Quyết định 299/QĐ-BTP năm 2014 về Quy chế Quản lý, vận hành, khai thác, sử dụng và đảm bảo an toàn thông tin hệ thống mạng máy tính
Số hiệu: 299/QĐ-BTP Loại văn bản: Quyết định
Nơi ban hành: Bộ Tư pháp Người ký: Hà Hùng Cường
Ngày ban hành: 08/02/2014 Ngày hiệu lực: Đang cập nhật
Ngày công báo: Đang cập nhật Số công báo: Đang cập nhật
Lĩnh vực: Bưu chính, viễn thông, Tình trạng: Đang cập nhập
Ngày hết hiệu lực: Đang cập nhật

BỘ TƯ PHÁP
--------

CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM
Độc lập - Tự do - Hạnh phúc
---------------

Số: 299/QĐ-BTP

Hà Nội, ngày 08 tháng 2 năm 2014

 

QUYẾT ĐỊNH

BAN HÀNH QUY CHẾ QUẢN LÝ, VẬN HÀNH, KHAI THÁC, SỬ DỤNG VÀ ĐẢM BẢO AN TOÀN THÔNG TIN HỆ THỐNG MẠNG MÁY TÍNH CỦA BỘ TƯ PHÁP

BỘ TRƯỞNG BỘ TƯ PHÁP

Căn cứ Nghị định 64/2007/NĐ-CP ngày 10 tháng 4 năm 2007 của Chính phủ về việc ứng dụng Công nghệ thông tin trong hoạt động cơ quan nhà nước;

Căn cứ Nghị định số 22/2013/NĐ-CP ngày 13 tháng 3 năm 2013 của Chính phủ quy định chức năng, nhiệm vụ, quyền hạn và cơ cấu tổ chức của Bộ Tư pháp;

Căn cứ Quyết định số 1605/2010/QĐ-TTg ngày 27 tháng 8 năm 2010 của Thủ tướng Chính phủ Phê duyệt Chương trình quốc gia về ứng dụng công nghệ thông tin trong hoạt động của cơ quan nhà nước giai đoạn 2011 – 2015;

Căn cứ Chỉ thị số 897/CT-TTg ngày 10 tháng 06 năm 2011 của Thủ tướng Chính phủ về việc tăng cường triển khai các hoạt động đảm bảo an toàn thông tin số;

Căn cứ Quyết định số 2889/QĐ-BTP ngày 17 tháng 12 năm 2010 của Bộ trưởng Bộ Tư pháp phê duyệt Kế hoạch Ứng dụng công nghệ thông tin trong hoạt động của Ngành Tư pháp giai đoạn 2011 - 2015;

Xét đề nghị của Cục trưởng Cục Công nghệ thông tin,

QUYẾT ĐỊNH:

Điều 1. Ban hành kèm theo Quyết định này Quy chế Quản lý, vận hành, khai thác, sử dụng và đảm bảo an toàn thông tin hệ thống mạng máy tính của Bộ Tư pháp.

Điều 2. Quyết định này có hiệu lực thi hành kể từ ngày ký.

Điều 3. Chánh văn phòng Bộ, Cục trưởng Cục Công nghệ thông tin, Thủ trưởng các đơn vị thuộc Bộ chịu trách nhiệm thi hành Quyết định này./.

 

 

Nơi nhận:
- Như Điều 3;
- Các Thứ trưởng;
- Cổng Thông tin điện tử Bộ Tư pháp;
- Lưu: VT, CNTT.

BỘ TRƯỞNG




Hà Hùng Cường

 

QUY CHẾ

QUẢN LÝ, VẬN HÀNH, KHAI THÁC, SỬ DỤNG VÀ ĐẢM BẢO AN TOÀN THÔNG TIN HỆ THỐNG MẠNG MÁY TÍNH CỦA BỘ TƯ PHÁP
(Ban hành kèm theo Quyết định số 299/QĐ-BTP ngày 08 tháng 02 năm 2014 của Bộ trưởng Bộ Tư pháp)

Chương I

NHỮNG QUY ĐỊNH CHUNG

Điều 1. Phạm vi điều chỉnh và đối tượng áp dụng

Quy chế này quy định về việc quản lý, vận hành, khai thác, sử dụng và đảm bảo an toàn thông tin hệ thống mạng máy tính của Bộ Tư pháp.

Quy chế này được áp dụng đối với các đơn vị, cán bộ, công chức, viên chức và người lao động của các đơn vị thuộc Bộ Tư pháp (sau đây gọi là các đơn vị và cá nhân) và cơ quan, tổ chức, cá nhân có liên quan trong việc quản lý, vận hành, khai thác, sử dụng và bảo vệ hệ thống mạng máy tính của Bộ Tư pháp.

Điều 2. Hệ thống mạng máy tính của Bộ Tư pháp

Hệ thống mạng máy tính của Bộ Tư pháp là mạng riêng, bao gồm: mạng nội bộ tại Bộ Tư pháp, mạng riêng ảo và mạng nội bộ tại các đơn vị.

Trung tâm hệ thống mạng máy tính đặt tại Trung tâm dữ liệu điện tử của Bộ Tư pháp do Cục Công nghệ thông tin quản lý.

Hệ thống mạng máy tính của Bộ Tư pháp được sử dụng để phục vụ cho công tác quản lý, chỉ đạo, điều hành, các công tác chuyên môn nghiệp vụ, phối hợp công tác trong ngành Tư pháp.

Điều 3. Giải thích thuật ngữ

Trong Quy chế này, các thuật ngữ dưới đây được hiểu như sau:

1. Mạng nội bộ (LAN - Local Area Network): là một hệ thống mạng bao gồm các máy tính và các thiết bị ngoại vi được liên kết với nhau. Người sử dụng mạng nội bộ có thể chia sẻ tài nguyên như thông tin, dữ liệu, các phần mềm dùng chung, các ứng dụng chuyên ngành, các công cụ tiện ích và các thiết bị ngoại vi.

2. Cơ sở dữ liệu (Database): là một hệ thống các thông tin có cấu trúc được lưu trữ trên các thiết bị lưu trữ thông tin thứ cấp (như băng từ, đĩa từ...) để có thể thỏa mãn yêu cầu khai thác thông tin đồng thời của nhiều người sử dụng hay nhiều chương trình ứng dụng với nhiều mục đích khác nhau.

3. Tài khoản (Account): là đại diện cho đơn vị, cá nhân trên mạng, bao gồm tên tài khoản và mật khẩu dùng để truy cập. Sau khi đã đăng nhập vào mạng, cá nhân có quyền khai thác và sử dụng các tài nguyên của mạng tuỳ thuộc vào quyền truy cập được cấp cho tài khoản cho đến khi rời khỏi mạng. Cơ sở dữ liệu tài khoản được tổ chức, quản lý bởi quản trị hệ thống.

4. Thông số mạng: là các tập hợp các tham số kỹ thuật do Cục Công nghệ thông tin thiết lập nhằm đảm bảo sự thống nhất trong việc sử dụng và quản lý các tài nguyên trên hệ thống mạng máy tính của Bộ Tư pháp.

5. Mạng riêng ảo của Bộ Tư pháp (VPN - Virtual Private Network) : là một mạng dành riêng để kết nối các máy tính bên ngoài trụ sở Bộ vào mạng nội bộ thông qua Internet. Với VPN, tất cả kết nối giữa các máy tính đều được mã hóa và có độ an toàn cao, cá nhân có thể thiết lập kết nối từ xa để sử dụng các dịch vụ, ứng dụng như đang trong mạng nội bộ của Bộ Tư Pháp.

6. “Đảm bảo an toàn thông tin” là đảm bảo tính bí mật, tính toàn vẹn, tính chống chối bỏ và tính sẵn sàng của thông tin, trong đó:

- Tính bí mật: Bảo đảm thông tin chỉ có thể được truy cập bởi những người có thẩm quyền đối với thông tin.

- Tính toàn vẹn: thông tin không bị sửa đổi làm sai lệch nội dung.

- Tính chống chối bỏ: các cá nhân tham gia vào hệ thống mạng, sử dụng các ứng dụng của Bộ Tư pháp không thể chối bỏ các hoạt động đã thực hiện. Tính chống chối bỏ cung cấp các bằng chứng chống lại việc chối bỏ một hành động đã thực hiện hay đã diễn ra.

- Tính sẵn sàng: Bảo đảm những người được cấp quyền có thể truy cập sử dụng thông tin ngay khi có nhu cầu.

7. Virus: virus là một loại đoạn chương trình, mã độc hại có khả năng tự nhân bản và lây nhiễm chính nó vào các file, chương trình hoặc máy tính.

8. “Mật khẩu phức tạp”: là mật khẩu đáp ứng yêu cầu sau:

- Có tối thiểu 8 ký tự.

- Gồm tối thiểu 3 trong số 4 loại ký tự sau: chữ cái viết hoa (A-Z), chữ cái viết thường (a-z), chữ số (0-9), các ký tự đặc biệt trên bàn phím máy tính (~, !, @ …)

Chương II

QUẢN LÝ, VẬN HÀNH, KHAI THÁC, SỬ DỤNG HỆ THỐNG MẠNG MÁY TÍNH CỦA BỘ TƯ PHÁP

Điều 4. Trách nhiệm quản lý và vận hành hệ thống mạng máy tính của Bộ Tư pháp

1. Cục Công nghệ thông tin Bộ Tư pháp giúp Bộ trưởng thực hiện nhiệm vụ quản lý và vận hành hệ thống mạng máy tính của Bộ Tư pháp có trách nhiệm sau:

a. Quản lý vận hành và hỗ trợ kỹ thuật cho các đơn vị và cá nhân khai thác tài nguyên trên hệ thống mạng máy tính của Bộ Tư pháp có hiệu quả và đảm bảo an toàn thông tin.

b. Quản lý hệ thống mạng máy tính theo tiêu chuẩn kỹ thuật về dữ liệu và thiết lập thông số mạng phù hợp với các quy định của cơ quan có thẩm quyền ban hành về hệ thống mạng máy tính.

2. Các đơn vị thuộc Bộ, tổ chức và cá nhân có liên quan có trách nhiệm quản lý các trang thiết bị, dữ liệu trên máy tính của đơn vị, cá nhân và khai thác, sử dụng thông tin trên hệ thống mạng máy tính của Bộ Tư pháp phục vụ yêu cầu công tác theo các quy định tại quy chế này.

Điều 5. Khai thác, sử dụng hệ thống mạng máy tính của Bộ Tư pháp

1. Cục Công nghệ thông tin áp dụng các biện pháp cần thiết để đảm bảo hoạt động kết nối Internet của cá nhân tại đơn vị được an toàn và thông suốt.

2. Các đơn vị khi có nhu cầu kết nối vào hệ thống mạng máy tính của Bộ Tư pháp có trách nhiệm thông báo bằng công văn cho Cục Công nghệ thông tin để phối hợp thực hiện việc kết nối vào mạng máy tính của Bộ.

3. Các đơn vị và cá nhân tham gia vào hệ thống mạng máy tính không được tự ý thay đổi những thông số mạng hay tự ý đưa các thiết bị mạng khác tham gia vào hệ thống mạng nội bộ.

4. Các cơ quan bên ngoài khi có kết nối trực tiếp vào mạng nội bộ của Bộ Tư pháp phải được sự đồng ý của Bộ Tư pháp và tuân theo các quy định, các tiêu chuẩn kỹ thuật phù hợp với hệ thống mạng của Bộ Tư pháp.

5. Các đơn vị và cá nhân sẽ được cấp tài khoản người dùng để truy cập vào hệ thống mạng máy tính của Bộ Tư pháp; khi đã đăng nhập vào mạng cá nhân có quyền khai thác cơ sở dữ liệu và sử dụng các tài nguyên của mạng theo quy định của Bộ.

6. Các cá nhân không được sử dụng hệ thống mạng máy tính của Bộ Tư pháp để khai thác, lưu trữ các dữ liệu, thông tin như các trò chơi, các chương trình giải trí không lành mạnh, có nội dung xấu, không phục vụ công việc.

7. Các cá nhân không tự ý sử dụng các trang thiết bị mạng và viễn thông để kết nối vào hệ thống mạng Bộ Tư pháp.

Điều 6. Phần mềm, ứng dụng trong hệ thống mạng máy tính Bộ Tư pháp

1. Các phần mềm, ứng dụng khi vận hành trong hệ thống mạng máy tính của Bộ Tư pháp tối thiểu phải đáp ứng những yêu cầu sau:

a. Phải được kiểm tra, thử nghiệm đáp ứng tiêu chuẩn an toàn thông tin trước khi đưa vào sử dụng trong hệ thống mạng máy tính của Bộ Tư pháp.

b. Việc sử dụng, trang bị phần mềm hệ thống, phần mềm tiện ích và ứng dụng công nghệ thông tin phải tuân thủ theo Luật bản quyền.

c. Đảm bảo tính toàn vẹn của dữ liệu khi lưu chuyển trong hệ thống mạng Bộ Tư pháp.

2. Cục Công nghệ thông tin có trách nhiệm xây dựng quy trình hoạt động, thử nghiệm, trực tiếp cài đặt, quản lý và vận hành phần mềm hệ thống, phần mềm tiện ích và ứng dụng công nghệ thông tin trong hệ thống mạng máy tính của Bộ Tư pháp; nghiên cứu, đề xuất, nâng cấp công nghệ phần mềm theo định hướng quản lý nhà nước của ngành Tư pháp và tuân theo quy định của pháp luật.

Thực hiện kiểm tra thường xuyên nhằm phát hiện và khắc phục lỗ hổng bảo mật của phần mềm, ứng dụng; cập nhật các bản nâng cấp mới và các bản vá lỗi cho phần mềm hệ thống.

3. Các đơn vị và cá nhân không được tự ý cài đặt các phần mềm, ứng dụng vào hệ thống mạng máy tính của Bộ Tư pháp, không được tự ý làm thay đổi các thông số của các thiết bị trong hệ thống mạng máy tính. Trong trường hợp các đơn vị, cá nhân có nhu cầu cài đặt mới, thay đổi, gỡ bỏ,.. các phần mềm, ứng dụng để phục vụ hoạt động chuyên môn của đơn vị thì phải phối hợp cho Cục Công nghệ thông tin để thực hiện nhằm đảm bảo an toàn thông tin chung.

Điều 7. Quản trị hệ thống mạng

Cục Công nghệ thông tin khi thực hiện nhiệm vụ quản trị hệ thống mạng máy tính của Bộ Tư pháp có trách nhiệm sau:

1. Quản lý, vận hành, nâng cấp, bảo trì, sửa chữa và giám sát hệ thống mạng máy tính của Bộ; phát hiện các hành vi sử dụng mạng không hợp lệ; xử lý các lỗi kỹ thuật; ngăn ngừa các sự cố trên mạng để đảm bảo tính an toàn, tính tin cậy và đảm bảo sự vận hành thông suốt hệ thống mạng máy tính của Bộ Tư pháp.

2. Thực hiện việc sao lưu dữ liệu theo kế hoạch.

3. Ghi nhật ký ca trực và thực hiện báo cáo định kỳ hoặc đột xuất khi có sự cố cho Thủ trưởng đơn vị để phối hợp xử lý.

4. Cấp địa chỉ mạng (IP address) và thông số mạng cho các đơn vị và cá nhân tham gia hệ thống mạng máy tính của Bộ Tư pháp.

5. Lọc bỏ, chặn truy cập hoặc hạn chế truy cập các trang tin, ứng dụng có nghi ngờ chứa mã độc hoặc các nội dung không phù hợp phục vụ công việc.

6. Thông báo, tạm ngừng cung cấp dịch vụ; trong trường hợp nghiêm trọng có thể thu hồi tài nguyên mạng và báo cáo các cấp có thẩm quyền để xử lý đối với các đơn vị và cá nhân vi phạm các nguyên tắc quản lý và khai thác tài nguyên hệ thống mạng máy tính của Bộ Tư pháp.

7. Đào tạo cán bộ quản lý, triển khai, vận hành hệ thống công nghệ thông tin có kiến thức chuyên môn, nghiệp vụ về công nghệ thông tin đáp ứng yêu cầu.

8. Phối hợp với các đơn vị có thẩm quyền như : Bộ Công an, Ban Cơ yếu chính phủ, Trung tâm ứng cứu khẩn cấp máy tính Việt Nam (VN-CERT) và các đơn vị khác có liên quan để thường xuyên theo dõi và phối hợp ngăn ngừa nguy cơ tấn công mạng đảm bảo an toàn thông tin.

9. Có biện pháp dự phòng về thiết bị, phần mềm đối với các hệ thống mạng và ứng dụng, để đảm bảo sự hoạt động liên tục của hệ thống.

10. Cần cập nhật bản vá hệ điều hành, mẫu phòng diệt virus, các mẫu lỗ hổng bảo mật, mẫu tấn công,... đối với máy chủ và thiết bị tin học, chỉ thiết lập kết nối Internet cho các máy chủ hoặc thiết bị cần phải có giao tiếp ra Internet (các máy chủ, thiết bị cung cấp giao diện ra Internet như trang Cổng thông tin điện tử, các dịch vụ công, thư điện tử…).

Điều 8. Quản lý, sử dụng thiết bị tin học

1. Trang thiết bị tin học được trang bị tại các tòa nhà, đơn vị và các thiết bị tin học được trang bị cho cá nhân là tài sản Nhà nước, được quản lý, sử dụng theo quy định của pháp luật về quản lý tài sản Nhà nước.

2. Các đơn vị và cá nhân có trách nhiệm quản lý trang thiết bị tin học được giao, tự bảo quản dữ liệu trên máy. Trong quá trình sử dụng các trang thiết bị tin học, nếu có sự cố xảy ra, các đơn vị, cá nhân, có trách nhiệm phối hợp với Cục Công nghệ thông tin để tìm biện pháp khắc phục sự cố.

3. Các trang thiết bị tin học do các đơn vị tự mua sắm phải theo hướng dẫn của Cục Công nghệ thông tin để đảm bảo tiêu chuẩn kỹ thuật trong việc sử dụng và tham gia kết nối và khai thác hệ thống thông tin của Bộ.

4. Các đơn vị và cá nhân sử dụng thiết bị đã kết nối với hệ thống mạng máy tính của Bộ không được tự ý bỏ kết nối, thay đổi các thông số đã được cài đặt của các thiết bị.

Chương III

ĐẢM BẢO AN TOÀN THÔNG TIN

Điều 9. Đảm bảo an toàn thiết bị

1. Trung tâm dữ liệu điện tử bao gồm khu vực chứa máy chủ và thiết bị lưu trữ, các tủ mạng và đấu nối mạng tới các tòa nhà, thiết bị nguồn điện và dự phòng điện khẩn cấp, phòng vận hành, kiểm soát (quản trị) hệ thống phải được kiểm soát truy cập vật lý để phòng tránh truy cập trái phép hoặc sai mục đích. Cục Công nghệ thông tin xây dựng nội quy hướng dẫn làm việc trong Trung tâm dữ liệu điện tử.

2. Các cá nhân sử dụng các thiết bị lưu trữ dữ liệu di động (máy tính xách tay, thiết bị số cầm tay, thẻ nhớ USB, ổ cứng ngoài, băng từ...) để lưu thông tin có trách nhiệm bảo vệ các thiết bị này và thông tin lưu trên thiết bị, tránh làm mất, lộ thông tin; không mang ra nước ngoài thông tin của cơ quan, Nhà nước không liên quan tới nội dung công việc thực hiện ở nước ngoài. Nghiêm cấm sử dụng thiết bị do cá nhân tự trang bị để lưu giữ bí mật Nhà nước.

3. Các thiết bị lưu trữ không sử dụng tiếp cho công việc của đơn vị (thanh lý, cho, tặng) phải được xóa nội dung bằng phần mềm hoặc bằng thiết bị hủy dữ liệu chuyên dụng hay phá hủy vật lý.

Điều 10. Đảm bảo an toàn dữ liệu

1. Phân loại thông tin: Tiến hành phân loại thông tin, dữ liệu theo mức độ quan trọng, giá trị của thông tin đối với cơ quan, đơn vị về tần xuất sử dụng, thời gian lưu trữ và giá trị pháp lý của nó, bảo đảm thông tin đó và tài sản gắn liền với các phương tiện xử lý thông tin một cách thích hợp cho việc phân loại.

2. Áp dụng các thuật toán mã hóa cho các hoạt động sau: đăng nhập quản trị hệ thống; đăng nhập vào các ứng dụng; gửi nhận dữ liệu tự động giữa các máy chủ; nhập và biên tập dữ liệu; tra cứu dữ liệu mật, quan trọng.

3. Các thông tin quan trọng phải được mã hóa bằng thuật toán mã hóa an toàn hoặc sử dụng công nghệ chữ ký số để xác thực và mã hóa bảo mật dữ liệu.

4. Nghiêm cấm việc soạn thảo, trao đổi, lưu trữ thông tin, tài liệu bí mật nhà nước trên máy tính có nối mạng Internet. Các cơ quan, đơn vị phải bố trí máy vi tính riêng, không kết nối mạng nội bộ và Internet dùng để soạn thảo văn bản, lưu giữ thông tin có nội dung mật theo quy định.

5. Cục Công nghệ thông tin xây dựng quy trình, nhân sự phục vụ công tác bảo quản, sao lưu dữ liệu và định kỳ kiểm tra dữ liệu đã sao lưu, việc sao lưu dữ liệu được thực hiện trên hệ thống sao lưu đặt tại Trung tâm dữ liệu điện tử của Bộ Tư pháp.

6. Các cá nhân được phân công thực hiện soạn thảo, gửi, nhận dữ liệu có trách nhiệm xác định mức độ mật, quan trọng của dữ liệu để thực hiện phương thức bảo vệ dữ liệu phù hợp hoặc yêu cầu Cục Công nghệ thông tin hướng dẫn, hỗ trợ phương thức bảo vệ trong trường hợp cần thiết.

Điều 11. Quản lý các tài khoản trong hệ thống

1. Tài khoản cá nhân

a. Mỗi cá nhân khi sử dụng hệ thống mạng, các ứng dụng của Bộ Tư pháp được cấp tài khoản truy cập với định danh duy nhất gắn với cá nhân đó. Trường hợp tài khoản dùng chung cho một đơn vị hay một tổ chức thì lãnh đạo đơn vị, tổ chức có trách nhiệm quản lý hoặc ủy quyền cho một cá nhân quản lý tài khoản đó.

b. Thực hiện đổi mật khẩu định kỳ, tối thiểu 3 tháng một lần.

c. Mọi trường hợp cấp mới, cấp lại tài khoản và mật khẩu cho đơn vị, cá nhân phải có công văn đề nghị qua đường bưu điện hoặc gửi công văn qua thư điện tử có chữ ký số của lãnh đạo đơn vị. Khi đơn vị có cán bộ chuyển vị trí công tác hoặc nghỉ việc thì đơn vị phải có trách nhiệm thông báo cho Cục Công nghệ thông tin để tiến hành điều chỉnh, thu hồi, hủy bỏ các quyền truy cập hệ thống và các ứng dụng đối với cán bộ đó hoặc chuyển đổi tài khoản cá nhân cho phù hợp với vị trí mới nhằm tránh tình trạng truy cập không đúng thẩm quyền vào hệ thống.

d. Cục Công nghê thông tin phối hợp với các đơn vị định kỳ rà soát lại các quyền truy nhập đã cấp phát nhằm phát hiện ra tình trạng phân quyền gây mất an toàn như: vượt quyền, không thu hồi khi người sử dụng đã hết quyền sử dụng, quá thời hạn sử dụng,...

2. Tài khoản quản trị:

a. Tài khoản quản trị (thiết bị mạng, các ứng dụng, phần mềm hệ thống, cơ sở dữ liệu…) phải tách biệt với tài khoản truy cập mạng, ứng dụng với tư cách cá nhân thông thường.

b. Tài khoản quản trị phải có định danh duy nhất và gắn với trách nhiệm cá nhân. Nghiêm cấm dùng chung tài khoản quản trị.

c. Mật khẩu phức tạp phải được áp dụng cho tất cả các tài khoản truy cập, sử dụng, quản trị hệ thống mạng, các ứng dụng trên hệ thống mạng máy tính của Bộ Tư pháp.

d. Thực hiện đổi mật khẩu định kỳ, tối thiểu 2 tháng một lần.

đ. Cá nhân, người làm công tác quản trị hệ thống có trách nhiệm bảo vệ thông tin tài khoản được cấp, không tiết lộ mật khẩu hoặc đưa cho người khác phương tiện xác thực tài khoản của mình ngoại trừ các trường hợp: cần xử lý công việc khẩn cấp của đơn vị; cần cung cấp, bàn giao cho đơn vị các thông tin, tài liệu do cá nhân quản lý. Chủ tài khoản phải đổi mật khẩu ngay sau khi kết thúc xử lý các việc này.

Điều 12. Đảm bảo an toàn trong công tác quản trị hệ thống

1. Máy tính dùng để quản trị hệ thống chỉ được cài đặt các phần mềm cần thiết cho hoạt động quản trị hệ thống, đặt trong vùng mạng phục vụ công tác quản trị hệ thống và chỉ được cấp quyền truy cập cho các cá nhân được giao trách nhiệm quản trị hệ thống.

2. Thường xuyên được kiểm tra cài đặt các bản cập nhật mới cho các thiết bị tường lửa bên ngoài, tường lửa ứng dụng, IPS, Proxy, thiết bị chống Spam mail … để khắc phục các điểm yếu; Có chế độ bảo trì, bảo hành hoặc thiết bị dự phòng để đảm bảo sự hoạt động liên tục của hệ thống

3. Cá nhân làm công tác quản trị hệ thống phải thay đổi mật khẩu mặc định tài khoản quản trị của mình ngay khi được bàn giao.

4. Sử dụng kênh trao đổi thông tin an toàn (có mã hóa) khi truy cập quản trị hệ thống.

5. Tất cả các truy cập quản trị hệ thống đăng nhập (log-in), đăng xuất (log-out); các lần xác thực thành công hoặc thất bại; thời gian xảy ra; các hành động, thao tác thực thi các công cụ hệ thống,... khi quản trị viên của thực hiện đều phải được ghi nhật ký quản trị để phục vụ cho việc theo dõi và quản lý.

Điều 13. Đảm bảo an toàn thông tin

1. Đối với các đơn vị và cá nhân

a. Các đơn vị cử cán bộ tham gia các lớp tập huấn, bồi dưỡng do Cục Công nghệ thông tin tổ chức để trang bị các kiến thức về an toàn thông tin phù hợp trước khi cho phép truy cập, vận hành, khai thác và sử dụng hệ thống thông tin.

b. Cá nhân chỉ được sử dụng máy tính do lãnh đạo đơn vị giao cho, không được phép sử dụng máy tính của người khác khi chưa được lãnh đạo đơn vị đồng ý.

c. Cá nhân đặt chế độ bảo vệ màn hình và mật khẩu sử dụng máy tính để đảm bảo an toàn cho dữ liệu cá nhân, khi không làm việc với máy tính trong thời gian dài phải thoát khỏi phiên làm việc và tắt máy. Mật khẩu tài khoản của cá nhân yêu cầu đặt mật khẩu phức tạp với độ an toàn cao để truy cập mạng, không được chuyển cho người khác sử dụng.

d. Hạn chế việc sử dụng chức năng chia sẻ tài nguyên (sharing), khi sử dụng chức năng này cần bật thuộc tính bảo mật bằng mật khẩu khi chia sẻ dữ liệu, tránh chia sẻ trực tiếp với chế độ truy cập đọc/ghi và thực hiện việc thu hồi chức năng này khi đã sử dụng xong.

2. Đối với Cục Công nghệ thông tin:

a. Hàng năm có trách nhiệm tổ chức các lớp tập huấn, bồi dưỡng để trang bị kiến thức phù hợp về an toàn thông tin trước khi cho phép truy cập, vận hành, khai thác và sử dụng hệ thống thông tin.

b. Áp dụng các biện pháp đảm bảo an toàn, bảo mật những thông tin truyền dẫn trên hệ thống mạng máy tính của Bộ Tư pháp.

c. Bố trí cán bộ chuyên trách về an toàn hệ thống thông tin trên môi trường máy tính và hệ thống mạng máy tính (bao gồm công tác giám sát, kiểm tra việc thực hiện quy định này tại Bộ Tư pháp).

d. Ban hành quy trình cụ thể về việc phát hiện, báo cáo, xử lý và quản lý hoạt động khắc phục các sự cố liên quan đến an toàn thông tin tại Bộ Tư pháp.

đ. Giám sát thường xuyên các hệ thống an ninh mạng để đảm bảo tác dụng của hệ thống, đồng thời phát hiện và xử lý sớm các vấn đề về an toàn thông tin. Thực hiện kết xuất định kỳ hàng tháng hoặc hàng quý các báo cáo từ hệ thống an ninh mạng để theo dõi, đánh giá các vấn đề của hệ thống.

e. Thường xuyên nghiên cứu, cập nhật các kiến thức về an toàn thông tin, có biện pháp phòng tránh các nguy cơ tiềm ẩn có thể gây mất thông tin khi tiến hành các hoạt động quản lý hay kỹ thuật nghiệp vụ.

f. Kịp thời thông báo cho các đơn vị, người sử dụng biết khi tạm dừng để nâng cấp, bảo trì định kỳ, khắc phục sự cố của từng dịch vụ mạng hoặc hệ thống mạng máy tính nội bộ.

Điều 14. Phòng, chống virus tin học

1. Cục Công nghệ thông tin có trách nhiệm:

a. Duy trì hệ thống phòng chống virus, giảm thiểu tối đa tác hại của việc lây lan, tấn công của các loại virus, các loại mã nguồn độc hại và ngăn chặn kịp thời sự bùng nổ virus trong mạng nội bộ.

b. Thường xuyên cập nhật, cung cấp các phiên bản mới, các bản vá lỗi của phần mềm chống virus để bảo đảm chương trình quét virus của các đơn vị và cá nhân trên các máy chủ, máy trạm luôn được cập nhật mới nhất, thiết lập chế độ quét thường xuyên ít nhất là hàng tuần.

c. Lựa chọn, triển khai các phần mềm chống virus, thư rác trên các máy chủ, các thiết bị di động trong mạng và những hệ thống thông tin xung yếu như: cổng thông tin điện tử, thư điện tử, một cửa điện tử,... để phát hiện, loại trừ những đoạn mã độc hại (virus, trojan, worms,...) và hỗ trợ người sử dụng cài đặt các phần mềm này trên máy trạm.

2. Các đơn vị và cá nhân sử dụng hệ thống mạng máy tính có trách nhiệm:

a. Tuân thủ các biện pháp phòng và chống virus máy tính. Mọi dữ liệu từ các thiết bị lưu trữ bên ngoài và từ Internet đều phải được quét diệt virus trước khi sử dụng. Những máy tính phát hiện có virus phải được tách khỏi mạng về mặt vật lý để tránh tình trạng lây nhiễm sang các máy tính khác.

b. Khi phần mềm chống virus không còn hiệu lực cần thông báo ngay cho người quản trị hệ thống để có giải pháp xử lý thích hợp. Nghiêm cấm các cá nhân sử dụng máy tính chưa cài đặt phần mềm phòng diệt virus kết nối vào hệ thống mạng nội bộ của Bộ Tư pháp.

Chương IV

TỔ CHỨC THỰC HIỆN

Điều 15. Xử lý vi phạm

Đơn vị và cá nhân vi phạm Quy chế này tuỳ theo tính chất, mức độ vi phạm thì bị xử lý kỷ luật hoặc các hình thức xử lý khác theo quy định của pháp luật; nếu vi phạm gây thiệt hại đến tài sản, thiết bị, thông tin, dữ liệu trên hệ thống mạng máy tính của Bộ thì phải chịu trách nhiệm bồi thường theo quy định của pháp luật.

Điều 16. Tổ chức thực hiện

Các đơn vị và cá nhân chịu trách nhiệm thi hành Quy chế này.

Thủ trưởng các đơn vị có trách nhiệm quán triệt, chỉ đạo và giám sát các cá nhân thuộc đơn vị mình thực hiện đúng nội dung Quy chế này.

Trong quá trình tổ chức thực hiện, nếu có những vấn đề khó khăn, vướng mắc, các đơn vị, cá nhân sử dụng cần phản ánh ngay với Cục Công nghệ thông tin để tổng hợp, trình Bộ trưởng xem xét, sửa đổi, bổ sung Quy chế cho phù hợp.