Hệ thống pháp luật

BỘ TÀI CHÍNH
-------

CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM
Độc lập - Tự do - Hạnh phúc
---------------

Số: 1013/QĐ-BTC

Hà Nội, ngày 19 tháng 5 năm 2023

 

QUYẾT ĐỊNH

BAN HÀNH QUY CHẾ AN TOÀN THÔNG TIN MẠNG VÀ AN NINH MẠNG BỘ TÀI CHÍNH

BỘ TRƯỞNG BỘ TÀI CHÍNH

Căn cứ Luật An toàn thông tin mạng số 86/2015/QH13 ngày 19/11/2015;

Căn cứ Luật An ninh mạng số 24/2018/QH14 ngày 12/6/2018;

Căn cứ Luật Bảo vệ bí mật nhà nước số 29/2018/QH14 ngày 15/11/2018;

Căn cứ Nghị định số 85/2016/NĐ-CP ngày 01/7/2016 của Chính phủ về bảo đảm an toàn hệ thống thông tin theo cấp độ;

Căn cứ Nghị định số 142/201 6/NĐ-CP ngày 01/7/2016 của Chính phủ về ngăn chặn xung đột thông tin trên mạng;

Căn cứ Nghị định số 53/2022/NĐ-CP ngày 15/8/2022 của Chính phủ về việc quy định chi tiết một số điều của Luật An ninh mạng;

Căn cứ Nghị định số 13/2023/NĐ-CP ngày 17/4/2023 của Chính phủ về bảo vệ dữ liệu cá nhân;

Căn cứ Nghị định số 14/2023/NĐ-CP ngày 20/4/2023 của Chính phủ quy định chức năng, nhiệm vụ, quyền hạn và cơ cấu tổ chức của Bộ Tài chính;

Căn cứ Quyết định số 05/2017/QĐ-TTg ngày 16/3/2017 của Thủ tướng Chính phủ ban hành Quy định về hệ thống phương án ứng cứu khẩn cấp bảo đảm an toàn thông tin mạng quốc gia;

Căn cứ Thông tư số 20/2017/TT-BTTTT ngày 12/9/2017 của Bộ Thông tin và Truyền thông quy định về điều phối, ứng cứu sự cố an toàn thông tin mạng trên toàn quốc;

Căn cứ Thông tư số 31/2017/TT-BTTTT ngày 15/11/2017 của Bộ Thông tin và Truyền thông quy định hoạt động giám sát an toàn hệ thống thông tin;

Căn cứ Thông tư số 12/2022/TT-BTTTT ngày 12/8/2022 của Bộ Thông tin và Truyền thông quy định chi tiết và hướng dẫn một số điều của Nghị định số 85/2016/NĐ-CP ngày 01/7/2016 của Chính phủ về bảo đảm an toàn hệ thống thông tin theo cấp độ;

Theo đề nghị của Cục trưởng Cục Tin học và Thống kê tài chính,

QUYẾT ĐỊNH:

Điều 1. Ban hành kèm theo Quyết định này Quy chế An toàn thông tin mạng và An ninh mạng Bộ Tài chính.

Điều 2. Quyết định này có hiệu lực từ ngày ký, thay thế Quyết định số 201/QĐ-BTC ngày 12/02/2018 của Bộ trưởng Bộ Tài chính về việc ban hành Quy chế An toàn thông tin mạng Bộ Tài chính.

Điều 3. Cục trưởng Cục Tin học và thống kê tài chính, Thủ trưởng các tổ chức hành chính, sự nghiệp thuộc cơ cấu tổ chức của Bộ Tài chính; các đơn vị và cá nhân thuộc Bộ Tài chính có liên quan chịu trách nhiệm thi hành Quyết định này./.

 


Nơi nhận:
- Như Điều 3;
- Bộ Thông tin và Truyền thông;
- Bộ Công an;
- Bộ Quốc phòng;
- Cổng thông tin điện tử Bộ Tài chính;
- Lưu: VT, THTK.

KT. BỘ TRƯỞNG
THỨ TRƯỞNG




Nguyễn Đức Chi

 

QUY CHẾ

AN TOÀN THÔNG TIN MẠNG VÀ AN NINH MẠNG BỘ TÀI CHÍNH
(Kèm theo Quyết định số 1013/QĐ-BTC ngày 19 tháng 5 năm 2023 của Bộ Tài chính)

Chương I

QUY ĐỊNH CHUNG

Điều 1. Phạm vi điều chỉnh, đối tượng áp dụng

1. Quy chế này quy định về công tác an toàn thông tin mạng và an ninh mạng của Bộ Tài chính.

2. Quy chế này áp dụng với các tổ chức hành chính, sự nghiệp thuộc cơ cấu tổ chức của Bộ Tài chính (theo Nghị định số 14/2023/NĐ-CP ngày 20/4/2023 của Chính phủ quy định về chức năng, nhiệm vụ, quyền hạn và cơ cấu tổ chức của Bộ Tài chính).

Điều 2. Giải thích từ ngữ sử dụng trong Quy chế

1. An toàn an ninh mạng là viết tắt của an toàn thông tin mạng và an ninh mạng; được sử dụng khi nội dung quy định tại Quy chế áp dụng đồng thời quy định của pháp luật về an toàn thông tin mạng và an ninh mạng.

2. An toàn thông tin mạng là sự bảo vệ thông tin, hệ thống thông tin trên mạng tránh bị truy nhập, sử dụng, tiết lộ, gián đoạn, sửa đổi hoặc phá hoại trái phép nhằm bảo đảm tính nguyên vẹn, tính bảo mật và tính khả dụng của thông tin.

3. An ninh mạng là sự bảo đảm hoạt động trên không gian mạng không gây phương hại đến an ninh quốc gia, trật tự, an toàn xã hội, quyền và lợi ích hợp pháp của cơ quan, tổ chức, cá nhân.

4. Mạng là môi trường trong đó thông tin được cung cấp, truyền đưa, thu thập, xử lý, lưu trữ và trao đổi thông qua mạng viễn thông và mạng máy tính.

5. Hệ thống thông tin là tập hợp phần cứng, phần mềm và cơ sở dữ liệu được thiết lập phục vụ mục đích tạo lập, cung cấp, truyền đưa, thu thập, xử lý, lưu trữ và trao đổi thông tin trên mạng.

6. Thiết bị xử lý thông tin là thiết bị dùng để tạo lập, xử lý, lưu trữ, truyền đưa thông tin dưới dạng điện tử (máy tính, máy in, điện thoại thông minh, thiết bị mạng, thiết bị an ninh mạng, camera giám sát và các thiết bị tương tự khác).

7. Người dùng là cán bộ, công chức, viên chức, người lao động tại các đơn vị thuộc Bộ Tài chính sử dụng máy tính để xử lý công việc.

8. Tổng cục là đơn vị cấp Tổng cục hoặc tương đương thuộc Bộ Tài chính (Tổng cục Thuế, Tổng cục Hải quan, Tổng cục Dự trữ Nhà nước, Kho bạc Nhà nước, Ủy ban Chứng khoán Nhà nước).

9. Cơ quan Bộ là bao gồm các tổ chức cấp Vụ, Cục và tương đương trực thuộc Bộ Tài chính và các tổ chức, đơn vị sử dụng hệ thống mạng nội bộ tại trụ sở Bộ Tài chính tại Hà Nội và trụ sở Đại diện Văn phòng Bộ Tài chính tại Thành phố Hồ Chí Minh.

Điều 3. Nguyên tắc an toàn an ninh mạng tại Bộ Tài chính

1. Tuân thủ quy định của pháp luật về an toàn thông tin mạng, an ninh mạng; bảo vệ bí mật nhà nước, bí mật công tác, dữ liệu cá nhân; giao dịch điện tử và các quy định khác có liên quan. Trường hợp có văn bản quy định cập nhật, thay thế hoặc quy định khác tại văn bản quy phạm pháp luật, quyết định của cấp có thẩm quyền cao hơn thì áp dụng quy định tại văn bản đó.

2. Phân cấp, ủy quyền trách nhiệm bảo đảm an toàn an ninh mạng phù hợp với tổ chức bộ máy và phương thức làm việc của Bộ Tài chính.

3. An toàn an ninh mạng phải gắn liền và hỗ trợ các hoạt động ứng dụng công nghệ thông tin, giao dịch điện tử, chuyển đổi số của Bộ Tài chính; hỗ trợ việc sử dụng thiết bị xử lý thông tin để xử lý công việc của cán bộ, công chức, viên chức, người lao động thuộc Bộ Tài chính.

4. Ứng cứu sự cố an toàn an ninh mạng là hoạt động quan trọng nhằm phát hiện, ngăn chặn, xử lý và khắc phục kịp thời sự cố an toàn an ninh mạng.

5. Mỗi cán bộ, công chức, viên chức, người lao động tại các đơn vị thuộc Bộ Tài chính nêu cao tinh thần chủ động, tự giác trong việc áp dụng các biện pháp an toàn an ninh mạng.

Chương II

PHÂN CÔNG NHIỆM VỤ AN TOÀN AN NINH MẠNG

Điều 4. Phân công thực hiện các vai trò về bảo đảm an toàn thông tin mạng, an ninh mạng theo quy định của pháp luật

1. Chủ quản hệ thống thông tin:

a) Bộ Tài chính là chủ quản của hệ thống thông tin được xây dựng, thiết lập, nâng cấp, mở rộng từ dự án hoặc kế hoạch thuê dịch vụ thuộc thẩm quyền phê duyệt của Bộ trưởng Bộ Tài chính; chủ quản của hệ thống thông tin được xây dựng, thiết lập, nâng cấp, mở rộng từ dự án, kế hoạch thuê dịch vụ, đề cương và dự toán chi tiết thuộc thẩm quyền phê duyệt của đơn vị thuộc Cơ quan Bộ, đơn vị sự nghiệp trực thuộc Bộ.

Bộ Tài chính ủy quyền cho Tổng cục thực hiện trách nhiệm của chủ quản hệ thống thông tin đối với hệ thống thông tin do Tổng cục làm chủ đầu tư dự án, chủ trì thực hiện kế hoạch thuê dịch vụ. Đơn vị được ủy quyền chủ quản hệ thống thông tin thực hiện đầy đủ trách nhiệm của chủ quản hệ thống thông tin theo quy định của pháp luật về an toàn an ninh mạng và quy định tại Quy chế này. Việc ủy quyền được kết thúc tại thời điểm hệ thống thông tin được Bộ Tài chính phê duyệt kết thúc sử dụng hoặc được Bộ Tài chính chuyển giao trách nhiệm chủ quản cho đơn vị khác theo quy định hiện hành. Phạm vi của hệ thống thông tin được ủy quyền quy định tại quyết định phê duyệt đầu tư dự án; kế hoạch thuê dịch vụ công nghệ thông tin; đề cương và dự toán chi tiết.

b) Tổng cục là chủ quản của hệ thống thông tin được xây dựng, thiết lập, nâng cấp, mở rộng từ dự án, kế hoạch thuê dịch vụ, đề cương và dự toán chi tiết thuộc thẩm quyền phê duyệt của Tổng cục, đơn vị thuộc Tổng cục.

c) Trường hợp hệ thống thông tin liên quan đến đơn vị thuộc đối tượng áp dụng của Quy chế này nhưng không thuộc phạm vi quy định tại điểm a, b của khoản 1 Điều này, Cục trưởng Cục Tin học và Thống kê tài chính báo cáo Bộ trưởng Bộ Tài chính quyết định đơn vị chủ quản hệ thống thông tin hoặc ủy quyền thực hiện trách nhiệm của chủ quản hệ thống thông tin theo quy định của pháp luật.

2. Đơn vị vận hành hệ thống thông tin:

a) Đơn vị thuộc Cơ quan Bộ (bao gồm Cục Tin học và Thống kê tài chính), đơn vị sự nghiệp trực thuộc Bộ chủ trì xây dựng, thiết lập, nâng cấp, mở rộng, bảo trì, bảo dưỡng, duy trì hoạt động lớp ứng dụng hoặc cơ sở dữ liệu của hệ thống thông tin thực hiện vai trò đơn vị vận hành hệ thống thông tin. Cục Tin học và Thống kê tài chính là đơn vị vận hành hệ thống mạng nội bộ và hệ thống an toàn an ninh mạng của Cơ quan Bộ; hệ thống mạng trục của Hạ tầng truyền thông thống nhất ngành Tài chính và các hệ thống thông tin khác theo quyết định của Bộ trưởng Bộ Tài chính.

b) Đối với hệ thống thông tin do Tổng cục làm chủ quản, Tổng cục chỉ định đơn vị vận hành hệ thống thông tin.

c) Trường hợp hệ thống thông tin đang trong thời gian thuê dịch vụ công nghệ thông tin, đơn vị cung cấp dịch vụ thực hiện vai trò đơn vị vận hành hệ thống thông tin.

3. Đơn vị chuyên trách an toàn an ninh mạng:

a) Cục Tin học và Thống kê tài chính đảm nhiệm vai trò đơn vị chuyên trách an toàn an ninh mạng của Bộ Tài chính.

b) Đơn vị chuyên trách công nghệ thông tin trực thuộc Tổng cục đảm nhiệm vai trò đơn vị chuyên trách an toàn an ninh mạng của Tổng cục.

c) Chủ quản hệ thống thông tin thành lập hoặc chỉ định bộ phận chuyên trách an toàn an ninh mạng thuộc đơn vị chuyên trách an toàn an ninh mạng của chủ quản hệ thống thông tin.

4. Ban Chỉ đạo Chuyển đổi số của Bộ Tài chính đồng thời đảm nhiệm vai trò Ban Chỉ đạo ứng cứu sự cố an toàn an ninh mạng Bộ Tài chính.

5. Đơn vị chuyên trách về ứng cứu sự cố an toàn an ninh mạng (gọi tắt là Đơn vị chuyên trách ứng cứu sự cố):

a) Cục Tin học và Thống kê tài chính đảm nhiệm vai trò đơn vị chuyên trách ứng cứu sự cố của Bộ Tài chính, chịu trách nhiệm triển khai công tác ứng cứu sự cố các hệ thống thông tin do Bộ Tài chính làm chủ quản (không bao gồm các hệ thống thông tin mà Bộ đã ủy quyền thực hiện trách nhiệm của chủ quản hệ thống thông tin).

b) Đơn vị chuyên trách an toàn an ninh mạng của Tổng cục đảm nhiệm vai trò đơn vị chuyên trách ứng cứu sự cố của Tổng cục.

c) Đơn vị chuyên trách ứng cứu sự cố trình chủ quản hệ thống thông tin thành lập Đội ứng cứu sự cố và tổ chức hoạt động ứng cứu sự cố trong lĩnh vực, địa bàn, phạm vi mình quản lý.

6. Lực lượng bảo vệ an ninh mạng Bộ Tài chính bao gồm bộ phận chuyên trách an toàn an ninh mạng thuộc Cục Tin học và Thống kê tài chính; bộ phận chuyên trách an toàn an ninh mạng thuộc đơn vị chuyên trách công nghệ thông tin trực thuộc Tổng cục; các Đội ứng cứu sự cố thuộc Bộ Tài chính.

7. Đơn vị, bộ phận được phân công đảm nhiệm vai trò bảo đảm an toàn an ninh mạng tại điểm 1 đến điểm 6 Điều này thực hiện trách nhiệm theo quy định của pháp luật áp dụng cho vai trò tương ứng và theo quy định tại Quy chế này.

Điều 5. Thẩm quyền thực hiện thủ tục xác định cấp độ an toàn hệ thống thông tin, xác định hệ thống thông tin quan trọng về an ninh quốc gia

1. Thẩm quyền thực hiện thủ tục xác định cấp độ an toàn hệ thống thông tin:

a) Thẩm quyền thực hiện thủ tục xác định cấp độ an toàn hệ thống thông tin thực hiện theo quy định tại Điều 12, 13, 14 Nghị định số 85/2016/NĐ-CP. Đối với hệ thống thông tin đề xuất cấp độ 3 do Bộ Tài chính làm chủ quản (không bao gồm hệ thống thông tin dã được Bộ Tài chính ủy quyền thực hiện trách nhiệm của chủ quản hệ thống thông tin), Bộ trưởng Bộ Tài chính ủy quyền cho Cục trưởng Cục Tin học và Thống kê tài chính ký Quyết định phê duyệt hồ sơ đề xuất cấp độ.

b) Trường hợp đơn vị chuyên trách an toàn an ninh mạng đồng thời là đơn vị vận hành hệ thống thông tin, đơn vị chuyên trách an toàn an ninh mạng trình chủ quản hệ thống thông tin thành lập Hội đồng thẩm định độc lập thực hiện nhiệm vụ thẩm định Hồ sơ đề xuất cấp độ.

2. Thẩm quyền thực hiện thủ tục xác định hệ thống thông tin quan trọng về an ninh quốc gia:

a) Đối với hệ thống thông tin đề xuất cấp độ 4, 5 trong quá trình thẩm định hồ sơ đề xuất cấp độ được cơ quan thẩm định xác định đáp ứng tiêu chí đưa vào Danh mục hệ thống thông tin quan trọng về an ninh quốc gia, chủ quản hệ thống thông tin báo cáo Lãnh đạo Bộ Tài chính (thông qua Cục Tin học và Thống kê tài chính) và thực hiện điều chỉnh, bổ sung hồ sơ theo hướng dẫn của Bộ Công an (nếu được yêu cầu).

b) Đối với hệ thống thông tin đề xuất cấp độ 1, 2, 3 đáp ứng tiêu chí hệ thống thông tin quan trọng về an ninh quốc gia (theo quy định tại Điều 10 Luật An ninh mạng và Điều 3 Nghị định số 53/2022/NĐ-CP):

- Trường hợp hệ thống thông tin do Bộ Tài chính làm chủ quản, Cục Tin học và Thống kê tài chính phối hợp với đơn vị vận hành hệ thống thông tin lập hồ sơ đề nghị đưa hệ thống vào Danh mục hệ thống thông tin quan trọng về an ninh quốc gia, trình Bộ trưởng Bộ Tài chính gửi Bộ Công an thẩm định.

- Trường hợp hệ thống thông tin do Tổng cục làm chủ quản, Tổng cục tổ chức lập hồ sơ đề nghị đưa hệ thống vào Danh mục hệ thống thông tin quan trọng về an ninh quốc gia, trình Bộ trưởng Bộ Tài chính (thông qua Cục Tin học và Thống kê tài chính). Sau khi được Lãnh đạo Bộ Tài chính phê duyệt nội dung lấy ý kiến thẩm định, thủ trưởng đơn vị chủ quản hệ thống thông tin thừa lệnh Bộ trưởng, ký công văn gửi Bộ Công an.

Điều 6. Bảo đảm an toàn an ninh mạng đối với hệ thống thông tin, thiết bị xử lý thông tin

1. Chủ quản hệ thống thông tin, đơn vị vận hành hệ thống thông tin, đơn vị chuyên trách an toàn an ninh mạng thực hiện các nhiệm vụ sau:

a) Xác định cấp độ an toàn của hệ thống thông tin (lập hồ sơ đề xuất cấp độ; tổ chức thẩm định, phê duyệt hồ sơ đề xuất cấp độ) và triển khai phương án bảo đảm an toàn hệ thống thông tin theo cấp độ theo quy định từ Điều 13 đến Điều 19 của Nghị định số 85/2016/NĐ-CP; từ Điều 7 đến Điều 10 của Thông tư số 12/2022/TT-BTTTT và khoản 1 Điều 5 của Quy chế này. Việc xác định hệ thống thông tin, bao gồm hệ thống thông tin sử dụng camera giám sát, để xác định cấp độ căn cứ trên nguyên tắc được quy định tại khoản 1 Điều 5 Nghị định 85/2016/NĐ-CP, Điều 7 Thông tư 12/2022/TT-BTTTT và các hướng dẫn bổ sung của Bộ Thông tin và Truyền thông (nếu có).

b) Bảo đảm an ninh mạng cho hệ thống thông tin quan trọng về an ninh quốc gia theo quy định từ Điều 12 đến Điều 15 của Luật An ninh mạng, Điều 7 đến Điều 17 của Nghị định số 53/2022/NĐ-CP.

2. Đơn vị không thuộc phạm vi khoản 1 Điều này và có thẩm quyền tự trang bị thiết bị xử lý thông tin sử dụng tại đơn vị có trách nhiệm:

a) Bảo đảm an toàn an ninh mạng cho máy tính của người sử dụng thuộc đơn vị: sử dụng hệ điều hành được hỗ trợ bản vá lỗ hổng bảo mật; chỉ cài đặt tiện ích thiết yếu được cung cấp kèm theo hệ điều hành và các phần mềm phục vụ công việc, có bản quyền hoặc được các cơ quan chức năng đánh giá, xác nhận an toàn; cài đặt phần mềm phòng, diệt mã độc và cập nhật thường xuyên mẫu nhận diện mã độc.

b) Bảo đảm an toàn an ninh mạng cho thiết bị mạng, thiết bị an ninh mạng sử dụng tại đơn vị: không sử dụng thiết bị không còn được hỗ trợ khắc phục lỗ hổng bảo mật; thực hiện khắc phục lỗ hổng bảo mật ngay khi nhận được cảnh báo, hướng dẫn từ cơ quan chức năng; thay đổi mật khẩu mặc định và giữ bí mật mật khẩu quản trị thiết bị.

3. Đơn vị mua sắm, sử dụng camera giám sát phải tuân thủ quy chuẩn kỹ thuật quốc gia về an toàn thông tin mạng cơ bản cho camera giám sát, theo Chỉ thị số 23/CT-TTg ngày 26/12/2022 của Thủ tướng Chính phủ về tăng cường công tác bảo đảm an toàn thông tin mạng, an ninh thông tin cho thiết bị camera giám sát.

Điều 7. Quản lý rủi ro, lỗ hổng, điểm yếu an toàn an ninh mạng

1. Đơn vị chuyên trách an toàn an ninh mạng phối hợp với đơn vị vận hành hệ thống thông tin tổ chức quản lý lỗ hổng, điểm yếu an toàn an ninh mạng theo các nội dung sau:

a) Lập danh sách toàn bộ thiết bị, phần mềm công nghệ thông tin đang sử dụng trong phạm vi quản lý của chủ quản hệ thống thông tin: nhãn hiệu phần cứng, tên phần mềm và phiên bản (hệ điều hành, cơ sở dữ liệu, ứng dụng, các tiện ích khác).

b) Thiết lập, duy trì kênh tiếp nhận thông tin về lỗ hổng, điểm yếu an toàn an ninh mạng từ các cơ quan, tổ chức có chức năng cảnh báo về an toàn an ninh mạng; các đơn vị cung cấp thiết bị, phần mềm công nghệ thông tin thuộc phạm vi điểm a khoản này.

c) Quản lý, giám sát việc cài đặt bản vá lỗ hổng, điểm yếu an toàn an ninh mạng. Sử dụng và cập nhật liên tục các công cụ dò quét lỗ hổng, điểm yếu an toàn an ninh mạng để các công cụ này có thể phát hiện được các lỗ hổng bảo mật mới nhất; hoặc sử dụng kết quả kiểm tra, đánh giá an toàn an ninh mạng để xác định các lỗ hổng, điểm yếu của hệ thống thông tin.

d) Triển khai cài đặt bản vá lỗ hổng, điểm yếu an toàn an ninh mạng sau khi bản vá được phát hành; Áp dụng các biện pháp bảo vệ tạm thời trong trường hợp bản vá bảo mật chưa được phát hành hoặc chưa đủ điều kiện để triển khai.

2. Đơn vị chuyên trách an toàn an ninh mạng phối hợp với đơn vị vận hành hệ thống thông tin triển khai quản lý rủi ro an toàn an ninh mạng trên cơ sở quản lý lỗ hổng, điểm yếu an toàn an ninh mạng theo quy định tại khoản 1 Điều này và theo hướng dẫn của Bộ Thông tin và Truyền thông, Bộ Công an.

Điều 8. Giám sát an toàn an ninh mạng

1. Đơn vị chuyên trách an toàn an ninh mạng tự thực hiện giám sát hoặc lựa chọn tổ chức, doanh nghiệp có đủ năng lực thực hiện giám sát an toàn hệ thống thông tin theo quy định tại Điều 5 Thông tư số 31/2017/TT-BTTTT và hướng dẫn của Bộ Thông tin và Truyền thông. Cục Tin học và Thống kê tài chính thiết lập hệ thống tiếp nhận thông tin giám sát từ các đơn vị thuộc Bộ Tài chính và hướng dẫn các đơn vị thuộc Bộ kết nối, chia sẻ thông tin về Bộ Tài chính; làm đầu mối thực hiện kết nối, chia sẻ thông tin giám sát từ các đơn vị của Bộ Tài chính với Trung tâm giám sát không gian mạng quốc gia thuộc Cục An toàn thông tin, Bộ Thông tin và Truyền thông. Nội dung thông tin giám sát cần kết nối, chia sẻ theo hướng dẫn của Bộ Thông tin và Truyền thông.

2. Chủ quản hệ thống thông tin quan trọng về an ninh quốc gia phối hợp với Cục An ninh mạng và phòng chống tội phạm công nghệ cao của Bộ Công an triển khai giám sát an ninh mạng đối với hệ thống thông tin quan trọng về an ninh quốc gia theo quy định tại khoản 3 Điều 15 Nghị định số 53/2022/NĐ-CP.

3. Các Tổng cục phối hợp với Cục Tin học và Thống kê tài chính thực hiện chia sẻ thông tin giám sát an toàn hệ thống thông tin với cơ quan chức năng của Bộ Quốc phòng theo hướng dẫn của Bộ Quốc phòng.

Điều 9. Kiểm tra, đánh giá an toàn an ninh mạng

1. Về kiểm tra, đánh giá việc tuân thủ quy định của pháp luật về an toàn an ninh mạng; kiểm tra, đánh giá hiệu quả của các biện pháp bảo đảm an toàn thông tin theo phương án bảo đảm an toàn thông tin được phê duyệt:

a) Cục Tin học và Thống kê tài chính thực hiện kiểm tra, đánh giá các Tổng cục, các đơn vị thuộc Cơ quan Bộ, đơn vị sự nghiệp trực thuộc Bộ Tài chính trong chương trình, kế hoạch kiểm tra công tác ứng dụng công nghệ thông tin hàng năm hoặc chương trình kiểm tra theo chuyên đề về an toàn an ninh mạng được Bộ trưởng Bộ Tài chính phê duyệt.

b) Các đơn vị thuộc Bộ tự kiểm tra, đánh giá hàng năm trong nội bộ đơn vị, trong phạm vi trách nhiệm của đơn vị đối với công tác an toàn an ninh mạng theo quy định của pháp luật và quy định tại Quy chế này.

2. Chủ quản hệ thống thông tin (hoặc đơn vị chuyên trách an toàn an ninh mạng của chủ quản hệ thống thông tin) lựa chọn tổ chức, doanh nghiệp có chức năng hoặc được cấp phép thực hiện kiểm tra, đánh giá phát hiện mã độc, lỗ hổng, điểm yếu, thử nghiệm xâm nhập hệ thống thông tin, theo quy định tại điểm c khoản 2 Điều 20 Nghị định số 85/2016/NĐ-CP và khoản 3 Điều 11, khoản 3 Điều 12 Thông tư số 12/2022/TT-BTTTT; kiểm tra, đánh giá an ninh mạng theo quy định tại điểm c khoản 2 Điều 24 Nghị định số 53/2022/NĐ-CP và theo hướng dẫn của Bộ Công an. Tổ chức, doanh nghiệp cung cấp dịch vụ kiểm tra, đánh giá an toàn an ninh mạng phải độc lập với tổ chức, doanh nghiệp cung cấp dịch vụ giám sát an toàn, an ninh mạng cho đơn vị.

Điều 10. Ứng phó sự cố an toàn an ninh mạng

1. Cục Tin học và Thống kê tài chính, Tổng cục xây dựng, phê duyệt kế hoạch ứng phó sự cố bảo đảm an toàn thông tin mạng; phương án ứng phó, khắc phục sự cố an ninh mạng cho các hệ thống thông tin thuộc quản lý của đơn vị theo đề cương tại Phụ lục II Quyết định số 05/2017/QĐ-TTg (đối với hệ thống cấp độ 4, 5); Phụ lục III ban hành kèm theo Thông tư số 20/2017/TT-BTTTT (đối với hệ thống cấp độ 1, 2, 3) và quy định tại Điều 25 của Nghị định số 53/2022/NĐ-CP; tổ chức triển khai kế hoạch, phương án sau khi phê duyệt. Đối với nội dung (thuộc kế hoạch ứng phó sự cố bảo đảm an toàn thông tin mạng; phương án ứng phó, khắc phục sự cố an ninh mạng) vượt thẩm quyền quyết định của đơn vị, đơn vị lấy ý kiến của các đơn vị liên quan, báo cáo Lãnh đạo Bộ Tài chính xem xét, quyết định.

2. Đối với hệ thống thông tin không phải hệ thống thông tin quan trọng về an ninh quốc gia, áp dụng quy trình ứng cứu sự cố thông thường theo quy định tại Điều 11 Thông tư 20/2017/TT-BTTTT; áp dụng quy trình ứng cứu sự cố nghiêm trọng theo quy định tại Điều 14 Quyết định 05/2017/QĐ-TTg. Đối với hệ thống thông tin quan trọng về an ninh quốc gia, áp dụng trình tự, thủ tục ứng phó, khắc phục sự cố an ninh mạng theo quy định tại Điều 17 của Nghị định số 53/2022/NĐ-CP. Trong quá trình ứng cứu, ứng phó sự cố đối với hệ thống thông tin cấp độ 4, 5 và hệ thống thông tin quan trọng về an ninh quốc gia, các Tổng cục có trách nhiệm báo cáo Lãnh đạo Bộ Tài chính, đồng thời cung cấp thông tin diễn biến tình hình cho Cục Tin học và Thống kê tài chính để phối hợp xử lý.

3. Đơn vị chuyên trách an toàn an ninh mạng có trách nhiệm theo dõi, nắm bắt thông tin trên phương tiện thông tin đại chúng và mạng Internet về các sự kiện mất an toàn an ninh mạng có thể tác động tới đơn vị; chủ động kiểm tra, rà soát trong nội bộ đơn vị theo các văn bản cảnh báo, hướng dẫn của các cơ quan chức năng và các tổ chức về an toàn thông tin (gửi trực tiếp cho đơn vị hoặc do Văn phòng Bộ, Cục Tin học và Thống kê tài chính sao gửi chủ quản hệ thống thông tin); Thiết lập kênh trao đổi thông tin với các đối tác cung cấp thiết bị, phần mềm, giải pháp an toàn thông tin của đơn vị để nắm bắt kịp thời vấn đề, sự cố có khả năng tác động tới hệ thống thông tin của đơn vị. Đơn vị chuyên trách an toàn an ninh mạng cử 01 lãnh đạo chịu trách nhiệm triển khai công tác an toàn an ninh mạng và 01 cán bộ làm đầu mối tiếp nhận cảnh báo an toàn thông tin từ Cục Tin học và Thống kê tài chính, các cơ quan, tổ chức có chức năng cảnh báo an toàn thông tin mạng, an ninh mạng (thông qua thư điện tử hoặc các kênh trao đổi thông tin khác).

4. Khi xảy ra sự cố an toàn thông tin mạng thuộc loại hình tấn công mạng, đơn vị vận hành hệ thống thông tin thực hiện báo cáo theo quy định tại Điều 11 Quyết định 05/2017/QĐ-TTg và Điều 9 Thông tư 20/2017/TT-BTTTT, đồng thời gửi báo cáo cho Cục Tin học và Thống kê tài chính để tổng hợp, báo cáo Lãnh đạo Bộ Tài chính. Chủ quản hệ thống thông tin phải thông báo rộng rãi về đầu mối tiếp nhận thông tin để các cá nhân, tổ chức thuộc đơn vị liên lạc trong trường hợp: nghi ngờ, phát hiện dấu hiệu tấn công, sự cố an toàn thông tin mạng; dấu hiệu, hành vi khủng bố mạng; tình huống nguy hiểm về an ninh mạng; hành vi vi phạm pháp luật về an ninh mạng liên quan đến các hệ thống thông tin do đơn vị quản lý.

5. Định kỳ hàng năm, Cục Tin học và Thống kê tài chính chủ trì tổ chức diễn tập thực chiến an toàn an ninh mạng cho các đơn vị thuộc Bộ Tài chính, theo kế hoạch ứng phó sự cố bảo đảm an toàn thông tin mạng và phương án ứng phó, khắc phục sự cố an ninh mạng được phê duyệt, trong phạm vi các hệ thống thông tin do Bộ Tài chính làm chủ quản. Các Tổng cục tổ chức huấn luyện, diễn tập ứng cứu sự cố theo kế hoạch ứng phó sự cố bảo đảm an toàn thông tin mạng và phương án ứng phó, khắc phục sự cố an ninh mạng được phê duyệt, trong phạm vi các hệ thống thông tin do đơn vị làm chủ quản. Đơn vị là thành viên mạng lưới ứng cứu sự cố an toàn thông tin mạng quốc gia tham gia đầy đủ các cuộc diễn tập quốc gia, quốc tế do Cơ quan điều phối quốc gia và các cơ quan chức năng thuộc Bộ Thông tin và Truyền thông, Bộ Công an, Bộ Quốc phòng tổ chức.

6. Cục Tin học và Thống kê tài chính; đơn vị chuyên trách an toàn an ninh mạng thuộc Tổng cục Thuế, Tổng cục Hải quan, Kho bạc Nhà nước có trách nhiệm đăng ký tham gia Mạng lưới ứng cứu sự cố an toàn thông tin mạng quốc gia. Khuyến khích các đơn vị khác thuộc Bộ phù hợp tiêu chí quy định tại khoản 2 Điều 7 Quyết định số 05/2017/QĐ-TTg đăng ký tham gia Mạng lưới ứng cứu sự cố an toàn thông tin mạng quốc gia với tư cách thành viên tự nguyện.

Điều 11. Phòng ngừa, xử lý hành vi xâm phạm an ninh mạng

1. Đơn vị chuyên trách an toàn an ninh mạng của chủ quản hệ thống thông tin phối hợp với đơn vị vận hành hệ thống thông tin thực hiện các nhiệm vụ sau trong phạm vi hệ thống thông tin thuộc quản lý của chủ quản hệ thống thông tin, theo quy định của Luật An ninh mạng và Nghị định số 53/2022/NĐ-CP:

a) Triển khai biện pháp quản lý, kỹ thuật để phòng ngừa, phát hiện, ngăn chặn, gỡ bỏ thông tin có nội dung: tuyên truyền chống Nhà nước Cộng hòa xã hội chủ nghĩa Việt Nam; kích động gây bạo loạn, phá rối an ninh, gây rối trật tự công cộng; làm nhục, vu khống; xâm phạm trật tự quản lý kinh tế trên hệ thống thông tin;

b) Triển khai biện pháp quản lý, kỹ thuật để phòng ngừa, phát hiện, ngăn chặn hoạt động xâm nhập bất hợp pháp, hành vi gián điệp mạng, xâm phạm bí mật nhà nước, bí mật công tác, bí mật kinh doanh, bí mật cá nhân, bí mật gia đình và đời tư trên hệ thống thông tin và kịp thời gỡ bỏ thông tin liên quan đến hành vi này;

c) Áp dụng biện pháp kỹ thuật để phòng ngừa, ngăn chặn hành vi tấn công mạng và hành vi có liên quan đến tấn công mạng đối với hệ thống thông tin; Thường xuyên rà soát, kiểm tra hệ thống thông tin nhằm loại trừ nguy cơ khủng bố mạng;

d) Phối hợp, thực hiện yêu cầu của Cục An ninh mạng và Phòng, chống tội phạm sử dụng công nghệ cao (Bộ Công an) về phòng, chống gián điệp mạng, bảo vệ thông tin thuộc bí mật nhà nước, bí mật công tác, bí mật kinh doanh, bí mật cá nhân, bí mật gia đình và đời tư trên hệ thống thông tin; về áp dụng biện pháp xác định nguồn gốc tấn công mạng, thu thập chứng cứ khi xảy ra tấn công mạng xâm phạm hoặc đe dọa xâm phạm chủ quyền, lợi ích, an ninh quốc gia, gây tổn hại nghiêm trọng trật tự, an toàn xã hội; về gỡ bỏ các nội dung buộc phải gỡ bỏ theo quy định của pháp luật trên hệ thống thông tin; về thực hiện biện pháp phòng ngừa, phát hiện, xử lý tình huống nguy hiểm về an ninh mạng.

2. Đơn vị chuyên trách an toàn an ninh mạng của chủ quản hệ thống thông tin khi tiếp nhận tin báo về tình huống nguy hiểm về an ninh mạng hoặc khủng bố mạng liên quan đến hệ thống thông tin thuộc phạm vi quản lý của chủ quản hệ thống thông tin, cần thông báo kịp thời cho Cục An ninh mạng và Phòng, chống tội phạm sử dụng công nghệ cao.

3. Chủ quản hệ thống thông tin có trách nhiệm thông báo cho Cục An ninh mạng và Phòng, chống tội phạm sử dụng công nghệ cao khi phát hiện hành vi vi phạm pháp luật về an ninh mạng trên hệ thống thông tin thuộc phạm vi quản lý.

Điều 12. Phổ biến, tuyên truyền, đào tạo, bồi dưỡng về an toàn an ninh mạng

1. Cục Tin học và Thống kê tài chính phối hợp với Văn phòng Bộ và các đơn vị liên quan lập kế hoạch và triển khai công tác tuyên truyền, phổ biến chủ trương, chính sách, pháp luật, biện pháp an toàn an ninh mạng, thông qua các hình thức: văn bản hướng dẫn; hội nghị, hội thảo; đăng bài trên Cổng thông tin điện tử Bộ Tài chính, báo, tạp chí của ngành Tài chính; gửi thư điện tử và các hình thức khác phù hợp với quy định của pháp luật. Các đơn vị thuộc Bộ Tài chính có trách nhiệm thực hiện quán triệt, tuyên truyền, phổ biến, nâng cao nhận thức, trách nhiệm về an toàn an ninh mạng cho cán bộ, công chức, viên chức, người lao động thuộc đơn vị.

2. Cục Tin học và Thống kê tài chính tổ chức đào tạo, bồi dưỡng theo các chương trình đào tạo ngắn hạn nâng cao kiến thức, kỹ năng về an toàn an ninh mạng cho công chức, viên chức chuyên trách về công nghệ thông tin, an toàn an ninh mạng tại các đơn vị thuộc Bộ Tài chính. Trường Bồi dưỡng cán bộ Bộ Tài chính phối hợp với Cục Tin học và Thống kê tài chính tổ chức bồi dưỡng kiến thức cơ bản, kỹ năng về an toàn an ninh mạng cho cán bộ quản lý, nghiệp vụ các đơn vị thuộc Bộ Tài chính. Tổng cục, đơn vị sự nghiệp trực thuộc Bộ tổ chức đào tạo, bồi dưỡng hoặc cử cán bộ của đơn vị tham gia đào tạo, bồi dưỡng về an toàn an ninh mạng.

Điều 13. Báo cáo an toàn an ninh mạng

1. Đối với báo cáo năm về an toàn thông tin mạng, chủ quản hệ thống thông tin lập báo cáo theo quy định tại khoản 3 Điều 13 và Điều 14 Thông tư số 12/2022/TT-BTTTT gửi Cục Tin học và Thống kê tài chính trước ngày 20 tháng 12 hàng năm. Cục Tin học và Thống kê tài chính tổng hợp, xây dựng Báo cáo an toàn thông tin định kỳ hàng năm của Bộ Tài chính, trình Lãnh đạo Bộ phê duyệt, gửi Bộ Thông tin và Truyền thông trước ngày 25 tháng 12 hàng năm.

2. Cục Tin học và Thống kê tài chính lập Báo cáo hoạt động giám sát an toàn thông tin mạng của Bộ Tài chính định kỳ 6 tháng theo quy định tại điểm k khoản 3 Điều 5 Thông tư số 31/2017/TT-BTTTT, trình Lãnh đạo Bộ phê duyệt, gửi Bộ Thông tin và Truyền thông.

3. Thành viên mạng lưới ứng cứu sự cố an toàn không gian mạng quốc gia báo cáo định kỳ 6 tháng (trước ngày 20 tháng 6), 01 năm (trước ngày 15 tháng 12) gửi Cơ quan điều phối quốc gia theo quy định tại điểm c khoản 1 Điều 6 Thông tư số 20/2017/TT-BTTTT, đồng thời gửi Cục Tin học và Thống kê tài chính để theo dõi; và thực hiện các báo cáo khác theo quy định tại Thông tư số 20/2017/TT-BTTTT.

4. Cục Tin học và Thống kê tài chính chủ trì, phối hợp với các chủ quản hệ thống thông tin thuộc Bộ Tài chính xây dựng các báo cáo đột xuất về an toàn an ninh mạng theo yêu cầu của Bộ Thông tin và Truyền thông, Bộ Công an, Bộ Quốc phòng, trình Lãnh đạo Bộ Tài chính phê duyệt.

Chương III

QUY ĐỊNH VỀ AN TOÀN AN NINH MẠNG TẠI CƠ QUAN BỘ

Điều 14. Quy định về tài khoản thông tin

1. Tài khoản thông tin (gọi tắt là tài khoản) là tập hợp gồm tên đăng nhập và mật khẩu hoặc/và hình thức xác thực khác, được gắn với quyền truy cập thực hiện một số tác vụ trên hệ thống thông tin hoặc trên thiết bị xử lý thông tin tại Bộ Tài chính; bao gồm các loại sau:

a) Tài khoản định danh: mỗi tài khoản định danh chỉ cấp cho một người dùng duy nhất và được gắn quyền truy cập các hệ thống thông tin mà người dùng đó được sử dụng.

b) Tài khoản truy cập hệ thống gắn với một nhiệm vụ cụ thể, được gắn với quyền truy cập thực hiện các tác vụ cần thiết cho nhiệm vụ đó (ví dụ: tài khoản văn thư, tài khoản biên tập,...).

c) Tài khoản quản trị gắn với quyền cài đặt, cấu hình các thông số và cấp quyền truy cập trên hệ thống thông tin; gồm: quản trị nội dung, quản trị ứng dụng, quản trị cơ sở dữ liệu, quản trị hệ điều hành, quản trị thiết bị.

2. Cục Tin học và Thống kê tài chính cấp tài khoản định danh cho người dùng tại Cơ quan Bộ trong thời gian không quá 03 ngày làm việc, tính từ thời điểm nhận được văn bản đề nghị cấp tài khoản của đơn vị quản lý người dùng; điều chỉnh quyền truy cập, thu hồi tài khoản định danh của cá nhân thay đổi vị trí việc làm hoặc đang làm việc tại Cơ quan Bộ trong thời gian không quá 03 ngày làm việc tính từ ngày người dùng chính thức được bổ nhiệm, điều động, chuyển công tác, thôi việc, nghỉ hưu hoặc từ thời điểm nhận được văn bản đề nghị dừng tài khoản của đơn vị quản lý người dùng. Trường hợp cần duy trì tài khoản định danh sau thời điểm người dùng dừng làm việc tại Cơ quan Bộ, đơn vị quản lý người dùng phải có văn bản gửi Cục Tin học và Thống kê tài chính, trong đó nêu rõ lý do, phạm vi các quyền cần duy trì và thời gian duy trì tài khoản.

3. Cục Tin học và Thống kê tài chính hoặc đơn vị vận hành hệ thống thông tin cấp tài khoản nhiệm vụ cho người dùng được đơn vị quản lý người dùng phân công thực hiện nhiệm vụ. Khi kết thúc thời gian thực hiện nhiệm vụ, người dùng bàn giao tài khoản nhiệm vụ cho người dùng được phân công tiếp nhận nhiệm vụ hoặc giao trả tài khoản cho đơn vị quản lý người dùng.

4. Tài khoản quản trị được giao cho cá nhân, đơn vị thực hiện nhiệm vụ quản trị ứng dụng, quản trị cơ sở dữ liệu, quản trị hệ điều hành, quản trị thiết bị. Cục Tin học và Thống kê tài chính giữ ít nhất 01 tài khoản quản trị hệ điều hành của tất cả các máy chủ hoạt động trong mạng nội bộ Cơ quan Bộ. Trường hợp thuê dịch vụ quản trị hệ thống, đơn vị chủ trì thuê dịch vụ phải quản lý việc sử dụng tài khoản quản trị của đơn vị cung cấp dịch vụ: lập danh sách cá nhân được giao tài khoản quản trị, thời điểm cá nhân tiếp nhận tài khoản, thời điểm kết thúc sử dụng; cập nhật danh sách khi có thay đổi về nhân sự giữ tài khoản.

5. Quy định về mật khẩu của tài khoản thông tin:

a) Mật khẩu phải đáp ứng các yêu cầu sau: có tối thiểu 8 ký tự, gồm tối thiểu 3 trong 4 loại ký tự sau: chữ cái viết hoa (A - Z), chữ cái viết thường (a - z), chữ số (0 - 9), các ký tự khác trên bàn phím máy tính (` ~ ! @ # $ % ^ & * ( ) _ - = { } [ ] \ I : ; " ' < > , . ? /) và dấu cách; không chứa tên tài khoản. Khuyến khích sử dụng mật khẩu có độ dài từ 12 ký tự trở lên.

b) Mật khẩu phải được giữ bí mật và được đổi ngay sau khi tài khoản được bàn giao giữa các cá nhân, đơn vị hoặc khi nghi ngờ bị lộ. Mật khẩu phải được thay đổi ít nhất một lần trong 06 tháng.

6. Cá nhân được cấp hoặc giao tài khoản chịu trách nhiệm về các hành vi của tài khoản được ghi nhận trên thiết bị xử lý thông tin, hệ thống thông tin, hệ thống giám sát an toàn an ninh mạng.

7. Cục Tin học và Thống kê tài chính, đơn vị vận hành hệ thống thông tin thường xuyên rà soát các tài khoản đang hoạt động, phát hiện và thu hồi các tài khoản không sử dụng hoặc không hợp lệ, điều chỉnh thông tin tài khoản chưa phản ánh chính xác thông tin thực tế tại thời điểm rà soát.

Điều 15. Quy định về máy tính của người dùng

1. Máy tính do các đơn vị thuộc Cơ quan Bộ trang bị có kết nối vào mạng nội bộ phải đáp ứng đầy đủ các yêu cầu sau:

a) Đặt tên máy theo quy tắc:

- Đối với máy cá nhân: Tên viết tắt của đơn vị (theo quy định của Bộ Tài chính)- Số phòng-Tên của người dùng (ví dụ: THTK-212-AN), trường hợp trong một phòng có người trùng tên thì thêm Họ và tên đệm (ví dụ: THTK-212-ANNT) và thêm số thứ tự (nếu cần thiết);

- Đối với máy dùng chung: hoặc Tên viết tắt của đơn vị-Số phòng-Chức năng dùng chung (ví dụ: THTK-210-ANNINH).

b) Sử dụng hệ điều hành được hỗ trợ bản vá lỗ hổng bảo mật; trường hợp đã hết hỗ trợ phải có kế hoạch nâng cấp, thay thế. Chỉ cài đặt tiện ích thiết yếu được cung cấp kèm theo hệ điều hành và các phần mềm phục vụ công việc, có bản quyền hoặc được các cơ quan chức năng đánh giá, xác nhận an toàn. Cài đặt phần mềm phòng diệt mã độc và cập nhật mẫu nhận diện mã độc từ hệ thống quản lý phần mềm phòng diệt mã độc tập trung do Cục Tin học và Thống kê tài chính vận hành.

c) Không kết nối với mạng không dây (wifi), mạng dữ liệu di động (3G/4G/5G...).

d) Căn cứ yêu cầu về bảo đảm an toàn an ninh mạng, Cục Tin học và Thống kê tài chính có thể cài đặt thêm phần mềm giám sát an toàn an ninh mạng đối với các máy tính đáp ứng hiệu năng yêu cầu.

đ) Máy tính trước khi kết nối vào mạng nội bộ Bộ Tài chính phải được Cục Tin học và Thống kê tài chính kiểm tra đáp ứng các quy định tại điểm a, b, c của khoản này. Cục Tin học và Thống kê tài chính có trách nhiệm giám sát, đảm bảo máy tính kết nối vào mạng nội bộ tuân thủ các quy định tại khoản này; ngắt kết nối mạng của máy tính không đáp ứng quy định.

e) Máy tính khi được chuyển sử dụng từ cá nhân này sang cá nhân khác hoặc không tiếp tục sử dụng cho công việc của cơ quan phải thực hiện xóa toàn bộ dữ liệu trên ổ cứng và có biên bản về việc xóa dữ liệu. Máy tính khi mang đi bảo hành, bảo dưỡng, sửa chữa, phải tháo ổ cứng hoặc xóa dữ liệu lưu trên ổ cứng.

2. Máy tính soạn thảo văn bản chứa nội dung bí mật nhà nước, lưu trữ bí mật nhà nước:

a) Sử dụng hệ điều hành và các phần mềm soạn thảo văn bản có bản quyền. Không kết nối vào mạng Internet, mạng nội bộ, mạng không dây, mạng viễn thông, trừ trường hợp đã áp dụng các biện pháp bảo vệ theo hướng dẫn của Ban Cơ yếu Chính phủ. Không sử dụng thiết bị lưu trữ ngoài không do Ban Cơ yếu Chính phủ cung cấp, trừ trường hợp cần cài đặt hệ điều hành, sửa chữa, nâng cấp phần mềm cho máy tính hoặc phục vụ công tác kiểm tra, thanh tra về an toàn an ninh mạng.

b) Phân quyền truy cập máy tính theo tên người hoặc đơn vị cấp phòng được giao soạn thảo bí mật nhà nước.

c) Trường hợp ổ cứng lỗi cần mang đi bảo hành, phải thực hiện biện pháp xóa dữ liệu vĩnh viễn trước khi mang ổ cứng ra khỏi cơ quan và có biên bản ghi nhận về việc xóa dữ liệu giữa đơn vị sử dụng máy tính và đơn vị nhận ổ cứng. Việc sửa chữa, nâng cấp phần mềm cho máy tính (sau khi đã đưa vào sử dụng), nếu yêu cầu phải tiếp cận các tệp tin trên ổ cứng, phải thực hiện dưới sự giám sát của đơn vị sử dụng máy tính, đảm bảo không lộ lọt dữ liệu trên ổ cứng máy tính ra bên ngoài trong quá trình này (có biên bản giữa đơn vị sử dụng máy tính và đơn vị sửa chữa, nâng cấp phần mềm).

d) Đơn vị được cấp sử dụng máy tính soạn thảo, lưu trữ bí mật nhà nước chịu trách nhiệm giám sát, đảm bảo việc sử dụng máy tính tuân thủ đúng quy định tại khoản này.

3. Trường hợp máy tính xách tay được cơ quan trang bị để sử dụng bên ngoài trụ sở Bộ, nếu kết nối Internet, phải cài đặt hệ điều hành được hỗ trợ bản vá lỗ hổng bảo mật và phần mềm phòng diệt mã độc, phải cập nhật thường xuyên bản vá cho hệ điều hành và mẫu nhận diện mã độc do nhà sản xuất cung cấp.

4. Đối với máy tính bảng được cơ quan trang bị để phục vụ công việc phải sử dụng hệ điều hành được hỗ trợ bản vá lỗ hổng bảo mật; chỉ cài đặt phần mềm phục vụ công việc và các phần mềm bảo đảm an toàn an ninh mạng do Cục Tin học và Thống kê tài chính hoặc các cơ quan chức năng về an toàn an ninh mạng cung cấp; cấu hình bảo đảm an toàn an ninh mạng theo hướng dẫn của Cục Tin học và Thống kê tài chính.

5. Máy tính do người dùng tự trang bị, khi kết nối vào mạng nội bộ hoặc chạy ứng dụng của Bộ Tài chính từ địa điểm bên ngoài mạng nội bộ của Bộ Tài chính, phải đáp ứng đầy đủ các điều kiện dưới đây:

a) Cài đặt đầy đủ các bản vá lỗ hỗng bảo mật của hệ điều hành; cài đặt phần mềm phòng diệt mã độc và cập nhật mẫu nhận diện mã độc mới nhất;

b) Không cài đặt, sử dụng phần mềm, công cụ có tính năng hoặc tạo rủi ro mất an toàn an ninh mạng (cấp phát địa chỉ mạng, dò quét mật khẩu, dò quét cổng mạng, giả lập tấn công...);

c) Khi kết nối vào mạng nội bộ Bộ Tài chính, người dùng cần thực hiện: ngắt các kết nối vào các hệ thống mạng khác (mạng không dây, mạng dữ liệu di động...), không sử dụng máy tính như một điểm phát sóng không dây.

Điều 16. Quy định đối với người dùng

Người dùng tại cơ quan Bộ Tài chính có trách nhiệm:

1. Đảm bảo an toàn mật khẩu các tài khoản thông tin mà người dùng được cấp, theo quy định tại khoản 5 Điều 14 của Quy chế này. Nếu phát hiện có dấu hiệu lộ mật khẩu, thực hiện các việc sau: đổi mật khẩu tại máy tính làm việc tại cơ quan; quét mã độc trên các thiết bị của cá nhân đã từng được sử dụng để truy cập thư điện tử công vụ hoặc các ứng dụng của Bộ Tài chính trước đó; cung cấp thông tin về sự việc, hiện tượng cho bộ phận hỗ trợ kỹ thuật của Cục Tin học và Thống kê tài chính.

2. Sử dụng tài khoản định danh cá nhân khi đăng nhập vào máy tính có kết nối vào mạng nội bộ.

3. Truy cập sử dụng Internet từ máy tính có kết nối mạng nội bộ phải thông qua hệ thống Internet an toàn do Cục Tin học và Thống kê tài chính thiết lập.

4. Không lưu thông tin ngoài phạm vi công việc và hoạt động của cơ quan trên ổ đĩa mạng. Chia sẻ thông tin trên ổ đĩa mạng đúng phạm vi cần chia sẻ (F: cá nhân người dùng, P: phòng/đơn vị cấp tương đương. Q: Vụ/Cục/Đơn vị cấp tương đương, T: toàn bộ người dùng tại trụ sở Bộ). Xóa thông tin trên ổ đĩa mạng do bản thân tạo ra sau khi thông tin hết giá trị sử dụng.

5. Nếu nghi ngờ hoặc phát hiện thư điện tử nhận được là thư rác, thư giả mạo, người dùng chuyển tiếp thư này cho bộ phận hỗ trợ kỹ thuật của Cục Tin học và Thống kê tài chính để áp dụng biện pháp ngăn chặn. Không mở các địa chỉ trong nội dung thư, mở tệp đính kèm hoặc thực hiện theo hướng dẫn của thư điện tử có địa chỉ nhận không rõ nguồn gốc. Không mở thư điện tử công vụ và các phần mềm nội bộ của Bộ Tài chính trên máy tính công cộng hoặc máy tính không đáp ứng các yêu cầu quy định tại khoản 3, 4, 5 Điều 15 của Quy chế này. Không sử dụng địa chỉ thư điện tử công vụ để đăng ký sử dụng các ứng dụng, dịch vụ ngoài phạm vi công việc. Mã hóa (đặt mật khẩu) các tệp tin có nội dung nhạy cảm trước khi gửi qua thư điện tử và gửi mật khẩu cho người nhận bằng phương thức khác.

6. Thực hiện quét mã độc thiết bị lưu trữ ngoài (thẻ nhớ, ổ đĩa ngoài,...) trước khi sử dụng. Bảo vệ thiết bị lưu trữ ngoài, không để thất thoát thông tin, tài liệu của cơ quan. Mã hóa (đặt mật khẩu) các tệp tin có nội dung nhạy cảm khi lưu trữ trên thiết bị lưu trữ ngoài và xóa thông tin, tài liệu của cơ quan trên thiết bị lưu trữ ngoài sau khi hoàn thành xử lý công việc cần sử dụng thiết bị lưu trữ ngoài.

7. Thực hiện soạn thảo văn bản chứa nội dung bí mật nhà nước, lưu trữ tài liệu mật tại máy tính được trang bị cho việc soạn thảo, lưu trữ văn bản mật theo quy định. Không sử dụng thiết bị lưu trữ ngoài để lưu thông tin, tài liệu mật, trừ trường hợp có áp dụng các biện pháp mã hóa do Ban Cơ yếu Chính phủ cung cấp.

8. Đối với bí mật công tác, bí mật kinh doanh, dữ liệu cá nhân do người dùng được phân công xử lý: áp dụng mã hóa dữ liệu trong trường hợp cần lưu trữ, truyền đưa trên môi trường mạng hoặc thiết bị lưu trữ ngoài; giới hạn phạm vi truy cập trong phạm vi các cá nhân có trách nhiệm tham gia xử lý.

9. Khoá máy tính (sử dụng tính năng của hệ điều hành) khi rời khỏi nơi đặt máy tính; tắt máy tính khi rời khỏi cơ quan.

10. Cập nhật bản vá hệ điều hành và quét mã độc thường xuyên máy tính xách tay hoặc máy do người dùng tự trang bị và sử dụng để truy cập ứng dụng của Bộ Tài chính từ Internet.

11. Phối hợp với Cục Tin học và Thống kê tài chính trong việc triển khai các biện pháp an toàn an ninh mạng trên máy tính của người dùng, gỡ mã độc (nếu phát hiện có mã độc mà phần mềm phòng diệt mã độc không có khả năng xử lý), điều tra nguyên nhân mất an toàn an ninh mạng liên quan đến người dùng hoặc máy tính của người dùng.

Điều 17. Quy định về hệ thống mạng nội bộ

1. Hệ thống mạng nội bộ Cơ quan Bộ Tài chính phải được tổ chức thành các vùng mạng theo chức năng, tối thiểu gồm: vùng mạng người dùng; vùng mạng kết nối Internet; vùng mạng kết nối với các đơn vị trong ngành Tài chính; vùng mạng kết nối với cơ quan, đơn vị ngoài ngành Tài chính và mạng truyền số liệu chuyên dùng Chính phủ; vùng mạng máy chủ cung cấp ứng dụng, dịch vụ ra Internet; vùng mạng máy chủ nội bộ, máy chủ cơ sở dữ liệu; vùng mạng hệ thống quản lý tập trung, quản trị thiết bị; vùng mạng phục vụ công tác quản trị; vùng mạng hệ thống giám sát an toàn an ninh mạng. Sử dụng tường lửa mạng để kiểm soát truy cập giữa các vùng mạng: Chỉ cho phép truy cập các ứng dụng, dịch vụ theo từng ứng dụng, dịch vụ cụ thể; chặn tất cả truy cập tới các dịch vụ, ứng dụng không sử dụng hoặc không phục vụ công việc. Thiết lập phòng chống xâm nhập và phòng chống phần mềm độc hại trên môi trường mạng cho các vùng mạng máy chủ.

2. Các kết nối mạng để xác thực, truy cập thông tin, trao đổi thông tin, quản trị ứng dụng/thiết bị/hệ thống phải áp dụng mã hóa.

3. Các thiết bị mạng lõi, thiết bị mạng các vùng mạng máy chủ, thiết bị an toàn an ninh mạng phải được cấu hình gửi nhật ký hệ thống tới hệ thống giám sát an toàn an ninh mạng. Nhật ký hệ thống của các thiết bị mạng phải được lưu trữ tối thiểu 03 tháng.

4. Các thiết bị mạng phải được cấu hình xác thực để xác thực truy cập quản trị. Chỉ cho phép truy cập quản trị thiết bị mạng từ vùng mạng phục vụ công tác quản trị.

5. Truy cập quản trị hệ thống từ Internet phải thông qua cổng truy cập SSL VPN của Bộ Tài chính và thực hiện xác thực 02 yếu tố; Thiết lập giới hạn thời gian chờ để đóng phiên kết nối khi cổng SSL VPN không nhận được tín hiệu từ người truy cập (tối đa 60 phút).

6. Các thiết bị kết nối vào mạng nội bộ phải đồng bộ thời gian với máy chủ thời gian (được đồng bộ với nguồn thời gian tin cậy trên Internet).

7. Thiết bị mạng, thiết bị an toàn an ninh mạng phải được xử lý lỗ hổng, điểm yếu đã công bố trước khi đưa vào sử dụng và khi có cảnh báo về lỗ hổng bảo mật mới. Thực hiện kiểm tra, đánh giá an toàn an ninh mạng đối với hệ thống mạng nội bộ định kỳ hàng năm.

8. Mạng không dây chỉ phục vụ kết nối Internet cho thiết bị di động. Không thiết lập kết nối vật lý giữa mạng nội bộ với mạng không dây.

9. Tài liệu mô tả hệ thống mạng phải được cập nhật thường xuyên, phản ánh chính xác thực tế các cấu hình, chính sách đang áp dụng cho hệ thống mạng.

Điều 18. Quy định về kết nối Internet

1. Tất cả các kết nối Internet từ mạng nội bộ phải thông qua hệ thống bảo vệ truy cập Internet (có tính năng lọc bỏ, không cho phép truy nhập các trang tin có nghi ngờ chứa mã độc hoặc các nội dung không phù hợp). Trường hợp việc sử dụng ứng dụng, dịch vụ trên Internet có tính năng đặc biệt không được hỗ trợ bởi hệ thống bảo vệ truy cập Internet, việc truy cập Internet phải thông qua tường lửa mạng.

2. Từ máy trạm có kết nối mạng nội bộ, người sử dụng truy cập Internet thông qua hệ thống Internet an toàn (gồm các máy chủ trung gian ngăn cách máy trạm của người dùng và mạng Internet). Trường hợp người dùng cần sử dụng ứng dụng, dịch vụ mà hệ thống Internet an toàn không hỗ trợ, đơn vị quản lý người dùng gửi yêu cầu hỗ trợ tới Cục Tin học và Thống kê tài chính để được hỗ trợ.

3. Đối với máy chủ và thiết bị xử lý thông tin khác, chỉ thiết lập kết nối Internet cho các hệ thống được thiết kế có giao tiếp với Internet.

Điều 19. Quy định về hệ thống thông tin

1. Phần mềm ứng dụng triển khai trên hệ thống mạng nội bộ của Bộ Tài chính phải đáp ứng các yêu cầu sau:

a) Áp dụng Khung phát triển phần mềm an toàn theo hướng dẫn của Bộ Thông tin và Truyền thông.

b) Sử dụng hệ điều hành, cơ sở dữ liệu, công cụ phát triển phần mềm có bản quyền hoặc được các cơ quan chức năng đánh giá, xác nhận an toàn; được cung cấp bản vá lỗ hổng, điểm yếu bảo mật trong thời hoạt động trên hệ thống mạng.

c) Có kiến trúc phù hợp với phân chia vùng mạng quy định tại khoản 1 Điều 17 của Quy chế này. Truy cập ứng dụng web phải thông qua tường lửa ứng dụng web; sử dụng chứng thư số SSL đặt trên tường lửa ứng dụng web để mã hóa kết nối giữa người dùng, người quản trị và hệ thống thông tin. Tách riêng địa chỉ truy cập dành cho người dùng và truy cập dành cho quản trị ứng dụng; địa chỉ quản trị ứng dụng không được phép truy cập trực tiếp từ Internet.

d) Có khả năng tích hợp với hệ thống quản lý người dùng tập trung để xác thực người dùng tại cơ quan Bộ. Có tính năng cho phép người dùng đổi mật khẩu. Cho phép cấu hình đảm bảo an toàn mật khẩu người sử dụng đối với tài khoản xác thực tại ứng dụng: Yêu cầu thay đổi mật khẩu mặc định; Cho phép thiết lập quy tắc đặt mật khẩu về số ký tự, loại ký tự; Cho phép thiết lập thời gian yêu cầu thay đổi mật khẩu; Cho phép thiết lập thời gian mật khẩu hợp lệ; Hạn chế số lần đăng nhập sai trong khoảng thời gian nhất định với tài khoản nhất định. Mã hóa thông tin xác thực đối với tài khoản xác thực tại ứng dụng theo tiêu chuẩn mã hóa do Bộ Thông tin và Truyền thông quy định. Cho phép cấu hình giới hạn thời gian chờ để đóng phiên kết nối khi ứng dụng không nhận được yêu cầu từ người dùng (cấu hình ban đầu 60 phút và điều chỉnh trong quá trình hoạt động để phù hợp với yêu cầu thực tế của từng ứng dụng).

đ) Có tính năng kiểm tra tính hợp lệ của dữ liệu đầu vào, đầu ra; lọc bỏ, ngăn chặn dữ liệu không hợp lệ.

e) Có tính năng ghi nhật ký hệ thống và gửi nhật ký hệ thống tới hệ thống giám sát an toàn an ninh mạng. Giới hạn kích thước tệp nhật ký hệ thống lưu trên máy chủ ở mức độ phù hợp để không làm ảnh hưởng đến hiệu năng của ứng dụng. Nhật ký hệ thống của ứng dụng phải được lưu trữ tối thiểu 03 tháng.

g) Có phương án sao lưu dự phòng sự cố sử dụng hệ thống sao lưu dữ liệu do Cục Tin học và Thống kê tài chính quản lý.

h) Có thiết kế đáp ứng yêu cầu bảo đảm an toàn hệ thống thông tin theo cấp độ. Khi có thay đổi thiết kế, phải đánh giá lại tính phù hợp của phương án thiết kế đối với các yêu cầu an toàn đặt ra đối với hệ thống.

i) Áp dụng biện pháp bảo vệ theo hướng dẫn của Ban Cơ yếu Chính phủ đối với ứng dụng có xử lý bí mật nhà nước.

2. Dữ liệu xử lý trong hệ thống thông tin:

a) Trường hợp hệ thống thông tin cần thu thập, xử lý, lưu trữ dữ liệu cá nhân, phải đáp ứng các yêu cầu sau: Chỉ thu thập các dữ liệu cá nhân được phép thu thập theo quy định của pháp luật; Thông báo tới người dùng các loại dữ liệu cá nhân được thu thập, xử lý, lưu trữ thông tin trong hệ thống thông tin và biện pháp bảo vệ; Chỉ cơ quan, đơn vị có trách nhiệm được phân quyền truy cập, sử dụng dữ liệu cá nhân.

b) Bí mật nhà nước của ngành Tài chính phải được mã hoá bằng giải pháp do Ban Cơ yếu Chính phủ cung cấp.

c) Áp dụng chữ ký số trong trường hợp cần đảm bảo chống từ chối nguồn gốc dữ liệu.

3. Máy chủ hoạt động trên hệ thống mạng nội bộ Bộ Tài chính phải đáp ứng các yêu cầu sau:

a) Đặt tên máy theo quy tắc: Viết tắt tên của hệ thống thông tin-Viết tắt chức năng của máy chủ và số thứ tự (nếu có từ 2 máy trở lên cùng chức năng) (ví dụ: VBDH-APP01).

b) Sử dụng hệ điều hành được cung cấp bản vá lỗ hổng, điểm yếu. Chỉ cài đặt các dịch vụ, tiện ích thiết yếu được cung cấp kèm theo hệ điều hành và các phần mềm phục vụ hoạt động của máy chủ, có nguồn gốc an toàn và không nhiễm mã độc. Cài đặt phần mềm phòng diệt mã độc và cập nhật mẫu nhận diện mã độc từ hệ thống quản lý phần mềm phòng diệt mã độc tập trung do Cục Tin học và Thống kê tài chính vận hành; Cài đặt phần mềm giám sát an toàn an ninh mạng, cấu hình tự động tải bản vá lỗ hổng bảo mật mức hệ điều hành từ hệ thống quản lý bản vá lỗ hổng bảo mật tập trung (đối với máy chủ sử dụng hệ điều hành Windows).

c) Thiết lập chính sách xác thực trên máy chủ đáp ứng quy định về mật khẩu của tài khoản thông tin quy định tại khoản 5 Điều 14 của Quy chế này; yêu cầu thay đổi mật khẩu mặc định. Cấu hình giới hạn thời gian chờ để đóng phiên kết nối khi máy chủ không nhận được yêu cầu từ người dùng (tối đa 60 phút).

d) Cấu hình gửi nhật ký hệ thống tới hệ thống giám sát an toàn an ninh mạng. Nhật ký hệ thống của máy chủ phải được lưu trữ tối thiểu 03 tháng.

đ) Không kết nối với mạng không dây, mạng dữ liệu di động.

e) Thực hiện cài đặt bản vá lỗ hổng bảo mật mức hệ điều hành trong vòng 07 ngày làm việc sau khi bản vá được phát hành.

g) Không lưu mã nguồn ứng dụng; tài liệu thiết kế, cài đặt, quản trị, vận hành, bảo đảm an toàn an ninh mạng hệ thống thông tin trên máy chủ không có chức năng lưu trữ mã nguồn và tài liệu về hệ thống thông tin.

4. Hệ thống thông tin phải được triển khai, cấu hình và duy trì hoạt động đáp ứng các quy định tại Điều này và theo phương án bảo đảm an toàn thông tin đã được phê duyệt theo hồ sơ đề xuất cấp độ; được kiểm tra, đánh giá an toàn an ninh mạng trước khi đưa vào sử dụng và định kỳ hàng năm trong quá trình vận hành.

5. Tài liệu về hệ thống thông tin phải được cập nhật trong quá trình vận hành, đảm bảo phản ánh chính xác hiện trạng của hệ thống. Tài liệu về hệ thống thông tin phải được lưu giữ an toàn, chỉ được cung cấp cho các đối tượng có trách nhiệm đối với hệ thống thông tin.

Điều 20. Quy định về kết thúc sử dụng hệ thống thông tin

1. Hệ thống thông tin phải kết thúc sử dụng khi: đã được thay thế hoàn toàn bằng hệ thống thông tin khác; hoặc không còn giá trị sử dụng; hoặc sử dụng phiên bản phần mềm có lỗ hỗng bảo mật nghiêm trọng và không có biện pháp ngăn chặn việc khai thác các lỗ hổng bảo mật này; hoặc các thành phần tài sản của hệ thống thông tin đã hết thời gian khấu hao sử dụng theo quy định pháp luật về quản lý, sử dụng tài sản công và được cấp có thẩm quyền cho phép dừng sử dụng.

2. Thủ tục kết thúc vận hành, khai thác, hủy bỏ hệ thống thông tin:

a) Đơn vị vận hành hệ thống thông tin báo cáo chủ quản hệ thống thông tin cho phép kết thúc vận hành, khai thác hệ thống thông tin.

b) Cục Tin học và Thống kê tài chính thực hiện sao lưu dữ liệu hệ thống thông tin; dừng hoạt động của hệ thống; thu hồi tài nguyên máy chủ ảo hóa (nếu hệ thống thông tin sử dụng nền tảng ảo hóa) hoặc xóa bỏ hoàn toàn (không có khả năng phục hồi) nội dung thông tin, dữ liệu trên thiết bị vật lý trước khi chuyển sang bộ phận quản lý tài sản chờ thanh lý; thu hồi địa chỉ mạng, cấu hình trên hệ thống mạng, hệ thống an toàn an ninh mạng áp dụng cho hệ thống thông tin.

Điều 21. Quy định về sao lưu dữ liệu phòng ngừa sự cố

1. Cục Tin học và Thống kê tài chính thực hiện sao lưu thông tin, dữ liệu của hệ thống thông tin thuộc phạm vi quản lý của Cục và các đơn vị thuộc Cơ quan Bộ như sau:

a) Loại dữ liệu cần sao lưu: Cơ sở dữ liệu, thông tin về cấu hình của phần mềm nội bộ, thông tin cấu hình thiết bị, hệ điều hành của thiết bị và những thông tin, dữ liệu khác (nếu có) thuộc môi trường sản xuất, môi trường dự phòng cần phải sao lưu phục vụ công tác quản lý, khai thác sử dụng.

b) Đối với cơ sở dữ liệu, thông tin về cấu hình của phần mềm nội bộ: Thực hiện sao lưu ngoài giờ hành chính.

c) Đối với thông tin cấu hình thiết bị, hệ điều hành của thiết bị và những thông tin, dữ liệu khác (nếu có): Thực hiện sao lưu 01 bản sao lưu sau mỗi lần cài đặt, thay đổi cấu hình.

d) Lưu giữ tối thiểu 07 bản sao lưu gần nhất.

2. Dữ liệu sao lưu được khôi phục trong các trường hợp: có yêu cầu khôi phục dữ liệu từ người dùng; ứng dụng, cơ sở dữ liệu đang hoạt động bị sự cố, cần khôi phục từ bản sao lưu; hoặc theo yêu cầu của cơ quan có thẩm quyền.

Chương IV

TỔ CHỨC THỰC HIỆN

Điều 22. Trách nhiệm của các cơ quan, đơn vị thuộc Bộ Tài chính

1. Cục Tin học và Thống kê tài chính:

a) Tham mưu cho Bộ Tài chính về việc triển khai công tác an toàn an ninh mạng; Hướng dẫn các quy định của pháp luật, văn bản chỉ đạo và hướng dẫn của các cơ quan có thẩm quyền về an toàn an ninh mạng trong phạm vi các cơ quan, đơn vị, tổ chức thuộc Bộ Tài chính; Tổ chức triển khai Quy chế này và các quy định của pháp luật về an toàn an ninh mạng tại Cơ quan Bộ;

b) Tổng hợp kế hoạch, báo cáo định kỳ, đột xuất về an toàn an ninh mạng, trình Lãnh đạo Bộ Tài chính gửi các cơ quan quản lý về an toàn an ninh mạng; Xử lý các việc đột xuất về an toàn an ninh mạng (chưa quy định tại Quy chế này) theo phân công của Lãnh đạo Bộ;

c) Định kỳ hàng năm, tổ chức rà soát, kiểm tra tính phù hợp của Quy chế này với các quy định của pháp luật về an toàn thông tin mạng, an ninh mạng và các quy định, tiêu chuẩn liên quan; kiểm tra tính đáp ứng của Quy chế này với yêu cầu thực tế của Bộ Tài chính; báo cáo Bộ về việc sửa đổi, bổ sung Quy chế trong trường hợp cần thiết.

2. Tổng cục, đơn vị sự nghiệp trực thuộc Bộ:

a) Tổ chức triển khai thực hiện Quy chế này và các quy định của pháp luật, ván bản chỉ đạo và hướng dẫn của các cơ quan có thẩm quyền về an toàn an ninh mạng trong phạm vi đơn vị; Ban hành quy định về an toàn an ninh mạng của đơn vị phù hợp với Quy chế này và các quy định của pháp luật về an toàn an ninh mạng; Xây dựng kế hoạch, báo cáo định kỳ, đột xuất về an toàn an ninh mạng và gửi Cục Tin học và Thống kê tài chính tổng hợp, báo cáo Bộ.

b) Chỉ đạo đơn vị chuyên trách an toàn an ninh mạng trực thuộc đơn vị phối hợp chặt chẽ với Cục Tin học và Thống kê tài chính trong quá trình triển khai công tác an toàn an ninh mạng tại đơn vị.

3. Cục, Vụ, đơn vị cấp tương đương trực thuộc Bộ:

a) Vụ Tổ chức cán bộ, Văn phòng Bộ, đơn vị có thẩm quyền quyết định về nhân sự có trách nhiệm bảo đảm văn bản quyết định về tiếp nhận, bổ nhiệm, điều động, chuyển công tác, thôi việc, nghỉ hưu, dừng công tác thuộc thẩm quyền phát hành của đơn vị được gửi tới Cục Tin học và Thống kê tài chính tại thời điểm phát hành văn bản.

b) Ban hành quy định/nội quy về an toàn an ninh mạng của đơn vị phù hợp với trách nhiệm của đơn vị theo Quy chế này và các quy định của pháp luật về an toàn an ninh mạng.

c) Phối hợp với Cục Tin học và Thống kê tài chính triển khai và giám sát việc thực hiện Quy chế này tại đơn vị.

Điều 23. Trách nhiệm cá nhân thuộc Bộ Tài chính

1. Thủ trưởng đơn vị thuộc đối tượng áp dụng của Quy chế này có trách nhiệm: phổ biến tới từng cán bộ, công chức, viên chức, người lao động của đơn vị; thường xuyên kiểm tra việc thực hiện Quy chế này tại đơn vị; chịu trách nhiệm trước pháp luật và Lãnh đạo Bộ Tài chính về các vi phạm, thất thoát thông tin, dữ liệu mật thuộc phạm vi quản lý của đơn vị do không tổ chức, chỉ đạo, kiểm tra cán bộ của đơn vị thực hiện đúng quy định.

2. Cán bộ, công chức, viên chức, người lao động thuộc Bộ Tài chính, các đơn vị thuộc Bộ và các đơn vị khác thuộc đối tượng áp dụng của quy định có trách nhiệm: tuân thủ Quy chế; thông báo các vấn đề bất thường liên quan tới an toàn an ninh mạng cho đơn vị chuyên trách an toàn an ninh mạng; chịu trách nhiệm trước pháp luật và Lãnh đạo đơn vị về các vi phạm, thất thoát dữ liệu mật của ngành Tài chính do không tuân thủ Quy chế.

3. Tập thể, cá nhân vi phạm Quy chế này làm ảnh hưởng đến việc thực hiện nhiệm vụ chính trị của Bộ Tài chính hoặc gây phương hại đến an ninh quốc gia thì tùy theo tính chất, mức độ của hành vi vi phạm sẽ bị xử lý hành chính, xử lý kỷ luật hoặc truy cứu trách nhiệm hình sự. Nếu gây thiệt hại về tài sản thì phải bồi thường theo quy định của pháp luật.

Điều 24. Điều khoản chuyển tiếp

Cục Tin học và Thống kê tài chính, Tổng cục phối hợp với các đơn vị liên quan rà soát hồ sơ cấp độ đã được phê duyệt; tổ chức thẩm định (hoặc lấy ý kiến thẩm định) và trình cấp có thẩm quyền phê duyệt điều chỉnh, bổ sung hồ sơ đề xuất cấp độ chưa đáp ứng các quy định của Thông tư 12/2022/TT-BTTTT và Quy chế này (có thể phê duyệt, điều chỉnh nhiều hồ sơ đề xuất cấp độ bằng 01 quyết định phê duyệt, điều chỉnh), hoàn thành trước tháng 6 năm 2023.

Điều 25. Tổ chức thực hiện

1. Cục Tin học và Thống kê tài chính chịu trách nhiệm hướng dẫn, theo dõi, kiểm tra, đôn đốc việc thực hiện Quy chế này.

2. Trong quá trình thực hiện Quy chế này, nếu phát sinh khó khăn, vướng mắc, các đơn vị, cá nhân gửi ý kiến về Cục Tin học và Thống kê tài chính để tổng hợp, báo cáo, đề xuất trình Bộ trưởng xem xét, quyết định./.