ỦY BAN NHÂN DÂN
TỈNH LONG AN

-------

CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM
Độc lập - Tự do - Hạnh phúc
---------------

Số: 49/2014/QĐ-UBND

Long An, ngày 03 tháng 10 năm 2014

QUYẾT ĐỊNH

BANHÀNH QUY ĐỊNH ĐẢM BẢO AN TOÀN THÔNG TIN TRONG HOẠT ĐỘNG ỨNG DỤNG CÔNG NGHỆTHÔNG TIN CỦA CƠ QUAN NHÀ NƯỚC TRÊN ĐỊA BÀN TỈNH LONG AN

ỦY BAN NHÂN DÂN TỈNH LONG AN

Căn cứ Luật Tổ chức HĐND vàUBND ngày 26/11/2003;

Căn cứ Luật Giao dịch điện tửngày 29/11/2005;

Căn cứ Luật Công nghệ thông tinngày 29/6/2006;

Căn cứ Nghị định số 64/2007/NĐ-CP ngày 10/4/2007 của Chính phủ về ứng dụng công nghệ thông tintrong hoạt động của cơ quan nhà nước;

Căn cứ Nghị định số 72/2013/NĐ-CP ngày 15/7/2013 của Chính phủ về quản lý, cung cấp, sử dụng dịchvụ Internet và thông tin trên mạng;

Căn cứ Thông tư liên tịch số 06/2008/TTLT-BTTTT-BCA ngày 28/11/2008 của Bộ Thông tin và Truyền thông và BộCông an về bảo đảm an toàn cơ sở hạ tầng và an ninh thông tin trong hoạt độngbưu chính, viễn thông và công nghệ thông tin;

Căn cứ Thông tư số 27/2011/TT-BTTTT ngày 04/10/2011 của Bộ Thông tin và Truyền thông quy định vềđiều phối các hoạt động ứng cứu sự cố mạng Internet Việt Nam;

Theo đề nghị của Sở Thông tinvà Truyền thông tại tờ trình số 870/TTr-STTTT ngày 23/9/2014,

QUYẾT ĐỊNH:

Điều 1. Ban hành kèm theo Quyết định này Quy định về đảm bảo an toànthông tin trong hoạt động ứng dụng công nghệ thông tin của cơ quan nhà nướctrên địa bàn tỉnh Long An.

Điều 2. Giao Sở Thông tin và Truyền thông chủ trì, phối hợp với các cơ quan,đơn vị tổ chức triển khai, hướng dẫn, đôn đốc, kiểm tra việc thực hiện nội dungQuyết định này.

Quyết định này có hiệu lực thihành sau 10 (mười) ngày kể từ ngày ký và thay thế Quyết định số 49/2010/QĐ-UBND ngày 01/12/2010 của UBND tỉnh về việc ban hành quy định về đảm bảo an toàn, anninh thông tin và bảo mật trên môi trường mạng trong hoạt động của các cơ quannhà nước trên địa bàn tỉnh Long An.

Điều 3. Chánh Văn phòng UBND tỉnh; Thủ trưởng các sở ngành tỉnh; Chủ tịchUBND các huyện, thị xã, thành phố, các xã, phường, thị trấn và các đơn vị, tổchức, cá nhân có liên quan chịu trách nhiệm thi hành Quyết định này./.

Nơi nhận:
- Như Điều 3;
- Bộ Thông tin và Truyền thông;
- Cục Kiểm tra văn bản QPPL-Bộ Tư pháp;
- TT.TU, TT.HĐND tỉnh;
- TT.UBMTTQ và đoàn thể tỉnh;
- CT, PCT.UBND tỉnh;
- Trung tâm Công báo tỉnh;
- Cổng thông tin điện tử tỉnh;
- Phòng NCVX;
- Lưu: VT, STTTT, M.

TM. ỦY BAN NHÂN DÂN
CHỦ TỊCH




Đỗ Hữu Lâm

QUY ĐỊNH

ĐẢM BẢO AN TOÀNTHÔNG TIN TRONG HOẠT ĐỘNG ỨNG DỤNG CÔNG NGHỆ THÔNG TIN CỦA CƠ QUAN NHÀ NƯỚCTRÊN ĐỊA BÀN TỈNH LONG AN
(Kèm theo Quyết định số 49/2014/QĐ-UBND ngày 03/10/2014 của UBND tỉnh)

Chương I

QUY ĐỊNH CHUNG

Điều 1. Phạm vi và đối tượng ápdụng

1. Quy định này quy định về côngtác đảm bảo an toàn thông tin số và trách nhiệm của tổ chức, cá nhân có liênquan trong hoạt động ứng dụng công nghệ thông tin (CNTT) trên môi trường mạngcủa các cơ quan nhà nước trên địa bàn tỉnh Long An.

2. Quy định này áp dụng đối với:

a) Các cơ quan, đơn vị sau:

- Ủy ban nhân dân (UBND) các cấp;

- Các sở, ngành tỉnh; các đơn vị sựnghiệp thuộc UBND tỉnh; các tổ chức đoàn thể tỉnh;

- Các cơ quan chuyên môn, đơn vịthuộc UBND cấp huyện.

b) Cán bộ, công chức, viên chức(CBCC-VC), người lao động trong các cơ quan, đơn vị nêu tại điểm a khoản này vàcác tổ chức, cá nhân có liên quan đến hoạt động ứng dụng CNTT trên môi trườngmạng của các cơ quan nhà.

Điều 2. Giải thích từ ngữ

1. Mạng là khái niệm chungdùng để chỉ mạng viễn thông (cố định, di động, Internet), mạng máy tính (WAN,LAN). Trong Quy định này các vùng mạng ngoài (Public Zone), vùng mạng DMZ, vùngmạng làm việc (Working Zone) hiểu như sau:

a) Vùng mạng ngoài (Public Zone) làvùng mạng Internet;

b) Vùng DMZ (DMZ - DeMilitarizedZone) là một vùng mạng trung lập giữa mạng nội bộ và mạng Internet, chứacác thông tin cho phép người dùng từ Internet truy xuất vào mạng nội bộ. Cácthiết bị tại vùng này bao gồm các thiết bị mạng phục vụ cho vùng và các máy chủứng dụng;

c) Vùng làm việc (Working Zone) làvùng mạng cục bộ của cơ quan và nơi bố trí các mạng nội bộ ảo trực thuộc mạngnội bộ của đơn vị. Các mạng nội bộ ảo này có thể kết nối với nhau thông qua lớptrung gian hoặc kết nối trực tiếp với nhau.

2. An toàn thông tin là sự bảovệ thông tin và hệ thống thông tin tránh bị truy cập, sử dụng, tiết lộ, giánđoạn, sửa đổi hoặc phá hoại trái phép nhằm bảo đảm tính nguyên vẹn, tính bảomật và tính khả dụng của thông tin.

3. Đảm bảo an toàn thông tin làđảm bảo tính nguyên vẹn, tính bảo mật và tính khả dụng của thông tin, trong đó:

a) Tính bảo mật là đảm bảothông tin chỉ có thể được truy nhập bởi những người được cấp quyền sử dụng;

b) Tính nguyên vẹn là bảo vệsự chính xác và đầy đủ của thông tin và các phương pháp xử lý;

c) Tính khả dụng là đảm bảonhững người được cấp quyền có thể truy nhập thông tin và các tài sản liên quanngay khi có nhu cầu.

4. Hệ thống thông tin là tậphợp thiết bị phần cứng, phần mềm và cơ sở dữ liệu được thiết lập phục vụ mụcđích tạo lập, cung cấp, truyền đưa, thu thập, xử lý, lưu trữ và trao đổi thôngtin.

5. Bản ghi nhật ký hệ thống(Logfile) là tập tin được tạo ra trên mỗi thiết bị của hệ thống thông tinnhư: Tường lửa, máy chủ ứng dụng,... có chứa tất cả thông tin về các hoạt độngxảy ra trên thiết bị đó. Bản ghi nhật ký hệ thống dùng để phân tích những sựkiện đã xảy ra, truy tìm nguồn gốc và kết quả để từ đó có các biện pháp xử lýthích hợp.

6. Người dùng là cán bộ, côngchức, viên chức, nhân viên hợp đồng của cơ quan, đơn vị được sử dụng máy tínhtruy cập vào các hệ thống ứng dụng CNTT tại cơ quan, đơn vị để xử lý công việc.

7. ISO/IEC 27001 (ISMS) làtiêu chuẩn về hệ thống quản lý an toàn thông tin do Tổ chức tiêu chuẩn hóa quốctế và Ủy ban kỹ thuật điện quốc tế ban hành.

8. Đánh giá an toàn thông tin làviệc xác định, phân tích nguy cơ mất an toàn thông tin có thể có và dự báo mứcđộ, phạm vi ảnh hưởng và khả năng gây thiệt hại khi xảy ra sự cố mất an toànthông tin.

9. Tấn công từ chối dịch vụ làmột kiểu tấn công mà một người làm cho một hệ thống không thể sử dụng, hoặc làmcho hệ thống đó chậm đi một cách đáng kể với người dùng bình thường, bằng cáchlàm quá tải tài nguyên của hệ thống.

10. Máy tính làm việc bao gồm:Máy chủ, máy quản trị và máy tính cá nhân do cơ quan cấp cho người dùng để phụcvụ công việc và được quản lý theo các quy định của pháp luật về quản lý tài sảnnhà nước.

Điều 3. Nguyên tắc chung về đảmbảo an toàn thông tin

1. Các cơ quan, đơn vị, CBCC-VC thamgia hoạt động trên môi trường mạng không được xâm phạm an toàn thông tin của cơquan, đơn vị, CBCC-VC khác; trường hợp phát hiện hành vi xâm phạm an toàn thôngtin hoặc sự cố mất an toàn thông tin, cơ quan, đơn vị, CBCC-VC có trách nhiệmthông báo kịp thời cho cơ quan chức năng liên quan, đồng thời tiến hành cácbiện pháp khắc phục nhanh chóng, hạn chế thiệt hại tại cơ quan, đơn vị.

2. Các cơ quan, đơn vị, CBCC-VC chịutrách nhiệm bảo đảm an toàn thông tin đối với thông tin và hệ thống thông tinthuộc thẩm quyền quản lý; tuân thủ các nguyên tắc, các tiêu chuẩn, quy chuẩn kỹthuật về bảo mật, an toàn thông tin số; chịu sự quản lý, thanh tra, kiểm tra vàthực hiện các yêu cầu về bảo đảm an toàn thông tin của cơ quan nhà nước có thẩmquyền; phối hợp với cơ quan quản lý nhà nước có thẩm quyền và tổ chức, cá nhâncó liên quan trong việc bảo đảm an toàn thông tin trên môi trường mạng.

3. Các cơ quan, đơn vị có liên quanphải triển khai các giải pháp tăng cường khả năng phòng, chống các nguy cơ tấncông, xâm nhập các hệ thống thông tin; ngăn chặn, khắc phục kịp thời các sự cốmất an toàn thông tin trên mạng máy tính và các hệ thống thông tin thuộc thẩmquyền quản lý. Ngăn ngừa việc lộ, lọt tài liệu, thông tin bí mật nhà nước.

Điều 4. Các hành vi bị nghiêm cấm

1. Lợi dụng mạng và thông tin trênmạng nhằm mục đích:

a) Tuyên truyền chống lại Nhà nướcCộng hòa xã hội chủ nghĩa Việt Nam; thực hiện các hành vi xâm phạm an ninh quốcgia, trật tự, an toàn xã hội, gây ảnh hưởng xấu tới thuần phong, mỹ tục của dântộc;

b) Tiết lộ bí mật nhà nước và nhữngbí mật khác do pháp luật quy định;

c) Đưa thông tin xuyên tạc, vu khống,xúc phạm uy tín của tổ chức, danh dự và nhân phẩm của cá nhân.

2. Ngăn chặn trái phép việc truyềntải thông tin trên mạng; can thiệp trái phép, gây nguy hại, xóa, thay đổi, sửachữa làm sai lệch thông tin trên mạng.

3. Đánh cắp và sử dụng trái phép mậtkhẩu, khóa mật mã, thông tin riêng của tổ chức, cá nhân; ngăn cản bất hợp phápviệc truy nhập thông tin của tổ chức, cá nhân.

4. Cản trở bất hợp pháp, gây ảnhhưởng tới hoạt động bình thường của hệ thống thông tin; Lợi dụng sơ hở, điểmyếu của hệ thống thông tin để vô hiệu hóa, vượt qua biện pháp kiểm soát truycập, tấn công, chiếm quyền điều khiển trái phép đối với hệ thống thông tin.

5. Phát tán thư rác, thư giả mạo, tinnhắn rác, phần mềm độc hại, thiết lập hệ thống thông tin giả mạo, lừa đảo.

6. Các hành vi trái pháp luật khácliên quan đến hoạt động đảm bảo an toàn thông tin.

Chương II

NỘI DUNG ĐẢM BẢO AN TOÀN THÔNG TIN

Mục 1: ĐỐI VỚI CƠ SỞ HẠ TẦNG

Điều 5. Đảm bảo an toàn cơ sở hạtầng công nghệ thông tin

1. Bảo vệ cơ sở hạ tầng CNTT của cơquan, đơn vị nhằm ngăn chặn các hoạt động tấn công, đột nhập, phá hoại; phòng,chống sự cố do cháy, nổ và các sự cố khác do thiên tai gây ra.

2. Triển khai các giải pháp và hệthống thiết bị dự phòng để bảo đảm cơ sở hạ tầng CNTT hoạt động liên tục và antoàn.

3. Triển khai các biện pháp ngăn chặnviệc sử dụng, lợi dụng mạng lưới, thiết bị, các công cụ phần cứng, phần mềm đểcản trở, gây nhiễu, gây rối loạn, làm hư hỏng, hủy hoại hoạt động cơ sở hạ tầngCNTT; phòng, chống virus, thư rác, phần mềm gián điệp; phòng, chống hành viđánh cắp và sử dụng trái phép mật khẩu, khóa mật mã, thông tin riêng của các tổchức, cá nhân.

Điều 6. Đảm bảo an toàn sử dụngmáy tính làm việc

1. Máy tính làm việc chỉ được cài đặtphần mềm thông dụng do cán bộ chuyên trách CNTT quản lý hoặc những phần mềmđược cung cấp theo các chương trình ứng dụng CNTT của cơ quan nhà nước có thẩmquyền; hệ điều hành được cập nhật bản vá lỗi kịp thời, cài đặt phần mềm phòngchống, diệt virus có bản quyền và cập nhật phiên bản mới nhất; thường xuyên ràquét để phát hiện và loại bỏ mã độc trong máy tính.

2. Máy tính dùng để quản trị hệ thốngchỉ được cài đặt các phần mềm cần thiết phục vụ cho hoạt động quản trị hệthống, đặt trong vùng mạng phục vụ công tác quản trị hệ thống và chỉ được cấpquyền truy cập cho các cá nhân được giao trách nhiệm quản trị hệ thống.

3. Người dùng không tự ý thay đổi cấuhình máy tính, kết nối máy tính cá nhân do cơ quan cấp vào các mạng thông tinkhác (ngoài hệ thống thông tin của cơ quan); không tự ý sử dụng máy tính cấpcho người sử dụng khác; phải sử dụng mật khẩu cho tài khoản đăng nhập vào máytính và tuân thủ các quy định tại Điều 13 Quy định này.

4. Người dùng khi sử dụng các thiếtbị lưu trữ di động cá nhân phải tiến hành quét virus trước khi đưa vào sử dụngtrên máy tính làm việc của mình.

Điều 7. Đảm bảo an toàn hệ thốngmạng nội bộ

1. Mạng nội bộ của các cơ quan, đơnvị phải được kết nối mạng truyền số liệu chuyên dụng của tỉnh để đảm bảo antoàn thông tin theo quy định về quản lý vận hành, sử dụng và bảo đảm an toànthông tin Mạng truyền số liệu chuyên dùng trong các cơ quan nhà nước trên địabàn tỉnh Long An.

2. Hệ thống mạng nội bộ của cơ quan,đơn vị phải được bảo vệ bằng thiết bị tường lửa và phải đáp ứng các yêu cầu sau:

a) Phân chia hệ thống mạng nội bộthành các vùng mạng theo phạm vi truy cập và kiểm soát truy cập giữa các vùngbằng thiết bị tường lửa, phải phân chia tối thiểu thành các vùng mạng sau: Vùngmạng ngoài (Public Zone); vùng DMZ; vùng làm việc (Working Zone) và vùng mạng riêngcho khách (áp dụng đối với các cơ quan, đơn vị cho phép khách đến làm việc đượctruy cập hệ thống mạng của đơn vị để sử dụng Internet).

b) Vô hiệu hóa tất cả các dịch vụkhông sử dụng tại từng phân vùng mạng.

c) Cài đặt các bản cập nhật, vá lỗiđúng hạn cho các thiết bị tường lửa để khắc phục các điểm yếu nghiêm trọng củathiết bị; có cơ chế dự phòng phù hợp để đảm bảo hoạt động liên tục của cácthiết bị tường lửa.

3. Đối với việc truy cập từ xa vào hệthống mạng nội bộ:

a) Thủ trưởng cơ quan, đơn vị quyếtđịnh việc cho phép hoặc không cho phép thiết lập các kít nối từ xa vào hệ thốngthông tin của cơ quan, đơn vị.

b) Cán bộ chuyên trách CNTT phải thammưu lãnh đạo triển khai giải pháp áp dụng các tiêu chuẩn kỹ thuật để đảm bảocác kết nối từ xa vào hệ thống thông tin của cơ quan, đơn vị được giám sát chặtchẽ, cùng với các biện pháp đảm bảo an toàn thông tin; đảm bảo việc quản lý,giám sát và sử dụng các kết nối từ xa vào hệ thống thông tin của cơ quan, đơnvị tuân thủ các quy định về đảm bảo an toàn thông tin như các kết nối trực tiếptrong hệ thống mạng nội bộ của cơ quan, đơn vị.

c) Người dùng được cấp tài khoản đểthực hiện kết nối từ xa vào hệ thống thông tin của cơ quan phải tuân thủ cácquy định tại Điều 12 của Quy định này.

4. Không được kết nối điện thoạithông minh, máy tính bảng với hệ thống nội bộ khi chưa có sự cho phép của lãnhđạo cơ quan, đơn vị.

Điều 8. Đảm bảo an toàn thông tinkhi kết nối và sử dụng mạng Internet

1. Khi kết nối hệ thống thông tin củacơ quan, đơn vị với mạng Internet để sử dụng các dịch vụ ứng dụng CNTT cung cấpqua mạng Internet, cung cấp thông tin và dịch vụ công trực tuyến cho tổ chức,cá nhân theo quy định của pháp luật, cơ quan, đơn vị phải trang bị thiết bịkiểm soát truy cập Internet; kiểm soát, hạn chế hoặc không cho phép người dùngkết nối Internet để sử dụng các dịch vụ làm tiêu tốn nhiều thời gian, băngthông phục vụ cho mục đích cá nhân trong giờ làm việc hành chính tại cơ quan,đơn vị (như: các dạng tải dữ liệu dung lượng lớn, kết nối mạng và chuyển dữliệu trực tiếp với máy tính bên ngoài hệ thống thông tin, trao đổi trực tuyếncó sử dụng giao tiếp âm thanh và hình ảnh, xem phim, chơi trò chơi trựctuyến,...).

2. Người dùng không được phép truycập các trang thông tin có nghi ngờ chứa mã độc, không rõ nguồn gốc hoặc có nộidung không phù hợp (phản động hoặc trái thuần phong mỹ tục). Ngoại trừ nhữngngười có chức năng, thẩm quyền quản lý nhà nước lĩnh vực Internet có quyền truycập để phục vụ cho công tác điều tra, xử lý.

3. Đối với máy chủ và thiết bị CNTTkhác, chỉ thiết lập kết nối Internet cho các hệ thống cần phải có giao tiếp vớiInternet (các máy chủ, thiết bị cung cấp giao diện ra Internet của trang thôngtin điện tử, dịch vụ công trực tuyến, thư điện tử,...).

4. Nghiêm cấm dùng máy tính kết nốivào hệ thống mạng để soạn thảo, in ấn, sao chép, lưu trữ tài liệu có nội dungliên quan đến bí mật Nhà nước.

Điều 9. Đảm bảo an toàn trong thuhồi, thanh lý, sửa chữa thiết bị

1. Các thiết bị (máy chủ, máy tínhxách tay, phương tiện lưu trữ, máy tính để bàn, smartphone,...) khi không cònsử dụng cho công việc của cơ quan, đơn vị thì tiến hành thu hồi, thanh lý vàđơn vị đang sử dụng, quản lý phải tiến hành xóa dữ liệu, ghi đè hoặc phá hủyvật lý, đảm bảo dữ liệu được xóa không thể khôi phục lại được.

2. Đối với các phương tiện lưu trữ cóchứa dữ liệu quan trọng, phương án xử lý và ghi đè dữ liệu phải được bộ phậnchuyên trách CNTT xem xét và có ý kiến phê duyệt của lãnh đạo cơ quan, đơn vị.

3. Trường hợp bắt buộc phải sửa chữa,bảo hành các thiết bị (máy chủ, máy tính để bàn, máy tính xách tay, ổ cứng,thiết bị lưu trữ di động,...) phải có ý kiến của bộ phận chuyên trách CNTT vàđược lãnh đạo phê duyệt.

4. Trường hợp thay đổi mục đích hoặcbàn giao thiết bị mạng, đơn vị quản trị loại bỏ hoàn toàn các cấu hình hiện tạitrên thiết bị, khôi phục về trạng thái mặc định của nhà sản xuất trước khi thayđổi mục đích sử dụng hoặc bàn giao.

5. Trường hợp bàn giao các thiết bị(máy chủ, máy tính để bàn, máy tính xách tay, các thiết bị lưu trữ,...) cho bênthứ ba sửa chữa phải có biện pháp đảm bảo dữ liệu bên trong thiết bị được antoàn, không bị lộ, lọt thông tin, dữ liệu.

Điều 10. Giám sát an toàn hệthống thông tin

1. Giám sát an toàn hệ thống thôngtin là hoạt động giám sát nhằm phát hiện hành vi xâm phạm an toàn thông tinhoặc có khả năng gây ra sự cố mất an toàn thông tin đối với hệ thống thông tin.

2. Hoạt động giám sát an toàn hệthống thông tin bao gồm:

a) Giám sát luồng thông tin đượcgửi, nhận qua mạng;

b) Giám sát hoạt động tại máytính, thiết bị xử lý thông tin có kết nối mạng.

3. Cơ quan, đơn vị quản lý hệthống thông tin quan trọng có trách nhiệm thực hiện giám sát an toàn hệ thốngthông tin và lưu trữ thông tin giám sát theo quy định.

4. Doanh nghiệp viễn thông, doanhnghiệp cung cấp dịch vụ CNTT có trách nhiệm thực thi đầy đủ yêu cầu của cơ quannhà nước khi được yêu cầu phối hợp giám sát an toàn hệ thống thông tin.

Mục 2: ĐỐI VỚI PHẦN MỀM ỨNG DỤNG

Điều 11. Đảm bảo an toàn phầnmềm ứng dụng

1. Yêu cầu về đảm bảo an toànthông tin phải được đưa vào tất cả các công đoạn liên quan đến công tác triểnkhai ứng dụng CNTT từ khâu thiết kế, xây dựng, triển khai và vận hành, sử dụng.

2. Ứng dụng do cơ quan, đơn vịphát triển hoặc thuê phát triển phải đáp ứng các yêu cầu sau:

a) Mã hóa thông tin bí mật hoặcnhạy cảm bằng thuật toán mã hóa an toàn.

b) Kiểm tra tính hợp lệ của dữliệu đầu vào và đầu ra để đảm bảo dữ liệu chính xác và phù hợp.

c) Thực hiện các quy trình kiểmsoát việc cài đặt phần mềm trên các máy chủ, máy tính của người dùng, thiết bịmạng đang hoạt động thuộc hệ thống mạng nội bộ.

d) Hạn chế truy cập tới mã nguồnchương trình và phải đặt mã nguồn trong môi trường an toàn do bộ phận chuyêntrách CNTT quản lý.

đ) Thực hiện kiểm tra phát hiện vàkhắc phục lỗ hổng bảo mật của ứng dụng trước khi đưa vào sử dụng và kiểm trađịnh kỳ tối thiểu 6 tháng/01 lần trong quá trình sử dụng.

3. Đối với ứng dụng mua ở dạngđóng gói:

a) Theo dõi nắm bắt thông tin vềcác lỗ hổng bảo mật mới và cập nhật thường xuyên bản vá lỗi về bảo mật cho ứngdụng;

b) Trường hợp lỗ hổng đã được pháthiện mà chưa có bản vá lỗi của đơn vị sản xuất phần mềm, phải thực hiện đánhgiá rủi ro và có biện pháp phòng tránh phù hợp.

Điều 12. Đảm bảo an toàn cơ sởdữ liệu

1. Các nội dung quan trọng hoặcnhạy cảm khi lưu trữ trên thiết bị di động hoặc truyền nhận trên môi trườngmạng phải được mã hóa, trong đó:

a) Áp dụng mã hóa kênh kết nối chocác hoạt động sau: Quản trị hệ thống; đăng nhập mạng, ứng dụng; gửi nhận dữliệu tự động giữa các máy chủ; nhập và biên tập dữ liệu; tra cứu dữ liệu;

b) Áp dụng chữ ký số để xác thựcvà bảo mật dữ liệu, đặc biệt trong trường hợp cần đảm bảo chống từ chối nguồngốc dữ liệu;

c) Văn bản điện tử có nội dung cầnhạn chế tiếp cận nhưng không thuộc danh mục bí mật Nhà nước được sử dụng tínhnăng mã hóa (đặt mật khẩu) của các ứng dụng văn phòng (phần mềm soạn thảo, đọcvăn bản, nén tập tin), nhưng phải sử dụng mật khẩu an toàn.

2. CBCC-VC, người lao động thựchiện soạn thảo, gửi, nhận dữ liệu có trách nhiệm xác định mức độ quan trọng củadữ liệu để thực hiện phương thức bảo vệ dữ liệu phù hợp hoặc yêu cầu bộ phậnchuyên trách CNTT hướng dẫn, hỗ trợ phương thức bảo vệ trong trường hợp cầnthiết.

3. Cơ quan, đơn vị, CBCC-VC, ngườilao động bắt buộc phải sử dụng hộp thư điện tử của tỉnh (@longan.gov.vn) hoặccủa ngành dọc (.gov.vn) để trao đổi thông tin, gửi nhận tài liệu, văn bản phụcvụ cho công việc. Tuyệt đối không được sử dụng các địa chỉ thư điện tử miễn phíkhác (gmail, yahoo mail,...) để trao đổi thông tin, gửi nhận tài liệu phục vụcho công việc.

Điều 13. Quản lý, sử dụng tàikhoản và mật khẩu

1. Mật khẩu của tất cả các tàikhoản (ở cả cấp độ quản trị hệ thống và cấp độ người sử dụng) phải tuân thủđồng thời các yêu cầu sau:

a) Có chứa cả các ký tự chữ in vàchữ thường.

b) Có chứa ký tự số, các ký tự dấucâu hoặc các ký tự đặc biệt (!, @, #,...).

c) Có ít nhất 08 ký tự đối với tàikhoản người dùng, ít nhất 15 ký tự đối với tài khoản quản trị hệ thống.

d) Không phải là một từ hoàn chỉnhtrong các ngôn ngữ thông dụng (Tiếng Việt, Tiếng Anh, Tiếng Pháp,...).

đ) Không phải là một dãy ký tự lặplại có quy luật;

e) Không dựa vào thông tin cá nhân(ngày sinh, số điện thoại,...), tên người, tên địa danh, tên cơ quan hoặc cáctên gọi khác.

2. Người dùng phải thay đổi mậtkhẩu ngay lần đầu tiên đăng nhập vào hệ thống và thường xuyên thay đổi mật khẩuít nhất 03 tháng/01 lần.

3. Tất cả các tài khoản quản trịhệ thống thông tin của cơ quan, đơn vị (bao gồm máy chủ, thiết bị mạng, ứngdụng và cơ sở dữ liệu trong hệ thống thông tin), thường xuyên thay đổi mật khẩu,ít nhất 02 tháng/01 lần.

4. Khi quên mật khẩu hoặc nghi ngờmật khẩu tài khoản của mình bị người khác biết ngoài ý muốn, phải báo cáo sựviệc với thủ trưởng cơ quan và cán bộ chuyên trách CNTT để có phương án xử lýkịp thời; không sử dụng mật khẩu đã bị đánh cắp hoặc nghi ngờ bị đánh cắp chotài khoản cũ hoặc các tài khoản khác do cơ quan cấp.

5. Các quyết định, thông báo vềviệc người dùng điều chuyển công tác, thôi việc hoặc nghỉ việc phải được đồngthời chuyển đến cán bộ chuyên trách CNTT, đơn vị chủ trì quản lý hệ thống thôngtin để thực hiện điều chỉnh, thu hồi, hủy bỏ các quyền sử dụng của người dùngđó.

Mục 3: KỸ THUẬT, BIỆN PHÁP ĐẢMBẢO AN TOÀN THÔNG TIN

Điều 14. Các biện pháp kỹ thuậtđảm bảo an toàn thông tin cơ sở hạ tầng

1. Tổ chức quản lý các tài khoảncủa hệ thống thông tin, bao gồm: Tạo mới, kích hoạt, sửa đổi, vô hiệu và loạibỏ các tài khoản, đồng thời định kỳ tổ chức kiểm tra các tài khoản của hệ thốngthông tin ít nhất 02 lần/01 năm và triển khai hệ thống quản lý người dùng để hỗtrợ việc quản lý các tài khoản của hệ thống thông tin.

2. Hệ thống thông tin phải giớihạn số lần đăng nhập sai liên tiếp (không quá 05 lần). Nếu liên tục đăng nhậpsai vượt quá số lần quy định thì hệ thống sẽ tự động khóa hoặc cô lập tài khoảntrong một khoảng thời gian nhất định trước khi tiếp tục cho đăng nhập.

3. Hệ thống thông tin phải ghinhận được các sự kiện về quá trình đăng nhập hệ thống, các thao tác cấu hình hệthống, quá trình truy xuất hệ thống, đồng thời ghi nhận đầy đủ các thông tinliên quan vào các bản ghi nhật ký hệ thống nhằm xác định những sự kiện nào đãxảy ra, nguồn gốc và kết quả của sự kiện đó; có cơ chế bảo vệ và lưu giữ bảnghi nhật ký hệ thống trong một khoảng thời gian nhất định.

4. Hệ thống thông tin tại các cơquan, đơn vị cần có cơ chế ngăn chặn hoặc hạn chế các sự cố do tấn công từ chốidịch vụ (DoS, DDoS) gây ra. Sử dụng các thiết bị chuyên dụng để lọc gói tinnhằm bảo vệ các thiết bị bên trong, tránh bị ảnh hưởng trực tiếp bởi tấn côngtừ chối dịch vụ. Đối với hệ thống thông tin cho phép truy nhập công cộng có thểthực hiện bảo vệ bằng cách tăng dung lượng, băng thông hoặc thiết lập hệ thốngdự phòng.

5. Xây dựng cơ chế kiểm tra, chophép tương ứng với mỗi phương pháp truy cập từ xa và cơ chế tự động giám sát,điều khiển các truy cập từ xa; phải thiết lập phương pháp hạn chế truy cập mạngkhông dây, giám sát và điều khiển truy cập mạng không dây, tổ chức sử dụngchứng thực và mã hóa để bảo vệ truy cập mạng không dây tới hệ thống thông tin.

6. Lựa chọn, triển khai các phầnmềm chống virus, thư rác có hiệu quả trên các máy chủ, máy trạm, các thiết bị,phương tiện kỹ thuật trong mạng,...; đồng thời, thường xuyên cập nhật bản válỗi, phiên bản mới cho các phần mềm chống virus, nhằm kịp thời phát hiện, loạitrừ mã độc máy tính (virus, trojan, worms,...).

7. Kiểm tra, giám sát chức năngchia sẻ thông tin trong mạng nội bộ. Tổ chức cấp phát tài nguyên trên máy chủtheo danh mục, thư mục cho từng phòng/ban, đơn vị. Khi thực hiện việc chia sẻtài nguyên trên máy chủ hoặc trên máy đang sử dụng phải đặt mật khẩu theo quyđịnh tại Điều 13 của Quy định này để bảo vệ thông tin.

8. Hệ thống thông tin phải có cơchế, giải pháp sao lưu dự phòng dữ liệu ở mức người dùng, mức hệ thống và đượclưu trữ tại nơi an toàn nhằm tránh bị ảnh hưởng khi xảy ra sự cố hỏa hoạn,thiên tai, lũ lụt. Đồng thời, thường xuyên kiểm tra dữ liệu dự phòng để đảm bảotính sẵn sàng phục hồi và toàn vẹn thông tin.

Điều 15. Các biện pháp kỹ thuậtđảm bảo an toàn thông tin phần mềm ứng dụng

1. Quản lý toàn bộ các phiên bảnmã nguồn của phần mềm ứng dụng. Các phần mềm ứng dụng khi triển khai ra môitrường Internet phải tổ chức mô hình hợp lý, tránh khả năng tấn công chiếmquyền quản trị ứng dụng; cài đặt các hệ thống phòng vệ như tường lửa (firewall),thiết bị phát hiện/phòng chống xâm nhập (IDS/IPS) ở mức phần mềm ứng dụng.

2. Các phần mềm ứng dụng khi đưavào sử dụng hoặc khi bổ sung các chức năng mới cần tiến hành đánh giá, kiểmđịnh mức độ an toàn thông tin trước khi đưa vào vận hành chính thức nhằm tránhcác lỗi mang tính bảo mật.

3. Thiết lập và cấu hình cơ sở dữliệu bảo đảm an toàn:

a) Luôn cập nhật bản vá lỗi mớinhất cho hệ thống quản trị cơ sở dữ liệu; sử dụng công cụ để đánh giá, tìm kiếmlỗ hổng trên máy chủ cơ sở dữ liệu.

b) Gỡ bỏ các cơ sở dữ liệu khôngsử dụng.

c) Có các cơ chế sao lưu dữ liệu,tài liệu trong quá trình thay đổi cấu trúc bằng cách xây dựng nhật ký cơ sở dữliệu với các nội dung như: Nội dung thay đổi, lý do thay đổi, thời gian, vị tríthay đổi.

4. Xây dựng phương án sao lưu,phục hồi các phần mềm ứng dụng, trong đó chú ý việc sao lưu toàn bộ nội dungliên quan của phần mềm ứng dụng, bao gồm: Mã nguồn, cơ sở dữ liệu, dữ liệu phicấu trúc, đảm bảo khi có sự cố xảy ra có thể kịp thời khắc phục, phục hồi đầyđủ, trả lại trạng thái hoạt động bình thường của phần mềm ứng dụng.

Điều 16. Điều phối, ứng cứu sựcố mạng

1. Ứng cứu sự cố mạng là hoạt độngnhằm xử lý, khắc phục sự cố gây mất an toàn thông tin trên mạng, ứng cứu sự cốmạng trên địa bàn tỉnh do Bộ phận điều phối các hoạt động ứng cứu sự cố mạngInternet trong các cơ quan nhà nước trên địa bàn tỉnh (gọi tắt là “Bộ phận điềuphối”) thực hiện.

2. Ứng cứu sự cố mạng được thựchiện theo các nguyên tắc sau đây:

a) Nhanh chóng, chính xác, kịpthời, hiệu quả; tuân thủ quy định của pháp luật về điều phối ứng cứu sự cố mạng.

b) Thông tin được trao đổi, cungcấp trong quá trình điều phối, xử lý sự cố phải được đảm bảo bí mật theo yêucầu của tổ chức, cá nhân gặp sự cố, trừ khi sự cố xảy ra có liên quan tới nhiềuđối tượng người dùng khác hoặc có tính chất nghiêm trọng mà Cơ quan điều phốicấp trên có yêu cầu cung cấp để phục vụ cho công tác ứng cứu.

c) Việc trao đổi thông tin tronghoạt động điều phối phải được thực hiện bằng một hoặc nhiều hình thức như: côngvăn, thư điện tử, điện thoại, fax. Thành viên tiếp nhận thông tin phải chủ độngxác thực đối tượng gửi nhằm bảo đảm thông điệp nhận được là tin cậy.

d) Thành viên Bộ phận điều phối cóquyền được chia sẻ thông tin, kinh nghiệm, tham gia các hoạt động diễn tập ứngcứu sự cố, tham gia các khóa đào tạo, bồi dưỡng về hoạt động ứng cứu sự cố.

3. Công tác điều phối ứng cứu sựcố thực hiện theo Quy chế và quy trình cụ thể từ khâu: Thông báo sự cố; tiếpnhận và xử lý thông báo sự cố đến khâu điều phối ứng cứu sự cố.

Điều 17. Phát hiện, ngăn chặnvà xử lý phần mềm độc hại

1. Cơ quan, đơn vị quản lý hệthống thông tin quan trọng triển khai giải pháp, xây dựng hệ thống kỹ thuậtnghiệp vụ nhằm phát hiện, ngăn chặn và xử lý kịp thời việc phát tán phần mềmđộc hại.

2. Tổ chức cung cấp dịch vụ thưđiện tử, truyền đưa, lưu trữ thông tin trực tuyến phải có hệ thống phát hiện vàlọc phần mềm độc hại trong thông tin được gửi, nhận hoặc lưu trữ trên hệ thốngthông tin của mình và có trách nhiệm báo cáo cho cơ quan có thẩm quyền theo quyđịnh của pháp luật.

3. Doanh nghiệp cung cấp dịch vụInternet có trách nhiệm ngăn chặn việc phát tán phần mềm độc hại theo yêu cầucủa cơ quan chức năng.

Điều 18. Đào tạo, bồi dưỡngkiến thức an toàn thông tin

1. Cơ quan, tổ chức xây dựng kếhoạch tuyển dụng, đào tạo, phân công, cán bộ chuyên trách về CNTT và an toànthông tin để đảm bảo quản lý, khai thác có hiệu quả và bảo đảm an toàn cho hệthống thông tin thuộc phạm vi quản lý của cơ quan, tổ chức mình; chịu tráchnhiệm tổ chức hoặc cử cán bộ chuyên trách, bán chuyên trách CNTT tham gia cáckhóa đào tạo, bồi dưỡng, cập nhật kiến thức cơ bản về an toàn thông tin mạng dotỉnh hoặc cấp trên tổ chức.

2. Cán bộ chuyên trách về CNTT tạicác cơ quan, đơn vị có hệ thống thông tin phải thường xuyên được đào tạo nângcao, chuyên sâu về công tác đảm bảo an toàn thông tin, kịp thời cập nhật kiếnthức mới về an toàn thông tin; được bố trí, tạo điều kiện làm việc phù hợp,được hưởng lương và phụ cấp ưu đãi theo quy định.

Điều 19. Xây dựng quy chế nộibộ và áp dụng quy trình đảm bảo an toàn thông tin

1. Các cơ quan, đơn vị phải xâydựng quy chế nội bộ và áp dụng quy trình đảm bảo an toàn, an ninh cho hệ thốngthông tin nhằm giảm thiểu các nguy cơ gây ra sự cố mất an toàn thông tin, tạođiều kiện cho việc khắc phục và truy vết trong trường hợp có sự cố xảy ra.

2. Các cơ quan, đơn vị tham khảocác bước cơ bản để xây dựng khung quy trình đảm bảo an toàn thông tin cho hệthống thông tin tại tiêu chuẩn Quốc tế lSO/IEC 27001.

Chương III

PHÂN CÔNG TRÁCH NHIỆM THỰC HIỆN

Điều 20. Trách nhiệm của các cơquan, đơn vị

1. Các cơ quan, đơn vị trên địabàn tỉnh phải ban hành quy định hoặc quy chế về đảm bảo an toàn thông tin tronghoạt động của cơ quan, đơn vị mình.

2. Thủ trưởng các cơ quan, đơn vịcó trách nhiệm tuyên truyền, nâng cao nhận thức cho CBCC-VC về các nguy cơ mấtan toàn hệ thống thông tin; triển khai thực hiện nghiêm túc Quy định này và cácquy định khác có liên quan; chịu trách nhiệm trước UBND tỉnh về công tác đảmbảo an toàn thông tin cho các hệ thống thông tin do cơ quan, đơn vị mình quảnlý, vận hành. Thiết lập kênh thông tin trực tuyến để tiếp nhận phản ánh các vấnđề liên quan đến an toàn thông tin.

3. Khi có sự cố hoặc nguy cơ mấtan toàn thông tin phải kịp thời chỉ đạo khắc phục ngay, ưu tiên sử dụng cán bộkỹ thuật chuyên trách CNTT trong cơ quan, đơn vị. Đồng thời, thông báo bằng vănbản gửi về Sở Thông tin và Truyền thông, cơ quan cấp trên quản lý trực tiếp nắmbắt. Trường hợp không khắc phục được thì phối hợp với Sở Thông tin và Truyềnthông hoặc cơ quan quản lý cấp trên để được hướng dẫn, hỗ trợ.

4. Phối hợp chặt chẽ với cơ quanCông an trong công tác phòng ngừa, đấu tranh, ngăn chặn các hành vi vi phạm antoàn, an ninh thông tin. Tạo điều kiện thuận lợi cho các cơ quan chức năng thamgia khắc phục sự cố và thực hiện đúng theo hướng dẫn.

5. Phối hợp với đoàn kiểm tratriển khai công tác kiểm tra khắc phục sự cố; đồng thời cung cấp đầy đủ cácthông tin khi đoàn kiểm tra yêu cầu.

6. Báo cáo UBND tỉnh về tình hìnhvà kết quả thực hiện công tác đảm bảo an toàn thông tin tại cơ quan, đơn vị(thông qua Sở Thông tin và Truyền thông) định kỳ hàng năm (trước ngày 20 tháng9).

Điều 21. Trách nhiệm Sở Thôngtin và Truyền thông

1. Tham mưu UBND tỉnh tổ chức thựchiện các văn bản quy phạm pháp luật, chiến lược, quy hoạch, tiêu chuẩn, quychuẩn kỹ thuật về an toàn thông tin trên địa bàn tỉnh; chịu trách nhiệm trướcUBND tỉnh về việc đảm bảo an toàn thông tin cho các hệ thống thông tin trựctiếp quản lý vận hành.

2. Hàng năm, xây dựng và trìnhUBND tỉnh phê duyệt kế hoạch, dự toán nguồn kinh phí triển khai thực hiện côngtác đảm bảo an toàn thông tin trong hoạt động ứng dụng CNTT của các cơ quan,đơn vị trên địa bàn tỉnh; đánh giá an toàn thông tin cho các hệ thống thông tintrọng điểm của tỉnh.

3. Phối hợp với các cơ quan, đơnvị liên quan thực hiện thanh tra, kiểm tra khi phát hiện có các dấu hiệu, hànhvi vi phạm pháp luật về an toàn thông tin. Sở Thông tin và Truyền thông cótrách nhiệm quản lý công tác giám sát an toàn hệ thống thông tin của cơ quan,đơn vị trên địa bàn tỉnh.

4. Xây dựng và triển khai thựchiện các chương trình, kế hoạch đào tạo, bồi dưỡng; hội nghị tuyên truyền, phổbiến pháp luật về an toàn thông tin cho các cơ quan, đơn vị, tổ chức, cá nhâncó liên quan trên địa bàn tỉnh.

5. Tham mưu UBND tỉnh quyết địnhthành lập, ban hành Quy chế hoạt động của Bộ phận điều phối và triển khai thựchiện quy trình điều phối xử lý, ứng cứu sự cố mất an toàn thông tin của Bộ phậnđiều phối trong cơ quan nhà nước của tỉnh. Tùy theo mức độ sự cố, phối hợpTrung tâm Ứng cứu khẩn cấp máy tính Việt Nam (VNCERT) và các đơn vị có liênquan để hướng dẫn xử lý, ứng cứu các sự cố mất an toàn thông tin tại các hệthống thông tin trên địa bàn tỉnh.

6. Hướng dẫn chuyên môn nghiệp vụvề đảm bảo an toàn thông tin cho hệ thống thông tin của các cơ quan, đơn vị;thường xuyên thông báo đến các cơ quan, đơn vị về nguy cơ gây mất an toàn thôngtin do virus, phần mềm gián điệp,... gây ra và hướng dẫn biện pháp phòng ngừa,ngăn chặn kịp thời.

7. Định kỳ và đột xuất báo cáoUBND tỉnh và Bộ thông tin và Truyền thông về tình hình thực hiện công tác đảmbảo an toàn thông tin trong các cơ quan, đơn vị trên địa bàn tỉnh.

Điều 22. Trách nhiệm Công antỉnh

1. Phối hợp với Sở Thông tin vàTruyền thông kiểm tra công tác đảm bảo an toàn an ninh thông tin trong các cơquan, đơn vị trên địa bàn tỉnh; triển khai công tác bảo đảm an ninh thông tin,phòng, chống tội phạm và các hành vi vi phạm pháp luật khác trong công tác đảmbảo an toàn thông tin; thanh tra, kiểm tra và xử lý vi phạm đối với tổ chức, cánhân vi phạm quy định về bảo đảm an ninh thông tin trong hoạt động của các cơquan, đơn vị.

2. Thường xuyên thông báo cho cáccơ quan, đơn vị về âm mưu, phương thức, thủ đoạn hoạt động của các thế lực thùđịch và tội phạm trên lĩnh vực CNTT nhằm nâng cao ý thức cảnh giác và có biệnpháp phòng ngừa, đấu tranh, ngăn chặn kịp thời hoạt động của tội phạm và cácthế lực thù địch.

3. Điều tra và xử lý các trườnghợp vi phạm về an toàn, an ninh thông tin theo thẩm quyền quy định của phápluật hiện hành.

4. Thực hiện nhiệm vụ bảo vệ antoàn các công trình quan trọng về an ninh quốc gia trong lĩnh vực CNTT trên địabàn tỉnh.

5. Cơ quan chuyên trách bảo vệ anninh quốc gia thuộc Công an tỉnh khi phát hiện các thông tin, tài liệu, dữliệu, đồ vật liên quan đến hoạt động xâm phạm an ninh quốc gia theo quy địnhphải thực hiện các quy định sau đây:

a) Yêu cầu tổ chức, cá nhân cungcấp các thông tin, dữ liệu, số liệu, tài liệu, đồ vật liên quan.

b) Thực hiện theo thẩm quyền cácbiện pháp thu giữ, sao chép thông tin, dữ liệu, số liệu, tài liệu, đồ vật, mộtphần hoặc toàn bộ hệ thống thiết bị liên quan.

c) Ngăn cản việc truy nhập hệthống thiết bị, mạng lưới và sử dụng dịch vụ.

d) Thực hiện các nhiệm vụ, quyềnhạn khác theo quy định của pháp luật.

Điều 23. Trách nhiệm Sở Tàichính

Chủ trì phối hợp với Sở Thông tinvà Truyền thông hướng dẫn các cơ quan, đơn vị lập dự toán, quản lý, sử dụng vàquyết toán kinh phí ngân sách nhà nước hàng năm trong dự toán được giao để thựchiện nhiệm vụ chuyên môn về bảo đảm an toàn, an ninh thông tin.

Điều 24. Trách nhiệm Sở Kếhoạch và Đầu tư

Ưu tiên bố trí nguồn kinh phí đầutư để thực hiện các nhiệm vụ, dự án liên quan đến công tác bảo đảm an toàn, anninh thông tin.

Điều 25. Trách nhiệm của cánbộ, công chức, viên chức, người lao động

1. Cán bộ chuyên trách CNTT cótrách nhiệm tham mưu thủ trưởng cơ quan, đơn vị:

a) Triển khai thực hiện các biệnpháp quản lý vận hành kỹ thuật cho hệ thống thông tin của cơ quan, đơn vị mình;

b) Phối hợp với các cơ quan, đơnvị, cá nhân có liên quan trong việc kiểm tra, phát hiện và khắc phục các sự cốmất an toàn thông tin;

c) Tham gia các chương trình đàotạo, hội nghị về an toàn thông tin do tỉnh hoặc các đơn vị chuyên môn tổ chức;

d) Xác định các chương trình, phầnmềm cần thiết để cài đặt trên các máy tính cá nhân trong cơ quan phục vụ côngviệc của từng nhóm người dùng (văn thư, cán bộ chuyên môn, kế toán,...) và thựchiện cài đặt các phần mềm này theo đúng quy định.

2. Cán bộ, công chức, viên chức,người lao động có trách nhiệm:

a) Chấp hành nghiêm các quy định củatỉnh, cơ quan, đơn vị về công tác đảm bảo an toàn thông tin và các quy địnhpháp luật khác có liên quan; nâng cao ý thức cảnh giác và có trách nhiệm trongcông tác đảm bảo an toàn thông tin tại cơ quan, đơn vị.

b) Khi phát hiện sự cố mất an toànthông tin phải báo cáo ngay với lãnh đạo trực tiếp và bộ phận hoặc cán bộchuyên trách CNTT để kịp thời ngăn chặn, xử lý.

Chương IV

TỔ CHỨC THỰC HIỆN

Điều 26. Khen thưởng, xử lý viphạm

1. Hàng năm, Sở Thông tin vàTruyền thông dựa trên hoạt động kiểm tra việc triển khai thực hiện công tác đảmbảo an toàn thông tin của các cơ quan, đơn vị trên địa bàn tỉnh, tham mưu, đềxuất UBND tỉnh xem xét khen thưởng các cơ quan, đơn vị, tổ chức, cá nhân thựchiện tốt công tác đảm bảo an toàn thông tin cho hệ thống thông tin của các cơquan, đơn vị và của tỉnh.

2. Tổ chức, cá nhân có hành vi viphạm các quy định về an toàn cơ sở hạ tầng và an ninh thông tin trong hoạt độngcủa cơ quan nhà nước thì tùy theo tính chất, mức độ vi phạm mà bị xử lý kỷ luậttheo trách nhiệm, xử phạt vi phạm hành chính hoặc truy cứu trách nhiệm hình sự.Nếu gây thiệt hại thì phải bồi thường theo quy định hiện hành của pháp luật.

Điều 27. Điều khoản thi hành

1. Giao Sở Thông tin và Truyềnthông chủ trì, phối hợp với các cơ quan, đơn vị có liên quan hướng dẫn, theodõi, đôn đốc, kiểm tra việc triển khai thực hiện Quy định này.

2. Trong quá trình thực hiện, nếucó vướng mắc, đề nghị cơ quan, tổ chức, cá nhân có liên quan phản ánh về SởThông tin và Truyền thông để tổng hợp trình UBND tỉnh xem xét, giải quyết./.