Hệ thống pháp luật

ỦY BAN NHÂN DÂN
TỈNH LONG AN
--------

CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM
Độc lập - Tự do - Hạnh phúc
---------------

Số: 55/2021/QĐ-UBND

Long An, ngày 20 tháng 12 năm 2021

 

QUYẾT ĐỊNH

BAN HÀNH QUY CHẾ QUẢN LÝ, VẬN HÀNH VÀ KHAI THÁC TRUNG TÂM DỮ LIỆU TỈNH LONG AN

ỦY BAN NHÂN DÂN TỈNH LONG AN

Căn cứ Luật Tổ chức chính quyền địa phương ngày 19/6/2015;

Căn cứ Luật Sửa đổi, bổ sung một số điều của Luật Tổ chức Chính phủ và Luật Tổ chức chính quyền địa phương ngày 22/11/2019;

Căn cứ Luật Công nghệ thông tin ngày 29/6/2006;

Căn cứ Luật An toàn thông tin mạng ngày 19/11/2015;

Căn cứ Luật An ninh mạng ngày 12/6/2018;

Căn cứ Nghị định số 64/2007/NĐ-CP ngày 10/4/2007 của Chính phủ về ứng dụng Công nghệ thông tin trong hoạt động của cơ quan nhà nước;

Căn cứ Nghị định số 85/2016/NĐ-CP ngày 01/7/2016 của Chính phủ về bảo đảm an toàn hệ thống thông tin theo cấp độ;

Căn cứ Thông tư số 03/2013/TT-BTTTT ngày 22/01/2013 của Bộ Thông tin và Truyền thông quy định áp dụng tiêu chuẩn, quy chuẩn kỹ thuật đối với Trung tâm dữ liệu;

Căn cứ Thông tư số 03/2017/TT-BTTTT ngày 24/4/2017 của Bộ Thông tin và Truyền thông quy định chi tiết và hướng dẫn một số điều của Nghị định 85/2016/NĐ-CP ngày 01/7/2016 của Chính phủ về bảo đảm an toàn hệ thống thông tin theo cấp độ;

Căn cứ Thông tư số 31/2017/TT-BTTTT ngày 15/11/2017 của Bộ Thông tin và Truyền thông quy định hoạt động giám sát an toàn hệ thống thông tin;

Theo đề nghị của Sở Thông tin và Truyền thông tại Tờ trình số 2733/TTr-STTTT ngày 15/12/2021; ý kiến thẩm tra của Sở Tư pháp tại Công văn số 2666/STP-XDKTVB ngày 01/12/2021.

QUYẾT ĐỊNH:

Điều 1. Ban hành kèm theo Quyết định này Quy chế quản lý, vận hành và khai thác Trung tâm dữ liệu tỉnh Long An.

Điều 2. Giao Sở Thông tin và Truyền thông chủ trì, phối hợp với các sở, ban, ngành tỉnh; UBND các huyện, thị xã, thành phố và các cơ quan, đơn vị có liên quan tổ chức thực hiện quyết định này.

Quyết định này có hiệu lực thi hành kể từ ngày 31/12/2021.

Điều 3. Chánh Văn phòng UBND tỉnh; Giám đốc Sở Thông tin và Truyền thông; Thủ trưởng các sở, ban, ngành tỉnh; Chủ tịch UBND các huyện, thị xã, thành phố và tổ chức, cá nhân có liên quan chịu trách nhiệm thi hành quyết định này./.

 

 

Nơi nhận:
- Như Điều 3;
- Bộ Thông tin và Truyền thông (b/c);
- Cục Kiểm tra VBQPPL – Bộ Tư pháp;
- TT.TU; TT.HĐND tỉnh (b/c);
- CT, các PCT UBND tỉnh;
- CVP, các PCVP;
- Trung tâm PVHCC tỉnh (đăng công báo);
- Phòng VHXH;
- Lưu: VT, lvt.

TM. ỦY BAN NHÂN DÂN
CHỦ TỊCH




Nguyễn Văn Út

 

QUY CHẾ

QUẢN LÝ, VẬN HÀNH VÀ KHAI THÁC TRUNG TÂM DỮ LIỆU TỈNH LONG AN
(Kèm theo Quyết định số 55 /2021/QĐ-UBND ngày 20 /12/2021 của UBND tỉnh Long An)

Chương I

QUY ĐỊNH CHUNG

Điều 1. Phạm vi điều chỉnh, đối tượng áp dụng

1. Phạm vi điều chỉnh

Quy chế này quy định việc quản lý, vận hành và khai thác Trung tâm dữ liệu tỉnh Long An (gọi tắt là Trung tâm dữ liệu).

2. Đối tượng áp dụng

Quy chế này áp dụng đối với cơ quan hành chính nhà nước, đơn vị sự nghiệp công lập trên địa bàn tỉnh Long An; các tổ chức chính trị - xã hội, tổ chức, cá nhân có liên quan tham gia quản lý, vận hành, khai thác Trung tâm dữ liệu.

Điều 2. Giải thích từ ngữ

Trong Quy chế này, các từ ngữ dưới đây được hiểu như sau:

1. Phần mềm dùng chung: là các hệ thống nền tảng, phần mềm (hệ phần mềm) ứng dụng sử dụng dùng chung, đồng bộ cho các cơ quan, đơn vị và người sử dụng được UBND tỉnh thống nhất triển khai đưa vào hoạt động tại Trung tâm dữ liệu.

2. Mạng diện rộng (gọi tắt là mạng WAN): là mạng máy tính được thiết lập bằng việc kết nối giữa Trung tâm dữ liệu và mạng nội bộ của các cơ quan, đơn vị trên địa bàn tỉnh thông qua hạ tầng mạng của nhà cung cấp dịch vụ và cho phép kết nối với mạng của Chính phủ khi có yêu cầu.

3. Mạng truyền số liệu chuyên dùng (gọi tắt là mạng TSLCD): là hệ thống thông tin quan trọng quốc gia, được sử dụng trong hoạt động truyền số liệu chuyên dùng của các cơ quan Đảng, Nhà nước.

4. Hạ tầng kỹ thuật: là tập hợp thiết bị công nghệ thông tin (thiết bị định tuyến, thiết bị chuyển mạch, thiết bị lưu trữ dữ liệu, các thiết bị giám sát, bảo mật, máy chủ, máy trạm), thiết bị điện (điều hòa chính xác, tủ điện, chống sét, máng cáp điện), thiết bị phòng cháy, chữa cháy, thiết bị viễn thông, thiết bị ngoại vi, mạng nội bộ, mạng WAN, mạng TSLCD và các thiết bị kỹ thuật chuyên dùng khác.

5. An toàn, an ninh thông tin: bao gồm các hoạt động quản lý, nghiệp vụ và kỹ thuật đối với hệ thống thông tin nhằm bảo vệ, khôi phục các hệ thống, các dịch vụ và nội dung thông tin trước các nguy cơ tự nhiên hoặc do con người gây ra. Việc bảo vệ thông tin, thiết bị mạng, tài sản và con người trong hệ thống thông tin nhằm bảo đảm cho các hệ thống thông tin thực hiện đúng chức năng, phục vụ đúng đối tượng một cách sẵn sàng, chính xác và tin cậy. An toàn, an ninh thông tin bao hàm các nội dung bảo vệ và bảo mật thông tin, an toàn dữ liệu, an toàn máy tính và an toàn mạng.

6. Cơ quan chủ quản Trung tâm dữ liệu: UBND tỉnh Long An.

7. Cơ quan chịu trách nhiệm quản lý Trung tâm dữ liệu (gọi tắt là Đơn vị quản lý): Sở Thông tin và Truyền thông.

8. Đơn vị trực tiếp vận hành Trung tâm dữ liệu (gọi tắt là Đơn vị vận hành): Trung tâm Công nghệ thông tin và Truyền thông thuộc Sở Thông tin và Truyền thông.

Điều 3. Chức năng của Trung tâm dữ liệu

Trung tâm dữ liệu có chức năng lưu trữ dữ liệu lớn, hệ thống bảo mật an toàn dữ liệu, hệ thống phụ trợ, mạng WAN, mạng TSLCD, các hệ thống phần mềm ứng dụng dùng chung, phần mềm ứng dụng chuyên ngành, cơ sở dữ liệu dùng chung, cơ sở dữ liệu chuyên ngành của các cơ quan, đơn vị và hệ thống thông tin khác trên địa bàn tỉnh.

Điều 4. Hạ tầng kỹ thuật của Trung tâm dữ liệu

Hạ tầng kỹ thuật của Trung tâm dữ liệu được chia thành các thành phần sau:

1. Đường truyền: Trung tâm dữ liệu sử dụng mạng TSLCD để kết nối hệ thống mạng diện rộng của tỉnh, được lựa chọn chính để truyền dẫn, trao đổi dữ liệu, các giao dịch hành chính, khai thác sử dụng các hệ thống thông tin dùng chung trên môi trường mạng của các cơ quan nhà nước và sử dụng đường truyền dự phòng (qua internet) khi đường truyền chính bị sự cố.

2. Hệ thống mạng và bảo mật: hệ thống mạng được chia thành nhiều vùng khác nhau, mỗi vùng được thiết lập các chính sách an toàn và truy cập riêng phục vụ cho các mục đích khác nhau. Hệ thống bảo mật bao gồm các thiết bị tường lửa cho lớp mạng vòng ngoài, lớp mạng vòng trong và lớp ứng dụng, thiết bị phòng chống xâm nhập trái phép được thiết kế đảm bảo an toàn cho các kết nối từ Trung tâm dữ liệu kết nối vào và ra hệ thống khác. Các máy chủ và máy chủ ảo được cài phần mềm diệt virus có bản quyền, các thiết bị khi kết nối với hệ thống máy chủ tại Trung tâm dữ liệu được quét và kiểm tra đảm bảo an toàn trước khi kết nối với hệ thống.

3. Hệ thống giám sát an toàn thông tin: được thiết kế nhằm thu thập và phân tích nhật ký, các sự kiện từ các máy chủ, thiết bị mạng và được lưu trữ tập trung, cho phép phân tích và báo cáo về các sự kiện an toàn thông tin mạng, giúp phát hiện sớm các cuộc tấn công mạng, lây nhiễm mã độc. Dữ liệu hệ thống giám sát an toàn thông tin được cập nhật, chia sẻ với Trung tâm Giám sát không gian mạng quốc gia (NCSC).

4. Tài nguyên địa chỉ mạng IPv4, IPv6 và số hiệu mạng ASN độc lập: sử dụng dãy địa chỉ mạng IPv4, IPv6 được Bộ Thông tin và Truyền thông quy hoạch cấp cho cơ quan nhà nước và được phân hoạch đảm bảo tính hiệu quả và dự phòng. Đáp ứng yêu cầu về chuyển đổi từ IPv4 sang IPv6 phù hợp với lộ trình của quốc gia về IPv6.

5. Hệ thống máy chủ: bao gồm các hệ thống máy chủ đã được đầu tư phục vụ cho Chính quyền điện tử và các ứng dụng chuyên ngành với khả năng sẵn sàng cho việc mở rộng trong tương lai. Hệ thống máy chủ có khả năng cung cấp năng lực tính toán cho nhiều nền tảng với nhiều mục đích khác nhau như: Ứng dụng dùng chung, ứng dụng chuyên ngành, cơ sở dữ liệu dùng chung, cơ sở dữ liệu chuyên ngành và hệ thống thông tin khác.

6. Hệ thống hội nghị truyền hình: bao gồm hệ thống thiết bị điều khiển đa điểm, quản lý cuộc gọi đã được đầu tư phục vụ cho họp trực tuyến từ tỉnh đến cấp huyện, cấp xã và khả năng sẵn sàng cho việc mở rộng trong tương lai.

7. Hệ thống lưu trữ: bao gồm thiết bị lưu trữ tập trung có năng lực xử lý lưu trữ ở mức cao, khả năng lưu trữ lớn và thiết bị sao lưu, phục hồi dữ liệu. Hệ thống được thiết kế bảo đảm khả năng mở rộng dung lượng lưu trữ trong tương lai.

8. Hệ thống phụ trợ: bao gồm hệ thống điện, điều hòa, thiết bị lưu điện, máy phát điện, sàn nâng, hệ thống phòng cháy, chữa cháy, camera an ninh, khóa điện tử... được thiết kế tương tự theo tiêu chuẩn TIA 942 - TIER 3 (tiêu chuẩn quốc tế về Trung tâm dữ liệu), bảo đảm các thiết bị luôn được hoạt động trong môi trường tiêu chuẩn, ổn định với độ dự phòng cao.

Điều 5. Cơ sở dữ liệu và phần mềm ứng dụng của Trung tâm dữ liệu

1. Hệ thống cơ sở dữ liệu: bao gồm các hệ cơ sở dữ liệu dùng chung hoặc chuyên ngành được xây dựng nhằm liên kết, tích hợp các ứng dụng dùng chung và chuyên ngành phục vụ ứng dụng công nghệ thông tin trong các cơ quan, đơn vị và phục vụ người dân, doanh nghiệp.

2. Các phần mềm ứng dụng dùng chung, phần mềm ứng dụng chuyên ngành, cơ sở dữ liệu dùng chung, cơ sở dữ liệu chuyên ngành và hệ thống thông tin khác phục vụ cho việc triển khai ứng dụng công nghệ thông tin cho các cơ quan nhà nước, tổ chức chính trị - xã hội, bao gồm: Nền tảng kết nối, chia sẻ dữ liệu tỉnh (LGSP); Hệ thống Thư điện tử tỉnh; Hệ thống Quản lý văn bản và điều hành; Hệ thống thông tin Một cửa điện tử; Hệ thống phần mềm Quản lý cán bộ công chức, viên chức tỉnh; Hệ thống phần mềm Kho cơ sở dữ liệu dùng chung của tỉnh; Hệ thống Hội nghị trực tuyến mềm; Nền tảng, dịch vụ đô thị thông minh của tỉnh và các ứng dụng dùng riêng, ứng dụng chuyên ngành của các cơ quan nhà nước trong tỉnh.

3. Căn cứ vào nhu cầu thực tế, UBND tỉnh chỉ đạo bổ sung các ứng dụng khác được vận hành tại Trung tâm dữ liệu.

Điều 6. Nguyên tắc quản lý, vận hành và khai thác Trung tâm dữ liệu

1. Bảo đảm các yêu cầu về an toàn, an ninh mạng theo Luật An toàn thông tin mạng, Luật An ninh mạng và các văn bản pháp lý hiện hành.

2. Thiết lập, vận hành hệ thống quản lý An toàn thông tin (ISMS) đảm bảo tuân thủ theo tiêu chuẩn quốc tế ISO/IEC 27001:2013 về quản lý bảo mật thông tin.

3. Duy trì, vận hành, nâng cấp Trung tâm dữ liệu (cơ sở hạ tầng, hệ thống thông tin, cơ sở dữ liệu chuyên ngành) phải tuân thủ các tiêu chuẩn, quy chuẩn kỹ thuật do Nhà nước quy định và phù hợp với Kiến trúc Chính quyền điện tử tỉnh. Đồng thời, tuân thủ các quy định hiện hành về bảo đảm an toàn, an ninh mạng.

4. Quản lý, kết nối và chia sẻ dữ liệu số không chứa thông tin bí mật nhà nước của Trung tâm dữ liệu phải tuân thủ theo Nghị định số 47/2020/NĐ-CP ngày 09/4/2020 của Chính phủ quy định về Quản lý, kết nối và chia sẻ dữ liệu số của cơ quan nhà nước.

5. Việc chia sẻ dữ liệu số chứa thông tin thuộc phạm vi bí mật nhà nước được thực hiện theo Luật Bảo vệ bí mật nhà nước và các văn bản pháp luật hiện hành. Các tài liệu, văn bản có nội dung mật được quản lý theo quy định riêng của từng ngành, lĩnh vực và các văn bản quy phạm pháp luật hiện hành.

6. Các tổ chức, cá nhân sử dụng các hệ thống thông tin của Trung tâm dữ liệu phải tuân thủ các quy định chung về bảo đảm an toàn, an ninh thông tin và chịu trách nhiệm đối với mọi hoạt động trên tài khoản truy cập của mình.

7. Đơn vị quản lý Trung tâm dữ liệu chịu trách nhiệm quản lý tài sản hoặc phân cấp quản lý tài sản theo quy định hiện hành về quản lý, sử dụng tài sản công.

8. Đơn vị vận hành Trung tâm dữ liệu chịu trách nhiệm quản lý tài sản theo phân cấp, quản trị, vận hành đảm bảo khai thác an toàn hiệu quả hạ tầng kỹ thuật Trung tâm dữ liệu hiện có.

9. Ngân sách nhà nước hàng năm bảo đảm cho công tác duy trì, quản lý, vận hành và bảo trì, bảo dưỡng, thay thế các thiết bị hỏng hóc, bổ sung bản quyền (license) các thiết bị, phần mềm tại Trung tâm dữ liệu đầy đủ, kịp thời để phục vụ nhiệm vụ chung.

Chương II

QUẢN LÝ, VẬN HÀNH VÀ KHAI THÁC TRUNG TÂM DỮ LIỆU

Điều 7. Quy định làm việc, chế độ vào, ra Trung tâm dữ liệu

1. Quy định đối với quản trị viên hệ thống

a) Trong quá trình làm việc tại Trung tâm dữ liệu phải tuân thủ nghiêm ngặt theo các quy trình, quy định làm việc, chế độ vào, ra đã được đơn vị vận hành phê duyệt.

b) Quản trị, vận hành và sử dụng thông tin tại Trung tâm dữ liệu theo trách nhiệm và phân quyền được quy định; không tự ý can thiệp vào các phần mềm ứng dụng, dữ liệu do các cơ quan, đơn vị khác triển khai tại Trung tâm dữ liệu; việc khai thác thông tin phải bảo đảm nguyên tắc bảo mật, không được tự ý cung cấp thông tin ra bên ngoài.

c) Không được mang, sử dụng các thiết bị điện thoại, máy tính xách tay, máy tính bảng hoặc các thiết bị điện tử cá nhân khác (máy chụp hình, máy quay phim, thiết bị lưu trữ...) vào bên trong Trung tâm dữ liệu.

2. Quy định đối với tổ chức, cá nhân đến làm việc tại Trung tâm dữ liệu

a) Yêu cầu:

- Tuân thủ nghiêm ngặt theo các quy trình, quy định làm việc, chế độ vào, ra tại Trung tâm dữ liệu.

- Không được mang, sử dụng các thiết bị điện thoại, máy tính xách tay, máy tính bảng hoặc các thiết bị điện tử cá nhân khác (máy chụp hình, máy quay phim, thiết bị lưu trữ...) khi vào bên trong Trung tâm dữ liệu, trừ các yêu cầu tác nghiệp đặc biệt của các cơ quan chức năng có thẩm quyền theo luật định.

b) Các tổ chức, cá nhân đến đăng ký làm việc, tham quan phải cung cấp giấy giới thiệu của cơ quan, đơn vị hoặc văn bản đề nghị làm việc tại Trung tâm dữ liệu; danh sách những người tham quan (có thông tin về số CMND/CCCD hoặc Hộ chiếu kèm theo) và tuân thủ theo các quy định của đơn vị quản lý Trung tâm dữ liệu.

Điều 8. Quy định về an toàn hoạt động

1. Trung tâm dữ liệu phải có nội quy vận hành và được giám sát thường xuyên thông qua hệ thống kiểm soát vào, ra. Không đặt các thiết bị hỏng, thiết bị chờ thanh lý, các thiết bị của cá nhân, các vật dụng dễ cháy nổ… vào Trung tâm dữ liệu.

2. Trung tâm dữ liệu phải được trang bị hệ thống quản lý môi trường (nhiệt độ, độ ẩm), hệ thống điều hòa chính xác bảo đảm độ ẩm, nhiệt độ đạt tiêu chuẩn quy định cho các thiết bị, hạ tầng kỹ thuật hoạt động ổn định, được bảo trì, bảo dưỡng ít nhất 04 lần/năm hoặc theo khuyến cáo của nhà sản xuất.

3. Trung tâm dữ liệu phải được trang bị hệ thống lưu điện dự phòng (UPS) cung cấp điện cho các thiết bị, hạ tầng kỹ thuật, được bảo trì, bảo dưỡng ít nhất 02 lần/năm và máy phát điện dự phòng để bảo đảm cho hệ thống hoạt động liên tục, ổn định kể cả khi có sự cố về nguồn điện lưới, được bảo trì, bảo dưỡng ít nhất 02 lần/năm, thay thế thiết bị hư hỏng, cấp phiếu nhiên liệu kịp thời.

4. Hệ thống phòng cháy, chữa cháy phải đáp ứng theo tiêu chuẩn quy định, vừa đảm bảo an toàn tuyệt đối cho toàn hệ thống thiết bị, vừa đảm bảo an toàn cho người quản trị tại Trung tâm dữ liệu. Hệ thống được bảo trì, bảo dưỡng ít nhất 01 lần/năm.

5. Hệ thống camera giám sát phải bảo đảm quan sát được toàn bộ Trung tâm dữ liệu liên tục 24/24 giờ; bảo đảm dữ liệu hình ảnh phải được lưu trữ ít nhất trong thời gian 30 ngày.

6. Hệ thống quản lý vào, ra (Access Control) hoạt động 24/24 giờ nhằm đảm bảo an ninh, chính xác và linh hoạt cho Trung tâm dữ liệu.

Điều 9. Quy định về an toàn, an ninh mạng cho hệ thống

1. Các hệ thống thông tin tại Trung tâm dữ liệu phải đáp ứng các tiêu chuẩn, quy chuẩn kỹ thuật về đảm bảo an toàn thông tin cấp độ 3 theo Thông tư số 03/2017/TT-BTTTT ngày 24/4/2017 của Bộ Thông tin và Truyền thông và Quyết định phê duyệt cấp độ an toàn thông tin đối với Trung tâm dữ liệu tỉnh Long An của cơ quan nhà nước có thẩm quyền.

2. Theo dõi, kiểm tra, xử lý các cảnh báo của hệ thống giám sát an toàn thông tin của Trung tâm dữ liệu, ghi nhận đầy đủ các sự kiện, biện pháp xử lý. Thực hiện rà soát, đánh giá theo hướng dẫn nghiệp vụ của Cục An toàn thông tin, Trung tâm Giám sát không gian mạng quốc gia (NCSC) và Trung tâm Ứng cứu khẩn cấp không gian mạng Việt Nam (VNCERT/CC).

3. Các hệ thống thông tin từ cấp độ 3 trở lên thuộc Trung tâm dữ liệu phải được kiểm tra, đánh giá an toàn thông tin theo định kỳ ít nhất 01 lần/năm bởi đơn vị vận hành hoặc doanh nghiệp, tổ chức độc lập thực hiện việc kiểm tra, đánh giá và tổng hợp, báo cáo theo định kỳ.

4. Thường xuyên kiểm tra kết nối, chia sẻ thông tin với hệ thống giám sát quốc gia: Trung tâm giám sát an toàn không gian mạng quốc gia trực thuộc Cục An toàn thông tin, Bộ Thông tin và Truyền thông.

5. Hệ thống bảo mật được thiết lập cấu hình, cập nhật tự động các dấu hiệu, phương thức tấn công mới để hệ thống ở trạng thái hoạt động tốt nhất nhằm ngăn chặn, xử lý hiệu quả dấu hiệu tấn công mạng, bảo đảm an toàn, bảo mật cho Trung tâm dữ liệu.

6. Tất cả các máy chủ vận hành tại Trung tâm dữ liệu phải được thiết lập cập nhật bản vá tự động hoặc thủ công đảm bảo trạng thái hoạt động tốt nhất.

Điều 10. Quy định về an toàn hệ thống mạng

1. Hệ thống mạng phải bảo đảm

a) Hệ thống mạng hoạt động liên tục, ổn định, an toàn, đáp ứng được yêu cầu về băng thông cho các hệ thống phần mềm, ứng dụng.

b) Thường xuyên theo dõi, phát hiện, xử lý kịp thời những cảnh báo của hệ thống kiểm soát truy cập mạng, bảo đảm các quy định về an toàn, an ninh thông tin và các chính sách bảo mật.

c) Tuân thủ các tiêu chuẩn của Trung tâm dữ liệu về bấm dây, dán nhãn, chuẩn cáp mạng, cách thức đi dây, đấu nối, phân bổ nút mạng, nguồn điện.

d) Đường truyền Internet cho Trung tâm dữ liệu phải kết nối từ 02 nhà cung cấp dịch vụ khác nhau, thực hiện kết nối đa hướng (multi-home) với tài nguyên địa chỉ mạng IPv4, IPv6 và ASN độc lập để đảm bảo dự phòng và tính sẵn sàng cho toàn hệ thống.

đ) Các kết nối Internet, kết nối mạng TSLCD cấp I, cấp II phải có các giải pháp, chính sách bảo mật bảo đảm hệ thống tránh bị xâm nhập, tấn công mạng, lây nhiễm virus, phần mềm độc hại từ bên ngoài; ngăn chặn, không để phát tán virus, phần mềm độc hại từ các thiết bị ngoại vi khác. Các đơn vị sử dụng mạng TSLCD kết nối vào Trung tâm dữ liệu phải tuân thủ các quy định về quản lý, vận hành, kết nối, sử dụng và bảo đảm an toàn thông tin trên mạng TSLCD theo Thông tư số 12/2019/TT-BTTTT ngày 05/11/2019 của Bộ Thông tin và Truyền thông, Quyết định số 07/2019/QĐ-UBND ngày 30/01/2019 của UBND tỉnh và các quy định hiện hành.

e) Mạng không dây (wifi) tại Trung tâm dữ liệu là đường truyền riêng biệt để quản trị viên kết nối quản lý hệ thống, quản trị viên không được tiết lộ thông tin kết nối cho bất kỳ cá nhân hay tổ chức đến làm việc, tham quan Trung tâm dữ liệu tỉnh.

2. Đơn vị vận hành chịu trách nhiệm giám sát, kiểm tra hệ thống mạng và băng thông truy cập mạng, ngăn chặn, đề xuất các biện pháp xử lý các hành vi vi phạm.

Điều 11. Quy định quản lý thiết bị

1. Thiết bị công nghệ thông tin đặt tại Trung tâm dữ liệu phải được đặt tên và dán nhãn theo quy định. Định kỳ hàng năm thực hiện kiểm kê, khấu hao tài sản theo quy định.

2. Đơn vị quản lý thực hiện bàn giao tài sản theo quy định để đơn vị vận hành quản trị, vận hành khai thác phục vụ nhiệm vụ chung của tỉnh. Đơn vị vận hành phải thực hiện tổng hợp tình hình sử dụng thiết bị tại Trung tâm dữ liệu định kỳ 06 tháng/lần hoặc khi có yêu cầu và báo cáo đơn vị quản lý theo quy định.

3. Việc sửa chữa, nâng cấp, thay thế thiết bị hỏng được đơn vị vận hành báo cáo đề xuất bằng văn bản cho đơn vị quản lý. Đơn vị quản lý có biện pháp xử lý, khắc phục kịp thời dựa trên nguồn ngân sách nhà nước cấp hàng năm. Thiết bị được thay thế, nâng cấp phải tuân theo các tiêu chuẩn về thiết bị cho Trung tâm dữ liệu.

Điều 12. Quy định quản lý kiểm soát truy cập và xác thực

1. Các nguyên tắc kiểm soát truy cập

a) Tất cả các thông tin quan trọng trong hệ thống phải được bảo vệ khỏi truy cập trái phép thông qua chính sách kiểm soát truy cập.

b) Quyền truy cập được thiết lập dựa trên yêu cầu nghiệp vụ và yêu cầu về an toàn thông tin của Trung tâm dữ liệu.

c) Quyền truy cập phải được rà soát, định kỳ.

d) Quyền truy cập phải được loại bỏ khi không còn nhu cầu sử dụng.

đ) Ghi nhật ký, theo dõi giám sát người sử dụng truy cập vào hệ thống thông tin quan trọng.

2. Cấp phát quyền truy cập từ xa hoặc truy cập trực tiếp để sử dụng và khai thác ứng dụng, tài nguyên của Trung tâm dữ liệu phải đảm bảo chặt chẽ, đúng mục đích sử dụng. Khuyến khích sử dụng xác thực 02 lớp (qua tin nhắn, token) để đảm bảo an toàn thông tin mạng. Mỗi người dùng, quản trị viên hệ thống chỉ được cấp một tài khoản và được phân quyền đủ để thực hiện nhiệm vụ được phân công.

3. Lãnh đạo đơn vị vận hành chịu trách nhiệm kiểm tra và vô hiệu tài khoản của quản trị viên hệ thống trên hệ thống trong vòng 01 giờ sau khi quản trị viên hệ thống không còn làm việc.

4. Giới hạn số lần đăng nhập không thành công vào hệ thống là 05 lần. Sau 05 lần không đăng nhập thành công, tài khoản sẽ bị khóa trong 30 phút.

5. Quản trị viên hệ thống có trách nhiệm theo dõi và phát hiện các trường hợp truy cập hệ thống trái phép hoặc hành vi vượt quá giới hạn, báo cáo cho cán bộ quản lý để tiến hành ngăn chặn, thu hồi, khóa quyền truy cập các tài khoản vi phạm.

Điều 13. Quy định quản lý chính sách thiết lập và quản lý mật khẩu

1. Lãnh đạo đơn vị vận hành có trách nhiệm tiếp nhận mật khẩu quản trị hệ thống sau khi hệ thống được bàn giao và đưa vào sử dụng; sau đó tiến hành bàn giao cho cán bộ quản trị viên hệ thống có biên bản kèm theo, lưu vào nơi an toàn. Các tài liệu liên quan đến mật khẩu được bảo quản ở chế độ “mật”.

2. Sau khi tiếp nhận, quản trị viên hệ thống phải thực hiện đổi tài khoản, mật khẩu trong vòng 01 ngày. Việc đổi mật khẩu cán bộ quản trị viên hệ thống phải tuân thủ theo quy định, hướng dẫn về mật khẩu an toàn.

3. Mật khẩu phải bảo đảm độ phức tạp về độ dài, nội dung và thời gian sử dụng

a) Độ dài của mật khẩu:

- Đối với mật khẩu của người sử dụng (dùng để đăng nhập sử dụng các hệ thống thông tin dùng chung, các ứng dụng chuyên ngành): Tối thiểu là 8 ký tự.

- Đối với mật khẩu quản trị hệ thống (sử dụng cho quản trị các hệ thống mạng, bảo mật, máy chủ, ứng dụng dùng chung): Tối thiểu là 12 ký tự.

b) Nội dung mật khẩu:

- Không bao gồm các từ dễ nhớ như tên, ngày sinh, số điện thoại.

- Không được đặt theo ký tự chữ cái, ký tự chữ số tuần tự hoặc một dãy các ký tự giống nhau, ví dụ: ABCDEFGH, 98765432 hoặc @@@@@@@@.

- Đối với mật khẩu quản trị hệ thống phải kết hợp các loại ký tự sau: Chữ cái in thường (a, b, c), chữ cái in hoa (A, B, C), ký tự số (1, 2, 3) và các ký tự đặc biệt (!, @, #).

c) Thời gian sử dụng mật khẩu:

- Đối với mật khẩu của người sử dụng: Được thiết lập trên hệ thống định kỳ 3 tháng thay đổi một lần.

- Đối với mật khẩu của người quản trị hệ thống: Được thiết lập trên hệ thống định kỳ phải thay đổi ít nhất 03 tháng một lần.

Trường hợp có thay đổi về nhân sự hoặc yêu cầu tăng cường bảo mật về an toàn, an ninh thông tin thì lãnh đạo đơn vị vận hành Trung tâm dữ liệu quyết định việc thay đổi toàn bộ mật khẩu quản trị của Trung tâm dữ liệu.

d) Quy định sử dụng và lưu trữ mật khẩu:

- Người sử dụng phải thay đổi mật khẩu ngay từ lần đăng nhập đầu tiên.

- Không được lưu trữ mật khẩu trên máy tính cá nhân, các thiết bị điện tử.

- Không được tiết lộ mật khẩu của cá nhân, tổ chức; trường hợp bàn giao tài khoản truy cập ứng dụng phải có biên bản bàn giao.

- Phải tiến hành thay đổi mật khẩu ngay khi nghi ngờ bị lộ, lọt thông tin mật khẩu.

- Mật khẩu mới thay đổi phải đảm bảo không trùng với những mật khẩu đã từng sử dụng trước đó.

- Các tài liệu liên quan đến mật khẩu được bảo quản ở chế độ “mật”.

Điều 14. Quy định quản lý giám sát lỗ hổng an toàn thông tin

1. Đơn vị vận hành thực hiện lập danh sách các nút mạng (Node), các thiết bị, các máy chủ đang quản lý trên hệ thống. Danh sách bao gồm tối thiểu các thông tin như địa chỉ IP, chức năng, hệ điều hành, phiên bản, cán bộ quản trị, vận hành.

2. Đơn vị vận hành đăng ký nhận thông tin, bản tin về bảo mật từ các hãng cung cấp hạ tầng công nghệ thông tin và dịch vụ phần mềm đã triển khai tại Trung tâm dữ liệu. Thực hiện cập nhật bản vá lỗ hổng an toàn thông tin đối với các hệ điều hành, cơ sở dữ liệu, ứng dụng, nâng cấp phiên bản đối với các thiết bị bảo mật.

3. Khi phát hiện có lỗ hổng an toàn thông tin hoặc nhận được các cảnh báo về lỗ hổng an toàn thông tin từ nhà cung cấp hoặc các tổ chức, đối tác chuyên nghiệp, đơn vị vận hành cần thông báo tới đơn vị quản lý và triển khai phương án xử lý, khắc phục.

4. Việc xử lý các lỗ hổng an toàn thông tin đối với các máy chủ, thiết bị mạng quan trọng cần phải có phân tích ảnh hưởng hoặc thử nghiệm trước khi áp dụng vào hệ thống đang hoạt động và có phương án dự phòng hoặc khôi phục lại hệ thống trong trường hợp xử lý không thành công. Quá trình xử lý được ghi nhận đầy đủ các bước, các thao tác trong hệ thống quản lý sự kiện an toàn thông tin, được tái sử dụng nếu có lỗ hổng tương tự.

5. Đối với các lỗ hổng an toàn thông tin cần cài đặt các bản vá lỗi để xử lý, bản vá lỗi phải được tải về từ nguồn tin cậy (là trang web chính thức của nhà cung cấp) hoặc có biện pháp kiểm tra nguồn gốc của bản vá lỗi.

Điều 15. Quy định quản lý sao lưu dữ liệu

1. Tạo lập chế độ lưu trữ thông tin theo quy định với những yêu cầu sau

a) Với dữ liệu trên máy chủ, lưu trữ chuyên dụng, thực hiện sao lưu lên thiết bị sao lưu chuyên dụng.

b) Chu kỳ sao lưu: đối với máy chủ thực hiện sao lưu đầy đủ ít nhất 02 lần/tháng, sao lưu dữ liệu đầy đủ ít nhất 04 lần/tháng; chu kỳ sao lưu dữ liệu thay đổi ít nhất 01 lần/ngày. Có ít nhất 01 bản sao lưu đầy đủ gần nhất được lưu trữ trên hạ tầng thuê lưu trữ dự phòng của doanh nghiệp bên ngoài (nếu có).

c) Đối chiếu, xóa bản sao lưu: đảm bảo nguyên tắc có ít nhất 02 bản sao lưu đầy đủ gần nhất, thực hiện đối chiếu, thử nghiệm khôi phục đảm bảo bản sao lưu hoạt động bình thường khi tiến hành khôi phục.

d) Thông tin về tất cả các lần sao lưu đều được ghi rõ trong nhật ký sao lưu dữ liệu. Các thiết bị sử dụng sao lưu phải có đánh số, dán nhãn và ghi chú cẩn thận để có thể tìm lại dễ dàng, tránh nhầm lẫn.

2. Đối với dữ liệu quan trọng, đơn vị vận hành đề xuất đơn vị quản lý thuê Trung tâm dữ liệu dự phòng để ngăn ngừa, bảo đảm an toàn dữ liệu của hệ thống.

Điều 16. Quy định quản lý sự cố, xử lý sự cố

1. Khi phát hiện có sự cố, đơn vị vận hành thực hiện các biện pháp cô lập và xác định nguyên nhân xảy ra sự cố theo nguyên tắc hạn chế tối đa ảnh hưởng tới hoạt động của hệ thống; đồng thời phải thông báo cho đơn vị quản lý, bộ phận sử dụng và các cơ quan, đơn vị có liên quan về tình hình sự cố.

2. Tùy thuộc vào mức độ ảnh hưởng của sự cố, đánh giá và phân loại theo 03 mức: sự cố thông thường, sự cố nghiêm trọng và sự cố đặc biệt nghiêm trọng.

a) Đối với các sự cố thông thường (không gây ảnh hưởng đến hoạt động của Trung tâm dữ liệu), đơn vị vận hành nhanh chóng tổ chức xử lý sự cố. Trường hợp không xử lý được, thông báo cơ quan quản lý để phối hợp giải quyết.

b) Đối với các sự cố nghiêm trọng (các sự cố liên quan đến thiết bị mạng, thiết bị bảo mật, máy chủ, đường truyền dữ liệu, cơ sở dữ liệu, các sự cố liên quan đến an ninh thông tin, mất mát dữ liệu, gây ảnh hưởng trực tiếp đến hoạt động của Trung tâm dữ liệu), ngay sau khi phát hiện sự cố đơn vị vận hành cần tiến hành các biện pháp khắc phục tạm thời, cô lập, hạn chế thiệt hại, đánh giá ảnh hưởng, đề xuất phương án xử lý sự cố, liên hệ đơn vị giám sát, bảo vệ chuyên nghiệp để được hướng dẫn và thực hiện thông cáo đến đơn vị quản lý để thống nhất, quyết định phương án xử lý.

c) Đối với các sự cố đặc biệt nghiêm trọng (gây ngưng trệ đến toàn bộ hoạt động của Trung tâm dữ liệu), đơn vị vận hành và cơ quan quản lý phải tiến hành các biện pháp cô lập, ngăn chặn sự cố lây lan hoặc tạm ngưng hệ thống; đánh giá ảnh hưởng của sự cố và thực hiện báo cáo ngay về UBND tỉnh, các cơ quan liên quan (Cục An toàn thông tin, Trung tâm Giám sát an toàn không gian mạng quốc gia (NCSC), Trung tâm Ứng cứu khẩn cấp không gian mạng Việt Nam (VNCERT/CC)) để xin ý kiến chỉ đạo xử lý.

3. Yêu cầu đối với việc xử lý sự cố cần tuân thủ các nguyên tắc

a) Phải tuân thủ Quy trình xử lý, khắc phục sự cố do đơn vị quản lý Trung tâm dữ liệu phê duyệt và ban hành theo tiêu chuẩn ISO 27001.

b) Đảm bảo tuyệt đối an toàn cho người và thiết bị của hệ thống.

c) Các dữ liệu quan trọng phải được sao lưu trước khi xử lý sự cố.

d) Ghi nhật ký sự cố kỹ thuật phát sinh tại chỗ.

đ) Trường hợp sự cố vượt quá khả năng tự xử lý, thông báo cho Trung tâm Ứng cứu khẩn cấp không gian mạng Việt Nam phối hợp ngăn chặn, khắc phục sự cố.

e) Thông báo cho các bên liên quan về thời gian khắc phục xong sự cố.

g) Lập báo cáo sự cố gửi cơ quan quản lý đối với các sự cố nghiêm trọng và đặc biệt nghiêm trọng trong vòng 24 giờ kể từ khi phát hiện sự cố.

h) Ghi nhận chi tiết quá trình xử lý sự cố vào hệ thống quản lý sự kiện an toàn thông tin, ưu tiên sử dụng cách xử lý sự cố có tính chất tương tự.

Điều 17. Quy định quản lý bản quyền phần mềm, ứng dụng

1. Các gói phần mềm trên thiết bị, các phần mềm, ứng dụng sử dụng tại Trung tâm dữ liệu phải có bản quyền sử dụng và được gia hạn bản quyền định kỳ, đảm bảo cho các hệ thống hoạt động liên tục, ổn định, không gián đoạn.

2. Chỉ cài đặt và sử dụng các phần mềm đã mua bản quyền. Các phần mềm chưa có bản quyền, phần mềm mã nguồn mở, phần mềm miễn phí phải được cơ quan quản lý về chuyên môn hoặc người có thẩm quyền đồng ý trước khi cài đặt.

3. Đơn vị vận hành theo dõi việc sử dụng bản quyền các phần mềm trên thiết bị và các phần mềm, ứng dụng tại Trung tâm dữ liệu. Lập dự toán và báo cáo đề xuất cơ quan quản lý gia hạn bản quyền, đảm bảo bản quyền được gia hạn kịp thời, liên tục cho toàn bộ hệ thống.

4. Không phát tán, chia sẻ phần mềm có bản quyền của Trung tâm dữ liệu ra bên ngoài.

Điều 18. Quy định an toàn trong phát triển phần mềm

Hệ thống phần mềm, ứng dụng khi được phát triển và triển khai tại Trung tâm dữ liệu cần đảm bảo:

1. Các ứng dụng đều được kiểm tra dữ liệu đầu vào một cách chặt chẽ và nghiêm ngặt để giảm thiểu các lỗ hổng phổ biến đối với an toàn, an ninh ứng dụng.

2. Có cơ chế rà soát kiểm tra và thử nghiệm mô phỏng khai thác tấn công đối với tất cả những vị trí có tính năng tải tập tin (Upload File) bên trong ứng dụng.

3. Đơn vị phát triển phần mềm cần phải đảm bảo áp dụng các tiêu chuẩn, quy trình về chất lượng cũng như an toàn, an ninh thông tin tương ứng hoặc cao hơn Trung tâm dữ liệu.

4. Trước khi tiến hành chạy hay thử nghiệm phần mềm có cơ chế thực hiện kiểm tra và phát hiện các đoạn chương trình gián điệp và mã độc hại.

Điều 19. Quy định về vận hành, bảo trì, bảo dưỡng

1. Đơn vị quản lý thực hiện

a) Xây dựng và ban hành kế hoạch vận hành, bảo trì, bảo dưỡng hệ thống sử dụng nguồn ngân sách được cấp hàng năm.

b) Thực hiện đặt hàng cung cấp sản phẩm, dịch vụ công về vận hành, bảo trì, bảo dưỡng cho đơn vị vận hành theo quy định của pháp luật.

2. Yêu cầu về vận hành, bảo trì, bảo dưỡng

a) Việc thực hiện vận hành, bảo trì, bảo dưỡng không được làm gián đoạn và ảnh hưởng đến tình hình vận hành của Trung tâm dữ liệu.

b) Quá trình vận hành, bảo trì, bảo dưỡng phải thực hiện theo đúng kịch bản, kế hoạch và ghi nhật ký về tình trạng hoạt động trước và sau khi thực hiện.

Điều 20. Quy định về cung cấp, tiếp nhận thiết bị và phần mềm của các đơn vị tại Trung tâm dữ liệu

1. Việc triển khai các dự án, nhiệm vụ ứng dụng CNTT trên hạ tầng Trung tâm dữ liệu phải được quy định cụ thể trong thiết kế kỹ thuật được cơ quan có thẩm quyền phê duyệt.

2. Đối với các cơ quan, đơn vị có nhu cầu đặt máy chủ để triển khai các ứng dụng dùng riêng cho cơ quan, đơn vị mình trên hạ tầng Trung tâm dữ liệu: Các cơ quan, đơn vị xin chủ trương UBND tỉnh cho ý kiến triển khai; sau khi có chủ trương của UBND tỉnh đồng ý triển khai, đơn vị quản lý sẽ tiến hành thực hiện thủ tục cung cấp, tiếp nhận đặt máy chủ, cài đặt phần mềm và quản lý tài sản do cơ quan quản lý quy định.

3. Các đơn vị có thiết bị hoặc ứng dụng đặt tại Trung tâm dữ liệu chịu trách nhiệm quản trị nội dung, phần mềm của cơ quan mình đồng thời tuân thủ các nguyên tắc và đảm bảo an toàn, an ninh thông tin của hệ thống.

Điều 21. Quy định về quản lý tài liệu liên quan hoạt động của Trung tâm dữ liệu

1. Danh sách các loại hồ sơ lưu trữ

a) Các quy trình vận hành kỹ thuật, bảo trì, bảo dưỡng các hệ thống.

b) Hồ sơ thiết kế, thuyết minh kỹ thuật, hoàn công.

c) Hồ sơ quản trị các hệ thống thông tin (báo cáo định kỳ, báo cáo sự cố, nhật ký vận hành).

d) Bảng thống kê danh sách thiết bị; danh sách các thiết bị hỏng, hết khấu hao sử dụng chờ thanh lý, thanh hủy; biên bản bàn giao thiết bị.

đ) Tài liệu, biên bản kiểm tra, đánh giá của Trung tâm dữ liệu.

e) Các hồ sơ, tài liệu kỹ thuật khác.

2. Hồ sơ phải được lưu bằng văn bản, tập tin bản mềm trên máy tính và phải được cập nhật khi có sự thay đổi theo quy định.

Điều 22. Quy định kiểm tra, báo cáo định kỳ

1. Hàng tuần, quản trị viên hệ thống vận hành Trung tâm dữ liệu thực hiện báo cáo tình hình hoạt động của Trung tâm dữ liệu đến lãnh đạo đơn vị vận hành, hàng tháng đơn vị vận hành có báo cáo tình hình hoạt động đến lãnh đạo đơn vị quản lý và phòng chuyên môn.

2. Đơn vị quản lý tổ chức kiểm tra việc tuân thủ các quy định về quản lý, triển khai, vận hành và khai thác sử dụng Trung tâm dữ liệu theo các quy định tại Quy chế này tối thiểu 06 tháng một lần.

3. Các nội dung kiểm tra

a) Việc bảo đảm các điều kiện về môi trường cho hoạt động của Trung tâm dữ liệu.

b) Tình hình sử dụng thiết bị, sử dụng ứng dụng của hệ thống.

c) Hoạt động của hệ thống máy chủ các dịch vụ (cập nhật các bản vá, bản sửa lỗi, dung lượng ổ cứng, hiệu năng sử dụng).

d) Tình hình an toàn, bảo mật hệ thống, đánh giá hiệu quả (khả năng phát hiện và ngăn chặn) của hệ thống bảo mật.

đ) Kiểm tra công tác sao lưu, lưu trữ, phục hồi dữ liệu.

e) Quản lý hồ sơ: ghi nhật ký, cập nhật, tổng hợp thiết bị, báo cáo.

g) Việc tuân thủ các quy định khác nêu tại quy chế này.

4. Hàng quý đơn vị vận hành tiến hành kiểm tra, tổng hợp, báo cáo đánh giá phân tích hiệu quả hoạt động của Trung tâm dữ liệu đến đơn vị quản lý. Trong trường hợp phát hiện các bất cập, lỗi liên quan đến các hệ thống, cần thực hiện báo cáo nhanh và xây dựng kế hoạch khắc phục.

Chương III

TRÁCH NHIỆM CỦA CÁC CƠ QUAN, TỔ CHỨC, CÁ NHÂN TRONG VIỆC QUẢN LÝ, VẬN HÀNH VÀ KHAI THÁC TRUNG TÂM DỮ LIỆU

Điều 23. Trách nhiệm của các cơ quan, đơn vị, người dùng

1. Sử dụng hạ tầng, phần mềm ứng dụng của Trung tâm dữ liệu theo Quy chế này và các hướng dẫn khác của đơn vị quản lý, đơn vị vận hành Trung tâm dữ liệu.

2. Tuân thủ các quy định về đảm bảo an toàn, an ninh mạng trong hoạt động ứng dụng công nghệ thông tin của cơ quan nhà nước; các quy định về an toàn, bảo mật thông tin, quản lý, vận hành và khai thác Trung tâm dữ liệu.

3. Cơ quan, đơn vị phân công ít nhất một công chức, viên chức có trình độ về công nghệ thông tin/an toàn thông tin hoặc am hiểu về công nghệ thông tin làm công tác quản trị hệ thống. Người này có nhiệm vụ triển khai công tác kỹ thuật quản trị đối với hệ thống mạng cục bộ tại đơn vị, tuân thủ kết nối về Trung tâm dữ liệu để thống nhất về cấu trúc hạ tầng và cấu trúc vật lý của toàn bộ hệ thống. Là đầu mối phối hợp thực hiện các nhiệm vụ ứng cứu sự cố an toàn thông tin mạng tại đơn vị.

4. Duy trì hoạt động các ứng dụng, hệ thống thông tin đồng thời chịu trách nhiệm về các nội dung, thông tin lưu trữ tại Trung tâm dữ liệu do cơ quan, đơn vị cung cấp, cập nhật phù hợp với quy định pháp luật.

5. Người dùng ở các cơ quan, đơn vị chịu trách nhiệm về thông tin tài khoản, mật khẩu đăng nhập vào hệ thống; tuân thủ quy định về mật khẩu theo Điều 13 Quy chế này. Ngoài ra, không được sử dụng bất cứ hình thức nào để truy nhập trái phép vào hệ thống mạng, ứng dụng của tổ chức, cá nhân khác (trừ các yêu cầu của cơ quan chức năng có thẩm quyền).

6. Trường hợp phát sinh sự cố, phải thông báo ngay cho cán bộ kỹ thuật của đơn vị vận hành để phối hợp xử lý sự cố và xác nhận kết quả xử lý.

Điều 24. Trách nhiệm của đơn vị vận hành

1. Đơn vị vận hành chịu trách nhiệm về vận hành và khai thác có hiệu quả hoạt động của Trung tâm dữ liệu. Tuân thủ và tổ chức thực hiện các quy định liên quan theo Quy chế này.

2. Ban hành quy chế làm việc tại Trung tâm dữ liệu; xây dựng kế hoạch, bố trí cán bộ trực vận hành hệ thống Trung tâm dữ liệu đảm bảo hệ thống vận hành thông suốt, liên tục trong vòng 24 giờ/ngày, 07 ngày/tuần kể cả các ngày lễ, Tết trong năm.

3. Xây dựng và tham mưu cho đơn vị quản lý ban hành các quy trình vận hành hệ thống quản lý An toàn thông tin theo tiêu chuẩn quốc tế ISO/IEC 27001:2013.

4. Rà soát, lập hồ sơ đề xuất cấp độ đối với hệ thống thông tin tại Trung tâm dữ liệu theo quy định tại Nghị định số 85/2016/NĐ-CP ngày 01/7/2016 của Chính phủ, gửi về cơ quan quản lý, cơ quan có thẩm quyền thẩm định xem xét, phê duyệt.

5. Bảo đảm các yêu cầu về hạ tầng kỹ thuật, chất lượng dịch vụ, an toàn thông tin và hoạt động thông suốt của Trung tâm dữ liệu.

6. Đào tạo quản trị viên hệ thống có chuyên môn đáp ứng yêu cầu, được trang bị các kiến thức liên quan tới hoạt động của Trung tâm dữ liệu.

7. Xây dựng kế hoạch hợp tác, khai thác Trung tâm dữ liệu với các tổ chức có liên quan và triển khai các nhiệm vụ được cấp trên giao.

8. Thực hiện báo cáo định kỳ hàng tháng, quý cho đơn vị quản lý về tình hình hoạt động của Trung tâm dữ liệu và báo cáo đột xuất khi có yêu cầu.

Điều 25. Trách nhiệm của đơn vị quản lý (Sở Thông tin và Truyền thông)

1. Tham mưu UBND tỉnh thực hiện quản lý, vận hành; đầu tư, thuê nâng cấp, mở rộng Trung tâm dữ liệu đáp ứng nhu cầu cho các ứng dụng công nghệ thông tin, xây dựng chính quyền điện tử hướng tới chính quyền số và dịch vụ đô thị thông minh của tỉnh. Triển khai công tác đào tạo nâng cao trình độ, năng lực quản trị viên hệ thống có chuyên môn đáp ứng yêu cầu. Thanh tra, kiểm tra và giám sát việc vận hành, khai thác hệ thống thông tin của đơn vị vận hành Trung tâm dữ liệu.

2. Đề xuất kinh phí cho công tác vận hành, bảo trì, bảo dưỡng Trung tâm dữ liệu.

3. Hướng dẫn các cơ quan, đơn vị, tổ chức và người dùng khai thác Trung tâm dữ liệu; triển khai các giải pháp bảo đảm an toàn, an ninh thông tin đối với các hệ thống thông tin tại Trung tâm dữ liệu.

4. Định kỳ hằng năm hoặc đột xuất, thực hiện báo cáo UBND tỉnh về tình hình hoạt động, đảm bảo an toàn thông tin của Trung tâm dữ liệu.

Điều 26. Trách nhiệm của Sở Tài chính, Sở Kế hoạch và Đầu tư

Phối hợp với các cơ quan liên quan căn cứ khả năng cân đối ngân sách và phân cấp ngân sách tham mưu UBND tỉnh bố trí kinh phí để duy trì hoạt động, quản lý, vận hành, bảo trì, bảo dưỡng; đầu tư nâng cấp, mở rộng cho Trung tâm dữ liệu theo quy định.

Chương IV

TỔ CHỨC THỰC HIỆN

Điều 27. Điều khoản thi hành

1. Giao Sở Thông tin và Truyền thông chịu trách nhiệm giám sát, theo dõi, đôn đốc, triển khai thực hiện Quy chế này; định kỳ hàng năm tổng hợp báo cáo UBND tỉnh.

2. Thủ trưởng các cơ quan, đơn vị, cá nhân có liên quan có trách nhiệm tổ chức triển khai thực hiện nghiêm Quy chế này. Trong quá trình triển khai thực hiện, nếu có khó khăn, vướng mắc, phát sinh cần sửa đổi, bổ sung, các cơ quan, đơn vị, địa phương kịp thời phản ánh, đề xuất về Sở Thông tin và Truyền thông để tổng hợp, báo cáo UBND tỉnh xem xét, quyết định./.