Quyết định 24/2012/QĐ-UBND về Quy định đảm bảo an toàn, an ninh thông tin trong lĩnh vực ứng dụng công nghệ thông tin trong cơ quan, đơn vị quản lý hành chính nhà nước trên địa bàn tỉnh Yên Bái
Số hiệu: 24/2012/QĐ-UBND Loại văn bản: Quyết định
Nơi ban hành: Tỉnh Yên Bái Người ký: Tạ Văn Long
Ngày ban hành: 04/07/2012 Ngày hiệu lực: Đang cập nhật
Ngày công báo: Đang cập nhật Số công báo: Đang cập nhật
Lĩnh vực: Bưu chính, viễn thông, Tổ chức bộ máy nhà nước, Tình trạng: Đang cập nhập
Ngày hết hiệu lực: Đang cập nhật

ỦY BAN NHÂN DÂN
TỈNH YÊN BÁI
--------

CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM
Độc lập - Tự do - Hạnh phúc
----------------

Số: 24/2012/QĐ-UBND

Yên Bái, ngày 04 tháng 7 năm 2012

 

QUYẾT ĐỊNH

BAN HÀNH QUY ĐỊNH ĐẢM BẢO AN TOÀN, AN NINH THÔNG TIN TRONG LĨNH VỰC ỨNG DỤNG CÔNG NGHỆ THÔNG TIN TRONG CÁC CƠ QUAN, ĐƠN VỊ QUẢN LÝ HÀNH CHÍNH NHÀ NƯỚC TRÊN ĐỊA BÀN TỈNH YÊN BÁI

ỦY BAN NHÂN DÂN TỈNH YÊN BÁI

Căn cứ Luật Tổ chức Hội đồng nhân dân và Ủy ban nhân dân ngày 26 tháng 11 năm 2003;

Căn cứ Luật Ban hành văn bản quy phạm pháp luật của Hội đồng nhân dân, Ủy ban nhân dân ngày 03 tháng 12 năm 2004;

Căn cứ Luật Công nghệ thông tin ngày 29 tháng 6 năm 2006;

Căn cứ Nghị định số 63/2007/NĐ-CP ngày 10 tháng 4 năm 2007 của Chính phủ Quy định xử phạt vi phạm hành chính trong lĩnh vực công nghệ thông tin;

Căn cứ Nghị định số 64/2007/NĐ-CP ngày 10 tháng 4 năm 2007 của Chính phủ về việc ứng dụng công nghệ thông tin trong hoạt động của cơ quan nhà nước;

Căn cứ Quyết định số 1605/QĐ-TTg ngày 27 tháng 8 năm 2010 của Thủ tướng chính phủ phê duyệt chương trình quốc gia về ứng dụng công nghệ thông tin trong hoạt động của cơ quan nhà nước giai đoạn 2011-2015

Theo đề nghị của Giám đốc Sở Thông tin và Truyền thông tại Tờ trình số 05/TTr-STTTT về việc Quyết định ban hành Quy định đảm bảo an toàn, an ninh thông tin trong lĩnh vực ứng dụng công nghệ thông tin trong các cơ quan, đơn vị quản lý hành chính nhà nước trên địa bàn tỉnh Yên Bái,

QUYẾT ĐỊNH:

Điều 1. Ban hành kèm theo Quyết định này Quy định đảm bảo an toàn, an ninh thông tin trong lĩnh vực ứng dụng công nghệ thông tin trong các cơ quan, đơn vị quản lý hành chính nhà nước trên địa bàn tỉnh Yên Bái.

Điều 2. Quyết định này có hiệu lực thi hành sau 10 ngày, kể từ ngày ký ban hành.

Điều 3. Chánh Văn phòng Ủy ban nhân dân tỉnh; Giám đốc Sở Thông tin và Truyền thông; Thủ trưởng các sở, ngành; Chủ tịch Ủy ban nhân dân các huyện, thị xã, thành phố; các cơ quan, tổ chức, cá nhân có liên quan trên địa bàn tỉnh chịu trách nhiệm thi hành quyết định này./.

 

 

Nơi nhận:
- Chính phủ;
- Bộ Thông tin và Truyền thông;
- Cục Kiểm tra văn bản (Bộ Tư pháp);
- Đoàn Đại biểu Quốc hội tỉnh;
- Thường trực Tỉnh ủy;
- Thường trực Hội đồng nhân dân tỉnh;
- Chủ tịch, các PCT UBND tỉnh;
- Sở Tư pháp;
- Cổng TTĐT tỉnh;
- Phòng CNTT-CN;
- Như Điều 3;
- Lưu: VT, CN.

TM. ỦY BAN NHÂN DÂN
KT. CHỦ TỊCH
PHÓ CHỦ TỊCH




Tạ Văn Long

 

QUY ĐỊNH

ĐẢM BẢO AN TOÀN, AN NINH THÔNG TIN TRONG LĨNH VỰC ỨNG DỤNG CÔNG NGHỆ THÔNG TIN (CNTT) TRONG CÁC CƠ QUAN, ĐƠN VỊ QUẢN LÝ HÀNH CHÍNH NHÀ NƯỚC TRÊN ĐỊA BÀN TỈNH YÊN BÁI
(Ban hành kèm theo Quyết định số 24/2012/QĐ-UBND ngày 04/7/2012 của Ủy ban nhân dân tỉnh Yên Bái)

Chương I

NHỮNG QUY ĐỊNH CHUNG

Điều 1. Phạm vi điều chỉnh

1. Quy định này quy định về đảm bảo an toàn, an ninh thông tin trong lĩnh vực ứng dụng, phát triển công nghệ thông tin trong hoạt động của các cơ quan, đơn vị nhà nước trên địa bàn tỉnh Yên Bái.

2. Đối với lực lượng vũ trang (Công an, Quân sự) ngoài việc thực hiện theo quy định chung còn thực hiện theo quy định riêng của ngành trong đảm bảo an ninh thông tin, bảo mật trên môi trường mạng.

Điều 2. Đối tượng áp dụng

1. Quy định này áp dụng đối với tất cả các các sở, ngành trực thuộc Ủy Ban nhân dân tỉnh Yên Bái và Ủy ban nhân dân các huyện, thị xã, thành phố (sau đây gọi chung là các cơ quan, đơn vị) và các doanh nghiệp cung cấp dịch vụ hạ tầng mạng và dịch vụ internet.

2. Các cán bộ, công chức đang làm việc trong cơ quan nêu tại khoản 1 Điều này và những cơ quan, đơn vị, cá nhân có liên quan áp dụng Quy định này trong việc vận hành, khai thác và sử dụng hệ thống thông tin tại các cơ quan, đơn vị.

Điều 3. Mục đích đảm bảo an toàn, an ninh thông tin

1. Thực hiện nghiêm Pháp lệnh bảo vệ bí mật nhà nước, giảm thiểu, phòng, chống các nguy cơ gây sự cố mất an toàn thông tin và đảm bảo an ninh thông tin trong quá trình tham gia hoạt động trên môi trường mạng.

2. Công tác đảm bảo an ninh thông tin, bảo mật trên môi trường mạng là một trong những nhiệm vụ trọng tâm để đảm bảo thành công trong việc ứng dụng công nghệ thông tin trong các cơ quan, đơn vị.

Điều 4. Giải thích từ ngữ

1. Hệ thống thông tin: là một tập hợp và kết hợp các phần cứng, phần mềm, các hệ thống mạng truyền thông được xây dựng và sử dụng để thu thập, tạo, tái tạo, phân phối và chia sẻ các dữ liệu, thông tin, tri thức nhằm phục vụ cho các mục tiêu của tổ chức.

2. An toàn thông tin (ATTT): Bao gồm các hoạt động quản lý, nghiệp vụ và kỹ thuật đối với hệ thống thông tin, nhằm bảo vệ, khôi phục các hệ thống, các dịch vụ và nội dung thông tin đối với các nguy cơ chủ quan hoặc khách quan. Việc bảo vệ thông tin, tài sản và con người trong hệ thống thông tin nhằm bảo đảm cho các hệ thống thực hiện đúng chức năng, phục vụ đúng đối tượng một cách sẵn sàng, chính xác và tin cậy. An toàn thông tin bao hàm các nội dung bảo vệ và bảo mật thông tin, an toàn dữ liệu, an toàn máy tính và an toàn mạng.

3. An ninh thông tin: là đảm bảo thông tin được bảo mật, sẵn sàng và toàn vẹn.

4. TCVN ISO/IEC 27001:2009: Hệ thống an ninh thông tin theo tiêu chuẩn quốc gia.

Chương II

NỘI DUNG ĐẢM BẢO AN TOÀN, AN NINH THÔNG TIN

Điều 5. Quản lý vận hành trong công tác đảm bảo an toàn, an ninh thông tin.

1. Các cơ quan, đơn vị phải trang bị đầy đủ các kiến thức cơ bản về máy tính, mạng máy tính, bảo mật thông tin cho cán bộ, công chức, viên chức trước khi truy nhập và sử dụng hệ thống thông tin.

2. Các cơ quan đơn vị quản lý hành chính nhà nước phải ban hành quy định nội bộ về đảm bảo an toàn, an ninh thông tin, khi xây dựng quy định, quy trình phải tham khảo các tiêu chuẩn kỹ thuật quản lý an toàn thông tin theo quy định hiện hành (Tiêu chuẩn quốc gia TCVN ISO/IEC 27001:2009, ...) để có sự lựa chọn áp dụng phù hợp từng cơ quan, đơn vị mình. Quy định phải xác định rõ các nội dung sau:

a) Mục tiêu và phương hướng thực hiện công tác đảm bảo an toàn, an ninh cho hệ thống thông tin;

b) Nguyên tắc phân loại và quản lý mức độ ưu tiên đối với các tài nguyên của hệ thống thông tin (phần mềm, dữ liệu, trang thiết bị,…);

c) Quản lý phân quyền và quy định trách nhiệm đối với từng cá nhân khi tham gia sử dụng hệ thống thông tin;

d) Quản lý và điều hành hệ thống máy chủ, thiết bị mạng, thiết bị bảo vệ mạng một cách an toàn. Quản lý việc lưu trữ, sao chép, truyền tải những tài liệu thuộc bí mật nhà nước, sử dụng hộp thư điện tử, thiết bị tháo lắp (USB, thiết bị không dây, máy tính xách tay, …);

đ) Kiểm tra, rà soát và khắc phục sự cố an toàn, an ninh của hệ thống thông tin sử dụng các biện pháp nêu trong Điều 6 và Điều 8 của Quy định này;

e) Nguyên tắc chung sử dụng an toàn và hiệu quả đối với tất cả các cá nhân tham gia sử dụng hệ thống thông tin;

f) Báo cáo tổng hợp tình hình đảm bảo an toàn, an ninh thông tin và bảo mật hệ thống thông tin theo định kỳ;

g) Nơi tiếp nhận thông tin, xử lý các sự cố hoặc nguy cơ mất an toàn, an ninh thông tin và bảo mật hệ thống thông tin.

3. Phân công cán bộ chuyên trách về an toàn hệ thống thông tin. Đảm bảo an ninh thông tin, bảo mật trước khi tiến hành các hoạt động quản lý, vận hành hệ thống thông tin. Tạo điều kiện cho cán bộ chuyên trách có điều kiện học tập, tiếp thu công nghệ, kiến thức an toàn bảo mật thông tin.

4. Đối với cán bộ, công chức, viên chức nghỉ chế độ, chuyển công tác, nghỉ hưu hoặc chấm dứt hợp đồng thì cán bộ chuyên trách phải hủy bỏ quyền truy nhập vào hệ thống thông tin và thu hồi lại các tài liệu, hồ sơ, thông tin liên quan tới tài khoản bị hủy bỏ nhằm tránh tình trạng truy cập trái phép vào hệ thống.

Điều 6. Quản lý kỹ thuật cho công tác đảm bảo an toàn, an ninh thông tin.

1. Các cơ quan, đơn vị phải tổ chức quản lý các tài khoản của hệ thống thông tin bao gồm: tạo mới, kích hoạt, sửa đổi, vô hiệu hóa và loại bỏ các tài khoản đồng thời tổ chức kiểm tra các tài khoản của hệ thống thông tin ít nhất 02 lần/01 năm.

2. Hệ thống thông tin tại các cơ quan, đơn vị phải ghi nhận các sự kiện sau: quá trình đăng nhập hệ thống, các thao tác cấu hình hệ thống và quá trình truy xuất hệ thống. Đồng thời ghi nhận đầy đủ các thông tin trong các bản ghi nhật ký để xác định những sự kiện nào đã xảy ra, nguồn gốc và các kết quả của sự kiện để có cơ chế bảo vệ và lưu giữ nhật ký trong một khoảng thời gian ít nhất là 3 tháng.

3. Đối với hệ thống thông tin quan trọng như Cổng Thông tin điện tử, Hệ thống thư điện tử tỉnh Yên Bái nhất thiết phải áp dụng chính sách ghi lưu tập trung biên bản hoạt động cần thiết để phục vụ công tác điều tra khắc phục sự cố, thời gian lưu giữ thông tin ít nhất là 03 tháng.

4. Hệ thống thông tin phải có giải pháp để hạn chế, ngăn chặn các sự cố gây ra do tấn công từ chối dịch vụ. Đối với hệ thống thông tin cho phép truy nhập công cộng thì phải được bảo vệ bằng cách trang bị thiết bị chuyên dụng hoặc sử dụng tổng hợp các biện pháp kỹ thuật và thiết lập hệ thống dự phòng.

5. Tổ chức quản lý tài khoản, phân quyền người sử dụng theo nhóm. Quy định về quyền hạn người sử dụng, giới hạn về thời gian truy nhập vào hệ thống thông tin.

Chương III

TRÁCH NHIỆM ĐẢM BẢO AN TOÀN, AN NINH THÔNG TIN

Điều 7. Trách nhiệm của các cơ quan quản lý hành chính nhà nước.

1. Thủ trưởng các cơ quan, đơn vị chịu trách nhiệm trước Ủy ban nhân dân tỉnh trong công tác đảm bảo an toàn hệ thống thông tin của đơn vị mình, đồng thời thực hiện nghiêm túc Quy định này.

2. Khi có sự cố hoặc nguy cơ mất an toàn thông tin, kịp thời áp dụng mọi biện pháp để khắc phục và hạn chế thấp nhất mức thiệt hại có thể xảy ra, ưu tiên sử dụng lực lượng kỹ thuật an toàn thông tin của đơn vị và lập biên bản báo cáo bằng văn bản cho cơ quan cấp trên quản lý trực tiếp và Sở Thông tin và Truyền thông. Trường hợp có sự cố nghiêm trọng vượt quá khả năng khắc phục của đơn vị, phải báo cáo ngay cho cơ quan cấp trên quản lý trực tiếp và Sở Thông tin và Truyền thông để kịp thời khắc phục.

3. Có phương án dự phòng nhằm khắc phục sự cố và đảm bảo hệ thống hoạt động liên tục; 100% các ứng dụng giao dịch điện tử phải được đảm bảo về an toàn thông tin.

4. Tạo điều kiện thuận lợi cho các cơ quan chức năng tham gia khắc phục sự cố và thực hiện đúng theo hướng dẫn.

5. Quan tâm phân bổ đầu tư cần thiết để đảm bảo và tăng cường an toàn, an ninh thông tin trong hoạt động ứng dụng công nghệ thông tin của đơn vị.

6. Báo cáo định kỳ tình hình an toàn, an ninh thông tin tại các cơ quan, đơn vị, gửi về Sở Thông tin và Truyền thông trước ngày 20 tháng 12 hàng năm để tổng hợp báo cáo Ủy ban nhân dân tỉnh.

Điều 8. Trách nhiệm của cán bộ chuyên trách về công nghệ thông tin trong các cơ quan đơn vị.

1. Cán bộ chuyên trách về công nghệ thông tin (sau đây gọi tắt là cán bộ chuyên trách) chịu trách nhiệm tham mưu và vận hành an toàn hệ thống thông tin của đơn vị, tổ chức theo dõi, kiểm soát tất cả các phương pháp truy nhập từ xa (qua quay số, internet, mạng riêng ảo,…) tới hệ thống thông tin bao gồm cả sự truy nhập có chức năng đặc quyền. Hệ thống phải có quá trình kiểm tra, cho phép truy nhập từ xa và chỉ những người được phân quyền mới có quyền nhập từ xa vào hệ thống. Đồng thời tổ chức triển khai cơ chế tự động giám sát và điều khiển các truy nhập từ xa.

2. Phải thiết lập phương pháp quản lý truy nhập mạng không dây; giám sát và điều khiển truy nhập không dây; tổ chức sử dụng và mã hóa chứng thực để bảo vệ truy nhập không dây tới hệ thống thông tin

3. Cập nhật cấu hình chuẩn cho các thành phần của hệ thống khi tiến hành cài đặt, thiết lập cấu hình tối ưu cho các thiết bị an toàn thông tin của hệ thống thông tin hoạt động đạt hiệu quả nhất.

4. Thường xuyên sao lưu hệ thống thông tin và lưu trữ thông tin ở nơi an toàn. Đồng thời tổ chức kiểm tra thông tin sao lưu để đảm bảo tính sẵn sàng và toàn vẹn của thông tin.

5. Tổ chức triển khai các biện pháp phòng, chống, lây nhiễm virus, mã độc, thư rác,… trong hệ thống thông tin. Cần sử dụng thiết bị, phần mềm để phát hiện, ngăn chặn, tiêu diệt virus, mã độc hại, thư rác,… được truyền tải bởi Internet, tập tin đính kèm từ thư điện tử, thiết bị lưu trữ tháo lắp,… nhằm khai thác lỗ hổng của hệ thống thông tin. Đồng thời, cập nhật thường xuyên các phần mềm diệt virus, mã độc, thư rác,… sao cho phù hợp với quy trình quản lý cấu hình hệ thống thông tin.

6. Xây dựng cơ sở dữ liệu, thiết lập hệ thống an toàn thông tin có khả năng ngăn chặn các truy nhập bất hợp pháp và chỉ cho phép gửi/nhận các dữ liệu theo các địa chỉ hợp lệ.

7. Thường xuyên triển khai các biện pháp phòng chống rủi ro có thể xảy ra do truy cập, sử dụng trái phép; làm mất, thay đổi hoặc phá hủy hệ thống thông tin có liên quan tới hoạt động của đơn vị. Trường hợp xảy ra rủi ro cần kịp thời tổng hợp, đánh giá và báo cáo mức độ nghiêm trọng để có các biện pháp xử lý kịp thời.

Điều 9. Trách nhiệm của cán bộ công chức trong các cơ quan, đơn vị.

1. Nghiêm chỉnh chấp hành các quy định nội bộ, quy trình về an toàn thông tin của cơ quan, đơn vị cũng như các quy định khác của pháp luật, nâng cao ý thức cảnh giác và trách nhiệm đảm bảo an ninh thông tin tại đơn vị.

2. Khi phát hiện các nguy cơ mất an toàn hoặc sự cố phải báo cáo ngay cho bộ phận chuyên trách của cơ quan, đơn vị để kịp thời ngăn chặn, xử lý.

3. Tham gia các chương trình đào tạo, hội nghị về an toàn, an ninh thông tin do cơ quan cấp trên và Sở Thông tin và Truyền thông tổ chức.

Điều 10. Trách nhiệm của Sở Thông tin và Truyền thông.

1. Tham mưu Ủy ban nhân dân tỉnh về công tác đảm bảo an toàn, an ninh thông tin trên địa bàn tỉnh và chịu trách nhiệm trước Ủy ban nhân dân tỉnh trong việc đảm bảo an toàn, an ninh thông tin cho các hệ thống thông tin cấp tỉnh.

2. Chủ trì và phối hợp với các cơ quan có liên quan thành lập đoàn kiểm tra công tác đảm bảo an toàn, an ninh thông tin; xử phạt theo thẩm quyền đối với các hành vi vi phạm hành chính trong lĩnh vực công nghệ thông tin trên địa bàn tỉnh theo quy định của pháp luật.

3. Xây dựng và triển khai các chương trình đào tạo, hội nghị tuyên truyền an toàn, an ninh thông tin trong công tác quản lý nhà nước trên địa bàn tỉnh.

4. Tùy theo mức độ sự cố, phối hợp với Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam (VNCERT) và các đơn vị có liên quan hướng dẫn xử lý, ứng cứu các sự cố thông tin.

5. Hướng dẫn các cơ quan, đơn vị xây dựng quy định đảm bảo an toàn, an ninh thông tin; hướng dẫn nội dung báo cáo định kỳ để các cơ quan, đơn vị thực hiện thống nhất.

6. Sở Thông tin và Truyền thông chủ trì triển khai cơ chế điều phối và phối hợp giữa các đơn vị nhằm đảm bảo an toàn an ninh thông tin trên Internet.

7. Phối hợp với các cơ quan báo chí địa phương đẩy mạnh tuyên truyền nâng cao nhận thức về an toàn an ninh thông tin trên mạng internet.

Điều 11. Trách nhiệm của các doanh nghiệp cung cấp hạ tầng mạng và dịch vụ internet.

Các doanh nghiệp cung cấp hạ tầng mạng viễn thông và dịch vụ internet phải thiết lập đầu mối liên lạc để phối hợp và tuân thủ việc điều phối của cơ quan chức năng và tham gia vào công tác ứng cứu, khắc phục sự cố cho hệ thống thông tin quan trọng của tỉnh.

Điều 12. Trách nhiệm trong công tác kiểm tra đảm bảo an toàn, an ninh thông tin.

1. Sở Thông tin và Truyền thông chủ trì, phối hợp với Công an tỉnh và các đơn vị có liên quan tiến hành kiểm tra công tác đảm bảo an toàn, an ninh thông tin định kỳ hàng năm đối với các cơ quan, đơn vị trên địa bàn tỉnh.

2. Công an tỉnh cử cán bộ phối hợp, tham gia đoàn kiểm tra, đánh giá công tác đảm bảo an toàn, an ninh thông tin trong các cơ quan, đơn vị; điều tra và xử lý các trường hợp vi phạm các quy định về an toàn, an ninh thông tin theo thẩm quyền.

3. Các cơ quan liên quan được mời tham gia đoàn kiểm tra: Cử cán bộ có chuyên môn về công nghệ thông tin tham gia đoàn kiểm tra do Sở Thông tin và Truyền thông tổ chức; phối hợp với đoàn kiểm tra xây dựng các tiêu chí và quy trình kỹ thuật kiểm tra công tác đảm bảo an toàn, an ninh thông tin.

4. Các cơ quan nhà nước có thẩm quyền tiến hành kiểm tra các cơ quan, đơn vị khi phát hiện có dấu hiệu vi phạm pháp luật về an toàn, an ninh thông tin trong hệ thống thông tin theo đúng quy định của pháp luật.

Chương IV

ĐIỀU KHOẢN THI HÀNH

Điều 13. Tổ chức thực hiện

1. Sở thông tin và Truyền thông chủ trì phối hợp với các sở, ngành, Ủy ban nhân dân các huyện, thị xã, thành phố và các cơ quan, đơn vị có liên quan triển khai thực hiện Quy định này.

2. Trong quá trình thực hiện, nếu có khó khăn vướng mắc, các cơ quan, đơn vị kịp thời báo cáo về Sở Thông tin và Truyền thông để tổng hợp, trình Ủy ban nhân tỉnh xem xét, bổ sung, sửa đổi./.