Hệ thống pháp luật

ỦY BAN NHÂN DÂN
TỈNH THÁI BÌNH
-------

CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM
Độc lập - Tự do - Hạnh phúc
---------------

Số: 1874/QĐ-UBND

Thái Bình, ngày 13 tháng 7 năm 2017

 

QUYẾT ĐỊNH

BAN HÀNH QUY ĐỊNH ĐẢM BẢO AN TOÀN THÔNG TIN MẠNG TRONG HOẠT ĐỘNG ỨNG DỤNG CÔNG NGHỆ THÔNG TIN CỦA CÁC CƠ QUAN, ĐƠN VỊ TRÊN ĐỊA BÀN TỈNH

ỦY BAN NHÂN DÂN TỈNH THÁI BÌNH

Căn cứ Luật Tổ chức Chính quyền địa phương ngày 19/6/2015;

Căn cứ Luật Giao dịch điện tử ngày 29/11/2005; Luật Công nghệ thông tin ngày 29/6/2006; Luật An toàn thông tin mạng ngày 19/11/2015;

Căn cứ các Nghị định của Chính phủ: Nghị định số 64/2007/NĐ-CP ngày 10/4/2007 về ứng dụng công nghệ thông tin trong hoạt động của cơ quan Nhà nước; Nghị định số 90/2008/NĐ-CP ngày 13/8/2008 về chống thư rác; Nghị định số 77/2012/NĐ-CP ngày 05/10/2012 về sửa đổi, bổ sung một số điều của Nghị định số 90/2008/NĐ-CP ngay 13/8/2008 của Chính phủ về chống thư rác; Nghị định số 72/2013/NĐ-CP ngày 15/7/2013 về quản lý, cung cấp, sử dụng dịch vụ Internet và thông tin trên mạng; Nghị định số 85/2016/NĐ-CP ngày 01/7/2016 về bảo đảm an toàn hệ thống thông tin theo cấp độ; Nghị định số 142/2016/NĐ-CP ngày 14/10/2016 về ngăn chặn xung đột thông tin trên mạng;

Căn cứ Quyết định số 898/QĐ-TTg ngày 27/5/2016 của Thủ tướng Chính phủ phê duyệt phương hướng, mục tiêu, nhiệm vụ bảo đảm an toàn thông tin mạng giai đoạn 2016 - 2020;

Căn cứ Quyết định số 05/2017/QĐ-TTg ngày 16/3/2017 của Thủ tướng Chính phủ quy định về hệ thống phương án ứng cứu khẩn cấp bảo đảm an toàn thông tin mạng quốc gia;

Căn cứ Thông tư số 27/2011/TT-BTTTT ngày 04/10/2011 của Bộ Thông tin và Truyền thông quy định về điều phối các hoạt động ứng cứu sự cố mạng Internet Việt Nam;

Xét đề nghị của Giám đốc Sở Thông tin và Truyền thông tại Tờ trình số 21/TTr-STTTT ngày 19/6/2017,

QUYẾT ĐỊNH:

Điều 1. Ban hành kèm theo Quyết định này Quy định đảm bảo an toàn thông tin mạng trong hoạt động ứng dụng công nghệ thông tin của các cơ quan nhà nước trên địa bàn tỉnh.

Điều 2. Quyết định này có hiệu lực kể từ ngày ký ban hành.

Điều 3. Chánh Văn phòng Ủy ban nhân dân tỉnh; Giám đốc Sở Thông tin và Truyền thông; Thủ trưởng các sở, ban, ngành thuộc tỉnh; Chủ tịch Ủy ban nhân dân huyện, thành phố; Chủ tịch Ủy ban nhân dân xã, phường, thị trấn; các doanh nghiệp viễn thông, công nghệ thông tin trên địa bàn và các tổ chức, cá nhân có liên quan chịu trách nhiệm thi hành Quyết định này./.

 


Nơi nhận:
- Như Điều 3;
- Bộ Thông tin và Truyền thông;
- Chủ tịch, các PCT UBND tỉnh;
- Lưu: VT, KGVX.

TM. ỦY BAN NHÂN DÂN TỈNH
KT. CHỦ TỊCH
PHÓ CHỦ TỊCH




Nguyễn Hoàng Giang

 

QUY ĐỊNH

ĐẢM BẢO AN TOÀN THÔNG TIN MẠNG TRONG HOẠT ĐỘNG ỨNG DỤNG CÔNG NGHỆ THÔNG TIN CỦA CÁC CƠ QUAN, ĐƠN VỊ TRÊN ĐỊA BÀN TỈNH
(Ban hành kèm theo Quyết định số: 1874/QĐ-UBND ngày 13/7/2017 của Ủy ban nhân dân tỉnh)

Chương I

NHỮNG QUY ĐỊNH CHUNG

Điều 1. Phạm vi điều chỉnh

Quy định này bao gồm các nội dung về công tác đảm bảo an toàn thông tin mạng trong thiết kế, xây dựng, quản lý, vận hành, sử dụng, nâng cấp hệ thống thông tin của các cơ quan, đơn vị trên địa bàn tỉnh.

Điều 2. Đối tượng áp dụng

1. Các sở, ban, ngành; Ủy ban nhân dân huyện, thành phố; các đơn vị sự nghiệp thuộc tỉnh; Ủy ban nhân dân xã, phường, thị trấn; các tổ chức, đoàn thể (sau đây gọi tắt là các cơ quan, đơn vị).

2. Các doanh nghiệp viễn thông, công nghệ thông tin và các đơn vị có tham gia vào các hoạt động ứng dụng công nghệ thông tin của tỉnh.

3. Cán bộ, công chức, viên chức và người lao động đang công tác trong các cơ quan, đơn vị nêu tại khoản 1, khoản 2 Điều này và những cá nhân, tổ chức có liên quan áp dụng quy định này trong việc vận hành, khai thác các hệ thống công nghệ thông tin dùng chung của tỉnh, các hệ thống thông tin tại các cơ quan, đơn vị.

Điều 3. Giải thích từ ngữ

Trong Quy định này, các từ ngữ dưới đây được hiểu như sau:

1. Hệ thống thông tin dùng chung của tỉnh, hệ thống thông tin tại các cơ quan đơn vị là tập hợp các thiết bị viễn thông, công nghệ thông tin bao gồm phần cứng, phần mềm và cơ sở dữ liệu phục vụ cho hoạt động lưu trữ, xử lý, truyền đưa, chia sẻ, trao đổi, cung cấp và sử dụng thông tin số tại Trung tâm Tích hợp dữ liệu của tỉnh, tại các cơ quan, đơn vị.

2. Trung tâm Tích hợp dữ liệu của tỉnh là một công trình bao gồm: Nhà trạm, hệ thống cáp và hệ thống máy tính cùng các thiết bị phụ trợ lắp đặt vào đó để lưu trữ, trao đổi và quản lý tập trung dữ liệu của tỉnh.

3. An toàn thông tin mạng là sự bảo vệ thông tin và các hệ thống thông tin tránh bị truy nhập, sử dụng, tiết lộ, gián đoạn, sửa đổi hoặc phá hoại trái phép nhằm bảo đảm tính nguyên vẹn, tính bảo mật và tính khả dụng của thông tin.

4. Thiết bị di động thông minh được hiểu là thiết bị di động tích hợp một nền tảng hệ điều hành di động với nhiều tính năng hỗ trợ tiên tiến về điện toán và kết nối dựa trên nền tảng cơ bản của thiết bị di động thông thường.

Điều 4. Các hành vi bị nghiêm cấm

1. Tạo ra, cài đặt, phát tán virus máy tính, phần mềm độc hại trái pháp luật.

2. Xâm nhập, sửa đổi, xóa bỏ nội dung thông tin của cơ quan, cá nhân khác.

3. Cản trở hoạt động cung cấp dịch vụ của hệ thống thông tin.

4. Ngăn chặn việc truy nhập đến thông tin của cơ quan, cá nhân khác trên môi trường mạng, trừ trường hợp pháp luật cho phép.

5. Bẻ khóa, trộm cắp, sử dụng mật khẩu, khóa mật mã và thông tin của cơ quan, cá nhân khác trên môi trường mạng.

6. Các hành vi khác làm mất an toàn, bí mật thông tin của cơ quan, cá nhân khác được trao đổi, truyền đưa, lưu trữ trên môi trường mạng.

Chương II

NỘI DUNG ĐẢM BẢO AN TOÀN THÔNG TIN MẠNG

Điều 5. Các quy định chung về đảm bảo an toàn thông tin

1. Các văn bản có nội dung mật không được truyền trên mạng mà phải được quản lý theo chế độ mật theo quy định pháp luật hiện hành. Không sử dụng các thiết bị di động thông minh để soạn thảo văn bản, lưu giữ thông tin có nội dung mật theo quy định. Trường hợp đặc biệt, cần truyền thông tin mật trên mạng phải được Thủ trưởng cơ quan, đơn vị cho phép, trước khi truyền thông tin phải được mã hóa theo quy định của Luật Cơ yếu. Các thiết bị viễn thông, máy tính được sử dụng để lưu giữ và truyền thông tin bí mật nhà nước phải được chứng nhận của cơ quan chức năng kiểm tra, kiểm định trước khi đưa vào sử dụng.

2. Trao đổi văn bản, tài liệu điện tử chỉ thực hiện trên hệ thống thông tin dùng chung của tỉnh và hệ thống thông tin của cơ quan. Không trao đổi văn bản, tài liệu điện tử qua mạng xã hội, qua thư điện tử công cộng (gmail, yahoomail,...), không sử dụng dịch vụ lưu trữ trực tuyến (Google Drive, Dropbox,..) để lưu trữ, chia sẻ văn bản, tài liệu của cơ quan.

3. Các cơ quan, đơn vị phải sử dụng phần mềm diệt vius có bản quyền cho 100% máy tính của cơ quan, đơn vị khi kết nối mạng nội bộ, Mạng diện rộng của tỉnh để khai thác sử dụng các hệ thống thông tin dùng chung của tỉnh.

4. Các cơ quan, đơn vị khi quản trị các hệ thống thông tin dùng chung của tỉnh; triển khai, sử dụng hội nghị truyền hình, phần mềm diệt vius tập trung, cơ sở dữ liệu chuyên ngành phải thực hiện trên Mạng diện rộng của tỉnh.

5. Phải có phương án tổ chức sao lưu dữ liệu dự phòng cho mọi dữ liệu quan trọng của tỉnh, của cơ quan, đơn vị mình. Lãnh đạo cơ quan, đơn vị phải chịu trách nhiệm nếu để xảy ra mất mát dữ liệu do không tiến hành sao lưu dự phòng.

6. Để phục vụ hoạt động theo dõi, giám sát, phân tích và điều tra, các cơ quan, đơn vị quản trị các hệ thống công nghệ thông tin phải thực hiện việc lưu trữ nhật ký của các hệ thống công nghệ thông tin tại các máy chủ (của hệ điều hành và các phần mềm ứng dụng) trong thời gian ít nhất là 30 ngày.

7. Các thiết bị viễn thông, máy tính có chứa tài liệu của cơ quan nhà nước khi đưa đi công tác nước ngoài phải thực hiện theo quy định của pháp luật về bảo vệ bí mật nhà nước.

8. Chú trọng phát triển nguồn nhân lực có trình độ về công nghệ thông tin đặc biệt là an toàn thông tin để nâng cao năng lực bảo đảm an toàn thông tin. Tạo điều kiện cho cán bộ phụ trách công nghệ thông tin được đào tạo, bồi dưỡng nâng cao kỹ năng nghiệp vụ về an toàn thông tin.

Điều 6. Đảm bảo an toàn thông tin cho các hệ thống thông tin và các thiết bị công nghệ thông tin

1. Đảm bảo an toàn thông tin cho các hệ thống thông tin dùng chung của tỉnh, bao gồm:

a) Xây dựng giải pháp đảm bảo an toàn thông tin cho các hệ thống công nghệ thông tin dùng chung của tỉnh để tăng hiệu quả sử dụng, tiết kiệm đầu tư, đảm bảo tính liên thông giữa các hệ thống trong Trung tâm Tích hợp dữ liệu của tỉnh;

b) Tổ chức thực hiện giám sát, đánh giá và đảm bảo an toàn thông tin cho các hệ thống thông tin dùng chung và các hệ thống cơ sở dữ liệu quan trọng của tỉnh;

c) Chủ trì, phối hợp với các cơ quan, đơn vị trong tỉnh để thực hiện quản lý chặt chẽ tài khoản người dùng của các hệ thống thông tin dùng chung của tỉnh. Đối với cán bộ, công chức, viên chức đã nghỉ việc, chuyển công tác, phải có biện pháp khóa hoặc hủy tài khoản, quyền truy nhập, thu hồi các thiết bị liên quan tới hệ thống thông tin dùng chung của tỉnh (như chứng thư số,...);

d) Chủ trì, phối hợp với các cơ quan, đơn vị liên quan tổ chức lên phương án sao lưu và phục hồi dữ liệu khi xảy ra sự cố đối với các hệ thống thông tin dùng chung của tỉnh; tổ chức sao lưu dữ liệu các hệ thống thông tin dùng chung của tỉnh và hướng dẫn về sao lưu dự phòng các dữ liệu quan trọng cho các cơ quan nhà nước thuộc tỉnh.

2. Đảm bảo an toàn thông tin cho các hệ thống thiết bị mạng, máy chủ, máy tính cá nhân và các hệ thống lưu trữ tại các cơ quan:

Nội dung bảo vệ hệ thống thông tin được thực hiện theo các quy định tại Điều 22, 23 của Luật an toàn thông tin mạng; Điều 19, 20, 22 của Nghị định số 85/2016/NĐ-CP ngày 01/7/2016 của Chính phủ.

a) Khi xây dựng, nâng cấp, mở rộng hạ tầng kỹ thuật công nghệ thông tin; các hệ thống thông tin của cơ quan, đơn vị phải có phương án đảm bảo an toàn thông tin mạng và phải được Sở Thông tin và Truyền thông thẩm định trước khi trình cấp có thẩm quyền phê duyệt;

b) Việc quản lý gửi thông tin trên mạng phải tuân thủ theo các nội dung quy định tại Điều 10 Luật an toàn thông tin mạng và các quy định sau:

- Việc trao đổi văn bản, tài liệu điện tử của cơ quan (kể cả tài liệu tham khảo) chỉ thực hiện trên các hệ thống ứng dụng công nghệ thông tin dùng chung của tỉnh hoặc trên các phần mềm ứng dụng của nội bộ ngành chuyển giao ứng dụng.

- Khi phát hành và gửi văn bản qua mạng, các cơ quan nhà nước phải thực hiện ký số và xác thực văn bản điện tử trước khi gửi.

c) Máy chủ, máy tính cá nhân, hệ thống lưu trữ nội bộ, thiết bị mạng phải được bảo vệ bởi mật khẩu an toàn, tuyệt đối không sử dụng mật khẩu ngắn, mặc định; thực hiện việc bảo vệ an toàn vật lý cho hệ thống công nghệ thông tin của cơ quan, đơn vị;

d) 100% máy tính tại các cơ quan, đơn vị phải được cài đặt các phần mềm diệt virus có bản quyền. Khi phát hiện hoặc có thông tin trong hệ thống mạng bị lây nhiễm các phần mềm gián điệp, độc hại phải khẩn trương và kiên quyết khắc phục sớm và báo cáo tình hình mất an toàn thông tin mạng thông qua đường dây nóng của Sở Thông tin và Truyền thông;

e) Phối hợp xây dựng phương án, tổ chức khắc phục khi xảy ra sự cố mất an toàn thông tin mạng.

Điều 7. Đảm bảo an toàn thông tin cho Trung tâm Tích hợp dữ liệu của tỉnh

1. Đảm bảo an toàn thông tin cho Trung tâm Tích hợp dữ liệu của tỉnh bao gồm: Các điều kiện về hạ tầng kỹ thuật, an toàn thông tin đối với hệ thống máy chủ thiết bị kết nối mạng đặt tại Trung tâm Tích hợp dữ liệu của tỉnh. Xây dựng giải pháp đảm bảo an toàn thông tin cho dữ liệu của các cơ quan, đơn vị đặt tại Trung tâm Tích hợp dữ liệu của tỉnh nhưng phải đảm bảo thuận lợi cho việc truy xuất và sử dụng các dữ liệu này.

2. Các cơ quan, đơn vị đặt dữ liệu hoặc kết nối vào Trung tâm Tích hợp dữ liệu của tỉnh phải tuân thủ các chính sách an toàn thông tin liên quan đến việc kết nối vào Trung tâm Tích hợp dữ liệu của tỉnh do Sở Thông tin và Truyền thông hướng dẫn.

3. Các cơ quan, đơn vị khi kết nối vào Trung tâm Tích hợp dữ liệu của tỉnh phải tự bảo vệ hệ thống đầu cuối của mình và phải chịu trách nhiệm nếu để tin tặc kiểm soát máy tính và tấn công ngược vào Trung tâm Tích hợp dữ liệu của tỉnh.

Chương III

TRÁCH NHIỆM ĐẢM BẢO AN TOÀN THÔNG TIN

Điều 8. Trách nhiệm chung của các cơ quan, đơn vị

1. Các cơ quan, đơn vị nếu triển khai các hệ thống thông tin độc lập thì phải tuân thủ các quy định tại khoản 2, Điều 6 và khoản 2, khoản 3 Điều 7 của Quy định này đồng thời tự chịu trách nhiệm đảm bảo an toàn thông tin như: Cập nhật kịp thời các bản vá lỗ hổng bảo mật từ nhà cung cấp, nhà sản xuất cho các hệ thống thông tin, cơ sở dữ liệu; có cơ chế sao lưu dữ liệu dự phòng, dữ liệu được lưu trữ tại nơi an toàn để sẵn sàng phục hồi cơ sở dữ liệu khi xảy ra sự cố an toàn thông tin mạng; tổ chức phân quyền truy cập cho các đối tượng người dùng tham gia vận hành, khai thác các hệ thống thông tin đúng quy trình, chặt chẽ gắn với trách nhiệm của từng tổ chức, cá nhân để đảm bảo an toàn thông tin mạng cho các hệ thống thông tin cơ quan, đơn vị đang quản lý, vận hành và phối hợp với Sở Thông tin và Truyền thông khi được yêu cầu.

2. Thủ trưởng các cơ quan, đơn vị có trách nhiệm bố trí cán bộ chuyên trách công nghệ thông tin; giao nhiệm vụ giám sát an toàn hệ thống thông tin của cơ quan quản lý chặt chẽ các tài khoản đã cung cấp cho người dùng trong cơ quan, đơn vị. Cán bộ chuyên trách được đảm bảo điều kiện học tập, tiếp cận công nghệ, kiến thức an toàn bảo mật thông tin trước khi tiến hành các hoạt động quản lý hay kỹ thuật nghiệp vụ.

3. Tuyên truyền, nâng cao nhận thức cho cán bộ công chức, viên chức về các nguy cơ mất an toàn của hệ thống thông tin; tổ chức triển khai thực hiện các quy định tại Quy chế này và chịu trách nhiệm trước Ủy ban nhân dân tỉnh trong công tác đảm bảo an toàn thông tin của cơ quan, đơn vị mình.

4. Trang bị đầy đủ các kiến thức bảo mật cơ bản cho cán bộ công chức, viên chức về an toàn thông tin trước khi cho phép truy nhập và sử dụng hệ thống thông tin dùng chung của tỉnh.

5. Triệt để sử dụng chứng thư số chuyên dùng ký số và xác thực văn bản điện tử để đảm bảo xác định nguồn gốc, tính toàn vẹn của văn bản và mã hóa các tài liệu quan trọng.

6. Phân công cán bộ giám sát, theo dõi thường xuyên hoạt động của Cổng thông tin điện tử của cơ quan để phát hiện kịp thời và có giải pháp xử lý khi bị thay đổi thông tin, bị đăng tải những thông tin lạ.

7. Quan tâm và ưu tiên bố trí kinh phí cho việc mua sắm, nâng cấp các trang thiết bị phần cứng, phần mềm bảo mật để đảm bảo và tăng cường an toàn thông tin trong hoạt động ứng dụng công nghệ thông tin của cơ quan, đơn vị. Duy trì thường xuyên công tác kiểm tra, đánh giá an toàn thông tin đối với hệ thống thông tin của đơn vị.

8. Khi có sự cố hoặc có nguy cơ mất an toàn thông tin phải kịp thời chỉ đạo khắc phục ngay, ưu tiên sử dụng cán bộ kỹ thuật chuyên trách trong cơ quan, đơn vị kịp thời báo cho doanh nghiệp cung cấp dịch vụ và thông báo bằng văn bản cho Sở Thông tin và Truyền thông, cơ quan cấp trên quản lý trực tiếp biết. Trường hợp không khắc phục được thì phối hợp với Sở Thông tin và Truyền thông hoặc cơ quan cấp trên quản lý để được hướng dẫn, hỗ trợ.

9. Xây dựng quy định, quy trình nội bộ về đảm bảo an toàn thông tin trong khai thác, sử dụng các hệ thống thông tin của cơ quan, đơn vị phù hợp với Quy định này và các quy định khác của pháp luật.

10. Khi triển khai đầu tư ứng dụng công nghệ thông tin phải có phương án đảm bảo an toàn thông tin từ khâu thiết kế và phải tự chịu trách nhiệm đảm bảo an toàn thông tin cho các hệ thống thông tin của cơ quan, đơn vị mình.

11. Phối hợp chặt chẽ với Công an tỉnh trong công tác phòng ngừa, đấu tranh, ngăn chặn các hoạt động xâm phạm an toàn, an ninh thông tin.

12. Phối hợp với Sở Thông tin và Truyền thông và các cơ quan, đơn vị liên quan thực hiện công tác kiểm tra khắc phục sự cố đồng thời cung cấp đầy đủ các thông tin khi đoàn kiểm tra yêu cầu. Không được che dấu thông tin về sự cố nhằm gây khó khăn cho các cơ quan chức năng đánh giá thiệt hại để có phương án xử lý.

13. Định kỳ hàng quý, các cơ quan, đơn vị lập báo cáo về tình hình an toàn thông tin và gửi về Sở Thông tin và Truyền thông. Báo cáo cả năm kết quả thực hiện công tác đảm bảo an toàn thông tin tại cơ quan, đơn vị gửi về Sở Thông tin và Truyền thông (trước ngày 15/11) để tổng hợp báo cáo Ban chỉ đạo ứng dụng công nghệ thông tin tỉnh Thái Bình.

Điều 9. Trách nhiệm của Sở Thông tin và Truyền thông

1. Chủ trì, phối hợp với các đơn vị liên quan của Bộ Thông tin và Truyền thông và các cơ quan có liên quan tổ chức thực hiện các giải pháp ngăn chặn xung đột thông tin trên mạng bao gồm: Giám sát, phát hiện, cảnh báo, xác định nguồn gốc khắc phục xung đột thông tin trên mạng; triển khai các phương án bảo vệ thuộc phạm vi quản lý theo quy định của pháp luật.

2. Chủ trì, phối hợp với các cơ quan có liên quan tham mưu, đề xuất Ủy ban nhân dân tỉnh đầu tư trang bị các thiết bị, phần mềm bảo mật chuyên dùng để đáp ứng phương tiện, công cụ nâng cao năng lực đảm bảo an toàn thông tin mạng trong Trung tâm Tích hợp dữ liệu của tỉnh và chịu trách nhiệm trước Ủy ban nhân dân tỉnh trong việc đảm bảo an toàn cho các hệ thống thông tin dùng chung của tỉnh theo quy định tại khoản 1, Điều 6 và khoản 1, Điều 7 của Quy định này.

3. Là cơ quan đầu mối về ứng cứu sự cố máy tính của tỉnh, tham gia vào mạng lưới điều phối ứng cứu sự cố Internet và là đầu mối về tiếp nhận và xử lý các vấn đề liên quan đến các sự cố về an toàn thông tin mạng.

4. Chịu trách nhiệm xây dựng và trình Ủy ban nhân dân tỉnh ban hành các cơ chế, chính sách về đảm bảo an toàn thông tin cho các cơ quan, đơn vị trong tỉnh.

5. Nghiên cứu, tham mưu Ủy ban nhân dân tỉnh xây dựng đội ngũ cán bộ chuyên trách về an toàn thông tin có trình độ đáp ứng yêu cầu theo quy định.

6. Chủ trì hoạt động kiểm tra đánh giá công tác đảm bảo an toàn thông tin trong các cơ quan, đơn vị trong tỉnh và thực hiện đánh giá an toàn thông tin cho các hệ thống thông tin dùng chung của tỉnh.

7. Xây dựng kế hoạch, chương trình, dự án hàng năm để triển khai công tác đảm bảo an toàn thông tin trong hoạt động ứng dụng công nghệ thông tin chung của tỉnh. Đồng thời xây dựng kế hoạch ứng phó sự cố bảo đảm an toàn thông tin mạng của tỉnh Thái Bình trình Ủy ban nhân dân tỉnh phê duyệt.

8. Xây dựng và triển khai các chương trình đào tạo chuyên sâu về an toàn, an ninh thông tin cho cán bộ chuyên trách công nghệ thông tin của các cơ quan, đơn vị; tổ chức hội nghị tuyên truyền an toàn thông tin trong công tác quản lý nhà nước, trong khai khác sử dụng các hệ thống thông tin, cơ sở dữ liệu dùng chung của tỉnh với các đối tượng thuộc phạm vi điều chỉnh của Quy định này.

9. Là đầu mối của tỉnh, phối hợp với Trung tâm ứng cứu khẩn cấp máy tính Việt Nam (VNCERT), các cơ quan, đơn vị có liên quan xử lý, ứng cứu các sự cố mất an toàn thông tin trên địa bàn tỉnh. Chủ động hỗ trợ, hướng dẫn cụ thể về nghiệp vụ quản lý vận hành, kỹ thuật đảm bảo an toàn thông tin cho các cơ quan, đơn vị, các tổ chức, đoàn thể thuộc tỉnh ứng cứu, xử lý sự cố của các hệ thống thông tin trong khả năng và trách nhiệm của mình. Giám sát diễn biến tình hình ứng cứu sự cố và báo cáo Ban Chỉ đạo ứng dụng công nghệ thông tin tỉnh Thái Bình và cơ quan điều phối quốc gia để đề xuất, xin ý kiến chỉ đạo trong trường hợp vượt khả năng xử lý của mình.

10. Thiết lập đường dây nóng, bố trí cán bộ thường trực để tiếp nhận các phản ánh của các cơ quan, đơn vị về nguy cơ gây mất an toàn thông tin; phối hợp hướng dẫn, xử lý kịp thời.

11. Thông báo cho các cơ quan, đơn vị biết và có biện pháp phòng ngừa, ngăn chặn các nguy cơ mất an toàn thông tin do virus, phần mềm gián điệp gây ra.

12. Tổng hợp báo cáo Bộ Thông tin và Truyền thông, cơ quan điều phối quốc gia theo định kỳ và đột xuất khi được yêu cầu.

13. Đẩy mạnh và tăng cường công tác quản lý nhà nước về công tác đảm bảo an toàn thông tin mạng trên địa bàn tỉnh. Theo dõi, đôn đốc việc chấp hành các nội dung của Quy định này.

Điều 10. Trách nhiệm của Công an tỉnh, Bộ chỉ huy quân sự tỉnh

1. Chủ trì, phối hợp với Sở Thông tin và Truyền thông và các ngành liên quan tham mưu cho Chủ tịch Ủy ban nhân dân tỉnh chỉ đạo công tác bảo vệ an ninh chính trị nội bộ; tăng cường nắm bắt, dự báo tình hình; kiểm tra công tác an toàn thông tin mạng đối với các cơ quan, đơn vị trên địa bàn tỉnh.

2. Thường xuyên thông báo cho các cơ quan, đơn vị về phương thức, thủ đoạn của các loại tội phạm xâm phạm an toàn thông tin mạng để có biện pháp phòng ngừa, phát hiện, đấu tranh, ngăn chặn.

3. Chịu trách nhiệm triển khai các biện pháp, công tác nghiệp vụ để kiểm soát, phòng ngừa, điều tra, phát hiện, ngăn chặn kịp thời, xử lý nghiêm minh các hành vi xâm phạm an toàn thông tin mạng; các loại tội phạm lợi dụng hệ thống thông tin gây tổn hại đến an ninh chính trị, an toàn thông tin mạng theo thẩm quyền.

4. Chủ động và sẵn sàng tham gia các hoạt động ứng cứu các sự cố thông tin mạng trên địa bàn tỉnh

Điều 11. Trách nhiệm của Sở Tài chính, Sở Kế hoạch và Đầu tư

Tham mưu Ủy ban nhân dân tỉnh bố trí kinh phí để đầu tư, quản lý, duy trì, vận hành an toàn các hệ thống thông tin dùng chung của tỉnh bao gồm: kinh phí triển khai các nội dung thuộc khoản 7, Điều 9 của Quy định này; kinh phí dự phòng ứng cứu, xử lý sự cố cho các hệ thống thông tin dùng chung của tỉnh; kinh phí tổ chức đào tạo, huấn luyện, diễn tập và hoạt động ứng cứu sự cố; kinh phí giám sát, kiểm tra, rà quét, đánh giá an toàn thông tin; kinh phí hỗ trợ triển khai các hoạt động nghiệp vụ đặc thù bảo đảm an toàn thông tin mạng cho các hệ thống thông tin dùng chung của tỉnh.

Điều 12. Đài Phát thanh và Truyền hình Thái Bình, Báo Thái Bình

Chủ động triển khai để đẩy mạnh các hoạt động tuyên truyền, nâng cao nhận thức về đảm bảo an toàn thông tin mạng trên các phương tiện thông tin đại chúng.

Điều 13. Trách nhiệm của các doanh nghiệp viễn thông, công nghệ thông tin cung cấp hạ tầng, dịch vụ phục vụ ứng dụng công nghệ thông tin trong cơ quan nhà nước

Thực hiện các nội dung liên quan đến hoạt động bảo đảm an toàn thông tin mạng theo Điều 22 Nghị định số 85/2016/NĐ-CP ngày 01/7/2016 của Chính phủ; và các quy định sau:

1. Có trách nhiệm đầu tư, phát triển hạ tầng viễn thông, công nghệ thông tin, đường truyền phục vụ việc phát triển ứng dụng công nghệ thông tin gắn với việc đảm bảo an toàn thông tin mạng. Chủ động phối hợp với Sở Thông tin và Truyền thông và các đơn vị liên quan kiểm tra, phát hiện đối tượng vi phạm an toàn thông tin mạng.

2. Triển khai kế hoạch ứng phó sự cố của doanh nghiệp, dự phòng ứng cứu, xử lý sự cố cho các hệ thống thông tin do doanh nghiệp quản lý; phối hợp giám sát, cung cấp thông tin, tham gia ứng cứu sự cố; tổ chức đào tạo, huấn luyện, diễn tập, duy trì hoạt động ứng cứu sự cố và các nhiệm vụ khác do doanh nghiệp thực hiện.

3. Bảo đảm kinh phí để giám sát, ứng cứu sự cố đảm bảo an toàn thông tin mạng trên các kênh kết nối Internet do doanh nghiệp cung cấp dịch vụ.

4. Viễn thông Thái Bình có trách nhiệm đảm bảo an toàn cho Mạng diện rộng của tỉnh quy định tại Điều 9 của Quyết định số 20/2014/QĐ-UBND ngày 26/9/2014 ban hành Quy chế quản lý, vận hành, sử dụng và bảo đảm an toàn thông tin trên Mạng diện rộng của tỉnh Thái Bình; phối hợp với Sở Thông tin và Truyền thông trong việc xử lý khắc phục sự cố đảm bảo an toàn thông tin trong Mạng diện rộng của tỉnh.

Điều 14. Trách nhiệm của cán bộ, công chức, viên chức, người lao động trong các cơ quan, đơn vị

1. Trách nhiệm của cán bộ chuyên trách hoặc cán bộ được giao phụ trách công nghệ thông tin trong các cơ quan, đơn vị:

a) Tham mưu cho lãnh đạo cơ quan triển khai thực hiện các biện pháp vận hành, quản lý kỹ thuật; thường xuyên nghiên cứu, cập nhật các kiến thức về an toàn, an ninh thông tin, có biện pháp phòng tránh các nguy cơ tiềm ẩn có thể gây mất thông tin khi tiến hành các hoạt động quản lý hay kỹ thuật nghiệp vụ.

b) Tham mưu xây dựng quy định về đảm bảo an toàn cho hệ thống thông tin của cơ quan, đơn vị theo Quy định này.

c) Thường xuyên kiểm tra, thiết lập cấu hình chuẩn cho các thành phần của hệ thống thông tin để đảm bảo duy trì hoạt động thường xuyên của hệ thống thông tin nhưng chỉ cung cấp những chức năng thiết yếu nhất; xác định các chức năng, cổng giao tiếp mạng, giao thức và dịch vụ không cần thiết để cấm hoặc hạn chế sử dụng.

d) Thường xuyên thực hiện việc theo dõi bản ghi nhật ký hệ thống, kiểm soát chặt chẽ việc cài đặt thêm phần mềm vào máy trạm, máy chủ và các sự kiện khác có liên quan để đánh giá, báo cáo các rủi ro và mức độ nghiêm trọng của các rủi ro do sự truy nhập trái phép, sử dụng trái phép, mất, thay đổi hoặc phá hủy thông tin và hệ thống thông tin.

đ) Phối hợp với các cá nhân, các cơ quan, đơn vị có liên quan trong việc kiểm tra, phát hiện và khắc phục các sự cố mất an toàn thông tin.

2. Trách nhiệm của cán bộ, công chức, viên chức, người lao động:

a) Chấp hành nghiêm túc các quy định về an toàn thông tin của cơ quan, đơn vị cũng như các quy định khác của pháp luật, nâng cao ý thức cảnh giác và trách nhiệm đảm bảo an toàn thông tin tại cơ quan, đơn vị.

b) Thường xuyên cập nhật chính sách an toàn thông tin của cơ quan, đơn vị và thực hiện đúng hướng dẫn về an toàn, an ninh thông tin của cán bộ chuyên trách. Hạn chế việc sử dụng chức năng chia sẻ tài nguyên, khi sử dụng chức năng này cần bật thuộc tính bảo mật bằng mật khẩu và thu hồi chức năng ngay sau khi đã sử dụng xong.

c) Các máy tính khi không sử dụng cần thiết lập chế độ tắt chờ (standby) tối đa 30 phút để tránh bị các tin tặc lợi dụng, sử dụng chức năng điều khiển từ xa dùng máy tính của mình tấn công vào các hệ thống thông tin khác.

d) Phải thực hiện quét virus trước khi mở các tập tin đính kèm theo thư điện tử không mở các thư điện tử khi chưa rõ người gửi hoặc tập tin đính kèm có nguồn gốc không rõ ràng để tránh virus, phần mềm gián điệp lây nhiễm máy tính.

đ) Phải đặt mật khẩu an toàn cho máy tính (mật khẩu đăng nhập, mật khẩu bảo vệ màn hình), sử dụng các thiết bị lưu trữ thông tin (USB, ổ cứng gắn ngoài, thẻ nhớ) đảm bảo an toàn, đúng cách để phòng ngừa virus, phần mềm gián điệp xâm nhập máy tính nhằm phá hoại, đánh cắp thông tin.

e) Khi phát hiện sự cố phải báo ngay với thủ trưởng cơ quan và cán bộ chuyên trách hoặc phụ trách công nghệ thông tin của cơ quan, đơn vị để kịp thời ngăn chặn, xử lý.

f) Tham gia đầy đủ các chương trình đào tạo, hội nghị về an toàn thông tin do Sở Thông tin và Truyền thông hoặc các cơ quan, đơn vị chuyên môn tổ chức.

Chương IV

CÔNG TÁC THANH TRA, KIỂM TRA AN TOÀN THÔNG TIN

Điều 15. Kế hoạch thanh tra, kiểm tra hàng năm

1. Định kỳ hàng năm tối thiểu 01 lần, tiến hành kiểm tra đột xuất các cơ quan, đơn vị khi có dấu hiệu vi phạm an toàn thông tin.

2. Sở Thông tin và Truyền thông chủ trì, phối hợp Công an tỉnh và các cơ quan đơn vị có liên quan để tham mưu thành lập Đoàn kiểm tra; xây dựng kế hoạch kiểm tra và tiến hành công tác kiểm tra an toàn thông tin tại tất cả các cơ quan, đơn vị (nếu cần thiết).

Chủ trì hoạt động thanh tra và xử lý các hành vi vi phạm về an toàn thông tin mạng và phát tán tin nhắn rác trên địa bàn tỉnh. Phối hợp với Công an tỉnh tiến hành xử phạt các hành vi vi phạm an toàn thông tin mạng gây thiệt hại cho hệ thống thông tin của các cơ quan, đơn vị, tổ chức, đoàn thể thuộc tỉnh.

Điều 16. Báo cáo sự cố an toàn thông tin mạng

1. Báo cáo sự cố an toàn thông tin mạng:

a) Đơn vị vận hành hệ thống thông tin của các cơ quan có trách nhiệm báo cáo sự cố tới Thủ trưởng cơ quan và Sở Thông tin và Truyền thông ngay khi phát hiện sự cố;

b) Các tổ chức, cá nhân khi phát hiện dấu hiệu tấn công hoặc sự cố an toàn thông tin mạng cần nhanh chóng thông báo cho đơn vị vận hành hệ thống thông tin của cơ quan và các đơn vị có trách nhiệm liên quan.

2. Báo cáo sự cố phải được thực hiện ngay lập tức và được duy trì trong suốt quá trình ứng cứu sự cố gồm: Báo cáo ban đầu; báo cáo diễn biến tình hình; báo cáo phương án ứng cứu cụ thể; báo cáo xin ý kiến chỉ đạo, chỉ huy; báo cáo đề nghị hỗ trợ, phối hợp; báo cáo kết thúc ứng phó.

3. Hình thức báo cáo bằng công văn, fax, thư điện tử, nhắn tin đa phương tiện tới các cá nhân và đơn vị có liên quan theo quy định tại khoản 1 Điều này;

4. Nội dung báo cáo gồm:

a) Tên địa chỉ Đơn vị vận hành hệ thống thông tin; cơ quan chủ quản hệ thống thông tin; hệ thống thông tin bị sự cố; thời điểm phát hiện sự cố;

b) Đầu mối liên lạc về sự cố của đơn vị vận hành hệ thống bị sự cố: Tên, chức vụ, điện thoại, thư điện tử;

c) Mô tả về sự cố: Loại sự cố, hiện tượng, đánh giá sơ bộ mức độ nguy hại, mức độ lây lan, tác động của sự cố đến hoạt động bình thường của tổ chức;

d) Đơn vị cung cấp dịch vụ hạ tầng công nghệ thông tin, viễn thông;

đ) Liệt kê các biện pháp đã triển khai hoặc dự kiến triển khai để xử lý khắc phục sự cố;

e) Các tổ chức, doanh nghiệp đang hỗ trợ ứng cứu, xử lý và kết quả xử lý sự cố tính đến thời điểm báo cáo;

g) Kết quả ứng cứu sự cố ban đầu;

h) Kiến nghị đề xuất hướng ứng cứu xử lý sự cố (nếu có).

5. Nguyên tắc báo cáo, trao đổi thông tin trong ứng cứu sự cố:

a) Cơ quan, đơn vị vận hành hệ thống thông tin báo cáo Thủ trưởng cơ quan, Sở Thông tin và Truyền thông;

b) Sở Thông tin và Truyền thông báo cáo Ban Chỉ đạo ứng dụng công nghệ thông tin tỉnh Thái Bình và cơ quan điều phối quốc gia (nếu cần phối hợp giải quyết);

c) Ban Chỉ đạo ứng dụng công nghệ thông tin tỉnh Thái Bình báo cáo Cơ quan thường trực và Ban Chỉ đạo quốc gia.

Chương V

TỔ CHỨC THỰC HIỆN

Điều 17. Khen thưởng và xử lý vi phạm

1. Hàng năm, Sở Thông tin và Truyền thông dựa trên các điều tra, báo cáo công tác an toàn thông tin của các cơ quan, đơn vị để lập bảng xếp hạng an toàn thông tin, trên cơ sở đó đề xuất Ủy ban nhân dân tỉnh xem xét khen thưởng theo quy định.

2. Các cơ quan, đơn vị, tổ chức, cá nhân có hành vi vi phạm Quy định này, tùy theo tính chất, mức độ vi phạm mà bị xử lý theo quy định của pháp luật.

Điều 18. Điều khoản thi hành

1. Giao Sở Thông tin và Truyền thông chủ trì, phối hợp với các cơ quan, tổ chức có liên quan hướng dẫn, triển khai thực hiện Quy định này.

2. Trong quá trình thực hiện, nếu có vướng mắc phát sinh hoặc các vấn đề cần bổ sung đề nghị các cơ quan, đơn vị kịp thời phản ánh về Sở Thông tin và Truyền thông để tổng hợp, báo cáo Ủy ban nhân dân tỉnh xem xét, quyết định./.

 

HIỆU LỰC VĂN BẢN

Quyết định 1874/QĐ-UBND năm 2017 Quy định đảm bảo an toàn thông tin mạng trong hoạt động ứng dụng công nghệ thông tin của cơ quan nhà nước trên địa bàn tỉnh Thái Bình

  • Số hiệu: 1874/QĐ-UBND
  • Loại văn bản: Quyết định
  • Ngày ban hành: 13/07/2017
  • Nơi ban hành: Tỉnh Thái Bình
  • Người ký: Nguyễn Hoàng Giang
  • Ngày công báo: Đang cập nhật
  • Số công báo: Đang cập nhật
  • Ngày hiệu lực: 13/07/2017
  • Tình trạng hiệu lực: Còn hiệu lực
Tải văn bản