Giới thiệu
Ý kiến thăm dò
Truy cập
Hôm nay:
1
Hôm qua:
0
Tuần này:
1
Tháng này:
0
Tất cả:
65215
Quy chế Bảo đảm an toàn thông tin, an ninh mạng trong hoạt động ứng dụng công nghệ thông tin của Ủy ban nhân dân xã Định Hải
Ngày 04/11/2023 10:13:37
Quy chế Bảo đảm an toàn thông tin, an ninh mạng trong hoạt động ứng dụng công nghệ thông tin của Ủy ban nhân dân xã Định Hải.
Chương I
QUY ĐỊNH CHUNG
Điều 1. Phạm vi điều chỉnh và đối tượng áp dụng
1. Phạm vi điềuchỉnh
Quy chế này quy định các chính sách quản lý và các biện pháp nhằm bảo đảm an toàn thông tin cho các Hệ thống thông tin của UBND xã Định Hải (sau đây gọi tắt là các Hệ thống thông tin).
2. Đối tượng ápdụng
a) Các bộ phận, cán bộ, công chức của UBND xã Định Hải.
b) Cơ quan, tổ chức, cá nhân có kết nối, sử dụng các Hệ thống thôngtin.
c) Cơ quan, tổ chức, cá nhân cung cấp dịch vụ công nghệ thông tin và an toàn thông tin mạng phục vụ hoạt động các Hệ thống thôngtin.
Điều 2. Mục tiêu, nguyên tắc bảo đảm an toàn thông tin
1. Mục tiêu bảo đảm an toàn thôngtin
Bảo vệ thông tin, hệ thống thông tin trên mạng tránh bị truy nhập, sử dụng, tiết lộ, gián đoạn, sửa đổi hoặc phá hoại trái phép nhằm bảo đảm tính nguyên vẹn, tính bảo mật và tính khả dụng của các Hệ thống thông tin.
2. Nguyên tắc
a) Cơ quan, tổ chức, cá nhân thuộc đối tượng áp dụng Quy chế này có trách nhiệm bảo đảm an toàn thông tin, an ninh mạng trong phạm vi xử lý công việccủa
mình theo quy định của pháp luật, hướng dẫn của cơ quan, đơn vị có thẩm quyền và các quy định tại Quy chế này.
b) Bảo đảm an toàn thông tin, an ninh mạng được thực hiện xuyên suốt, toàn trình trong khâu mua sắm, nâng cấp, vận hành, bảo trì và ngừng sử dụng hạ tầng, hệ thống thông tin, phần mềm, dữliệu
c) Việc bảo đảm an toàn Hệ thống thông tin được thực hiện một cách tổng thể, đồng bộ, tập trung trong việc đầu tư các giải pháp bảo vệ, có sự dùng chung, chia sẻ tài nguyên để tối ưu hiệu năng, tránh đầu tư thừa, trùnglặp.
d) Trách nhiệm bảo đảm an toàn thông tin mạng và an ninh mạng gắn với trách nhiệm của người đứng đầu cơ quan, đơn vị và cá nhân trực tiếp liênquan.
đ) Trường hợp có quy định khác tại văn bản quy phạm pháp luật, quyết định của cấp có thẩm quyền cao hơn thì áp dụng quy định tại văn bản đó.
e) Thông tin thuộc Danh mục bí mật nhà nước được bảo vệ theo quy định của pháp luật về bảo vệ bí mật nhànước.
3. Phạm vi chính sách an toàn thôngtin
Phạm vi Chính sách an toàn thông tin tại quy chế này bao gồm:
a) Thiết lập chính sách an toàn thôngtin.
b) Tổ chức bảo đảm an toàn thôngtin.
c) Bảo đảm nguồn nhânlực.
d) Quản lý thiết kế, xây dựng hệthống.
e) Quản lý vận hành hệthống.
f) Quản lý rủi ro an toàn thông tin.
g) Kết thúc vận hành, khai thác, thanh lý, hủybỏ.
Điều 3. Những hành vi nghiêm cấm
1. Các hành vi bị nghiêm cấm quy định tại Điều 7 Luật An toàn thông tin mạng và Điều 8 Luật An ninh mạng.
2. Tự ý đấu nối thiết bị mạng, thiết bị cấp phát địa chỉ mạng, thiết bị phátsóng như điểm truy cập không dây của cá nhân vào mạng nội bộ; trên cùng một thiết bị thực hiện đồng thời truy cập vào mạng nội bộ và truy cập Internet bằng thiết bịkết
nối Internet của cá nhân (modem quay số, USB 3G/4G, điện thoại di động, máy tính bảng, máy tính xách tay).
3. Tự ý thay đổi, gỡ bỏ biện pháp an toàn thông tin cài đặt trên thiết bị công nghệ thông tin phục vụ công việc; tự ý thay thế, lắp mới, tráo đổi thành phần của máy tính phục vụ côngviệc.
Điều 4. Phối hợp với những cơ quan/tổ chức có thẩm quyền
1. Đầu mối liên hệ, phối hợp với các cơ quan, tổ chức có thẩm quyền quản lý về an toàn thôngtin:
a) Giao Công chức Văn phòng Thống Kê xã là đầu mối liên hệ, phối hợp với UBND thị xã Nghi Sơn, VNPT thị xã Nghi Sơn và các cơ quan, tổ chức có thẩm quyền quản lý về an toàn thông tin phục vụ việc bảo đảm an toàn thông tin, an ninh mạng cho các Hệ thống thông tin của UBND xã Định Hải.
b) Giao Công chức Văn phòng , CC Văn Hóa làm đầu mối, tổ chức thực hiện việc tiếp nhận và xử lý các sự cố về an toàn thông tin đối với các Hệ thống thông tin của UBND xã Định Hải.
2. Giao công chức Văn hóa – Xã hội tham gia các hoạt động, công tác bảo đảm an toàn thông tin khi có yêu cầu của tổ chức có thẩmquyền.
Điều 5. Bảo đảm nguồn nhân lực
1. Cán bộ được tuyển dụng, bố trí vào vị trí làm về an toàn thông tin có trình độ, năng lực về lĩnh vực công nghệ thông tin, an toàn thông tin, phù hợp với vị trí tuyển dụng được lồng ghép trong quy trình tuyển dụng cán bộ và điều kiện tuyển dụng cánbộ.
2. Xây dựng kế hoạch và định kỳ hằng năm tổ chức đào tạo hoặc tham gia đào tạo về an toàn thông tin cho 03 nhóm đối tượng bao gồm: cán bộ kỹ thuật, cán bộ quản lý và người sử dụng trong hệthống.
3. Trách nhiệm bảo đảm an toàn thông tin cho cán bộ quản lý và vận hành hệ thống
a) Cán bộ chuyên trách phải thiết lập phương pháp hạn chế truy cập mạng không dây, giám sát và điều khiển truy cập không dây, tổ chức sử dụng chứng thực và mã hóa để bảo vệ truy cập không dây tới hệ thống thôngtin.
b) Cán bộ chuyên trách phải tổ chức quản lý định danh đối với tất cả người dùng tham gia sử dụng hệ thống thôngtin.
c) Các bộ phận, cá nhân tham gia sử dụng các dịch vụ của hệ thống phải tuân thủ các quy định về bảo đảm an toàn, an ninh thông tin và chịu trách nhiệm đối với mọi hoạt động trên tài khoản truy cập của mình đã được cấp trên hệthống.
d) Tài khoản quản trị hệ thống (mạng, hệ điều hành, thiết bị kết nối mạng, phần mềm, ứng dụng, cơ sở dữ liệu) phải tách biệt với tài khoản truy nhập của người sử dụng thông thường. Tài khoản quản trị hệ thống phải được giao đích danh cá nhân làm công tác quản trị. Phân quyền sử dụng tài khoản quản trị theo chức năng nhiệm vụ của cá nhân trong công tác vận hành quản trị hệthống.
4. Với người sửdụng:
a) Người sử dụng có trách nhiệm đảm bảo ATTT đối với từng vị trí công việc. Trước khi tham gia vào hệ thống phải được kiểm tra khả năng đáp ứng các yêu cầu của phương án vềATTT.
b) Phải được thường xuyên tổ chức quán triệt các quy định về ATTT, nhằm nâng cao nhận thức về trách nhiệm đảm bảoATTT.
c) Chỉ truy nhập vào các trang/cổng thông tin điện tử, ứng dụng trực tuyến tin cậy và các thông tin phù hợp với chức năng, trách nhiệm, quyền hạn của mình; không truy nhập, mở các trang tin, thư điện tử không rõ nguồngốc.
d) Các máy tính của người sử dụng phải đặt mật khẩu với độ an toàn cao và thay đổi mật khẩu tối thiểu 03 lần/tháng; các tài khoản đăng nhập các hệ thống phải được đăng xuất khi không sử dụng. Thực hiện các biện pháp mã hóa đối với các tài khoản, mật khẩu được lưu trữ trên thiết bị.
e) Khóa máy tính khi tạm thời rời khỏi nơi đặt máy tính; tắt máy tính khi rời khỏi cơ quan.
f) Triển khai cài đặt phần mềm phòng chống mã độc tập trung của tỉnh trên toàn bộ các máy tính của người sử dụng trong đơn vị.
g) Rà soát, cập nhật các bản vá bảo mật định kỳ trên các máy tính
5. Quy định đối với cán bộ nghỉ hoặc thay đổi công việc, trong tối đa 05 ngày làmviệc:
a) Cán bộ nghỉ hoặc thay đổi công việc phải thu hồi thẻ truy cập, thông tin được lưu trên các phương tiện lưu trữ, các trang thiết bị máy móc, phần cứng, phần mềm và các tài sản khác thuộc sở hữu của tổchức.
b) Cán bộ quản trị phải vô hiệu hóa tất cả các quyền ra, vào, truy cập tài nguyên, quản trị hệ thống sau khi cán bộ thôiviệc.
Chương II
BẢO ĐẢM AN TOÀN THÔNG TIN TRONG THIẾT KẾ, XÂY DỰNG HỆ THỐNG THÔNG TIN
Điều 6. Thiết kế, xây dựng hệ thống thông tin
Khi thực hiện triển khai đầu tư, nâng cấp, mở rộng hệ thống hệ thống thông tin, cần thực hiện xây dựng các tài liệu mô tả các yêu cầu sau:
1. Xây dựng các tài liệu mô tả quy mô, phạm vi và đối tượng sử dụng, khai thác, quản lý vận hành hệ thống thôngtin.
2. Xâydựngcáctàiliệumôtảthiếtkếvàcácthànhphầncủahệthốngthông
tin.
3. Xâydựngcáctàiliệumôtảphươngánlựachọngiảiphápcôngnghệbảo
đảm an toàn thông tin.
4. Xâydựngcáctàiliệumôtảphươngánbảođảmantoànthôngtintheocấp
độ.
5. Khicóthayđổithiếtkế,đánhgiálạitínhphùhợpcủaphươngánthiếtkế
đối với các yêu cầu an toàn đặt ra đối với hệ thống.
Điều 7. Phát triển phần mềm thuê khoán
1. Có điều khoản hợp đồng và các cam kết đối với bên thuê khoán khi thực hiện các nội dung liên quan đến việc phát triển phần mềm thuêkhoán.
2. Các nhà phát triển cung cấp mã nguồn phần mềm sau khi đưa vào sửdụng.
3. Phần mềm thuê khoán phải được kiểm thử phần mềm trên môi trường thử nghiệm trước khi bàn giao và đưa vào sửdụng.
a) Bên triển khai xây dựng kế hoạch, nội dung thử nghiệm hệ thống, trình cấp có thẩm quyền phê duyệt, trước khi thực hiện thử nghiệm và nghiệm thu hệthống.
b) Hệ thống phải được thực hiện kiểm thử hệ thống trước khi đưa vào vận hành, khai thác sử dụng theo nội dung, kế hoạch được phêduyệt.
4. Phần mềm thuê khoán phải được kiểm tra, đánh giá an toàn thông tin, trước khi đưa vào sửdụng.
a) Bên triển khai xây dựng kế hoạch, nội dung đánh giá, kiểm tra hệ thống theo quy định, trình cấp có thẩm quyền phê duyệt, trước khi thực hiện kiểm tra, đánh giá an toàn thôngtin.
b) Hệ thống phải được thực hiện kiểm tra, đánh giá an toàn thông tin trước khi đưa vào vận hành, khai thác sử dụng theo nội dung, kế hoạch được phêduyệt.
5. Trong quá trình thực hiện thử nghiệm và nghiệm thu hệ thống, giao cho bộ phận chuyên trách an toàn thông tin mạng là đầu mối phối hợp với đơn vị phát triển để triển khai thựchiện.
Chương III
BẢO ĐẢM AN TOÀN THÔNG TIN TRONG QUẢN LÝ VẬN HÀNH HỆ THỐNG HỆ THỐNG THÔNG TIN
Điều 8. Quản lý an toàn mạng
1. Quản lý, vận hành hoạt động bình thường của hệthống.
a) Thực hiện việc quản lý và kiểm soát mạng nhằm ngăn ngừa các nguy cơ, rủi ro và duy trì an toàn cho các máy tính, ứng dụng sử dụngmạng:
- Có sơ đồ logic và vật lý về hệ thống mạng, tổ chức quản lý định danh, xác thực đối với tất cả người sử dụng nhằm mục đích quản lý hệ thống chặt chẽ, bảo đảm an toàn và bảomật.
- Sử dụng thiết bị tường lửa, thiết bị phát hiện và kiểm soát truy cập từ bên ngoài mạng và phân chia hệ thống mạng thành các vùng mạng quản lý theo chính sách an toàn thông tin riêng; Kiểm soát truy cập từ bên trong mạng; Kết nối về hệ thống giám sát tập trung; Phòng chống xâm nhập giữa các vùng mạng; Phòng chống phần mềm độc hại trên môi trườngmạng.
b) Thiết lập, cấu hình đầy đủ các tính năng của thiết bị mạng. Thường xuyên, kiểm tra phiên bản hệ điều hành của thiết bị mạng để cập nhật, vá lỗi khi cần thiết. Sử dụng các công cụ để dò tìm và phát hiện kịp thời các điểm yếu, lỗ hổng bảo mật và các truy cập bất hợp pháp vào hệ thống mạng. Thường xuyên kiểm tra, phát hiện những kết nối, trang thiết bị, phần mềm cài đặt bất hợp pháp vàomạng.
c) Xác định và ghi rõ các tính năng an toàn, các mức độ bảo mật của dịch vụ và yêu cầu quản lý trong các thỏa thuận về dịch vụ mạng do bên thứ ba cungcấp.
d) Mạng không dây (WIFI), thiết lập các thông số an toàn và định kỳ ít nhất 3 tháng thay đổi mật khẩu truy cập nhằm tăng cường công tác bảo mật. Hệ thống mạng không dây phải được bảo vệ bởi mật khẩu antoàn.
2. Cập nhật, sao lưu dự phòng và khôi phục sau khi xảy ra sựcố
- Phải có phương án dự phòng đường truyền mạng, thiết bị mạng để đảm bảo tính sẵn sàng đáp ứng yêu cầu hoạt động của hệ thốngmạng.
- Triển khai hệ thống/phương tiện lưu trữ độc lập để lưu trữ các thông tin cấu hình thiết bị mạng, kết nối, định danh trong mạng để khôi phục sau khi xảy ra sự cố.
3. Truy cập và quản lý cấu hình hệthống
a) Cán bộ quản lý, nhân viên vận hành truy cập, khai thác thông tin theo trách nhiệm và phân quyền được quy định; việc khai thác thông tin phải bảo đảm nguyên tắc bảo mật, không được tự ý cung cấp thông tin ra bênngoài.
b) Cán bộ quản lý, nhân viên vận hành có trách nhiệm theo dõi và phát hiện các trường hợp truy cập hệ thống trái phép hoặc thao tác vượt quá giới hạn, báo cáo cho cán bộ quản lý để tiến hành ngăn chặn, thu hồi, khóa quyền truy cập của các tài khoản viphạm.
c) Cấu hình tối ưu, tăng cường bảo mật cho thiết bị hệ thống (cứng hóa) trước khi đưa vào vận hành, khaithác.
d) Quy trình kết nối thiết bị đầu cuối của người sử dụng vào hệ thống mạng; truy nhập và quản lý cấu hình hệ thống; cấu hình tối ưu, tăng cường bảo mật cho thiết bị mạng, bảo mật (cứng hóa) trong hệ thống và thực hiện quy trình trước khi đưa hệ thống vào vận hành khaithác.
Điều 9. Quản lý an toàn dữ liệu
1. Yêu cầu an toàn đối với phương pháp mãhóa
a) Đơn vị xây dựng và áp dụng quy định sử dụng các phương thức mã hóa thích hợp theo các chuẩn quốc gia hoặc quốc tế đã được công nhận để bảo vệ thông tin.
b) Phải có biện pháp quản lý khóa mã hóa thích hợp để hỗ trợ việc sử dụng các kỹ thuật mã hóa.
2. Phân loại, quản lý và sử dụng khóa bí mật và dữ liệu mãhóa.
3. Cơ chế mã hóa và kiểm tra tính nguyên vẹn của dữliệu.
4. Trao đổi dữ liệu qua môi trường mạng và phương tiện lưutrữ;
a) Ban hành quy định về trao đổi thông tin tối thiểu gồm: Phân loại thông tin theo mức độ nhạy cảm; quyền và trách nhiệm của cá nhân khi tiếp cận thông tin; biện pháp đảm bảo tính toàn vẹn, bảo mật khi truyền nhận, xử lý, lưu trữ thông tin; chế độ bảo quản thôngtin.
b) Các thông tin, tài liệu, dữ liệu nhạy cảm phải được mã hóa trước khi trao đổi, truyền nhận qua mạng máytính.
c) Thực hiện các biện pháp quản lý, giám sát và kiểm soát chặt chẽ các trang/cổng thông tin điện tử cung cấp thông tin, dịch vụ, giao dịch trực tuyến cho các tổ chức, cá nhân bênngoài.
d) Thực hiện biện pháp bảo vệ trang thiết bị, phần mềm phục vụ trao đổi thông tin nội bộ nhằm hạn chế việc xâm nhập, khai thác bất hợp pháp các thông tin nhạycảm.
5. Sao lưu dự phòng và khôi phục dữ liệu (tần suất sao lưu dự phòng, phương tiện lưu trữ, thời gian lưu trữ; nơi lưu trữ, phương thức lưu trữ và phương thức lấy dữ liệu ra khỏi phương tiện lưutrữ.
a) Lập danh sách các dữ liệu, phần mềm cần được sao lưu, có phân loại theo thời gian lưu trữ, thời gian sao lưu, phương pháp sao lưu và thời gian kiểm tra phục hồi hệ thống từ dữ liệu saolưu.
b) Xây dựng tài liệu, quy trình hướng dẫn sao lưu/phục hồi dữ liệu của hệ thống: Đơn vị quản trị hệ thống thực hiện xây dựng Tài liệu hướng dẫn sao lưu cụ thể đối với từng hệ thống cung cấp dịch vụ, hệ thống điều hành mà đơn vị quảnlý.
6. Cập nhật đồng bộ thông tin, dữ liệu giữa hệ thống sao lưu dự phòng chính và hệ thống phụ.
a) Định kỳ hoặc khi có thay đổi cấu hình trên hệ thống thực hiện quy trình sao lưu dự phòng: tập tin cấu hình hệ thống, dữ liệu, thông tin nghiệp vụ và các thông tin, dữ liệu quan trọng khác trên hệ thống (nếucó).
b) Thực hiện sao lưu dữ liệu định kỳ: Cán bộ phụ trách sao lưu thực hiện sao lưu định kỳ theo phương án sao lưu đã được phêduyệt.
c) Kiểm tra định kỳ: Dữ liệu sao lưu phải được lưu trữ an toàn và được kiểm tra thường xuyên đảm bảo sẵn sàng cho việc sử dụng khi cần. Kiểm tra, phục hồi hệ thống từ dữ liệu saolưu.
Điều 10. Quản lý an toàn thiết bị đầu cuối
Quy định về quản lý an toàn thiết bị đầu cuối bao gồm các nội dung:
1. Thông tin về thiết bị đầu cuối (tên, chủng loại, địa chỉ MAC, địa chỉ IP) phải được quản lý và cậpnhật.
2. Các thiết bị đầu cuối phải được quản lý khi kết nối vào hệ thống mạng theo địa chỉ MAC,IP.
3. Khi truy cập và sử dụng thiết bị đầu cuối từ xa phải có cơ chế xác thực và sử dụng giao thức mạng antoàn.
4. Việc cài đặt, kết nối và gỡ bỏ thiết bị đầu cuối trong hệ thống phải được cho phép bởi người có thẩm quyền và thực hiện theo quy trình được phêduyệt.
Điều 11. Quản lý phòng chống phần mềm độc hại
1. Tất cả các máy trạm phải được trang bị phần mềm phòng chống mã độc. Các phần mềm phòng chống mã độc phải được thiết lập chế độ tự động cập nhật; chế độ tự động quét mã độc khi sao chép, mở các tậptin.
2. Khi gửi văn bản điện tử gửi qua hệ thống thư điện tử phải có định dạng theo Danh mục tiêu chuẩn kỹ thuật về ứng dụng CNTT trong cơ quan nhà nước như: (.txt), (.doc), (.odt), (.pdf) và các định dạng khác theo quy định, không được gửi các file thực thi (.com), (.bat), (.exe)….
3. Các cán bộ, công chức trong đơn vị phải được hướng dẫn về phòng chống mã độc, các rủi ro do mã độc gây ra; không được tự ý cài đặt hoặc gỡ bỏ các phần mềm trên máy trạm khi chưa có sự đồng ý của người có thẩm quyền theo quy định của cơquan.
4. Tất cả các máy tính của đơn vị phải được cấu hình nhằm vô hiệu hóa tính năng tự động thực thi (autoplay) các tập tin trên các thiết bị lưu trữ diđộng.
5. Khi phát hiện ra bất kỳ dấu hiện nào liên quan đến việc bị nhiễm mã độc trên máy trạm (ví dụ: máy hoạt động chậm bất thường, cảnh báo từ phần mềm phòng chống mã độc, mất dữ liệu…), người sử dụng phải báo trực tiếp cho bộ phận có trách nhiệm của đơn vị để xửlý.
6. Phần mềm ứng dụng trước khi được cài đặt, sử dụng phải được kiểm tra xem có phần mềm độc hại tồn tại hay không. Tất cả các tập tin, thư mục phải được quét mã độc trước khi sao chép, sử dụng.
7. Định kỳ hằng năm thực hiện kiểm tra và dò quét phần mềm độc hại trên toàn bộ hệ thống; Thực hiện kiểm tra và xử lý phần mềm độc hại khi phát hiện dấu hiệu hoặc cảnh báo về dấu hiệu phần mềm độc hại xuất hiện trên hệthống.
Điều 12. Quản lý giám sát an toàn hệ thống thông tin
1. Triển khai hệ thống giám sát trung tâm phải đáp ứng yêu cầu tại khoản 1, Điều 5 Thông tư số31/2017/TT-BTTTT.
2. Thông tin giám sát và danh mục các đối tượng giám sát phải đáp ứng yêu cầu tại khoản 2, Điều 5 Thông tư số 31/2017/TT-BTTTT. Kết nối và gửi nhật ký hệ thống từ đối tượng giám sát về hệ thống giámsát.
3. Thực thi nhiệm vụ giám sát theo quy định tại khoản 3, Điều 5 Thông tư số 31/2017/TT-BTTTT.
4. Định kỳ hằng năm tổ chức nâng cao năng lực hoạt động giám sát theo quy định tại Điều 9 Thông tư số 31/2017/TT-BTTTT.
5. Chủ quản hệ thống thông tin có trách nhiệm giám sát an toàn thông tin theo quy định tại Điều 14 Thông tư số31/2017/TT-BTTTT.
Điều 13. Quản lý điểm yếu an toàn thông tin
1. Cán bộ chuyên trách về an toàn thông tin có tráchnhiệm:
a) Quản lý thông tin điểm yếu an toàn thông tin đối với từng thành phần cótrong hệ thống (hệ điều hành, máy chủ, ứng dụng, dịch vụ…); Phân loại mức độ nguy hiểm của điểm yếu; Xây dựng phương án và quy trình xử lý đối với từng mức độ nguy hiểm của điểmyếu.
b) Báo cáo lãnh đạo UBND xã ngay khi phát hiện điểm yếu an toàn thông tin ở mức độ nghiêm trọng. Thực hiện cảnh báo và xử lý điểm yếu an toàn thông tin theo chỉ đạo. Việc xử lý điểm yếu an toàn thông tin phải bảo đảm không giảm ảnh hưởng/gián đoạn hoạt động của hệthống.
c) Xây dựng phương án xử lý tạm thời đối với trường hợp điểm yếu an toàn thông tin chưa được khắc phục và phương án khôi phục hệ thống trong trường hợp xử lý điểm yếu thấtbại.
d) Có trách nhiệm phối hợp với các nhóm chuyên gia, bên cung cấp dịch vụ hỗ trợ trong việc xử lý, khắc phục điểm yếu an toàn thông tin đối với các điểm yếu khi cầnthiết.
2. Đối với hệ thống/hệ thống thành phần được đề xuất là cấp độ 3 trở lên phải thực hiện kiểm tra, đánh giá và xử lý điểm yếu an toàn thông tin cho thiết bị hệ thống, máy chủ, dịch vụ trước khi đưa vào sửdụng.
3. Định kỳ hằng năm kiểm tra, đánh giá điểm yếu an toàn thông tin cho toàn bộ hệ thống thông tin; Thực hiện quy trình kiểm tra, đánh giá, xử lý điểm yếu an toàn thông tin khi có thông tin hoặc nhận được cảnh báo về điểm yếu an toàn thông tin đối với thành phần cụ thể trong hệthống.
4. Hoạt động đánh giá phát hiện mã độc, lỗ hổng, điểm yếu, thử nghiệm xâm nhập hệ thống thực hiện theo quy định tại điểm c khoản 2 Điều 20 Nghị định số 85/2016/NĐ-CP và Điều 11 Thông tư số12/2022/TT-BTTTT.
Điều 14. Quản lý sự cố an toàn thông tin
1. Phân nhóm sự cố an toàn thông tin mạng theo quy định tại Quyết định số 05/2017/QĐ-TTg của Thủ tướng Chính phủ ngày 16/3/2017 quy định về hệ thống phương án ứng cứu khẩn cấp bảo đảm an toàn thông tin mạng quốc gia; Xây dựng phương án tiếp nhận, phát hiện, phân loại và xử lý ban đầu sự cố an toàn thông tin mạng, ứng phó sự cố an toàn thông tinmạng.
2. Xây dựng quy trình ứng cứu sự cố an toàn thông tin mạng thông thường và nghiêm trọng theo quy định tại Điều 13,14 Quyết định số05/2017/QĐ-TTg.
3. Xây dựng và triển khai kế hoạch ứng phó sự cố an toàn thông tin theo quy định tại Điều 16 Quyết định số05/2017/QĐ-TTg.
4. Xây dựng và triển khai phương án giám sát, phát hiện và cảnh báo sự cố an toàn thông tin trong quy trình ứng cứu sự cố an toàn thông tin mạng nhằm khắc phục sự cố về ATTT; Hỗ trợ, phối hợp và hướng dẫn các cơ quan khắc phục sự cố mất ATTT; Yêu cầu ngưng hoạt động một phần hoặc toàn bộ các hệ thống thông tin của các cơ quan nhằm phục vụ công tác khắc phục sự cố về ATTT; Phối hợp với đơn vị chức năng trong điều tra các nguyên nhân gây ra sự cố mất an toàn thông tin theo chỉ đạo của Lãnhđạo.
5. Liên hệ, phối hợp với các cơ quan, tổ chức trong công tác hỗ trợ điều phối xửlýsựcốantoànthôngtin:Tùytheomứcđộsựcố,phốihợpTổứngcứusựcố
an toàn thông tin của huyện hoặc Đội ứng cứu sự cố an toàn thông tin mạng tỉnh và các đơn vị có liên quan hướng dẫn xử lý, ứng cứu các sự cố an toàn thông tin mạng.
Điều 15. Quản lý an toàn người sử dụng đầu cuối
1. Quản lý truy cập, sử dụng tài nguyên nộibộ
a) Người sử dụng khi truy cập, sử dụng tài nguyên nội bộ, truy cập mạng và tài nguyên trên Internet phải tuân thủ các quy định của pháp luật về bảo đảm an toàn thông tin và các quy định của cơ quan, tổchức.
b) Khi cài đặt, kết nối máy tính/thiết bị đầu cuối phải thực hiện theo hướng dẫn/quy trình dưới sự giám sát của bộ phận chuyên trách về an toàn thôngtin.
c) Máy tính/thiết bị đầu cuối phải được xử lý điểm yếu an toàn thông tin, cấu hình cứng hóa bảo mật trước khi kết nối vào hệthống.
d) Không sử dụng các máy tính thuộc sở hữu cá nhân (máy xách tay của cá nhân, thiết bị di động thông minh) hoặc những thiết bị lưu trữ di động cá nhân vào mục đích riêng. Hạn chế tối đa việc sử dụng các thiết bị lưu trữ ngoài để sao chép, di chuyển dữ liệu.
e) Việc sử dụng các thiết bị lưu trữ ngoài như ổ cứng di động, các loại thẻ nhớ, thiết bị lưu trữ USB,... phải thường xuyên quét mã độc trước khi đọc hoặc sao chép dữliệu.
2. Quản lý truy cập mạng và tài nguyên trênInternet
a) Nghiêm túc chấp hành các quy chế, quy trình nội bộ và các quy định khác của pháp luật về an toàn thông tin mạng. Chịu trách nhiệm bảo đảm an toàn thông tin mạng trong phạm vi trách nhiệm và quyền hạn đượcgiao.
b) Có trách nhiệm tự quản lý, bảo quản thiết bị, tài khoản, ứng dụng mà mình được giao sửdụng.
c) Khi phát hiện nguy cơ hoặc sự cố mất an toàn thông tin mạng phải báo cáo ngay với cấp trên và bộ phận phụ trách công nghệ thông tin của cơ quan, đơn vị để kịp thời ngăn chặn và xửlý.
d) Tham gia các chương trình đào tạo, hội nghị về an toàn thông tin mạng được tỉnh hoặc đơn vị chuyên môn tổchức.
Điều 16. Kết thúc vận hành, khai thác, thanh lý, hủy bỏ hệ thống thông
1. Khikếtthúcvậnhành,khaithác,thanhlý,hủybỏhệthốngphảiđượcbộ
phận chuyên trách an toàn thông tin thực hiện kiểm tra, đánh giá bảo đảm an toàn thông tin.
2. Quá trình xử lý thông tin trên hệ thống phải được thực hiện khi thay đổi mục đích sử dụng hoặc gỡ bỏ theo phương án kỹ thuật được lãnh đạo UBND xã phêduyệt.
Chương IV
KIỂM TRA, ĐÁNH GIÁ VÀ QUẢN LÝ RỦI RO AN TOÀN THÔNG TIN
Điều 17. Nội dung, hình thức kiểm tra, đánh giá
1. Nội dung kiểm tra, đánhgiá:
a) Kiểm tra việc tuân thủ quy định của pháp luật về bảo đảm an toàn hệ thống thông tin theo cấpđộ;
b) Đánh giá hiệu quả của biện pháp bảo đảm an toàn hệ thống thôngtin;
c) Đánh giá phát hiện mã độc, lỗ hổng, điểm yếu, thử nghiệm xâm nhập hệ thống;
d) Kiểm tra, đánh giá khác do chủ quản hệ thống thông tin quyđịnh.
2. Hình thức kiểm tra, đánhgiá:
a) Kiểm tra, đánh giá định kỳ theo kế hoạch của chủ quản hệ thống thôngtin;
b) Kiểm tra, đánh giá đột xuất theo yêu cầu của cấp có thẩmquyền.
3. Cấp có thẩm quyền yêu cầu kiểm tra, đánhgiá:
a) Đơn vị chuyên trách ATTT củatỉnh;
b) Đội Ứng cứu sự cố an toàn thông tin mạngtỉnh;
c) UBND tx Nghi Sơn.
4. Đơn vị chủ trì kiểm tra, đánh giá là đơn vị được cấp có thẩm quyền giao nhiệm vụ hoặc được lựa chọn để thực hiện nhiệm vụ kiểm tra, đánhgiá.
5. Đối tượng kiểm tra, đánh giá là chủ quản hệ thống thông tin hoặc đơn vị vận hành hệ thống thông tin và các hệ thống thông tin có liênquan.
Điều 18. Kiểm tra việc tuân thủ quy định về an toàn thông tin và hiệu quả của biện pháp bảo đảm an toàn thông tin
1. Nội dung kiểm tra, đánhgiá
a) Kiểm tra việc xác định cấp độ an toàn hệ thống thông tin và triển khai phương án bảo đảm an toàn thông tin; Kiểm tra hiệu quả của các biện pháp bảo đảm an toàn thôngtin.
b) Kiểmtracôngtácgiámsátantoànthôngtin;ứngcứusựcốantoànthông
tin.
c) Kiểm tra các nội dung khác tại quychế.
2. Thẩm quyền kiểmtra
a) Đơn vị chuyên trách ATTT củatỉnh;
b) UBND tx Nghi Sơn.
c) Các đơn vị khác tự kiểm tra trong nội bộ đơnvị.
3. HoạtđộngkiểmtravềantoànthôngtindoUBNDxãĐịnh Hảithựchiện
tại các đơn vị thuộc công tác ứng dụng công nghệ thông tin hằng năm, theo kế hoạch được phê duyệt. Hoạt động kiểm tra về an toàn thông tin do các cơ quan, đơn vị trong địa bàn tỉnh thực hiện có thể lồng ghép trong chương trình kiểm tra công tác ứng dụng công nghệ thông tin hàng năm, theo kế hoạch được Lãnh đạo đơn vị phêduyệt.
Điều 19. Quản lý rủi ro an toàn thông tin
1. Xác định mức rủiro
a) Nhận biết tài sản thông qua xác định và thu thập thông tin đầy đủ về tài sản của mình đang quản lý, đặc biệt là các thông tin liên quan đến đặc điểm, nơilưu
trữ, mức độ quan trọng và giá trị, đặc thù của tài sản. Đánh giá các nguy cơ, điểm yếu đối với tài sản đó, từ đó có thể đánh giá xem mỗi tài sản khi gặp rủi ro thì sẽ gây ra hậu quả, mức độ ảnh hưởng thế nào đối với cơ quan, tổ chức
b) Phân loại nhóm các điểm yếu: Nhóm các điểm yếu liên quan đến tồn tại lỗ hổng, điểm yếu an toàn thông tin trong hệ thống; Nhóm các điểm yếuliên quan
đến thiếu hoặc không đáp ứng các biện pháp quản lý: Không có quy định về sử dụng mật khẩu an toàn; không có quy định về lưu trữ có mã hóa, không có quy định về quy trình xử lý sự cố, không có quy định về bảo đảm an toàn thông tin phía người sử dụng.v.v.; Nhóm các điểm yếu liên quan đến thiếu hoặc không đáp ứng các biện pháp kỹ thuật: Không có biện pháp phòng chống xâm nhập, không có biện pháp phòng chống mã độc, không có biện pháp phòng chống tấn công.v.v.; Nhóm các điểm yếu khác liên quan đến các nguy cơ mất an toàn thông tin từ bên thứba.
c) Phân loại các mối đe dọa: Nhóm các mối đe dọa từ việc tồn tại, điểm yếu, lỗ hổng trong hệ thống; Nhóm các mối đe dọa từ việc thiếu hoặc không đáp ứng các biện pháp quản lý; Nhóm các mối đe dọa từ việc thiếu hoặc không đáp ứng các biện pháp kỹthuật.
d) Đánh giá hậu quả và khả năng xảy ra sự cố, xác định mức rủi ro bao gồm các mức thấp, trung bình, cao, rất cao, cựccao.
2. Quy trình đánh giá và quản lý rủi ro bao gồm 04 bước: (1) Thiết lập bối cảnh; (2) Đánh giá rủi ro; (3) Xử lý rủi ro; (4) Chấp nhận rủi ro và 02 quá trình cần thực hiện song song: Truyền thông và tư vấn rủi ro, Giám sát và soát xét rủiro.
3. Biện pháp kiểm soát rủi ro được thực hiện theo yêu cầu an toàn cơ bản trong Hồ sơ đề xuất cấp độ của Hệ thống thông tin được cấp có thẩm quyền phê duyệt.
Chương VI
TRÁCH NHIỆM BẢO ĐẢM AN NINH MẠNG
Điều 20. Triển khai hoạt động bảo vệ an ninh mạng trong cơ quan
1. Nội dung triển khai hoạt động bảo vệ an ninh mạng baogồm:
a) Xây dựng phương án bảo đảm an ninh mạng đối với hệ thống thông tin; phương án ứng phó, khắc phục sự cố an ninhmạng.
b) Ứng dụng, triển khai phương án, biện pháp, công nghệ bảo vệ an ninh mạng đối với hệ thống thông tin và thông tin, tài liệu được lưu trữ, soạn thảo, truyền đưa trên hệ thống thông tin thuộc phạm vi quảnlý.
c) Tổ chức bồi dưỡng kiến thức về an ninh mạng cho cán bộ, công chức; nâng cao năng lực bảo vệ an ninh mạng cho lực lượng bảo vệ an ninhmạng;
d) Bảo vệ an ninh mạng trong hoạt động cung cấp dịch vụ trực tuyến, cung cấp, trao đổi, thu thập thông tin với cơ quan, tổ chức, cá nhân, chia sẻ thông tin trong nội bộ và với cơ quankhác
đ) Triển khai kiểm tra an ninh mạng đối với hệ thống thông tin; phòng, chống hành vi vi phạm pháp luật về an ninh mạng; ứng phó, khắc phục sự cố an ninh mạng.
2. Người đứng đầu cơ quan, đơn vị có trách nhiệm triển khai hoạt động bảo vệ an ninh mạng thuộc quyền quản lý.
3. Lực lượng bảo vệ an ninh mạng của UBND xã Định Hải bố trí tại bộ phận Văn phòng ThốngKê.
Chương VI
TỔ CHỨC THỰC HIỆN
Điều 21. Tổ chức triển khai Quy chế
1. Quy chế này có hiệu lực thi hành kể từ ngày ký banhành.
2. Trong quá trình thực hiện nếu có vấn đề phát sinh, vướng mắc, các đơn vị liên quan phản ánh kịp thời về Bộ phận chuyên trách để xem xét, bổ sung, sửađổi.
Điều 22. Xây dựng, rà soát, cập nhật, bổ sung Quy chế
1. Định kỳ 03 năm hoặc khi có thay đổi Quy chế bảo đảm an toàn thông tin kiểm tra lại tính phù hợp và thực hiện rà soát, cập nhật, bổ sung. Chính sách được tổ chức/ bộ phận được ủy quyền thông qua trước khi công bố ápdụng.
2. Trong quá trình thực hiện Quy chế, nếu có vấn đề vướng mắc, phát sinh, các đơn vị phản ánh kịp thời về Bộ phận chuyên trách về ATTT để tổng hợp báo cáo, điều chỉnh, bổsung.
Điều 23. Bộ phận chuyên trách về an toàn thông tin
1. Giao công chức Văn phòng Thống kê là bộ phận chuyên trách về ATTT cho hệthống.
2. Công chức bộ phận Văn phòng Thống kê chủ trì, phối hợp với các bộphậnvà đơn vị có liên quan tiến hành kiểm tra công tác bảo đảm an toàn thông tin mạng định kỳ hằng năm hoặc theo chỉ đạo của Lãnh đạo UBND xã Định Hải.
TM. UBND XÃ ĐỊNH HẢI
CHỦ TỊCH
Tin cùng chuyên mục
-
Giới thiệu Chương trình hỗ trợ doanh nghiệp nhỏ và vừa chuyển đổi số (Chương trình SMEdx)
09/11/2023 15:04:00 -
Quy chế Bảo đảm an toàn thông tin, an ninh mạng trong hoạt động ứng dụng công nghệ thông tin của Ủy ban nhân dân xã Định Hải
04/11/2023 10:13:37 -
Thông Báo V/v thực hiện phương án bảo đảm an toàn thông tin theo cấp độ được phê duyệt
04/11/2023 10:13:37 -
Sản phẩm Ocop 3 sao Mật ong rừng Am các đã có mặt trên sàn giao dịch điện tử Posmart
02/11/2023 10:16:29
Quy chế Bảo đảm an toàn thông tin, an ninh mạng trong hoạt động ứng dụng công nghệ thông tin của Ủy ban nhân dân xã Định Hải
Đăng lúc: 04/11/2023 10:13:37 (GMT+7)
Quy chế Bảo đảm an toàn thông tin, an ninh mạng trong hoạt động ứng dụng công nghệ thông tin của Ủy ban nhân dân xã Định Hải.
Chương I
QUY ĐỊNH CHUNG
Điều 1. Phạm vi điều chỉnh và đối tượng áp dụng
1. Phạm vi điềuchỉnh
Quy chế này quy định các chính sách quản lý và các biện pháp nhằm bảo đảm an toàn thông tin cho các Hệ thống thông tin của UBND xã Định Hải (sau đây gọi tắt là các Hệ thống thông tin).
2. Đối tượng ápdụng
a) Các bộ phận, cán bộ, công chức của UBND xã Định Hải.
b) Cơ quan, tổ chức, cá nhân có kết nối, sử dụng các Hệ thống thôngtin.
c) Cơ quan, tổ chức, cá nhân cung cấp dịch vụ công nghệ thông tin và an toàn thông tin mạng phục vụ hoạt động các Hệ thống thôngtin.
Điều 2. Mục tiêu, nguyên tắc bảo đảm an toàn thông tin
1. Mục tiêu bảo đảm an toàn thôngtin
Bảo vệ thông tin, hệ thống thông tin trên mạng tránh bị truy nhập, sử dụng, tiết lộ, gián đoạn, sửa đổi hoặc phá hoại trái phép nhằm bảo đảm tính nguyên vẹn, tính bảo mật và tính khả dụng của các Hệ thống thông tin.
2. Nguyên tắc
a) Cơ quan, tổ chức, cá nhân thuộc đối tượng áp dụng Quy chế này có trách nhiệm bảo đảm an toàn thông tin, an ninh mạng trong phạm vi xử lý công việccủa
mình theo quy định của pháp luật, hướng dẫn của cơ quan, đơn vị có thẩm quyền và các quy định tại Quy chế này.
b) Bảo đảm an toàn thông tin, an ninh mạng được thực hiện xuyên suốt, toàn trình trong khâu mua sắm, nâng cấp, vận hành, bảo trì và ngừng sử dụng hạ tầng, hệ thống thông tin, phần mềm, dữliệu
c) Việc bảo đảm an toàn Hệ thống thông tin được thực hiện một cách tổng thể, đồng bộ, tập trung trong việc đầu tư các giải pháp bảo vệ, có sự dùng chung, chia sẻ tài nguyên để tối ưu hiệu năng, tránh đầu tư thừa, trùnglặp.
d) Trách nhiệm bảo đảm an toàn thông tin mạng và an ninh mạng gắn với trách nhiệm của người đứng đầu cơ quan, đơn vị và cá nhân trực tiếp liênquan.
đ) Trường hợp có quy định khác tại văn bản quy phạm pháp luật, quyết định của cấp có thẩm quyền cao hơn thì áp dụng quy định tại văn bản đó.
e) Thông tin thuộc Danh mục bí mật nhà nước được bảo vệ theo quy định của pháp luật về bảo vệ bí mật nhànước.
3. Phạm vi chính sách an toàn thôngtin
Phạm vi Chính sách an toàn thông tin tại quy chế này bao gồm:
a) Thiết lập chính sách an toàn thôngtin.
b) Tổ chức bảo đảm an toàn thôngtin.
c) Bảo đảm nguồn nhânlực.
d) Quản lý thiết kế, xây dựng hệthống.
e) Quản lý vận hành hệthống.
f) Quản lý rủi ro an toàn thông tin.
g) Kết thúc vận hành, khai thác, thanh lý, hủybỏ.
Điều 3. Những hành vi nghiêm cấm
1. Các hành vi bị nghiêm cấm quy định tại Điều 7 Luật An toàn thông tin mạng và Điều 8 Luật An ninh mạng.
2. Tự ý đấu nối thiết bị mạng, thiết bị cấp phát địa chỉ mạng, thiết bị phátsóng như điểm truy cập không dây của cá nhân vào mạng nội bộ; trên cùng một thiết bị thực hiện đồng thời truy cập vào mạng nội bộ và truy cập Internet bằng thiết bịkết
nối Internet của cá nhân (modem quay số, USB 3G/4G, điện thoại di động, máy tính bảng, máy tính xách tay).
3. Tự ý thay đổi, gỡ bỏ biện pháp an toàn thông tin cài đặt trên thiết bị công nghệ thông tin phục vụ công việc; tự ý thay thế, lắp mới, tráo đổi thành phần của máy tính phục vụ côngviệc.
Điều 4. Phối hợp với những cơ quan/tổ chức có thẩm quyền
1. Đầu mối liên hệ, phối hợp với các cơ quan, tổ chức có thẩm quyền quản lý về an toàn thôngtin:
a) Giao Công chức Văn phòng Thống Kê xã là đầu mối liên hệ, phối hợp với UBND thị xã Nghi Sơn, VNPT thị xã Nghi Sơn và các cơ quan, tổ chức có thẩm quyền quản lý về an toàn thông tin phục vụ việc bảo đảm an toàn thông tin, an ninh mạng cho các Hệ thống thông tin của UBND xã Định Hải.
b) Giao Công chức Văn phòng , CC Văn Hóa làm đầu mối, tổ chức thực hiện việc tiếp nhận và xử lý các sự cố về an toàn thông tin đối với các Hệ thống thông tin của UBND xã Định Hải.
2. Giao công chức Văn hóa – Xã hội tham gia các hoạt động, công tác bảo đảm an toàn thông tin khi có yêu cầu của tổ chức có thẩmquyền.
Điều 5. Bảo đảm nguồn nhân lực
1. Cán bộ được tuyển dụng, bố trí vào vị trí làm về an toàn thông tin có trình độ, năng lực về lĩnh vực công nghệ thông tin, an toàn thông tin, phù hợp với vị trí tuyển dụng được lồng ghép trong quy trình tuyển dụng cán bộ và điều kiện tuyển dụng cánbộ.
2. Xây dựng kế hoạch và định kỳ hằng năm tổ chức đào tạo hoặc tham gia đào tạo về an toàn thông tin cho 03 nhóm đối tượng bao gồm: cán bộ kỹ thuật, cán bộ quản lý và người sử dụng trong hệthống.
3. Trách nhiệm bảo đảm an toàn thông tin cho cán bộ quản lý và vận hành hệ thống
a) Cán bộ chuyên trách phải thiết lập phương pháp hạn chế truy cập mạng không dây, giám sát và điều khiển truy cập không dây, tổ chức sử dụng chứng thực và mã hóa để bảo vệ truy cập không dây tới hệ thống thôngtin.
b) Cán bộ chuyên trách phải tổ chức quản lý định danh đối với tất cả người dùng tham gia sử dụng hệ thống thôngtin.
c) Các bộ phận, cá nhân tham gia sử dụng các dịch vụ của hệ thống phải tuân thủ các quy định về bảo đảm an toàn, an ninh thông tin và chịu trách nhiệm đối với mọi hoạt động trên tài khoản truy cập của mình đã được cấp trên hệthống.
d) Tài khoản quản trị hệ thống (mạng, hệ điều hành, thiết bị kết nối mạng, phần mềm, ứng dụng, cơ sở dữ liệu) phải tách biệt với tài khoản truy nhập của người sử dụng thông thường. Tài khoản quản trị hệ thống phải được giao đích danh cá nhân làm công tác quản trị. Phân quyền sử dụng tài khoản quản trị theo chức năng nhiệm vụ của cá nhân trong công tác vận hành quản trị hệthống.
4. Với người sửdụng:
a) Người sử dụng có trách nhiệm đảm bảo ATTT đối với từng vị trí công việc. Trước khi tham gia vào hệ thống phải được kiểm tra khả năng đáp ứng các yêu cầu của phương án vềATTT.
b) Phải được thường xuyên tổ chức quán triệt các quy định về ATTT, nhằm nâng cao nhận thức về trách nhiệm đảm bảoATTT.
c) Chỉ truy nhập vào các trang/cổng thông tin điện tử, ứng dụng trực tuyến tin cậy và các thông tin phù hợp với chức năng, trách nhiệm, quyền hạn của mình; không truy nhập, mở các trang tin, thư điện tử không rõ nguồngốc.
d) Các máy tính của người sử dụng phải đặt mật khẩu với độ an toàn cao và thay đổi mật khẩu tối thiểu 03 lần/tháng; các tài khoản đăng nhập các hệ thống phải được đăng xuất khi không sử dụng. Thực hiện các biện pháp mã hóa đối với các tài khoản, mật khẩu được lưu trữ trên thiết bị.
e) Khóa máy tính khi tạm thời rời khỏi nơi đặt máy tính; tắt máy tính khi rời khỏi cơ quan.
f) Triển khai cài đặt phần mềm phòng chống mã độc tập trung của tỉnh trên toàn bộ các máy tính của người sử dụng trong đơn vị.
g) Rà soát, cập nhật các bản vá bảo mật định kỳ trên các máy tính
5. Quy định đối với cán bộ nghỉ hoặc thay đổi công việc, trong tối đa 05 ngày làmviệc:
a) Cán bộ nghỉ hoặc thay đổi công việc phải thu hồi thẻ truy cập, thông tin được lưu trên các phương tiện lưu trữ, các trang thiết bị máy móc, phần cứng, phần mềm và các tài sản khác thuộc sở hữu của tổchức.
b) Cán bộ quản trị phải vô hiệu hóa tất cả các quyền ra, vào, truy cập tài nguyên, quản trị hệ thống sau khi cán bộ thôiviệc.
Chương II
BẢO ĐẢM AN TOÀN THÔNG TIN TRONG THIẾT KẾ, XÂY DỰNG HỆ THỐNG THÔNG TIN
Điều 6. Thiết kế, xây dựng hệ thống thông tin
Khi thực hiện triển khai đầu tư, nâng cấp, mở rộng hệ thống hệ thống thông tin, cần thực hiện xây dựng các tài liệu mô tả các yêu cầu sau:
1. Xây dựng các tài liệu mô tả quy mô, phạm vi và đối tượng sử dụng, khai thác, quản lý vận hành hệ thống thôngtin.
2. Xâydựngcáctàiliệumôtảthiếtkếvàcácthànhphầncủahệthốngthông
tin.
3. Xâydựngcáctàiliệumôtảphươngánlựachọngiảiphápcôngnghệbảo
đảm an toàn thông tin.
4. Xâydựngcáctàiliệumôtảphươngánbảođảmantoànthôngtintheocấp
độ.
5. Khicóthayđổithiếtkế,đánhgiálạitínhphùhợpcủaphươngánthiếtkế
đối với các yêu cầu an toàn đặt ra đối với hệ thống.
Điều 7. Phát triển phần mềm thuê khoán
1. Có điều khoản hợp đồng và các cam kết đối với bên thuê khoán khi thực hiện các nội dung liên quan đến việc phát triển phần mềm thuêkhoán.
2. Các nhà phát triển cung cấp mã nguồn phần mềm sau khi đưa vào sửdụng.
3. Phần mềm thuê khoán phải được kiểm thử phần mềm trên môi trường thử nghiệm trước khi bàn giao và đưa vào sửdụng.
a) Bên triển khai xây dựng kế hoạch, nội dung thử nghiệm hệ thống, trình cấp có thẩm quyền phê duyệt, trước khi thực hiện thử nghiệm và nghiệm thu hệthống.
b) Hệ thống phải được thực hiện kiểm thử hệ thống trước khi đưa vào vận hành, khai thác sử dụng theo nội dung, kế hoạch được phêduyệt.
4. Phần mềm thuê khoán phải được kiểm tra, đánh giá an toàn thông tin, trước khi đưa vào sửdụng.
a) Bên triển khai xây dựng kế hoạch, nội dung đánh giá, kiểm tra hệ thống theo quy định, trình cấp có thẩm quyền phê duyệt, trước khi thực hiện kiểm tra, đánh giá an toàn thôngtin.
b) Hệ thống phải được thực hiện kiểm tra, đánh giá an toàn thông tin trước khi đưa vào vận hành, khai thác sử dụng theo nội dung, kế hoạch được phêduyệt.
5. Trong quá trình thực hiện thử nghiệm và nghiệm thu hệ thống, giao cho bộ phận chuyên trách an toàn thông tin mạng là đầu mối phối hợp với đơn vị phát triển để triển khai thựchiện.
Chương III
BẢO ĐẢM AN TOÀN THÔNG TIN TRONG QUẢN LÝ VẬN HÀNH HỆ THỐNG HỆ THỐNG THÔNG TIN
Điều 8. Quản lý an toàn mạng
1. Quản lý, vận hành hoạt động bình thường của hệthống.
a) Thực hiện việc quản lý và kiểm soát mạng nhằm ngăn ngừa các nguy cơ, rủi ro và duy trì an toàn cho các máy tính, ứng dụng sử dụngmạng:
- Có sơ đồ logic và vật lý về hệ thống mạng, tổ chức quản lý định danh, xác thực đối với tất cả người sử dụng nhằm mục đích quản lý hệ thống chặt chẽ, bảo đảm an toàn và bảomật.
- Sử dụng thiết bị tường lửa, thiết bị phát hiện và kiểm soát truy cập từ bên ngoài mạng và phân chia hệ thống mạng thành các vùng mạng quản lý theo chính sách an toàn thông tin riêng; Kiểm soát truy cập từ bên trong mạng; Kết nối về hệ thống giám sát tập trung; Phòng chống xâm nhập giữa các vùng mạng; Phòng chống phần mềm độc hại trên môi trườngmạng.
b) Thiết lập, cấu hình đầy đủ các tính năng của thiết bị mạng. Thường xuyên, kiểm tra phiên bản hệ điều hành của thiết bị mạng để cập nhật, vá lỗi khi cần thiết. Sử dụng các công cụ để dò tìm và phát hiện kịp thời các điểm yếu, lỗ hổng bảo mật và các truy cập bất hợp pháp vào hệ thống mạng. Thường xuyên kiểm tra, phát hiện những kết nối, trang thiết bị, phần mềm cài đặt bất hợp pháp vàomạng.
c) Xác định và ghi rõ các tính năng an toàn, các mức độ bảo mật của dịch vụ và yêu cầu quản lý trong các thỏa thuận về dịch vụ mạng do bên thứ ba cungcấp.
d) Mạng không dây (WIFI), thiết lập các thông số an toàn và định kỳ ít nhất 3 tháng thay đổi mật khẩu truy cập nhằm tăng cường công tác bảo mật. Hệ thống mạng không dây phải được bảo vệ bởi mật khẩu antoàn.
2. Cập nhật, sao lưu dự phòng và khôi phục sau khi xảy ra sựcố
- Phải có phương án dự phòng đường truyền mạng, thiết bị mạng để đảm bảo tính sẵn sàng đáp ứng yêu cầu hoạt động của hệ thốngmạng.
- Triển khai hệ thống/phương tiện lưu trữ độc lập để lưu trữ các thông tin cấu hình thiết bị mạng, kết nối, định danh trong mạng để khôi phục sau khi xảy ra sự cố.
3. Truy cập và quản lý cấu hình hệthống
a) Cán bộ quản lý, nhân viên vận hành truy cập, khai thác thông tin theo trách nhiệm và phân quyền được quy định; việc khai thác thông tin phải bảo đảm nguyên tắc bảo mật, không được tự ý cung cấp thông tin ra bênngoài.
b) Cán bộ quản lý, nhân viên vận hành có trách nhiệm theo dõi và phát hiện các trường hợp truy cập hệ thống trái phép hoặc thao tác vượt quá giới hạn, báo cáo cho cán bộ quản lý để tiến hành ngăn chặn, thu hồi, khóa quyền truy cập của các tài khoản viphạm.
c) Cấu hình tối ưu, tăng cường bảo mật cho thiết bị hệ thống (cứng hóa) trước khi đưa vào vận hành, khaithác.
d) Quy trình kết nối thiết bị đầu cuối của người sử dụng vào hệ thống mạng; truy nhập và quản lý cấu hình hệ thống; cấu hình tối ưu, tăng cường bảo mật cho thiết bị mạng, bảo mật (cứng hóa) trong hệ thống và thực hiện quy trình trước khi đưa hệ thống vào vận hành khaithác.
Điều 9. Quản lý an toàn dữ liệu
1. Yêu cầu an toàn đối với phương pháp mãhóa
a) Đơn vị xây dựng và áp dụng quy định sử dụng các phương thức mã hóa thích hợp theo các chuẩn quốc gia hoặc quốc tế đã được công nhận để bảo vệ thông tin.
b) Phải có biện pháp quản lý khóa mã hóa thích hợp để hỗ trợ việc sử dụng các kỹ thuật mã hóa.
2. Phân loại, quản lý và sử dụng khóa bí mật và dữ liệu mãhóa.
3. Cơ chế mã hóa và kiểm tra tính nguyên vẹn của dữliệu.
4. Trao đổi dữ liệu qua môi trường mạng và phương tiện lưutrữ;
a) Ban hành quy định về trao đổi thông tin tối thiểu gồm: Phân loại thông tin theo mức độ nhạy cảm; quyền và trách nhiệm của cá nhân khi tiếp cận thông tin; biện pháp đảm bảo tính toàn vẹn, bảo mật khi truyền nhận, xử lý, lưu trữ thông tin; chế độ bảo quản thôngtin.
b) Các thông tin, tài liệu, dữ liệu nhạy cảm phải được mã hóa trước khi trao đổi, truyền nhận qua mạng máytính.
c) Thực hiện các biện pháp quản lý, giám sát và kiểm soát chặt chẽ các trang/cổng thông tin điện tử cung cấp thông tin, dịch vụ, giao dịch trực tuyến cho các tổ chức, cá nhân bênngoài.
d) Thực hiện biện pháp bảo vệ trang thiết bị, phần mềm phục vụ trao đổi thông tin nội bộ nhằm hạn chế việc xâm nhập, khai thác bất hợp pháp các thông tin nhạycảm.
5. Sao lưu dự phòng và khôi phục dữ liệu (tần suất sao lưu dự phòng, phương tiện lưu trữ, thời gian lưu trữ; nơi lưu trữ, phương thức lưu trữ và phương thức lấy dữ liệu ra khỏi phương tiện lưutrữ.
a) Lập danh sách các dữ liệu, phần mềm cần được sao lưu, có phân loại theo thời gian lưu trữ, thời gian sao lưu, phương pháp sao lưu và thời gian kiểm tra phục hồi hệ thống từ dữ liệu saolưu.
b) Xây dựng tài liệu, quy trình hướng dẫn sao lưu/phục hồi dữ liệu của hệ thống: Đơn vị quản trị hệ thống thực hiện xây dựng Tài liệu hướng dẫn sao lưu cụ thể đối với từng hệ thống cung cấp dịch vụ, hệ thống điều hành mà đơn vị quảnlý.
6. Cập nhật đồng bộ thông tin, dữ liệu giữa hệ thống sao lưu dự phòng chính và hệ thống phụ.
a) Định kỳ hoặc khi có thay đổi cấu hình trên hệ thống thực hiện quy trình sao lưu dự phòng: tập tin cấu hình hệ thống, dữ liệu, thông tin nghiệp vụ và các thông tin, dữ liệu quan trọng khác trên hệ thống (nếucó).
b) Thực hiện sao lưu dữ liệu định kỳ: Cán bộ phụ trách sao lưu thực hiện sao lưu định kỳ theo phương án sao lưu đã được phêduyệt.
c) Kiểm tra định kỳ: Dữ liệu sao lưu phải được lưu trữ an toàn và được kiểm tra thường xuyên đảm bảo sẵn sàng cho việc sử dụng khi cần. Kiểm tra, phục hồi hệ thống từ dữ liệu saolưu.
Điều 10. Quản lý an toàn thiết bị đầu cuối
Quy định về quản lý an toàn thiết bị đầu cuối bao gồm các nội dung:
1. Thông tin về thiết bị đầu cuối (tên, chủng loại, địa chỉ MAC, địa chỉ IP) phải được quản lý và cậpnhật.
2. Các thiết bị đầu cuối phải được quản lý khi kết nối vào hệ thống mạng theo địa chỉ MAC,IP.
3. Khi truy cập và sử dụng thiết bị đầu cuối từ xa phải có cơ chế xác thực và sử dụng giao thức mạng antoàn.
4. Việc cài đặt, kết nối và gỡ bỏ thiết bị đầu cuối trong hệ thống phải được cho phép bởi người có thẩm quyền và thực hiện theo quy trình được phêduyệt.
Điều 11. Quản lý phòng chống phần mềm độc hại
1. Tất cả các máy trạm phải được trang bị phần mềm phòng chống mã độc. Các phần mềm phòng chống mã độc phải được thiết lập chế độ tự động cập nhật; chế độ tự động quét mã độc khi sao chép, mở các tậptin.
2. Khi gửi văn bản điện tử gửi qua hệ thống thư điện tử phải có định dạng theo Danh mục tiêu chuẩn kỹ thuật về ứng dụng CNTT trong cơ quan nhà nước như: (.txt), (.doc), (.odt), (.pdf) và các định dạng khác theo quy định, không được gửi các file thực thi (.com), (.bat), (.exe)….
3. Các cán bộ, công chức trong đơn vị phải được hướng dẫn về phòng chống mã độc, các rủi ro do mã độc gây ra; không được tự ý cài đặt hoặc gỡ bỏ các phần mềm trên máy trạm khi chưa có sự đồng ý của người có thẩm quyền theo quy định của cơquan.
4. Tất cả các máy tính của đơn vị phải được cấu hình nhằm vô hiệu hóa tính năng tự động thực thi (autoplay) các tập tin trên các thiết bị lưu trữ diđộng.
5. Khi phát hiện ra bất kỳ dấu hiện nào liên quan đến việc bị nhiễm mã độc trên máy trạm (ví dụ: máy hoạt động chậm bất thường, cảnh báo từ phần mềm phòng chống mã độc, mất dữ liệu…), người sử dụng phải báo trực tiếp cho bộ phận có trách nhiệm của đơn vị để xửlý.
6. Phần mềm ứng dụng trước khi được cài đặt, sử dụng phải được kiểm tra xem có phần mềm độc hại tồn tại hay không. Tất cả các tập tin, thư mục phải được quét mã độc trước khi sao chép, sử dụng.
7. Định kỳ hằng năm thực hiện kiểm tra và dò quét phần mềm độc hại trên toàn bộ hệ thống; Thực hiện kiểm tra và xử lý phần mềm độc hại khi phát hiện dấu hiệu hoặc cảnh báo về dấu hiệu phần mềm độc hại xuất hiện trên hệthống.
Điều 12. Quản lý giám sát an toàn hệ thống thông tin
1. Triển khai hệ thống giám sát trung tâm phải đáp ứng yêu cầu tại khoản 1, Điều 5 Thông tư số31/2017/TT-BTTTT.
2. Thông tin giám sát và danh mục các đối tượng giám sát phải đáp ứng yêu cầu tại khoản 2, Điều 5 Thông tư số 31/2017/TT-BTTTT. Kết nối và gửi nhật ký hệ thống từ đối tượng giám sát về hệ thống giámsát.
3. Thực thi nhiệm vụ giám sát theo quy định tại khoản 3, Điều 5 Thông tư số 31/2017/TT-BTTTT.
4. Định kỳ hằng năm tổ chức nâng cao năng lực hoạt động giám sát theo quy định tại Điều 9 Thông tư số 31/2017/TT-BTTTT.
5. Chủ quản hệ thống thông tin có trách nhiệm giám sát an toàn thông tin theo quy định tại Điều 14 Thông tư số31/2017/TT-BTTTT.
Điều 13. Quản lý điểm yếu an toàn thông tin
1. Cán bộ chuyên trách về an toàn thông tin có tráchnhiệm:
a) Quản lý thông tin điểm yếu an toàn thông tin đối với từng thành phần cótrong hệ thống (hệ điều hành, máy chủ, ứng dụng, dịch vụ…); Phân loại mức độ nguy hiểm của điểm yếu; Xây dựng phương án và quy trình xử lý đối với từng mức độ nguy hiểm của điểmyếu.
b) Báo cáo lãnh đạo UBND xã ngay khi phát hiện điểm yếu an toàn thông tin ở mức độ nghiêm trọng. Thực hiện cảnh báo và xử lý điểm yếu an toàn thông tin theo chỉ đạo. Việc xử lý điểm yếu an toàn thông tin phải bảo đảm không giảm ảnh hưởng/gián đoạn hoạt động của hệthống.
c) Xây dựng phương án xử lý tạm thời đối với trường hợp điểm yếu an toàn thông tin chưa được khắc phục và phương án khôi phục hệ thống trong trường hợp xử lý điểm yếu thấtbại.
d) Có trách nhiệm phối hợp với các nhóm chuyên gia, bên cung cấp dịch vụ hỗ trợ trong việc xử lý, khắc phục điểm yếu an toàn thông tin đối với các điểm yếu khi cầnthiết.
2. Đối với hệ thống/hệ thống thành phần được đề xuất là cấp độ 3 trở lên phải thực hiện kiểm tra, đánh giá và xử lý điểm yếu an toàn thông tin cho thiết bị hệ thống, máy chủ, dịch vụ trước khi đưa vào sửdụng.
3. Định kỳ hằng năm kiểm tra, đánh giá điểm yếu an toàn thông tin cho toàn bộ hệ thống thông tin; Thực hiện quy trình kiểm tra, đánh giá, xử lý điểm yếu an toàn thông tin khi có thông tin hoặc nhận được cảnh báo về điểm yếu an toàn thông tin đối với thành phần cụ thể trong hệthống.
4. Hoạt động đánh giá phát hiện mã độc, lỗ hổng, điểm yếu, thử nghiệm xâm nhập hệ thống thực hiện theo quy định tại điểm c khoản 2 Điều 20 Nghị định số 85/2016/NĐ-CP và Điều 11 Thông tư số12/2022/TT-BTTTT.
Điều 14. Quản lý sự cố an toàn thông tin
1. Phân nhóm sự cố an toàn thông tin mạng theo quy định tại Quyết định số 05/2017/QĐ-TTg của Thủ tướng Chính phủ ngày 16/3/2017 quy định về hệ thống phương án ứng cứu khẩn cấp bảo đảm an toàn thông tin mạng quốc gia; Xây dựng phương án tiếp nhận, phát hiện, phân loại và xử lý ban đầu sự cố an toàn thông tin mạng, ứng phó sự cố an toàn thông tinmạng.
2. Xây dựng quy trình ứng cứu sự cố an toàn thông tin mạng thông thường và nghiêm trọng theo quy định tại Điều 13,14 Quyết định số05/2017/QĐ-TTg.
3. Xây dựng và triển khai kế hoạch ứng phó sự cố an toàn thông tin theo quy định tại Điều 16 Quyết định số05/2017/QĐ-TTg.
4. Xây dựng và triển khai phương án giám sát, phát hiện và cảnh báo sự cố an toàn thông tin trong quy trình ứng cứu sự cố an toàn thông tin mạng nhằm khắc phục sự cố về ATTT; Hỗ trợ, phối hợp và hướng dẫn các cơ quan khắc phục sự cố mất ATTT; Yêu cầu ngưng hoạt động một phần hoặc toàn bộ các hệ thống thông tin của các cơ quan nhằm phục vụ công tác khắc phục sự cố về ATTT; Phối hợp với đơn vị chức năng trong điều tra các nguyên nhân gây ra sự cố mất an toàn thông tin theo chỉ đạo của Lãnhđạo.
5. Liên hệ, phối hợp với các cơ quan, tổ chức trong công tác hỗ trợ điều phối xửlýsựcốantoànthôngtin:Tùytheomứcđộsựcố,phốihợpTổứngcứusựcố
an toàn thông tin của huyện hoặc Đội ứng cứu sự cố an toàn thông tin mạng tỉnh và các đơn vị có liên quan hướng dẫn xử lý, ứng cứu các sự cố an toàn thông tin mạng.
Điều 15. Quản lý an toàn người sử dụng đầu cuối
1. Quản lý truy cập, sử dụng tài nguyên nộibộ
a) Người sử dụng khi truy cập, sử dụng tài nguyên nội bộ, truy cập mạng và tài nguyên trên Internet phải tuân thủ các quy định của pháp luật về bảo đảm an toàn thông tin và các quy định của cơ quan, tổchức.
b) Khi cài đặt, kết nối máy tính/thiết bị đầu cuối phải thực hiện theo hướng dẫn/quy trình dưới sự giám sát của bộ phận chuyên trách về an toàn thôngtin.
c) Máy tính/thiết bị đầu cuối phải được xử lý điểm yếu an toàn thông tin, cấu hình cứng hóa bảo mật trước khi kết nối vào hệthống.
d) Không sử dụng các máy tính thuộc sở hữu cá nhân (máy xách tay của cá nhân, thiết bị di động thông minh) hoặc những thiết bị lưu trữ di động cá nhân vào mục đích riêng. Hạn chế tối đa việc sử dụng các thiết bị lưu trữ ngoài để sao chép, di chuyển dữ liệu.
e) Việc sử dụng các thiết bị lưu trữ ngoài như ổ cứng di động, các loại thẻ nhớ, thiết bị lưu trữ USB,... phải thường xuyên quét mã độc trước khi đọc hoặc sao chép dữliệu.
2. Quản lý truy cập mạng và tài nguyên trênInternet
a) Nghiêm túc chấp hành các quy chế, quy trình nội bộ và các quy định khác của pháp luật về an toàn thông tin mạng. Chịu trách nhiệm bảo đảm an toàn thông tin mạng trong phạm vi trách nhiệm và quyền hạn đượcgiao.
b) Có trách nhiệm tự quản lý, bảo quản thiết bị, tài khoản, ứng dụng mà mình được giao sửdụng.
c) Khi phát hiện nguy cơ hoặc sự cố mất an toàn thông tin mạng phải báo cáo ngay với cấp trên và bộ phận phụ trách công nghệ thông tin của cơ quan, đơn vị để kịp thời ngăn chặn và xửlý.
d) Tham gia các chương trình đào tạo, hội nghị về an toàn thông tin mạng được tỉnh hoặc đơn vị chuyên môn tổchức.
Điều 16. Kết thúc vận hành, khai thác, thanh lý, hủy bỏ hệ thống thông
1. Khikếtthúcvậnhành,khaithác,thanhlý,hủybỏhệthốngphảiđượcbộ
phận chuyên trách an toàn thông tin thực hiện kiểm tra, đánh giá bảo đảm an toàn thông tin.
2. Quá trình xử lý thông tin trên hệ thống phải được thực hiện khi thay đổi mục đích sử dụng hoặc gỡ bỏ theo phương án kỹ thuật được lãnh đạo UBND xã phêduyệt.
Chương IV
KIỂM TRA, ĐÁNH GIÁ VÀ QUẢN LÝ RỦI RO AN TOÀN THÔNG TIN
Điều 17. Nội dung, hình thức kiểm tra, đánh giá
1. Nội dung kiểm tra, đánhgiá:
a) Kiểm tra việc tuân thủ quy định của pháp luật về bảo đảm an toàn hệ thống thông tin theo cấpđộ;
b) Đánh giá hiệu quả của biện pháp bảo đảm an toàn hệ thống thôngtin;
c) Đánh giá phát hiện mã độc, lỗ hổng, điểm yếu, thử nghiệm xâm nhập hệ thống;
d) Kiểm tra, đánh giá khác do chủ quản hệ thống thông tin quyđịnh.
2. Hình thức kiểm tra, đánhgiá:
a) Kiểm tra, đánh giá định kỳ theo kế hoạch của chủ quản hệ thống thôngtin;
b) Kiểm tra, đánh giá đột xuất theo yêu cầu của cấp có thẩmquyền.
3. Cấp có thẩm quyền yêu cầu kiểm tra, đánhgiá:
a) Đơn vị chuyên trách ATTT củatỉnh;
b) Đội Ứng cứu sự cố an toàn thông tin mạngtỉnh;
c) UBND tx Nghi Sơn.
4. Đơn vị chủ trì kiểm tra, đánh giá là đơn vị được cấp có thẩm quyền giao nhiệm vụ hoặc được lựa chọn để thực hiện nhiệm vụ kiểm tra, đánhgiá.
5. Đối tượng kiểm tra, đánh giá là chủ quản hệ thống thông tin hoặc đơn vị vận hành hệ thống thông tin và các hệ thống thông tin có liênquan.
Điều 18. Kiểm tra việc tuân thủ quy định về an toàn thông tin và hiệu quả của biện pháp bảo đảm an toàn thông tin
1. Nội dung kiểm tra, đánhgiá
a) Kiểm tra việc xác định cấp độ an toàn hệ thống thông tin và triển khai phương án bảo đảm an toàn thông tin; Kiểm tra hiệu quả của các biện pháp bảo đảm an toàn thôngtin.
b) Kiểmtracôngtácgiámsátantoànthôngtin;ứngcứusựcốantoànthông
tin.
c) Kiểm tra các nội dung khác tại quychế.
2. Thẩm quyền kiểmtra
a) Đơn vị chuyên trách ATTT củatỉnh;
b) UBND tx Nghi Sơn.
c) Các đơn vị khác tự kiểm tra trong nội bộ đơnvị.
3. HoạtđộngkiểmtravềantoànthôngtindoUBNDxãĐịnh Hảithựchiện
tại các đơn vị thuộc công tác ứng dụng công nghệ thông tin hằng năm, theo kế hoạch được phê duyệt. Hoạt động kiểm tra về an toàn thông tin do các cơ quan, đơn vị trong địa bàn tỉnh thực hiện có thể lồng ghép trong chương trình kiểm tra công tác ứng dụng công nghệ thông tin hàng năm, theo kế hoạch được Lãnh đạo đơn vị phêduyệt.
Điều 19. Quản lý rủi ro an toàn thông tin
1. Xác định mức rủiro
a) Nhận biết tài sản thông qua xác định và thu thập thông tin đầy đủ về tài sản của mình đang quản lý, đặc biệt là các thông tin liên quan đến đặc điểm, nơilưu
trữ, mức độ quan trọng và giá trị, đặc thù của tài sản. Đánh giá các nguy cơ, điểm yếu đối với tài sản đó, từ đó có thể đánh giá xem mỗi tài sản khi gặp rủi ro thì sẽ gây ra hậu quả, mức độ ảnh hưởng thế nào đối với cơ quan, tổ chức
b) Phân loại nhóm các điểm yếu: Nhóm các điểm yếu liên quan đến tồn tại lỗ hổng, điểm yếu an toàn thông tin trong hệ thống; Nhóm các điểm yếuliên quan
đến thiếu hoặc không đáp ứng các biện pháp quản lý: Không có quy định về sử dụng mật khẩu an toàn; không có quy định về lưu trữ có mã hóa, không có quy định về quy trình xử lý sự cố, không có quy định về bảo đảm an toàn thông tin phía người sử dụng.v.v.; Nhóm các điểm yếu liên quan đến thiếu hoặc không đáp ứng các biện pháp kỹ thuật: Không có biện pháp phòng chống xâm nhập, không có biện pháp phòng chống mã độc, không có biện pháp phòng chống tấn công.v.v.; Nhóm các điểm yếu khác liên quan đến các nguy cơ mất an toàn thông tin từ bên thứba.
c) Phân loại các mối đe dọa: Nhóm các mối đe dọa từ việc tồn tại, điểm yếu, lỗ hổng trong hệ thống; Nhóm các mối đe dọa từ việc thiếu hoặc không đáp ứng các biện pháp quản lý; Nhóm các mối đe dọa từ việc thiếu hoặc không đáp ứng các biện pháp kỹthuật.
d) Đánh giá hậu quả và khả năng xảy ra sự cố, xác định mức rủi ro bao gồm các mức thấp, trung bình, cao, rất cao, cựccao.
2. Quy trình đánh giá và quản lý rủi ro bao gồm 04 bước: (1) Thiết lập bối cảnh; (2) Đánh giá rủi ro; (3) Xử lý rủi ro; (4) Chấp nhận rủi ro và 02 quá trình cần thực hiện song song: Truyền thông và tư vấn rủi ro, Giám sát và soát xét rủiro.
3. Biện pháp kiểm soát rủi ro được thực hiện theo yêu cầu an toàn cơ bản trong Hồ sơ đề xuất cấp độ của Hệ thống thông tin được cấp có thẩm quyền phê duyệt.
Chương VI
TRÁCH NHIỆM BẢO ĐẢM AN NINH MẠNG
Điều 20. Triển khai hoạt động bảo vệ an ninh mạng trong cơ quan
1. Nội dung triển khai hoạt động bảo vệ an ninh mạng baogồm:
a) Xây dựng phương án bảo đảm an ninh mạng đối với hệ thống thông tin; phương án ứng phó, khắc phục sự cố an ninhmạng.
b) Ứng dụng, triển khai phương án, biện pháp, công nghệ bảo vệ an ninh mạng đối với hệ thống thông tin và thông tin, tài liệu được lưu trữ, soạn thảo, truyền đưa trên hệ thống thông tin thuộc phạm vi quảnlý.
c) Tổ chức bồi dưỡng kiến thức về an ninh mạng cho cán bộ, công chức; nâng cao năng lực bảo vệ an ninh mạng cho lực lượng bảo vệ an ninhmạng;
d) Bảo vệ an ninh mạng trong hoạt động cung cấp dịch vụ trực tuyến, cung cấp, trao đổi, thu thập thông tin với cơ quan, tổ chức, cá nhân, chia sẻ thông tin trong nội bộ và với cơ quankhác
đ) Triển khai kiểm tra an ninh mạng đối với hệ thống thông tin; phòng, chống hành vi vi phạm pháp luật về an ninh mạng; ứng phó, khắc phục sự cố an ninh mạng.
2. Người đứng đầu cơ quan, đơn vị có trách nhiệm triển khai hoạt động bảo vệ an ninh mạng thuộc quyền quản lý.
3. Lực lượng bảo vệ an ninh mạng của UBND xã Định Hải bố trí tại bộ phận Văn phòng ThốngKê.
Chương VI
TỔ CHỨC THỰC HIỆN
Điều 21. Tổ chức triển khai Quy chế
1. Quy chế này có hiệu lực thi hành kể từ ngày ký banhành.
2. Trong quá trình thực hiện nếu có vấn đề phát sinh, vướng mắc, các đơn vị liên quan phản ánh kịp thời về Bộ phận chuyên trách để xem xét, bổ sung, sửađổi.
Điều 22. Xây dựng, rà soát, cập nhật, bổ sung Quy chế
1. Định kỳ 03 năm hoặc khi có thay đổi Quy chế bảo đảm an toàn thông tin kiểm tra lại tính phù hợp và thực hiện rà soát, cập nhật, bổ sung. Chính sách được tổ chức/ bộ phận được ủy quyền thông qua trước khi công bố ápdụng.
2. Trong quá trình thực hiện Quy chế, nếu có vấn đề vướng mắc, phát sinh, các đơn vị phản ánh kịp thời về Bộ phận chuyên trách về ATTT để tổng hợp báo cáo, điều chỉnh, bổsung.
Điều 23. Bộ phận chuyên trách về an toàn thông tin
1. Giao công chức Văn phòng Thống kê là bộ phận chuyên trách về ATTT cho hệthống.
2. Công chức bộ phận Văn phòng Thống kê chủ trì, phối hợp với các bộphậnvà đơn vị có liên quan tiến hành kiểm tra công tác bảo đảm an toàn thông tin mạng định kỳ hằng năm hoặc theo chỉ đạo của Lãnh đạo UBND xã Định Hải.
TM. UBND XÃ ĐỊNH HẢI
CHỦ TỊCH
0 bình luận
(Bấm vào đây để nhận mã)
Tin khác
Tin nóng
Xem nhiều
