Quyết định 45/QĐ-UBND năm 2016 Quy chế bảo đảm an toàn, an ninh thông tin trong hoạt động ứng dụng công nghệ thông tin của các cơ quan, đơn vị thuộc tỉnh Lâm Đồng
Số hiệu: 45/QĐ-UBND Loại văn bản: Quyết định
Nơi ban hành: Tỉnh Lâm Đồng Người ký: Phan Văn Đa
Ngày ban hành: 11/01/2016 Ngày hiệu lực: Đang cập nhật
Ngày công báo: Đang cập nhật Số công báo: Đang cập nhật
Lĩnh vực: Bưu chính, viễn thông, Thông tin báo chí, xuất bản, Tình trạng: Đang cập nhập
Ngày hết hiệu lực: Đang cập nhật

ỦY BAN NHÂN DÂN
TỈNH
LÂM ĐỒNG

-------

CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM
Độc lập - Tự do - Hạnh phúc
---------------

Số: 45/QĐ-UBND

Lâm Đồng, ngày 11 tháng 01 năm 2016

 

QUYẾT ĐỊNH

BAN HÀNH QUY CHẾ BẢO ĐẢM AN TOÀN, AN NINH THÔNG TIN TRONG HOẠT ĐỘNG ỨNG DỤNG CÔNG NGHỆ THÔNG TIN CỦA CÁC CƠ QUAN, ĐƠN VỊ THUỘC TỈNH LÂM ĐỒNG

CHỦ TỊCH ỦY BAN NHÂN DÂN TỈNH LÂM ĐỒNG

Căn cứ Luật Tổ chức chính quyền địa phương ngày 19 tháng 6 năm 2015;

Căn cứ Luật Giao dịch điện tử ngày 29 tháng 11 năm 2005;

Căn cứ Luật Công nghệ thông tin ngày 29 tháng 6 năm 2006;

Căn cứ Nghị định số 64/2007/NĐ-CP ngày 10 tháng 4 năm 2007 của Chính phủ về việc ứng dụng công nghệ thông tin trong hoạt động của cơ quan nhà nước;

Căn cứ Nghị định số 72/2013/NĐ-CP ngày 15 tháng 7 năm 2013 của Chính phủ quy định về việc quản lý, cung cấp, sử dụng dịch vụ internet và thông tin trên mạng;

Xét đề nghị của Giám đốc Sở Thông tin và Truyền thông,

QUYẾT ĐỊNH:

Điều 1. Ban hành kèm theo Quyết định này Quy chế bảo đảm an toàn, an ninh thông tin trong hoạt động ứng dụng công nghệ thông tin của các cơ quan, đơn vị thuộc tỉnh Lâm Đồng.

Điều 2. Chánh Văn phòng Ủy ban nhân dân tỉnh; Giám đốc Sở Thông tin và Truyền thông; Chủ tịch Ủy ban nhân dân các huyện, thành phố Đà Lạt và Bảo Lộc; Thủ trưởng các cơ quan, đơn vị và các cá nhân liên quan chịu trách nhiệm thi hành Quyết định này kể từ ngày ký./. 

 

Nơi nhận:
- TT TU, TT HĐND tỉnh;
- CT, các PCT UBND tỉnh;
- Như Điều 2;
- Đài PTTH tỉnh, Báo Lâm Đồng;
- Trung tâm Công báo tỉnh;
- Lưu: VT, VX1.

KT. CHỦ TỊCH
PHÓ
CHỦ TỊCH




Phan Văn Đa

 

QUY CHẾ

BẢO ĐẢM AN TOÀN, AN NINH THÔNG TIN TRONG HOẠT ĐỘNG ỨNG DỤNG CÔNG NGHỆ THÔNG TIN CỦA CÁC CƠ QUAN, ĐƠN VỊ THUỘC TỈNH LÂM ĐỒNG
(Ban hành kèm theo Quyết định số 45/QĐ-UBND ngày 11/01/2016 của y ban nhân dân tỉnh Lâm Đồng)

Chương I

QUY ĐỊNH CHUNG

Điều 1. Phạm vi điều chỉnh và đối tượng áp dụng

1. Quy chế này quy định về công tác đảm bảo an toàn, an ninh thông tin trong hoạt động ứng dụng công nghệ thông tin của các cơ quan nhà nước, đơn vị sự nghip thuộc tỉnh Lâm Đng.

2. Quy chế này áp dụng đối với các cơ quan hành chính, các đơn vị sự nghiệp và Ủy ban nhân dân các huyện, thành phố thuộc tỉnh (sau đây gọi chung là cơ quan); cán bộ, công chức, viên chức và người lao động tham gia vận hành, khai thác và sử dụng hệ thống thông tin tại các cơ quan.

3. Khuyến khích các cơ quan của Trung ương, tỉnh, thành phố khác hoạt động trên địa bàn tỉnh Lâm Đồng áp dụng và tham gia thực hiện Quy chế này.

Điều 2. Mục đích, nguyên tắc đảm bảo an toàn thông tin

1. Việc áp dụng Quy chế này nhằm giảm thiểu các nguy cơ gây mất an toàn thông tin và đảm bảo an ninh thông tin trong quá trình ứng dụng công nghệ thông tin trong hoạt động của các cơ quan.

2. Các hoạt động ứng dụng công nghệ thông tin phải tuân theo nguyên tắc đảm bảo an toàn thông tin quy định tại Điều 41, Nghị định số 64/2007/NĐ-CP ngày 10 tháng 4 năm 2007 của Chính phủ về ứng dụng công nghệ thông tin trong hoạt động của cơ quan nhà nước; các tiêu chuẩn kỹ thuật quản lý an toàn trong bộ tiêu chuẩn TCVN 7562:2005 và ISO/IEC 17799:2005.

Điều 3. Giải thích từ ngữ

Trong Quy chế này, các từ ngữ được sử dụng có nghĩa như sau:

1. TCVN 7562:2005: Tiêu chuẩn Việt Nam về mã thực hành quản lý an toàn thông tin.

2. ISO/IEC 17799:2005: Tiêu chuẩn quốc tế cung cấp các hướng dẫn quản lý an toàn bảo mật thông tin dựa trên quy phạm công nghiệp tốt nhất.

3. Mirror: Cơ chế cài đặt một máy chủ dự phòng hoạt động song song với máy chủ chính có nhiệm vụ làm bản sao cho máy chủ chính, dự phòng trường hợp máy chủ chính gặp sự cố.

4. Raid: Cơ chế cho phép ghép nhiều ổ đĩa cứng vật lý thành một hệ thống ổ đĩa cứng có chức năng gia tăng tốc độ đọc/ghi dữ liệu và sự an toàn của dữ liệu chứa trên hệ thống đĩa.

5. Clustering: Cơ chế cho phép sử dụng nhiều máy chủ kết hợp với nhau tạo thành một cụm có khả năng chịu đựng hay chấp nhận sai sót nhằm nâng cao khả năng sẵn sàng cho các hệ thống mạng máy tính.

6. Log file: Tập tin được tạo ra bởi một thiết bị, hệ thống (máy chủ, phần mềm tường lửa,...) mà trong đó có chứa tất cả thông tin về lịch sử hoạt động trên thiết bị, hệ thống đó.

7. System Restore: Tính năng hệ thống tự tạo ra các điểm khôi phục của hệ thống, giúp người dùng có thể khôi phục lại trạng thái của hệ thống trở về một thời điểm nào đó, trước khi có sự cố xảy ra.

Chương II

QUY ĐỊNH ĐẢM BẢO AN TOÀN THÔNG TIN

Điều 4. Quản lý cán bộ, công chức, viên chức và người lao động

1. Thủ trưởng các cơ quan thường xuyên tổ chức phổ biến, quán triệt các quy định về an toàn thông tin, nâng cao nhận thức và trách nhiệm đảm bảo an toàn thông tin của từng cá nhân trong cơ quan.

2. Hủy tài khoản, quyền truy cập các hệ thống thông tin, thu hồi tất cả các tài sản liên quan tới hệ thống thông tin (khóa, thẻ nhận dạng, thư mục lưu trữ, thư điện tử, máy vi tính, tài khoản người dùng hệ thống,...) đối với các cá nhân nghỉ việc, chuyển công tác.

Điều 5. Biện pháp quản lý kỹ thuật đảm bảo an toàn, an ninh thông tin

1. Tổ chức mô hình mạng:

a) Cài đặt, cấu hình, quản trị hệ thống mạng nội bộ theo mô hình Clients/Server để kiểm soát máy trạm, hạn chế sử dụng mô hình mạng ngang hàng. Các cơ quan có nhiều phòng, ban, đơn vị trực thuộc không trong cùng một khu vực, phải thiết lập mạng riêng ảo (Virtual Private Network - VPN) để đảm bảo an ninh cho mạng nội bộ, đồng thời, phải tuân thủ các chính sách về an toàn thông tin do Chính phủ, Bộ Thông tin và Truyền thông và UBND tỉnh ban hành khi kết nối với các hệ thống thông tin và mạng internet. Khi thiết lập dịch vụ trên môi trường mạng internet, chỉ cung cấp những chức năng thiết yếu đảm bảo duy trì hoạt động của hệ thống thông tin, hạn chế sử dụng chức năng, cổng giao tiếp mạng, giao thức và các dịch vụ không cần thiết.

b) Tùy điều kiện, yêu cầu thực tế về bảo mật dữ liệu, các cơ quan chủ động triển khai xây dựng mô hình, giải pháp an toàn bảo mật hệ thống mạng tại cơ quan cho phù hợp.

2. Hệ thống mạng không dây:

Khi thiết lập mạng không dây để kết nối với mạng cục bộ thông qua các điểm truy nhập (Access Point), cơ quan cung cấp dịch vụ phải thiết lập các tham số như tên, mật khẩu, mã hóa dữ liệu và thông báo các thông tin liên quan đến điểm truy nhập để cơ quan sử dụng, định kỳ 03 tháng thay đổi mật khẩu nhằm tăng cường công tác bảo mật.

3. Phòng máy chủ:

a) Phải độc lập, là khu vực hạn chế tiếp cận và được lắp đặt hệ thống camera giám sát. Chỉ những người có trách nhiệm mới được phép vào. Quá trình vào, ra phòng máy chủ phải được ghi nhận vào nhật ký quản lý.

b) Các thiết bị mạng quan trọng như tường lửa (firewall), thiết bị định tuyến (router), hệ thống máy chủ,... phải được đặt trong phòng máy chủ và có các biện pháp bảo vệ, ngăn chặn xâm nhập trái phép.

c) Phải có hệ thống lưu điện đủ công suất và duy trì được thời gian hoạt động của các máy chủ tối thiểu 30 phút khi xảy ra sự cố mất điện; phải trang bị hệ thống chống sét theo quy định.

4. Phòng chống mã độc:

a) Lựa chọn, triển khai các phần mềm chống mã độc, thư rác trên tất cả các máy trạm, máy chủ, thiết bị mạng, thiết bị di động trong mạng và các hệ thống thông tin xung yếu (cng thông tin điện tử, thư điện tử, một cửa điện tử,...). Thường xuyên cập nhật các phiên bản mới, các bản vá lỗi của các phần mềm chống mã độc mới nhất hoặc phải được thiết lập chế độ tự động cập nhật, chế độ tự động quét mã độc khi sao chép, mở các tập tin.

b) Cán bộ, công chức, viên chức và người lao động trong cơ quan phải được tập huấn, hướng dẫn về phòng chống mã độc; không tự ý cài đặt hoặc gỡ bỏ các phần mềm trên máy trạm khi chưa được sự đồng ý của người có thẩm quyền của cơ quan; quét mã độc tất cả các tập tin, thư mục trước khi sao chép, sử dụng.

c) Khi phát hiện bất kỳ dấu hiệu liên quan đến việc bị nhiễm mã độc trên máy trạm (máy hoạt động chậm bất thường, cảnh báo từ phần mềm phòng chng mã độc, mất dữ liệu,...), người sử dụng phải tắt máy và báo trực tiếp cho bộ phận có trách nhiệm của cơ quan để xử lý.

5. Các biện pháp kỹ thuật với trang thông tin điện tử/cổng thông tin điện tử:

a) Các trang thông tin lưu trữ bên ngoài Cổng thông tin điện tử của tỉnh: Quản lý toàn bộ các phiên bản của mã nguồn, phối hợp với đơn vị thực hiện dịch vụ lưu trữ tổ chức mô hình trang web hp lý, tránh khả năng tấn công. Yêu cầu đơn vị cung cấp dịch vụ lưu trữ web cài đặt các hệ thống phòng vệ như tường lửa (firewall), thiết bị phát hiện/phòng chống xâm nhập (IDS/IPS), mức ứng dụng web (WAF-Web Application Firewall); thường xuyên cập nhật bản vá lỗi mới nhất cho hệ quản trị cơ sở dữ liệu, gỡ bỏ các cơ sở dữ liệu không sử dụng; sao lưu toàn bộ nội dung trang web (bao gồm: mã nguồn, cơ sở dữ liệu, dữ liệu phi cấu trúc,...) đbảo đảm khi có sự cố có thkhắc phục lại trong vòng 24 giờ.

b) Các trang thông tin lưu trữ trên Cổng thông tin điện tử của tỉnh: Việc đảm bảo an toàn an ninh thông tin, bảo đảm khi có sự cố có thkhắc phục lại ngay trong vòng 24 giờ đối với các trang thông tin điện tử thành viên do Trung tâm Quản lý Cổng thông tin điện tử của tỉnh chịu trách nhiệm. Việc bổ sung hoặc thêm các nội dung, các chức năng, gỡ bỏ các cơ sở dữ liệu không sử dụng,... phải liên hệ với Trung tâm Quản lý Cổng thông tin điện tử của tỉnh để được hỗ trợ.

6. Quản lý chia sẻ tài nguyên:

Người sử dụng phải chịu trách nhiệm về việc chia sẻ tài nguyên cục bộ trên máy đang sử dụng (tuyệt đối không được chia sẻ toàn bộ cứng); khi chia sẻ tài nguyên trên máy chủ phải đặt mật khẩu.

7. Thiết lập cơ chế sao lưu và phục hồi máy chủ, máy trạm:

a) Các cơ quan phải lập kế hoạch và thực hiện sao lưu dữ liệu phù hợp với điều kiện của cơ quan, đảm bảo khả năng phục hồi dữ liệu khi có sự cố xảy ra.

b) Đối với máy trạm: Thực hiện việc sao lưu dữ liệu như hệ điều hành, các phần mềm ứng dụng văn phòng, phần mềm chuyên ngành, cơ sở dữ liệu, tập tin ghi nhật ký,... Sau khi sao lưu mỗi máy phải được lưu vào các thiết bị lưu trữ như: đĩa CD, cứng ngoài,... và thực hiện đánh số, dán nhãn giúp phục hồi dữ liệu được nhanh nhất.

c) Đối với máy chủ: Cài đặt các dịch vụ Mirror, Raid, Clustering bảo đảm thiết lập cơ chế sao lưu và phục hồi hệ thống của máy chủ. Đối với các máy chủ cài đặt hệ điều hành Windows sử dụng chức năng System Restore để có thể dễ dàng khôi phục lại toàn bộ máy chủ hoặc các tập tin, thư mục được lựa chọn phục hồi.

8. Quản lý thiết bị tường lửa:

a) Các hạ tầng công nghệ thông tin phải được trang bị tường lửa, hệ thống phát hiện và ngăn chặn xâm nhập (IDS/IPS) để phát hiện và ngăn chặn các xâm nhập trái phép vào mạng nội bộ.

b) Nhật ký hoạt động của thiết bị tường lửa phải được lưu giữ an toàn để phục vụ công tác khảo sát, điều tra khi có sự cố xảy ra.

9. Quản lý nhật ký trong quá trình vận hành các hệ thống thông tin:

a) Hệ thống thông tin cần ghi nhận: Quá trình đăng nhập vào hệ thống, các thao tác cấu hình hệ thống; các hành vi xem, thiết lập cấu hình hệ thống; việc thiết lập các kết nối bất thường vào, ra hệ thống; thay đổi quyền truy cập hệ thống. Thường xuyên kiểm tra, sao lưu các tập tin ghi (log file) theo từng tháng để lưu vết theo dõi, xác định những sự kiện đã xảy ra của hệ thống và hạn chế việc tràn tập tin ghi gây ảnh hưởng đến hoạt động của hệ thống.

b) Thực hiện việc ghi nhật ký (log) trên các thiết bị mạng máy tính, phần mềm ứng dụng, hệ điều hành, cơ sở dữ liệu nhằm đảm bảo các sự kiện quan trọng xảy ra trên hệ thống được ghi nhận và lưu giữ. Các nhật ký này phải được bảo vệ an toàn nhằm phục vụ công tác kiểm tra, phân tích khi cần thiết.

c) Thường xuyên thực hiện việc theo dõi bản ghi nhật ký của hệ thống và các sự kiện khác có liên quan để đánh giá, báo cáo các rủi ro và mức độ nghiêm trọng các rủi ro.

10. Quản lý truy cập:

a) Các quy định về quản lý truy cập vào hệ thống thông tin, mạng máy tính, thiết bị, phần mềm ứng dụng phải được quy định chi tiết và tổ chức thực hiện nghiêm túc, phù hợp với các quy định của pháp luật về an toàn thông tin.

b) Mỗi tài khoản truy cập các hệ thống thông tin chỉ được cấp cho một người quản lý và sử dụng.

c) Mỗi cán bộ, công chức, viên chức và người lao động chỉ được phép truy cập các thông tin phù hợp với chức năng, trách nhiệm, quyền hạn của mình, có trách nhiệm bảo mật tài khoản truy cập thông tin.

d) Hệ thống thông tin tại các cơ quan phải có cơ chế giới hạn số lần đăng nhập sai liên tiếp. Nếu liên tục đăng nhập sai vượt quá số lần quy định thì hệ thống sẽ tự động khóa hoặc cô lập tài khoản trong một khoảng thời gian nhất định trước khi tiếp tục cho đăng nhập.

đ) Cán bộ chuyên trách có trách nhiệm theo dõi và kiểm soát tất cả các phương pháp truy cập từ xa (quay số, Internet...) tới hệ thống thông tin, bao gồm cả sự truy cập có chức năng đặc quyền. Hệ thống thông tin tại các cơ quan phải có cơ chế kiểm tra, cho phép tương ứng với mỗi phương pháp truy cập từ xa và cơ chế tự động giám sát, điều khiển các truy cập từ xa.

e) Các tài khoản người dùng liên quan đến hệ thống công nghệ thông tin của cơ quan phải được đặt mật khẩu truy cập. Mật khẩu đăng nhập vào các hệ thống thông tin phải có độ phức tạp cao (độ dài tối thiểu 8 ký tự, có ký tự viết hoa, ký tự số và ký tự đặc biệt như !, @, #, $, %,...) và phải được thay đổi ít nhất 3 tháng/lần.

Điều 6. Các hành vi bị nghiêm cấm

1. Tạo, cài đặt, phát tán vi rút máy tính, phần mềm độc hại trái pháp luật.

2. Xâm nhập, sửa đổi, xóa nội dung thông tin của cơ quan, cá nhân khác.

3. Cản trở hoạt động cung cấp dịch vụ của hệ thống thông tin.

4. Bẻ khóa, trộm cắp, sử dụng mật khẩu, khóa mật mã và thông tin của cơ quan, cá nhân khác trên môi trường mạng.

5. Hành vi khác làm mất an toàn, bí mật thông tin của cơ quan, cá nhân khác được trao đổi, truyền đưa, lưu trữ trên môi trường mạng.

Chương III

TRÁCH NHIỆM ĐẢM BẢO AN TOÀN THÔNG TIN

Điều 7. Trách nhiệm của các cơ quan

1. Thủ trưởng các cơ quan chịu trách nhiệm toàn diện trước Ủy ban nhân dân tỉnh trong công tác đảm bảo an toàn, an ninh cho hệ thống thông tin của đơn vị, đồng thời thực hiện nghiêm túc các quy định tại Quy chế này.

2. Phân công bộ phận hoặc cán bộ chuyên trách đảm bảo an toàn thông tin của đơn vị; tạo điều kiện để các cán bộ phụ trách an toàn thông tin được học tập, nâng cao trình độ về an toàn thông tin.

3. Khi có sự cố hoặc nguy cơ mất an toàn, an ninh thông tin, kịp thời áp dụng mọi biện pháp để khắc phục và hạn chế thiệt hại, ưu tiên sử dụng lực lượng kỹ thuật an toàn thông tin của đơn vị, lập biên bản, báo cáo bằng văn bản cho cơ quan cấp trên quản lý trực tiếp và Sở Thông tin và Truyền thông.

4. Phối hợp, cung cấp thông tin và tạo điều kiện cho các đơn vị có thẩm quyền triển khai công tác kiểm tra, khắc phục sự cố xảy ra một cách kịp thời, nhanh chóng và đạt hiệu quả.

5. Báo cáo tình hình và kết quả thực hiện công tác đảm bảo an toàn, an ninh thông tin tại cơ quan và gửi về Sở Thông tin và Truyền thông định kỳ mỗi năm 01 lần vào cuối quý IV.

Điều 8. Trách nhiệm của Sở Thông tin và Truyền thông

1. Tham mưu giúp Ủy ban nhân dân tỉnh về công tác đảm bảo an toàn, an ninh thông tin trên địa bàn tỉnh và chịu trách nhiệm trước Ủy ban nhân dân tỉnh trong việc đảm bảo an toàn, an ninh cho các hệ thống thông tin của tỉnh.

2. Xây dựng kế hoạch, dự toán kinh phí triển khai công tác an toàn và an ninh thông tin phục vụ vận hành các hệ thống thông tin được Ủy ban nhân dân tỉnh giao quản lý và các trang thông tin điện tử của các đơn vị.

3. Chủ trì, phối hợp với Công an tỉnh và các cơ quan liên quan tổ chức kiểm tra định kỳ hoặc đột xuất; kịp thời phát hiện và xử lý theo quy định của pháp luật đối với các cơ quan, tổ chức, cá nhân có các dấu hiệu, hành vi vi phạm an toàn, an ninh thông tin trên địa bàn tỉnh.

4. Tùy theo mức độ sự cố, phối hợp với Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam (VNCERT) và các đơn vị có liên quan hướng dẫn xử lý, ứng cứu các sự cố mất an toàn, an ninh thông tin.

5. Tổ chức, phối hợp tổ chức tuyên truyền, phổ biến, cập nhật kiến thức về đảm bảo an toàn, an ninh thông tin cho người lao động trong các cơ quan thuộc tỉnh.

6. Hướng dẫn, giám sát các cơ quan trên địa bàn tỉnh xây dựng quy chế đảm bảo an toàn, an ninh cho hệ thống thông tin theo quy định.

7. Định kỳ tổng hợp, báo cáo Bộ Thông tin và Truyền thông, Ủy ban nhân dân tỉnh và các cơ quan liên quan về tình hình đảm bảo an toàn, an ninh thông tin trên địa bàn tỉnh.

Điều 9. Trách nhiệm của Công an tỉnh

1. Chủ trì, phối hợp với Sở Thông tin và Truyền thông và các cơ quan liên quan xây dựng kế hoạch đảm bảo an ninh mạng trên địa bàn tỉnh và kiểm soát, phòng ngừa, đấu tranh, ngăn chặn các loại tội phạm sử dụng công nghệ cao gây hại đến an toàn, an ninh thông tin trong cơ quan nhà nước.

2. Phối hợp với các cơ quan chức năng trong trao đổi biện pháp kỹ thuật, kiểm tra, đánh giá nhằm đảm bảo an toàn, an ninh thông tin.

3. Tăng cường công tác phòng ngừa, phát hiện và tuyên truyền, phổ biến pháp luật về xử lý tội phạm trong việc đảm bảo an toàn, an ninh thông tin.

4. Điều tra và xử lý các trường hợp vi phạm pháp luật về an toàn, an ninh thông tin theo thẩm quyền.

5. Thực hiện nhiệm vụ bảo vệ an toàn các công trình quan trọng về an ninh quốc gia trên lĩnh vực công nghệ thông tin.

Điều 10. Trách nhiệm của cán bộ, công chức, viên chức và người lao động trong các cơ quan

1. Trách nhiệm của người phụ trách an toàn thông tin:

a) Đảm bảo an toàn thông tin của cơ quan, triển khai các biện pháp quản lý vận hành, quản lý kỹ thuật và tham mưu xây dựng các quy định đảm bảo an toàn, an ninh thông tin cho hệ thống thông tin tại đơn vị theo các quy định của Quy chế này.

b) Tham mưu chuyên môn và vận hành an toàn hệ thống thông tin của cơ quan theo nhiệm vụ được phân công.

c) Giám sát, đánh giá, báo cáo thủ trưởng cơ quan các rủi ro, mất an toàn thông tin và mức độ nghiêm trọng của các rủi ro đó.

d) Phối hợp với các cá nhân, đơn vị có liên quan trong việc kiểm soát, phát hiện và khắc phục các sự cố an toàn, an ninh thông tin.

2. Trách nhiệm của cán bộ, công chức, viên chức và người lao động:

a) Nghiêm chỉnh thi hành các quy chế, quy trình an toàn, an ninh thông tin của cơ quan và các quy định khác của pháp luật, nâng cao ý thức cảnh giác, trách nhiệm đảm bảo an toàn, an ninh thông tin tại cơ quan.

b) Quản lý, bảo quản thiết bị được giao sử dụng; không tự ý thay đi, tháo lắp các thiết bị trên máy tính; không vào các trang web không rõ nội dung; không tải và cài đặt các phần mềm không rõ nguồn gốc, không liên quan đến công việc chuyên môn; quét mã độc tất cả các tập tin, thư mục trước khi sao chép, sử dụng.

c) Khi phát hiện sự cố phải báo ngay với cấp trên và bộ phận chuyên trách để kịp thời ngăn chặn, xử lý.

d) Thường xuyên cập nhật kiến thức về đảm bảo an ninh, an toàn thông tin.

Chương IV

TỔ CHỨC THỰC HIỆN

Điều 11. Khen thưởng và xử lý vi phạm

1. Hằng năm, Sở Thông tin và Truyền thông dựa trên kết quả kiểm tra, đánh giá, báo cáo công tác an toàn, an ninh thông tin của các cơ quan đxác lập bảng xếp hạng an toàn, an ninh thông tin; đề xuất Ủy ban nhân dân tỉnh xem xét, khen thưởng các tập thể, cá nhân có thành tích xuất sắc trong việc bảo đảm an toàn, an ninh thông tin theo quy định hiện hành.

2. Các tổ chức, cá nhân vi phạm Quy chế này tùy theo tính chất, mức độ vi phạm mà bị xử lý kỷ luật hành chính hoặc bị truy cứu trách nhiệm hình sự. Nếu gây thiệt hại thì phải bồi thường theo quy định của pháp luật hiện hành.

Điều 12. Trách nhiệm thi hành

1. Giám đốc các sở, ban, ngành; Chủ tịch Ủy ban nhân dân các huyện, thành phố và thủ trưởng các đơn vị thuộc tỉnh chịu trách nhiệm tổ chức triển khai, thực hiện Quy chế này tại cơ quan.

2. Trong quá trình thực hiện, nếu có những vấn đề mới phát sinh hoặc cần sửa đổi, bổ sung các cơ quan kịp thời có văn bản gửi Sở Thông tin và Truyền thông để tổng hợp, báo cáo Ủy ban nhân dân tỉnh xem xét, quyết định.