Quyết định 2692/QĐ-BTP năm 2023 về Quy chế Bảo đảm an toàn, an ninh thông tin mạng theo cấp độ cho Trung tâm dữ liệu điện tử Bộ Tư pháp
| Số hiệu | 2692/QĐ-BTP |
| Ngày ban hành | 09/11/2023 |
| Ngày có hiệu lực | 09/11/2023 |
| Loại văn bản | Quyết định |
| Cơ quan ban hành | Bộ Tư pháp |
| Người ký | Mai Lương Khôi |
| Lĩnh vực | Công nghệ thông tin,Bộ máy hành chính |
|
BỘ TƯ PHÁP |
CỘNG HÒA XÃ HỘI
CHỦ NGHĨA VIỆT NAM |
|
Số: 2692/QĐ-BTP |
Hà Nội, ngày 09 tháng 11 năm 2023 |
BỘ TRƯỞNG BỘ TƯ PHÁP
Căn cứ Luật An toàn thông tin mạng số 86/2015/QH13 ngày 19/11/2015;
Căn cứ Luật An ninh mạng số 24/2018/QH14 ngày 12/6/2018;
Căn cứ Luật Bảo vệ bí mật nhà nước số 29/2018/QH14 ngày 15/11/2018;
Căn cứ Nghị định số 98/2022/NĐ-CP ngày 29/11/2022 của Chính phủ quy định về chức năng, nhiệm vụ, quyền hạn và cơ cấu tổ chức của Bộ Tư pháp;
Căn cứ Nghị định số 85/2016/NĐ-CP ngày 01/7/2016 của Chính phủ về bảo đảm an toàn hệ thống thông tin theo cấp độ;
Căn cứ Nghị định số 53/2022/NĐ-CP ngày 15/8/2022 của Chính phủ về Quy định chi tiết một số điều của Luật An ninh mạng;
Căn cứ Thông tư số 12/2022/TT-BTTTT ngày 12/8/2022 của Bộ Thông tin và Truyền thông Quy định chi tiết và hướng dẫn một số điều của Nghị định số 85/2016/NĐ-CP ngày 01/7/2016 của Chính phủ về bảo đảm an toàn hệ thống thông tin theo cấp độ;
Theo đề nghị của Cục trưởng Cục Công nghệ thông tin.
QUYẾT ĐỊNH:
Điều 1. Ban hành kèm theo Quyết định này Quy chế Bảo đảm an toàn, an ninh thông tin mạng theo cấp độ cho Trung tâm dữ liệu điện tử Bộ Tư pháp.
Điều 2. Quyết định này có hiệu lực kể từ ngày ký.
Điều 3. Cục trưởng Cục Công nghệ thông tin, Chánh Văn phòng Bộ, Vụ trưởng Vụ Tổ chức cán bộ, Cục trưởng Cục Kế hoạch - Tài chính, Thủ trưởng các đơn vị và cá nhân có liên quan thuộc Bộ Tư pháp chịu trách nhiệm thi hành Quyết định này./.
|
|
KT. BỘ TRƯỞNG |
BẢO
ĐẢM AN TOÀN, AN NINH THÔNG TIN MẠNG THEO CẤP ĐỘ CHO TRUNG TÂM DỮ LIỆU ĐIỆN TỬ BỘ
TƯ PHÁP
(Ban hành kèm theo Quyết định số 2692/QĐ-BTP ngày 09 tháng 11 năm 2023 của Bộ
trưởng Bộ Tư pháp)
Điều 1. Phạm vi điều chỉnh và đối tượng áp dụng
1. Phạm vi điều chỉnh
Quy chế này quy định về các chính sách quản lý và các biện pháp nhằm bảo đảm an toàn, an ninh thông tin mạng theo cấp độ cho Trung tâm dữ liệu điện tử Bộ Tư pháp.
2. Đối tượng áp dụng
a) Các đơn vị thuộc Bộ Tư pháp (sau đây gọi là đơn vị thuộc Bộ) và cán bộ, công chức, viên chức, người lao động của Bộ Tư pháp (sau đây gọi là cá nhân thuộc Bộ).
b) Đơn vị, cá nhân có kết nối, sử dụng hệ thống mạng tại Trung tâm dữ liệu điện tử Bộ Tư pháp.
|
BỘ TƯ PHÁP |
CỘNG HÒA XÃ HỘI
CHỦ NGHĨA VIỆT NAM |
|
Số: 2692/QĐ-BTP |
Hà Nội, ngày 09 tháng 11 năm 2023 |
BỘ TRƯỞNG BỘ TƯ PHÁP
Căn cứ Luật An toàn thông tin mạng số 86/2015/QH13 ngày 19/11/2015;
Căn cứ Luật An ninh mạng số 24/2018/QH14 ngày 12/6/2018;
Căn cứ Luật Bảo vệ bí mật nhà nước số 29/2018/QH14 ngày 15/11/2018;
Căn cứ Nghị định số 98/2022/NĐ-CP ngày 29/11/2022 của Chính phủ quy định về chức năng, nhiệm vụ, quyền hạn và cơ cấu tổ chức của Bộ Tư pháp;
Căn cứ Nghị định số 85/2016/NĐ-CP ngày 01/7/2016 của Chính phủ về bảo đảm an toàn hệ thống thông tin theo cấp độ;
Căn cứ Nghị định số 53/2022/NĐ-CP ngày 15/8/2022 của Chính phủ về Quy định chi tiết một số điều của Luật An ninh mạng;
Căn cứ Thông tư số 12/2022/TT-BTTTT ngày 12/8/2022 của Bộ Thông tin và Truyền thông Quy định chi tiết và hướng dẫn một số điều của Nghị định số 85/2016/NĐ-CP ngày 01/7/2016 của Chính phủ về bảo đảm an toàn hệ thống thông tin theo cấp độ;
Theo đề nghị của Cục trưởng Cục Công nghệ thông tin.
QUYẾT ĐỊNH:
Điều 1. Ban hành kèm theo Quyết định này Quy chế Bảo đảm an toàn, an ninh thông tin mạng theo cấp độ cho Trung tâm dữ liệu điện tử Bộ Tư pháp.
Điều 2. Quyết định này có hiệu lực kể từ ngày ký.
Điều 3. Cục trưởng Cục Công nghệ thông tin, Chánh Văn phòng Bộ, Vụ trưởng Vụ Tổ chức cán bộ, Cục trưởng Cục Kế hoạch - Tài chính, Thủ trưởng các đơn vị và cá nhân có liên quan thuộc Bộ Tư pháp chịu trách nhiệm thi hành Quyết định này./.
|
|
KT. BỘ TRƯỞNG |
BẢO
ĐẢM AN TOÀN, AN NINH THÔNG TIN MẠNG THEO CẤP ĐỘ CHO TRUNG TÂM DỮ LIỆU ĐIỆN TỬ BỘ
TƯ PHÁP
(Ban hành kèm theo Quyết định số 2692/QĐ-BTP ngày 09 tháng 11 năm 2023 của Bộ
trưởng Bộ Tư pháp)
Điều 1. Phạm vi điều chỉnh và đối tượng áp dụng
1. Phạm vi điều chỉnh
Quy chế này quy định về các chính sách quản lý và các biện pháp nhằm bảo đảm an toàn, an ninh thông tin mạng theo cấp độ cho Trung tâm dữ liệu điện tử Bộ Tư pháp.
2. Đối tượng áp dụng
a) Các đơn vị thuộc Bộ Tư pháp (sau đây gọi là đơn vị thuộc Bộ) và cán bộ, công chức, viên chức, người lao động của Bộ Tư pháp (sau đây gọi là cá nhân thuộc Bộ).
b) Đơn vị, cá nhân có kết nối, sử dụng hệ thống mạng tại Trung tâm dữ liệu điện tử Bộ Tư pháp.
c) Đơn vị, cá nhân cung cấp dịch vụ quản lý, vận hành, duy trì, phát triển và bảo đảm an toàn, an ninh thông tin mạng phục vụ hoạt động tại Trung tâm dữ liệu điện tử Bộ Tư pháp.
Trong quy chế này, các từ ngữ dưới đây được hiểu như sau:
1. An toàn thông tin mạng là sự bảo vệ thông tin, hệ thống thông tin trên mạng tránh bị truy nhập, sử dụng, tiết lộ, gián đoạn, sửa đổi hoặc phá hoại trái phép nhằm bảo đảm tính nguyên vẹn, tính bảo mật và tính khả dụng của thông tin.
2. An ninh mạng là sự bảo đảm hoạt động trên không gian mạng không gây phương hại đến an ninh quốc gia, trật tự, an toàn xã hội, quyền và lợi ích hợp pháp của cơ quan, tổ chức, cá nhân.
3. Hệ thống thông tin là tập hợp phần cứng, phần mềm và cơ sở dữ liệu được thiết lập phục vụ mục đích tạo lập, cung cấp, truyền đưa, thu thập, xử lý, lưu trữ và trao đổi thông tin trên mạng.
4. Phần mềm độc hại là phần mềm có khả năng gây ra hoạt động không bình thường cho một phần hay toàn bộ hệ thống thông tin hoặc thực hiện sao chép, sửa đổi, xóa bỏ trái phép thông tin lưu trữ trong hệ thống thông tin.
5. Thiết bị đầu cuối là những thiết bị như điện thoại cố định, điện thoại di động, máy tính, máy fax, USB, các thiết bị Bluetooth, máy bán hàng,... có nhiệm vụ giải mã những tín hiệu và mã do tổng đài hoặc trung tâm chuyển mạch chuyển đến.
Điều 3. Chủ quản hệ thống thông tin
Chủ quản hệ thống thông tin được quy định tại khoản 2 điều 5 Quyết định số 45/QĐ-BTP ngày 16/01/2023 của Bộ Tư pháp Ban hành Quy chế Bảo đảm an toàn, an ninh mạng Bộ Tư pháp.
Điều 4. Đơn vị vận hành hệ thống thông tin
Đơn vị vận hành hệ thống thông tin được quy định tại khoản 3 điều 5 Quyết định số 45/QĐ-BTP ngày 16/01/2023 của Bộ Tư pháp Ban hành Quy chế Bảo đảm an toàn, an ninh mạng Bộ Tư pháp.
Điều 5. Đơn vị chuyên trách về an toàn, an ninh mạng
Cục Công nghệ thông tin là đơn vị chuyên trách về an toàn, an ninh mạng cho Trung tâm dữ liệu điện tử Bộ Tư pháp.
Điều 6. Mục tiêu, nguyên tắc bảo đảm an toàn thông tin
1. Mục tiêu
Bảo vệ thông tin, hệ thống thông tin trên mạng tránh bị truy nhập, sử dụng, tiết lộ, gián đoạn, sửa đổi hoặc phá hoại trái phép nhằm bảo đảm tính nguyên vẹn, tính bảo mật và tính khả dụng tại Trung tâm dữ liệu điện tử Bộ Tư pháp.
2. Nguyên tắc
a) Cơ quan, tổ chức thuộc đối tượng áp dụng Quy chế này có trách nhiệm bảo đảm an toàn, an ninh thông tin mạng theo cấp độ cho Trung tâm dữ liệu điện tử Bộ Tư pháp trong phạm vi xử lý công việc của mình theo quy định của pháp luật, hướng dẫn của cơ quan, đơn vị có thẩm quyền và các quy định tại Quy chế này.
b) Bảo đảm an toàn, an ninh thông tin mạng theo cấp độ cho Trung tâm dữ liệu điện tử Bộ Tư pháp là yêu cầu bắt buộc, phải được thực hiện thường xuyên, liên tục trong quá trình:
- Thu thập, tạo lập, xử lý, truyền tải, lưu trữ và sử dụng thông tin, dữ liệu;
- Thiết kế, thiết lập và vận hành, nâng cấp, hủy bỏ hệ thống thông tin.
c) Việc bảo đảm an toàn, an ninh thông tin mạng theo cấp độ cho Trung tâm dữ liệu điện tử Bộ Tư pháp được thực hiện một cách tổng thể, đồng bộ, tập trung trong việc đầu tư các giải pháp bảo vệ, có sự dùng chung, chia sẻ tài nguyên để tối ưu hiệu năng, tránh đầu tư thừa, trùng lặp.
Điều 7. Những hành vi nghiêm cấm
Các hành vi bị nghiêm cấm quy định tại điều 4 Quyết định số 45/QĐ-BTP ngày 16/01/2023 của Bộ Tư pháp Ban hành Quy chế Bảo đảm an toàn, an ninh mạng Bộ Tư pháp.
Điều 8. Phối hợp với những cơ quan/tổ chức có thẩm quyền
1. Đầu mối liên hệ, phối hợp với các cơ quan, tổ chức có thẩm quyền quản lý về an toàn, an ninh thông tin mạng theo cấp độ cho Trung tâm dữ liệu điện tử Bộ Tư pháp:
a) Bộ Tư pháp giao Cục Công nghệ thông tin, là đầu mối liên hệ, phối hợp với các cơ quan, tổ chức có thẩm quyền quản lý về an toàn, an ninh thông tin mạng phục vụ việc bảo đảm an toàn, an ninh thông tin mạng theo cấp độ tại Trung tâm dữ liệu điện tử Bộ Tư pháp.
b) Cục Công nghệ thông tin làm đầu mối, tổ chức thực hiện việc tiếp nhận và xử lý các sự cố về an toàn, an ninh thông tin mạng theo cấp độ cho Trung tâm dữ liệu điện tử Bộ Tư pháp.
2. Các đơn vị, cá nhân trực thuộc Bộ Tư pháp tham gia các hoạt động, công tác bảo đảm an toàn, an ninh thông tin mạng khi có yêu cầu của các cơ quan, tổ chức có thẩm quyền.
3. Các đơn vị thuộc Bộ Tư pháp trực tiếp xây dựng, quản lý, vận hành Hệ thống thông tin của đơn vị được cài đặt vận hành trên nền tảng hạ tầng kỹ thuật của Trung tâm dữ liệu điện tử Bộ Tư pháp có trách nhiệm phối hợp với Cục Công nghệ thông tin trong việc xử lý các sự cố về an toàn, an ninh thông tin mạng tại Trung tâm dữ liệu điện tử Bộ Tư pháp.
Điều 9. Bảo đảm an toàn, an ninh thông tin trong việc quản lý công chức, viên chức và người lao động
1. Thực hiện tuyển dụng công chức, viên chức và người lao động theo quy trình, quy định, điều kiện tiêu chuẩn của pháp luật.
2. Trách nhiệm bảo đảm an toàn thông tin cho công chức quản lý và vận hành hệ thống:
a) Công chức chuyên trách phải thiết lập phương pháp hạn chế truy cập mạng không dây, giám sát và điều khiển truy cập không dây, tổ chức sử dụng chứng thực và mã hóa để bảo vệ truy cập không dây tới hệ thống thông tin.
b) Công chức chuyên trách phải tổ chức quản lý định danh đối với tất cả người dùng tham gia sử dụng hệ thống thông tin.
c) Các cơ quan, địa phương và các tổ chức, cá nhân tham gia sử dụng các dịch vụ của hệ thống phải tuân thủ các quy định về bảo đảm an toàn, an ninh thông tin và chịu trách nhiệm đối với mọi hoạt động trên tài khoản truy cập của mình đã được cấp trên hệ thống.
BẢO ĐẢM AN TOÀN THÔNG TIN TRONG QUẢN LÝ THIẾT KẾ, XÂY DỰNG HỆ THỐNG
Điều 10. Xác định hệ thống thông tin
Việc xác định, phân loại hệ thống thông tin theo quy định tại Điều 5 Thông tư số 12/2022/TT-BTTTT.
Điều 11. Thiết kế an toàn hệ thống thông tin
1. Có tài liệu mô tả quy mô, phạm vi và đối tượng sử dụng, khai thác, quản lý vận hành hệ thống thông tin.
2. Có tài liệu mô tả thiết kế và các thành phần của hệ thống thông tin.
3. Có tài liệu mô tả phương án bảo đảm an toàn thông tin theo cấp độ.
4. Có tài liệu mô tả phương án lựa chọn giải pháp công nghệ bảo đảm an toàn thông tin.
5. Khi có thay đổi thiết kế, đánh giá lại tính phù hợp của phương án thiết kế đối với các yêu cầu an toàn đặt ra đối với hệ thống.
6. Có phương án quản lý và bảo vệ hồ sơ thiết kế.
7. Có bộ phận chuyên môn, tổ chuyên gia đánh giá hồ sơ thiết kế hệ thống thông tin, các biện pháp bảo đảm an toàn thông tin trước khi triển khai thực hiện.
Điều 12. Phát triển phần mềm thuê khoán
1. Có biên bản, hợp đồng và các cam kết đối với bên thuê khoán các nội dung liên quan đến việc phát triển phần mềm thuê khoán.
2. Yêu cầu các nhà phát triển cung cấp mã nguồn phần mềm.
3. Kiểm thử phần mềm trên môi trường thử nghiệm trước khi đưa vào sử dụng.
4. Kiểm tra, đánh giá an toàn thông tin, trước khi đưa vào sử dụng.
5. Khi thay đổi mã nguồn, kiến trúc phần mềm thực hiện kiểm tra, đánh giá an toàn thông tin cho phần mềm.
6. Có cam kết của bên phát triển về bảo đảm tính bí mật và bản quyền của phần mềm phát triển.
Điều 13. Thử nghiệm và nghiệm thu hệ thống
1. Thực hiện thử nghiệm và nghiệm thu hệ thống trước khi bàn giao và đưa vào sử dụng.
2. Có nội dung, kế hoạch, quy trình thử nghiệm và nghiệm thu hệ thống.
3. Có bộ phận có trách nhiệm thực hiện thử nghiệm và nghiệm thu hệ thống.
4. Có đơn vị độc lập (bên thứ ba) hoặc bộ phận độc lập thuộc đơn vị thực hiện tư vấn và giám sát quá trình thử nghiệm và nghiệm thu hệ thống.
5. Có báo cáo nghiệm thu được xác nhận của bộ phận chuyên trách và phê duyệt của chủ quản hệ thống thông tin trước khi đưa vào sử dụng.
BẢO ĐẢM AN TOÀN THÔNG TIN TRONG QUẢN LÝ VẬN HÀNH HỆ THỐNG THÔNG TIN
Điều 14. Quản lý nguồn nhân lực
1. Tuyển dụng
a) Công chức được tuyển dụng vào vị trí làm về an toàn thông tin có trình độ, chuyên ngành về lĩnh vực công nghệ thông tin, an toàn thông tin, phù hợp với vị trí tuyển dụng;
b) Có quy định, quy trình tuyển dụng công chức và điều kiện tuyển dụng cán bộ;
c) Có chuyên gia trong lĩnh vực đánh giá, kiểm tra trình độ chuyên môn phù hợp với vị trí tuyển dụng.
2. Trong quá trình làm việc
a) Có quy định về việc thực hiện nội quy, quy chế bảo đảm an toàn thông tin cho người sử dụng, công chức quản lý và vận hành hệ thống;
b) Có kế hoạch và định kỳ hàng năm tổ chức phổ biến, tuyên truyền nâng cao nhận thức về an toàn thông tin cho người sử dụng;
c) Có kế hoạch và định kỳ hàng năm tổ chức đào tạo về an toàn thông tin hàng năm cho 03 nhóm đối tượng bao gồm: công chức kỹ thuật, công chức quản lý và người sử dụng trong hệ thống.
3. Chấm dứt thay đổi công việc
a) Công chức chấm dứt hoặc thay đổi công việc phải thu hồi thẻ truy cập, thông tin được lưu trên các phương tiện lưu trữ, các trang thiết bị máy móc, phần cứng, phần mềm và các tài sản khác (nếu có) thuộc sở hữu của tổ chức;
b) Có quy trình và thực hiện vô hiệu hóa tất cả các quyền ra, vào, truy cập tài nguyên, quản trị hệ thống sau khi cán bộ thôi việc;
c) Có cam kết giữ bí mật thông tin liên quan đến tổ chức sau khi nghỉ việc.
1. Quản lý, vận hành hoạt động bình thường của hệ thống mạng
a) Bảo đảm cho các thiết bị mạng, thiết bị máy chủ, thiết bị lưu trữ sao lưu, thiết bị bảo mật hoạt động liên tục, ổn định và an toàn.
b) Thường xuyên kiểm tra cấu hình, các file nhật ký hoạt động của các thiết bị mạng, thiết bị máy chủ, thiết bị lưu trữ sao lưu, thiết bị bảo mật nhằm kịp thời phát hiện và xử lý những sự cố nếu có.
c) Quản lý các thay đổi cấu hình kỹ thuật của các thiết bị mạng, thiết bị máy chủ, thiết bị lưu trữ sao lưu, thiết bị bảo mật.
d) Thường xuyên cập nhật các bản vá bảo mật phần mềm cho các thiết bị mạng, thiết bị máy chủ, thiết bị lưu trữ sao lưu, thiết bị bảo mật từ nhà cung cấp.
e) Các bản quyền phần mềm của các thiết bị mạng, thiết bị máy chủ, thiết bị lưu trữ sao lưu, thiết bị bảo mật cần được thống kê, quản lý thời gian hạn phục vụ cho việc gia hạn.
g) Triển khai hệ thống phát hiện phòng chống xâm nhập giữa các vùng mạng quan trọng.
h) Sử dụng thêm các phương pháp xác thực đa nhân tố đối với các thiết bị mạng, thiết bị máy chủ, thiết bị lưu trữ sao lưu, thiết bị bảo mật quan trọng.
i) Triển khai phương án cảnh báo thời gian thực trực tiếp đến người quản trị hệ thống thông qua hệ thống giám sát khi phát hiện sự cố trên các thiết bị mạng, thiết bị máy chủ, thiết bị lưu trữ sao lưu, thiết bị bảo mật.
k) Duy trì ít nhất 02 kết nối mạng Internet từ các ISP sử dụng hạ tầng kết nối trong nước khác nhau (nếu hệ thống buộc phải có kết nối mạng Internet).
2. Cập nhật, sao lưu dự phòng và khôi phục sau khi xảy ra sự cố
a) Triển khai hệ thống/phương tiện lưu trữ độc lập với hệ thống lưu trữ trên các máy chủ dịch vụ để sao lưu dự phòng; phân loại và quản lý thông tin, dữ liệu được lưu trữ theo từng loại/nhóm thông tin được gán nhãn khác nhau; thực hiện sao lưu, dự phòng các thông tin, dữ liệu cơ bản sau: tập tin cấu hình hệ thống, ảnh hệ điều hành máy chủ, cơ sở dữ liệu; dữ liệu, thông tin nghiệp vụ.
b) Triển khai phương án dự phòng cho các thiết bị mạng chính bảo đảm khả năng vận hành liên tục của hệ thống; năng lực của thiết bị dự phòng phải đáp ứng theo quy mô hoạt động của hệ thống.
c) Triển khai hệ thống/phương tiện lưu trữ nhật ký độc lập và phù hợp với hoạt động của các thiết bị mạng. Dữ liệu nhật ký phải được lưu tối thiểu 06 tháng.
3. Truy cập và quản lý cấu hình hệ thống
a) Công chức, viên chức quản lý, vận hành truy cập, khai thác thông tin tại Trung tâm dữ liệu theo trách nhiệm và phân quyền được quy định; việc khai thác thông tin phải bảo đảm nguyên tắc bảo mật, không được tự ý cung cấp thông tin ra bên ngoài.
b) Công chức, viên chức quản lý, vận hành có trách nhiệm theo dõi và phát hiện các trường hợp truy cập hệ thống trái phép hoặc thao tác vượt quá giới hạn, báo cáo cho cán bộ quản lý để tiến hành ngăn chặn, thu hồi, khóa quyền truy cập của các tài khoản vi phạm.
c) Cấu hình tối ưu, tăng cường bảo mật cho thiết bị hệ thống (cứng hóa) trước khi đưa vào vận hành, khai thác.
d) Quy trình kết nối thiết bị đầu cuối của người sử dụng vào hệ thống mạng; truy cập và quản lý cấu hình hệ thống; cấu hình tối ưu, tăng cường bảo mật cho thiết bị mạng, bảo mật (cứng hóa) trong hệ thống và thực hiện quy trình trước khi đưa hệ thống vào vận hành khai thác.
Điều 16. Quản lý an toàn máy chủ và ứng dụng
1. Quản lý, vận hành hoạt động bình thường của hệ thống máy chủ và dịch vụ:
a) Bảo đảm cho hệ điều hành, phần mềm cài đặt trên máy chủ hoạt động liên tục, ổn định và an toàn.
b) Thường xuyên kiểm tra cấu hình, các file nhật ký hoạt động của hệ điều hành, phần mềm nhằm kịp thời phát hiện và xử lý những sự cố nếu có.
c) Quản lý các thay đổi cấu hình kỹ thuật của hệ điều hành, phần mềm.
d) Thường xuyên cập nhật các bản vá lỗi hệ điều hành, phần mềm từ nhà cung cấp.
đ) Loại bỏ các thành phần của hệ điều hành, phần mềm không cần thiết hoặc không còn nhu cầu sử dụng.
e) Các bản quyền phần mềm cần được thống kê, quản lý thời gian hạn phục vụ cho việc gia hạn.
2. Truy cập mạng của máy chủ
Bảo đảm các kết nối mạng trên máy chủ hoạt động liên tục, ổn định và an toàn. Cấu hình, kiểm soát các kết nối, các cổng dịch vụ từ bên trong đi ra cũng như bên ngoài vào hệ thống.
3. Truy cập và quản trị máy chủ và ứng dụng
a) Thay đổi các tài khoản, mật khẩu mặc định ngay khi đưa hệ điều hành, phần mềm vào sử dụng.
b) Cấp quyền quản lý truy cập của người sử dụng trên máy chủ cài đặt hệ điều hành.
c) Toàn bộ máy chủ và thiết bị công nghệ thông tin không phải máy tính ngoại trừ các hệ thống bắt buộc phải có giao tiếp với Internet (các hệ thống phục vụ truy cập Internet; cung cấp giao diện ra Internet của trang tin điện tử, dịch vụ công, thư điện tử; phục vụ cập nhật bản vá hệ điều hành, mẫu mã độc, mẫu điểm yếu, mẫu tấn công) không được kết nối Internet.
4. Cập nhật, sao lưu dự phòng và khôi phục sau khi xảy ra sự cố: Triển khai hệ thống/phương tiện lưu trữ độc lập với hệ thống lưu trữ trên các máy chủ dịch vụ để sao lưu dự phòng; phân loại và quản lý thông tin, dữ liệu được lưu trữ theo từng loại/nhóm thông tin được gán nhãn khác nhau; thực hiện sao lưu, dự phòng các thông tin, dữ liệu cơ bản sau: tập tin cấu hình hệ thống, ảnh hệ điều hành máy chủ, cơ sở dữ liệu; dữ liệu, thông tin nghiệp vụ.
Điều 17. Quản lý an toàn dữ liệu
1. Yêu cầu an toàn đối với phương pháp mã hóa
a) Đơn vị phải xây dựng và áp dụng quy định sử dụng các phương thức mã hóa thích hợp theo các chuẩn quốc gia hoặc quốc tế đã được công nhận để bảo vệ thông tin.
b) Phải có biện pháp quản lý khóa mã hóa thích hợp để hỗ trợ việc sử dụng các kỹ thuật mã hóa.
2. Phân loại, quản lý và sử dụng khóa bí mật và dữ liệu mã hóa.
3. Cơ chế mã hóa và kiểm tra tính nguyên vẹn của dữ liệu.
4. Sao lưu dự phòng và khôi phục dữ liệu (tần suất sao lưu dự phòng, phương tiện lưu trữ, thời gian lưu trữ; nơi lưu trữ, phương thức lưu trữ và phương thức lấy dữ liệu ra khỏi phương tiện lưu trữ).
Điều 18. Quản lý an toàn thiết bị đầu cuối
Quy định về quản lý an toàn thiết bị đầu cuối bao gồm các nội dung:
1. Quản lý, vận hành hoạt động bình thường cho thiết bị đầu cuối.
2. Kết nối, truy cập và sử dụng thiết bị đầu cuối từ xa.
3. Cài đặt, kết nối và gỡ bỏ thiết bị đầu cuối trong hệ thống.
4. Cấu hình tối ưu và tăng cường bảo mật (cứng hóa) cho máy tính người sử dụng và thực hiện quy trình trước khi đưa hệ thống vào sử dụng.
5. Kiểm tra, đánh giá, xử lý điểm yếu an toàn thông tin cho thiết bị đầu cuối trước khi đưa vào sử dụng.
Điều 19. Quản lý phòng chống phần mềm độc hại
1. Cài đặt, cập nhật, sử dụng phần mềm phòng chống mã độc; dò quét, kiểm tra phần mềm độc hại trên máy tính, máy chủ và thiết bị di động.
2. Cài đặt, sử dụng phần mềm trên máy tính, thiết bị di động và việc truy cập các trang thông tin trên mạng.
3. Rà quét tập tin trước khi Gửi nhận qua môi trường mạng và các phương tiện lưu trữ di động.
4. Định kỳ hàng năm thực hiện kiểm tra và dò quét phần mềm độc hại trên toàn bộ hệ thống; thực hiện kiểm tra và xử lý phần mềm độc hại khi phát hiện dấu hiệu hoặc cảnh báo về dấu hiệu phần mềm độc hại xuất hiện trên hệ thống.
Điều 20. Quản lý giám sát an toàn hệ thống thông tin
Chính sách, quy trình quản lý giám sát an toàn hệ thống thông tin bao gồm:
1. Quản lý, vận hành hoạt động bình thường của hệ thống giám sát.
2. Đối tượng giám sát bao gồm: thiết bị hệ thống, máy chủ, ứng dụng, dịch vụ và các thành phần khác trong hệ thống (nếu có).
3. Kết nối và gửi nhật ký hệ thống từ đối tượng giám sát về hệ thống giám sát.
4. Truy cập và quản trị hệ thống giám sát.
5. Loại thông tin cần được giám sát.
6. Lưu trữ và bảo vệ thông tin giám sát (nhật ký hệ thống).
7. Đồng bộ thời gian giữa hệ thống giám sát và thiết bị được giám sát.
8. Theo dõi, giám sát và cảnh báo sự cố phát hiện được trên hệ thống thông tin.
9. Bố trí nguồn lực và tổ chức giám sát an toàn hệ thống thông tin 24/7.
Điều 21. Quản lý điểm yếu an toàn thông tin
Chính sách, quy trình quản lý điểm yếu an toàn thông tin bao gồm:
1. Quản lý thông tin các thành phần có trong hệ thống có khả năng tồn tại điểm yếu an toàn thông tin: thiết bị hệ thống, hệ điều hành, máy chủ, ứng dụng, dịch vụ và các thành phần khác (nếu có).
2. Quản lý, cập nhật nguồn cung cấp điểm yếu an toàn thông tin; phân nhóm và mức độ của điểm yếu cho các thành phần trong hệ thống đã xác định.
3. Cơ chế phối hợp với các nhóm chuyên gia, bên cung cấp dịch vụ hỗ trợ trong việc xử lý, khắc phục điểm yếu an toàn thông tin.
4. Kiểm tra, đánh giá và xử lý điểm yếu an toàn thông tin cho thiết bị hệ thống, máy chủ, dịch vụ trước khi đưa vào sử dụng.
5. Định kỳ kiểm tra, đánh giá điểm yếu an toàn thông tin cho toàn bộ hệ thống thông tin theo quy định tại điểm c khoản 2 điều 20 Nghị định 85/2016/NĐ-CP; thực hiện quy trình kiểm tra, đánh giá, xử lý điểm yếu an toàn thông tin khi có thông tin hoặc nhận được cảnh báo về điểm yếu an toàn thông tin đối với thành phần cụ thể trong hệ thống.
Điều 22. Quản lý sự cố an toàn thông tin
1. Phân nhóm sự cố an toàn thông tin mạng theo quy định tại Quyết định số 05/2017/QĐ-TTg của Thủ tướng Chính phủ ngày 16/3/2017 quy định về hệ thống phương án ứng cứu khẩn cấp bảo đảm an toàn thông tin mạng quốc gia (Quyết định số 05/2017/QĐ-TTg); Xây dựng phương án tiếp nhận, phát hiện, phân loại và xử lý ban đầu sự cố an toàn thông tin mạng, ứng phó sự cố an toàn thông tin mạng.
2. Xây dựng quy trình ứng cứu sự cố an toàn thông tin mạng thông thường và nghiêm trọng theo quy định tại Điều 13, Điều 14 Quyết định số 05/2017/QĐ-Tg.
3. Xây dựng và triển khai kế hoạch ứng phó sự cố an toàn thông tin theo quy định tại Điều 16 Quyết định số 05/2017/QĐ-TTg.
4. Quyết định toàn diện về mặt kỹ thuật đối với các đơn vị trong quá trình khắc phục sự cố về an toàn thông tin mạng; Hỗ trợ, phối hợp và hướng dẫn các đơn vị khắc phục sự cố mất an toàn thông tin mạng; Yêu cầu tạm dừng hoạt động một phần hoặc toàn bộ các hệ thống thông tin của các đơn vị nhằm phục vụ công tác khắc phục sự cố về an toàn thông tin mạng; Phối hợp với đơn vị chức năng trong điều tra các nguyên nhân gây ra sự cố mất an toàn thông tin theo chỉ đạo của Lãnh đạo.
5. Phối hợp với đơn vị chức năng, các nhóm chuyên gia, bên cung cấp dịch vụ hỗ trợ trong việc xử lý, khắc phục sự cố an toàn thông tin; Yêu cầu bên cung cấp, hỗ trợ cung cấp quy trình xử lý sự cố cho các dịch vụ do bên cung cấp, hỗ trợ cung cấp liên quan đến hệ thống.
Điều 23. Quản lý an toàn người sử dụng đầu cuối
1. Kết nối máy tính/thiết bị đầu cuối của người sử dụng vào hệ thống
a) Người sử dụng khi truy cập, sử dụng tài nguyên nội bộ, truy cập mạng và tài nguyên trên Internet phải tuân thủ các quy định của pháp luật về bảo đảm an toàn thông tin và các quy định của đơn vị, tổ chức.
b) Khi cài đặt, kết nối máy tính/thiết bị đầu cuối phải thực hiện theo hướng dẫn/quy trình dưới sự giám sát của bộ phận phụ trách công nghệ thông tin.
c) Máy tính/thiết bị đầu cuối phải được xử lý điểm yếu an toàn thông tin, cấu hình cứng hóa bảo mật trước khi kết nối vào hệ thống.
2. Trong quá trình sử dụng
a) Nghiêm túc chấp hành các quy chế, quy trình nội bộ và các quy định khác của pháp luật về an toàn thông tin mạng. Chịu trách nhiệm bảo đảm an toàn thông tin mạng trong phạm vi trách nhiệm và quyền hạn được giao.
b) Có trách nhiệm tự quản lý, bảo quản thiết bị, tài khoản, ứng dụng mà mình được giao sử dụng.
c) Khi phát hiện nguy cơ hoặc sự cố mất an toàn thông tin mạng phải báo cáo ngay với cấp trên và bộ phận phụ trách công nghệ thông tin của đơn vị để kịp thời ngăn chặn và xử lý.
d) Tham gia các chương trình đào tạo, hội nghị về an toàn thông tin mạng do các đơn vị chuyên môn tổ chức.
Điều 24. Kiểm tra, đánh giá và quản lý rủi ro an toàn thông tin
1. Nội dung kiểm tra, đánh giá và quản lý rủi ro an toàn thông tin
a) Kiểm tra việc tuân thủ quy định của pháp luật về bảo đảm an toàn hệ thống thông tin theo cấp độ.
b) Đánh giá hiệu quả của biện pháp bảo đảm an toàn hệ thống thông tin.
c) Đánh giá phát hiện mã độc, lỗ hổng, điểm yếu, thử nghiệm xâm nhập hệ thống.
d) Kiểm tra, đánh giá khác do chủ quản hệ thống thông tin quy định.
2. Tần suất kiểm tra, đánh giá
a) Trước khi đưa vào sử dụng.
b) Khi nâng cấp, thay đổi hệ thống, phần mềm.
c) Kiểm tra, đánh giá định kỳ theo quy định tại điểm c khoản 2 Điều 20 Nghị định 85/2016/NĐ-CP.
d) Kiểm tra, đánh giá đột xuất theo yêu cầu của cấp có thẩm quyền.
3. Hình thức kiểm tra, đánh giá phát hiện mã độc, lỗ hổng, điểm yếu, thử nghiệm xâm nhập hệ thống thông tin, gồm 03 hình thức sau:
a) Kiểm tra, đánh giá hộp đen (Black box).
b) Kiểm tra, đánh giá hộp xám (Gray box).
c) Kiểm tra, đánh giá hộp trắng (White box).
Điều 25. Kết thúc vận hành, khai thác, thanh lý, hủy bỏ
1. Quy định về bảo đảm an toàn thông tin khi kết thúc vận hành, khai thác, thanh lý, hủy bỏ.
2. Quy trình xử lý thông tin trên hệ thống khi thay đổi mục đích sử dụng hoặc gỡ bỏ.
3. Phương án kỹ thuật thực hiện xử lý thông tin trên hệ thống khi thay đổi mục đích sử dụng hoặc gỡ bỏ.
TRÁCH NHIỆM CỦA TỔ CHỨC, CÁ NHÂN
Điều 26. Trách nhiệm của Cục Công nghệ thông tin
1. Thực hiện trách nhiệm của đơn vị chuyên trách an toàn, an ninh mạng theo quy định tại Điều 21 Nghị định 85/2016/NĐ-CP và Quy chế này.
2. Hướng dẫn triển khai Quy chế này và các quy định liên quan của Nhà nước.
3. Xây dựng kế hoạch, báo cáo về an toàn, an ninh mạng cho Trung tâm dữ liệu điện tử Bộ Tư pháp.
4. Bảo đảm an toàn, an ninh mạng cho các hệ thống thông tin, cơ sở dữ liệu dùng chung của Bộ.
5. Đôn đốc, giám sát, kiểm tra và báo cáo Bộ việc thực hiện Quy chế này tại các đơn vị thuộc Bộ.
6. Xây dựng kế hoạch tuyên truyền, phổ biến nâng cao nhận thức về an toàn, an ninh mạng tại Trung tâm dữ liệu điện tử Bộ Tư pháp và thực hiện các nội dung theo kế hoạch đã được phê duyệt.
7. Cục Công nghệ thông tin chủ trì đề xuất kế hoạch dài hạn, kế hoạch hàng năm về đào tạo, bồi dưỡng nghiệp vụ an toàn, an ninh mạng cho cán bộ, công chức, viên chức và người lao động của Bộ Tư pháp gửi Vụ Tổ chức cán bộ tổng hợp. Trên cơ sở đề xuất của Cục Công nghệ thông tin, Vụ Tổ chức cán bộ tham mưu trình lãnh đạo Bộ phê duyệt các kế hoạch về đào tạo, bồi dưỡng nghiệp vụ an toàn, an ninh mạng cho các bộ, công chức, viên chức và người lao động của Bộ Tư pháp và thực hiện theo kế hoạch được phê duyệt.
Điều 27. Trách nhiệm của Vụ Tổ chức cán bộ
Căn cứ nhu cầu về đào tạo nguồn nhân lực bảo đảm an toàn, an ninh mạng của các đơn vị thuộc Bộ, phối hợp với Cục Công nghệ thông tin xây dựng trình Bộ phê duyệt kế hoạch dài hạn, kế hoạch hàng năm về đào tạo, bồi dưỡng nghiệp vụ an toàn, an ninh mạng cho cán bộ, công chức, viên chức và người lao động của Bộ và thực hiện tổ chức đào tạo theo kế hoạch đã phê duyệt.
Điều 28. Trách nhiệm của chủ quản Hệ thống thông tin
1. Thực hiện trách nhiệm của đơn vị chủ quản hệ thống thông tin theo quy định tại Điều 20 Nghị định 85/2016/NĐ-CP và Quy chế này.
2. Chỉ đạo, phân công các đơn vị vận hành các hệ thống thông tin triển khai công tác bảo đảm an toàn thông tin trong tất cả các công đoạn liên quan đến hệ thống thông tin.
Điều 29. Trách nhiệm của đơn vị vận hành Hệ thống thông tin
1. Thực hiện trách nhiệm của đơn vị vận hành hệ thống thông tin theo quy định tại Điều 22, Nghị định số 85/2016/NĐ-CP, tại Quy chế này và các nhiệm vụ do chủ quản hệ thống thông tin phân công.
2. Chỉ đạo, phân công các bộ phận kỹ thuật thuộc đơn vị (quản lý ứng dụng; quản lý dữ liệu; vận hành hệ thống thông tin; triển khai và hỗ trợ kỹ thuật) triển khai công tác bảo đảm an toàn thông tin trong tất cả các công đoạn liên quan đến hệ thống thông tin.
1. Thủ trưởng đơn vị thuộc Bộ có trách nhiệm: phổ biến tới từng công chức, viên chức, người lao động của đơn vị; tổ chức triển khai và thường xuyên kiểm tra việc thực hiện Quy chế này tại đơn vị; chịu trách nhiệm trước pháp luật và Lãnh đạo Bộ Tư pháp về các vi phạm, thất thoát thông tin, dữ liệu bảo mật thuộc phạm vi quản lý của đơn vị do không tổ chức, chỉ đạo, kiểm tra cán bộ của đơn vị thực hiện đúng quy định.
2. Công chức, viên chức, người lao động của Bộ Tư pháp, các đơn vị thuộc Bộ và các đơn vị khác thuộc đối tượng áp dụng của quy định có trách nhiệm: tuân thủ Quy chế; thông báo các vấn đề bất thường liên quan tới an toàn Hệ thống thông tin cho lãnh đạo đơn vị và Cục Công nghệ thông tin; chịu trách nhiệm trước pháp luật và Lãnh đạo đơn vị về các vi phạm, thất thoát dữ liệu bảo mật của ngành Tư pháp do vi phạm Quy chế.
Điều 31. Trách nhiệm của đơn vị cung cấp dịch vụ
1. Đơn vị cung cấp dịch vụ có trách nhiệm đảm bảo cung cấp đầy đủ các thành phần, chức năng; thiết kế, thiết lập hệ thống đáp ứng các yêu cầu kỹ thuật theo tiêu chuẩn TCVN 11930:2017.
2. Quản lý, vận hành, bảo đảm an toàn thông tin cho các thành phần hệ thống thuộc phạm vi quản lý của mình tuân thủ các quy định tại Quy chế này.
Điều 32. Tổ chức triển khai Quy chế
1. Thủ trưởng các đơn vị thuộc Bộ phổ biến, quán triệt và tổ chức thực hiện Quy chế này trong phạm vi đơn vị.
2. Cục Công nghệ thông tin theo dõi, đôn đốc, kiểm tra các đơn vị thực hiện Quy chế này.
3. Vụ Tổ chức cán bộ chủ trì, phối hợp với Cục Công nghệ thông tin trong việc đào tạo, bồi dưỡng nghiệp vụ an toàn, an ninh thông tin cho cán bộ, công chức, viên chức và người lao động của Bộ.
4. Trong trường hợp các văn bản quy phạm pháp luật được dẫn chiếu tại Quy chế này được bãi bỏ, thay thế, sửa đổi, bổ sung thì thực hiện theo văn bản quy phạm pháp luật mới.
5. Trong quá trình tổ chức thực hiện, nếu có những vấn đề vướng mắc các đơn vị kịp thời phản ánh về Cục Công nghệ thông tin để tổng hợp, trình Bộ trưởng xem xét, quyết định việc sửa đổi, bổ sung cho phù hợp với tình hình thực tế và các quy định của pháp luật./.