ỦY BAN NHÂN DÂN TỈNH QUẢNG BÌNH Số: 13/2020/QĐ-UBND CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM Độc lập - Tự - Hạnh phúc Quảng Bình, ngày 14 tháng năm 2020 QUYẾT ĐỊNH BAN HÀNH QUY CHẾ BẢO ĐẢM AN TỒN THƠNG TIN MẠNG TRONG HOẠT ĐỘNG ỨNG DỤNG CÔNG NGHỆ THÔNG TIN CỦA CÁC CƠ QUAN NHÀ NƯỚC TỈNH QUẢNG BÌNH ỦY BAN NHÂN DÂN TỈNH QUẢNG BÌNH Căn Luật Tổ chức quyền địa phương ngày 19 tháng năm 2015; Căn Luật Công nghệ thông tin ngày 29 tháng năm 2006; Cản Luật An toàn thông tin mạng ngày 19 tháng 11 năm 2015; Căn Luật An ninh mạng ngày 12 tháng năm 2018; Căn Nghị định số 64/2007/NĐ-CP ngày 10 tháng năm 2007 Chính phủ ứng dụng cơng nghệ thông tin hoạt động quan nhà nước; Căn Nghị định số 72/2013/NĐ-CP ngày 15 tháng năm 2013 Chính phủ quản lý, cung cấp, sử dụng dịch vụ internet thông tin mạng; Căn Nghị định số 85/2016/NĐ-CP ngày 01 tháng năm 2016 Chính phủ bảo đảm an tồn hệ thống thơng tin theo cấp độ; Căn Nghị định số 142/2016/NĐ-CP ngày 14 tháng 10 năm 2016 Chính phủ ngăn chặn xung đột thơng tin mạng; Căn Quyết định số 05/2017/QĐ-TTg ngày 16 tháng năm 2017 Thủ tướng Chính phủ ban hành quy định hệ thống phương án ứng cứu khẩn cấp bảo đảm an tồn thơng tin mạng quốc gia; Căn Thông tư số 03/2017/TT-BTTTT ngày 24 tháng năm 2017 Bộ trưởng Bộ Thông tin Truyền thông quy định chi tiết hướng dẫn số điều Nghị định số 85/2016/NĐ-CP ngày 01 tháng năm 2016 Chính phủ bảo đảm an tồn hệ thống thơng tin theo cấp độ; Căn Thông tư số 20/2017/TT-BTTTT ngày 12 tháng năm 2017 Bộ trưởng Bộ Thông tin Truyền thông quy định điều phối, ứng cứu cố an toàn thơng tin mạng tồn quốc; Căn Thơng tư số 27/2017/TT-BTTTT ngày 20 tháng 10 năm 2017 Bộ trưởng Bộ Thông tin Truyền thông quy định quản lý, vận hành, kết nối, sử dụng bảo đảm an tồn thơng tin mạng truyền số liệu chuyên dùng quan Đảng, Nhà nước; Theo đề nghị Giám đốc Sở Thông tin Truyền thơng Tờ trình số 588/TTr-STTTT ngày 29 tháng năm 2020 QUYẾT ĐỊNH: Điều Ban hành kèm theo Quyết định Quy chế bảo đảm an tồn thơng tin mạng hoạt động ứng dụng công nghệ thông tin quan nhà nước tỉnh Quảng Bình Điều Quyết định có hiệu lực thi hành kể từ ngày 24 tháng năm 2020, thay Quyết định số 26/2014/QĐ-UBND ngày 21 tháng 10 năm 2014 Ủy ban nhân dân tỉnh Quảng Bình ban hành Quy chế đảm bảo an tồn thơng tin hoạt động ứng dụng công nghệ thông tin quan nhà nước địa bàn tỉnh Quảng Bình Điều Chánh Văn phòng Ủy ban nhân dân tỉnh; Giám đốc Sở Thông tin Truyền thông; Thủ trưởng sở, ban, ngành cấp tỉnh; Chủ tịch Ủy ban nhân dân huyện, thị xã, thành phố; Chủ tịch Ủy ban nhân dân xã, phường, thị trấn; Thủ trưởng quan, đơn vị có tham gia hoạt động tư vấn, cung cấp sản phẩm, dịch vụ viễn thông, Internet, công nghệ thông tin khai thác, sử dụng, kết nối, chia sẻ liệu với hệ thống thông tin quan nhà nước tỉnh Quảng Bình tổ chức, cá nhân có liên quan chịu trách nhiệm thi hành Quyết định này./ Nơi nhận: - Như Điều 3; - Văn phịng Chính phủ; - Bộ Thông tin Truyền thông; - Cục Kiểm tra văn QPPL - Bộ Tư pháp; - Vụ Pháp chế - Bộ Thông tin Truyền thông; - TT Tỉnh ủy; - TT HĐND tỉnh; - Đoàn Đại biểu Quốc hội tỉnh; - UBMTTQVN tỉnh tổ chức thành viên; - CT, PCT UBND tỉnh; - BCĐ xây dựng CQĐT tỉnh; - Sở Tư pháp; - Báo Quảng Bình, Đài PT&TH Quảng Bình; - VP UBND tỉnh: LĐVP, phòng, ban, TT; - Trung tâm Tin học - Công báo tỉnh; - Lưu: VT, KSTTHC, KGVX TM ỦY BAN NHÂN DÂN KT CHỦ TỊCH PHÓ CHỦ TỊCH Nguyễn Tiến Hồng QUY CHẾ BẢO ĐẢM AN TỒN THƠNG TIN MẠNG TRONG HOẠT ĐỘNG ỨNG DỤNG CÔNG NGHỆ THÔNG TIN CỦA CÁC CƠ QUAN NHÀ NƯỚC TỈNH QUẢNG BÌNH (Ban hành kèm theo Quyết định số 13/2020/QĐ-UBND ngày 14 tháng năm 2020 Ủy ban nhân dân tỉnh Quảng Bình) Chương I QUY ĐỊNH CHUNG Điều Phạm vi điều chỉnh Quy chế quy định việc bảo đảm an tồn thơng tin mạng hoạt động ứng dụng công nghệ thông tin quan nhà nước tỉnh Quảng Bình Điều Đối tượng áp dụng Ban Chỉ đạo xây dựng Chính quyền điện tử tỉnh Cơ quan chuyên môn, đơn vị trực thuộc Ủy ban nhân dân tỉnh đơn vị thuộc, trực thuộc; Ủy ban nhân dân huyện, thị xã, thành phố quan chuyên môn, đơn vị thuộc, trực thuộc; Ủy ban nhân dân xã, phường, thị trấn; quan, đơn vị, tổ chức khác thuộc hệ thống quan nhà nước tỉnh Công an tỉnh, Đội ứng cứu cố an tồn thơng tin mạng địa bàn tỉnh; doanh nghiệp, đơn vị tư vấn, cung cấp sản phẩm, dịch vụ viễn thông, Internet, công nghệ thông tin cho quan nhà nước tỉnh; quan, đơn vị, tổ chức có tham gia hoạt động khai thác, sử dụng, kết nối, chia sẻ liệu với hệ thống thông tin quan nhà nước tỉnh Cá nhân cán bộ, công chức, viên chức, người lao động quan, đơn vị, tổ chức nêu Khoản Điều cá nhân khác liên quan Điều Giải thích từ ngữ Trong Quy chế này, từ ngữ hiểu sau: Các khái niệm “an tồn thơng tin mạng”, “mạng”, “hệ thống thông tin”, “chủ quản hệ thống thông tin”, “xâm phạm an tồn thơng tin mạng”, “sự cố an tồn thơng tin mạng”, “rủi ro an tồn thơng tin mạng”, “phần mềm độc hại”, “xung đột thông tin”, “thông tin cá nhân”, “xử lý thông tin cá nhân” định nghĩa theo quy định khoản 1, 2, 3, 5, 6, 7, 8, 11, 14, 15 17 Điều Luật An tồn thơng tin mạng ngày 19 tháng 11 năm 2015 Các khái niệm “tội phạm mạng”, “tấn công mạng”, “khủng bố mạng”, “gián điệp mạng” định nghĩa theo quy định khoản 7, 8, 10 Điều Luật An ninh mạng ngày 12 tháng năm 2018 3 Nguy an toàn thông tin mạng nhân tố bên bên ngồi có khả ảnh hưởng tới trạng thái an tồn thơng tin mạng Trung tâm liệu điện tử tỉnh nơi tập trung máy chủ, thiết bị kỹ thuật công nghệ thông tin chuyên dụng với khả lưu trữ, xử lý liệu lớn, hệ thống bảo mật an toàn liệu, hệ thống phụ trợ, hệ thống thông tin, sở liệu dùng chung, chuyên ngành tỉnh triển khai theo mơ hình điện tốn đám mây, tn theo quy chuẩn, tiêu chuẩn kỹ thuật Việt Nam quốc tế Trung tâm liệu, bảo đảm thiết bị, phần mềm hoạt động môi trường tiêu chuẩn, ổn định, an tồn Điều Mục đích, ngun tắc bảo đảm an tồn thơng tin mạng Việc áp dụng Quy chế nhằm phòng ngừa, ngăn chặn, xử lý giảm nguy gây an tồn thơng tin mạng bảo đảm an ninh thơng tin q trình ứng dụng cơng nghệ thơng tin hoạt động quan, tổ chức Hoạt động ứng dụng công nghệ thông tin quan, tổ chức phải tuân thủ nguyên tắc bảo đảm an tồn thơng tin mạng quy định Điều Luật An tồn thơng tin mạng ngày 19 tháng 11 năm 2015 Điều 41 Nghị định số 64/2007/NĐ-CP ngày 10 tháng năm 2007 Chính phủ ứng dụng công nghệ thông tin hoạt động quan nhà nước Điều Các hành vi bị cấm Các hành vi bị nghiêm cấm an tồn, an ninh thơng tin mạng quy định Điều Luật An tồn thơng tin mạng ngày 19 tháng 11 năm 2015 Điều Luật An ninh mạng ngày 12 tháng năm 2018 Các hành vi bị cấm quản lý, cung cấp, sử dụng dịch vụ internet thông tin mạng quy định Điều Nghị định số 72/2013/NĐ-CP ngày 15 tháng năm 2013 Chính phủ quản lý, cung cấp, sử dụng dịch vụ internet thông tin mạng Tự ý lắp đặt thiết bị phát sóng Wifi (Access Point) vào mạng máy tính quan, tổ chức lắp đặt thiết bị tiếp sóng Wifi (Wireless card, wireless USB) máy tính có kết nối mạng nội để truy nhập mạng Wifi chưa phê duyệt Lãnh đạo quan, tổ chức Tự ý đăng lên, tải về, chia sẻ hình thức liệu, tài liệu, số liệu nội bộ, văn chưa cấp có thẩm quyền cơng khai lên mạng internet phương tiện thông tin đại chúng khác Chương II ĐẢM BẢO AN TỒN THƠNG TIN MẠNG Điều u cầu chung quản lý an tồn thơng tin mạng Đối với quan, tổ chức: a) Thực phân loại thơng tin sở hữu theo thuộc tính bí mật để có biện pháp bảo vệ phù hợp theo quy định pháp luật bảo vệ bí mật nhà nước Khi sử dụng thơng tin phân loại chưa phân loại hoạt động thuộc lĩnh vực phải xây dựng quy định, thủ tục để xử lý thông tin; xác định nội dung phương pháp ghi truy nhập phép vào thông tin phân loại; b) Áp dụng biện pháp quản lý kỹ thuật phù hợp để ngăn chặn an tồn thơng tin mạng xuất phát từ tần số, kho số, tên miền địa Internet Phối hợp, cung cấp thơng tin liên quan đến an tồn tài ngun viễn thơng theo u cầu quan nhà nước có thẩm quyền; c) Tổ chức biện pháp bảo vệ hệ thống thông tin, ngăn chặn xung đột thông tin mạng thuộc quyền quản lý phối hợp chặt chẽ với quan nghiệp vụ theo quy định pháp luật để triển khai biện pháp ngăn chặn xung đột thông tin mạng vượt thẩm quyền, khả năng; d) Áp dụng biện pháp quản lý kỹ thuật phù hợp để ngăn chặn thông tin phá hoại xuất phát từ hệ thống thơng tin Hợp tác với quan chức xác định nguồn, đẩy lùi, khắc phục hậu công mạng thực thông qua hệ thống thông tin tổ chức, cá nhân nước nước ngoài; đ) Xây dựng công bố công khai biện pháp xử lý, bảo vệ thông tin cá nhân quan, tổ chức Khi xử lý thơng tin cá nhân phải có trách nhiệm bảo đảm an tồn thơng tin mạng thơng tin xử lý; e) Phân cơng, bố trí cán làm cơng tác chun trách cơng nghệ thơng tin, an tồn thơng tin mạng phải có trình độ đào tạo bồi dưỡng kiến thức, kỹ phù hợp, đáp ứng yêu cầu thực nhiệm vụ; g) Thường xuyên tuyên truyền, phổ biến, nâng cao nhận thức cán bộ, công chức, viên chức, người lao động trách nhiệm bảo đảm an tồn thơng tin mạng Khi tiếp nhận, tuyển dụng nhân phải quán triệt quy định, quy chế, quy trình, thủ tục an tồn thơng tin mạng Khi nhân chuyển công tác, nghỉ việc, nghỉ theo chế độ phải tổ chức bàn giao, thu hồi tài khoản, quyền truy nhập tất tài sản liên quan tới hệ thống thông tin quan, tổ chức Đối với cá nhân cán bộ, công chức, viên chức, người lao động: a) Thường xuyên cập nhật nghiêm túc chấp hành quy định, quy chế, quy trình, thủ tục an tồn thơng tin mạng quan, tổ chức thực hướng dẫn, khuyến cáo phận, cán chuyên trách công nghệ thơng tin, an tồn thơng tin mạng; b) Tự bảo vệ thơng tin cá nhân tn thủ quy định pháp luật cung cấp thông tin cá nhân sử dụng dịch vụ mạng, đồng thời có trách nhiệm bảo đảm an tồn thơng tin mạng thơng tin xử lý; c) Khi tham gia quản lý, vận hành mạng máy tính quan, tổ chức phải nghiêm chỉnh chấp hành chế độ bảo mật, an tồn, an ninh thơng tin mạng đồng thời chịu trách nhiệm thông tin mà cung cấp; d) Tự quản lý, bảo quản thiết bị mà giao sử dụng; khơng tự ý thay đổi, tháo lắp thiết bị máy tính làm ảnh hưởng đến an tồn thơng tin mạng; không vào trang thông tin điện tử không rõ nội dung; không tải cài đặt phần mềm không rõ nguồn gốc, không liên quan đến công việc chuyên môn; không nhấp chuột vào đường dẫn lạ không rõ nội dung; không cho phép hành vi gây tổn hại đến dịch vụ, gây hư hỏng thiết bị mạng; không cung cấp thông tin không trung thực để công bố mạng; sử dụng mạng để thâm nhập vào mạng máy tính chưa phép; khơng đưa thơng tin, tài liệu chứa bí mật nhà nước lên hệ thống máy tính có kết nối mạng Internet; đ) Phải sử dụng thư điện tử công vụ công cụ trao đổi thông tin, liệu quan nhà nước tổ chức có thẩm quyền cung cấp, cho phép sử dụng trao đổi thông tin, liệu phục vụ công việc; không sử dụng trang mạng xã hội, dịch vụ thư điện tử, công cụ tiện ích điện tử cơng cộng để trao đổi thông tin quan trọng liên quan đến công việc chuyên môn quan, tổ chức; e) Khi phát nguy an tồn thơng tin mạng dấu hiệu cố an tồn thơng tin mạng phải báo cáo kịp thời với cấp phận, cán chun trách cơng nghệ thơng tin, an tồn thơng tin mạng để xem xét, tham mưu, tổ chức ngăn chặn, xử lý, khắc phục Điều Quản lý đăng nhập, truy nhập hệ thống thông tin Đối với quan, tổ chức chủ quản hệ thống thông tin: a) Tổ chức cấp tài khoản truy nhập hệ thống thơng tin phù hợp với mục đích, u cầu, nhiệm vụ quản trị, khai thác, sử dụng hệ thống; bảo đảm tài khoản quan, tổ chức, cá nhân đăng nhập, truy nhập vào hệ thống nhất; b) Thiết lập mật tài khoản đăng nhập, truy nhập quản trị máy chủ, thiết bị mạng, hệ thống thơng tin có độ phức tạp cao (có độ dài tối thiểu ký tự, có ký tự thường, ký tự hoa, ký tự số ký tự đặc biệt !, @, #, $, %) phải thay đổi 03 tháng/lần Khơng đặt chế độ tự động ghi nhớ mật trình duyệt máy chủ hệ thống trường hợp; c) Các hệ thống thông tin cần giới hạn số lần đăng nhập sai liên tiếp vào hệ thống (từ 03 đến 05 lần) Hệ thống tự động khóa tài khoản khoảng thời gian định liên tục đăng nhập sai vượt số lần quy định trước tiếp tục cho đăng nhập có phương thức hỗ trợ cấp lại mật tài khoản; d) Hệ thống mạng không dây (Wifi) nội phải đặt mật truy nhập có phương pháp hạn chế người dùng truy nhập, giám sát, điều khiển truy nhập mạng không dây; đ) Cơ quan, tổ chức quản lý, vận hành hệ thống thông tin dùng chung khơng chịu trách nhiệm thiệt hại phía người khai thác, sử dụng không tuân thủ quy định bảo vệ bí mật tài khoản dẫn đến thông tin cá nhân bị đánh cắp hay bị sửa đổi, ứng dụng bị sử dụng mạo danh hay hậu tiêu cực khác Đối với cá nhân người quản trị, khai thác, sử dụng hệ thống thông tin: a) Thiết lập mật mã truy nhập chế độ tự động bảo vệ hình sau 10 phút không sử dụng cho tất máy chủ, máy trạm; b) Bảo vệ bí mật thơng tin tài khoản cá nhân tài khoản quan, tổ chức phân công nắm giữ đồng thời phải thay đổi mật tài khoản cấp tự chịu trách nhiệm việc quản lý, bảo vệ mật tài khoản Không cho người khác sử dụng tài khoản cá nhân quan, tổ chức; c) Thiết lập mật đăng nhập, truy nhập khai thác, sử dụng hệ thống thơng tin có độ phức tạp cao (có độ dài tối thiểu ký tự, có ký tự thường, ký tự hoa, ký tự số ký tự đặc biệt !, @, #, $, %) phải thay đổi 03 tháng/lần Không đặt chế độ tự động ghi nhớ mật đăng nhập, truy nhập khai thác, sử dụng hệ thống thơng tin trình duyệt máy tính trường hợp Điều Quản lý vận hành hệ thống thông tin Hệ thống thông tin phải chạy vận hành thử nghiệm kiểm tra an tồn thơng tin trước đưa vào sử dụng; phải có tài liệu hướng dẫn sử dụng, quy trình vận hành thủ tục vận hành, quy trình quản lý cố liên quan đến an tồn thơng tin; phải có văn xác định vai trị, trách nhiệm cá nhân q trình vận hành sử dụng Quản lý nhật ký q trình vận hành hệ thống thơng tin: a) Cơ quan, tổ chức phải tổ chức thực việc ghi nhật ký thiết bị mạng máy tính, phần mềm ứng dụng, hệ điều hành, sở liệu nhằm bảo đảm kiện quan trọng xảy hệ thống thông tin ghi nhận lưu giữ Các ghi nhật ký phải bảo vệ an tồn nhằm sử dụng để phục vụ cơng tác kiểm tra, phân tích cần thiết; b) Các kiện tối thiểu phải ghi nhật ký gồm: trình đăng nhập hệ thống; tạo, cập nhật xóa liệu; hành vi xem, thiết lập cấu hình hệ thống; việc thiết lập kết nối bất thường vào hệ thống; thay đổi quyền truy nhập hệ thống; c) Cơ quan, tổ chức thường xuyên theo dõi ghi nhật ký hệ thống thông tin kiện khác có liên quan để đánh giá, báo cáo rủi ro an tồn thơng tin mạng mức độ nghiêm trọng rủi ro Quản lý vận hành trung tâm liệu, phòng máy chủ a) Các thiết bị kết nối mạng, thiết bị bảo mật quan trọng chuyển mạch trung tâm, thiết bị định tuyến, thiết bị tường lửa, hệ thống máy chủ, hệ thống lưu trữ SAN, NAS, thiết bị cảm biến, giám sát an toàn thơng tin, thiết bị phịng chống cơng mạng phải đặt trung tâm liệu phòng máy chủ thiết lập, thực chế, biện pháp kiểm soát truy nhập, kết nối vật lý, bảo vệ, theo dõi phát xâm nhập phù hợp; b) Trung tâm liệu, phòng máy chủ phải trang bị hệ thống lưu điện, hệ thống phát điện dự phịng, hệ thống làm mát, điều hịa khơng khí, độ ẩm, hệ thống cảnh báo nguồn điện, hệ thống chống sét lan truyền, hệ thống cảnh báo cháy, hệ thống chữa cháy tự động khí, thiết bị phịng cháy, chữa cháy khẩn cấp bảo đảm tiêu chuẩn, quy chuẩn kỹ thuật tương xứng với quy mơ, tính chất, yêu cầu phục vụ; c) Cơ quan, tổ chức quản lý trung tâm liệu điện tử, phòng máy chủ có trách nhiệm xây dựng nội quy hướng dẫn làm việc cử cán thường xuyên giám sát thiết bị, hạ tầng trung tâm liệu điện tử, phòng máy chủ Việc vào, trung tâm liệu, phịng máy chủ phải kiểm sốt nhật ký thiết bị bảo vệ (mật khẩu, quẹt thẻ, sinh trắc học) có đầy đủ cơng nghệ Điều Phòng, chống phần mềm độc hại Tất máy chủ, máy trạm quan, tổ chức phải trang bị phần mềm phòng, chống phần mềm độc hại có quyền quan chức khuyến cáo sử dụng Phần mềm phòng, chống phần mềm độc hại phải thiết lập chế độ tự động cập nhật chế độ tự động quét phần mềm độc hại chép, mở tệp tin Hệ điều hành, phần mềm cài đặt máy chủ, máy trạm phải cập nhật vá lỗ hổng bảo mật thường xuyên, kịp thời Cá nhân khơng tự ý gỡ bỏ phần mềm phịng, chống phần mềm độc hại máy tính chưa có đồng ý người có thẩm quyền quan, tổ chức Tất máy tính quan, tổ chức phải cấu hình vơ hiệu hóa tính tự động thực thi (autoplay) tệp tin thiết bị lưu trữ di động kết nối vào Máy tính xách tay, thiết bị di động (máy tính bảng, điện thoại thơng minh, thiết bị có phần mềm hệ điều hành) trước kết nối vào mạng nội (LAN) quan, tổ chức phải bảo đảm cài đặt phần mềm phòng, chống phần mềm độc hại kiểm duyệt phần mềm độc hại Máy chủ dùng để cài đặt phần mềm, dịch vụ dùng chung quan, tổ chức; không cài đặt phần mềm không rõ nguồn gốc, phần mềm phục vụ mục đích cá nhân khơng phục vụ cơng việc Khi kết nối từ xa vào máy chủ để quản trị, phải sử dụng phương thức kết nối có mã hóa Khuyến khích sử dụng mạng diện rộng tỉnh (được thiết lập tảng mạng truyền số liệu chuyên dùng quan Đảng, Nhà nước) để truy nhập, khai thác hệ thống thông tin dùng chung tỉnh Tất tệp tin, thư mục phải quét phần mềm độc hại trước chép, sử dụng, truyền đưa, trao đổi Khi phát dấu hiệu liên quan đến việc bị nhiễm phần mềm độc hại máy trạm như: hoạt động chậm bất thường, có cảnh báo từ phần mềm phòng chống phần mềm độc hại, tình trạng lặp lặp lại nhiều lần, vị trí khác nhau, có dấu hiệu bị thay đổi, liệu, người sử dụng phải tắt máy, ngắt kết nối từ máy tính đến mạng nội (LAN), mạng diện rộng (WAN), mạng Internet báo cáo, thông báo trực tiếp cho cán chun trách cơng nghệ thơng tin, an tồn thơng tin mạng phận có trách nhiệm quan, tổ chức để xử lý 10 Sở Thông tin Truyền thông tham mưu Ủy ban nhân dân tỉnh xây dựng, quản lý, vận hành hệ thống phòng, chống phần mềm độc hại tập trung cho máy chủ, máy trạm quan nhà nước tỉnh Điều 10 Sao lưu liệu dự phòng Cơ quan, tổ chức chủ quản hệ thống thơng tin có trách nhiệm: a) Xác định danh sách liệu, phần mềm cần lưu, có phân loại theo thời gian lưu trữ, thời gian lưu, phương pháp lưu thời gian kiểm tra phục hồi liệu hệ thống từ liệu lưu; ban hành thực quy trình lưu dự phịng phục hồi liệu, phần mềm; b) Tổ chức lưu trữ liệu lưu nơi an tồn, khơng phân vùng lưu trữ ứng dụng thường xuyên kiểm tra, bảo đảm sẵn sàng cho việc sử dụng cần thiết Cơ quan, tổ chức cá nhân người khai thác, sử dụng hệ thống thông tin liệu: a) Lập kế hoạch thực lưu liệu dự phòng định kỳ liệu quan trọng, tối thiểu tháng lần; trường hợp cần thiết phải áp dụng kỹ thuật mã hóa, thiết lập mật mã, ứng dụng ký số chứng thực; b) Việc lưu liệu dự phòng phải bảo đảm tính đầy đủ, tồn vẹn, tin cậy Sau lưu phải tổ chức lưu trữ lưu thiết bị lưu trữ phù hợp, bảo đảm tính bảo mật sẵn sàng cho việc phục hồi liệu cần thiết Điều 11 Bảo đảm an tồn hệ thống thơng tin theo cấp độ Các hoạt động liên quan đến xây dựng, nâng cấp, mở rộng, quản lý, vận hành hệ thống thông tin phải thực xác định cấp độ phương án bảo đảm an tồn thơng tin mạng Cơ quan, tổ chức chủ quản hệ thống thông tin phải xây dựng, triển khai kế hoạch ứng phó cố bảo đảm an tồn thơng tin mạng tổ chức giám sát, kiểm tra, đánh giá định kỳ an toàn thông tin hệ thống thông tin quản lý 2 Công tác quản lý, hướng dẫn tổ chức thực việc xác định cấp độ phương án bảo đảm an tồn thơng tin mạng; thẩm định, phê duyệt hồ sơ đề xuất cấp độ; thực u cầu bảo đảm an tồn hệ thống thơng tin theo cấp độ; giám sát an toàn hệ thống thơng tin; xây dựng kế hoạch ứng phó cố bảo đảm an tồn thơng tin mạng; kiểm tra, đánh giá an tồn thơng tin mạng; báo cáo, chia sẻ thông tin theo quy định Nghị định số 85/2016/NĐ-CP ngày 01 tháng năm 2016 Chính phủ bảo đảm an tồn hệ thống thơng tin theo cấp độ, Quyết định số 05/2017/QĐ-TTg ngày 16 tháng năm 2017 Thủ tướng Chính phủ ban hành quy định hệ thống phương án ứng cứu khẩn cấp bảo đảm an tồn thơng tin mạng quốc gia hướng dẫn Thông tư số 03/2017/TT-BTTTT ngày 24 tháng năm 2017 Bộ trưởng Bộ Thông tin Truyền thông quy định chi tiết hướng dẫn số điều Nghị định số 85/2016/NĐ-CP ngày 01 tháng năm 2016 Chính phủ bảo đảm an tồn hệ thống thông tin theo cấp độ Sở Thông tin Truyền thông tham mưu Ủy ban nhân dân tỉnh tổ chức thực xác định cấp độ, phương án bảo đảm an tồn thơng tin mạng, giám sát, kiểm tra, đánh giá an tồn thơng tin mạng diện rộng (WAN), hệ thống thông tin Trung tâm liệu điện tử tỉnh xây dựng, triển khai kế hoạch ứng phó cố bảo đảm an tồn thơng tin mạng tỉnh Điều 12 Ứng cứu cố an tồn thơng tin mạng Phân loại mức độ cố an tồn thơng tin mạng: a) Sự cố mức độ thấp (thông thường): cố gây ảnh hưởng đến 01 (một) vài cá nhân đơn lẻ không làm gián đoạn hay đình trệ hoạt động quan, tổ chức như: máy tính cá nhân bị nhiễm phần mềm độc hại hư hỏng phần cứng; phần mềm hệ điều hành, phần mềm ứng dụng, tiện ích cài đặt máy tính cá nhân phát sinh lỗi; b) Sự cố mức độ trung bình: cố ảnh hưởng đến nhóm lớn người khai thác, sử dụng chưa gây gián đoạn hay đình trệ hoạt động quan, tổ chức như: hệ thống mạng 01 (một) phòng, ban, đơn vị thuộc quan, tổ chức bị ngưng hoạt động; phần mềm độc hại lây nhiễm tất máy tính trạm 01 (một) phòng, ban đơn vị thuộc quan, tổ chức; c) Sự cố mức độ cao: cố làm cho thiết bị, phần mềm hay hệ thống sử dụng gây ảnh hưởng đến hoạt động quan, tổ chức như: ứng dụng quản lý văn điều hành, cửa điện tử, thơng tin báo cáo tồn quan, tổ chức bị ngưng hoạt động; số thiết bị công nghệ thông tin quan trọng (bộ chuyển mạch trung tâm, thiết bị định tuyến, thiết bị tường lửa, máy chủ quản lý tệp tin chung) bị hư hỏng; d) Sự cố có tính chất nghiêm trọng: cố ảnh hưởng đến liên tục nhiều hoạt động quan, tổ chức toàn hệ thống thiết bị công nghệ thông tin ngừng hoạt động; hệ thống trang thông tin điện tử bị tin tặc (hacker) công, xâm nhập, thay đổi nội dung; cố có nhiều tính chất sau: có khả xảy diện rộng, lan nhanh; có khả phá hoại hệ thống mạng máy tính, lấy cắp liệu; gây thiệt hại lớn cho hệ thống thông tin quan trọng tỉnh như: Trung tâm liệu điện tử, Cổng thông tin điện tử, Cổng dịch vụ công hệ thống thông tin cửa điện tử, hệ thống quản lý văn điều hành, hệ thống thông tin báo cáo, hệ thống thư điện tử công vụ hệ thống thông tin, sở liệu chuyên ngành sở, ban, ngành, địa phương, đòi hỏi tham gia phối hợp nhiều quan, tổ chức tỉnh cần có hỗ trợ quan, đơn vị chuyên trách quốc gia để giải Khi có nguy an tồn thơng tin mạng cố an tồn thơng tin mạng xảy mức độ thấp quan, tổ chức đạo phận, cán chun trách cơng nghệ thơng tin, an tồn thông tin mạng phối hợp với cá nhân bị ảnh hưởng thực tự ngăn chặn, xử lý, khắc phục liên hệ với đơn vị cung cấp sản phẩm, dịch vụ viễn thông, Internet, công nghệ thông tin, đơn vị triển khai ứng dụng phần mềm để tư vấn, hỗ trợ ngăn chặn, xử lý, khắc phục Khi có nguy an tồn thơng tin mạng cố an tồn thơng tin mạng xảy mức độ trung bình trở lên, gặp nguy cơ, cố thông thường mà quan, tổ chức xét thấy khơng có khả tự ngăn chặn, xử lý thực thơng báo báo cáo cho Đội ứng cứu cố an tồn thơng tin mạng tỉnh để tổ chức điều phối, hỗ trợ ứng cứu Đội ứng cứu cố an toàn thông tin mạng tỉnh thực nhiệm vụ theo quy chế hoạt động Ủy ban nhân dân tỉnh ban hành theo hướng dẫn Thông tư số 20/2017/TT-BTTTT ngày 12 tháng năm 2017 Bộ trưởng Bộ Thông tin Truyền thông quy định điều phối, ứng cứu cố an tồn thơng tin mạng toàn quốc Chương III TỔ CHỨC THỰC HIỆN Điều 13 Tổ chức thực Ban Chỉ đạo xây dựng Chính quyền điện tử tỉnh trực tiếp đạo cơng tác bảo đảm an tồn thơng tin mạng hoạt động ứng dụng công nghệ thông tin quan nhà nước địa bàn tỉnh thực chức Ban Chỉ đạo ứng cứu khẩn cấp cố an tồn thơng tin mạng tỉnh Sở Thơng tin Truyền thơng có trách nhiệm: a) Tham mưu, giúp Ủy ban nhân dân tỉnh, Ban Chỉ đạo xây dựng Chính quyền điện tử tỉnh tổ chức triển khai, hướng dẫn, đôn đốc, kiểm tra việc thực Quy chế này; tổng hợp, thực chế độ báo cáo định kỳ, đột xuất tình hình, kết cơng tác bảo đảm an tồn thơng tin mạng cho Bộ Thông tin Truyền thông, Ủy ban nhân dân tỉnh quan, tổ chức có liên quan theo quy định; b) Tham mưu Ủy ban nhân dân tỉnh xây dựng, đầu tư, nâng cấp sách, giải pháp, hạ tầng kỹ thuật, công nghệ phục vụ quản lý, vận hành bảo đảm an toàn thông tin mạng cho Trung tâm liệu điện tử, mạng diện rộng (WAN) hệ thống thông tin dùng chung tỉnh; c) Hàng năm xây dựng kế hoạch, tổng hợp nhu cầu quan, tổ chức để triển khai cơng tác an tồn thơng tin mạng hoạt động ứng dụng công nghệ thông tin quan nhà nước địa bàn tỉnh theo quy định; d) Xây dựng triển khai chương trình đào tạo, bồi dưỡng, tập huấn, diễn tập, hội nghị, hội thảo tuyên truyền, phổ biến, cập nhật kiến thức, kỹ an tồn thơng tin mạng hoạt động ứng dụng công nghệ thông tin quan nhà nước địa bàn tỉnh; thường xuyên cập nhật thông tin, thông báo cho quan, tổ chức biết có biện pháp phịng ngừa, ngăn chặn rủi ro, nguy an tồn thơng tin phần mềm độc hại, xung đột thông tin, công mạng gây ra; đ) Hướng dẫn, giám sát quan, đơn vị địa bàn tỉnh xây dựng quy định nội thực việc bảo đảm an tồn thơng tin mạng cho hệ thống thơng tin theo quy định; chủ trì, phối hợp với quan, tổ chức liên quan tra, kiểm tra, kịp thời phát xử lý theo thẩm quyền hành vi vi phạm an tồn thơng tin mạng địa bàn tỉnh; e) Thực chức Đơn vị chuyên trách ứng cứu cố an tồn thơng tin mạng tỉnh Tham mưu UBND tỉnh thành lập ban hành Quy chế hoạt động Đội ứng cứu cố an tồn thơng tin mạng địa bàn tỉnh Tham gia hoạt động ứng cứu khẩn cấp bảo đảm an tồn thơng tin mạng quốc gia có u cầu từ Bộ Thơng tin Truyền thông Trung tâm ứng cứu khẩn cấp không gian mạng Việt Nam (VNCERT/CC) Công an tỉnh có trách nhiệm: a) Chủ trì, phối hợp với Sở Thông tin Truyền thông quan, tổ chức có liên quan xây dựng kế hoạch, kiểm sốt, phòng ngừa, đấu tranh, ngăn chặn loại tội phạm lợi dụng hệ thống thông tin, môi trường mạng gây phương hại đến an ninh quốc gia, lợi ích quốc gia, an ninh, trật tự, an toàn xã hội địa bàn tỉnh; b) Phối hợp với Sở Thông tin Truyền thông công tác tra, kiểm tra cơng tác bảo đảm an tồn thơng tin mạng; c) Điều tra xử lý tổ chức, cá nhân vi phạm pháp luật an tồn thơng tin mạng theo thẩm quyền Sở Kế hoạch Đầu tư, Sở Tài có trách nhiệm chủ trì, phối hợp với Sở Thông tin Truyền thông quan, tổ chức rà soát, cân đối, tham mưu Ủy ban nhân dân tỉnh bảo đảm nguồn kinh phí triển khai cơng tác bảo đảm an tồn thơng tin mạng cho Trung tâm liệu điện tử, mạng diện rộng (WAN), hệ thống thông tin dùng chung tỉnh, hệ thống thông tin sở, ban, ngành, địa phương xây dựng, trì, phát triển hệ thống phòng, chống phần mềm độc hại tập trung tỉnh Các quan, tổ chức có trách nhiệm: a) Tổ chức quán triệt, thực Quy chế này; tổng hợp, thực chế độ báo cáo định kỳ, đột xuất theo hướng dẫn Sở Thông tin Truyền thơng tình hình, kết cơng tác bảo đảm an tồn thơng tin mạng quan, tổ chức; b) Phân công phận cán chuyên trách bảo đảm an tồn thơng tin mạng quan, tổ chức; tạo điều kiện để cán phụ trách an tồn thơng tin mạng học tập, nâng cao trình độ kiến thức, kỹ an tồn thông tin mạng; c) Ban hành tổ chức thực quy định, quy chế nội bảo đảm an tồn thơng tin mạng phù hợp với Quy chế quy định pháp luật liên quan; thực xác định cấp độ an tồn thơng tin mạng phương án bảo đảm an toàn cho hệ thống thông tin quan, tổ chức quản lý theo quy định; d) Phối hợp, cung cấp thông tin tạo điều kiện cho Đội ứng cứu cố an tồn thơng tin mạng tỉnh đơn vị liên quan triển khai công tác kiểm tra, hỗ trợ ngăn chặn, xử lý, khắc phục nguy cơ, cố an tồn thơng tin mạng kịp thời, nhanh chóng, hiệu quả; đ) Phối hợp chặt chẽ với Công an tỉnh, Sở Thông tin Truyền thông quan, tổ chức liên quan cơng tác phịng ngừa, đấu tranh, ngăn chặn hoạt động xâm phạm an tồn thơng tin mạng Các doanh nghiệp, đơn vị tư vấn, cung cấp sản phẩm, dịch vụ viễn thông, Internet, công nghệ thông tin cho quan nhà nước tỉnh có trách nhiệm: a) Tư vấn, cung cấp sản phẩm, dịch vụ viễn thông, Internet, công nghệ thông tin đáp ứng yêu cầu, tiêu chuẩn, quy chuẩn kỹ thuật bảo mật, an tồn thơng tin theo quy định Bộ Thông tin Truyền thông quy định pháp luật liên quan; b) Tư vấn, hỗ trợ quan, tổ chức ngăn chặn, xử lý, khắc phục hậu nguy an toàn thơng tin mạng cố an tồn thơng tin mạng liên quan đến sản phẩm, dịch vụ viễn thông, Internet, cơng nghệ thơng tin tư vấn, cung cấp Tham gia, phối hợp hoạt động ứng cứu, khắc phục cố an tồn thơng tin mạng có yêu cầu, điều phối Ủy ban nhân dân tỉnh, Sở Thông tin Truyền thông, Đội ứng cứu cố an tồn thơng tin mạng địa bàn tỉnh quan, tổ chức khác có thẩm quyền Cơ quan, đơn vị, tổ chức cá nhân có tham gia hoạt động khai thác, sử dụng, kết nối, chia sẻ liệu với hệ thống thông tin quan nhà nước tỉnh có trách nhiệm tuân thủ Quy chế quy định pháp luật liên quan Điều 14 Trách nhiệm thi hành Ban Chỉ đạo xây dựng Chính quyền điện tử tỉnh; Thủ trưởng sở, ban, ngành cấp tỉnh; Chủ tịch Ủy ban nhân dân cấp huyện; Chủ tịch Ủy ban nhân dân cấp xã; Thủ trưởng quan, đơn vị có tham gia hoạt động tư vấn, cung cấp sản phẩm, dịch vụ viễn thông, Internet, công nghệ thông tin khai thác, sử dụng, kết nối, chia sẻ liệu với hệ thống thông tin quan nhà nước tỉnh tổ chức, cá nhân có liên quan chịu trách nhiệm thi hành quy định Quy chế Trong q trình triển khai thực Quy chế, có vấn đề phát sinh, vướng mắc, quan, đơn vị, tổ chức, cá nhân phản ánh với Ủy ban nhân dân tỉnh (thông qua Sở Thông tin Truyền thông) để xem xét, sửa đổi, bổ sung./