ỦY BAN NHÂN DÂN TỈNH TUYÊN QUANG -------	CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM Độc lập - Tự do - Hạnh phúc ---------------
Số: 1478/QĐ-UBND	Tuyên Quang, ngày 04 tháng 12 năm 2023

 

QUYẾT ĐỊNH

BAN HÀNH QUY CHẾ BẢO ĐẢM AN TOÀN, AN NINH MẠNG NỀN TẢNG CHUNG TÍCH HỢP CHIA SẺ CÁC HỆ THỐNG THÔNG TIN QUY MÔ CẤP TỈNH LGSP

CHỦ TỊCH ỦY BAN NHÂN DÂN TỈNH TUYÊN QUANG

Căn cứ Luật Công nghệ thông tin ngày 29 tháng 6 năm 2006;

Căn cứ Luật An toàn thông tin mạng ngày 19 tháng 11 năm 2015;

Căn cứ Luật An ninh mạng ngày 12 tháng 6 năm 2018;

Căn cứ Nghị định số 85/2016/NĐ-CP ngày 01 tháng 7 năm 2016 của Chính phủ về bảo đảm an toàn hệ thống thông tin theo cấp độ;

Căn cứ Nghị định số 142/2016/NĐ-CP ngày 01 tháng 7 năm 2016 của Chính phủ về ngăn chặn xung đột thông tin trên mạng;

Căn cứ Quyết định số 05/2017/QĐ-TTg ngày 16 tháng 3 năm 2017 của Thủ tướng Chính phủ ban hành quy định về hệ thống phương án ứng cứu khẩn cấp bảo đảm an toàn thông tin mạng quốc gia;

Căn cứ Quyết định số 1622/QĐ-TTg ngày 25 tháng 10 năm 2017 của Thủ tướng Chính phủ phê duyệt Đề án đẩy mạnh hoạt động của mạng lưới ứng cứu sự cố, tăng cường năng lực cho cán bộ, bộ phận chuyên trách ứng cứu sự cố an toàn thông tin mạng trên toàn quốc đến 2020, định hướng đến 2025;

Căn cứ Thông tư số 20/2017/TT-BTTTT ngày 12 tháng 9 năm 2017 của Bộ trưởng Bộ Thông tin và Truyền thông quy định về điều phối, ứng cứu sự cố an toàn thông tin mạng trên toàn quốc;

Căn cứ Thông tư số 31/2017/TT-BTTTT ngày 15 tháng 11 năm 2017 của Bộ trưởng Bộ Thông tin và Truyền thông quy định hoạt động giám sát an toàn hệ thống thông tin;

Căn cứ Thông tư số 12/2022/TT-BTTTT ngày 12 tháng 8 năm 2022 của Bộ trưởng Bộ Thông tin và Truyền thông quy định chi tiết và hướng dẫn một số điều của Nghị định số 85/2016/NĐ-CP ngày 01/7/2016 của Chính phủ về bảo đảm an toàn hệ thống thông tin theo cấp độ;

Căn cứ Quyết định số 17/2014/QĐ-UBND ngày 21 tháng 10 năm 2014 của Ủy ban nhân dân tỉnh ban hành Quy chế đảm bảo an toàn, an ninh thông tin trong hoạt động ứng dụng công nghệ thông tin của cơ quan nhà nước tỉnh Tuyên Quang;

Căn cứ Quyết định số 469/QĐ-UBND ngày 25 tháng 7 năm 2022 của Ủy ban nhân dân tỉnh về việc phê duyệt Kiến trúc Chính quyền điện tử tỉnh Tuyên Quang, phiên bản 2.0;

Theo đề nghị của Giám đốc Sở Thông tin và Truyền thông.

QUYẾT ĐỊNH:

Điều 1. Ban hành kèm theo Quyết định này Quy chế bảo đảm an toàn, an ninh mạng Nền tảng chung tích hợp chia sẻ các hệ thống thông tin quy mô cấp tỉnh LGSP.

Điều 2. Quyết định này có hiệu lực kể từ ngày ký.

Điều 3. Chánh Văn phòng Ủy ban nhân dân tỉnh, Giám đốc Sở Thông tin và Truyền thông, Thủ trưởng các cơ quan đơn vị và cá nhân có liên quan chịu trách nhiệm thi hành Quyết định này./.

 

Nơi nhận: - Cục An toàn thông tin, Bộ TTTT; - Chủ tịch UBND tỉnh; - Các Phó Chủ tịch UBND tỉnh; - Như Điều 3; - Các sở, ban, ngành; - Các PCVP UBND tỉnh; - Ủy ban nhân dân huyện, thành phố; - Cổng thông tin điện tử tỉnh; - Lưu VT, TG CNTT 02.

KT. CHỦ TỊCH PHÓ CHỦ TỊCH Hoàng Việt Phương

 

QUY CHẾ

BẢO ĐẢM AN TOÀN, AN NINH MẠNG NỀN TẢNG CHUNG TÍCH HỢP CHIA SẺ CÁC HỆ THỐNG THÔNG TIN QUY MÔ CẤP TỈNH LGSP
(Ban hành kèm theo Quyết định số 1478/QĐ-UBND ngày 04 tháng 12 năm 2023 của Chủ tịch Ủy ban nhân dân tỉnh)

Chương I

QUY ĐỊNH CHUNG

Điều 1. Phạm vi điều chỉnh và đối tượng áp dụng

1. Phạm vi điều chỉnh

Quy chế này quy định các chính sách quản lý và các biện pháp nhằm bảo đảm an toàn thông tin cho Nền tảng chung tích hợp chia sẻ các hệ thống thông tin quy mô cấp tỉnh (LGSP) bao gồm:

- Phạm vi quản lý về vật lý và logic của tổ chức;

- Các ứng dụng, dịch vụ hệ thống cung cấp;

- Nguồn nhân lực bảo đảm an toàn thông tin.

2. Đối tượng áp dụng:

a) Các đơn vị thuộc Sở Thông tin và Truyền thông; cán bộ, công chức, viên chức thuộc các đơn vị thuộc Sở Thông tin và Truyền thông;

b) Cơ quan, tổ chức, cá nhân có kết nối, sử dụng Nền tảng chung tích hợp chia sẻ các hệ thống thông tin quy mô cấp tỉnh LGSP;

c) Cơ quan, tổ chức, cá nhân cung cấp dịch vụ quản lý, vận hành, duy trì, phát triển và bảo đảm an toàn thông tin mạng phục vụ hoạt động của Nền tảng chung tích hợp chia sẻ các hệ thống thông tin quy mô cấp tỉnh LGSP.

Điều 2. Giải thích từ ngữ

Trong Quy chế này, các từ ngữ dưới đây được hiểu như sau:

1. Hệ thống thông tin (HTTT): Là tập hợp phần cứng, phần mềm và cơ sở dữ liệu được thiết lập phục vụ mục đích tạo lập, cung cấp, truyền đưa, thu thập, xử lý, lưu trữ và trao đổi thông tin trên mạng.

2. LGSP: Nền tảng tích hợp và chia sẻ dữ liệu được triển khai ở cấp tỉnh và bộ (LGSP viết tắt của Local Government Service Platform) hay Nền tảng chung tích hợp chia sẻ các hệ thống thông tin quy mô cấp tỉnh, chứa các dịch vụ dùng chung để chia sẻ dữ liệu giữa các hệ thống thông tin (HTTT) của các cơ quan, đơn vị thuộc phạm vi một Bộ, ngành, địa phương và đóng vai trò trung gian phục vụ kết nối các HTTT trong nội bộ của Bộ, ngành, địa phương với các hệ thống bên ngoài; mô hình kết nối của LGSP theo kiến trúc Chính phủ điện tử của cơ quan cấp Bộ chủ quản hoặc kiến trúc chính quyền điện tử của cơ quan cấp tỉnh chủ quản phù hợp Khung kiến trúc Chính phủ điện tử Việt Nam.

3. NDXP: Nền tảng tích hợp, chia sẻ dữ liệu quốc gia (NDXP viết tắt của National Data Exchange Platform) là hạ tầng kết nối, tích hợp, chia sẻ dữ liệu cấp quốc gia, bao gồm hạ tầng kỹ thuật, phần cứng, phần mềm và hoạt động nghiệp vụ hỗ trợ đóng vai trò phục vụ tích hợp, chia sẻ dữ liệu giữa các HTTT lớn (HTTT quốc gia; cơ sở dữ liệu (CSDL) quốc gia; HTTT có quy mô, phạm vi từ Trung ương đến địa phương), giữa các HTTT của các cơ quan cấp Bộ, cấp tỉnh khác nhau hoặc giữa các LGSP; mô hình kết nối của NDXP theo Khung kiến trúc Chính phủ điện tử Việt Nam.

4. Cơ sở dữ liệu chuyên ngành là những CSDL của một ngành, lĩnh vực do cơ quan nhà nước quản lý, được tổ chức thành một hoặc nhiều CSDL.

5. Dữ liệu danh mục dùng chung là dữ liệu về các danh mục, bảng mã phân loại do cơ quan nhà nước có thẩm quyền ban hành, được sử dụng chung trong các HTTT, CSDL bảo đảm việc tích hợp, trao đổi, chia sẻ dữ liệu đồng bộ, thống nhất.

6. Trung tâm điều hành - Network Operations Centers (NOC) phải có các khả năng sau: Giám sát và điều khiển hệ thống mạng, điện, điều hòa, phòng cháy và an ninh của Data Center (DC). Sử dụng hệ thống Camera giám sát được kết nối với đầu ghi hình DVR theo dõi hình ảnh bên trong và bên ngoài DC.

Điều 3. Mục tiêu, nguyên tắc bảo đảm an toàn thông tin

1. Mục tiêu bảo đảm an toàn thông tin

Bảo vệ thông tin, hệ thống thông tin trên mạng tránh bị truy nhập, sử dụng, tiết lộ, gián đoạn, sửa đổi hoặc phá hoại trái phép nhằm bảo đảm tính nguyên vẹn, tính bảo mật và tính khả dụng của thông tin LGSP.

2. Nguyên tắc:

a) Cơ quan, tổ chức thuộc đối tượng áp dụng Quy chế này có trách nhiệm bảo đảm an toàn thông tin và hệ thống thông tin trong phạm vi xử lý công việc của mình theo quy định của pháp luật, hướng dẫn của cơ quan, đơn vị có thẩm quyền và các quy định tại Quy chế này;

b) Bảo đảm an toàn thông tin (ATTT) là yêu cầu bắt buộc, phải được thực hiện thường xuyên, liên tục trong quá trình:

i. Thu thập, tạo lập, xử lý, truyền tải, lưu trữ và sử dụng thông tin, dữ liệu;

ii. Thiết kế, thiết lập và vận hành, nâng cấp, hủy bỏ hệ thống thông tin.

c) Việc bảo đảm ATTT Hệ thống được thực hiện một cách tổng thể, đồng bộ, tập trung trong việc đầu tư các giải pháp bảo vệ, có sự dùng chung, chia sẻ tài nguyên để tối ưu hiệu năng, tránh đầu tư thừa, trùng lặp.

Điều 4. Những hành vi nghiêm cấm

Các hành vi bị nghiêm cấm quy định tại Điều 7 Luật An toàn thông tin mạng và Điều 8 Luật An ninh mạng.

Điều 5. Phối hợp với những cơ quan/tổ chức có thẩm quyền

Giao Sở Thông tin và Truyền thông là đầu mối liên hệ, phối hợp với các cơ quan, tổ chức có thẩm quyền quản lý về an toàn thông tin phục vụ việc bảo đảm an toàn, an ninh mạng cho LGSP; tổ chức thực hiện việc tiếp nhận và xử lý các sự cố về an toàn thông tin của LGSP. Tổ chức, tham gia các hoạt động, công tác bảo đảm an toàn thông tin khi có yêu cầu của các cơ quan, tổ chức có thẩm quyền.

Điều 6. Bảo đảm nguồn nhân lực

1. Tuyển dụng:

a) Cán bộ được tuyển dụng vào vị trí việc làm về an toàn thông tin có trình độ, chuyên ngành về lĩnh vực công nghệ thông tin, an toàn thông tin, phù hợp với vị trí tuyển dụng;

b) Có quy định, quy trình tuyển dụng cán bộ và điều kiện tuyển dụng cán bộ.

2. Trong quá trình làm việc:

a) Có quy định về việc thực hiện nội quy, quy chế bảo đảm an toàn thông tin cho người sử dụng, cán bộ quản lý và vận hành hệ thống;

b) Có kế hoạch và định kỳ hàng năm tổ chức phổ biến, tuyên truyền nâng cao nhận thức về an toàn thông tin cho người sử dụng;

c) Có kế hoạch và định kỳ hàng năm tổ chức đào tạo về an toàn thông tin hàng năm cho 03 nhóm đối tượng bao gồm: Cán bộ kỹ thuật, cán bộ quản lý và người sử dụng trong hệ thống.

3. Chấm dứt thay đổi công việc:

a) Cán bộ chấm dứt hoặc thay đổi công việc phải thu hồi thẻ truy cập, thông tin được lưu trên các phương tiện lưu trữ, các trang thiết bị máy móc, phần cứng, phần mềm và các tài sản khác (nếu có) thuộc sở hữu của tổ chức;

b) Có quy trình và thực hiện vô hiệu hóa tất cả các quyền ra, vào, truy cập tài nguyên, quản trị hệ thống sau khi cán bộ thôi việc;

c) Có cam kết giữ bí mật thông tin liên quan đến tổ chức sau khi nghỉ việc.

Chương II:

BẢO ĐẢM AN TOÀN THÔNG TIN TRONG QUẢN LÝ THIẾT KẾ, XÂY DỰNG HỆ THỐNG

Điều 7. Thiết kế an toàn hệ thống thông tin

1. Có tài liệu mô tả quy mô, phạm vi và đối tượng sử dụng, khai thác, quản lý vận hành hệ thống thông tin.

2. Có tài liệu mô tả thiết kế và các thành phần của hệ thống thông tin.

3. Có tài liệu mô tả phương án bảo đảm an toàn thông tin theo cấp độ.

4. Có tài liệu mô tả phương án lựa chọn giải pháp công nghệ bảo đảm an toàn thông tin.

5. Khi có thay đổi thiết kế, đánh giá lại tính phù hợp của phương án thiết kế đối với các yêu cầu an toàn đặt ra đối với hệ thống.

Điều 8. Phát triển phần mềm thuê khoán

1. Có biên bản, hợp đồng và các cam kết đối với bên thuê khoán các nội dung liên quan đến việc phát triển phần mềm thuê khoán.

2. Yêu cầu các nhà phát triển cung cấp mã nguồn phần mềm.

3. Kiểm thử phần mềm trên môi trường thử nghiệm trước khi đưa vào sử dụng.

4. Kiểm tra, đánh giá an toàn thông tin, trước khi đưa vào sử dụng.

Điều 9. Thử nghiệm và nghiệm thu hệ thống

1. Thực hiện thử nghiệm và nghiệm thu hệ thống trước khi bàn giao và đưa vào sử dụng.

2. Có nội dung, kế hoạch, quy trình thử nghiệm và nghiệm thu hệ thống.

3. Có bộ phận thực hiện thử nghiệm và nghiệm thu hệ thống.

4. Có đơn vị độc lập (bên thứ ba) hoặc bộ phận độc lập thuộc đơn vị thực hiện tư vấn và giám sát quá trình thử nghiệm và nghiệm thu hệ thống.

5. Có báo cáo nghiệm thu được xác nhận của bộ phận chuyên trách và phê duyệt của chủ quản hệ thống thông tin trước khi đưa vào sử dụng.

Chương III:

BẢO ĐẢM AN TOÀN THÔNG TIN TRONG QUẢN LÝ VẬN HÀNH HỆ THỐNG

Điều 10. Quản lý an toàn mạng

1. Quản lý, vận hành hoạt động bình thường của hệ thống:

a) Bộ phận NOC thực hiện giám sát hệ thống 24/7 bảo đảm tính khả dụng của các thiết bị hệ thống;

b) Giải pháp giám sát hệ thống thông tin tập trung phải được thiết lập chế độ tự động cảnh báo đến người quản trị khi các thiết bị hệ thống bị quá tải theo một ngưỡng được thiết lập trước hoặc bị dừng hoạt động;

c) Tối thiểu các thông tin về hoạt động của thiết bị hệ thống, bao gồm các thông tin: Trạng thái (Up/Down), hiệu năng xử lý (CPU/RAM) và lưu lượng mạng xử lý theo thời gian thực.

2. Cập nhật, sao lưu dự phòng và khôi phục sau khi xảy ra sự cố:

a) Định kỳ hàng tháng hoặc khi có thay đổi cấu hình thiết bị hệ thống, toàn bộ tập tin cấu hình thiết bị hệ thống được sao lưu dự phòng trên thiết bị và hệ thống lưu trữ độc lập;

b) Tệp tin cấu hình của toàn bộ thiết bị hệ thống phải được sao lưu dự phòng theo từng phiên bản khác nhau, được mã hóa và lưu trữ cùng mã kiểm tra tính nguyên vẹn;

c) Sơ đồ thiết kế hệ thống về logic và vật lý phải được cập nhật khi có sự thay đổi về thiết kế và được sao lưu dự phòng theo từng phiên bản khác nhau, được mã hóa và lưu trữ cùng mã kiểm tra tính nguyên vẹn;

d) Có thiết bị hoặc thiết lập hệ thống, phân vùng lưu trữ độc lập để lưu trữ tệp tin cấu hình, sơ đồ hệ thống và các dữ liệu khác phục vụ quản lý an toàn mạng; dữ liệu được lưu trữ phải được phân loại và gán nhãn dữ liệu, được mã hóa và lưu trữ cùng mã kiểm tra tính nguyên vẹn.

3. Truy cập và quản lý cấu hình hệ thống:

a) Chỉ cho phép truy cập, cấu hình thiết bị hệ thống từ vùng mạng quản trị;

b) Truy cập, cấu hình thiết bị hệ thống từ bên ngoài hệ thống phải thông qua kết nối VPN;

c) Phân quyền truy cập từ bên ngoài hệ thống qua kết nối VPN theo địa chỉ IP nguồn đối với truy cập quản trị hệ thống đối với người quản trị và truy cập sử dụng tài nguyên, ứng dụng, dịch vụ đối với người sử dụng;

d) Toàn bộ thao tác thay đổi, thiết lập cấu hình thiết bị hệ thống phải được ghi nhật ký hệ thống;

đ) Hệ thống thông tin cấp độ 4 trở lên, khi thực hiện truy cập, cấu hình thiết bị hệ thống phải thông qua hệ thống quản lý tài khoản đặc quyền.

4. Cấu hình tối ưu, tăng cường bảo mật cho thiết bị hệ thống (cứng hóa) trước khi đưa vào vận hành, khai thác.

5. Hoạt động quản lý an toàn mạng thực hiện theo Quy trình quản lý an toàn mạng, ban hành kèm theo Quy chế này.

Điều 11. Quản lý an toàn máy chủ và ứng dụng

1. Quản lý, vận hành hoạt động bình thường của hệ thống máy chủ và dịch vụ:

a) Bộ phận NOC thực hiện giám sát hệ thống 24/7 bảo đảm tính khả dụng của hệ thống máy chủ và ứng dụng;

b) Tối thiểu các thông tin về hoạt động của máy chủ và ứng dụng, bao gồm các thông tin: Trạng thái (Up/Down), hiệu năng xử lý (CPU, RAM, Storage) và lưu lượng mạng xử lý theo thời gian thực.

2. Truy cập mạng của máy chủ:

a) Tường lửa hệ thống và tường lửa máy chủ phải được thiết lập để quản lý kết nối mạng từ các địa chỉ bên ngoài vào máy chủ theo ứng dụng, dịch vụ máy chủ cung cấp và địa chỉ nguồn truy cập. Các dịch vụ khác, không sử dụng phải vô hiệu hóa và chặn kết nối từ bên ngoài;

b) Tường lửa hệ thống và tường lửa máy chủ phải được thiết lập để quản lý kết nối mạng từ máy chủ đi ra các mạng bên ngoài; chỉ mở truy cập máy chủ theo hướng đi ra đối với các dịch vụ cơ bản như DNS, NTP, các kết nối khác phục vụ cập nhật hệ điều hành và các dịch vụ nghiệp vụ cụ thể mà máy chủ yêu cầu phải kết nối ra bên ngoài.

3. Truy cập và quản trị máy chủ và ứng dụng:

a) Chỉ cho phép truy cập, cấu hình máy chủ từ vùng mạng quản trị; cấu hình ứng dụng từ vùng mạng quản trị hoặc nghiệp vụ;

b) Truy cập, cấu hình máy chủ và ứng dụng từ bên ngoài hệ thống phải thông qua kết nối VPN;

c) Phân quyền truy cập từ bên ngoài hệ thống qua kết nối VPN theo địa chỉ IP nguồn đối với truy cập quản trị hệ thống đối với người quản trị và truy cập sử dụng tài nguyên, ứng dụng, dịch vụ đối với người sử dụng.

4. Cập nhật, sao lưu dự phòng và khôi phục sau khi xảy ra sự cố:

a) Khi có thay đổi, cập nhật cấu hình, mã nguồn ứng dụng, toàn bộ tập tin cấu hình, mã nguồn ứng dụng phải được sao lưu dự phòng trên thiết bị và hệ thống lưu trữ độc lập;

b) Thực hiện lưu trạng thái ảnh của hệ điều hành ảo hóa (take snapshot) tại thời điểm trước và sau khi cập nhật máy chủ và ứng dụng;

c) Định kỳ hàng tháng lưu trữ ảnh của hệ điều hành máy chủ trên thiết bị và hệ thống lưu trữ độc lập.

5. Cài đặt, gỡ bỏ hệ điều hành, dịch vụ, phần mềm trên hệ thống máy chủ và ứng dụng:

a) Trước khi cài đặt hệ điều hành, dịch vụ, phần mềm trên hệ thống chính phải thực hiện cài đặt trên môi trường thử nghiệm để đánh giá mức độ an toàn, ổn định;

b) Dịch vụ, phần mềm trên máy chủ ứng dụng không phục vụ hoạt động của máy chủ theo chức năng phải gỡ bỏ;

c) Thực hiện lưu trạng thái ảnh của hệ điều hành ảo hóa (take snapshot) tại thời điểm trước và sau khi gỡ bỏ dịch vụ, phần mềm;

d) Xóa sạch dữ liệu của hệ điều hành, dịch vụ, phần mềm sau khi được gỡ bỏ.

6. Kết nối và gỡ bỏ hệ thống máy chủ và dịch vụ khỏi hệ thống:

a) Máy chủ hệ thống phải được kiểm tra, đánh giá và xử lý các điểm yếu an toàn thông tin; không còn tồn tại điểm yếu mở mức trung bình trở lên, trước khi kết nối vào hệ thống;

b) Máy chủ phải được cấu hình tối ưu và tăng cường bảo mật trước khi kết nối vào hệ thống;

c) Khi gỡ bỏ máy chủ khỏi hệ thống, toàn bộ chính sách bảo mật, cấu hình hệ thống phải được gỡ bỏ;

d) Toàn bộ dữ liệu, hệ điều hành máy chủ phải được xóa bỏ trước khi gỡ bỏ máy chủ khỏi hệ thống.

7. Cấu hình tối ưu và tăng cường bảo mật (cứng hóa) cho hệ thống máy chủ trước khi đưa vào vận hành, khai thác.

8. Hoạt động quản lý an toàn máy chủ và ứng dụng thực hiện theo Quy trình quản lý an toàn máy chủ và ứng dụng, ban hành kèm theo Quy chế này.

Điều 12. Quản lý an toàn dữ liệu

1. Yêu cầu an toàn đối với phương pháp mã hóa:

a) Toàn bộ cơ sở dữ liệu, dữ liệu nghiệp vụ của hệ thống khi lưu trữ trên thiết bị và hệ thống lưu trữ độc lập phải được mã hóa và kèm theo mã kiểm tra tính toàn vẹn;

b) Dữ liệu được sao lưu dự phòng theo từng phiên bản và có nhật ký ghi lại thông tin dữ liệu sau mỗi lần thực hiện sao lưu, dự phòng;

c) Độ dài của khóa bí mật dùng để mã hóa dữ liệu tối thiểu 128 bit.

2. Phân loại, quản lý và sử dụng khóa bí mật và dữ liệu mã hóa:

a) Khóa bí mật sử dụng để mã hóa và giải mã dữ liệu hệ thống (tệp tin cấu hình, ảnh hệ điều hành,…) được quản lý bởi bộ phận NOC;

b) Khóa bí mật sử dụng để mã hóa và giải mã dữ liệu nghiệp vụ (tệp tin dữ liệu, cơ sở dữ liệu,…) được quản lý bởi bộ phận nghiệp vụ tương ứng;

c) Thông tin khóa bí mật phải được lưu trữ mã hóa, kèm theo mã kiểm tra tính toàn vẹn trên thiết bị và hệ thống lưu trữ độc lập;

d) Chỉ có bộ phận/cán bộ có chức năng có quyền quản lý và truy cập khóa bí mật;

đ) Thông tin mỗi khóa bí mật phải có thông tin nhật ký quản lý, cán bộ quản lý tại mỗi thời điểm.

3. Cơ chế mã hóa và kiểm tra tính nguyên vẹn của dữ liệu không được sử dụng không được tồn tại điểm yếu an toàn thông tin ở mức cao do các tổ chức quốc tế hoặc Bộ Thông tin và Truyền thông công bố.

4. Trao đổi dữ liệu qua môi trường mạng và phương tiện lưu trữ phải được mã hóa đáp ứng yêu cầu ở trên.

5. Cập nhật đồng bộ thông tin, dữ liệu giữa hệ thống sao lưu dự phòng chính và hệ thống phụ phải được đồng bộ theo thời gian thực.

6. Định kỳ hàng tháng hoặc khi có thay đổi cấu hình trên hệ thống thực hiện quy trình sao lưu dự phòng: Tập tin cấu hình hệ thống, bản dự phòng hệ điều hành máy chủ, cơ sở dữ liệu; dữ liệu, thông tin nghiệp vụ và các thông tin, dữ liệu quan trọng khác trên hệ thống (nếu có) theo Quy trình tại điểm 5 Điều này.

7. Hoạt động quản lý an toàn dữ liệu thực hiện theo Quy trình quản lý an toàn dữ liệu, ban hành kèm theo Quy chế này.

Điều 13. Quản lý an toàn thiết bị đầu cuối

1. Quản lý, vận hành hoạt động bình thường cho thiết bị đầu cuối:

a) Thiết bị đầu cuối (máy trạm và thiết bị ngoại vi) của cán bộ thuộc tổ chức khi kết nối vào mạng nghiệp vụ phải được quản lý truy cập theo địa chỉ IP và địa chỉ MAC;

b) Trạng thái hoạt động (UP/DOWN) của thiết bị đầu cuối phải được quản lý bởi hệ thống quản lý truy cập lớp mạng tập trung;

c) Ngăn chặn toàn bộ các thiết bị đầu cuối chưa được quản lý kết nối vào mạng nghiệp vụ.

2. Kết nối, truy cập và sử dụng thiết bị đầu cuối từ xa:

a) Chỉ cho phép truy cập, sử dụng thiết bị đầu cuối từ bên ngoài hệ thống phải thông qua kết nối VPN;

b) Tất cả truy cập từ các thiết bị đầu cuối từ các mạng khác nhau trong hệ thống phải được kiểm soát truy cập bởi tường lửa lớp mạng;

c) Mọi máy trạm trong mạng phải thiết lập chức năng tường lửa của hệ điều hành;

đ) Mọi máy trạm trong mạng phải cài đặt phần mềm phòng chống mã độc trước khi kết nối vào hệ thống.

3. Cài đặt, kết nối và gỡ bỏ thiết bị đầu cuối trong hệ thống:

b) Máy trạm phải được cấu hình tối ưu và tăng cường bảo mật trước khi kết nối vào hệ thống;

c) Toàn bộ dữ liệu, hệ điều hành máy trạm phải được xóa bỏ trước khi gỡ bỏ máy chủ khỏi hệ thống.

4. Hoạt động quản lý an toàn thiết bị đầu cuối thực hiện theo Quy trình quản lý an toàn thiết bị đầu cuối, ban hành kèm theo Quy chế này.

Điều 14. Quản lý phòng chống phần mềm độc hại

1. Cài đặt, cập nhật, sử dụng phần mềm phòng chống mã độc; dò quét, kiểm tra phần mềm độc hại trên máy tính, máy chủ và thiết bị di động:

a) Máy tính, máy chủ và thiết bị di động phải được cập nhật phần mềm phòng chống mã độc trước khi kết nối vào hệ thống;

b) Phần mềm phòng, chống mã độc trên máy tính, máy chủ và thiết bị di động phải được thiết lập chế độ tự động cập nhật dấu hiệu mã độc từ nhà cung cấp và chế độ bảo vệ theo thời gian thực;

c) Triển khai giải pháp phòng, chống mã độc có chức năng quản lý tập trung.

2. Cài đặt, sử dụng phần mềm trên máy tính, thiết bị di động và việc truy cập các trang thông tin trên mạng:

a) Phần mềm trước khi cài đặt trên máy tính, thiết bị di động phải được kiểm tra mã độc;

b) Phần mềm trước khi cài đặt trên máy tính, thiết bị di động phải xác thực nguồn gốc từ nhà sản xuất theo mã kiểm tra tính toàn vẹn;

c) Phần mềm sau khi cài đặt phải được xử lý điểm yếu an toàn thông tin và cập nhật lên phiên bản mới nhất;

d) Hệ thống phải được trang bị giải pháp kỹ thuật để quản lý và ngăn chặn truy cập đến các trang thông tin độc hại trên mạng.

3. Gửi nhận tập tin qua môi trường mạng và các phương tiện lưu trữ di động phải thực hiện qua kênh kết nối an toàn sử dụng giao thức mã hóa, xác thực không được tồn tại điểm yếu an toàn thông tin ở mức cao do các tổ chức quốc tế hoặc Bộ Thông tin và Truyền thông công bố.

4. Định kỳ hàng năm thực hiện kiểm tra và dò quét phần mềm độc hại trên toàn bộ hệ thống; thực hiện kiểm tra và xử lý phần mềm độc hại khi phát hiện dấu hiệu hoặc cảnh báo về dấu hiệu phần mềm độc hại xuất hiện trên hệ thống.

5. Hoạt động quản lý phòng chống phần mềm độc hại thực hiện theo Quy trình quản lý phòng chống phần mềm độc hại, ban hành kèm theo Quy chế này.

Điều 15. Quản lý giám sát an toàn hệ thống thông tin

1. Quản lý, vận hành hoạt động bình thường của hệ thống giám sát:

a) Bộ phận NOC thực hiện giám sát hệ thống 24/7 bảo đảm tính khả dụng của các thành phần của hệ thống giám sát;

b) Giải pháp giám sát hệ thống thông tin tập trung phải được thiết lập chế độ tự động cảnh báo đến người quản trị khi các thành phần của hệ thống giám sát bị quá tải theo một ngưỡng được thiết lập trước hoặc bị dừng hoạt động;

c) Tối thiểu các thông tin về hoạt động của các thành phần của hệ thống giám sát, bao gồm các thông tin: Trạng thái (Up/Down), hiệu năng xử lý (CPU/RAM) và lưu lượng mạng xử lý theo thời gian thực;

2. Đối tượng giám sát bao gồm tối thiểu bao gồm: Thiết bị hệ thống, máy chủ, ứng dụng, dịch vụ.

3. Kết nối và gửi nhật ký hệ thống từ đối tượng giám sát về hệ thống giám sát.

4. Truy cập và quản trị hệ thống giám sát chỉ được thực hiện từ vùng mạng quản trị; trường hợp truy cập và quản trị từ mạng bên ngoài thì phải thông qua kênh kết nối VPN.

5. Loại thông tin cần được giám sát bao gồm tối thiểu các loại sau: Thông tin giám sát lớp mạng, lớp máy chủ, lớp ứng dụng, cơ sở dữ liệu và thiết bị đầu cuối.

6. Lưu trữ và bảo vệ thông tin giám sát phải được lưu trữ tập trung đầy đủ các loại thông tin tại khoản 5 Điều này theo thời gian thực.

7. Toàn bộ thành phần trong hệ thống giám sát, máy chủ, thiết bị hệ thống và ứng dụng phải được đồng bộ thời gian.

8. Bộ phận SOC thực hiện giám sát giám sát an toàn hệ thống thông tin 24/7 để thực hiện theo dõi, giám sát và cảnh báo sự cố phát hiện được trên hệ thống thông tin.

9. Việc tổ chức hoạt động giám sát thực hiện theo Quy trình Quảng lý giám sát an toàn hệ thống thông tin, ban hành theo Quy chế này.

Điều 16. Quản lý điểm yếu an toàn thông tin

1. Quản lý thông tin các thành phần có trong hệ thống có khả năng tồn tại điểm yếu an toàn thông tin: Thiết bị hệ thống, hệ điều hành, máy chủ, ứng dụng, dịch vụ và các thành phần khác trong hệ thống nếu có.

2. Quản lý, cập nhật nguồn cung cấp điểm yếu an toàn thông tin; phân nhóm và mức độ của điểm yếu cho các thành phần trong hệ thống đã xác định:

a) Sở Thông tin và Truyền thông, đơn vị vận hành HTTT định kỳ ngày 01 lần truy cập và cập nhật thông tin về điểm yếu an toàn thông tin được cung cấp bởi tối thiểu 02 tổ chức trong nước và quốc tế;

b) Điểm yếu an toàn thông tin được phân nhóm theo mức độ nghiêm trọng (Critical, High, Medium, Low);

c) Khi phát hiện điểm yếu an toàn thông tin ở mức độ Critical đơn vị vận hành HTTT phải xử lý trong vòng 03 giờ;

d) Khi phát hiện điểm yếu an toàn thông tin ở mức độ Critical đơn vị vận hành HTTT phải xử lý trong vòng 03 giờ;

đ) Khi phát hiện điểm yếu an toàn thông tin ở mức độ Medium đơn vị vận hành HTTT phải xử lý trong vòng 24 giờ.

3. Cơ chế phối hợp với các nhóm chuyên gia, bên cung cấp dịch vụ hỗ trợ trong việc xử lý, khắc phục điểm yếu an toàn thông tin:

a) Bên cung cấp phần mềm, giải pháp, ứng dụng phải có trách nhiệm hỗ trợ xử lý điểm yếu an toàn thông tin theo yêu cầu của bên sử dụng;

b) Đơn vị vận hành HTTT là đầu mối phối hợp xử lý điểm yếu an toàn thông tin từ các nhóm chuyên gia, bên cung cấp dịch vụ.

4. Kiểm tra, đánh giá và xử lý điểm yếu an toàn thông tin cho thiết bị hệ thống, máy chủ, dịch vụ trước khi đưa vào sử dụng.

5. Định kỳ hàng năm kiểm tra, đánh giá điểm yếu an toàn thông tin cho toàn bộ hệ thống thông tin; thực hiện quy trình kiểm tra, đánh giá, xử lý điểm yếu an toàn thông tin khi có thông tin hoặc nhận được cảnh báo về điểm yếu an toàn thông tin đối với thành phần cụ thể trong hệ thống.

6. Khi phát hiện điểm yếu an toàn thông tin tồn tại trong hệ thống thực hiện theo Quy trình Quản lý điểm yếu an toàn thông tin, ban hành theo Quy chế này.

Điều 17. Quản lý sự cố an toàn thông tin

1. Xây dựng phương án quản lý sự cố an toàn thông tin bao gồm các nội dung sau:

a) Phân nhóm sự cố an toàn thông tin mạng theo quy định tại Quyết định số 05/2017/QĐ-TTg của Thủ tướng Chính phủ ngày 16/3/2017 quy định về hệ thống phương án ứng cứu khẩn cấp bảo đảm an toàn thông tin mạng quốc gia; xây dựng phương án tiếp nhận, phát hiện, phân loại và xử lý ban đầu sự cố an toàn thông tin mạng, ứng phó sự cố an toàn thông tin mạng;

b) Phương án tiếp nhận, phát hiện, phân loại và xử lý ban đầu sự cố an toàn thông tin mạng;

c) Kế hoạch ứng phó sự cố an toàn thông tin mạng;

d) Giám sát, phát hiện và cảnh báo sự cố an toàn thông tin;

đ) Quy trình ứng cứu sự cố an toàn thông tin mạng thông thường;

e) Quy trình ứng cứu sự cố an toàn thông tin mạng nghiêm trọng;

g) Cơ chế phối hợp với cơ quan chức năng, các nhóm chuyên gia, bên cung cấp dịch vụ hỗ trợ trong việc xử lý, khắc phục sự cố an toàn thông tin.

3. Phương án Quản lý sự cố an toàn thông tin phải được ban hành cùng Quy chế bảo đảm an toàn thông tin trước khi đưa hệ thống vào vận hành, khai thác.

4. Định kỳ hàng năm tổ chức diễn tập phương án xử lý sự cố an toàn thông tin.

Điều 18. Quản lý an toàn người sử dụng đầu cuối

1. Quản lý truy cập, sử dụng tài nguyên nội bộ:

a) Người sử dụng đầu cuối phải tuân thủ các quy định của pháp luật và quy định tại Quy chế này khi truy cập, sử dụng tài nguyên nội bộ;

b) Không truy cập từ xa vào trực tiếp các máy tính trong mạng nội bộ của đơn vị. Trường hợp, người sử dụng cần truy cập từ xa thì phải truy cập gián tiếp qua giao thức mạng an toàn, có hỗ trợ mã hóa bảo mật thông tin như VPN;

c) Không kết nối các thiết bị lưu trữ di động của khách bên ngoài vào các máy tính để bàn của đơn vị. Trường hợp, người sử dụng cần thiết phải kết nối các thiết bị lưu trữ di động của khách bên ngoài thì phải đề nghị và được bộ phận chuyên trách kiểm tra an toàn thông tin trước khi thực hiện.

2. Quản lý truy cập mạng và tài nguyên trên Internet:

a) Không truy cập trang thông tin theo đường link, mở tệp tin đính kèm từ những thư điện tử lần đầu tiên nhận được, không rõ nguồn gửi hoặc nghi ngờ có thể gây hại. Trường hợp, người sử dụng cần thiết phải truy cập hoặc mở tệp tin đính kèm thì đề nghị bộ phận chuyên trách kiểm tra an toàn thông tin trước khi truy cập hoặc mở tệp tin;

b) Không truy cập các trang thông tin không rõ nguồn gốc hoặc có nội dung độc hại;

c) Thiết bị di động của người sử dụng được kết nối vào mạng không dây công cộng của đơn vị nhưng không kết nối thiết bị di động vào mạng ngang hàng với mạng máy tính để bàn của cán bộ. Trường hợp, người sử dụng cần thiết phải kết nối vào mạng ngang hàng thì phải đề nghị bộ phận chuyên trách kiểm tra an toàn thông tin cho thiết bị di động trước khi thực hiện;

d) Thiết bị di động khi kết nối vào mạng nội bộ của đơn vị phải được quản lý truy cập ra các vùng mạng khác của hệ thống và mạng Internet;

đ) Thiết bị di động phải được quản lý cấp phát DHCP theo địa chỉ MAC (trừ các thiết bị kết nối vào mạng không dây công cộng).

3. Cài đặt và sử dụng máy tính an toàn:

a) Đặt mật khẩu cho các tài khoản của hệ điều hành theo quy tắc: tối thiểu 08 ký tự; bao gồm chữ hoa, chữ thường, số và ký tự đặc biệt. Định kỳ 03 tháng thay đổi mật khẩu;

b) Khóa máy tính và các thiết bị có tính năng tương tự máy tính khi tạm thời rời khỏi vị trí làm việc. Đóng các phiên làm việc của ứng dụng khi đã hoàn tất, trừ khi đã có cơ chế bảo vệ thích hợp;

c) Không tự ý thay đổi cấu hình thiết bị đã được thiết lập, việc thay đổi phải thông báo đến bộ phận chuyên trách.

4. Hoạt động quản lý an toàn người sử dụng đầu cuối thực hiện theo Quy trình Quản lý an toàn người sử dụng đầu cuối, ban hành kèm theo Quy chế này.

Điều 19. Quản lý rủi ro an toàn thông tin

1. Hệ thống phải được xây dựng phương án Quản lý rủi ro an toàn thông tin.

2. Phương án Quản lý an toàn thông tin phải được ban hành cùng Quy chế bảo đảm an toàn thông tin trước khi đưa hệ thống vào vận hành, khai thác.

3. Thực hiện đánh giá và xây dựng phương án xử lý rủi ro cho hệ thống trước khi đưa vào vận hành, khai thác.

4. Thực hiện đánh giá và quản lý rủi ro an toàn thông tin cho hệ thống theo Quy trình Quản lý rủi ro an toàn thông tin, được ban hành kèm theo Quy chế này.

Điều 20. Kết thúc vận hành, khai thác, thanh lý, hủy bỏ

1. Yêu cầu đối với việc thực hiện kết thúc vận hành, khai thác, thanh lý, hủy bỏ hệ thống thông tin:

a) Thiết bị CNTT có chứa dữ liệu (máy tính, thiết bị lưu trữ, ...) khi bị hỏng phải được cán bộ vận hành kiểm tra, sửa chữa, khắc phục. Phải có biện pháp kiểm tra, giám sát đảm bảo không để lọt lộ thông tin hay lây nhiễm mã độc đối với máy tính mang ra bên ngoài sửa chữa, bảo hành;

b) Trước khi tiến hành thanh lý/loại bỏ thiết bị công nghệ thông tin cũ, phải áp dụng các biện pháp kỹ thuật xoá bỏ hoàn toàn dữ liệu người dùng đã tạo ra, đảm bảo không thể phục hồi;

c) Các phương tiện và thiết bị CNTT: Máy tính cá nhân (PC), máy tính xách tay, máy chủ, các thiết bị mạng, phương tiện lưu trữ như CD/DVD, thẻ nhớ, ổ cứng phải xóa sạch dữ liệu khi chuyển giao hoặc thay đổi mục đích sử dụng.

2. Thực hiện kết thúc vận hành, khai thác, thanh lý, hủy bỏ hệ thống thông tin thực hiện theo Khoản 1, điều này.

Chương IV:

TỔ CHỨC BẢO ĐẢM AN TOÀN THÔNG TIN

Điều 21. Xây dựng và công bố

1. Quy chế này được tổ chức/bộ phận được ủy quyền trình Chủ quản hệ thống thông tin thông qua trước khi công bố áp dụng.

2. Quy chế này được công bố trước khi áp dụng.

3. Tổ chức tuyên truyền, phổ biến Quy chế này cho toàn bộ cán bộ trong tổ chức.

Điều 22. Rà soát, cập nhật, bổ sung Quy chế

1. Định kỳ hàng năm hoặc khi có thay đổi chính sách an toàn thông tin kiểm tra lại tính phù hợp và thực hiện rà soát, cập nhật, bổ sung Quy chế này.

2. Có hồ sơ lưu lại thông tin phản hồi của đối tượng áp dụng chính sách trong quá trình triển khai, áp dụng chính sách an toàn thông tin.

Chương V:

TỔ CHỨC THỰC HIỆN

Điều 23. Trách nhiệm của Sở Thông tin và Truyền thông

1. Đơn vị chuyên trách là Sở Thông tin và Truyền thông có trách nhiệm thực hiện nhiệm vụ quy định tại Điều 16, Quy chế quản lý, vận hành và khai thác Nền tảng chung tích hợp chia sẻ các hệ thống thông tin quy mô cấp tỉnh LGSP.

2. Tham mưu, tổ chức thực thi, đôn đốc, kiểm tra, giám sát công tác bảo đảm an toàn thông tin.

Điều 24. Trách nhiệm quản lý của các cơ quan, đơn vị trên địa bàn tỉnh

1. Thực hiện xác định cấp độ an toàn hệ thống thông tin theo quy định tại Điều 14 Nghị định số 85/2016/NĐ-CP ngày 01 tháng 7 năm 2016 của Chính phủ về về bảo đảm an toàn hệ thống thông tin theo cấp độ.

2. Thực hiện theo Quy định tại Điều 17, Quy chế quản lý, vận hành và khai thác Nền tảng chung tích hợp chia sẻ các hệ thống thông tin quy mô cấp tỉnh LGSP.

3. Thực hiện bảo vệ hệ thống thông tin theo quy định của pháp luật và hướng dẫn, tiêu chuẩn, quy chuẩn an toàn thông tin.

4. Định kỳ đánh giá hiệu quả của các biện pháp bảo đảm an toàn thông tin, báo cáo chủ quản hệ thống thông tin Điều chỉnh nếu cần thiết.

5. Định kỳ hoặc đột xuất báo cáo công tác thực thi bảo đảm an toàn hệ thống thông tin theo yêu cầu của chủ quản hệ thống thông tin hoặc cơ quan quản lý nhà nước chuyên ngành có thẩm quyền.

QUY TRÌNH QUẢN LÝ ĐIỂM YẾU AN TOÀN THÔNG TIN

(Ban hành kèm theo Quy chế Bảo đảm an toàn, an ninh mạng Nền tảng chung tích hợp chia sẻ các hệ thống thông tin quy mô cấp tỉnh LGSP)

1. Mục đích

- Quy trình quản lý điểm yếu an toàn thông tin nhằm giảm thiểu rủi ro xuất phát từ việc khai thác các điểm an toàn thông tin tồn tại trong thiết bị hệ thống, máy chủ và ứng dụng trong hệ thống thông tin thuộc phạm vi quản lý của Sở Thông tin và Truyền thông.

- Hướng dẫn chi tiết việc thực hiện Quy trình Quản lý an toàn mạng theo quy định tại Điều 16 Quy chế này.

2. Phạm vi áp dụng

Quy trình này được áp dụng đối với hệ thống thông tin thuộc phạm vi quản lý của Sở Thông tin và Truyền thông nhằm bảo đảm an toàn thông tin mạng.

3. Tài liệu viện dẫn

- Quy chế bảo đảm an toàn thông tin

- Tiêu chuẩn quốc gia TCVN 11930:2017 về Công nghệ thông tin - Các kỹ thuật an toàn - Yêu cầu cơ bản về an toàn hệ thống thông tin theo cấp độ.

4. Thuật ngữ và định nghĩa

- Điểm yếu an toàn thông tin (information security vulnerability): Lỗi tồn tại trên sản phẩm phần cứng, phần mềm, dịch vụ hoặc hệ thống trong quá trình phát triển, cài đặt và thiết lập, có thể gây ra nguy cơ mất an toàn cho hệ thống thông tin khi bị tin tặc khai thác.

5. Nội dung quy trình

5.1. Lưu đồ

5.2. Thông số tổng hợp

Thông số	Mô tả	Yêu cầu
Đầu vào	Điểm yếu an toàn thông tin	Bảo đảm xác định đầy đủ điểm yếu an toàn thông tin cho thiết bị hệ thống, máy chủ và ứng dụng.
Đầu ra	Điểm yếu an toàn thông tin được xử lý	Đáp ứng mục tiêu quản lý điểm yếu an toàn thông tin.
Chỉ tiêu đánh giá	Số điểm yếu an toàn thông tin được xử lý.	Hệ thống không còn tồn tại điểm yếu ở mức độ trung bình trở lên.
Quy trình liên quan	Quy trình Quản lý rủi ro Quy trình Quản lý sự cố ATTT	Tương thích với các yêu cầu của quá trình liên quan

5.3. Diễn giải

Bước 1: Thu thập điểm yếu kỹ thuật

STT	Hoạt động	Sản phẩm	Người thực hiện	Hướng dẫn chi tiết
1	Cán bộ quản trị hệ thống nhận thông báo điểm yếu an toàn thông tin của hệ thống đang quản lý từ những   nguồn chính thức.	Các điểm yếu kỹ thuật được lập danh sách và thông báo	Cán bộ quản trị hệ thống	Việc thu thập các điểm yếu kỹ thuật được thu thập qua các nguồn sau: - Thực hiện quét điểm yếu kỹ thuật định kỳ 1 lần/năm vào Quý 4. - Từ đánh giá/ kiểm soát: Cán bộ đánh giá/ kiểm soát ghi nhận và thông báo tới cán bộ quản trị hệ thống theo Mô tả quá trình Quản lý sự kiện/sự cố BMTT. - Nhà cung cấp: Cán bộ quản trị thực hiện kiểm tra các khuyến nghị của nhà sản xuất liên quan đến các điểm yếu kỹ thuật định kỳ 6 tháng/lần. - Thông báo từ các tổ chức có uy tín (NCSC,VNCERT/CC).

Bước 2. Tra cứu trong bảng dữ liệu điểm yếu/rủi ro

STT	Hoạt động	Sản phẩm	Người thực hiện	Hướng dẫn chi tiết
1	Tham khảo kho dữ liệu về điểm yếu và các bài học: Cán bộ tiếp nhận có trách nhiệm tra cứu database điểm yếu an toàn thông tin.	Giải pháp xử lý rủi ro (nếu có)	Cán bộ quản trị hệ thống	Database quản lý điểm yếu an toàn thông tin lưu thông tin về các điểm yếu an toàn thông tin đã từng xảy ra (người thông báo, bộ phận thông báo, ngày thông báo, giải pháp xử lý, …) cho các điểm yếu từ mức Trung bình trở lên (tham khảo Mô tả quá trình Quản lý rủi ro). Nếu trong database điểm yếu an toàn thông tin có điểm yếu tương tự và xử lý thành công thì thực hiện hành động xử lý. Nếu chưa có hoặc điểm yếu an toàn thông tin được xử lý không thành công, cán bộ quản trị hệ thống đề xuất giải pháp xử lý theo các bước phía sau.

Bước 3. Đề xuất giải pháp xử lý

STT	Hoạt động	Sản phẩm	Người thực hiện	Hướng dẫn chi tiết
1	Đề xuất cách thức xử lý: Cán bộ phụ trách quản lý điểm yếu an toàn thông tin xây dựng giải pháp xử lý điểm yếu an toàn thông tin đối với những hệ thống có quyền hạn và trách nhiệm xử lý.	Giải pháp xử lý rủi ro dạng đề xuất.	Cán bộ quản trị hệ thống	Tra cứu hướng dẫn xử lý điểm yếu từ hãng cung cấp sản phẩm, giải pháp. Đề nghị hỗ trợ từ các cơ quan, tổ chức hoặc các doanh nghiệp bảo mật trong nước tư vấn, hướng dẫn. Sau khi giải pháp xử lý được xây dựng, cán bộ phụ trách quản lý điểm yếu an toàn thông tin trình lên cho lãnh đạo Phòng phụ trách lĩnh vực BM&ATTT.
2	Phê duyệt cách thức xử lý	Giải pháp xử lý rủi ro được duyệt.	Đại diện lãnh đạo Phòng phụ trách lĩnh vực BM&ATTT	Đại diện lãnh đạo Phòng phụ trách lĩnh vực BM&ATTT xem xét giải pháp xử lý điểm yếu được trình lên: - Trường hợp cách thức xử lý điểm yếu không được chấp nhận, cán bộ tiếp nhận phải xây dựng lại giải pháp xử lý điểm yếu (quay lại bước 3). - Trường hợp cách thức xử lý điểm yếu được chấp nhận, chuyển sang bước 4 (Thực hiện giải pháp xử lý điểm yếu). Cần thông tin việc phê duyệt cho cán bộ phụ trách BM&ATTT.

Bước 4. Thực hiện xử lý

STT	Hoạt động	Sản phẩm	Người thực hiện	Hướng dẫn chi tiết
1	Thực hiện sao lưu, dự phòng	Dữ liệu được sao lưu, dự phòng trước khi xử lý điểm yếu.	Cán bộ quản trị hệ thống	- Đối với máy chủ, trước khi thực hiện xử lý mã độc, toàn bộ dữ liệu, tệp tin cấu hình, ảnh hệ điều hành (nếu là máy ảo) phải sao lưu, dự phòng. - Đối với máy trạm, người sử dụng thực hiện sao lưu dự phòng những dữ liệu quan trọng có trên máy tính của mình.
2	Xử lý điểm yếu trên môi trường thử nghiệm	Thử nghiệm phương án xử lý điểm yếu	Cán bộ quản trị hệ thống	Thực hiện xử lý điểm yếu trong môi trường thử nghiệm, bảo đảm việc xử lý điểm yếu không ảnh hưởng đến hệ thống đang cung cấp dịch vụ.
3	Xử lý điểm yếu trên môi trường thực	Điểm yếu được xử lý	Cán bộ quản trị hệ thống	Trường hợp thử nghiệm thành công ở bước 2, thực hiện xử lý điểm yếu trong môi trường đang cung cấp dịch vụ.

Bước 5. Cập nhật tình trạng và bảng dữ liệu điểm yếu/rủi ro

STT	Hoạt động	Sản phẩm	Người thực hiện	Hướng dẫn chi tiết
1	Thực hiện báo cáo	Báo cáo xử lý điểm yếu kỹ thuật	Cán bộ quản trị hệ thống	Sau khi thực hiện xử lý các điểm yếu kỹ thuật cán bộ quản trị hệ thống phải báo cáo tới Lãnh đạo Phòng phụ trách lĩnh vực BM&ATTT
2	Cập nhật bảng quản lý rủi ro	Bảng rủi ro	Cán bộ phụ trách BMTT	Cập nhật thông tin tình trạng điểm yếu và các rủi ro sau xử lý vào bảng quản lý rủi ro của tổ chức.

6. Hồ sơ

STT	Tên hồ sơ	Mã biểu mẫu	Người lập	Hình thức lưu	Thời hạn lưu giữ (năm)	Mức độ quan trọng
1	Danh sách điểm yếu kỹ thuật	N/A	Cán bộ quản trị hệ thống	SOFT	3 năm	INF- SOFT- HIGH
2	Giải pháp xử lý rủi ro	N/A	Cán bộ quản trị hệ thống
3	Các hồ sơ khác trong quá trình xử lý rủi ro (báo cáo,…)	N/A	Cán bộ quản trị hệ thống
4	Bảng rủi ro	N/A	Cán bộ phụ trách BMTT