ỦY BAN NHÂN DÂN TỈNH BẮC KẠN
CỘNG HOÀ XÃ HỘI CHỦ NGHĨA VIỆT NAM
Độc lập - Tự do - Hạnh phúc
Hà Nội, ngày 14 tháng 10 năm 2010

QUYẾT ĐỊNH

Ban hành Quy chế đảm bảo an toàn thông tin trong các cơ quan nhà nước, các tổ chức Đoàn thể trên địa bàn tỉnh Bắc Kạn

_________________

ỦY BAN NHÂN DÂN TỈNH BẮC KẠN

Căn cứ Luật Tổ chức HĐND và UBND ngày 26/11/2003;

Căn cứ Luật Ban hành văn bản QPPL của HĐND, UBND ngày 03/12/2004;

Căn cứ Luật Công nghệ thông tin ngày 29/6/2006;

Căn cứ Nghị định số 64/2007/NĐ-CP ngày 10 tháng 4 năm 2007 của Chính phủ ứng dụng công nghệ thông tin trong hoạt động của cơ quan nhà nước;

Căn cứ Quyết định số 63/QĐ-TTg của Thủ tướng Chính Phủ về việc phê duyệt Quy hoạch phát triển an toàn thông tin số quốc gia đến năm 2020;

Theo đề nghị của Sở Thông tin và Truyền thông tại Tờ trình số 27/TTr-STTTT ngày 29/9/2010 và Báo cáo thẩm định số 180/BC-STP ngày 24/9/2010 của Sở Tư pháp,

QUYẾT ĐỊNH:

Điều 1. Ban hành kèm theo Quyết định này Quy chế đảm bảo an toàn thông tin trong các cơ quan nhà nước, các tổ chức Đoàn thể trên địa bàn tỉnh Bắc Kạn.

Điều 2. Quyết định này có hiệu lực thi hành sau 10 ngày kể từ ngày ký.

Điều 3. Các ông, bà: Chánh Văn phòng UBND tỉnh, Giám đốc Sở Thông tin và Truyền thông, Thủ trưởng các cơ quan, ban, ngành, đoàn thể trong tỉnh, Chủ tịch UBND huyện, thị xã chịu trách nhiệm thi hành Quyết định này./.

TM. ỦY BAN NHÂN DÂN TỈNH

CHỦ TỊCH

Đã ký

Triệu Đức Lân

QUY CHẾ

Đảm bảo an toàn thông tin trong các cơ quan Nhà nước,

các tổ chức đoàn thể trên địa bàn tỉnh Bắc Kạn

(Ban hành kèm theo Quyết định số 2196/2010/QĐ-UBND

 ngày 14/10/2010 của Ủy ban nhân dân tỉnh)

_______________________

Chương I

NHỮNG QUY ĐỊNH CHUNG

Điều 1. Phạm vi điều chỉnh, đối tượng áp dụng

Quy chế này được áp dụng đối với tất cả các cơ quan nhà nước, các tổ chức đoàn thể trong việc quản lý, khai thác thông tin số, đảm bảo an toàn thông tin trong lĩnh vực ứng dụng công nghệ thông tin và các hoạt động liên quan đến nội dung số phục vụ công tác quản lý nhà nước trên địa bàn tỉnh Bắc Kạn

Điều 2. Mục đích đảm bảo an toàn hệ thống thông tin

Việc áp dụng Quy chế này nhằm giảm thiểu được các nguy cơ gây mất an toàn thông tin và đảm bảo an ninh thông tin trong quá trình tham gia hoạt động trên mạng Internet.

Công tác đảm bảo an toàn thông tin là một trong những nhiệm vụ trọng tâm để đảm bảo an toàn về cơ sở dữ liệu và các thiết bị trong việc ứng dụng công nghệ thông tin trong quản lý nhà nước.

Điều 3. Giải thích từ ngữ

Trong Quy chế này, các từ ngữ dưới đây được hiểu như sau:

1. An toàn thông tin số: Là thuật ngữ dùng để chỉ việc bảo vệ thông tin số và các hệ thống thông tin chống lại các nguy cơ tự nhiên, các hành động truy cập, sử dụng, phát tán, phá hoại, sửa đổi và phá hủy bất hợp pháp nhằm bảo đảm cho hệ thống thông tin thực hiện đúng chức năng, phục vụ đúng đối tượng một cách sẵn sàng, chính xác và tin cậy. An toàn thông tin bao hàm các nội dung bảo vệ và bảo mật thông tin, an toàn dữ liệu, an toàn máy tính và an toàn mạng.

2. Virus máy tính: Virus là một đoạn chương trình có hại cho máy tính, là một chương trình hay một đoạn mã có khả năng tự sao chép chính nó từ đối tượng lây nhiễm này sang đối tượng khác (đối tượng là các máy tính, file văn bản).

3. FireWall: FireWall là một kỹ thuật được tích hợp vào máy tính và hệ thống mạng để chống lại sự truy cập trái phép nhằm bảo vệ các nguồn thông tin nội bộ cũng như hạn chế sự xâm nhập vào hệ thống của một số đối tượng khác không mong muốn.

4. Router: Router là một thiết bị cho phép gửi các gói dữ liệu dọc theo mạng. Một Router được kết nối tới ít nhất là hai mạng, thông thường hai mạng đó là LAN, WAN.

5. Phân quyền: Là thao tác của nhân viên quản trị hệ thống mạng máy tính, quản lý người dùng trên máy tính dựa vào tài khoản. Mỗi tài khoản người dùng như vậy có tên, mật khẩu và kèm theo một số quyền hạn nhất định như: cho phép sao chép, xem, sửa, xóa, in văn bản, thông tin trong máy tính; cho phép được truy cập Internet, quy định thời gian sử dụng máy tính.

Chương II

CÔNG TÁC ĐẢM BẢO AN TOÀN HỆ THỐNG THÔNG TIN

Điều 4. Đảm bảo an toàn mạng, hạ tầng thông tin, dữ liệu và ứng dụng công nghệ thông tin

Mỗi cán bộ, công chức, viên chức trong các cơ quan, đơn vị sử dụng máy tính phải đặt mật khẩu truy cập vào máy tính của mình. Sử dụng thiết bị lưu trữ USB an toàn, đúng cách để phòng ngừa Virus xâm nhập máy tính: khi trao đổi dữ liệu giữa USB và máy tính, không được trực tiếp truy nhập ngay vào USB vì có thể rất nhiều virus được kích hoạt và lây lan vào máy tính thông qua thao tác đó. Muốn truy cập USB an toàn phải quét Virus đối với USB bằng phần mềm diệt Virus đáng tin cậy xong mới được truy cập bình thường.

Những phần mềm đã được cơ quan, đơn vị mua bản quyền nhằm phục vụ cho việc đảm bảo an toàn cho hệ thống thông tin yêu cầu tất cả các cán bộ, công chức, viên chức sử dụng máy tính phải cài đặt và thường xuyên cập nhật phiên bản mới theo hướng dẫn của nhà cung cấp. Những cơ quan, đơn vị có sử dụng các phần mềm ứng dụng như phần mềm kế toán, quản lý nhân sự, tiền lương, phần mềm báo cáo số liệu... phải đảm bảo tính chính xác của thông tin, không gây ra sự cố mất dữ liệu, đảm bảo hệ thống phần mềm luôn hoạt động liên tục.

Không được mở các thư điện tử có phần đính kèm không rõ ràng vì hiện nay có rất nhiều virus được đính kèm theo thư. Ngoài ra còn có các phần mềm gián điệp được gửi đi với mục đích đánh cắp thông tin mật của người dùng máy tính.

Các thiết bị mạng quan trọng như máy chủ, Switch, Router, FireWall phần cứng…của các cơ quan, đơn vị có sử dụng các thiết bị đó phải được đặt cố định trong một phòng riêng và được bảo vệ an toàn. Các cán bộ, công chức, viên chức không có nhiệm vụ thì không được phép vào phòng máy chủ. Để hệ thống máy chủ luôn hoạt động ổn định, cần có nguồn điện cung cấp cho hệ thống máy chủ phải ổn định, có nguồn điện dự phòng khi mất điện, có điều hòa nhiệt độ để đảm bảo về nhiệt độ và độ ẩm phù hợp với yêu cầu tiêu chuẩn kỹ thuật phòng máy.

Theo định kỳ ít nhất 6 tháng một lần các cơ quan, đơn vị phải tiến hành tổ chức lưu trữ, sao chép dữ liệu ra bộ nhớ ngoài như ổ cứng gắn ngoài, đĩa CD, USB .v.v. ; Các cơ quan tự quy định hình thức sao lưu và lựa chọn thiết bị lưu trữ dữ liệu phù hợp. Dữ liệu trong các máy tính phải tiến hành sao chép để bảo vệ là những dữ liệu chuyên môn, quan trọng phục vụ công tác của cơ quan, đơn vị. Các thiết bị lưu trữ thông tin này phải được bảo quản ở nơi an toàn và bảo mật.

Điều 5. Các biện pháp vận hành trong công tác an toàn thông tin

1. Các cơ quan, đơn vị cần trang bị đầy đủ các kiến thức cơ bản về máy tính, mạng máy tính, bảo mật thông tin cho cán bộ, công chức, viên chức của cơ quan, đơn vị mình trước khi truy nhập và sử dụng hệ thống thông tin.

2. Mỗi cơ quan, đơn vị cần phân công một bộ phận hoặc một cán bộ chuyên trách về công nghệ thông tin. Cán bộ chuyên trách công nghệ thông tin phải có chuyên môn về công nghệ thông tin để quản lý các hoạt động hệ thống mạng máy tính trong cơ quan, đơn vị; thường xuyên học tập nâng cao trình độ về công nghệ thông tin.

3. Bộ phận hoặc cán bộ chuyên trách về công nghệ thông tin và an toàn hệ thống thông tin của mỗi cơ quan, đơn vị có trách nhiệm:

 - Tham mưu với lãnh đạo cơ quan, đơn vị sử dụng phần mềm có bản quyền và phần mềm mã nguồn mở cho hệ thống máy tính đơn vị mình.

 - Vận hành an toàn hệ thống thông tin của cơ quan, đơn vị theo nhiệm vụ được phân công.

 - Cập nhật cấu hình chuẩn cho các thành phần của hệ thống khi tiến hành cài đặt và thiết lập cấu hình chặt chẽ nhất cho các sản phẩm an toàn thông tin nhưng vẫn duy trì yêu cầu hoạt động của hệ thống thông tin của cơ quan, đơn vị mình.

 - Cấu hình hệ thống thông tin chỉ cung cấp những chức năng thiết yếu nhất: hạn chế hoặc không sử dụng chức năng, cổng giao tiếp mạng và các dịch vụ mạng không cần thiết.

 - Sao chép, lưu trữ thông tin tại nơi an toàn. Đồng thời tổ chức kiểm tra thông tin sao lưu để đảm bảo tính sẵn sàng và toàn vẹn của thông tin.

 - Triển khai các biện pháp chống virus, thư rác cho hệ thống máy chủ và tại các máy trạm, các thiết bị di động trong mạng của cơ quan, đơn vị mình. Tổ chức sử dụng biện pháp chống virus, thư rác để phát hiện và loại trừ những đoạn mã độc hại (virus, trojan…) được truyền tải bởi: thư điện tử, tập tin đính kèm từ Internet, thiết bị lưu trữ tháo lắp để khai thác lỗ hổng của hệ thống thông tin. Đồng thời cập nhật cơ chế chống virus, thư rác thường xuyên sao cho phù hợp với quy trình quản lý cấu hình hệ thống thông tin của cơ quan, đơn vị.

 - Thực hiện thường xuyên việc đánh giá, báo cáo và đề xuất các biện pháp phòng chống các rủi ro và mức độ nghiêm trọng các rủi ro đó với lãnh đạo đơn vị. Các rủi ro đó có thể xảy ra do sự truy cập trái phép, sử dụng trái phép, mất, thay đổi hoặc phá hủy thông tin và hệ thống thông tin.

 - Hủy quyền truy cập hệ thống thông tin, đảm bảo việc thu hồi lại thông tin liên quan tới tài khoản trong hệ thống thông tin đối với cán bộ, công chức, viên chức nghỉ chế độ, chuyển công tác và đảm bảo khả năng vẫn truy nhập được vào các hồ sơ được tạo ra bởi cán bộ, công chức, viên chức đó.

Điều 6. Các biện pháp kỹ thuật trong công tác đảm bảo an toàn thông tin

1. Có biện pháp đảm bảo an toàn đối với hệ thống thông tin trong cơ quan, đơn vị mình tránh được nguy cơ máy tính bị lây nhiễm Virus, hỏng hóc, mất dữ liệu. Đối với các cơ quan, đơn vị có sử dụng hệ thống máy chủ hoặc những máy tính có chứa dữ liệu quan trọng cần được bảo vệ và thường xuyên có kết nối Internet phải cài đặt phần mềm diệt Virus tin cậy và có bản quyền trên những máy tính đó; cấu hình hệ thống mạng máy tính nội bộ của cơ quan, đơn vị mình kết nối với mạng Internet qua thiết bị Firewall.

2. Tổ chức quản lý các tài khoản của hệ thống thông tin, bao gồm: tạo mới một tài khoản, kích hoạt tài khoản đã tạo, sửa đổi thông tin tài khoản, vô hiệu hóa và loại bỏ các tài khoản. Đồng thời tổ chức kiểm tra các tài khoản của hệ thống thông tin ít nhất 01 lần/01 năm và sử dụng các phần mềm để hỗ trợ việc quản lý các tài khoản của hệ thống thông tin.

3. Quản lý giới hạn số lần đăng nhập sai 03 lần liên tiếp của một tài khoản. Hệ thống tự động khóa tài khoản hoặc cô lập tài khoản trong một khoảng thời gian nhất định trước khi tiếp tục cho đăng nhập nếu liên tục đăng nhập sai vượt quá số lần quy định.

4. Tổ chức theo dõi và kiểm soát tất cả các phương pháp truy nhập từ xa (quay số, qua mạng Internet…) tới hệ thống thông tin bao gồm cả sự truy nhập có chức năng đặc quyền. Hệ thống cần có quá trình kiểm tra, cho phép ứng với mỗi phương pháp truy cập từ xa và chỉ những người được phép mới có thể truy cập từ xa vào hệ thống. Đồng thời tổ chức triển khai cơ chế tự động giám sát và điều khiển các truy nhập từ xa.

5. Cần thiết lập phương pháp hạn chế truy cập mạng không dây (Wifi), giám sát và điều khiển truy nhập không dây. Tổ chức sử dụng chứng thực và mã hóa để bảo vệ truy nhập không dây tới hệ thống thông tin.

6. Hệ thống thông tin trong máy chủ cần ghi nhận ít nhất các sự kiện sau: Quá trình đăng nhập hệ thống, các thao tác cấu hình hệ thống và quá trình truy xuất hệ thống. Đồng thời ghi nhận đầy đủ các thông tin trong các bản ghi nhật ký để xác định những sự kiện nào đã xảy ra, nguồn gốc và các kết quả của sự kiện để có cơ chế bảo vệ và lưu giữ nhật ký trong một khoảng thời gian nhất định.

7. Tổ chức quản lý định danh, phân quyền người sử dụng theo nhóm (phòng, ban). Quy định về quyền hạn, giới hạn về thời gian truy cập vào hệ thống thông tin của người sử dụng.

8. Hệ thống thông tin cần ngăn chặn hoặc hạn chế các sự cố gây ra do tấn công từ chối dịch vụ. Đối với hệ thống thông tin cho phép truy nhập công cộng thì có thể được bảo vệ bằng cách tăng dung lượng, băng thông hoặc thiết lập hệ thống dự phòng.

Chương III

TRÁCH NHIỆM ĐẢM BẢO AN TOÀN THÔNG TIN

Điều 7. Trách nhiệm của các cơ quan, đơn vị

Thủ trưởng các cơ quan, đơn vị có trách nhiệm thực hiện Quy chế này và chiụ trách nhiệm trước UBND tỉnh trong công tác bảo vệ an toàn hệ thống thông tin của cơ quan, đơn vị mình.

Khi có sự cố hoặc nguy cơ mất an toàn thông tin thì thủ trưởng đơn vị có chỉ đạo kịp thời, áp dụng mọi biện pháp để khắc phục và hạn chế thiệt hại, ưu tiên sử dụng lực lượng kỹ thuật an toàn thông tin của cơ quan, đơn vị và lập biên bản báo cáo bằng văn bản cho cơ quan cấp trên trực tiếp quản lý và Sở Thông tin và Truyền thông.

Phối hợp, tạo điều kiện cho các đơn vị liên quan triển khai công tác kiểm tra, khắc phục sự cố về an toàn thông tin của đơn vị.

Hàng năm, cơ quan đơn vị phải lập báo cáo tình hình an toàn, an ninh thông tin của đơn vị về Sở Thông tin và Truyền thông theo định kỳ (vào tháng 12 hàng năm).

Điều 8. Trách nhiệm của cán bộ, công chức, viên chức trong các cơ quan, đơn vị

Đảm bảo an toàn thông tin là trách nhiệm của tất cả các cán bộ, công chức, viên chức trong các cơ quan, đơn vị vì thông tin là tài sản quan trọng và cần được bảo vệ chặt chẽ.

Nghiêm chỉnh chấp hành quy chế về an toàn thông tin của cơ quan, đơn vị cũng như các quy định khác của Nhà nước về an toàn thông tin. Chịu trách nhiệm trước thủ trưởng cơ quan, đơn vị trong công tác đảm bảo an toàn thông tin.

Nâng cao ý thức trách nhiệm đảm bảo an toàn thông tin tại cơ quan, đơn vị. Mỗi cán bộ, công chức, viên chức sử dụng máy tính phải có trách nhiệm tự quản lý, bảo quản thiết bị mà mình được giao sử dụng; không tự ý thay đổi, tháo lắp các thiết bị trên máy tính; không được vào các trang web không rõ về nội dung; không tải và cài đặt các phần mềm không rõ nguồn gốc, không liên quan đến công việc chuyên môn; không click chuột vào các đường dẫn lạ không rõ về nội dung, truy cập và sử dụng máy tính đúng quyền hạn được quy định.

Khi phát hiện sự cố mất an toàn thông tin phải báo cáo ngay với cấp trên và bộ phận chuyên trách để kịp thời ngăn chặn, xử lý.

Tham gia các chương trình đào tạo, tập huấn về an toàn thông tin do các đơn vị chức năng tổ chức.

Điều 9. Trách nhiệm của Sở Thông tin và Truyền thông

Tham mưu UBND tỉnh về công tác đảm bảo an toàn thông tin tại các cơ quan nhà nước và các tổ chức đoàn thể trên địa bàn tỉnh.

Thành lập đoàn kiểm tra an toàn thông tin và tiến hành kiểm tra theo định kỳ hoặc kiểm tra đột xuất tại các cơ quan, đơn vị. Nếu có các vi phạm về an toàn thông tin thì phải xử lý theo quy định của pháp luật.

Xây dựng và triển khai các chương trình tập huấn, hướng dẫn về công tác an toàn thông tin trong các cơ quan, đơn vị trên địa bàn tỉnh.

Tùy theo mức độ sự cố, phối hợp Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam (VNCERT) và các đơn vị có liên quan hướng dẫn xử lý, ứng cứu các sự cố thông tin.

Hướng dẫn, giám sát các cơ quan, đơn vị xây dựng quy chế đảm bảo an toàn thông tin theo quy định của Nhà nước.

Chương IV

TỔ CHỨC THỰC HIỆN

Điều 10. Điều khoản thi hành

Sở Thông tin và Truyền thông chủ trì, phối hợp với các sở, ban, ngành, UBND các huyện và các cơ quan có liên quan triển khai thực hiện Quy chế này.

Căn cứ Quy chế này, các cơ quan, đơn vị trên địa bàn tỉnh Bắc Kạn xây dựng Quy chế an toàn thông tin số áp dụng nhiệm vụ chuyên môn nghiệp vụ cho đơn vị mình đảm bảo an toàn thông tin và các dữ liệu của cơ quan.

Trong quá trình thực hiện nếu có phát sinh khó khăn, vướng mắc cần sửa đổi, bổ sung các cơ quan, đơn vị kịp thời phản ánh (bằng văn bản) về Sở Thông tin và Truyền thông tổng hợp trình UBND tỉnh xem xét, quyết định./.

TM. Ủy ban nhân dân tỉnh

Chủ tịch

(Đã ký)

Triệu Đức Lân