UỶ BAN NHÂN DÂN TỈNH TUYÊN QUANG CỘNG HOÀ XÃ HỘI CHỦ NGHĨA VIỆT NAM Số: 17/2014/QĐ-UBND Tuyên Quang, ngày 21 tháng 10 năm 2014 Độc lập - Tự - Hạnh phúc QUYẾT ĐỊNH Ban hành Quy chế Đảm bảo an tồn, an ninh thơng tin hoạt động ứng dụng công nghệ thông tin quan nhà nước tỉnh Tuyên Quang UỶ BAN NHÂN DÂN TỈNH TUYÊN QUANG Căn Luật Tổ chức Hội đồng nhân dân Uỷ ban nhân dân ngày 26 tháng 11 năm 2003; Căn Luật Ban hành văn quy phạm pháp luật Hội đồng nhân dân, Ủy ban nhân dân ngày 03 tháng 12 năm 2004; Căn Luật Giao dịch điện tử ngày 29 tháng 11 năm 2005; Căn Luật Công nghệ thông tin ngày 29 tháng năm 2006; Căn Nghị định số 64/2007/NĐ-CP ngày 10 tháng năm 2007 Chính phủ Ứng dụng công nghệ thông tin hoạt động quan nhà nước; Căn Nghị định số 72/2013/NĐ-CP ngày 15 tháng năm 2013 Chính phủ Quản lý, cung cấp, sử dụng dịch vụ internet thông tin mạng; Căn Chỉ thị số 15/CT-TTg ngày 17 tháng năm 2014 Thủ tướng Chính phủ tăng cường công tác đảm bảo an ninh an tồn thơng tin mạng tình hình mới; Theo đề nghị Sở Thông tin Truyền thông Tờ trình số 36/TTrSTTTT ngày 18/8/2014 việc ban hành Quy chế đảm bảo an tồn, an ninh thơng tin hoạt động ứng dụng công nghệ thông tin quan nhà nước tỉnh Tuyên Quang, QUYẾT ĐỊNH: Điều Ban hành kèm theo Quyết định Quy chế đảm bảo an tồn, an ninh thơng tin hoạt động ứng dụng công nghệ thông tin quan nhà nước tỉnh Tuyên Quang Điều Giao Sở Thông tin Truyền thông hướng dẫn, kiểm tra đôn đốc sở, ban, ngành, Ủy ban nhân dân huyện, thành phố quan có liên quan thực Quyết định Điều Quyết định có hiệu lực thi hành kể từ ngày 01/11/2014 Chánh Văn phịng Ủy ban nhân dân tỉnh; Giám đốc Sở Thơng tin Truyền thông, Giám đốc sở; thủ trưởng ban, ngành thuộc tỉnh; Chủ tịch Ủy ban nhân dân huyện, thành phố; quan, đơn vị tổ chức, cá nhân có liên quan chịu trách nhiệm thi hành định này./ Nơi nhận: - Văn phịng Chính phủ; - Bộ Thơng tin Truyền thơng; (Báo cáo) - TT Tỉnh uỷ; - TTHĐND tỉnh; - Cục kiểm tra VBQPPL - Bộ Tư pháp; - Đoàn đại biểu Quốc hội tỉnh; - Chủ tịch UBND tỉnh; - Phó Chủ tịch UBND tỉnh; - Uỷ ban MTTQ đoàn thể tỉnh; - Các ban Đảng, Văn phịng Tỉnh ủy; - Cơng báo Tun Quang; - Như Điều 3; - CVP, PCVP UBND tỉnh; - Lưu: VT TM UỶ BAN NHÂN DÂN CHỦ TỊCH (Đã ký) Chẩu Văn Lâm UỶ BAN NHÂN DÂN TỈNH TUYÊN QUANG CỘNG HOÀ XÃ HỘI CHỦ NGHĨA VIỆT NAM Độc lập - Tự - Hạnh phúc QUY CHẾ Đảm bảo an tồn, an ninh thơng tin hoạt động ứng dụng công nghệ thông tin quan nhà nước tỉnh Tuyên Quang (Ban hành kèm theo Quyết định số 17/2014/QĐ-UBND, ngày 21/10/2014 Uỷ ban nhân dân tỉnh Tuyên Quang) Chương I QUY ĐỊNH CHUNG Điều Phạm vi điều chỉnh Quy chế quy định công tác đảm bảo an tồn, an ninh thơng tin hoạt động ứng dụng, phát triển công nghệ thông tin quan nhà nước; trách nhiệm quan nhà nước việc thực biện pháp nhằm đảm bảo an tồn, an ninh thơng tin địa bàn tỉnh Tuyên Quang Điều Đối tượng áp dụng Quy chế áp dụng quan quản lý hành nhà nước đơn vị nghiệp địa bàn tỉnh Tuyên Quang (sau gọi tắt quan, đơn vị) Các cán bộ, công chức, viên chức làm việc quan, đơn vị nêu khoản Điều áp dụng Quy định việc vận hành, khai thác sử dụng hệ thống thông tin quan, đơn vị Điều Nguyên tác áp dụng Những vấn đề không quy định Quy chế thực theo quy định Luật Cơng nghệ thơng tin; Nghị định số 64/2007/NĐ-CP Chính phủ văn pháp luật có liên quan Điều Giải thích từ ngữ Trong Quy chế này, từ ngữ hiểu sau: Cấu hình chuẩn: Là cấu hình nhà sản xuất thiết bị, phần mềm, khuyến nghị áp dụng, nhằm loại bỏ xung đột, lỗ hổng xảy trình cấu hình thiết bị Cổng giao tiếp (Port): Để định danh ứng dụng gửi nhận liệu, ứng dụng tương ứng với cổng giao tiếp, ứng dụng phổ biến đặt với số hiệu cổng định trước, nhằm định danh ứng dụng Khi máy tính sử dụng dịch vụ cổng giao tiếp tương ứng với dịch vụ mở Giao thức: Là tập hợp quy tắc, quy ước truyền thông mạng mà tất thực thể tham gia truyền thông phải tuân theo Bản ghi nhật ký hệ thống (Logfile): Là tập tin tạo thiết bị hệ thống thông tin tường lửa, máy chủ ứng dụng, có chứa tất thông tin hoạt động xảy thiết bị Bản ghi nhật ký hệ thống dùng để phân tích kiện xảy ra, nguồn gốc kết để có biện pháp xử lý thích hợp Mạng ngang hàng: Là mạng mà máy tính có quyền bình đẳng nhau, máy tính có quyền chia sẻ tài nguyên sử dụng tài nguyên từ máy tính khác Chương II NỘI DUNG ĐẢM BẢO AN TOÀN, AN NINH THÔNG TIN Điều Các biện pháp chung đảm bảo an tồn, an ninh thơng tin Đối với quan, đơn vị: a) Trang bị đầy đủ kiến thức bảo mật cho cán bộ, công chức, viên chức trước cho phép truy nhập sử dụng hệ thống thơng tin; b) Bố trí cán bộ, công chức, viên chức phụ trách an tồn hệ thống thơng tin (sau gọi tắt cán phụ trách) Cán phụ trách đảm bảo điều kiện học tập, tiếp cận công nghệ, kiến thức an tồn bảo mật thơng tin trước tiến hành hoạt động quản lý hay kỹ thuật nghiệp vụ; c) Xác định phân bổ kinh phí cho hoạt động liên quan đến việc bảo vệ hệ thống thông tin, thông qua việc đầu tư thiết bị tường lửa, chương trình chống thư rác, virus máy tính máy trạm, máy chủ, cơng việc khác có liên quan đến việc bảo đảm an tồn, an ninh thơng tin; d) Các quan, đơn vị phải bố trí 01 máy vi tính riêng, khơng kết nối mạng nội Internet dùng để quản lý, lưu giữ, soạn thảo tài liệu mật theo quy định Nghiêm cấm lưu trữ, trao đổi, xử lý, hiển thị thông tin, tài liệu có nội dung bí mật nhà nước, bí mật nội mạng viễn thơng, Internet khơng có biện pháp bảo mật theo quy định; kết nối máy tính, thiết bị điện tử có chứa thơng tin bí mật nhà nước, bí mật nội vào mạng Internet; đ) Kiểm tra việc thực nội dung Điều Quy chế Đối với cán phụ trách quan đơn vị: a) Triển khai, thực nội dung Điều Quy chế này; b) Tham mưu biện pháp bảo đảm an tồn thơng tin; vận hành an tồn hệ thống thơng tin đơn vị, triển khai biện pháp bảo đảm an tồn, an ninh thơng tin cho tất cán bộ, cơng chức, viên chức đơn vị mình; c) Thường xuyên cập nhật cấu hình chuẩn cho thành phần hệ thống thông tin, thiết lập cấu hình chặt chẽ cho sản phẩm an tồn thơng tin trì u cầu hoạt động hệ thống thông tin; d) Khi thực việc cấu hình hệ thống thơng tin cung cấp chức thiết yếu nhất; xác định chức năng, cổng giao tiếp mạng, giao thức, dịch vụ không cần thiết để cấm hạn chế sử dụng; đ) Thường xuyên thực việc theo dõi ghi nhật ký hệ thống (logfile) kiện khác có liên quan để đánh giá, báo cáo rủi ro mức độ nghiêm trọng rủi ro đó; e) Kiểm soát chặt chẽ việc cài đặt phần mềm vào máy trạm máy chủ Đối với cán bộ, cơng chức, viên chức: a) Thường xun cập nhật sách, thủ tục an tồn thơng tin đơn vị thực hướng dẫn an toàn, an ninh thông tin cán phụ trách; b) Hạn chế việc sử dụng chức chia sẻ tài nguyên (sharing), sử dụng chức cần bật thuộc tính bảo mật mật thực việc thu hồi chức sử dụng xong; c) Các máy tính khơng sử dụng thời gian dài (quá 02 làm việc) cần tắt máy ngưng kết nối mạng (trừ hệ thống máy chủ); d) Khi mở tập tin đính kèm theo thư điện tử, biết rõ người gửi thư phải lưu tập tin vào máy tính quét virus trước mở, khơng mở thư điện tử có tập tin đính kèm có nguồn gốc khơng rõ ràng để phịng, tránh virus, phần mềm gián điệp đính kèm theo thư; đ) Phải đặt mật truy nhập vào máy tính mình, đồng thời thiết lập chế độ bảo vệ hình (screen saver) có sử dụng mật bảo vệ sau khoảng thời gian định khơng sử dụng máy tính Khi gắn thiết bị lưu trữ vào máy tính, khơng trực tiếp truy cập mà phải quét virus trước; e) Khi đặt loại mật (tệp tin, máy tính, thư điện tử, tài khoản phần mềm quản lý văn bản, ) nên nhiều ký tự, có số chữ; đồng thời loại mật nên thay đổi sau khoảng thời gian đưa vào sử dụng (khoảng sau 01 tháng), có dấu hiệu lộ phải thay đổi Điều Các biện pháp kỹ thuật đảm bảo an tồn, an ninh thơng tin Tổ chức mơ hình mạng: a) Cài đặt, cấu hình, tổ chức hệ thống mạng theo mơ hình Clients/Server, hạn chế sử dụng mơ hình mạng ngang hàng Đối với quan, đơn vị có nhiều phịng, ban, đơn vị trực thuộc khơng nằm khu vực cần thiết lập mạng riêng ảo (VPN) để tăng cường an ninh cho hạ tầng mạng nội bộ; b) Khi thiết lập dịch vụ môi trường mạng Internet, cung cấp chức thiết yếu bảo đảm trì hoạt động hệ thống thơng tin; hạn chế sử dụng chức năng, cổng giao tiếp mạng, giao thức dịch vụ không cần thiết Quản lý hệ thống mạng không dây: Khi thiết lập mạng không dây để kết nối với mạng cục thông qua điểm truy nhập (Access Point -AP), cần thiết lập tham số như: tên, mật khẩu, mã hóa liệu thông báo thông tin liên quan đến AP để quan sử dụng, định kỳ tháng thay đổi mật nhằm tăng cường công tác bảo mật Tổ chức quản lý tài khoản hệ thống thơng tin, bao gồm: Tạo mới, kích hoạt, sửa đổi, vơ hiệu hóa loại bỏ tài khoản Thường xuyên kiểm tra tài khoản hệ thống thông tin triển khai công cụ tự động để hỗ trợ việc quản lý tài khoản hệ thống Hủy tài khoản, quyền truy nhập hệ thống thông tin, thu hồi lại tất tài sản liên quan tới hệ thống thơng tin (khóa, thẻ nhận dạng, thư mục lưu trữ, ) cán bộ, công chức, viên chức, nhân viên chuyển công tác chấm dứt hợp đồng lao động đảm bảo khả truy cập vào hồ sơ tạo cán bộ, công chức, viên chức nhân viên Quản lý đăng nhập hệ thống: Các hệ thống thông tin cần giới hạn số hữu hạn lần đăng nhập sai liên tiếp Hệ thống tự động khóa tài khoản lập tài khoản khoảng thời gian định trước tiếp tục cho đăng nhập liên tục đăng nhập sai vượt số lần quy định Tổ chức theo dõi, kiểm soát tất phương pháp truy nhập từ xa (quay số, Internet…) tới hệ thống thông tin, tăng cường việc sử dụng mạng riêng ảo (VPN - Virtual Private Network) có nhu cầu làm việc từ xa Quản lý Logfile: Hệ thống thông tin cần ghi nhận kiện cần thiết phục vụ q trình kiểm sốt: q trình đăng nhập hệ thống, thao tác cấu hình hệ thống, trình truy xuất hệ thống, ghi nhận đầy đủ thông tin ghi nhật ký để xác định kiện xảy ra, nguồn gốc kết kiện để có chế bảo vệ lưu giữ nhật ký khoảng thời gian định Chống mã độc, virus: Lựa chọn, triển khai phần mềm phòng chống virus, thư rác máy trạm, máy chủ, thiết bị di động mạng hệ thống thông tin xung yếu như: Cổng/trang thông tin điện tử, thư điện tử, cửa điện tử,… để phát hiện, loại trừ đoạn mã độc hại Thường xuyên cập nhật phiên mới, vá lỗi phần mềm chống virus, thiết lập chế độ quét tự động thường xuyên tuần 6 Tổ chức quản lý tài nguyên: Kiểm tra, giám sát chức chia sẻ thông tin (Network File and Folder Sharing); khuyến cáo người sử dụng cân nhắc việc chia sẻ tài nguyên cục máy sử dụng Khi thực việc chia sẻ tài nguyên máy chủ máy cục phải sử dụng mật để bảo vệ thông tin Thiết lập chế lưu phục hồi hệ thống: Hệ thống thơng tin phải có chế lưu thơng tin mức người dùng mức hệ thống, thông tin lưu phải lưu trữ nơi an toàn; đồng thời thường xuyên kiểm tra để đảm bảo khả phục hồi hệ thống có cố xảy Xử lý khẩn cấp: Khi phát hệ thống bị công, thông qua dấu hiệu luồng tin tăng lên bất ngờ, nội dung trang chủ Web bị thay đổi, hệ thống hoạt động chậm khác thường, cần thực bước sau: a) Bước 1: Ngắt kết nối máy chủ khỏi mạng; b) Bước 2: Sao chép logfile toàn liệu hệ thống thiết bị lưu trữ (phục vụ cho cơng tác phân tích); c) Bước 3: Khôi phục hệ thống cách sử dụng liệu backup để hệ thống hoạt động; d) Bước 4: Thực công việc quy định khoản Điều 10 Hệ thống thông tin cần có chế ngăn chặn hạn chế cố gây công từ chối dịch vụ (DoS, DDoS) Đối với hệ thống thông tin cho phép truy nhập cơng cộng bảo vệ cách tăng dung lượng, băng thông thiết lập hệ thống dự phòng Điều Xây dựng quy chế nội đảm bảo an tồn, an ninh thơng tin Các quan, đơn vị phải ban hành quy chế nội bộ, đảm bảo quy định rõ vấn đề sau: Mục tiêu phương hướng thực cơng tác đảm bảo an tồn an ninh cho hệ thống thông tin 7 Nguyên tắc phân loại quản lý mức độ ưu tiên tài nguyên hệ thống thông tin (phần mềm, liệu, trang thiết bị…) Quản lý phân quyền trách nhiệm cá nhân tham gia sử dụng hệ thống thông tin Quản lý điều hành hệ thống máy chủ, thiết bị mạng, thiết bị bảo vệ mạng cách an toàn Kiểm tra, rà sốt khắc phục cố an tồn an ninh hệ thống thông tin sử dụng biện pháp Điều Điều Quy chế Báo cáo tổng hợp tình hình an tồn, an ninh hệ thống thông tin theo định kỳ Các biện pháp tổ chức thực Chương III TRÁCH NHIỆM ĐẢM BẢO AN TỒN, AN NINH THƠNG TIN Điều Sở Thông tin Truyền thông Tham mưu với Ủy ban nhân dân tỉnh công tác đảm bảo an tồn, an ninh thơng tin địa bàn tỉnh chịu trách nhiệm trước Ủy ban nhân dân tỉnh việc đảm bảo an toàn an ninh cho hệ thống thông tin cấp tỉnh Hàng năm xây dựng kế hoạch, dự tốn nguồn kinh phí để triển khai cơng tác an tồn an ninh thơng tin phục vụ cho việc vận hành hệ thống thông tin Ủy ban nhân dân tỉnh giao quản lý Xây dựng triển khai chương trình đào tạo, hội nghị tuyên truyền an toàn, an ninh thông tin công tác quản lý Nhà nước địa bàn tỉnh Tùy theo mức độ cố, phối hợp với Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam (VNCERT) đơn vị có liên quan hướng dẫn xử lý, ứng cứu cố an tồn, an ninh thơng tin Hướng dẫn, giám sát quan, đơn vị địa bàn tỉnh xây dựng quy chế thực việc đảm bảo an tồn, an ninh cho hệ thống thơng tin theo quy định Nhà nước 8 Chủ trì, phối hợp với Công an tỉnh đơn vị có liên quan tiến hành tra, kiểm tra cơng tác đảm bảo an tồn, an ninh thơng tin quan nhà nước cấp tỉnh, Ủy ban nhân dân huyện, thành phố Xử lý theo thẩm quyền hành vi vi phạm an toàn, an ninh thông tin gây thiệt hại cho hệ thống thông tin quan Nhà nước địa bàn tỉnh Điều Các quan, đơn vị Thủ trưởng quan, đơn vị có trách nhiệm tổ chức thực quy định Quy chế chịu trách nhiệm toàn diện trước Ủy ban nhân dân tỉnh cơng tác bảo vệ an tồn, an ninh thơng tin quan, đơn vị Khi có cố nguy an tồn thơng tin phải kịp thời áp dụng biện pháp để khắc phục hạn chế thiệt hại, ưu tiên sử dụng lực lượng kỹ thuật an tồn, an ninh thơng tin đơn vị lập biên bản, báo cáo văn cho quan cấp quản lý trực tiếp Sở Thông tin Truyền thông Trường hợp có cố nghiêm trọng vượt khả khắc phục đơn vị, phải báo cáo cho quan cấp quản lý trực tiếp Sở Thông tin Truyền thông để hướng dẫn, hỗ trợ Cử cán phụ trách tham gia Đoàn kiểm tra, đánh giá cơng tác an tồn, an ninh thơng tin có u cầu từ Sở Thơng tin Truyền thơng Phối hợp xây dựng tiêu chí quy trình kỹ thuật kiểm tra cơng tác an tồn, an ninh thơng tin Phối hợp chặt chẽ với quan Cơng an cơng tác phịng ngừa, đấu tranh, ngăn chặn hoạt động xâm phạm an tồn, an ninh thơng tin Tạo điều kiện thuận lợi cho quan chức tham gia khắc phục cố thực theo hướng dẫn Phối hợp với đồn kiểm tra để triển khai cơng tác kiểm tra khắc phục cố diễn nhanh chóng đạt hiệu quả; đồng thời cung cấp đầy đủ thơng tin đồn kiểm tra u cầu Thường xuyên thông báo cho quan, đơn vị phương thức, thủ đoạn loại tội phạm xâm phạm an tồn, an ninh thơng tin để có biện pháp phịng ngừa, đấu tranh, ngăn chặn 9 Báo cáo tình hình kết thực cơng tác đảm bảo an tồn, an ninh thơng tin quan, đơn vị gửi Sở Thông tin Truyền thông định kỳ hàng năm (trước ngày 20 tháng 01) Điều 10 Cán bộ, công chức, viên chức Cán phụ trách a) Chịu trách nhiệm triển khai biện pháp quản lý vận hành, quản lý kỹ thuật, tham mưu xây dựng quy định đảm bảo an tồn, an ninh thơng tin cho Hệ thống thông tin đơn vị theo Quy chế b) Phối hợp với cá nhân, đơn vị có liên quan việc kiểm sốt, phát khắc phục cố an tồn, an ninh thơng tin Cán bộ, công chức, viên chức quan, đơn vị a) Nghiêm chỉnh thi hành quy chế nội bộ, quy trình an tồn, an ninh thông tin quan, đơn vị quy định khác pháp luật, nâng cao ý thức cảnh giác trách nhiệm đảm bảo an ninh thông tin đơn vị b) Khi phát cố phải báo cáo với cấp phận phụ trách, đồng thời cung cấp thông tin để kịp thời ngăn chặn, xử lý c) Tham gia chương trình đào tạo, hội nghị an tồn an ninh thông tin Sở Thông tin Truyền thông đơn vị chuyên môn tổ chức Điều 11 Công an tỉnh Phối hợp Sở Thông tin Truyền thơng kiểm tra cơng tác an tồn, an ninh thông tin; Điều tra xử lý trường hợp vi phạm an tồn, an ninh thơng tin theo thẩm quyền Chương IV TỔ CHỨC THỰC HIỆN Điều 12 Khen thưởng xử lý vi phạm Hàng năm, Sở Thông tin Truyền thông dựa điều tra, báo cáo cơng tác an tồn, an ninh thông tin quan, đơn vị đề xuất với Ủy ban 10 nhân dân tỉnh xét khen thưởng cho cá nhân, đơn vị có thành tích đảm bảo an tồn, an ninh thơng tin theo quy định hành Tổ chức, cá nhân có hành vi vi phạm quy định an toàn, an ninh thông tin ứng dụng công nghệ thông tin quan Nhà nước, tùy theo tính chất, mức độ vi phạm bị xử phạt vi phạm hành truy cứu trách nhiệm hình theo quy định pháp luật Điều 13 Điều khoản thi hành Sở Thơng tin Truyền thơng chủ trì, phối hợp với sở, ban, ngành, Ủy ban nhân dân huyện, thành phố quan có liên quan triển khai thực Quy chế Trong trình thực hiện, có khó khăn, vướng mắc cần điều chỉnh, sửa đổi, bổ sung, đề nghị quan, đơn vị, địa phương báo cáo văn Sở Thông tin Truyền thông để tổng hợp, báo cáo Ủy ban nhân dân tỉnh xem xét, điều chỉnh cho phù hợp./ TM UỶ BAN NHÂN DÂN CHỦ TỊCH (Đã ký) Chẩu Văn Lâm ... công nghệ thông tin quan nhà nước tỉnh Tuyên Quang (Ban hành kèm theo Quyết định số 17/ 2014/ QĐ-UBND, ngày 21/10 /2014 Uỷ ban nhân dân tỉnh Tuyên Quang) Chương I QUY ĐỊNH CHUNG Điều Phạm vi điều chỉnh... thành phố quan có liên quan thực Quyết định Điều Quyết định có hiệu lực thi hành kể từ ngày 01/11 /2014 Chánh Văn phòng Ủy ban nhân dân tỉnh; Giám đốc Sở Thông tin Truyền thông, Giám đốc sở; thủ