Nội dung toàn văn Quyết định 40/2019/QĐ-UBND quản lý vận hành và khai thác Trung tâm tích hợp dữ liệu Đồng Nai
ỦY BAN NHÂN DÂN | CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM |
Số: 40/2019/QĐ-UBND | Đồng Nai, ngày 14 tháng 10 năm 2019 |
QUYẾT ĐỊNH
BAN HÀNH QUY CHẾ QUẢN LÝ, VẬN HÀNH VÀ KHAI THÁC TRUNG TÂM TÍCH HỢP DỮ LIỆU TỈNH ĐỒNG NAI
ỦY BAN NHÂN DÂN TỈNH ĐỒNG NAI
Căn cứ luật Tổ chức chính quyền địa phương ngày 19 tháng 6 năm 2015;
Căn cứ Luật ban hành văn bản quy phạm pháp luật ngày 22 tháng 6 năm 2015;
Căn cứ Luật Giao dịch điện tử ngày 29 tháng 11 năm 2005;
Căn cứ Luật Công nghệ thông tin ngày 29 tháng 6 năm 2006;
Căn cứ Luật An toàn thông tin mạng ngày 19 tháng 11 năm 2015;
Căn cứ Nghị định số 64/2007/NĐ-CP ngày 10 tháng 4 năm 2007 của Chính phủ về ứng dụng Công nghệ thông tin trong hoạt động của cơ quan nhà nước;
Căn cứ Thông tư số 03/2013/TT-BTTTT ngày 22 tháng 01 năm 2013 của Bộ Trưởng Bộ Thông tin và Truyền thông quy định áp dụng tiêu chuẩn, quy chuẩn kỹ thuật đối với Trung tâm dữ liệu;
Theo đề nghị của Giám đốc Sở Thông tin và Truyền thông tỉnh Đồng Nai tại Tờ trình số 1477/TTr-STTTT ngày 23 tháng 7 năm 2019,
QUYẾT ĐỊNH:
Điều 1. Ban hành kèm theo Quyết định này Quy chế quản lý, vận hành và khai thác Trung tâm tích hợp dữ liệu tỉnh Đồng Nai.
Điều 2. Quyết định này có hiệu lực kể từ ngày 01 tháng 11 năm 2019.
Điều 3. Chánh Văn phòng Ủy ban nhân dân tỉnh, Giám đốc Sở Thông tin và Truyền thông, Thủ trưởng các cơ quan đơn vị và cá nhân có liên quan chịu trách nhiệm thi hành Quyết định này./.
| TM. ỦY BAN NHÂN DÂN |
QUY CHẾ
QUẢN LÝ, VẬN HÀNH VÀ KHAI THÁC TRUNG TÂM TÍCH HỢP DỮ LIỆU TỈNH ĐỒNG NAI
(Ban hành kèm theo Quyết định số: 40/2019/QĐ-UBND ngày 14/10/2019 của Ủy ban nhân dân tỉnh Đồng Nai)
Chương I
QUY ĐỊNH CHUNG
Điều 1. Phạm vi điều chỉnh
Quy chế này quy định việc quản lý, vận hành và khai thác Trung tâm tích hợp dữ liệu tỉnh Đồng Nai (sau đây gọi tắt là Trung tâm tích hợp dữ liệu).
Điều 2. Đối tượng áp dụng
Quy chế này áp dụng đối với cơ quan hành chính, đơn vị sự nghiệp công lập trên địa bàn tỉnh thuộc UBND tỉnh Đồng Nai quản lý và các tổ chức, cá nhân có liên quan tham gia quản lý, vận hành và khai thác Trung tâm tích hợp dữ liệu.
Điều 3. Giải thích từ ngữ
Trong Quy chế này, các từ ngữ dưới đây được hiểu như sau:
1. Ứng dụng dùng chung là các phần mềm ứng dụng cung cấp nhiều loại dịch vụ cho các cơ quan, đơn vị và người sử dụng được Ủy ban nhân dân tỉnh Đồng Nai thống nhất triển khai đưa vào hoạt động tại Trung tâm Tích hợp dữ liệu tỉnh.
2. Hạ tầng kỹ thuật là tập hợp thiết bị (máy chủ, máy trạm, router, firewall), thiết bị ngoại vi, thiết bị kết nối mạng, thiết bị phụ trợ, mạng nội bộ, mạng diện rộng, internet.
3. Mạng Truyền số liệu chuyên dùng là mạng truyền dẫn tốc độ cao, sử dụng phương thức chuyển mạch nhãn đa giao thức trên nền giao thức liên mạng (IP/MPLS) sử dụng riêng trong hoạt động ứng dụng công nghệ thông tin của các cơ quan Đảng và Nhà nước do tập đoàn Bưu chính Viễn thông Việt Nam xây dựng và vận hành.
4. Thiết bị thông tin - viễn thông, đa phương tiện bao gồm các thiết bị tổng đài, truyền dẫn, đầu cuối mạng, cáp quang, cáp thông tin, thiết bị thông tin vệ tinh, thiết bị truyền dẫn - phát sóng.
5. An toàn an ninh thông tin bao gồm các hoạt động quản lý, nghiệp vụ và kỹ thuật đối với hệ thống thông tin nhằm bảo vệ, khôi phục các hệ thống, các dịch vụ và nội dung thông tin đối với nguy cơ tự nhiên hoặc do con người gây ra. Việc bảo vệ thông tin trong hệ thống thông tin nhằm bảo đảm cho các hệ thống thực hiện đúng chức năng, phục vụ đúng đối tượng một cách sẵn sàng, chính xác và tin cậy. An toàn an ninh thông tin bao hàm các nội dung bảo vệ và bảo mật thông tin, an toàn dữ liệu, an toàn máy tính và an toàn mạng.
6. Tên miền là dãy ký tự được sử dụng để định danh địa chỉ Internet của máy chủ gồm: Tên miền (dãy ký tự) cấp 2, cấp 3, cấp 4, cấp 5 là các tên miền theo thứ tự năm dưới tên miền cấp cao nhất.
7. Trung tâm tích hợp dữ liệu là một công trình xây dựng, bao gồm hạ tầng kỹ thuật (nhà trạm, hệ thống cáp) và hệ thống máy tính cùng các thiết bị phụ trợ được lắp đặt vào đó để lưu trữ, trao đổi và quản lý tập trung dữ liệu của một hay nhiều tổ chức, cá nhân.
8. Cơ quan chịu trách nhiệm quản lý nhà nước đối với Trung tâm tích hợp dữ liệu tỉnh Đồng Nai Sở Thông tin và Truyền thông tỉnh Đồng Nai.
9. Đơn vị chịu trách nhiệm quản trị, vận hành và khai thác Trung tâm tích hợp dữ liệu tỉnh Trung tâm Công nghệ thông tin và Truyền thông tỉnh Đồng Nai.
10. Đối tượng sử dụng là tổ chức, cá nhân tham gia sử dụng dịch vụ của Trung tâm tích hợp dữ liệu.
Điều 4. Kiến trúc và dịch vụ Trung tâm tích hợp dữ liệu
1. Kiến trúc của Trung tâm tích hợp dữ liệu được chia làm các phân hệ sau đây:
a) Phân hệ mạng và truyền dẫn: bao gồm các kết nối Internet cho phép mở rộng khi có nhu cầu. Phân hệ mạng được chia làm nhiều vùng khác nhau, mỗi vùng được áp đặt các chính sách an ninh và truy cập riêng để phục vụ cho các mục đích khác nhau.
b) Phân hệ an ninh: bao gồm các thiết bị có liên quan nhằm bảo đảm sự an toàn về thông tin cho lớp mạng, lớp ứng dụng, lớp cơ sở dữ liệu nhằm ngăn chặn xâm nhập trái phép vào các hệ thống tại Trung tâm tích hợp dữ liệu. Mỗi thiết bị trong phân hệ an ninh được thiết kế có tính dự phòng và bổ sung hỗ trợ lẫn nhau.
c) Phân hệ máy chủ: bao gồm hệ thống máy chủ đã được đầu tư phục vụ triển khai các ứng dụng công nghệ thông tin, với khả năng sẵn sàng cho việc mở rộng số lượng máy chủ trong tương lai. Hệ thống máy chủ có khả năng cung cấp năng lực tính toán cho nhiều nền tảng với nhiều mục đích khác nhau như ứng dụng chuyên ngành, trang/cổng thông tin điện tử, cơ sở dữ liệu chuyên ngành của tỉnh.
d) Phân hệ lưu trữ: hệ thống quản trị với năng lực xử lý lưu trữ tập trung ở mức cao, khả năng lưu trữ lớn, có trang bị hệ thống băng từ để bảo đảm cho mục đích sao lưu, phục hồi dữ liệu cho toàn bộ hệ thống. Hệ thống được thiết kế bảo đảm khả năng mở rộng dữ liệu trong tương lai.
e) Phân hệ các hệ thống phụ trợ: bao gồm các hệ thống phụ trợ cho Trung tâm tích hợp dữ liệu như hệ thống điện, điều hòa, thiết bị lưu điện, máy phát điện, hệ thống phòng cháy chữa cháy, camera an ninh được thiết kế tuân theo tiêu chuẩn, bảo đảm các thiết bị luôn được hoạt động trong môi trường tiêu chuẩn, ổn định với độ dự phòng cao.
2. Các dịch vụ của Trung tâm tích hợp dữ liệu bao gồm:
a) Dịch vụ máy chủ, máy chủ ảo
b) Dịch vụ (Hosting)
c) Dịch vụ thiết bị lưu trữ (Storage)
d) Dịch vụ tên miền
đ) Dịch vụ quản trị hệ thống
e) Các dịch vụ công nghệ thông tin có giá trị gia tăng khác
Điều 5. Nguyên tắc về quản lý và khai thác Trung tâm tích hợp dữ liệu,
1. Tuân thủ các nguyên tắc, biện pháp bảo đảm cơ sở hạ tầng thông tin phục vụ ứng dụng và phát triển công nghệ thông tin theo Luật Công nghệ thông tin ngày 29 tháng 6 năm 2006.
2. Tuân thủ các tiêu chuẩn, quy chuẩn kỹ thuật quy định áp dụng đối với Trung tâm tích hợp dữ liệu theo Thông tư số 03/2013/TT-BTTTT ngày 22 tháng 01 năm 2013 của Bộ Trưởng Bộ Thông tin và Truyền thông và tiêu chuẩn quốc tế ISO 27001:2013 về quản lý bảo mật thông tin do Tổ chức Chất lượng Quốc tế và Hội đồng Điện tử Quốc tế xuất bản vào ngày 25 tháng 9 năm 2013.
3. Bảo đảm các yêu cầu về an toàn, an ninh thông tin theo quy định của Luật an toàn thông tin mạng ngày 19 tháng 11 năm 2015 và Quyết định số 48/2018/QĐ- UBND ngày 07/11/2018 của Ủy ban nhân dân tỉnh về việc ban hành Quy chế Bảo đảm an toàn thông tin mạng trong hoạt động ứng dụng công nghệ thông tin của các cơ quan nhà nước trên địa bàn tỉnh Đồng Nai.
4. Tuân thủ nguyên tắc xây dựng, quản lý, khai thác, bảo vệ và duy trì cơ sở dữ liệu được quy định tại Điều 13 Nghị định số 64/2007/NĐ-CP ngày 10/4/2007 của Chính phủ về ứng dụng công nghệ thông tin trong hoạt động của cơ quan nhà nước.
5. Đơn vị quản trị, vận hành Trung tâm tích hợp dữ liệu triển khai cung cấp cho các tổ chức, cá nhân theo quy định của pháp luật và trên cơ sở khai thác hiệu quả hạ tầng Trung tâm tích hợp dữ liệu tỉnh.
6. Các tổ chức, cá nhân sử dụng dịch vụ Trung tâm tích hợp dữ liệu phải tuân thủ các quy định của Nhà nước về bảo đảm an toàn, an ninh thông tin và chịu trách nhiệm cho mọi hoạt động trên tài khoản truy cập của mình.
Chương II
YÊU CẦU ĐỐI VỚI HOẠT ĐỘNG CỦA TRUNG TÂM TÍCH HỢP DỮ LIỆU
Điều 6. Những quy định chung
1. Quy định đối với nhân viên vận hành
a) Cán bộ quản lý, nhân viên vận hành không được mang, sử dụng các thiết bị điện thoại, máy tính xách tay, máy tính bảng hoặc các thiết bị điện tử cá nhân khác (máy chụp hình, máy quay phim, thiết bị lưu trữ) vào bên trong Trung tâm tích hợp dữ liệu.
b) Cán bộ quản lý, nhân viên vận hành truy cập, khai thác thông tin tại Trung tâm tích hợp dữ liệu theo trách nhiệm và quyền hạn được quy định; việc khai thác thông tin phải bảo đảm nguyên tắc bảo mật, không được tự ý cung cấp thông tin ra bên ngoài.
2. Quy định đối với tổ chức, cá nhân đăng ký tham quan Trung tâm tích hợp dữ liệu:
a) Yêu cầu: Không được mang các thiết bị điện tử cá nhân (điện thoại, máy chụp hình, máy quay phim, thiết bị lưu trữ) khi tham quan.
b) Thủ tục: Các tổ chức, cá nhân đến đăng ký tham quan cần có các giấy tờ sau:
- Đơn đề nghị tham quan Trung tâm tích hợp dữ liệu;
- Giấy giới thiệu của cơ quan, đơn vị;
- Danh sách những người tham quan (có thông tin về số CMND hoặc số Hộ chiếu kèm theo);
3. Quy định đối các cơ sở dữ liệu bắt buộc đặt tại Trung tâm THDL tỉnh:
- Các cơ sở dữ liệu dùng chung cấp tỉnh bắt buộc đặt tại Trung tâm THDL tỉnh.
Điều 7. Quản lý mật khẩu
1. Lãnh đạo cơ quan quản trị, vận hành Trung tâm tích hợp dữ liệu có trách nhiệm tiếp nhận mật khẩu quản trị hệ thống sau khi hệ thống được bàn giao và đưa vào sử dụng; sau đó tiến hành bàn giao cho cán bộ quản lý hệ thống có biên bản kèm theo, lưu vào nơi an toàn (cho vào phong bì, để vào tủ có khóa).
2. Nhân viên vận hành được giao mật khẩu quản trị hệ thống từ cán bộ quản lý hệ thống phải thực hiện đổi mật khẩu sau khi tiếp nhận trong vòng 01 (một) ngày. Việc đổi mật khẩu quản trị hệ thống phải tuân thủ theo đúng quy định hướng dẫn về mật khẩu do cơ quan quản lý ban hành.
3. Mật khẩu phải bảo đảm độ phức tạp về độ dài, nội dung và thời gian sử dụng.
a) Độ dài của mật khẩu:
- Đối với mật khẩu của nhân viên và người sử dụng (dùng để đăng nhập thư điện tử, ứng dụng nghiệp vụ, máy tính cá nhân): tối thiểu là 8 ký tự;
- Đối với mật khẩu quản trị hệ thống (sử dụng cho quản trị các hệ thống mạng, bảo mật, máy chủ, ứng dụng dùng chung): tối thiểu là 11 ký tự.
b) Nội dung mật khẩu:
- Không bao gồm các từ dễ nhớ như tên, ngày sinh, số điện thoại;
- Không được đặt theo ký tự chữ cái, ký tự chữ số tuần tự hoặc một dãy các ký tự giống nhau, ví dụ: ABCDEFGH, 98765432 hoặc !!!!!!!!.
- Đối với mật khẩu quản trị hệ thống phải kết hợp các loại ký tự sau: chữ cái in thường (a, b, c), chữ cái in hoa (A, B, C), ký tự số (1, 2, 3) và các ký tự đặc biệt (@,!, #).
c) Thời gian sử dụng mật khẩu:
- Đối với mật khẩu của nhân viên vận hành: định kỳ phải được thay đổi ít nhất 3 tháng một lần;
- Đối với mật khẩu của người quản trị hệ thống (không phải admin): định kỳ phải được thay đổi ít nhất 1 tháng một lần.
Trường hợp có thay đổi về nhân sự hoặc yêu cầu tăng cường bảo mật về an toàn an ninh thông tin thì Lãnh đạo đơn vị quản trị, vận hành Trung tâm tích hợp dữ liệu quyết định việc thay đổi toàn bộ mật khẩu quản trị của Trung tâm tích hợp dữ liệu.
d) Quy định sử dụng và lưu trữ mật khẩu:
- Người sử dụng phải thay đổi mật khẩu ngay từ lần đăng nhập đầu tiên;
- Không được lưu trữ mật khẩu trên máy tính cá nhân, các thiết bị điện tử;
- Không được tiết lộ mật khẩu của cá nhân, tổ chức, trường hợp bàn giao tài khoản truy cập ứng dụng phải có biên bản bàn giao.
Điều 8. Kiểm soát truy nhập và xác thực
1. Việc quản lý, xác thực nhân viên, người sử dụng truy nhập trên hệ thống phải có đầy đủ thông tin, bao gồm họ tên, chức vụ, cơ quan công tác, số điện thoại trên hệ thống xác thực người dùng.
2. Mỗi nhân viên Trung tâm tích hợp dữ liệu chỉ được cấp một tài khoản và được phân quyền đủ để thực hiện nhiệm vụ được phân công.
3. Cán bộ quản lý hệ thống chịu trách nhiệm kiểm tra và loại bỏ tài khoản của nhân viên trên hệ thống trong vòng 1 giờ sau khi nhân viên không còn làm việc tại đơn vị.
4. Tạm dừng quyền sử dụng đối với tài khoản đã được đăng ký trên hệ thống nhưng không làm việc trong hệ thống từ 30 ngày trở lên.
5. Giới hạn số lần đăng nhập không thành công vào hệ thống là 5 lần. Sau 5 lần đăng nhập không thành công, tài khoản sẽ bị khóa trong 30 phút.
6. Nhân viên vận hành hệ thống có trách nhiệm theo dõi và phát hiện các trường hợp truy cập hệ thống trái phép hoặc thao tác vượt quá giới hạn, báo cáo cho cán bộ quản lý để tiến hành ngăn chặn, thu hồi, khóa quyền truy cập của các tài khoản vi phạm.
Điều 9. Sao lưu, phục hồi dữ liệu
1. Thực hiện lưu trữ đầy đủ các dữ liệu của người dùng, ứng dụng và hệ thống. Tùy theo từng loại dữ liệu, thực hiện lưu trữ đúng và đủ thời hạn theo các quy định tại quy trình vận hành hệ thống do cơ quan quản lý ban hành.
2. Đơn vị quản trị, vận hành có trách nhiệm xây dựng và triển khai thực hiện Quy trình sao lưu dữ liệu dự phòng cho Trung tâm tích hợp dữ liệu.
3. Dữ liệu phải được phân loại để lưu trữ theo thứ tự ưu tiên về mức độ quan trọng, sao lưu theo thời gian, loại thông tin, nơi lưu trữ. Đối với các dữ liệu quan trọng phải được lưu trữ tối thiểu tại hai địa điểm cách biệt nhau.
4. Dữ liệu phải được kiểm soát và đối chiếu sau khi sao lưu. Đối với các dữ liệu quan trọng thực hiện sao lưu dữ liệu tối thiểu một tuần một lần.
Điều 10. Bảo mật hệ thống
1. Duy trì, cập nhật thường xuyên đối với hệ thống bảo mật (firewall, Phòng chống mã độc, Phát hiện và ngăn chặn xâm nhập) để bảo đảm an toàn, bảo mật cho Trung tâm tích hợp dữ liệu.
2. Tất cả các máy chủ, máy trạm tại Trung tâm tích hợp dữ liệu phải được cài đặt phần mềm diệt mã độc được cơ quan quản lý phê duyệt.
3. Chương trình diệt mã độc phải luôn được cập nhật kịp thời các bản vá, các mẫu mã độc mới và phải được đặt ở chế độ quét thường xuyên, quét khi có kết nối với các thiết bị ngoại vi (usb, ổ cứng cắm ngoài).
4. Những máy tính được phát hiện có mã độc phải được cách ly ngay khỏi hệ thống để tránh lây nhiễm sang các máy tính khác.
5. Việc thay đổi cấu hình của hệ thống bảo mật tại Trung tâm tích hợp dữ liệu phải được sự phê duyệt của cơ quan chủ quản (Sở Thông tin và Truyền thông).
Điều 11. Hệ thống mạng và truyền dẫn
1. Hệ thống mạng và truyền dẫn phải đảm bảo hiệu năng cho các ứng dụng, khả năng sẵn sàng và có các giải pháp để đảm bảo an toàn hệ thống.
2. Hệ thống mạng và truyền dẫn phải bảo đảm:
a) Hệ thống mạng hoạt động liên tục, nhanh, ổn định và an toàn, đáp ứng được yêu cầu về băng thông cho các ứng dụng hệ thống.
b) Có các giải pháp kiểm soát việc truy cập mạng đảm bảo các quy định về an ninh, các chính sách bảo mật.
c) Tuân thủ theo các tiêu chuẩn của Trung tâm tích hợp dữ liệu về bấm dây, dán nhãn, chuẩn cáp mạng, cách thức đi dây, đấu nối, phân bổ nút mạng.
d) Tuân thủ quy định về các phân vùng chức năng đã được quy hoạch. Mỗi phân vùng trong Trung tâm tích hợp dữ liệu ứng với dải địa chỉ IP cấp phát riêng và VLAN tương ứng, đồng thời được thiết lập các chính sách an ninh và truy cập khác nhau.
Điều 12. An toàn hoạt động
1. Trung tâm tích hợp dữ liệu phải có nội quy sử dụng đối với nhân viên và được giám sát thường xuyên thông qua hệ thống kiểm soát ra vào.
2. Trung tâm tích hợp dữ liệu chỉ được đặt các thiết bị đang hoạt động phục vụ vận hành hệ thống, tuyệt đối không đặt các thiết bị khác: Thiết bị hỏng, thiết bị chờ thanh lý, thanh hủy, tài liệu, vật tư, các vật dụng dễ cháy nổ.
3. Trung tâm tích hợp dữ liệu phải đảm bảo vệ sinh công nghiệp: Môi trường khô ráo, sạch sẽ, không dột, không thấm nước, không bị ánh nắng chiếu rọi trực tiếp. Độ ẩm, nhiệt độ đạt tiêu chuẩn quy định cho các thiết bị công nghệ thông tin.
4. Hệ thống phòng cháy, chữa cháy phải được cấp giấy phép của Phòng Cảnh sát Phòng cháy chữa cháy.
5. Hệ thống điện phải được trang bị máy phát điện dự phòng để đảm bảo cho hệ thống hoạt động trong thời gian nguồn điện chính gặp sự cố.
6. Hệ thống điều hòa phải bảo đảm nhiệt độ cho phòng máy chủ theo đúng tiêu chuẩn quy định đối với Trung tâm tích hợp dữ liệu;
7. Hệ thống camera giám sát phải bảo đảm giám sát toàn bộ Trung tâm tích hợp dữ liệu liên tục 24 giờ/7 ngày; bảo đảm dữ liệu hình ảnh phải được lưu trữ ít nhất trong thời gian 30 ngày.
Điều 13. Quản lý thiết bị
1. Thiết bị công nghệ thông tin đặt tại Trung tâm tích hợp dữ liệu phải đặt tên và dán nhãn theo đúng quy định.
2. Đơn vị quản trị, vận hành phải thực hiện tổng hợp tình hình quản lý, sử dụng thiết bị tại Trung tâm tích hợp dữ liệu hàng quý.
3. Đơn vị quản trị, vận hành đề xuất mua thêm thiết bị công nghệ thông tin và các thiết bị phụ trợ khác trong trường hợp thiết bị hết bảo hành bị hỏng. Thiết bị được trang bị phải tuân theo các tiêu chuẩn về thiết bị cho Trung tâm tích hợp dữ liệu.
4. Đối với thiết bị hỏng còn bảo hành, đơn vị quản trị, vận hành, khai thác yêu cầu đơn vị cung cấp sửa chữa. Thiết bị hỏng đã hết bảo hành, đơn vị quản trị, vận hành báo cáo cơ quan quản lý về phương án sửa chữa.
5. Trường hợp thiết bị hỏng là thiết bị quan trọng (máy chủ, thiết bị định tuyến, thiết bị chuyển mạch, thiết bị firewall), đơn vị quản trị, vận hành phải báo cáo ngay về cơ quan quản lý để có biện pháp khắc phục nhanh.
Điều 14. Quản lý, khai thác sử dụng Internet
1. Hằng năm, đơn vị quản trị, vận hành đề xuất cơ quan quản lý về thuê đường truyền Internet đảm bảo tốc độ, băng thông cho hoạt động Trung tâm tích hợp dữ liệu. Đường truyền Internet cho Trung tâm tích hợp dữ liệu phải tối thiểu từ 02 nhà cung cấp dịch vụ khác nhau để đảm bảo độ dự phòng cao và tính sẵn sàng cho hệ thống.
2. Hạ tầng kết nối Internet phải có các giải pháp bảo mật đảm bảo hệ thống không bị tấn công xâm nhập, lây lan virus từ bên ngoài.
3. Đơn vị quản trị, vận hành chịu trách nhiệm giám sát, kiểm tra nội dung và băng thông truy cập, ngăn chặn, đề xuất xử lý các hành vi vi phạm.
Điều 15. Quản lý bản quyền phần mềm
1. Các phần mềm, chương trình ứng dụng cài đặt tại Trung tâm tích hợp dữ liệu phải có bản quyền sử dụng theo đúng quy định của pháp luật.
2. Chỉ được cài đặt và sử dụng các phần mềm đã mua bản quyền. Các phần mềm có bản quyền khác, phần mềm mã nguồn mở, phần mềm miễn phí phải được cơ quan quản lý phê duyệt trước khi sử dụng.
3. Đơn vị quản trị, vận hành tổ chức quản lý, theo dõi sử dụng các bản quyền phần mềm tại Trung tâm tích hợp dữ liệu.
4. Không phát tán, chia sẻ phần mềm có bản quyền của Trung tâm tích hợp dữ liệu ra bên ngoài.
Điều 16. Quản lý hồ sơ
1. Danh sách các loại hồ sơ lưu trữ:
a) Các quy trình vận hành kỹ thuật, bảo trì, bảo dưỡng các hệ thống.
b) Hồ sơ thiết kế, thuyết minh kỹ thuật, hoàn công.
c) Hồ sơ quản trị các hệ thống thông tin (báo cáo định kỳ, báo cáo sự cố, nhật ký vận hành).
d) Hồ sơ lưu các dịch vụ cung cấp cho khách hàng.
đ) Bảng thống kê danh sách thiết bị; Danh sách các thiết bị hỏng, hết khấu hao sử dụng chờ thanh lý, tiêu hủy; Biên bản bàn giao thiết bị.
e) Tài liệu, biên bản kiểm tra, đánh giá của Trung tâm tích hợp dữ liệu.
g) Các hồ sơ, tài liệu kỹ thuật khác.
2. Hồ sơ phải được lưu bằng văn bản, tập tin bản mềm trên máy tính và phải được cập nhật khi có sự thay đổi.
Điều 17. Xử lý sự cố
1. Khi phát hiện có sự cố, đơn vị quản trị, vận hành thực hiện các biện pháp cô lập và xác định nguyên nhân xảy ra sự cố theo nguyên tắc hạn chế tối đa ảnh hưởng tới hoạt động của hệ thống; đồng thời phải thông báo cho bộ phận sử dụng và các cơ quan, đơn vị có liên quan về tình hình sự cố.
2. Tùy thuộc vào mức độ ảnh hưởng của sự cố, đánh giá và phân loại theo 03 mức: sự cố thông thường, sự cố nghiêm trọng và sự cố đặc biệt nghiêm trọng:
a) Đối với các sự cố thông thường (không gây ảnh hưởng đến hoạt động của Trung tâm tích hợp dữ liệu), đơn vị quản trị, vận hành nhanh chóng xử lý sự cố. Trường hợp không xử lý được, thông báo cơ quan quản lý để phối hợp giải quyết.
b) Đối với các sự cố nghiêm trọng (các sự cố liên quan đến thiết bị mạng, thiết bị bảo mật, máy chủ, đường truyền dữ liệu, cơ sở dữ liệu, các sự cố liên quan đến an ninh thông tin, mất mát dữ liệu, gây ảnh hưởng trực tiếp đến hoạt động của Trung tâm tích hợp dữ liệu), ngay sau khi phát hiện sự cố đơn vị quản trị, vận hành cần đánh giá ảnh hưởng của sự cố và thực hiện báo cáo về cơ quan quản lý để được hướng dẫn xử lý.
c) Đối với các sự cố đặc biệt nghiêm trọng (gây ngưng trệ đến toàn bộ hoạt động của Trung tâm tích hợp dữ liệu), đơn vị quản trị, vận hành và cơ quan quản lý phải có đánh giá ảnh hưởng của sự cố và thực hiện báo cáo ngay về cơ quan chủ sở hữu để có chỉ đạo xử lý.
3. Yêu cầu đối với việc xử lý sự cố cần tuân thủ các nguyên tắc:
a) Phải tuân thủ Quy trình Xử lý sự cố do cơ quan quản lý Trung tâm tích hợp dữ liệu phê duyệt và ban hành.
b) Đảm bảo tuyệt đối an toàn cho người và thiết bị của hệ thống.
c) Các dữ liệu quan trọng phải được sao lưu trước khi xử lý sự cố.
d) Ghi nhật ký sự cố kỹ thuật phát sinh tại chỗ.
e) Trường hợp sự cố vượt quá khả năng tự xử lý, thông báo cho trung tâm VNCERT phối hợp ngăn chặn, khắc phục sự cố.
f) Thông báo cho các bên liên quan về thời gian khắc phục xong sự cố.
g) Lập báo cáo sự cố gửi cơ quan quản lý đối với các sự cố nghiêm trọng và đặc biệt nghiêm trọng trong vòng 24 giờ kể từ khi phát hiện sự cố.
Điều 18. Bảo trì, bảo dưỡng
1. Đơn vị quản trị, vận hành có trách nhiệm
a) Xây dựng, tham mưu cơ quan quản lý phê duyệt và ban hành quy trình bảo trì, bảo dưỡng hệ thống.
b) Trực tiếp thực hiện hoặc thuê dịch vụ để thực hiện bảo trì, bảo dưỡng các hệ thống.
2. Yêu cầu về bảo trì, bảo dưỡng
a) Việc thực hiện bảo trì, bảo dưỡng không được làm gián đoạn và ảnh hưởng đến tình hình cung cấp dịch vụ của Trung tâm tích hợp dữ liệu.
b) Quá trình bảo trì, bảo dưỡng phải thực hiện theo đúng kịch bản, quy trình và ghi nhật ký về tình trạng hoạt động trước và sau khi thực hiện.
Điều 19. Kiểm tra, báo cáo định kỳ
1. Hàng tuần, Công chức, viên chức quản trị, vận hành Trung tâm tích hợp dữ liệu phải thực hiện báo cáo tình hình hoạt động của Trung tâm lên Lãnh đạo đơn vị.
2. Cơ quan quản lý tổ chức kiểm tra việc tuân thủ các quy định về quản lý, triển khai, vận hành và khai thác sử dụng Trung tâm tích hợp dữ liệu theo các quy định tại Quy chế này tối thiểu 06 tháng một lần.
3. Các nội dung kiểm tra:
a) Việc bảo đảm các điều kiện về môi trường cho hoạt động của Trung tâm tích hợp dữ liệu.
b) Tình hình sử dụng thiết bị, sử dụng ứng dụng của hệ thống.
c) Hoạt động của hệ thống máy chủ, máy trạm, các dịch vụ (cập nhật các bản vá, bản sửa lỗi, dung lượng ổ cứng, hiệu năng sử dụng).
d) Tình hình an ninh bảo mật hệ thống, đánh giá hiệu quả (khả năng phát hiện và ngăn chặn) của hệ thống bảo mật.
đ) Kiểm tra công tác sao lưu, lưu trữ, phục hồi dữ liệu.
e) Quản lý hồ sơ: ghi nhật ký, cập nhật, tổng hợp thiết bị, báo cáo
g) Việc tuân thủ các quy định khác nêu tại quy chế này.
4. Hàng tháng đơn vị quản trị, vận hành tiến hành kiểm tra định kỳ, đánh giá phân tích hiệu quả hoạt động của Trung tâm tích hợp dữ liệu và tổng hợp báo cáo với cơ quan quản lý. Trong trường hợp phát hiện các bất cập, lỗi liên quan đến các hệ thống, cần thực hiện báo cáo nhanh và xây dựng kế hoạch khắc phục.
Chương III
TRÁCH NHIỆM CỦA CÁC CƠ QUAN, TỔ CHỨC, CÁ NHÂN TRONG VIỆC QUẢN LÝ, VẬN HÀNH VÀ KHAI THÁC TRUNG TÂM TÍCH HỢP DỮ LIỆU
Điều 20. Trách nhiệm của cơ quan quản lý
1. Tham mưu Ủy ban nhân dân tỉnh phê duyệt danh mục, đơn giá khai thác và sử dụng các dịch vụ của Trung tâm tích hợp dữ liệu để đáp ứng nhu cầu ứng dụng công nghệ thông tin và truyền thông trên địa bàn tỉnh.
2. Phê duyệt các quy trình về vận hành, bảo trì, bảo dưỡng và khắc phục sự cố; Quy trình sao lưu, phục hồi dữ liệu Trung tâm tích hợp dữ liệu.
3. Hướng dẫn các cơ quan, cán bộ, công chức, viên chức và các tổ chức, cá nhân có liên quan tham gia quản lý sử dụng dịch vụ Trung tâm tích hợp dữ liệu.
4. Hướng dẫn triển khai các giải pháp bảo đảm an toàn, an ninh đối với các hệ thống thông tin thuộc Trung tâm tích hợp dữ liệu theo quy định tại Điểm c, Khoản 2, Điều 20 tại Nghị định số 85/2016/NĐ-CP ngày 01/7/2016 của Chính phủ về bảo đảm an toàn hệ thống thông tin theo cấp độ.
5. Thiết lập tài nguyên hệ thống, các giải pháp, phương án kỹ thuật, các kế hoạch phát triển Trung tâm tích hợp dữ liệu.
6. Chỉ đạo mở hoặc dừng đột xuất một số dịch vụ Trung tâm tích hợp dữ liệu trong các trường hợp cụ thể.
7. Tham mưu Ủy ban nhân dân tỉnh nâng cấp và mở rộng Trung tâm tích hợp dữ liệu bảo đảm cho ứng dụng công nghệ thông tin và xây dựng chính quyền điện tử.
8. Tham mưu Ủy ban nhân dân tỉnh ban hành theo thẩm quyền về đơn giá các dịch vụ của Trung tâm tích hợp dữ liệu.
9. Thanh tra, kiểm tra và giám sát việc vận hành, khai thác dịch vụ, chấp hành cơ chế tài chính của đơn vị quản trị, vận hành Trung tâm tích hợp dữ liệu.
10. Báo cáo định kỳ hàng năm (trước ngày 31/12) cho Ủy ban nhân dân tỉnh Đồng Nai về tình hình hoạt động của Trung tâm tích hợp dữ liệu.
Điều 21. Trách nhiệm của đơn vị quản trị, vận hành
1. Đơn vị quản trị, vận hành chịu trách nhiệm về quản trị, vận hành và khai thác có hiệu quả hoạt động của Trung tâm tích hợp dữ liệu.
2. Có trách nhiệm lập, chấp hành dự toán, thực hiện chế độ kế toán, chịu trách nhiệm quản lý và sử dụng các nguồn tài chính, tài sản và cơ sở vật chất được giao theo quy định của pháp luật.
3. Xây dựng và tham mưu cho cơ quan quản lý ban hành các quy trình cung cấp dịch vụ, các quy trình vận hành, bảo trì, bảo dưỡng, khắc phục sự cố và Quy trình sao lưu, phục hồi dữ liệu của Trung tâm tích hợp dữ liệu và triển khai thực hiện sau khi được phê duyệt.
4. Có trách nhiệm lập hồ sơ đề xuất thẩm định cấp độ đối với hệ thống thông tin tại Trung tâm tích hợp dữ liệu theo quy định tại Nghị định 85/2016/NĐ-CP ngày 01/7/2016 của Chính phủ về bảo đảm an toàn hệ thống thông tin theo cấp độ gửi về cơ quan quản lý, cơ quan có thẩm quyền thẩm định xem xét, phê duyệt.
5. Bảo đảm các yêu cầu về hạ tầng kỹ thuật, chất lượng dịch vụ, an toàn thông tin và hoạt động thông suốt của Trung tâm tích hợp dữ liệu.
6. Đào tạo cán bộ quản lý, vận hành có chuyên môn đáp ứng yêu cầu, được trang bị các kiến thức liên quan tới hoạt động của Trung tâm tích hợp dữ liệu.
7. Phối hợp cung cấp thông tin trong tư vấn, hỗ trợ người dân, doanh nghiệp sử dụng dịch vụ Trung tâm tích hợp dữ liệu.
8. Xây dựng kế hoạch hợp tác, khai thác Trung tâm tích hợp dữ liệu với các tổ chức có liên quan và triển khai các nhiệm vụ được Ủy ban nhân dân tỉnh, Sở Thông tin và Truyền thông giao.
9. Trực tiếp tiếp nhận yêu cầu cung cấp dịch vụ của các tổ chức, cá nhân trong phạm vi quy định và triển khai cung cấp dịch vụ theo đúng với tiêu chuẩn chất lượng, quy trình và trên cơ sở khai thác hiệu quả hạ tầng Trung tâm tích hợp dữ liệu.
10. Thực hiện báo cáo định kỳ hàng tháng cho cơ quan quản lý về tình hình hoạt động và cung cấp dịch vụ của Trung tâm tích hợp dữ liệu và báo cáo đột xuất khi có yêu cầu.
11. Tuân thủ và thực hiện đúng các quy định của nhà nước, quy định của ngành và các quy định nêu trong văn bản này.
Điều 22. Trách nhiệm của cơ quan, tổ chức, cá nhân sử dụng dịch vụ tại Trung tâm Tích hợp dữ liệu tỉnh
1. Đăng ký sử dụng các dịch vụ của Trung tâm tích hợp dữ liệu.
2. Chịu trách nhiệm về nội dung, thông tin lưu trữ tại Trung tâm tích hợp dữ liệu theo đúng quy định pháp luật.
3. Phối hợp với cơ quan quản trị, vận hành Trung tâm tích hợp dữ liệu trong công tác bảo đảm an toàn, an ninh thông tin cho các hệ thống thông tin của đơn vị đặt tại Trung tâm tích hợp dữ liệu.
Điều 23. Trách nhiệm của người sử dụng
1. Sử dụng dịch vụ Trung tâm tích hợp dữ liệu trong phạm vi cho phép.
2. Tuân thủ các quy định về an toàn bảo mật thông tin, quản lý vận hành và khai thác Trung tâm tích hợp dữ liệu.
3. Không được thực hiện các hành vi đánh cắp, giả mạo tài khoản để truy cập vào các hệ thống thông tin thuộc Trung tâm tích hợp dữ liệu.
4. Không được sử dụng các công cụ, phần mềm làm tổn hại đến hoạt động của Trung tâm tích hợp dữ liệu.
5. Trường hợp phát sinh sự cố, thông báo cho cán bộ kỹ thuật của đơn vị quản trị, vận hành để được hướng dẫn và hỗ trợ khắc phục. Phối hợp với cán bộ kỹ thuật của đơn vị quản trị, vận hành trong việc xử lý sự cố và xác nhận kết quả xử lý.
Chương IV
TỔ CHỨC THỰC HIỆN
Điều 24. Sở Thông tin và Truyền thông
1. Triển khai thực hiện nhiệm vụ của cơ quan quản lý Trung tâm tích hợp dữ liệu đúng với quy định nhà nước và các quy định tại Điều 20 của Quy chế này.
2. Chỉ đạo đơn vị quản trị, vận hành:
a) Triển khai thực hiện nhiệm vụ quản lý, vận hành và khai thác Trung tâm tích hợp dữ liệu đúng với quy định của nhà nước và các quy định tại Quy chế này.
b) Tham mưu quy trình vận hành, bảo dưỡng và khắc phục sự cố của Trung tâm tích hợp dữ liệu và triển khai thực hiện sau khi được cấp có thẩm quyền phê duyệt.
c) Tham mưu các quy trình cung cấp dịch vụ Trung tâm tích hợp dữ liệu và triển khai thực hiện sau khi được cấp có thẩm quyền phê duyệt.
d) Phối hợp với các đơn vị chức năng bảo đảm an toàn an ninh thông tin cho Trung tâm tích hợp dữ liệu.
3. Tuyên truyền, phổ biến, hướng dẫn việc thực hiện các quy định của Quy chế này.
Điều 25. Các cơ quan, tổ chức, cá nhân sử dụng dịch vụ tại Trung tâm Tích hợp dữ liệu tỉnh
1. Liên hệ với đơn vị quản trị, vận hành Trung tâm tích hợp dữ liệu để thực hiện thủ tục đưa các Trang thông tin điện tử, cơ sở dữ liệu, phần mềm ứng dụng chuyên ngành, dịch vụ công trực tuyến của cơ quan, đơn vị vào lưu ký, vận hành tập trung tại Trung tâm tích hợp dữ liệu tỉnh.
2. Các cơ quan, đơn vị sử dụng dịch vụ Trung tâm tích hợp dữ liệu trong phạm vi chức năng, nhiệm vụ của mình, có trách nhiệm tổ chức triển khai và kiểm tra việc chấp hành các quy định tại Quy chế này.
Điều 26. Sở Tài chính
Phối hợp với Sở Thông tin và Truyền thông tham mưu Ủy ban nhân dân tỉnh phê duyệt kinh phí hàng năm để thực hiện công tác quản lý, vận hành và bảo trì, bảo dưỡng Trung tâm tích hợp dữ liệu.
Điều 27. Sửa đổi, bổ sung Quy chế
Trong quá trình thực hiện Quy chế này, nếu có vướng mắc hoặc phát sinh mới, các cơ quan, đơn vị cần kịp thời phản ánh về Sở Thông tin và Truyền thông tổng hợp và trình Ủy ban nhân dân tỉnh xem xét, quyết định./.