Quyết định 2593/QĐ-BVHTTDL năm 2016 Quy chế bảo đảm an toàn thông tin mạng của Bộ Văn hóa, Thể thao và Du lịch

QUYẾT ĐỊNH

BAN HÀNH QUY CHẾ BẢO ĐẢM AN TOÀN THÔNG TIN MẠNG CỦA BỘ VĂN HÓA, THỂ THAO VÀ DU LỊCH

BỘ TRƯỞNG BỘ VĂN HÓA, THỂ THAO VÀ DU LỊCH

Căn cứ Luật Công nghệ thông tin ngày 29 tháng 6 năm 2006;

Căn cứ Luật An toàn thông tin mạng ngày 19 tháng 11 năm 2015;

Căn cứ Nghị định số 76/2013/NĐ-CP ngày 16 tháng 7 năm 2013 của Chính phủ quy định chức năng, nhiệm vụ, quyền hạn và cơ cấu tổ chức của Bộ Văn hóa, Thể thao và Du lịch;

Căn cứ Quyết định số 898/QĐ-TTg ngày 27 tháng 5 năm 2016 của Thủ tướng Chính phủ phê duyệt phương hướng, mục tiêu, nhiệm vụ bảo đảm an toàn thông tin mạng giai đoạn 2016-2020;

Căn cứ Quyết định số 4011/QĐ-BVHTTDL ngày 18 tháng 11 năm 2015 của Bộ Văn hóa, Thể thao và Du lịch về việc ban hành Kế hoạch xây dựng “Quy chế bảo đảm an toàn thông tin mạng của Bộ Văn hóa, Thể thao và Du lịch”;

Xét đề nghị của Chánh Văn phòng Bộ và Giám đốc Trung tâm Công nghệ thông tin,

QUYẾT ĐỊNH:

Điều 1. Ban hành kèm theo Quyết định này Quy chế bảo đảm an toàn thông tin mạng của Bộ Văn hóa, Thể thao và Du lịch.

Điều 2. Quyết định này có hiệu lực thi hành kể từ ngày ký.

Điều 3. Chánh Văn phòng Bộ, Giám đốc Trung tâm Công nghệ thông tin, thủ trưởng các cơ quan, đơn vị thuộc Bộ chịu trách nhiệm thi hành Quyết định này./.

QUY CHẾ

BẢO ĐẢM AN TOÀN THÔNG TIN MẠNG CỦA BỘ VĂN HÓA, THỂ THAO VÀ DU LỊCH
(Ban hành theo Quyết định số 2593/QĐ-BVHTTDL ngày 21 tháng 7 năm 2016 của Bộ trưởng Bộ Văn hóa, Thể thao và Du lịch)

Chương I

QUY ĐỊNH CHUNG

Điều 1. Phạm vi điều chỉnh, đối tượng áp dụng

1. Quy chế này quy định về công tác bảo đảm an toàn, an ninh thông tin trong hoạt động ứng dụng công nghệ thông tin của Bộ Văn hóa, Thể thao và Du lịch.

2. Quy chế này áp dụng đối với các cơ quan, đơn vị thuộc Bộ Văn hóa, Thể thao và Du lịch bao gồm:

a) Tổng cục, cục, vụ và các cơ quan chuyên môn khác có chức năng tham mưu giúp Bộ trưởng quản lý nhà nước về ngành, lĩnh vực;

b) Các đơn vị sự nghiệp;

c) Các doanh nghiệp 100% vốn Nhà nước trong phạm vi quản lý của Bộ;

d) Cán bộ, công chức, viên chức, người lao động làm việc trong các cơ quan, đơn vị thuộc Khoản 2 Điều này.

Điều 2. Giải thích từ ngữ

Trong Quy chế này, các từ ngữ dưới đây được hiểu như sau:

1. An toàn thông tin mạng là sự bảo vệ thông tin, hệ thống thông tin trên mạng tránh bị truy nhập, sử dụng, tiết lộ, gián đoạn, sửa đổi hoặc phá hoại trái phép nhằm bảo đảm tính nguyên vẹn, tính bảo mật và tính khả dụng của thông tin.

2. Mạng thông tin của Bộ Văn hóa, Thể thao và Du lịch (viết tắt là Mạng thông tin của Bộ) là tập hợp phần cứng, phần mềm và cơ sở dữ liệu được thiết lập phục vụ mục đích tạo lập, cung cấp, truyền đưa, thu thập, xử lý, lưu trữ và trao đổi thông tin trên mạng máy tính, mạng đường truyền của Bộ.

3. Thiết bị mạng là các thiết bị phần cứng công nghệ thông tin đóng vai trò xử lý một công việc nhất định trong mạng máy tính; Các thiết bị mạng phổ biến như: tường lửa (firewall), định tuyến (router), điểm truy cập không dây (access point), thiết bị cầu nối (bridge), bộ lặp (repeater), chuyển mạch (switch), bộ chuyển đổi mạng hoặc ứng dụng (gateway)...

4. Người dùng là cán bộ, công chức, viên chức và người lao động tham gia vào hoạt động ứng dụng công nghệ thông tin phục vụ công việc của Bộ Văn hóa, Thể thao và Du lịch.

5. Tường lửa là một thiết bị phần cứng hoặc một phần mềm hoạt động trong một môi trường máy tính nổi mạng nhằm ngăn chặn (hoặc cho phép nhưng kiểm soát được) những lưu lượng bị cấm (hoặc cho phép) bởi chính sách an ninh của một cá nhân hay một tổ chức.

6. Thiết bị lưu trữ là thiết bị được sử dụng để đọc, ghi dữ liệu. Căn cứ tính năng lưu trữ, thiết bị lưu trữ gồm: thiết bị lưu trữ chuyên dụng cho máy chủ (DAS, NAS, SAN, iSCSI SAN...) và thiết bị lưu trữ phổ thông (ổ cứng HHD/SSD, USB flash, thẻ nhớ, đĩa từ...).

7. Sự cố an toàn thông tin mạng là việc thông tin, hệ thống thông tin bị nguy hại, ảnh hưởng đến tính nguyên vẹn, tính bảo mật hoặc tính khả dụng.

8. Rủi ro an toàn thông tin mạng là những nhân tố chủ quan hoặc khách quan có khả năng ảnh hưởng tới trạng thái an toàn thông tin mạng.

9. Phần mềm độc hại là phần mềm có khả năng gây ra hoạt động không bình thường cho một phần hay toàn bộ hệ thống thông tin hoặc thực hiện sao chép, sửa đổi, xóa bỏ trái phép thông tin lưu trữ trong hệ thống thông tin.

10. Virus máy tính là những chương trình hay đoạn mã được thiết kế để tự nhân bản và sao chép chính nó tạo ra những tệp tin bị nhiễm virus trên các thiết bị lưu trữ.

11. Mức độ gây mất an toàn thông tin là các cấp độ ảnh hưởng của tác nhân gây sự cố mất an toàn thông tin.

a) Mức thấp là cấp độ ảnh hưởng đến công việc của cá nhân, không gây gián đoạn hay đình trệ công việc của đơn vị;

b) Mức trung bình là cấp độ ảnh hưởng đến một nhóm người (phòng, ban...) không gây gián đoạn hay đình trệ công việc của đơn vị;

c) Mức cao là cấp độ ảnh hưởng đến một trong các hoạt động chính của cơ quan, có thể gây đình trệ một phần công việc của đơn vị;

d) Mức khẩn cấp là cấp độ ảnh hưởng nghiêm trọng, gây tê liệt đến hoạt động ứng dụng công nghệ thông tin của đơn vị.

Điều 3. Mạng thông tin của Bộ

Trong Quy chế này, Mạng thông tin của Bộ được quy định như sau:

1. Hệ thống hạ tầng phần cứng tại cơ quan Bộ; các cơ quan, đơn vị thuộc Bộ

a) Máy chủ, máy trạm;

b) Thiết bị mạng.

2. Hệ thống phần mềm, cơ sở dữ liệu và thông tin số

a) Các cơ sở dữ liệu, tệp dữ liệu phục vụ công tác quản lý, điều hành của Bộ và các đơn vị trong khối cơ quan Bộ;

b) Hệ thống thư điện tử công vụ;

c) Các phần mềm phục vụ công tác quản lý, điều hành của Bộ hoạt động trên môi trường mạng;

d) Các phần mềm hệ thống, phần mềm trung gian, phần mềm quản trị và quản lý cơ sở dữ liệu, phần mềm an ninh, bảo mật và phòng chống virus tin học;

đ) Cổng thông tin điện tử của Bộ Văn hóa, Thể thao và Du lịch;

e) Cổng/ trang thông tin điện tử của các cơ quan, đơn vị thuộc Bộ Văn hóa, Thể thao và Du lịch;

g) Hệ thống thông tin trao đổi giữa Bộ Văn hóa, Thể thao và Du lịch và Chính phủ, các Bộ, ngành, các Ủy ban nhân dân tỉnh, thành phố trực thuộc Trung ương, các tổ chức khác;

h) Thông tin trao đổi giữa Bộ Văn hóa, Thể thao và Du lịch và các đơn vị thuộc;

i) Thông tin trao đổi giữa người dùng với nhau.

3. Mạng đường truyền của Bộ

a) Hệ thống mạng nội bộ tại cơ quan Bộ; các cơ quan, đơn vị thuộc Bộ;

b) Mạng truyền số liệu chuyên dụng;

c) Mạng diện rộng (WAN).

Điều 4. Sử dụng tài nguyên của Mạng thông tin của Bộ

1. Việc khai thác, sử dụng tài nguyên của Mạng thông tin của Bộ phải tuân thủ Quy chế này và các quy định liên quan của pháp luật hiện hành về an toàn thông tin mạng.

2. Chủ quản hệ thống thông tin ban hành Quy chế sử dụng hệ thống thông tin bảo đảm phù hợp vị trí, vai trò của hệ thống thông tin được giao quản lý và đồng bộ với Mạng thông tin của Bộ.

Điều 5. Nguyên tắc chung về bảo đảm an toàn thông tin mạng

1. Hoạt động an toàn thông tin mạng của cơ quan, đơn vị thuộc Bộ đúng quy định của pháp luật.

2. Cơ quan, đơn vị được Bộ giao nhiệm vụ là đầu mối xử lý sự cố về an toàn thông tin mạng có trách nhiệm hướng dẫn, xử lý, phối hợp xử lý sự cố an toàn thông tin mạng tại các cơ quan, đơn vị thuộc Bộ trong phạm vi được phân công.

3. Hoạt động an toàn thông tin mạng phải được thực hiện thường xuyên, liên tục, kịp thời và hiệu quả. Tổ chức, cá nhân không được xâm phạm an toàn thông tin mạng của tổ chức, cá nhân khác.

4. Các hệ thống phần mềm, cơ sở dữ liệu phải có phương án sao lưu dữ liệu dự phòng phù hợp với điều kiện của từng cơ quan, đơn vị; dữ liệu được lưu trữ tại nơi an toàn, đồng thời phải thường xuyên kiểm tra để bảo đảm sẵn sàng phục hồi khi có sự cố an toàn thông tin mạng xảy ra. Lãnh đạo cơ quan, đơn vị phải chịu trách nhiệm nếu để xảy ra mất mát dữ liệu do không kịp thời tiến hành sao lưu dự phòng.

5. Hệ thống máy chủ, máy tính, hệ thống lưu trữ nội bộ, thiết bị mạng; hệ thống mạng không dây (Wifi) phải được bảo vệ bởi mật khẩu an toàn. Mật khẩu đăng nhập vào các hệ thống thông tin, trang thiết bị phải có độ phức tạp cao (có độ dài tối thiểu 8 ký tự, có ký tự thường, ký tự số và ký tự đặc biệt như !, @, #, $, %,...) và phải định kỳ thay đổi ít nhất 3 tháng/lần.

6. Kiểm soát chặt chẽ việc cài đặt các phần mềm lên máy chủ và máy trạm, bảo đảm tuân thủ quy định quản lý an toàn, an ninh thông tin của cơ quan, đơn vị và các quy định khác có liên quan. Phần mềm diệt virus, phần mềm tường lửa và các phần mềm ứng dụng khác phải được thiết lập cơ chế tự động và thường xuyên cập nhật bản vá lỗ hổng bảo mật từ nhà sản xuất.

7. Khi tham gia mạng xã hội:

- Thận trọng đối với các trang quảng cáo tự động xuất hiện khi truy cập các trang mạng xã hội...

- Kiểm tra kỹ thông tin trước khi nhận lời kết bạn, nhận tin từ mạng xã hội; không kết bạn với “người lạ”, không mở các tin đột nhiên xuất hiện trên trang cá nhân.

- Thận trọng khi sử dụng dịch vụ mạng xã hội, các dịch vụ lưu trữ dữ liệu, thư điện tử... miễn phí không rõ nguồn gốc hoặc chưa được xác thực. Cân nhắc khi đưa thông tin cá nhân lên mạng.

- Không sử dụng một mật khẩu cho nhiều tài khoản.

- Sử dụng trình duyệt web bảo mật cao, phiên bản cập nhật thường xuyên.

8. Khi sử dụng điện thoại, máy tính bảng, thiết bị di động:

- Thận trọng khi sử dụng dịch vụ định vị, phần mềm miễn phí, phần mềm mạng xã hội (Facebook, Twitter...), phần mềm OTT (Wechat, Line, Zalo, KakaoTalk...).

- Chỉ cài đặt những phần mềm cần thiết, rõ nguồn gốc, hạn chế cài đặt và dùng thử phần mềm không rõ nguồn gốc xuất xứ.

- Cấu hình an toàn, cấp quyền cần thiết cho các ứng dụng.

- Thận trọng khi thiết lập đồng bộ dữ liệu.

- Không sử dụng để chụp ảnh tài liệu, phòng làm việc, nhà riêng và các dữ liệu nhạy cảm, quan trọng khi máy đang để chế độ đồng bộ qua mạng.

9. Trường hợp sử dụng dữ liệu nội bộ, chứa thông tin bí mật nhà nước, cơ quan:

a) Khi đi công tác:

- Sử dụng các thiết bị tạm thời, không chứa các dữ liệu quan trọng; trường hợp cần thiết phải mã hoá thiết bị, tài liệu số mang theo.

- Bảo quản tốt các thiết bị số mang theo.

- Không sử dụng mạng không dây (wifi) không rõ nguồn gốc, không sử dụng thiết bị riêng là điểm phát sóng cho các thiết bị khác truy cập...

- Cô lập ngay thiết bị khi nghi ngờ nhiễm mã độc.

- Không sử dụng máy tính kết nối Internet để soạn thảo, lưu trữ dữ liệu nội bộ chứa bí mật nhà nước trong mọi trường hợp.

- Lưu ý nên đặt tên tệp (file) không dấu, ký hiệu phiên bản để tránh nhầm lẫn nội dung và mất dữ liệu quan trọng.

- Thiết lập hệ thống quản lý, chống sao chép dữ liệu bất hợp pháp qua thiết bị lưu trữ ngoài.

b) Sử dụng thiết bị lưu trữ ngoại vi:

- Các thiết bị lưu trữ ngoài lưu trữ tài liệu nội bộ, tài liệu chứa bí mật nhà nước phải sử dụng riêng và phải được quản lý chặt.

- Không kết nối các thiết bị lưu trữ ngoài và các thiết bị có khả năng ghi nhớ qua lại giữa máy tính nội bộ và máy tính kết nối Internet.

c) Đối với dữ liệu nội bộ, dữ liệu chứa bí mật nhà nước:

- Không trao đổi thông tin, dữ liệu chứa bí mật nhà nước qua Internet.

- Không lưu trữ thông tin, tài liệu nội bộ, tài liệu chứa bí mật nhà nước trên máy tính, thiết bị có kết nối Internet và những mạng khác (không được phòng vệ) có khả năng làm lộ, mất dữ liệu.

- Sử dụng các phần mềm mã hóa mạnh để mã hóa, bảo vệ dữ liệu, nhất là trong trường hợp sao chép sang các thiết bị lưu trữ ngoại vi.

10. Có giải pháp bảo vệ an toàn về mặt vật lý (như chống va đập, đảm bảo không gian, nhiệt độ, độ ẩm, nguồn điện, chống sét, các tác động phá hoại từ phía con người...) đối với hệ thống phần cứng của máy chủ, máy tính, thiết bị mạng và các thiết bị khác.

11. Các cơ quan, đơn vị thuê dịch vụ công nghệ thông tin phải rà soát, phân định để có giải pháp bảo đảm an toàn thông tin mạng theo Quy chế này.

12. Khi xảy ra sự cố an toàn thông tin mạng, thủ trưởng cơ quan, đơn vị phải có trách nhiệm xây dựng phương án, tổ chức khắc phục và báo cáo kết quả lên đơn vị đầu mối theo quy định của Bộ Văn hóa, Thể thao và Du lịch. Trong trường hợp không tự khắc phục được phải thông báo và kịp thời phối hợp với đơn vị đầu mối để được hướng dẫn, hỗ trợ, khắc phục ngay sự cố.

13. Định kỳ hàng năm, các đơn vị báo cáo Lãnh đạo Bộ về công tác an toàn thông tin của đơn vị. Căn cứ cứ tình hình thực tế, Bộ tổ chức kiểm tra, rà soát, đánh giá công tác an toàn thông tin mạng của đơn vị.

Điều 6. Các hành vi bị nghiêm cấm

1. Ngăn chặn việc truyền tải thông tin trên mạng, can thiệp, truy nhập, gây nguy hại, xóa, thay đổi, sao chép và làm sai lệch thông tin trên mạng trái pháp luật.

2. Gây ảnh hưởng, cản trở trái pháp luật tới hoạt động bình thường của hệ thống thông tin hoặc tới khả năng truy nhập hệ thống thông tin của người sử dụng.

3. Tấn công, vô hiệu hóa trái pháp luật làm mất tác dụng của biện pháp bảo vệ an toàn thông tin mạng của hệ thống thông tin; tấn công, chiếm quyền điều khiển, phá hoại hệ thống thông tin.

4. Phát tán thư rác, phần mềm độc hại, thiết lập hệ thống thông tin giả mạo, lừa đảo.

5. Thu thập, sử dụng, phát tán, kinh doanh trái pháp luật thông tin cá nhân của người khác; lợi dụng sơ hở, điểm yếu của hệ thống thông tin để thu thập, khai thác thông tin cá nhân.

6. Xâm nhập trái pháp luật bí mật mật mã và thông tin đã mã hóa hợp pháp của cơ quan, tổ chức, cá nhân; tiết lộ thông tin về sản phẩm mật mã dân sự, thông tin về khách hàng sử dụng hợp pháp sản phẩm mật mã dân sự; sử dụng, kinh doanh các sản phẩm mật mã dân sự không rõ nguồn gốc.

Chương II

BẢO ĐẢM AN TOÀN MẠNG THÔNG TIN, MÁY TÍNH, MÁY CHỦ

Điều 7. Bảo đảm an toàn thông tin máy trạm, máy chủ

1. Kiểm soát chặt chẽ việc cài đặt các phần mềm mới trên máy trạm, máy chủ. Các phần mềm được cài đặt trên máy trạm, máy chủ (bao gồm hệ điều hành, các phần mềm ứng dụng văn phòng, phần mềm phục vụ công việc, tiện ích khác) phải được thường xuyên theo dõi, cập nhật bản vá lỗi bảo mật của nhà phát triển, lựa chọn cài đặt các phần mềm chống, diệt virus, mã độc và thường xuyên cập nhật phiên bản mới, đặt lịch quét virus theo định kỳ ít nhất hàng tuần.

2. Thủ trưởng cơ quan, đơn vị phải quy định cụ thể về quản lý, vận hành sử dụng máy chủ; quản lý chặt chẽ nhật ký hoạt động trong quá trình vận hành máy chủ.

3. Tùy mức độ, quy mô, kiến trúc phần mềm trên máy chủ để có cơ chế sao lưu định kỳ nhật ký hoạt động, hệ thống thông tin tối thiểu 1 tháng/1 lần.

Điều 8. Bảo đảm an toàn hệ thống mạng

1. Khuyến khích cơ quan nhà nước tổ chức mạng nội bộ theo mô hình phân cấp (không ngang hàng); phân chia hệ thống mạng nội bộ thành các vùng mạng theo phạm vi truy cập mạng nội bộ; khi kết nối với mạng Internet phải thông qua thiết bị tường lửa, máy chủ trung gian chuyển tiếp và có cơ chế cài bảo đảm an toàn về dịch vụ, cổng truy cập, phân vùng mạng... Tùy điều kiện, yêu cầu thực tế về bảo mật dữ liệu, các cơ quan, đơn vị chủ động triển khai xây dựng mô hình, giải pháp an toàn bảo mật hệ thống mạng tại cơ quan, đơn vị cho phù hợp.

2. Quản lý hệ thống mạng không dây: Khi thiết lập mạng không dây có kết nối vào mạng nội bộ phải thiết lập các thông số cần thiết như định danh, mật khẩu, mã hóa dữ liệu, thay đổi mật khẩu định kỳ tối thiểu 03 tháng/01 lần.

3. Quản lý truy cập từ xa vào mạng nội bộ: Đối với việc truy cập từ xa vào mạng nội bộ phải được theo dõi, quản lý chặt chẽ.

a) Truy cập sử dụng chức năng quản trị phải thiết lập mật khẩu độ an toàn cao, nhắc nhở khuyến cáo thường xuyên thay đổi mật khẩu, tăng cường sử dụng mạng riêng ảo, hạn chế truy cập từ xa vào mạng nội bộ từ các điểm truy cập Internet công cộng;

b) Khuyến khích sử dụng công cụ hoặc phần mềm chuyên dụng đối với hệ mạng nội bộ nhằm bảo vệ thông tin trong quá trình truy cập từ xa vào mạng nội bộ (bao gồm cả mạng có dây và không dây) để trao đổi thông tin.

4. Khi cơ quan, đơn vị thuộc Bộ đấu nối với Mạng thông tin Bộ phải bảo đảm đồng bộ, thống nhất với toàn hệ thống.

Điều 9. Bảo đảm an toàn truy cập, đăng nhập hệ thống thông tin

1. Thủ trưởng cơ quan, đơn vị quy định cụ thể trách nhiệm, quyền hạn người dùng khi truy cập, đăng nhập các hệ thống thông tin và tổ chức thực hiện nghiêm túc, phù hợp với các quy định của pháp luật về an toàn thông tin. Mỗi tài khoản truy cập các hệ thống thông tin chỉ được cấp cho một người quản lý và sử dụng.

Trường hợp một nhóm người sử dụng 01 tài khoản phải có cơ chế xác định trách nhiệm từng cá nhân trong việc quản lý tài khoản. Người dùng chỉ được truy cập các thông tin phù hợp với chức năng, trách nhiệm, quyền hạn của mình và có trách nhiệm bảo mật tài khoản truy cập được cấp.

2. Cá nhân khi sử dụng các ứng dụng dùng chung của Bộ phải ý thức tự bảo vệ thông tin cá nhân của mình; nghiêm cấm tiết lộ tài khoản đăng nhập, đấu nối, truy cập trái phép vào hệ thống các phần mềm dùng chung của Bộ.

3. Các hệ thống thông tin cần giới hạn số lần đăng nhập sai liên tiếp vào hệ thống (từ 03 đến 05 lần). Nếu đăng nhập sai vượt quá số lần quy định thì hệ thống tự động khóa tài khoản trong một khoảng thời gian nhất định trước khi tiếp tục cho đăng nhập.

4. Tất cả máy chủ, máy trạm phải được thiết lập mật khẩu truy cập và chế độ tự động bảo vệ màn hình sau 10 phút không sử dụng.

5. Mật khẩu đăng nhập, truy cập hệ thống thông tin phải có độ phức tạp cao (Theo quy định tại Điều 5, Khoản 5 Quy chế này) và phải được thay đổi ít nhất 03 tháng/1 lần.

6. Cơ quan, đơn vị rà soát tối thiểu 03 tháng/01lần các tài khoản đăng nhập, bảo đảm các tài khoản và quyền truy cập hệ thống được cấp phát đúng, đủ.

Khi người dùng thay đổi vị trí công tác, chuyển công tác, thôi việc hoặc nghỉ hưu thì cơ quan, đơn vị phải kịp thời thu hồi tài khoản đã cấp và thông báo cho cán bộ phụ trách (theo thẩm quyền phân công tại cơ quan, đơn vị). Nếu là tài khoản thuộc phạm vi do Bộ cấp, phải có văn bản báo cho cơ quan chuyên trách công nghệ thông tin được phân công của Bộ thu hồi tài khoản được cấp.

Điều 10. Bảo đảm an toàn cho dữ liệu, phần mềm ứng dụng trên máy trạm, máy chủ

1. Việc bảo đảm an toàn các phần mềm ứng dụng phải được xem xét trong cả giai đoạn đầu tư (hoặc thuê dịch vụ công nghệ thông tin). Đối với giai đoạn thiết kế, xây dựng, nâng cấp, hủy bỏ phải áp dụng các biện pháp quản lý và kỹ thuật bảo đảm các quy trình, kết quả xử lý của phần mềm phải trung thực, kiểm soát lỗ hỏng bảo mật trong quá trình thiết kế, xây dựng phần mềm, kiểm soát phân quyền người dùng đăng nhập và kiểm soát các rủi ro mất an toàn thông tin khác có thể phát sinh, thực hiện nghiêm túc việc kiểm tra thử phần mềm trước khi đưa vào khai thác sử dụng.

2. Có giải pháp bảo vệ dữ liệu trên máy chủ bảo đảm tính toàn vẹn, tính tin cậy, tính sẵn sàng. Áp dụng kỹ thuật mã hóa đối với thông tin, dữ liệu quan trọng khi lưu trữ, trao đổi.

3. Chỉ sử dụng hệ thống hạ tầng, phần mềm do Bộ, cơ quan, đơn vị triển khai để truy cập vào các hệ thống thông tin nội bộ của Bộ, cơ quan, đơn vị như: hệ thống thư điện tử, phần mềm quản lý văn bản và điều hành.

Chương III

BẢO ĐẢM AN TOÀN CỔNG THÔNG TIN ĐIỆN TỬ, TRANG THÔNG TIN ĐIỆN TỬ

Điều 11. Bảo đảm an toàn chung cho cổng thông tin điện tử, trang thông tin điện tử

1. Cơ quan, đơn vị căn cứ hiện trạng quản lý, sử dụng, thuê dịch vụ công nghệ thông tin đối với cổng thông tin điện tử, trang thông tin điện tử của đơn vị để có kế hoạch bảo đảm an toàn theo quy định hiện hành.

2. Máy chủ, hệ thống máy chủ phục vụ hoạt động của cổng thông tin điện tử, trang thông tin điện tử của cơ quan, đơn vị phải đáp ứng các yêu cầu an toàn quy định tại Điều 7 của Quy chế này.

Trong trường hợp cơ quan, đơn vị thuê dịch vụ công nghệ thông tin phải quy định rõ vai trò, trách nhiệm của đối tác cung cấp dịch vụ.

3. Cơ sở dữ liệu và dữ liệu số của cổng thông tin điện tử, trang thông tin điện tử của đơn vị phải đáp ứng yêu cầu an toàn theo Điều 3, Khoản 2, Điều 5, Khoản 4 và Điều 9 của Quy chế này.

Đối với cổng thông tin điện tử, trang thông tin điện tử được kết nối bởi một hoặc nhiều hệ thống thông tin, cơ sở dữ liệu và dữ liệu số khác thì cơ quan chủ quản cổng thông tin điện tử, trang thông tin điện tử có biện pháp bảo đảm đúng theo thẩm quyền và quy định của pháp luật.

4. Thiết bị mạng, thiết bị lưu trữ chuyên dụng, thiết bị tường lửa, thiết bị phát hiện, phòng chống xâm nhập và các thiết bị khác phục vụ hoạt động của cổng thông tin điện tử, trang thông tin điện tử được của đơn vị phải được lắp đặt, cấu hình phù hợp bảo đảm tính tối ưu, bảo vệ an toàn.

5. Bảo đảm an toàn cho các phần mềm, ứng dụng khác trên máy chủ của cổng thông tin điện tử, trang thông tin điện tử theo Điều 10 của Quy chế này.

Điều 12. Kiểm tra hoạt động cổng thông tin điện tử, trang thông tin điện tử

1. Kiểm tra, kiểm soát thông tin công bố lên cổng thông tin điện tử, trang thông tin điện tử nhằm bảo đảm hiển thị các thông tin đúng theo nhu cầu cung cấp của đơn vị, tránh hiển thị các thông tin riêng tư.

2. Kiểm tra rà soát hoạt động các chức năng phần mềm của cổng thông tin điện tử, trang thông tin điện tử, phát hiện các lỗi phát sinh có nguy cơ gây ra sự cố, rủi ro an toàn thông tin mạng.

Điều 13. Nhân lực và xử lý sự cố

1. Cơ quan, đơn vị thuộc Bộ bố trí nhân lực thường xuyên theo dõi, giám sát hoạt động của cổng thông tin điện tử, trang thông tin điện tử (đặc biệt trong các thời điểm nhạy cảm) phát hiện hoạt động bất bình thường, báo cáo cấp có thẩm quyền để kịp thời giải quyết.

2. Căn cứ mô hình quản lý, vận hành đối với cổng thông tin điện tử, trang thông tin điện tử của đơn vị để xây dựng phương án ứng cứu kịp thời. Trong trường hợp khẩn cấp, phải tạm dừng hoạt động của cổng thông tin điện tử, trang thông tin điện tử của đơn vị để cách ly, hạn chế tối đa ảnh hưởng đến Mạng thông tin Bộ.

Chương IV

BẢO ĐẢM AN TOÀN THƯ ĐIỆN TỬ, CHỮ KÝ SỐ, CHỨNG THƯ SỐ

Điều 14. Bảo đảm an toàn chung cho hệ thống thư điện tử

1. Việc bảo đảm an toàn đối với hệ thống thư điện tử công vụ của Bộ Văn hóa, Thể thao và Du lịch do đơn vị đầu mối được Lãnh đạo Bộ Văn hóa, Thể thao và Du lịch phân công thực hiện.

2. Các hệ thống thư điện tử của cơ quan, đơn vị thuộc Bộ do cơ quan, đơn vị thuộc Bộ vận hành và chịu trách nhiệm về bảo đảm an toàn.

Cơ quan, đơn vị thuộc Bộ phối hợp với đơn vị đầu mối trong phạm vi được Lãnh đạo Bộ phân công để thực hiện.

3. Bảo vệ an toàn hệ thống thông tin của hệ thống thư điện tử được thực hiện theo Điều 7 (đối với máy chủ thư điện tử), Điều 9 (đối với việc quản trị cơ sở dữ liệu về thư điện tử), Điều 10 (đối với phần mềm hệ thống, phần mềm ứng dụng quản trị hộp thư điện tử) và một số lưu ý khi sử dụng thư điện tử:

- Kiểm tra kỹ trước khi mở thư điện tử, tin nhắn và các đường dẫn, tập tin gửi kèm.

- Tuyệt đối không truy cập, xóa ngay các thư điện tử, tin nhắn không rõ nguồn gốc, nội dung có dấu hiệu nghi vấn, giả mạo.

- Thận trọng với các thư điện tử yêu cầu khai báo thông tin truy cập, mật khẩu, mã pin (ngân hàng)...

- Trường hợp cần thiết phải liên lạc với người gửi bằng phương tiện khác để xác thực trước khi mở các thư điện tử, tin nhắn.

- Thận trọng khi truy cập vào địa chỉ trang web lạ.

Điều 15: Kiểm tra hoạt động của hệ thống thư điện tử công vụ

1. Người dùng được giao quản lý tài khoản hộp thư điện tử công vụ cá nhân, tổ chức của cơ quan, đơn vị phải thực hiện các yêu cầu về bảo mật tại Điều 5, Khoản 2 và Điều 9, Khoản 6 của Quy chế này.

2. Cơ quan, đơn vị thuộc Bộ sử dụng hệ thống thư điện tử riêng bố trí nhân lực, thường xuyên rà soát hoạt động của hệ thống thư điện tử bảo đảm an toàn, hiệu quả.

Nếu cơ quan, đơn vị không trực tiếp quản trị hệ thống thư điện tử riêng của đơn vị cần có giải pháp chủ động bảo đảm an toàn hệ thống thư điện tử.

Điều 16. Bảo đảm an toàn chữ ký số

Chữ ký số chuyên dùng được xem là an toàn khi đáp ứng điều kiện sau:

1. Chữ ký số được tạo ra trong thời gian chứng thư số có hiệu lực và kiểm tra được bằng khóa công khai ghi trên chứng thư số có hiệu lực đó.

2. Chữ ký số được tạo ra bằng việc sử dụng khóa bí mật tương ứng với khóa công khai ghi trên chứng thư số.

3. Khóa bí mật chỉ thuộc sự kiểm soát của người ký tại thời điểm ký.

4. Khóa bí mật và nội dung thông điệp dữ liệu chỉ gắn duy nhất với người ký khi người đó ký số thông điệp dữ liệu.

Điều 17. Bảo đảm an toàn khi sử dụng chữ ký số và chứng thư số

1. Bảo đảm an toàn khi sử dụng chữ ký số, chứng thư số theo quy định của Pháp luật về an toàn thông tin mạng, cơ yếu và mật mã dân sự.

2. Cơ quan, đơn vị thuộc Bộ được giao quản lý chứng thư số, chữ ký số của cá nhân, cơ quan, đơn vị thuộc Bộ phải tuân thủ quy định của pháp luật và các quy định riêng của Bộ Văn hóa, Thể thao và Du lịch.

Đơn vị đầu mối được giao quản lý chứng thư số, chữ ký số của Bộ hướng dẫn việc bảo đảm an toàn trong quá trình sử dụng theo quy định của Pháp luật hiện hành.

3. Thu hồi chứng thư số của cá nhân, cơ quan, đơn vị thuộc Bộ trong các trường hợp:

a) Chứng thư số hết hạn sử dụng;

b) Khóa bí mật bị lộ hoặc nghi bị lộ;

c) Thiết bị lưu khóa bí mật bị thất lạc, bị sao chép hoặc các trường hợp mất an toàn khác;

d) Theo yêu cầu bằng văn bản (hoặc thông qua chứng thư số còn hiệu lực) từ cơ quan tiến hành tố tụng, cơ quan an ninh;

đ) Theo yêu Cầu bằng văn bản (hoặc thông qua chứng thư số còn hiệu lực) từ người quản lý thuê bao;

e) Thuê bao thay đổi vị trí công tác hoặc nghỉ hưu;

g) Trường hợp chứng thư số cấp cho người có thẩm quyền của đơn vị theo quy định của pháp luật về quản lý và sử dụng con dấu có thay đổi chức danh;

h) Thuê bao vi phạm các quy định về quản lý, sử dụng khóa bí mật và thiết bị lưu khóa bí mật được quy định tại Quy chế này.

Chương V

KIỂM TRA CÔNG TÁC ĐẢM BẢO AN TOÀN, AN NINH THÔNG TIN MẠNG

Điều 18. Trách nhiệm và phối hợp trong công tác kiểm tra

1. Trung tâm Công nghệ thông tin chủ trì, phối hợp với các đơn vị có liên quan tiến hành kiểm tra công tác đảm bảo an toàn, an ninh thông tin mạng định kỳ hàng năm đối với các cơ quan, đơn vị.

2. Các đơn vị liên quan được mời tham gia đoàn kiểm tra: Cử cán bộ có chuyên môn về công nghệ thông tin tham gia đoàn kiểm tra do Trung tâm Công nghệ thông tin tổ chức; phối hợp với đoàn kiểm tra xây dựng các tiêu chí và quy trình kỹ thuật kiểm tra công tác đảm bảo an toàn, an ninh thông tin.

4. Các cơ quan nhà nước có thẩm quyền sẽ tiến hành kiểm tra các cơ quan, đơn vị khi phát hiện có dấu hiệu vi phạm pháp luật về an toàn, an ninh thông tin trong hệ thống thông tin theo đúng quy định.

5. Đoàn kiểm tra có trách nhiệm thông báo thời gian, địa điểm, nội dung và thành phần cho đơn vị được kiểm tra biết trước ít nhất 05 ngày để chuẩn bị.

6. Đơn vị được kiểm tra:

a) Chuẩn bị nội dung báo cáo theo yêu cầu của Đoàn kiểm tra.

b) Có đại diện lãnh đạo và cán bộ đầu mối về công nghệ thông tin của đơn vị để làm việc cùng Đoàn kiểm tra.

c) Tạo thuận lợi cho công tác kiểm tra.

Điều 19. Kiểm tra định kỳ và đột xuất

1. Đoàn kiểm tra xây dựng kế hoạch và thực hiện kiểm tra định kỳ hàng năm về công tác đảm bảo an toàn, an ninh thông tin mạng trong hoạt động ứng dụng công nghệ thông tin của các cơ quan nhà nước.

2. Đoàn kiểm tra tiến hành kiểm tra đột xuất các cơ quan, đơn vị có dấu hiệu vi phạm an toàn, an ninh thông tin.

Chương VI

TRÁCH NHIỆM CỦA TỔ CHỨC, CÁ NHÂN VỀ AN TOÀN THÔNG TIN MẠNG

Điều 20. Thủ trưởng cơ quan, đơn vị thuộc Bộ

1. Thủ trưởng cơ quan, đơn vị chịu trách nhiệm đảm bảo an toàn thông tin của đơn vị và thực hiện báo cáo theo yêu cầu của đơn vị chuyên trách công nghệ thông tin của Bộ.

2. Căn cứ Quy chế này và nhu cầu thực tế của cơ quan, đơn vị về an toàn thông tin, thông tin mạng để xây dựng và ban hành Quy chế an toàn thông tin của đơn vị mình. Quy chế của đơn vị gồm các quy định cơ bản sau:

a) Quản lý và bảo đảm an toàn máy chủ, máy trạm, các thiết bị di động và cơ chế sao lưu, phục hồi;

b) Quản lý và bảo đảm an toàn hệ thống mạng máy tính, kết nối internet;

c) Quản lý và bảo đảm an toàn truy cập, đăng nhập hệ thống thông tin;

d) Quản lý và bảo đảm an toàn các phần mềm ứng dụng;

đ) Quản lý và bảo đảm an toàn thông tin, dữ liệu số.

3. Trong trường hợp mua sắm trang bị thiết bị hạ tầng công nghệ thông tin, xây dựng phần mềm có liên quan hoặc ảnh hưởng tới hạ tầng công nghệ, phần mềm dùng chung của Bộ phải có tư vấn, thông qua của đơn vị chuyên trách thẩm định để không gây ảnh hưởng tới hạ tầng công nghệ chung của Bộ.

4. Cử cán bộ công chức, viên chức, người lao động tham gia chương trình đào tạo, tập huấn của Bộ Văn hóa, Thể thao và Du lịch về an toàn thông tin.

Điều 21. Công chức, viên chức, người lao động

1. Trách nhiệm của cán bộ, công chức, viên chức phụ trách an toàn thông tin của đơn vị:

a) Chịu trách nhiệm bảo đảm an toàn thông tin của đơn vị;

b) Tham mưu lãnh đạo đơn vị ban hành quy định, quy chế của đơn vị là đầu mối để triển khai thực hiện các giải pháp kỹ thuật bảo đảm an toàn, an ninh thông tin;

c) Giám sát, đánh giá, kịp thời báo cáo thủ trưởng đơn vị các nguy cơ gây mất an toàn thông tin của đơn vị;

d) Định kỳ báo cáo, đánh giá với thủ trưởng đơn vị về tình hình đảm bảo an toàn thông tin và đề xuất các biện pháp khắc phục, nâng cao an toàn an ninh thông tin.

đ) Phối hợp với các cá nhân, đơn vị được giao đầu mối trong việc kiểm soát, phát hiện và khắc phục các sự cố an toàn, an ninh thông tin.

2. Trách nhiệm của cán bộ, công chức, viên chức, người lao động trong các cơ quan, đơn vị:

a) Nghiêm túc chấp hành các quy định, quy trình nội bộ của đơn vị, Quy chế này và các quy định khác của pháp luật về an toàn thông tin;

b) Chịu trách nhiệm bảo đảm an toàn thông tin trong phạm vi trách nhiệm và quyền hạn được giao; tự quản lý, bảo quản thiết bị mà mình được giao sử dụng;

c) Khi phát hiện nguy cơ hoặc sự cố mất an toàn thông tin phải báo cáo ngay với bộ phận phụ trách an toàn thông tin của đơn vị để kịp thời ngăn chặn và xử lý.

Điều 22. Trung tâm Công nghệ thông tin

Ngoài việc thực hiện các quy định chung, thực hiện các nhiệm vụ:

1. Trung tâm Công nghệ thông tin là cơ quan chuyên trách quản lý nhà nước về an toàn và bảo mật thông tin của Bộ; chịu trách nhiệm đôn đốc, kiểm tra, đánh giá và báo cáo Lãnh đạo Bộ về tình hình an toàn, bảo mật thông tin.

2. Tổ chức đào tạo, bồi dưỡng về an toàn, an ninh thông tin theo Kế hoạch ứng dụng công nghệ thông tin hàng năm của Bộ Văn hóa, Thể thao và Du lịch.

3. Đầu mối triển khai các nhiệm vụ về an ninh, an toàn thông tin của các cơ quan, đơn vị thuộc Bộ.

4. Hướng dẫn các đơn vị thuộc Bộ trong việc xây dựng và thẩm định quy chế, quy định về an toàn, an ninh thông tin.

5. Phối hợp với Trung tâm Thông tin Du lịch, Trung tâm Thông tin Thể dục thể thao trong việc đề xuất giải pháp và triển khai các nhiệm vụ về an ninh, an toàn thông tin đối với Mạng thông tin Bộ.

Điều 23. Trung tâm Thông tin Du lịch (Tổng cục Du lịch)

Ngoài việc thực hiện các quy định chung, thực hiện các nhiệm vụ:

1. Là đầu mối triển khai các nhiệm vụ về an ninh, an toàn thông tin của các cơ quan, đơn vị trực thuộc Tổng cục Du lịch.

2. Hướng dẫn các đơn vị trực thuộc Tổng cục Du lịch trong việc xây dựng quy chế, quy định về an toàn, an ninh thông tin.

3. Phối hợp với Trung tâm Công nghệ thông tin đề xuất giải pháp về an toàn, bảo mật thông tin của Bộ Văn hóa, Thể thao và Du lịch.

Điều 24. Trung tâm Thông tin Thể dục thể thao (Tổng cục TDTT)

Ngoài việc thực hiện các quy định chung, thực hiện các nhiệm vụ:

1. Là đầu mối triển khai các nhiệm vụ về an ninh, an toàn thông tin của các cơ quan, đơn vị trực thuộc Tổng cục Thể dục thể thao;

2. Hướng dẫn các đơn vị trực thuộc Tổng cục Thể dục thể thao trong việc xây dựng quy chế, quy định về an toàn, an ninh thông tin;

3. Phối hợp với Trung tâm Công nghệ thông tin đề xuất giải pháp về an toàn, bảo mật thông tin của Bộ Văn hóa, Thể thao và Du lịch.

Chương VII

TỔ CHỨC THỰC HIỆN

Điều 25. Khen thưởng và xử lý vi phạm

1. Trung tâm Công nghệ thông tin tiến hành kiểm tra, đánh giá, xếp hạng an toàn, an ninh thông tin, trên cơ sở đó tham mưu, đề xuất Lãnh đạo Bộ xem xét khen thưởng hàng năm theo quy định.

2. Các cơ quan, đơn vị và các cán bộ, công chức, viên chức người lao động trực thuộc Bộ có hành vi vi phạm quy chế này tùy theo mức độ vi phạm bị xử lý theo quy định.

Điều 26. Điều khoản thi hành

Trong quá trình thực hiện Quy chế, nếu có khó khăn, vướng mắc, các cơ quan, đơn vị có liên quan phản ánh kịp thời về Bộ Văn hóa, Thể thao và Du lịch (qua Trung tâm Công nghệ thông tin) để tổng hợp báo cáo trình Lãnh đạo Bộ sửa đổi, bổ sung cho phù hợp./.