Quyết định 2409/QĐ-UBND năm 2014 phê duyệt Đề án Xây dựng và áp dụng hệ thống quản lý an toàn thông tin theo TCVN ISO/IEC 27001:2009 tại Trung tâm Thông tin dữ liệu điện tử - Sở Thông tin và Truyền thông và Trung tâm Tin học hành chính - Văn phòng Ủy ban nhân dân tỉnh Thừa Thiên Huế

Số hiệu:	2409/QĐ-UBND	Loại văn bản:	Quyết định
Nơi ban hành:	Tỉnh Thừa Thiên Huế	Người ký:	Phan Ngọc Thọ
Ngày ban hành:	13/11/2014	Ngày hiệu lực:	Đang cập nhật
Ngày công báo:	Đang cập nhật	Số công báo:	Đang cập nhật
Lĩnh vực:	Khoa học, công nghệ, Bưu chính, viễn thông,	Tình trạng:	Đang cập nhập
		Ngày hết hiệu lực:	Đang cập nhật

ỦY BAN NHÂN DÂN TỈNH THỪA THIÊN HUẾ -------	CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM Độc lập - Tự do - Hạnh phúc ---------------
Số: 2409/QĐ-UBND	Thừa Thiên Huế, ngày 13 tháng 11 năm 2014

QUYẾT ĐỊNH

PHÊ DUYỆT ĐỀ ÁN XÂY DỰNG VÀ ÁP DỤNG HỆ THỐNG QUẢN LÝ AN TOÀN THÔNG TIN THEO TIÊU CHUẨN TCVN ISO/IEC 27001:2009 TẠI TRUNG TÂM THÔNG TIN DỮ LIỆU - SỞ THÔNG TIN VÀ TRUYỀN THÔNG VÀ TRUNG TÂM TIN HỌC HÀNH CHÍNH - VĂN PHÒNG UBND TỈNH

ỦY BAN NHÂN DÂN TỈNH

Căn cứ Luật Tổ chức Hội đồng nhân dân và Ủy ban nhân dân ngày 26 tháng 11 năm 2003;

Căn cứ Luật Công nghệ thông tin số 67/2006/QH11 ngày 29/06/2006;

Căn cứ Nghị định 64/2007/NĐ-CP ngày 10/4/2007 của Chính phủ về việc ứng dụng công nghệ thông tin trong hoạt động của cơ quan nhà nước;

Căn cứ Nghị định số 102/2009/NĐ-CP ngày 06/11/2009 của Chính phủ về Quản lý đầu tư ứng dụng công nghệ thông tin sử dụng nguồn vốn ngân sách nhà nước;

Căn cứ Quyết định số 246/2005/QĐ-TTg ngày 06/10/2005 của Thủ tướng Chính phủ phê duyệt Chiến lược phát triển công nghệ thông tin và truyền thông Việt Nam đến năm 2010 và định hướng đến năm 2020;

Căn cứ Quyết định số 1419/QĐ-UBND ngày 10/6/2007 của UBND tỉnh Thừa Thiên Huế về việc phê duyệt Quy hoạch phát triển công nghệ thông tin tỉnh Thừa Thiên Huế đến năm 2020;

Căn cứ Kế hoạch 53/KH-UBND ngày 13/7/2011 của UBND tỉnh Thừa Thiên Huế về Xây dựng Thừa Thiên Huế thành tỉnh mạnh về Công nghệ thông tin - Truyền thông;

Căn cứ Chỉ thị số 897/CT-TTg ngày 10/6/2011 của Thủ tướng Chính phủ về việc tăng cường triển khai các hoạt động đảm bảo an loàn thông tin số;

Căn cứ Chỉ thị số 17/CT-UBND ngày 06/5/2014 của UBND Tỉnh Thừa Thiên Huế về tăng cường công tác đảm bảo an toàn thông tin mạng trên địa bàn tỉnh Thừa Thiên Huế;

Xét đề nghị của Giám đốc Sở Thông tin và Truyền Thông tại Tờ trình số 752/TTr-STTTT ngày 22 tháng 10 năm 2014,

QUYẾT ĐỊNH:

Điều 1. Phê duyệt Đề án “Xây dựng và áp dụng hệ thống quản lý an toàn thông tin theo tiêu chuẩn TCVN ISO/IEC 27001:2009 tại Trung tâm Thông tin dữ liệu điện tử - Sở Thông tin và Truyền thông và Trung tâm Tin học hành chính - Văn phòng UBND tỉnh” (gọi tắt là Đề án) với những nội dung chủ yếu sau:

I. MỤC TIÊU

Triển khai và áp dụng thành công hệ thống an toàn thông tin theo tiêu chuẩn ISO/IEC 27001:2005 tại Trung tâm Thông tin dữ liệu điện tử - Sở Thông tin và Truyền thông và Trung tâm Tin học hành chính - Văn phòng UBND tỉnh đạt chứng chỉ của tổ chức chứng nhận được công nhận bởi UKAS thông qua việc vận hành thành công hệ thống quản lý an toàn thông tin phù hợp với tiêu chuẩn ISO/IEC 27001:2013, các mục tiêu sẽ đạt được bao gồm:

- Đảm bảo tính bảo mật, tính toàn vẹn, tính sẵn sàng của các tài sản thông tin số.

- Nâng cao nhận thức của toàn thể thành viên trong hai Trung tâm về an toàn thông tin, từ đó, có những chính sách điều hành phù hợp nhằm đảm bảo an ninh thông tin trong hệ thống.

- Đảm bảo hệ thống được theo dõi, vận hành đáng tin cậy, các sự cố nếu xuất hiện sẽ được phát hiện sớm và khắc phục kịp thời.

- Giảm thiểu tác động của các rủi ro, chi phí bảo trì và vận hành hệ thống.

- Tạo niềm tin cho các cơ quan nhà nước và khách hàng.

- Tạo được khung cho các hoạt động tổ chức một cách có hệ thống về an toàn thông tin số.

- Cấp độ tổ chức: sự cam kết.

- Cấp độ pháp luật: sự tuân thủ.

- Cấp độ điều hành: quản lý rủi ro.

- Cấp độ thương mại: sự tín nhiệm và tin cậy.

- Cấp độ tài chính: tiết kiệm chi phí.

- Cấp độ con người: cải tiến nhận thức cán bộ, viên chức.

- Nhận biết được tất cả mối nguy về an toàn thông tin.

- Là cơ sở cho các hoạt động cải tiến hệ thống an toàn thông tin.

- Các bên quan tâm tin tưởng hơn trong việc quan hệ và cung cấp các dịch vụ của đơn vị khi có chứng nhận.

II. NỘI DUNG VÀ GIẢI PHÁP THỰC HIỆN

1. Nội dung:

- Khảo sát phân tích hiện trạng và lập kế hoạch thực hiện.

- Thiết kế hệ thống.

- Triển khai và áp dụng đánh giá nội bộ.

- Đánh giá chứng nhận.

2. Giải pháp thực hiện:

- Lựa chọn đơn vị tư vấn đủ năng lực để tư vấn cho Trung tâm Thông tin dữ liệu điện tử và Trung tâm Tin học hành chính xây dựng và áp dụng hệ thống quản lý an ninh thông tin theo tiêu chuẩn ISO 27001 : 2009.

- Lựa chọn nhân sự tham gia xây dựng và áp dụng ISO 27001: do hệ thống quản lý theo tiêu chuẩn ISO 27001 liên quan đến các phạm vi, gồm:

+ Chính sách an ninh;

+ An ninh tổ chức;

+ Quản lý tài sản;

+ An ninh nguồn nhân lực;

+ An ninh vật lý và môi trường;

+ Quản lý vận hành và truyền thông;

+ Kiểm soát truy cập;

+ Tiếp nhận, phát triển và duy trì hệ thống thông tin;

+ Quản lý sự cố, sự tuân thủ.

Mỗi lĩnh vực lại có thể liên quan đến một hay nhiều bộ phận của các Trung tâm nên cần phải lựa chọn nhân sự tham gia xây dựng và triển khai là điều quan trọng để tiếp tục duy trì và vận hành sau này.

III. LỢI ÍCH MANG LẠI

1. Lợi ích trực tiếp

- Giảm thiểu chi phí sửa chữa, bảo trì thiết bị và vận hành hệ thống: quá trình áp dụng sẽ áp các chính sách để kiểm soát việc vận hành tránh được việc tự các đặt các phần mềm không rõ nguồn gốc có thể dẫn đến lỗi phần mềm, hệ điều hành mất thời gian bảo trì, cài đặt lại...

- Các quá trình được tối ưu hóa, được quản lý và kiểm soát một cách có hệ thống: khi xây dựng hệ thống quản lý theo tiêu chuẩn này, các Trung tâm có điều kiện rà soát và tối ưu hóa các quá trình vận hành và tác nghiệp, giúp cán bộ quản lý được chuỗi các quá trình từ đó nâng cao nghiệp vụ quản lý và điều hành.

- Phát hiện được các lỗ hổng của hệ thống thông qua quá trình phân tích và đánh giá rủi ro.

- Phát hiện trước được các nguy cơ có thể xảy ra gây thất thoát, tổn thất cho đơn vị: quá trình này phối hợp với việc phát hiện lỗ hổng ở trên sẽ đánh giá và nhận biết các rủi ro có thể có đối với tài sản thông tin của đơn vị từ đó đề xuất biện pháp kiểm soát thích hợp.

- Đảm bảo duy trì được tính liên tục trong hoạt động chính: từ việc phân tích hệ thống và đánh giá rủi ro, nhiều hoạt động có thể có những nguy cơ gây gián đoạn như: cháy nổ, mất tài liệu, hư hỏng server, bị nhiễm virus, ... do đó đơn vị xây dựng biện pháp nhằm giảm thiểu những vấn đề trên và đảm bảo hoạt động liên tục 24/7.

- Tài sản thông tin của doanh nghiệp được bảo vệ.

- Hệ thống quản lý cũng cung cấp cho đơn vị phương pháp giải quyết các vấn đề an toàn thông tin khi gặp phải, đảm bảo giải quyết nhanh chóng, hiệu quả.

- Tăng sự tin cậy và nhận thức của các bên quan tâm: hệ thống được một bên thứ ba độc lập đánh giá và cấp giấy chứng nhận là một bằng chứng khách quan để tạo lòng tin cho các bên quan tâm.

- Tăng lợi thế, nâng cao uy tín trong cạnh tranh, đấu thầu: hiện nay rất nhiều đơn vị khi mời thầu có đưa vào nội dung doanh nghiệp dự thầu đã xây dựng và áp dụng ISMS và đã đạt chứng chỉ ISO/IEC 27001 do một tổ chức chứng nhận được quốc tế công nhận.

- Việc áp dụng và cải tiến liên tục các quá trình sẽ giúp cho đội ngũ IT làm việc bài bản hơn, khoa học hơn và ứng phó được với các tình huống khẩn cấp.

- Chứng minh được quản lý chuyên nghiệp và ứng phó tốt khi xảy ra sự cố, thảm họa.

- Chứng minh đáp ứng yêu cầu tiêu chuẩn, tuân thủ yêu cầu pháp luật.

2. Lợi ích gián tiếp

- Việc áp dụng các biện pháp kiểm soát sẽ càng ngày càng được cải thiện và bổ sung do nhận thức trong hệ thống này cũng ngày một rõ hơn và lớn lên theo thời gian.

- Với các quá trình được xây dựng thành văn bản, sẽ tạo ra sự minh bạch, rõ ràng trong cách thức và trình tự thực hiện cũng như là trách nhiệm và quyền hạn được định rõ, từ đó các cá nhân tự giác thực hiện các công việc được giao và cũng là cơ sở để xử lý các hành vi vi phạm do vô tình hay cố ý.

- Các kế hoạch và công tác quản lý được cải tiến liên tục.

- Giấy chứng nhận cho hệ thống phù hợp với ISO/IEC 27001 là cơ sở tăng cường niềm tin cho các cơ quan, đơn vị và đối tác là một trong những công cụ cạnh tranh trong ngành.

- Góp phần đảm bảo an toàn an ninh thông tin trong ngành theo định hướng của Chính phủ.

IV. KINH PHÍ THỰC HIỆN

1. Kinh phí dự kiến thực hiện:

- Nguồn kinh phí: Ngân sách tỉnh.

- Tổng mức kinh phí thực hiện tạm tính: 297.000.000 đồng (Hai trăm chín mươi bảy triệu đồng). Giao Sở Thông tin và Truyền thông lập dự toán, gửi Sở Tài chính thẩm định trình UBND tỉnh phê duyệt.

2. Thời gian thực hiện:

Từ năm 2014 đến năm 2015.

V. TỔ CHỨC THỰC HIỆN:

1. Sở Thông tin và Truyền Thông: chủ trì, phối hợp các cơ quan liên quan theo dõi việc triển khai thực hiện Đề án, định kỳ hàng tháng tổng hợp báo cáo kết quả thực hiện cho UBND tỉnh; đảm bảo việc thực hiện Đề án theo đúng lộ trình xây dựng và áp dụng chứng nhận ISO 27001.

2. Trung tâm Thông tin dữ liệu điện tử, Trung tâm Tin học hành chính phối hợp với đơn vị triển khai để đảm bảo hai Trung tâm tâm xây dựng và áp dụng hệ thống quản lý an toàn thông tin theo tiêu chuẩn TCVN ISO/IEC 27001:2009.

3. Sở tài chính bố trí kinh phí để đảm bảo cho các đơn vị triển khai Đề án đúng tiến độ và đạt hiệu quả.

4. Văn phòng UBND tỉnh chủ trì theo dõi, đôn đốc các đơn vị liên quan trong quá trình triển khai thực hiện Đề án, kịp thời tham mưu UBND tỉnh chỉ đạo thực hiện, kiểm tra, giám sát, giải quyết các vướng mắc phát sinh.

Điều 2. Quyết định này có hiệu lực kể từ ngày ký.

Điều 3. Chánh Văn phòng UBND tỉnh; Giám đốc Sở Thông tin và Truyền Thông, Sở Tài chính; Thủ trưởng các cơ quan liên quan chịu trách nhiệm thi hành Quyết định này./.

Nơi nhận:
- Như Điều 3;
- CT và các PCT UBND tỉnh;
- TT.EDIC - Sở TTTT;
- TT.THHC-VPUBND tỉnh;
- VP: CVP, P.CVP Đ.N.Tân;
- Lưu: VT, DL

TM. ỦY BAN NHÂN DÂN
KT. CHỦ TỊCH
PHÓ CHỦ TỊCH

Phan Ngọc Thọ