| CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM | |
| Số: 29/2021/QĐ-UBND | Tây Ninh, ngày 15 tháng 12 năm 2021 |
QUYẾT ĐỊNH
BAN HÀNH QUY CHẾ BẢO ĐẢM AN TOÀN THÔNG TIN MẠNG TRONG HOẠT ĐỘNG ỨNG DỤNG CÔNG NGHỆ THÔNG TIN TRÊN ĐỊA BÀN TỈNH TÂY NINH
ỦY BAN NHÂN DÂN TỈNH TÂY NINH
Căn cứ Luật Tổ chức chính quyền địa phương ngày 19 tháng 6 năm 2015;
Căn cứ Luật Công nghệ thông tin ngày 29 tháng 6 năm 2006;
Căn cứ Luật An toàn thông tin mạng ngày 19 tháng 11 năm 2015;
Căn cứ Nghị định số 64/2007/NĐ-CP ngày 10 tháng 4 năm 2007 của Chính phủ Ứng dụng công nghệ thông tin trong hoạt động của cơ quan nhà nước;
Căn cứ Nghị định số 85/2016/NĐ-CP ngày 01 tháng 7 năm 2016 của Chính phủ về bảo đảm an toàn hệ thống thông tin theo cấp độ;
Căn cứ Nghị định số 142/2016/NĐ-CP ngày 14 tháng 10 năm 2016 của Chính phủ về ngăn chặn xung đột thông tin trên mạng;
Căn cứ Thông tư số 03/2017/TT-BTTTT ngày 24 tháng 4 năm 2017 của Bộ trưởng Bộ Thông tin và Truyền thông Quy định chi tiết và hướng dẫn một số điều của Nghị định số 85/2016/NĐ-CP ngày 01/7/2016 của Chính phủ về bảo đảm an toàn hệ thống thông tin theo cấp độ;
Căn cứ Thông tư số 20/2017/TT-BTTTT ngày 12 tháng 9 năm 2017 của Bộ trưởng Bộ Thông tin và Truyền thông quy định về điều phối, ứng cứu sự cố an toàn thông tin mạng trên toàn quốc;
Căn cứ Thông tư số 27/2017/TT-BTTTT ngày 20 tháng 10 năm 2017 của Bộ trưởng Bộ Thông tin và Truyền thông quy định quản lý, vận hành, kết nối, sử dụng và bảo đảm an toàn thông tin trên mạng truyền số liệu chuyên dùng của các cơ quan Đảng, Nhà nước;
Căn cứ Thông tư số 31/2017/TT-BTTTT ngày 15 tháng 11 năm 2017 của Bộ trưởng Bộ Thông tin Truyền thông quy định hoạt động giám sát an toàn hệ thống thông tin;
Căn cứ Thông tư số 12/2019/TT-BTTTT ngày 05 tháng 11 năm 2019 của Bộ trưởng Bộ Thông tin và Truyền thông sửa đổi, bổ sung một số điều của Thông tư Thông tư số 27/2017/TT-BTTTT ngày 20 tháng 10 năm 2017 của Bộ trưởng Bộ Thông tin và Truyền thông quy định quản lý, vận hành, kết nối, sử dụng và bảo đảm an toàn thông tin trên mạng truyền số liệu chuyên dùng của các cơ quan Đảng, Nhà nước;
Theo đề nghị của Giám đốc Sở Thông tin và Truyền thông tại Tờ trình số 1946/TTr-STTTT ngày 23 tháng 11 năm 2021.
QUYẾT ĐỊNH:
Điều 1. Ban hành kèm theo Quyết định này Quy chế bảo đảm an toàn thông tin mạng trong hoạt động ứng dụng công nghệ thông tin trên địa bàn tỉnh Tây Ninh.
Điều 2. Quyết định này có hiệu lực kể từ ngày 25 tháng 12 năm 2021.
Điều 3. Chánh Văn phòng Ủy ban nhân dân tỉnh, Giám đốc Sở Thông tin và Truyền thông, Thủ trưởng các sở, ban, ngành, Chủ tịch Ủy ban nhân dân các huyện, thị xã, thành phố và các đơn vị liên quan chịu trách nhiệm thi hành Quyết định này./.
|
|
QUY CHẾ
BẢO ĐẢM AN TOÀN THÔNG TIN MẠNG TRONG HOẠT ĐỘNG ỨNG DỤNG CÔNG NGHỆ THÔNG TIN TRÊN ĐỊA BÀN TỈNH TÂY NINH
(Kèm theo Quyết định số 29/2021/QĐ-UBND ngày 15 tháng 12 năm 2021 của Ủy ban nhân dân tỉnh Tây Ninh)
Chương I
QUY ĐỊNH CHUNG
Điều 1. Phạm vi điều chỉnh
Quy chế này quy định việc bảo đảm an toàn thông tin (ATTT) mạng trong hoạt động ứng dụng công nghệ thông tin trên địa bàn tỉnh Tây Ninh.
Điều 2. Đối tượng áp dụng
1. Các sở, ban, ngành tỉnh; các đơn vị sự nghiệp công lập trực thuộc Ủy ban nhân dân tỉnh (UBND); UBND các huyện, thị xã, thành phố; UBND các xã, phường, thị trấn trên địa bàn tỉnh (gọi tắt là các cơ quan, đơn vị).
2. Cán bộ, công chức, viên chức, người lao động (gọi tắt là cán bộ, công chức) và các tổ chức, cá nhân có liên quan tham gia vận hành, khai thác các hệ thống thông tin tại cơ quan, đơn vị quy định tại khoản 1 Điều này.
3. Các doanh nghiệp cung cấp dịch vụ viễn thông, công nghệ thông tin (CNTT), Internet; các doanh nghiệp, tổ chức, cá nhân có tham gia vào các hoạt động ứng dụng CNTT của các cơ quan, đơn vị thuộc khoản 1 Điều này.
4. Khuyến khích các cơ quan, đơn vị khác hoạt động ứng dụng và phát triển CNTT trên địa bàn tỉnh áp dụng quy chế này.
Điều 3. Giải thích từ ngữ
Trong Quy chế này, các từ ngữ dưới đây được hiểu như sau:
1. Nguy cơ mất ATTT mạng là những nhân tố bên trong hoặc bên ngoài có khả năng ảnh hưởng tới trạng thái ATTT mạng.
2. Bản ghi nhật ký hệ thống (Logfile) là một tập tin được tạo ra trên mỗi thiết bị của hệ thống thông tin như: Tường lửa, máy chủ ứng dụng,... có chứa tất cả thông tin về các hoạt động xảy ra trên thiết bị đó. Bản ghi nhật ký hệ thống dùng để phân tích những sự kiện đã xảy ra, nguồn gốc và các kết quả để có các biện pháp xử lý thích hợp.
3. Trung tâm tích hợp dữ liệu tỉnh bao gồm:
a) Phần cứng: thiết bị máy chủ, thiết bị ngoại vi, thiết bị mạng, thiết bị phụ trợ, thiết bị lưu trữ, thiết bị bảo mật, hệ thống Hội nghị truyền hình và các thiết bị khác có liên quan;
b) Hệ thống phần mềm: Hệ thống các ứng dụng được cài đặt, lưu trữ tại trung tâm tích hợp dữ liệu của tỉnh;
c) Mạng truyền thông bao gồm: mạng nội bộ, mạng internet (hữu tuyến và vô tuyến), mạng truyền số liệu chuyên dùng, mạng LAN-WAN nội tỉnh;
d) Tài nguyên địa chỉ IP (Internet Protocol - giao thức Internet) là một địa chỉ đơn nhất mà những thiết bị điện tử hiện nay đang sử dụng để nhận diện và liên lạc với nhau trên mạng máy tính bằng cách sử dụng giao thức Internet;
đ) Các phân vùng mạng VLAN (virtual local area network) là một kỹ thuật cho phép tạo lập các mạng LAN độc lập một cách logic trên cùng một kiến trúc hạ tầng vật lý. Việc tạo lập nhiều mạng LAN ảo trong cùng một mạng cục bộ giúp giảm thiểu miền quảng bá (broadcast domain) cũng như tạo thuận lợi cho việc quản lý một mạng cục bộ rộng lớn. VLAN tương đương như mạng con.
Điều 4. Tài nguyên thông tin cần bảo đảm ATTT
Tài nguyên thông tin cần bảo đảm ATTT trên địa bàn tỉnh Tây Ninh bao gồm các thành phần sau đây:
1. Hệ thống hạ tầng kỹ thuật:
a) Thiết bị tính toán, lưu trữ (máy chủ, máy trạm, SAN, NAS, DAS, VAS);
b) Thiết bị ngoại vi (máy in, máy quét và các thiết bị số hóa, thiết bị lưu trữ dữ liệu di động);
c) Đường truyền dữ liệu, đường truyền Internet;
d) Mạng nội bộ (LAN), mạng diện rộng (WAN) và thiết bị kết nối mạng, thiết bị bảo mật, thiết bị phụ trợ;
đ) Thiết bị CNTT kết nối mạng trong các cơ quan, đơn vị.
2. Hệ thống thông tin, phần mềm, ứng dụng và cơ sở dữ liệu:
a) Hệ thống thông tin, cơ sở dữ liệu dùng chung (hệ thống thư điện tử, hệ thống phần mềm một cửa và Cổng dịch vụ công, hệ thống phần mềm văn phòng điện tử eGov, phần mềm Họp không giấy, phần mềm quản lý số liệu kinh tế xã hội, phần mềm hỏi đáp trực tuyến, phần mềm đánh giá các chỉ số);
b) Cổng thông tin điện tử của tỉnh và Cổng/trang thông tin điện tử của các cơ quan, đơn vị;
c) Hệ thống thông tin nghiệp vụ và các cơ sở dữ liệu chuyên ngành.
3. Thông tin, dữ liệu trao đổi, truyền tải, xử lý và lưu trữ trên Trung tâm tích hợp dữ liệu và hạ tầng kỹ thuật của tỉnh.
Điều 5. Nguyên tắc bảo đảm ATTT mạng
1. Bảo đảm ATTT mạng là yêu cầu bắt buộc, có tính xuyên suốt và phải thường xuyên, liên tục được nâng cao, cải tiến trong quá trình:
a) Thu thập, tạo lập, xử lý, truyền tải, lưu trữ và sử dụng thông tin, dữ liệu;
b) Thiết kế, xây dựng, vận hành, nâng cấp hoặc hủy bỏ hệ thống thông tin.
2. Cơ quan, tổ chức, cá nhân có trách nhiệm bảo đảm ATTT mạng. Hoạt động ATTT mạng của cơ quan, tổ chức, cá nhân phải đúng quy định của pháp luật, bảo đảm quốc phòng, an ninh quốc gia, bí mật nhà nước.
3. Công tác đảm bảo ATTT mạng phải được thực hiện trên cơ sở có sự phối hợp chặt chẽ giữa các cơ quan, đơn vị và cá nhân.
4. Xử lý sự cố ATTT phải phù hợp với trách nhiệm, quyền hạn và bảo đảm lợi ích hợp pháp của cơ quan, đơn vị và theo quy định của pháp luật.
5. Các cơ quan, đơn vị phải bố trí máy vi tính riêng, nghiêm cấm sử dụng máy tính kết nối Internet và các thiết bị di động thông minh để soạn thảo văn bản, lưu giữ thông tin có nội dung mật theo quy định. Các thiết bị viễn thông, máy tính được sử dụng để lưu giữ và truyền thông tin bí mật nhà nước phải được chứng nhận của cơ quan chức năng kiểm tra, kiểm định trước khi đưa vào sử dụng.
6. Phải có phương án tổ chức sao lưu dữ liệu dự phòng cho mọi dữ liệu quan trọng của tỉnh, của cơ quan, đơn vị mình. Lãnh đạo cơ quan, đơn vị phải chịu trách nhiệm nếu để xảy ra mất mát dữ liệu do không tiến hành sao lưu dự phòng.
7. Để phục vụ hoạt động theo dõi, giám sát, phân tích và điều tra, các cơ quan, đơn vị phải thực hiện việc lưu trữ nhật ký của các hệ thống tại các máy chủ (của hệ điều hành và các phần mềm ứng dụng) trong thời gian ít nhất là 30 ngày.
8. Các thiết bị viễn thông, máy tính có chứa tài liệu của cơ quan nhà nước khi đưa đi công tác nước ngoài phải thực hiện theo quy định của pháp luật về bảo vệ bí mật nhà nước.
Điều 6. Các hành vi bị nghiêm cấm
Theo quy định tại Điều 7 Luật An toàn thông tin mạng.
NỘI DUNG BẢO ĐẢM AN TOÀN THÔNG TIN MẠNG
Điều 7. Bảo đảm ATTT cho Trung tâm tích hợp dữ liệu của tỉnh
1. Sở Thông tin và Truyền thông có trách nhiệm đảm bảo an toàn cho Trung tâm tích hợp dữ liệu của tỉnh, bao gồm các nội dung sau:
a) Xây dựng phương án đảm bảo ATTT cho dữ liệu của các cơ quan, đơn vị đặt tại Trung tâm tích hợp dữ liệu nhưng phải đảm bảo thuận lợi cho việc truy xuất và sử dụng các dữ liệu này;
b) Xây dựng Quy chế quản lý vận hành Trung tâm tích hợp dữ liệu của tỉnh;
c) Xây dựng quy trình ứng phó các sự cố có thể xảy ra tại Trung tâm tích hợp dữ liệu của tỉnh;
d) Đảm bảo các điều kiện về hạ tầng kỹ thuật. ATTT đối với hệ thống máy chủ, thiết bị kết nối mạng đặt tại Trung tâm tích hợp dữ liệu của tỉnh.
2. Các cơ quan, đơn vị đặt dữ liệu hoặc kết nối vào Trung tâm tích hợp dữ liệu của tỉnh phải tuân thủ các chính sách ATTT liên quan đến việc kết nối vào Trung tâm tích hợp dữ liệu của tỉnh do Sở Thông tin và Truyền thông hướng dẫn; tự bảo vệ hệ thống đầu cuối của mình và phải chịu trách nhiệm nếu để tin tặc kiểm soát máy tính và tấn công ngược vào Trung tâm tích hợp dữ liệu của tỉnh. Các hệ thống thông tin trước khi cài đặt trên Trung tâm tích hợp dữ liệu của tỉnh của tỉnh phải được kiểm tra, xác nhận về tính an toàn, bảo mật.
Điều 8. Bảo đảm ATTT mức vật lý
1. Bảo đảm ATTT mức vật lý là việc bảo vệ hệ thống hạ tầng kỹ thuật, phần mềm, ứng dụng và cơ sở dữ liệu khỏi các mối nguy hiểm vật lý (như: cháy, nổ; nhiệt độ, độ ẩm ngoài mức cho phép; thiên tai; mất điện; tác động cơ học) có thể gây ảnh hưởng đến hoạt động hệ thống.
2. Các biện pháp cơ bản bảo đảm ATTT mức vật lý bao gồm:
a) Quản lý Trung tâm tích hợp dữ liệu của tỉnh:
Các thiết bị kết nối mạng, thiết bị bảo mật quan trọng như tường lửa, thiết bị định tuyến, hệ thống máy chủ, hệ thống lưu trữ SAN, NAS phải được đặt trong Trung tâm tích hợp dữ liệu của tỉnh.
Trung tâm tích hợp dữ liệu của tỉnh phải được thiết lập cơ chế bảo vệ, theo dõi, phát hiện xâm nhập và biện pháp kiểm soát truy nhập, kết nối vật lý phù hợp đối với từng khu vực: máy chủ và hệ thống lưu trữ; từ mạng và đầu nối; thiết bị nguồn điện và dự phòng điện khẩn cấp; vận hành, kiểm soát, quản trị hệ thống.
Quá trình vào, ra hoặc bàn giao ca trực Trung tâm tích hợp dữ liệu phải được ghi nhận vào nhật ký quản lý Trung tâm tích hợp dữ liệu. Chỉ những cá nhân có quyền, nhiệm vụ theo quy định có thủ trưởng cơ quan, đơn vị mới được phép vào Trung tâm tích hợp dữ liệu của tỉnh.
Có phương án, kế hoạch phòng, chống và khắc phục sự cố ngập dột nước, sét, tĩnh điện, cháy nổ; áp dụng các quy chuẩn kỹ thuật về an toàn kỹ thuật nhiệt, độ ẩm, ánh sáng cho các thiết bị tính toán, lưu trữ; bảo đảm điều kiện hoạt động ổn định cho các hệ thống hỗ trợ như máy điều hòa nhiệt độ, nguồn cấp điện, dây dẫn;
Trung tâm tích hợp dữ liệu của tỉnh phải được trang bị hệ thống lưu điện đủ công suất và duy trì thời gian hoạt động của các máy chủ ít nhất 15 phút khi có sự cố mất điện.
b) Thiết lập cơ chế dự phòng đối với các thiết bị hạ tầng kỹ thuật quan trọng; có kế hoạch kiểm tra, bảo dưỡng định kỳ và duy trì thông số kỹ thuật các thiết bị này hoặc có phương án sửa chữa, thay thế đáp ứng yêu cầu về độ sẵn sàng trong suốt thời gian lắp đặt, sử dụng;
c) Các đường truyền dữ liệu, đường truyền Internet và hệ thống dây dẫn các mạng WAN, LAN phải được lắp đặt trong ống, máng che đậy kín, hạn chế khả năng tiếp cận trái phép. Ngắt kết nối cổng Ethernet không sử dụng, đặc biệt là ở khu vực làm việc chung của các cơ quan, đơn vị;
d) Cá nhân sử dụng thiết bị lưu trữ dữ liệu di động để lưu trữ thông tin, dữ liệu của cơ quan, đơn vị mình có trách nhiệm bảo vệ thiết bị này và thông tin lưu trên thiết bị, tránh làm mất hoặc lộ, lọt thông tin, dữ liệu;
đ) Thiết bị tính toán có bộ phận lưu trữ hoặc thiết bị lưu trữ khi mang đi bảo hành, bảo dưỡng, sửa chữa bên ngoài cơ quan, đơn vị hoặc ngừng sử dụng phải được tháo bộ phận lưu trữ khỏi thiết bị hoặc xóa thông tin, dữ liệu lưu trữ trên thiết bị (trừ trường hợp để khôi phục dữ liệu). Khi thanh lý thiết bị thì phải xóa nội dung lưu trữ bằng phần mềm hoặc thiết bị hủy dữ liệu chuyên dụng hay phá hủy vật lý.
3. Cơ quan, đơn vị có trách nhiệm xây dựng quy trình bảo dưỡng, bảo trì và hướng dẫn cách sử dụng, quản lý, vận hành hệ thống hạ tầng kỹ thuật của mình; chỉ định bộ phận chuyên trách về CNTT thực hiện quản lý, vận hành và định kỳ kiểm tra, sửa chữa, bảo trì thiết bị (bao gồm thiết bị đang hoạt động và thiết bị dự phòng).
Điều 9. Bảo đảm ATTT khi sử dụng máy tính và thiết bị CNTT
1. Bảo đảm an toàn cho máy tính, thiết bị công nghệ thông tin và an toàn dữ liệu
Cá nhân sử dụng máy tính để xử lý công việc tuân thủ các quy định sau:
a) Chỉ cài đặt phần mềm hợp lệ (phần mềm có bản quyền thương mại, phần mềm nội bộ được đầu tư hoặc phần mềm mã nguồn mở có nguồn gốc rõ ràng) và thuộc danh mục phần mềm được phép sử dụng do cơ quan, đơn vị có thẩm quyền ban hành (nếu có) trên máy tính được cơ quan, đơn vị cấp cho mình:
b) Cài đặt phần mềm phòng chống mã độc và thiết lập chế độ tự động cập nhật cơ sở dữ liệu cho phần mềm; thực hiện kiểm tra, rà quét phần mềm trước khi sao chép, mở các tập tin hoặc trước khi kết nối các thiết bị lưu trữ dữ liệu di động với máy tính của mình; trước khi cài đặt, kết nối phần mềm ứng dụng vào hạ tầng mạng nội bộ, hạ tầng Trung tâm tích hợp dữ liệu cần thực hiện hiện kiểm tra để phòng, tránh phần mềm độc hại;
c) Khi phát hiện ra bất kỳ dấu hiệu nào liên quan đến việc bị nhiễm phần mềm độc hại trên máy tính (máy chạy chậm bất thường, cảnh báo từ phần mềm phòng, chống phần mềm độc hại, mất dữ liệu,...), phải ngắt kết nối giữa máy với mạng nội bộ và báo trực tiếp cho bộ phận chuyên trách về CNTT để được xử lý kịp thời;
d) Chỉ truy nhập vào các trang/cổng thông tin điện tử, ứng dụng trực tuyến tin cậy và các thông tin phù hợp với chức năng, trách nhiệm, quyền hạn của mình; sử dụng những trình duyệt an toàn; không truy nhập, mở các trang tin, thư điện tử không rõ nguồn gốc: không sử dụng tính năng lưu mật khẩu tự động hoặc đăng nhập tự động;
đ) Máy tính cá nhân phải được cài đặt mật khẩu và thực hiện thao tác khóa máy tính (sử dụng tính năng có sẵn trên máy tính) khi rời khỏi nơi đặt máy tính; tắt máy tính khi rời khỏi cơ quan;
e) Phải sử dụng hộp thư điện tử công vụ của tỉnh có tên miền: @tayninh.gov.vn hoặc hộp thư điện tử có tên miền đặc thù theo quy định của ngành nhưng phải đảm bảo tính an toàn, bảo mật khi trao đổi trên môi trường mạng trong quá trình thực hiện nhiệm vụ công vụ;
g) Báo cáo và phải được thủ trưởng cơ quan, đơn vị đồng ý, cho phép trước khi mang máy tính, thiết bị CNTT có kết nối mạng thuộc sở hữu riêng đến nơi làm việc và kết nối với mạng nội bộ để thực hiện xử lý công việc. Trong trường hợp này, cá nhân phải tuân thủ đầy đủ các quy định tại các Điểm a, b, c, d, d, e, g của Khoản này và chịu sự giám sát của bộ phận chuyên trách về CNTT của cơ quan, đơn vị.
2. Tài khoản truy nhập
a) Cá nhân sử dụng hệ thống thông tin được cấp và sử dụng tài khoản truy nhập với định danh duy nhất gắn với cá nhân đó;
b) Trường hợp cá nhân thay đổi vị trí công tác, chuyển công tác, thôi việc hoặc nghỉ hưu, trong vòng không quá 05 ngày làm việc, cơ quan, đơn vị quản lý cá nhân đó phải thông báo cơ quan, đơn vị chủ quản hệ thống thông tin để điều chỉnh, thu hồi, hủy bỏ các quyền sử dụng đối với hệ thống thông tin; tài khoản quản trị hệ thống (mạng, hệ điều hành, thiết bị kết nối mạng, phần mềm, ứng dụng, cơ sở dữ liệu) phải tách biệt với tài khoản truy nhập của người sử dụng thông thường. Tài khoản quản trị hệ thống phải được giao đích danh cá nhân làm công tác quản trị. Hạn chế dùng chung tài khoản quản trị;
c) Có trách nhiệm bảo mật tài khoản truy nhập thông tin, không chia sẻ mật khẩu, thông tin cá nhân với người khác. Đặt mật khẩu với độ an toàn cao (có chữ thường, có chữ in hoa, có số và ký tự đặc biệt như @, #, !) và khuyến khích thay đổi mật khẩu ít nhất 03 tháng/lần; các tài khoản đăng nhập các hệ thống phải được đăng xuất khi không sử dụng; thường xuyên xóa các biểu mẫu, mật khẩu, bộ nhớ cache và cookie trong trình duyệt trên máy tính;
d) Tạm dừng quyền sử dụng đối với tài khoản đã được đăng ký trên hệ thống nhưng không làm việc trong hệ thống từ 30 ngày trở lên.
Điều 10. Bảo đảm ATTT đối với mạng máy tính
1. Hệ thống mạng nội bộ (LAN) phải được thiết kế phân vùng theo chức năng cơ bản, bao gồm: vùng mạng người dùng; vùng mạng kết nối hệ thống ra bên ngoài Internet và các mạng khác; vùng mạng máy chủ công cộng; vùng mạng máy chủ nội bộ; vùng mạng máy chủ quản trị. Dữ liệu trao đổi giữa các vùng mạng phải được quản lý giám sát bởi các hệ thống các thiết bị mạng, thiết bị bảo mật.
Căn cứ điều kiện, yêu cầu thực tế về bảo mật dữ liệu, cơ quan, đơn vị là chủ quản hệ thống mạng nội bộ chủ động triển khai xây dựng mô hình, giải pháp an toàn bảo mật, bao gồm các biện pháp kỹ thuật như sau:
a) Bước 1: Kiểm soát truy nhập từ bên ngoài mạng (sử dụng các giao thức mạng có hỗ trợ chức năng mã hóa thông tin như SSH, SSL/TLS, VPN);
b) Bước 2: Kiểm soát truy nhập từ bên trong mạng (quản lý các thiết bị đầu cuối, máy tính người sử dụng kết nối vào hệ thống mạng; giám sát, phát hiện và ngăn chặn truy nhập từ bên trong mạng đến các địa chỉ Internet bị cấm truy nhập);
c) Bước 3: Phòng, chống xâm nhập và phần mềm độc hại, bảo vệ các vùng mạng máy chủ công cộng, máy chủ nội bộ, máy chủ cơ sở dữ liệu và vùng mạng nội bộ; có khả năng tự động cập nhật thời gian thực cơ sở dữ liệu, dấu hiệu phát hiện tấn công. Vô hiệu hóa tất cả các dịch vụ không cần thiết tại từng vùng mạng;
d) Bước 4: Cấu hình chức năng xác thực trên các thiết bị kết nối mạng để xác thực người sử dụng quản trị thiết bị trực tiếp hoặc từ xa;
đ) Bước 5: Mạng không dây phải có cơ chế bảo toàn tính toàn vẹn và bí mật của thông tin được truyền đư trên môi trường mạng, có hướng dẫn bảo đảm ATTT dành cho các thiết bị đầu cuối khi kết nối vào mạng; được thiết lập các tham số: tên, nhận dạng dịch vụ (SSID), mật khẩu, cấp phép truy nhập đối với địa chỉ vật lý (MAC address), mã hóa dữ liệu. Thường xuyên thay đổi mật khẩu. Các điểm truy nhập không dây phải được bảo vệ, tránh bị tiếp cận trái phép;
e) Bước 6: Hệ thống máy chủ phải có chức năng tự động cập nhật bản ghi nhật ký hệ thống trong khoảng thời gian nhất định (tối thiểu là 03 tháng), lưu trữ thông tin kết nối mạng, quá trình đăng nhập vào máy chủ, các thao tác cấu hình hệ thống, lỗi phát sinh trong quá trình hoạt động và các thông tin liên quan về ATTT để phục vụ công tác khắc phục sự cố và điều tra về ATTT khi xảy ra. Xóa sạch thông tin, dữ liệu trên máy chủ khi chuyển giao hoặc thay đổi mục đích sử dụng.
2. Cơ quan, đơn vị tham gia kết nối, sử dụng hệ thống mạng diện rộng (WAN), mạng truyền số liệu chuyên dùng của tỉnh có trách nhiệm:
a) Bảo đảm ATTT đối với hệ thống mạng nội bộ và các thiết bị của mình khi thực hiện kết nối vào hệ thống mạng diện rộng, mạng truyền số liệu chuyên dùng; thông báo sự cố hoặc các hành vi phá hoại, xâm nhập về Sở Thông tin và Truyền thông để xử lý;
b) Phối hợp với Sở Thông tin và Truyền thông rà soát đánh giá tính hợp lệ cấu hình địa chỉ IP kết nối mạng diện rộng, mạng truyền số liệu chuyên dùng trong quá trình vận hành và sử dụng các hệ thống thông tin, máy chủ, thiết bị CNTT của mình có kết nối với hệ thống mạng diện rộng;
c) Định kỳ sao lưu thông tin, dữ liệu dùng chung lưu trữ trên mạng diện rộng;
d) Không tiết lộ phương thức (tên đăng ký, mật khẩu, tiện ích, tệp hỗ trợ và các cách thức khác) để truy nhập vào hệ thống mạng diện rộng, mạng Truyền số liệu chuyên dùng cho tổ chức, cá nhân khác; không được tìm cách truy nhập dưới bất cứ hình thức nào vào các khu vực không được phép truy nhập.
3. Cơ quan, đơn vị phải áp dụng các biện pháp kỹ thuật cần thiết bảo đảm ATTT trong hoạt động kết nối Internet, tối thiểu đáp ứng các yêu cầu sau;
a) Có hệ thống tường lửa và hệ thống bảo vệ kiểm soát truy nhập Internet, đáp ứng nhu cầu kết nối đồng thời, hỗ trợ các công nghệ mạng riêng ảo thông dụng và có phần cứng mã hóa tích hợp để tăng tốc độ mã hóa dữ liệu, cung cấp đầy đủ các cơ chế bảo mật cơ bản như NAT, PAT, quản lý luồng dữ liệu ra , vào và có khả năng bảo vệ hệ thống trước các loại tấn công từ chối dịch vụ (DDoS);
b) Lọc bỏ, không cho phép truy nhập các trang tin có nghi ngờ chứa mã độc hoặc các nội dung không phù hợp;
c) Không mở trang tin hoặc ứng dụng Internet trên máy tính chứa dữ liệu quan trọng hoặc có khả năng tiếp cận các dữ liệu, ứng dụng quan trọng; chỉ thiết lập kết nối Internet cho các máy chủ và thiết bị CNTT cần phải có giao tiếp với Internet (các máy chủ, thiết bị cung cấp giao diện ra Internet của trang tin điện tử, dịch vụ công, thư điện tử; thiết bị cập nhật bản vá hệ điều hành, mẫu mã độc, mẫu điểm yếu, mẫu tấn công).
Điều 11. Kiểm tra, khắc phục sự cố ATTT
1. Cơ quan, đơn vị chủ quản hệ thống thông tin có trách nhiệm phối hợp với các cơ quan, đơn vị chuyên trách về CNTT, ATTT của tỉnh:
a) Rà soát, đánh giá và xác định các sự cố ATTT, các rủi ro ATTT có thể xảy ra với từng thành phần hệ thống thông tin trong phạm vi quản lý của mình. Trên cơ sở đó, xây dựng và phê duyệt các phương án ứng cứu, xử lý sự cố phù hợp với các rủi ro ATTT có thể xảy ra;
b) Chuẩn bị sẵn sàng các biện pháp, phương tiện kỹ thuật để phục vụ cho triển khai các phương án ứng cứu đã được xây dựng:
c) Xây dựng và ban hành các hướng dẫn, quy trình xử lý sự cố ATTT đối với từng đối tượng người sử dụng cụ thể trong hệ thống thông tin theo hướng dẫn của Sở Thông tin và Truyền thông;
d) Thông báo công khai các phương án liên lạc với bộ phận xử lý sự cố cho toàn bộ cá nhân liên quan hệ thống thông tin đang quản lý;
đ) Thường xuyên kiểm tra, rà soát tính sẵn sàng của các phương án ứng cứu sự cố; thực hiện đúng các hướng dẫn, quy trình xử lý sự cố ATTT.
2. Khi có sự cố hoặc nguy cơ mất ATTT, thủ trưởng cơ quan, đơn vị thực hiện:
a) Chỉ đạo xác định nguyên nhân sự cố, có biện pháp khắc phục kịp thời, hạn chế thiệt hại;
b) Trường hợp gặp sự cố nghiêm trọng ở mức độ cao, khẩn cấp (hệ thống bị gián đoạn dịch vụ; dữ liệu tuyệt mật hoặc bí mật nhà nước có khả năng bị tiết lộ; dữ liệu quan trọng của hệ thống không bảo đảm tính toàn vẹn và không có khả năng khôi phục được; hệ thống bị mất quyền điều khiển) hoặc chủ quản hệ thống không đủ khả năng tự kiểm soát, xử lý được sự cố thì phải phối hợp chặt chẽ với Đội ứng cứu sự cố ATTT mạng của tỉnh và cung cấp đầy đủ thông tin sự cố để được hướng dẫn, hỗ trợ cụ thể;
c) Chuẩn bị nội dung báo cáo sự cố, bao gồm:
Tên, địa chỉ Đơn vị vận hành hệ thống thông tin; chủ quản hệ thống thông tin; hệ thống thông tin bị sự cố; thời điểm phát hiện sự cố;
Đầu mối liên lạc về sự cố của đơn vị vận hành hệ thống bị sự cố: Tên, chức vụ, điện thoại, thư điện tử;
Mô tả về sự cố: Loại sự cố, hiện tượng, đánh giá sơ bộ mức độ nguy hại, mức độ lây lan, tác động của sự cố đến hoạt động bình thường của tổ chức;
Đơn vị cung cấp dịch vụ hạ tầng kỹ thuật;
Liệt kê các biện pháp đã triển khai hoặc dự kiến triển khai để xử lý khắc phục sự cố;
Các tổ chức, doanh nghiệp đang hỗ trợ ứng cứu, xử lý và kết quả xử lý sự cố tính đến thời điểm báo cáo;
Kết quả ứng cứu sự cố ban đầu;
Kiến nghị đề xuất hướng ứng cứu xử lý sự cố (nếu có);
Bản cập nhật mới nhất của tài liệu mô tả các thành phần hệ thống thông tin, bao gồm: các vùng mạng chức năng; hệ thống thiết bị mạng, thiết bị bảo mật; hệ thống máy chủ hệ thống; hệ thống máy chủ ứng dụng; dịch vụ và các thành phần khác trong hệ thống thông tin (trong trường hợp sự cố có khả năng xảy ra trên diện rộng hoặc gây ra các ảnh hưởng dây chuyền, làm tổn hại cho các hệ thống thông tin quan trọng khác).
Điều 12. Tiếp nhận thông tin báo cáo sự cố mất an toàn thông tin mạng, sự cố mạng truyền số liệu chuyên dùng
1. Địa chỉ tiếp nhận thông tin, báo cáo sự cố mất an toàn thông tin mạng; sự cố tắc, nghẽn, đứt, rớt, không truy cập được của mạng truyền số liệu chuyên dùng: Trung tâm Giám sát điều hành kinh tế xã hội tập trung thuộc Sở Thông tin và Truyền thông là bộ phận làm đầu mối liên lạc ứng cứu ATTT máy tính trên địa bàn tỉnh và trong mạng lưới ứng cứu trên toàn quốc, qua các thông tin liên hệ: Điện thoại: (0276) 3611169, Email: hotro@tayninh.gov.vn.
2. Sở Thông tin và Truyền thông xây dựng hệ thống thông tin tiếp nhận, xử lý và lưu vết thông tin xử lý sự cố trực tuyến, xuất ra các báo cáo hàng tháng để báo cáo cho các cơ quan có thẩm quyền.
Điều 13. Giám sát an toàn hệ thống thông tin mạng
1. Đối với các cơ quan, đơn vị:
Tổ chức thực hiện việc giám sát an toàn hệ thống thông tin của cơ quan, đơn vị trực tiếp quản lý. Nội dung và đối tượng giám sát thực hiện theo quy định tại các khoản 1, khoản 2 Điều 24 của Luật ATTT mạng; thực hiện việc lưu trữ nhật ký tình trạng hoạt động của các hệ thống thông tin tại các máy chủ trong thời gian ít nhất là 30 ngày để phục vụ các công tác đảm bảo ATTT mạng.
2. Đối với các doanh nghiệp cung cấp các dịch vụ viễn thông, CNTT, Internet có trách nhiệm thực hiện theo quy định tại khoản 3 Điều 24 của Luật ATTT mạng.
Điều 14. Ngăn chặn xung đột thông tin trên mạng
1. Đối với các cơ quan, đơn vị chủ quản trực tiếp các hệ thống thông tin: Quản lý chặt chẽ các tài khoản đã cung cấp cho người dùng và hệ thống thông tin do mình quản lý. Không để các phần tử xấu lợi dụng hệ thống thông tin để thâm nhập, truy cập trái phép vào các trung tâm đang quản lý, qua đó tấn công vào các hệ thống thông tin, cơ sở dữ liệu dùng chung của tỉnh.
2. Sở Thông tin và Truyền thông:
a) Chủ trì, phối hợp với các đơn vị liên quan của Bộ Thông tin và Truyền thông, các cơ quan, đơn vị có liên quan để tham mưu xây dựng và triển khai các kế hoạch, phương án bảo vệ hệ thống thông tin của tỉnh; sẵn sàng huy động lực lượng, phương tiện tham gia thực hiện các nội dung ngăn chặn xung đột thông tin trên mạng trong phạm vi quản lý;
b) Xử lý, khắc phục các vụ việc liên quan đến xung đột thông tin trên mạng thuộc phạm vi quản lý theo quy định pháp luật.
3. Các doanh nghiệp cung cấp dịch vụ viễn thông, CNTT, Internet cho các cơ quan quản lý nhà nước tỉnh có trách nhiệm ngăn chặn xung đột thông tin trên mạng trong phạm vi thẩm quyền theo quy định tại Nghị định số 142/2016/NĐ-CP ngày 14 tháng 10 năm 2016 của Chính phủ về ngăn chặn xung đột thông tin trên mạng.
Điều 15. Xây dựng quy chế bảo đảm ATTT nội bộ
Trên cơ sở quy chế này và hướng dẫn của Bộ, ngành Trung ương, các sở, ban, ngành tỉnh, UBND các huyện, thị xã, thành phố ban hành quy chế bảo đảm ATTT nội bộ tại cơ quan, địa phương quy định rõ các vấn đề cơ bản sau:
1. Phân công cụ thể cán bộ, công chức chuyên trách CNTT, số điện thoại liên hệ khi có sự cố về ATTT.
2. Phân công cán bộ, công chức chịu trách nhiệm quản lý máy tính để dự thảo các văn bản, tài liệu có tính mật; việc sử dụng và vận hành máy tính này, đảm bảo tuân thủ các quy định của pháp luật về bảo mật và ATTT.
3. Thiết lập quy tắc vào ra, quản lý phòng máy chủ; quy tắc cài đặt phần mềm lên máy chủ, máy tính trạm.
4. Quy tắc phân loại và quản lý mức độ ưu tiên đối với các tài nguyên của hệ thống thông tin (phần mềm, dữ liệu, trang thiết bị CNTT).
5. Kiểm tra, rà soát và khắc phục sự cố an toàn của hệ thống thông tin sử dụng các biện pháp trong Điều 11 của Quy chế này.
6. Quy tắc quản lý bảo đảm an toàn hệ thống thông tin tại đơn vị; đảm bảo tính toàn vẹn, tính tin cậy, tính thống nhất và tính sẵn sàng của dữ liệu trong quản lý và vận hành trao đổi thông tin.
7. Quy trình xử lý các sự cố ảnh hưởng đến an toàn hệ thống tại đơn vị.
8. Chế độ báo cáo tổng hợp tình hình an toàn của hệ thống thông tin.
Điều 16. Quy trình phối hợp ứng cứu sự cố mạng bảo đảm ATTT số trên địa bàn tỉnh
1. Quy trình xử lý khẩn cấp:
Khi phát hiện hệ thống có nguy cơ mất ATTT như: hệ thống hoạt động chậm bất thường, không truy cập được hệ thống ứng dụng, nội dung cổng (trang) thông tin điện tử hoặc giao diện ứng dụng bị thay đổi, các sự cố khác có liên quan thực hiện các bước cơ bản như sau:
a) Bước 1: Ngắt kết nối hệ thống máy chủ ra khỏi hệ thống mạng, báo cáo sự cố đến Thủ trưởng cơ quan, đơn vị;
b) Bước 2: Sao chép nhật ký truy cập của người dùng (logfile) và toàn bộ dữ liệu của hệ thống ra thiết bị lưu trữ (phục vụ cho công tác phân tích);
c) Bước 3: Khôi phục lại hệ thống, hoặc sử dụng hệ thống dự phòng và chuyển dữ liệu sao lưu dự phòng (backup) mới nhất để hệ thống hoạt động;
d) Bước 4: Tổng hợp, báo cáo sự cố và nội dung khắc phục gửi về Đội ứng cứu để tổng hợp.
2. Nguyên tắc phối hợp trong ứng cứu sự cố:
a) Đơn vị vận hành hệ thống thông tin:
Thực hiện các bước khắc phục sự cố theo Khoản 1 điều này.
Các sự cố vượt quá khả năng xử lý, đơn vị thông báo đến Đội ứng cứu để hỗ trợ khắc phục và thực hiện báo cáo sự cố mạng.
Tổng hợp, báo cáo đơn vị chuyên trách CNTT (Sở Thông tin và Truyền thông) theo định kỳ 06 tháng một lần và báo cáo đột xuất khi có yêu cầu;
b) Đội ứng cứu:
Tiếp nhận thông tin, báo cáo sự cố mất an toàn thông tin của đơn vị. Phản hồi đến email cần hỗ trợ theo 03 bước: Tiếp nhận, Hướng xử lý, đóng xử lý. Việc xử lý lỗi được thực hiện ngay khi nhận được email yêu cầu.
Phản hồi cho đơn vị, cá nhân gửi thông báo, báo cáo ban đầu ngay sau khi nhận được để xác nhận về việc đã nhận được thông báo, báo cáo sự cố.
Thẩm tra, xác minh và phân loại sự cố an toàn thông tin mạng để lựa chọn phương án ứng cứu phù hợp hoặc đề xuất với Ban chỉ đạo xây dựng CQDT hướng giải quyết trong trường hợp vượt thẩm quyền.
Chủ động hỗ trợ ngay đơn vị cần ứng cứu, xử lý sự cố trong khả năng và trách nhiệm của mình, cử cán bộ kỹ thuật của Đội có mặt tại đơn vị báo sự cố để phối hợp, hướng dẫn, ghi nhận giải quyết sự cố, trong trường hợp sự cố phức tạp, nguy cơ cao về ATTT mà không thể hướng dẫn, trao đổi qua điện thoại, email với đơn vị bị sự cố.
Giám sát diễn biến tình hình ứng cứu sự cố và báo cáo Ban chỉ đạo xây dựng CQĐT tỉnh: đề xuất, xin ý kiến chỉ đạo trong trường hợp không thuộc thẩm quyền, phạm vi trách nhiệm hoặc vượt khả năng xử lý của mình.
Tổng hợp, báo cáo Cơ quan điều phối quốc gia theo quy định và báo cáo đột xuất khi có yêu cầu.
c) Sở Thông tin và Truyền thông báo cáo về Ủy ban nhân dân tỉnh đồng thời thông báo đến Bộ Thông tin và Truyền thông thông qua Trung tâm ứng cứu khẩn cấp không gian mạng Việt Nam, để được hỗ trợ khắc phục các sự cố vượt quá khả năng xử lý của địa phương.
TỔ CHỨC THỰC HIỆN
Điều 17. Trách nhiệm của tổ chức, cá nhân bên ngoài khi tham gia sử dụng hệ thống thông tin của cơ quan nhà nước, để giao tiếp, cung cấp và trao đổi thông tin số với cơ quan nhà nước
1. Nghiêm chỉnh thi hành quy chế này và các quy định khác của pháp luật về bảo đảm ATTT mạng.
2. Khi phát hiện sự cố ảnh hưởng đến an toàn hệ thống thông tin, phải thông báo ngay với cơ quan nhà nước, nơi tổ chức, cá nhân đang thực hiện giao tiếp.
3. Các tổ chức, cá nhân tham gia vào quá trình ứng dụng CNTT trên địa bàn tỉnh, chịu sự thanh tra, kiểm tra của các cơ quan nhà nước có thẩm quyền về lĩnh vực ATTT.
Điều 18. Trách nhiệm của cán bộ, công chức trong cơ quan nhà nước
1. Nghiêm chỉnh thi hành quy chế này và các quy định khác của pháp luật về bảo đảm ATTT.
2. Khi phát hiện sự cố ảnh hưởng đến an toàn hệ thống thông tin, phải thông báo ngay đến cán bộ, công chức chuyên trách CNTT của đơn vị.
3. Các thông tin, tài liệu, văn bản có tính mật theo quy định, phải dự thảo, lưu trữ đúng theo quy định về bảo mật và ATTT.
4. Cán bộ, công chức chuyên trách CNTT:
a) Theo nhiệm vụ được Thủ trưởng cơ quan, đơn vị phân công, chịu trách nhiệm tham mưu chuyên môn và vận hành đảm bảo an toàn hệ thống thông tin tại cơ quan, đơn vị;
b) Hướng dẫn, hỗ trợ người dùng tại cơ quan, đơn vị giải pháp phòng, chống vi rút, mã độc máy tính. Thực hiện việc đánh giá, báo cáo các rủi ro và mức độ các rủi ro ảnh hưởng đến hoạt động hệ thống thông tin của đơn vị, các giải pháp cơ bản khắc phục các rủi ro:
c) Phối hợp với các cá nhân, tổ chức có liên quan trong việc kiểm tra, phát hiện, phòng ngừa, đấu tranh, ngăn chặn xâm phạm ATTT; tham gia khắc phục các sự cố mất ATTT.
Điều 19. Trách nhiệm của các cơ quan, đơn vị
1. Đảm bảo an toàn thông tin mạng theo quy định hiện hành của Chính phủ. Bộ Thông tin và Truyền thông. Quy chế này và các quy chế nội bộ khác.
2. Báo cáo định kỳ vào ngày 15/10 hàng năm hoặc đột xuất theo yêu cầu về Sở Thông tin và Truyền thông để tổng hợp, báo cáo Ủy ban nhân dân tỉnh, Bộ Thông tin và Truyền thông.
3. Tuân thủ và bảo đảm ATTT trong ứng dụng CNTT, đảm bảo an toàn thông tin mạng nội bộ của cơ quan, đơn vị theo hướng dẫn của Sở Thông tin và Truyền thông theo quy định của quy chế này và các quy định khác của pháp luật có liên quan.
4. Tuyên truyền, phổ biến quy chế này và các quy định khác của pháp luật có liên quan về ATTT trong phạm vi trách nhiệm và quyền hạn của từng cơ quan.
5. Xác định và trình cấp có thẩm quyền phê duyệt cấp độ hệ thống thông tin của cơ quan, đơn vị.
6. Khi được kiểm tra công tác đảm bảo an toàn thông tin mạng tại cơ quan, đơn vị cử cán bộ có chuyên môn về CNTT tham gia đoàn kiểm tra; phối hợp với đoàn kiểm tra xây dựng các tiêu chí và quy trình kỹ thuật kiểm tra công tác đảm bảo ATTT.
7. Xây dựng Quy chế đảm bảo ATTT nội bộ tại cơ quan, đơn vị theo quy định tại Điều 15 của Quy chế này.
Điều 20. Trách nhiệm của Sở Thông tin và Truyền thông
1. Tham mưu Ủy ban nhân dân tỉnh về công tác đảm bảo ATTT trên địa bàn tỉnh và chịu trách nhiệm trước Ủy ban nhân dân tỉnh trong việc đảm bảo an toàn cho các hệ thống thông tin cấp tỉnh.
2. Xây dựng và triển khai các Kế hoạch, chương trình, dự án đầu tư, đào tạo về ATTT trong ứng dụng CNTT trên địa bàn tỉnh.
3. Tùy theo mức độ sự cố, phối hợp Trung tâm ứng cứu khẩn cấp không gian mạng Việt Nam (VNCERT/CC) và các đơn vị có liên quan hướng dẫn xử lý, ứng cứu các sự cố ATTT trên địa bàn tỉnh; cảnh báo các vấn đề về ATTT trong các cơ quan nhà nước trên địa bàn tỉnh.
4. Quản lý vận hành, hướng dẫn kết nối mạng truyền số liệu chuyên dùng của các cơ quan Đảng và nhà nước trên địa bàn tỉnh; xử lý các vấn đề liên quan sự cố mạng truyền số liệu chuyên dùng.
5. Hướng dẫn, hỗ trợ sao lưu dự phòng các thông tin, cơ sở dữ liệu của các cơ quan nhà nước một cách an toàn.
6. Hướng dẫn, giám sát các đơn vị xây dựng quy chế và thực hiện việc đảm bảo an toàn cho hệ thống thông tin theo quy định; hướng dẫn các cơ quan về khung báo cáo; định kỳ tổng hợp báo cáo Ủy ban nhân dân tỉnh và Bộ Thông tin và Truyền thông và các cơ quan có thẩm quyền về công tác ATTT số trên địa bàn tỉnh.
7. Tuyên truyền và định hướng tuyên truyền, phối hợp tuyên truyền đến các phương tiện truyền thông đại chúng trên địa bàn tỉnh về công tác bảo đảm ATTT.
8. Hàng năm, tổ chức đào tạo hoặc cử nhân sự tham gia các khoá đào tạo chuyên sâu về ATTT mạng cho cán bộ, công chức chuyên trách CNTT đảm bảo ATTT mạng của các cơ quan, đơn vị.
9. Tham mưu cung cấp, hỗ trợ các cơ quan đơn vị thiết bị CNTT soạn thảo và lưu trữ văn bản mật. Chủ trì phối hợp với Công an tỉnh thẩm định, bảo hành, bảo trì đảm bảo an toàn thông tin của thiết bị CNTT soạn thảo và lưu trữ văn bản mật của các cơ quan, đơn vị.
10. Khảo sát, triển khai, xây dựng mô hình kết nối mạng nội bộ (LAN) đảm bảo an toàn thông tin chung cho các cơ quan, đơn vị triển khai thực hiện.
11. Tham mưu xây dựng kế hoạch hàng năm, phối hợp với Công an tỉnh và các đơn vị có liên quan tổ chức kiểm tra định kỳ đảm bảo an toàn thông tin mạng, hệ thống thông tin theo cấp độ của các cơ quan, đơn vị.
12. Tổ chức đánh giá an toàn thông tin mạng cho các hệ thống thông tin dùng chung, hạ tầng Trung tâm tích hợp dữ liệu của tỉnh hàng năm theo quy định.
13. Chủ trì xây dựng dự toán kinh phí thực hiện kế hoạch hàng năm từ nguồn Trung ương và tham mưu UBND tỉnh báo cáo Bộ Thông tin và truyền thông để được bố trí vốn thực hiện hàng năm theo quy định.
14. Thông báo cho các đầu mối quản trị công nghệ thông tin tại các cơ quan, đơn vị thời gian cụ thể khi có cập nhật thay đổi hệ thống hoặc báo ngay cho các đầu mối khi có sự cố của các hệ thống dùng chung để các đơn vị chủ động thông báo cho đơn vị.
Điều 21. Trách nhiệm Đội ứng cứu
1. Tham mưu các văn bản hướng dẫn, cảnh báo nguy cơ mất an toàn thông tin cho các cơ quan, đơn vị.
2. Phối hợp với Trung tâm ứng cứu khẩn cấp không gian mạng Việt Nam (VNCERT/CC) và các đơn vị có liên quan trong thực hiện nhiệm vụ đảm bảo ATTT mạng.
3. Tổ chức thực hiện việc tiếp nhận và xử lý các sự cố về ATTT.
4. Tổ chức thực hiện các biện pháp bảo đảm ATTT trên mạng máy tính của các cơ quan nhà nước trên địa bàn tỉnh; hỗ trợ kỹ thuật cho các đơn vị trong việc ngăn chặn, phòng ngừa và khắc phục sự cố liên quan đến ATTT trên mạng máy tính.
Điều 22. Trách nhiệm Công an tỉnh
1. Chủ trì, phối hợp với Sở Thông tin và Truyền thông và các cơ quan, đơn vị có liên quan xây dựng kế hoạch và chịu trách nhiệm quản lý, kiểm soát, phòng ngừa, đấu tranh, ngăn chặn các loại tội phạm lợi dụng hệ thống thông tin gây phương hại đến ATTT mạng trong cơ quan nhà nước.
2. Chủ trì, phối hợp với Sở Thông tin và Truyền thông và các cơ quan, đơn vị có liên quan tổ chức Đoàn kiểm tra về ATTT mạng để kịp thời phát hiện, xử lý các hành vi vi phạm theo quy định của pháp luật.
3. Phối hợp Sở Thông tin và Truyền thông thẩm định, bảo hành, bảo trì đảm bảo an toàn thông tin của thiết bị CNTT soạn thảo và lưu trữ văn bản mật của các cơ quan, đơn vị.
4. Cử cán bộ phối hợp, tham gia đoàn kiểm tra, đánh giá công tác đảm bảo ATTT trong hoạt động ứng dụng CNTT của các cơ quan, đơn vị; Điều tra và xử lý các trường hợp vi phạm các quy định về ATTT mạng theo thẩm quyền.
5. Kiểm tra đột xuất các cơ quan, đơn vị khi phát hiện có dấu hiệu vi phạm pháp luật về ATTT trong hoạt động ứng dụng CNTT theo đúng quy định của pháp luật.
Điều 23. Trách nhiệm của các doanh nghiệp cung cấp dịch vụ viễn thông, CNTT và Internet
1. Đầu tư xây dựng, trang bị hạ tầng kỹ thuật đáp ứng đầy đủ các yêu cầu, tiêu chuẩn kỹ thuật theo quy định của Bộ Thông tin và Truyền thông về ATTT và các nội dung quy định tại Quy chế này.
2. Phối hợp với Sở Thông tin và Truyền thông để tham gia các hoạt động điều phối, ứng cứu, khắc phục sự cố thông tin đảm bảo ATTT mạng cho các cơ quan, đơn vị trong quá trình sử dụng, khai thác sử dụng dịch vụ.
3. Đảm bảo mạng truyền số liệu chuyên dùng cung cấp cho các cơ quan, đơn vị được thông suốt, ổn định.
4. Chịu hoàn toàn trách nhiệm nếu có sự cố xảy ra mà thời gian xử lý vượt quá 4 giờ kể từ thời điểm nhận được thông tin sự cố và chịu trách nhiệm trước Ủy ban nhân dân tỉnh về chất lượng dịch vụ nếu để số sự cố xảy ra quả 3 lần/tháng/01 đơn vị.
Điều 24. Trách nhiệm của Sở Tài chính
Phối hợp với Sở Thông tin và truyền thông đảm bảo kinh phí thực hiện kế hoạch từ nguồn chi thường xuyên hàng năm theo quy định.
Điều 25. Trách nhiệm của Sở Kế hoạch và Đầu tư
Hàng năm, căn cứ khả năng cân đối ngân sách và đề xuất của Sở Thông tin và Truyền thông và các cơ quan, đơn vị có liên quan, tham mưu Ủy ban nhân dân tỉnh bố trí kinh phí triển khai thực hiện các dự án, nhiệm vụ bảo đảm ATTT theo phân cấp hiện hành của Luật Ngân sách nhà nước. Phấn đấu phân bổ tối thiểu 10% tổng mức chi cho ứng dụng CNTT để thực hiện các nhiệm vụ về đảm bảo ATTT mạng.
Điều 26. Trách nhiệm thi hành
1. Sở Thông tin và Truyền thông chủ trì, phối hợp với các sở, ban ngành, UBND các huyện, thị xã thành phố và các đơn vị có liên quan triển khai thực hiện Quy chế này.
2. Các văn bản quy phạm pháp luật dẫn chiếu để áp dụng tại Quy chế này được sửa đổi, bổ sung hoặc thay thế bằng văn bản mới thì áp dụng theo các văn bản sửa đổi, bổ sung hoặc thay thế.
3. Trong quá trình thực hiện, nếu có phát sinh khó khăn, vướng mắc, các cơ quan, đơn vị kịp thời báo cáo về Sở Thông tin và Truyền thông tổng hợp để trình UBND tỉnh xem xét, quyết định./.