Hệ thống pháp luật

ỦY BAN NHÂN DÂN
THÀNH PHỐ CẦN THƠ
--------

CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM
Độc lập - Tự do - Hạnh phúc
---------------

Số: 2945/QĐ-UBND

Cần Thơ, ngày 09 tháng 10 năm 2015

 

QUYẾT ĐỊNH

VỀ VIỆC BAN HÀNH QUY CHẾ ĐẢM BẢO AN TOÀN THÔNG TIN TRONG HOẠT ĐỘNG ỨNG DỤNG CÔNG NGHỆ THÔNG TIN CỦA CÁC CƠ QUAN NHÀ NƯỚC THUỘC ỦY BAN NHÂN DÂN THÀNH PHỐ CẦN THƠ

ỦY BAN NHÂN DÂN THÀNH PHỐ CẦN THƠ

Căn cứ Luật Tổ chức Hội đồng nhân dân và Ủy ban nhân dân ngày 26 tháng 11 năm 2003;

Căn cứ Luật Giao dịch điện tử ngày 29 tháng 11 năm 2005;

Căn cứ Luật Công nghệ thông tin ngày 29 tháng 6 năm 2006;

Căn cứ Nghị định số 63/2007/NĐ-CP ngày 10 tháng 4 năm 2007 của Chính phủ quy định xử phạt vi phạm hành chính trong lĩnh vực công nghệ thông tin;

Căn cứ Nghị định số 64/2007/NĐ-CP ngày 10 tháng 4 năm 2007 của Chính phủ về Ứng dụng công nghệ thông tin trong hoạt động của cơ quan Nhà nước;

Căn cứ Nghị định số 72/2013/NĐ-CP ngày 15 tháng 7 năm 2013 của Chính phủ về quản lý, cung cấp, sử dụng dịch vụ Internet và thông tin trên mạng;

Căn cứ Chỉ thị số 897/CT-TTg ngày 10 tháng 6 năm 2011 của Thủ tướng Chính phủ về việc triển khai các hoạt động đảm bảo an toàn thông tin số;

Căn cứ Thông tư số 22/2013/TT-BTTTT ngày 23 tháng 12 năm 2013 của Bộ Thông tin và Truyền thông về công bố danh mục tiêu chuẩn kỹ thuật về ứng dụng công nghệ thông tin trong cơ quan nhà nước;

Căn cứ Thông tư số 25/2014/TT-BTTTT ngày 30 tháng 12 năm 2014 của Bộ Thông tin và Truyền thông về quy định về triển khai các hệ thống thông tin có quy mô và phạm vi từ Trung ương đến địa phương;

Thực hiện Kế hoạch số 70-KH/TU ngày 28 tháng 4 năm 2014 của Thành ủy Cần Thơ về việc triển khai, quán triệt thực hiện Chỉ thị số 28-CT/TW ngày 16 tháng 9 năm 2013 của Ban Bí thư Trung ương Đảng về tăng cường công tác đảm bảo an toàn thông tin mạng;

Theo đề nghị của Giám đốc Sở Thông tin và Truyền thông tại Tờ trình số 1370/TTr-STTTT ngày 02 tháng 10 năm 2015,

QUYẾT ĐỊNH:

Điều 1. Ban hành Quy chế đảm bảo an toàn thông tin trong hoạt động ứng dụng công nghệ thông tin của các cơ quan nhà nước thuộc Ủy ban nhân dân thành phố Cần Thơ.

Điều 2. Quyết định này có hiệu lực thi hành kể từ ngày ký và thay thế Quyết định số 1312/QĐ-UBND ngày 25 tháng 5 năm 2012 của Ủy ban nhân dân thành phố Cần Thơ về việc ban hành Quy chế đảm bảo an toàn, an ninh thông tin trong hoạt động ứng dụng công nghệ thông tin của cơ quan quản lý nhà nước trên địa bàn thành phố Cần Thơ.

Điều 3. Chánh Văn phòng Ủy ban nhân dân thành phố, Giám đốc Sở Thông tin và Truyền thông, Giám đốc sở, Thủ trưởng cơ quan, ban, ngành thành phố, Chủ tịch Ủy ban nhân dân quận, huyện, Chủ tịch Ủy ban nhân dân xã, phường, thị trấn và các cơ quan, tổ chức, cá nhân có liên quan chịu trách nhiệm thi hành Quyết định này./. 

 

TM. ỦY BAN NHÂN DÂN
KT. CHỦ TỊCH
PHÓ CHỦ TỊCH




Lê Văn Tâm

 

QUY CHẾ

ĐẢM BẢO AN TOÀN THÔNG TIN TRONG HOẠT ĐỘNG ỨNG DỤNG CÔNG NGHỆ THÔNG TIN CỦA CÁC CƠ QUAN NHÀ NƯỚC THUỘC ỦY BAN NHÂN DÂN THÀNH PHỐ CẦN THƠ
(Ban hành kèm theo Quyết định số 2945/QĐ-UBND ngày 09 tháng 10 năm 2015 của Ủy ban nhân dân thành phố Cần Thơ)

Chương I

QUY ĐỊNH CHUNG

Điều 1. Phạm vi điều chỉnh

Quy chế này quy định các nội dung của công tác đảm bảo an toàn thông tin trong hoạt động ứng dụng công nghệ thông tin của các cơ quan nhà nước thuộc thành phố Cần Thơ, bao gồm: công tác xây dựng các quy định quản lý đảm bảo an toàn thông tin trên môi trường mạng; việc áp dụng các biện pháp quản lý kỹ thuật, quản lý vận hành đảm bảo an toàn thông tin đối với hệ thống thông tin.

Điều 2. Đối tượng áp dụng

1. Quy chế này được áp dụng đối với các cơ quan nhà nước thuộc Ủy ban nhân dân thành phố Cần Thơ.

2. Các tổ chức chính trị, chính trị - xã hội của thành phố Cần Thơ.

3. Cán bộ, công chức, viên chức và người lao động đang làm việc trong các cơ quan, đơn vị nêu tại Khoản 1 và 2 Điều này.

Điều 3. Giải thích từ ngữ

Trong Quy chế này, các từ ngữ dưới đây được hiểu như sau:

1. Cơ quan nhà nước: là các sở, ban, ngành (bao gồm các đơn vị trực thuộc), đơn vị sự nghiệp thuộc Ủy ban nhân dân thành phố, Ủy ban nhân dân quận, huyện và Ủy ban nhân dân xã, phường, thị trấn; các tổ chức chính trị, chính trị - xã hội thuộc thành phố Cần Thơ.

2. An toàn thông tin: bao gồm các hoạt động quản lý, nghiệp vụ và kỹ thuật đối với hệ thống thông tin nhằm bảo vệ, khôi phục các hệ thống, các dịch vụ và nội dung thông tin đối với nguy cơ tự nhiên hoặc do con người gây ra. Việc bảo vệ thông tin, tài sản và con người trong hệ thống thông tin nhằm bảo đảm cho các hệ thống thực hiện đúng chức năng, phục vụ đúng đối tượng một cách sẵn sàng, chính xác và tin cậy. An toàn thông tin bao hàm các nội dung bảo vệ và bảo mật thông tin, an toàn dữ liệu, an toàn máy tính và an toàn mạng.

3. Hệ thống thông tin: là một hệ thống bao gồm con người, dữ liệu, các quy trình và công nghệ thông tin tương tác với nhau để thu thập, xử lý, lưu trữ và cung cấp thông tin cần thiết ở đầu ra nhằm hỗ trợ cho một hệ thống.

4. Tính toàn vẹn: bảo vệ tính chính xác và tính đầy đủ của thông tin và các phương pháp xử lý thông tin.

5. Tính tin cậy: đảm bảo thông tin chỉ có thể được truy cập bởi những người được cấp quyền sử dụng.

6. Tính sẵn sàng: đảm bảo những người được cấp quyền có thể truy cập thông tin và các tài nguyên (mạng, máy chủ, tên miền, tài khoản thư điện tử…) ngay khi có nhu cầu.

7. Logfile: là một tập tin ghi lại (các) sự kiện xảy ra trong hệ điều hành hoặc các phần mềm trong quá trình hoạt động.

8. Máy chủ ảo: là dạng máy chủ được tạo ra bằng phương pháp phân chia một máy chủ vật lý thành nhiều máy chủ khác nhau bằng công nghệ ảo hóa, máy chủ ảo chạy dưới dạng chia sẻ tài nguyên từ máy chủ vật lý ban đầu.

9. Mạng nội bộ: là mạng máy tính trong phạm vi trụ sở của một cơ quan nhà nước.

10. Mạng riêng ảo (VPN - Virtual Private Network): là một mạng máy tính dành riêng để kết nối các máy tính của các cơ quan nhà nước với nhau thông qua mạng Internet.

11. Thiết bị di động: các thiết bị di động cá nhân có kết nối vào mạng nội bộ của cơ quan nhà nước như máy tính xách tay, máy tính bảng, điện thoại di động, các thiết bị di động khác.

12. Người dùng: cán bộ, công chức, viên chức và người lao động của các cơ quan nhà nước sử dụng máy tính, các thiết bị điện tử để xử lý công việc. Các tổ chức, cá nhân có liên quan tham gia, sử dụng các dịch vụ của Trung tâm Dữ liệu thành phố.

Chương II

QUY ĐỊNH ĐẢM BẢO AN TOÀN THÔNG TIN

Điều 4. Đảm bảo an toàn máy chủ, máy trạm, các thiết bị di động và cơ chế sao lưu, phục hồi

1. Kiểm soát chặt chẽ việc cài đặt các phần mềm mới lên máy chủ, máy trạm và các thiết bị di động. Các phần mềm được cài đặt trên máy chủ, máy trạm và các thiết bị di động (bao gồm hệ điều hành, các phần mềm ứng dụng văn phòng, phần mềm phục vụ công việc, tiện ích khác) phải được thường xuyên theo dõi, cập nhật bản vá lỗi bảo mật của nhà phát triển, lựa chọn cài đặt các phần mềm chống, diệt virus, mã độc và thường xuyên cập nhật phiên bản mới, đặt lịch quét virus theo định kỳ ít nhất hàng tuần.

2. Cơ quan nhà nước phải quy định cụ thể về quản lý, vận hành sử dụng máy chủ, quản lý chặt chẽ logfile để ghi nhận thông tin quá trình đăng nhập hệ thống, các thay đổi, cấu hình hệ thống, theo dõi các dịch vụ, sự kiện trong quá trình vận hành máy chủ. Chỉ cài đặt các phần mềm cần thiết, không được cài đặt các phần mềm bẻ khóa, tắt các dịch vụ, các port (cổng) không sử dụng; chia sẻ tài nguyên trên máy chủ phải được phân quyền khoa học, rõ ràng.

3. Đối với cơ quan nhà nước sử dụng máy chủ ảo tại Trung tâm Dữ liệu thành phố thực hiện theo Quyết định số 12/2015/QĐ-UBND ngày 10 tháng 3 năm 2015 của Ủy ban nhân dân thành phố Cần Thơ về ban hành Quy chế quản lý, vận hành và khai thác Trung tâm Dữ liệu thành phố Cần Thơ.

4. Cơ chế sao lưu, phục hồi máy chủ, máy trạm:

Cơ quan nhà nước phải quy định cơ chế sao lưu định kỳ ít nhất 01 tháng/01 lần các logfile, cơ sở dữ liệu và các dữ liệu quan trọng được triển khai, lưu trữ (bao gồm dữ liệu phát sinh trong quá trình vận hành các phần mềm ứng dụng như: các tập tin văn bản, hình ảnh,..). Sau khi sao lưu, lưu trữ bản sao lưu bằng thiết bị lưu trữ ngoài (như: đĩa quang, ổ cứng ngoài,…) theo quy định lưu trữ hiện hành nhằm phục vụ cho việc phục hồi, khắc phục hệ thống kịp thời khi có sự cố xảy ra.

Điều 5. Đảm bảo an toàn hệ thống mạng máy tính, kết nối Internet

1. Quản lý hệ thống mạng nội bộ: Mạng nội bộ của các cơ quan nhà nước phải được tổ chức theo mô hình Clients/Server; mạng nội bộ khi kết nối với mạng Internet phải thông qua thiết bị tường lửa kiểm soát (tường lửa phải được cập nhật dữ liệu hàng năm), có phân chia hệ thống mạng nội bộ thành các vùng mạng theo phạm vi truy cập, vô hiệu hóa tất cả các dịch vụ không sử dụng tại từng vùng mạng, thực hiện nguyên tắc chỉ mở các dịch vụ cần thiết khi có yêu cầu.

2. Quản lý hệ thống mạng không dây (wifi): Khi thiết lập mạng không dây có kết nối vào mạng nội bộ phải thiết lập các thông số cần thiết như định danh, mật mã, mã hóa dữ liệu, có thay đổi mật mã định kỳ ít nhất 03 tháng/01 lần.

3. Quản lý truy cập từ xa vào mạng nội bộ: Đối với việc truy cập từ xa vào mạng nội bộ phải được theo dõi, quản lý chặt chẽ, nhất là truy cập có sử dụng chức năng quản trị, phải thiết lập mật mã độ an toàn cao, nhắc nhở khuyến cáo thường xuyên thay đổi mật mã, tăng cường sử dụng mạng riêng ảo, hạn chế truy cập từ xa vào mạng nội bộ từ các điểm truy cập Internet công cộng.

4. Đối với các cơ quan nhà nước có sử dụng đường truyền Internet ngoài đường truyền số liệu chuyên dùng trong hệ thống các cơ quan Đảng, Nhà nước, phải thông báo về Sở Thông tin và Truyền thông để được hướng dẫn đấu nối, thiết lập các thông số của các thiết bị định tuyến, cấu hình địa chỉ IP cho hệ thống mạng nội bộ, các máy chủ, máy trạm trong cơ quan thống nhất với toàn hệ thống.

Điều 6. Đảm bảo an toàn truy cập, đăng nhập hệ thống thông tin

1. Cơ quan nhà nước quy định cụ thể trách nhiệm, quyền hạn người dùng khi truy cập, đăng nhập các hệ thống thông tin, đảm bảo mỗi người dùng khi sử dụng hệ thống thông tin phải được cấp và sử dụng tài khoản truy cập với định danh duy nhất gắn với người dùng đó. Trường hợp sử dụng tài khoản dùng chung cho một nhóm người hay một đơn vị, bộ phận phải có cơ chế xác định các cá nhân có trách nhiệm quản lý tài khoản. Người dùng chỉ được truy cập các thông tin phù hợp với chức năng, trách nhiệm, quyền hạn của mình và có trách nhiệm bảo mật tài khoản truy cập được cấp.

2. Các hệ thống thông tin cần giới hạn số lần đăng nhập sai liên tiếp vào hệ thống (từ 03 đến 05 lần). Hệ thống tự động khóa tài khoản trong một khoảng thời gian nhất định trước khi tiếp tục cho đăng nhập nếu liên tục đăng nhập sai vượt quá số lần quy định.

3. Tất cả máy chủ, máy trạm phải được thiết lập mật mã truy cập và chế độ tự động bảo vệ màn hình sau 10 phút không sử dụng.

4. Mật mã đăng nhập, truy cập hệ thống thông tin phải có độ phức tạp cao (có độ dài tối thiểu 8 ký tự, có ký tự thường, ký tự hoa, ký tự số hoặc ký tự đặc biệt như !, @, #, $, %,...) và phải được thay đổi ít nhất 03 tháng/01lần.

5. Cơ quan nhà nước rà soát tối thiểu 03 tháng/01lần các tài khoản đăng nhập, đảm bảo các tài khoản và quyền truy cập hệ thống được cấp phát đúng, đủ. Khi người dùng thay đổi vị trí công tác, chuyển công tác, thôi việc hoặc nghỉ hưu thì cơ quan nhà nước phải kịp thời thu hồi tài khoản đã cấp hoặc thông báo cho Sở Thông tin và Truyền thông thu hồi tài khoản được cấp (đối với các hệ thống do Sở Thông tin và Truyền thông quản lý tập trung tại Trung tâm Dữ liệu thành phố).

Điều 7. Đảm bảo an toàn các phần mềm ứng dụng

1. Việc đảm bảo an toàn các phần mềm ứng dụng (bao gồm: cơ sở dữ liệu) phải được đưa vào tất cả các giai đoạn đầu tư (hoặc thuê dịch vụ) của phần mềm ứng dụng như thiết kế, xây dựng, vận hành, nâng cấp, hủy bỏ.

2. Đối với giai đoạn thiết kế, xây dựng, nâng cấp, hủy bỏ (hoặc chuẩn bị thuê dịch vụ): áp dụng các biện pháp quản lý và kỹ thuật đảm bảo các quy trình, kết quả xử lý của phần mềm phải trung thực (kết quả xử lý không bị can thiệp trái phép), kiểm soát lỗ hỏng bảo mật trong quá trình thiết kế, xây dựng phần mềm, kiểm soát phân quyền người dùng đăng nhập và kiểm soát các rủi ro mất an toàn thông tin khác có thể phát sinh, thực hiện nghiêm túc việc kiểm tra thử phần mềm trước khi đưa vào khai thác sử dụng.

3. Đối với giai đoạn vận hành: Kiểm tra, giám sát việc tuân thủ các quy định về an toàn thông tin, đảm bảo cập nhật các lỗ hỏng bảo mật, áp dụng cơ chế sao lưu dự phòng, đảm bảo an toàn truy cập, đăng nhập hệ thống.

Điều 8. Đảm bảo an toàn thông tin, dữ liệu

1. Thông tin, dữ liệu khi được lưu trữ, khai thác, trao đổi phải được đảm bảo tính toàn vẹn, tính tin cậy, tính sẵn sàng. Thông tin, dữ liệu quan trọng khi được lưu trữ, trao đổi phải áp dụng kỹ thuật mã hóa, thiết lập mật mã, ứng dụng chữ ký số và phải có cơ chế lưu trữ dự phòng.

2. Trong trao đổi thông tin, dữ liệu phục vụ công việc, cơ quan nhà nước, cán bộ công chức viên chức phải sử dụng hệ thống thông tin do cơ quan nhà nước có thẩm quyền triển khai như: hệ thống thư điện tử thành phố (@cantho.gov.vn), phần mềm quản lý văn bản và điều hành, hệ thống thông tin họp và giao tiếp trực tuyến - chat nội bộ). Hạn chế việc sử dụng các phương tiện trao đổi thông tin dữ liệu, hệ thống thư điện tử, lưu trữ điện tử công cộng, mạng xã hội trên Internet trong hoạt động của cơ quan nhà nước.

Điều 9. Xây dựng quy chế nội bộ đảm bảo an toàn thông tin

1. Các cơ quan nhà nước phải xây dựng và ban hành quy chế an toàn thông tin, triển khai quy chế cho tất cả cán bộ, công chức, viên chức và người lao động thuộc cơ quan.

2. Quy chế đảm bảo an toàn thông tin bao gồm các quy định cơ bản như sau:

a) Quản lý và đảm bảo an toàn máy chủ, máy trạm, các thiết bị di động và cơ chế sao lưu, phục hồi;

b) Quản lý và đảm bảo an toàn hệ thống mạng máy tính, kết nối internet;

c) Quản lý và đảm bảo an toàn truy cập, đăng nhập hệ thống thông tin;

d) Quản lý và đảm bảo an toàn các phần mềm ứng dụng;

đ) Quản lý và đảm bảo an toàn thông tin, dữ liệu;

e) Xây dựng quy trình ứng cứu nội bộ về an toàn thông tin căn cứ quy trình phối hợp ứng cứu tại Điều 10 của Quy chế này.

Điều 10. Quy trình phối hợp ứng cứu sự cố về an toàn thông tin

Cơ quan nhà nước khi phát hiện hệ thống có nguy cơ mất an toàn như: hệ thống hoạt động chậm bất thường, không truy cập được hệ thống, nội dung thông tin bị thay đổi không chủ động hoặc các dấu hiệu bất thường khácthì tiến hành quy trình ứng cứu sự cố theo các bước sau:

1. Bước 1: Nếu hệ thống có nguy cơ mất an toàn thông tin thuộc thẩm quyền cơ quan nhà nước trực tiếp quản lý thì thực hiện tiếp Bước 2. Nếu hệ thống có nguy cơ mất an toàn thông tin thuộc Sở Thông tin và Truyền thông quản lý (các hệ thống được triển khai tập trung tại Trung tâm Dữ liệu thành phố) thì thực hiện tiếp Bước 3;

2. Bước 2: Tiến hành xử lý sự cố theo quy chế nội bộ của cơ quan nhà nước. Nếu sự cố được khắc phục thì lập biên bản ghi nhận và kết thúc quy trình phối hợp xử lý sự cố. Khi sự cố vượt quá khả năng xử lý của cơ quan, lập biên bản ghi nhận và thực hiện tiếp Bước 3;

3. Bước 3: Báo sự cố đến Sở Thông tin và Truyền thông theo mẫu thông báo sự cố tại Phụ lục 2 Quy chế này và thực hiện tiếp Bước 4;

4. Bước 4: Phối hợp với Sở Thông tin và Truyền thông và các cơ quan,tổ chức có liên quan để tiến hành khắc phục sự cố và thực hiện tiếp Bước 5;

5. Bước 5: Lập biên bản ghi nhận và kết thúc quy trình phối hợp xử lý sự cố.

Chương III

TRÁCH NHIỆM ĐẢM BẢO AN TOÀN THÔNG TIN

Điều 11. Trách nhiệm của các cơ quan nhà nước

1. Thủ trưởng các cơ quan nhà nước tổ chức thực hiện nghiêm túc các quy định tại Quy chế này và chịu trách nhiệm trước Ủy ban nhân dân thành phố trong công tác đảm bảo an toàn thông tin của đơn vị mình.

2. Ban hành quy chế, quy trình nội bộ về đảm bảo an toàn thông tin phù hợp với Quy chế này và các quy định của pháp luật.

3. Đưa nội dung thực hiện đảm bảo an toàn thông tin vào kế hoạch ứng dụng công nghệ thông tin hàng năm của đơn vị.

4. Tuyên truyền, phổ biến Quy chế này và các quy định khác của pháp luật có liên quan về an toàn thông tin trong phạm vi trách nhiệm và quyền hạn.

5. Phân công một bộ phận hoặc cán bộ phụ trách đảm bảo an toàn thông tin của đơn vị; tạo điều kiện để các cán bộ phụ trách an toàn thông tin được học tập, nâng cao trình độ về an toàn thông tin, đồng thời tạo điều kiện để cán bộ, công chức, viên chức và người lao động tham gia tập huấn kiến thức về an toàn thông tin.

6. Thực hiện tốt việc phối hợp ứng cứu sự cố an toàn khi có nguy cơ mất an toàn thông tin, tạo điều kiện thuận lợi cho các cơ quan chức năng, tổ chức tham gia khắc phục sự cố và thực hiện đúng theo hướng dẫn.

7. Phối hợp với đoàn kiểm tra trong công tác thanh tra, kiểm tra việc thực hiện đảm bảo an toàn thông tin.

8. Nghiêm túc thực hiện các biện pháp quản lý, các yêu cầu cam kết về đảm bảo an toàn thông tin đối với các tổ chức, cá nhân khi tham gia vào các hệ thống thông tin do đơn vị mình quản lý.

9. Báo cáo tình hình, kết quả thực hiện công tác đảm bảo an toàn thông tin tại cơ quan nhà nước và gửi về Sở Thông tin và Truyền thông định kỳ mỗi năm 02 lần vào trước ngày 15 tháng 6 và ngày 15 tháng 12 hàng năm theo biểu mẫu tại Phụ lục 1 Quy chế này, làm cơ sở để Sở Thông tin và Truyền thông tổng hợp, báo cáo Ủy ban nhân dân thành phố và Bộ Thông tin và Truyền thông.

Điều 12. Trách nhiệm của cán bộ, công chức, viên chức và người lao động trong các cơ quan nhà nước

1. Trách nhiệm của cán bộ phụ trách an toàn thông tin tại các cơ quan nhà nước:

a) Tham mưu lãnh đạo ban hành các quy định, biện pháp nhằm đảm bảo an toàn thông tin, tham mưu chuyên môn và vận hành an toàn hệ thống thông tin của đơn vị theo nhiệm vụ được Thủ trưởng đơn vị phân công và theo các nội dung của Quy chế này.

b) Thực hiện giám sát, theo dõi việc tuân thủ thực hiện quy định về an toàn thông tin, kịp thời phát hiện các nguy cơ mất an toàn thông tin để báo cáo, tham mưu lãnh đạo chỉ đạo thực hiện.

c) Phối hợp với các cơ quan, tổ chức, cá nhân liên quan trong việc kiểm tra, khắc phục sự cố mất an toàn thông tin.

d) Tham gia các chương trình đào tạo, tập huấn chuyên môn, hội nghị về an toàn thông tin nhằm nâng cao nhận thức, năng lực chuyên môn, nghiệp vụ.

2. Trách nhiệm của cán bộ, công chức, viên chức và người lao động trong các cơ quan nhà nước:

a) Thực hiện nghiêm các quy chế nội bộ, quy trình về an toàn thông tin cũng như các quy định khác của pháp luật, nâng cao ý thức cảnh giác, trách nhiệm đảm bảo an toàn thông tin tại đơn vị.

b) Khi phát hiện sự cố phải báo cáo ngay với cấp trên và bộ phận hoặc cán bộ phụ trách an toàn thông tin để kịp thời ngăn chặn, xử lý.

c) Tham gia các chương trình đào tạo, tập huấn, hội nghị về an toàn thông tin nhằm nâng cao nhận thức và nắm thông tin.

d) Nghiêm cấm mọi hành vi cố ý lan truyền, phát tán virus lên mạng, phát tán thư rác, sử dụng các phần mềm bất hợp pháp để truy xuất, phá hoại hệ thống; cấm truyền bá văn hóa phẩm đồi trụy, nội dung không phù hợp với văn hóa Việt Nam, nội dung có ý xuyên tạc, chống đối nhà nước Cộng hòa xã hội chủ nghĩa Việt Nam.

đ) Không được đánh cắp và sử dụng trái phép mật mã, thông tin riêng của các đơn vị, người dùng hoặc phổ biến cho người khác sử dụng trên hệ thống mạng của thành phố.

e) Nghiêm cấm mọi hành vi khác theo Điều 5 của Nghị định số 72/2013/NĐ-CP ngày 15 tháng 7 năm 2013 của Chính phủ về việc quản lý, cung cấp, sử dụng dịch vụ Internet và thông tin trên mạng.

Điều 13. Trách nhiệm của Sở Thông tin và Truyền thông

1. Tham mưu Ủy ban nhân dân thành phố về công tác đảm bảo an toàn thông tin trên địa bàn thành phố và chịu trách nhiệm trước Ủy ban nhân dân thành phố trong việc đảm bảo an toàn thông tin cho các hệ thống thông tin được Ủy ban nhân dân thành phố giao quản lý.

2. Hàng năm, tham mưu xây dựng kế hoạch ứng dụng và phát triển công nghệ thông tin trong cơ quan nhà nước thành phố Cần Thơ, trong đó lồng ghép nội dung đảm bảo an toàn thông tin các hệ thống thông tin được Ủy ban nhân dân thành phố giao quản lý.

3. Xây dựng và triển khai các chương trình đào tạo, các hoạt động tuyên truyền đảm bảo an toàn thông tin trong cơ quan nhà nước trên địa bàn thành phố.

4. Thực hiện việc tiếp nhận và xử lý các sự cố về an toàn thông tin trên địa bàn thành phố. Tùy theo mức độ sự cố, phối hợp với Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam (VNCERT) và các cơ quan nhà nước, tổ chức có liên quan hướng dẫn xử lý, ứng cứu các sự cố mất an toàn thông tin.

5. Hướng dẫn các cơ quan, đơn vị trong việc thực hiện quy chế nội bộ về an toàn thông tin, kiểm tra, giám sát việc tuân thủ quy định, thực hiện công tác đảm bảo an toàn thông tin tại các cơ quan, đơn vị.

6. Phối hợp với Công an thành phố và các cơ quan nhà nước có liên quan thành lập Đoàn kiểm tra an toàn thông tin, tổ chức kiểm tra theo định kỳ hoặc kiểm tra đột xuất, kịp thời phát hiện và xử lý theo quy định pháp luật đối với các cơ quan, tổ chức, cá nhân có dấu hiệu, hành vi vi phạm an toàn thông tin.

7. Tổng hợp, báo cáo Ủy ban nhân dân thành phố theo định kỳ 06 tháng/01 lần về công tác đảm bảo an toàn thông tin của thành phố và các vấn đề về an toàn thông tin quan trọng phát sinh.

8. Đưa tiêu chí an toàn thông tin vào các tiêu chí đánh giá xếp hạng ứng dụng công nghệ thông tin trong cơ quan nhà nước trên địa bàn thành phố.

9. Trung tâm Công nghệ thông tin và Truyền thông trực thuộc Sở Thông tin và Truyền thông là đơn vị trực tiếp vận hành kỹ thuật Trung tâm Dữ liệu thành phố, phải chịu trách nhiệm ban hành Quy chế nội bộ và thực hiện tốt công tác đảm bảo an toàn thông tin cho các máy chủ, các hệ thống thông tin tại Trung tâm Dữ liệu thành phố theo các nội dung của Quy chế này, các tiêu chuẩn quốc gia và tham khảo các tiêu chuẩn quốc tế về an toàn thông tin.

Điều 14. Trách nhiệm của Công an thành phố

1. Chủ trì, phối hợp với Sở Thông tin và Truyền thông và các cơ quan nhà nước có liên quan chịu trách nhiệm kiểm soát, phòng ngừa, đấu tranh, ngăn chặn các loại tội phạm lợi dụng hệ thống thông tin gây hại đến an toàn, an ninh thông tin trong cơ quan nhà nước; phối hợp với các cơ quan chức năng trong công tác kiểm tra, đánh giá nhằm đảm bảo an toàn, an ninh thông tin trong các cơ quan nhà nước.

2. Tăng cường công tác tuyên truyền, phổ biến pháp luật về xử lý tội phạm trong việc đảm bảo an toàn, an ninh thông tin.

3. Điều tra và xử lý các trường hợp vi phạm pháp luật về an toàn, an ninh thông tin theo thẩm quyền.

4. Thực hiện nhiệm vụ bảo vệ an toàn các công trình quan trọng về an ninh quốc gia trên lĩnh vực công nghệ thông tin.

Chương IV

THANH TRA, KIỂM TRA, KHEN THƯỞNG VÀ XỬ LÝ VI PHẠM AN TOÀN, AN NINH THÔNG TIN

Điều 15. Thanh tra, kiểm tra

Sở Thông tin và Truyền thông chủ trì, phối hợp với Công an thành phố và các cơ quan nhà nước có liên quan tiến hành thanh tra, kiểm tra công tác đảm bảo an toàn thông tin định kỳ hoặc đột xuất đối với các cơ quan nhà nước trên địa bàn thành phố.

Điều 16. Khen thưởng, xử lý vi phạm

1. Hàng năm, Sở Thông tin và Truyền thông trên cơ sở công tác thanh tra, kiểm tra và báo cáo công tác an toàn thông tin của các cơ quan nhà nước để tổng hợp, báo cáo và đề xuất Ủy ban nhân dân thành phố xem xét khen thưởng các cá nhân, đơn vị theo quy định hiện hành.

2. Tổ chức, cá nhân có hành vi vi phạm Quy chế này, tùy theo tính chất, mức độ vi phạm bị xử lý kỷ luật theo quy định hiện hành.

Chương V

TỔ CHỨC THỰC HIỆN

Điều 17. Điều khoản thi hành

1. Giám đốc sở, Thủ trưởng cơ quan, ban, ngành thành phố, Chủ tịch Ủy ban nhân dân quận, huyện và các đơn vị có liên quan chịu trách nhiệm tổ chức triển khai thực hiện Quy chế này.

2. Sở Kế hoạch và Đầu tư, Sở Tài chính phối hợp Sở Thông tin và Truyền thông ưu tiên bố trí kinh phí thực hiện các nhiệm vụ đảm bảo an toàn thông tin của thành phố.

3. Trong quá trình thực hiện, nếu có những vấn đề cần sửa đổi, bổ sung, đề nghị các cơ quan nhà nước gửi về Sở Thông tin và Truyền thông để tổng hợp, báo cáo Ủy ban nhân dân thành phố xem xét, quyết định./.

 

PHỤ LỤC I

MẪU BÁO CÁO ĐỊNH KỲ VỀ AN TOÀN THÔNG TIN
(Ban hành kèm theo Quyết định số 2945/QĐ-UBND ngày 09 tháng 10 năm 2015 của Ủy ban nhân dân thành phố Cần Thơ)

Tên Cơ quan/Đơn vị:…….
…………………………..
--------

CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM
Độc lập - Tự do - Hạnh phúc
---------------

Số: …….

Cần Thơ, ngày tháng năm 20…..

 

BÁO CÁO ĐỊNH KỲ VỀ AN TOÀN THÔNG TIN

Kính gửi: Sở Thông tin và Truyền thông

I. Tình hình an toàn thông tin tại cơ quan/đơn vị:

1. Ban hành Quy chế an toàn thông tin tại cơ quan/đơn vị: □ Có           □ Không

Nếu có: (ghi rõ số Quyết định và ngày ban hành)  ……………………………………

2. Tổng số máy tính của cơ quan/đơn vị, trong đó: …. máy chủ; ….. máy trạm

3. Cơ quan/đơn vị có kết nối mạng cục bộ (LAN): □ Có                     □ Không

Nếu có, mạng LAN được thiết kế theo mô hình:

□ Client/Server có đăng nhập Domain  □ ngang hàng (Peer to Peer)

4. Cơ quan/đơn vị tự trang bị đường truyền kết nối Internet: □ Có           □ Không

Nếu có: ghi rõ tên nhà cung cấp dịch vụ đường truyền Internet: ……………………

Số máy tính kết nối mạng Internet: ………...máy, trong đó:

Số máy tính không kết nối mạng internet để soạn thảo các văn bản mật:……….. máy.

5. Đơn vị có đầu tư thiết bị, giải pháp đảm bảo an toàn thông tin:

- Thiết bị tường lửa (Firewall):                                                   □ Có      □ Không

Nếu có: (ghi cụ thể tên, số hiệu, tường lửa là thiết bị phần cứng, hay phần mềm)…….

- Phần mềm diệt virus: □ Có          □ Không

Nếu có, tổng số máy tính có cài phần mềm diệt vius có bản quyền………… máy, trong đó: …. máy chủ, ….. máy trạm.

- Giải pháp khác (ghi cụ thể):………………………………..…………..……………

6. Chi phí đầu tư cho an toàn thông tin trong thời gian qua (kỳ báo cáo):……………

7. Dự kiến Chi phí đầu tư cho an toàn thông tin trong thời gian tới:…………………

8. Cơ quan/đơn vị có hệ thống thư điện tử riêng (ngoài hệ thống thư điện tử chung của thành phố @cantho.gov.vn): □ Có                    □ Không

Nếu có (ghi cụ thể):…………………………………………….

9. Cơ quan/đơn vị sử dụng hòm thư công cộng, công nghệ lưu trữ điện toán đám mây công cộng (ví dụ: Gmail, Yahoo Mail, Google Drive, One Drive, ….) để lưu trữ, trao đổi tài liệu quan trọng của cơ quan/đơn vị: □ Có                □ Không

Cơ quan/đơn vị có nhu cầu sử dụng công nghệ lưu trữ điện toán đám mây dùng riêng tại Trung tâm Dữ liệu thành phố: □ Có              □ Không

10. Cơ quan/đơn vị có lắp đặt và sử dụng mạng không dây (wifi): □ Có       □ Không

Nếu có:

+ Người quản trị có đổi lại mật khẩu quản trị mặc định của Access Point/Router ADSL: □ Có       □ Không

+ Đặt mật khẩu wifi để truy cập: □ Có     □ Không

+ Đặt địa chỉ MAC cho các thiết bị di động (chỉ dành riêng cho người dùng nội bộ của đơn vị): □ Có        □ Không

+ Phân chia vùng cho người dùng thuộc cơ quan/đơn vị hay người dùng công cộng: □ Có         □ Không

11. Thống kê sự cố về an toàn thông tin (trong kỳ báo cáo)

Loại sự cố

Tổng số lượng

Số sự cố tự xử lý

Số sự cố đề nghị  Sở Thông tin và Truyền thông hỗ trợ xử lý

Số sự cố có sự hỗ trợ xử lý từ các tổ chức khác (bao gồm tổ chức trong và ngoài nước)

Thiệt hại ước tính (VNĐ)

Tấn công từ chối dịch vụ (Dos, Ddos)

 

 

 

 

 

Mã độc (Spyware/Adware)

 

 

 

 

 

Thay đổi giao diện website

 

 

 

 

 

Lừa đảo (Phishing)

 

 

 

 

 

Virus

 

 

 

 

 

Khác:……………………..

 

 

 

 

 

II. Nhân lực về an toàn thông tin

1. Cơ quan/đơn vị có phân công lãnh đạo phụ trách về an toàn thông tin:

□ Có                 □ Không

2. Cơ quan/đơn vị có phân công bộ phận/cán bộ phụ trách về an toàn thông tin:

□ Có                 □ Không

Nếu có (ghi rõ họ tên, email, điện thoại liên hệ):……………………………………..

3. Hiện trạng cán bộ, công chức, viên chức được đào tạo về an toàn thông tin:

+ Cán bộ cán bộ lãnh đạo, quản lý (từ cấp lãnh đạo phòng, ban trở lên), số lượng: ………….. người

+ Cán bộ  chuyên trách an toàn thông tin, số lượng: ………….. người

+ Cán bộ, công chức, viên chức khác (người dùng), số lượng: ………….. người

4. Nhu cầu đào tạo nhân lực về an toàn thông tin:

+ Dành cho cán bộ lãnh đạo, quản lý (từ cấp lãnh đạo phòng, ban trở lên), số lượng dự kiến: ………….. người

+ Dành cho cán bộ chuyên trách an toàn thông tin, số lượng dự kiến: ……….. người

+ Dành cho người cán bộ, công chức, viên chức (người dùng), số lượng dự kiến: ………….. người

III. Ý kiến phản hồi, đề xuất, kiến nghị:

……………………………………………………………………………..…….......

……………………………………………………………………………..…….......

……………………………………………………………………………..…….......

 

Người lập báo cáo

(Ký, ghi rõ họ tên)

Thủ trưởng Cơ quan/Đơn vị

(Ký, ghi rõ họ tên, đóng dấu)

 

PHỤ LỤC II

MẪU THÔNG BÁO SỰ CỐ AN TOÀN THÔNG TIN
(Ban hành kèm theo Quyết định số 2945/QĐ-UBND ngày 09 tháng 10 năm 2015 của Ủy ban nhân dân thành phố Cần Thơ)

Tên Cơ quan/Đơn vị:…….
…………………………..
--------

CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM
Độc lập - Tự do - Hạnh phúc
---------------

Số: …….

Cần Thơ, ngày tháng năm 20…..

 

Kính gửi: Sở Thông tin và Truyền thông

1. Thông tin về sự cố

▪ Mô tả sơ bộ về sự cố:

▪ Cách thức phát hiện (Đánh dấu những cách thức được sử dụng để phát hiện sự cố)

□ Qua hệ thống phát hiện xâm nhập (IDS )          □ Kiểm tra Log File         □ Quản trị hệ thống       □ Khác:

▪ Thời gian xảy ra sự cố : …/… /……/…/… (ngày/tháng/năm/giờ/phút)

▪ Thời gian thực hiện báo cáo sự cố: …/… /……/…/… (ngày/tháng/năm/giờ/phút)

▪ Người liên hệ (Họ tên, địa chỉ email, số điện thoại):

2. Thông tin về hệ thống xảy ra sự cố

▪ Hệ điều hành:................................................................... version:

▪ Các dịch vụ có trên hệ thống (Đánh dấu những dịch vụ được sử dụng trên hệ thống)

□ Web server                □ Mail server                 □ Database server

□ FTP server                 □ Proxy server              □ Application server

□ Dịch vụ khác:

▪ Các địa chỉ IP của hệ thống:

▪ Các tên miền của hệ thống:

▪ Mục đích chính sử dụng hệ thống:

 

Người lập

(Ký, ghi rõ họ tên)

Thủ trưởng Cơ quan/Đơn vị

(Ký, ghi rõ họ tên, đóng dấu)

 

HIỆU LỰC VĂN BẢN

Quyết định 2945/QĐ-UBND năm 2015 về Quy chế đảm bảo an toàn thông tin trong hoạt động ứng dụng công nghệ thông tin của cơ quan nhà nước thuộc Ủy ban nhân dân thành phố Cần Thơ

  • Số hiệu: 2945/QĐ-UBND
  • Loại văn bản: Quyết định
  • Ngày ban hành: 09/10/2015
  • Nơi ban hành: Thành phố Cần Thơ
  • Người ký: Lê Văn Tâm
  • Ngày công báo: Đang cập nhật
  • Số công báo: Dữ liệu đang cập nhật
  • Ngày hiệu lực: 09/10/2015
  • Tình trạng hiệu lực: Còn hiệu lực
Tải văn bản