UBND TỈNH PHÚ THỌ SỞ THÔNG TIN VÀ TRUYỀN THÔNG Số: /STTTT-CNTT V/v hướng dẫn xây dựng quy chế nội báo cáo cố, tình hình đảm bảo an tồn thơng tin mạng CỘNG HỒ XÃ HỘI CHỦ NGHĨA VIỆT NAM Độc lập - Tự - Hạnh phúc Phú Thọ, ngày tháng năm 2015 Kính gửi: - Văn phòng UBND tỉnh; - Các sở, ban, ngành đoàn thể tỉnh; - UBND huyện, thị xã, thành phố Thực Văn số 658/CTr-UBND ngày 27/2/2014 UBND tỉnh Phú Thọ Chương trình hành động thực Kế hoạch số 95-KH/TU Tỉnh ủy thực Chỉ thị số 28-CT/TW ngày 16/9/2013 Ban Bí thư Trung ương Đảng tăng cường cơng tác bảo đảm an tồn thơng tin mạng Sở Thơng tin Truyền Thông hướng dẫn xây dựng quy chế nội báo cáo cố, đánh giá tình hình đảm bảo an tồn thơng tin mạng, quan nhà nước (Chi tiết kèm phụ lục; mềm đăng tải website Sở Thông tin Truyền thơng địa http://stttt.phutho.gov.vn, chun mục An tồn thơng tin) Trong q trình triển khai đơn vị, gặp vướng mắc cần giải đáp đề nghị liên hệ: Phịng Quản Lý CNTT – Sở Thơng tin Truyền Thông (điện thoại: 02103.813.928; Mail: pcntt@phutho.gov.vn) Đề nghị quan, đơn vị quan tâm, tổ chức triển khai thực Nơi nhận: - Như trên; - GĐ Sở (b/c); - Các PGĐ Sở; - Bộ phận ATANTT; - Phịng CNTT; - Lưu: VT KT GIÁM ĐỐC PHĨ GIÁM ĐỐC (Đã ký) Nguyễn Hữu Việt Phụ lục CÁC BƯỚC CƠ BẢN ĐỂ XÂY DỰNG KHUNG QUY CHẾ NỘI BỘ ĐẢM BẢO AN TỒN THƠNG TIN MẠNG TRONG HOẠT ĐỘNG ỨNG DỤNG CƠNG NGHỆ THƠNG TIN (Kèm theo cơng văn số /STTTT-CNTT ngày /9/2015 Sở Thông tin Truyền thông) Bước 1: Lập Kế hoạch bảo vệ an tồn thơng tin mạng cho hệ thống thơng tin a Bố trí nhân đảm bảo cơng tác an tồn thông tin mạng b Xây dựng định hướng cho cơng tác đảm bảo an tồn thơng tin mạng, rõ: - Mục đích ngắn hạn, trung hạn dài hạn; - Phương hướng văn pháp quy, tiêu chuẩn cần tuân thủ tham khảo; - Ước lượng nhân lực kinh phí đầu tư c Lập Kế hoạch xây dựng hệ thống bảo vệ an tồn thơng tin mạng: - Xác định phân loại nguy gây cố an tồn thơng tin mạng - Rà soát lập danh sách đối tượng cần bảo vệ với mô tả đầy đủ về: Nhiệm vụ; Chức năng; Mức độ quan trọng đặc điểm đối tượng (phần mềm, phần cứng…) - Xây dựng phương án bảo đảm an toàn cho đối tượng danh sách cần bảo vệ: nguyên tắc quản lý, vận hành: giải pháp bảo vệ khắc phục cố… - Liên lạc hợp tác chặt chẽ với Sở Thông tin Truyền thông Phú Thọ, Công an tỉnh quan, tổ chức nghiên cứu cung cấp dịch vụ an toàn mạng; - Lập kế hoạch dự trù kinh phí đầu tư cho hệ thống bảo vệ Bước 2: Xây dựng hệ thống bảo vệ an tồn thơng tin mạng: - Tổ chức đội ngũ cán chuyên trách công nghệ thông tin, cán thực cơng tác đảm bảo an tồn thơng tin mạng đủ lực đảm bảo an tồn thơng tin mạng cho hệ thống thông tin; - Xây dựng hệ thống bảo vệ an tồn thơng tin mạng theo kế hoạch Bước 3: Quản lý vận hành hệ thống bảo vệ an tồn thơng tin mạng: - Vận hành quản lý chặt chẽ phần cứng, phần mềm theo quy định đặt ra; - Khi phát cố cần nhanh chóng xác định ngun nhân, tìm biện pháp khắc phục báo cáo cố cho quan chức năng; - Cài đặt đầy đủ, thường xuyên cập nhật phần mềm, vá lỗi theo hướng dẫn nhà cung cấp, thường xuyên thay đổi mật khẩu, sử dụng mật với độ an toàn cao Bước 4: Kiểm tra đánh giá hoạt động hệ thống an tồn thơng tin mạng: - Thường xun kiểm tra giám sát hoạt động hệ thống bảo vệ an tồn thơng tin mạng nói riêng tồn hệ thống thơng tin mạng nói chung - Báo cáo tổng kết tình hình theo định kỳ đột xuất Bước 5: Bảo trì nâng cấp hệ thống bảo vệ an tồn thơng tin mạng: Thường xun kiểm tra, bảo trì hệ thống bảo vệ an tồn thơng tin mạng Cần nhanh chóng mở rộng, nâng cấp thay cần thiết Phụ lục KHUNG QUY CHẾ NỘI BỘ ĐẢM BẢO AN TỒN THƠNG TIN MẠNG TRONG HOẠT ĐỘNG ỨNG DỤNG CÔNG NGHỆ THÔNG TIN (Kèm theo công văn số /STTTT-CNTT ngày /9/2014 Sở Thông tin Truyền thông) Mục tiêu, phạm vi, đối tượng áp dụng Quy định rõ mục tiêu, phạm vi, đối tượng áp dụng quy chế nội bộ: Phịng, ban chun mơn đơn vị trực thuộc Nội dung bảo đảm an tồn thơng tin mạng - Nêu rõ biện pháp quản lý kỹ thuật cho cơng tác an tồn thơng tin mạng - Nêu rõ biện pháp quản lý vận hành cơng tác an tồn thơng tin mạng Quy định cụ thể quyền trách nhiệm đối tượng: - Quyền trách nhiệm lãnh đạo đơn vị - Quyền trách nhiệm lãnh đạo cấp phòng - Quyền trách nhiệm cán chuyên trách CNTT - Quyền trách nhiệm cán thực cơng tác đảm bảo an tồn thơng tin mạng - Quyền trách nhiệm người sử dụng Quy định cấp phát, thu hồi, cập nhật quản lý tài khoản truy cập vào hệ thống thông tin - Nêu rõ quy định cấp phát, thu hồi, cập nhật quản lý tài khoản truy cập vào hệ thống thông tin Quy định cơng tác bảo vệ bí mật nhà nước an tồn thơng tin mạng mơi trường mạng Cơ chế lưu liệu, chế thông tin, báo cáo phối hợp khắc phục cố - Nêu rõ chế lưu liệu, chế thông tin - Nêu rõ nội dung báo cáo phối hợp khắc phục cố Theo dõi, kiểm tra, thống kê, tổng hợp, báo cáo theo định kỳ đột xuất - Nêu rõ việc theo dõi, thời gian kiểm tra hệ thống thông tin - Nêu rõ việc thống kê, tổng hợp, báo cáo theo định kỳ đột xuất Khen thưởng, kỷ luật - Các hình thức khen thưởng, kỷ luật 9 Tổ chức thực - Cách thức tổ chức thực (Kèm theo công văn số Phụ lục MẪU BÁO CÁO SỰ CỐ /STTTT-CNTT ngày /9/2014 Sở Thông tin Truyền thơng) CỘNG HỒ XÃ HỘI CHỦ NGHĨA VIỆT NAM UBND TỈNH PHÚ THỌ Độc lập - Tự - Hạnh phúc TÊN ĐƠN VỊ Phú Thọ, ngày tháng năm 20… BÁO CÁO SỰ CỐ THÁNG/NĂM…… Thông tin chung Đại diện lãnh đạo: Tên quan: E-mail quan: Điện thoại quan: Thông tin cố: Số lượng máy chủ bị cố: …… máy a Hệ điều hành: ♦ Windows phiên bản: ♦ Linux phiên bản: ♦ Ubuntu phiên bản: ♦ Khác: b Chức máy chủ: c Thời gian xảy cố: …… giờ… phút, ngày… tháng… năm d Mô tả sơ cố: e Các dịch vụ có máy chủ: ♦ Web server ♦ Mail server ♦ Database server ♦ FPT server ♦ Proxy server ♦ Application server Dịch vụ khác: f Cách thức phát hiện: ♦ Người dùng cuối ♦ Quản trị hệ thống ♦ Kiểm tra đường truyền ♦ Kiểm tra Log File ♦ Công ty, tổ chức tư vấn Khác: g Các biện pháp xử lý gặp cố: ♦ Không làm ♦ Tự xử lý ♦ Báo cáo cấp ♦ Hỗ trợ từ Sở Thông tin Truyền thông ♦ Hỗ trợ từ VNCERT Khác: Nơi nhận: - Sở Thông tin Truyền thông; -… THỦ TRƯỞNG ĐƠN VỊ (Ký tên đóng dấu) Phụ lục MẪU BÁO CÁO TÌNH HÌNH AN TỒN THƠNG TIN MẠNG (Kèm theo cơng văn số /STTTT-CNTT ngày /9/2014 Sở Thơng tin Truyền thơng) CỘNG HỒ XÃ HỘI CHỦ NGHĨA VIỆT NAM UBND TỈNH PHÚ THỌ Độc lập - Tự - Hạnh phúc TÊN ĐƠN VỊ Phú Thọ, ngày tháng năm 20… BÁO CÁO TÌNH HÌNH AN TỒN THƠNG TIN MẠNG NĂM… I Đánh giá trạng dự kiến Về sách, quản lý - Xây dựng quy chế nội đảm bảo an tồn thơng tin mạng hoạt động ứng dụng cơng nghệ thơng tin: ♦ Khơng ♦ Có, số văn …………….… ngày……………… - Có thường xun cập nhật cơng nghệ đảm bảo an tồn thơng tin mạng: ♦ Có ♦ Không Về đầu tư - Đã dự kiến đầu tư vào nội dung đây: Nội dung Năm …… Dự kiến năm Mua thiết bị (phần cứng phần mềm) an tồn thơng tin ♦ ♦ Nghiên cứu sử dụng phần mềm mã nguồn mở ♦ ♦ Đào tạo nguồn nhân lực ♦ ♦ ……………… ……………… ……….……… ……….……… ……….……… ……….……… Các nội dung khác: - Đã dự kiến sử dụng cơng cụ để bảo đảm an tồn thơng tin mạng: Công cụ Năm …… Dự kiến năm Phần mềm diệt virus ♦ ♦ Mật ♦ ♦ Tường lửa ♦ ♦ Cơng cụ mã hóa tập tin ♦ ♦ Chữ ký điện tử ♦ ♦ Mạng riêng ảo VPN ♦ ♦ Hệ thống phát xâm nhập ♦ ♦ Những công cụ khác: ……………… ……………… ……….……… ……….……… ……….……… ……….……… Về tình hình an ninh mạng xử lý cố - Tổng kết cố an ninh mạng xảy năm: Sự cố Số lượng Virus Lừa đảo Spyware/Adware Tấn công từ chối dịch vụ (Dos, Ddos) Nội dung Website đơn vị bị thay đổi (deface website) Sự cố khác: - Mức độ thiệt hại ước tính năm cố an tồn thơng tin mạng gây ra: ♦ Thiệt hại gián tiếp: …………………triệu đồng ♦ Thiệt hại trực tiếp: …………………triệu đồng ♦ Chi phí khắc phục: …………………triệu đồng - Biện pháp xử lý áp dụng gặp cố: Phương pháp Số lần Khơng làm Tự xử lý Báo cáo cấp Yêu cầu hỗ trợ từ nơi khác Phương pháp khác: - Công việc mà quan thực sau khắc phục cố: ♦ Sửa đổi sách/hướng dẫn ♦ Nâng cao ý thức ♦ Đầu tư thêm thiết bị ♦ Rà soát lại hệ thống ♦ Đào tạo nâng cao cho quản trị ♦ Đào tạo nâng cao cho người dùng, Tổ chức nhân lực bồi dưỡng nghiệp vụ: - Số lượng cán chuyên trách kiêm nhiệm công nghệ thông tin: ♦ Cán chuyên trách CNTT, … người, trình độ chun mơn: ♦ Cán kiêm nhiệm CNTT, … người, trình độ chun mơn: - Số lượng cán thực công tác đảm bảo an tồn thơng tin mạng hoạt động ứng dụng CNTT: ♦ Cán thực công tác đảm bảo an tồn thơng tin mạng cán chuyên trách/ kiêm nhiệm CNTT, … người, trình độ chuyên môn: ♦ Cán thực cơng tác đảm bảo an tồn thơng tin mạng khơng cán chuyên trách/ kiêm nhiệm CNTT, … người, trình độ chun mơn: - Đơn vị có nhu cầu bồi dưỡng nghiệp vụ an tồn thơng tin mạng: ♦ Dành cho lãnh đạo cán quản lý, số lượng dự kiến …… người ♦ Cơ bản/Nâng cao an tồn thơng tin mạng cho cán thực cơng tác đảm bảo an tồn thơng tin mạng, số lượng dự kiến …… người ♦ Cho người dùng, số lượng dự kiến …… người II Ý kiến phản hồi góp ý thêm Nơi nhận: - Sở Thông tin Truyền thơng; -… THỦ TRƯỞNG ĐƠN VỊ (Ký tên đóng dấu) ... thơng tin mạng Quy định cụ thể quy? ??n trách nhiệm đối tượng: - Quy? ??n trách nhiệm lãnh đạo đơn vị - Quy? ??n trách nhiệm lãnh đạo cấp phòng - Quy? ??n trách nhiệm cán chuyên trách CNTT - Quy? ??n trách nhiệm... thông) Mục tiêu, phạm vi, đối tượng áp dụng Quy định rõ mục tiêu, phạm vi, đối tượng áp dụng quy chế nội bộ: Phịng, ban chun mơn đơn vị trực thuộc Nội dung bảo đảm an toàn thông tin mạng - Nêu... đảm bảo an tồn thơng tin mạng - Quy? ??n trách nhiệm người sử dụng Quy định cấp phát, thu hồi, cập nhật quản lý tài khoản truy cập vào hệ thống thông tin - Nêu rõ quy định cấp phát, thu hồi, cập