ỦY
BAN NHÂN DÂN
TỈNH BẠC LIÊU
--------
|
CỘNG
HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM
Độc lập - Tự do - Hạnh phúc
---------------
|
Số:
23/2015/QĐ-UBND
|
Bạc
Liêu, ngày 23 tháng 11 năm 2015
|
QUYẾT ĐỊNH
BAN HÀNH QUY CHẾ VỀ ĐẢM BẢO AN TOÀN, AN NINH THÔNG TIN THUỘC
LĨNH VỰC CÔNG NGHỆ THÔNG TIN TRONG HOẠT ĐỘNG CỦA CƠ QUAN NHÀ NƯỚC TRÊN ĐỊA BÀN
TỈNH BẠC LIÊU
ỦY BAN NHÂN DÂN TỈNH BẠC LIÊU
Căn cứ Luật Tổ chức Hội đồng
nhân dân và Ủy ban nhân dân ngày 26 tháng 11 năm 2003;
Căn cứ Luật Công nghệ thông
tin số 67/2006/QH11 ngày 29 tháng 6 năm 2006;
Căn cứ Nghị định số
64/2007/NĐ-CP ngày 10 tháng 4 năm 2007 của Chính phủ về ứng dụng công nghệ
thông tin trong hoạt động cơ quan nhà nước;
Căn cứ Quyết định số
63/QĐ-TTg ngày 13 tháng 01 năm 2010 của Thủ tướng Chính phủ về việc phê duyệt
Quy hoạch phát triển an toàn thông tin số Quốc gia đến năm 2020;
Theo đề nghị của Giám đốc Sở
Thông tin và Truyền thông tại Tờ trình số 44/TTr-STTTT ngày 13 tháng 5 năm 2015,
QUYẾT ĐỊNH:
Điều 1.
Ban hành kèm theo Quyết định này Quy chế về đảm bảo an
toàn, an ninh thông tin thuộc lĩnh vực công nghệ thông tin trên địa bàn tỉnh
Bạc Liêu.
Điều 2.
Giao Sở Thông tin và Truyền thông chủ trì, phối hợp các
cơ quan chức năng có liên quan tổ chức triển khai thực hiện Quyết định này.
Điều 3.
Chánh Văn phòng Ủy ban nhân dân tỉnh; Giám đốc Sở Thông
tin và Truyền thông; Thủ trưởng các sở, ban, ngành; Chủ tịch Ủy ban nhân dân
các huyện, thị xã, thành phố và các tổ chức, cá nhân có liên quan chịu trách
nhiệm thi hành Quyết định này.
Quyết định này có hiệu lực sau
10 ngày, kể từ ngày ký./.
|
TM.
UBND TỈNH
KT. CHỦ TỊCH
PHÓ CHỦ TỊCH
Lê Thị Ái Nam
|
QUY CHẾ
VỀ
ĐẢM BẢO AN TOÀN, AN NINH THÔNG TIN THUỘC LĨNH VỰC CÔNG NGHỆ THÔNG TIN TRONG
HOẠT ĐỘNG CỦA CƠ QUAN NHÀ NƯỚC TRÊN ĐỊA BÀN TỈNH BẠC LIÊU
(Ban hành kèm theo Quyết định số 23/2015/QĐ-UBND ngày 23 tháng 11 năm 2015
của Ủy ban nhân dân tỉnh Bạc Liêu)
Chương I
QUY ĐỊNH CHUNG
1. Quy chế này quy định về công tác
đảm bảo an toàn, an ninh thông tin trong hoạt động ứng dụng công nghệ thông tin
của các cơ quan, đơn vị nhà nước trên địa bàn tỉnh Bạc Liêu (sau đây gọi tắt là
cơ quan).
2. Quy chế này được áp dụng đối với
các tổ chức, cá nhân liên quan đến an toàn, an ninh thông tin trong các cơ quan
nhà nước của tỉnh Bạc Liêu.
1. Việc áp dụng Quy chế này nhằm
giảm thiểu được các nguy cơ gây mất an toàn thông tin và đảm bảo an ninh thông tin
trong quá trình ứng dụng công nghệ thông tin trong hoạt động của các cơ quan.
2. Các hoạt động ứng dụng công nghệ
thông tin phải tuân theo nguyên tắc đảm bảo an toàn thông tin được quy định tại
Điều 41, Nghị định 64/2007/NĐ-CP ngày 10 tháng 4 năm 2007 của Chính phủ về ứng
dụng công nghệ thông tin trong hoạt động của cơ quan nhà nước.
1. Các cơ quan phải xây dựng các
yêu cầu, trách nhiệm đảm bảo an toàn thông tin đối với từng vị trí công việc. Trước
khi tiếp nhận nhân sự, các cơ quan phải kiểm tra khả năng đáp ứng các yêu cầu
về an toàn thông tin của nhân sự mới. Trong các hợp đồng lao động, phải có các
điều khoản về trách nhiệm đảm bảo an toàn thông tin.
2. Các cơ quan phải thường xuyên
tổ chức phổ biến các quy định về an toàn thông tin, nhằm nâng cao nhận thức về trách
nhiệm đảm bảo an toàn thông tin của từng cá nhân trong cơ quan.
3. Hủy tài khoản, quyền truy cập
các hệ thống thông tin, thu hồi lại tất cả các tài sản liên quan tới hệ thống thông
tin (khóa, thẻ nhận dạng, thư mục lưu trữ, thư điện tử, máy vi tính) đối với
các cá nhân nghỉ việc, chuyển công tác.
1. Tất cả các máy trạm, máy chủ phải
được trang bị phần mềm phòng chống Virus, mã độc. Các phần mềm phòng chống Virus,
mã độc phải được thiết lập chế độ tự động cập nhật; chế độ tự động quét khi sao
chép, mở các tập tin.
2. Các cán bộ, công chức, viên chức
và người lao động trong cơ quan phải được hướng dẫn về phòng chống Virus, mã
độc và các rủi ro do Virus, mã độc gây ra; không được tự ý cài đặt hoặc gỡ bỏ
các phần mềm trên máy trạm khi chưa có sự đồng ý của người có thẩm quyền theo
quy định của cơ quan.
3. Tất cả các máy tính của đơn vị
phải được cấu hình nhằm vô hiệu hóa tính năng tự động thực thi (autoplay) các
tập tin trên các thiết bị lưu trữ di động.
4. Tất cả các tập tin, thư mục phải
được quét Virus, mã độc trước khi sao chép, sử dụng.
5. Khi phát hiện ra bất kỳ dấu hiệu
nào liên quan đến việc bị nhiễm Virus, mã độc trên máy trạm, người sử dụng phải
tắt máy và báo trực tiếp cho bộ phận có trách nhiệm của đơn vị để xử lý.
1. Các dữ liệu quan trọng của cơ
quan phải được sao lưu, bao gồm: Thông tin cấu hình của hệ thống mạng, máy chủ;
phần mềm ứng dụng và cơ sở dữ liệu; tập tin ghi nhật ký.
2. Các cơ quan phải lập kế hoạch
và thực hiện sao lưu dữ liệu phù hợp với điều kiện của từng cơ quan, đảm bảo khả
năng phục hồi dữ liệu khi có sự cố xảy ra.
1. Các hạ tầng công nghệ thông tin
phải được trang bị tường lửa để ngăn chặn và phát hiện các xâm nhập trái phép
vào mạng nội bộ.
2. Nhật ký hoạt động của thiết bị
tường lửa phải được lưu giữ an toàn để phục vụ công tác khảo sát, điều tra khi
có sự cố xảy ra.
1. Các cơ quan phải thực hiện việc
ghi nhật ký trên các thiết bị mạng máy tính, phần mềm ứng dụng, hệ điều hành,
cơ sở dữ liệu nhằm đảm bảo các sự kiện quan trọng xảy ra trên hệ thống được ghi
nhận và lưu giữ.
2. Các nhật ký này phải được bảo
vệ an toàn nhằm phục vụ công tác kiểm tra, phân tích khi cần thiết.
3. Các sự kiện tối thiểu cần phải
được ghi nhật ký gồm: Quá trình đăng nhập hệ thống; tạo, cập nhật hoặc xóa dữ
liệu; các hành vi xem, thiết lập cấu hình hệ thống; việc thiết lập các kết nối
bất thường vào và ra hệ thống; thay đổi quyền truy cập hệ thống.
4. Thường xuyên thực hiện việc theo
dõi bản ghi nhật ký của hệ thống và các sự kiện khác có liên quan để đánh giá,
báo cáo các rủi ro và mức độ nghiêm trọng các rủi ro đó.
1. Các quy định về quản lý truy cập
vào hệ thống thông tin, mạng máy tính, thiết bị, phần mềm ứng dụng của đơn vị
phải được quy định chi tiết và tổ chức thực hiện nghiêm túc, phù hợp với các quy
định của pháp luật về an toàn thông tin.
2. Mỗi tài khoản truy cập các hệ
thống thông tin chỉ được cấp cho một người quản lý và sử dụng.
3. Mỗi cán bộ, công chức, viên chức
và người lao động chỉ được phép truy cập các thông tin phù hợp với chức năng,
trách nhiệm, quyền hạn của mình, có trách nhiệm bảo mật tài khoản truy cập
thông tin.
4. Các hệ thống thông tin cần giới
hạn số lần đăng nhập sai liên tiếp vào hệ thống. Hệ thống tự động khóa tài khoản
trong một khoảng thời gian nhất định trước khi tiếp tục cho đăng nhập, nếu liên
tục đăng nhập sai vượt quá số lần quy định.
5. Tất cả máy trạm, máy chủ phải
được đặt mật khẩu truy cập và thiết lập chế độ tự động bảo vệ màn hình sau 10 phút
không sử dụng.
6. Khi thiết lập mạng không dây trong
nội bộ đơn vị, phải đặt mật khẩu truy cập vào mạng không dây và chỉ cho phép
truy cập Internet.
7. Mật khẩu đăng nhập vào các hệ
thống thông tin phải có độ phức tạp cao (có độ dài tối thiểu 8 ký tự, có ký tự thường,
ký tự số và ký tự đặc biệt như !, @, #, $, %) và phải được thay đổi ít nhất 3
tháng/lần.
1. Khi có sự cố hoặc nguy cơ mất
an toàn thông tin thì lãnh đạo đơn vị phải chỉ đạo kịp thời để khắc phục và hạn
chế thiệt hại, báo cáo bằng văn bản cho cơ quan cấp trên trực tiếp quản lý và Sở
Thông tin và Truyền thông.
2. Trường hợp có sự cố nghiêm trọng
ở mức độ cao, khẩn cấp hoặc vượt quá khả năng khắc phục của đơn vị, lãnh đạo
đơn vị phải báo cáo ngay cho cơ quan cấp trên quản lý trực tiếp và Sở Thông tin
và Truyền thông để được hướng dẫn, hỗ trợ.
1. Tạo ra, cài đặt, phát tán vi rút
máy tính, phần mềm độc hại trái pháp luật.
2. Xâm nhập, sửa đổi, xóa bỏ nội
dung thông tin của cơ quan, cá nhân khác.
3. Cản trở hoạt động cung cấp dịch
vụ của hệ thống thông tin.
4. Ngăn chặn việc truy nhập đến thông
tin của cơ quan, cá nhân khác trên môi trường mạng, trừ trường hợp pháp luật
cho phép.
5. Bẻ khóa, trộm cắp, sử dụng mật
khẩu, khóa mật mã và thông tin của cơ quan, cá nhân khác trên môi trường mạng.
6. Hành vi khác làm mất an toàn,
bí mật thông tin của cơ quan, cá nhân khác được trao đổi, truyền đưa, lưu trữ trên
môi trường mạng.
1. Trách nhiệm của cán bộ, công chức,
viên chức phụ trách an toàn thông tin:
a) Chịu trách nhiệm đảm bảo an toàn
thông tin của đơn vị.
b) Tham mưu lãnh đạo cơ quan ban
hành các quy định, quy trình nội bộ, triển khai các giải pháp kỹ thuật đảm bảo
an toàn thông tin.
c) Thực hiện việc giám sát, đánh
giá, báo cáo Thủ trưởng cơ quan các rủi ro mất an toàn thông tin và mức độ nghiêm
trọng của các rủi ro đó.
d) Phối hợp với các cá nhân, đơn
vị có liên quan trong việc kiểm soát, phát hiện và khắc phục các sự cố an toàn,
an ninh thông tin.
2. Trách nhiệm của cán bộ, công chức,
viên chức trong các cơ quan, đơn vị:
a) Nghiêm túc chấp hành Quy chế này
và các quy định khác của pháp luật về an toàn thông tin. Chịu trách nhiệm đảm
bảo an toàn thông tin trong phạm vi trách nhiệm và quyền hạn được giao.
b) Mỗi cán bộ, công chức, viên chức
và người lao động phải có trách nhiệm tự quản lý, bảo quản thiết bị mà mình
được giao sử dụng; không tự ý thay đổi, tháo lắp các thiết bị trên máy tính;
không được vào các trang web không rõ về nội dung; không tải và cài đặt các
phần mềm không rõ nguồn gốc, không liên quan đến công việc chuyên môn; không
nhấp chuột vào các đường dẫn lạ không rõ về nội dung.
c) Khi phát hiện nguy cơ hoặc sự
cố mất an toàn thông tin, phải báo cáo ngay với cấp trên và bộ phận chuyên trách
công nghệ thông tin của đơn vị để kịp thời ngăn chặn và xử lý.
d) Tham gia các chương trình đào
tạo, hội nghị về an toàn an ninh thông tin do cơ quan hoặc Sở Thông tin và Truyền
thông tổ chức.
1. Thủ trưởng các cơ quan, đơn vị
có trách nhiệm tổ chức thực hiện các quy định tại Quy chế này và chịu trách nhiệm
trước Ủy ban nhân dân tỉnh trong công tác đảm bảo an toàn thông tin của đơn vị
mình.
2. Phân công một bộ phận hoặc cán
bộ chuyên trách đảm bảo an toàn thông tin của đơn vị; tạo điều kiện để các cán
bộ phụ trách an toàn thông tin được học tập, nâng cao trình độ về an toàn thông
tin.
3. Xây dựng quy định, quy trình nội
bộ về đảm bảo an toàn thông tin phù hợp với Quy chế này và các quy định của pháp
luật.
4. Phối hợp, cung cấp thông tin và
tạo điều kiện cho các đơn vị có thẩm quyền triển khai công tác kiểm tra khắc phục
sự cố xảy ra một cách kịp thời, nhanh chóng và đạt hiệu quả.
5. Phối hợp chặt chẽ với công an
trong công tác phòng ngừa, đấu tranh, ngăn chặn các hoạt động xâm phạm an toàn,
an ninh thông tin.
6. Định kỳ hàng quý, các cơ quan
lập báo cáo về tình hình an toàn thông tin và gửi về Sở Thông tin và Truyền
thông.
1. Tham mưu Ủy ban nhân dân tỉnh
về công tác đảm bảo an toàn, an ninh thông tin trên địa bàn tỉnh.
2. Hàng năm xây dựng kế hoạch triển
khai công tác đảm bảo an toàn thông tin phục vụ cho việc vận hành các hệ thống
thông tin được Ủy ban nhân dân tỉnh giao quản lý.
3. Chủ trì, phối hợp với Công an
tỉnh và các cơ quan, đơn vị liên quan tổ chức kiểm tra theo định kỳ hoặc đột xuất;
kịp thời phát hiện và xử lý theo quy định của pháp luật đối với các cơ quan, tổ
chức, cá nhân có các dấu hiệu, hành vi vi phạm an toàn, an ninh thông tin trên
địa bàn tỉnh.
4. Hàng năm xây dựng và triển khai
các chương trình đào tạo chuyên sâu về an toàn, an ninh thông tin cho lực lượng
đảm bảo an toàn, an ninh thông tin của các cơ quan, đơn vị.
5. Tổ chức tập huấn, hướng dẫn, giám
sát các cơ quan, đơn vị trên địa bàn tỉnh thực hiện việc đảm bảo an toàn, an
ninh cho hệ thống thông tin theo quy định của nhà nước.
6. Tổ chức thực hiện việc tiếp nhận
và xử lý các sự cố về an toàn thông tin.
7. Tổ chức các hội nghị, hội thảo
chuyên đề và tuyên truyền về an toàn, an ninh thông tin trong công tác quản lý
nhà nước trên địa bàn tỉnh.
8. Tổng hợp và báo cáo về tình hình
an toàn, an ninh thông tin theo định kỳ cho Bộ Thông tin và Truyền thông, Ủy
ban nhân dân tỉnh và các cơ quan, đơn vị có liên quan.
1. Chủ trì, phối hợp với Sở Thông
tin và Truyền thông và các cơ quan, đơn vị có liên quan xây dựng kế hoạch và
chịu trách nhiệm kiểm soát, phòng ngừa, đấu tranh, ngăn chặn các loại tội phạm
lợi dụng hệ thống thông tin gây hại đến an toàn, an ninh thông tin trong cơ
quan nhà nước.
2. Phối hợp với các cơ quan chức
năng trong trao đổi biện pháp kỹ thuật, kiểm tra, đánh giá nhằm đảm bảo an
toàn, an ninh thông tin.
3. Tăng cường công tác phòng ngừa,
phát hiện và tuyên truyền, phổ biến pháp luật về xử lý các vi phạm an toàn, an
ninh thông tin.
4. Điều tra và xử lý các trường hợp
vi phạm pháp luật về an toàn, an ninh thông tin theo thẩm quyền.
5. Thực hiện nhiệm vụ bảo vệ an toàn
các công trình quan trọng về an ninh quốc gia trên lĩnh vực công nghệ thông
tin.
Trong
quá trình thực hiện, nếu có những vấn đề cần sửa đổi, bổ sung, đề nghị các đơn
vị gửi về Sở Thông tin và Truyền thông để tổng hợp, báo cáo Ủy ban nhân dân
tỉnh xem xét, quyết định./.