Quyết định 856/QĐ-BTTTT năm 2017 Quy chế bảo đảm an toàn thông tin trong hoạt động ứng dụng công nghệ thông tin của Bộ Thông tin và Truyền thông

QUYẾT ĐỊNH

BAN HÀNH QUY CHẾ BẢO ĐẢM AN TOÀN THÔNG TIN TRONG HOẠT ĐỘNG ỨNG DỤNG CÔNG NGHỆ THÔNG TIN CỦA BỘ THÔNG TIN VÀ TRUYỀN THÔNG

BỘ TRƯỞNG BỘ THÔNG TIN VÀ TRUYỀN THÔNG

Căn cứ Luật Công nghệ thông tin ngày 29 tháng 6 năm 2006;

Căn cứ Luật An toàn thông tin mạng ngày 19 tháng 11 năm 2015;

Căn cứ Nghị định số 17/2017/NĐ-CP ngày 17 tháng 02 năm 2017 của Chính phủ quy định chức năng, nhiệm vụ, quyền hạn và cơ cấu tổ chức của Bộ Thông tin và Truyền thông;

Căn cứ Nghị định số 64/2007/NĐ-CP ngày 10 tháng 4 năm 2007 của Chính phủ về ứng dụng công nghệ thông tin trong hoạt động của cơ quan nhà nước;

Thực hiện Quyết định số 509/QĐ-BTTTT ngày 05 tháng 4 năm 2016 của Bộ trưởng Bộ Thông tin và Truyền thông phê duyệt Kế hoạch ứng dụng công nghệ thông tin trong hoạt động của cơ quan nhà nước, xây dựng Bộ Thông tin và Truyền thông điện tử giai đoạn 2016-2020;

Xét đề nghị của Giám đốc Trung tâm Thông tin,

QUYẾT ĐỊNH:

Điều 1. Ban hành kèm theo Quyết định này “Quy chế bảo đảm an toàn thông tin trong hoạt động ứng dụng công nghệ thông tin của Bộ Thông tin và Truyền thông”.

Điều 2. Quyết định này có hiệu lực thi hành kể từ ngày ký.

Điều 3. Chánh Văn phòng, Giám đốc Trung tâm Thông tin, Thủ trưởng các cơ quan, đơn vị thuộc Bộ có liên quan chịu trách nhiệm thi hành Quyết định này./.

QUY CHẾ

BẢO ĐẢM AN TOÀN THÔNG TIN TRONG HOẠT ĐỘNG ỨNG DỤNG CÔNG NGHỆ THÔNG TIN CỦA BỘ THÔNG TIN VÀ TRUYỀN THÔNG
(Ban hành kèm theo Quyết định số 856/QĐ-BTTTT ngày 06 tháng 6 năm 2017 của Bộ trưởng Bộ Thông tin và Truyền thông)

Chương I

QUY ĐỊNH CHUNG

Điều 1. Phạm vi điều chỉnh, đối tượng áp dụng

1. Quy chế này quy định phạm vi tài nguyên thông tin và các nguyên tắc, chính sách, biện pháp cơ bản bảo đảm an toàn thông tin trong hoạt động ứng dụng công nghệ thông tin của Bộ Thông tin và Truyền thông.

2. Quy chế này áp dụng đối với các cơ quan, đơn vị thuộc Bộ Thông tin và Truyền thông (sau đây gọi là cơ quan, đơn vị) và cán bộ, công chức, viên chức, người lao động trong các cơ quan, đơn vị (sau đây gọi là cá nhân) tham gia vào hoạt động ứng dụng công nghệ thông tin của Bộ.

Điều 2. Giải thích từ ngữ

Trong Quy chế này, các từ ngữ dưới đây được hiểu như sau:

1. An toàn thông tin là sự bảo vệ thông tin và các hệ thống thông tin tránh bị truy nhập, sử dụng, tiết lộ, gián đoạn, sửa đổi hoặc phá hoại trái phép nhằm bảo đảm tính nguyên vẹn, tính bảo mật và tính khả dụng của thông tin.

2. Xâm phạm an toàn thông tin là hành vi truy nhập, sử dụng, tiết lộ, làm gián đoạn, sửa đổi, làm sai lệch chức năng, phá hoại trái phép thông tin và hệ thống thông tin.

3. Hạ tầng kỹ thuật là tập hợp thiết bị tính toán, lưu trữ, thiết bị ngoại vi, thiết bị kết nối mạng, thiết bị phụ trợ, đường truyền, mạng nội bộ, mạng diện rộng.

4. Hệ thống thông tin là tập hợp phần cứng, phần mềm và cơ sở dữ liệu được thiết lập phục vụ mục đích tạo lập, cung cấp, truyền đưa, thu thập, xử lý, lưu trữ và trao đổi thông tin trên môi trường mạng.

5. Trang thông tin điện tử là trang thông tin hoặc một tập hợp trang thông tin trên môi trường mạng phục vụ cho việc cung cấp, trao đổi thông tin.

6. Cổng thông tin điện tử là điểm truy nhập duy nhất của cơ quan, đơn vị trên môi trường mạng, liên kết, tích hợp các kênh thông tin, các dịch vụ và các ứng dụng mà qua đó người dùng có thể khai thác, sử dụng và cá nhân hóa việc hiển thị thông tin.

7. Phần mềm độc hại là phần mềm có khả năng gây ra hoạt động không bình thường cho một phần hay toàn bộ hệ thống thông tin hoặc thực hiện sao chép, sửa đổi, xóa bỏ trái phép thông tin lưu trữ trong hệ thống thông tin.

8. Cổng giao tiếp dùng để định danh các ứng dụng gửi và nhận dữ liệu. Mỗi ứng dụng sẽ được gắn tương ứng (không cố định) với một cổng giao tiếp. Những ứng dụng phổ biến được đặt với số hiệu cổng định trước, nhằm định danh duy nhất các ứng dụng đó. Khi máy tính sử dụng dịch vụ nào thì cổng giao tiếp tương ứng với dịch vụ đó sẽ mở.

9. Bản ghi nhật ký hệ thống là một tập tin được tạo ra trên mỗi thiết bị của hệ thống thông tin như: thiết bị bảo mật, thiết bị tính toán, máy chủ ứng dụng, ... có chứa tất cả thông tin về các hoạt động xảy ra trên thiết bị đó. Bản ghi nhật ký hệ thống dùng để phân tích những sự kiện đã xảy ra, nguồn gốc và các kết quả để có các biện pháp xử lý thích hợp.

10. Thiết bị lưu trữ dữ liệu di động là thiết bị được sử dụng để đọc, ghi dữ liệu có thể được di chuyển tới nhiều nơi, nhiều người có thể sử dụng (ổ cứng di động, USB, máy tính xách tay, thẻ nhớ, CD, DVD, ...).

11. Lưu trữ trên môi trường mạng là phương thức lưu trữ sử dụng các ứng dụng lưu trữ của các nhà cung cấp. Dữ liệu được đưa lên máy chủ của nhà cung cấp dịch vụ lưu trữ.

12. Người sử dụng là cá nhân sử dụng máy tính để xử lý công việc.

13. Tiêu chuẩn TCVN 7562:2005 là tiêu chuẩn Việt Nam về quy tắc thực hành quản lý an toàn thông tin (tương đương tiêu chuẩn ISO/IEC 17799:2000).

Điều 3. Tài nguyên thông tin cần bảo đảm an toàn thông tin

Tài nguyên thông tin cần bảo đảm an toàn thông tin của Bộ Thông tin và Truyền thông bao gồm các thành phần sau đây:

1. Hệ thống hạ tầng kỹ thuật:

a) Thiết bị tính toán, lưu trữ (máy chủ, máy trạm, SAN, NAS, ...).

b) Thiết bị ngoại vi (máy in, máy quét và các thiết bị số hóa, thiết bị lưu trữ dữ liệu di động, ...).

c) Đường truyền dữ liệu, đường kết nối Internet.

d) Mạng nội bộ (LAN), mạng diện rộng (WAN) và thiết bị kết nối mạng, thiết bị bảo mật, thiết bị phụ trợ.

đ) Thiết bị công nghệ thông tin được kết nối mạng trong các cơ quan, đơn vị.

2. Hệ thống thông tin, phần mềm, ứng dụng và cơ sở dữ liệu:

a) Hệ thống thông tin, cơ sở dữ liệu dùng chung (thư điện tử, quản lý văn bản và điều hành, thông tin nội bộ, quản lý nhân sự và thi đua khen thưởng, quản lý tài sản, hồ sơ hành chính điện tử, dữ liệu thống kê tổng hợp, ...).

b) Phần mềm, ứng dụng cung cấp dịch vụ công trực tuyến.

c) Cổng thông tin điện tử của Bộ và hệ thống trang/Cổng thông tin điện tử của các cơ quan, đơn vị.

d) Hệ thống thông tin nghiệp vụ và các cơ sở dữ liệu chuyên ngành.

đ) Phần mềm, ứng dụng phục vụ công tác quản lý, điều hành hoạt động của cơ quan nhà nước.

3. Thông tin, dữ liệu được trao đổi, truyền tải, xử lý và lưu trữ trên hạ tầng kỹ thuật của Bộ Thông tin và Truyền thông.

Điều 4. Nguyên tắc chung về bảo đảm an toàn thông tin

1. Bảo đảm an toàn thông tin là yêu cầu bắt buộc, có tính xuyên suốt và phải thường xuyên, liên tục được nâng cao, cải tiến trong quá trình:

a) Thu thập, tạo lập, xử lý, truyền tải, lưu trữ và sử dụng thông tin, dữ liệu.

b) Thiết kế, xây dựng, vận hành, nâng cấp, hủy bỏ hệ thống thông tin.

2. Cơ quan, đơn vị và cá nhân có trách nhiệm thực hiện đầy đủ, nghiêm túc các quy định của pháp luật, quy định, quy chế của Bộ Thông tin và Truyền thông về bảo vệ bí mật nhà nước và bảo đảm an toàn thông tin.

3. Các dự án ứng dụng công nghệ thông tin hoặc dự án có cấu phần công nghệ thông tin phải có ý kiến thẩm định nội dung liên quan đến an toàn thông tin trước khi được phê duyệt.

4. Khi thực hiện thuê dịch vụ công nghệ thông tin hoặc sử dụng dịch vụ công nghệ thông tin do bên thứ ba cung cấp, cơ quan, đơn vị và cá nhân phải làm quản lý việc sở hữu thông tin, dữ liệu từ dịch vụ đó; yêu cầu nhà cung cấp dịch vụ có trách nhiệm bảo mật thông tin; không để nhà cung cấp dịch vụ truy nhập, sử dụng thông tin, dữ liệu thuộc phạm vi nhà nước quản lý.

5. Xử lý sự cố an toàn thông tin phải phù hợp với trách nhiệm, quyền hạn và bảo đảm lợi ích hợp pháp của cơ quan, đơn vị, cá nhân liên quan và theo quy định của pháp luật.

Điều 5. Các hành vi bị nghiêm cấm

1. Vi phạm các quy định, quy chế, quy trình về quản lý, vận hành, sử dụng và bảo đảm an toàn thông tin đối với hạ tầng kỹ thuật và hệ thống thông tin của Bộ Thông tin và Truyền thông.

2. Truy nhập, tác động trái phép, làm sai lệch, gây nguy hại đến thông tin, dữ liệu hoặc xâm phạm an toàn thông tin của cơ quan, đơn vị và cá nhân khác.

3. Tấn công, làm ảnh hưởng đến hoạt động bình thường của hệ thống thông tin hoặc ngăn chặn trái phép, gây gián đoạn truy nhập hợp pháp của người sử dụng tới hệ thống thông tin.

4. Sử dụng tài nguyên thông tin của Bộ để phát tán thư rác, tin nhắn rác, phần mềm độc hại, thiết lập hệ thống thông tin giả mạo, lừa đảo.

Chương II

QUY ĐỊNH BẢO ĐẢM AN TOÀN THÔNG TIN

Điều 6. Bảo đảm an toàn thông tin mức vật lý

1. Bảo đảm an toàn thông tin mức vật lý là việc bảo vệ hệ thống hạ tầng kỹ thuật, phần mềm, ứng dụng và cơ sở dữ liệu khỏi các mối nguy hiểm vật lý (như: cháy, nổ; nhiệt độ, độ ẩm ngoài mức cho phép; thiên tai; mất điện; tác động cơ học) có thể gây ảnh hưởng đến hoạt động hệ thống.

2. Các biện pháp cơ bản bảo đảm an toàn thông tin mức vật lý bao gồm:

a) Quản lý trung tâm dữ liệu/phòng máy chủ:

- Các thiết bị kết nối mạng, thiết bị bảo mật quan trọng như tường lửa, thiết bị định tuyến, hệ thống máy chủ, hệ thống lưu trữ SAN, NAS, ... phải được đặt trong trung tâm dữ liệu/phòng máy chủ;

- Trung tâm dữ liệu/phòng máy chủ phải được thiết lập cơ chế bảo vệ, theo dõi, phát hiện xâm nhập và biện pháp kiểm soát truy nhập, kết nối vật lý phù hợp đối với từng khu vực: máy chủ và hệ thống lưu trữ; từ mạng và đấu nối; thiết bị nguồn điện và dự phòng điện khẩn cấp; vận hành, kiểm soát, quản trị hệ thống. Cơ quan, đơn vị chủ quản trung tâm dữ liệu/phòng máy chủ có trách nhiệm xây dựng nội quy hoặc hướng dẫn làm việc trong các khu vực này;

- Quá trình vào, ra trung tâm dữ liệu/phòng máy chủ phải được ghi nhận vào nhật ký quản lý trung tâm dữ liệu/phòng máy chủ. Chỉ những cá nhân có quyền, nhiệm vụ theo quy định của thủ trưởng cơ quan, đơn vị mới được phép vào trung tâm dữ liệu/phòng máy chủ. Trang bị cơ chế kiểm tra xác thực nâng cao (thẻ, token, vân tay ...) khi cần thiết;

- Có phương án, kế hoạch phòng, chống và khắc phục sự cố ngập dột nước, sét, tĩnh điện, cháy nổ; áp dụng các quy chuẩn kỹ thuật về an toàn kỹ thuật nhiệt, độ ẩm, ánh sáng cho các thiết bị tính toán, lưu trữ; bảo đảm điều kiện hoạt động ổn định cho các hệ thống hỗ trợ như máy điều hòa nhiệt độ, nguồn cấp điện, dây dẫn;

- Trung tâm dữ liệu/phòng máy chủ phải được trang bị hệ thống lưu điện đủ công suất và duy trì thời gian hoạt động của các máy chủ ít nhất 15 phút khi có sự cố mất điện.

b) Thiết lập cơ chế dự phòng đối với các thiết bị hạ tầng kỹ thuật quan trọng; có kế hoạch kiểm tra, bảo dưỡng định kỳ và duy trì thông số kỹ thuật các thiết bị này hoặc có phương án sửa chữa, thay thế đáp ứng yêu cầu về độ sẵn sàng trong suốt thời gian lắp đặt, sử dụng.

c) Các đường truyền dữ liệu, đường truyền Internet và hệ thống dây dẫn các mạng WAN, LAN phải được lắp đặt trong ống, máng che đậy kín, hạn chế khả năng tiếp cận trái phép. Ngắt kết nối cổng Ethernet không sử dụng, đặc biệt là ở khu vực làm việc chung của các cơ quan, đơn vị.

d) Cá nhân sử dụng thiết bị lưu trữ dữ liệu di động để lưu trữ thông tin, dữ liệu của Bộ Thông tin và Truyền thông, cơ quan, đơn vị mình có trách nhiệm bảo vệ thiết bị này và thông tin lưu trên thiết bị, tránh làm mất hoặc lộ, lọt thông tin, dữ liệu. Không mang ra nước ngoài thông tin, dữ liệu của cơ quan, đơn vị, của Nhà nước mà không liên quan tới nội dung công việc thực hiện ở nước ngoài.

đ) Thiết bị tính toán có bộ phận lưu trữ hoặc thiết bị lưu trữ khi mang đi bảo hành, bảo dưỡng, sửa chữa bên ngoài hoặc ngừng sử dụng phải được tháo bộ phận lưu trữ khỏi thiết bị hoặc xóa thông tin, dữ liệu lưu trữ trên thiết bị (trừ trường hợp để khôi phục dữ liệu). Khi thanh lý thiết bị thì phải xóa nội dung lưu trữ bằng phần mềm hoặc thiết bị hủy dữ liệu chuyên dụng hay phá hủy vật lý.

3. Cơ quan, đơn vị có trách nhiệm xây dựng quy trình bảo dưỡng, bảo trì và hướng dẫn cách sử dụng, quản lý, vận hành hệ thống hạ tầng kỹ thuật của mình; chỉ định bộ phận chuyên trách về công nghệ thông tin thực hiện quản lý, vận hành và định kỳ kiểm tra, sửa chữa, bảo trì thiết bị (bao gồm thiết bị đang hoạt động và thiết bị dự phòng).

Điều 7. Bảo đảm an toàn thông tin khi sử dụng máy tính

1. Cá nhân sử dụng máy tính để xử lý công việc tuân thủ các quy định sau:

a) Chỉ cài đặt phần mềm hợp lệ (phần mềm có bản quyền thương mại, phần mềm nội bộ được đầu tư hoặc phần mềm mã nguồn mở có nguồn gốc rõ ràng) và thuộc danh mục phần mềm được phép sử dụng do cơ quan, đơn vị có thẩm quyền của Bộ Thông tin và Truyền thông ban hành (nếu có) trên máy tính được cơ quan, đơn vị cấp cho mình; không được tự ý cài đặt hoặc gỡ bỏ các phần mềm khi chưa có sự đồng ý của bộ phận chuyên trách về công nghệ thông tin; thường xuyên cập nhật phần mềm và hệ điều hành.

b) Cài đặt phần mềm xử lý phần mềm độc hại và thiết lập chế độ tự động cập nhật cơ sở dữ liệu cho phần mềm; thực hiện kiểm tra, rà quét phần mềm độc hại khi sao chép, mở các tập tin hoặc trước khi kết nối các thiết bị lưu trữ dữ liệu di động với máy tính của mình.

c) Khi phát hiện ra bất kỳ dấu hiệu nào liên quan đến việc bị nhiễm phần mềm độc hại trên máy tính (máy chạy chậm bất thường, cảnh báo từ phần mềm phòng, chống phần mềm độc hại, mất dữ liệu,...), phải tắt máy và báo trực tiếp cho bộ phận chuyên trách về công nghệ thông tin để được xử lý kịp thời.

d) Chỉ truy nhập vào các trang/cổng thông tin điện tử, ứng dụng trực tuyến tin cậy và các thông tin phù hợp với chức năng, trách nhiệm, quyền hạn của mình; sử dụng những trình duyệt an toàn; không truy nhập, mở các trang tin, thư điện tử không rõ nguồn gốc; không sử dụng tính năng lưu mật khẩu tự động hoặc đăng nhập tự động.

đ) Có trách nhiệm bảo mật tài khoản truy nhập thông tin, không chia sẻ mật khẩu, thông tin cá nhân với người khác. Đặt mật khẩu với độ an toàn cao (có chữ thường, có chữ in hoa, có số và ký tự đặc biệt như @, #, !,...) và thay đổi mật khẩu ít nhất 01 lần/tháng; các tài khoản đăng nhập các hệ thống phải được đăng xuất khi không sử dụng; thường xuyên xóa các biểu mẫu, mật khẩu, bộ nhớ cache và cookie trong trình duyệt trên máy tính.

e) Thực hiện thao tác khóa máy tính (sử dụng tính năng có sẵn trên máy tính) khi rời khỏi nơi đặt máy tính; tắt máy tính khi rời khỏi cơ quan.

g) Báo cáo và phải được thủ trưởng cơ quan, đơn vị đồng ý, cho phép trước khi mang máy tính, thiết bị công nghệ thông tin có kết nối mạng thuộc sở hữu riêng đến nơi làm việc và kết nối với mạng nội bộ để thực hiện xử lý công việc. Trong trường hợp này, cá nhân phải tuân thủ đầy đủ các quy định tại các Điểm a, b, c, d, đ, e Khoản này và chịu sự giám sát của bộ phận chuyên trách về công nghệ thông tin của cơ quan, đơn vị.

2. Cơ quan, đơn vị có trách nhiệm tập hợp, cập nhật tài liệu hướng dẫn, quy định về bảo đảm an toàn thông tin khi sử dụng máy tính (cho phù hợp với điều kiện môi trường hoạt động, tình hình phát triển công nghệ thông tin) và phổ biến đến tất cả cá nhân thuộc phạm vi cơ quan, đơn vị mình để tuân thủ thực hiện.

3. Tài khoản truy nhập

a) Cá nhân sử dụng hệ thống thông tin được cấp và sử dụng tài khoản truy nhập với định danh duy nhất gắn với cá nhân đó. Các hệ thống thông tin dùng chung của Bộ sử dụng cơ chế đăng nhập một lần, chung một tài khoản truy nhập và mật khẩu.

b) Trường hợp cá nhân thay đổi vị trí công tác, chuyển công tác, thôi việc hoặc nghỉ hưu, cơ quan, trong vòng không quá 05 ngày làm việc, đơn vị quản lý cá nhân đó phải thông báo cơ quan, đơn vị chủ quản hệ thống thông tin để điều chỉnh, thu hồi, hủy bỏ các quyền sử dụng đối với hệ thống thông tin.

c) Tài khoản quản trị hệ thống (mạng, hệ điều hành, thiết bị kết nối mạng, phần mềm, ứng dụng, cơ sở dữ liệu) phải tách biệt với tài khoản truy nhập của người sử dụng thông thường. Tài khoản quản trị hệ thống phải được giao đích danh cá nhân làm công tác quản trị. Hạn chế dùng chung tài khoản quản trị.

Điều 8. Bảo đảm an toàn thông tin đối với mạng máy tính

1. Hệ thống mạng nội bộ (LAN) phải được thiết kế phân vùng theo chức năng cơ bản (theo các chính sách an toàn thông tin riêng), bao gồm: vùng mạng người dùng; vùng mạng kết nối hệ thống ra bên ngoài Internet và các mạng khác; vùng mạng máy chủ công cộng; vùng mạng máy chủ nội bộ; vùng mạng máy chủ quản trị. Dữ liệu trao đổi giữa các vùng mạng phải được quản lý giám sát bởi các hệ thống các thiết bị mạng, thiết bị bảo mật.

Căn cứ điều kiện, yêu cầu thực tế về bảo mật dữ liệu, cơ quan, đơn vị là chủ quản hệ thống mạng nội bộ chủ động triển khai xây dựng mô hình, giải pháp an toàn bảo mật, bao gồm các biện pháp kỹ thuật sau đây:

a) Kiểm soát truy nhập từ bên ngoài mạng (sử dụng các giao thức mạng có hỗ trợ chức năng mã hóa thông tin như SSH, SSL/TLS, VPN hoặc tương đương).

b) Kiểm soát truy nhập từ bên trong mạng (quản lý các thiết bị đầu cuối, máy tính người sử dụng kết nối vào hệ thống mạng; giám sát, phát hiện và ngăn chặn truy nhập từ bên trong mạng đến các địa chỉ Internet bị cấm truy nhập).

c) Phòng, chống xâm nhập và phần mềm độc hại, bảo vệ các vùng mạng máy chủ công cộng, máy chủ nội bộ, máy chủ cơ sở dữ liệu và vùng mạng nội bộ; có khả năng tự động cập nhật thời gian thực cơ sở dữ liệu, dấu hiệu phát hiện tấn công. Vô hiệu hóa tất cả các dịch vụ không cần thiết tại từng vùng mạng.

d) Cấu hình chức năng xác thực trên các thiết bị kết nối mạng để xác thực người sử dụng quản trị thiết bị trực tiếp hoặc từ xa.

đ) Mạng không dây phải có cơ chế bảo toàn tính toàn vẹn và bí mật của thông tin được truyền đưa trên môi trường mạng, có hướng dẫn bảo đảm an toàn thông tin dành cho các thiết bị đầu cuối khi kết nối vào mạng; được thiết lập các tham số: tên, nhận dạng dịch vụ (SSID), mật khẩu, cấp phép truy nhập đối với địa chỉ vật lý (MAC address), mã hóa dữ liệu. Thường xuyên thay đổi mật khẩu. Các điểm truy nhập không dây phải được bảo vệ, tránh bị tiếp cận trái phép.

e) Hệ thống máy chủ phải có chức năng tự động cập nhật bản ghi nhật ký hệ thống trong khoảng thời gian nhất định (tối thiểu là 03 tháng), lưu trữ thông tin kết nối mạng, quá trình đăng nhập vào máy chủ, các thao tác cấu hình hệ thống, lỗi phát sinh trong quá trình hoạt động và các thông tin liên quan về an toàn thông tin để phục vụ công tác khắc phục sự cố và điều tra về an toàn thông tin khi xảy ra. Xóa sạch thông tin, dữ liệu trên máy chủ khi chuyển giao hoặc thay đổi mục đích sử dụng.

2. Cơ quan, đơn vị tham gia kết nối, sử dụng hệ thống mạng diện rộng (WAN) của Bộ Thông tin và Truyền thông, mạng Truyền số liệu chuyên dùng có trách nhiệm:

a) Bảo đảm an toàn thông tin đối với hệ thống mạng nội bộ và các thiết bị của mình khi thực hiện kết nối vào hệ thống mạng diện rộng; thông báo sự cố hoặc các hành vi phá hoại, xâm nhập về Trung tâm Thông tin để thống nhất xử lý.

b) Phối hợp với Trung tâm Thông tin rà soát đánh giá tính hợp lệ cấu hình địa chỉ IP kết nối mạng diện rộng trong quá trình vận hành và sử dụng các hệ thống thông tin, máy chủ, thiết bị công nghệ thông tin của mình có kết nối với hệ thống mạng diện rộng.

c) Định kỳ sao lưu thông tin, dữ liệu dùng chung lưu trữ trên mạng diện rộng.

d) Không tiết lộ phương thức (tên đăng ký, mật khẩu, tiện ích, tệp hỗ trợ và các cách thức khác) để truy nhập vào hệ thống mạng diện rộng cho tổ chức, cá nhân khác; không được tìm cách truy nhập dưới bất cứ hình thức nào vào các khu vực không được phép truy nhập.

3. Cơ quan, đơn vị phải áp dụng các biện pháp kỹ thuật cần thiết bảo đảm an toàn thông tin trong hoạt động kết nối Internet, tối thiểu đáp ứng các yêu cầu sau:

a) Có hệ thống tường lửa và hệ thống bảo vệ kiểm soát truy nhập Internet, đáp ứng nhu cầu kết nối đồng thời, hỗ trợ các công nghệ mạng riêng ảo thông dụng và có phần cứng mã hóa tích hợp để tăng tốc độ mã hóa dữ liệu, cung cấp đầy đủ các cơ chế bảo mật cơ bản như NAT, PAT, quản lý luồng dữ liệu ra, vào và có khả năng bảo vệ hệ thống trước các loại tấn công từ chối dịch vụ (DDoS).

b) Lọc bỏ, không cho phép truy nhập các trang tin có nghi ngờ chứa mã độc hoặc các nội dung không phù hợp.

c) Không mở trang tin hoặc ứng dụng Internet trên máy tính chứa dữ liệu quan trọng hoặc có khả năng tiếp cận các dữ liệu, ứng dụng quan trọng; chi thiết lập kết nối Internet cho các máy chủ và thiết bị công nghệ thông tin cần phải có giao tiếp với Internet (các máy chủ, thiết bị cung cấp giao diện ra Internet của trang tin điện tử, dịch vụ công, thư điện tử; thiết bị cập nhật bản và hệ điều hành, mẫu mã độc, mẫu điểm yếu, mẫu tấn công).

Điều 9. Bảo đảm an toàn thông tin mức ứng dụng

1. Cơ quan, đơn vị xây dựng, vận hành và sử dụng phần mềm, ứng dụng phải đáp ứng các yêu cầu sau:

a) Yêu cầu về bảo đảm an toàn thông tin phải được đưa vào tất cả các công đoạn thiết kế, xây dựng, triển khai và vận hành, sử dụng phần mềm, ứng dụng.

b) Cấu hình phần mềm, ứng dụng để xác thực người sử dụng; giới hạn số lần đăng nhập sai liên tiếp; giới hạn thời gian chờ để đóng phiên kết nối; mã hóa thông tin xác thực trên hệ thống; không khuyến khích việc đăng nhập tự động.

c) Thiết lập phân quyền truy nhập, quản trị, sử dụng tài nguyên khác nhau của phần mềm, ứng dụng với người sử dụng/nhóm người sử dụng có chức năng, yêu cầu nghiệp vụ khác nhau; tách biệt cổng giao tiếp quản trị phần mềm ứng dụng với cổng giao tiếp cung cấp dịch vụ; đóng các cổng giao tiếp không sử dụng.

d) Chỉ cho phép sử dụng các giao thức mạng có hỗ trợ chức năng mã hóa thông tin như SSH, SSL/TLS, VPN hoặc tương đương khi truy nhập, quản trị phần mềm, ứng dụng từ xa thông trên môi trường mạng; hạn chế truy nhập tới mã nguồn của phần mềm, ứng dụng và phải đặt mã nguồn trong môi trường an toàn do bộ phận chuyên trách công nghệ thông tin quản lý.

đ) Ghi và lưu giữ bản ghi nhật ký hệ thống của phần mềm, ứng dụng trong khoảng thời gian tối thiểu là 03 tháng với những thông tin cơ bản: thời gian, địa chỉ, tài khoản (nếu có), nội dung truy nhập và sử dụng phần mềm, ứng dụng; các lỗi phát sinh trong quá trình hoạt động; thông tin đăng nhập khi quản trị.

e) Thực hiện quy trình kiểm soát việc cài đặt, cập nhật, vá lỗi bảo mật phần mềm, ứng dụng trên các máy chủ, máy tính cá nhân, thiết bị kết nối mạng đang hoạt động thuộc hệ thống mạng nội bộ.

g) Kiểm tra phát hiện và khắc phục điểm yếu của ứng dụng trước khi đưa vào sử dụng và trong quá trình sử dụng (khi có thông tin xuất hiện điểm yếu mới trên môi trường hoạt động của ứng dụng; tối thiểu mỗi năm một lần).

2. Trung tâm Thông tin có trách nhiệm phối hợp với các cơ quan, đơn vị chủ quản hệ thống thông tin, cơ sở dữ liệu dùng chung của Bộ thực hiện:

a) Xây dựng, thống nhất kế hoạch, các phương án bảo đảm an toàn thông tin cho các hệ thống thông tin, cơ sở dữ liệu dùng chung.

b) Thường xuyên theo dõi, giám sát an toàn thông tin và kiểm tra, rà soát hoạt động của các hệ thống thông tin, cơ sở dữ liệu dùng chung.

c) Xây dựng phương án ứng cứu, khắc phục sự cố.

Điều 10. Bảo đảm an toàn thông tin mức dữ liệu

1. Cơ quan, đơn vị thực hiện bảo vệ thông tin, dữ liệu liên quan đến hoạt động công vụ, thông tin có nội dung quan trọng, nhạy cảm hoặc không phải là thông tin công khai như sau:

a) Thiết lập phương án bảo đảm tính bí mật, nguyên vẹn và khả dụng của thông tin, dữ liệu; giám sát, cảnh báo khi có thay đổi hoặc phát hiện, ngăn chặn các tác động truy nhập, gửi, nhận dữ liệu trái phép; khuyến khích áp dụng chữ ký số để xác thực và bảo mật thông tin, dữ liệu, đặc biệt trong trường hợp cần bảo đảm chống từ chối nguồn gốc dữ liệu.

b) Mã hóa thông tin, dữ liệu khi lưu trữ trên hệ thống lưu trữ/thiết bị lưu trữ dữ liệu di động bằng giải pháp do Ban Cơ yếu Chính phủ cung cấp hoặc cơ quan, đơn vị có thẩm quyền của Bộ Thông tin và Truyền thông chấp nhận sử dụng; thiết lập phân vùng lưu trữ mã hóa, chỉ cho phép cá nhân có quyền, trách nhiệm truy nhập, lưu trữ dữ liệu trên phân vùng mã hóa.

c) Triển khai hệ thống/phương tiện lưu trữ độc lập với hệ thống lưu trữ trên các máy chủ dịch vụ để sao lưu dự phòng; phân loại và quản lý thông tin, dữ liệu được lưu trữ theo từng loại/nhóm thông tin được gán nhãn khác nhau; thực hiện sao lưu, dự phòng các thông tin, dữ liệu cơ bản sau: tập tin cấu hình hệ thống, ảnh hệ điều hành máy chủ, cơ sở dữ liệu; dữ liệu, thông tin nghiệp vụ.

d) Bố trí máy tính riêng không kết nối mạng, đặt mật khẩu, mã hóa dữ liệu và các biện pháp bảo mật khác bảo đảm an toàn thông tin để soạn thảo, lưu trữ dữ liệu, thông tin và tài liệu quan trọng ở các mức độ mật, tối mật, tuyệt mật.

2. Cơ quan, đơn vị phải thường xuyên kiểm tra, giám sát hoạt động chia sẻ, gửi, nhận thông tin, dữ liệu trong hoạt động nội bộ của mình; khuyến cáo việc chia sẻ, gửi, nhận thông tin trên môi trường mạng cần phải sử dụng mật khẩu để bảo vệ thông tin.

3. Đối với hoạt động trao đổi thông tin, dữ liệu với bên ngoài, cơ quan, đơn vị và cá nhân thực hiện trao đổi thông tin, dữ liệu ra bên ngoài phải cam kết và có biện pháp bảo mật thông tin, dữ liệu được trao đổi; yêu cầu bên ngoài đáp ứng các thỏa thuận kết nối, bảo vệ thông tin phù hợp với quy định về bảo đảm an toàn thông tin của Bộ; thiết lập chức năng phát hiện dữ liệu đính kèm có phần mềm độc hại, cơ chế bảo mật truyền thông không dây, mã hóa thông tin, dữ liệu trước khi truyền đưa, trao đổi trên môi trường mạng theo quy định của pháp luật.

4. Giao dịch trực tuyến phải được truyền đầy đủ, đúng địa chỉ, tránh bị sửa đổi, tiết lộ hoặc nhân bản một cách trái phép; sử dụng các cơ chế xác thực mạnh, chữ ký số khi tham gia giao dịch, sử dụng các giao thức truyền thông an toàn.

Điều 11. Bảo đảm an toàn thông tin khi tiếp nhận, phát triển, vận hành và bảo trì hệ thống thông tin

1. Khi tiếp nhận, phát triển, nâng cấp, bảo trì hệ thống thông tin, cơ quan, đơn vị phải tiến hành phân tích, xác định các rủi ro có thể xảy ra, đánh giá phạm vi tác động và phải chuẩn bị các biện pháp hạn chế, loại trừ các rủi ro này và yêu cầu các bên cung cấp, thi công, các cá nhân liên quan thực hiện.

Một số yêu cầu như sau:

a) Có phương án bảo đảm an toàn thông tin mạng được cơ quan, đơn vị có thẩm quyền của Bộ Thông tin và Truyền thông thẩm định khi phát triển, mở rộng hoặc nâng cấp hệ thống thông tin.

b) Chỉ tiếp nhận và đưa vào vận hành hệ thống thông tin sau khi đã thực hiện nghiệm thu và kiểm thử hệ thống (được thẩm định, xác nhận của bộ phận chuyên trách và phê duyệt của cơ quan, đơn vị có thẩm quyền của Bộ Thông tin và Truyền thông hoặc chủ quản hệ thống thông tin).

c) Hệ thống thông tin được tiếp nhận phải đi kèm:

- Tài liệu mô tả quy mô, phạm vi và đối tượng sử dụng, khai thác, quản lý vận hành hệ thống thông tin;

- Tài liệu mô tả các thành phần của hệ thống thông tin, gồm: các vùng mạng chức năng, hệ thống thiết bị mạng, thiết bị bảo mật; hệ thống máy chủ hệ thống; hệ thống máy chủ ứng dụng; dịch vụ và các thành phần khác trong hệ thống thông tin.

d) Xem xét tính tương thích với các phần mềm, ứng dụng hiện có, bảo đảm hoạt động ổn định, an toàn trước khi quyết định thay đổi hoặc nâng cấp hệ điều hành lên phiên bản mới hơn; kiểm soát chặt chẽ việc nâng cấp, mở rộng phần mềm, ứng dụng trong hệ thống. Việc bổ sung các thiết bị vào hệ thống thông tin cần có kế hoạch, quy trình bảo đảm việc tiếp nhận không làm gián đoạn hoạt động của hệ thống đang vận hành.

đ) Bảo trì hệ thống thông tin phải có kế hoạch từ trước và được thực hiện thường xuyên.

2. Trong quá trình vận hành hệ thống thông tin, cơ quan, đơn vị chủ quản hệ thống cần thực hiện:

a) Đánh giá, phân loại hệ thống thông tin theo cấp độ; triển khai phương án bảo đảm an toàn hệ thống thông tin đáp ứng yêu cầu cơ bản trong tiêu chuẩn, quy chuẩn kỹ thuật về bảo đảm an toàn hệ thống thông tin theo cấp độ.

b) Thường xuyên kiểm tra, giám sát việc tuân thủ các quy định về an toàn thông tin, cập nhật đầy đủ các lỗ hổng bảo mật, áp dụng cơ chế sao lưu dự phòng, bảo đảm an toàn truy nhập, đăng nhập hệ thống.

c) Giám sát an toàn hệ thống thông tin, cảnh báo hành vi xâm phạm an toàn thông tin hoặc hành vi có khả năng gây ra sự cố an toàn thông tin đối với hệ thống thông tin; tiến hành phân tích yếu tố then chốt ảnh hưởng tới trạng thái an toàn thông tin; đề xuất thay đổi biện pháp kỹ thuật.

d) Giám sát hiệu năng hệ thống và thực hiện các biện pháp bảo trì cần thiết (dọn dẹp hệ thống, điều chỉnh thông số kỹ thuật và bổ sung mua sắm) để bảo đảm khả năng xử lý và tính sẵn sàng của hệ thống thông tin theo yêu cầu.

đ) Tuân thủ quy trình vận hành, quy trình xử lý sự cố đã xây dựng; ghi đầy đủ thông tin trong các bản ghi nhật ký hệ thống và lưu trữ nhật ký trong khoảng thời gian nhất định, để phục vụ việc quản lý, kiểm soát thông tin.

3. Đối tác phát triển phần mềm, ứng dụng cho cơ quan, đơn vị có trách nhiệm bảo đảm an toàn thông tin cho công tác phát triển, vận hành, bảo hành, bảo trì phần mềm, ứng dụng, tránh lộ lọt mã nguồn và dữ liệu, tài liệu thiết kế, quản trị hệ thống mà đối tác đang xử lý ra bên ngoài.

4. Các biện pháp kỹ thuật bảo đảm an toàn thông tin cho trang/cổng thông tin điện tử:

a) Xác định cấu trúc thiết kế trang/cổng thông tin điện tử: quản lý toàn bộ các phiên bản của mã nguồn của phần mềm, ứng dụng trang/cổng thông tin điện tử; phối hợp với đơn vị thực hiện dịch vụ thuê máy chủ tổ chức mô hình trang/cổng thông tin điện tử hợp lý tránh khả năng tấn công leo thang đặc quyền; yêu cầu đơn vị cung cấp dịch vụ hosting phải cài đặt các hệ thống phòng vệ như tường lửa, thiết bị phát hiện/phòng, chống xâm nhập (IDS/IPS) ở mức ứng dụng web (WAF - Web Application Firewall).

b) Vận hành phần mềm, ứng dụng trang/cổng thông tin điện tử: các trang/ cổng thông tin điện tử khi đưa vào sử dụng hoặc khi bổ sung thêm các chức năng thực hiện dịch vụ công trực tuyến mới cần đánh giá kiểm định nhằm tránh được các lỗi bảo mật thường xảy ra trên ứng dụng web (như SQL Injection, Cross-Site Scripting, Broken Authentication and Session Management, Insecure Direct Object References, Cross Site Request Forgery, Security Misconfiguration, Failure to Restrict URL Access, Insecure Cryptoeraphic Storage, Insufficient Transport Layer Protection, Unvalidated Redirects and Forwards và các lỗi bảo mật khác).

c) Thiết lập và cấu hình cơ sở dữ liệu của trang/cổng thông tin điện tử:

- Luôn cập nhật bản vá lỗi mới nhất cho hệ quản trị cơ sở dữ liệu; sử dụng công cụ để đánh giá, tìm kiếm lỗ hổng trên máy chủ cơ sở dữ liệu;

- Gỡ bỏ các cơ sở dữ liệu không còn sử dụng;

- Có cơ chế sao lưu dữ liệu, tài liệu hóa quá trình thay đổi cấu trúc bằng cách xây dựng nhật ký cơ sở dữ liệu với các nội dung như: Nội dung thay đổi, lý do thay đổi, thời gian, vị trí thay đổi.

d) Phối hợp với các nhà cung cấp dịch vụ thuê máy chủ xây dựng phương án phục hồi trang/cổng thông tin điện tử, trong đó chú ý ít nhất mỗi tháng thực hiện việc sao lưu toàn bộ nội dung trang/cổng thông tin điện tử 01 lần bao gồm mã nguồn, cơ sở dữ liệu, dữ liệu phi cấu trúc để bảo đảm khi có sự cố có thể khắc phục trong thời gian ngắn nhất.

Điều 12. Kiểm tra, khắc phục sự cố an toàn thông tin

1. Cơ quan, đơn vị chủ quản hệ thống thông tin có trách nhiệm phối hợp với các cơ quan, đơn vị chuyên trách về công nghệ thông tin, an toàn thông tin của Bộ:

a) Rà soát, đánh giá và xác định các sự cố an toàn thông tin, các rủi ro an toàn thông tin có thể xảy ra với từng thành phần hệ thống thông tin trong phạm vi quản lý của mình. Trên cơ sở đó, xây dựng và phê duyệt các phương án ứng cứu, xử lý sự cố phù hợp với các rủi ro an toàn thông tin có thể xảy ra.

b) Chuẩn bị sẵn sàng các biện pháp, phương tiện kỹ thuật để phục vụ cho triển khai các phương án ứng cứu đã được xây dựng.

c) Xây dựng và ban hành các hướng dẫn, quy trình xử lý sự cố an toàn thông tin đối với từng đối tượng người sử dụng cụ thể trong hệ thống thông tin theo hướng dẫn của Trung tâm ứng cứu khẩn cấp máy tính Việt Nam.

d) Thông báo công khai các phương án liên lạc với bộ phận xử lý sự cố cho toàn bộ cá nhân liên quan hệ thống thông tin đang quản lý.

đ) Thường xuyên kiểm tra, rà soát tính sẵn sàng của các phương án ứng cứu sự cố; thực hiện đúng các hướng dẫn, quy trình xử lý sự cố an toàn thông tin.

2. Khi có sự cố hoặc nguy cơ mất an toàn thông tin, thủ trưởng cơ quan, đơn vị thực hiện:

a) Chỉ đạo xác định nguyên nhân sự cố, có biện pháp khắc phục kịp thời, hạn chế thiệt hại.

b) Trường hợp gặp sự cố nghiêm trọng ở mức độ cao, khẩn cấp (hệ thống bị gián đoạn dịch vụ; dữ liệu tuyệt mật hoặc bí mật nhà nước có khả năng bị tiết lộ; dữ liệu quan trọng của hệ thống không bảo đảm tính toàn vẹn và không có khả năng khôi phục được; hệ thống bị mất quyền điều khiển) hoặc chủ quản hệ thống không đủ khả năng tự kiểm soát, xử lý được sự cố thì phải phối hợp chặt chẽ với Trung tâm Thông tin, Trung tâm ứng cứu khẩn cấp máy tính Việt Nam, cung cấp đầy đủ thông tin sự cố để được hướng dẫn, hỗ trợ cụ thể.

c) Chuẩn bị tài liệu báo cáo sự cố, gồm các nội dung sau:

- Tên, địa chỉ Đơn vị vận hành hệ thống thông tin; chủ quản hệ thống thông tin; hệ thống thông tin bị sự cố; thời điểm phát hiện sự cố;

- Đầu mối liên lạc về sự cố của đơn vị vận hành hệ thống bị sự cố: Tên, chức vụ, điện thoại, thư điện tử;

- Mô tả về sự cố: Loại sự cố, hiện tượng, đánh giá sơ bộ mức độ nguy hại, mức độ lây lan, tác động của sự cố đến hoạt động bình thường của tổ chức;

- Đơn vị cung cấp dịch vụ hạ tầng kỹ thuật;

- Liệt kê các biện pháp đã triển khai hoặc dự kiến triển khai để xử lý khắc phục sự cố;

- Các tổ chức, doanh nghiệp đang hỗ trợ ứng cứu, xử lý và kết quả xử lý sự cố tính đến thời điểm báo cáo;

- Kết quả ứng cứu sự cố ban đầu;

- Kiến nghị đề xuất hướng ứng cứu xử lý sự cố (nếu có);

- Bản cập nhật mới nhất của tài liệu mô tả các thành phần hệ thống thông tin, bao gồm: các vùng mạng chức năng; hệ thống thiết bị mạng, thiết bị bảo mật; hệ thống máy chủ hệ thống; hệ thống máy chủ ứng dụng; dịch vụ và các thành phần khác trong hệ thống thông tin (trong trường hợp sự cố có khả năng xảy ra trên diện rộng hoặc gây ra các ảnh hưởng dây chuyền, làm tổn hại cho các hệ thống thông tin quan trọng khác).

3. Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam chủ trì, phối hợp với Trung tâm Thông tin, chủ quản hệ thống thông tin giám sát liên tục diễn biến sự cố (ở mức độ cao, khẩn cấp) và thông báo, cập nhật đến bên liên quan; tiến hành phân tích sự cố và khắc phục sự cố, gỡ bỏ phần mềm độc hại.

Điều 13. Quản lý an toàn thông tin

1. Cơ quan, đơn vị phải thành lập hoặc chỉ định nhân sự/bộ phận chuyên trách về công nghệ thông tin (hoặc lựa chọn đối tác có đủ năng lực quản lý an toàn thông tin) đảm nhiệm:

a) Triển khai công tác giám sát, kiểm tra việc bảo đảm an toàn thông tin tại cơ quan, đơn vị và đánh giá rủi ro an toàn thông tin.

b) Làm đầu mối liên hệ với các cơ quan, đơn vị chuyên trách về công nghệ thông tin, an toàn thông tin của Bộ và các tổ chức, cá nhân trong lĩnh vực an toàn thông tin.

c) Xây dựng hoặc chủ trì việc áp dụng các chính sách, quy trình quản lý an toàn thông tin, bao gồm:

- Chính sách quản lý kiểm soát truy nhập đi vào và từ hệ thống đi ra; sao lưu và dự phòng và khôi phục cấu hình hệ thống; quản lý, vận hành hoạt động bình thường của thiết bị tính toán, lưu trữ, thiết bị bảo vệ mạng, thiết bị lưu trữ di động, điện thoại thông minh và máy tính bảng;

- Quy trình kết nối thiết bị đầu cuối của người sử dụng vào hệ thống mạng; truy nhập và quản lý cấu hình hệ thống; cấu hình tối ưu, tăng cường bảo mật cho thiết bị mạng, bảo mật (cứng hóa) trong hệ thống và thực hiện quy trình trước khi đưa hệ thống vào vận hành khai thác;

- Nguyên tắc chung về phân loại và quản lý mức độ ưu tiên đối với các tài nguyên của hệ thống thông tin; kiểm tra, đánh giá các tài nguyên của hệ thống thông tin trước khi đưa vào sử dụng; sử dụng hệ thống thông tin an toàn và hiệu quả; xử lý an toàn các thiết bị, hệ thống thông tin trước khi thanh lý, ngừng sử dụng, chuyển giao, bảo trì sửa chữa.

2. Các cơ quan, đơn vị khi xây dựng quy chế bảo đảm an toàn thông tin nội bộ cần căn cứ Tiêu chuẩn TCVN 7562:2005 và các quy chuẩn, tiêu chuẩn kỹ thuật quản lý an toàn thông tin có liên quan để áp dụng cho phù hợp.

3. Cơ quan, đơn vị thực hiện đánh giá rủi ro an toàn thông tin mỗi khi có thay đổi về nhu cầu bảo đảm an toàn thông tin, thay đổi về hạ tầng kỹ thuật và phần mềm, ứng dụng hoặc khi xuất hiện nguy cơ mất an toàn thông tin như sau:

a) Lập danh mục các rủi ro (các mối đe dọa, các điểm yếu, các hậu quả) có thể xảy ra đối với thông tin, dữ liệu và hệ thống thông tin quan trọng của mình; xác định phạm vi và giới hạn cho quản lý rủi ro an toàn thông tin; chỉ định bộ phận chuyên trách về công nghệ thông tin quản lý và thực hiện đánh giá rủi ro.

b) Phân tích rủi ro an toàn thông tin, đánh giá hậu quả, thực hiện xử lý rủi ro.

4. Cá nhân phải được bộ phận chuyên trách về công nghệ thông tin hướng dẫn, hỗ trợ, cung cấp các tài liệu, công cụ cần thiết để thực hiện trách nhiệm bảo đảm an toàn thông tin theo quy định.

Chương III

TỔ CHỨC THỰC HIỆN

Điều 14. Trách nhiệm của thủ trưởng cơ quan, đơn vị

1. Chỉ đạo, bảo đảm việc tuân thủ các quy định tại Quy chế này trong phạm vi tổ chức, quyền hạn của mình và thực hiện báo cáo việc thực hiện Quy chế theo yêu cầu của Trung tâm Thông tin.

2. Căn cứ Quy chế này và nhu cầu thực tế của cơ quan, đơn vị, xây dựng hoặc rà soát sửa đổi phương án quản lý an toàn thông tin đang áp dụng cho phù hợp.

3. Tổ chức kiểm tra, đánh giá định kỳ hằng năm về an toàn thông tin đối với các hệ thống thông tin đang vận hành, gửi kết quả về Trung tâm Thông tin để tổng hợp, báo cáo Lãnh đạo Bộ.

4. Tuyên truyền, phổ biến nội dung Quy chế này tới từng cá nhân thuộc cơ quan, đơn vị; nâng cao nhận thức cho các cá nhân về các nguy cơ mất an toàn thông tin.

5. Tạo điều kiện để bồi dưỡng, đào tạo, tăng cường năng lực cho bộ phận chuyên trách về công nghệ thông tin và cá nhân làm công tác an toàn thông tin.

6. Phối hợp, cung cấp thông tin và tạo điều kiện cho Trung tâm Thông tin, Cục An toàn thông tin, Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam triển khai công tác kiểm tra khắc phục sự cố xảy ra một cách kịp thời, nhanh chóng và đạt hiệu quả.

Điều 15. Trách nhiệm của cá nhân

1. Cá nhân phụ trách an toàn thông tin có trách nhiệm:

a) Tham mưu cho thủ trưởng cơ quan, đơn vị ban hành các quy định, quy trình nội bộ và chịu trách nhiệm triển khai các giải pháp kỹ thuật bảo đảm an toàn thông tin tại cơ quan, đơn vị theo Quy chế này.

b) Thực hiện việc giám sát, đánh giá, báo cáo thủ trưởng cơ quan, đơn vị các rủi ro mất an toàn thông tin và mức độ nghiêm trọng của các rủi ro đó.

c) Phối hợp với các cá nhân, đơn vị có liên quan trong việc kiểm tra, phát hiện và khắc phục các sự cố mất an toàn thông tin.

2. Cá nhân là người sử dụng có trách nhiệm:

a) Chấp hành nghiêm túc các quy định về an toàn thông tin của cơ quan, đơn vị, các quy định tại Quy chế này và các quy định khác của pháp luật về an toàn thông tin; nâng cao ý thức cảnh giác và trách nhiệm bảo đảm an toàn thông tin trong phạm vi trách nhiệm và quyền hạn được giao.

b) Tự quản lý, bảo quản thiết bị mà mình được giao sử dụng. Khi phát hiện sự cố phải báo ngay với cấp trên và bộ phận chuyên trách về công nghệ thông tin để kịp thời ngăn chặn, xử lý.

c) Tích cực tham gia các chương trình đào tạo, hội nghị về an toàn thông tin do Bộ Thông tin và Truyền thông hoặc các đơn vị chuyên môn tổ chức.

Điều 16. Trách nhiệm của Trung tâm Thông tin

1. Là đơn vị chuyên trách về công nghệ thông tin của Bộ, giúp Lãnh đạo Bộ thực hiện quản lý an toàn thông tin trong hoạt động ứng dụng công nghệ thông tin của Bộ Thông tin và Truyền thông theo quy định của Quy chế này và các quy định khác của pháp luật có liên quan.

2. Tổ chức phổ biến, triển khai và hướng dẫn, kiểm tra việc thực hiện Quy chế này trong phạm vi Bộ Thông tin và Truyền thông; định kỳ báo cáo Lãnh đạo Bộ về thông tin, tình hình thực hiện.

3. Chủ trì triển khai các giải pháp bảo đảm an toàn thông tin đối với hạ tầng kỹ thuật, hệ thống thông tin và cơ sở dữ liệu được triển khai tại cơ quan Bộ.

4. Tổ chức truyền thông, nâng cao nhận thức về gắn kết bảo đảm an toàn thông tin với triển khai ứng dụng công nghệ thông tin, phát triển Bộ Thông tin và Truyền thông điện tử.

5. Tùy theo mức độ sự cố, phối hợp với Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam và các cơ quan chức năng ứng cứu các sự cố mất an toàn thông tin.

Điều 17. Trách nhiệm của Cục An toàn thông tin

1. Đánh giá về mức độ an toàn, an ninh thông tin đối với hệ thống thông tin đầu tư mới của các cơ quan, đơn vị thuộc Bộ trong quá trình xây dựng và trước khi nghiệm thu sản phẩm, chính thức đưa vào sử dụng.

2. Chủ trì, phối hợp với Trung tâm Thông tin xây dựng các tiêu chí và quy trình kỹ thuật kiểm tra công tác an toàn thông tin trong Bộ Thông tin và Truyền thông.

3. Xây dựng và chủ trì triển khai các quy định gắn kết bảo đảm an toàn thông tin với triển khai ứng dụng công nghệ thông tin, phát triển Bộ Thông tin và Truyền thông điện tử.

4. Phối hợp kiểm tra đánh giá công tác bảo đảm an toàn thông tin trong các cơ quan, đơn vị của Bộ Thông tin và Truyền thông; thực hiện đánh giá an toàn thông tin cho các hệ thống thông tin trong cơ quan, đơn vị.

Điều 18. Trách nhiệm của Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam

1. Là đơn vị đầu mối tiếp nhận và điều phối ứng cứu sự cố máy tính; chủ trì, hướng dẫn công tác phòng ngừa và ứng cứu sự cố an toàn thông tin; hỗ trợ các cơ quan, đơn vị giải quyết sự cố khi có yêu cầu.

2. Tổ chức các hoạt động diễn tập ứng cứu sự cố máy tính theo chức năng, nhiệm vụ được giao.

3. Thực hiện kiểm tra, đánh giá định kỳ hàng năm đối với các hệ thống thông tin, cơ sở dữ liệu đang vận hành trong Bộ; kiểm tra, đánh giá an toàn thông tin cho các thiết bị kỹ thuật theo phân công của Lãnh đạo Bộ hoặc theo đề nghị của cơ quan, đơn vị liên quan.

4. Phối hợp với Trung tâm Thông tin trong các hoạt động giám sát an toàn hệ thống thông tin của Bộ, hoạt động ứng cứu, xử lý sự cố, phòng chống tấn công mạng; thực hiện giám sát an toàn thông tin cho hệ thống mạng của Bộ.

Điều 19. Đào tạo về an toàn thông tin

1. Hằng năm Trung tâm Thông tin phối hợp với Cục An toàn thông tin, Trung tâm ứng cứu khẩn cấp máy tính Việt Nam tổ chức đào tạo, tập huấn về an toàn thông tin và tăng cường năng lực ứng cứu, xử lý sự cố an toàn thông tin cho các cán bộ, công chức, viên chức, và người lao động trong Bộ Thông tin và Truyền thông.

2. Nguồn kinh phí đào tạo từ nguồn ngân sách nhà nước.

Điều 20. Khen thưởng, xử lý vi phạm

1. Trung tâm Thông tin tiến hành kiểm tra, đánh giá, xếp hạng an toàn thông tin, trên cơ sở đó tham mưu, đề xuất Lãnh đạo Bộ khen thưởng cơ quan, đơn vị và cá nhân thực hiện tốt Quy chế này hằng năm theo quy định.

2. Cơ quan, đơn vị hoặc cá nhân vi phạm Quy chế này, tùy theo tính chất, mức độ vi phạm có thể bị xử lý hành chính, xử lý kỷ luật hoặc các hình thức xử lý khác theo quy định hiện hành; nếu vi phạm gây thiệt hại lớn đến tài nguyên thông tin của Bộ thì phải chịu trách nhiệm về những thiệt hại gây ra theo quy định của pháp luật.

3. Việc giải quyết khiếu nại, tố cáo và tranh chấp được thực hiện theo quy định liên quan của pháp luật.

Điều 21. Điều khoản thi hành

Trong quá trình thực hiện Quy chế này, nếu có vướng mắc, cơ quan, đơn vị, cá nhân phản ánh về Trung tâm Thông tin để tổng hợp, báo cáo Lãnh đạo Bộ Thông tin và Truyền thông xem xét sửa đổi, bổ sung Quy chế cho phù hợp./.