ỦY BAN NHÂN DÂN TỈNH BẮC NINH CỘNG HOÀ XÃ HỘI CHỦ NGHĨA VIỆT NAM Độc lập - Tự - Hạnh phúc Dự Thảo QUY CHẾ Bảo đảm an tồn thơng tin hoạt động ứng dụng cơng nghệ thông tin quan nhà nước địa bàn tỉnh Bắc Ninh (Ban hành kèm theo Quyết định số: /2014/QĐ-UBND ngày tháng năm 2014 UBND Bắc Ninh) Chương QUY ĐỊNH CHUNG Điều Phạm vi điều chỉnh Quy chế này quy định bảo đảm an toàn thông tin hoạt động ứng dụng công nghệ thông tin quan nhà nước địa bàn tỉnh Bắc Ninh Điều Đối tượng áp dụng Quy chế này áp dụng tổ chức, cá nhân sau: Các sở, ban, ngành, UBND huyện, thị xã, thành phố và đơn vị nghiệp trực thuộc; UBND xã, phường, thị trấn (sau gọi tắt là quan, đơn vị); Các cán bộ, công chức, viên chức làm việc quan, đơn vị nêu Khoản Điều này Điều Giải thích từ ngữ Trong Quy chế này, từ ngữ hiểu sau: An tồn thơng tin là bảo vệ thơng tin và hệ thống thông tin tránh bị truy nhập, sử dụng, tiết lộ, gián đoạn, sửa đổi phá hoại trái phép nhằm bảo đảm tính nguyên vẹn, tính bảo mật và tính khả dụng thơng tin Hệ thống thông tin là tập hợp thiết bị phần cứng, phần mềm và sở liệu thiết lập phục vụ mục đích tạo lập, cung cấp, truyền đưa, thu thập, xử lý, lưu trữ và trao đổi thông tin Xâm phạm an tồn thơng tin là hành vi truy nhập, sử dụng, tiết lộ, làm gián đoạn, sửa đổi, làm sai lệch chức năng, phá hoại trái phép thông tin và hệ thống thông tin Nguy an tồn thơng tin là nhân tố bên bên ngoài có khả ảnh hưởng tới trạng thái an toàn thông tin Đánh giá rủi ro an tồn thơng tin là việc xác định, phân tích nguy an toàn thơng tin có và dự báo mức độ, phạm vi ảnh hưởng và khả gây thiệt hại xảy cố an toàn thông tin Quản lý rủi ro an tồn thơng tin là việc thực đánh giá rủi ro an toàn thông tin, xác định yêu cầu bảo vệ thông tin và hệ thống thông tin và áp dụng giải pháp phòng, chống, giảm thiểu thiệt hại có cố an toàn thơng tin Mạng là khái niệm mạng viễn thông cố định, di động, Internet và mạng máy tính Phần mềm độc hại là phần mềm có khả gây hoạt động khơng bình thường cho phần toàn hệ thống thông tin thực chép, sửa đổi, xóa bỏ trái phép thơng tin lưu trữ hệ thống thông tin Điều Các hành vi bị nghiêm cấm Ngăn chặn trái pháp luật việc truyền tải thông tin mạng; can thiệp, truy nhập, gây nguy hại, xóa, thay đổi, sửa chữa, chép, làm sai lệch trái phép thông tin mạng; Cản trở trái pháp luật, gây ảnh hưởng tới hoạt động bình thường hệ thống thơng tin cản trở trái pháp luật, gây ảnh hưởng tới khả truy nhập hợp pháp người sử dụng tới hệ thống thông tin; Tấn công, vô hiệu hóa trái pháp luật làm tác dụng biện pháp bảo vệ an toàn thông tin cho hệ thống thông tin; lợi dụng sơ hở, điểm yếu hệ thống thông tin, công, chiếm quyền điều khiển trái phép hệ thống thông tin; Phát tán thư rác, tin nhắn rác, phần mềm độc hại, thiết lập hệ thống thông tin giả mạo, lừa đảo; Lợi dụng mạng để truyền bá thông tin, quan điểm, thực hành vi gây phương hại đến an ninh quốc gia, trật tự, an toàn xã hội, lợi ích quốc gia mạng; phá hại khối đại đoàn kết toàn dân; tuyên truyền chiến tranh xâm lược, khủng bố; gây hận thù, mâu thuẫn dân tộc, sắc tộc, tôn giáo và bài ngoại; Lợi dụng mạng để truyền bá trái phép tài liệu, hình ảnh, âm dạng thơng tin khác nhằm kích động bạo lực, dâm ô, đồi trụy, tội ác, tệ nạn xã hội, mệ tín dị đoan, phá hoại phong, mỹ tục dân tộc; bôi nhọ, gây thù hận, xâm hại tới quyền và lợi ích hợp pháp tổ chức, cá nhân; Các hành vi bị nghiêm cấm khác theo quy định pháp luật Chương BẢO ĐẢM AN TỒN THƠNG TIN Điều Các biện pháp quản lý kỹ thuật cơng tác bảo đảm an tồn thơng tin Tổ chức mơ hình mạng: Cài đặt, cấu hình, tổ chức hệ thống mạng theo mơ hình Máy khách/Máy chủ (Client/Server), hạn chế sử dụng mơ hình mạng ngang hàng Khi thiết lập dịch vụ môi trường mạng Internet, cung cấp chức thiết yếu bảo đảm trì hoạt động hệ thống thơng tin; hạn chế sử dụng chức năng, cổng giao tiếp mạng, giao thức và dịch vụ không cần thiết Quản lý hệ thống mạng không dây (Wireless LAN): Khi thiết lập mạng không dây, cần thiết lập thông số an toàn và định kỳ tháng thay đổi mật truy cập nhằm tăng cường công tác bảo mật Tổ chức quản lý tài khoản: Tiến hành rà sốt tháng lần tài khoản và định danh người dùng hệ thống thông tin Hủy tài khoản, quyền truy nhập hệ thống thông tin, thu hồi lại tất tài sản liên quan tới hệ thống thơng tin (khóa, thẻ nhận dạng, thư mục lưu trữ,…) cán bộ, cơng chức, viên chức, người lao động khơng cịn cơng tác khơng cịn sử dụng cấp tài khoản Quản lý đăng nhập hệ thống: Các hệ thống thông tin cần giới hạn số lần đăng nhập vào hệ thống, tự động khóa tài khoản liên tục đăng nhập sai vượt số lần quy định Tổ chức theo dõi, giám sát tất phương pháp đăng nhập từ xa, là trường hợp đăng nhập vào hệ thống với mục đích quản trị Tăng cường việc sử dụng mạng riêng ảo (VPN - Virtual Private Network) có nhu cầu làm việc từ xa; yêu cầu người sử dụng đặt mật với độ an toàn cao Quản lý nhật ký kiện (logfile): Hệ thống thông tin cần ghi nhận kiện: trình đăng nhập hệ thống, thao tác cấu hình hệ thống, trình truy xuất hệ thống Thường xuyên kiểm tra, lưu (backup) nhật ký kiện theo tháng để theo dõi, xác định kiện xảy hệ thống và hạn chế việc tràn nhật ký kiện gây ảnh hưởng đến hoạt động hệ thống Chống phần mềm độc hại: Triển khai phần mềm chống mã độc máy tính, thiết bị di động mạng để phát hiện, loại trừ phần mềm độc hại Thường xuyên cập nhật phiên mới, vá lỗi phần mềm chống virus để bảo đảm chương trình quét virus quan máy chủ, máy trạm cập nhật nhất; thiết lập chế độ quét thường xuyên tuần lần Thường xuyên cập nhật vá lỗ hổng bảo mật hệ điều hành và phần mềm ứng dụng máy tính để hạn chế tối đa rủi ro an toàn thông tin Tổ chức quản lý tài nguyên: Kiểm tra, giám sát chức chia sẻ thông tin (Network File and Folder Sharing) Tổ chức cấp phát tài nguyên máy chủ theo danh mục thư mục cho phòng, đơn vị trực thuộc; khuyến cáo người sử dụng cân nhắc việc chia sẻ tài nguyên máy sử dụng, tuyệt đối không chia sẻ toàn ổ cứng Khi thực việc chia sẻ tài nguyên máy chủ máy cục cần sử dụng mật để bảo vệ thông tin Bảo đảm an toàn cho Trang thông tin điện tử Cổng thông tin điện tử: Thực theo hướng dẫn công văn số 2132/BTTTT-VNCERT ngày 18 tháng năm 2011 Bộ Thông tin và Truyền thông việc hướng dẫn đảm bảo an toàn thông tin cho Cổng/Trang thông tin điện tử Thiết lập chế lưu và phục hồi cho máy chủ, máy trạm: Máy chủ và máy trạm cần thực biện pháp lưu liệu, thông tin quan trọng nhằm phục vụ cho công tác phục hồi liệu cách nhanh 10 Xử lý khẩn cấp: Khi phát hệ thống thông tin bị công cần thực bước sau: a) Bước 1: Ngắt kết nối máy chủ khỏi mạng b) Bước 2: Sao chép nhật ký kiện và toàn liệu hệ thống thiết bị lưu trữ (phục vụ cho hoạt động phân tích, điều tra) c) Bước 3: Khôi phục hệ thống cách chuyển liệu lưu để hệ thống hoạt động trở lại d) Bước 4: Thực công việc khoản Điều Điều Các biện pháp quản lý vận hành công tác bảo đảm an tồn thơng tin Đối với quan, đơn vị: Ngoài việc thực biện pháp quản lý kỹ thuật quy định Điều Quy chế này, phải thực nội dung sau: a) Phổ biến, hướng dẫn thực quy định ứng dụng CNTT UBND tỉnh Bắc Ninh ban hành b) Trang bị kiến thức, kỹ an toàn thông tin cho cán bộ, công chức, viên chức để vận hành, khai thác, sử dụng hệ thống thông tin cách an toàn c) Xác định và phân bổ kinh phí cần thiết cho hoạt động liên quan đến việc bảo đảm an toàn thông tin Đối với cán chuyên trách CNTT: Ngoài việc thực biện pháp quản lý kỹ thuật quy định Điều Quy chế này, phải thực nội dung sau a) Tham mưu cho lãnh đạo quan, đơn vị công tác bảo đảm an toàn thông tin; vận hành an toàn hệ thống thông tin quan, đơn vị; triển khai biện pháp bảo đảm an toàn thông tin cho tất cán bộ, công chức, viên chức quan, đơn vị b) Nắm vững và thực nghiêm túc quy định bảo vệ bí mật Nhà Nước Thường xuyên tự cập nhật kiến thức an toàn thơng tin, nguy tiềm ẩn gây thơng tin và biện pháp phịng tránh tiến hành hoạt động quản lý hay kỹ thuật nghiệp vụ c) Thực việc đánh giá, báo cáo rủi ro gây an toàn thông tin và mức độ nghiêm trọng rủi ro Các rủi ro gây an toàn thơng tin xảy truy cập trái phép, sử dụng trái phép, mất, thay đổi phá hủy thông tin và hệ thống thông tin d) Phối hợp chặt chẽ với quan Cơng an cơng tác phịng ngừa, đấu tranh, ngăn chặn hoạt động xâm phạm an toàn thông tin Đối với cán bộ, công chức, viên chức: a) Thường xuyên cập nhật sách, quy trình, thủ tục an toàn thơng tin đơn vị thực hướng dẫn an toàn thông tin cán chuyên trách công nghệ thông tin b) Hạn chế việc sử dụng chức chia sẻ tài nguyên, sử dụng chức này cần bật thuộc tính bảo mật mật và thực việc thu hồi chức này sử dụng xong c) Các tài khoản đăng nhập hệ điều hành cần phải đặt mật khẩu, không sử dụng phải khóa tài khoản Nếu khơng sử dụng máy tinh thời gian cần tắt máy ngắt kết nối mạng để tránh bị tin tặc lợi dụng, điều khiển máy tính từ xa d) Sử dụng chức mã hóa mức hệ điều hành để bảo đảm liệu nhạy cảm tài khoản, mật khẩu, tập tin quan trọng, mã hóa Các tập tin đính kèm thư điện tử, tải xuống từ Internet chép từ thiết bị lưu trữ cần kiểm tra để tránh lây nhiễm phần mềm độc hại Điều Xây dựng quy chế nội bảo đảm an tồn thơng tin Các quan, đơn vị phải ban hành quy chế nội bảo đảm an toàn thông tin tùy theo điều kiện cụ thể, quy định rõ vấn đề sau: a) Mục tiêu và phương hướng thực công tác bảo đảm an toàn cho hệ thống thông tin b) Nguyên tắc phân loại và quản lý mức độ ưu tiên tài nguyên hệ thống thông tin (phần mềm, liệu, trang thiết bị,…) c) Quản lý phân quyền và trách nhiệm cá nhân tham gia sử dụng hệ thống thông tin d) Quản lý và điều hành máy chủ, thiết bị mạng, thiết bị bảo vệ mạng cách an toàn e) Kiểm tra, rà soát và khắc phục cố an toàn hệ thống thông tin sử dụng biện pháp Điều 5, Điều và Điều Quy chế này f) Nguyên tắc chung sử dụng an toàn và hiệu toàn cá nhân tham gia sử dụng hệ thống thông tin g) Tổ chức thực Sở Thông tin và Truyền thông hướng dẫn quan, đơn vị xây dựng quy chế nội bảo đảm an toàn thông tin Điều Xây dựng áp dụng quy trình bảo đảm an tồn thông tin Các quan, đơn vị phải xây dựng và áp dụng quy trình bảo đảm an toàn cho hệ thống thông tin nhằm giảm thiểu nguy gây cố, tạo điều kiện cho việc khắc phục và truy vết trường hợp có cố xảy Nội dung quy trình bao gồm bước sau: a) Lập kế hoạch bảo vệ an toàn cho hệ thống thông tin b) Xây dựng hệ thống bảo vệ an toàn thông tin c) Quản lý và vận hành hệ thống bảo vệ an toàn thông tin d) Kiểm tra đánh giá hoạt động hệ thống bảo vệ an toàn thông tin e) Bảo trì và nâng cấp hệ thống bảo vệ an toàn thông tin Sở Thông tin và Truyền thông hướng dẫn quan, đơn vị bước để xây dựng quy trình bảo đảm an toàn thông tin cho hệ thống thông tin Chương TRÁCH NHIỆM BẢO ĐẢM AN TỒN THƠNG TIN Điều Trách nhiệm Sở Thông tin Truyền thông Tham mưu cho UBND tỉnh công tác bảo đảm an toàn thông tin hoạt động ứng dụng công nghệ thông tin quan nhà nước tỉnh Bắc Ninh Hàng năm xây dựng kế hoạch, dự toán nguồn kinh phí để triển khai cơng tác bảo đảm an toàn thông tin cho hệ thống thông tin UBND tỉnh giao quản lý Chủ trì, phối hợp với quan liên quan thành lập đoàn kiểm tra an toàn thông tin định kỳ hàng năm kiểm tra đột xuất phát có dấu hiệu vi phạm an toàn thông tin Xây dựng và triển khai chương trình đào tạo, tổ chức hội nghị, hội thảo an toàn thông tin nhằm phổ biến, cập nhật kiến thức an toàn thơng tin Khi có cố an toàn thơng tin tùy theo mức độ cố, phối hợp Trung tâm Ứng cứu khẩn cẩp máy tính Việt Nam (VNCERT) và đơn vị có liên quan hướng dẫn xử lý, ứng cứu; thực yêu cầu điều phối ứng cứu cố và báo cáo, phản hồi đầy đủ kết thực cho Trung tâm VNCERT; thực nghĩa vụ thành viên mạng lưới ứng cứu cố mạng Internet Hướng dẫn, giám sát đơn vị xây dựng quy chế, quy trình bảo đảm an toàn cho hệ thống thơng tin theo quy định Nhà nước; thông báo cho quan, đơn vị biết và có biện pháp phịng ngừa, ngăn chặn nguy an toàn thông tin Điều 10 Trách nhiệm Công an tỉnh Phối hợp với Sở Thông tin và Truyền thông kiểm tra công tác bảo đảm an toàn thông tin Thường xuyên thông báo cho quan, đơn vị phương thức, thủ đoạn loại tội phạm xâm phạm an toàn, an ninh thông tin để có biện pháp phịng ngừa, đấu tranh, ngăn chặn Điều 11 Trách nhiệm quan, đơn vị người đứng đầu Quan tâm và ưu tiên bố trí kinh phí cho việc triển khai biện pháp bảo đảm an toàn thông tin hoạt động ứng dụng CNTT quan, đơn vị Xây dựng quy chế, quy trình nội bảo đảm an toàn thông tin theo quy định tài Điều và Điều và quy định pháp luật Khi có cố an toàn thơng tin phải kịp thời đạo khắc phục ngay, ưu tiên sử dụng cán kỹ thuật chuyên trách quan, đơn vị và thông báo văn cho Sở Thông tin và Truyền thông, quan cấp quản lý trực tiếp để biết và phối hợp xử lý Phối hợp chặt chẽ với quan Công an cơng tác phịng ngừa, đấu tranh, ngăn chặn hoạt động xâm phạm an toàn thông tin Tạo điều kiện thuận lợi cho quan chức tham gia khắc phục cố và thực theo hướng dẫn Báo cáo tình hình và kết thực công tác bảo đảm an toàn thông tin quan, đơn vị và gửi Sở Thông tin và Truyền thơng có u cầu Điều 12 Trách nhiệm cán bộ, công chức, viên chức Nghiêm chỉnh chấp hành quy chế nội bộ, quy trình an toàn thơng tin quan quy định khác pháp luật, nâng cao ý thức cảnh giác và trách nhiệm bảo đảm an toàn thông tin đơn vị Khi phát cố phải báo với quan cấp và phận chuyên trách CNTT để kịp thời ngăn chặn, xử lý Chương TỔ CHỨC THỰC HIỆN Điều 13 Khen thưởng xử lý vi phạm Hàng năm, Sở Thông tin và Truyền thông dựa kết kiểm tra, đánh giá, báo cáo công bảo đảm an toàn thông tin quan, đề xuất UBND tỉnh xem xét khen thưởng cho cá nhân, đơn vị có nhiều thành tích cơng tác bảo đảm an toàn thông tin theo quy định hành Tổ chức, cá nhân có hành vi vi phạm quy chế này tùy theo tính chất, mức độ vi phạm mà bị xử lý kỷ luật, xử phạt hành bị truy cứu trách nhiệm hình sự, nếu gây thiệt hại phải bồi thường theo quy định pháp luật Điều 14 Điều khoản thi hành Sở Thơng tin và Truyền thơng chủ trì, phối hợp với Sở, Ban, Ngành, UBND huyện, thị xã, thành phố và quan có liên quan triển khai thực Quy chế này Trong trình thực nếu có phát sinh khó khăn, vướng mắc cần sửa đổi, bổ sung quan, đơn vị kịp thời báo cáo Sở Thông tin và Truyền thông tổng hợp trình UBND tỉnh xem xét, giải quyết./ ... hoạt động ứng dụng công nghệ thông tin quan nhà nước tỉnh Bắc Ninh Hàng năm xây dựng kế hoạch, dự tốn nguồn kinh phí để triển khai cơng tác bảo đảm an toàn thông tin cho hệ thống thông tin. .. chế nội bảo đảm an toàn thông tin Điều Xây dựng áp dụng quy trình bảo đảm an tồn thơng tin Các quan, đơn vị phải xây dựng và áp dụng quy trình bảo đảm an toàn cho hệ thống thông tin nhằm... đạo quan, đơn vị công tác bảo đảm an toàn thông tin; vận hành an toàn hệ thống thông tin quan, đơn vị; triển khai biện pháp bảo đảm an toàn thông tin cho tất cán bộ, công chức, viên chức quan,