ỦY BAN NHÂN DÂN
TỈNH TRÀ VINH
--------

CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM
Độc lập - Tự do - Hạnh phúc
---------------

Số: 25/2015/QĐ-UBND

Trà Vinh, ngày 25 tháng 9 năm 2015

QUYẾT ĐỊNH

BAN HÀNH QUY CHẾ ĐẢM BẢO AN TOÀN THÔNG TIN TRONG HOẠT ĐỘNGỨNG DỤNG CÔNG NGHỆ THÔNG TIN CỦA CÁC CƠ QUAN NHÀ NƯỚC TỈNH TRÀ VINH

ỦY BAN NHÂN DÂN TỈNH TRÀ VINH

Căn cứ Luật Tổ chức Hội đồng nhân dân và Ủyban nhân dân ngày 26 tháng 11 năm 2003;

Căn cứ Luật Ban hành văn bản quy phạm pháp luậtcủa Hội đồng nhân dân, Ủy ban nhân dân ngày 03 tháng 12 năm 2004;

Căn cứ Luật Công nghệ thông tin ngày 29 tháng6 năm 2006;

Căn cứ Nghị định số 64/2007/NĐ-CP ngày 10 tháng4 năm 2007 của Chính phủ ứng dụng công nghệ thông tin trong hoạt động của cơquan nhà nước;

Căn cứ Nghị định số 72/2013/NĐ-CP ngày 15 tháng7 năm 2013 của Chính phủ quản lý, cung cấp, sử dụng dịch vụ Internet và thôngtin trên mạng;

Theo đề nghị của Giám đốc Sở Thông tin và Truyềnthông tại Tờ trình số 748/TTr-STTTT ngày 28 tháng 7 năm 2015 về việc ban hànhQuy chế đảm bảo an toàn thông tin trong hoạt động ứng dụng công nghệ thôngtin của các cơ quan nhà nước tỉnh Trà Vinh,

QUYẾT ĐỊNH:

Điều 1. Ban hành kèm theo Quyết định này Quy chế đảm bảo an toàn thôngtin trong hoạt động ứng dụng công nghệ thông tin của các cơ quan nhà nướctỉnh Trà Vinh.

Điều 2. Quyết định này có hiệu lực sau 10 ngày kể từ ngày ký.

Điều 3. Chánh Văn phòng Ủy ban nhân dân tỉnh; Giám đốc các Sở, Ban,ngành tỉnh, Chủ tịch Ủy ban nhân dân các huyện, thị xã, thành phố và các tổchức, cá nhân có liên quan chịu trách nhiệm thi hành Quyết định này./.

TM. ỦY BAN NHÂN DÂN
CHỦ TỊCH




Đồng Văn Lâm

QUY CHẾ

ĐẢM BẢO AN TOÀN THÔNG TIN TRONG HOẠT ĐỘNG ỨNG DỤNG CÔNG NGHỆTHÔNG TIN CỦA CÁC CƠ QUAN NHÀ NƯỚC TỈNH TRÀ VINH
(Ban hành kèm theo Quyết định số 25/2015/QĐ-UBND ngày 25/9/2015 của UBND tỉnh)

Chương I

NHỮNG QUY ĐỊNH CHUNG

Điều 1. Phạm vi điều chỉnhvà đối tượng áp dụng

1. Quy chế này quy định việc đảm bảo an toàn thôngtin trong hoạt động ứng dụng công nghệ thông tin của các cơ quan nhà nước baogồm: Các Sở, Ban, ngành tỉnh trực thuộc Ủy ban nhân dân tỉnh; Ủy ban nhân dâncấp huyện; Ủy ban nhân dân cấp xã; các đơn vị sự nghiệp có sử dụng ngân sáchnhà nước thuộc tỉnh và đoàn thể trên địa bàn tỉnh Trà Vinh (sau đây gọi tắt làcơ quan).

2. Quy chế này được áp dụng đối với các tổ chức,cá nhân có liên quan đến việc quản lý, sử dụng hệ thống thông tin trong các cơquan theo quy định tại khoản 1 Điều này.

Điều 2. Giải thích từ ngữ

Trong Quy chế này, các từ ngữ dưới đây được hiểunhư sau:

1. An toàn thông tin: Bao gồm các hoạt động quảnlý, nghiệp vụ và kỹ thuật đối với hệ thống thông tin nhằm bảo vệ, khôi phục cáchệ thống, các dịch vụ và nội dung thông tin đối với nguy cơ tự nhiên hoặc do conngười gây ra. Việc bảo vệ thông tin, tài sản và con người trong hệ thống thôngtin nhằm bảo đảm cho các hệ thống thực hiện đúng chức năng, phục vụ đúng đốitượng một cách sẵn sàng, chính xác và tin cậy. An toàn thông tin bao hàm cácnội dung bảo vệ và bảo mật thông tin, an toàn dữ liệu, an toàn máy tính và antoàn mạng.

2. Tính tin cậy: Đảm bảo thông tin chỉ có thể đượctruy cập bởi những người được cấp quyền sử dụng.

3. Tính nguyên vẹn: Bảo vệ tính chính xác và tínhđầy đủ của thông tin và các phương pháp xử lý thông tin.

4. Tính sẵn sàng: Đảm bảo những người được cấp quyềncó thể truy cập thông tin và các tài sản liên quan ngay khi có nhu cầu.

5. Hệ thống thông tin: Là một tập hợp và kết hợpcủa các phần cứng, phần mềm và các hệ mạng truyền thông được xây dựng và sử dụngđể thu thập, tạo, tái tạo, phân phối và chia sẻ các dữ liệu, thông tin và trithức nhằm phục vụ các mục tiêu của tổ chức.

6. Cấu hình chuẩn: Là cấu hình được các nhà sản xuấtthiết bị, phần mềm, khuyến nghị áp dụng, nhằm loại bỏ các xung đột, lỗ hỏng cóthể xảy ra trong quá trình cấu hình thiết bị.

7. Cổng giao tiếp (Port): Để định danh các ứng dụnggửi và nhận dữ liệu, mỗi ứng dụng sẽ tương ứng với một cổng giao tiếp, nhữngứng dụng phổ biến được đặt với số hiệu cổng định trước, nhằm định danh duy nhấtcác ứng dụng đó. Khi máy tính sử dụng dịch vụ nào thì cổng giao tiếp tương ứngvới dịch vụ đó sẽ mở.

8. Giao thức (Protocol): Là tập hợp các quitắc, qui ước truyền thông của mạng mà tất cả các thực thể tham gia truyền thôngphải tuân theo.

9. Vi rút máy tính: Là chương trình máy tính có khảnăng lây lan, gây ra hoạt động không bình thường cho thiết bị số hoặc sao chép,sửa đổi, xoá bỏ thông tin lưu trữ trong thiết bị số.

10. Bản ghi nhật ký hệ thống (Logfile): Là một tậptin được tạo ra trên mỗi thiết bị của hệ thống thông tin như tường lửa, máy chủứng dụng, có chứa tất cả thông tin về các hoạt động xảy ra trên thiết bị đó.

11. TCVN 7562: 2005 : Tiêu chuẩn Việt Nam về mã thựchành quản lý an toàn thông tin.

12. ISO 17799:2005: Tiêu chuẩn quốc tế cung cấp cáchướng dẫn quản lý an toàn bảo mật thông tin dựa trên quy phạm công nghiệp tốtnhất.

13. ISO 27001:2005: Tiêu chuẩn quốc tế về quản lýbảo mật thông tin do Tổ chức Chất lượng Quốc tế và Hội đồng Điện tử Quốc tế xuấtbản vào tháng 10 năm 2005.

Điều 3. Nguyên tắc đảm bảoan toàn thông tin

Thực hiện theo quy định tại Điều 41 Nghị định số 64/2007/NĐ-CP ngày 10 tháng 4 năm 2007 của Chính phủ, cụ thể như sau:

1. Việc bảo đảm an toàn thông tin là yêu cầu bắtbuộc trong quá trình thiết kế, xây dựng, vận hành, nâng cấp và huỷ bỏ các hạ tầngkỹ thuật của cơ quan nhà nước.

2. Thông tin số thuộc quy định danh mục bí mật nhànước của các cơ quan nhà nước phải được phân loại, lưu trữ, bảo vệ trên cơ sởquy định của pháp luật về bảo vệ bí mật nhà nước.

3. Cơ quan nhà nước phải xây dựng nội quy bảo đảman toàn thông tin; có cán bộ phụ trách quản lý an toàn thông tin; áp dụng, hướngdẫn và kiểm tra định kỳ việc thực hiện các biện pháp bảo đảm cho hệ thống thôngtin trên mạng đáp ứng các tiêu chuẩn, quy chuẩn kỹ thuật về an toàn thông tin.

4. Áp dụng quy trình bảo đảm an toàn dữ liệu baogồm:

a) Lưu trữ dự phòng.

b) Sử dụng mật mã để bảo đảm an toàn và bảo mật dữliệu trong lưu trữ và giao dịch theo quy định của Nhà nước về mật mã.

c) Quản lý chặt chẽ việc di chuyển các trang thiếtbị công nghệ thông tin lưu trữ các thông tin thuộc danh mục bí mật nhà nước.

d) Giám sát các khâu tạo lập, xử lý và hủy bỏ dữliệu.

đ) Các quy trình bảo đảm an toàn dữ liệu khác.

5. Áp dụng quy trình quản lý an toàn hạ tầng kỹ thuậtbao gồm:

a) Các giải pháp bảo vệ nhằm ngăn chặn và phát hiệnsớm việc truy cập trái phép vào mạng máy tính hay thiết bị lưu trữ dữ liệu.

b) Áp dụng các công nghệ xác thực, cơ chế quản lýquyền truy cập và cơ chế ghi biên bản hoạt động của hệ thống để quản lý và kiểmtra việc truy cập mạng.

c) Kiểm soát chặt chẽ việc cài đặt các phần mềm mớilên máy chủ và máy trạm.

d) Theo dõi thường xuyên tình trạng lây nhiễm vàthực hiện loại bỏ phần mềm độc hại khỏi hệ thống.

đ) Các quy trình quản lý an toàn hạ tầng kỹ thuậtkhác.

6. Điều kiện bảo đảm thực hiện nhiệm vụ an toànthông tin:

a) Cán bộ, công chức, viên chức phải nắm vững cácquy định của pháp luật và nội quy của cơ quan về an toàn thông tin.

b) Cán bộ kỹ thuật về an toàn thông tin phải đượctuyển chọn, đào tạo, huấn luyện, thường xuyên bồi dưỡng nghiệp vụ phù hợp vớinhiệm vụ được giao và được tạo điều kiện làm việc phù hợp.

c) Cơ quan nhà nước ưu tiên sử dụng lực lượng kỹthuật về an toàn thông tin của mình; khi cần thiết có thể sử dụng dịch vụ của cáctổ chức bảo đảm an toàn thông tin đủ năng lực được Nhà nước công nhận.

d) Hạ tầng kỹ thuật phải được kiểm tra định kỳ, đánhgiá hoặc kiểm định về mặt an toàn thông tin phù hợp các tiêu chuẩn, quy chuẩnkỹ thuật quy định.

Điều 4. Các hành vi bị nghiêmcấm

Thực hiện theo quy định tại Điều 12 Luật Công nghệthông tin số 67/2006/QH11 ngày 29 tháng 6 năm 2006, cụ thể như sau:

1. Cản trở hoạt động hợp pháp hoặc hỗ trợ hoạt độngbất hợp pháp về ứng dụng và phát triển công nghệ thông tin; cản trở bất hợppháp hoạt động của hệ thống máy chủ tên miền quốc gia; phá hoại cơ sở hạ tầngthông tin, phá hoại thông tin trên môi trường mạng.

2. Cung cấp, trao đổi, truyền đưa, lưu trữ, sử dụngthông tin số nhằm mục đích sau đây:

a) Chống Nhà nước Cộng hoà xã hội chủ nghĩa ViệtNam, phá hoại khối đoàn kết toàn dân.

b) Kích động bạo lực, tuyên truyền chiến tranh xâmlược, gây hận thù giữa các dân tộc và nhân dân các nước, kích động dâm ô, đồitrụy, tội ác, tệ nạn xã hội, mê tín dị đoan, phá hoại thuần phong mỹ tục củadân tộc.

c) Tiết lộ bí mật nhà nước, bí mật quân sự, an ninh,kinh tế, đối ngoại và những bí mật khác đã được pháp luật quy định.

d) Xuyên tạc, vu khống, xúc phạm uy tín của tổ chức,danh dự, nhân phẩm, uy tín của công dân.

đ) Quảng cáo, tuyên truyền hàng hoá, dịch vụ thuộcdanh mục cấm đã được pháp luật quy định.

3. Xâm phạm quyền sở hữu trí tuệ trong hoạt độngcông nghệ thông tin; sản xuất, lưu hành sản phẩm công nghệ thông tin trái pháp luật;giả mạo trang thông tin điện tử của tổ chức, cá nhân khác; tạo đường dẫn tráiphép đối với tên miền của tổ chức, cá nhân sử dụng hợp pháp tên miền đó.

Chương II

QUY ĐỊNH ĐẢM BẢO AN TOÀNTHÔNG TIN

Điều 5. Các biện pháp quảnlý chung

1. Đối với các cơ quan:

a) Thủ trưởng cơ quan trực tiếp chỉ đạo công tácđảm bảo an toàn thông tin và quy định trách nhiệm trong công tác đảm bảo an toànthông tin đối với cán bộ, công chức, viên chức và người lao động (gọi tắt làngười sử dụng) của cơ quan.

b) Trang bị kiến thức cơ bản về an toàn thông tincho người sử dụng nhằm nhận thức được các đe dọa và các vấn đề liên quan đến antoàn thông tin trước khi cho phép truy cập và sử dụng hệ thống thông tin.

c) Bố trí cán bộ thực hiện nhiệm vụ chuyên tráchvề an toàn thông tin (sau đây gọi tắt là cán bộ chuyên trách) trong cơ quan vàđảm bảo điều kiện để cán bộ chuyên trách được học tập, tiếp thu công nghệ, kiếnthức an toàn thông tin.

d) Thu hồi tất cả các tài sản có liên quan đến hệthống thông tin, vô hiệu hóa quyền truy nhập hệ thống thông tin đối với ngườisử dụng đã chấm dứt hợp đồng lao động, nghỉ việc, chuyển công tác.

đ) Khi mua sắm, sửa chữa, thay thế phần cứng máytính, các thiết bị tin học có tham gia vào hệ thống mạng của cơ quan hoặc các máytính dùng soạn thảo, lưu trữ tài liệu có nội dung bí mật, nhạy cảm phải kiểmtra tính an toàn, bảo mật trước khi sử dụng hoặc liên hệ đơn vị chuyên trách đểkiểm tra tính an toàn, bảo mật khi cần cần thiết.

e) Ưu tiên bố trí kinh phí để thực hiện công tácan toàn thông tin trong hoạt động ứng dụng công nghệ thông tin.

2. Đối với cán bộ chuyên trách tại các cơ quan:

a) Thường xuyên nghiên cứu, cập nhật các kiến thứcvề an toàn thông tin; tham mưu cho lãnh đạo triển khai thực hiện các biện phápđể đảm bảo an toàn thông tin các hệ thống thông tin của cơ quan.

b) Thiết lập, cấu hình hệ thống thông tin đảm bảochỉ cung cấp những chức năng, cổng giao tiếp mạng, giao thức và dịch vụ cần thiết;thường xuyên cập nhật cấu hình chuẩn cho các thành phần của hệ thống thông tin;có biện pháp phát hiện, phòng tránh các nguy cơ có thể gây mất an toàn thôngtin.

c) Sao lưu thông tin ở mức người dùng và mức hệ thốngvà lưu trữ thông tin sao lưu tại nơi an toàn, đảm bảo tính sẵn sàng và toàn vẹnthông tin.

d) Thiết lập, phân quyền tài khoản người sử dụngđăng nhập hệ thống, kịp thời vô hiệu hóa người dùng sử dụng tài khoản theo chỉ đạocủa lãnh đạo.

đ) Thực hiện việc theo dõi bản ghi nhật ký hệ thốngvà các sự kiện khác có liên quan để đánh giá, báo cáo các rủi ro và mức độ nghiêmtrọng của các rủi ro đó.

e) Kiểm soát chặt chẽ việc cài đặt phần mềm vào máytrạm và máy chủ.

Điều 6. Quản lý an toàn hạ tầngmạng nội bộ

1. Sơ đồ hệ thống mạng của cơ quan phải bảomật theo quy định. Các cơ quan có nhiều phòng, ban, đơn vị trực thuộc không nằmtrong cùng một khu vực cần thiết lập mạng riêng ảo (Virtual Private Network - VPN)để đảm bảo an toàn thông tin cho mạng nội bộ.

2. Khi triển khai các ứng dụng và cung cấp dịch vụqua mạng internet cơ quan cần tổ chức mô hình mạng 03 lớp gồm: Lớp trình diễn(Web Server), lớp ứng dụng (Web Application) và lớp cơ sở dữ liệu (Database Server).Trong trường hợp khó khăn, hạn chế nguồn lực xây dựng đầy đủ theo mô hình 03lớp thì vẫn áp dụng tối thiểu mô hình 02 lớp với lớp cơ sở dữ liệu được táchbiệt độc lập.

3. Trong một mô hình mạng cần phân biệt giữa cácvùng mạng theo chức năng và thiết lập chính sách an toàn thông tin riêng cho từngvùng theo yêu cầu thực tế của cơ quan:

a) Vùng mạng Internet (hay Untrused Network): Vùngmạng ngoài.

b) Vùng mạng DMZ Network: Đặt các máy chủ cung cấpdịch vụ trực tiếp ra mạng internet như: Web Server, mail server, FTP Server,…

c) Vùng Server Network (hay Server Farm): Đặt cácmáy chủ không trực tiếp cung cấp dịch vụ ra internet.

d) Vùng mạng Private Network: Đặt các thiết bị mạng,máy trạm và các máy chủ thuộc mạng nội bộ của cơ quan.

4. Khi thiết lập mạng không dây để kết nối với mạngcục bộ thông qua các điểm truy nhập, cần thiết lập các tham số như: Tên, SSID,mật khẩu, mã hóa dữ liệu và thường xuyên thay đổi mật khẩu nhằm tăng cường côngtác an toàn thông tin.

5. Triển khai các biện pháp phòng ngừa phù hợp vớiđặc thù và điều kiện của cơ quan như:

a) Lập chính sách quản lý phù hợp và thiết lậptường lửa (Firewall) để áp đặt các chính sách quản lý hỗ trợ phát hiện xâmnhập, bảo vệ hệ thống khi bị tấn công và hỗ trợ điều tra sự cố.

b) Sử dụng các thiết bị phát hiện/phòng, chống xâmnhập (IDS/IPS) và đặt ở các vị trí phù hợp nhằm phát hiện và ngăn chặn xâm nhậptrái phép của tin tặc vào hệ thống.

Điều 7. Thiết lập và cấu hìnhhệ thống máy chủ an toàn

1. Đối với hệ thống cài đặt mới cần đảm bảo về khảnăng hỗ trợ từ các bản phân phối (thông tin vá lỗi, thời gian cập nhật, nângcấp, kênh hỗ trợ kỹ thuật); khả năng vận hành và sử dụng hệ thống của người quảntrị.

2. Các dịch vụ hệ thống đang chạy phải thiết lậpvới tài khoản có quyền tối thiểu; vô hiệu hóa các dịch vụ và cổng không cần thiết.

3. Thực hiện quản lý chặt chẽ các tài khoản của hệthống thông tin, bao gồm: Tạo mới, kích hoạt, sửa đổi, vô hiệu hóa và loại bỏcác tài khoản; đồng thời, tổ chức kiểm tra các tài khoản của hệ thống thông tinít nhất 01 lần/01 năm và triển khai các công cụ tự động để hỗ trợ việc quản lýcác tài khoản của hệ thống thông tin.

4. Quản lý đăng nhập hệ thống: Yêu cầu người dùngđặt mật khẩu với độ an toàn cao (có chữ thường, có chữ in hoa, có số và ký tựđặc biệt như: @,#,!...) và thường xuyên thay đổi mật khẩu. Hệ thống thông tintại các cơ quan phải có cơ chế giới hạn một số hữu hạn lần đăng nhập sai liêntiếp (tối đa 03 lần), khi liên tục đăng nhập sai vượt quá số lần quy định thì hệthống sẽ tự động khóa hoặc cô lập tài khoản trong một khoảng thời gian nhất địnhtrước khi tiếp tục cho đăng nhập.

5. Theo dõi, và kiểm soát tất cả các phương pháptruy nhập từ xa (quay số, internet,…) tới hệ thống thông tin, bao gồm cả sự truynhập có chức năng quản trị, tăng cường sử dụng mạng riêng ảo khi có nhu cầu làmviệc từ xa.

6. Quản lý bản ghi nhật ký hệ thống: Hệ thống thôngtin cần ghi nhận đầy đủ thông tin trong các bản ghi nhật ký (quá trình đăng nhậphệ thống, các thao tác cấu hình hệ thống, quá trình truy xuất hệ thống,…), lưugiữ nội dung nhật ký trong khoảng thời gian nhất định để phục vụ việc quản lý,kiểm soát hệ thống thông tin.

7. Chống mã độc, virus: Lựa chọn, triển khai cácphần mềm chống virus, thư rác có hiệu quả trên các máy chủ, máy trạm, các thiếtbị, phương tiện kỹ thuật trong mạng, các hệ thống thông tin quan trọng như: Cổng/Trangthông tin điện tử, thư điện tử, một cửa điện tử,…; đồng thời, thường xuyên cậpnhật phiên bản mới, bản vá lỗi của các phần mềm chống virus nhằm kịp thời pháthiện, loại trừ mã độc máy tính (virus, trojan, worms,…).

a) Tổ chức quản lý tài nguyên: Kiểm tra, giám sátchức năng chia sẻ thông tin. Tổ chức cấp phát tài nguyên trên máy chủ theo danhmục thư mục cho từng phòng/ban; khuyến cáo người sử dụng cân nhắc việc chia sẽtài nguyên cục bộ trên máy đang sử dụng, khi thực hiện việc chia sẽ tài nguyêncần phải sử dụng mật khẩu để bảo vệ thông tin.

b) Thiết lập cơ chế sao lưu và phục hồi hệ thống:Hệ thống thông tin phải có cơ chế sao lưu thông tin ở mức người dùng và mức hệthống, được lưu trữ tại nơi an toàn; đồng thời, thường xuyên kiểm tra để đảmbảo tính sẵn sàng phục hồi và toàn vẹn thông tin.

c) Xử lý khẩn cấp: Khi phát hiện hệ thống máy chủbị tấn công, thông qua các dấu hiệu như: Luồng tin tăng lên bất ngờ, nội dungtrang chủ bị thay đổi, hệ thống hoạt động rất chậm khác thường,... cần thựchiện các bước cơ bản sau:

Bước 1: Ngắt kết nối máy chủ ra khỏi mạng;

Bước 2: Sao chép logfile và toàn bộ dữ liệu của hệthống ra thiết bị lưu trữ (phục vụ cho công tác phân tích);

Bước 3: Khôi phục hệ thống bằng cách chuyển dữ liệubackup mới nhất để hệ thống hoạt động;

Bước 4: Thông báo cho cơ quan chức năng để được hướngdẫn, hỗ trợ.

d) Hệ thống thông tin tại các cơ quan có cơ chế ngănchặn hoặc hạn chế các sự cố gây ra do tấn công từ chối dịch vụ (DoS, DDoS). Sửdụng các thiết bị đặt tại biên của mạng để lọc các gói tin nhằm bảo vệ cácthiết bị bên trong, tránh bị ảnh hưởng trực tiếp bởi tấn công từ chối dịch vụ.Đối với hệ thống thông tin cho phép truy nhập công cộng có thể thực hiện bảo vệbằng cách tăng dung lượng, băng thông hoặc thiết lập hệ thống dự phòng.

Điều 8. Xây dựng quy chế nộibộ đảm bảo an toàn thông tin

1. Các cơ quan quản lý hành chính nhà nước phải banhành quy chế nội bộ, đảm bảo quy định các vấn đề sau:

a) Mục tiêu và phương hướng thực hiện công tác đảmbảo an toàn cho hệ thống thông tin.

b) Nguyên tắc phân loại và quản lý mức độ ưu tiênđối với các tài nguyên của hệ thống thông tin (phần mềm, dữ liệu, trang thiếtbị).

c) Quản lý phân quyền và trách nhiệm đối với từngcá nhân khi tham gia sử dụng hệ thống thông tin.

d) Quản lý và điều hành hệ thống máy chủ, thiết bịmạng, thiết bị bảo vệ mạng một cách an toàn.

đ) Kiểm tra, rà soát và khắc phục sự cố mất an toànthông tin của hệ thống bằng cách sử dụng các biện pháp trong Điều 6 và Điều 7của Quy chế này.

e) Nguyên tắc chung đối với các cá nhân tham giasử dụng hệ thống thông tin.

g) Báo cáo tổng hợp tình hình an toàn thông tin củahệ thống theo định kỳ.

2. Các cơ quan xây dựng quy chế an toàn thông tincần căn cứ các tiêu chuẩn kỹ thuật quản lý an toàn trong bộ tiêu chuẩn TCVN 7562:2005 và ISO/IEC 17799:2005 tại Phụ lục I kèm theo Quy chế này để áp dụng cho cơ quanmình.

Điều 9. Xây dựng và áp dụng quytrình đảm bảo an toàn thông tin

1. Các cơ quan phải xây dựng và áp dụng quy trìnhđảm bảo an toàn cho hệ thống thông tin nhằm giảm thiểu các nguy cơ gây sự cố,tạo điều kiện cho việc khắc phục và truy vết trong trường hợp có sự cố xảy ra.Nội dung của quy trình chia làm các bước cơ bản như:

a) Lập kế hoạch bảo vệ an toàn thông tin cho hệ thốngthông tin.

b) Xây dựng hệ thống bảo vệ an toàn thông tin.

c) Quản lý và vận hành hệ thống bảo vệ an toànthông tin.

d) Kiểm tra đánh giá hoạt động hệ thống bảo vệan toàn thông tin.

đ) Bảo trì và nâng cấp hệ thống bảo vệ an toànthông tin.

2. Các cơ quan tham khảo các bước cơ bản để xây dựngkhung quy trình đảm bảo an toàn thông tin cho hệ thống thông tin tại Phụ lục IIkèm theo Quy chế này và tiêu chuẩn Quốc tế ISO 27001:2005.

Chương III

TRÁCH NHIỆM ĐẢM BẢO AN TOÀN THÔNG TIN

Điều 10. Trách nhiệm củacác cơ quan

1. Thủ trưởng các cơ quan có trách nhiệm tuyên truyền,nâng cao nhận thức cho cán bộ, công chức, viên chức về các nguy cơ mất an toànhệ thống thông tin; tổ chức triển khai thực hiện các quy định tại Quy chế nàyvà chịu trách nhiệm trước Ủy ban nhân dân tỉnh trong công tác đảm bảo an toànthông tin của cơ quan mình.

2. Xây dựng quy chế, quy trình nội bộ về đảm bảoan toàn thông tin theo quy định tại Điều 8 và Điều 9 của Quy chế này và các quyđịnh của pháp luật.

3. Khi có sự cố hoặc nguy cơ mất an toàn thông tinphải kịp thời chỉ đạo cán bộ kỹ thuật chuyên trách trong cơ quan áp dụng mọibiện pháp để khắc phục đồng thời báo cáo đến Sở Thông tin và Truyền thông, Bộphận chuyên trách đảm bảo an toàn thông tin nắm. Trường hợp cán bộ kỹ thuật khôngtự khắc phục được thì đề nghị Sở Thông tin và Truyền thông, Bộ phận chuyên tráchđảm bảo an toàn thông tin hỗ trợ.

4. Phối hợp với lực lượng Công an trong công tácphòng ngừa, đấu tranh, ngăn chặn các hoạt động xâm phạm an toàn thông tin, tạo điềukiện thuận lợi cho các cơ quan chức năng tham gia khắc phục sự cố và thực hiệnđúng theo hướng dẫn.

5. Phối hợp với đoàn kiểm tra để triển khai côngtác kiểm tra, khắc phục sự cố an toàn thông tin.

6. Trước ngày 15 tháng 12 hàng năm, báo cáo tìnhhình thực hiện công tác đảm bảo an toàn thông tin tại cơ quan gửi về Sở Thông tinvà Truyền thông tổng hợp báo cáo Ủy ban nhân dân tỉnh.

Điều 11. Trách nhiệm của cánbộ chuyên trách

1. Chịu trách nhiệm trước lãnh đạo cơ quan trongcông tác đảm bảo an toàn hệ thống thông tin của cơ quan.

2. Tham mưu lãnh đạo cơ quan ban hành các quy định,quy trình nội bộ, triển khai các giải pháp kỹ thuật đảm bảo an toàn thông tincho hệ thống thông tin của cơ quan theo Quy chế này.

3. Phối hợp với các cá nhân có liên quan trong việckiểm tra, phát hiện và khắc phục sự cố mất an toàn thông tin.

Điều 12. Trách nhiệm của SởThông tin và Truyền thông

1. Tham mưu Ủy ban nhân dân tỉnh về công tác đảmbảo an toàn thông tin trên địa bàn tỉnh và chịu trách nhiệm trước Ủy ban nhân dântỉnh trong việc đảm bảo an toàn an ninh cho các hệ thống thông tin được giaoquản lý.

2. Chủ trì, phối hợp với Công an tỉnh và các cơ quancó liên quan xây dựng kế hoạch và kiểm tra theo định kỳ hoặc đột xuất về antoàn thông tin; kịp thời phát hiện và xử lý theo quy định của pháp luật đối vớicác cơ quan, tổ chức, cá nhân có các dấu hiệu, hành vi vi phạm an toàn thông tintrên địa bàn tỉnh.

3. Hàng năm xây dựng và triển khai các chương trìnhđào tạo chuyên sâu về an toàn thông tin cho lực lượng đảm bảo an toàn thông tincủa các cơ quan.

4. Lồng ghép nội dung công tác đảm bảo an toàn thôngtin vào kế hoạch ứng dụng công nghệ thông tin hàng năm để triển khai thực hiện.Tổ chức hội nghị, hội thảo chuyên đề và tuyên truyền về an toàn thông tin trongcông tác quản lý nhà nước trên địa bàn tỉnh.

5. Hỗ trợ các cơ quan khắc phục sự cố khi có yêucầu; tùy theo mức độ sự cố phối hợp với Trung tâm Ứng cứu khẩn cấp máy tính ViệtNam (VNCERT) và các cơ quan có liên quan hướng dẫn xử lý, ứng cứu các sự cố mấtan toàn thông tin.

6. Hướng dẫn, giám sát các cơ quan trên địa bàn tỉnhxây dựng quy chế nội bộ và thực hiện việc đảm bảo an toàn cho hệ thống thôngtin theo quy định của Nhà nước.

7. Tổng hợp và báo cáo tình hình an toàn thông tintheo định kỳ cho Bộ Thông tin và Truyền thông, Ủy ban nhân dân tỉnh và các cơquan có liên quan.

Điều 13. Trách nhiệm của Côngan tỉnh

1. Chủ trì, phối hợp với Sở Thông tin và Truyền thông,các cơ quan có liên quan trong công tác phòng ngừa, ngăn chặn, đấu tranh, xử lýcác loại tội phạm lợi dụng hệ thống thông tin gây hại đến an toàn thôngtin trong cơ quan nhà nước.

2. Kịp thời thông báo về các âm mưu, phương thức,thủ đoạn mới của các thế lực thù địch và các loại tội phạm trên lĩnh vực côngnghệ thông tin.

3. Phối hợp với các cơ quan chức năng triển khaicác biện pháp bảo vệ an toàn thông tin trên địa bàn tỉnh.

4. Điều tra, xử lý các trường hợp vi phạm pháp luậtvề an toàn thông tin theo thẩm quyền.

5. Thực hiện nhiệm vụ bảo vệ an toàn các công trìnhquan trọng về an ninh quốc gia trên lĩnh vực công nghệ thông tin.

Điều 14. Trách nhiệm của SởKế hoạch và Đầu tư, Sở Tài chính

Phối hợp Sở Thông tin và Truyền thông ưu tiên bốtrí kinh phí thực hiện các nhiệm vụ đảm bảo an toàn thông tin trên địa bàn tỉnh.

Điều 15. Sửa đổi, bổ sung

Trong quá trình triển khai và tổ chức thực hiện,nếu có những vấn đề khó khăn, vướng mắc các cơ quan phản ánh kịp thời về Sở Thôngtin và Truyền thông để tổng hợp, báo cáo Ủy ban nhân dân tỉnh xem xét điềuchỉnh, bổ sung cho phù hợp./.

PHỤ LỤC I

NHỮNG NỘI DUNG CHÍNH CỦA ISO/IEC 17799:2005 DÙNG ĐỂXÂY DỰNG QUY CHẾ NỘI BỘ ĐẢM BẢO AN TOÀN CHO HỆ THỐNG THÔNG TIN
(Kèm theo Quyết định số 25/2015/QĐ-UBND ngày 25/9/2015 của UBND tỉnh)

1. Chính sách an toàn thông tin:

Chỉ thị và hướng dẫn về an toàn thông tin.

2. An ninh tổ chức:

a) Hạ tầng an ninh thông tin: Quản lý an ninh thôngtin trong tổ chức.

b) An ninh đối với bên truy cập thứ ba: Duy trì anninh cho các phương tiện xử lý thông tin của tổ chức và tài sản thông tin do cácbên thứ ba truy cập.

3. Phân loại và kiểm soát tài sản:

a) Trách nhiệm giải trình tài sản: Duy trì bảo vệtài sản.

b) Phân loại thông tin tài sản: Đảm bảo mỗi loạitài sản có mức bảo vệ thích hợp.

4. An ninh cá nhân:

a) An ninh trong định nghĩa công việc và nguồn lực:Giảm rủi ro do các hành vi sai sót của con người.

b) Đào tạo người sử dụng: Đảm bảo người sử dụng nhậnthức được các mối đe dọa và các vấn đề liên quan đến an ninh thông tin.

c) Đối phó với các sự cố an ninh: Giảm thiểu thiệthại từ các trục trặc và sự cố an ninh, theo dõi và rút kinh nghiệm.

5. An ninh môi trường và vật lý:

a) Phạm vi an ninh: Ngăn ngừa việc truy cập, gâyhại và can thiệp trái phép vào vùng an ninh và thông tin nghiệp vụ.

b) An ninh thiết bị: Để tránh mất mát, lỗi hoặc cácsự cố khác liên quan đến tài sản gây ảnh hưởng tới các hoạt động nghiệp vụ.

c) Kiểm soát chung: Ngăn ngừa làm hại hoặc đánh cắpthông tin và các phương tiện xử lý thông tin.

6. Quản lý truyền thông và hoạt động:

a) Thủ tục vận hành và trách nhiệm vận hành hệ thống:Đảm bảo các phương tiện xử lý thông tin hoạt động đúng và an toàn.

b) Lập kế hoạch hệ thống và công nhận: Giảm thiểurủi ro về lỗi hệ thống.

c) Bảo vệ chống lại phần mềm cố ý gây hại: Bảo vệtính toàn vẹn của phần mềm và thông tin.

d) Công việc quản lý: Duy trì tính toàn vẹn và sẵnsàng của dịch vụ truyền đạt và xử lý thông tin.

đ) Quản trị mạng: Đảm bảo việc an toàn thông tintrên mạng và bảo vệ cơ sở hạ tầng kỹ thuật.

e) Trao đổi thông tin: Ngăn ngừa mất mát, thay đổihoặc sử dụng sai thông tin được trao đổi giữa các đơn vị.

7. Kiểm soát truy cập:

a) Các yêu cầu nghiệp vụ đối với kiểm soát truy cập:Kiểm soát truy cập thông tin.

b) Quản lý truy cập của người dùng: Để tránh cáctruy cập không được cấp phép vào hệ thống.

c) Trách nhiệm của người dùng: Để tránh các truycập của người dùng không được cấp phép.

d) Kiểm soát truy cập mạng: Bảo vệ các dịch vụ mạng.

đ) Kiểm soát truy cập hệ điều hành: Tránh truy cậpvào các máy tính không được phép.

e) Kiểm soát truy cập ứng dụng: Tránh các truy cậptrái phép vào hệ thống.

g) Giám sát truy cập hệ thống và giám sát sử dụnghệ thống: Để phát hiện các hoạt động không được cấp phép.

h) Kiểm soát truy cập từ xa: Đảm bảo an toàn thôngtin khi sử dụng các phương tiện di động.

8. Phát triển và duy trì hệ thống:

a) Yêu cầu an ninh đối với các hệ thống: Để đảm bảocác yêu cầu an ninh được đưa vào trong quá trình xây dựng hệ thống.

b) An ninh trong hệ thống ứng dụng: Để ngăn ngừamất mát, thay đổi hoặc lạm dụng dữ liệu người sử dụng trong các hệ thống ứng dụng.

c) Các kiểm soát mật mã hóa: Để bảo vệ tính tin cậy,xác thực hoặc toàn vẹn của thông tin.

d) An ninh các tệp hệ thống: Đảm bảo rằng các dựán công nghệ thông tin và các hoạt động hỗ trợ được quản lý một cách an toàn.

đ) An ninh quá trình hỗ trợ và phát triển: Duy trìan ninh của phần mềm và thông tin hệ thống ứng dụng.

9. Sự tuân thủ:

a) Tuân thủ các yêu cầu pháp lý: Để tránh bất kỳcác vi phạm luật hình sự và dân sự, các nghĩa vụ có tính luật pháp, nguyên tắc vàbất kỳ yêu cầu an ninh nào.

b) Soát xét của chính sách an ninh và yêu cầu kỹthuật để đảm bảo việc tuân thủ của hệ thống với các chính sách và tiêu chuẩn anninh của Tổ quốc.

c) Xem xét kiểm tra hệ thống: Để tối đa tính hiệulực để giảm thiểu sự can thiệp tới quy trình kiểm tra hệ thống đó./.

PHỤ LỤC II

CÁC BƯỚC CƠ BẢN ĐỂ XÂY DỰNG KHUNG QUY TRÌNH ĐẢM BẢOAN TOÀN THÔNG TIN CHO HỆ THỐNG THÔNG TIN

(Kèm theoQuyết định số 25/2015/QĐ-UBND ngày 25/9/2015 của UBND tỉnh)

Bước 1. Lập kế hoạch bảo vệ an toàn cho hệ thốngthông tin:

- Thành lập bộ phận quản lý an toàn thông tin;

- Xây dựng định hướng cơ bản cho công tác đảm bảoan toàn thông tin trong đó chỉ rõ:

+ Mục tiêu ngắn hạn và dài hạn;

+ Phương hướng và văn bản pháp quy, tiêu chuẩn cầntuân thủ và tham khảo;

+ Ước lượng nhân lực và kinh phí đầu tư.

- Lập kế hoạch xây dựng hệ thống bảo vệ an toànthông tin:

+ Xác định và phân loại các nguy cơ gây sự cố antoàn thông tin;

+ Rà soát và lập danh sách các đối tượng cần đượcbảo vệ với những mô tả đầy đủ về: Nhiệm vụ; chức năng; mức độ quan trọng và cácđặc điểm đối tượng (đối tượng ở đây có thể là một phần mềm, máy chủ, quy trìnhtác nghiệp thuộc cơ quan,…);

+ Xây dựng phương án đảm bảo an toàn cho các đốitượng trong danh sách cần được bảo vệ: Nguyên tắc quản lý, vận hành; các giải phápbảo vệ và khắc phục sự cố,…

+ Liên lạc và hợp tác chặt chẽ với Trung tâm Ứngcứu khẩn cấp máy tính Việt Nam (VNCERT), Sở Thông tin và Truyền thông, các cơ quan,tổ chức nghiên cứu và cung cấp dịch vụ an toàn mạng;

+ Lập kế hoạch dự trù kinh phí đầu tư cho hệ thốngbảo vệ.

Bước 2. Xây dựng hệ thống bảo vệ an toànthông tin:

- Tổ chức đội ngũ nhân viên chuyên trách, đủ nănglực đảm bảo an toàn cho hệ thống thông tin;

- Xây dựng hệ thống bảo vệ an toàn thông tin theokế hoạch.

Bước 3. Quản lý và vận hành hệ thống bảo vệan toàn thông tin:

- Vận hành và quản lý chặt chẽ trang thiết bị, phầnmềm theo đúng quy định đã đặt ra;

- Khi phát hiện sự cố cần nhanh chóng xác định nguyênnhân, tìm biện pháp khắc phục và báo cáo sự cố cho các cơ quan chức năng;

- Cài đặt đầy đủ và thường xuyên cập nhật phần mềmtheo hướng dẫn của nhà cung cấp.

Bước 4. Kiểm tra đánh giá hoạt động của hệ thốngbảo vệ an toàn thông tin:

- Thường xuyên kiểm tra giám sát các hoạt động củahệ thống bảo vệ an toàn thông tin nói riêng cũng như toàn bộ hệ thống thông tinnói chung;

- Báo cáo tổng kết tình hình theo định kỳ.

Bước 5. Bảo trì và nâng cấp hệ thống bảo vệan toàn thông tin:

Thường xuyên kiểm tra và bảo trì hệ thống bảo vệan toàn thông tin. Cần nhanh chóng mở rộng, nâng cấp hoặc thay đổi khi cần thiết./.