Quyết định 02/2014/QĐ-UBND

QUYẾT ĐỊNH

BAN HÀNH QUY CHẾ ĐẢM BẢO AN TOÀN THÔNG TIN TRONG HOẠT ĐỘNG ỨNG DỤNG CÔNG NGHỆ THÔNG TIN CỦA CÁC CƠ QUAN QUẢN LÝ HÀNH CHÍNH NHÀ NƯỚC TRÊN ĐỊA BÀN TỈNH ĐỒNG NAI

ỦY BAN NHÂN DÂN TỈNH ĐỒNG NAI

Căn cứ Luật Tổ chức Hội đồng nhân dân và Ủy ban nhân dân ngày 26/11/2003;

Căn cứ Luật Ban hành văn bản quy phạm pháp luật của Hội đồng nhân dân, Ủy ban nhân dân ngày 03/12/2004;

Căn cứ Luật Công nghệ thông tin ngày 29/6/2006;

Căn cứ Nghị định số 64/2007/NĐ-CP ngày 10/4/2007 của Chính phủ ứng dụng công nghệ thông tin trong hoạt động cơ quan Nhà nước;

Căn cứ Quyết định số 63/QĐ-TTg ngày 13/01/2010 của Thủ tướng Chính phủ về phê duyệt Quy hoạch phát triển an toàn thông tin số Quốc gia đến năm 2020;

Căn cứ Chỉ thị số 897/CT-TTg ngày 10/6/2011 của Thủ tướng Chính phủ về việc tăng cường triển khai các hoạt động đảm bảo an toàn thông tin số;

Căn cứ Thông tư số 23/2011/TT-BTTTT ngày 11/8/2011 của Bộ Thông tin và Truyền thông quy định về việc quản lý, vận hành, sử dụng và bảo đảm an toàn thông tin trên mạng truyền số liệu chuyên dùng của các cơ quan Đảng, Nhà nước;

Theo đề nghị của Giám đốc Sở Thông tin và Truyền thông tại Tờ trình số 1348/TTr-STTTT ngày 13 tháng 12 năm 2013,

QUYẾT ĐỊNH:

Điều 1. Ban hành kèm theo Quyết định này quy chế đảm bảo an toàn thông tin trong hoạt động ứng dụng công nghệ thông tin của các cơ quan quản lý hành chính Nhà nước trên địa bàn tỉnh Đồng Nai.

Điều 2. Quyết định này có hiệu lực thi hành sau 10 ngày kể từ ngày ký và thay thế Quyết định số 34/2009/QĐ-UBND ngày 21/5/2009 của UBND tỉnh ban hành Quy chế đảm bảo an toàn, an ninh thông tin trong lĩnh vực ứng dụng công nghệ thông tin của các cơ quan, đơn vị quản lý hành chính Nhà nước trên địa bàn tỉnh Đồng Nai.

Điều 3. Chánh Văn phòng Ủy ban nhân dân tỉnh, Giám đốc Sở Thông tin và Truyền thông, Giám đốc các sở, ban, ngành tỉnh; Chủ tịch Ủy ban nhân dân các huyện, thị xã Long Khánh, thành phố Biên Hòa; Thủ trưởng các cơ quan, đơn vị và cá nhân có liên quan chịu trách nhiệm thi hành Quyết định này./.

QUY CHẾ

ĐẢM BẢO AN TOÀN THÔNG TIN TRONG HOẠT ĐỘNG ỨNG DỤNG CÔNG NGHỆ THÔNG TIN CỦA CÁC CƠ QUAN QUẢN LÝ HÀNH CHÍNH NHÀ NƯỚC TRÊN ĐỊA BÀN TỈNH ĐỒNG NAI
 (Ban hành kèm theo Quyết định số 02/2014/QĐ-UBND ngày 14 tháng 01 năm 2014 của UBND tỉnh Đồng Nai)

Chương I

QUY ĐỊNH CHUNG

Điều 1. Phạm vi điều chỉnh

Quy chế này quy định về công tác đảm bảo an toàn thông tin trong hoạt động ứng dụng công nghệ thông tin (CNTT) của các cơ quan quản lý hành chính Nhà nước thuộc tỉnh Đồng Nai.

Điều 2. Đối tượng áp dụng

1. Các cơ quan quản lý hành chính Nhà nước thuộc tỉnh, bao gồm: Các sở, ban, ngành, Ủy ban nhân dân các huyện, thị xã Long Khánh, thành phố Biên Hòa, các đơn vị sự nghiệp thuộc tỉnh (sau đây gọi tắt là các cơ quan, đơn vị) và doanh nghiệp viễn thông, doanh nghiệp cung cấp dịch vụ công nghệ thông tin trên địa bàn tỉnh.

2. Cán bộ, công chức, viên chức đang làm việc trong các cơ quan, đơn vị nêu tại Khoản 1 Điều này và những cá nhân, tổ chức có liên quan áp dụng Quy chế này trong việc vận hành, khai thác hệ thống thông tin tại các cơ quan, đơn vị.

Điều 3. Giải thích từ ngữ

Trong Quy chế này, các từ ngữ dưới đây được hiểu như sau:

1. An toàn thông tin là bao gồm các hoạt động quản lý, nghiệp vụ và kỹ thuật đối với hệ thống thông tin nhằm bảo vệ, khôi phục các hệ thống, các dịch vụ và nội dung thông tin đối với nguy cơ tự nhiên hoặc do con người gây ra. Việc bảo vệ thông tin, tài sản và con người trong hệ thống thông tin nhằm bảo đảm cho các hệ thống thực hiện đúng chức năng, phục vụ đúng đối tượng một cách sẵn sàng, chính xác và tin cậy. An toàn thông tin bao hàm các nội dung bảo vệ và bảo mật thông tin, an toàn dữ liệu, an toàn máy tính và an toàn mạng.

2. Hệ thống thông tin là tập hợp thiết bị phần cứng, phần mềm và cơ sở dữ liệu được thiết lập phục vụ mục đích tạo lập, cung cấp, truyền đưa, thu thập, xử lý, lưu trữ và trao đổi thông tin.

3. Xâm phạm an toàn thông tin là hành vi truy cập, sử dụng, tiết lộ, làm gián đoạn, sửa đổi, làm sai lệch chức năng, phá hoại trái phép thông tin và hệ thống thông tin.

4. Nguy cơ mất an toàn thông tin là những nhân tố bên trong hoặc bên ngoài có khả năng ảnh hưởng tới trạng thái an toàn thông tin.

5. Đánh giá rủi ro an toàn thông tin là việc xác định, phân tích nguy cơ mất an toàn thông tin có thể có và dự báo mức độ, phạm vi ảnh hưởng và khả năng gây thiệt hại khi xảy ra sự cố mất an toàn thông tin.

6. Quản lý rủi ro an toàn thông tin là việc thực hiện đánh giá rủi ro an toàn thông tin, xác định yêu cầu bảo vệ thông tin và hệ thống thông tin và áp dụng giải pháp phòng, chống, giảm thiểu thiệt hại khi có sự cố mất an toàn thông tin.

7. Mạng là khái niệm chung dùng để chỉ mạng viễn thông cố định, di động, internet và mạng máy tính.

8. Phần mềm độc hại là phần mềm có khả năng gây ra hoạt động không bình thường cho một phần hay toàn bộ hệ thống thông tin hoặc thực hiện sao chép, sửa đổi, xóa bỏ trái phép thông tin lưu trữ trong hệ thống thông tin.

9. Địa chỉ điện tử là địa chỉ được sử dụng để gửi, nhận thông tin trên mạng.

10. Sản phẩm an toàn thông tin là thiết bị phần cứng, phần mềm an toàn thông tin.

11. Tính tin cậy là đảm bảo thông tin chỉ có thể được truy nhập bởi những người được cấp quyền sử dụng.

12. Tính toàn vẹn là bảo vệ sự chính xác và đầy đủ của thông tin và các phương pháp xử lý.

13. Tính sẵn sàng là đảm bảo những người được cấp quyền có thể truy nhập thông tin và các tài sản liên quan ngay khi có nhu cầu.

14. Cấu hình chuẩn là cấu hình được các nhà sản xuất thiết bị, phần mềm, khuyến nghị áp dụng, nhằm loại bỏ các xung đột, lỗ hổng có thể xảy ra trong quá trình cấu hình thiết bị.

15. Cổng giao tiếp (Port) là để định danh các ứng dụng gửi và nhận dữ liệu, mỗi ứng dụng sẽ tương ứng với một cổng giao tiếp, những ứng dụng phổ biến được đặt với số hiệu cổng định trước, nhằm định danh duy nhất các ứng dụng đó. Khi máy tính sử dụng dịch vụ nào thì cổng giao tiếp tương ứng với dịch vụ đó sẽ mở.

16. Giao thức là tập hợp các quy tắc, quy ước truyền thông của mạng mà tất cả các thực thể tham gia truyền thông phải tuân theo.

17. Bản ghi nhật ký hệ thống (Logfile) là một tập tin được tạo ra trên mỗi thiết bị của hệ thống thông tin như: Tường lửa, máy chủ ứng dụng,... có chứa tất cả thông tin về các hoạt động xảy ra trên thiết bị đó. Bản ghi nhật ký hệ thống dùng để phân tích những sự kiện đã xảy ra, nguồn gốc và các kết quả để có các biện pháp xử lý thích hợp.

18. Mạng ngang hàng là mạng mà trong đó các máy tính có quyền bình đẳng như nhau, mỗi máy tính có quyền chia sẻ tài nguyên và sử dụng các tài nguyên từ máy tính khác.

19. TCVN 7562:2005: Tiêu chuẩn Việt Nam về mã thực hành quản lý ATTT.

20. ISO 17799:2005: Tiêu chuẩn Quốc tế cung cấp các hướng dẫn quản lý an toàn bảo mật thông tin dựa trên quy phạm công nghiệp tốt nhất (tập quy phạm cho quản lý an toàn bảo mật thông tin).

21. ISO 27001:2005: Tiêu chuẩn Quốc tế về quản lý bảo mật thông tin do Tổ chức tiêu chuẩn hóa Quốc tế và Ủy ban kỹ thuật điện Quốc tế xuất bản vào tháng 10/2005.

Điều 4. Mục đích an toàn thông tin

1. Tăng cường khả năng phòng, chống các nguy cơ tấn công, xâm nhập hệ thống công nghệ thông tin và ngăn chặn, khắc phục kịp thời các sự cố mất an toàn thông tin trên mạng máy tính và các hệ thống thông tin.

2. Ngăn ngừa việc lộ, lọt tài liệu, thông tin bí mật Nhà nước.

Điều 5. Các hành vi bị nghiêm cấm

1. Ngăn chặn trái phép việc truyền tải thông tin trên mạng; can thiệp trái phép, gây nguy hại, xóa, thay đổi, sửa chữa, làm sai lệch thông tin trên mạng.

2. Cản trở trái phép, gây ảnh hưởng tới sự hoạt động bình thường của hệ thống thông tin hoặc cản trở trái phép, gây ảnh hưởng tới khả năng truy cập hợp pháp của người sử dụng tới hệ thống thông tin.

3. Tấn công, vô hiệu hóa trái phép làm mất tác dụng của biện pháp bảo vệ an toàn thông tin cho hệ thống thông tin; lợi dụng sơ hở, điểm yếu của hệ thống thông tin để cố ý vượt qua biện pháp kiểm soát truy cập, tấn công, chiếm quyền điều khiển trái phép đối với hệ thống thông tin.

4. Phát tán thư rác, tin nhắn rác, phần mềm độc hại, thiết lập hệ thống thông tin giả mạo, lừa đảo.

5. Lợi dụng mạng để truyền bá thông tin, quan điểm, thực hiện các hành vi gây phương hại đến an ninh Quốc gia, trật tự, an toàn xã hội, lợi ích Quốc gia trên mạng; phá hoại khối đại đoàn kết toàn dân; tuyên truyền chiến tranh xâm lược, khủng bố; gây hận thù, mâu thuẫn giữa các dân tộc, sắc tộc, tôn giáo và bài ngoại.

6. Lợi dụng mạng để truyền bá trái phép tài liệu, hình ảnh, âm thanh hoặc dạng thông tin khác nhằm kích động bạo lực, dâm ô, đồi trụy, tội ác, tệ nạn xã hội, mê tín dị đoan, phá hoại thuần phong, mỹ tục của dân tộc; bôi nhọ, gây thù hận, xâm hại tới quyền và lợi ích hợp pháp của tổ chức, cá nhân.

Chương II

BẢO ĐẢM AN TOÀN THÔNG TIN TRÊN MẠNG

Mục 1. BẢO VỆ HỆ THỐNG THÔNG TIN

Điều 6. Nội dung bảo vệ hệ thống thông tin

1. Ban hành quy định về bảo đảm an toàn thông tin trong thiết kế, xây dựng, quản lý, vận hành, sử dụng, nâng cấp, hủy bỏ hệ thống thông tin.

2. Áp dụng biện pháp quản lý và kỹ thuật phù hợp với tiêu chuẩn, quy chuẩn kỹ thuật về an toàn thông tin để phòng, chống nguy cơ, khắc phục sự cố an toàn thông tin.

3. Kiểm tra, giám sát việc tuân thủ quy định và đánh giá hiệu quả của các biện pháp quản lý và kỹ thuật được áp dụng.

4. Quản lý rủi ro an toàn thông tin.

Điều 7. Giám sát an toàn hệ thống thông tin

1. Giám sát an toàn hệ thống thông tin là hoạt động giám sát nhằm phát hiện hành vi xâm phạm an toàn thông tin hoặc có khả năng gây ra sự cố mất an toàn thông tin đối với hệ thống thông tin.

2. Hoạt động giám sát an toàn hệ thống thông tin bao gồm:

a) Giám sát luồng thông tin được gửi, nhận qua mạng;

b) Giám sát hoạt động tại máy tính, thiết bị xử lý thông tin có kết nối mạng.

3. Tổ chức chủ quản hệ thống thông tin quan trọng có trách nhiệm thực hiện giám sát an toàn hệ thống thông tin và lưu trữ thông tin giám sát theo quy định.

4. Doanh nghiệp viễn thông, doanh nghiệp cung cấp dịch vụ công nghệ thông tin có trách nhiệm thực thi đầy đủ yêu cầu của cơ quan Nhà nước có thẩm quyền khi được yêu cầu phối hợp giám sát an toàn hệ thống thông tin.

Mục 2. BẢO VỆ THÔNG TIN TRÊN MẠNG

Điều 8. Quản lý gửi thông tin trên mạng

1. Việc gửi thông tin trên mạng phải đảm bảo:

a) Không giả mạo nguồn gốc của thông tin;

b) Tuân thủ quy định của Quy chế này và quy định của pháp luật khác liên quan.

2. Tổ chức, cá nhân không được gửi thông tin mang tính thương mại vào địa chỉ điện tử của người tiếp nhận khi chưa được người tiếp nhận đồng ý, yêu cầu, hoặc người tiếp nhận thông tin từ chối, trừ trường hợp người tiếp nhận có nghĩa vụ phải tiếp nhận thông tin theo quy định của pháp luật.

3. Doanh nghiệp cung cấp dịch vụ viễn thông, doanh nghiệp cung cấp dịch vụ ứng dụng viễn thông và doanh nghiệp cung cấp dịch vụ công nghệ thông tin thực hiện gửi thông tin có trách nhiệm:

a) Tuân thủ quy định của pháp luật về lưu trữ thông tin, bảo vệ thông tin cá nhân, thông tin của khách hàng;

b) Áp dụng biện pháp ngăn chặn, xử lý khi nhận được thông báo của tổ chức, cá nhân về thông tin quấy rối, vi phạm quy định của pháp luật;

c) Cung cấp điều kiện kỹ thuật và nghiệp vụ cần thiết để cơ quan Nhà nước có thẩm quyền thực hiện nhiệm vụ quản lý Nhà nước về an toàn thông tin khi có yêu cầu.

Điều 9. Phát hiện, ngăn chặn và xử lý phần mềm độc hại

1. Tổ chức chủ quản hệ thống thông tin quan trọng triển khai hệ thống kỹ thuật nghiệp vụ nhằm phát hiện, ngăn chặn và xử lý kịp thời phần mềm độc hại.

2. Tổ chức cung cấp dịch vụ thư điện tử, truyền đưa, lưu trữ thông tin trực tuyến phải có hệ thống phát hiện và lọc phần mềm độc hại trong thông tin được gửi, nhận hoặc lưu trữ trên hệ thống thông tin của mình và có trách nhiệm báo cáo cho cơ quan có thẩm quyền theo quy định của pháp luật.

3. Doanh nghiệp cung cấp dịch vụ internet có biện pháp ngăn chặn phát tán phần mềm độc hại theo yêu cầu cơ quan chức năng.

Điều 10. Bảo đảm an toàn tài nguyên internet

1. Tổ chức, cá nhân sử dụng tài nguyên internet có trách nhiệm:

a) Thông báo ngay cho nhà đăng ký tên miền Quốc gia Việt Nam “.vn” hoặc cơ quan chức năng khi phát hiện tên miền của mình bị chiếm quyền điều khiển;

b) Áp dụng các biện pháp quản lý và kỹ thuật để ngăn chặn mất an toàn thông tin xuất phát từ tên miền, địa chỉ internet của mình;

c) Cung cấp đầy đủ thông tin và phối hợp với cơ quan quản lý Nhà nước có thẩm quyền khi được yêu cầu;

d) Quản lý, duy trì quyền sử dụng tên miền của mình và phải chịu trách nhiệm đối với việc vi phạm sử dụng tên miền của mình gây ra.

2. Tổ chức sử dụng địa chỉ internet và số hiệu mạng phải có trách nhiệm thực hiện định tuyến và sử dụng địa chỉ internet, số hiệu mạng theo quy định của Bộ Thông tin và Truyền thông.

3. Tổ chức, doanh nghiệp cung cấp dịch vụ internet phải có biện pháp quản lý, phát hiện và ngăn chặn phát tán thông tin, phần mềm độc hại, thư rác từ địa chỉ internet do mình quản lý và cung cấp.

4. Cơ quan quản lý tài nguyên internet có trách nhiệm đảm bảo an toàn thông tin cho hệ thống máy chủ phân giải tên miền của Quốc gia và kiểm tra, giám sát việc đảm bảo an toàn thông tin hệ thống máy chủ phân giải tên miền của nhà đăng ký tên miền do mình quản lý.

Chương III

KỸ THUẬT, BIỆN PHÁP ĐẢM BẢO AN TOÀN THÔNG TIN

Điều 11. Tiêu chuẩn, quy chuẩn kỹ thuật an toàn thông tin

1. Hệ thống tiêu chuẩn an toàn thông tin bao gồm tiêu chuẩn Quốc tế, tiêu chuẩn Quốc gia và tiêu chuẩn cơ sở đối với hệ thống thông tin, thiết bị phần cứng, phần mềm, quy trình quản lý, vận hành an toàn thông tin được công bố, áp dụng tại Việt Nam theo quy định của pháp luật về tiêu chuẩn, quy chuẩn kỹ thuật và chất lượng sản phẩm, dịch vụ.

2. Hệ thống quy chuẩn kỹ thuật an toàn thông tin bao gồm quy chuẩn Quốc gia và quy chuẩn cơ sở đối với hệ thống thông tin, thiết bị phần cứng, phần mềm, quy trình quản lý, vận hành an toàn thông tin được xây dựng, ban hành và áp dụng tại Việt Nam theo quy định của pháp luật về tiêu chuẩn, quy chuẩn kỹ thuật và chất lượng sản phẩm, dịch vụ.

Điều 12. Các biện pháp quản lý vận hành trong công tác đảm bảo an toàn thông tin

1. Đối với các cơ quan, đơn vị:

a) Trang bị đầy đủ các kiến thức bảo mật cơ bản cho cán bộ, công chức, viên chức về an toàn thông tin (sau đây gọi tắt là cán bộ chuyên trách) trước khi cho phép truy nhập và sử dụng hệ thống thông tin.

b) Bố trí cán bộ chuyên trách về an toàn thông tin. Cán bộ chuyên trách được đảm bảo điều kiện học tập, tiếp cận công nghệ, kiến thức an toàn bảo mật thông tin trước khi tiến hành các hoạt động quản lý hay kỹ thuật nghiệp vụ. Trong trường hợp cơ quan, đơn vị chưa có cán bộ chuyên trách, đề xuất bổ sung biên chế cán bộ chuyên trách để thực hiện nhiệm vụ đảm bảo an toàn, an ninh thông tin.

c) Quan tâm và ưu tiên bố trí kinh phí cần thiết để đảm bảo và tăng cường an toàn thông tin trong hoạt động ứng dụng CNTT của cơ quan, đơn vị.

d) Các cơ quan, đơn vị phải bố trí máy vi tính riêng, không sử dụng máy tính kết nối internet để soạn thảo văn bản, lưu giữ thông tin có nội dung mật theo quy định. Không được kết nối đồng thời internet công cộng của các nhà cung cấp dịch vụ internet khác (như xDSL, thiết bị 3G, …) vào mạng truyền số liệu chuyên dùng.

đ) Riêng đối với các thiết bị viễn thông, máy tính được sử dụng để lưu giữ và truyền thông tin bí mật Nhà nước phải được chứng nhận của cơ quan chức năng kiểm tra, kiểm định trước khi đưa vào sử dụng.

2. Đối với cán bộ chuyên trách tại các cơ quan, đơn vị:

a) Tham mưu cho lãnh đạo triển khai thực hiện các biện pháp để đảm bảo an toàn, an ninh hệ thống thông tin của cơ quan, đơn vị. Thường xuyên nghiên cứu, cập nhật các kiến thức về an toàn thông tin, có biện pháp phòng tránh các nguy cơ tiềm ẩn có thể gây mất thông tin khi tiến hành các hoạt động quản lý hay kỹ thuật nghiệp vụ.

b) Thường xuyên cập nhật cấu hình chuẩn cho các thành phần của hệ thống thông tin, thiết lập cấu hình chặt chẽ nhất nhưng vẫn đảm bảo duy trì hoạt động thường xuyên của hệ thống thông tin.

c) Khi thiết lập cấu hình hệ thống thông tin chỉ cung cấp những chức năng thiết yếu nhất; xác định các chức năng, cổng giao tiếp mạng, giao thức và dịch vụ không cần thiết để cấm hoặc hạn chế sử dụng.

d) Thường xuyên thực hiện việc theo dõi bản ghi nhật ký hệ thống và các sự kiện khác có liên quan để đánh giá, báo cáo các rủi ro và mức độ nghiêm trọng các rủi ro đó. Các rủi ro đó có thể xảy ra do sự truy cập trái phép, sử dụng trái phép, mất, thay đổi hoặc phá hủy thông tin và hệ thống thông tin.

đ) Kiểm soát chặt chẽ cài đặt phần mềm vào máy trạm và máy chủ.

e) Cán bộ chuyên trách có trách nhiệm cấu hình máy trạm và máy chủ đảm bảo người dùng không được phép cài đặt phần mềm, không sử dụng chức năng chia sẻ tài nguyên.

3. Đối với cán bộ, công chức, viên chức:

a) Thường xuyên cập nhật những chính sách, thủ tục an toàn thông tin của cơ quan, đơn vị và thực hiện đúng hướng dẫn về an toàn thông tin của cán bộ chuyên trách.

b) Các máy tính khi kết nối mạng internet không sử dụng trong thời gian dài (quá 02 giờ làm việc) cần tắt máy hoặc ngưng kết nối mạng, để tránh bị các tin tặc lợi dụng, sử dụng chức năng điều khiển từ xa dùng máy tính của mình tấn công vào các hệ thống thông tin khác.

c) Phải thực hiện quét virus trước khi mở các tập tin đính kèm theo thư điện tử, không mở các thư điện tử khi chưa rõ người gửi hoặc tập tin đính kèm có nguồn gốc không rõ ràng để tránh virus, phần mềm gián điệp lây nhiễm máy tính.

d) Phải đặt mật khẩu cho máy tính (mật khẩu đăng nhập, mật khẩu bảo vệ màn hình). Sử dụng các thiết bị lưu trữ thông tin (USB, ổ cứng gắn ngoài, thẻ nhớ...) đảm bảo an toàn, đúng cách để phòng ngừa virus, phần mềm gián điệp xâm nhập máy tính phá hoại, đánh cắp thông tin. Định kỳ thường xuyên quét virus, phần mềm gián điệp trên máy tính.

Điều 13. Các biện pháp quản lý kỹ thuật cho công tác đảm bảo an toàn thông tin

1. Tổ chức mô hình mạng:

Khuyến khích cài đặt, cấu hình, tổ chức hệ thống mạng theo mô hình Clients/Server, hạn chế sử dụng mô hình mạng ngang hàng. Các cơ quan, đơn vị có nhiều phòng, ban, đơn vị trực thuộc không nằm trong cùng một khu vực, cần thiết lập mạng riêng ảo (Virtual Private Network - VPN) để đảm bảo an ninh cho mạng nội bộ. Khi thiết lập các dịch vụ trên môi trường mạng internet, chỉ cung cấp những chức năng thiết yếu nhất bảo đảm duy trì hoạt động của hệ thống thông tin; hạn chế sử dụng chức năng, cổng giao tiếp mạng, giao thức và các dịch vụ không cần thiết.

2. Quản lý hệ thống mạng không dây:

a) Khi thiết lập mạng không dây để kết nối với mạng cục bộ thông qua các điểm truy nhập, cần thiết lập các tham số như: Tên, SSID, mật khẩu, cấp phép truy cập đối với địa chỉ vật lý (MAC address), mã hóa dữ liệu và thông báo các thông tin liên quan đến điểm truy nhập để cơ quan sử dụng, thường xuyên thay đổi mật khẩu nhằm tăng cường công tác bảo mật.

b) Thực hiện quản lý chặt chẽ tài khoản của các hệ thống thông tin. Đối với cán bộ, công chức, viên chức đã nghỉ việc, chuyển công tác, phải có biện pháp khóa hoặc hủy tài khoản, quyền truy nhập, thu hồi các thiết bị liên quan tới hệ thống thông tin (khóa, thẻ nhận dạng,...) cho phù hợp.

3. Quản lý đăng nhập hệ thống:

Các hệ thống thông tin cần giới hạn một số hữu hạn lần đăng nhập sai liên tiếp. Nếu liên tục đăng nhập sai vượt quá số lần quy định thì hệ thống phải tự động khóa tài khoản hoặc cô lập tài khoản trong một khoảng thời gian nhất định trước khi tiếp tục cho đăng nhập. Tổ chức theo dõi, và kiểm soát tất cả các phương pháp truy nhập từ xa (quay số, internet…) tới hệ thống thông tin, bao gồm cả sự truy nhập có chức năng quản trị, tăng cường sử dụng mạng riêng ảo khi có nhu cầu làm việc từ xa; yêu cầu người dùng đặt mật khẩu với độ an toàn cao (có chữ thường, có chữ in hoa, có số và ký tự đặc biệt như @, #, !...) và thường xuyên thay đổi mật khẩu.

4. Quản lý bản ghi nhật ký hệ thống:

Hệ thống thông tin cần ghi nhận đầy đủ thông tin trong các bản ghi nhật ký (quá trình đăng nhập hệ thống, các thao tác cấu hình hệ thống, quá trình truy xuất hệ thống,…), lưu giữ nội dung nhật ký trong khoảng thời gian nhất định, để phục vụ việc quản lý, kiểm soát hệ thống thông tin.

5. Chống mã độc, virus:

Lựa chọn, triển khai các phần mềm chống virus, thư rác có hiệu quả trên các máy chủ, máy trạm, các thiết bị, phương tiện kỹ thuật trong mạng, các hệ thống thông tin quan trọng như: Cổng/Trang thông tin điện tử, thư điện tử, một cửa điện tử,…; đồng thời, thường xuyên cập nhật phiên bản mới, bản vá lỗi của các phần mềm chống virus, nhằm kịp thời phát hiện, loại trừ mã độc máy tính (virus, trojan, worms,…).

6. Tổ chức quản lý tài nguyên:

Kiểm tra, giám sát chức năng chia sẻ thông tin. Tổ chức cấp phát tài nguyên trên máy chủ theo danh mục thư mục cho từng phòng/ban; khuyến cáo người sử dụng cân nhắc việc chia sẻ tài nguyên cục bộ trên máy đang sử dụng, khi thực hiện việc chia sẻ tài nguyên cần phải sử dụng mật khẩu để bảo vệ thông tin.

7. Các biện pháp kỹ thuật bảo đảm an toàn cho Trang thông tin điện tử/Cổng thông tin điện tử (gọi tắt là trang web):

a) Xác định cấu trúc thiết kế trang web: Quản lý toàn bộ các phiên bản của mã nguồn, phối hợp với đơn vị thực hiện dịch vụ hosting tổ chức mô hình trang web hợp lý tránh khả năng tấn công leo thang đặc quyền. Yêu cầu đơn vị cung cấp dịch vụ hosting phải cài đặt các hệ thống phòng vệ như tường lửa (firewall), thiết bị phát hiện/phòng chống xâm nhập (IDS/IPS) ở mức ứng dụng web (WAF - Web Application Firewall).

b) Vận hành ứng dụng web an toàn: Các trang web khi đưa vào sử dụng hoặc khi bổ sung thêm các chức năng, dịch vụ công mới cần đánh giá kiểm định nhằm tránh được các lỗi bảo mật thường xảy ra trên ứng dụng web như: SQL Injection, Cross-Site Scripting (xss), Broken Authentication and Session Management, Insecure Direct Object References, Cross Site Request Forgery (CSRF), Security Misconfiguration, Failure to Restrict URL Access, Insecure Cryptographic Storage, Insufficient Transport Layer Protection, Unvalidated Redirects and Forwards và các lỗi khác.

c) Thiết lập và cấu hình cơ sở dữ liệu an toàn:

- Luôn cập nhật bản vá lỗi mới nhất cho hệ quản trị cơ sở dữ liệu; sử dụng công cụ để đánh giá, tìm kiếm lỗ hổng trên máy chủ cơ sở dữ liệu;

- Gỡ bỏ các cơ sở dữ liệu không sử dụng;

- Có các cơ chế sao lưu dữ liệu, tài liệu hóa quá trình thay đổi cấu trúc bằng cách xây dựng nhật ký cơ sở dữ liệu với các nội dung như: Nội dung thay đổi, lý do thay đổi, thời gian, vị trí thay đổi.

d) Phối hợp với các nhà cung cấp dịch vụ hosting xây dựng phương án phục hồi trang web, trong đó chú ý ít nhất mỗi tháng thực hiện việc sao lưu toàn bộ nội dung trang web 01 lần bao gồm mã nguồn, cơ sở dữ liệu, dữ liệu phi cấu trúc để bảo đảm khi có sự cố có thể khắc phục trong thời gian ngắn nhất.

8. Thiết lập cơ chế sao lưu và phục hồi hệ thống:

Hệ thống thông tin phải có cơ chế sao lưu thông tin ở mức người dùng và mức hệ thống, được lưu trữ tại nơi an toàn; đồng thời, thường xuyên kiểm tra để đảm bảo tính sẵn sàng phục hồi và toàn vẹn thông tin. Có giải pháp sao lưu dự phòng dữ liệu ra chỗ khác nhằm tránh tình trạng hỏa hoạn, thiên tai, lũ lụt.

9. Xử lý khẩn cấp:

Khi phát hiện hệ thống máy chủ bị tấn công, thông qua các dấu hiệu như luồng tin tăng lên bất ngờ, nội dung trang chủ bị thay đổi, hệ thống hoạt động rất chậm khác thường,... cần thực hiện các bước cơ bản sau:

a) Bước 1: Ngắt kết nối máy chủ ra khỏi mạng.

b) Bước 2: Sao chép logfile và toàn bộ dữ liệu của hệ thống ra thiết bị lưu trữ (phục vụ cho công tác phân tích).

c) Bước 3: Khôi phục hệ thống bằng cách chuyển dữ liệu backup mới nhất để hệ thống hoạt động.

d) Bước 4: Thông báo cho cơ quan chức năng để được hướng dẫn, hỗ trợ.

10. Hệ thống thông tin tại các cơ quan, đơn vị cần có cơ chế ngăn chặn hoặc hạn chế các sự cố gây ra do tấn công từ chối dịch vụ (DoS, DDoS). Sử dụng các thiết bị đặt tại biên của mạng để lọc các gói tin nhằm bảo vệ các thiết bị bên trong, tránh bị ảnh hưởng trực tiếp bởi tấn công từ chối dịch vụ. Đối với hệ thống thông tin cho phép truy nhập công cộng có thể thực hiện bảo vệ bằng cách tăng dung lượng, băng thông hoặc thiết lập hệ thống dự phòng.

Điều 14. Xây dựng quy chế nội bộ đảm bảo an toàn thông tin

1. Các cơ quan, đơn vị phải ban hành hoặc điều chỉnh, bổ sung quy chế nội bộ, đảm bảo quy định rõ các vấn đề sau:

a) Mục tiêu và phương hướng thực hiện công tác đảm bảo an toàn, an ninh cho hệ thống thông tin.

b) Nguyên tắc phân loại và quản lý mức độ ưu tiên đối với các tài nguyên của hệ thống thông tin (phần mềm, dữ liệu, trang thiết bị…).

c) Quản lý phân quyền và trách nhiệm đối với từng cá nhân khi tham gia sử dụng hệ thống thông tin.

d) Quản lý và điều hành hệ thống máy chủ, thiết bị mạng, thiết bị bảo vệ mạng một cách an toàn.

đ) Kiểm tra, khắc phục sự cố an toàn, an ninh của hệ thống thông tin bằng cách sử dụng các biện pháp tại Quy chế này.

e) Nguyên tắc chung về sử dụng an toàn và hiệu quả đối với các cá nhân tham gia sử dụng hệ thống thông tin.

g) Báo cáo tổng hợp tình hình an toàn, an ninh của hệ thống thông tin theo định kỳ.

h) Các biện pháp tổ chức thực hiện.

2. Các cơ quan, đơn vị xây dựng quy chế an toàn thông tin cần căn cứ các tiêu chuẩn kỹ thuật quản lý an toàn của Bộ tiêu chuẩn TCVN 7562:2005 và ISO/IEC 17799:2005 tại Phụ lục I kèm theo Quy chế này, để áp dụng cho phù hợp.

Điều 15. Xây dựng và áp dụng quy trình đảm bảo an toàn thông tin

1. Các cơ quan, đơn vị phải xây dựng và áp dụng quy trình đảm bảo an toàn, an ninh cho hệ thống thông tin nhằm giảm thiểu các nguy cơ gây ra sự cố, tạo điều kiện cho việc khắc phục và truy vết trong trường hợp có sự cố xảy ra. Nội dung của quy trình có thể chia làm các bước cơ bản như:

a) Lập kế hoạch bảo vệ an toàn, an ninh cho hệ thống thông tin.

b) Xây dựng hệ thống bảo vệ an toàn thông tin.

c) Quản lý và vận hành hệ thống bảo vệ an toàn thông tin.

d) Kiểm tra đánh giá hoạt động của hệ thống bảo vệ an toàn thông tin.

đ) Bảo trì và nâng cấp hệ thống bảo vệ an toàn thông tin.

2. Các cơ quan, đơn vị tham khảo các bước cơ bản để xây dựng khung quy trình đảm bảo an toàn thông tin cho hệ thống thông tin tại Phụ lục II kèm theo Quy chế này và tiêu chuẩn Quốc tế ISO 27001:2005.

Chương IV

TRÁCH NHIỆM ĐẢM BẢO AN TOÀN THÔNG TIN

Điều 16. Trách nhiệm của các cơ quan, đơn vị

1. Quan tâm và ưu tiên bố trí kinh phí cho việc mua sắm, nâng cấp các trang thiết bị phần cứng, phần mềm để đảm bảo và tăng cường an toàn thông tin trong hoạt động ứng dụng CNTT của cơ quan, đơn vị.

2. Thủ trưởng các cơ quan, đơn vị có trách nhiệm tuyên truyền, nâng cao nhận thức cho cán bộ, công chức, viên chức về các nguy cơ mất an toàn, an ninh hệ thống thông tin; tổ chức triển khai thực hiện các quy định tại Quy chế này và chịu trách nhiệm trước UBND tỉnh trong công tác đảm bảo an toàn thông tin của cơ quan, đơn vị mình.

3. Khi có sự cố hoặc có nguy cơ mất an toàn thông tin phải kịp thời chỉ đạo khắc phục ngay, ưu tiên sử dụng cán bộ kỹ thuật chuyên trách trong cơ quan, đơn vị, kịp thời cho doanh nghiệp cung cấp dịch vụ và thông báo bằng văn bản cho Sở Thông tin và Truyền thông, cơ quan cấp trên quản lý trực tiếp biết. Trường hợp không khắc phục được thì phối hợp với Sở Thông tin và Truyền thông hoặc cơ quan cấp trên quản lý để được hướng dẫn, hỗ trợ.

4. Phối hợp chặt chẽ với cơ quan Công an trong công tác phòng ngừa, đấu tranh, ngăn chặn các hoạt động xâm phạm an toàn thông tin. Tạo điều kiện thuận lợi cho các cơ quan chức năng tham gia khắc phục sự cố và thực hiện đúng theo hướng dẫn.

5. Phối hợp với Sở Thông tin và Truyền thông và các đơn vị liên quan thực hiện công tác kiểm tra khắc phục sự cố; đồng thời cung cấp đầy đủ các thông tin khi đoàn kiểm tra yêu cầu.

6. Báo cáo tình hình và kết quả thực hiện công tác đảm bảo an toàn thông tin tại cơ quan, đơn vị và gửi về Sở Thông tin và Truyền thông định kỳ hàng năm (trước ngày 15 tháng 11).

Điều 17. Trách nhiệm của Sở Thông tin và Truyền thông

1. Tham mưu UBND tỉnh về công tác đảm bảo an toàn thông tin trên địa bàn tỉnh và chịu trách nhiệm trước UBND tỉnh trong việc đảm bảo an toàn an ninh cho các hệ thống thông tin cấp tỉnh.

2. Hàng năm xây dựng kế hoạch, tổng hợp kinh phí để triển khai công tác an toàn và an ninh thông tin trong hoạt động ứng dụng CNTT của cơ quan Nhà nước.

3. Chủ trì, phối hợp với các cơ quan liên quan thành lập đoàn kiểm tra, tiến hành kiểm tra định kỳ hoặc đột xuất khi phát hiện có các dấu hiệu, hành vi vi phạm an toàn thông tin.

4. Xây dựng và triển khai các chương trình đào tạo, hội nghị tuyên truyền an toàn thông tin trong công tác quản lý Nhà nước trên địa bàn tỉnh.

5. Tùy theo mức độ sự cố, phối hợp Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam (VNCERT), các đơn vị có liên quan xử lý, ứng cứu các sự cố mất an toàn thông tin. Thực hiện đúng các yêu cầu điều phối ứng cứu sự cố và báo cáo, phản hồi đầy đủ kết quả thực hiện cho Trung tâm VNCERT. Thực hiện nghĩa vụ thành viên mạng lưới ứng cứu sự cố mạng internet.

6. Hướng dẫn cụ thể về nghiệp vụ quản lý vận hành, kỹ thuật đảm bảo an toàn thông tin; đồng thời, hỗ trợ các cơ quan, đơn vị giải quyết sự cố khi có yêu cầu.

7. Thông báo cho các cơ quan, đơn vị biết và có biện pháp phòng ngừa, ngăn chặn các nguy cơ mất an toàn thông tin cho virus, phần mềm gián điệp,... gây ra.

Điều 18. Trách nhiệm của Công an tỉnh

1. Phối hợp Sở Thông tin và Truyền thông kiểm tra công tác an toàn thông tin.

2. Điều tra và xử lý các trường hợp vi phạm an toàn thông tin theo thẩm quyền.

Điều 19. Trách nhiệm của cán bộ, công chức, viên chức trong các cơ quan, đơn vị

1. Trách nhiệm của cán bộ chuyên trách:

a) Chịu trách nhiệm triển khai các biện pháp quản lý vận hành, quản lý kỹ thuật, tham mưu xây dựng quy định về đảm bảo an toàn, an ninh cho hệ thống thông tin của cơ quan, đơn vị theo Quy chế này.

b) Phối hợp với các cá nhân, đơn vị có liên quan trong việc kiểm tra, phát hiện và khắc phục các sự cố mất an toàn thông tin.

2. Trách nhiệm của cán bộ, công chức, viên chức:

a) Chấp hành nghiêm túc các quy định về an toàn thông tin của cơ quan, đơn vị cũng như các quy định khác của pháp luật, nâng cao ý thức cảnh giác và trách nhiệm đảm bảo an ninh thông tin tại cơ quan, đơn vị.

b) Khi phát hiện sự cố phải báo ngay với cấp trên và bộ phận chuyên trách để kịp thời ngăn chặn, xử lý.

c) Tích cực tham gia các chương trình đào tạo, hội nghị về an toàn an ninh thông tin do Sở Thông tin và Truyền thông hoặc các đơn vị chuyên môn tổ chức.

Chương V

TỔ CHỨC THỰC HIỆN

Điều 20. Khen thưởng và xử lý vi phạm

1. Hàng năm, Sở Thông tin và Truyền thông dựa trên các điều tra, báo cáo công tác an toàn thông tin của các cơ quan, đơn vị để lập bảng xếp hạng an toàn thông tin, trên cơ sở đó đề xuất UBND tỉnh xem xét khen thưởng theo quy định.

2. Các cơ quan, đơn vị, cá nhân có hành vi vi phạm Quy chế này, tùy theo tính chất, mức độ vi phạm mà bị xử lý theo quy định của pháp luật.

Điều 21. Điều khoản thi hành

Sở Thông tin và Truyền thông có trách nhiệm hướng dẫn triển khai thực hiện Quy chế này.

Trong quá trình thực hiện, nếu có vướng mắc, phát sinh, các cơ quan, đơn vị, địa phương kịp thời phản ánh về Sở Thông tin và Truyền thông để tổng hợp, báo cáo Ủy ban nhân dân tỉnh xem xét sửa đổi, bổ sung quy chế cho phù hợp./.

PHỤ LỤC I

NHỮNG NỘI DUNG CHÍNH CỦA ISO 17799:2005 DÙNG ĐỂ XÂY DỰNG QUY CHẾ NỘI BỘ ĐẢM BẢO AN TOÀN, AN NINH CHO HỆ THỐNG THÔNG TIN
(Ban hành kèm theo Quyết định số 02/2014/QĐ-UBND ngày 14/01/2013 của Ủy ban nhân dân tỉnh Đồng Nai)

1. Chính sách an toàn thông tin:

Chỉ thị và hướng dẫn về an toàn thông tin.

2. An ninh tổ chức:

a) Hạ tầng an ninh thông tin: Quản lý an ninh thông tin trong tổ chức.

b) An ninh đối với bên truy cập thứ ba: Duy trì an ninh cho các phương tiện xử lý thông tin của các tổ chức và tài sản thông tin do các bên thứ ba truy cập.

3. Phân loại và kiểm soát tài sản:

a) Trách nhiệm giải trình tài sản: Duy trì bảo vệ tài sản.

b) Phân loại thông tin tài sản: Đảm bảo mỗi loại tài sản có mức bảo vệ thích hợp.

4. An ninh cá nhân:

a) An ninh trong định nghĩa công việc và nguồn nhân lực: Giảm rủi ro do các hành vi sai sót của con người.

b) Đào tạo người sử dụng: Đảm bảo người sử dụng nhận thức được các mối đe dọa và các vấn đề liên quan đến an ninh thông tin.

c) Đối phó với các sự cố an ninh: Giảm thiểu thiệt hại từ các trục trặc và sự cố an ninh, theo dõi, rút kinh nghiệm.

5. An ninh môi trường và vật lý:

a) Phạm vi an ninh: Ngăn ngừa việc truy cập, gây hại và can thiệp trái phép vào vùng an ninh và thông tin nghiệp vụ.

b) An ninh thiết bị: Để tránh mất mát, lỗi hoặc các sự cố khác liên quan đến tài sản gây ảnh hưởng tới các hoạt động nghiệp vụ.

c) Kiểm soát chung: Ngăn ngừa làm hại hoặc đánh cắp thông tin và các phương tiện xử lý thông tin.

6. Quản lý truyền thông và hoạt động:

a) Thủ tục vận hành và trách nhiệm vận hành hệ thống: Đảm bảo các phương tiện xử lý thông tin hoạt động đúng và an toàn.

b) Lập kế hoạch hệ thống và công nhận: Giảm thiểu rủi ro và lỗi hệ thống.

c) Bảo vệ chống lại phần mềm cố ý gây hại: Bảo vệ tính toàn vẹn của phần mềm thông tin.

d) Công việc quản lý: Duy trì tính toàn vẹn và sẵn sàng của dịch vụ truyền đạt và xử lý thông tin.

đ) Quản trị mạng: Đảm bảo việc an toàn thông tin trên mạng và bảo vệ cơ sở hạ tầng kỹ thuật.

e) Trao đổi thông tin: Ngăn ngừa mất mát, thay đổi hoặc sử dụng sai thông tin được trao đổi giữa các đơn vị.

7. Kiểm soát truy cập:

a) Các yêu cầu nghiệp vụ đối với kiểm soát truy cập: Kiểm soát truy cập thông tin.

b) Quản lý truy cập người dùng: Để tránh các truy cập không được cấp phép vào hệ thống.

c) Trách nhiệm của người dùng: Để tránh các truy cập của người dùng không được cấp phép.

d) Kiểm soát truy cập mạng: Bảo vệ các dịch vụ mạng.

đ) Kiểm soát truy cập hệ điều hành: Tránh truy cập vào các máy tính không được phép.

e) Kiểm soát truy cập ứng dụng: Tránh truy cập trái phép vào hệ thống.

g) Giám sát truy cập hệ thống và giám sát sử dụng hệ thống: Để phát hiện các hoạt động không được cấp phép.

h) Kiểm soát truy cập từ xa: Đảm bảo an toàn thông tin khi sử dụng các phương tiện di động.

8. Phát triển và duy trì hệ thống:

a) Yêu cầu an ninh đối với các hệ thống: Để đảm bảo các yêu cầu an ninh được đưa vào trong quá trình xây dựng hệ thống.

b) An ninh trong hệ thống ứng dụng: Để ngăn ngừa mất mát, thay đổi hoặc lạm dụng cơ sở dữ liệu người sử dụng trong các hệ thống ứng dụng.

c) Các kiểm soát mật mã hóa: Để bảo vệ tính tin cậy, xác thực hoặc toàn vẹn của thông tin.

d) An ninh các file hệ thống: Đảm bảo rằng các dự án công nghệ thông tin và các hoạt động hỗ trợ được quản lý một cách an toàn.

đ) An ninh quá trình hỗ trợ và phát triển: Duy trì an ninh của phần mềm và thông tin hệ thống ứng dụng.

9. Sự tuân thủ:

a) Tuân thủ các yêu cầu pháp lý: Để tránh bất kỳ các vi phạm Luật Hình sự và Dân sự, các nghĩa vụ có tính luật pháp, nguyên tắc và bất kỳ yêu cầu an ninh nào.

b) Soát xét của chính sách an ninh và yêu cầu kỹ thuật để đảm bảo việc tuân thủ của hệ thống với các chính sách và tiêu chuẩn an ninh của tổ quốc.

c) Xem xét kiểm tra hệ thống: Để tối đa tính hiệu lực để giảm thiểu sự can thiệp tới quy trình kiểm tra hệ thống đó.

PHỤ LỤC II

CÁC BƯỚC CƠ BẢN ĐỂ XÂY DỰNG KHUNG QUY TRÌNH ĐẢM BẢO AN TOÀN THÔNG TIN
(Ban hành kèm theo Quyết định số 02/2014/QĐ-UBND ngày 14/01/2014 của Ủy ban nhân dân tỉnh Đồng Nai )

Bước 1. Lập kế hoạch bảo vệ an toàn cho hệ thống thông tin

- Thành lập bộ phận quản lý an toàn thông tin.

- Xây dựng định hướng cơ bản cho công tác đảm bảo an toàn thông tin trong đó chỉ rõ:

+ Mục tiêu ngắn hạn và dài hạn.

+ Phương hướng và văn bản pháp quy, tiêu chuẩn cần tuân thủ và tham khảo.

+ Ước lượng nhân lực và kinh phí đầu tư.

- Lập kế hoạch xây dựng hệ thống bảo vệ an toàn thông tin:

+ Xác định và phân loại các nguy cơ gây sự cố an toàn thông tin.

+ Rà soát và lập danh sách các đối tượng cần được bảo vệ với những mô tả đầy đủ về: Nhiệm vụ; chức năng; mức độ quan trọng và các đặc điểm đối tượng (đối tượng ở đây có thể là phần mềm, máy chủ, quy trình tác nghiệp thuộc cơ quan, đơn vị…).

+ Xây dựng phương án đảm bảo an toàn cho các đối tượng trong danh sách cần được bảo vệ: Nguyên tắc quản lý, vận hành; các giải pháp bảo vệ và khắc phục sự cố…

+ Liên lạc và phối hợp chặt chẽ với Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam (VNCERT), Sở Thông tin và Truyền thông cũng như các cơ quan, tổ chức nghiên cứu và cung cấp dịch vụ an toàn mạng.

+ Lập dự trù kinh phí đầu tư cho hệ thống bảo vệ.

Bước 2. Xây dựng hệ thống bảo vệ an toàn thông tin

- Tổ chức đội ngũ nhân viên chuyên trách, đủ năng lực đảm bảo an toàn an ninh thông tin.

- Xây dựng hệ thống bảo vệ an toàn thông tin theo kế hoạch.

Bước 3. Quản lý và vận hành hệ thống bảo vệ an toàn thông tin

- Vận hành và quản lý chặt chẽ trang thiết bị, phần mềm theo đúng quy định đã đặt ra.

- Khi phát hiện sự cố cần nhanh chóng xác định nguyên nhân, tìm biện pháp khắc phục và báo cáo sự cố cho các cơ quan chức năng.

- Cài đặt đầy đủ và thường xuyên cập nhật phần mềm theo hướng dẫn của nhà cung cấp.

Bước 4. Kiểm tra đánh giá hoạt động của hệ thống bảo vệ an toàn thông tin

- Thường xuyên kiểm tra giám sát các hoạt động của hệ thống bảo vệ an toàn thông tin nói riêng cũng như toàn bộ hệ thống thông tin nói chung.

- Báo cáo tổng kết tình hình theo định kỳ.

Bước 5. Bảo trì và nâng cấp hệ thống bảo vệ an toàn thông tin

Thường xuyên kiểm tra và bảo trì hệ thống bảo vệ an toàn thông tin. Cần nhanh chóng mở rộng, nâng cấp hoặc thay đổi khi cần thiết.