Quyết định 6714/QĐ-UBND năm 2014 về Quy chế quản lý, vận hành và khai thác Trung tâm dữ liệu thành phố Đà Nẵng

QUYẾT ĐỊNH

BAN HÀNH QUY CHẾ QUẢN LÝ, VẬN HÀNH VÀ KHAI THÁC TRUNG TÂM DỮ LIỆU THÀNH PHỐ ĐÀ NẴNG

ỦY BAN NHÂN DÂN THÀNH PHỐ ĐÀ NẴNG

Căn cứ Luật Tổ chức Hội đồng nhân dân và Ủy ban nhân dân ngày 26 tháng 11 năm 2003;

Căn cứ Luật Giao dịch điện tử ngày 29 tháng 11 năm 2005;

Căn cứ Luật Công nghệ thông tin ngày 29 tháng 6 năm 2006;

Căn cứ Nghị định số 64/2007/NĐ-CP ngày 10 tháng 4 năm 2007 của Chính phủ về ứng dụng CNTT trong hoạt động của cơ quan nhà nước;

Căn cứ Nghị định số 71/2007/NĐ-CP ngày 03 tháng 5 năm 2007 của Chính phủ quy định chi tiết và hướng dẫn thực hiện một số điều của Luật Công nghệ thông tin về công nghiệp công nghệ thông tin;

Căn cứ Thông tư số 03/2013/TT-BTTTT ngày 22 tháng 01 năm 2013 của Bộ Thông tin và Truyền thông quy định áp dụng tiêu chuẩn, quy chuẩn kỹ thuật đối với trung tâm dữ liệu;

Theo đề nghị của Giám đốc Sở Thông tin và Truyền thông tại Tờ trình số 354/TTr-STTTT ngày 11 tháng 9 năm 2014,

QUYẾT ĐỊNH:

Điều 1. Ban hành kèm theo Quyết định này Quy chế quản lý, vận hành và khai thác Trung tâm dữ liệu thành phố Đà Nẵng.

Điều 2. Sở Thông tin và Truyền thông chịu trách nhiệm tổ chức triển khai, hướng dẫn, kiểm tra và đôn đốc việc thực hiện Quy chế nêu trên.

Điều 3. Quyết định này có hiệu lực kể từ ngày ký.

Điều 4. Chánh Văn phòng UBND thành phố; Giám đốc Sở Thông tin và Truyền thông; Thủ trưởng các cơ quan, đơn vị và các cá nhân có liên quan chịu trách nhiệm thi hành Quyết định này./.

QUY CHẾ

QUẢN LÝ, VẬN HÀNH VÀ KHAI THÁC TRUNG TÂM DỮ LIỆU THÀNH PHỐ ĐÀ NẴNG
(Ban hành kèm theo Quyết định số: 6714 /QĐ-UBND ngày 22 tháng 9 năm 2014 của Ủy ban nhân dân thành phố Đà Nẵng)

Chương I

QUY ĐỊNH CHUNG

Điều 1. Phạm vi điều chỉnh

Quy chế này quy định việc quản lý, vận hành và khai thác Trung tâm dữ liệu thành phố Đà Nẵng (sau đây gọi tắt là Trung tâm dữ liệu).

Điều 2. Đối tượng áp dụng

Quy chế này áp dụng đối với cơ quan hành chính, sự nghiệp trên địa bàn thành phố Đà Nẵng thuộc UBND thành phố quản lý và các tổ chức, cá nhân có liên quan tham gia quản lý, vận hành và khai thác Trung tâm dữ liệu.

Điều 3. Giải thích từ ngữ

Trong Quy chế này, các từ ngữ dưới đây được hiểu như sau:

QUYẾT ĐỊNH

BAN HÀNH QUY CHẾ QUẢN LÝ, VẬN HÀNH VÀ KHAI THÁC TRUNG TÂM DỮ LIỆU THÀNH PHỐ ĐÀ NẴNG

ỦY BAN NHÂN DÂN THÀNH PHỐ ĐÀ NẴNG

Căn cứ Luật Tổ chức Hội đồng nhân dân và Ủy ban nhân dân ngày 26 tháng 11 năm 2003;

Căn cứ Luật Giao dịch điện tử ngày 29 tháng 11 năm 2005;

Căn cứ Luật Công nghệ thông tin ngày 29 tháng 6 năm 2006;

Căn cứ Nghị định số 64/2007/NĐ-CP ngày 10 tháng 4 năm 2007 của Chính phủ về ứng dụng CNTT trong hoạt động của cơ quan nhà nước;

Căn cứ Nghị định số 71/2007/NĐ-CP ngày 03 tháng 5 năm 2007 của Chính phủ quy định chi tiết và hướng dẫn thực hiện một số điều của Luật Công nghệ thông tin về công nghiệp công nghệ thông tin;

Căn cứ Thông tư số 03/2013/TT-BTTTT ngày 22 tháng 01 năm 2013 của Bộ Thông tin và Truyền thông quy định áp dụng tiêu chuẩn, quy chuẩn kỹ thuật đối với trung tâm dữ liệu;

Theo đề nghị của Giám đốc Sở Thông tin và Truyền thông tại Tờ trình số 354/TTr-STTTT ngày 11 tháng 9 năm 2014,

QUYẾT ĐỊNH:

Điều 1. Ban hành kèm theo Quyết định này Quy chế quản lý, vận hành và khai thác Trung tâm dữ liệu thành phố Đà Nẵng.

Điều 2. Sở Thông tin và Truyền thông chịu trách nhiệm tổ chức triển khai, hướng dẫn, kiểm tra và đôn đốc việc thực hiện Quy chế nêu trên.

Điều 3. Quyết định này có hiệu lực kể từ ngày ký.

Điều 4. Chánh Văn phòng UBND thành phố; Giám đốc Sở Thông tin và Truyền thông; Thủ trưởng các cơ quan, đơn vị và các cá nhân có liên quan chịu trách nhiệm thi hành Quyết định này./.

QUY CHẾ

QUẢN LÝ, VẬN HÀNH VÀ KHAI THÁC TRUNG TÂM DỮ LIỆU THÀNH PHỐ ĐÀ NẴNG
(Ban hành kèm theo Quyết định số: 6714 /QĐ-UBND ngày 22 tháng 9 năm 2014 của Ủy ban nhân dân thành phố Đà Nẵng)

Chương I

QUY ĐỊNH CHUNG

Điều 1. Phạm vi điều chỉnh

Quy chế này quy định việc quản lý, vận hành và khai thác Trung tâm dữ liệu thành phố Đà Nẵng (sau đây gọi tắt là Trung tâm dữ liệu).

Điều 2. Đối tượng áp dụng

Quy chế này áp dụng đối với cơ quan hành chính, sự nghiệp trên địa bàn thành phố Đà Nẵng thuộc UBND thành phố quản lý và các tổ chức, cá nhân có liên quan tham gia quản lý, vận hành và khai thác Trung tâm dữ liệu.

Điều 3. Giải thích từ ngữ

Trong Quy chế này, các từ ngữ dưới đây được hiểu như sau:

1. Ứng dụng công nghệ thông tin trong hoạt động của cơ quan nhà nước: là việc sử dụng công nghệ thông tin vào các hoạt động của cơ quan nhà nước nhằm nâng cao chất lượng, hiệu quả trong hoạt động nội bộ của cơ quan nhà nước và giữa các cơ quan nhà nước, trong giao dịch của cơ quan nhà nước với tổ chức và cá nhân; hỗ trợ đẩy mạnh cải cách hành chính và bảo đảm công khai, minh bạch.

2. Hạ tầng kỹ thuật: là tập hợp thiết bị tính toán (máy chủ, máy trạm), thiết bị ngoại vi, thiết bị kết nối mạng, thiết bị phụ trợ, mạng nội bộ, mạng diện rộng.

3. An toàn an ninh thông tin: bao gồm các hoạt động quản lý, nghiệp vụ và kỹ thuật đối với hệ thống thông tin nhằm bảo vệ, khôi phục các hệ thống, các dịch vụ và nội dung thông tin đối với nguy cơ tự nhiên hoặc do con người gây ra. Việc bảo vệ thông tin, tài sản và con người trong hệ thống thông tin nhằm bảo đảm cho các hệ thống thực hiện đúng chức năng, phục vụ đúng đối tượng một cách sẵn sàng, chính xác và tin cậy. An toàn an ninh thông tin bao hàm các nội dung bảo vệ và bảo mật thông tin, an toàn dữ liệu, an toàn máy tính và an toàn mạng.

4. Dịch vụ hành chính công: là những dịch vụ liên quan đến hoạt động thực thi pháp luật, không nhằm mục tiêu lợi nhuận, do cơ quan nhà nước (hoặc tổ chức, doanh nghiệp được ủy quyền) có thẩm quyền cấp cho tổ chức, cá nhân dưới hình thức các loại giấy tờ có giá trị pháp lý trong các lĩnh vực mà cơ quan nhà nước đó quản lý.

5. Trung tâm dữ liệu (DC: Data Center): là hạ tầng kỹ thuật phục vụ cho ứng dụng CNTT trong hoạt động của các cơ quan nhà nước thuộc UBND thành phố Đà Nẵng và có thể hỗ trợ cung cấp dịch vụ cho các tổ chức, công dân.

6. Cơ quan hành chính, sự nghiệp: là các cơ quan hành chính, sự nghiệp trên địa bàn thành phố Đà Nẵng thuộc UBND thành phố Đà Nẵng quản lý.

7. Cơ quan chủ sở hữu Trung tâm dữ liệu: là UBND thành phố Đà Nẵng.

8. Cơ quan chịu trách nhiệm quản lý Trung tâm dữ liệu (gọi tắt là cơ quan quản lý): là Sở Thông tin và Truyền thông thành phố Đà Nẵng.

9. Cơ quan vận hành, khai thác Trung tâm dữ liệu (gọi tắt là cơ quan vận hành): là Trung tâm Phát triển hạ tầng công nghệ thông tin Đà Nẵng.

10. Người sử dụng: là tổ chức, cá nhân tham gia sử dụng dịch vụ của Trung tâm dữ liệu.

Điều 4. Kiến trúc và dịch vụ Trung tâm dữ liệu

1. Kiến trúc của Trung tâm dữ liệu được chia làm các phân hệ sau đây:

a) Phân hệ mạng và truyền dẫn: bao gồm các kết nối truyền dẫn nội mạng với băng thông từ 10 Gbps đến 20Gbps cho các điểm kết nối lớp phân phối và băng thông 1Gbps cho các kết nối ở lớp truy cập. Việc kết nối Internet cho phép mở rộng khi có nhu cầu. Phân hệ mạng được chia làm nhiều vùng khác nhau, mỗi vùng được áp đặt các chính sách an ninh và truy cập riêng để phục vụ cho các mục đích khác nhau.

b) Phân hệ an ninh: bao gồm các thiết bị có liên quan nhằm bảo đảm sự an toàn về thông tin cho lớp mạng, lớp ứng dụng, lớp Cơ sở dữ liệu nhằm ngăn chặn xâm nhập trái phép vào các hệ thống tại Trung tâm dữ liệu. Mỗi thiết bị trong phân hệ an ninh được thiết kế có tính dự phòng và bổ sung hỗ trợ lẫn nhau.

c) Phân hệ máy chủ: bao gồm hệ thống máy chủ đã được đầu tư phục vụ cho Chính quyền điện tử, với khả năng sẵn sàng cho việc mở rộng số lượng máy chủ trong tương lai. Hệ thống máy chủ có khả năng cung cấp năng lực tính toán cho nhiều nền tảng với nhiều mục đích khác nhau như ứng dụng chuyên ngành, trang thông tin điện tử, cơ sở dữ liệu chuyên ngành,… của thành phố.

d) Phân hệ lưu trữ: là hệ thống quản trị với năng lực xử lý lưu trữ tập trung ở mức cao, khả năng lưu trữ lớn, có trang bị hệ thống băng từ để bảo đảm cho mục đích sao lưu, phục hồi dữ liệu cho toàn bộ hệ thống. Hệ thống được thiết kế bảo đảm khả năng mở rộng trong gia tăng dữ liệu trong tương lai.

e) Phân hệ các hệ thống phụ trợ: bao gồm các hệ thống phụ trợ cho Trung tâm dữ liệu như hệ thống điện, điều hòa chính xác, thiết bị lưu điện, máy phát điện, sàn nâng, hệ thống phòng cháy chữa cháy, camera an ninh,… được thiết kế tuân theo tiêu chuẩn TIA 942 - TIER 3 (tiêu chuẩn quốc tế về Trung tâm dữ liệu), bảo đảm các thiết bị luôn được hoạt động trong môi trường tiêu chuẩn, ổn định với độ dự phòng cao.

2. Các dịch vụ của Trung tâm dữ liệu bao gồm:

a) Dịch vụ thuê và đặt tủ Rack

b) Dịch vụ thuê đặt Rack Server

c) Dịch vụ thuê máy chủ, máy chủ ảo

d) Dịch vụ lưu ký (Hosting)

e) Dịch vụ thuê thiết bị lưu trữ (Storage)

f) Các dịch vụ CNTT có giá trị gia tăng khác

Điều 5. Nguyên tắc về quản lý và khai thác Trung tâm dữ liệu

1. Tuân thủ các nguyên tắc, biện pháp bảo đảm cơ sở hạ tầng thông tin phục vụ ứng dụng và phát triển công nghệ thông tin theo Luật Công nghệ thông tin ngày 29 tháng 6 năm 2006.

2. Tuân thủ các tiêu chuẩn, quy chuẩn kỹ thuật quy định áp dụng đối với Trung tâm dữ liệu theo Thông tư số 03/2013/TT-BTTTT ngày 22 tháng 01 năm 2013 của Bộ Thông tin và Truyền thông và tiêu chuẩn quốc tế ISO 27001:2013 về quản lý bảo mật thông tin do Tổ chức Chất lượng Quốc tế và Hội đồng Điện tử Quốc tế xuất bản vào ngày 25 tháng 9 năm 2013.

3. Bảo đảm các yêu cầu về an toàn, an ninh thông tin theo quy định tại Quy chế bảo đảm an toàn, an ninh thông tin trong lĩnh vực ứng dụng công nghệ thông tin của các cơ quan quản lý hành chính nhà nước thuộc thành phố Đà Nẵng, được ban hành tại Quyết định số 9976/QĐ-UBND ngày 21 tháng 11 năm 2011 của UBND thành phố Đà Nẵng.

4. Tuân thủ nguyên tắc xây dựng, quản lý, khai thác, bảo vệ và duy trì cơ sở dữ liệu được quy định tại Điều 13 Nghị định số 64/2007/NĐ-CP của Chính phủ về ứng dụng công nghệ thông tin trong hoạt động của cơ quan nhà nước.

5. Cơ quan vận hành Trung tâm dữ liệu triển khai cung cấp các dịch vụ gia tăng cho các tổ chức, cá nhân theo quy định của pháp luật và trên cơ sở khai thác hiệu quả hạ tầng Trung tâm dữ liệu.

6. Các tổ chức, cá nhân sử dụng dịch vụ Trung tâm dữ liệu phải tuân thủ các quy định của các cơ quan nhà nước về bảo đảm an toàn, an ninh thông tin và chịu trách nhiệm cho mọi hoạt động trên tài khoản truy cập của mình.

7. Các văn bản từ cấp độ “Mật” trở lên khi chuyển sang dữ liệu điện tử lưu trữ tại Trung tâm dữ liệu phải được áp dụng các biện pháp an toàn bảo mật theo quy định của pháp luật.

Chương II

YÊU CẦU ĐỐI VỚI HOẠT ĐỘNG CỦA TRUNG TÂM DỮ LIỆU

Điều 6. Những quy định chung

1. Quy định đối với nhân viên vận hành

a) Thời gian làm việc: Chia thành 03 ca:

- Ca 1: từ 06g30 đến 13g30;

- Ca 2: từ 13g30 đến 21g30;

- Ca 3: từ 21g30 đến 06g30.

b) Đi làm đúng thời gian quy định và đảm bảo giờ làm việc; khi làm việc phải đeo thẻ chức danh, mặc đồng phục theo quy định.

c) Trong quá trình trực và làm việc tại Trung tâm dữ liệu phải tuân thủ nghiêm ngặt theo các quy trình, quy định và nội quy lao động.

d) Cán bộ quản lý, nhân viên vận hành không được mang, sử dụng các thiết bị điện thoại, máy tính xách tay, máy tính bảng hoặc các thiết bị điện tử cá nhân khác (máy chụp hình, máy quay phim, thiết bị lưu trữ,…) vào bên trong Trung tâm dữ liệu.

e) Cán bộ quản lý, nhân viên vận hành truy cập, khai thác thông tin tại Trung tâm dữ liệu theo trách nhiệm và phân quyền được quy định; việc khai thác thông tin phải bảo đảm nguyên tắc bảo mật, không được tự ý cung cấp thông tin ra bên ngoài.

2. Quy định đối với tổ chức, cá nhân đăng ký tham quan Trung tâm dữ liệu:

a) Yêu cầu: Không được mang các thiết bị điện tử cá nhân (điện thoại, máy chụp hình, máy quay phim, thiết bị lưu trữ,…) khi tham quan.

b) Thủ tục: Các tổ chức, cá nhân đến đăng ký tham quan cần có các giấy tờ sau:

- Đơn đề nghị tham quan Trung tâm dữ liệu (theo Mẫu số 01);

- Giấy giới thiệu của cơ quan, đơn vị;

- Danh sách những người tham quan (có thông tin về số CMND hoặc số Hộ chiếu kèm theo);

c) Thời gian tham quan: trong giờ làm việc hành chính, cụ thể:

- Buổi sáng: từ 08g00 đến 11g00;

- Buổi chiều: từ 14g00 đến 17g00.

3. Quy định đối với người sử dụng dịch vụ tại Trung tâm dữ liệu:

a) Yêu cầu:

- Tuân thủ nghiêm ngặt theo các quy trình, quy định làm việc tại Trung tâm dữ liệu;

- Không được mang, sử dụng các thiết bị điện thoại, máy tính xách tay, máy tính bảng hoặc các thiết bị điện tử cá nhân khác (máy chụp hình, máy quay phim, thiết bị lưu trữ,…) khi vào bên trong Trung tâm dữ liệu.

b) Thủ tục: người sử dụng đăng ký làm việc tại Trung tâm dữ liệu cần có các giấy tờ sau:

- Phiếu yêu cầu về việc vào ra Trung tâm dữ liệu (theo Mẫu số 05);

- Các thiết bị điện tử chuyên dùng đưa vào/ra Trung tâm dữ liệu phải đăng ký (theo Mẫu số 06).

Điều 7. Quy định về quản lý mật khẩu

1. Lãnh đạo cơ quan vận hành Trung tâm dữ liệu có trách nhiệm tiếp nhận mật khẩu quản trị hệ thống sau khi hệ thống được bàn giao và đưa vào sử dụng; sau đó tiến hành bàn giao cho cán bộ quản lý hệ thống có biên bản kèm theo, lưu vào nơi an toàn (cho vào phong bì, để vào tủ có khóa).

2. Nhân viên vận hành được giao mật khẩu quản trị hệ thống từ cán bộ quản lý hệ thống phải thực hiện đổi mật khẩu sau khi tiếp nhận trong vòng 01 ngày. Việc đổi mật khẩu quản trị hệ thống phải tuân thủ theo đúng quy định hướng dẫn về mật khẩu do cơ quan quản lý ban hành.

3. Mật khẩu phải bảo đảm độ phức tạp về độ dài, nội dung và thời gian sử dụng.

a) Độ dài của mật khẩu:

- Đối với mật khẩu của nhân viên và người sử dụng (dùng để đăng nhập thư điện tử, ứng dụng nghiệp vụ, máy tính cá nhân,...): tối thiểu là 08 ký tự;

- Đối với mật khẩu quản trị hệ thống (sử dụng cho quản trị các hệ thống mạng, bảo mật, máy chủ, thư điện tử, ứng dụng,...): tối thiểu là 11 ký tự.

b) Nội dung mật khẩu:

- Không bao gồm các từ dễ nhớ như tên, ngày sinh, số điện thoại;

- Không được đặt theo ký tự chữ cái, ký tự chữ số tuần tự hoặc một dãy các ký tự giống nhau, ví dụ: ABCDEFGH, 98765432 hoặc !!!!!!!!,…

- Đối với mật khẩu quản trị hệ thống phải kết hợp các loại ký tự sau: chữ cái in thường (a, b,…), chữ cái in hoa (A, B,…), ký tự số (1, 2,…) và các ký tự đặc biệt (@, !, #...).

c) Thời gian sử dụng mật khẩu:

- Đối với mật khẩu của nhân viên vận hành: định kỳ phải được thay đổi ít nhất 6 tháng một lần;

- Đối với mật khẩu của người quản trị hệ thống (không phải admin): định kỳ phải được thay đổi ít nhất 3 tháng một lần.

Trường hợp có thay đổi về nhân sự hoặc yêu cầu tăng cường bảo mật về an toàn an ninh thông tin thì Thủ trưởng cơ quan vận hành Trung tâm dữ liệu quyết định việc thay đổi toàn bộ mật khẩu quản trị của Trung tâm dữ liệu.

d) Quy định sử dụng và lưu trữ mật khẩu:

- Người sử dụng phải thay đổi mật khẩu ngay từ lần đăng nhập đầu tiên;

- Không được lưu trữ mật khẩu trên máy tính cá nhân, các thiết bị điện tử;

- Các tài liệu liên quan đến mật khẩu được xem là tài liệu tối mật, không được soạn thảo trên máy tính có nối mạng Internet.

Điều 8. Quy định về kiểm soát truy nhập và xác thực

1. Việc quản lý, xác thực nhân viên, người sử dụng truy nhập trên hệ thống phải có đầy đủ thông tin, bao gồm họ tên, chức vụ, cơ quan công tác, số điện thoại trên hệ thống xác thực người dùng.

2. Mỗi nhân viên Trung tâm dữ liệu chỉ được cấp một tài khoản và được phân quyền đủ để thực hiện nhiệm vụ được phân công. Việc cấp phát và sử dụng tài khoản được thực hiện theo quy định tại Mẫu số 07.

3. Cán bộ quản lý hệ thống chịu trách nhiệm kiểm tra và loại bỏ tài khoản của nhân viên trên hệ thống trong vòng 1 giờ sau khi nhân viên không còn làm việc tại đơn vị.

4. Tạm dừng quyền sử dụng đối với tài khoản đã được đăng ký trên hệ thống nhưng không làm việc trong hệ thống từ 30 ngày trở lên.

5. Giới hạn số lần đăng nhập không thành công vào hệ thống là 5 lần. Sau 5 lần không đăng nhập thành công, tài khoản sẽ bị khóa trong 30 phút.

6. Nhân viên vận hành hệ thống có trách nhiệm theo dõi và phát hiện các trường hợp truy cập hệ thống trái phép hoặc thao tác vượt quá giới hạn, báo cáo cho cán bộ quản lý để tiến hành ngăn chặn, thu hồi, khóa quyền truy cập của các tài khoản vi phạm.

Điều 9. Quy định về sao lưu, phục hồi dữ liệu

1. Thực hiện lưu trữ đầy đủ các dữ liệu của người dùng, ứng dụng và hệ thống. Tùy theo từng loại dữ liệu, thực hiện lưu trữ đúng và đủ thời hạn theo các quy định tại quy trình vận hành hệ thống do cơ quan quản lý ban hành.

2. Cơ quan vận hành có trách nhiệm xây dựng và triển khai thực hiện Quy trình sao lưu dữ liệu dự phòng cho Trung tâm dữ liệu.

3. Dữ liệu phải được phân loại để lưu trữ theo thứ tự ưu tiên về mức độ quan trọng, sao lưu theo thời gian, loại thông tin, nơi lưu trữ. Đối với các dữ liệu quan trọng phải được lưu trữ tối thiểu tại hai địa điểm cách biệt nhau.

4. Dữ liệu phải được kiểm soát và đối chiếu sau khi sao lưu. Đối với các dữ liệu quan trọng thực hiện sao lưu dữ liệu tối thiểu một tuần một lần.

Điều 10. Quy định về bảo mật hệ thống

1. Duy trì, cập nhật thường xuyên đối với hệ thống bảo mật (Tường lửa, Phòng chống mã độc, Phát hiện và ngăn chặn xâm nhập,…) để bảo đảm an toàn, bảo mật cho Trung tâm dữ liệu.

2. Tất cả các máy chủ, máy trạm tại Trung tâm dữ liệu phải được cài đặt phần mềm diệt mã độc được cơ quan quản lý phê duyệt. Các thiết bị chưa được cập nhật phiên bản mới nhất thì không được kết nối vào hệ thống mạng.

3. Chương trình diệt mã độc phải luôn được cập nhật kịp thời các bản vá, các mẫu mã độc mới và phải được đặt ở chế độ quét thường xuyên, quét khi có kết nối với các thiết bị ngoại vi (usb, ổ cứng cắm ngoài,…).

4. Những máy tính được phát hiện có mã độc phải được cách ly ngay khỏi hệ thống để tránh lây nhiễm sang các máy tính khác.

5. Việc thay đổi cấu hình của hệ thống bảo mật tại Trung tâm dữ liệu phải được sự phê duyệt của cơ quan quản lý.

Điều 11. Quy định về hệ thống mạng và truyền dẫn

1. Hệ thống mạng và truyền dẫn phải đảm bảo hiệu năng cho các ứng dụng, khả năng sẵn sàng và có các giải pháp để đảm bảo an toàn hệ thống.

2. Hệ thống mạng và truyền dẫn phải bảo đảm:

a) Hệ thống mạng hoạt động liên tục, nhanh, ổn định và an toàn, đáp ứng được yêu cầu về băng thông cho các ứng dụng hệ thống.

b) Có các giải pháp kiểm soát việc truy cập mạng đảm bảo các quy định về an ninh, các chính sách bảo mật.

c) Tuân thủ theo các tiêu chuẩn của Trung tâm dữ liệu về bấm dây, dán nhãn, chuẩn cáp mạng, cách thức đi dây, đấu nối, phân bổ nút mạng.

d) Tuân thủ quy định về các phân vùng chức năng đã được quy hoạch. Mỗi phân vùng trong Trung tâm dữ liệu ứng với dải địa chỉ IP cấp phát riêng và VLAN tương ứng, đồng thời được thiết lập các chính sách an ninh và truy cập khác nhau.

Điều 12. Quy định về an toàn hoạt động

1. Trung tâm dữ liệu phải có Nội quy sử dụng đối với nhân viên, khách hàng được trích ra từ Quy chế này và được giám sát thường xuyên thông qua hệ thống kiểm soát ra vào.

2. Trung tâm dữ liệu chỉ được đặt các thiết bị đang hoạt động phục vụ vận hành hệ thống, tuyệt đối không đặt các thiết bị khác: Thiết bị hỏng, thiết bị chờ thanh lý, thanh hủy, tài liệu, vật tư, các vật dụng dễ cháy nổ,…

3. Trung tâm dữ liệu phải đảm bảo vệ sinh công nghiệp: Môi trường khô ráo, sạch sẽ, không dột, không thấm nước, không bị ánh nắng chiếu rọi trực tiếp. Độ ẩm, nhiệt độ đạt tiêu chuẩn quy định cho các thiết bị CNTT.

4. Hệ thống phòng cháy, chữa cháy phải được cấp giấy phép của Sở Cảnh sát Phòng cháy chữa cháy.

5. Hệ thống điện phải được trang bị máy phát điện dự phòng để đảm bảo cho hệ thống hoạt động trong thời gian nguồn điện chính gặp sự cố.

6. Hệ thống điều hoà phải bảo đảm nhiệt độ cho phòng máy chủ theo đúng tiêu chuẩn quy định đối với Trung tâm dữ liệu;

7. Hệ thống camera giám sát phải bảo đảm giám sát toàn bộ Trung tâm dữ liệu liên tục 24 giờ/7 ngày; bảo đảm dữ liệu hình ảnh phải được lưu trữ ít nhất trong thời gian 30 ngày.

Điều 13. Quy định về quản lý thiết bị

1. Thiết bị CNTT đặt tại Trung tâm dữ liệu phải đặt tên và dán nhãn theo đúng quy định.

2. Cơ quan vận hành phải thực hiện tổng hợp tình hình quản lý, sử dụng thiết bị tại Trung tâm dữ liệu hàng quý.

3. Cơ quan vận hành đề xuất mua thêm thiết bị CNTT và các thiết bị phụ trợ khác trong trường hợp thiết bị hết bảo hành bị hỏng. Thiết bị được trang bị phải tuân theo các tiêu chuẩn về thiết bị cho Trung tâm dữ liệu.

4. Đối với thiết bị hỏng còn bảo hành, cơ quan vận hành, khai thác yêu cầu đơn vị cung cấp sửa chữa. Thiết bị hỏng đã hết bảo hành, cơ quan vận hành báo cáo cơ quan quản lý về phương án sửa chữa.

5. Trường hợp thiết bị hỏng là thiết bị quan trọng (máy chủ, thiết bị định tuyến, thiết bị chuyển mạch, thiết bị tường lửa), cơ quan vận hành phải báo cáo ngay về cơ quan quản lý để có biện pháp khắc phục nhanh.

Điều 14. Quy định về quản lý, khai thác sử dụng Internet

1. Hằng năm, cơ quan vận hành đề xuất cơ quan quản lý về thuê đường truyền Internet đảm bảo tốc độ, băng thông cho hoạt động Trung tâm dữ liệu. Đường truyền Internet cho Trung tâm dữ liệu phải từ tối thiểu 02 nhà cung cấp dịch vụ khác nhau để đảm bảo độ dự phòng cao và tính sẵn sàng cho hệ thống.

2. Hạ tầng kết nối Internet phải có các giải pháp bảo mật đảm bảo hệ thống không bị tấn công xâm nhập, lây lan virus từ bên ngoài.

3. Cơ quan vận hành chịu trách nhiệm giám sát, kiểm tra nội dung và băng thông truy cập, ngăn chặn, đề xuất xử lý các hành vi vi phạm.

Điều 15. Quy định về quản lý bản quyền phần mềm

1. Các phần mềm, chương trình ứng dụng sử dụng cho Trung tâm dữ liệu phải có bản quyền sử dụng theo đúng quy định của pháp luật.

2. Chỉ được cài đặt và sử dụng các phần mềm đã mua bản quyền. Các phần mềm có bản quyền khác, phần mềm mã nguồn mở, phần mềm miễn phí phải được cơ quan quản lý phê duyệt trước khi sử dụng.

3. Cơ quan vận hành tổ chức quản lý, theo dõi sử dụng các bản quyền phần mềm tại Trung tâm dữ liệu.

4. Không phát tán, chia sẻ phần mềm có bản quyền của Trung tâm dữ liệu ra bên ngoài.

Điều 16. Quy định về quản lý hồ sơ

1. Danh sách các loại hồ sơ lưu trữ:

a) Các quy trình vận hành kỹ thuật, bảo trì, bảo dưỡng các hệ thống.

b) Hồ sơ thiết kế, thuyết minh kỹ thuật, hoàn công.

c) Hồ sơ quản trị các hệ thống thông tin (báo cáo định kỳ, báo cáo sự cố, nhật ký vận hành).

d) Hồ sơ lưu các dịch vụ cung cấp cho khách hàng.

e) Bảng thống kê danh sách thiết bị; Danh sách các thiết bị hỏng, hết khấu hao sử dụng chờ thanh lý, thanh hủy; Biên bản bàn giao thiết bị.

f) Tài liệu, biên bản kiểm tra, đánh giá của Trung tâm dữ liệu.

g) Các hồ sơ, tài liệu kỹ thuật khác.

2. Hồ sơ phải được lưu bằng văn bản, tập tin bản mềm trên máy tính và phải được cập nhật khi có sự thay đổi.

Điều 17. Quy định về xử lý sự cố

1. Khi phát hiện có sự cố, cơ quan vận hành thực hiện các biện pháp cô lập và xác định nguyên nhân xảy ra sự cố theo nguyên tắc hạn chế tối đa ảnh hưởng tới hoạt động của hệ thống; đồng thời phải thông báo cho bộ phận sử dụng và các cơ quan, đơn vị có liên quan về tình hình sự cố.

2. Tùy thuộc vào mức độ ảnh hưởng của sự cố, đánh giá và phân loại theo 03 mức: sự cố thông thường, sự cố nghiêm trọng và sự cố đặc biệt nghiêm trọng.

3. Đối với các sự cố thông thường (không gây ảnh hưởng đến hoạt động của Trung tâm dữ liệu), cơ quan vận hành nhanh chóng xử lý sự cố. Trường hợp không xử l‎ý được, thông báo cơ quan quản lý để phối hợp giải quyết.

4. Đối với các sự cố nghiêm trọng (các sự cố liên quan đến thiết bị mạng, thiết bị bảo mật, máy chủ, đường truyền dữ liệu, cơ sở dữ liệu, các sự cố liên quan đến an ninh thông tin, mất mát dữ liệu, gây ảnh hưởng trực tiếp đến hoạt động của Trung tâm dữ liệu), ngay sau khi phát hiện sự cố cơ quan vận hành cần đánh giá ảnh hưởng của sự cố và thực hiện báo cáo về cơ quan quản lý để được hướng dẫn xử lý.

5. Đối với các sự cố đặc biệt nghiêm trọng (gây ngưng trệ đến toàn bộ hoạt động của Trung tâm dữ liệu), cơ quan vận hành và cơ quan quản lý phải có đánh giá ảnh hưởng của sự cố và thực hiện báo cáo ngay về cơ quan chủ sở hữu để có chỉ đạo xử lý.

6. Yêu cầu đối với việc xử lý sự cố cần tuân thủ các nguyên tắc:

a) Phải tuân thủ Quy trình Xử lý sự cố do cơ quan quản lý Trung tâm dữ liệu phê duyệt và ban hành.

b) Đảm bảo tuyệt đối an toàn cho người và thiết bị của hệ thống.

c) Các dữ liệu quan trọng phải được sao lưu trước khi xử lý sự cố.

d) Ghi nhật ký sự cố kỹ thuật phát sinh tại chỗ (theo Mẫu số 02).

e) Thông báo cho các bên liên quan về thời gian khắc phục xong sự cố.

f) Lập báo cáo sự cố gửi cơ quan quản lý đối với các sự cố nghiêm trọng và đặc biệt nghiêm trọng trong vòng 24 giờ kể từ khi phát hiện sự cố.

Điều 18. Quy định về bảo trì, bảo dưỡng

1. Cơ quan vận hành có trách nhiệm

a) Xây dựng, tham mưu cơ quan quản lý phê duyệt và ban hành quy trình bảo trì, bảo dưỡng hệ thống.

b) Trực tiếp thực hiện hoặc thuê dịch vụ để thực hiện bảo trì, bảo dưỡng các hệ thống.

2. Yêu cầu về bảo trì, bảo dưỡng

a) Việc thực hiện bảo trì, bảo dưỡng không được làm gián đoạn và ảnh hưởng đến tình hình cung cấp dịch vụ của Trung tâm dữ liệu.

b) Quá trình bảo trì, bảo dưỡng phải thực hiện theo đúng kịch bản, quy trình và ghi nhật ký về tình trạng hoạt động trước và sau khi thực hiện.

Điều 19. Quy định về kiểm tra, báo cáo định kỳ

1. Hằng ngày, Cán bộ quản lý Trung tâm dữ liệu phải thực hiện báo cáo tình hình hoạt động của Trung tâm lên Lãnh đạo cơ quan vận hành (theo Mẫu số 08).

2. Cơ quan quản lý tổ chức kiểm tra việc tuân thủ các quy định về quản lý, triển khai, vận hành và khai thác sử dụng Trung tâm dữ liệu theo các quy định tại Quy chế này tối thiểu 06 tháng một lần.

3. Các nội dung kiểm tra:

a) Việc bảo đảm các điều kiện về môi trường cho hoạt động của Trung tâm dữ liệu.

b) Tình hình sử dụng thiết bị, sử dụng ứng dụng của hệ thống.

c) Hoạt động của hệ thống máy chủ, máy trạm, các dịch vụ (cập nhật các bản vá, bản sửa lỗi, dung lượng ổ cứng, hiệu năng sử dụng,…).

d) Tình hình an ninh bảo mật hệ thống, đánh giá hiệu quả (khả năng phát hiện và ngăn chặn) của hệ thống bảo mật.

e) Kiểm tra công tác sao lưu, lưu trữ, phục hồi dữ liệu.

f) Quản lý hồ sơ: ghi nhật ký, cập nhật, tổng hợp thiết bị, báo cáo,…

g) Việc tuân thủ các quy định khác nêu tại quy chế này.

4. Hàng quý, cơ quan vận hành tiến hành kiểm tra định kỳ, đánh giá phân tích hiệu quả hoạt động của Trung tâm dữ liệu và tổng hợp báo cáo (theo Mẫu số 03) với cơ quan quản lý. Trong trường hợp phát hiện các bất cập, lỗi liên quan đến các hệ thống, cần thực hiện báo cáo nhanh và xây dựng kế hoạch khắc phục.

Chương III

QUY ĐỊNH TRÁCH NHIỆM

Điều 20. Trách nhiệm của cơ quan quản lý

1. Tham mưu UBND thành phố phê duyệt chính sách khai thác và sử dụng các dịch vụ của Trung tâm dữ liệu để đáp ứng nhu cầu ứng dụng công nghệ thông tin và truyền thông trên địa bàn thành phố.

2. Phê duyệt các quy trình về vận hành, bảo trì, bảo dưỡng và khắc phục sự cố; quy trình cung cấp dịch vụ Trung tâm dữ liệu.

3. Hướng dẫn các cơ quan, cán bộ, công chức, viên chức và doanh nghiệp, người dân sử dụng dịch vụ Trung tâm dữ liệu.

4. Hướng dẫn triển khai các giải pháp bảo đảm an toàn, an ninh đối với các hệ thống thông tin điện tử thuộc Trung tâm dữ liệu.

5. Quy hoạch tài nguyên hệ thống, các giải pháp, phương án kỹ thuật, các kế hoạch phát triển Trung tâm dữ liệu.

6. Chỉ đạo mở hoặc dừng đột xuất một số dịch vụ Trung tâm dữ liệu trong các trường hợp cụ thể.

7. Tham mưu UBND thành phố nâng cấp và mở rộng Trung tâm dữ liệu bảo đảm cho ứng dụng công nghệ thông tin và xây dựng chính quyền điện tử.

8. Tham mưu UBND thành phố ban hành theo thẩm quyền về giá cước các dịch vụ của Trung tâm dữ liệu thành phố.

9. Thanh tra, kiểm tra và giám sát việc vận hành, khai thác dịch vụ, chấp hành cơ chế tài chính của cơ quan vận hành Trung tâm dữ liệu.

10. Báo cáo định kỳ hàng năm (trước ngày 31/12) cho UBND thành phố Đà Nẵng về tình hình hoạt động của Trung tâm dữ liệu.

Điều 21. Trách nhiệm của cơ quan vận hành

1. Cơ quan vận hành chịu trách nhiệm về quản lý, vận hành và khai thác có hiệu quả hoạt động của Trung tâm dữ liệu.

2. Có trách nhiệm lập, chấp hành dự toán, thực hiện chế độ kế toán, chịu trách nhiệm quản lý và sử dụng các nguồn tài chính, tài sản và cơ sở vật chất được giao theo quy định của pháp luật.

3. Xây dựng và tham mưu cho cơ quan quản lý ban hành các quy trình cung cấp dịch vụ, các quy trình vận hành, bảo trì, bảo dưỡng và khắc phục sự cố của Trung tâm dữ liệu và triển khai thực hiện sau khi được phê duyệt.

4. Tổ chức bảo trì, bảo dưỡng và bảo vệ Trung tâm dữ liệu.

5. Bảo đảm các yêu cầu về hạ tầng kỹ thuật, chất lượng dịch vụ, an toàn thông tin và hoạt động thông suốt của Trung tâm dữ liệu.

6. Đào tạo cán bộ quản lý, vận hành có chuyên môn đáp ứng yêu cầu, được trang bị các kiến thức liên quan tới hoạt động của Trung tâm dữ liệu.

7. Phối hợp cung cấp thông tin trong tư vấn, hỗ trợ người dân, doanh nghiệp sử dụng dịch vụ Trung tâm dữ liệu.

8. Xây dựng kế hoạch hợp tác, khai thác Trung tâm dữ liệu với các tổ chức có liên quan và triển khai các nhiệm vụ được UBND thành phố, Sở Thông tin và Truyền thông giao.

9. Trực tiếp tiếp nhận yêu cầu cung cấp dịch vụ của các tổ chức, cá nhân trong phạm vi quy định và triển khai cung cấp dịch vụ theo đúng với tiêu chuẩn chất lượng, quy trình và trên cơ sở khai thác hiệu quả hạ tầng Trung tâm dữ liệu.

10. Thực hiện báo cáo định kỳ hàng quý cho cơ quan quản lý về tình hình hoạt động và cung cấp dịch vụ của Trung tâm dữ liệu và báo cáo đột xuất khi có yêu cầu.

11. Tuân thủ và thực hiện đúng các quy định của nhà nước, quy định của ngành và các quy định nêu trong văn bản này.

Điều 22. Trách nhiệm của cơ quan hành chính, sự nghiệp

1. Đăng ký sử dụng các dịch vụ của Trung tâm dữ liệu (theo Mẫu số 04).

2. Chịu trách nhiệm về nội dung, thông tin lưu trữ tại Trung tâm dữ liệu theo đúng quy định pháp luật.

3. Phối hợp với cơ quan vận hành Trung tâm dữ liệu trong công tác bảo đảm an toàn, an ninh thông tin cho các hệ thống thông tin của đơn vị đặt tại Trung tâm dữ liệu.

Điều 23. Trách nhiệm của người sử dụng

1. Sử dụng dịch vụ Trung tâm dữ liệu trong phạm vi cho phép.

2. Tuân thủ các quy định về an toàn bảo mật thông tin, quản lý vận hành và khai thác Trung tâm dữ liệu.

3. Không được thực hiện các hành vi đánh cắp, giả mạo tài khoản để truy cập vào các hệ thống thông tin thuộc Trung tâm dữ liệu.

4. Không được sử dụng các công cụ, phần mềm làm tổn hại đến hoạt động của Trung tâm dữ liệu.

5. Trường hợp phát sinh sự cố, thông báo cho cán bộ kỹ thuật của cơ quan vận hành để được hướng dẫn và hỗ trợ khắc phục. Phối hợp với cán bộ kỹ thuật của cơ quan vận hành trong việc xử lý sự cố và xác nhận kết quả xử lý.

Chương IV

TỔ CHỨC THỰC HIỆN

Điều 24. Sở Thông tin và Truyền thông

1. Triển khai thực hiện nhiệm vụ của cơ quan quản lý Trung tâm dữ liệu đúng với quy định nhà nước và các quy định tại Điều 20 của Quy chế này.

2. Chỉ đạo cơ quan vận hành:

a) Triển khai thực hiện nhiệm vụ quản lý, vận hành và khai thác Trung tâm dữ liệu đúng với quy định của nhà nước và các quy định tại Quy chế này.

b) Tham mưu quy trình vận hành, bảo dưỡng và khắc phục sự cố của Trung tâm dữ liệu và triển khai thực hiện sau khi được cấp có thẩm quyền phê duyệt.

c) Tham mưu các quy trình cung cấp dịch vụ Trung tâm dữ liệu và triển khai thực hiện sau khi được cấp có thẩm quyền phê duyệt.

d) Phối hợp với các đơn vị chức năng bảo đảm an toàn an ninh thông tin cho Trung tâm dữ liệu.

3. Tuyên truyền, phổ biến, hướng dẫn việc thực hiện các quy định của Quy chế này.

Điều 25. Các cơ quan hành chính, sự nghiệp

1. Liên hệ với cơ quan vận hành Trung tâm dữ liệu để thực hiện thủ tục đưa các Trang thông tin điện tử, cơ sở dữ liệu, phần mềm ứng dụng chuyên ngành, dịch vụ công trực tuyến của cơ quan, đơn vị vào lưu ký, vận hành tập trung tại Trung tâm dữ liệu thành phố.

2. Các cơ quan, đơn vị sử dụng dịch vụ Trung tâm dữ liệu trong phạm vi chức năng, nhiệm vụ của mình, có trách nhiệm tổ chức triển khai và kiểm tra việc chấp hành các quy định tại Quy chế này.

Điều 26. Sở Tài chính

Phối hợp với Sở Thông tin và Truyền thông tham mưu UBND thành phố phê duyệt kinh phí hàng năm cho Trung tâm Phát triển Hạ tầng CNTT, cơ quan quản lý vận hành Trung tâm dữ liệu để thực hiện công tác quản lý, vận hành và bảo trì, bảo dưỡng Trung tâm dữ liệu và các hệ thống CNTT-TT có liên quan.

Điều 27. Xử lý vi phạm

1. Các cơ quan hành chính, sự nghiệp, cán bộ, công chức, viên chức vi phạm Quy chế này thì tùy theo tính chất, mức độ vi phạm bị xử lý kỷ luật hoặc các hình thức xử lý khác theo quy định của pháp lệnh cán bộ, công chức.

2. Đối với các tổ chức, cá nhân khác tham gia sử dụng dịch vụ của Trung tâm dữ liệu vi phạm Quy chế này thì xử lý vi phạm theo các điều khoản tại Hợp đồng đã ký kết giữa các bên có liên quan.

Điều 28. Sửa đổi, bổ sung Quy chế

Trong quá trình thực hiện Quy chế này, nếu có vướng mắc hoặc phát sinh mới, các cơ quan, đơn vị cần kịp thời phản ánh về Sở Thông tin và Truyền thông tổng hợp và trình UBND thành phố điều chỉnh, bổ sung Quy chế cho phù hợp với thực tế./.