15 9 2006 ỦY BAN NHÂN DÂN TỈNH KHÁNH HÒA CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM Độc lập – Tự do – Hạnh phúc QUY CHẾ Đảm bảo an toàn, an ninh thông tin trong hoạt động ứng dụng công nghệ thông tin của các[.]
ỦY BAN NHÂN DÂN TỈNH KHÁNH HÒA CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM Độc lập – Tự – Hạnh phúc QUY CHẾ Đảm bảo an toàn, an ninh thông tin hoạt động ứng dụng công nghệ thơng tin quan quản lý hành nhà nước tỉnh Khánh Hòa (Ban hành kèm theo Quyết định số 36/2010/QĐ-UBND ngày 12 tháng 11 năm 2010 Ủy ban nhân dân tỉnh Khánh Hòa) Chương I QUY ĐỊNH CHUNG Điều Phạm vi điều chỉnh Quy chế quy định nội dung công tác đảm bảo an tồn, an ninh thơng tin hoạt động ứng dụng công nghệ thông tin quan quản lý hành nhà nước thuộc tỉnh Khánh Hịa, bao gồm: công tác xây dựng quy định quản lý đảm bảo an tồn, an ninh thơng tin; việc áp dụng biện pháp quản lý kỹ thuật, quản lý vận hành đảm bảo an tồn, an ninh thơng tin hệ thống thông tin Điều Đối tượng áp dụng Quy chế áp dụng quan quản lý hành nhà nước thuộc tỉnh, bao gồm: sở, ban, ngành trực thuộc Ủy ban nhân dân tỉnh ủy ban nhân dân huyện, thị xã, thành phố thuộc tỉnh Cán bộ, công chức làm việc quan nêu tại Khoản điều tổ chức, cá nhân có liên quan áp dụng Quy chế việc vận hành, khai thác sử dụng hệ thống thông tin tại quan, đơn vị Điều Giải thích từ ngữ Trong Quy chế này, từ ngữ hiểu sau: Tính tin cậy: Đảm bảo thơng tin chỉ truy cập bởi người cấp quyền sử dụng Tính tồn vẹn: Bảo vệ tính xác tính đầy đủ thơng tin phương pháp xử lý thơng tin Tính sẵn sàng: Đảm bảo người cấp quyền truy cập thông tin tài sản liên quan có nhu cầu TCVN 7562: 2005: Tiêu chuẩn Việt Nam mã thực hành quản lý an toàn thông tin ISO 17799:2005: Tiêu chuẩn Quốc tế cung cấp hướng dẫn quản lý an toàn bảo mật thông tin dựa quy phạm công nghiệp tốt ISO 27001:2005: Tiêu chuẩn Quốc tế quản lý bảo mật thông tin Tổ chức Chất lượng Quốc tế Hội đồng Điện tử Quốc tế xuất vào tháng 10 năm 2005 Chương II QUY ĐỊNH ĐẢM BẢO AN TỒN, AN NINH THƠNG TIN Điều Các biện pháp quản lý vận hành công tác đảm bảo an tồn, an ninh thơng tin Các quan, đơn vị phải trang bị đầy đủ kiến thức bảo mật cho cán công chức trước cho phép truy cập sử dụng hệ thống thông tin Các quan, đơn vị phải bố trí cán chun trách an tồn, an ninh thông tin (sau gọi tắt cán chuyên trách) Cán chuyên trách đảm bảo điều kiện học tập, tiếp thu công nghệ, kiến thức an tồn bảo mật thơng tin trước tiến hành hoạt động quản lý hay kỹ thuật nghiệp vụ Cán chuyên trách phải thường xuyên cập nhật cấu hình chuẩn cho thành phần hệ thống thơng tin, thiết lập cấu hình cách chặt chẽ cho sản phẩm an tồn thơng tin đảm bảo trì hoạt động thường xuyên hệ thống thông tin Cán chuyên trách phải tổ chức cấu hình hệ thống thơng tin chỉ cung cấp chức thiết yếu nhất, đồng thời xác định chức năng, cổng giao tiếp mạng, giao thức dịch vụ không cần thiết để cấm hạn chế sử dụng Hệ thống thông tin tại quan, đơn vị phải có chế lưu thơng tin ở mức người dùng mức hệ thống (bao gồm: lưu trạng thái hệ thống thông tin lưu trữ thơng tin lưu tại nơi an tồn), đồng thời thông tin lưu phải tổ chức kiểm tra thường xuyên để đảm bảo tính sẵn sàng tồn vẹn thơng tin Hệ thống thơng tin tại quan, đơn vị phải triển khai chế chống virus, thư rác cho hệ thống xung yếu hữu (firewall, mail server,…) tại máy trạm, máy chủ mạng; tổ chức sử dụng chế chống virus, thư rác để phát loại trừ đoạn mã độc hại (virus, trojan, worms…) có khả khai thác lỗ hổng hệ thống thông tin, truyền tải bởi thư điện tử, tập tin đính kèm từ Internet, thiết bị lưu trữ tháo lắp; đồng thời thường xuyên cập nhật chế chống virus, thư rác phù hợp với quy trình sách quản lý cấu hình hệ thống thơng tin quan, đơn vị Cán chuyên trách phải thường xuyên thực đánh giá, báo cáo rủi ro mức độ nghiêm trọng rủi ro Các rủi ro xảy nguy tự nhiên, truy cập trái phép, sử dụng trái phép dẫn đến làm mất, thay đổi phá hủy thông tin hệ thống thông tin Đối với cán bộ, công chức nhân viên đã nghỉ việc, quan, đơn vị phải thực hủy quyền truy cập hệ thống thông tin thu hồi tài sản liên quan tới hệ thống thông tin (như: khóa, thẻ nhận dạng,…) đảm bảo khả truy cập vào hồ sơ tạo bởi cán bộ, cơng chức nhân viên Các quan, đơn vị quan tâm phân bổ đầu tư cần thiết để đảm bảo tăng cường an tồn, an ninh thơng tin hoạt động ứng dụng công nghệ thông tin đơn vị Điều Các biện pháp quản lý kỹ thuật cho công tác đảm bảo an tồn, an ninh thơng tin Các quan, đơn vị phải tổ chức quản lý tài khoản hệ thống thông tin, bao gồm: Tạo mới, kích hoạt, sửa đổi, vơ hiệu hóa loại bỏ tài khoản, đồng thời tổ chức kiểm tra tài khoản hệ thống thơng tin 01 lần/01 năm triển khai công cụ tự động để hỗ trợ việc quản lý tài khoản hệ thống thông tin Hệ thống thông tin tại quan, đơn vị phải có chế giới hạn số hữu hạn lần đăng nhập sai liên tiếp Nếu liên tục đăng nhập sai vượt số lần quy định hệ thống tự động khóa lập tài khoản khoảng thời gian định trước tiếp tục cho đăng nhập Cán chuyên trách có trách nhiệm tổ chức theo dõi kiểm soát tất phương pháp truy cập từ xa (quay số, Internet…) tới hệ thống thơng tin, bao gồm truy cập có chức đặc quyền Hệ thống thông tin tại quan, đơn vị phải có chế kiểm tra, cho phép tương ứng với phương pháp truy cập từ xa chế tự động giám sát, điều khiển truy cập từ xa Cán chuyên trách phải thiết lập phương pháp hạn chế truy cập mạng không dây, giám sát điều khiển truy cập không dây, tổ chức sử dụng chứng thực mã hóa để bảo vệ truy cập khơng dây tới hệ thống thông tin Hệ thống thông tin tại quan, đơn vị phải ghi nhận kiện trình đăng nhập hệ thống, thao tác cấu hình hệ thống, trình truy xuất hệ thống, đồng thời ghi nhận đầy đủ thông tin liên quan vào ghi nhật ký nhằm xác định kiện đã xảy ra, nguồn gốc kết kiện để có chế bảo vệ lưu giữ nhật ký khoảng thời gian định Cán chuyên trách phải tổ chức quản lý định danh tất người dùng tham gia sử dụng hệ thống thông tin Hệ thống thông tin tại quan, đơn vị phải có chế ngăn chặn hạn chế cố gây công từ chối dịch vụ Cán chuyên trách sử dụng thiết bị đặt tại biên mạng để lọc gói tin nhằm bảo vệ thiết bị bên trong, tránh bị ảnh hưởng trực tiếp bởi công từ chối dịch vụ Điều Xây dựng quy chế nội đảm bảo an tồn, an ninh thơng tin Các quan quản lý hành nhà nước phải ban hành quy chế nội bộ, đảm bảo quy định rõ vấn đề sau: a) Mục tiêu phương hướng thực cơng tác đảm bảo an tồn, an ninh cho hệ thống thông tin; b) Nguyên tắc phân loại quản lý mức độ ưu tiên tài nguyên hệ thống thông tin (phần mềm, liệu, trang thiết bị); c) Quản lý phân quyền trách nhiệm cá nhân tham gia sử dụng hệ thống thông tin; d) Quản lý điều hành hệ thống máy chủ, thiết bị mạng, thiết bị bảo vệ mạng cách an toàn; đ) Kiểm tra, rà soát khắc phục cố an tồn, an ninh thơng tin hệ thống cách sử dụng biện pháp Điều Điều Quy chế này; e) Nguyên tắc chung sử dụng an toàn hiệu cá nhân tham gia sử dụng hệ thống thơng tin; g) Báo cáo tổng hợp tình hình an tồn, an ninh thơng tin hệ thống theo định kỳ; h) Các biện pháp tổ chức thực Các quan, đơn vị xây dựng quy chế an tồn, an ninh thơng tin cần tiêu chuẩn kỹ thuật quản lý an toàn tiêu chuẩn TCVN 7562:2005 ISO/IEC 17799:2005 tại Phụ lục I để áp dụng cho quan, đơn vị Điều Xây dựng áp dụng quy trình đảm bảo an tồn, an ninh thơng tin Các quan quản lý hành nhà nước phải xây dựng áp dụng quy trình đảm bảo an tồn, an ninh thơng tin cho hệ thống thơng tin nhằm giảm thiểu nguy gây cố, tạo điều kiện cho việc khắc phục truy vết trường hợp có cố xảy Nội dung quy trình chia làm bước như: a) Lập kế hoạch bảo vệ an toàn, an ninh thông tin cho hệ thống thông tin; b) Xây dựng hệ thống bảo vệ an tồn, an ninh thơng tin; c) Quản lý vận hành hệ thống bảo vệ an tồn, an ninh thơng tin; d) Kiểm tra đánh giá hoạt động hệ thống bảo vệ an toàn, an ninh thơng tin; đ) Bảo trì nâng cấp hệ thống bảo vệ an tồn, an ninh thơng tin Các quan, đơn vị tham khảo bước để xây dựng khung quy trình đảm bảo an tồn, an ninh thơng tin cho hệ thống thơng tin tại Phụ lục II tiêu chuẩn Quốc tế ISO 27001:2005 Chương III TRÁCH NHIỆM ĐẢM BẢO AN TOÀN, AN NINH THÔNG TIN Điều Trách nhiệm quan quản lý hành nhà nước Thủ trưởng quan, đơn vị chịu trách nhiệm toàn diện trước Ủy ban nhân dân tỉnh công tác đảm bảo an tồn, an ninh cho hệ thống thơng tin đơn vị mình, đồng thời thực nghiêm túc quy định tại Quy chế Khi có cố nguy an tồn, an ninh thông tin, kịp thời áp dụng biện pháp để khắc phục hạn chế thiệt hại, ưu tiên sử dụng lực lượng kỹ thuật an tồn thơng tin đơn vị, lập biên bản, báo cáo văn cho quan cấp quản lý trực tiếp Sở Thơng tin Truyền thơng Trường hợp có cố nghiêm trọng vượt khả khắc phục đơn vị, phải báo cáo cho quan cấp quản lý trực tiếp Sở Thông tin Truyền thông để hướng dẫn, hỗ trợ Tạo điều kiện thuận lợi cho quan chức tham gia khắc phục cố thực theo hướng dẫn Phối hợp với đoàn kiểm tra để triển khai công tác kiểm tra, khắc phục cố diễn nhanh chóng đạt hiệu quả, đồng thời cung cấp đầy đủ thông tin đồn kiểm tra u cầu xuất trình Báo cáo tình hình kết thực cơng tác đảm bảo an tồn, an ninh thơng tin tại quan, đơn vị gửi Sở Thông tin Truyền thông định kỳ năm 01 lần vào cuối quý IV Điều Trách nhiệm cán bộ, công chức quan quản lý hành nhà nước Trách nhiệm cán chuyên trách tại quan, đơn vị: a) Chịu trách nhiệm triển khai biện pháp quản lý vận hành, quản lý kỹ thuật tham mưu xây dựng quy định đảm bảo an tồn, an ninh thơng tin cho hệ thống thơng tin tại đơn vị theo quy định Quy chế b) Phối hợp với cá nhân, đơn vị liên quan việc kiểm tra, phát khắc phục cố an toàn, an ninh thông tin c) Chịu trách nhiệm tham mưu chun mơn vận hành an tồn hệ thống thơng tin đơn vị theo nhiệm vụ Thủ trưởng đơn vị phân công Trách nhiệm cán công chức quan, đơn vị: a) Nghiêm chỉnh thi hành quy chế nội bộ, quy trình an tồn, an ninh thơng tin quan, đơn vị quy định khác pháp luật, nâng cao ý thức cảnh giác, trách nhiệm đảm bảo an tồn, an ninh thơng tin tại đơn vị b) Khi phát cố phải báo cáo với cấp phận chuyên trách để kịp thời ngăn chặn, xử lý c) Hưởng ứng, tham gia chương trình đào tạo, hội nghị an tồn, an ninh thông tin Sở Thông tin Truyền thông tổ chức Điều 10 Trách nhiệm Sở Thông tin Truyền thông Tham mưu Ủy ban nhân dân tỉnh cơng tác đảm bảo an tồn, an ninh thông tin địa bàn tỉnh chịu trách nhiệm trước Ủy ban nhân dân tỉnh việc đảm bảo an tồn, an ninh thơng tin cho hệ thống thơng tin cấp tỉnh Thành lập đồn kiểm tra an tồn, an ninh thơng tin tiến hành kiểm tra, xử phạt theo định kỳ kiểm tra đột xuất phát có dấu hiệu, hành vi vi phạm an tồn, an ninh thơng tin Xây dựng triển khai chương trình đào tạo, hội nghị tuyên truyền đảm bảo an toàn, an ninh thông tin công tác quản lý nhà nước địa bàn tỉnh Hướng dẫn quan, đơn vị thực báo cáo cố an tồn, an ninh thơng tin kết thực cơng tác đảm bảo an tồn, an ninh thông tin tại quan, đơn vị Tùy theo mức độ cố, phối hợp Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam (VNCERT) đơn vị có liên quan hướng dẫn xử lý, ứng cứu cố an tồn, an ninh thơng tin Hướng dẫn, giám sát công tác xây dựng áp dụng quy định quản lý an toàn, an ninh thơng tin quy trình đảm bảo an tồn, an ninh thơng tin hệ thống thơng tin tại quan quản lý hành nhà nước địa bàn tỉnh Chương IV KIỂM TRA CÔNG TÁC ĐẢM BẢO AN TỒN, AN NINH THƠNG TIN Điều 11 Kế hoạch kiểm tra hàng năm Sở Thông tin Truyền thơng chủ trì, phối hợp với Văn phịng Ủy ban nhân dân tỉnh, Cơng an tỉnh đơn vị có liên quan tiến hành kiểm tra cơng tác đảm bảo an tồn, an ninh thơng tin định kỳ hàng năm quan quản lý hành nhà nước thuộc tỉnh Tiến hành kiểm tra đột xuất quan, đơn vị quản lý hành nhà nước có dấu hiệu vi phạm an tồn, an ninh thơng tin hệ thống thông tin Điều 12 Quan hệ phối hợp trách nhiệm quan chức liên quan Sở Thông tin Truyền thông a) Chịu trách nhiệm việc chủ trì, phối hợp với quan chức liên quan để thành lập đoàn kiểm tra cơng tác đảm bảo an tồn, an ninh thơng tin, triển khai kiểm tra báo cáo Ủy ban nhân dân tỉnh kết kiểm tra b) Tiến hành xử phạt theo thẩm quyền hành vi vi phạm an tồn, an ninh thơng tin gây thiệt hại cho hệ thống thông tin quan hành nhà nước địa bàn tỉnh; c) Tuyên truyền cơng tác an tồn, an ninh thơng tin tại quan hành địa bàn tỉnh Văn phòng Ủy ban nhân dân tỉnh a) Cử phận chun trách an tồn, an ninh thơng tin phối hợp với Sở Thông tin Truyền thông kiểm tra, đánh giá cơng tác đảm bảo an tồn, an ninh thông tin b) Phối hợp xây dựng tiêu chí quy trình kỹ thuật kiểm tra cơng tác đảm bảo an tồn, an ninh thơng tin Trách nhiệm Công an tỉnh a) Phối hợp với Sở Thông tin Truyền thông kiểm tra công tác đảm bảo an tồn, an ninh thơng tin b) Điều tra xử lý trường hợp vi phạm quy định an tồn, an ninh thơng tin theo thẩm quyền Chương V TỔ CHỨC THỰC HIỆN Điều 13 Khen thưởng, xử lý vi phạm Hàng năm, Sở Thông tin Truyền thông dựa điều tra, báo cáo cơng tác an tồn, an ninh thơng tin quan, đơn vị để xác lập bảng xếp hạng an tồn, an ninh thơng tin, sở đề xuất Ủy ban nhân dân tỉnh xét khen thưởng cá nhân, đơn vị theo quy định hành Tổ chức, cá nhân có hành vi vi phạm Quy chế tùy theo tính chất, mức độ vi phạm mà bị xử lý kỷ luật theo trách nhiệm, xử phạt hành bị truy cứu trách nhiệm hình Nếu gây thiệt hại phải bồi thường theo quy định hành pháp luật Điều 14 Tổ chức thực Sở Thông tin Truyền thơng chủ trì, phối hợp với sở, ban ngành, Ủy ban nhân dân huyện, thị xã Cam Ranh, thành phố Nha Trang quan có liên quan triển khai thực Quy chế Trong q trình thực hiện, có khó khăn, vướng mắc, quan, đơn vị kịp thời báo cáo Sở Thơng tin Truyền thơng để tổng hợp, trình Ủy ban nhân dân tỉnh xem xét, định./ TM ỦY BAN NHÂN DÂN KT CHỦ TỊCH PHÓ CHỦ TỊCH (Đã ký) Lê Xuân Thân