Quyết định 61/2014/QĐ-UBND Quy chế đảm bảo an toàn, an ninh thông tin trong hoạt động ứng dụng công nghệ thông tin của các cơ quan nhà nước trên địa bàn tỉnh Tây Ninh

QUYẾT ĐỊNH

BAN HÀNH QUY CHẾ ĐẢM BẢO AN TOÀN, AN NINH THÔNG TIN TRONG HOẠT ĐỘNG ỨNG DỤNG CÔNG NGHỆ THÔNG TIN CỦA CÁC CƠ QUAN NHÀ NƯỚC TRÊN ĐỊA BÀN TỈNH TÂY NINH

ỦY BAN NHÂN DÂN TỈNH

Căn cứ Luật tổ chức Hội đồng Nhân dân và Ủy ban Nhân dân, ngày 26 tháng 11 năm 2003;

Căn cứ Luật Công nghệ thông tin, ngày 29 tháng 6 năm 2006;

Căn cứ Luật Giao dịch điện tử, ngày 29 tháng 11 năm 2005;

Căn cứ Nghị định số 64/2007/NĐ-CP, ngày 10 tháng 4 năm 2007 của Chính phủ ứng dụng công nghệ thông tin trong hoạt động cơ quan nhà nước;

Căn cứ Thông tư số 23/2011/TT-BTTTT, ngày 11 tháng 8 năm 2011 của Bộ Thông tin và Truyền thông quy định về việc quản lý, vận hành, sử dụng và đảm bảo an toàn thông tin trên mạng truyền số liệu chuyên dùng của các cơ quan Đảng, Nhà nước;

Theo đề nghị của Giám đốc Sở Thông tin và Truyền thông tại Tờ trình số 36/TTr-STTTT, ngày 03 tháng 9 năm 2014,

QUYẾT ĐỊNH:

Điều 1. Ban hành kèm theo Quyết định này Quy chế đảm bảo an toàn, an ninh thông tin trong hoạt động ứng dụng công nghệ thông tin của các cơ quan nhà nước trên địa bàn tỉnh Tây Ninh.

Điều 2. Quyết định này có hiệu lực thi hành sau 10 ngày, kể từ ngày ký.

Điều 3. Chánh Văn phòng Ủy ban Nhân dân tỉnh; Giám đốc các sở, thủ trưởng các ban, ngành tỉnh; Chủ tịch Ủy ban Nhân dân các huyện, thành phố; Chủ tịch Ủy ban Nhân dân các xã, phường, thị trấn và các tổ chức, cá nhân có liên quan chịu trách nhiệm thi hành Quyết định này./.

QUY CHẾ

ĐẢM BẢO AN TOÀN, AN NINH THÔNG TIN TRONG HOẠT ĐỘNG ỨNG DỤNG CÔNG NGHỆ THÔNG TIN CỦA CÁC CƠ QUAN NHÀ NƯỚC TRÊN ĐỊA BÀN TỈNH TÂY NINH
(Ban hành kèm theo Quyết định số 61/2014/QĐ-UBND, ngày 11 tháng 11 năm 2014 của UBND tỉnh Tây Ninh)

Chương I

QUY ĐỊNH CHUNG

Điều 1. Phạm vi điều chỉnh

Quy chế này quy định về công tác đảm bảo an toàn, an ninh thông tin trong hoạt động ứng dụng công nghệ thông tin (CNTT) của các cơ quan nhà nước trên địa bàn tỉnh Tây Ninh.

Điều 2. Đối tượng áp dụng

1. Quy chế này được áp dụng đối với các cơ quan Nhà nước thuộc tỉnh, bao gồm: Các sở, ban, ngành, UBND các huyện, thành phố và các đơn vị sự nghiệp thuộc tỉnh (sau đây gọi tắt là các cơ quan, đơn vị);

2. Cán bộ, công chức, viên chức đang làm việc trong các cơ quan, đơn vị nêu tại khoản 1 Điều này và những tổ chức, cá nhân có liên quan.

Điều 3. Giải thích từ ngữ

Trong Quy chế này, các từ ngữ dưới đây được hiểu như sau:

1. An toàn thông tin: Bao gồm các hoạt động quản lý, nghiệp vụ và kỹ thuật đối với hệ thống thông tin nhằm bảo vệ, khôi phục các hệ thống, các dịch vụ và nội dung thông tin đối với nguy cơ tự nhiên hoặc do con người gây ra. Việc bảo vệ thông tin, tài sản và con người trong hệ thống thông tin nhằm bảo đảm cho các hệ thống thực hiện đúng chức năng, phục vụ đúng đối tượng một cách sẵn sàng, chính xác và tin cậy. An toàn thông tin bao hàm các nội dung bảo vệ và bảo mật thông tin, an toàn dữ liệu, an toàn máy tính và an toàn mạng.

2. Tính tin cậy: Đảm bảo thông tin chỉ có thể được truy nhập bởi những người được cấp quyền sử dụng.

3. Tính toàn vẹn: Bảo vệ tính chính xác và đầy đủ của thông tin và các phương pháp xử lý.

4. Tính sẵn sàng: Đảm bảo những người được cấp quyền có thể truy nhập thông tin và các tài sản liên quan ngay khi có nhu cầu.

5. TCVN 7562: 2005: Tiêu chuẩn Việt Nam về mã thực hành quản lý an toàn thông tin.

6. TCVN ISO/IEC 27001:2009: Tiêu chuẩn Việt Nam về Hệ thống quản lý an toàn thông tin - Các yêu cầu.

7. Hệ thống thông tin: Là một tập hợp và kết hợp của các phần cứng, phần mềm và các hệ thống mạng truyền thông được xây dựng và sử dụng để thu thập, tái tạo, phân phối và chia sẻ các dữ liệu, thông tin và tri thức nhằm phục vụ các mục tiêu của tổ chức.

Điều 4. Nguyên tắc chung về đảm bảo an toàn thông tin

1. Việc bảo đảm an toàn thông tin là yêu cầu bắt buộc trong quá trình tạo lập, xử lý, sử dụng thông tin và quá trình thiết kế, xây dựng, vận hành, nâng cấp, hủy bỏ các hạ tầng kỹ thuật công nghệ thông tin.

2. Cán bộ, công chức viên chức phải được phổ biến kiến thức chung về an toàn thông tin trên môi trường máy tính, mạng máy tính và kiến thức nâng cao về an toàn thông tin phù hợp với công việc được phân công.

3. Thông tin số thuộc quy định danh mục bí mật Nhà nước của các cơ quan nhà nước phải được phân loại, lưu trữ, bảo vệ trên cơ sở quy định của pháp luật về bảo vệ bí mật Nhà nước.

4. Cơ quan nhà nước phải xây dựng nội quy bảo đảm an toàn thông tin; có cán bộ phụ trách quản lý an toàn thông tin; áp dụng, hướng dẫn và kiểm tra định kỳ việc thực hiện các biện pháp bảo đảm cho hệ thống thông tin trên mạng đáp ứng các tiêu chuẩn, quy chuẩn kỹ thuật về an toàn thông tin.

Chương II

NỘI DUNG ĐẢM BẢO AN TOÀN, AN NINH THÔNG TIN

Điều 5. Các biện pháp quản lý vận hành trong công tác đảm bảo an toàn, an ninh thông tin

1. Đối với các cơ quan, đơn vị

a) Chỉ đạo bộ phận quản trị mạng kiểm soát chặt chẽ việc truy xuất dữ liệu bằng cách giới hạn địa chỉ có thể kết nối vào hệ thống;

b) Bố trí nhân sự phụ trách quản lý an toàn hệ thống thông tin (sau đây gọi tắt là nhân sự phụ trách). Nhân sự phụ trách được đảm bảo điều kiện học tập, tiếp cận công nghệ, kiến thức an toàn bảo mật thông tin trước khi tiến hành các hoạt động quản lý hay kỹ thuật nghiệp vụ;

c) Quan tâm phân bổ đầu tư cần thiết để đảm bảo và tăng cường an toàn, an ninh thông tin trong hoạt động ứng dụng công nghệ thông tin của đơn vị.

2. Đối với nhân sự phụ trách tại các cơ quan, đơn vị

a) Tham mưu triển khai các biện pháp bảo đảm an toàn, an ninh thông tin cho tất cả cán bộ, công chức, viên chức trong đơn vị mình. Thường xuyên nghiên cứu, cập nhật các kiến thức về an toàn, an ninh thông tin, nguy cơ tiềm ẩn có thể gây mất mát thông tin và các biện pháp phòng tránh khi tiến hành các hoạt động quản lý hay kỹ thuật nghiệp vụ;

b) Cấu hình hệ thống với những chính sách bảo mật phù hợp với hoạt động hệ thống thông tin của đơn vị, đồng thời xác định các chức năng, cổng giao tiếp, giao thức và dịch vụ mạng không cần thiết để cấm và hạn chế sử dụng;

c) Thường xuyên thực hiện việc theo dõi bản ghi nhật ký hệ thống (logfile) và các sự kiện khác có liên quan để đánh giá, báo cáo các rủi ro và mức độ nghiêm trọng các rủi ro đó. Các rủi ro đó có thể xảy ra do sự truy cập trái phép, sử dụng trái phép, mất, thay đổi hoặc phá hủy thông tin và hệ thống thông tin;

d) Kiểm soát chặt chẽ trước khi cài đặt phần mềm vào máy trạm và máy chủ;

đ) Triển khai, thực hiện các nội dung của Điều 5 Quy chế này.

3. Đối với cán bộ, công chức, viên chức

a) Thường xuyên cập nhật những chính sách, quy định của pháp luật và nội quy của cơ quan, đơn vị về an toàn thông tin;

b) Khi sử dụng trình duyệt (Internet Explorer, Firefox, Chrome, …) cần nâng cao cảnh giác, không vào những trang không rõ nguồn gốc;

c) Khi mở các tập tin đính kèm theo thư điện tử, nếu biết rõ người gửi thư thì phải lưu tập tin vào máy tính rồi quét virus trước khi mở, không được mở các thư điện tử có tập tin đính kèm có nguồn gốc không rõ ràng vì rất có thể có virus, phần mềm gián điệp được đính kèm theo thư;

d) Phải đặt mật khẩu truy nhập vào máy tính của mình, đồng thời thiết lập chế độ bảo vệ màn hình (screen saver) có sử dụng mật khẩu bảo vệ sau một khoảng thời gian nhất định không sử dụng máy tính. Sử dụng các thiết bị lưu trữ (usb, ổ cứng gắn ngoài...) an toàn, đúng cách để phòng ngừa virus, phần mềm gián điệp xâm nhập máy tính: Khi gắn thiết bị lưu trữ vào máy tính, không được trực tiếp truy cập ngay mà phải quét virus trước;

đ) Không sử dụng mật khẩu mặc định, thường xuyên thay đổi mật khẩu (thư điện tử, các ứng dụng tin học, …). Tăng cường độ phức tạp của mật khẩu (mật khẩu có độ dài ít nhất 8 ký tự, gồm tối thiểu 3 trong số 4 loại ký tự sau: Chữ cái viết hoa (A-Z), chữ cái viết thường (a-z), chữ số (0-9), các ký tự khác trên bàn phím máy tính (~, !, …)); không ghi nhớ mật khẩu, bắt buộc phải đăng xuất (sign out, logout) sau khi sử dụng các ứng dụng.

4. Đối với các bộ, công chức, viên chức đã nghỉ việc, các cơ quan, đơn vị phải thực hiện hủy quyền truy cập hệ thống thông tin và thu hồi các tài sản liên quan đến hệ thống thông tin (như: Khóa, thẻ nhận dạng) nhưng vẫn đảm bảo khả năng truy cập vào các hồ sơ được tạo ra bởi cán bộ, công chức hoặc nhân viên đó.

Điều 6. Các biện pháp kỹ thuật cho công tác đảm bảo an toàn, an ninh thông tin

1. Các cơ quan, đơn vị phải tổ chức quản lý các tài khoản của hệ thống thông tin, bao gồm: Tạo mới, kích hoạt, sửa đổi, vô hiệu hóa và loại bỏ các tài khoản, đồng thời tổ chức kiểm tra các tài khoản của hệ thống thông tin ít nhất 01 năm/01 lần và triển khai các công cụ tự động để hỗ trợ việc quản lý các tài khoản của hệ thống thông tin.

2. Hệ thống thông tin tại các cơ quan, đơn vị phải có cơ chế giới hạn một số hữu hạn lần đăng nhập sai liên tiếp. Nếu liên tục đăng nhập sai vượt quá số lần quy định thì hệ thống sẽ tự động khóa hoặc cô lập tài khoản trong một khoảng thời gian nhất định trước khi tiếp tục cho đăng nhập.

3. Nhân sự phụ trách có trách nhiệm tổ chức theo dõi và kiểm soát tất cả các phương pháp truy cập từ xa (quay số, Internet…) tới hệ thống thông tin; thiết lập phương pháp hạn chế truy cập mạng không dây, giám sát và điều khiển truy cập không dây, phải đặt mật khẩu khi truy cập.

4. Hệ thống thông tin tại các cơ quan, đơn vị phải ghi nhận được các sự kiện về quá trình đăng nhập hệ thống, các thao tác cấu hình hệ thống, quá trình truy xuất hệ thống, đồng thời ghi nhận đầy đủ các thông tin liên quan vào các bản ghi nhật ký nhằm xác định những sự kiện nào đã xảy ra, nguồn gốc và các kết quả của sự kiện đó để có cơ chế bảo vệ và lưu giữ nhật ký trong một khoảng thời gian nhất định.

5. Hệ thống thông tin của các cơ quan, đơn vị phải có cơ chế sao lưu (backup) tất cả dữ liệu của các ứng dụng và phải được thực hiện thường xuyên. Thiết bị lưu trữ phải đảm bảo tính sẵn sàng và toàn vẹn đáp ứng yêu cầu phục hồi dữ liệu cho hệ thống thông tin hoạt động bình thường khi có sự cố xảy ra.

6. Lựa chọn, triển khai các phần mềm chống virus, thư rác trên các máy chủ, các thiết bị di động trong mạng và những hệ thống thông tin xung yếu như: Cổng thông tin điện tử, thư điện tử, Một cửa điện tử,... để phát hiện, loại trừ những đoạn mã độc hại (Virus, trojan, worms,...) và hỗ trợ người sử dụng cài đặt các phần mềm này trên máy trạm. Thường xuyên cập nhật các phiên bản (Version) mới, các bản vá lỗi của các phần mềm chống virus để bảo đảm chương trình quét virus của cơ quan trên các máy chủ, máy trạm luôn được cập nhật mới nhất, thiết lập chế độ quét thường xuyên ít nhất là hàng tuần.

7. Đối với các hệ thống mạng và ứng dụng quan trọng phải có biện pháp dự phòng về thiết bị, phần mềm, để đảm bảo sự hoạt động liên tục của hệ thống.

8. Cấu trúc, thiết kế mạng LAN, mạng WAN phải đảm bảo an toàn thông tin, đảm bảo yêu cầu hoạt động độc lập không lệ thuộc vào internet, có thể can thiệp ngắt internet khi có tấn công từ bên ngoài.

Điều 7. Xây dựng quy chế nội bộ đảm bảo an toàn, an ninh thông tin

1. Các cơ quan, đơn vị xây dựng quy chế nội bộ đảm bảo an toàn, an ninh thông tin và căn cứ các tiêu chuẩn kỹ thuật quản lý an toàn của bộ tiêu chuẩn TCVN 7562:2005 và TCVN ISO/IEC 27001:2009. Quy chế khi xây dựng có nội dung quy định các vấn đề sau:

a) Mục tiêu và phương hướng thực hiện công tác đảm bảo an toàn an ninh cho hệ thống thông tin;

b) Quy định cụ thể quyền và trách nhiệm của từng đối tượng: Lãnh đạo đơn vị, lãnh đạo phòng, nhân sự phụ trách công nghệ thông tin và cán bộ công chức, viên chức trong đơn vị khi tham gia sử dụng hệ thống thông tin;

c) Quy định về cấp phát, thu hồi, cập nhật quản lý các tài khoản truy cập vào hệ thống thông tin;

d) Quy định về an toàn, an ninh thông tin trên môi trường mạng nội bộ;

đ) Kiểm tra, rà soát và khắc phục sự cố an toàn an ninh của hệ thống thông tin sử dụng các biện pháp trong Điều 4 và Điều 5 của Quy chế;

g) Báo cáo tổng hợp tình hình an toàn, an ninh của hệ thống thông tin theo định kỳ và đột xuất;

h) Các biện pháp tổ chức thực hiện.

2. Các cơ quan, đơn vị xây dựng triển khai kế hoạch đảm bảo an toàn, an ninh thông tin và tổng hợp báo cáo về Sở Thông tin và Truyền thông theo định kỳ hàng năm.

Điều 8. Xây dựng và áp dụng quy trình đảm bảo an toàn, an ninh thông tin

1. Các cơ quan, đơn vị phải xây dựng và áp dụng quy trình đảm bảo an toàn, an ninh cho hệ thống thông tin của mình nhằm giảm thiểu các nguy cơ gây ra sự cố, tạo điều kiện cho việc khắc phục và truy vết trong trường hợp có sự cố xảy ra. Nội dung của quy trình có thể chia làm các bước cơ bản như:

a) Lập kế hoạch bảo vệ an toàn, an ninh cho hệ thống thông tin;

b) Xây dựng hệ thống bảo vệ an toàn, an ninh thông tin;

c) Quản lý và vận hành hệ thống bảo vệ an toàn, an ninh thông tin;

d) Kiểm tra đánh giá hoạt động của hệ thống bảo vệ an toàn, an ninh thông tin;

đ) Bảo trì và nâng cấp hệ thống bảo vệ an toàn, an ninh thông tin.

2. Các cơ quan, đơn vị tham khảo các bước cơ bản để xây dựng khung quy trình đảm bảo an toàn, an ninh thông tin cho hệ thống thông tin theo tiêu chuẩn Quốc tế ISO 27001:2005.

Điều 9. Giải quyết và khắc phục sự cố về an toàn, an ninh thông tin

1. Đối với cán bộ công chức, viên chức

a) Thông tin, báo cáo kịp thời cho nhân sự phụ trách về công nghệ thông tin của cơ quan, đơn vị khi phát hiện các sự cố gây mất an toàn, an ninh thông tin trong quá trình tham gia và hệ thống thông tin của cơ quan, đơn vị;

b) Phối hợp tích cực trong quá trình giải quyết và khắc phục sự cố an toàn, an ninh thông tin.

2. Đối với nhân sự phụ trách

a) Lập biên bản ghi nhận sự cố gây mất an toàn, an ninh thông tin đối với hệ thống thông tin của cơ quan, đơn vị, đồng thời thu nhập các chứng cứ, dấu vết và nguyên nhân gây ra sự cố gây mất an toàn, an ninh thông tin;

b) Trong trường hợp xảy ra ngoài khả năng giải quyết của cơ quan, đơn vị phải báo khẩn cấp về Sở Thông tin và Truyền thông tỉnh, Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam (VNCERT) để được hỗ trợ, hướng dẫn và phối hợp khắc phục sự cố. Đồng thời gửi văn bản bán cáo sự cố về Sở Thông tin và Truyền thông và Công an tỉnh.

3. Sở Thông tin và Truyền thông

a) Yêu cầu ngưng hoạt động một phần hoặc toàn bộ hệ thống các hệ thống thông tin của cơ quan, đơn vị nhằm phục vụ công tác khắc phục sự cố an toàn, an ninh thông tin;

b) Phối hợp Công an tỉnh trong việc điều tra làm rõ các nguyên nhân gây ra sự cố mất an toàn, an ninh thông tin khi có sự chỉ đạo của Ủy ban Nhân dân tỉnh;

c) Phối hợp Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam khắc phục sự cố gây mất an toàn, an ninh thông tin trên địa bàn tỉnh;

d) Trong trường hợp sự cố xảy ra trên phạm vi rộng, ảnh hưởng và liên quan đến nhiều lĩnh vực quản lý nhà nước phải thông báo khẩn cấp và xin ý kiến chỉ đạo của Ủy ban Nhân dân tỉnh và Bộ Thông tin và Truyền thông.

Chương III

TRÁCH NHIỆM ĐẢM BẢO AN TOÀN, AN NINH THÔNG TIN

Điều 10. Trách nhiệm của các cơ quan, đơn vị

1. Thủ trưởng các cơ quan, đơn vị chịu trách nhiệm toàn diện trước Ủy ban Nhân dân tỉnh trong công tác đảm bảo an toàn, an ninh cho hệ thống thông tin của đơn vị mình, đồng thời thực hiện nghiêm túc các quy định tại Quy chế này.

2. Khi có sự cố hoặc nguy cơ mất an toàn thông tin phải kịp thời áp dụng mọi biện pháp để khắc phục và hạn chế thiệt hại, ưu tiên sử dụng lực lượng kỹ thuật an toàn, an ninh thông tin của đơn vị và lập biên bản, báo cáo bằng văn bản cho cơ quan cấp trên quản lý trực tiếp và Sở Thông tin và Truyền thông.

3. Tạo điều kiện thuận lợi cho các cơ quan chức năng trong công tác điều tra, làm rõ nguyên nhân gây ra sự cố, tham gia khắc phục sự cố và thực hiện theo hướng dẫn chuyên môn của cơ quan chức năng.

4. Phối hợp với đoàn kiểm tra để triển khai công tác kiểm tra khắc phục sự cố diễn ra nhanh chóng và đạt hiệu quả; đồng thời cung cấp đầy đủ các thông tin khi đoàn kiểm tra yêu cầu.

5. Báo cáo tình hình và kết quả thực hiện công tác đảm bảo an toàn, an ninh thông tin tại cơ quan, đơn vị và gửi về Sở Thông tin và Truyền thông định kỳ hàng năm (trước ngày 15 tháng 12).

Điều 11. Trách nhiệm của Sở Thông tin và Truyền thông

1. Tham mưu Ủy ban Nhân dân tỉnh về công tác đảm bảo an toàn, an ninh thông tin trên địa bàn tỉnh và chịu trách nhiệm trước Ủy ban Nhân dân tỉnh trong việc đảm bảo an toàn an ninh cho các hệ thống thông tin cấp tỉnh.

2. Hàng năm xây dựng kế hoạch, dự toán nguồn kinh phí để triển khai công tác an toàn và an ninh thông tin phục vụ cho việc vận hành các hệ thống thông tin được Ủy ban Nhân dân tỉnh giao quản lý.

3. Chủ trì, phối hợp với các cơ quan liên quan tổ chức kiểm tra xử phạt theo định kỳ hoặc kiểm tra đột xuất khi phát hiện có các dấu hiệu, hành vi vi phạm an toàn, an ninh thông tin trên địa bàn tỉnh.

4. Xây dựng và triển khai các chương trình đào tạo, hội nghị tuyên truyền an toàn, an ninh thông tin trong công tác quản lý nhà nước trên địa bàn tỉnh.

5. Tùy theo mức độ sự cố, phối hợp Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam và các đơn vị có liên quan hướng dẫn xử lý, ứng cứu các sự cố mất an toàn, an ninh thông tin.

6. Hướng dẫn, giám sát các cơ quan, đơn vị trên địa bàn tỉnh xây dựng quy chế và thực hiện việc đảm bảo an toàn, an ninh cho hệ thống thông tin theo quy định của Nhà nước.

7. Đảm bảo an toàn, an ninh thông tin cho các hệ thống chung của tỉnh tại Trung tâm tích hợp dữ liệu (TTTHDL).

Điều 12. Trách nhiệm của Công an tỉnh

1. Chủ trì phối hợp với Sở Thông tin và Truyền thông và các cơ quan có liên quan thực hiện quản lý, kiểm soát, phòng ngừa đấu tranh, ngăn chặn các loại tội phạm lợi dụng hệ thống thông tin xâm phạm đến an ninh chính trị, trật tự an toàn xã hội.

2. Thường xuyên thông báo cho các cơ quan về phương thức, thủ đoạn mới của các loại tội phạm xâm phạm an toàn, an ninh thông tin để có biện pháp phòng ngừa, ngăn chặn.

Điều 13. Trách nhiệm của cán bộ, công chức, viên chức trong các cơ quan, đơn vị

1. Trách nhiệm của nhân sự phụ trách an toàn an ninh thông tin

a) Chịu trách nhiệm triển khai các biện pháp quản lý vận hành, quản lý kỹ thuật, tham mưu xây dựng các quy định đảm bảo an toàn, an ninh thông tin cho Hệ thống thông tin của đơn vị theo Quy chế này;

b) Chủ động phối hợp với các cá nhân, đơn vị có liên quan trong việc kiểm soát, phát hiện và khắc phục các sự cố an toàn, an ninh thông tin.

2. Trách nhiệm của cán bộ, công chức, viên chức trong các cơ quan, đơn vị

a) Nghiêm túc thực hiện quy chế nội bộ, quy trình về an toàn, an ninh thông tin của cơ quan, đơn vị cũng như các quy định khác của pháp luật, nâng cao ý thức cảnh giác và trách nhiệm đảm bảo an ninh thông tin tại đơn vị;

b) Khi phát hiện sự cố phải báo cáo ngay với cấp trên và bộ phận chuyên trách để kịp thời ngăn chặn, xử lý;

c) Hưởng ứng, tham gia các chương trình đào tạo, hội nghị về an toàn an ninh thông tin do Sở Thông tin và Truyền thông hoặc các đơn vị chuyên môn đề ra.

Điều 14. Khen thưởng, xử lý vi phạm

1. Hàng năm, Sở Thông tin và Truyền thông dựa trên các điều tra, báo cáo công tác an toàn, an ninh thông tin của các cơ quan, đơn vị để xác lập bảng xếp hạng an toàn, an ninh thông tin, trên cơ sở đó đề xuất Ủy ban Nhân dân tỉnh xét khen thưởng các cá nhân, đơn vị theo quy định hiện hành.

2. Tổ chức, cá nhân có hành vi vi phạm Quy chế này thì tùy theo tính chất, mức độ vi phạm mà bị xử lý kỷ luật theo trách nhiệm, xử phạt hành chính hoặc bị truy cứu trách nhiệm hình sự. Nếu gây thiệt hại thì phải bồi thường theo quy định hiện hành của pháp luật.

Điều 15. Điều khoản thi hành

1. Thủ trưởng các cơ quan, đơn vị và cán bộ, công chức, viên chức có trách nhiệm thực hiện nghiêm túc Quy chế này.

2. Trong quá trình thực hiện, nếu có những vướng mắc phát sinh cần điều chỉnh, bổ sung, các cơ quan, đơn vị phản ánh về Sở Thông tin và Truyền thông để tổng hợp, báo cáo Ủy ban Nhân dân tỉnh xem xét, sửa đổi, bổ sung Quy chế cho phù hợp./.