Hệ thống pháp luật

THÀNH PHỐ HỒ CHÍ MINH
UBND QUẬN PHÚ NHUẬN

-------

CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM
Độc lập - Tự do - Hạnh phúc
---------------

Số: 340/2008/QĐ-UBND

Phú Nhuận, ngày 25 tháng 4 năm 2008

 

QUYẾT ĐỊNH

BAN HÀNH QUY CHẾ VÀ CHÍNH SÁCH AN TOÀN, BẢO MẬT HỆ THỐNG CÔNG NGHỆ THÔNG TIN PHÚ NHUẬN

ỦY BAN NHÂN DÂN QUẬN PHÚ NHUẬN

Căn cứ Luật tổ chức Hội đồng nhân dân và Ủy ban nhân dân ngày 26/11/2003;

Căn cứ quyết định số 60/2006/QĐ-UBND ngày 14 tháng 4 năm 2006 của UBND Thành phố về giao chỉ tiêu kế hoạch kinh phí các dự án công nghệ thông tin sử dụng nguồn ngân sách tập trung năm 2006 cho Sở Bưu chính, Viễn thông;

Căn cứ Quyết định số 177/QĐ-SBCVT ngày 22/12/2006 và 135/QĐ-SBCVT ngày 26/10/2007 của Sở Bưu chính, Viễn thông Thành phố V/v phê duyệt dự án đầu tư “Hệ thống bảo vệ an toàn thông tin tại quận Phú Nhuận” của Văn phòng HĐND-UBND Q.Phú Nhuận;

Căn cứ nhu cầu thực tiễn tại quận Phú Nhuận,

QUYẾT ĐỊNH:

Điều 1. Ban hành kèm theo Quyết định này Quy chế và chính sách an toàn bảo mật hệ thống công nghệ thông tin tại quận Phú Nhuận.

Điều 2. Quyết định này có hiệu lực kể từ ngày ký.

Điều 3. Chánh Văn phòng HĐND và UBND quận, Thủ trưởng các phòng, ban chuyên môn trực thuộc và Chủ tịch Ủy ban nhân dân 15 phường chịu trách nhiệm thi hành Quyết định này./.

 


Nơi nhận:
- TT/UBND quận;
VP/HĐND-UBND quận (các PVP);
- Như điều 3;
- VT, TCNTT.

TM. ỦY BAN NHÂN DÂN QUẬN PHÚ NHUẬN
CHỦ TỊCH




Phạm Công Nghĩa

 

QUY CHẾ VÀ CHÍNH SÁCH AN TOÀN, BẢO MẬT

HỆ THỐNG CÔNG NGHỆ THÔNG TIN PHÚ NHUẬN
(Ban hành kèm theo Quyết định số 340/2008/QĐ-UBND ngày 25/4/2008 của Chủ Tịch UBND quận Phú Nhuận)

Chương I

QUY ĐỊNH CHUNG

Điều 1. Phạm vi điều chỉnh

Quy chế này quy định các yêu cầu đối với người sử dụng và các tiêu thức kỹ thuật an toàn cơ bản của hệ thống công nghệ thông tin tại Quận Phú Nhuận, nhằm thống nhất quản lý hệ thống công nghệ thông tin và các ứng dụng công nghệ thông tin vào các hoạt động của Quận một cách an toàn và hiệu quả.

Điều 2. Giải thích từ ngữ

2.1. Hệ thống công nghệ thông tin (CNTT): là một tập hợp có cấu trúc các trang thiết bị phần cứng, phần mềm, cơ sở dữ liệu và hệ thống mạng phục vụ cho một hoặc nhiều hoạt động kỹ thuật, nghiệp vụ.

2.2. Bức tường lửa (Firewall): là tập hợp các thành phần hoặc một hệ thống các trang thiết bị, phần mềm được đặt giữa hai mạng, nhằm kiểm soát tất cả các kết nối từ bên trong ra bên ngoài mạng hoặc ngược lại.

2.3. Tính toàn vẹn dữ liệu: là trạng thái tồn lại của dữ liệu giống như khi ở trong các tài liệu ban đầu và không bị thay đổi về dữ liệu, cấu trúc hay mất mát dữ liệu.

2.4. Quản lý cấu hình: là quản lý các thay đổi về phần cứng, phần mềm, tài liệu kỹ thuật, phương tiện kiểm tra, giao diện kết nối, quy trình kỹ thuật hoạt động, cấu hình cài đặt và tất cả các thay đổi khác của hệ thống CNTT xuyên suốt quá trình từ khi cài đặt đến vận hành.

2.5. Lưu trữ: là tạo bản sao của một phần mềm hoặc dữ liệu nhằm mục đích bảo vệ và phục hồi phần mềm, dữ liệu nguyên bản thành công khi có sự cố xảy ra.

2.6. Virus: là chương trình máy tính có thể tự nhân bản, lan truyền trên mạng máy tính hoặc qua các thiết bị lưu trữ dữ liệu, có khả năng phá hủy dữ liệu hoặc thực hiện các chức năng không mong muốn đối với hệ thống CNTT.

2.7. Cấp quyền: là sự cấp phép được gắn cho một cá nhân hoặc nhóm người sử dụng tuân theo quy cách tổ chức đã được hình thành trước để truy nhập, sử dụng một chương trình, dữ liệu hoặc một tiến trình của hệ thống CNTT.

2.8. Mật khẩu (Password): Là một chuỗi ký tự hoặc một cách thức xác nhận định danh bảo mật được sử dụng để chứng thực quyền của người sử dụng.

2.9. Hệ thống an ninh mạng: là tập hợp các thiết bị lường lửa; thiết bị kiểm soát, phát hiện truy cập bất hợp pháp; phần mềm quản trị theo dõi, ghi nhật ký trạng thái an ninh mạng và các trang thiết bị khác có chức năng đảm bảo an toàn hoạt động của mạng, tất cả cùng hoạt động đồng bộ theo một chính sách an ninh mạng nhất quán nhằm kiểm soát chặt chẽ tất cả các hoạt động trên mạng.

2.10. Kịch bản: là một tập hợp những yêu cầu, thủ tục, tình huống, dữ liệu và kết quả thực hiện được xác định trước, sử dụng cho quá trình kiểm tra, cài đặt, bảo hành, bảo trì các trang thiết bị, phần mềm, cơ sở dữ liệu CNTT.

2.11. Mạng máy tính: bao gồm mạng máy tính cục bộ và mạng máy tính diện rộng.

2.11.1. Mạng máy tính cục bộ: là mạng máy tính sử dụng công nghệ kết nối mạng cục bộ để kết nối các máy tính trong phạm vi cho phép của công nghệ mạng cục bộ

2.11.2. Mạng máy tính diện rộng: là mạng máy tính sử dụng công nghệ kết nối mạng diện rộng để kết nối các máy tính, hệ thống máy tính trong phạm vi cho phép của công nghệ mạng diện rộng

2.12. Mạng cục bộ riêng ảo: là mạng máy tính cục bộ được thiết kế riêng biệt ca về mặt vật lý và logic.

2.13. Vùng phi quân sự (DMZ): là vùng mạng máy tính được thiết kế riêng cả về mặt vật lý và logic. Vùng này dùng để đặt các máy chủ, tài nguyên dùng chung của toàn đơn vị. Tất cả các luồng thông tin truy cập vào hoặc ra vùng phi quân sự đều phải được kiểm soát bởi hệ thống lường lửa.

2.14. Vùng an toàn: là vùng mạng máy tính được thiết kế riêng biệt cả về mặt vật lý và logic. Vùng này dùng để đặt các máy chủ, tài nguyên mạng dùng riêng lại Văn phòng HĐND và UBND Quận.

Điều 3. Trách nhiệm của Văn phòng HĐND và UBND Quận

3.1. Triển khai chính sách, quy trình về an toàn, bảo mật hệ thống CNTT (gọi chung là chính sách an ninh CNTT), tổ chức thực hiện và kiểm tra việc thực hiện những chính sách đó. Thường xuyên cập nhật chính sách an ninh CNTT phù hợp với những thay đổi hệ thống CNTT của đơn vị, môi trường vận hành và những tiến bộ khoa học kỹ thuật về lĩnh vực an ninh CNTT.

3.2. Bố trí các nguồn lực cần thiết để thực hiện việc trang bị, triển khai, vận hành, quản lý, giám sát và xử lý các sự cố trong hoạt động ứng dụng CNTT, đảm bảo các hệ thống CNTT hoạt động an toàn, bảo mật phù hợp với yêu cầu hoạt động nghiệp vụ và chiến lược an ninh CNTT của đơn vị. Tiến hành các biện pháp phòng ngừa, phát hiện và xử lý kịp thời các gian lận, lỗi, mất ổn định và những yếu tố bất thường, mất an toàn khác.

3.3. Tổ chức bộ phận quản lý an ninh CNTT thích hợp nhằm thống nhất quản lý, triển khai các hoạt động về an ninh CNTT từ khâu lập kế hoạch, thiết kế, triển khai cài đặt đến vận hành hệ thống CNTT, phù hợp với các quy định tại văn bản này. Tuyển chọn, đào tạo người quản trị hệ thống CNTT đảm bảo các tiêu chuẩn: có đạo đức nghề nghiệp, có kiến thức về an ninh CNTT, và được trang bị các kiến thức liên quan tới hoạt động nghiệp vụ và hệ thống CNTT của đơn vị. Quyết định phân công nhiệm vụ quản trị hệ thống CNTT phải được thể hiện bằng văn bản.

3.4. Đảm bảo hệ thống CNTT sẵn sàng ở mức độ cao; xây dựng, thử nghiệm các kế hoạch dự phòng và khôi phục hệ thống khi có sự cố hoặc thảm họa.

3.5. Đánh giá về năng lực, tính khả thi, rủi ro liên quan đến các hoạt động CNTT do các đối tác bên ngoài cung cấp; xây dựng các thoả thuận để xác định rõ mối quan hệ, nghĩa vụ và trách nhiệm của các bên tham gia cung cấp dịch vụ CNTT như: mức độ cung cấp dịch vụ, dự kiến kết quả vận hành, khả năng thực thi, khả năng mở rộng, mức độ tuân thủ, kế hoạch dự phòng, mức độ dự phòng, an toàn bảo mật, đình chỉ dịch vụ, kiểm soát các nghĩa vụ thực hiện hợp đồng và mối quan hệ với các hệ thống CNTT liên quan.

3.6. Thường xuyên phối hợp với các đơn vị chuyên môn về an ninh CNTT tổ chức các khoá đào tạo cập nhật kiến thức về an ninh CNTT cho người sử dụng phù hợp với nhiệm vụ mà người đó đảm nhiệm.

3.7. Các trang thiết bị, phần mềm, cơ sở dữ liệu sử dụng trong hoạt động nghiệp vụ nên có bản quyền sử dụng theo quy định của pháp luật.

Điều 4. Các yêu cầu an ninh thông tin

4.1. Tính bí mật: người sử dụng chỉ có quyền truy cập, và thao tác với những thông tin, dữ liệu tương ứng mà mình được phép truy cập.

4.2. Tính nguyên vẹn: người sử dụng không thể truy cập, sửa đổi và xoá những thông tin, dữ liệu mà minh không có quyền trên đó.

4.3. Tính sẵn sàng: thông tin luôn sẵn sàng đáp ứng nhu cầu sử dụng của người có thẩm quyền.

4.4. Tính không thể phủ nhận: người khởi tạo thông tin không thể phủ nhận trách nhiệm đối với thông tin do mình tạo ra.

4.5. Tính xác thực: xác định được nguồn gốc của thông tin.

Điều 5. Xác định yêu cầu an ninh của hệ thống CNTT

Việc xếp loại yêu cầu, mức độ đầu tư cho an ninh hệ thống CNTT của Quận phải được xác định rõ dựa trên các yếu tố sau:

5.1. Vai trò của hệ thống CNTT trong việc thực hiện các mục tiêu của đơn vị.

5.2. Nguồn gốc, nguy cơ xảy ra các rủi ro đối với hệ thống CNTT.

5.3. Khả năng khắc phục khi có rủi ro.

5.4. Mức độ rủi ro có thể chấp nhận được.

5.5. Ảnh hưởng của rủi ro nếu xảy ra đối với hoạt động của đơn vị

Điều 6. Các hành vi bị nghiêm cấm

6.1. Không tuân thủ các quy định về an ninh hệ thống CNTT của Nhà nước và của đơn vị.

6.2. Truy cập, cung cấp, phát tán thông tin bất hợp pháp.

6.3. Tiết lộ kiến trúc hệ thống, thuật toán của hệ thống an ninh CNTT.

6.4. Sửa đổi trái phép kiến trúc, cơ chế hoạt động của hệ thống CNTT.

6.5. Sử dụng các trang thiết bị CNTT của đơn vị phục vụ cho mục đích cá nhân

6.6. Các hành vi khác làm cản trở, phá hoại hoạt động của hệ thống CNTT.

Chương II

CHÍNH SÁCH, THỦ TỤC, QUY ĐỊNH CỤ THỂ

Điều 7. Quản lý, xác thực người sử dụng trên hệ thống CNTT

7.1. Mọi hệ thống, ứng dụng CNTT trong quận phải quản lý, xác thực được người sử dụng truy nhập trên hệ thống đó.

7.2. Các ứng dụng CNTT đang vận hành trên hệ thống mạng máy tính nên tổ chức dựa trên hệ thống quản lý, xác thực người sử dụng tập trung I.DAP nhằm làm tăng mức độ quản lý tập trung và dễ vận hành cho người sử dụng.

7.3. Các quy trình, chương trình, công cụ, thuật toán dùng cho thiết lập mật khẩu, thiết bị định danh và cơ sở dữ liệu khóa dùng để kiểm tra truy nhập phải được quản lý, sử dụng theo chế độ “Mật”.

7.4. Yêu cầu tổ chức hệ thống xác thực:

7.4.1. Có quy trình quản lý và xác thực người sử dụng cho từng hệ thống CNTT, ứng dụng CNTT phù hợp với yêu cầu an toàn, bảo mật của nghiệp vụ xử lý trên đó;

7.4.2. Xác thực quyền truy nhập của người sử dụng bằng tài khoản, bằng phương tiện định danh hoặc kết hợp của cả hai và chỉ cấp cho người sử dụng đủ quyền hạn để thực thi nhiệm vụ mà người đó được phân công;

7.4.3. Mật khẩu, dữ liệu định danh dùng cho việc xác thực truy nhập phải được bảo mật trong quá trình lưu trữ, truyền qua mạng và hiển thị trên màn hình của người sử dụng;

7.4.4. Môi trường nơi đặt trang thiết bị xác thực phải đảm bảo bí mật, an toàn cho sử dụng mật khẩu, phương tiện định danh;

7.4.5. Kiểm tra, vô hiệu hoá và loại bỏ kịp thời những tài khoản người sử dụng không còn thẩm quyền làm việc trên hệ thống CNTT;

7.4.6. Đình chỉ tạm thời quyền làm việc của tài khoản người sử dụng đã được đăng ký trên hệ thống CNTT, nhưng tạm thời không làm việc trên hệ thống đó trong thời gian từ 5 ngày làm việc trở lên;

7.4.7. Định kỳ hàng tuần, xem xét nhật ký truy nhập hệ thống, phát hiện và xử lý kịp thời những trường hợp truy nhập bất hợp pháp hoặc thao tác vượt quá giới hạn thẩm quyền được giao của người sử dụng.

Điều 8. Các phương pháp xác thực

8.1. Xác thực dùng định danh (ID) và mật khẩu (password) phải đáp ứng các yêu cầu sau:

8.1.1. Mật khẩu phải có độ dài từ 06 ký tự trở lên, cấu tạo gồm các kí tự số, chữ hoa, chữ thường và các ký tự đặc biệt khác nêu hệ thống cho phép. Các yêu cầu mật khẩu hợp lệ phải được kiểm tra tự động khi thiết lập mật khẩu;

8.1.2. Các mật khẩu mặc định của nhà sản xuất cài đặt sẵn trên các trang thiết bị, phần mềm, cơ sở dữ liệu phải được thay đổi ngay khi đưa vào sử dụng;

8.1.3. Các mật khẩu sử dụng khi có đơn vị bảo trì, khắc phục sự cố tại thiết bị phần cứng, phần mềm...phải được thay đổi ngay sau khi hoàn tất công việc.

8.1.4. Phần mềm quản lý mật khẩu phải có các chức năng:

8.1.4.1. Thông báo người sử dụng thay đổi mật khẩu sắp hết hạn sử dụng:

8.1.4.2. Huy hiệu lực của mật khẩu đã hết hạn sử dụng nhưng không thực hiện việc thay đổi mật khẩu:

8.1.4.3. Cho phép áp dụng các tiêu chuẩn về chiều dài và độ khó của mật khẩu.

8.1.4.4. Cho phép thay đổi ngay mật khẩu bị lộ, có nguy cơ bị lộ hoặc theo yêu cầu của người sử dụng;

8.1.4.5. Ngăn chặn việc sử dụng lại mật khẩu cũ trong một khoảng thời gian nhất định.

8.1.4.6. Vô hiệu hoá tài khoản người sử dụng trong một khoảng thời gian nhất định khi số lần nhập sai mật khẩu của tài khoản đó quá 3 lần.

8.1.4.7. Ghi nhật ký lại toàn bộ các tài khoản đăng nhập thành công và không thành công vào hệ thống CNTT

Điều 9. Kiểm soát truy nhập hệ thống CNTT

9.1. Mọi hệ thống, ứng dụng CNTT đều phải được thiết lập chức năng kiểm soát truy nhập, cảnh báo, ngăn chặn người sử dụng truy nhập bất hợp pháp hoặc sử dụng sai chức năng, quyền hạn trên hệ thống.

9.2. Các hệ thống, ứng dụng CNTT dùng chung của nội bộ Văn Phòng HĐND và UBND Quận và các đơn vị phòng ban chuyên môn, UBND phường bên ngoài phải được lưu trữ trong vùng Phi quân sự (DMZ). Đồng thời mọi luồng thông tin truy nhập vào hệ thống CNTT, ứng dụng CNTT dùng chung đều phải được khai báo rõ ràng và phải được thông qua sự kiểm soát của hệ thống tường lửa.

9.3. Các hệ thống, ứng dụng CNTT dùng riêng của nội bộ các phòng ban chuyên môn nằm trong khuôn viên Văn Phòng HĐND và UBND Quận phải được lưu trữ riêng trong vùng An toàn. Đồng thời mọi luồng thông tin truy nhập vào hệ thống CNTT, ứng dụng CNTT riêng đều phải được khai báo rõ ràng và đều phải thông qua sự kiểm soát của hệ thống tường lửa.

9.4. Hệ thống Cơ sở dữ liệu của các hệ thống, ứng dụng CNTT đều phải được lưu trữ riêng trong vùng An toàn. Đồng thời mọi luồng thông tin truy cập vào hệ thống cơ sở dữ liệu đều phải được khai báo rõ ràng và đều phải thông qua sự kiểm soát của hệ thống tường lửa.

9.5. Mọi luồng dữ liệu qua lại giữa các phòng ban chuyên môn trong khuôn viên Văn phòng HĐND và UBND Quận và giữa các phòng ban chuyên môn, UBND phường bên ngoài đều phải được khai báo rõ ràng và đều phải thông qua sự kiểm soát của hệ thống tường lửa.

9.6. Hệ thống kiểm soát truy nhập phải có các chức năng sau:

9.6.1. Tự động đình chỉ việc truy nhập hệ thống của người sử dụng nếu trong một khoảng thời gian định sẵn đã thực hiện 03 lần truy nhập liên tiếp không hợp lệ vào hệ thống. Tất cả các truy cập không thành công phải được hệ thống ghi nhật ký tự động:

9.6.2. Quản lý, xác nhận việc kết nối của các thiết bị đầu cuối cùng như chấp thuận cho các thiết bị đầu cuối được thực hiện kết nối;

9.6.3. Không cho phép người sử dụng trừ người quản trị hệ thống truy nhập đồng thời vào nhiều thiết bị đầu cuối tại một thời điểm;

9.6.4. Thiết bị đầu cuối cài đặt tự động chuyển sang chế độ không hoạt động, chế độ khoá màn hình có mật khẩu hoặc tự động thoát khỏi hệ thống sau một khoảng thời gian không sử dụng.

Điều 10. Ghi nhật ký giám sát hoạt động

10.1. Các hệ thống CNTT phải có chức năng ghi nhật ký giám sát các hoạt động trên hệ thống đó. Đồng hồ của các trang thiết bị trên cùng một hệ thống CNTT phải được đồng bộ từ cùng một nguồn nhằm đảm bảo tính chính xác của nhật ký giám sát.

10.2. Các truy nhập và các thao tác của người sử dụng làm ảnh hưởng đến hoạt động của hệ thống phải được ghi nhật ký. File nhật ký phải được bảo vệ chống lại mọi sự thay đổi.

10.3. Thời gian lưu trữ file nhật ký cho từng hệ thống CNTT lối thiểu là 60 ngày, nhằm đảm bảo giám sát được các hoạt động trên hệ thống.

10.4. Người quản trị hệ thống có trách nhiệm thường xuyên xem xét các file nhật ký của hệ thống nhằm phát hiện, xử lý và ngăn chặn kịp thời các sự cố gây mất an toàn, ổn định của hệ thống CNTT.

Điều 11. An toàn vật lý

11.1. Phòng máy chủ và các khu vực đặt, sử dụng các trang thiết bị CNTT phải có nội quy và áp dụng các biện pháp bảo vệ, kiểm soát ra vào, nên có camera giám sát nhằm đảm bảo chỉ những người có nhiệm vụ mới được vào những khu vực đó.

11.2. Những công việc tiến hành trong phòng máy chủ phải được ghi sổ nhật ký làm việc hàng ngày.

11.3. Phòng máy tính phải đảm bảo vệ sinh công nghiệp: không đột, không thấm nước; các trang thiết bị lắp đặt trên sàn kỹ thuật, không bị ánh nắng chiếu rọi trực tiếp; độ ẩm, nhiệt độ đạt tiêu chuẩn quy định cho các thiết bị và máy chủ: trang bị đầy đủ thiết bị phòng chống cháy, nổ, lũ lụt, hệ thống chống sét và hệ thống an ninh chống, truy nhập bất hợp pháp.

11.4. Các trang thiết bị dùng cho hoạt động nghiệp vụ lắp đặt bên ngoài trụ sở của đơn vị phải có biện pháp giám sát, bảo vệ an toàn phòng chống truy nhập bất hợp pháp và quản lý việc sử dụng các trang thiết bị đó.

11.5. Người sử dụng máy tính phải thoát ra khỏi hệ thống, hoặc sử dụng chức năng khoá máy tính (lock computer hoặc log off) ngay khi rời khỏi vị trí làm việc.

11.5.1. Các bước thực hiện việc khoá máy tính (Lock computer):

o Nhấn tổ hợp phím <Alt>, <Ctrl>, <Delete>

o Chọn nút: Lock Computer

o Chú ý: Khi khoá máy tính, các chương trình mà người sử dụng đang “mở và vận hành trên máy tính vẫn hoạt động bình thường

11.5.2. Các bước thực hiện việc thoát khỏi hệ thống máy tính (Log out):

o Nhấn tổ hợp phím <Alt>, <Ctrl>. <Delete>

o Chọn nút: Log Off

o Chú ý: Khi chọn chức năng thoát ra khỏi hệ thống máy tính, các chương trình mà người sử dụng đang mở và vận hành trên máy tính sẽ bị tắt.

11.6. Người sử dụng phải thực hiện việc tắt máy tính (Shutdown) khi hết giờ làm việc và ra về

11.7. Chương trình, số liệu của đơn vị có khả năng bị lợi dụng phải được loại bỏ khi giao các trang thiết bị có chứa các chương trình, dữ liệu đó cho đơn vị bên ngoài hoặc khi thanh lý tài sản.

11.8. Nguồn điện cho hệ thống CNTT:

11.8.1. Phòng máy chủ phải được trang bị nguồn điện riêng với các tiêu chuẩn kỹ thuật công nghiệp phù hợp với các trang thiết bị lắp đặt trong phòng máy;

11.8.2. Nguồn điện dự phòng phải đủ tiêu chuẩn, công suất cho hoạt động bình thường của hệ thống CNTT trong thời gian nguồn điện chính bị gián đoạn vì sự cố.

Điều 12. An toàn mạng máy tính

12.1. Tài liệu kỹ thuật và vận hành hệ thống mạng máy tính phải gồm các loại như sau:

12.1.1. Hồ sơ khảo sát, thiết kế và thuyết minh kỹ thuật của mạng;

12.1.2. Tài liệu kiểm tra, đánh giá của đơn vị (test plan) xác định thiết kế của mạng đủ tiêu chuẩn an toàn cho vận hành;

12.1.3 Quy trình quản lý và vận hành mạng.

12.2. Yêu cầu an ninh mạng máy tính:

12.2.1 Kiểm soát, giám sát được các luồng dữ liệu truy nhập mạng;

12.2.2 Ngăn chặn được các truy cập trái phép;

12.2.3 Ghi nhật ký truy nhập mạng;

12.2.4 Có quy trình xử lý sự cố và phòng ngừa thảm hoạ;

12.2.5 Có các biện pháp kỹ thuật, hành chính ngăn chặn, việc tiếp cận trái phép các trang thiết bị, đường truyền mạng.

12.3. Trách nhiệm người sử dụng mạng:

12.3.1 Phải đăng ký và được chấp thuận sử dụng trước khi truy nhập vào mạng:

12.3.2 Khi phát hiện thấy dấu hiệu mất an toàn, phải thông báo ngay cho người quản trị mạng xử lý;

12.3.3 Cập nhật phiên bản phần mềm chống virus mới và thường xuyên quét virus trên máy tính kết nối vào hệ thống mạng. Không tự ý thay đổi, gỡ bỏ các chương trình, thông số kỹ thuật mà người quản trị mạng đã cài đặt;

12.3.4 Không sử dụng máy tính xử lý nghiệp vụ để kết nối Internet nếu chưa được bộ phận quản lý CNTT của đơn vị xác định đã đủ các điều kiện bảo vệ an toàn;

12.3.5 Chấp hành các quy định khác của đơn vị phù hợp với các quy định tại Quy chế này.

12.4. Trách nhiệm người qun trị mạng:

12.4.1 Kiểm tra, đảm bảo mạng máy tính hoạt động liên lục, ổn định và an toàn;

12.4.2 Quản lý cấu hình mạng, tài nguyên và người sử dụng trên mạng;

12.4.3 Thiết lập đầy đủ các chế độ bảo mật và kiểm soát an ninh mạng;

12.4.3.1. Ngăn chặn người sử dụng tự ý thay đổi các thông số mạng và cấu hình của máy tính trạm.

12.4.3.2. Ngăn chặn người sử dụng tự ý cài đặt thêm phần mềm mới hoặc gỡ bỏ các phần mềm đã được cài đặt

12.4.3.3. Ngăn chặn người sử dụng thiết bị lưu trữ trong hoặc ngoài (Đĩa cứng, đĩa mềm, USB..) khi không được phép của các cấp có thẩm quyền

12.4.3.4. Ngăn chặn người sử dụng truy cập đến những dữ liệu, ứng dụng CNTT và các tài nguyên mạng mà họ chưa có đủ quyền truy cập hoặc chưa cho phép bởi các cấp có thẩm quyền.

12.4.3.5. Ngăn chặn người sử dụng truy cập đến những website có nội dung không được cho phép.

12.4.3.6. Ngăn chặn người sử dụng thay đổi giờ trên máy tính đang làm việc.

12.4.3.7. Ngăn chặn người sử dụng đăng nhập vào máy tính trạm bằng tài khoản cục bộ.

12.4.3.8. Ngăn chặn người sử dụng có thể tạo hoặc sửa chữa hệ thống lài khoản cục bộ tại máy trạm.

12.4.3.9. Ngăn chặn người sử dụng thay đổi tên máy tính trạm đang làm việc

12.4.3.10. Ngăn chặn người sử dụng tự ý chia sẻ tài nguyên trên máy trạm đang làm việc

12.4.3.11. Ngăn chặn người sử dụng truy cập tới các máy tính trạm trong mạng khi chưa được phép.

12.4.3.12. Ngăn chặn người sử dụng kích hoại các chương trình cài đặt từ các thiết bị lưu trữ dữ liệu ngoài (USB, CD ROM, DVD ROM,...)

12.4.3.13. Ngăn chặn người sử dụng truy cập đến bảng điều khiển máy tính trạm (Computer management Congole) khi chưa được phép.

12.4.3.14. Thiết lập chế độ tự động ánh xạ các ổ đĩa từ máy chủ lưu tập tin xuống máy trạm tương ứng với tài khoản đăng nhập.

12.4.3.15. Cho phép người sử dụng có thể shutdown máy tính trạm mà không cần đăng nhập.

12.4.4. Sử dụng các công cụ được trang bị, dò tìm và phát hiện kịp thời các điểm yếu, dễ bị tổn thương và các truy nhập bất hợp pháp vào hệ thống mạng. Thường xuyên xem xét, phát hiện những kết nối, trang thiết bị, phần mềm cài đặt bất hợp pháp vào mạng.

12.4.5. Phát hiện và xử lý kịp thời những lỗ hổng về an ninh của hệ thống mạng;

12.4.6. Hướng dẫn, hỗ trợ người sử dụng bảo vệ tài khoản, tài nguyên trên mạng, cài đặt phần mềm chống virus và giải quyết kịp thời những sự cố truy nhập mạng;

12.4.7. Kiểm tra và ngắt kết nối ra khỏi hệ thống mạng những máy tính của người sử dụng không tuân thủ các quy định của đơn vị về phòng, chống virus và các quy định khác về an ninh hệ thống mạng.

Điều 13. An toàn cơ sở dữ liệu (CSDL)

13.1. Hệ quản trị CSDL sử dụng cho các hoạt động nghiệp vụ phi đáp ứng được yêu cầu sau:

13.1.1. Vận hành trên mạng và độc lập với máy chủ, hệ điều hành, ứng dụng;

13.1.2. Hoạt động ổn định; xử lý, lưu trữ được khối lượng dữ liệu lớn theo yêu cầu nghiệp vụ;

13.1.3. Bảo vệ và phân quyền truy nhập đối với các tài nguyên CSDL;

13.1.4. Quản lý, đảm bảo tính nhất quán của các bảng dữ liệu quan hệ và của từng tác vụ xử lý trên CSDL;

13.1.5. Có tích hợp công cụ ngôn ngữ truy vấn có cấu trúc (SQL);

13.1.6. Hỗ trợ lưu trữ CSDL trực tuyến và khôi phục CSDL từ phiên bản lưu;

13.1.7. Có khả năng nâng cấp phiên bản mới.

13.2. Chỉ sử dụng các CSDL đã được kiểm nghiệm qua thực tế hoạt động nghiệp vụ của các tổ chức tương tự trong hoặc ngoài nước.

13.3. Trách nhiệm của người quản trị CSDL:

13.3.1. Duy trì hệ thống CSDL hoạt động liên lục, ổn định và an toàn;

13.3.2. Thay đổi các mật khẩu mặc định ngay khi đưa CSDL vào sử dụng;

13.3.3. Phân quyền sử dụng tài nguyên cho người sử dụng CSDL;

13.3.4. Lập kế hoạch, thực hiện lưu trữ dữ liệu và kiểm tra kết quả lưu trữ;

13.3.5. Kiểm tra, đảm bảo khôi phục được hoàn toàn CSDL từ bản lưu trữ khi cần thiết;

13.3.6. Quản lý chặt chẽ các bản lưu trữ, tránh nguy cơ mất mát, bị thay đổi và khai thác bất hợp pháp;

13.3.7. Thường xuyên kiểm tra tình trạng của CSDL cả về mặt vật lý và logic. Cập nhật kịp thời các bản vá lỗi từ nhà cung cấp.

Điều 14. An toàn phần mềm ứng dụng

14.1. Yêu cầu chung:

14.1.1. Tài liệu kỹ thuật:

- Tài liệu đối với phần mềm do đơn vị tự xây dựng gồm:

■ Yêu cầu người sử dụng;

■ Phân tích thiết kế hệ thống;

■ Quá trình phát triển

■ Thử nghiệm

■ Triển khai

■ Quản lý phiên bản và hướng dẫn vận hành;

- Tài liệu kèm theo phần mềm đóng gói do bên ngoài cung cấp gồm:

■ Tài liệu kỹ thuật

■ Tài liệu hướng dẫn sử dụng phần mềm.

14.1.2. Phần mềm phải tích hợp các giải pháp xác thực, kiểm soát truy nhập và mã hoá dữ liệu theo các quy định tại các Điều 8, Điều 9 và Điều 10 của Quy chế này;

14.1.3. Phần mềm phải vận hành ổn định, xử lý chính xác và đảm bảo tính nhất quán của dữ liệu;

14.1.4. Các phần mềm nghiệp vụ và tài liệu kỹ thuật phải được nhân bản và lưu giữ an toàn tối thiểu tại hai địa điểm tách biệt.

14.2. Phân tích, thiết kế và viết phần mềm:

14.2.1. Các yêu cầu an toàn, bảo mật của nghiệp vụ phải được xác định trước và tổ chức, triển khai vào toàn bộ quy trình phát triển phần mềm từ khâu phân tích thiết kế đến triển khai vận hành, sao lưu dự phòng và bảo trì khắc phục sự cố;

14.2.1. Các tài liệu về an toàn, bảo mật của phần mềm phải được hệ thống hoá và lưu trữ, sử dụng theo chế độ “Mật”.

14.3. Kim tra, thử nghiệm phần mềm:

Mọi phần mềm triển khai vào thực tế phải qua các bước kiểm tra, thử nghiệm sau:

14.3.1. Lập và phê duyệt kế hoạch, kịch bản thử nghiệm. Việc thử nghiệm phải đảm bảo không ảnh hưởng đến hoạt động bình thường của nghiệp vụ và các hệ thống CNTT khác;

14.3.2. Tiến hành thử nghiệm trên môi trường riêng biệt. Lập báo cáo kết quả thử nghiệm trình cấp lãnh đạo phê duyệt đưa vào sử dụng;

14.3.3. Việc sử dụng dữ liệu thật trong quá trình thử nghiệm phải có biện pháp phòng ngừa tránh bị lợi dụng hoặc gây nhầm lẫn.

14.4. Triển khai, vận hành phần mềm:

14.4.1. Việc triển khai phần mềm không được ảnh hưởng đến an toàn, bảo mật của các hệ thống CNTT đã có;

14.4.2. Trước khi triển khai phần mềm, phải đánh giá những rủi ro của quá trình triển khai đối với hoạt động nghiệp vụ, các hệ thống CNTT liên quan và lập, triển khai các phương án hạn chế, khắc phục rủi ro.

14.5. Qun lý phiên bản phần mềm:

14.5.1. Đối với mỗi yêu cầu thay đổi phần mềm, phải phân tích đánh giá ảnh hưởng của việc thay đổi đối với nghiệp vụ và các hệ thống CNTT có liên quan khác của đơn vị;

14.5.2. Các phiên bản phần mềm sau khi thử nghiệm thành công phải được quản lý chặt chẽ, tránh bị sửa đổi bất hợp pháp và sẵn sàng cho việc triển khai;

14.5.3. Đi kèm với phiên bản phần mềm mới phải có các chỉ dẫn rõ ràng về nội dung thay đổi, hướng dẫn cập nhật phần mềm và các thông tin liên quan khác:

14.5.4. Chỉ được triển khai vào hoạt động nghiệp vụ phiên bản phần mềm đã được lãnh đạo đơn vị phê duyệt cho triển khai.

14.6. Quản lý mã nguồn phần mềm:

14.6.1. Mã nguồn phần mềm phải được quản lý chặt chẽ để tránh bị sử dụng hoặc sửa đổi trái phép;

14.6.2. Phải có các thoả thuận, ràng buộc pháp lý về việc quản lý, chỉnh sửa mã nguồn dùng cho bảo trì, sửa chữa, cập nhật lỗ hổng bảo mật, cập nhật tính năng trong trường hợp những phần mềm đó do đối tác bên ngoài phát triển và không bàn giao mã nguồn.

14.7. Cơ sở dữ liệu của phần mềm ứng dụng không nên được nằm cùng máy chủ vận hành ứng, dụng, mà phải nằm riêng tại máy chủ cơ sở dữ liệu trong vùng An toàn và được kiểm soát bởi hệ thống bức tường lửa.

Điều 15. An toàn hệ điều hành của máy chủ

15.1. Hệ điều hành được lựa chọn phải đáp ứng các yêu cầu sau:

15.1.1. Vận hành an toàn, ổn định;

15.1.2. Có tính sẵn sàng cao;

15.1.3. Quản lý người sử dụng, bảo vệ và phân quyền truy nhập tài nguyên;

15.1.4. Ghi nhật ký hoạt động của hệ thống;

15.1.5. Cập nhập phiên bản mới;

15.1.6. Kiểm tra, khôi phục hệ thống khi sự cố.

15.2. Chỉ sử dụng hệ điều hành đã được kim nghiệm qua thực tế hoạt động nghiệp vụ của các cơ quan tổ chức tương tự trong hoặc ngoài nước.

15.3. Trách nhiệm của người quản trị hệ điều hành:

15.3.1. Đảm bảo cho hệ điều hành cài đặt trên máy chủ hoạt động liên tục, ổn định và an toàn;

15.3.2. Thường xuyên kiểm tra cấu hình, các file nhật ký hoạt động của hệ điều hành, kịp thời phát hiện và xử lý những sự cố nếu có;

15.3.3. Cấp quyền và quản lý truy nhập của người sử dụng trên máy chủ cài đặt hệ điều hành;

15.3.4. Quản lý các thay đổi cấu hình kỹ thuật của hệ điều hành;

15.3.5. Thiết lập hệ thống tự động cập nhật các bản vá lỗi hệ điều hành từ nhà cung cấp.

15.3.6. Thường xuyên cập nhật các bản sửa lỗi hệ điều hành từ nhà cung cấp;

15.3.7. Loại bỏ các dịch vụ của hệ điều hành không cần thiết hoặc không còn nhu cầu sử dụng.

Điều 16. Lưu trữ dữ liệu

16.1. Yêu cầu của hệ thống lưu trữ:

16.1.1. Đảm bảo tính toàn vẹn và đầy đủ của dữ liệu lưu trữ trong suốt thời gian lưu trữ theo quy định;

16.1.2. Lưu trữ đúng và đủ thời hạn của từng loại dữ liệu theo các quy định của Nhà nước;

16.1.3. Các loại dữ liệu cần thiết để duy trì hoặc khôi phục lại hoạt động của đơn vị khi có sự cố phải được lưu trữ tối thiểu tại hai địa điểm cách biệt nhau;

16.1.4. Khi cần thiết, dữ liệu lưu trữ phải chuyển đổi được thành dạng dữ liệu ban đầu như trước khi lưu.

16.2. Trách nhiệm của Tổ CNTT:

16.2.1. Có phương án trang bị, quy trình kỹ thuật lưu trữ, kiểm tra, bảo quản và khai thác dữ liệu lưu trữ được cấp có thẩm quyền phê duyệt:

16.2.2. Đảm bảo các điều kiện về địa điểm, môi trường lưu trữ, bảo quản thiết bị lưu trữ dữ liệu an toàn và khoa học;

16.2.3. Duy trì các trang thiết bị, phần mềm dùng cho lưu trữ, khai thác đồng thời với dữ liệu lưu trữ hoặc chuyển đổi dữ liệu lưu trữ phù hợp với những thay đổi của giải pháp lưu trữ để đảm bảo khai thác được dữ liệu đã lưu trữ tại mọi thời điểm;

16.2.4. Quy định phạm vi, tần xuất lưu trữ phù hợp đối với từng loại dữ liệu nghiệp vụ để đảm bảo khôi phục, duy trì được hoạt động liên lục của nghiệp vụ trong trường hợp xảy ra sự cố đối với dữ liệu hoạt động chính;

16.2.5. Kiểm soát và đối chiếu dữ liệu với các khâu xử lý nghiệp vụ liên quan để đảm bảo sự chính xác, khớp đúng và đầy đủ của dữ liệu trước khi lưu trữ;

16.2.6. Thực hiện ghi sổ theo dõi địa điểm, thời gian, danh mục dữ liệu, người thực hiện công việc lưu trữ và khai thác dữ liệu;

16.2.7. Ban hành và triển khai quy trình lưu trữ: sao lưu dữ liệu; khai thác dữ liệu lưu trữ; kiểm tra, giám sát an toàn đối với dữ liệu lưu trữ; biện pháp phòng ngừa và khắc phục rủi ro cho dữ liệu lưu trữ; tiêu hủy dữ liệu lưu trữ hết thời hạn; và các nội dung khác có liên quan đến kỹ thuật lưu trữ và bảo quản dữ liệu lưu trữ an toàn, hiệu quả;

16.3. Trách nhiệm của bộ phận, cá nhân được giao nhiệm vụ lưu trữ:

16.3.1. Thực hiện đúng các quy định về việc lưu trữ, bảo quản dữ liệu lưu trữ và phải chịu trách nhiệm về các rủi ro đối với dữ liệu lưu trữ do chủ quan mình gây ra;

16.3.2. Không được phép cho bất cứ tổ chức, cá nhân nào khai thác, sử dụng dữ liệu lưu trữ nếu không có sự đồng ý bằng văn bản của lãnh đạo hoặc người được ủy quyền phê duyệt;

16.3.3. Trong trường hợp có rủi ro hoặc phát hiện nguy cơ xảy ra rủi ro với dữ liệu điện tử lưu trữ, phải báo cáo ngay cho người có thẩm quyền để có biện pháp xử lý, khắc phục kịp thời.

16.4. Quy đnh việc lưu trữ dữ liệu phòng ban và cá nhân

16.4.1. Tổ CNTT Văn phòng HĐND và UBND Quận phải thiết kế giải pháp, cấu trúc lưu trữ dữ liệu và triển khai hệ thống máy chủ lưu trữ tập tin (File server) cho toàn bộ phòng ban chuyên môn và cán bộ công chức năm trong khuôn viên Văn phòng HĐND và UBND Quận nhằm tránh các rủi ro do tình trạng lưu trữ dữ liệu rải rác trên các máy trạm.

16.4.2. Hệ thống máy chủ lưu trữ tập tin phải được đặt riêng trong vùng An toàn và phải được kiểm soát chặt chẽ của hệ thống tường lửa.

16.4.3. Tổ CNTT Văn phòng HĐND và UBND Quận phải cấp quyền truy cập tương ứng cho từng phòng ban chuyên môn, cán bộ công chức khi truy cập đến hệ thống máy chủ lưu File (Share permission, NTFS permission).

16.4.4. Hệ thống lưu trữ tập tin tập trung phải được tự động ánh xạ đến từng tài khoản của người sử dụng khi đăng nhập vào hệ thống.

16.4.5. Các dữ liệu cá nhân của người sử dụng (Phim ảnh, âm nhạc, phần mềm...) không liên quan đến công việc của Quận thì được lưu trữ ở ổ cứng cục bộ trên máy trạm và sẽ không được bộ phận tin học thực hiện sao lưu dự phòng.

16.4.6. Tổ CNTT Văn phòng HĐND và UBND Quận phải có kế hoạch, giải pháp, và thực hiện sao lưu dự phòng hàng ngày, tuần, tháng toàn bộ dữ liệu trên máy chủ lưu trữ tập tin.

Điều 17. Phòng, chống virus máy tính

17.1. Văn phòng HĐND và UBND Quận phải triển khai hệ thống phòng chống: virus, phần mềm gián điệp, phần mềm quảng cáo một cách tập trung (Antivirus server) hoặc phân tán cho toàn bộ các hệ thống CNTT của mình. Theo dõi và thông báo kịp thời cho người sử dụng các loại virus mới và cách phòng chống.

17.2. Tổ CNTT Văn phòng HĐND và UBND Quận phải cài đặt và thiết lập cơ chế tự động cập nhật phiên bản quét virus và tự động quét virus cho tất cả các máy tính trạm nằm trong khuôn viên Văn phòng HĐND và UBND Quận.

17.3. Trách nhiệm phòng, chng virus của người sử dụng:

17.3.1. Thường xuyên kiểm tra và diệt virus;

17.3.2. Phần mềm, dữ liệu và các thiết bị lưu trữ dữ liệu di động nhận từ bên ngoài phải được kiểm tra hoặc nhờ quản trị mạng kiểm tra virus trước khi sử dụng;

17.3.3. Không mở các thư lạ, các tập tin (File) đính kèm hoặc các liên kết trong các thư lạ hoặc trong cửa sổ chat (chương trình giao tiếp trực tiếp trên mạng như Yahoo messenger; MSN Messenger, AOL Messenger, ICQ Messenger..) để tránh virus;

17.3.4. Không vào các trang web không có nguồn gốc xuất xứ rõ ràng;

17.3.5. Cập nhật kịp thời các mẫu virus và các phần mềm chống virus mới;

17.3.6. Trường hợp phát hiện nhưng không diệt được virus, phải báo ngay cho người quản trị hệ thống mạng xử lý.

Điều 18. Chép dữ liệu ra và vào hệ thống CNTT

18.1. Nghiêm cấm người sử dụng tự ý sao chép bất kỳ dữ liệu nào nằm trong hệ thống mạng ra ngoài và với dưới bất kỳ hình thức nào nếu không được phép của cấp trên có thẩm quyền và của quản trị hệ thống mạng.

18.2. Khi người sử dụng muốn sao chép dữ liệu ra khỏi hệ thống mạng phải làm đầy đủ các thủ tục như sau:

18.2.1. Điền vào mẫu thủ tục sao chép dữ liệu từ hệ thống CNTT ra ngoài

18.2.2. Phải được cấp có thẩm quyền (Cấp quản lý trực liếp) ký xác nhận.

18.2.3. Sau đó chuyển mẫu thủ tục sao chép dữ liệu sang cho Quản trị mạng để tiến hành sao chép dữ liệu và ký xác nhận.

3. Khi người sử dụng muốn sao chép dữ liệu từ bên ngoài vào hệ thống CNTT của quận thì phải làm đầy đủ các thủ tục như sau:

18.3.1. Điền vào mẫu thủ tục sao chép dữ liệu từ ngoài vào hệ thống CNTT

18.3.2. Phải được cấp có thẩm quyền (Cấp quản lý trực tiếp) ký xác nhận.

18.3.3. Sau đó chuyển mẫu thủ tục sao chép dữ liệu và dữ liệu sang cho Quản trị mạng kiểm tra virus và tiến hành sao chép dữ liệu vào hệ thống CNTT.

Điều 19. Kết nối, trao đổi dữ liệu với đơn vị bên ngoài

19.1. Văn phòng HĐND và UBND Quận thực hiện kết nối với đơn vị bên ngoài phải thực hiện theo nguyên tắc không được ảnh hưởng đến an ninh và hoạt động bình thường hệ thống mạng của đơn vị.

19.2. Hệ thống mạng nội bộ đơn vị phải tách biệt về vật lý hoặc logic với mạng kết nối bên ngoài.

19.3. Việc kết nối, trao đổi dữ liệu với bên ngoài phải được quy định cụ thể về tiêu chuẩn kết nối, dịch vụ được sử dụng, quyền truy cập, quy cách dữ liệu và quy trình trao đổi.

19.4. Các bước triển khai kết nối:

19.4.1. Khảo sát, thiết kế cấu hình hệ thống, phương thức kết nối và dịch vụ sử dụng trên hệ thống mạng;

19.4.2. Phân tích những ảnh hưởng, nguy cơ mất an toàn và lựa chọn giải pháp an ninh phù hợp, phòng chống truy nhập trái phép;

19.4.3. Trình thủ trưởng đơn vị phê duyệt phương án kết nối, cách thức trao đổi dữ liệu;

19.4.4. Lắp đặt, kiểm tra, thử nghiệm đạt yêu cầu và đưa vào vận hành chính thức;

19.4.5. Triển khai các biện pháp phòng chống xâm nhập bất hợp pháp từ bên ngoài.

Điều 20. Kết nối Internet

20.1. Trách nhiệm của Tổ CNTT:

19.4.1. Thiết kế mạng dùng riêng cho kết nối Internet phải tách biệt về vật lý với mạng xử lý nghiệp vụ hoặc giữa chúng phải được ngăn cách bằng hệ thống bức tường lửa đủ khả năng kiểm soát toàn bộ các truy nhập giữa hai mạng và phải đảm bảo an toàn cho hoạt động của phần mềm, dữ liệu trên mạng nghiệp vụ;

19.4.2. Có hệ thống giám sát, quản lý người sử dụng Internet, quản lý băng thông và thời gian khai thác Internet.

19.4.3. Các máy tính dùng cho kết nối Internet phải được dán nhãn thông báo để dễ nhận biết:

19.4.4. Không lưu trữ dữ liệu trên máy tính kết nối Internet tài liệu, số liệu thuộc bí mật Nhà nước.

20.2. Trách nhiệm của người sử dụng Internet:

20.2.1. Có trách nhiệm bảo vệ hệ thống mạng của đơn vị, cảnh giác với những mặt trái của Internet. Chịu trách nhiệm theo quy định của pháp luật nếu bao che hoặc cho người khác sử dụng trang thiết bị, mật khẩu của mình để thực hiện các hành vi phạm pháp;

20.2.2. Chịu sự kiểm tra, giám sát của đơn vị và các cơ quan chức năng của Nhà nước đối với các thông tin gửi ra Internet và chịu trách nhiệm pháp lý về các thông tin đó:

20.2.3. Tự quản lý tài khoản của mình và có trách nhiệm thay đổi mật khẩu tối thiểu 6 tháng một lần để tránh bị lộ;

20.2.4. Không được truy cập các trang web có nội dung xấu, có nội dung phản động ảnh hưởng đến phong tục, tôn giáo và chính trị;

20.2.5. Không được sử dụng các chương trình Chat (Yahoo Messenger, Live Windows Messenger. Skype...). Trừ một vài trường hợp được phép Chat nhưng phải liên quan đến công việc;

20.2.6. Không được có hành động gây cản trở, phá hoại hoạt động của mạng Internet. Thông qua mạng Internet làm ảnh hưởng đến các hệ thống thông tin khác, hoặc xâm phạm đến quyền lợi, danh dự của cá nhân khác;

20.2.7. Không sử dụng các công cụ, phần mềm và các biện pháp kỹ thuật dưới mọi hình thức nhằm chiếm dụng băng thông đường truyền, gây tắc nghẽn mạng:

20.2.8. Không được tự ý sao chép, truyền tải các dữ liệu nằm trong hệ thống CNTT ra internet dưới bất cứ hình thức nào (FTP, Website, web mail, hệ thống lưu trữ trực tuyến, send email có file đính kèm, gởi file trực tiếp bằng cửa sổ chat, bằng chương trình truyền tải ngang hàng...)

20.2.9. Không được sử dụng các chương trình tán ngẫu trực tuyến (chat) và truy cập vào các website có nội dung không lành mạnh, phản động và những website không có liên quan đến công việc trong giờ làm việc.

20.2.10. Không được nghe nhạc, xem phim và chơi trò chơi trực tuyến (online) trong giờ làm việc.

20.2.11. Tuân thủ nội quy sử dụng Internet khác nếu có của đơn vị và các quy định của Nhà nước về khai thác, sử dụng Internet.

Điều 21. Công tác dự phòng đối với các sự cố

21.1. Thiết kế các giải pháp phần cứng, phần mềm nhằm làm tăng tính sẵn sang của hệ thống. Đồng thời phải lên kế hoạch, thiết kế giải pháp sao lưu, phục hồi dữ liệu phù hợp nhất về tài chính và kỹ thuật cho toàn bộ hệ thống, ứng dụng CNTT đang vận hành.

21.2. Thường xuyên cập nhật những giải pháp, phần mềm sao lưu, phục hồi dữ liệu tiên tiến và mới nhất.

21.3. Giải pháp sao lưu, phục hồi dữ liệu phải đi kèm với những kịch bản xảy ra rủi ro, thảm hoạ trong từng cấp độ tương ứng.

21.4. Thường xuyên kiểm tra tính bảo mật, và toàn vẹn đối với những dữ liệu dự phòng.

21.5. T CNTT Văn phòng HĐND và UBND Quận phải dự trù kinh phí trong việc thiết kế, xây dựng và duy trì hoạt động của hệ thống dự phòng đảm bảo các yêu cầu sau:

21.5.1. Ban hành các quy định về quản lý và vận hành hệ thống dự phòng;

21.5.2. Hệ thống dự phòng không được đặt cùng toà với hệ thống xử lý chính:

21.5.3. Hệ thống dự phòng phải có đủ năng lực về cơ sở vật chất, kỹ thuật, có người sẵn sàng đảm nhận toàn bộ vai trò của hệ thống xử lý chính khi cần thiết;

21.5.4. Thiết kế đường điện tách biệt với hệ thống chính. Trang bị máy phải điện, bộ tích điện cung cấp nguồn điện ổn định, liên lục, đáp ứng yêu cầu xử lý công việc bình thường;

21.5.5. Hệ thống cung cấp nguồn điện bao gồm lưới điện quốc gia, máy phát điện, bộ tích điện và được thiết kế tự động đảm bảo cung cấp nguồn điện ổn định, liên tục, đáp ứng yêu cầu hoạt động 24 giờ/ngày và 7 ngày/tuần;

21.5.6. Cơ sở dữ liệu hoạt động nghiệp vụ trong Quận phải được lưu trữ tức thời từ trung tâm chính sang hệ thống dự phòng;

21.5.7. Tổ chức hệ thống an ninh, đảm bảo an toàn hệ thống trang thiết bị kỹ thuật và dữ liệu của hệ thống dự phòng;

21.5.8. Thời gian đưa hệ thống dự phòng vào hoạt động thay thế hoàn toàn cho hệ thống xử lý chính không quá 04 giờ.

21.6. Hoạt động của hệ thống dự phòng:

21.6.1. Hoạt động từ hệ thống chính chuyển sang hệ thống dự phòng chỉ được thực hiện trong điều kiện hệ thống chính bị ngừng hoạt động và phải được lãnh đạo đơn vị phê duyệt cho thực hiện;

21.6.2. Việc đưa hệ thống dự phòng vào sử dụng phải thực hiện theo dùng các kịch bản đã được phê duyệt;

21.6.3. Diễn tập chuyển hoạt động từ hệ thống chính sang hệ thống dự phòng phải được thực hiện định kỳ tối thiểu mỗi năm một lần;

21.6.4. Hệ thống dự phòng phải được kiểm tra, giám sát đảm bảo vận hành tốt.

Điều 22. Yêu cầu và trách nhiệm của người vận hành

22.1. Phải được trang bị các kiến thức cơ bản về CNTT: mạng máy tính (máy chủ, máy trạm làm việc và các thiết bị mạng), hệ điều hành, cơ sở dữ liệu đang sử dụng.

22.2. Đã qua các khoá đào tạo, tập huấn về nghiệp vụ được giao vận hành.

22.3. Chỉ được thực hiện những công việc được giao, tuân thủ đúng quy trình kỹ thuật nghiệp vụ, quy trình kỹ thuật vận hành.

22.4. Phải chịu trách nhiệm về những sai sót, chậm trễ, mất an toàn do chủ quan mình gây ra.

22.5. Có trách nhiệm thông báo kịp thời cho người quản trị hệ thống về những sự cố đối với hệ thống CNTT nếu có.

Điều 23. Kiểm tra nội bộ

23.1. Các đơn vị phải tự tổ chức kiểm tra việc tuân thủ các quy định về an toàn, bảo mật hệ thống CNTT theo các quy định tại Quy chế này tối thiểu mỗi năm một lần.

23.2. Nội dung kiểm tra:

23.2.1. Đánh giá chính sách an ninh CNTT;

23.2.2. Kiểm tra tuân thủ chính sách an ninh CNTT;

23.2.3. Đánh giá những rủi ro có thể xảy ra và kiến nghị xử lý;

23.2.4. Trường hợp kiểm tra phát hiện những vi phạm hoặc dấu hiệu có thể dẫn đến mất an toàn, trong báo cáo kiểm tra phải liệt kê cụ thể danh mục những vấn đề đó, đánh giá mức độ ảnh hưởng của nó đối với hoạt động của đơn vị và dự kiến thời gian phải được hoàn tất xử lý đối với từng vấn để cụ thể;

23.2.5. Nội dung kiểm tra phải được lập thành báo cáo gửi các cấp có thẩm quyền.

23.3. Trách nhiệm của lãnh đạo Quận:

23.3.1. Chỉ đạo, kiểm tra và tạo điều kiện cho bộ phận quản lý CNTT và các bộ phận liên quan có kế hoạch khắc phục ngay các kiến nghị sau kiểm tra;

23.3.2. Kiểm tra việc thực hiện các kiến nghị theo kế hoạch;

23.3.3. Xác định nguyên nhân và trách nhiệm của cá nhân, tổ chức đối với những kiến nghị kiểm tra không được xử lý từ các lần kiểm tra trước nếu có.

Điều 24. Chính sách kiểm tra, bảo trì hệ thống CNTT

24.1. Văn phòng HĐND và UBND Quận phải xây dựng kế hoạch kiểm tra, bao trì thường xuyên để đảm bảo hệ thống CNTT hoạt động liên tục, ổn định và an toàn. Hàng năm, đề xuất lãnh đạo Quận bố trí kinh phí, nguồn lực thích hợp cho công tác bảo trì toàn bộ hệ thống CNTT.

24.2. Mọi hệ thống CNTT phải được bảo trì theo định kỳ. Tùy theo mức độ quan trọng của mỗi hệ thống CNTT đối với hoạt động của đơn vị để lập và triển khai cấp độ bảo trì phù hợp, nhưng đối với mỗi hệ thống ít nhất mỗi năm phải thực hiện bảo trì một lần.

24.3. Các trang thiết bị CNTT phải được duy trì mức công suất dự phòng tối thiểu là 20 phần trăm so với yêu cầu xử lý tại thời điểm sử dụng cao nhất.

24.4. Nhật ký bo trì:

24.4.1. Toàn bộ quá trình bảo trì của hệ thống CNTT phải được ghi sổ nhật ký theo dõi các thay đổi về thiết kế, cấu hình của hệ thống CNTT trong những lần sửa chữa, nâng cấp, thay thế hoặc lắp đặt mới;

24.4.2. Các tập tin lưu nhật ký của hệ thống phải được xem xét thường xuyên, lưu trữ có hệ thống và phân tích theo nhiều góc độ khác nhau. Trên cơ sở đó phát hiện và khắc phục kịp thời những sự cố, biểu hiện mất an toàn.

24.5. Công tác bảo trì:

24.5.1. Công tác bảo trì phải được tiến hành có kế hoạch, có kịch bản, đảm bảo hoạt động bảo trì không ảnh hưởng đến các hoạt động nghiệp vụ bình thường đang diễn ra;

24.5.2. Các trang thiết bị, phần mềm, cơ sở dữ liệu phải được kiểm tra, theo dõi và xử lý kịp thời các hư hỏng, biểu hiện mất ổn định hoặc quá tải; cập nhật kịp thời các bản vá lỗi, lấp các lỗ hổng về an ninh.

24.5.3. Kiểm tra, giám sát đơn vị bảo trì bên ngoài thực hiện bảo trì theo đúng kịch bản đã được lãnh đạo đơn vị phê duyệt.

Điều 25. Báo cáo về an ninh CNTT

25.1. Văn phòng HĐND và UBND Quận phi có trách nhiệm báo cáo bằng văn bản hoặc bằng file báo cáo điện tử cho lãnh đạo Quận đang phụ trách về CNTT với những báo cáo sau đây:

25.1.1. Báo cáo kiểm tra nội bộ của đơn vị theo quy định tại Điều 23 của Quy chế này. Thời hạn báo cáo chậm nhất là 60 ngày kể từ thời điểm hoàn thành kiểm tra;

25.1.2. Báo cáo đột xuất các vụ, việc mất an toàn xảy ra đối với hệ thống CNTT của toàn bộ các đơn vị tham gia hệ thống. Nội dung báo cáo thực hiện theo khoản 2 của Điều này. Thời hạn báo cáo chậm nhất là 30 ngày kể từ thời điểm vụ, việc được phát hiện.

25.2. Nội dung báo cáo đột xuất:

25.2.1. Ngày, địa điểm phát sinh vụ, việc;

25.2.2. Nguyên nhân vụ, việc;

25.2.3. Đánh giá rủi ro, ảnh hưởng đối với hệ thống CNTT và nghiệp vụ tại nơi xảy ra vụ, việc và những địa điểm khác có liên quan;

25.2.4. Các biện pháp đơn vị đã tiến hành để ngăn chặn, khắc phục và phòng ngừa rủi ro;

25.2.5. Kiến nghị, đề xuất với lãnh đạo Quận.

Chương III

ĐIỀU KHOẢN THI HÀNH

Điều 26. Trách nhiệm thi hành và tổ chức thực hiện

26.1. Văn phòng HĐND và UBND Quận Phú Nhuận có trách nhiệm hướng dẫn, theo dõi và kiểm tra việc chấp hành Quy chế, chính sách này cho các đơn vị tham gia vào hệ thống CNTT của Văn phòng HĐND và UBND Quận Phú Nhuận.

26.2. Thủ trưởng cao nhất của các đơn vị tham gia vào hệ thống CNTT thuộc Văn phòng HĐND và UBND Quận Phú Nhuận có trách nhiệm tổ chức triển khai và kiểm tra việc chấp hành tại đơn vị mình theo đúng các quy định của Quy chế và chính sách này.

26.3. Quy chế, chính sách này được đề xuất bổ sung sửa đổi tối thiểu mỗi một lần hoặc theo từng thời điểm phát triển của hệ thống CNTT.

Điều 27. Khen thưởng và Xử lý vi phạm

27.1. Cán bộ, công chức các đơn vị tham gia sử dụng hệ thống mạng CNTT thực hiện tốt và có nhiều thành tích tốt được xem xét khen thưởng hàng năm theo quy định của Nhà nước.

27.2. Các hành vi vi phạm quy định tại Quy chế, chính sách này, tuỳ theo mức độ vi phạm mà bị xử lý theo các quy định của pháp luật.

Điều 28. Tùy theo tình hình cụ thể tại từng thời điểm Chủ tịch UBND Quận Phú Nhuận quyết định việc sửa đổi, bổ sung Quy chế, chính sách này./.

HIỆU LỰC VĂN BẢN

Quyết định 340/2008/QĐ-UBND về Quy chế và chính sách an toàn, bảo mật hệ thống công nghệ thông tin Phú Nhuận, thành phố Hồ Chí Minh

  • Số hiệu: 340/2008/QĐ-UBND
  • Loại văn bản: Quyết định
  • Ngày ban hành: 25/04/2008
  • Nơi ban hành: Quận Phú Nhuận
  • Người ký: Phạm Công Nghĩa
  • Ngày công báo: Đang cập nhật
  • Số công báo: Đang cập nhật
  • Ngày hiệu lực: 25/04/2008
  • Tình trạng hiệu lực: Ngưng hiệu lực
Tải văn bản