cơ đe dọa ATTT của cơ quan, đơn vị.

d) Thông tin thuộc quy định danh mục bí mật nhà nước của các cơ quan, đơn vị phải được phân loại, lưu trữ, bảo vệ trên cơ sở quy định của pháp luật về bảo vệ bí mật nhà nước.

đ) Việc đảm bảo ATTT là yêu cầu bắt buộc trong quá trình thiết kế, xây dựng, vận hành, nâng cấp và hủy bỏ các hệ thống thông tin, hạ tầng kỹ thuật của cơ quan, đơn vị.

Điều 3. Giải thích từ ngữ

Trong Quy chế này, các từ ngữ dưới đây được hiểu như sau:

1. An toàn thông tin là sự bảo vệ thông tin và các hệ thống thông tin tránh bị truy nhập, sử dụng, tiết lộ, gián đoạn, sửa đổi hoặc phá hoại trái phép nhằm đảm bảo tính nguyên vẹn, tính bảo mật và tính khả dụng của thông tin.

2. Sự cố an toàn thông tin là việc thông tin, hệ thống thông tin bị gây nguy hại, ảnh hưởng tới tính nguyên vẹn, tính bảo mật hoặc tính khả dụng.

3. Xâm phạm ATTT là hành vi truy nhập, sử dụng, tiết lộ, làm gián đoạn, sửa đổi, làm sai lệch chức năng, phá hoại trái phép thông tin và hệ thống thông tin.

4. Hạ tầng kỹ thuật là tập hợp thiết bị tính toán, lưu trữ, thiết bị ngoại vi, thiết bị kết nối mạng, thiết bị phụ trợ, đường truyền, mạng nội bộ, mạng diện rộng.

5. Hệ thống thông tin là tập hợp phần cứng, phần mềm và cơ sở dữ liệu được thiết lập phục vụ mục đích tạo lập, cung cấp, truyền đưa, thu thập, xử lý, lưu trữ và trao đổi thông tin trên môi trường mạng.

6. Trang thông tin điện tử là trang thông tin hoặc một tập hợp trang thông tin trên môi trường mạng phục vụ cho việc cung cấp, trao đổi thông tin.

7. Cổng thông tin điện tử là điểm truy nhập duy nhất của cơ quan, đơn vị trên môi trường mạng, liên kết, tích hợp các kênh thông tin, các dịch vụ và các ứng dụng mà qua đó người dùng có thể khai thác, sử dụng và cá nhân hóa việc hiển thị thông tin.

8. Phần mềm độc hại là phần mềm có khả năng gây ra hoạt động không bình thường cho một phần hay toàn bộ hệ thống thông tin hoặc thực hiện sao chép, sửa đổi, xóa bỏ trái phép thông tin lưu trữ trong hệ thống thông tin.

9. Cổng giao tiếp dùng để định danh các ứng dụng gửi và nhận dữ liệu. Mỗi ứng dụng sẽ được gắn tương ứng (không cố định) với một cổng giao tiếp. Những ứng dụng phổ biến được đặt với số hiệu cổng định trước, nhằm định danh duy nhất các ứng dụng đó. Khi máy tính sử dụng dịch vụ nào thì cổng giao tiếp tương ứng với dịch vụ đó sẽ mở.

10. Bản ghi nhật ký hệ thống là một tập tin được tạo ra trên mỗi thiết bị của hệ thống thông tin như: thiết bị bảo mật, thiết bị tính toán, máy chủ ứng dụng, ... có chứa tất cả thông tin về các hoạt động xảy ra trên thiết bị đó. Bản ghi nhật ký hệ thống dùng để phân tích những sự kiện đã xảy ra, nguồn gốc và các kết quả để có các biện pháp xử lý thích hợp.

11. Thiết bị lưu trữ dữ liệu di động là thiết bị được sử dụng để đọc, ghi dữ liệu có thể được di chuyển tới nhiều nơi, nhiều người có thể sử dụng (ổ cứng di động, USB, máy tính xách tay, thẻ nhớ, CD, DVD,...).

12. Lưu trữ trên môi trường mạng là phương thức lưu trữ sử dụng các ứng dụng lưu trữ của các nhà cung cấp. Dữ liệu được đưa lên máy chủ của nhà cung cấp dịch vụ lưu trữ.

13. Thông tin cá nhân là thông tin gắn với việc xác định danh tính của một người cụ thể.

14. Xử lý thông tin cá nhân là việc thực hiện một hoặc một số thao tác thu thập, biên tập, sử dụng, lưu trữ, cung cấp, chia sẻ, phát tán thông tin cá nhân trên mạng nhằm mục đích thương mại.

Điều 4. Tài nguyên thông tin cần đảm bảo an toàn thông tin

Tài nguyên thông tin cần đảm bảo ATTT của Hệ thống thông tin Văn phòng UBND tỉnh bao gồm các thành phần sau đây:

1. Hệ thống hạ tầng kỹ thuật:

a) Thiết bị tính toán, lưu trữ: Máy chủ, máy trạm, thiết bị lưu trữ (SAN), tường lửa (Firewall),...

b) Thiết bị ngoại vi: Máy in, máy quét và các thiết bị số hóa, thiết bị lưu trữ dữ liệu di động,...

c) Đường truyền dữ liệu, đường kết nối Internet.

d) Mạng nội bộ (LAN), mạng diện rộng (WAN) và thiết bị kết nối mạng, thiết bị bảo mật, thiết bị phụ trợ.

đ) Thiết bị công nghệ thông tin được kết nối mạng trong các cơ quan, đơn vị.

2. Hệ thống thông tin, phần mềm, ứng dụng và cơ sở dữ liệu đang được lưu giữ (hosting) tại Hệ thống mạng tin học Văn phòng UBND tỉnh.

3. Thông tin, dữ liệu được trao đổi, truyền tải, xử lý và lưu trữ trên hạ tầng kỹ thuật của cơ quan, đơn vị.

Điều 5. Các hành vi bị nghiêm cấm

1. Vi phạm các quy định, quy chế, quy trình về quản lý, vận hành, sử dụng và đảm bảo ATTT đối với hạ tầng kỹ thuật và hệ thống thông tin của cơ quan, đơn vị.

2. Vi phạm các quy chế quản lý, vận hành Hệ thống thông tin Văn phòng UBND tỉnh (bao gồm: Hệ thống thông tin quản lý Văn bản và điều hành, Hệ thống Cổng thông tin điện tử, Hệ thống thông tin báo cáo, Hệ thống thông tin giải quyết thủ tục hành chính, Hệ thống họp không giấy,…)

3. Ngăn chặn việc truyền tải thông tin, can thiệp, truy nhập, gây nguy hại, xóa, thay đổi, sao chép và làm sai lệch thông tin trên không gian mạng của cơ quan, đơn vị, mạng Internet trái quy định.

4. Làm ảnh hưởng, cản trở, tấn công, chiếm quyền điều khiển, phá hoại hoạt động bình thường hoặc tới khả năng truy nhập các tài nguyên thông tin của cơ quan, đơn vị.

5. Tấn công, vô hiệu hóa tác dụng của các dịch vụ ATTT mạng của cơ quan, đơn vị.

6. Sử dụng tài nguyên của cơ quan, đơn vị để phát tán thư rác, phần mềm độc hại, thiết lập hệ thống thông tin giả mạo, lừa đảo.

7. Xử lý thông tin cá nhân trái với quy định của pháp luật; lợi dụng sơ hở, điểm yếu của hệ thống quản lý tài nguyên thông tin để xử lý thông tin cá nhân, bí mật cơ quan, nhà nước.

8. Lợi dụng hoặc lạm dụng hoạt động bảo vệ tài nguyên thông tin mạng để xâm phạm chủ quyền, lợi ích, an ninh quốc gia, trật tự, an toàn xã hội, quyền và lợi ích hợp pháp của cơ quan, tổ chức, cá nhân hoặc để trục lợi.

9. Tự ý thay đổi, gỡ bỏ biện pháp an toàn thông tin cài đặt trên thiết bị công nghệ thông tin phục vụ công việc; tự ý thay thế, lắp mới, tráo đổi thành phần của máy tính phục vụ công việc.

10. Tự ý đấu nối thiết bị mạng, thiết bị cấp phát địa chỉ mạng, thiết bị phát sóng như điểm truy cập mạng không dây của cá nhân vào mạng nội bộ mà không có sự hướng dẫn hoặc đồng ý của đơn vị quản lý hệ thống thông tin; trên cùng một thiết bị thực hiện đồng thời truy cập vào mạng nội bộ và truy cập Internet bằng thiết bị kết nối Internet của cá nhân.

Chương II

QUY ĐỊNH ĐẢM BẢO AN TOÀN THÔNG TIN

Điều 6. Đảm bảo an toàn thông tin mức vật lý

1. Đảm bảo ATTT mức vật lý là việc bảo vệ hệ thống hạ tầng kỹ thuật, phần mềm, ứng dụng và cơ sở dữ liệu khỏi các mối nguy hiểm vật lý (như: cháy, nổ; nhiệt độ, độ ẩm ngoài mức cho phép; thiên tai; mất điện; tác động cơ học) có thể gây ảnh hưởng đến hoạt động hệ thống.

2. Các biện pháp đảm bảo ATTT mức vật lý bao gồm

a) Quản lý Trung tâm Dữ liệu Văn phòng UBND tỉnh

- Các thiết bị kết nối mạng, thiết bị bảo mật quan trọng như: Tường lửa, thiết bị định tuyến, hệ thống máy chủ, hệ thống lưu trữ (SAN), hệ thống sao lưu (NAS),... phải được đặt trong Trung tâm Dữ liệu.

- Máy chủ phải được bảo vệ, theo dõi, và kiểm soát truy nhập, kết nối vật lý phù hợp đối với từng khu vực: máy chủ và hệ thống lưu trữ; kết nối mạng; thiết bị nguồn điện và dự phòng điện khẩn cấp; vận hành, kiểm soát, quản trị hệ thống.

- Quá trình vào, ra Trung tâm Dữ liệu phải được ghi nhận vào nhật ký quản lý Trung tâm Dữ liệu. Chỉ những cá nhân có quyền, được giao nhiệm vụ theo quy định của Thủ trưởng cơ quan, đơn vị mới được phép vào Trung tâm Dữ liệu. Cá nhân ngoài đơn vị chỉ được phép vào Trung tâm Dữ liệu khi được sự cho phép của Thủ trưởng của cơ quan, đơn vị hoặc lãnh đạo phụ trách quản lý.

- Có phương án, kế hoạch phòng, chống và khắc phục sự cố ngập, dột nước, sét, tĩnh điện, cháy nổ; áp dụng các quy chuẩn kỹ thuật về an toàn kỹ thuật nhiệt, độ ẩm, ánh sáng cho các thiết bị tính toán, lưu trữ; đảm bảo điều kiện hoạt động ổn định cho các hệ thống hỗ trợ như máy điều hòa nhiệt độ, nguồn cấp điện, dây dẫn.

- Trung tâm Dữ liệu phải được trang bị hệ thống lưu điện đủ công suất và duy trì thời gian hoạt động của các máy chủ ít nhất 15 phút khi có sự cố mất điện.

b) Thiết lập cơ chế dự phòng đối với các thiết bị hạ tầng kỹ thuật quan trọng; có kế hoạch kiểm tra, bảo dưỡng định kỳ và duy trì thông số kỹ thuật các thiết bị này hoặc có phương án sửa chữa, thay thế đáp ứng yêu cầu về độ sẵn sàng trong suốt thời gian lắp đặt, sử dụng.

c) Các đường truyền dữ liệu, đường truyền Internet và hệ thống dây dẫn các mạng WAN, LAN phải được lắp đặt trong ống, máng che đậy kín, hạn chế khả năng tiếp cận trái phép. Ngắt kết nối cổng Ethernet không sử dụng, đặc biệt là ở khu vực làm việc chung của các cơ quan, đơn vị.

d) Cá nhân sử dụng thiết bị lưu trữ dữ liệu di động để lưu trữ thông tin, cơ quan, đơn vị mình có trách nhiệm bảo vệ thiết bị này và thông tin lưu trên thiết bị, tránh làm mất hoặc lộ, lọt thông tin, dữ liệu. Không mang ra nước ngoài thông tin, dữ liệu của cơ quan, đơn vị, của Nhà nước mà không liên quan tới nội dung công việc thực hiện ở nước ngoài.

đ) Thiết bị tính toán có bộ phận lưu trữ hoặc thiết bị lưu trữ khi mang đi bảo hành, bảo dưỡng, sửa chữa bên ngoài hoặc ngừng sử dụng phải được tháo bộ phận lưu trữ khỏi thiết bị hoặc xóa thông tin, dữ liệu lưu trữ trên thiết bị (trừ trường hợp để khôi phục dữ liệu). Khi thanh lý thiết bị thì phải xóa thông tin lưu trữ trên thiết bị đảm bảo không thể phục hồi, bằng thiết bị hủy dữ liệu chuyên dụng hoặc phá hủy vật lý.

e) Thiết bị đầu cuối phải đảm bảo đầy đủ thông tin (tên, chủng loại, địa chỉ MAC, địa chỉ IP) phải được quản lý và cập nhật; việc cài đặt, kết nối và gỡ bỏ thiết bị đầu cuối trong hệ thống phải được cho phép bởi người có thẩm quyền và thực hiện theo quy trình được phê duyệt.

Điều 7. Đảm bảo an toàn hệ thống máy chủ và ứng dụng

1. Quản lý, vận hành hoạt động bình thường của hệ thống máy chủ và dịch vụ

- Bảo đảm cho hệ điều hành, phần mềm cài đặt trên máy chủ hoạt động liên tục, ổn định và an toàn.

- Thường xuyên kiểm tra cấu hình, các file nhật ký hoạt động của hệ điều hành, phần mềm nhằm kịp thời phát hiện và xử lý những sự cố nếu có.

- Quản lý các thay đổi cấu hình kỹ thuật của hệ điều hành, phần mềm.

- Có phương án cập nhật bản vá, xử lý điểm yếu an toàn thông tin cho hệ điều hành và các dịch vụ hệ thống trên máy chủ;

- Loại bỏ các thành phần của hệ điều hành, phần mềm không cần thiết hoặc không còn nhu cầu sử dụng.

- Các bản quyền phần mềm cần được thống kê, quản lý thời gian hạn phục vụ cho việc gia hạn.

2. Truy cập mạng của máy chủ

Bảo đảm các kết nối mạng trên máy chủ hoạt động liên tục, ổn định và an toàn. Cấu hình, kiểm soát các kết nối, các cổng dịch vụ từ bên trong đi ra cũng nhưng bên ngoài vào hệ thống.

3. Truy cập và quản trị máy chủ và ứng dụng

- Thay đổi các tài khoản, mật khẩu mặc định ngay khi đưa hệ điều hành, phần mềm vào sử dụng.

- Cấp quyền quản lý truy cập của người sử dụng trên máy chủ cài đặt hệ điều hành.

- Toàn bộ máy chủ và thiết bị công nghệ thông tin không phải máy tính ngoại trừ các hệ thống bắt buộc phải có giao tiếp với Internet (các hệ thống phục vụ truy cập Internet; cung cấp giao diện ra Internet của Trang tin điện tử, dịch vụ công, thư điện tử; phục vụ cập nhật bản vá hệ điều hành, mẫu mã độc, mẫu điểm yếu, mẫu tấn công) không được kết nối Internet.

4. Cập nhật, sao lưu dự phòng và khôi phục sau khi xảy ra sự cố: Triển khai hệ thống/phương tiện lưu trữ độc lập với hệ thống lưu trữ trên các máy chủ dịch vụ để sao lưu dự phòng; phân loại và quản lý thông tin, dữ liệu được lưu trữ theo từng loại/nhóm thông tin được gán nhãn khác nhau; thực hiện sao lưu, dự phòng các thông tin, dữ liệu cơ bản sau: tập tin cấu hình hệ thống, ảnh hệ điều hành máy chủ, cơ sở dữ liệu; dữ liệu, thông tin nghiệp vụ.

5. Khi truy cập và sử dụng thiết bị đầu cuối từ xa phải có cơ chế xác thực và sử dụng giao thức mạng an toàn.

Điều 8. Quản lý an toàn người sử dụng đầu cuối

1. Cá nhân sử dụng máy tính để xử lý công việc tuân thủ các quy định sau:

a) Chỉ cài đặt phần mềm hợp lệ (phần mềm có bản quyền thương mại, phần mềm nội bộ được đầu tư hoặc phần mềm mã nguồn mở có nguồn gốc rõ ràng) và thuộc danh mục phần mềm được phép sử dụng do cơ quan, đơn vị theo quy định trên máy tính được cơ quan, đơn vị cấp cho mình; không được tự ý cài đặt hoặc gỡ bỏ các phần mềm khi chưa có sự đồng ý của bộ phận kỹ thuật của cơ quan, đơn vị; thường xuyên cập nhật phần mềm và hệ điều hành.

b) Cài đặt phần mềm xử lý phần mềm độc hại và thiết lập chế độ tự động cập nhật cơ sở dữ liệu cho phần mềm; thực hiện kiểm tra, rà quét phần mềm độc hại khi sao chép, mở các tập tin hoặc trước khi kết nối các thiết bị lưu trữ dữ liệu di động với máy tính của mình.

c) Khi phát hiện ra bất kỳ dấu hiệu nào liên quan đến việc bị nhiễm phần mềm độc hại trên máy tính (máy chạy chậm bất thường, cảnh báo từ phần mềm phòng, chống phần mềm độc hại, mất dữ liệu,...), phải tắt máy và báo trực tiếp cho bộ phận kỹ thuật để được xử lý kịp thời.

d) Chỉ truy nhập vào các Cổng hoặc trang thông tin điện tử, ứng dụng trực tuyến tin cậy và các thông tin phù hợp với chức năng, trách nhiệm, quyền hạn của mình; sử dụng những trình duyệt an toàn; không truy nhập, mở các trang tin, thư điện tử không rõ nguồn gốc; không sử dụng tính năng lưu mật khẩu tự động hoặc đăng nhập tự động.

đ) Có trách nhiệm bảo mật tài khoản truy nhập thông tin, không chia sẻ mật khẩu, thông tin cá nhân với người khác. Đặt mật khẩu với độ an toàn cao (có độ dài tối thiểu 8 ký tự bao gồm chữ thường, chữ in hoa, số và ký tự đặc biệt như @, #, !,...) và thay đổi mật khẩu ít nhất 03 tháng/lần; các tài khoản đăng nhập các hệ thống phải được đăng xuất khi không sử dụng; thường xuyên xóa các biểu mẫu, mật khẩu, thông tin lưu trên trình duyệt máy tính (bộ nhớ cache và cookie).

e) Thực hiện thao tác khóa máy tính (phím Window + L) khi rời khỏi nơi đặt máy tính; tắt máy tính khi rời khỏi cơ quan.

g) Báo cáo và phải được thủ trưởng cơ quan, đơn vị đồng ý, cho phép trước khi mang máy tính, thiết bị công nghệ thông tin có kết nối mạng thuộc sở hữu riêng đến nơi làm việc và kết nối với mạng nội bộ để thực hiện xử lý công việc. Trong trường hợp này, cá nhân phải tuân thủ đầy đủ các quy định tại các điểm a, b, c, d, e khoản này và chịu sự giám sát của bộ phận kỹ thuật của cơ quan, đơn vị.

2. Cơ quan, đơn vị có trách nhiệm tập hợp, cập nhật tài liệu hướng dẫn, quy định về đảm bảo ATTT khi sử dụng máy tính (cho phù hợp với điều kiện môi trường hoạt động, tình hình phát triển công nghệ thông tin) và phổ biến đến tất cả cá nhân thuộc phạm vi cơ quan, đơn vị mình để tuân thủ thực hiện.

3. Tài khoản truy nhập

a) Cá nhân sử dụng hệ thống thông tin được cấp và sử dụng tài khoản truy nhập với định danh duy nhất gắn với cá nhân đó.

b) Trường hợp cá nhân thay đổi vị trí công tác, chuyển công tác, thôi việc hoặc nghỉ hưu, cơ quan, trong vòng không quá 05 ngày làm việc, bộ phận quản lý cán bộ phải thông báo cho bộ phận kỹ thuật quản lý để điều chỉnh, thu hồi, hủy bỏ các quyền sử dụng đối với hệ thống thông tin.

c) Tài khoản quản trị hệ thống (mạng, hệ điều hành, thiết bị kết nối mạng, phần mềm, ứng dụng, cơ sở dữ liệu) phải tách biệt với tài khoản truy nhập của người sử dụng thông thường. Tài khoản quản trị hệ thống phải được giao đích danh cá nhân làm công tác quản trị. Hạn chế dùng chung tài khoản quản trị. Cá nhân được giao tài khoản quản trị hệ thống phải thực hiện cam kết về bảo mật thông tin khi được giao sử dụng. Thực hiện hạn chế IP, giới hạn đăng nhập dựa trên địa chỉ IP đối với tài khoản quản trị hệ thống.

Điều 9. Đảm bảo an toàn thông tin đối với mạng máy tính

1. Hệ thống mạng của hệ thống phải được thiết kế phân vùng theo chức năng, bao gồm: vùng mạng người dùng; vùng mạng kết nối hệ thống với mạng Internet và các mạng khác; vùng mạng máy chủ công cộng; vùng mạng máy chủ nội bộ; vùng mạng máy chủ quản trị. Dữ liệu trao đổi giữa các vùng mạng phải được quản lý, giám sát bởi các hệ thống các thiết bị mạng, thiết bị bảo mật. Theo yêu cầu về bảo mật an toàn dữ liệu theo cấp độ, đơn vị quản lý, vận hành phải triển khai các biện pháp kỹ thuật sau đây:

a) Kiểm soát truy nhập từ bên ngoài mạng (sử dụng các giao thức mạng có hỗ trợ chức năng mã hóa thông tin như SSH, SSL/TLS, VPN hoặc tương đương).

b) Kiểm soát truy nhập từ bên trong mạng (quản lý các thiết bị đầu cuối, máy tính người sử dụng kết nối vào hệ thống mạng; giám sát, phát hiện và ngăn chặn truy nhập từ bên trong mạng đến các địa chỉ Internet bị cấm truy nhập).

c) Phòng, chống xâm nhập và phần mềm độc hại, bảo vệ các vùng mạng máy chủ công cộng, máy chủ nội bộ, máy chủ cơ sở dữ liệu và vùng mạng nội bộ; có khả năng tự động cập nhật thời gian thực cơ sở dữ liệu, dấu hiệu phát hiện tấn công. Vô hiệu hóa tất cả các dịch vụ không cần thiết tại từng vùng mạng.

d) Cấu hình chức năng xác thực trên các thiết bị kết nối mạng để xác thực người sử dụng quản trị thiết bị trực tiếp hoặc từ xa.

đ) Mạng không dây phải có cơ chế bảo toàn tính toàn vẹn và bí mật của thông tin được truyền đưa trên môi trường mạng, có hướng dẫn đảm bảo ATTT dành cho các thiết bị đầu cuối khi kết nối vào mạng; có giải pháp phân chia vùng mạng dành riêng cho từng đối tượng sử dụng nhằm đảm bảo an toàn thông tin cho người dùng và hệ thống; thiết lập các tham số: tên, nhận dạng dịch vụ (SSID), mật khẩu, cấp phép truy nhập đối với địa chỉ vật lý (MAC address), mã hóa dữ liệu. Thường xuyên thay đổi mật khẩu. Các điểm truy nhập không dây phải được bảo vệ, tránh bị tiếp cận trái phép.

e) Hệ thống máy chủ phải có chức năng tự động cập nhật bản ghi nhật ký hệ thống trong khoảng thời gian nhất định (tối thiểu là 03 tháng), lưu trữ thông tin kết nối mạng, quá trình đăng nhập vào máy chủ, các thao tác cấu hình hệ thống, lỗi phát sinh trong quá trình hoạt động và các thông tin liên quan về ATTT để phục vụ công tác khắc phục sự cố và điều tra về ATTT khi xảy ra. Xóa sạch thông tin, dữ liệu trên máy chủ khi chuyển giao hoặc thay đổi mục đích sử dụng.

g) Theo yêu cầu thực tế về đảm bảo ATTT theo mức độ của hệ thống, đơn vị chuyên trách về ATTT của cơ quan, đơn vị chủ động tham mưu các giải pháp triển khai thực hiện theo quy định.

2. Phòng chống phần mềm độc hại

a) Tất cả máy trạm, máy chủ phải được trang bị phần mềm chống mã độc có bản quyền và phải được cập nhật thường xuyên. Các phần mềm phòng chống mã độc phải được thiết lập chế độ tự động cập nhật; chế độ tự động quét mã độc khi sao chép, mở các tập tin.

b) Khi phát hiện ra bất kỳ dấu hiệu nào liên quan đến việc bị nhiễm mã độc trên máy trạm (ví dụ: máy hoạt động chậm bất thường, cảnh báo từ phần mềm phòng chống mã độc, mất dữ liệu,…), người sử dụng phải báo trực tiếp cho bộ phận có trách nhiệm của đơn vị để xử lý.

c) Phần mềm ứng dụng trước khi được cài đặt, sử dụng phải được kiểm tra phần mềm độc hại; tất cả các tập tin, thư mục phải được quét mã độc trước khi sao chép, sử dụng.

d) Định kỳ hàng năm thực hiện kiểm tra và dò quét phần mềm độc hại trên toàn bộ hệ thống; thực hiện kiểm tra và xử lý phần mềm độc hại khi phát hiện dấu hiệu hoặc cảnh báo về dấu hiệu phần mềm độc hại xuất hiện trên hệ thống.

3. Cơ quan, đơn vị phải áp dụng các biện pháp kỹ thuật cần thiết đảm bảo ATTT trong hoạt động kết nối Internet, tối thiểu đáp ứng các yêu cầu sau:

a) Có hệ thống tường lửa và hệ thống bảo vệ kiểm soát truy nhập Internet, đáp ứng nhu cầu kết nối đồng thời, hỗ trợ các công nghệ mạng riêng ảo thông dụng và có phần cứng mã hóa tích hợp để tăng tốc độ mã hóa dữ liệu, cung cấp đầy đủ các cơ chế bảo mật cơ bản như NAT, PAT, quản lý luồng dữ liệu ra, vào và có khả năng bảo vệ hệ thống trước các loại tấn công.

b) Lọc bỏ, không cho phép truy nhập các trang tin có nghi ngờ chứa mã độc hoặc các nội dung không phù hợp.

c) Không mở trang tin hoặc ứng dụng Internet trên máy tính chứa dữ liệu quan trọng hoặc có khả năng tiếp cận các dữ liệu, ứng dụng quan trọng; chỉ thiết lập kết nối Internet cho các máy chủ và thiết bị công nghệ thông tin cần phải có giao tiếp với Internet; thiết bị phải được cập nhật bản vá hệ điều hành, mẫu mã độc, mẫu điểm yếu, mẫu tấn công).

Điều 10. Đảm bảo an toàn thông tin mức ứng dụng

1. Cơ quan, đơn vị xây dựng, vận hành và sử dụng phần mềm, ứng dụng phải đáp ứng các yêu cầu sau:

a) Yêu cầu về đảm bảo ATTT phải được đưa vào tất cả các công đoạn thiết kế, xây dựng, triển khai và vận hành, sử dụng phần mềm.

b) Cấu hình phần mềm, ứng dụng để xác thực người sử dụng; giới hạn số lần đăng nhập sai liên tiếp; giới hạn thời gian chờ để đóng phiên kết nối; mã hóa thông tin xác thực trên hệ thống; không khuyến khích việc đăng nhập tự động.

c) Thiết lập phân quyền truy nhập, quản trị, sử dụng tài nguyên khác nhau của phần mềm, ứng dụng với người sử dụng/nhóm người sử dụng có chức năng, yêu cầu nghiệp vụ khác nhau; tách biệt cổng giao tiếp quản trị phần mềm ứng dụng với cổng giao tiếp cung cấp dịch vụ; đóng các cổng giao tiếp không sử dụng.

d) Chỉ cho phép sử dụng các giao thức mạng có hỗ trợ chức năng mã hóa thông tin như SSH, SSL/TLS, VPN hoặc tương đương khi truy nhập, quản trị phần mềm, ứng dụng từ xa thông trên môi trường mạng; hạn chế truy nhập tới mã nguồn của phần mềm, ứng dụng và phải đặt mã nguồn trong môi trường an toàn do bộ phận có trách nhiệm quản lý.

đ) Ghi và lưu giữ bản ghi nhật ký hệ thống của phần mềm, ứng dụng trong khoảng thời gian tối thiểu là 03 tháng với những thông tin cơ bản: thời gian, địa chỉ, tài khoản (nếu có), nội dung truy nhập và sử dụng phần mềm, ứng dụng; các lỗi phát sinh trong quá trình hoạt động; thông tin đăng nhập khi quản trị.

e) Thực hiện quy trình kiểm soát việc cài đặt, cập nhật, vá lỗi bảo mật phần mềm, ứng dụng trên các máy chủ, máy tính cá nhân, thiết bị kết nối mạng đang hoạt động thuộc hệ thống mạng nội bộ.

g) Kiểm tra và khắc phục điểm yếu của ứng dụng trước khi đưa vào sử dụng và trong quá trình sử dụng.

h) Xây dựng quy định và hướng dẫn về việc khai thác, sử dụng hệ thống thông tin có liên quan đến người dân.

2. Văn phòng UBND tỉnh có trách nhiệm phối hợp với các cơ quan, đơn vị tham mưu UBND tỉnh như sau:

a) Xây dựng kế hoạch, các phương án đảm bảo ATTT cho Hệ thống thông tin Văn phòng UBND tỉnh.

b) Thường xuyên theo dõi, giám sát ATTT và kiểm tra, rà soát hoạt động của Hệ thống thông tin Văn phòng UBND tỉnh.

c) Xây dựng phương án ứng cứu, khắc phục sự cố.

Điều 11. Đảm bảo an toàn thông tin mức dữ liệu

1. Cơ quan, đơn vị thực hiện bảo vệ thông tin, dữ liệu liên quan đến hoạt động công vụ, thông tin có nội dung quan trọng, nhạy cảm hoặc không phải là thông tin công khai như sau:

a) Thiết lập phương án đảm bảo tính bí mật, nguyên vẹn và khả dụng của thông tin, dữ liệu; giám sát, cảnh báo khi có thay đổi hoặc phát hiện, ngăn chặn các tác động truy nhập, gửi, nhận dữ liệu trái phép; khuyến khích áp dụng chữ ký số để xác thực và bảo mật thông tin, dữ liệu, đặc biệt trong trường hợp cần đảm bảo chống từ chối nguồn gốc dữ liệu.

b) Mã hóa thông tin, dữ liệu khi lưu trữ trên hệ thống lưu trữ/thiết bị lưu trữ dữ liệu di động; thiết lập phân vùng lưu trữ mã hóa, chỉ cho phép cá nhân có quyền, trách nhiệm truy nhập, lưu trữ dữ liệu trên phân vùng mã hóa.

c) Triển khai hệ thống/phương tiện lưu trữ độc lập với hệ thống lưu trữ trên các máy chủ dịch vụ để sao lưu dự phòng; phân loại và quản lý thông tin, dữ liệu được lưu trữ theo từng loại/nhóm thông tin được gán nhãn khác nhau; thực hiện sao lưu, dự phòng các thông tin, dữ liệu cơ bản sau: tập tin cấu hình hệ thống, ảnh hệ điều hành máy chủ, cơ sở dữ liệu; dữ liệu, thông tin nghiệp vụ.

d) Bố trí máy tính riêng không kết nối mạng, đặt mật khẩu, mã hóa dữ liệu, phân quyền tài khoản người dùng và các biện pháp bảo mật khác đảm bảo ATTT để soạn thảo, lưu trữ dữ liệu, thông tin và tài liệu quan trọng ở các mức độ mật, tối mật, tuyệt mật.

2. Cơ quan, đơn vị phải thường xuyên kiểm tra, giám sát hoạt động chia sẻ, gửi, nhận thông tin, dữ liệu trong hoạt động nội bộ của mình; khuyến cáo việc chia sẻ, gửi, nhận thông tin trên môi trường mạng cần phải sử dụng mật khẩu để bảo vệ thông tin.

3. Đối với hoạt động trao đổi thông tin, dữ liệu với bên ngoài, cơ quan, đơn vị và cá nhân thực hiện trao đổi thông tin, dữ liệu ra bên ngoài phải có biện pháp bảo mật thông tin, dữ liệu được trao đổi; yêu cầu bên ngoài đáp ứng các thỏa thuận kết nối, bảo vệ thông tin phù hợp với quy định về đảm bảo ATTT; thiết lập chức năng phát hiện dữ liệu đính kèm có phần mềm độc hại, cơ chế bảo mật truyền thông không dây, mã hóa thông tin, dữ liệu trước khi truyền đưa, trao đổi trên môi trường mạng theo quy định của pháp luật.

Điều 12. Đảm bảo an toàn thông tin khi tiếp nhận, vận hành và bảo trì hệ thống thông tin.

1. Khi tiếp nhận, phát triển, nâng cấp, bảo trì hệ thống thông tin, cơ quan, đơn vị phải tiến hành phân tích, xác định các rủi ro có thể xảy ra, đánh giá phạm vi tác động và phải chuẩn bị các biện pháp hạn chế, loại trừ các rủi ro này và yêu cầu các bên cung cấp, thi công, các cá nhân liên quan thực hiện một số yêu cầu như sau:

a) Có phương án đảm bảo ATTT được cơ quan, đơn vị có thẩm quyền của cơ quan chức năng thẩm định khi phát triển, mở rộng hoặc nâng cấp hệ thống thông tin.

b) Chỉ tiếp nhận và đưa vào vận hành hệ thống thông tin sau khi đã thực hiện nghiệm thu và kiểm thử hệ thống (được thẩm định, xác nhận và phê duyệt của cơ quan, đơn vị chuyên môn có thẩm quyền hoặc chủ quản hệ thống thông tin).

c) Hệ thống thông tin được tiếp nhận phải đi kèm:

- Tài liệu mô tả quy mô, phạm vi và đối tượng sử dụng, khai thác, quản lý vận hành hệ thống thông tin.

- Tài liệu mô tả các thành phần của hệ thống thông tin gồm: các vùng mạng chức năng, hệ thống thiết bị mạng, thiết bị bảo mật; hệ thống máy chủ hệ thống; hệ thống máy chủ ứng dụng; dịch vụ và các thành phần khác trong hệ thống thông tin.

d) Xem xét tính tương thích với các phần mềm, ứng dụng hiện có, đảm bảo hoạt động ổn định, an toàn trước khi quyết định thay đổi hoặc nâng cấp hệ điều hành lên phiên bản mới hơn; kiểm soát chặt chẽ việc nâng cấp, mở rộng phần mềm, ứng dụng trong hệ thống. Việc bổ sung các thiết bị vào hệ thống thông tin cần có kế hoạch, quy trình đảm bảo việc tiếp nhận không làm gián đoạn hoạt động của hệ thống đang vận hành.

đ) Bảo trì hệ thống thông tin phải có kế hoạch từ trước và được thực hiện thường xuyên.

2. Trong quá trình vận hành hệ thống thông tin, cơ quan, đơn vị chủ quản hệ thống cần thực hiện:

a) Đánh giá, phân loại hệ thống thông tin theo cấp độ; triển khai phương án đảm bảo an toàn hệ thống thông tin đáp ứng yêu cầu cơ bản trong tiêu chuẩn, quy chuẩn kỹ thuật về đảm bảo an toàn hệ thống thông tin theo cấp độ.

b) Thường xuyên kiểm tra, giám sát việc tuân thủ các quy định về ATTT, cập nhật đầy đủ các lỗ hổng bảo mật, áp dụng cơ chế sao lưu dự phòng, đảm bảo an toàn truy nhập, đăng nhập hệ thống.

c) Giám sát an toàn hệ thống thông tin, cảnh báo hành vi xâm phạm ATTT hoặc hành vi có khả năng gây ra sự cố ATTT đối với hệ thống thông tin; tiến hành phân tích yếu tố then chốt ảnh hưởng tới trạng thái ATTT; đề xuất thay đổi biện pháp kỹ thuật.

d) Giám sát hiệu năng hệ thống và thực hiện các biện pháp bảo trì cần thiết để đảm bảo khả năng xử lý và tính sẵn sàng của hệ thống thông tin theo yêu cầu.

đ) Tuân thủ quy trình vận hành, quy trình xử lý sự cố đã xây dựng; ghi đầy đủ thông tin trong các bản ghi nhật ký hệ thống và lưu trữ nhật ký trong khoảng thời gian nhất định, để phục vụ việc quản lý, kiểm soát thông tin.

e) Thông tin cấu hình các thiết bị kết nối mạng, thiết bị bảo mật quan trọng như tường lửa, thiết bị định tuyến, hệ thống máy chủ, hệ thống lưu trữ,...sơ đồ mạng logic và vật lý phải được cập nhật, sao lưu dự phòng khi có thay đổi. Mọi thay đổi cấu hình của các thiết bị phải được sự đồng ý cho phép của thủ trưởng đơn vị hoặc lãnh đạo được giao phụ trách quản lý.

g) Từng thiết bị mạng, máy chủ trong hệ thống có tài liệu quản lý, theo dõi, danh sách những phần mềm hệ thống đã được cài đặt.

3. Đối tác phát triển phần mềm, ứng dụng cho cơ quan, đơn vị có trách nhiệm đảm bảo ATTT cho công tác phát triển, vận hành, bảo hành, bảo trì phần mềm, ứng dụng, tránh lộ lọt mã nguồn, dữ liệu, tài liệu thiết kế, quản trị hệ thống mà đối tác đang xử lý ra bên ngoài.

4. Các biện pháp kỹ thuật đảm bảo ATTT cho các hệ thống ứng dụng đặt tại Trung tâm Dữ liệu Văn phòng UBND tỉnh:

a) Quản lý toàn bộ các phiên bản mã nguồn của phần mềm, cơ sở dữ liệu, ứng dụng Cổng hoặc trang thông tin điện tử; xác định cấu trúc thiết kế Cổng hoặc trang thông tin điện tử; trang bị các hệ thống phòng vệ như: tường lửa, thiết bị phát hiện/phòng, chống xâm nhập (IDS/IPS), WAF (Web Application Firewall).

b) Có giải pháp phòng/chống các lỗi bảo mật thường xảy ra trên ứng dụng web (như SQL Injection, Cross-Site Scripting, Broken Authentication and Session Management, Insecure Direct Object References, Cross Site Request Forgery, Security Misconfiguration, Failure to Restrict URL Access, Insecure Cryptographic Storage, Insufficient Transport Layer Protection, Unvalidated Redirects and Forwards và các lỗi bảo mật khác).

c) Thiết lập và cấu hình cơ sở dữ liệu:

- Luôn cập nhật bản vá lỗi mới nhất cho hệ quản trị cơ sở dữ liệu; sử dụng công cụ để đánh giá, tìm kiếm lỗ hổng trên máy chủ cơ sở dữ liệu.

- Gỡ bỏ các cơ sở dữ liệu không còn sử dụng.

- Có cơ chế sao lưu dữ liệu, có nhật ký về cơ sở dữ liệu với các nội dung như: nội dung thay đổi, lý do thay đổi, thời gian, vị trí thay đổi.

d) Xây dựng phương án phục hồi, trong đó đảm bảo ít nhất mỗi tháng thực hiện việc sao lưu toàn bộ nội dung một lần bao gồm mã nguồn, cơ sở dữ liệu, dữ liệu phi cấu trúc để đảm bảo khi có sự cố có thể khắc phục trong thời gian ngắn nhất.

Điều 13. Kiểm tra, khắc phục sự cố an toàn thông tin

1. Quản lý sự cố an toàn thông tin và kiểm tra, đánh giá và quản lý rủi ro an toàn thông tin

a) Văn phòng UBND tỉnh có trách nhiệm phối hợp với các cơ quan, đơn vị chuyên trách về CNTT, ATTT tham mưu triển khai thực hiện như sau:

- Rà soát, đánh giá và xác định các sự cố ATTT, các rủi ro ATTT có thể xảy ra với từng thành phần hệ thống thông tin trong phạm vi quản lý của mình. Trên cơ sở đó, xây dựng các phương án ứng cứu, xử lý sự cố phù hợp với các rủi ro ATTT có thể xảy ra.

- Chuẩn bị sẵn sàng các biện pháp, phương tiện kỹ thuật để phục vụ cho triển khai các phương án ứng cứu đã được xây dựng.

- Thường xuyên kiểm tra, rà soát tính sẵn sàng của các phương án ứng cứu sự cố; thực hiện đúng các hướng dẫn, quy trình xử lý sự cố ATTT.

b) Khi có sự cố hoặc nguy cơ mất ATTT, thủ trưởng cơ quan, đơn vị thực hiện:

- Khi phát hiện sự cố: Tổ chức theo dõi, ghi chép và tập hợp các thông tin liên quan đến sự cố và tổ chức thông báo hoặc báo cáo sự cố theo quy định;

- Khi tiếp nhận thông báo sự cố: Phản hồi ngay cho tổ chức, cá nhân gửi thông báo sự cố để xác nhận thông tin;

- Xác minh sự cố và xử lý ban đầu: Chủ trì, phối hợp với đơn vị chịu trách nhiệm bảo đảm an toàn thông tin (nếu có), đơn vị chuyên trách về ứng cứu sự cố liên quan và các doanh nghiệp viễn thông, Internet (ISP) để tiến hành phân tích, xác minh, đánh giá sự cố; thực hiện ngay các hoạt động ứng cứu sự cố ban đầu, triển khai quy trình ứng cứu sự cố theo kế hoạch ứng phó sự cố an toàn thông tin mạng đã được cấp thẩm quyền phê duyệt; trường hợp xác định sự cố có khả năng là sự cố nghiêm trọng, cần báo cáo ngay với chủ quản hệ thống thông tin, đơn vị chuyên trách về ứng cứu sự cố liên quan để đề xuất nâng cấp sự cố nghiêm trọng, đồng thời gửi Cơ quan điều phối quốc gia.

c) Trung tâm Tin học – Công báo chuẩn bị tài liệu báo cáo sự cố (thông tin chủ quản, đầu mối liên hệ xử lý, mô tả sự cố, đơn vị cung cấp, biện pháp đã triển khai ứng cứu, đơn vị đang phối hợp xử lý, kết quả ứng cứu ban đầu, kiến nghị đề xuất thông tin thiết kế và phần mềm hệ thống,…) chủ trì, phối hợp với cơ quan, đơn vị có liên quan đến các hệ thống thông tin, giám sát liên tục diễn biến sự cố kịp thời tham mưu thủ trưởng cơ quan chỉ đạo xử lý; tiến hành phân tích, khắc phục sự cố và phục hồi hệ thống.

d) Đầu mối tiếp nhận, xử lý sự cố ATTT và mạng máy tính của Văn phòng UBND tỉnh:

Trung tâm Tin học - Công báo (Tầng 2, 3 Toà nhà Khu hành chính), địa chỉ: Số 88 Võ Văn Kiệt, Khóm 3, Phường 9, Thành phố Vĩnh Long, tỉnh Vĩnh Long; thư điện tử: ttth.vpubt@vinhlong.gov.vn; điện thoại: 0270.3826350.

2. Quản lý điểm yếu an toàn thông tin

a) Quản lý thông tin điểm yếu an toàn thông tin đối với từng thành phần có trong hệ thống (hệ điều hành, máy chủ, ứng dụng, dịch vụ…); Phân loại mức độ nguy hiểm của điểm yếu; Xây dựng phương án và quy trình xử lý đối với từng mức độ nguy hiểm của điểm yếu.

b) Báo cáo Lãnh đạo Văn phòng UBND tỉnh ngay khi phát hiện điểm yếu an toàn thông tin ở mức độ nghiêm trọng. Thực hiện cảnh báo và xử lý điểm yếu an toàn thông tin theo chỉ đạo. Việc xử lý điểm yếu an toàn thông tin phải bảo đảm không làm ảnh hưởng/gián đoạn hoạt động của hệ thống.

c) Xây dựng phương án xử lý tạm thời đối với trường hợp điểm yếu an toàn thông tin chưa được khắc phục và phương án khôi phục hệ thống trong trường hợp xử lý điểm yếu thất bại.

d) Có trách nhiệm phối hợp với các nhóm chuyên gia, bên cung cấp dịch vụ hỗ trợ trong việc xử lý, khắc phục điểm yếu an toàn thông tin đối với các điểm yếu khi cần thiết.

e) Kiểm tra, đánh giá và xử lý điểm yếu an toàn thông tin cho thiết bị hệ thống, máy chủ, dịch vụ trước khi đưa vào sử dụng.

g) Định kỳ 1 năm kiểm tra, đánh giá điểm yếu an toàn thông tin cho toàn bộ hệ thống thông tin; Thực hiện quy trình kiểm tra, đánh giá, xử lý điểm yếu an toàn thông tin khi có thông tin hoặc nhận được cảnh báo về điểm yếu an toàn thông tin đối với thành phần cụ thể trong hệ thống.

3. Quản lý giám sát an toàn hệ thống thông tin

a) Triển khai hệ thống giám sát trung tâm phải đáp ứng yêu cầu tại khoản 1, Điều 5 Thông tư số 31/2017/TT-BTTTT.

b) Thông tin giám sát và danh mục các đối tượng giám sát phải đáp ứng yêu cầu tại khoản 2, Điều 5 Thông tư số 31/2017/TT-BTTTT.

c) Kết nối và gửi nhật ký hệ thống từ đối tượng giám sát về hệ thống giám sát.

d) Thực thi nhiệm vụ giám sát theo quy định tại khoản 3, Điều 5 Thông tư số 31/2017/TT-BTTTT.

Điều 14. Thiết kế, xây dựng hệ thống

1. Thiết kế an toàn hệ thống thông tin

a) Yêu cầu phải có tài liệu mô tả quy mô, phạm vi và đối tượng sử dụng, khai thác, quản lý vận hành hệ thống thông tin.

b) Yêu cầu phải có tài liệu mô tả thiết kế và các thành phần của hệ thống thông tin.

c) Yêu cầu phải có tài liệu mô tả phương án bảo đảm an toàn thông tin theo cấp độ.

d) Yêu cầu phải có tài liệu mô tả phương án lựa chọn giải pháp công nghệ bảo đảm an toàn thông tin.

đ) Khi có thay đổi thiết kế, đánh giá lại tính phù hợp của phương án thiết kế đối với các yêu cầu an toàn đặt ra đối với hệ thống.

2. Phát triển phần mềm thuê khoán

a) Yêu cầu có biên bản, hợp đồng và các cam kết đối với bên thuê khoán các nội dung liên quan đến việc phát triển phần mềm thuê khoán.

b) Yêu cầu nội dung quy chế bảo đảm ATTT hiện tại phải có quy định về việc yêu cầu các nhà phát triển cung cấp mã nguồn phần mềm.

c) Yêu cầu nội dung quy chế bảo đảm ATTT hiện tại phải có quy định về việc kiểm thử phần mềm trên môi trường thử nghiệm và nghiệm thu trước khi đưa vào sử dụng.

d) Yêu cầu nội dung quy chế bảo đảm ATTT hiện tại phải có quy định về việc kiểm tra, đánh giá an toàn thông tin, trước khi đưa vào sử dụng.

Chương III

TỔ CHỨC THỰC HIỆN

Điều 15. Trách nhiệm của Văn phòng UBND tỉnh

1. Chịu trách nhiệm trước UBND tỉnh về tình hình ATTT đối với hệ thống thông tin Văn phòng UBND tỉnh, công tác đảm bảo ATTT, kế hoạch phát triển, nâng cấp và mở rộng hệ thống, đảm bảo duy trì hệ thống hoạt động thông suốt, an toàn và bảo mật.

2. Phối hợp với Sở Tài chính lập dự trù kinh phí hàng năm phục vụ cho công tác duy trình, nâng cấp các thiết bị bảo mật trình UBND tỉnh phê duyệt triển khai thực hiện.

3. Chủ trì phối hợp với Sở Thông tin và Truyền thông hướng dẫn việc thực hiện Quy chế này đối với các cơ quan nhà nước trên địa bàn tỉnh; phát hiện và xử lý các vi phạm theo thẩm quyền do pháp luật quy định.

4. Thường xuyên chỉ đạo kiểm tra, bảo trì, giám sát hoạt động hệ thống đảm bảo hệ thống vận hành liên tục 24 giờ trong tất cả các ngày.

5. Thực hiện chế độ báo cáo định kỳ hàng năm, báo cáo đột xuất cho UBND tỉnh về tình hình ATTT của đơn vị.

Điều 16. Trách nhiệm của Sở Thông tin và Truyền thông

1. Thực hiện công tác quản lý nhà nước về ATTT đối với các hệ thống thông tin Văn phòng UBND tỉnh theo quy định; hướng lập, thẩm định và trình cấp có thẩm quyền phê duyệt hồ sơ cấp độ đối với hệ thống thông tin Văn phòng UBND tỉnh theo quy định đảm bảo kịp thời hiệu quả.

2. Phối hợp với Công an tỉnh và các đơn vị có liên quan tổ chức kiểm tra định kỳ về tình hình ATTT Hệ thống thông tin Văn phòng UBND tỉnh để kịp thời ngăn chặn và xử lý các hành vi vi phạm pháp luật.

Điều 17. Trách nhiệm Công an tỉnh

Chủ trì, phối hợp với Sở Thông tin và Truyền thông và các cơ quan, đơn vị có liên quan xây dựng kế hoạch định kỳ kiểm tra, đánh giá tình hình ATTT Hệ thống thông tin Văn phòng UBND tỉnh nhằm kịp thời ngăn chặn và xử lý các loại tội phạm lợi dụng hệ thống thông tin gây ảnh hưởng đến ATTT mạng.

Điều 18. Trách nhiệm của Sở Tài chính

Chủ trì tham mưu UBND tỉnh phân bổ ngân sách hàng năm để đảm bảo việc duy trì, nâng cấp các trang thiết bị phục vụ hoạt động Hệ thống thông tin Văn phòng UBND tỉnh.

Điều 19. Trách nhiệm của Trung tâm Tin học – Công báo

1. Là đơn vị chuyên trách CNTT, chuyển đổi số của Văn phòng UBND tỉnh, giúp Lãnh đạo Văn phòng thực hiện quản lý ATTT trong hoạt động ứng dụng CNTT, chuyển đổi số của cơ quan theo quy định của Quy chế này và các quy định khác của pháp luật có liên quan. Chịu trách nhiệm trước Chánh Văn phòng UBND tỉnh về tình hình an toàn an ninh thông tin đối với Hệ thống thông tin Văn phòng UBND tỉnh; là đơn vị đầu mối về kỹ thuật, giải pháp đảm bảo an toàn an ninh thông tin và nâng cấp mở rộng hệ thống, đảm bảo duy trì hệ thống hoạt động thông suốt, an toàn và bảo mật Hệ thống thông tin Văn phòng UBND tỉnh phục vụ công tác chỉ đạo điều hành của UBND, Chủ tịch UBND tỉnh.

2. Chủ trì triển khai các giải pháp đảm bảo ATTT đối với Hệ thống thông tin Văn phòng UBND tỉnh và hướng dẫn việc thực hiện Quy chế này đối với các với phòng, ban, trung tâm và cơ quan, đơn vị có tham gia khai thác sử dụng Hệ thống thông tin Văn phòng UBND tỉnh.

3. Thường xuyên kiểm tra, bảo trì, giám sát hoạt động hệ thống Văn phòng UBND tỉnh, đảm bảo hệ thống vận hành liên tục 24 giờ trong tất cả các ngày.

4. Đảm bảo ATTT cho hệ thống Văn phòng UBND tỉnh được quy định tại Điều 6, 7, 8, 9, 10, 11, 12 của Chương II thuộc Quy chế này.

5. Đầu mối tiếp nhận, cài đặt, kiểm tra và khắc phục các sự cố xảy ra đối với hoạt động các Hệ thống thông tin được lưu giữ (hosting) tại Văn phòng UBND tỉnh.

Điều 20. Trách nhiệm của Thủ trưởng cơ quan, đơn vị

1. Chỉ đạo cán bộ, công chức và viên chức đảm bảo việc tuân thủ các quy định của Quy chế này trong phạm vi tổ chức, quyền hạn của đơn vị.

2. Tuyên truyền, phổ biến nội dung Quy chế này tới từng cá nhân thuộc cơ quan, đơn vị; nâng cao nhận thức cho các cá nhân về các nguy cơ mất ATTT đối với Hệ thống thông tin Văn phòng UBND tỉnh.

3. Phối hợp với Trung tâm Tin học - Công báo cung cấp thông tin và tạo điều kiện thuận lợi để triển khai công tác ATTT và khắc phục sự cố đối với Hệ thống thông tin Văn phòng UBND tỉnh thuộc Quy chế này, đảm bảo thực hiện kịp thời, nhanh chóng và hiệu quả.

Điều 21. Trách nhiệm của cá nhân

1. Cá nhân phụ trách ATTT có trách nhiệm:

a) Chịu trách nhiệm triển khai các giải pháp kỹ thuật đảm bảo ATTT tại cơ quan, đơn vị theo Quy chế này.

b) Phối hợp với các cá nhân, đơn vị có liên quan trong việc kiểm tra, phát hiện và khắc phục các sự cố mất ATTT.

c) Thường xuyên cập nhật, nâng cao kiến thức, trình độ chuyên môn đáp ứng yêu cầu đảm bảo an toàn thông tin của đơn vị.

2. Cá nhân là người sử dụng có trách nhiệm: chấp hành đúng các quy định tại Điều 5, khoản 1 Điều 8 của Quy chế này, đồng thời thực hiện tốt các nội dung sau:

a) Chấp hành nghiêm túc các quy định về ATTT của cơ quan, đơn vị và các quy định khác của pháp luật về ATTT; nâng cao ý thức cảnh giác và trách nhiệm đảm bảo ATTT trong phạm vi trách nhiệm và quyền hạn được giao.

b) Tự quản lý, bảo quản thiết bị mà mình được giao sử dụng. Khi phát hiện sự cố phải báo ngay với cấp trên hoặc bộ phận chuyên trách về công nghệ thông tin để kịp thời ngăn chặn, xử lý.

c) Tích cực tham gia các chương trình đào tạo, hội nghị về ATTT do các đơn vị chuyên môn tổ chức.

Điều 22. Khen thưởng và xử lý vi phạm

1. Cơ quan, đơn vị, tổ chức, cá nhân thực hiện tốt Quy chế này và có sáng kiến, giải pháp kỹ thuật đảm bảo an toàn, an ninh thông tin đem lại hiệu quả tốt, thiết thực sẽ được xem xét đánh giá khen thưởng.

2. Trường hợp vi phạm Quy chế này thì tùy theo tính chất, mức độ vi phạm sẽ bị xử lý kỷ luật theo quy định của pháp luật.

Điều 23. Điều khoản thi hành

1. Quy chế này được phổ biến đến tất cả các cá nhân thuộc cơ quan, đơn vị có tham gia khai thác sử dụng Hệ thống thông tin Văn phòng UBND tỉnh.

2. Trong quá trình thực hiện Quy chế này, nếu có vướng mắc, Thủ trưởng các sở, ban, ngành tỉnh, Chủ tịch Ủy ban nhân dân các huyện, thị xã, thành phố và các cơ quan, đơn vị phản ánh kịp thời về Văn phòng UBND tỉnh để tổng hợp, báo cáo Chủ tịch Ủy ban nhân dân tỉnh xem xét sửa đổi, bổ sung Quy chế đảm bảo phù hợp quy định hiện hành./.