1. Trang chủ
  2. » Thể loại khác

QUY CHẾ BẢO ĐẢM AN TOÀN, AN NINH THÔNG TIN TRONG LĨNH VỰC ỨNG DỤNG CNTT CỦA CÁC CƠ QUAN QUẢN LÝ HÀNH CHÍNH NHÀ NƯỚC THUỘC TP. ĐÀ NẴNG

22 10 0

Đang tải... (xem toàn văn)

Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống

THÔNG TIN TÀI LIỆU

Thông tin cơ bản

Định dạng
Số trang 22
Dung lượng 146,5 KB

Nội dung

Quyết định 9976/QĐ UBND ỦY BAN NHÂN DÂN THÀNH PHỐ ĐÀ NẴNG CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM Độc lập Tự do Hạnh phúc Số 9976/QĐ UBND Đà Nẵng, ngày 21 tháng 11 năm 2011 QUYẾT ĐỊNH BAN HÀNH QUY CHẾ BẢO[.]

ỦY BAN NHÂN DÂN THÀNH PHỐ ĐÀ NẴNG Số: 9976/QĐ-UBND CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM Độc lập - Tự - Hạnh phúc Đà Nẵng, ngày 21 tháng 11 năm 2011 QUYẾT ĐỊNH BAN HÀNH QUY CHẾ BẢO ĐẢM AN TỒN, AN NINH THƠNG TIN TRONG LĨNH VỰC ỨNG DỤNG CÔNG NGHỆ THÔNG TIN CỦA CÁC CƠ QUAN QUẢN LÝ HÀNH CHÍNH NHÀ NƯỚC THUỘC THÀNH PHỐ ĐÀ NẴNG ỦY BAN NHÂN DÂN THÀNH PHỐ ĐÀ NẴNG Căn Luật Tổ chức Hội đồng nhân dân Ủy ban nhân dân ngày 26 tháng 11 năm 2003; Căn Luật Công nghệ thông tin ngày 29 tháng năm 2006; Căn Luật Giao dịch điện tử ngày 29 tháng 11 năm 2005; Căn Nghị định số 64/2007/NĐ-CP ngày 10 tháng năm 2007 Chính phủ việc ứng dụng Công nghệ thông tin hoạt động quan nhà nước; Căn Nghị định số 26/2007/NĐ-CP ngày 15 tháng 02 năm 2007 Chính phủ quy định chi tiết thi hành Luật Giao dịch điện tử chữ ký số dịch vụ chứng thực chữ ký số; Căn Quyết định 63/QĐ-TTg ngày 13 tháng 01 năm 2010 Thủ tướng Chính phủ việc phê duyệt Quy hoạch phát triển an tồn thơng tin số quốc gia đến năm 2020; Xét đề nghị Giám đốc Sở Thông tin Truyền thơng Tờ trình số 56/TTr-STTTT ngày 02 tháng 11 năm 2011, QUYẾT ĐỊNH: Điều Ban hành kèm theo Quyết định Quy chế bảo đảm an toàn, an ninh thông tin lĩnh vực ứng dụng công nghệ thơng tin quan quản lý hành nhà nước thuộc thành phố Đà Nẵng Điều Quyết định có hiệu lực thi hành kể từ ngày ký Điều Chánh Văn phòng UBND thành phố, Giám đốc Sở, Ban, ngành; Chủ tịch UBND quận, huyện Thủ trưởng quan, tổ chức, cá nhân liên quan chịu trách nhiệm thi hành Quyết định này./ Nơi nhận: TM ỦY BAN NHÂN DÂN CHỦ TỊCH - Như Điều 3; - TT HĐNĐ TP (b/c); - CT, PCT UBND TP; - UBND phường, xã; - Lưu: VT-LT, KTN (A.Đức) Văn Hữu Chiến QUY CHẾ BẢO ĐẢM AN TỒN, AN NINH THƠNG TIN TRONG LĨNH VỰC ỨNG DỤNG CÔNG NGHỆ THÔNG TIN CỦA CÁC CƠ QUAN QUẢN LÝ HÀNH CHÍNH NHÀ NƯỚC THUỘC THÀNH PHỐ ĐÀ NẴNG (Ban hành kèm theo Quyết định số: 9976/QĐ-UBND ngày 21 tháng 11 năm 2011 UBND thành phố Đà Nẵng) Chương I QUY ĐỊNH CHUNG Điều Phạm vi điều chỉnh Quy chế quy định nội dung, biện pháp bảo đảm an tồn, an ninh thơng tin lĩnh vực ứng dụng công nghệ thông tin (CNTT) phục vụ cho công tác điều hành quản lý hành nhà nước thuộc thành phố Đà Nẵng Điều Đối tượng áp dụng Quy chế áp dụng tất quan quản lý hành nhà nước đơn vị nghiệp thuộc Ủy ban nhân dân thành phố Đà Nẵng Điều Giải thích từ ngữ Trong Quy chế này, từ ngữ hiểu sau: Cán chuyên trách CNTT (CBCT CNTT): Là cán kỹ thuật cán quản lý có chun mơn lĩnh vực CNTT, trực tiếp tham mưu cho lãnh đạo khai thác, quản lý thực công tác ứng dụng CNTT quan, đơn vị, bảo đảm kỹ thuật an tồn, an ninh thơng tin cho việc khai thác, vận hành hệ thống CNTT đơn vị Tính tin cậy: bảo đảm thơng tin truy cập người cấp quyền sử dụng Tính tồn vẹn: bảo vệ xác đầy đủ thơng tin phương pháp xử lý 4 Tính sẵn sàng: bảo đảm người cấp quyền truy cập thơng tin tài sản liên quan có nhu cầu An tồn, an ninh thơng tin (ATANTT): bao gồm hoạt động quản lý nghiệp vụ kỹ thuật hệ thống thông tin nhằm bảo vệ, khôi phục hệ thống, dịch vụ nội dung thông tin nguy tự nhiên người gây Việc bảo vệ thông tin, tài sản người hệ thống thông tin nhằm bảo đảm cho hệ thống thực chức năng, phục vụ đối tượng, tính sẵn sàng cao với yêu cầu xác tin cậy An tồn, an ninh thơng tin bao hàm nội dung bảo vệ bảo mật thơng tin, an tồn liệu máy tính an tồn mạng TCVN 7562:2005: Tiêu chuẩn Việt Nam mã thực hành quản lý an tồn thơng tin ISO 17799:2005: Tiêu chuẩn quốc tế cung cấp hướng dẫn quản lý an tồn, bảo mật thơng tin dựa quy phạm công nghiệp tốt (tập quy phạm cho quản lý an tồn bảo mật thơng tin) ISO 27001:2005: tiêu chuẩn quốc tế quản lý bảo mật thông tin Tổ chức Chất lượng Quốc tế Hội đồng Điện tử Quốc tế xuất vào tháng 10/2005 Chương II NỘI DUNG BẢO ĐẢM AN TOÀN, AN NINH THÔNG TIN Điều Các biện pháp quản lý kỹ thuật cho cơng tác an tồn, an ninh thơng tin Tổ chức mơ hình mạng: Cài đặt, cấu hình, tổ chức hệ thống mạng theo mơ hình Clients/Server, hạn sử dụng mơ hình mạng ngang hàng Đối với sở ngành, quận, huyện có nhiều phịng, ban, đơn vị trực thuộc không nằm khu vực cần thiết lập mạng riêng ảo (VPN) để tăng cường an ninh cho hạ tầng mạng nội Khi thiết lập dịch vụ môi trường mạng Internet, cung cấp chức thiết yếu bảo đảm trì hoạt động hệ thống thông tin; hạn chế sử dụng chức năng, cổng giao tiếp mạng, giao thức dịch vụ không cần thiết Quản lý hệ thống mạng không dây: Khi thiết lập mạng không dây để kết nối với mạng cục thông qua điểm truy nhập (Access Point -AP), cần thiết lập tham số như: tên, SSID, mật khẩu, mã hóa liệu thơng báo thông tin liên quan đến AP để quan sử dụng, định kỳ tháng thay đổi mật nhằm tăng cường công tác bảo mật Tổ chức quản lý tài khoản: Các tài khoản định danh người dùng hệ thống thông tin, bao gồm: tạo mới, kích hoạt, sửa đổi loại bỏ tài khoản, đồng thời tổ chức kiểm tra tài khoản hệ thống thơng tin tháng lần thông qua công cụ hệ thống Hủy tài khoản, quyền truy nhập hệ thống thông tin, thu hồi lại tất tài sản liên quan tới hệ thống thơng tin (khóa, thẻ nhận dạng, thư mục lưu trữ, ) cán bộ, nhân viên chuyển công tác, chấm dứt hợp đồng lao động 4 Quản lý đăng nhập hệ thống: Các hệ thống thông tin cần giới hạn số lần đăng nhập vào hệ thống Hệ thống tự động khóa tài khoản lập tài khoản liên tục đăng nhập sai vượt số lần quy định Tổ chức theo dõi, giám sát tất phương pháp đăng nhập từ xa (quay số, internet, )) đăng nhập có chức quản trị, tăng cường việc sử dụng mạng riêng ảo (VPN - Virtual Private Network) có nhu cầu làm việc từ xa; yêu cầu người sử dụng đặt mật với độ an toàn cao, giám sát, nhắc nhở khuyến cáo nên thay đổi thường xuyên mật Quản lý Loglife: Hệ thống thông tin cần ghi nhận kiện: trình đăng nhập vào hệ thống, thao tác cấu hình hệ thống Thường xuyên kiểm tra, lưu (backup) logfile theo tháng để lưu vết theo dõi, xác định kiện xảy hệ thống hạn chế việc tràn logfile gây ảnh hưởng đến hoạt động hệ thống Chống mã độc, virus: Lựa chọn, triển khai phần mềm chống virus, thư rác máy chủ, thiết bị di động mạng hệ thống thông tin xung yếu như: Cổng thông tin điện tử, thư điện tử, cửa điện tử, để phát hiện, loại trừ đoạn mã độc hại (Virus, trojan, worms, ) hỗ trợ người sử dụng cài đặt phần mềm máy trạm Thường xuyên cập nhật phiên (Version) mới, vá lỗi phần mềm chống virus để bảo đảm chương trình quét virus quan máy chủ, máy trạm cập nhật nhất, thiết lập chế độ quét thường xuyên tuần Tổ chức quản lý tài nguyên: Kiểm tra, giám sát chức chia sẻ thông tin (Network File and Folder Sharing) Tổ chức cấp phát tài nguyên máy chủ theo danh mục thư mục cho phòng/ban; khuyến cáo người sử dụng cân nhắc việc chia sẻ tài nguyên cục máy sử dụng, tuyệt đối khơng chia sẻ tồn ổ cứng Khi thực việc chia sẻ tài nguyên máy chủ máy cục nên sử dụng mật để bảo vệ thông tin Các biện pháp kỹ thuật bảo đảm an tồn cho Trang thơng tin điện tử/ Cổng thông tin điện tử (gọi tắt trang web): a) Xác định cấu trúc thiết kế trang web: Quản lý toàn phiên mã nguồn, phối hợp với đơn vị thực dịch vụ hosting tổ chức mơ hình trang web hợp lý tránh khả công leo thang đặc quyền Yêu cầu đơn vị cung cấp dịch vụ hosting phải cài đặt hệ thống phòng vệ tường lửa (firewall); thiết bị phát hiện/phòng chống xâm nhập (IDS/IPS) mức ứng dụng web (WAF- Web Application Firewall) b) Vận hành ứng dụng web an toàn: Các trang web đưa vào sử dụng bổ sung thêm chức năng, dịch vụ công cần liên hệ với Trung tâm Ứng cứu khẩn cấp Máy tính Việt Nam (VNCERT) chi nhánh Đà Nẵng liên hệ với tổ chức an ninh mạng đánh giá kiểm định nhằm tránh lỗi bảo mật thường xảy ứng dụng web như: SQL Injection, Cross-Site Scripting (xss), Broken Authentication and Session Management, Insecure Direct Object References, Cross Site Request Forgery (CSRF), Security Misconfiguration, Failure to Restrict URL Access, Insecure Cryptographic Storage, Insufficient Transport Layer Protection, Unvalidated Redirects and Forwards, c) Thiết lập cấu hình sở liệu an tồn: - Ln cập nhật vá lỗi cho hệ quản trị sở liệu; sử dụng cơng cụ để đánh giá, tìm kiếm lỗ hổng máy chủ sở liệu; - Gỡ bỏ sở liệu không sử dụng; - Có chế lưu liệu, tài liệu hóa q trình thay đổi cấu trúc cách xây dựng nhật ký CSDL với nội dung như: nội dung thay đổi, lý thay đổi, thời gian, vị trí thay đổi, d) Phối hợp với nhà cung cấp dịch vụ hosting xây dựng phương án phục hồi trang web, ý tháng thực việc backup toàn nội dung trang web lần bao gồm mã nguồn, sở liệu, liệu phi cấu trúc, để bảo đảm có cố khắc phục lại vịng 24 Thiết lập chế lưu phục hồi máy chủ, máy trạm: a) Đối với máy trạm, máy chủ: Thực việc lưu liệu hệ điều hành, phần mềm ứng dụng văn phòng, phần mềm chuyên ngành, phần mềm Pqmagic, FinalData, Symantec Ghost, ZAR (Zero Assumption Recovery), NovaBackup Professional, Nero BackItUp & Burn, Digital Rescue Premium, Sau lưu máy lưu vào thiết bị lưu trữ CD, ổ cứng ngoài, thực việc đánh số, dán nhãn để tránh nhầm lẫn nhằm phục vụ cho công tác phục hồi liệu cách nhanh b) Đối với máy chủ: Cài đặt dịch vụ Mirror, Raid, Clustering bảo đảm thiết lập chế lưu phục hồi hệ thống máy chủ Đối với máy chủ cài đặt hệ điều hành Windows sử dụng chức System Restore để dễ dàng khơi phục lại tồn máy chủ tập tin, thư mục lựa chọn phục hồi 10 Xử lý khẩn cấp: Khi phát hệ thống bị công, thông qua dấu hiệu luồng tin (traffic) tăng lên bất ngờ, nội dung trang chủ bị thay đổi, hệ thống hoạt động chậm khác thường, cần thực bước sau: a) Bước 1: Ngắt kết nối máy chủ khỏi mạng b) Bước 2: Sao chép logfile toàn liệu hệ thống thiết bị lưu trữ (phục vụ cho công tác phân tích) c) Bước 3: Khơi phục hệ thống cách chuyển liệu backup để hệ thống hoạt động d) Bước 4: Thực công việc khoản Điều Điều Các biện pháp quản lý vận hành cơng tác an tồn, an ninh thông tin Đối với quan, đơn vị: a) Phổ biến, hướng dẫn thực quy chế chung liên quan đến công tác ứng dụng CNTT UBND thành phố ban hành Quy chế Quản lý, sử dụng Hệ thống thư điện tử thành phố Đà Nẵng; Quy chế hoạt động Cổng Thông tin điện tử thành phố Đà Nẵng, b) Kiểm tra việc thực nội dung Điều Quy chế c) Tổ chức đào tạo đơn vị cử cán tham gia lớp đào tạo để trang bị kiến thức an tồn thơng tin cho cán bộ, công chức, viên chức trước cho phép truy nhập, vận hành, khai thác sử dụng hệ thống thông tin d) Xác định phân bổ kinh phí chi thường xuyên cần thiết cho hoạt động liên quan đến việc bảo vệ hệ thống thông tin, thông qua việc đầu tư thiết bị tường lửa, chương trình chống spam, Virus máy trạm, máy chủ, Đối với cán chuyên trách CNTT: a) Triển khai, thực nội dung Điều Quy chế b) Tham mưu chun mơn vận hành an tồn hệ thống thông tin đơn vị, triển khai biện pháp bảo đảm an tồn, an ninh thơng tin cho tất cán bộ, công chức, viên chức đơn vị c) Nắm vững thực nghiêm túc Pháp lệnh bảo vệ bí mật Nhà Nước ngày 28/12/2000 Thường xuyên tự cập nhật kiến thức an toàn, an ninh thơng tin, nguy tiềm ẩn gây mát thơng tin biện pháp phịng tránh tiến hành hoạt động quản lý hay kỹ thuật nghiệp vụ d) Thực việc đánh giá, báo cáo rủi ro mức độ nghiêm trọng rủi ro Các rủi ro xảy truy cập trái phép, sử dụng trái phép, mất, thay đổi phá hủy thông tin hệ thống thông tin e) Phối hợp chặt chẽ với quan Cơng an cơng tác phịng ngừa, đấu tranh, ngăn chặn hoạt động xâm phạm an tồn, an ninh thơng tin Đối với cán bộ, công chức, viên chức: a) Thường xuyên cập nhật sách, thủ tục an tồn thơng tin đơn vị thực hướng dẫn an tồn, an ninh thơng tin cán chun trách phần công việc; b) Hạn chế việc sử dụng chức chia sẻ tài nguyên (sharing), sử dụng chức cần bật thuộc tính bảo mật mật thực việc thu hồi chức sử dụng xong; c) Các máy tính khơng sử dụng thời gian dài (quá làm việc) cần tắt máy ngưng kết nối mạng, để tránh bị hacker lợi dụng, sử dụng chức điều khiển từ xa dùng máy tính cơng vào hệ thống thơng tin khác d) Sử dụng chức mã hóa mức hệ điều hành bảo đảm liệu nhạy cảm tài khoản, mật khẩu, tập tin văn bản, mã hóa trước truyền mơi trường mạng Các tập tin gửi đính kèm thư điện tử tải xuống từ Internet hay thiết bị lưu trữ gắn vào hệ thống cần kiểm tra để phòng chống lây nhiễm virus phần mềm gián điệp gây mát thông tin Điều Xây dựng quy chế nội bảo đảm an tồn cho hệ thống thơng tin Các quan, đơn vị quản lý hành nhà nước phải ban hành quy chế nội bộ, bảo đảm quy định rõ vấn đề sau: a) Mục tiêu phương hướng thực cơng tác bảo đảm an tồn an ninh cho hệ thống thông tin b) Nguyên tắc phân loại quản lý mức độ ưu tiên tài nguyên hệ thống thông tin (phần mềm, liệu, trang thiết bị, ) c) Quản lý phân quyền trách nhiệm cá nhân tham gia sử dụng hệ thống thông tin d) Quản lý điều hành máy chủ, thiết bị mạng, thiết bị bảo vệ mạng cách an toàn e) Kiểm tra, rà sốt khắc phục cố an tồn an ninh hệ thống thông tin sử dụng biện pháp Điều 4, Điều Điều Quy chế f) Nguyên tắc chung sử dụng an toàn hiệu toàn cá nhân tham gia sử dụng hệ thống thông tin g) Tổ chức thực Các quan, đơn vị xây dựng quy chế an toàn an ninh cho đơn vị tiêu chuẩn kỹ thuật quản lý an toàn tiêu chuẩn TCVN 7562:2005 ISO/IEC 17799:2005 phụ lục Khung kiến trúc tổng thể ứng dụng công nghệ thông tin thành phố Đà Nẵng (Quyết định số 5258/QĐ-UBND ngày 14/7/2010) để có lựa chọn áp dụng phù hợp với quan Điều Xây dựng áp dụng quy trình bảo đảm an tồn, an ninh cho hệ thống thơng tin Các quan, đơn vị quản lý hành nhà nước phải xây dựng áp dụng quy trình bảo đảm an tồn, an ninh cho hệ thống thơng tin nhằm giảm thiểu nguy gây cố, tạo điều kiện cho việc khắc phục truy vết trường hợp có cố xảy Nội dung quy trình chia làm bước sau: a) Lập kế hoạch bảo vệ an toàn, an ninh cho hệ thống thông tin b) Xây dựng hệ thống bảo vệ an tồn, an ninh thơng tin c) Quản lý vận hành hệ thống bảo vệ an tồn, an ninh thơng tin d) Kiểm tra đánh giá hoạt động hệ thống bảo vệ an toàn, an ninh thơng tin e) Bảo trì nâng cấp hệ thống bảo vệ an tồn, an ninh thơng tin Các quan, đơn vị tham khảo bước để xây dựng khung quy trình bảo đảm an tồn, an ninh thơng tin cho hệ thống thơng tin Phụ lục Quy chế tiêu chuẩn quốc tế ISO 27001 Chương III TRÁCH NHIỆM ĐẢM BẢO AN TỒN, AN NINH THƠNG TIN Điều Trách nhiệm quan, đơn vị quản lý hành nhà nước Thủ trưởng quan, đơn vị có trách nhiệm thực Điều Điều quy chế chịu trách nhiệm tồn diện trước UBND thành phố cơng tác bảo vệ an tồn hệ thống thơng tin đơn vị Khi có cố nguy an tồn thơng tin, kịp thời áp dụng biện pháp để khắc phục hạn chế thiệt hại, ưu tiên sử dụng lực lượng kỹ thuật an ninh thông tin đơn vị lập biên báo cáo văn cho quan cấp quản lý trực tiếp Sở Thông tin Truyền thông theo biểu mẫu Phụ lục Quy chế Trường hợp có cố nghiêm trọng vượt khả khắc phục đơn vị, phải báo cáo cho quan cấp quản lý trực tiếp Sở Thông tin Truyền thông để phối hợp xử lý Tạo điều kiện thuận lợi cho quan chức tham gia khắc phục cố thực theo hướng dẫn Phối hợp với Đồn kiểm tra để triển khai cơng tác kiểm tra, khắc phục cố nhanh chóng đạt hiệu quả; đồng thời cung cấp đầy đủ thông tin Đồn kiểm tra u cầu xuất trình Định kỳ Q, lập báo cáo tình hình an tồn, an ninh thông tin theo biểu mẫu Phụ lục Quy chế gửi Sở Thông tin Truyền thông qua hộp thư điện tử stttt@danang.gov.vn Riêng báo cáo thuộc quý IV năm yêu cầu đơn vị gửi Sở Thông tin Truyền thông văn Điều Trách nhiệm cán công chức quan, đơn vị quản lý hành nhà nước Nghiêm chỉnh chấp hành quy chế nội bộ, quy trình an tồn, an ninh thông tin quan, đơn vị quy định khác pháp luật, nâng cao ý thức cảnh giác trách nhiệm bảo đảm an toàn, an ninh thông tin đơn vị Khi phát cố phải báo với quan cấp phận chuyên trách CNTT để kịp thời ngăn chặn, xử lý Hưởng ứng, tham gia chương trình đào tạo, hội nghị an tồn, an ninh thông tin Sở Thông tin Truyền thông tổ chức Điều 10 Trách nhiệm Sở Thông tin Truyền thông Tham mưu UBND thành phố cơng tác bảo đảm an tồn, an ninh thơng tin chịu trách nhiệm trước UBND thành phố việc bảo đảm an toàn, an ninh cho hệ thống thông tin cấp thành phố Xây dựng kế hoạch, dự tốn nguồn kinh phí để triển khai cơng tác an tồn an ninh thơng tin phục vụ cho việc vận hành hệ thống thông tin UBND thành phố giao quản lý lưu ký trang thông tin điện tử sở ngành quận huyện; Thành lập Đoàn kiểm tra an toàn, an ninh thông tin tiến hành kiểm tra xử phạt theo định kỳ kiểm tra đột xuất phát có dấu hiệu, hành vi vi phạm an tồn, an ninh thông tin Kết thúc đợt kiểm tra phải có văn báo cáo UBND thành phố tình hình an tồn, an ninh thơng tin thuộc thành phố có đề xuất phù hợp Xây dựng triển khai chương trình đào tạo, hội nghị tun truyền an tồn, an ninh thơng tin cơng tác quản lý nhà nước thuộc thành phố nhằm phổ biến, cập nhật kiến thức an toàn an ninh thông tin Tùy theo mức độ cố, phối hợp Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam (VNCERT) đơn vị có liên quan hướng dẫn xử lý, ứng cứu cố thông tin Hướng dẫn, giám sát đơn vị xây dựng quy chế bảo đảm an toàn, an ninh cho hệ thống thông tin theo quy định Nhả nước Chương IV CƠNG TÁC THANH TRA, KIỂM TRA AN TỒN, AN NINH THÔNG TIN Điều 11 Kế hoạch kiểm tra hàng năm Sở Thơng tin Truyền thơng chủ trì, phối hợp Văn phịng UBND thành phố, Cơng an thành phố đơn vị có liên quan tiến hành cơng tác kiểm tra an tồn, an ninh thơng tin tất đơn vị hành cấp thành phố, quận huyện định kỳ hàng năm tối thiểu lần vào quý III, kiểm tra sở cấp phường/ xã theo kế hoạch Sở Thông tin Truyền thông 2 Tiến hành kiểm tra đột xuất quan, đơn vị quản lý hành có dấu hiệu vi phạm an tồn, an ninh thơng tin Điều 12 Quan hệ phối hợp trách nhiệm quan chức liên quan Sở Thông tin Truyền thơng a) Chịu trách nhiệm việc chủ trì phối hợp với quan chức liên quan để thành lập Đoàn kiểm tra triển khai, báo cáo công tác kiểm tra an tồn, an ninh thơng tin quy mơ tồn thành phố b) Phối hợp với Công an thành phố tiến hành xử phạt hành vi vi phạm an toàn, an ninh thông tin gây thiệt hại cho hệ thống thông tin thuộc quan, đơn vị nhà nước thuộc thành phố Văn phòng UBND thành phố: a) Cử phận chun trách an tồn, an ninh thơng tin phối hợp với Sở Thông tin Truyền thông kiểm tra, đánh giá cơng tác an tồn, an ninh thơng tin b) Phối hợp xây dựng tiêu chí quy trình kỹ thuật kiểm tra cơng tác an tồn, an ninh thơng tin Trách nhiệm Cơng an thành phố: a) Phối hợp Sở Thông tin Truyền thơng kiểm tra cơng tác an tồn, an ninh thông tin b) Tham mưu UBND thành phố ban hành, sửa đổi, bổ sung quy định pháp luật có liên quan đến cơng tác an tồn, an ninh thông tin c) Thường xuyên thông báo cho quan, đơn vị phương thức, thủ đoạn loại tội phạm xâm phạm an toàn, an ninh thơng tin để có biện pháp phịng ngừa, đấu tranh, ngăn chặn d) Điều tra xử lý trường hợp vi phạm an tồn, an ninh thơng tin theo thẩm quyền Chương V KHEN THƯỞNG, XỬ LÝ VI PHẠM Điều 13 Khen thưởng Hằng năm, Sở Thông tin Truyền thông dựa kết kiểm tra, đánh giá, báo cáo cơng tác an tồn, an ninh thơng tin quan, đơn vị để xác lập bảng xếp hạng an tồn, an ninh thơng tin; sở để xuất UBND thành phố xem xét khen thưởng cho cá nhân, đơn vị có thành tích bảo đảm an tồn, an ninh thơng tin theo quy định hành Điều 14 Xử lý vi phạm Tổ chức cá nhân có hành vi vi phạm quy chế tùy theo tính chất, mức độ vi phạm mà bị xử lý kỷ luật theo trách nhiệm, xử phạt hành bị truy cứu trách nhiệm hình Nếu gây thiệt hại phải bồi thường theo quy định pháp luật hành Chương VI ĐIỀU KHOẢN THI HÀNH Điều 15 Sở Thông tin Truyền thơng chủ trì, phối hợp với Sở, Ban, Ngành, UBND quận, huyện quan có liên quan triển khai thực Quy chế Trong trình thực có phát sinh khó khăn, vướng mắc cần sửa đổi, bổ sung đơn vị quan, đơn vị kịp thời báo cáo Sở Thông tin Truyền thơng tổng hợp trình UBND thành phố xem xét, giải quyết./ PHỤ LỤC 10 NỘI DUNG CHÍNH CỦA ISO/IEC 17799:2005 DÙNG ĐỂ XÂY DỰNG QUY CHẾ NỘI BỘ BẢO ĐẢM AN TOÀN, AN NINH CHO HỆ THỐNG THÔNG TIN (Ban hành kèm theo Quyết định số: 9976/QĐ-UBND ngày 21 tháng 11 năm 2011 UBND thành phố Đà Nẵng) Chính sách an tồn thơng tin: Chỉ thị hướng dẫn an tồn thơng tin An ninh tổ chức: a) Hạ tầng an ninh thông tin: quản lý an ninh thông tin tổ chức; b) An ninh bên truy cập thứ ba: Duy trì an ninh cho phương tiện xử lý thông tin tổ chức tài sản thông tin cho bên thứ ba truy nhập Phân loại kiểm soát tài sản: a) Trách nhiệm giải trình tài sản: trì bảo vệ tài sản b) Phân loại thông tin tài sản: bảo đảm loại tài sản có mức bảo vệ thích hợp An ninh cá nhân: a) An ninh định nghĩa công việc nguồn nhân lực: giảm rủi ro đo hành vi sai sót người; b) Đào tạo người sử dụng: bảo đảm người sử dụng nhận thức mối đe dọa vấn đề liên quan đến an ninh thơng tin; c) Đối phó cố an ninh: Giảm thiểu thiệt hại từ hỏng hóc, trục trặc cố an ninh, theo dõi rút kinh nghiệm An ninh môi trường vật lý: a) Phạm vi an ninh: ngăn ngừa việc truy cập, gây hại can thiệp trái phép vào vùng an ninh thông tin nghiệp vụ; b) An ninh thiết bị: để tránh mát, lỗi cố khác liên quan đến tài sản gây ảnh hưởng đến hoạt động nghiệp vụ; c) Kiểm soát chung: ngăn ngừa làm hại đánh cắp thông tin phương tiện xử lý thông tin Quản lý truyền thông hoạt động: a) Thủ tục vận hành trách nhiệm vận hành hệ thống: bảo đảm phương tiện xử lý thông tin hoạt động an toàn; b) Lập kế hoạch hệ thống công nhận: giảm thiểu rủi ro lỗi hệ thống; c) Bảo vệ chống lại phần mềm cố ý gây hại: bảo vệ tính tồn vẹn phần mềm hệ thống thông tin; d) Công việc quản lý: trì tính tồn vẹn sẵn sàng dịch vụ truyền đạt xử lý thông tin; e) Quản trị mạng: bảo đảm việc an tồn thơng tin mạng bảo vệ sở hạ tầng kỹ thuật; g) Trao đổi thông tin: Ngăn ngừa mát, thay đổi sử dụng sai thông tin trao đổi đơn vị Kiểm soát truy cập: a) Các yêu cầu nghiệp vụ kiểm soát truy nhập: kiểm sốt truy nhập thơng tin; b) Quản lý truy nhập người dùng: Để tránh truy nhập không cấp phép vào hệ thống; c) Trách nhiệm người dùng: để tránh truy nhập người dùng khơng cấp phép; d) Kiểm sốt truy nhập mạng: bảo vệ dịch vụ mạng; e) Kiểm soát truy nhập hệ điều hành: tránh truy nhập vào máy tính khơng phép; g) Kiểm sốt truy nhập ứng dụng: tránh truy nhập trái phép vào hệ thống; h) Giám sát truy nhập hệ thống giám sát sử dụng hệ thống: để phát hoạt động khơng cấp phép; i) Kiểm sốt truy nhập từ xa: bảo đảm an ninh thông tin sử dụng phương tiện di động Phát triển trì hệ thống: a) Yêu cầu an ninh hệ thống: để bảo đảm yêu cầu an ninh đưa vào trình xây dựng hệ thống; b) An ninh hệ thống ứng dụng: để ngăn ngừa mát, thay đổi lạm dụng liệu người sử dụng hệ thống ứng dụng; c) Các kiểm sốt mật mã, mã hóa: để bảo vệ tính tin cậy, xác thực tồn vẹn thông tin; d) An ninh tệp hệ thống: Bảo đảm dự án CNTT hoạt động hỗ trợ quản lý cách an toàn; e) An ninh trình hỗ trợ phát triển: trì an ninh phần mềm thơng tin hệ thống ứng dụng Quản lý liên tục kinh doanh: chống lại gián đoạn hoạt động kinh doanh 10 Sự tuân thủ: a) Tuân thủ yêu cầu pháp lý: để tránh vi phạm Bộ luật hình dân sự, nghĩa vụ có tính luật pháp, ngun tắc; b) Chính sách an ninh yêu cầu kỹ thuật hệ thống phải bảo đảm việc tuân thủ sách tiêu chuẩn an ninh quốc gia; c) Xem xét kiểm tra hệ thống: để tối ưu tính hiệu lực nhằm giảm thiểu can thiệp quy trình kiểm tra hệ thống PHỤ LỤC CÁC BƯỚC CƠ BẢN ĐỂ XÂY DỰNG KHUNG QUY TRÌNH BẢO ĐẢM AN TỒN, AN NINH THÔNG TIN CHO HỆ THỐNG THÔNG TIN (Ban hành kèm theo Quyết định số: 9976/QĐ-UBND ngày 21 tháng 11 năm 2011 UBND thành phố Đà Nẵng) Bước 1: Lập kế hoạch bảo vệ an toàn an ninh cho hệ thống thông tin a) Thành lập phận quản lý an tồn, an ninh thơng tin b) Xây dựng định hướng cho công tác bảo đảm an tồn, an ninh thơng tin, rõ: - Mục đích ngắn hạn dài hạn; - Phương hướng văn pháp quy, tiêu chuẩn cần tuân thủ tham khảo; - Ước lượng nhân lực kinh phí đầu tư c) Lập kế hoạch xây dựng hệ thống bảo vệ an tồn, an ninh thơng tin: - Xác định phân loại nguy gây cố an tồn, an ninh thơng tin; - Rà soát lập danh sách đối tượng cần bảo vệ với mô tả đầy đủ về: nhiệm vụ; chức năng; mức độ quan trọng đặc điểm đối tượng (Đối tượng phần mềm, máy chủ, quy trình tác nghiệp thuộc quan đơn vị ); - Xây dựng phương án bảo đảm an toàn cho đối tượng danh sách cần bảo vệ: nguyên tắc quản lý, vận hành: giải pháp bảo vệ khắc phục cố - Liên lạc hợp tác chặt chẽ với Trung tâm Ứng cứu khẩn cấp máy tính Chi nhánh Miền Trung thuộc Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam (VNCERT), Trung tâm Phát triển hạ tầng công nghệ thông tin thành phố - Sở Thông tin Truyền thông quan, tổ chức nghiên cứu cung cấp dịch vụ toàn mạng; - Lập kế hoạch dự trù kinh phí đầu tư cho hệ thống bảo vệ Bước 2: Xây dựng hệ thống bảo vệ an tồn an ninh thơng tin: - Tổ chức đội ngũ nhân viên chuyên trách, đủ lực bảo đảm an toàn, an ninh cho hệ thống thông tin; - Xây dựng hệ thống bảo vệ an tồn an ninh thơng tin theo kế hoạch Bước 3: Quản lý vận hành hệ thống bảo vệ ATANTT: - Vận hành quản lý chặt chẽ trang thiết bị, phần mềm theo quy định đặt ra; - Khi phát cố cần nhanh chóng xác định nguyên nhân, tìm biện pháp khắc phục báo cáo cố cho quan chức năng; - Cài đặt đầy đủ, thường xuyên cập nhật phần mềm, vá lỗi theo hướng dẫn nhà cung cấp, thường xuyên thay đổi mật khẩu, sử dụng mật với độ an toàn cao Bước 4: Kiểm tra đánh giá hoạt động hệ thống bảo vệ ATANTT: - Thường xuyên kiểm tra giám sát hoạt động hệ thống bảo vệ an tồn, an ninh thơng tin nói riêng tồn hệ thống thơng tin nói chung; - Báo cáo tổng kết tình hình theo định kỳ Bước 5: Bảo trì nâng cấp hệ thống bảo vệ ATANTT: Thường xuyên kiểm tra bảo trì hệ thống bảo vệ an tồn an ninh thơng tin Cần nhanh chóng mở rộng, nâng cấp thay cần thiết PHỤ LỤC MẪU BÁO CÁO SỰ CỐ (Ban hành kèm theo Quyết định số: 9976/QĐ-UBND ngày 21 tháng 11 năm 2011 UBND thành phố Đà Nẵng) Đơn vị:…………… - CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM Độc lập - Tự - Hạnh phúc … , ngày … tháng … năm 20… BÁO CÁO SỰ CỐ Thông tin chung: Đại diện lãnh đạo: Tên quan: Email (cơ quan): Điện thoại (cơ quan): Thông tin cố: Số lượng máy chủ bị cố: …………… máy Tên chức máy chủ: a) Tên máy chủ 1: Hệ điều hành: □ Windows Phiên (Version): □ Linux Phiên (Version): □ Ubutu Phiên (Version): □ Khác: Chức năng: Thời gian xảy cố: …./…… /… / … / (giờ/phút/ngày/tháng/năm) Mô tả sơ cố: Các dịch vụ có Máy chủ (Đánh dấu dịch vụ sử dụng hệ thống) □ Web server □ Mail Server □ Database server □ FPT server □ Proxy server □ Application server □ Dịch vụ khác, là: Địa IP hệ thống: □ IP nội với địa chỉ: …………-…………-…………-………… □ IP với địa chỉ: …………-…………-…………-………… Các tên miền hệ thống: Cách thức phát hiện: (Đánh dấu hình thức phát có cố) □ Người dùng cuối báo □ Quản trị hệ thống □ Qua hệ thống IDS/IPS □ Kiểm tra Log File □ Kiểm tra đường truyền □ Công ty, tổ chức tư vấn □ Khác, là: Các biện pháp xử lý gặp cố: □ Khơng làm □ Báo cáo cấp □ Hỗ trợ từ VNCERT □ Tự xử lý □ Yêu cầu hỗ trợ từ nơi khác □ Báo cáo cảnh sát mạng □ Khác, là: Đối với biện pháp, đề nghị mô tả cụ thể cách thức xử lý: b) Tên máy chủ 2: (Tương tự mục a - Nếu có) c) Tên máy chủ 3: (Tương tự mục a - Nếu có) … PHỤ LỤC MẪU BÁO CÁO TÌNH HÌNH AN TỒN, AN NINH THƠNG TIN (Ban hành kèm theo Quyết định số: 9976/QĐ-UBND ngày 21 tháng 11 năm 2011 UBND thành phố Đà Nẵng) Đơn vị:…………… - CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM Độc lập - Tự - Hạnh phúc - … , ngày … tháng … năm 20… BÁO CÁO TÌNH HÌNH AN TỒN, AN NINH THƠNG TIN I Đánh giá trạng dự kiến Về sách, quản lý Đơn vị: + Đã xây dựng kế hoạch để bảo đảm ATANTT cho tổ chức? ○ Rồi (đề nghị gửi kèm văn bản) ○ Chưa + Có biện pháp vận hành liên tục khôi phục cố khơng? ○ Có ○ Khơng + Có thường xun cập nhật công nghệ bảo đảm ATANTT hay không? ○ Có ○ Khơng Về đầu tư Đơn vị: + Phần trăm ngân sách tổng số ngân sách cho công nghệ thông tin để đầu tư vào việc bảo đảm an tồn thơng tin: % + Đã dự kiến đầu tư vào lĩnh vực nào, năm đây: Lĩnh vực 2012 Dự kiến năm Mô tả nội dung 20 Xây dựng sách/ hướng dẫn/ thủ tục □ □ Sử dụng dịch vụ □ □ Yêu cầu tư vấn □ □ Mua thiết bị an tồn thơng tin □ □ Nghiên cứu sử dụng phần mềm mã nguồn mở □ □ Đào tạo nguồn nhân lực □ □ Các vấn đề khác: ……………………………………………………… ……………………………………………………… ……………………………………………………… + Đã dự kiến sử dụng công cụ nào, năm để bảo đảm ATANTT? Công cụ 2012 Dự kiến năm Mô tả nội dung 20 Công cụ diệt Virus (Anti Virus) □ □ Mật □ □ Tường lửa □ □ Công cụ lọc thư rác □ □ Cơng cụ mã hóa tập tin □ □ Công cụ chống Ddos □ □ Chữ ký điện tử □ □ Mạng riêng ảo (VPN) □ □ Hê thống phát xâm nhập □ □ 10 Những cơng cụ khác: Về tình hình an ninh mạng xử lý cố + Tổng kết cố an ninh mạng xảy năm 20 đơn vị Sự cố Virus Lừa đảo (Phishing) Thư rác (Spam mail) Spyware/ Adware Tấn công từ chối dịch vụ (Dos, Ddos) Nội dung Website đơn vị bị thay đổi (deface website) Sự cố khác: …………………………………………………………………… ……………………………………………………………………………………… Số lượng ……………………………………………………………………………………… ……………………………………………………………………………………… ……………………………………………………………………………………… + Mức độ thiệt hại ước tính năm 20 cố ATANTT gây □ Thiệt hại gián tiếp: triệu đồng □ Thiệt hại trực tiếp: triệu đồng □ Chi phí khắc phục: triệu đồng + Biện pháp xử lý áp dụng gặp cố: Phương pháp Số lần Khơng làm Tự xử lý Báo cáo cấp trực tiếp Yêu cầu hỗ trợ từ nơi khác Báo cảnh sát mạng Phương pháp khác, là: …………………………………………………………………………………… …………………………………………………………………………………… …………………………………………………………………………………… …………………………………………………………………………………… + Cho biết công việc mà quan thực sau khắc phục cố năm qua: □ Sửa đổi sách/ hướng dẫn/ thủ tục □ Nâng cao ý thức □ Tăng cường thiết bị □ Rà soát lại hệ thống □ Mở rộng lại liên kết với đơn vị hoạt động lĩnh vực an tồn thơng tin □ Việc khác là: Tổ chức nhân lực bồi dưỡng nghiệp vụ: + Đơn vị có phận phụ trách bảo đảm ATANTT khơng? ○ Có ○ Khơng + Nếu có, phận có người phụ trách là? ○ Lãnh đạo quan ○ Giám đốc CNTT (CIO) ○ Cán chuyên trách CNTT ○ Khác: ……………………… + Nếu chưa có, đơn vị có dự kiến tổ chức phận khơng? ○ Có ○ Khơng Dự kiến triển khai thành lập vào tháng …… năm …… với số lượng cán …… người + Đơn vị có nhu cầu bồi dưỡng nghiệp vụ ATANTT? □ Dành cho lãnh đạo cán quản lý, số lượng dự kiến: ……người □ Cơ bản/Nâng cao ATANTT cho CB kỹ thuật, số lượng……người □ Kỹ ATANTT cho người dùng , số lượng dự kiến: ……người + Đơn vị có dự trù kinh phí cho huấn luyện nghiệp vụ, đào tạo phát triển nguồn nhân lực bảo đảm an ninh thông tin đơn vị hay chưa? ○ Có ○ Chưa + Nếu tự đánh giá, mức độ ATANTT đơn vị năm 20xx là: Kém ○0 KémTrung bình ○1 ○2 Tốt ○3 TốtRất tốt ○4 ○5 II Ý kiến phản hồi góp ý thêm Chú ý: - Điền thông tin đầy đủ vào câu hỏi: - Để lựa chọn đánh dấu X - Câu hỏi với ký hiệu ○ trước lựa chọn phép đánh dấu kết (chọn một) - Câu hỏi với ký hiệu □ trước lựa chọn đánh dấu từ khơng tới nhiều kết (chọn nhiều) - Ký ghi tên đóng dấu đầy đủ vào cuối báo cáo gửi theo đường công văn cho Sở Thông tin Truyền thông

Ngày đăng: 20/04/2022, 00:15

HÌNH ẢNH LIÊN QUAN

BÁO CÁO TÌNH HÌNH AN TOÀN, AN NINH THÔNG TIN I. Đánh giá hiện trạng và dự kiến - QUY CHẾ BẢO ĐẢM AN TOÀN, AN NINH THÔNG TIN TRONG LĨNH VỰC ỨNG DỤNG CNTT CỦA CÁC CƠ QUAN QUẢN LÝ HÀNH CHÍNH NHÀ NƯỚC THUỘC TP. ĐÀ NẴNG
nh giá hiện trạng và dự kiến (Trang 18)
3. Về tình hình an ninh mạng và xử lý sự cố - QUY CHẾ BẢO ĐẢM AN TOÀN, AN NINH THÔNG TIN TRONG LĨNH VỰC ỨNG DỤNG CNTT CỦA CÁC CƠ QUAN QUẢN LÝ HÀNH CHÍNH NHÀ NƯỚC THUỘC TP. ĐÀ NẴNG
3. Về tình hình an ninh mạng và xử lý sự cố (Trang 19)
3. Về tình hình an ninh mạng và xử lý sự cố - QUY CHẾ BẢO ĐẢM AN TOÀN, AN NINH THÔNG TIN TRONG LĨNH VỰC ỨNG DỤNG CNTT CỦA CÁC CƠ QUAN QUẢN LÝ HÀNH CHÍNH NHÀ NƯỚC THUỘC TP. ĐÀ NẴNG
3. Về tình hình an ninh mạng và xử lý sự cố (Trang 19)

TÀI LIỆU CÙNG NGƯỜI DÙNG

TÀI LIỆU LIÊN QUAN

w