Quyết định 1760/QĐ-BKHCN năm 2022 về Quy chế bảo đảm an toàn thông tin mạng và an ninh mạng do Bộ trưởng Bộ Khoa học và Công nghệ ban hành
| Số hiệu | 1760/QĐ-BKHCN |
| Ngày ban hành | 09/09/2022 |
| Ngày có hiệu lực | 09/09/2022 |
| Loại văn bản | Quyết định |
| Cơ quan ban hành | Bộ Khoa học và Công nghệ |
| Người ký | Bùi Thế Duy |
| Lĩnh vực | Công nghệ thông tin |
|
BỘ KHOA HỌC VÀ |
CỘNG HÒA XÃ HỘI
CHỦ NGHĨA VIỆT NAM |
|
Số: 1760/QĐ-BKHCN |
Hà Nội, ngày 09 tháng 09 năm 2022 |
BAN HÀNH QUY CHẾ BẢO ĐẢM AN TOÀN THÔNG TIN MẠNG VÀ AN NINH MẠNG
BỘ TRƯỞNG BỘ KHOA HỌC VÀ CÔNG NGHỆ
Căn cứ Luật An toàn thông tin mạng ngày 19 tháng 11 năm 2015;
Căn cứ Luật An ninh mạng ngày 12 tháng 06 năm 2018;
Căn cứ Nghị định số 85/2016/NĐ-CP ngày 01 tháng 7 năm 2016 của Chính phủ về bảo đảm an toàn hệ thống thông tin theo cấp độ; Thông tư số 03/2017/TT-BTTTT ngày 24 tháng 4 năm 2017 của Bộ Thông tin và Truyền thông quy định chi tiết và hướng dẫn một số điều của Nghị định số 85/2016/NĐ- CP ngày 01 tháng 7 năm 2016 của Chính phủ về bảo đảm an toàn hệ thống thông tin theo cấp độ;
Căn cứ Nghị định số 142/2016/NĐ-CP ngày 01 tháng 7 năm 2016 của Chính phủ về ngăn chặn xung đột thông tin trên mạng;
Căn cứ Nghị định số 95/2017/NĐ-CP ngày 16 tháng 8 năm 2017 của Chính phủ Quy định chức năng, nhiệm vụ, quyền hạn và cơ cấu tổ chức của Bộ Khoa học và Công nghệ;
Căn cứ Quyết định số 05/2017/QĐ-TTg ngày 16 tháng 3 năm 2017 của Thủ tướng Chính phủ ban hành Quy định về hệ thống phương án ứng cứu khẩn cấp bảo đảm an toàn thông tin mạng quốc gia;
Căn cứ Quyết định số 1622/QĐ-TTg ngày 25 tháng 10 năm 2017 của Thủ tướng Chính phủ về việc phê duyệt Đề án đẩy mạnh hoạt động của mạng lưới ứng cứu sự cố, tăng cường năng lực cho cán bộ, bộ phận chuyên trách ứng cứu sự cố an toàn thông tin mạng trên toàn quốc đến 2020, định hướng đến 2025;
Căn cứ Thông tư số 20/2017/TT-BTTTT ngày 12 tháng 9 năm 2017 của Bộ Thông tin và Truyền thông quy định về điều phối, ứng cứu sự cố an toàn thông tin mạng trên toàn quốc;
Căn cứ Thông tư số 31/2017/TT-BTTTT ngày 15 tháng 11 năm 2017 của Bộ Thông tin và Truyền thông quy định hoạt động giám sát an toàn hệ thống thông tin.
Theo đề nghị của Giám đốc Trung tâm Công nghệ thông tin.
QUYẾT ĐỊNH:
Điều 1. Ban hành kèm theo Quyết định này Quy chế bảo đảm an toàn thông tin mạng và an ninh mạng.
Điều 2. Quyết định này có hiệu lực thi hành kể từ ngày ký và thay thế cho Quyết định số 4043/QĐ-BKHCN ngày 28 tháng 12 năm 2018.
Điều 3. Giám đốc Trung tâm Công nghệ thông tin, Thủ trưởng các đơn vị trực thuộc Bộ Khoa học và Công nghệ và tổ chức, cá nhân có liên quan chịu trách nhiệm thi hành Quyết định này./.
|
|
KT.BỘ TRƯỞNG |
BẢO ĐẢM AN TOÀN THÔNG TIN MẠNG VÀ AN NINH MẠNG
(Ban hành kèm theo Quyết định số 1760/QĐ-BKHCN ngày 09 tháng 09 năm 2022 của
Bộ trưởng Bộ Khoa học và Công nghệ)
Điều 1. Phạm vi điều chỉnh và đối tượng áp dụng
1. Phạm vi điều chỉnh: Quy chế này quy định về bảo đảm an toàn thông tin mạng và an ninh mạng trong các hoạt động chuyển đổi số, ứng dụng công nghệ thông tin, vận hành, khai thác hệ thống, hạ tầng thông tin, phần mềm, dữ liệu thuộc phạm vi quản lý của Bộ Khoa học và Công nghệ và các đơn vị trực thuộc Bộ.
2. Đối tượng áp dụng:
a) Các đơn vị trực thuộc Bộ Khoa học và Công nghệ (sau đây gọi là đơn vị) và cán bộ, công chức, viên chức và người lao động trong đơn vị (sau đây gọi là cá nhân);
|
BỘ KHOA HỌC VÀ |
CỘNG HÒA XÃ HỘI
CHỦ NGHĨA VIỆT NAM |
|
Số: 1760/QĐ-BKHCN |
Hà Nội, ngày 09 tháng 09 năm 2022 |
BAN HÀNH QUY CHẾ BẢO ĐẢM AN TOÀN THÔNG TIN MẠNG VÀ AN NINH MẠNG
BỘ TRƯỞNG BỘ KHOA HỌC VÀ CÔNG NGHỆ
Căn cứ Luật An toàn thông tin mạng ngày 19 tháng 11 năm 2015;
Căn cứ Luật An ninh mạng ngày 12 tháng 06 năm 2018;
Căn cứ Nghị định số 85/2016/NĐ-CP ngày 01 tháng 7 năm 2016 của Chính phủ về bảo đảm an toàn hệ thống thông tin theo cấp độ; Thông tư số 03/2017/TT-BTTTT ngày 24 tháng 4 năm 2017 của Bộ Thông tin và Truyền thông quy định chi tiết và hướng dẫn một số điều của Nghị định số 85/2016/NĐ- CP ngày 01 tháng 7 năm 2016 của Chính phủ về bảo đảm an toàn hệ thống thông tin theo cấp độ;
Căn cứ Nghị định số 142/2016/NĐ-CP ngày 01 tháng 7 năm 2016 của Chính phủ về ngăn chặn xung đột thông tin trên mạng;
Căn cứ Nghị định số 95/2017/NĐ-CP ngày 16 tháng 8 năm 2017 của Chính phủ Quy định chức năng, nhiệm vụ, quyền hạn và cơ cấu tổ chức của Bộ Khoa học và Công nghệ;
Căn cứ Quyết định số 05/2017/QĐ-TTg ngày 16 tháng 3 năm 2017 của Thủ tướng Chính phủ ban hành Quy định về hệ thống phương án ứng cứu khẩn cấp bảo đảm an toàn thông tin mạng quốc gia;
Căn cứ Quyết định số 1622/QĐ-TTg ngày 25 tháng 10 năm 2017 của Thủ tướng Chính phủ về việc phê duyệt Đề án đẩy mạnh hoạt động của mạng lưới ứng cứu sự cố, tăng cường năng lực cho cán bộ, bộ phận chuyên trách ứng cứu sự cố an toàn thông tin mạng trên toàn quốc đến 2020, định hướng đến 2025;
Căn cứ Thông tư số 20/2017/TT-BTTTT ngày 12 tháng 9 năm 2017 của Bộ Thông tin và Truyền thông quy định về điều phối, ứng cứu sự cố an toàn thông tin mạng trên toàn quốc;
Căn cứ Thông tư số 31/2017/TT-BTTTT ngày 15 tháng 11 năm 2017 của Bộ Thông tin và Truyền thông quy định hoạt động giám sát an toàn hệ thống thông tin.
Theo đề nghị của Giám đốc Trung tâm Công nghệ thông tin.
QUYẾT ĐỊNH:
Điều 1. Ban hành kèm theo Quyết định này Quy chế bảo đảm an toàn thông tin mạng và an ninh mạng.
Điều 2. Quyết định này có hiệu lực thi hành kể từ ngày ký và thay thế cho Quyết định số 4043/QĐ-BKHCN ngày 28 tháng 12 năm 2018.
Điều 3. Giám đốc Trung tâm Công nghệ thông tin, Thủ trưởng các đơn vị trực thuộc Bộ Khoa học và Công nghệ và tổ chức, cá nhân có liên quan chịu trách nhiệm thi hành Quyết định này./.
|
|
KT.BỘ TRƯỞNG |
BẢO ĐẢM AN TOÀN THÔNG TIN MẠNG VÀ AN NINH MẠNG
(Ban hành kèm theo Quyết định số 1760/QĐ-BKHCN ngày 09 tháng 09 năm 2022 của
Bộ trưởng Bộ Khoa học và Công nghệ)
Điều 1. Phạm vi điều chỉnh và đối tượng áp dụng
1. Phạm vi điều chỉnh: Quy chế này quy định về bảo đảm an toàn thông tin mạng và an ninh mạng trong các hoạt động chuyển đổi số, ứng dụng công nghệ thông tin, vận hành, khai thác hệ thống, hạ tầng thông tin, phần mềm, dữ liệu thuộc phạm vi quản lý của Bộ Khoa học và Công nghệ và các đơn vị trực thuộc Bộ.
2. Đối tượng áp dụng:
a) Các đơn vị trực thuộc Bộ Khoa học và Công nghệ (sau đây gọi là đơn vị) và cán bộ, công chức, viên chức và người lao động trong đơn vị (sau đây gọi là cá nhân);
b) Cơ quan, tổ chức, cá nhân có kết nối vào hệ thống mạng của Bộ Khoa học và Công nghệ;
c) Cơ quan, tổ chức, cá nhân cung cấp dịch vụ công nghệ thông tin và an toàn thông tin mạng cho các đơn vị trực thuộc Bộ.
Trong Quy chế này, các từ ngữ dưới đây được hiểu như sau:
1. An toàn thông tin mạng là sự bảo vệ thông tin số và các hệ thống thông tin trên mạng tránh bị truy nhập, sử dụng, tiết lộ, gián đoạn, sửa đổi hoặc phá hoại trái phép nhằm bảo đảm tính nguyên vẹn, tính bảo mật và tính khả dụng của thông tin.
2. An ninh mạng là việc bảo đảm thông tin trên mạng không gây phương hại đến an ninh quốc gia, trật tự an toàn xã hội, bí mật nhà nước, quyền và lợi ích hợp pháp của tổ chức, cá nhân.
3. Hạ tầng kỹ thuật là tập hợp các thiết bị tính toán, lưu trữ, thiết bị ngoại vi, thiết bị kết nối mạng, thiết bị phụ trợ, đường truyền, mạng nội bộ, mạng diện rộng.
4. Trang thông tin điện tử là trang thông tin hoặc tập hợp trang thông tin trên môi trường mạng phục vụ cho việc cung cấp, trao đổi thông tin.
5. Cổng thông tin điện tử là điểm truy nhập duy nhất của cơ quan, đơn vị trên môi trường mạng, liên kết, tích hợp các kênh thông tin, các dịch vụ và các ứng dụng mà qua đó người dùng có thể khai thác, sử dụng và cá nhân hóa việc hiển thị thông tin.
6. Mã độc là đoạn mã hoặc phần mềm có khả năng gây ra hoạt động không bình thường cho một phần hay toàn bộ hệ thống thông tin hoặc thực hiện sao chép, sửa đổi, xóa bỏ trái phép thông tin lưu trữ trong hệ thống thông tin.
7. Mạng LAN là hệ thống mạng nội bộ bao gồm mạng dây và mạng không dây.
8. Dữ liệu nhạy cảm là dữ liệu có thông tin mật, thông tin lưu hành nội bộ của đơn vị hoặc do đơn vị quản lý, nếu lộ lọt ra ngoài sẽ gây ảnh hưởng xấu đến danh tiếng, tài chính và hoạt động của đơn vị.
Điều 3. Nguyên tắc chung bảo đảm an toàn thông tin mạng và an ninh mạng
1. Bảo đảm an toàn thông tin mạng và an ninh mạng được thực hiện xuyên suốt, toàn bộ quá trình trong khâu mua sắm, nâng cấp, vận hành, bảo trì và ngừng sử dụng hạ tầng, hệ thống thông tin, phần mềm, dữ liệu.
2. Trách nhiệm bảo đảm an toàn thông tin mạng và an ninh mạng gắn với trách nhiệm của người đứng đầu cơ quan, đơn vị và cá nhân trực tiếp liên quan.
3. Trường hợp có văn bản, quy định cập nhật, thay thế hoặc quy định khác tại văn bản quy phạm pháp luật, quyết định của cấp có thẩm quyền cao hơn thì áp dụng quy định tại văn bản đó.
4. Thông tin thuộc Danh mục bí mật nhà nước được bảo vệ theo quy định của pháp luật về bảo vệ bí mật nhà nước.
5. Xử lý sự cố an toàn thông tin phải phù hợp với trách nhiệm, quyền hạn và bảo đảm lợi ích hợp pháp của cơ quan, đơn vị, cá nhân liên quan và theo quy định của pháp luật.
Điều 4. Các hành vi bị nghiêm cấm
1. Các hành vi bị nghiêm cấm quy định tại Điều 7 Luật An toàn thông tin mạng và Điều 8 Luật An ninh mạng.
2. Tự ý đấu nối thiết bị mạng, thiết bị cấp phát địa chỉ mạng, thiết bị phát sóng như điểm truy cập mạng không dây của cá nhân vào mạng nội bộ mà không có sự hướng dẫn hoặc đồng ý của đơn vị quản lý hệ thống thông tin; trên cùng một thiết bị thực hiện đồng thời truy cập vào mạng nội bộ và truy cập Internet bằng thiết bị kết nối Internet của cá nhân (modem quay số, USB 3G/4G, điện thoại di động, máy tính bảng, máy tính xách tay).
3. Tự ý thay đổi, gỡ bỏ biện pháp an toàn thông tin cài đặt trên thiết bị công nghệ thông tin phục vụ công việc; tự ý thay thế, lắp mới, tráo đổi thành phần của máy tính phục vụ công việc.
4. Cố ý tạo ra, cài đặt, phát tán mã độc gây ảnh hưởng đến hoạt động bình thường của hệ thống thông tin.
5. Cản trở hoạt động cung cấp dịch vụ của hệ thống thông tin; ngăn chặn việc truy nhập đến thông tin của cơ quan, cá nhân khác trên môi trường mạng, trừ trường hợp pháp luật cho phép.
6. Bẻ khóa, trộm cắp, sử dụng mật khẩu, khóa mật mã và thông tin của cơ quan, cá nhân khác trên môi trường mạng.
7. Các hành vi khác làm mất an toàn, bí mật thông tin của cơ quan, cá nhân khác được trao đổi, truyền đưa, lưu trữ trên môi trường mạng.
BẢO ĐẢM AN TOÀN THÔNG TIN MẠNG
Điều 5. Quản lý trang thiết bị công nghệ thông tin
1. Cá nhân hoặc tập thể có trách nhiệm bảo đảm an toàn thông tin mạng trong quản lý, sử dụng thiết bị công nghệ thông tin được giao.
2. Trang thiết bị công nghệ thông tin có lưu trữ dữ liệu nhạy cảm khi thay đổi mục đích sử dụng hoặc thanh lý, đơn vị phải thực hiện các biện pháp xóa, tiêu hủy dữ liệu đó đảm bảo không có khả năng phục hồi. Trường hợp không thể tiêu hủy được dữ liệu, đơn vị phải thực hiện tiêu hủy cấu phần lưu trữ dữ liệu trên trang thiết bị công nghệ thông tin đó.
3. Trang thiết bị công nghệ thông tin có bộ phận lưu trữ dữ liệu hoặc thiết bị lưu trữ dữ liệu khi mang đi bảo hành, bảo dưỡng, sửa chữa bên ngoài hoặc ngừng sử dụng phải tháo bộ phận lưu trữ khỏi thiết bị hoặc xóa thông tin, dữ liệu lưu trữ trên thiết bị (trừ trường hợp để khôi phục dữ liệu).
4. Các đơn vị trực thuộc Bộ có trách nhiệm bảo dưỡng, bảo trì và hướng dẫn cách sử dụng, quản lý, vận hành hệ thống hạ tầng kỹ thuật của mình; chỉ định bộ phận chuyên trách về công nghệ thông tin thực hiện quản lý, vận hành và định kỳ kiểm tra, sửa chữa, bảo trì thiết bị (bao gồm thiết bị đang hoạt động và thiết bị dự phòng).
Điều 6. Bảo đảm an toàn thông tin trong việc quản lý cán bộ, công chức, viên chức và người lao động
1. Các đơn vị trực thuộc Bộ phải xây dựng các yêu cầu, trách nhiệm bảo đảm an toàn, an ninh thông tin đối với từng vị trí công việc. Sau khi tuyển dụng, tiếp nhận nhân sự mới, đơn vị phải có trách nhiệm phổ biến cho nhân sự mới các quy định về bảo đảm an toàn, an ninh thông tin tại đơn vị; đối với các vị trí tiếp xúc, quản lý các thông tin, dữ liệu quan trọng hoặc quản trị các hệ thống thông tin quan trọng, đơn vị phải yêu cầu nhân sự mới cam kết bảo mật thông tin bằng văn bản hoặc cam kết trong hợp đồng làm việc, hợp đồng lao động.
2. Các đơn vị trực thuộc Bộ phải thường xuyên tổ chức quán triệt các quy định về an toàn, an ninh thông tin, nhằm nâng cao nhận thức về trách nhiệm bảo đảm an toàn thông tin của từng cá nhân trong đơn vị.
3. Các đơn vị trực thuộc Bộ phải xây dựng quy trình cấp mới, quản lý và thu hồi tài khoản, phân quyền truy cập các hệ thống thông tin và tất cả các tài sản liên quan đến hệ thống thông tin đối với các cá nhân do đơn vị quản lý.
4. Khi cán bộ, công chức, viên chức và người lao động chấm dứt hoặc thay đổi công việc, cơ quan, đơn vị phải:
a) Xác định rõ trách nhiệm của cán bộ, nhân viên và các bên liên quan trong quản lý, sử dụng các tài sản công nghệ thông tin được giao;
b) Lập biên bản bàn giao tài sản công nghệ thông tin;
c) Thay đổi hoặc thu hồi quyền truy cập các hệ thống thông tin.
Điều 7. Bảo đảm an toàn hệ thống công nghệ thông tin
1. Bảo đảm an toàn thông tin đối với trung tâm dữ liệu/phòng máy chủ:
a) Các thiết bị kết nối mạng, thiết bị bảo mật quan trọng như tường lửa (firewall), thiết bị định tuyến (router), hệ thống máy chủ, hệ thống lưu trữ SAN, NAS, ... phải được đặt trong trung tâm dữ liệu/phòng máy chủ và phải được thiết lập cơ chế bảo vệ, theo dõi phát hiện xâm nhập và biện pháp kiểm soát truy nhập, kết nối vật lý phù hợp với từng khu vực: máy chủ và hệ thống lưu trữ; tủ mạng và đầu nối; thiết bị nguồn điện và dự phòng điện khẩn cấp; vận hành, kiểm soát, quản trị hệ thống. Đơn vị vận hành trung tâm dữ liệu/phòng máy chủ có trách nhiệm xây dựng nội quy hoặc hướng dẫn làm việc khu vực này;
b) Trung tâm dữ liệu/phòng máy chủ là khu vực hạn chế tiếp cận chỉ những cá nhân có quyền, nhiệm vụ được giao theo quy định mới được phép vào trung tâm dữ liệu/phòng máy chủ. Việc vào, ra phòng máy chủ phải được kiểm soát bằng thiết bị bảo vệ (quẹt thẻ, vân tay, sinh trắc học,…);
c) Trung tâm dữ liệu/phòng máy chủ phải được trang bị hệ thống lưu điện đủ công suất và duy trì thời gian hoạt động của các máy chủ ít nhất 15 phút khi có sự cố mất điện;
d) Trung tâm dữ liệu/phòng máy chủ phải có hệ thống làm mát điều hòa không khí, độ ẩm để đảm bảo môi trường vận hành; hệ thống cảnh báo cháy, hệ thống chữa cháy tự động bằng khí, thiết bị phòng cháy, chữa cháy khẩn cấp; hệ thống cảnh báo hệ thống nguồn điện; hệ thống chống sét lan truyền. Các hệ thống này phải được thiết lập chế độ cảnh báo phù hợp. Đơn vị phải cử cán bộ thường xuyên giám sát thiết bị, hạ tầng của trung tâm dữ liệu/phòng máy chủ.
2. Bảo đảm an toàn thông tin khi sử dụng máy tính:
a) Cá nhân chỉ cài đặt phần mềm hợp lệ và thuộc danh mục phần mềm được phép sử dụng do cơ quan có thẩm quyền ban hành trên máy tính được đơn vị cấp cho mình; không được tự ý cài đặt hoặc gỡ bỏ các phần mềm khi chưa có sự đồng ý của bộ phận chuyên trách về công nghệ thông tin; thường xuyên cập nhật phần mềm và hệ điều hành;
b) Cài đặt phần mềm phòng, chống mã độc có bản quyền và thiết lập chế độ tự động cập nhật cơ sở dữ liệu cho phần mềm; khi phát hiện bất kỳ dấu hiệu nào liên quan đến việc bị nhiễm phần mềm độc hại trên máy tính phải tắt máy và báo trực tiếp cho bộ phận chuyên trách về công nghệ thông tin để được xử lý kịp thời;
c) Chỉ truy nhập vào các trang/cổng thông tin điện tử, ứng dụng trực tuyến tin cậy và các thông tin phù hợp với chức năng, trách nhiệm, quyền hạn của mình; có trách nhiệm bảo mật tài khoản truy nhập thông tin, không chia sẻ mật khẩu, thông tin cá nhân với người khác.
3. Bảo đảm an toàn thông tin đối với hệ thống mạng máy tính:
a) Hệ thống mạng nội bộ (LAN) phải được thiết kế phân vùng theo chức năng cơ bản (theo các chính sách an toàn thông tin riêng), bao gồm: vùng mạng người dùng; vùng mạng kết nối hệ thống ra bên ngoài Internet và các mạng khác; vùng mạng máy chủ công cộng; vùng mạng máy chủ nội bộ; vùng mạng máy chủ quản trị. Dữ liệu trao đổi giữa các vùng mạng phải được quản lý, giám sát bởi hệ thống các thiết bị mạng, thiết bị bảo mật;
b) Đơn vị trực thuộc Bộ tham gia kết nối, sử dụng hệ thống mạng diện rộng (WAN) của Bộ Khoa học và Công nghệ có trách nhiệm bảo đảm an toàn thông tin đối với hệ thống mạng nội bộ và các thiết bị của mình khi thực hiện kết nối vào mạng diện rộng; Thông báo sự cố hoặc các hành vi phá hoại, xâm nhập về Trung tâm Công nghệ thông tin để xử lý; Định kỳ sao lưu thông tin, dữ liệu dùng chung lưu trữ trên mạng diện rộng; Không được tiết lộ phương thức (tên đăng ký, mật khẩu, tiện ích, tệp hỗ trợ và các cách thức khác) để truy nhập vào hệ thống mạng diện rộng cho tổ chức, cá nhân khác; Không được tìm cách truy nhập dưới bất cứ hình thức nào vào các khu vực không được phép truy nhập;
c) Các đơn vị trực thuộc Bộ phải áp dụng các biện pháp kỹ thuật cần thiết bảo đảm an toàn thông tin trong hoạt động kết nối Internet, tối thiểu đáp ứng các yêu cầu sau: có hệ thống tường lửa và hệ thống bảo vệ truy nhập Internet, đáp ứng nhu cầu kết nối đồng thời, hỗ trợ các công nghệ mạng riêng ảo thông dụng và có phần cứng mã hóa tích hợp để tăng tốc độ mã hóa dữ liệu và có khả năng bảo vệ hệ thống trước các loại tấn công từ chối dịch vụ (DDoS); Lọc bỏ, không cho phép truy nhập các trang tin có nghi ngờ chứa mã độc hoặc các nội dung không phù hợp;
d) Các đường truyền dữ liệu, đường truyền Internet và các hệ thống dây dẫn các mạng LAN, WAN phải được lắp đặt trong ống, máng che đậy kín, hạn chế khả năng tiếp cận trái phép. Ngắt kết nối cổng Ethernet không sử dụng, đặc biệt là ở khu vực làm việc chung của các cơ quan, đơn vị.
4. Quản lý tài khoản truy cập:
a) Cá nhân sử dụng hệ thống thông tin được cấp và sử dụng tài khoản truy nhập với định danh duy nhất gắn với cá nhân đó;
b) Trường hợp cá nhân thay đổi vị trí công tác, chuyển công tác, thôi việc hoặc nghỉ hưu, trong vòng không quá 05 ngày làm việc sau khi có quyết định của cấp có thẩm quyền thì cơ quan, đơn vị quản lý cá nhân đó phải thông báo cho cơ quan, đơn vị vận hành hệ thống thông tin bằng văn bản có xác nhận của thủ trưởng đơn vị để điều chỉnh, thu hồi, hủy bỏ các quyền sử dụng đối với hệ thống thông tin;
c) Tài khoản quản trị hệ thống (mạng, hệ điều hành, thiết bị kết nối mạng, phần mềm, ứng dụng, cơ sở dữ liệu) phải tách biệt với tài khoản truy nhập của người sử dụng thông thường. Tài khoản hệ thống phải được giao đích danh cá nhân làm công tác quản trị. Hạn chế dùng chung tài khoản quản trị;
d) Khi có yêu cầu khóa quyền truy cập hệ thống thông tin của tài khoản đang hoạt động, lãnh đạo đơn vị phải yêu cầu bằng văn bản gửi đơn vị chủ quản hệ thống thông tin hoặc đơn vị được giao vận hành trực tiếp hệ thống thông tin để xem xét, thực hiện. Đơn vị vận hành hệ thống thông tin có quyền khóa quyền truy cập của tài khoản trong trường hợp tài khoản đó thực hiện các hành vi tấn công hoặc để xảy ra vấn đề mất an toàn, an ninh thông tin;
đ) Việc quản lý tài khoản thư điện tử của Bộ Khoa học và Công nghệ theo quy định của Bộ Khoa học và Công nghệ về công tác quản lý và sử dụng hệ thống công nghệ thông tin. Công tác phòng chống thư rác theo quy định tại Nghị định số 91/2020/NĐ-CP ngày 14/8/2020 và hướng dẫn tại Thông tư số 22/2021/TT-BTTTT ngày 13/12/2021.
5. Bảo đảm an toàn thông tin mức ứng dụng:
a) Yêu cầu về bảo đảm an toàn thông tin phải được đưa vào tất cả các công đoạn thiết kế, xây dựng, triển khai và vận hành, sử dụng phần mềm, ứng dụng;
b) Phần mềm, ứng dụng phải đáp ứng các yêu cầu sau: cấu hình phần mềm, ứng dụng để xác thực người sử dụng; giới hạn số lần đăng nhập sai liên tiếp; giới hạn thời gian để chờ đóng phiên kết nối; mã hóa thông tin xác thực trên hệ thống; không khuyến khích việc đăng nhập tự động;
c) Thiết lập, phân quyền truy nhập, quản trị, sử dụng tài nguyên khác nhau của phần mềm, ứng dụng với người sử dụng/nhóm người sử dụng có chức năng, yêu cầu nghiệp vụ khác nhau; tách biệt cổng giao tiếp quản trị phần mềm ứng dụng với cổng giao tiếp cung cấp dịch vụ; đóng các cổng giao tiếp không sử dụng;
d) Chỉ cho phép sử dụng các giao thức mạng có hỗ trợ chức năng mã hóa thông tin như SSH, SSL, VPN hoặc tương đương khi truy nhập, quản trị phần mềm, ứng dụng từ xa trên môi trường mạng; hạn chế truy cập đến mã nguồn của phần mềm, ứng dụng và phải đặt mã nguồn trong môi trường an toàn do bộ phận chuyên trách công nghệ thông tin quản lý;
đ) Ghi và lưu giữ bản ghi nhật ký hệ thống của phần mềm, ứng dụng trong khoảng thời gian tối thiểu 03 tháng với những thông tin cơ bản: thời gian, địa chỉ, tài khoản (nếu có), nội dung truy nhập và sử dụng phần mềm, ứng dụng; các lỗi phát sinh trong quá trình hoạt động; thông tin đăng nhập khi quản trị;
e) Phần mềm, ứng dụng cần được kiểm tra phát hiện và khắc phục các điểm yếu về an toàn, an ninh thông tin trước khi đưa vào sử dụng và trong quá trình sử dụng;
g) Thực hiện quy trình kiểm soát cài đặt, cập nhật, vá lỗi bảo mật phần mềm, ứng dụng trên các máy chủ, máy tính cá nhân, thiết bị kết nối mạng đang hoạt động thuộc hệ thống mạng nội bộ.
6. Bảo đảm an toàn thông tin mức dữ liệu:
a) Đơn vị phải thực hiện bảo vệ thông tin, dữ liệu liên quan đến hoạt động công vụ, thông tin có nội dung quan trọng, nhạy cảm hoặc không phải là thông tin công khai bằng các biện pháp như: thiết lập phương án bảo đảm tính bí mật, nguyên vẹn và khả dụng của thông tin, dữ liệu; mã hóa thông tin, dữ liệu khi lưu trữ trên hệ thống/thiết bị lưu trữ dữ liệu di động; sử dụng chữ ký số để xác thực và bảo mật thông tin, dữ liệu;
b) Đơn vị cần triển khai hệ thống/phương tiện lưu trữ độc lập với hệ thống lưu trữ trên các máy chủ dịch vụ để sao lưu dự phòng; phân loại và quản lý thông tin, dữ liệu được lưu trữ theo từng loại/nhóm thông tin được gán nhãn khác nhau; thực hiện sao lưu dự phòng các thông tin, dữ liệu cơ bản sau: tập tin cấu hình hệ thống, ảnh hệ điều hành máy chủ, cơ sở dữ liệu; dữ liệu, thông tin nghiệp vụ;
c) Đơn vị cần bố trí máy tính riêng không kết nối mạng, đặt mật khẩu, mã hóa dữ liệu và các biện pháp bảo mật khác bảo đảm an toàn thông tin để soạn thảo, lưu trữ dữ liệu, thông tin và tài liệu quan trọng ở các mức độ mật, tuyệt mật, tối mật;
d) Các đơn vị trực thuộc Bộ phải thường xuyên kiểm tra, giám sát các hoạt động chia sẻ, gửi, nhận thông tin, dữ liệu trong hoạt động nội bộ của mình; khuyến cáo việc chia sẻ, gửi, nhận thông tin trên môi trường mạng cần phải sử dụng mật khẩu để bảo vệ thông tin;
đ) Đối với hoạt động trao đổi thông tin, dữ liệu với bên ngoài, đơn vị và cá nhân thực hiện trao đổi thông tin, dữ liệu ra bên ngoài cam kết và có biện pháp bảo mật thông tin, dữ liệu được trao đổi. Giao dịch trực tuyến phải được truyền đầy đủ, đúng địa chỉ, tránh bị sửa đổi, tiết lộ hoặc nhân bản một cách trái phép; sử dụng các cơ chế xác thực mạnh, chữ ký số khi tham gia giao dịch, sử dụng các giao thức truyền thông an toàn.
Điều 8. Xác định cấp độ và phương án bảo đảm an toàn hệ thống thông tin
1. Việc xác định cấp độ hệ thống thông tin và xây dựng phương án bảo vệ hệ thống thông tin theo cấp độ phục vụ mục đích đánh giá an toàn thông tin và bảo đảm an toàn thông tin cho các hệ thống thông tin. Nguyên tắc bảo đảm an toàn thông tin theo cấp độ và nguyên tắc xác định cấp độ căn cứ trên các nguyên tắc quy định tại Điều 4, Điều 5 Nghị định 85/2016/NĐ-CP.
2. Chủ quản hệ thống thông tin:
a) Chủ quản hệ thống thông tin theo quy định tại Điều 5 Thông tư số 03/2017/TT-BTTTT;
b) Chủ quản hệ thống thông tin có thể ủy quyền cho một tổ chức thay mặt mình thực hiện quyền quản lý trực tiếp đối với hệ thống thông tin và trách nhiệm bảo đảm an toàn hệ thống thông tin theo quy định tại Điều 20 Nghị định 85/2016/NĐ-CP. Văn bản ủy quyền theo quy định tại khoản 3 Điều 5 Thông tư số 03/2017/TT-BTTTT.
3. Đơn vị vận hành hệ thống thông tin:
a) Trung tâm Công nghệ thông tin là đơn vị vận hành các hệ thống thông tin, cơ sở dữ liệu dùng chung của Bộ và các hệ thống thông tin được giao khác;
b) Các đơn vị trực thuộc Bộ là chủ quản hệ thống thông tin chịu trách nhiệm phân công đơn vị vận hành hệ thống thông tin;
c) Các hệ thống thông tin trước khi đưa vào khai thác, sử dụng phải được giao cho đơn vị quản lý, vận hành. Đơn vị vận hành hệ thống thông tin theo quy định tại Điều 6 Thông tư số 03/2017/TT-BTTTT.
4. Đơn vị chuyên trách về an toàn thông tin:
a) Trung tâm Công nghệ thông tin là đơn vị chuyên trách về an toàn thông tin của Bộ Khoa học và Công nghệ;
b) Đơn vị chuyên trách về công nghệ thông tin tại các đơn vị trực thuộc Bộ đồng thời là đơn vị chuyên trách về an toàn thông tin.
5. Thẩm quyền xác định cấp độ an toàn hệ thống thông tin:
a) Đơn vị lập hồ sơ đề xuất cấp độ: Đối với các hệ thống thông tin thuộc các nhiệm vụ, dự án đang trong giai đoạn lập dự án, đơn vị lập dự án lập hồ sơ đề xuất cấp độ; Đối với các hệ thống thông tin thuê dịch vụ, đơn vị chủ trì thuê dịch vụ lập hồ sơ đề xuất cấp độ; Đối với các hệ thống thông tin đang trong giai đoạn triển khai, đơn vị chủ trì triển khai lập hồ sơ đề xuất cấp độ; Đối với các hệ thống thông tin đang vận hành, đơn vị vận hành lập hồ sơ đề xuất cấp độ;
b) Đối với các hệ thống thông tin được đề xuất từ cấp độ 3 trở lên, đơn vị chuyên trách về an toàn thông tin của các đơn vị trực thuộc Bộ cần gửi xin ý kiến chuyên môn của Trung tâm Công nghệ thông tin trước khi trình các cấp có thẩm quyền thẩm định, phê duyệt cấp độ;
c) Thẩm quyền thẩm định và phê duyệt cấp độ theo quy định tại Điều 12 Nghị định số 85/2016/NĐ-CP.
6. Trình tự, thủ tục xác định cấp độ hệ thống thông tin:
a) Việc xác định, phân loại hệ thống thông tin theo quy định tại Điều 4 Thông tư số 03/2017/TT-BTTTT;
b) Nội dung của hồ sơ đề xuất cấp độ hệ thống thông tin theo quy định tại Điều 15 Nghị định 85/2016/NĐ-CP;
c) Nội dung, thời gian thẩm định hồ sơ đề xuất cấp độ hệ thống thông tin quy định tại Điều 16 Nghị định 85/2016/NĐ-CP;
d) Trình tự, thủ tục xác định cấp độ hệ thống thông tin theo quy định tại Điều 13, Điều 14 Nghị định 85/2016/NĐ-CP và Điều 14, Điều 15, Điều 16 Thông tư số 03/2017/TT-BTTTT.
7. Phương án bảo đảm an toàn hệ thống thông tin:
a) Phương án bảo đảm an toàn hệ thống thông tin phải phù hợp với cấp độ của hệ thống thông tin và đáp ứng yêu cầu quy định tại Thông tư số 03/2017/TT- BTTTT, phù hợp với tiêu chuẩn TCVN 11930:2017, các tiêu chuẩn, quy chuẩn kỹ thuật khác và chính sách an toàn thông tin mạng của Bộ Khoa học và Công nghệ, chính sách an toàn thông tin mạng của các đơn vị trực thuộc Bộ (nếu có);
b) Chủ quản hệ thống thông tin hoặc đơn vị được ủy quyền quản lý trực tiếp hệ thống thông tin tổ chức triển khai phương án bảo đảm an toàn hệ thống thông tin sau khi hồ sơ đề xuất cấp độ hoặc phương án bảo đảm an toàn hệ thống được phê duyệt;
c) Đơn vị/bộ phận chuyên trách về an toàn thông tin thuộc đơn vị chịu trách nhiệm giám sát việc triển khai các phương án bảo đảm an toàn thông tin đã được phê duyệt.
Điều 9. Bảo đảm an toàn thông tin khi tiếp nhận, phát triển, vận hành và bảo trì hệ thống thông tin
1. Khi thực hiện nâng cấp, mở rộng, thay thế một phần hệ thống thông tin, phải rà soát cấp độ, phương án bảo đảm an toàn của hệ thống thông tin và thực hiện điều chỉnh, bổ sung hoặc thay mới hồ sơ đề xuất cấp độ trong trường hợp cần thiết.
2. Khi tiếp nhận, phát triển, nâng cấp, bảo trì hệ thống thông tin, đơn vị phải tiến hành phân tích, xác định rủi ro có thể xảy ra, đánh giá phạm vi tác động và phải chuẩn bị các biện pháp hạn chế, loại trừ các rủi ro này và yêu cầu các bên cung cấp, thi công, các cá nhân liên quan thực hiện.
3. Trong quá trình vận hành hệ thống thông tin, đơn vị chủ quản hệ thống thông tin cần thực hiện đánh giá, phân loại hệ thống thông tin theo cấp độ; triển khai phương án bảo đảm an toàn hệ thống thông tin đáp ứng yêu cầu cơ bản trong tiêu chuẩn, quy chuẩn kỹ thuật về bảo đảm an toàn hệ thống thông tin theo cấp độ; thường xuyên kiểm tra, giám sát an toàn hệ thống thông tin; tuân thủ quy trình vận hành, quy trình xử lý sự cố đã xây dựng; ghi lại và lưu trữ đầy đủ thông tin nhật ký hệ thống để phục vụ quản lý, kiểm soát thông tin.
4. Các đơn vị trực thuộc Bộ liên quan đến việc phát triển phần mềm ứng dụng có trách nhiệm yêu cầu các đối tác (nếu có) thực hiện các công tác đảm bảo an toàn thông tin, tránh lộ, lọt mã nguồn và dữ liệu, tài liệu thiết kế, quản trị hệ thống mà đối tác đang xử lý ra bên ngoài.
Điều 10. Giám sát an toàn thông tin mạng
1. Chủ quản hệ thống thông tin chỉ đạo việc giám sát đối với các hệ thống thông tin thuộc phạm vi quản lý, phối hợp với Trung tâm Công nghệ thông tin và các đơn vị chức năng của Bộ Thông tin và Truyền thông giám sát theo quy định.
2. Nguyên tắc, yêu cầu, nội dung, phương thức, hệ thống kỹ thuật phục vụ công tác giám sát thực hiện theo quy định tại Thông tư số 31/2017/TT-BTTTT.
3. Đơn vị chuyên trách về an toàn thông tin của các đơn vị trực thuộc Bộ cử 01 lãnh đạo đơn vị và 01 cán bộ (hoặc 01 đơn vị trực thuộc) làm đầu mối giám sát an toàn thông tin mạng đề tiếp nhận cảnh báo, cung cấp, trao đổi, chia sẻ thông tin với Trung tâm Công nghệ thông tin trong các hoạt động giám sát an toàn thông tin tại đơn vị và tại Bộ Khoa học và Công nghệ.
Điều 11. Kiểm tra, đánh giá an toàn thông tin
1. Chủ quản hệ thống thông tin có thẩm quyền yêu cầu kiểm tra, đánh giá đối với các hệ thống thông tin thuộc thẩm quyền quản lý. Đơn vị chuyên trách về an toàn thông tin của chủ quản hệ thống thông tin có thẩm quyền yêu cầu kiểm tra, đánh giá đối với các hệ thống thông tin do mình phê duyệt hồ sơ đề xuất cấp độ.
2. Đơn vị chủ trì kiểm tra, đánh giá là đơn vị được cấp có thẩm quyền giao nhiệm vụ hoặc được lựa chọn để thực hiện việc kiểm tra, đánh giá. Đối tượng kiểm tra, đánh giá là chủ quản hệ thống thông tin hoặc đơn vị vận hành hệ thống thông tin và các hệ thống thông tin có liên quan.
3. Nội dung, hình thức kiểm tra, đánh giá theo quy định tại Điều 10 Thông tư số 03/2017/TT-BTTTT.
4. Trung tâm Công nghệ thông tin thực hiện việc kiểm tra việc tuân thủ quy định của pháp luật về bảo đảm an toàn hệ thống thông tin theo cấp độ tại Bộ Khoa học và Công nghệ theo quy định tại Điều 11 Thông tư số 03/2017/TT-BTTTT.
5. Trung tâm Công nghệ thông tin, đơn vị chuyên trách về an toàn thông tin của các đơn vị trực thuộc Bộ thực hiện việc đánh giá hiệu quả của các biện pháp bảo đảm an toàn thông tin theo thẩm quyền. Nội dung đánh giá là cơ sở để điều chỉnh phương án bảo đảm an toàn thông tin cho phù hợp.
Điều 12. Ứng cứu sự cố an toàn thông tin mạng
1. Ban chỉ đạo, đơn vị chuyên trách ứng cứu khẩn cấp sự cố an toàn thông tin mạng:
a) Ban Chỉ đạo chuyển đổi số của Bộ Khoa học và Công nghệ đảm nhiệm chức năng Ban chỉ đạo ứng cứu khẩn cấp sự cố an toàn thông tin mạng của Bộ Khoa học và Công nghệ. Trách nhiệm và quyền hạn của Ban Chỉ đạo chuyển đổi số của Bộ Khoa học và Công nghệ được quy định tại Khoản 2, Điều 5 Quyết định số 05/2017/QĐ-TTg;
b) Trung tâm Công nghệ thông tin là đơn vị chuyên trách về ứng cứu sự cố an toàn thông tin mạng của Bộ Khoa học và Công nghệ. Bộ phận chuyên trách về an toàn thông tin mạng tại các đơn vị trực thuộc Bộ đảm nhiệm vai trò chuyên trách về ứng cứu sự cố an toàn thông tin mạng trong phạm vi quản lý công nghệ thông tin của đơn vị. Đơn vị chuyên trách về ứng cứu sự cố an toàn thông tin mạng thực hiện trách nhiệm quy định tại khoản 2 Điều 6 Quyết định số 05/2017/QĐ-TTg;
c) Trung tâm Công nghệ thông tin trình Bộ thành lập Đội ứng cứu an toàn thông tin mạng của Bộ và tổ chức ứng cứu sự cố trong phạm vi của Bộ quản lý. Các đơn vị chuyên trách về ứng cứu sự cố tại các đơn vị trực thuộc Bộ thành lập Đội ứng cứu sự cố của mình phù hợp với quy mô, tính chất của đơn vị.
2. Kế hoạch ứng phó sự cố bảo đảm an toàn thông tin mạng:
a) Các đơn vị trực thuộc Bộ tổ chức xây dựng, phê duyệt kế hoạch ứng phó sự cố cho các hệ thống thông tin do đơn vị trực tiếp quản lý theo đề cương tại Phụ lục II Quyết định số 05/2017/QĐ-TTg (bao gồm các điều chỉnh do Bộ Thông tin và Truyền thông ban hành nếu có) và tổ chức triển khai kế hoạch sau khi phê duyệt. Đối với các nội dung trong kế hoạch vượt thẩm quyền quyết định của đơn vị, đơn vị lấy ý kiến của Trung tâm Công nghệ thông tin, Vụ Kế hoạch - Tài chính (đối với các nội dung yêu cầu có kinh phí), báo cáo Bộ xem xét, quyết định;
b) Các kế hoạch ứng phó sự cố sau khi được phê duyệt phải gửi Trung tâm Công nghệ thông tin tổng hợp thành kế hoạch chung của Bộ Khoa học và Công nghệ. Trung tâm Công nghệ thông tin xây dựng kế hoạch ứng phó sự cố của Bộ Khoa học và Công nghệ, trình Lãnh đạo Bộ phê duyệt.
3. Quy trình ứng cứu sự cố an toàn thông tin mạng:
a) Các tổ chức, cá nhân khi phát hiện dấu hiệu tấn công hoặc sự cố an toàn thông tin mạng cần nhanh chóng báo cho đơn vị vận hành hệ thống thông tin, đơn vị chủ quản hệ thống thông tin liên quan, Trung tâm Công nghệ thông tin. Trung tâm Công nghệ thông tin có trách nhiệm cập nhật, tổng hợp và báo cáo đơn vị cơ quan quản lý nhà nước trong trường hợp cần thiết;
b) Khi xảy ra sự cố an toàn thông tin mạng thuộc loại hình tấn công mạng, đơn vị vận hành hệ thống thông tin thực hiện báo cáo theo quy định tại Điểm a Khoản 1 Điều 11 Quyết định 05/2017/QĐ-TTg và Điều 9 Thông tư 20/2017/TT- BTTT, đồng thời báo cáo Trung tâm Công nghệ thông tin để tổng hợp, báo cáo Ban Chỉ đạo chuyển đổi số của Bộ Khoa học và Công nghệ. Trách nhiệm của các đơn vị khi phát hiện, tiếp nhận xác minh, xử lý ban đầu và phân loại sự cố an toàn thông tin mạng theo quy định tại Điều 12 Quyết định 05/2017/QĐ-TTg và Điều 10 Thông tư số 20/2017/TT-BTTTT;
c) Quy trình ứng cứu sự cố an toàn thông tin mạng theo quy định tại Điều 13, Điều 14 Quyết định 05/2017/QĐ-TTg và Điều 11 Thông tư số 20/2017/TT- BTTTT.
4. Diễn tập ứng cứu sự cố an toàn thông tin mạng:
a) Chủ quản hệ thống thông tin là các đơn vị trực thuộc Bộ tổ chức diễn tập ứng cứu sự cố theo kế hoạch ứng phó sự cố được phê duyệt;
b) Trung tâm Công nghệ thông tin chủ trì, phối hợp với các đơn vị trực thuộc Bộ tham gia các cuộc diễn tập quốc gia, quốc tế do Cơ quan điều phối quốc gia, Bộ Thông tin và Truyền thông tổ chức và tổ chức diễn tập ứng cứu sự cố trong phạm vi Bộ Khoa học và Công nghệ theo tần suất quy định tại điểm b Nhiệm vụ 4 mục II Điều 1 Quyết định số 1622/QĐ-TTg ngày 25/10/2017 của Thủ tướng Chính phủ.
1. Các đơn vị trực thuộc Bộ xác định nhu cầu về đào tạo nguồn nhân lực bảo đảm an toàn thông tin tại đơn vị mình gửi Trung tâm Công nghệ thông tin. Trung tâm Công nghệ thông tin tổng hợp, xây dựng trình Bộ phê duyệt kế hoạch dài hạn, kế hoạch hàng năm về đào tạo, bồi dưỡng nghiệp vụ an toàn, an ninh thông tin cho cán bộ, công chức, viên chức và người lao động của Bộ Khoa học và Công nghệ và thực hiện tổ chức đào tạo theo kế hoạch đã phê duyệt.
2. Các đơn vị trực thuộc Bộ tổ chức đào tạo, bồi dưỡng nghiệp vụ về an toàn thông tin cho cán bộ công nghệ thông tin, cán bộ chuyên trách an toàn thông tin mạng các đơn vị trực thuộc; đào tạo cơ bản về an toàn thông tin cho cán bộ quản lý, người sử dụng máy tính thuộc đơn vị.
3. Các đơn vị trực thuộc Bộ phải thường xuyên tổ chức các hoạt động tuyên truyền, phổ biến nâng cao nhận thức về bảo đảm an toàn thông tin mạng và an ninh mạng đến toàn thể bộ cán bộ, công chức, viên chức và người lao động tại đơn vị.
4. Trung tâm Công nghệ thông tin xây dựng trình Bộ kế hoạch tuyên truyền, phố biến nâng cao nhận thức về an toàn thông tin mạng và an ninh mạng tại Bộ Khoa học và Công nghệ và thực hiện các nội dung theo kế hoạch đã được phê duyệt.
1. Nội dung triển khai hoạt động bảo vệ an ninh mạng bao gồm:
a) Xây dựng phương án bảo đảm an ninh mạng đối với hệ thống thông tin; phương án ứng phó, khắc phục sự cố an ninh mạng;
b) Ứng dụng, triển khai phương án, biện pháp, công nghệ bảo vệ an ninh mạng đối với hệ thống thông tin và thông tin, tài liệu được lưu trữ, soạn thảo, truyền đưa trên hệ thống thông tin thuộc phạm vi quản lý;
c) Tổ chức bồi dưỡng kiến thức về an ninh mạng cho cán bộ, công chức, viên chức, người lao động; nâng cao năng lực bảo vệ an ninh mạng cho lực lượng bảo vệ an ninh mạng;
d) Bảo vệ an ninh mạng trong hoạt động cung cấp dịch vụ trực tuyến, cung cấp, trao đổi, thu thập thông tin với cơ quan, tố chức, cá nhân, chia sẻ thông tin trong nội bộ và với cơ quan khác;
đ) Triển khai kiểm tra an ninh mạng đối với hệ thống thông tin; phòng, chống hành vi vi phạm pháp luật về an ninh mạng; ứng phó, khắc phục sự cố an ninh mạng.
2. Người đứng đầu cơ quan, đơn vị có trách nhiệm triển khai hoạt động bảo vệ an ninh mạng thuộc quyền quản lý.
Điều 15. Bảo vệ an ninh mạng đối với hệ thống thông tin quan trọng về an ninh quốc gia
Cơ quan, đơn vị có hệ thống thông tin quan trọng về an ninh quốc gia có trách nhiệm:
1. Kiểm tra an ninh mạng đối với hệ thống thông tin quan trọng về an ninh quốc gia; thông báo kết quả kiểm tra bằng văn bản trước tháng 10 hằng năm cho lực lượng chuyên trách bảo vệ an ninh mạng theo quy định tại Luật An ninh mạng.
2. Phối hợp với lực lượng chuyên trách bảo vệ an ninh mạng tiến hành kiểm tra an ninh mạng đột xuất.
3. Chủ trì, phối hợp với lực lượng chuyên trách bảo vệ an ninh mạng có thẩm quyền thường xuyên thực hiện giám sát an ninh mạng đối với hệ thống thông tin thuộc phạm vi quản lý.
4. Xây dựng cơ chế tự cảnh báo và tiếp nhận cảnh báo về nguy cơ đe dọa an ninh mạng, sự cố an ninh mạng, điểm yếu, lỗ hổng bảo mật, mã độc, phần cứng, phần mềm độc hại và đề ra phương án ứng phó, khắc phục khẩn cấp.
5. Xây dựng phương án ứng phó, khắc phục sự cố an ninh mạng đối với hệ thống thông tin thuộc phạm vi quản lý; triển khai phương án ứng phó, khắc phục khi sự cố an ninh mạng xảy ra và kịp thời báo cáo với lực lượng chuyên trách bảo vệ an ninh mạng có thẩm quyền.
6. Tuân thủ các quy định liên quan khác tại Luật An ninh mạng.
Điều 16. Lực lượng bảo vệ an ninh mạng
1. Lực lượng bảo vệ an ninh mạng của Bộ Khoa học và Công nghệ bố trí tại Vụ Công nghệ cao và Trung tâm Công nghệ thông tin.
2. Cơ quan, đơn vị có hệ thống thông tin quan trọng về an ninh quốc gia có trách nhiệm bố trí lực lượng an ninh mạng để bảo vệ hệ thống thông tin quan trọng về an ninh quốc gia.
3. Tổ chức, cá nhân được huy động tham gia bảo vệ an ninh mạng.
TRÁCH NHIỆM CỦA CÁC TỔ CHỨC LIÊN QUAN
Điều 17. Trách nhiệm của Trung tâm Công nghệ thông tin
1. Thực hiện các trách nhiệm được giao tại Quy chế này.
2. Hướng dẫn triển khai Quy chế này và các quy định liên quan của Nhà nước.
3. Giám sát, đôn đốc, kiểm tra việc triển khai các nội dung tại Quy chế này.
4. Chủ trì/phối hợp với Vụ Công nghệ cao trong việc hướng dẫn, hỗ trợ các cơ quan, đơn vị về công tác bảo đảm an toàn thông tin và an ninh mạng.
5. Chủ trì/phối hợp với Vụ Công nghệ cao trong việc xây dựng kế hoạch, báo cáo về an toàn thông tin mạng và an ninh mạng của Bộ Khoa học và Công nghệ.
6. Bảo đảm an toàn, an ninh thông tin cho các hệ thống thông tin, cơ sở dữ liệu dùng chung của Bộ.
Điều 18. Trách nhiệm của các đơn vị trực thuộc Bộ
1. Thực hiện các trách nhiệm được giao tại Quy chế này.
2. Tổ chức triển khai thực hiện Quy chế này tại đơn vị.
3. Thực hiện các báo cáo theo quy định, gửi Trung tâm Công nghệ thông tin tổng hợp, báo cáo Bộ.
4. Xây dựng, triển khai Quy chế/nội quy bảo đảm an toàn, an ninh thông tin tại đơn vị bảo đảm phù hợp với Quy chế này và các yêu cầu cụ thể của đơn vị.
5. Thực hiện việc quản lý trang thiết bị công nghệ thông tin và cán bộ, công chức, viên chức, người lao động theo Điều 5 và Điều 6 của Quy chế này.
6. Đối với các Vụ thuộc Bộ: Phối hợp với Trung tâm Công nghệ thông tin bảo đảm an toàn, an ninh thông tin cho các hệ thống thông tin, cơ sở dữ liệu dùng chung của Bộ và các hệ thống thông tin do đơn vị quản lý, vận hành.
Điều 19. Trách nhiệm của đơn vị chuyên trách về an toàn thông tin
1. Thực hiện trách nhiệm của đơn vị chuyên trách về an toàn thông tin theo quy định tại Quy chế này và các nhiệm vụ do chủ quản hệ thống thông tin phân công.
2. Phối hợp chặt chẽ với các bộ phận kỹ thuật thuộc đơn vị vận hành hệ thống thông tin trong việc bảo đảm an toàn thông tin trong tất cả các công đoạn liên quan đến hệ thống thông tin.
Điều 20. Trách nhiệm của chủ quản hệ thống thông tin
1. Thực hiện trách nhiệm của đơn vị chủ quản hệ thống thông tin theo quy định tại Quy chế này.
2. Chỉ đạo, phân công các đơn vị vận hành các hệ thống thông tin triển khai công tác bảo đảm an toàn thông tin trong tất cả các công đoạn liên quan đến hệ thống thông tin.
Điều 21. Trách nhiệm của đơn vị vận hành hệ thống thông tin
1. Thực hiện trách nhiệm của đơn vị vận hành hệ thống thông tin theo quy định tại Quy chế này và các nhiệm vụ do chủ quản hệ thống thông tin phân công.
2. Chỉ đạo, phân công các bộ phận kỹ thuật thuộc đơn vị (quản lý ứng dụng; quản lý dữ liệu; vận hành hệ thống thông tin; triển khai và hỗ trợ kỹ thuật) triển khai công tác bảo đảm an toàn thông tin trong tất cả các công đoạn liên quan đến hệ thống thông tin.
1. Thủ trưởng đơn vị thuộc đối tượng áp dụng của Quy chế này có trách nhiệm: phổ biến tới từng cán bộ, công chức, viên chức, người lao động của đơn vị; thường xuyên kiểm tra việc thực hiện Quy chế này tại đơn vị; chịu trách nhiệm trước pháp luật và Lãnh đạo Bộ Khoa học và Công nghệ về các vi phạm, thất thoát thông tin, dữ liệu mật thuộc phạm vi quản lý của đơn vị do không tổ chức, chỉ đạo, kiểm tra cán bộ của đơn vị thực hiện đúng quy định.
2. Cán bộ, công chức, viên chức, người lao động của Bộ Khoa học và Công nghệ, các đơn vị trực thuộc Bộ và các đơn vị khác thuộc đối tượng áp dụng của quy định có trách nhiệm: tuân thủ Quy chế; thông báo các vấn đề bất thường liên quan tới an toàn thông tin cho đơn vị, bộ phận chuyên trách về an toàn thông tin mạng của đơn vị; chịu trách nhiệm trước pháp luật và Lãnh đạo đơn vị về các vi phạm, thất thoát dữ liệu mật của ngành khoa học và công nghệ do không tuân thủ Quy chế.
Kinh phí bảo đảm an toàn thông tin mạng và an ninh mạng được lấy từ nguồn ngân sách nhà nước dự toán hàng năm của Bộ Khoa học và Công nghệ;
Căn cứ vào kế hoạch hàng năm, các đơn vị liên quan có trách nhiệm xây dựng kế hoạch, đề xuất dự toán cho các hoạt động bảo đảm an toàn thông tin mạng và an ninh mạng gửi Trung tâm Công nghệ thông tin để tổng hợp, gửi Văn phòng Bộ phối hợp với Vụ Kế hoạch - Tài chính thẩm định, trình lãnh đạo Bộ phê duyệt.
1. Các đơn vị trực thuộc Bộ phải thường xuyên kiểm tra, theo dõi và đánh giá công tác bảo đảm an toàn thông tin mạng và an ninh mạng tại cơ quan, đơn vị mình, coi đây là nhiệm vụ trọng tâm của đơn vị.
2. Giao Trung tâm Công nghệ thông tin kiểm tra và báo cáo Bộ việc thực hiện Quy chế này tại các đơn vị trực thuộc Bộ.
1. Báo cáo định kỳ:
a) Báo cáo an toàn thông tin định kỳ hàng năm gồm các nội dung quy định tại khoản 3 Điều 17 Thông tư 03/2017/TT-BTTTT;
b) Báo cáo hoạt động giám sát của chủ quản hệ thống thông tin định kỳ 6 tháng theo mẫu tại Phụ lục 2 Thông tư 31/2017/TT-BTTTT.
2. Báo cáo đột xuất: Báo cáo về công tác khắc phục mã độc, lỗ hổng, điểm yếu, triển khai cảnh báo an toàn thông tin và các báo cáo đột xuất khác theo yêu cầu của đơn vị chuyên trách về an toàn thông tin của Bộ hoặc yêu cầu của Lãnh đạo Bộ.
3. Trách nhiệm lập, phê duyệt báo cáo:
a) Các đơn vị trực thuộc Bộ liên quan có trách nhiệm lập báo cáo định kỳ, đột xuất theo yêu cầu và hướng dẫn của Trung tâm Công nghệ thông tin;
b) Trung tâm Công nghệ thông tin chịu trách nhiệm tập hợp, tổng hợp báo cáo của các đơn vị, trình Bộ phê duyệt, gửi các cơ quan quản lý nhà nước về an toàn thông tin.
1. Kết quả thực hiện Quy chế này là một trong những tiêu chí có thể sử dụng để đánh giá kết quả thực hiện hàng năm của cá nhân, đơn vị
2. Đơn vị, cá nhân vi phạm Quy chế này và các quy định khác của pháp luật về bảo đảm an toàn thông tin mạng và an ninh mạng, tùy theo tính chất, mức độ vi phạm sẽ bị xử lý kỷ luật hoặc các hình thức xử lý khác theo quy định của pháp luật; nếu vi phạm gây thiệt hại đến tài sản, thiết bị, thông tin, dữ liệu thì chịu trách nhiệm bồi thường theo pháp luật hiện hành.
1. Thủ trưởng các đơn vị trực thuộc Bộ có trách nhiệm phổ biến, quán triệt đến toàn bộ cán bộ, nhân viên trong đơn vị thực hiện các quy định của Quy chế này.
2. Trong quá trình thực hiện, nếu có những vấn đề khó khăn, vướng mắc, các đơn vị phản ánh về Trung tâm Công nghệ thông tin để tổng hợp, trình Bộ trưởng xem xét, sửa đổi, bổ sung quy chế./.