ỦY BAN NHÂN DÂN TỈNH HẢI DUƠNG -Số: 29/2013/QĐ-UBND CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM Độc lập - Tự - Hạnh phúc -Hải Dương, ngày 11 tháng 12 năm 2013 QUYẾT ĐỊNH VỀ VIỆC BAN HÀNH QUY CHẾ BẢO ĐẢM AN TỒN, AN NINH THƠNG TIN TRONG HOẠT ĐỘNG ỨNG DỤNG CÔNG NGHỆ THÔNG TIN CỦA CÁC CƠ QUAN NHÀ NƯỚC TRÊN ĐỊA BÀN TỈNH HẢI DƯƠNG ỦY BAN NHÂN DÂN TỈNH HẢI DƯƠNG Căn Luật Tổ chức HĐND UBND ngày 26 tháng 11 năm 2003; Căn Luật Công nghệ thông tin ngày 29 tháng năm 2006; Căn Nghị định số 64/2007/NĐ-CP ngày 10 tháng năm 2007 Chính phủ ứng dụng công nghệ thông tin hoạt động quan nhà nước; Căn Nghị định số 72/2013/NĐ-CP ngày 15 tháng năm 2013 Chính phủ quản lý, cung cấp, sử dụng dịch vụ Internet thông tin mạng; Căn Thông tư số 27/2011/TT-BTTTT ngày 04 tháng 10 năm 2011 Bộ Thông tin Truyền thông quy định điều phối hoạt động ứng cứu cố mạng Internet Việt Nam; Theo đề nghị Giám đốc Sở Thông tin Truyền thơng Tờ trình số 787/TTr-STTTT ngày 25/11/2013, QUYẾT ĐỊNH: Điều Ban hành kèm theo Quyết định Quy chế bảo đảm an tồn, an ninh thơng tin hoạt động ứng dụng công nghệ thông tin quan nhà nước địa bàn tỉnh Hải Dương Điều Quyết định có hiệu lực thi hành sau 10 ngày kể từ ngày ký Điều Chánh Văn phịng UBND tỉnh; Giám đốc Sở Thơng tin Truyền thông; Giám đốc Sở, Ban, Ngành tỉnh; Chủ tịch UBND huyện, thị xã, thành phố Tổ chức, cá nhân có liên quan chịu trách nhiệm thi hành Quyết định này./ TM ỦY BAN NHÂN DÂN TỈNH KT CHỦ TỊCH Nơi nhận: PHÓ CHỦ TỊCH - Như Điều 3; - Bộ Thông tin Truyền thông; - Cục Kiểm tra văn Bộ Tư pháp; - Thường trực Tỉnh ủy, HĐND&Đoàn ĐBQH tỉnh; - Chủ tịch, PCT UBND tỉnh; - Văn phòng Tỉnh ủy; - Lãnh đạo VP UBND tỉnh; - Trung tâm Công báo tỉnh; - Cổng thông tin điện tử tỉnh; - Lưu: VT (80)Nam Nguyễn Dương Thái QUY CHẾ BẢO ĐẢM AN TỒN, AN NINH THƠNG TIN TRONG HOẠT ĐỘNG ỨNG DỤNG CÔNG NGHỆ THÔNG TIN CỦA CÁC CƠ QUAN NHÀ NƯỚC TRÊN ĐỊA BÀN TỈNH HẢI DƯƠNG (Ban hành kèm theo Quyết định số 29/2013/QĐ-UBND ngày 11 tháng 12 năm 2013 Ủy ban nhân dân tỉnh Hải Dương) Chương I QUY ĐỊNH CHUNG Điều Phạm vi điều chỉnh đối tượng áp dụng Quy chế quy định cơng tác bảo đảm an tồn, an ninh thông tin hoạt động ứng dụng công nghệ thông tin quan nhà nước địa bàn tỉnh (sau gọi tắt bảo đảm an toàn, an ninh thông tin); trách nhiệm quan, đơn vị, cán bộ, công chức, viên chức việc bảo đảm an tồn, an ninh thơng tin Quy chế áp dụng Sở, Ban, Ngành, Ủy ban nhân dân huyện, thị xã, thành phố thuộc tỉnh (sau gọi chung quan, đơn vị) cán bộ, công chức, viên chức quan, đơn vị Đối với lực lượng vũ trang tỉnh, việc thực theo quy định Quy chế thực theo quy định riêng ngành việc bảo đảm an toàn, an ninh thơng tin Điều Giải thích từ ngữ Trong Quy chế này, từ ngữ hiểu sau: An tồn thơng tin: Là bảo vệ thông tin hệ thống thông tin tránh bị truy nhập, sử dụng, tiết lộ, gián đoạn, sửa đổi phá hoại trái phép nhằm bảo đảm tính nguyên vẹn, tính bảo mật tính khả dụng thơng tin An ninh thông tin: Là việc bảo đảm thông tin mạng không gây phương hại đến an ninh quốc gia, trật tự an tồn xã hội, bí mật nhà nước, quyền lợi ích hợp pháp tổ chức, cá nhân 3 Hệ thống thông tin: Là tập hợp thiết bị viễn thông, công nghệ thông tin bao gồm phần cứng, phần mềm (Cổng/trang thông tin điện tử, hệ thống thư điện tử, phần mềm quản lý văn hồ sơ công việc, hệ thống giao ban trực tuyến, phần mềm dịch vụ công trực tuyến, ) sở liệu phục vụ cho hoạt động lưu trữ, xử lý, truyền đưa, chia sẻ, trao đổi, cung cấp sử dụng thông tin Mạng riêng ảo: Là mạng dành riêng sử dụng hệ thống mạng công cộng (thường Internet) để kết nối máy tính xa lại với Nó thiết lập phép máy tính gửi nhận liệu với tất chức năng, sách quản lý bảo mật mạng nội Cổng giao tiếp: Để định danh ứng dụng gửi nhận liệu, ứng dụng tương ứng với cổng giao tiếp, ứng dụng phổ biến đặt với số hiệu cổng định trước nhằm định danh ứng dụng Khi máy tính sử dụng dịch vụ cổng giao tiếp tương ứng với dịch vụ mở Giao thức: Là tập hợp quy tắc, quy ước truyền thông chuẩn mà tất thực thể tham gia truyền thơng phải tn theo để kết nối trao đổi thông tin với Thiết bị chuyển mạch: Là thiết bị dùng để kết nối đoạn mạng với Tường lửa: Là rào chắn lập nhằm ngăn chặn người dùng mạng Internet truy cập thông tin không mong muốn (và) ngăn chặn người dùng từ bên ngồi truy nhập thơng tin bảo mật nằm mạng nội bộ, thiết bị phần cứng (hoặc) phần mềm hoạt động môi trường mạng để ngăn chặn số liên lạc bị cấm sách an ninh cá nhân hay tổ chức Bản ghi nhật ký hệ thống thông tin: Là tệp tin tạo thiết bị hệ thống thơng tin có chứa tất thơng tin hoạt động xảy thiết bị Bản ghi nhật ký hệ thống thông tin dùng để phân tích kiện xảy ra, nguồn gốc kết để có biện pháp xử lý thích hợp Chương II CƠNG TÁC BẢO ĐẢM AN TỒN, AN NINH THƠNG TIN Điều Xây dựng hệ thống thông tin Khi xây dựng hệ thống thông tin, quan, đơn vị cần phải: Tổ chức hệ thống mạng phù hợp để tăng cường tính bảo mật Các quan, đơn vị có nhiều phịng, ban, đơn vị trực thuộc không nằm khu vực, cần thiết lập mạng riêng ảo để bảo đảm an ninh cho mạng nội Khi thiết lập dịch vụ môi trường mạng Internet, cung cấp chức thiết yếu bảo đảm trì hoạt động hệ thống thông tin, hạn chế sử dụng chức năng, cổng giao tiếp, giao thức dịch vụ mạng không cần thiết 2 Đối với việc lắp đặt mạng không dây để kết nối với mạng nội bộ, cần thiết lập, cấu hình thơng số, đặt mật thường xuyên thay đổi mật nhằm bảo đảm công tác bảo mật Trang bị thiết bị chuyển mạch bảo đảm khả cung cấp chức quản trị nhằm tăng cường độ an toàn bảo mật cho hệ thống mạng Trang bị, cài đặt tường lửa bảo đảm khả xử lý số lượng kết nối đồng thời cao chịu thông lượng cao, hỗ trợ công nghệ mạng riêng ảo thơng dụng có phần cứng mã hóa tích hợp để tăng tốc độ mã hóa liệu, cung cấp đầy đủ chế bảo mật, quản lý luồng liệu vào có khả bảo vệ hệ thống thông tin trước loại công từ chối dịch vụ; trang bị thiết bị phát phòng chống xâm nhập trái phép Bố trí phịng máy chủ độc lập, bảo đảm khơ, thoáng, nguồn điện cung cấp ổn định cao, trang bị máy điều hòa nhiệt độ cho vận hành liên tục, lắp đặt thiết bị chống sét hệ thống phòng cháy chữa cháy Phòng máy chủ giao cho cán có chun mơn cơng nghệ thông tin trực tiếp quản lý, cán không liên quan khơng vào phịng máy chủ Cài đặt phần mềm hệ điều hành, phần mềm ứng dụng, phần mềm quản trị sở liệu, phần mềm chống vi-rút máy tính có quyền máy chủ, máy trạm, thiết bị, phương tiện kỹ thuật hệ thống mạng; cài đặt phần mềm tiện ích để đánh giá, tìm kiếm lỗ hổng bảo mật Tạo tài khoản phân quyền người dùng để truy nhập hệ thống thông tin; yêu cầu người dùng đặt mật với độ an toàn cao; thiết lập giới hạn số hữu hạn lần đăng nhập sai liên tiếp vào hệ thống thông tin, liên tục đăng nhập sai vượt số lần quy định hệ thống thơng tin phải tự động khóa tài khoản cô lập tài khoản khoảng thời gian định trước tiếp tục cho đăng nhập Cấu hình hệ thống thơng tin bảo đảm ghi nhận đầy đủ thông tin, kiện ghi nhật ký hệ thống thông tin; lưu giữ nội dung nhật ký hệ thống thông tin khoảng thời gian tối thiểu năm để phục vụ việc quản lý, kiểm sốt hệ thống thơng tin Thiết lập phương án dự phòng để bảo đảm hệ thống thông tin hoạt động liên tục 24/24 Điều Sử dụng hệ thống thông tin Khi sử dụng hệ thống thông tin, quan, đơn vị cần phải: Có kế hoạch kiểm tra, bảo dưỡng định kỳ thiết bị thuộc hệ thống thông tin; trì phù hợp, cách an tồn thiết bị với yêu cầu thời gian thông số kỹ thuật nhà cung cấp Thực quản lý chặt chẽ tài khoản truy nhập hệ thống thông tin; yêu cầu người dùng thường xuyên thay đổi mật khẩu; định kỳ tổ chức kiểm tra tài khoản truy nhập hệ thống thông tin; hủy tài khoản truy nhập hệ thống thông tin thu hồi tài liệu, hồ sơ, thông tin liên quan tới tài khoản bị hủy bỏ cán bộ, nhân viên nghỉ việc chuyển công tác; tổ chức theo dõi, kiểm soát tất phương pháp truy nhập từ xa tới hệ thống thông tin, bao gồm truy nhập có chức quản trị Thường xuyên kiểm tra, lưu ghi nhật ký hệ thống thông tin để lưu vết kiện xảy Thường xuyên cập nhật phiên mới, vá lỗi phần mềm hệ điều hành, phần mềm ứng dụng, phần mềm quản trị sở liệu, phần mềm chống vi-rút máy tính nhằm bảo đảm khả phát hiện, ngăn chặn, loại trừ vi-rút máy tính xâm nhập tin tặc vào hệ thống thông tin; thực chế độ quét vi-rút máy tính thường xuyên Tổ chức cấp phát tài nguyên máy chủ theo danh mục thư mục cho phòng, ban; kiểm tra, giám sát việc chia sẻ tài nguyên, khuyến cáo người sử dụng cân nhắc việc chia sẻ tài nguyên máy trạm, sử dụng chức chia sẻ tài nguyên cần phải sử dụng mật để bảo vệ thực việc thu hồi chức sử dụng xong Không phát triển, kiểm thử, cài đặt ứng dụng thử nghiệm hệ thống vận hành thức để giảm thiểu rủi ro an tồn thơng tin Bố trí máy vi tính riêng, khơng kết nối mạng nội Internet dùng để soạn thảo văn bản, lưu giữ thơng tin có nội dung mật theo quy định; cần có chế đặc biệt nhằm bảo vệ liệu, thông tin nhạy cảm quan, đơn vị truyền tải qua mạng công cộng để bảo đảm tính tồn vẹn bí mật thông tin Thực định kỳ việc lưu liệu hệ điều hành, phần mềm ứng dụng, phần mềm chuyên ngành, sở liệu quan trọng phục vụ công tác quan, đơn vị phần mềm chuyên dụng, chép thiết bị lưu trữ ngoài, thực việc đánh số, dán nhãn để tránh nhầm lẫn cất giữ nơi an toàn; đồng thời thường xuyên kiểm tra để bảo đảm tính sẵn sàng phục hồi tồn vẹn thơng tin Tắt máy tính trạm ngưng kết nối mạng trường hợp máy tính khơng sử dụng thời gian dài (quá làm việc) để phòng tránh tin tặc lợi dụng chức điều khiển từ xa, sử dụng máy tính cơng vào hệ thống thông tin khác; quét vi-rút máy tính trước mở tệp tin kèm theo thư điện tử biết rõ người gửi, tệp tin tải từ Internet, tệp tin thiết bị lưu trữ ngồi khơng mở tệp tin kèm theo thư điện tử có nguồn gốc khơng rõ ràng để phịng ngừa vi-rút máy tính xâm nhập vào máy tính; đặt mật truy nhập vào máy tính, đồng thời thiết lập chế độ bảo vệ hình có sử dụng mật bảo vệ sau khoảng thời gian định khơng sử dụng máy tính 10 Thường xuyên theo dõi hoạt động hệ thống thông tin Khi phát cố máy chủ bị công, cần thông báo cho Sở Thông tin Truyền thông để hướng dẫn, hỗ trợ khắc phục cố Điều Nâng cấp hệ thống thông tin Khi nâng cấp hệ thống thông tin, quan, đơn vị cần phải: Rà soát, đánh giá hệ thống có để lựa chọn phương án tối ưu sở sử dụng hạ tầng, sở liệu, giải pháp bảo mật, có Sau nâng cấp hệ thống, cần bổ sung biện pháp kỹ thuật để đảm bảo hệ thống hoạt động tốt Chương III TRÁCH NHIỆM BẢO ĐẢM AN TỒN, AN NINH THƠNG TIN Điều Trách nhiệm quan, đơn vị Xây dựng quy chế nội bảo đảm an tồn, an ninh thơng tin quan, đơn vị sở nội dung quy định Điều 3, Điều Điều Quy chế này, quy định rõ quyền trách nhiệm phận, cán bộ, công chức, viên chức Lập dự tốn kinh phí chi thường xuyên hàng năm cho hoạt động liên quan đến việc bảo đảm an tồn, an ninh thơng tin quan, đơn vị Phối hợp với Sở Thông tin Truyền thông, Công an tỉnh để phổ biến kiến thức máy tính, mạng máy tính, an tồn, an ninh thơng tin cho cán bộ, công chức, viên chức trước truy nhập sử dụng hệ thống thơng tin; bố trí cán có chun mơn có am hiểu đào tạo sâu công nghệ thông tin bảo đảm an tồn, an ninh thơng tin trước tiến hành hoạt động quản lý, vận hành, bảo trì, nâng cấp hệ thống thông tin; tạo điều kiện cho cán bộ, công chức, viên chức học tập, tiếp thu công nghệ, kiến thức an tồn, an ninh thơng tin, đặc biệt cán phụ trách công nghệ thông tin Phối hợp chặt chẽ với Công an cơng tác phịng ngừa, đấu tranh, ngăn chặn hoạt động xâm phạm an ninh thông tin Tạo điều kiện thuận lợi phối hợp với quan chức cơng tác kiểm tra an tồn, an ninh thông tin, điều tra nguyên nhân gây cố khắc phục cố Báo cáo định kỳ hàng năm tình hình an tồn, an ninh thông tin hoạt động ứng dụng công nghệ thông tin quan, đơn vị gửi Sở Thông tin Truyền thông trước ngày 25 tháng 12 để tổng hợp chung báo cáo Ủy ban nhân dân tỉnh Điều Trách nhiệm Sở Thông tin Truyền thông Tham mưu Ủy ban nhân dân tỉnh cơng tác bảo đảm an tồn thơng tin hoạt động ứng dụng công nghệ thông tin quan, đơn vị địa bàn tỉnh, cụ thể: quy trình, sách chung; thẩm định đầu tư thiết bị phần cứng, phần mềm, hạ tầng mạng truyền thơng; đào tạo an tồn thơng tin cho cán bộ, công chức, viên chức; tổ chức hội thảo chuyên ngành ứng cứu cố máy tính, đảm bảo an tồn hệ thống thơng tin; tổ chức bảo đảm an tồn thơng tin cho hệ thống thơng tin dùng chung cấp tỉnh phục vụ lãnh đạo, điều hành lãnh đạo tỉnh nhanh chóng, an tồn, hiệu 2 Chủ trì, phối hợp với Cơng an tỉnh, Báo Hải Dương, Đài Phát Truyền hình tỉnh quan báo chí khác đẩy mạnh tuyên truyền nâng cao nhận thức an toàn, an ninh thông tin hoạt động ứng dụng công nghệ thông tin địa bàn tỉnh Thông báo cho quan, đơn vị biết hướng dẫn biện pháp kỹ thuật nghiệp vụ phòng ngừa, ngăn chặn nguy gây an tồn thơng tin Chủ trì, phối hợp với quan, đơn vị liên quan xử lý, ứng cứu cố máy tính quan, đơn vị Lập dự tốn kinh phí chi thường xun bảo đảm cho hoạt động ứng cứu cố máy tính hệ thống thơng tin chung tồn tỉnh (như Trung tâm tích hợp liệu, hệ thống giao ban trực tuyến, Cổng thông tin điện tử, hệ thống thư điện tử, hạ tầng truyền dẫn,…) Chủ trì, phối hợp với Công an tỉnh ngành liên quan tổ chức kiểm tra theo định kỳ đột xuất phát có dấu hiệu, hành vi vi phạm an tồn, an ninh thông tin hoạt động ứng dụng công nghệ thông tin xử phạt theo quy định Điều Trách nhiệm Công an tỉnh Tham mưu Ủy ban nhân dân tỉnh công tác bảo đảm an ninh thông tin hoạt động ứng dụng công nghệ thông tin quan, đơn vị địa bàn tỉnh; đào tạo, bồi dưỡng kiến thức an ninh thông tin cho cán bộ, công chức, viên chức Thường xuyên thông báo cho quan, đơn vị phương thức, thủ đoạn loại tội phạm xâm phạm an ninh thông tin để có biện pháp phịng ngừa, ngăn chặn, đấu tranh Phối hợp với Sở Thông tin Truyền thông ngành liên quan tiến hành kiểm tra theo định kỳ đột xuất phát có dấu hiệu, hành vi vi phạm an tồn, an ninh thơng tin hoạt động ứng dụng công nghệ thông tin Điều tra xử lý trường hợp vi phạm an ninh thông tin theo thẩm quyền Chương IV TỔ CHỨC THỰC HIỆN Điều Điều khoản thi hành Sở Thơng tin Truyền thơng chủ trì, phối hợp với quan, đơn vị triển khai thực nghiêm Quy chế Trong q trình thực hiện, có vướng mắc, phát sinh, quan, đơn vị phản ánh Sở Thông tin Truyền thông để tổng hợp, báo cáo Ủy ban nhân dân tỉnh xem xét, sửa đổi, bổ sung cho phù hợp./  ... CÁC CƠ QUAN NHÀ NƯỚC TRÊN ĐỊA BÀN TỈNH HẢI DƯƠNG (Ban hành kèm theo Quyết định số 29/ 2013/QĐ -UBND ngày 11 tháng 12 năm 2013 Ủy ban nhân dân tỉnh Hải Dương) Chương I QUY ĐỊNH CHUNG Điều Phạm vi điều... Bộ Tư pháp; - Thường trực Tỉnh ủy, HĐND&Đoàn ĐBQH tỉnh; - Chủ tịch, PCT UBND tỉnh; - Văn phòng Tỉnh ủy; - Lãnh đạo VP UBND tỉnh; - Trung tâm Công báo tỉnh; - Cổng thông tin điện tử tỉnh; - Lưu:... nhật ký hệ thống thông tin; lưu giữ nội dung nhật ký hệ thống thông tin khoảng thời gian tối thiểu năm để phục vụ việc quản lý, kiểm soát hệ thống thông tin Thiết lập phương án dự phịng để bảo đảm