Hệ thống pháp luật

ỦY BAN NHÂN DÂN
TỈNH QUẢNG NINH
-------

CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM
Độc lập - Tự do - Hạnh phúc
---------------

Số: 36/2023/QĐ-UBND

Quảng Ninh, ngày 25 tháng 12 năm 2023

 

QUYẾT ĐỊNH

BAN HÀNH QUY CHẾ BẢO ĐẢM AN TOÀN THÔNG TIN MẠNG CHO CÁC HỆ THỐNG THÔNG TIN CẤP ĐỘ 3 TẠI TRUNG TÂM TÍCH HỢP DỮ LIỆU TỈNH

ỦY BAN NHÂN DÂN TỈNH QUẢNG NINH

Căn cứ Luật Tổ chức chính quyền địa phương ngày 19/6/2015; Luật Sửa đổi, bổ sung một số điều của Luật Tổ chức Chính phủ và Luật Tổ chức chính quyền địa phương ngày 22/11/2019;

Căn cứ Luật Ban hành văn bản quy phạm pháp luật ngày 22/6/2015; Luật Sửa đổi, bổ sung một số điều của Luật Ban hành văn bản quy phạm pháp luật ngày 18/6/2020;

Căn cứ Luật Công nghệ thông tin ngày 29/6/2006; Luật An toàn thông tin mạng ngày 19/11/2015; Luật An ninh mạng ngày 12/6/2018; Luật Bảo vệ bí mật nhà nước ngày 15/11/2018;

Căn cứ Nghị định số 85/2016/NĐ-CP ngày 01/7/2016 của Chính phủ về bảo đảm an toàn hệ thống thông tin theo cấp độ;

Căn cứ Nghị định số 142/2016/NĐ-CP ngày 01/7/2016 của Chính phủ về ngăn chặn xung đột thông tin trên mạng;

Căn cứ Nghị định số 53/2022/NĐ-CP ngày 15/8/2022 của Chính phủ về việc quy định chi tiết một số điều của Luật An ninh mạng;

Căn cứ Chỉ thị số 02/CT-TTg ngày 26/4/2022 của Thủ tướng Chính phủ về phát triển Chính phủ điện tử hướng tới Chính phủ số, thúc đẩy chuyển đổi số quốc gia;

Căn cứ Quyết định số 05/2017/QĐ-TTg ngày 16/3/2017 của Thủ tướng Chính phủ ban hành Quy định về hệ thống phương án ứng cứu khẩn cấp bảo đảm an toàn thông tin mạng quốc gia;

Căn cứ Thông tư số 20/2017/TT-BTTTT ngày 12/9/2017 của Bộ Thông tin và Truyền thông quy định về điều phối, ứng cứu sự cố an toàn thông tin mạng trên toàn quốc;

Căn cứ Thông tư số 31/2017/TT-BTTTT ngày 15/11/2017 của Bộ Thông tin và Truyền thông quy định hoạt động giám sát an toàn hệ thống thông tin;

Căn cứ Thông tư số 12/2022/TT-BTTTT ngày 12/8/2022 của Bộ Thông tin và Truyền thông quy định chi tiết và hướng dẫn một số điều của Nghị định số 85/2016/NĐ-CP ngày 01/7/2016 của Chính phủ về bảo đảm an toàn hệ thống thông tin theo cấp độ;

Căn cứ Tiêu chuẩn Quốc gia TCVN 11930:2017 về công nghệ thông tin – Các kỹ thuật an toàn – Yêu cầu cơ bản về an toàn hệ thống thông tin theo cấp độ;

Theo đề nghị của Sở Thông tin và Truyền thông tại Tờ trình số 1008/TTr- STTTT ngày 13/12/2023; ý kiến thẩm định của Sở Tư pháp tại Báo cáo thẩm định số 303/BC-STP ngày 29/9/2023 và ý kiến tham gia của thành viên UBND tỉnh.

QUYẾT ĐỊNH:

Điều 1. Ban hành kèm theo Quyết định này Quy chế bảo đảm an toàn thông tin mạng cho các Hệ thống thông tin cấp độ 3 tại Trung tâm tích hợp dữ liệu tỉnh.

Điều 2. Quyết định này có hiệu lực từ ngày 15 tháng 01 năm 2024.

Điều 3. Chánh Văn phòng Ủy ban nhân dân tỉnh; Thủ trưởng các sở, ban, ngành; Chủ tịch Ủy ban nhân dân các huyện, thị xã, thành phố; Thủ trưởng các cơ quan, đơn vị có liên quan chịu trách nhiệm thi hành Quyết định này./.

 

 

TM. ỦY BAN NHÂN DÂN
CHỦ TỊCH




Cao Tường Huy

 

QUY CHẾ

BẢO ĐẢM AN TOÀN THÔNG TIN MẠNG CHO CÁC HỆ THỐNG THÔNG TIN CẤP ĐỘ 3 TẠI TRUNG TÂM TÍCH HỢP DỮ LIỆU TỈNH
(Ban hành kèm theo Quyết định số 36/2023/QĐ-UBND ngày 25/12/2023 của UBND tỉnh Quảng Ninh)

Chương I

QUY ĐỊNH CHUNG

Điều 1. Phạm vi điều chỉnh và đối tượng áp dụng

1. Phạm vi điều chỉnh:

Quy chế này quy định các chính sách quản lý và các biện pháp nhằm bảo đảm an toàn thông tin cho các Hệ thống thông tin tại Trung tâm tích hợp dữ liệu tỉnh bao gồm:

a) Phạm vi quản lý về hạ tầng kỹ thuật của Trung tâm tích hợp dữ liệu tỉnh;

b) Các ứng dụng, dịch vụ hệ thống thông tin tại Trung tâm tích hợp dữ liệu tỉnh cung cấp;

c) Nguồn nhân lực bảo đảm an toàn thông tin.

2. Đối tượng áp dụng

a) Các sở, ban, ngành, đơn vị thuộc UBND tỉnh Quảng Ninh có hệ thống thông tin đặt tại Trung tâm tích hợp dữ liệu tỉnh;

b) Cơ quan, tổ chức, cá nhân có kết nối, sử dụng hệ thống thông tin tại Trung tâm tích hợp dữ liệu tỉnh;

c) Cơ quan, tổ chức, cá nhân cung cấp dịch vụ quản lý, vận hành, duy trì, phát triển và bảo đảm an toàn thông tin mạng phục vụ hoạt động của các Hệ thống thông tin cấp độ 3 tại Trung tâm tích hợp dữ liệu tỉnh.

Điều 2. Giải thích từ ngữ

Trong quy chế này, các từ ngữ dưới đây được hiểu như sau:

1. “Mạng”, “An toàn thông tin mạng”, “Hệ thống thông tin”, “thông tin cá nhân”, “Sự cố an toàn thông tin mạng”, “Rủi ro an toàn thông tin mạng”, “Phần mềm độc hại” được hiểu theo Điều 3, Chương I, Luật An toàn thông tin mạng 2015.

2. “Tấn công mạng”, “An ninh mạng”, “Tội phạm mạng”, “Gián điệp mạng” được hiểu theo Điều 2, Chương I, Luật An ninh mạng 2018.

3. Nguy cơ mất an toàn thông tin mạng: Là những nhân tố bên trong hoặc bên ngoài có khả năng ảnh hưởng tới trạng thái an toàn thông tin mạng.

Điều 3. Mục tiêu, nguyên tắc bảo đảm an toàn thông tin mạng

1. Mục tiêu bảo đảm an toàn thông tin mạng: Bảo vệ thông tin, hệ thống thông tin trên mạng tránh bị truy nhập, sử dụng, tiết lộ, gián đoạn, sửa đổi hoặc phá hoại trái phép nhằm bảo đảm tính nguyên vẹn, tính bảo mật và tính khả dụng của thông tin cho các Hệ thống thông tin cấp độ 3 tại Trung tâm THDL tỉnh.

2. Nguyên tắc

a) Cơ quan, tổ chức, cá nhân thuộc đối tượng áp dụng Quy chế này có trách nhiệm bảo đảm an toàn thông tin và hệ thống thông tin trong phạm vi xử lý công việc của mình theo quy định của pháp luật, hướng dẫn của cơ quan, đơn vị có thẩm quyền và các quy định tại Quy chế này.

b) Bảo đảm an toàn thông tin mạng là yêu cầu bắt buộc, phải được thực hiện thường xuyên, liên tục trong quá trình:

Thu thập, tạo lập, xử lý, truyền tải, lưu trữ và sử dụng thông tin, dữ liệu.

Thiết kế, thiết lập và vận hành, nâng cấp, hủy bỏ hệ thống thông tin.

c) Việc bảo đảm an toàn các Hệ thống thông tin cấp độ 3 tại Trung tâm THDL tỉnh được thực hiện một cách tổng thể, đồng bộ, tập trung trong việc đầu tư các giải pháp bảo vệ, có sự dùng chung, chia sẻ tài nguyên để tối ưu hiệu năng, tránh đầu tư thừa, trùng lặp.

Điều 4. Những hành vi nghiêm cấm

Các hành vi bị nghiêm cấm được quy định tại Điều 7 Luật An toàn thông tin mạng 2015 và Điều 8 Luật An ninh mạng 2018, cụ thể:

1. Ngăn chặn việc truyền tải thông tin trên mạng, can thiệp, truy nhập, gây nguy hại, xóa, thay đổi, sao chép và làm sai lệch thông tin trên mạng trái pháp luật.

2. Gây ảnh hưởng, cản trở trái pháp luật tới hoạt động bình thường của hệ thống thông tin hoặc tới khả năng truy nhập hệ thống thông tin của người sử dụng.

3. Tấn công, vô hiệu hóa trái pháp luật làm mất tác dụng của biện pháp bảo vệ an toàn thông tin mạng của hệ thống thông tin; tấn công, chiếm quyền điều khiển, phá hoại hệ thống thông tin.

4. Phát tán thư rác, phần mềm độc hại, thiết lập hệ thống thông tin giả mạo, lừa đảo.

5. Thu thập, sử dụng, phát tán, kinh doanh trái pháp luật thông tin cá nhân của người khác; lợi dụng sơ hở, điểm yếu của hệ thống thông tin để thu thập, khai thác thông tin cá nhân.

6. Xâm nhập trái pháp luật bí mật mật mã và thông tin đã mã hóa hợp pháp của cơ quan, tổ chức, cá nhân; tiết lộ thông tin về sản phẩm mật mã dân sự, thông tin về khách hàng sử dụng hợp pháp sản phẩm mật mã dân sự; sử dụng, kinh doanh các sản phẩm mật mã dân sự không rõ nguồn gốc.

7. Hành vi quy định tại khoản 1 Điều 18 của Luật An ninh mạng số 24/2018/QH14.

8. Tổ chức, hoạt động, câu kết, xúi giục, mua chuộc, lừa gạt, lôi kéo, đào tạo, huấn luyện người chống Nhà nước Cộng hòa xã hội chủ nghĩa Việt Nam.

9. Xuyên tạc lịch sử, phủ nhận thành tựu cách mạng, phá hoại khối đại đoàn kết toàn dân tộc, xúc phạm tôn giáo, phân biệt đối xử về giới, phân biệt chủng tộc.

10. Thông tin sai sự thật gây hoang mang trong Nhân dân, gây thiệt hại cho hoạt động kinh tế - xã hội, gây khó khăn cho hoạt động của cơ quan nhà nước hoặc người thi hành công vụ, xâm phạm quyền và lợi ích hợp pháp của cơ quan, tổ chức, cá nhân khác;

11. Hoạt động mại dâm, tệ nạn xã hội, mua bán người; đăng tải thông tin dâm ô, đồi trụy, tội ác; phá hoại thuần phong, mỹ tục của dân tộc, đạo đức xã hội, sức khỏe của cộng đồng.

12. Xúi giục, lôi kéo, kích động người khác phạm tội.

13. Thực hiện tấn công mạng, khủng bố mạng, gián điệp mạng, tội phạm mạng; gây sự cố, tấn công, xâm nhập, chiếm quyền điều khiển, làm sai lệch, gián đoạn, ngưng trệ, tê liệt hoặc phá hoại hệ thống thông tin quan trọng về an ninh quốc gia.

14. Sản xuất, đưa vào sử dụng công cụ, phương tiện, phần mềm hoặc có hành vi cản trở, gây rối loạn hoạt động của mạng viễn thông, mạng Internet, mạng máy tính, hệ thống thông tin, hệ thống xử lý và điều khiển thông tin, phương tiện điện tử; phát tán chương trình tin học gây hại cho hoạt động của mạng viễn thông, mạng Internet, mạng máy tính, hệ thống thông tin, hệ thống xử lý và điều khiển thông tin, phương tiện điện tử; xâm nhập trái phép vào mạng viễn thông, mạng máy tính, hệ thống thông tin, hệ thống xử lý và điều khiển thông tin, cơ sở dữ liệu, phương tiện điện tử của người khác.

15. Chống lại hoặc cản trở hoạt động của lực lượng bảo vệ an ninh mạng; tấn công, vô hiệu hóa trái pháp luật làm mất tác dụng biện pháp bảo vệ an ninh mạng.

16. Lợi dụng hoặc lạm dụng hoạt động bảo vệ an ninh mạng để xâm phạm chủ quyền, lợi ích, an ninh quốc gia, trật tự, an toàn xã hội, quyền và lợi ích hợp pháp của cơ quan, tổ chức, cá nhân hoặc để trục lợi.

17. Hành vi khác vi phạm quy định của Luật An ninh mạng 2018.

Điều 5. Phối hợp với những cơ quan/tổ chức có thẩm quyền

1. Đầu mối liên hệ, phối hợp với các cơ quan, tổ chức có thẩm quyền quản lý về an toàn thông tin:

Sở Thông tin và Truyền thông là đầu mối liên hệ đồng thời là đơn vị chuyên trách về an toàn thông tin có trách nhiệm xây dựng và thực thi chính sách an toàn thông tin; phối hợp với các cơ quan, tổ chức có thẩm quyền quản lý về an toàn thông tin phục vụ việc bảo đảm an toàn thông tin mạng cho các Hệ thống thông tin và hạ tầng kỹ thuật tại Trung tâm tích hợp dữ liệu tỉnh; tổ chức thực hiện việc tiếp nhận và xử lý các sự cố về an toàn thông tin của các Hệ thống thông tin cấp độ 3 tại Trung tâm tích hợp dữ liệu tỉnh.

2. Đầu mối liên hệ, phối hợp với các cơ quan, tổ chức trong công tác hỗ trợ điều phối xử lý sự cố an toàn thông tin tại Trung tâm tích hợp dữ liệu tỉnh:

Trung tâm Công nghệ thông tin và Truyền thông. Điện thoại: 0203.3533.338 Email: qnict@quangninh.gov.vn. Tùy theo mức độ sự cố, phối hợp với các đơn vị có liên quan hướng dẫn xử lý, ứng cứu các sự cố an toàn thông tin mạng.

3. Các sở, ban, ngành, đơn vị, UBND các huyện, thị xã, thành phố: Tham gia các hoạt động, công tác bảo đảm an toàn thông tin khi có yêu cầu của các cơ quan, tổ chức có thẩm quyền; tham gia các chiến dịch An toàn thông tin; diễn tập ứng cứu an toàn thông tin do Bộ Thông tin và Truyền thông, tỉnh Quảng Ninh tổ chức.

Điều 6. Bảo đảm nguồn nhân lực

1. Tuyển dụng

a) Công chức, viên chức được tuyển dụng làm nhiệm vụ về an toàn thông tin có trình độ, chuyên môn về lĩnh vực công nghệ thông tin, an toàn thông tin bảo đảm phù hợp với yêu cầu vị trí việc làm và tiêu chuẩn chức danh nghề nghiệp viên chức theo quy định.

b) Thực hiện tuyển dụng công chức, viên chức bảo đảm đúng quy trình, thủ tục pháp luật hiện hành và phân cấp tuyển dụng công chức, viên chức của tỉnh.

c) Thực hiện đánh giá năng lực của công chức, viên chức phù hợp với vị trí tuyển dụng.

2. Trong quá trình làm việc

a) Công chức, viên chức thực hiện nhiệm vụ tại vị trí an toàn thông tin, cán bộ, công chức, viên chức khai thác sử dụng các Hệ thống thông tin tại Trung tâm THDL tỉnh phải tuân thủ và thực hiện nghiêm túc nội quy, quy chế bảo đảm an toàn thông tin cho người sử dụng, cán bộ quản lý và vận hành hệ thống.

b) Hàng năm tổ chức quán triệt, phổ biến, tuyên truyền nâng cao nhận thức về an toàn thông tin cho người sử dụng.

c) Hàng năm tổ chức đào tạo về an toàn thông tin cho người dùng trong hệ thống.

3. Chấm dứt hoặc thay đổi công việc

a) Công chức, viên chức chấm dứt hoặc thay đổi công việc phải thu hồi thẻ truy cập, thông tin được lưu trên các phương tiện lưu trữ, các trang thiết bị máy móc, phần cứng, phần mềm và các tài sản khác (nếu có) thuộc sở hữu của tổ chức.

b) Thực hiện đúng quy trình và thực hiện vô hiệu hóa tất cả các quyền ra, vào, truy cập tài nguyên, quản trị hệ thống sau khi công chức, viên chức thôi việc, nghỉ hưu.

c) Lập biên bản cam kết giữ bí mật thông tin liên quan đến tổ chức sau khi nghỉ việc, nghỉ hưu, chuyển công tác.

Chương II

BẢO ĐẢM AN TOÀN THÔNG TIN TRONG QUẢN LÝ THIẾT KẾ, XÂY DỰNG HỆ THỐNG

Điều 7. Thiết kế an toàn hệ thống thông tin

1. Đối với hệ thống phải thông qua đặt hàng để thiết kế, không có sẵn dịch vụ công nghệ thông tin trên thị trường.

a) Có tài liệu mô tả quy mô, phạm vi và đối tượng sử dụng, khai thác, quản lý vận hành hệ thống thông tin.

b) Có tài liệu mô tả thiết kế và các thành phần của hệ thống thông tin.

c) Có tài liệu mô tả phương án bảo đảm an toàn thông tin theo cấp độ.

d) Có tài liệu mô tả phương án lựa chọn giải pháp công nghệ bảo đảm an toàn thông tin.

đ) Khi có thay đổi thiết kế, đánh giá lại tính phù hợp của phương án thiết kế đối với các yêu cầu an toàn đặt ra đối với hệ thống.

2. Đối với dịch vụ công nghệ thông tin có sẵn trên thị trường

a) Có biên bản, hợp đồng và các cam kết đối với bên thuê dịch vụ các nội dung liên quan đến việc đơn vị cung cấp dịch vụ là đơn vị vận hành hệ thống.

b) Có cam kết của đơn vị cung cấp dịch vụ về bảo đảm tính bí mật và bản quyền của dịch vụ.

c) Yêu cầu đơn vị cung cấp dịch vụ cung cấp các tài khoản quản trị, mã nguồn hệ thống. Hỗ trợ chỉnh sửa khi có yêu cầu.

Điều 8. Phát triển phần mềm thuê khoán

Đối với việc thuê dịch vụ phát triển phần mềm theo hình thức thuê khoán cần phải:

1. Có biên bản, hợp đồng và các cam kết đối với bên thuê dịch vụ các nội dung liên quan đến việc phát triển phần mềm thực hiện theo hình thức thuê dịch vụ.

2. Yêu cầu các nhà phát triển cung cấp mã nguồn phần mềm.

3. Kiểm thử phần mềm trên môi trường thử nghiệm trước khi đưa vào sử dụng.

4. Kiểm tra, đánh giá an toàn thông tin trước khi đưa vào sử dụng.

5. Phát triển phần mềm theo khung phát triển phần mềm an toàn theo hướng dẫn của Cục An toàn thông tin - Bộ Thông tin và Truyền thông tại Công văn số 166/CATTT-ATHTTT ngày 10/12/2022 v/v Ban hành hướng dẫn “Khung phát triển phần mềm an toàn (phiên bản 1.0)”.

Điều 9. Vận hành thử/kiểm thử và nghiệm thu hệ thống

1. Thực hiện vận hành thử/kiểm thử và nghiệm thu hệ thống trước khi bàn giao và đưa vào sử dụng.

2. Có nội dung, kế hoạch thực hiện vận hành thử/kiểm thử theo quy định.

3. Có bộ phận có trách nhiệm thực hiện tham gia vận hành thử/kiểm thử và nghiệm thu hệ thống.

4. Có đơn vị độc lập (bên thứ ba) hoặc bộ phận độc lập thuộc đơn vị thực hiện tư vấn và giám sát quá trình vận hành thử/kiểm thử và nghiệm thu hệ thống.

5. Có báo cáo nghiệm thu được xác nhận của bộ phận chuyên trách và phê duyệt của chủ quản hệ thống thông tin trước khi đưa vào sử dụng.

Chương III

BẢO ĐẢM AN TOÀN THÔNG TIN TRONG QUẢN LÝ VẬN HÀNH HỆ THỐNG

Điều 10. Quản lý an toàn mạng

Thực hiện theo quy định tại khoản 5, khoản 8, Điều 8 (Quy định về an toàn hoạt động) tại Quyết định số 26/2018/QĐ-UBND ngày 20/9/2018 của Uỷ ban nhân dân tỉnh Quảng Ninh về việc ban hành Quy chế quản lý, khai thác và vận hành Trung tâm tích hợp dữ liệu tỉnh Quảng Ninh. Đồng thời thực hiện các quy định cụ thể như sau:

1. Quản lý, vận hành hoạt động bình thường của hệ thống:

a) Bảo đảm cho hệ điều hành, phần mềm cài đặt trên máy chủ hoạt động liên tục, ổn định và an toàn.

b) Thường xuyên kiểm tra cấu hình, các tệp tin nhật ký hoạt động của hệ điều hành, phần mềm nhằm kịp thời phát hiện và xử lý những sự cố nếu có.

c) Quản lý các thay đổi cấu hình kỹ thuật của hệ điều hành, phần mềm.

d) Thường xuyên cập nhật các bản vá lỗi hệ điều hành, phần mềm từ nhà cung cấp.

đ) Loại bỏ các thành phần của hệ điều hành, phần mềm không cần thiết hoặc không còn nhu cầu sử dụng.

e) Các bản quyền phần mềm cần được thống kê, quản lý thời gian phục vụ cho việc gia hạn và duy trì việc gia hạn bản quyền, dịch vụ bản quyền hàng năm.

g) Triển khai hệ thống phát hiện phòng chống xâm nhập giữa các vùng mạng quan trọng.

h) Sử dụng thêm các phương pháp xác thực đa nhân tố đối với các thiết bị mạng quan trọng.

i) Triển khai phương án cảnh báo thời gian thực trực tiếp đến người quản trị hệ thống thông qua hệ thống giám sát khi phát hiện sự cố trên các thiết bị mạng.

2. Cập nhật, sao lưu dự phòng và khôi phục sau khi xảy ra sự cố:

a) Triển khai hệ thống/phương tiện lưu trữ độc lập với hệ thống lưu trữ trên các máy chủ dịch vụ để sao lưu dự phòng; phân loại và quản lý thông tin, dữ liệu được lưu trữ theo từng loại/nhóm thông tin được gán nhãn khác nhau; thực hiện sao lưu, dự phòng các thông tin, dữ liệu cơ bản sau: tập tin cấu hình hệ thống, ảnh hệ điều hành máy chủ, cơ sở dữ liệu; dữ liệu, thông tin nghiệp vụ.

b) Triển khai phương án dự phòng nóng cho các thiết bị mạng chính bảo đảm khả năng vận hành liên tục của hệ thống; năng lực của thiết bị dự phòng phải đáp ứng theo quy mô hoạt động của hệ thống.

c) Triển khai hệ thống/phương tiện lưu trữ nhật ký độc lập và phù hợp với hoạt động của các thiết bị mạng. Dữ liệu nhật ký phải được lưu tối thiểu 06 tháng.

d) Triển khai hệ thống/phương tiện chống thất thoát dữ liệu trong hệ thống.

3. Truy cập và quản lý cấu hình hệ thống:

a) Cán bộ quản lý, nhân viên vận hành truy cập, khai thác thông tin tại hệ thống theo trách nhiệm và phân quyền được quy định; việc khai thác thông tin phải bảo đảm nguyên tắc bảo mật, không được tự ý cung cấp thông tin ra bên ngoài.

b) Cán bộ quản lý, nhân viên vận hành có trách nhiệm theo dõi và phát hiện các trường hợp truy cập hệ thống trái phép hoặc thao tác vượt quá giới hạn, báo cáo cho cán bộ quản lý để tiến hành ngăn chặn, thu hồi, khóa quyền truy cập của các tài khoản vi phạm.

c) Cấu hình tối ưu, tăng cường bảo mật cho thiết bị hệ thống (cứng hóa) trước khi đưa vào vận hành, khai thác.

d) Quy trình kết nối thiết bị đầu cuối của người sử dụng vào hệ thống mạng; truy nhập và quản lý cấu hình hệ thống; cấu hình tối ưu, tăng cường bảo mật cho thiết bị mạng, bảo mật (cứng hóa) trong hệ thống và thực hiện quy trình trước khi đưa hệ thống vào vận hành khai thác.

Điều 11. Quản lý an toàn máy chủ và ứng dụng

Thực hiện theo quy định tại khoản 9, Điều 8 (Quy định về an toàn hoạt động) tại Quyết định số 26/2018/QĐ-UBND ngày 20/9/2018 của Uỷ ban nhân dân tỉnh Quảng Ninh về việc ban hành Quy chế quản lý, khai thác và vận hành Trung tâm tích hợp dữ liệu tỉnh Quảng Ninh. Đồng thời thực hiện các quy định cụ thể như sau:

1. Quản lý, vận hành hoạt động bình thường của hệ thống máy chủ và dịch vụ:

a) Bảo đảm cho hệ điều hành, phần mềm cài đặt trên máy chủ hoạt động liên tục, ổn định và an toàn.

b) Thường xuyên kiểm tra cấu hình, các file nhật ký hoạt động của hệ điều hành, phần mềm nhằm kịp thời phát hiện và xử lý những sự cố nếu có.

c) Quản lý các thay đổi cấu hình kỹ thuật của hệ điều hành, phần mềm.

d) Thường xuyên cập nhật các bản vá lỗi hệ điều hành, phần mềm từ nhà cung cấp.

đ) Loại bỏ các thành phần của hệ điều hành, phần mềm không cần thiết hoặc không còn nhu cầu sử dụng.

e) Các bản quyền phần mềm cần được thống kê, quản lý thời gian hạn phục vụ cho việc gia hạn.

2. Truy cập mạng của máy chủ:

Bảo đảm các kết nối mạng trên máy chủ hoạt động liên tục, ổn định và an toàn. Cấu hình, kiểm soát các kết nối, các cổng dịch vụ từ bên trong đi ra cũng nhưng bên ngoài vào hệ thống.

3. Truy cập và quản trị máy chủ và ứng dụng:

a) Thay đổi các tài khoản, mật khẩu mặc định ngay khi đưa hệ điều hành, phần mềm vào sử dụng.

b) Cấp quyền quản lý truy cập của người sử dụng trên máy chủ cài đặt hệ điều hành.

c) Toàn bộ máy chủ và thiết bị công nghệ thông tin không phải máy tính ngoại trừ các hệ thống bắt buộc phải có giao tiếp với Internet (các hệ thống phục vụ truy cập Internet; cung cấp giao diện ra Internet của trang tin điện tử; phục vụ cập nhật bản vá hệ điều hành, mẫu mã độc, mẫu điểm yếu, mẫu tấn công) không được kết nối Internet.

d) Sử dụng cơ chế xác thực đa nhân tố khi truy cập vào các máy chủ trong hệ thống, các tài khoản quản trị của ứng dụng; có cơ chế yêu cầu người sử dụng thay đổi thông tin xác thực định kỳ.

đ) Kiểm tra tính toàn vẹn của các tệp tin hệ thống và tính toàn vẹn của các quyền đã được cấp trên các tài khoản hệ thống.

e) Sử dụng cơ chế mã hóa thông tin xác thực của người sử dụng/bên sử dụng trước khi gửi đến ứng dụng qua môi trường mạng.

g) Xác thực thông tin, nguồn gửi khi trao đổi thông tin trong quá trình quản trị ứng dụng (không phải là thông tin, dữ liệu công khai) qua môi trường mạng.

4. Cập nhật, sao lưu dự phòng và khôi phục sau khi xảy ra sự cố.

5. Cài đặt, gỡ bỏ hệ điều hành, dịch vụ, phần mềm trên hệ thống máy chủ và ứng dụng.

6. Kết nối và gỡ bỏ hệ thống máy chủ và dịch vụ khỏi hệ thống.

7. Cấu hình tối ưu và tăng cường bảo mật (cứng hóa) cho hệ thống máy chủ trước khi đưa vào vận hành, khai thác.

Điều 12. Quản lý an toàn dữ liệu

Thực hiện theo quy định tại khoản 10 Điều 8 (Quy định về an toàn hoạt động) tại Quyết định số 26/2018/QĐ-UBND ngày 20/9/2018 của Uỷ ban nhân dân tỉnh Quảng Ninh về việc ban hành Quy chế quản lý, khai thác và vận hành Trung tâm tích hợp dữ liệu tỉnh Quảng Ninh.

Thực hiện quy định cụ thể về “Yêu cầu an toàn đối với phương pháp mã hóa” như sau:

1. Đơn vị phải xây dựng và áp dụng quy định sử dụng các phương thức mã hóa thích hợp theo các chuẩn quốc gia hoặc quốc tế đã được công nhận để bảo vệ thông tin.

2. Phải có biện pháp quản lý khóa mã hóa thích hợp để hỗ trợ việc sử dụng các kỹ thuật mã hóa.

Điều 13. Quản lý an toàn thiết bị đầu cuối

Thực hiện theo quy định tại khoản 11, Điều 8 (Quy định về an toàn hoạt động) tại Quyết định số 26/2018/QĐ-UBND ngày 20/9/2018 của Uỷ ban nhân dân tỉnh Quảng Ninh về việc ban hành Quy chế quản lý, khai thác và vận hành Trung tâm tích hợp dữ liệu tỉnh Quảng Ninh.

Điều 14. Quản lý phòng chống phần mềm độc hại

Thực hiện theo quy định tại khoản 12, Điều 8 (Quy định về an toàn hoạt động) tại Quyết định số 26/2018/QĐ-UBND ngày 20/9/2018 của Uỷ ban nhân dân tỉnh Quảng Ninh về việc ban hành Quy chế quản lý, khai thác và vận hành Trung tâm tích hợp dữ liệu tỉnh Quảng Ninh.

Điều 15. Quản lý giám sát an toàn hệ thống thông tin

Thực hiện theo quy định tại khoản 13, Điều 8 (Quy định về an toàn hoạt động) tại Quyết định số 26/2018/QĐ-UBND ngày 20/9/2018 của Uỷ ban nhân dân tỉnh Quảng Ninh về việc ban hành Quy chế quản lý, khai thác và vận hành Trung tâm tích hợp dữ liệu tỉnh Quảng Ninh.

Điều 16. Quản lý điểm yếu an toàn thông tin

Thực hiện theo quy định tại khoản 14, Điều 8 (Quy định về an toàn hoạt động) tại Quyết định số 26/2018/QĐ-UBND ngày 20/9/2018 của Uỷ ban nhân dân tỉnh Quảng Ninh về việc ban hành Quy chế quản lý, khai thác và vận hành Trung tâm tích hợp dữ liệu tỉnh Quảng Ninh.

Điều 17. Quản lý sự cố an toàn thông tin

Thực hiện theo quy định tại Điều 9 (Quy định về xử lý sự cố) tại Quyết định số 26/2018/QĐ-UBND ngày 20/9/2018 của UBND tỉnh Quảng Ninh về việc ban hành Quy chế quản lý, khai thác và vận hành Trung tâm tích hợp dữ liệu tỉnh Quảng Ninh. Đồng thời thực hiện các quy định cụ thể như sau:

1. Phân nhóm sự cố an toàn thông tin mạng theo quy định tại Quyết định số 05/2017/QĐ-TTg của Thủ tướng Chính phủ ngày 16/3/2017 quy định về hệ thống phương án ứng cứu khẩn cấp bảo đảm an toàn thông tin mạng quốc gia; xây dựng phương án tiếp nhận, phát hiện, phân loại và xử lý ban đầu sự cố an toàn thông tin mạng, ứng phó sự cố an toàn thông tin mạng.

2. Có phương án tiếp nhận, phát hiện, phân loại và xử lý ban đầu sự cố an toàn thông tin mạng.

3. Có Kế hoạch ứng phó sự cố an toàn thông tin mạng.

4. Giám sát, phát hiện và cảnh báo sự cố an toàn thông tin.

5. Có Quy trình ứng cứu sự cố an toàn thông tin mạng thông thường.

6. Có Quy trình ứng cứu sự cố an toàn thông tin mạng nghiêm trọng.

7. Có cơ chế phối hợp với cơ quan chức năng, các nhóm chuyên gia, bên cung cấp dịch vụ hỗ trợ trong việc xử lý, khắc phục sự cố an toàn thông tin.

8. Định kỳ tổ chức diễn tập phương án xử lý sự cố an toàn thông tin.

Điều 18. Quản lý an toàn người sử dụng đầu cuối

Thực hiện theo quy định tại khoản 15, Điều 8 (Quy định về an toàn hoạt động) tại Quyết định số 26/2018/QĐ-UBND ngày 20/9/2018 của Ủy ban nhân dân tỉnh Quảng Ninh về việc ban hành Quy chế quản lý, khai thác và vận hành Trung tâm tích hợp dữ liệu tỉnh Quảng Ninh.

Điều 19. Quản lý rủi ro an toàn thông tin

1. Phương pháp đánh giá rủi ro

2. Đánh giá rủi ro

a) Xác định rủi ro

Xác định bối cảnh nội bộ và bên ngoài đối với phạm vi áp dụng;

Xác định mối đe dọa liên quan đến các tài sản thông tin;

Xác định các mối đe dọa liên quan đến các hệ thống thông tin quan trọng, các hệ thống thông tin trọng yếu;

Xác định các điểm yếu của tài sản.

b) Phân tích rủi ro

Đánh giá mức độ hiện tại đang áp dụng;

Xác định khả năng xảy ra và tác động;

So sánh tiêu chí chấp nhận rủi ro.

3. Xử lý rủi ro.

a) Biện pháp xử lý rủi ro;

b) Xác định lại giá trị rủi ro;

c) So sánh tiêu chí chấp nhận;

d) Biện pháp xử lý rủi ro theo quy trình khắc phục.

4. Giám sát và đánh giá.

Điều 20. Kết thúc vận hành, khai thác, thanh lý, hủy bỏ

1. Quy định hủy bỏ các thông tin/dữ liệu bảo mật.

2. Quy định về xử lý và hủy bỏ phương tiện lưu trữ điện tử:

a) Thiết bị công nghệ thông tin có chứa dữ liệu (máy tính, thiết bị lưu trữ, ...) khi bị hỏng phải được cán bộ chuyên trách về công nghệ thông tin kiểm tra, sửa chữa, khắc phục. Phải có biện pháp kiểm tra, giám sát bảo đảm không để lọt lộ thông tin hay lây nhiễm mã độc đối với máy tính mang ra bên ngoài sửa chữa, bảo hành.

b) Trước khi tiến hành thanh lý/loại bỏ thiết bị công nghệ thông tin cũ, phải áp dụng các biện pháp kỹ thuật xóa bỏ hoàn toàn dữ liệu người dùng đã tạo ra, bảo đảm không thể phục hồi.

3. Quy định về xử lý thông tin trên các phương tiện và thiết bị công nghệ thông tin: Máy tính cá nhân (PC), máy tính xách tay, máy chủ, các thiết bị mạng, phương tiện lưu trữ như CD/DVD, thẻ nhớ, ổ cứng…

Chương IV

TỔ CHỨC THỰC HIỆN

Điều 21. Trách nhiệm của Sở Thông tin và Truyền thông

1. Chủ trì, hướng dẫn các cơ quan, tổ chức triển khai thực hiện Quy chế này và các quy định có liên quan đến an toàn thông tin mạng.

2. Thành lập hoặc chỉ định đơn vị chuyên trách về an toàn thông tin trong tổ chức.

3. Xây dựng kế hoạch kiểm tra, đánh giá hàng năm tình hình an toàn thông tin tại các cơ quan, đơn vị.

4. Hướng dẫn các cơ quan, đơn vị triển khai lập, trình phê duyệt hồ sơ cấp độ an toàn hệ thống thông tin của đơn vị; thẩm định hồ sơ cấp độ an toàn thông tin các Hệ thống thông tin của các cơ quan đơn vị.

5. Là đầu mối đại diện cho UBND tỉnh tham gia các hoạt động, công tác bảo đảm an toàn thông tin khi có yêu cầu của cấp trên.

6. Tổng hợp, báo cáo Ủy ban nhân dân tỉnh, Bộ Thông tin và Truyền thông về an toàn thông tin trên địa bàn tỉnh.

Điều 22. Trách nhiệm của các đơn vị, tổ chức, cá nhân có hệ thống, thiết bị đặt tại Trung tâm Tích hợp dữ liệu

1. Cử đầu mối phối hợp, liên hệ khi làm việc tại Trung tâm tích hợp dữ liệu tỉnh.

2. Có trách nhiệm xây dựng Quy chế đảm bảo an toàn thông tin cho từng hệ thống, thiết bị của mình theo Nghị định 85 /2016/NĐ-CP ngày 01 tháng 7 năm 2016; Thông tư số 12/2022/TT-BTTTT ngày 12 tháng 8 năm 2022 của Bộ Thông tin và Truyền thông trước khi đặt tại Trung tâm tích hợp dữ liệu tỉnh.

3. Thực hiện nghiêm túc quy chế làm việc tại Trung tâm tích hợp dữ liệu tỉnh và theo sự hướng dẫn của cán bộ quản lý, vận hành Trung tâm tích hợp dữ liệu tỉnh.

4. Sử dụng đúng tài khoản được cấp để truy cập từ xa. Thực hiện nghiêm túc Điều 4 Quy chế này.

5. Các đơn vị có kế hoạch đặt thiết bị tại Trung tâm tích hợp dữ liệu tỉnh cần phải đảm bảo an toàn thông tin cấp độ cho các hệ thống phù hợp. Các thiết bị trước khi lắp đặt phải được kiểm tra và có tem chứng nhận đảm bảo an toàn thông tin của Bộ Công an.

6. Các đơn vị có kế hoạch đặt thiết bị, hệ thống tại Trung tâm tích hợp dữ liệu cần có hồ sơ cấp độ an toàn thông tin cho hệ thống do Ủy ban nhân dân tỉnh quyết định cấp độ hệ thống.

7. Các đơn vị, tổ chức, cá nhân đặt thiết bị, hệ thống tại Trung tâm tích hợp dữ liệu chịu hoàn toàn trách nhiệm khi có sự cố về mất an toàn, an ninh thông tin do hệ thống của mình gây ra.

Điều 23. Trách nhiệm của cơ quan, đơn vị, địa phương

1. Thực hiện trách nhiệm của cơ quan, tổ chức quản lý Hệ thống thông tin của cơ quan, đơn vị, địa phương mình theo quy định tại Quy chế này.

2. Thường xuyên kiểm tra, rà soát việc quản trị, vận hành các hệ thống thông tin của cơ quan, đơn vị, địa phương mình.

3. Căn cứ Chỉ thị số 02/CT-TTg ngày 26/4/2022 của Thủ tướng Chính phủ về phát triển Chính phủ điện tử hướng tới Chính phủ số, thúc đẩy chuyển đổi số quốc gia, đơn vị xem xét ban hành Quy chế bảo đảm an toàn thông tin tại cơ quan, đơn vị, địa phương mình.

4. Tham gia các hoạt động, công tác bảo đảm an toàn thông tin khi có yêu cầu của tổ chức có thẩm quyền.

5. Cử đầu mối phối hợp với Sở Thông tin và Truyền thông tham gia các hoạt động bảo đảm an toàn thông tin mạng trên địa bàn tỉnh.

6. Hàng năm, đề xuất nhu cầu đào tạo, tập huấn, bồi dưỡng kiến thức về đảm bảo an toàn thông tin.

7. Thực hiện báo cáo định kỳ theo quy định tại Điều 21 Quy chế này, báo cáo đột xuất các hoạt động bảo đảm an toàn thông tin mạng của cơ quan, đơn vị, địa phương gửi về Sở Thông tin và Truyền thông để tổng hợp, báo cáo Ủy ban nhân dân tỉnh theo quy định.

Điều 24. Khen thưởng, xử lý vi phạm

1. Các cơ quan, đơn vị khen thưởng đối với tổ chức, cá nhân triển khai tốt các hoạt động bảo đảm an toàn thông tin mạng theo quy định của pháp luật về thi đua, khen thưởng và quy chế khen thưởng tại cơ quan, đơn vị.

2. Cơ quan, cá nhân vi phạm Quy chế này, thì tùy theo tính chất và mức độ vi phạm sẽ bị xem xét xử lý kỷ luật theo quy định của pháp luật.

Điều 25. Điều khoản thi hành

1. Sở Thông tin và Truyền thông chịu trách nhiệm chủ trì, phối hợp với các cơ quan, đơn vị có liên quan hướng dẫn, triển khai và kiểm tra, đôn đốc việc thực hiện Quy chế này.

2. Thủ trưởng các cơ quan, đơn vị trên địa bàn tỉnh và tổ chức có liên quan trong phạm vi chức năng nhiệm vụ của mình, có trách nhiệm tổ chức triển khai thực hiện nghiêm Quy chế.

3. Trong quá trình thực hiện, nếu có khó khăn, vướng mắc cần sửa đổi, bổ sung, các cơ quan, đơn vị, địa phương phản ánh về Sở Thông tin và Truyền thông để tổng hợp, báo cáo Ủy ban nhân dân tỉnh xem xét, quyết định.

Điều 26. Xây dựng và công bố Quy chế

1. Quy chế được lấy ý kiến cấp có thẩm quyền, đơn vị liên quan trước khi công bố áp dụng.

2. Quy chế được công bố trước khi áp dụng.

3. Tổ chức tuyên truyền, phổ biến cho toàn bộ công chức, viên chức trong tổ chức.

Điều 27. Rà soát, cập nhật, bổ sung Quy chế

1. Định kỳ hàng năm hoặc khi có thay đổi chính sách an toàn thông tin kiểm tra lại tính phù hợp và thực hiện rà soát, cập nhật, bổ sung Quy chế bảo đảm an toàn thông tin.

2. Có hồ sơ lưu lại thông tin phản hồi của đối tượng áp dụng. Trong quá trình thực hiện, nếu có những vấn đề vướng mắc cần sửa đổi, bổ sung, Sở Thông tin và Truyền thông tổng hợp, đề xuất Ủy ban nhân dân tỉnh xem xét, quyết định./.

HIỆU LỰC VĂN BẢN

Quyết định 36/2023/QĐ-UBND năm 2023 về Quy chế bảo đảm an toàn thông tin mạng cho các hệ thống thông tin cấp độ 3 tại Trung tâm tích hợp dữ liệu tỉnh do tỉnh Quảng Ninh ban hành

  • Số hiệu: 36/2023/QĐ-UBND
  • Loại văn bản: Quyết định
  • Ngày ban hành: 25/12/2023
  • Nơi ban hành: Tỉnh Quảng Ninh
  • Người ký: Cao Tường Huy
  • Ngày công báo: Đang cập nhật
  • Số công báo: Đang cập nhật
  • Ngày hiệu lực: 15/01/2024
  • Tình trạng hiệu lực: Còn hiệu lực
Tải văn bản