Quyết định 49/2010/QĐ-UBND đảm bảo an toàn, an ninh thông tin đã được thay thế bởi Quyết định 49/2014/QĐ-UBND hoạt động ứng dụng công nghệ thông tin cơ quan nhà nước Long An và được áp dụng kể từ ngày 13/10/2014.
Nội dung toàn văn Quyết định 49/2010/QĐ-UBND đảm bảo an toàn, an ninh thông tin
ỦY BAN NHÂN DÂN | CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM |
Số: 49/2010/QĐ-UBND | Tân An, ngày 01 tháng 12 năm 2010 |
QUYẾT ĐỊNH
VỀ VIỆC BAN HÀNH QUY ĐỊNH VỀ ĐẢM BẢO AN TOÀN, AN NINH THÔNG TIN VÀ BẢO MẬT TRÊN MÔI TRƯỜNG MẠNG TRONG HOẠT ĐỘNG CỦA CÁC CƠ QUAN NHÀ NƯỚC TRÊN ĐỊA BÀN TỈNH LONG AN
ỦY BAN NHÂN DÂN TỈNH LONG AN
Căn cứ Luật Tổ chức HĐND và UBND ngày 26/11/2003;
Căn cứ Luật Công nghệ thông tin ngày 29/06/2006;
Căn cứ Nghị định số 64/2007/NĐ-CP ngày 10/4/2007 của Chính phủ về việc ứng dụng công nghệ thông tin trong hoạt động của cơ quan Nhà nước;
Căn cứ Chỉ thị số 03/2007/CT-BBCVT ngày 23/02/2007 của Bộ Bưu chính - Viễn thông về việc tăng cường đảm bảo an ninh thông tin trên mạng Internet;
Theo Tờ trình số 895/TTr-STTTT ngày 24/11/2010 của Giám đốc Sở Thông tin và Truyền thông, ý kiến thẩm định số 1127/STP-VPPQ ngày 22/11/2010 của Sở Tư pháp,
QUYẾT ĐỊNH:
Điều 1. Ban hành kèm theo quyết định này quy định về đảm bảo an toàn, an ninh thông tin và bảo mật trên môi trường mạng trong hoạt động của các cơ quan nhà nước trên địa bàn tỉnh Long An.
Điều 2. Giao Sở Thông tin và Truyền thông triển khai, hướng dẫn, đôn đốc, kiểm tra việc thực hiện quy định tại Điều 1 của quyết định này.
Quyết định này có hiệu lực thi hành sau 10 ngày kể từ ngày ký.
Điều 3. Chánh Văn phòng UBND tỉnh, Giám đốc Sở Thông tin - Truyền thông, thủ trưởng các sở, ngành tỉnh, Chủ tịch UBND các huyện, thành phố và thủ trưởng các cơ quan, tổ chức, cá nhân có liên quan chịu trách nhiệm thi hành quyết định này./.
Nơi nhận: | TM. ỦY BAN NHÂN DÂN TỈNH |
QUY ĐỊNH
VỀ ĐẢM BẢO AN TOÀN, AN NINH THÔNG TIN VÀ BẢO MẬT TRÊN MÔI TRƯỜNG MẠNG TRONG HOẠT ĐỘNG CỦA CÁC CƠ QUAN NHÀ NƯỚC TRÊN ĐỊA BÀN TỈNH LONG AN
(Ban hành kèm theo Quyết định số 49 /2010/QĐ-UBND ngày 01/12/2010 của Ủy ban nhân dân tỉnh Long An)
Chương I
NHỮNG QUY ĐỊNH CHUNG
Điều 1. Phạm vi và đối tượng điều chỉnh
1. Quy định này quy định về đảm bảo an toàn, an ninh thông tin và bảo mật trên môi trường mạng trong hoạt động của các cơ quan nhà nước trên địa bàn tỉnh.
2. Quy định này áp dụng đối với tất cả các cơ quan, đơn vị quản lý hành chính nhà nước trên địa bàn tỉnh Long An.
3. Đối với lực lượng vũ trang (Công an, Quân sự, Bộ đội biên phòng) ngoài việc thực hiện theo quy định chung còn thực hiện theo quy định riêng của ngành trong đảm bảo an ninh thông tin, bảo mật trên môi trường mạng.
Điều 2. Mục đích đảm bảo an toàn, an ninh thông tin và bảo mật trên môi trường mạng
1. Giảm thiểu được các nguy cơ gây sự cố mất an toàn thông tin và đảm bảo an ninh thông tin trong quá trình tham gia hoạt động trên môi trường mạng.
2. Công tác đảm bảo an ninh thông tin, bảo mật trên môi trường mạng là một trong những nhiệm vụ trọng tâm để đảm bảo thành công trong việc ứng dụng công nghệ thông tin trong cơ quan quản lý nhà nước.
Điều 3. Giải thích từ ngữ
1. Hệ thống thông tin: là một tập hợp và kết hợp các phần cứng, phần mềm, các hệ thống mạng truyền thông được xây dựng và sử dụng để thu thập, tạo, tái tạo, phân phối và chia sẻ các dữ liệu, thông tin, tri thức nhằm phục vụ cho các mục tiêu của tổ chức.
2. An toàn thông tin (ATTT): Bao gồm các hoạt động quản lý, nghiệp vụ và kỹ thuật đối với hệ thống thông tin, nhằm bảo vệ, khôi phục các hệ thống, các dịch vụ và nội dung thông tin đối với các nguy cơ chủ quan hoặc khách quan. Việc bảo vệ thông tin, tài sản và con người trong hệ thống thông tin nhằm bảo đảm cho các hệ thống thực hiện đúng chức năng, phục vụ đúng đối tượng một cách sẵn sàng, chính xác và tin cậy. An toàn thông tin bao hàm các nội dung bảo vệ và bảo mật thông tin, an toàn dữ liệu, an toàn máy tính và an toàn mạng.
3. An ninh thông tin: là đảm bảo thông tin được bảo mật, sẵn sàng và toàn vẹn.
4. TCVN 7562: 2005: Tiêu chuẩn Việt Nam về mã thực hành quản lý ATTT.
Chương II
NỘI DUNG ĐẢM BẢO AN TOÀN, AN NINH THÔNG TIN VÀ BẢO MẬT TRÊN MÔI TRƯỜNG MẠNG
Điều 4. Các biện pháp quản lý vận hành trong công tác đảm bảo an toàn, an ninh thông tin và bảo mật trên môi trường mạng
1. Trang bị đầy đủ các kiến thức cơ bản về máy tính, mạng máy tính, bảo mật thông tin cho cán bộ, công chức, viên chức trước khi truy nhập và sử dụng hệ thống thông tin.
2. Phân công cán bộ chuyên trách về an toàn hệ thống thông tin. Đảm bảo an ninh thông tin, bảo mật trước khi tiến hành các hoạt động quản lý, vận hành hệ thống thông tin. Tạo điều kiện cho cán bộ chuyên trách có điều kiện học tập, tiếp thu công nghệ, kiến thức an toàn bảo mật thông tin.
3. Trách nhiệm của cán bộ chuyên trách về an ninh thông tin, bảo mật trên môi trường mạng:
- Chịu trách nhiệm tham mưu và vận hành an toàn hệ thống thông tin của đơn vị.
- Cập nhật cấu hình chuẩn cho các thành phần của hệ thống khi tiến hành cài đặt, thiết lập cấu hình tối ưu cho các thiết bị an toàn thông tin của hệ thống thông tin hoạt động đạt hiệu quả nhất.
- Thường xuyên sao lưu hệ thống thông tin và lưu trữ thông tin ở nơi an toàn. Đồng thời tổ chức kiểm tra thông tin sao lưu để đảm bảo tính sẵn sàng và toàn vẹn của thông tin.
- Tổ chức triển khai các biện pháp phòng, chống, lây nhiễm virus, mã độc, thư rác,… trong hệ thống thông tin. Cần sử dụng thiết bị, phần mềm để phát hiện, ngăn chặn, tiêu diệt virus, mã độc hại, thư rác,… được truyền tải bởi: Internet, tập tin đính kèm từ thư điện tử, thiết bị lưu trữ tháo lắp,… nhằm khai thác lỗ hổng của hệ thống thông tin. Đồng thời, cập nhật thường xuyên các phần mềm diệt virus, mã độc hại, thư rác,… sao cho phù hợp với quy trình quản lý cấu hình hệ thống thông tin.
- Phòng tránh các rủi ro có thể xảy ra do truy cập, sử dụng trái phép; làm mất, thay đổi hoặc phá hủy hệ thống thông tin có liên quan tới hoạt động của đơn vị.
- Tổng hợp báo cáo, đánh giá mức độ nghiêm trọng của các rủi ro có thể xảy ra và thực hiện các biện pháp phòng chống các rủi ro.
4. Đối với cán bộ, công chức, viên chức nghỉ chế độ, chuyển công tác, nghỉ hưu hoặc chấm dứt hợp đồng thì cán bộ chuyên trách phải hủy bỏ quyền truy nhập vào hệ thống thông tin và thu hồi lại các tài liệu, hồ sơ, thông tin liên quan tới tài khoản bị hủy bỏ nhằm tránh tình trạng truy cập trái phép vào hệ thống.
Điều 5. Các biện pháp quản lý kỹ thuật cho công tác đảm bảo an toàn, an ninh thông tin và bảo mật trên môi trường mạng
1. Tổ chức quản lý các tài khoản của hệ thống thông tin kiểm tra các tài khoản của hệ thống thông tin ít nhất 01 lần/01 năm.
2. Hệ thống thông tin phải được quy định giới hạn số lần đăng nhập sai liên tiếp. Nếu liên tục đăng nhập sai vượt quá số lần quy định thì hệ thống tự động khóa tài khoản hoặc cô lập tài khoản trong một khoảng thời gian nhất định trước khi tiếp tục cho đăng nhập.
3. Tổ chức theo dõi, kiểm soát tất cả các phương pháp truy nhập từ xa (qua quay số, internet, mạng riêng ảo,…) tới hệ thống thông tin bao gồm cả sự truy nhập có chức năng đặc quyền. Hệ thống phải có quá trình kiểm tra, cho phép truy nhập từ xa và chỉ những người được phân quyền mới có quyền nhập từ xa vào hệ thống. Đồng thời tổ chức triển khai cơ chế tự động giám sát và điều khiển các truy nhập từ xa.
4. Thiết lập phương pháp quản lý truy nhập mạng không dây; giám sát và điều khiển truy nhập không dây; tổ chức sử dụng và mã hóa chứng thực để bảo vệ truy nhập không dây tới hệ thống thông tin.
5. Hệ thống thông tin phải ghi nhận các sự kiện sau: quá trình đăng nhập hệ thống, các thao tác cấu hình hệ thống và quá trình truy xuất hệ thống. Đồng thời ghi nhận đầy đủ các thông tin trong các bản ghi nhật ký để xác định những sự kiện nào đã xảy ra, nguồn gốc và các kết quả của sự kiện để có cơ chế bảo vệ và lưu giữ nhật ký trong một khoảng thời gian nhất định.
6. Hệ thống thông tin phải ngăn chặn các sự cố gây ra do tấn công từ chối dịch vụ. Đối với hệ thống thông tin cho phép truy nhập công cộng thì phải được bảo vệ bằng cách trang bị thiết bị chuyên dụng hoặc sử dụng tổng hợp các biện pháp kỹ thuật và thiết lập hệ thống dự phòng.
7. Tổ chức quản lý tài khoản, phân quyền người sử dụng theo nhóm. Quy định về quyền hạn người sử dụng, giới hạn về thời gian truy nhập vào hệ thống thông tin.
Điều 6. Xây dựng quy định nội bộ về đảm bảo an toàn, an ninh thông tin và bảo mật cho hệ thống thông tin
1. Các cơ quan đơn vị quản lý hành chính nhà nước phải ban hành quy định nội bộ về đảm bảo an toàn, an ninh thông tin và bảo mật cho hệ thống thông tin. Quy định phải xác định rõ các nội dung sau:
a) Mục tiêu và phương hướng thực hiện công tác đảm bảo an toàn, an ninh cho hệ thống thông tin.
b) Nguyên tắc phân loại và quản lý mức độ ưu tiên đối với các tài nguyên của hệ thống thông tin (phần mềm, dữ liệu, trang thiết bị,…).
c) Quản lý phân quyền và quy định trách nhiệm đối với từng cá nhân khi tham gia sử dụng hệ thống thông tin.
d) Quản lý và điều hành hệ thống máy chủ, thiết bị mạng, thiết bị bảo vệ mạng một cách an toàn. Quản lý việc lưu trữ, sao chép, truyền tải những tài liệu thuộc bí mật nhà nước, sử dụng hộp thư điện tử, thiết bị tháo lắp (USB, thiết bị không dây, máy tính xách tay, …).
đ) Kiểm tra, rà soát và khắc phục sự cố an toàn, an ninh của hệ thống thông tin sử dụng các biện pháp trong Điều 4 và Điều 5 của quy định.
e) Nguyên tắc chung sử dụng an toàn và hiệu quả đối với tất cả các cá nhân tham gia sử dụng hệ thống thông tin.
g) Báo cáo tổng hợp tình hình đảm bảo an toàn, an ninh thông tin và bảo mật hệ thống thông tin theo định kỳ.
h) Nơi tiếp nhận thông tin, xử lý các sự cố hoặc nguy cơ mất an toàn, an ninh thông tin và bảo mật hệ thống thông tin.
2. Các cơ quan, đơn vị xây dựng quy định an ninh thông tin cho đơn vị phải tham khảo các tiêu chuẩn kỹ thuật quản lý an toàn thông tin theo quy định hiện hành (Tiêu chuẩn quốc gia TCVN 7562:2005, ...) để có sự lựa chọn áp dụng phù hợp từng cơ quan, đơn vị mình.
Điều 7. Xây dựng và áp dụng quy trình đảm bảo an toàn, an ninh thông tin và bảo mật cho hệ thống thông tin
1. Các cơ quan, đơn vị quản lý hành chính phải xây dựng và áp dụng quy trình đảm bảo an ninh thông tin, bảo mật cho hệ thống thông tin nhằm giảm thiểu các nguy cơ gây ra sự cố; tạo điều kiện cho việc khắc phục và truy vết trong trường hợp có sự cố xảy ra.
Nội dung của quy trình chia làm các bước cơ bản như sau:
a) Lập kế hoạch bảo vệ an toàn, an ninh cho hệ thống thông tin;
b) Xây dựng hệ thống bảo vệ an toàn, an ninh thông tin;
c) Quản lý và vận hành hệ thống bảo vệ an toàn, an ninh thông tin;
d) Kiểm tra đánh giá hoạt động của hệ thống bảo vệ an toàn, an ninh thông tin;
e) Bảo trì và nâng cấp hệ thống bảo vệ an toàn, an ninh thông tin.
2. Khi xây dựng nội dung quy trình đảm bảo an toàn, an ninh thông tin phải nghiên cứu kỹ các hoạt động nghiệp vụ và hiện trạng của hệ thống thông tin nội bộ, tránh gây các thay đổi không cần thiết của hệ thống.
Chương III
TRÁCH NHIỆM ĐẢM BẢO AN TOÀN, AN NINH THÔNG TIN VÀ BẢO MẬT TRÊN MÔI TRƯỜNG MẠNG
Điều 8. Trách nhiệm của các cơ quan nhà nước
1. Thủ trưởng các cơ quan, đơn vị có trách nhiệm thực hiện Điều 6 và Điều 7 của quy định này và chịu trách nhiệm toàn diện trước UBND tỉnh trong công tác đảm bảo an toàn hệ thống thông tin của đơn vị.
2. Khi có sự cố hoặc nguy cơ mất an toàn thông tin, kịp thời áp dụng mọi biện pháp để khắc phục và hạn chế thấp nhất mức thiệt hại có thể xảy ra, ưu tiên sử dụng lực lượng kỹ thuật an toàn thông tin của đơn vị và lập biên bản báo cáo bằng văn bản cho cơ quan cấp trên quản lý trực tiếp và Sở Thông tin và Truyền thông. Trường hợp có sự cố nghiêm trọng vượt quá khả năng khắc phục của đơn vị, phải báo cáo ngay cho cơ quan cấp trên quản lý trực tiếp và Sở Thông tin và Truyền thông để kịp thời khắc phục.
3. Tạo điều kiện thuận lợi cho các cơ quan chức năng tham gia khắc phục sự cố và thực hiện đúng theo hướng dẫn.
4. Báo cáo định kỳ tình hình an toàn, an ninh thông tin và bảo mật trên môi trường mạng gửi về Sở Thông tin và Truyền thông trước ngày 30/9 hàng năm để tổng hợp chung báo cáo UBND tỉnh.
Điều 9. Trách nhiệm của cán bộ công chức trong các cơ quan nhà nước
1. Nghiêm chỉnh thi hành các quy định nội bộ, quy trình về an toàn thông tin của cơ quan, đơn vị cũng như các quy định khác của pháp luật, nâng cao ý thức cảnh giác và trách nhiệm đảm bảo an ninh thông tin tại đơn vị.
2. Khi phát hiện các nguy cơ mất an toàn hoặc sự cố phải báo cáo ngay cho lực lượng chuyên trách của cơ quan, đơn vị để kịp thời ngăn chặn, xử lý.
3. Tham gia các chương trình đào tạo, hội nghị về an toàn, an ninh thông tin do cơ quan cấp trên tổ chức.
Điều 10. Trách nhiệm của Sở Thông tin và Truyền thông
1. Tham mưu UBND tỉnh về công tác đảm bảo an toàn, an ninh thông tin trên địa bàn tỉnh, cụ thể: đầu tư thiết bị phần cứng, phần mềm và đào tạo chuyên gia an ninh mạng phục vụ cho công tác an ninh thông tin, bảo mật trên môi trường mạng, đảm bảo việc điều hành của UBND tỉnh được nhanh chóng, an toàn, hiệu quả. Trong quá trình thẩm định các dự án CNTT của các cơ quan, đơn vị trong tỉnh phải xem xét các điều kiện, tiêu chuẩn đảm bảo an ninh thông tin, bảo mật cho hệ thống thông tin của dự án và chịu trách nhiệm trước UBND tỉnh trong việc đảm bảo an toàn, an ninh thông tin cho các hệ thống thông tin cấp tỉnh được giao nhiệm vụ quản lý.
2. Phối hợp với các đơn vị có liên quan tổ chức đoàn kiểm tra về an toàn, an ninh thông tin và bảo mật trên môi trường mạng để kịp thời phát hiện, xử lý các hành vi vi phạm theo thẩm quyền quy định.
3. Xây dựng và triển khai các chương trình đào tạo, hội nghị tuyên truyền an toàn, an ninh thông tin trong công tác quản lý nhà nước trên địa bàn tỉnh.
4. Tùy theo mức độ sự cố, phối hợp Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam (VNCERT) và các đơn vị có liên quan hướng dẫn xử lý, ứng cứu các sự cố thông tin.
5. Hướng dẫn các cơ quan, đơn vị xây dựng quy định đảm bảo an toàn, an ninh thông tin và bảo mật cho hệ thống thông tin; hướng dẫn nội dung báo cáo định kỳ để các cơ quan, đơn vị thực hiện thống nhất.
Chương IV
TỔ CHỨC THỰC HIỆN
Điều 11. Điều khoản thi hành
1. Giao Sở Thông tin và Truyền thông chủ trì, tổ chức triển khai, hướng dẫn và theo dõi kiểm tra quá trình thực hiện quy định này trên địa bàn tỉnh.
2. Thủ trưởng các cơ quan, đơn vị tổ chức triển khai thực hiện nghiêm quy định này. Trong quá trình thực hiện, nếu có khó khăn, vướng mắc, phát sinh cần sửa đổi, bổ sung yêu cầu các cơ quan, đơn vị kịp thời báo cáo về Sở Thông tin và Truyền thông để tổng hợp trình UBND tỉnh xem xét, quyết định./.
