Quyết định 36/2010/QĐ-UBND Ban hành Quy chế đảm bảo an toàn, an ninh thông tin trong hoạt động ứng dụng công nghệ thông tin của các cơ quan quản lý hành chính nhà nước tỉnh Khánh Hòa

Số hiệu 36/2010/QĐ-UBND

Loại văn bản Quyết định

Tình trạng Hết hiệu lực

Ngày ban hành 12-11-2010

Ngày công báo 22-11-2011

Ngày hiệu lực 22-11-2010

UBND TỈNH Khánh Hòa

Số: 36/2010/QĐ-UBND

CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM

Độc lập - Tự do - Hạnh phúc

Hà Nội, ngày 12 tháng 11 năm 2010

Quyết định

Ban hành Quy chế đảm bảo an toàn, an ninh thông tin trong hoạt động ứng dụng công nghệ thông tin của các cơ quan quản lý hành chính nhà nước tỉnh Khánh Hòa

ỦY BAN NHÂN DÂN TỈNH KHÁNH HÒA

Căn cứ Luật Tổ chức Hội đồng nhân dân và Ủy ban nhân dân ngày 26 tháng 11 năm 2003;

Căn cứ Luật Ban hành văn bản quy phạm pháp luật của Hội đồng nhân dân, Ủy ban nhân dân ngày 03 tháng 12 năm 2004;

Căn cứ Luật Công nghệ thông tin số 67/2006/QH11 ngày 29 tháng 6 năm 2006;

Căn cứ Nghị định số 63/2007/NĐ-CP ngày 10 tháng 4 năm 2007 của Chính phủ Quy định xử phạt vi phạm hành chính trong lĩnh vực công nghệ thông tin;

Căn cứ Nghị định số 64/2007/NĐ-CP ngày 10 tháng 4 năm 2007 của Chính phủ về ứng dụng công nghệ thông tin trong hoạt động của cơ quan nhà nước;

Căn cứ Chỉ thị số 03/2007/CT-BBCVT ngày 23 tháng 02 năm 2007 của Bộ Bưu chính, Viễn thông về việc tăng cường đảm bảo an ninh thông tin trên mạng Internet;

Căn cứ Quyết định số 20/2008/QĐ-BTTTT ngày 09 tháng 4 năm 2008 của Bộ Thông tin và Truyền thông ban hành Danh mục tiêu chuẩn về ứng dụng công nghệ thông tin trong cơ quan nhà nước;

Theo đề nghị của Giám đốc Sở Thông tin và Truyền thông tại Tờ trình số 631/TTr-STTTT ngày 02 tháng 8 năm 2010,

QUYẾT ĐỊNH:

Điều 1.Ban hành kèm theo Quyết định này Quy chế đảm bảo an toàn, an ninh thông tin trong hoạt động ứng dụng công nghệ thông tin của các cơ quan quản lý hành chính nhà nước tỉnh Khánh Hòa.

Điều 2.Quyết định này có hiệu lực sau 10 (mười) ngày kể từ ngày ký.

Điều 3. Chánh Văn phòng Ủy ban nhân dân tỉnh; Giám đốc các sở, ban ngành; Chủ tịch Ủy ban nhân dân các huyện, thị xã Cam Ranh, thành phố Nha Trang và các tổ chức, cá nhân có liên quan chịu trách nhiệm thi hành Quyết định này./.

QUY CHẾ

Đảm bảo an toàn, an ninh thông tin trong hoạt động ứng dụng

công nghệ thông tin của các cơ quan quản lý hành chính

nhà nước tỉnh Khánh Hòa

(Ban hành kèm theo Quyết định số 36/2010/QĐ-UBND

ngày 12 tháng 11 năm 2010 của Ủy ban nhân dân tỉnh Khánh Hòa)

Chương I

QUY ĐỊNH CHUNG

Điều 1. Phạm vi điều chỉnh

Quy chế này quy định các nội dung của công tác đảm bảo an toàn, an ninh thông tin trong hoạt động ứng dụng công nghệ thông tin của các cơ quan quản lý hành chính nhà nước thuộc tỉnh Khánh Hòa, bao gồm: công tác xây dựng các quy định quản lý đảm bảo an toàn, an ninh thông tin; việc áp dụng các biện pháp quản lý kỹ thuật, quản lý vận hành đảm bảo an toàn, an ninh thông tin đối với hệ thống thông tin.

Điều 2. Đối tượng áp dụng

1. Quy chế này được áp dụng đối với các cơ quan quản lý hành chính nhà nước thuộc tỉnh, bao gồm: các sở, ban, ngành trực thuộc Ủy ban nhân dân tỉnh và ủy ban nhân dân các huyện, thị xã, thành phố thuộc tỉnh.

2. Cán bộ, công chức đang làm việc trong các cơ quan nêu tại Khoản 1 điều này và những tổ chức, cá nhân có liên quan áp dụng Quy chế này trong việc vận hành, khai thác và sử dụng hệ thống thông tin tại các cơ quan, đơn vị.

Điều 3. Giải thích từ ngữ

Trong Quy chế này, các từ ngữ dưới đây được hiểu như sau:

1. Tính tin cậy: Đảm bảo thông tin chỉ có thể được truy cập bởi những người được cấp quyền sử dụng.

2. Tính toàn vẹn: Bảo vệ tính chính xác và tính đầy đủ của thông tin và các phương pháp xử lý thông tin.

3. Tính sẵn sàng: Đảm bảo những người được cấp quyền có thể truy cập thông tin và các tài sản liên quan ngay khi có nhu cầu.

4. TCVN 7562: 2005: Tiêu chuẩn Việt Nam về mã thực hành quản lý an toàn thông tin.

5. ISO 17799:2005: Tiêu chuẩn Quốc tế cung cấp các hướng dẫn quản lý an toàn bảo mật thông tin dựa trên quy phạm công nghiệp tốt nhất.

6. ISO 27001:2005: Tiêu chuẩn Quốc tế về quản lý bảo mật thông tin do Tổ chức Chất lượng Quốc tế và Hội đồng Điện tử Quốc tế xuất bản vào tháng 10 năm 2005.

Chương II

QUY ĐỊNH ĐẢM BẢO AN TOÀN, AN NINH THÔNG TIN

Điều 4.Các biện pháp quản lý vận hành trong công tác đảm bảo an toàn, an ninh thông tin

1. Các cơ quan, đơn vị phải trang bị đầy đủ các kiến thức bảo mật cơ bản cho cán bộ công chức trước khi cho phép truy cập và sử dụng hệ thống thông tin.

2. Các cơ quan, đơn vị phải bố trí cán bộ chuyên trách về an toàn, an ninh thông tin (sau đây gọi tắt là cán bộ chuyên trách). Cán bộ chuyên trách được đảm bảo điều kiện học tập, tiếp thu công nghệ, kiến thức an toàn bảo mật thông tin trước khi tiến hành các hoạt động quản lý hay kỹ thuật nghiệp vụ.

3. Cán bộ chuyên trách phải thường xuyên cập nhật cấu hình chuẩn cho các thành phần của hệ thống thông tin, thiết lập cấu hình một cách chặt chẽ nhất cho các sản phẩm an toàn thông tin nhưng vẫn đảm bảo duy trì hoạt động thường xuyên của hệ thống thông tin.

4. Cán bộ chuyên trách phải tổ chức cấu hình hệ thống thông tin chỉ cung cấp những chức năng thiết yếu nhất, đồng thời xác định các chức năng, cổng giao tiếp mạng, giao thức và dịch vụ không cần thiết để cấm hoặc hạn chế sử dụng.

5. Hệ thống thông tin tại các cơ quan, đơn vị phải có cơ chế sao lưu thông tin ở mức người dùng và mức hệ thống (bao gồm: sao lưu trạng thái hệ thống thông tin và lưu trữ thông tin sao lưu tại nơi an toàn), đồng thời thông tin sao lưu phải được tổ chức kiểm tra thường xuyên để đảm bảo tính sẵn sàng và toàn vẹn thông tin.

6. Hệ thống thông tin tại các cơ quan, đơn vị phải được triển khai cơ chế chống virus, thư rác cho những hệ thống xung yếu hiện hữu (firewall, mail server,…) và tại các máy trạm, máy chủ trong mạng; tổ chức sử dụng cơ chế chống virus, thư rác để phát hiện và loại trừ những đoạn mã độc hại (virus, trojan, worms…) có khả năng khai thác các lỗ hổng của hệ thống thông tin, được truyền tải bởi thư điện tử, tập tin đính kèm từ Internet, thiết bị lưu trữ tháo lắp; đồng thời thường xuyên cập nhật cơ chế chống virus, thư rác phù hợp với quy trình và chính sách quản lý cấu hình hệ thống thông tin của cơ quan, đơn vị.

7. Cán bộ chuyên trách phải thường xuyên thực hiện đánh giá, báo cáo các rủi ro và mức độ nghiêm trọng của các rủi ro đó. Các rủi ro có thể xảy ra do nguy cơ tự nhiên, truy cập trái phép, sử dụng trái phép dẫn đến làm mất, thay đổi hoặc phá hủy thông tin và hệ thống thông tin.

8. Đối với cán bộ, công chức hoặc nhân viên đã nghỉ việc, các cơ quan, đơn vị phải thực hiện hủy quyền truy cập hệ thống thông tin và thu hồi các tài sản liên quan tới hệ thống thông tin (như: khóa, thẻ nhận dạng,…) nhưng vẫn đảm bảo khả năng truy cập vào các hồ sơ được tạo ra bởi cán bộ, công chức hoặc nhân viên đó.

9. Các cơ quan, đơn vị quan tâm phân bổ đầu tư cần thiết để đảm bảo và tăng cường an toàn, an ninh thông tin trong hoạt động ứng dụng công nghệ thông tin của đơn vị.

Điều 5.Các biện pháp quản lý kỹ thuật cho công tác đảm bảo an toàn, an ninh thông tin

1. Các cơ quan, đơn vị phải tổ chức quản lý các tài khoản của hệ thống thông tin, bao gồm: Tạo mới, kích hoạt, sửa đổi, vô hiệu hóa và loại bỏ các tài khoản, đồng thời tổ chức kiểm tra các tài khoản của hệ thống thông tin ít nhất 01 lần/01 năm và triển khai các công cụ tự động để hỗ trợ việc quản lý các tài khoản của hệ thống thông tin.

2. Hệ thống thông tin tại các cơ quan, đơn vị phải có cơ chế giới hạn một số hữu hạn lần đăng nhập sai liên tiếp. Nếu liên tục đăng nhập sai vượt quá số lần quy định thì hệ thống sẽ tự động khóa hoặc cô lập tài khoản trong một khoảng thời gian nhất định trước khi tiếp tục cho đăng nhập.

3. Cán bộ chuyên trách có trách nhiệm tổ chức theo dõi và kiểm soát tất cả các phương pháp truy cập từ xa (quay số, Internet…) tới hệ thống thông tin, bao gồm cả sự truy cập có chức năng đặc quyền. Hệ thống thông tin tại các cơ quan, đơn vị phải có cơ chế kiểm tra, cho phép tương ứng với mỗi phương pháp truy cập từ xa và cơ chế tự động giám sát, điều khiển các truy cập từ xa.

4. Cán bộ chuyên trách phải thiết lập phương pháp hạn chế truy cập mạng không dây, giám sát và điều khiển truy cập không dây, tổ chức sử dụng chứng thực và mã hóa để bảo vệ truy cập không dây tới hệ thống thông tin.

5. Hệ thống thông tin tại các cơ quan, đơn vị phải ghi nhận được các sự kiện về quá trình đăng nhập hệ thống, các thao tác cấu hình hệ thống, quá trình truy xuất hệ thống, đồng thời ghi nhận đầy đủ các thông tin liên quan vào các bản ghi nhật ký nhằm xác định những sự kiện nào đã xảy ra, nguồn gốc và các kết quả của sự kiện đó để có cơ chế bảo vệ và lưu giữ nhật ký trong một khoảng thời gian nhất định.

6. Cán bộ chuyên trách phải tổ chức quản lý định danh đối với tất cả người dùng tham gia sử dụng hệ thống thông tin.

7. Hệ thống thông tin tại các cơ quan, đơn vị phải có cơ chế ngăn chặn hoặc hạn chế các sự cố gây ra do tấn công từ chối dịch vụ. Cán bộ chuyên trách sử dụng các thiết bị đặt tại biên của mạng để lọc các gói tin nhằm bảo vệ các thiết bị bên trong, tránh bị ảnh hưởng trực tiếp bởi tấn công từ chối dịch vụ.

Điều 6.Xây dựng quy chế nội bộ đảm bảo an toàn, an ninh thông tin

1. Các cơ quan quản lý hành chính nhà nước phải ban hành quy chế nội bộ, đảm bảo quy định rõ các vấn đề sau:

a) Mục tiêu và phương hướng thực hiện công tác đảm bảo an toàn, an ninh cho hệ thống thông tin;

b) Nguyên tắc phân loại và quản lý mức độ ưu tiên đối với các tài nguyên của hệ thống thông tin (phần mềm, dữ liệu, trang thiết bị);

c) Quản lý phân quyền và trách nhiệm đối với từng cá nhân khi tham gia sử dụng hệ thống thông tin;

d) Quản lý và điều hành hệ thống máy chủ, thiết bị mạng, thiết bị bảo vệ mạng một cách an toàn;

đ) Kiểm tra, rà soát và khắc phục sự cố mất an toàn, an ninh thông tin của hệ thống bằng cách sử dụng các biện pháp trong Điều 4 và Điều 5 của Quy chế này;

e) Nguyên tắc chung về sử dụng an toàn và hiệu quả đối với các cá nhân tham gia sử dụng hệ thống thông tin;

g) Báo cáo tổng hợp tình hình an toàn, an ninh thông tin của hệ thống theo định kỳ;

h) Các biện pháp tổ chức thực hiện.

2. Các cơ quan, đơn vị xây dựng quy chế an toàn, an ninh thông tin cần căn cứ các tiêu chuẩn kỹ thuật quản lý an toàn trong bộ tiêu chuẩn TCVN 7562:2005 và ISO/IEC 17799:2005 tại Phụ lục I để áp dụng cho cơ quan, đơn vị mình.

Điều 7.Xây dựng và áp dụng quy trình đảm bảo an toàn, an ninh thông tin

1. Các cơ quan quản lý hành chính nhà nước phải xây dựng và áp dụng quy trình đảm bảo an toàn, an ninh thông tin cho hệ thống thông tin của mình nhằm giảm thiểu các nguy cơ gây sự cố, tạo điều kiện cho việc khắc phục và truy vết trong trường hợp có sự cố xảy ra.

Nội dung của quy trình có thể chia làm các bước cơ bản như:

a) Lập kế hoạch bảo vệ an toàn, an ninh thông tin cho hệ thống thông tin;

b) Xây dựng hệ thống bảo vệ an toàn, an ninh thông tin;

c) Quản lý và vận hành hệ thống bảo vệ an toàn, an ninh thông tin;

d) Kiểm tra đánh giá hoạt động hệ thống bảo vệ an toàn, an ninh thông tin;

đ) Bảo trì và nâng cấp hệ thống bảo vệ an toàn, an ninh thông tin.

2. Các cơ quan, đơn vị tham khảo các bước cơ bản để xây dựng khung quy trình đảm bảo an toàn, an ninh thông tin cho hệ thống thông tin tại Phụ lục II và tiêu chuẩn Quốc tế ISO 27001:2005.

Chương III

TRÁCH NHIỆM ĐẢM BẢO AN TOÀN, AN NINH THÔNG TIN

Điều 8.Trách nhiệm của các cơ quan quản lý hành chính nhà nước

1. Thủ trưởng các cơ quan, đơn vị chịu trách nhiệm toàn diện trước Ủy ban nhân dân tỉnh trong công tác đảm bảo an toàn, an ninh cho hệ thống thông tin của đơn vị mình, đồng thời thực hiện nghiêm túc các quy định tại Quy chế này.

2. Khi có sự cố hoặc nguy cơ mất an toàn, an ninh thông tin, kịp thời áp dụng mọi biện pháp để khắc phục và hạn chế thiệt hại, ưu tiên sử dụng lực lượng kỹ thuật an toàn thông tin của đơn vị, lập biên bản, báo cáo bằng văn bản cho cơ quan cấp trên quản lý trực tiếp và Sở Thông tin và Truyền thông. Trường hợp có sự cố nghiêm trọng vượt quá khả năng khắc phục của đơn vị, phải báo cáo ngay cho cơ quan cấp trên quản lý trực tiếp và Sở Thông tin và Truyền thông để được hướng dẫn, hỗ trợ.

3. Tạo điều kiện thuận lợi cho các cơ quan chức năng tham gia khắc phục sự cố và thực hiện đúng theo hướng dẫn.

4. Phối hợp với đoàn kiểm tra để triển khai công tác kiểm tra, khắc phục sự cố diễn ra nhanh chóng và đạt hiệu quả, đồng thời cung cấp đầy đủ các thông tin khi đoàn kiểm tra yêu cầu xuất trình.

5. Báo cáo tình hình và kết quả thực hiện công tác đảm bảo an toàn, an ninh thông tin tại cơ quan, đơn vị và gửi về Sở Thông tin và Truyền thông định kỳ mỗi năm 01 lần vào cuối quý IV.

Điều 9.Trách nhiệm của cán bộ, công chức trong các cơ quan quản lý hành chính nhà nước

1. Trách nhiệm của cán bộ chuyên trách tại các cơ quan, đơn vị:

a) Chịu trách nhiệm triển khai các biện pháp quản lý vận hành, quản lý kỹ thuật và tham mưu xây dựng các quy định đảm bảo an toàn, an ninh thông tin cho hệ thống thông tin tại đơn vị mình theo các quy định của Quy chế này.

b) Phối hợp với các cá nhân, đơn vị liên quan trong việc kiểm tra, phát hiện và khắc phục sự cố mất an toàn, an ninh thông tin.

c) Chịu trách nhiệm tham mưu chuyên môn và vận hành an toàn hệ thống thông tin của đơn vị theo nhiệm vụ được Thủ trưởng đơn vị phân công.

2. Trách nhiệm của cán bộ công chức trong các cơ quan, đơn vị:

a) Nghiêm chỉnh thi hành các quy chế nội bộ, quy trình về an toàn, an ninh thông tin của cơ quan, đơn vị cũng như các quy định khác của pháp luật, nâng cao ý thức cảnh giác, trách nhiệm đảm bảo an toàn, an ninh thông tin tại đơn vị.

b) Khi phát hiện sự cố phải báo cáo ngay với cấp trên và bộ phận chuyên trách để kịp thời ngăn chặn, xử lý.

c) Hưởng ứng, tham gia các chương trình đào tạo, hội nghị về an toàn, an ninh thông tin do Sở Thông tin và Truyền thông tổ chức.

Điều 10.Trách nhiệm của Sở Thông tin và Truyền thông

1. Tham mưu Ủy ban nhân dân tỉnh về công tác đảm bảo an toàn, an ninh thông tin trên địa bàn tỉnh và chịu trách nhiệm trước Ủy ban nhân dân tỉnh trong việc đảm bảo an toàn, an ninh thông tin cho các hệ thống thông tin cấp tỉnh.

2. Thành lập đoàn kiểm tra an toàn, an ninh thông tin và tiến hành kiểm tra, xử phạt theo định kỳ hoặc kiểm tra đột xuất khi phát hiện có các dấu hiệu, hành vi vi phạm an toàn, an ninh thông tin.

3. Xây dựng và triển khai các chương trình đào tạo, hội nghị tuyên truyền đảm bảo an toàn, an ninh thông tin trong công tác quản lý nhà nước trên địa bàn tỉnh.

4. Hướng dẫn các cơ quan, đơn vị thực hiện các báo cáo về sự cố mất an toàn, an ninh thông tin và kết quả thực hiện công tác đảm bảo an toàn, an ninh thông tin tại các cơ quan, đơn vị.

5. Tùy theo mức độ sự cố, phối hợp Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam (VNCERT) và các đơn vị có liên quan hướng dẫn xử lý, ứng cứu các sự cố mất an toàn, an ninh thông tin.

6. Hướng dẫn, giám sát công tác xây dựng và áp dụng quy định về quản lý an toàn, an ninh thông tin và quy trình đảm bảo an toàn, an ninh thông tin đối với hệ thống thông tin tại các cơ quan quản lý hành chính nhà nước trên địa bàn tỉnh.

Chương IV

KIỂM TRA CÔNG TÁC ĐẢM BẢO AN TOÀN, AN NINH THÔNG TIN

Điều 11.Kế hoạch kiểm tra hàng năm

1. Sở Thông tin và Truyền thông chủ trì, phối hợp với Văn phòng Ủy ban nhân dân tỉnh, Công an tỉnh và các đơn vị có liên quan tiến hành kiểm tra công tác đảm bảo an toàn, an ninh thông tin định kỳ hàng năm đối với các cơ quan quản lý hành chính nhà nước thuộc tỉnh.

2. Tiến hành kiểm tra đột xuất các cơ quan, đơn vị quản lý hành chính nhà nước khi có dấu hiệu vi phạm an toàn, an ninh thông tin trong hệ thống thông tin.

Điều 12.Quan hệ phối hợp và trách nhiệm của các cơ quan chức năng liên quan

1. Sở Thông tin và Truyền thông

a) Chịu trách nhiệm chính trong việc chủ trì, phối hợp với các cơ quan chức năng liên quan để thành lập đoàn kiểm tra công tác đảm bảo an toàn, an ninh thông tin, triển khai kiểm tra và báo cáo Ủy ban nhân dân tỉnh kết quả kiểm tra.

b) Tiến hành xử phạt theo thẩm quyền đối với các hành vi vi phạm an toàn, an ninh thông tin gây thiệt hại cho hệ thống thông tin của các cơ quan hành chính nhà nước trên địa bàn tỉnh;

c) Tuyên truyền công tác an toàn, an ninh thông tin tại các cơ quan hành chính trên địa bàn tỉnh.

2. Văn phòng Ủy ban nhân dân tỉnh

a) Cử bộ phận chuyên trách an toàn, an ninh thông tin phối hợp với Sở Thông tin và Truyền thông kiểm tra, đánh giá công tác đảm bảo an toàn, an ninh thông tin.

b) Phối hợp xây dựng các tiêu chí và quy trình kỹ thuật kiểm tra công tác đảm bảo an toàn, an ninh thông tin.

3. Trách nhiệm của Công an tỉnh

a) Phối hợp với Sở Thông tin và Truyền thông kiểm tra công tác đảm bảo an toàn, an ninh thông tin.

b) Điều tra và xử lý các trường hợp vi phạm các quy định về an toàn, an ninh thông tin theo thẩm quyền.

Chương V

TỔ CHỨC THỰC HIỆN

Điều 13.Khen thưởng, xử lý vi phạm

1. Hàng năm, Sở Thông tin và Truyền thông dựa trên các điều tra, báo cáo công tác an toàn, an ninh thông tin của các cơ quan, đơn vị để xác lập bảng xếp hạng an toàn, an ninh thông tin, trên cơ sở đó đề xuất Ủy ban nhân dân tỉnh xét khen thưởng các cá nhân, đơn vị theo quy định hiện hành.

2. Tổ chức, cá nhân có hành vi vi phạm Quy chế này thì tùy theo tính chất, mức độ vi phạm mà bị xử lý kỷ luật theo trách nhiệm, xử phạt hành chính hoặc bị truy cứu trách nhiệm hình sự. Nếu gây thiệt hại thì phải bồi thường theo quy định hiện hành của pháp luật.

Điều 14.Tổ chức thực hiện

Sở Thông tin và Truyền thông chủ trì, phối hợp với các sở, ban ngành, Ủy ban nhân dân các huyện, thị xã Cam Ranh, thành phố Nha Trang và các cơ quan có liên quan triển khai thực hiện Quy chế này.

Trong quá trình thực hiện, nếu có khó khăn, vướng mắc, các cơ quan, đơn vị kịp thời báo cáo về Sở Thông tin và Truyền thông để tổng hợp, trình Ủy ban nhân dân tỉnh xem xét, quyết định./.

TM. ỦY BAN NHÂN DÂN

KT. CHỦ TỊCH

PHÓ CHỦ TỊCH

(Đã ký)

Lê Xuân Thân

Tải văn bản đính kèm

trogiupluat.vn

Mục lục

trogiupluat.vn