Đang tải... (xem toàn văn)
Quy chế đảm bảo an ninh, an toàn trên mạng thông tin trong hoạt động của ủy ban dân tộc
ỦY BAN DÂN TỘC CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM Độc lập - Tự - Hạnh phúc Hà Nội, ngày tháng năm 2012 DỰ THẢO QUY CHẾ Quy chế đảm bảo an ninh, an toàn mạng thông tin hoạt động Ủy ban Dân tộc (Ban hành kèm theo Quyết định số: /QĐ-UBDT ngày tháng Bộ trưởng, Chủ nhiệm Ủy ban Dân tộc) năm 2012 Chương I QUY ĐỊNH CHUNG Điều Phạm vi điều chỉnh, đối tượng áp dụng Quy chế quy định việc sử dụng, quản lý khai thác, bảo vệ an ninh, an tồn mạng thơng tin hoạt động quan Ủy ban Dân tộc Quy chế áp dụng vụ, đơn vị thuộc Ủy ban Dân tộc cán bộ, công chức, viên chức, người lao động làm việc vụ, đơn vị quyền khai thác, sử dụng tài nguyên mạng thông tin Ủy ban Dân tộc Điều Mục đích đảm bảo an ninh, an tồn mạng thơng tin Thực nghiêm Pháp lệnh bảo vệ bí mật nhà nước, giảm thiểu, phòng, chống nguy gây cố an tồn thơng tin đảm bảo an ninh thơng tin q trình tham gia hoạt động mơi trường mạng Công tác đảm bảo an ninh thông tin, bảo mật môi trường mạng nhiệm vụ trọng tâm để đảm bảo thành công việc ứng dụng công nghệ thông tin quan, đơn vị Điều Giải thích từ ngữ Mạng Uỷ ban Dân tộc: tên viết tắt hệ thống mạng thông tin quan Ủy ban Dân tộc Người sử dụng: cán bộ, công chức, viên chức, người lao động vụ, đơn vị trực thuộc Ủy ban Dân tộc quyền khai thác, sử dụng tài nguyên mạng thông tin quan Uỷ ban Dân tộc An tồn thơng tin: bao gồm hoạt động quản lý, nghiệp vụ kỹ thuật hệ thống thông tin nhằm bảo vệ, khôi phục hệ thống, dịch vụ nội dung thông tin nguy tự nhiên người gây Bảo đảm cho hệ thống thực chức năng, phục vụ đối tượng cách sẵn sàng, xác tin cậy Tính tin cậy: Đảm bảo thơng tin truy nhập người cấp quyền sử dụng Tính tồn vẹn: Bảo vệ xác đầy đủ thơng tin phương pháp xử lý Tính sẵn sàng: Đảm bảo người cấp quyền truy nhập thông tin tài sản liên quan có nhu cầu Hệ thống an ninh mạng: tập hợp thiết bị tin học hoạt động đồng theo sách an ninh quán nhằm quản lý, giám sát, kiểm soát chặt chẽ thông tin mạng, phát xử lý truy cập bất hợp pháp Hệ thống công nghệ thơng tin: tập hợp có cấu trúc trang thiết bị phần cứng, phần mềm, sở liệu hệ thống mạng phục vụ cho nhiều hoạt động kỹ thuật, nghiệp vụ ngân hàng Tài sản công nghệ thông tin: trang thiết bị, thông tin thuộc hệ thống công nghệ thông tin đơn vị Bao gồm: a) Tài sản vật lý: thiết bị công nghệ thông tin, phương tiện truyền thông thiết bị phục vụ cho hoạt động hệ thống công nghệ thông tin b) Tài sản thông tin: liệu, tài liệu liên quan đến hệ thống công nghệ thông tin Tài sản thông tin thể văn giấy liệu điện tử c) Tài sản phần mềm: bao gồm chương trình ứng dụng, phần mềm hệ thống, sở liệu công cụ phát triển 10 Rủi ro: công nghệ thông tin: khả xảy tổn thất thực hoạt động liên quan đến hệ thống công nghệ thông tin Rủi ro công nghệ thông tin liên quan đến quản lý, sử dụng phần cứng, phần mềm, truyền thông, giao diện hệ thống, vận hành người 11 Quản lý rủi ro: hoạt động phối hợp nhằm xác định kiểm sốt rủi ro cơng nghệ thơng tin xảy 12 Bên thứ ba: tổ chức, cá nhân có chun mơn đơn vị thuê hợp tác với đơn vị nhằm cung cấp hàng hóa, dịch vụ kỹ thuật cho hệ thống công nghệ thông tin 13 Hệ thống an ninh mạng: tập hợp thiết bị tường lửa; thiết bị kiểm soát, phát truy cập bất hợp pháp; phần mềm quản trị, theo dõi, ghi nhật ký trạng thái an ninh mạng trang thiết bị khác có chức đảm bảo an toàn hoạt động mạng, tất hoạt động đồng theo sách an ninh mạng quán nhằm kiểm soát chặt chẽ tất hoạt động mạng 14 Tường lửa: tập hợp thành phần hệ thống trang thiết bị, phần mềm đặt hai mạng, nhằm kiểm soát tất kết nối từ bên bên mạng ngược lại 15 Vi rút: chương trình máy tính có khả lây lan, gây hoạt động khơng bình thường cho thiết bị số chép, sửa đổi, xóa bỏ thơng tin lưu trữ thiết bị số 16 Phần mềm độc hại (mã độc): phần mềm có tính gây hại vi rút, phần mềm thám (spyware), phần mềm quảng cáo (adware) dạng tương tự khác 17 Điểm yếu kỹ thuật: vị trí hệ thống cơng nghệ thơng tin dễ bị tổn thương bị công xâm nhập bất hợp pháp Chương II NỘI DUNG ĐẢM BẢO AN NINH, AN TỒN THƠNG TIN Điều Trang thiết bị hạ tầng công nghệ thông tin Hạ tầng mạng nội a) Hệ thống mạng có dây: Hệ thống mạng nội quan phải thiết kế thành thể thống nhất, kết hợp hỗ trợ, tương tác hoạt động với Mơ hình mạng đơn vị phải đảm bảo đầy đủ chia thành ba vùng gồm: vùng ngoài, vùng máy chủ (DMZ), vùng làm việc Hệ thống mạng quan phải xây dựng theo mô hình miền (Domain) nhằm mục đích quản lý hệ thống chặt chẽ, an toàn bảo mật Các thiết bị mạng, máy chủ, đặt riêng biệt phòng máy chủ để đảm bảo tính an tồn, bảo mật tập trung, tạo thuận lợi cho việc quản trị hệ thống Máy chủ phải đặt vùng DMZ tường lửa Thiết bị chuyển mạch lớp (switch layer 3) đóng vai trị trung tâm kết nối hệ thống mạng, thiết bị chuyển mạch lớp đặt phòng máy chủ kết nối thiết bị chuyển mạch lớp đặt tầng đơn vị tạo thành hệ thống mạng nội tổng thể b) Hệ thống mạng khơng dây: Ngồi giải pháp mạng có dây, quan xây dựng giải pháp mạng nội kết hợp với mạng không dây Hệ thống mạng không dây phải đảm bảo kết nối tốt với thiết bị đầu cuối bảo mật truy cập theo chuẩn bảo mật mạng không dây an toàn Quản lý chặt chẽ việc cấp phát tài khoản truy cập mạng không dây thông qua mật bảo vệ, mật phải thay đổi định kỳ tháng lần Thực việc xác thực người sử dụng thông qua: họ tên người dùng, tên thiết bị dùng truy cập, mã số thiết bị dùng truy cập Hệ thống máy chủ Cấu hình máy chủ phải đủ mạnh để đáp ứng công việc Máy chủ Ủy ban Dân tộc đơn vị trực thuộc dùng để triển khai phần mềm hệ thống, cài đặt phần mềm dùng chung, sở liệu cần thiết phần mềm chống virus, ngồi khơng cài thêm phần mềm khác Hệ điều hành phần mềm ứng dụng hợp lệ cài đặt máy chủ phải có quyền nhà cung cấp, không sử dụng phần mềm vi phạm quyền, phần mềm bẻ khóa Phịng máy chủ Ủy ban Dân tộc phải độc lập, phận chuyên trách hay cán chuyên trách công nghệ thông tin trực tiếp quản lý, cán khơng có liên quan khơng vào phịng máy chủ Phịng máy chủ phải đảm bảo khơ, thống, nguồn điện cung cấp đảm bảo tính ổn định cao Phịng máy chủ phải trang bị máy lạnh vận hành máy lạnh liên tục Thiết bị mạng, bảo mật, tường lửa Thiết bị mạng phải cung cấp từ hãng sản xuất lớn có uy tín, đáp ứng nhiều kết nối truy cập thời điểm, phải hỗ trợ chế cân tải hạn chế việc tắc nghẽn đường truyền, hỗ trợ cơng nghệ ảo hóa Các thiết bị phải đảm bảo khả cung cấp chức quản trị nhằm tăng cường độ an toàn bảo mật cho hệ thống mạng như: hỗ trợ chức phân vùng truy cập, xác thực thiết bị người sử dụng Thiết bị bảo mật phải có hệ thống tường lửa phát từ chối truy cập khơng hợp lệ, có chế ngăn chặn sàng lọc gói tin có nội dung xấu, hỗ trợ việc lưu lịch sử truy cập mạng mã hóa thơng tin vào hệ thống mạng Ủy ban Hệ thống tưởng lửa phải có khả phát bảo vệ hệ thống trước hình thức tấn cơng mạng phổ biến : công từ chối dịch vụ (DoS), cơng gói tin khơng hợp lệ Xác định trách nhiệm tài sản công nghệ thông tin Thống kê, kiểm kê loại tài sản công nghệ thông tin đơn vị năm tối thiểu lần Nội dung thống kê tài sản phải bao gồm thông tin: Loại tài sản, giá trị, mức độ quan trọng, vị trí lắp đặt, thơng tin dự phịng, thơng tin quyền Phân loại, xếp thứ tự ưu tiên theo giá trị, mức độ quan trọng tài sản cơng nghệ thơng tin để có biện pháp bảo vệ tài sản phù hợp Xây dựng thực quy định quản lý, sử dụng tài sản Gắn quyền sử dụng tài sản cho cá nhân phận cụ thể Người sử dụng tài sản công nghệ thông tin phải tuân thủ quy định quản lý, sử dụng tài sản, đảm bảo tài sản sử dụng mục đích Phân loại tài sản công nghệ thông tin Phân loại tài sản thơng tin theo tiêu chí giá trị, độ nhạy cảm tầm quan trọng, tần suất sử dụng, thời gian lưu trữ Thực biện pháp quản lý phù hợp với loại tài sản thông tin phân loại Điều Đảm bảo an tồn thơng tin đầu tư dự án công nghệ thông tin xây dựng phần mềm Yêu cầu an toàn, bảo mật cho hệ thống thông tin Khi xây dựng hệ thống thông tin cải tiến hệ thống thông tin tại, phải đưa yêu cầu an toàn, bảo mật mặt ứng dụng tài liệu sử dụng trình xây dựng Đảm bảo an tồn, bảo mật ứng dụng Các chương trình phần mềm ứng dụng phải đáp ứng yêu cầu sau: - Kiểm sốt tính hợp lệ liệu nhập vào ứng dụng - Lưu trữ lịch sử sử dụng nhằm phát thông tin sai lệch lỗi trình xử lý hành vi sửa đổi thơng tin có chủ ý - Có biện pháp đảm bảo tính xác thực bảo vệ toàn vẹn liệu xử lý ứng dụng - Kiểm tra tính hợp lệ liệu xuất từ ứng dụng, đảm bảo q trình xử lý thơng tin ứng dụng xác hợp lệ Quản lý mã hóa Quy định đưa vào sử dụng biện pháp mã hóa quản lý khóa theo chuẩn quốc gia quốc tế công nhận để bảo vệ thông tin đơn vị Dữ liệu mật quản trị hệ thống, mật người sử dụng liệu nhạy cảm khác phải mã hóa truyền lên mạng lưu trữ Mật hệ thống, mật người sử dụng thông tin liên quan đến xác thực thông tin phải thay đổi hàng tuần An toàn, bảo mật tệp tin hệ thống - Phải có quy trình quản lý, cài đặt, cập nhật phần mềm, đảm bảo an toàn cho tệp tin hệ thống - Dữ liệu kiểm tra, thử nghiệm phải lựa chọn, bảo vệ, quản lý kiểm soát cách thận trọng - Mã nguồn chương trình phải quản lý kiểm sốt chặt chẽ An tồn, bảo mật quy trình hỗ trợ phát triển Phải có quy định quản lý kiểm sốt thay đổi hệ thống thơng tin Khi thay đổi hệ điều hành phải kiểm tra xem xét ứng dụng nghiệp vụ quan trọng để đảm bảo hệ thống hoạt động ổn định, an toàn mơi trường Việc sửa đổi gói phần mềm phải quản lý kiểm soát chặt chẽ từ khâu lên kế hoạch đến triển khai, nghiệm thu Giám sát, quản lý chặt chẽ việc thuê mua phần mềm bên Quản lý điểm yếu mặt kỹ thuật Có quy định việc đánh giá, quản lý kiểm soát điểm yếu kỹ thuật hệ thống công nghệ thông tin sử dụng Định kỳ đánh giá, lập báo cáo điểm yếu kỹ thuật hệ thống công nghệ thông tin sử dụng Xây dựng triển khai giải pháp khắc phục điểm yếu kỹ thuật, hạn chế rủi ro liên quan Điều Bảo vệ bí mật nhà nước ứng dụng cơng nghệ thông tin Quy định soạn thảo, in ấn, phát hành chụp tài liệu mật a) Khơng sử dụng máy tính nối mạng (Internet nội bộ) để soạn thảo văn bản, chuyển giao, lưu trữ thơng tin có nội dung bí mật nhà nước;Khơng cung cấp tin bài, tài liệu đưa thông tin bí mật nhà nước trang thơng tin điện tử Nghiêm cấm cài cắm thiết bị lưu trữ tài liệu có nội dung bí mật nhà nước vào máy tính nối mạng Internet; b) Khơng in, chụp tài liệu, vật mang bí mật nhà nước thiết bị kết nối mạng Internet Khi sửa chữa, khắc phục cố máy tính dùng để soạn thảo văn mật, quan phải chuyển cho Trung tâm Thông tin xử lý Không cho phép công ty tư nhân người khơng có trách nhiệm trực tiếp sửa chữa, xử lý khắc phục cố máy tính dùng để soạn thảo văn mật Trước lý máy tính quan, cán chuyên trách CNTT phải dùng chương trình phần mềm xóa bỏ vĩnh viễn liệu ổ cứng máy tính Khơng lý ổ cứng máy tính dùng soạn thảo chứa nội dung mật Điều Đảm bảo an tồn cho Trang thơng tin điện tử/Cổng thông tin điện tử (gọi tắt website) Tài liệu thiết kế mã nguồn phần mềm Quản lý toàn phiên mã nguồn tài liệu liên quan Phối hợp với đơn vị cung cấp dịch vụ lưu trữ website đảm bảo an ninh bảo mật cho máy chủ lưu trữ website, tránh khả công leo thang đặc quyền Yêu cầu đơn vị cung cấp dịch vụ lưu trữ phải cài đặt hệ thống phòng vệ tường lửa, thiết bị phát hiện/phòng chống xâm Vận hành ứng dụng web an toàn - Các website đưa vào sử dụng bổ sung thêm chức năng, dịch vụ công cần đánh giá kiểm định nhằm tránh lỗi bảo mật thường xảy ứng dụng web - Đơn vị phụ trách website phải đưa quy chế quản trị cập nhật tin đảm bảo an tồn bảo mật q trình quản trị biên tập tin - Máy tính thiết bị sử dụng cập nhât tin lên website phải đảm bảo an toàn phải cài đặt phần mềm phòng chống virus, mã độc Các biện pháp dự phòng thảm họa, cố Phối hợp với nhà cung cấp dịch vụ hosting xây dựng phương án phục hồi trang web, ý tháng thực việc backup toàn nội dung trang web lần bao gồm mã nguồn, sở liệu, liệu phi cấu trúc, để bảo đảm có cố khắc phục lại vòng 24 Điều Đảm bảo an tồn thơng tin quản lý, vận hành hệ thống cơng nghệ thơng tin Quy trình vận hành a) Ban hành triển khai quy trình vận hành hệ thống công nghệ thông tin đến người sử dụng bao gồm: Quy trình bật, tắt thiết bị; quy trình lưu, phục hồi liệu; quy trình bảo dưỡng thiết bị; quy trình vận hành ứng dụng; quy trình xử lý cố b) Kiểm sốt thay đổi hệ thống công nghệ thông tin bao gồm: phiên phần mềm, cấu hình phần cứng, tài liệu, quy trình vận hành; phải có phương án dự phịng q trình nâng cấp thay đổi hệ thống; ghi chép chi tiết bước, nội dung thay đổi; lập kế hoạch thực kiểm tra, vận hành thử nghiệm hệ thống trước áp dụng thức c) Hệ thống vận hành thức phải đáp ứng yêu cầu: Tách biệt với môi trường phát triển môi trường kiểm tra, thử nghiệm Chỉ cho phép kết nối Internet hệ thống công nghệ thông tin áp dụng đầy đủ giải pháp an ninh, an toàn đủ khả bảo vệ trước hiểm họa, cơng từ bên ngồi Khơng cài đặt công cụ, phương tiện phát triển ứng dụng hệ thống vận hành thức Hệ thống vận hành thức bao gồm ứng dụng đóng gói d) Đối với hệ thống thơng tin điều hành tác nghiệp: Mỗi nghiệp vụ phải đưa chia thành luồng công việc khác phân quyền xử lý tới cá nhân khác Không để cá nhân làm toàn khâu từ khởi tạo đến phê duyệt giao dịch nghiệp vụ Mọi tác vụ hệ thống lưu vết, sẵn sàng cho kiểm tra, kiểm soát cần thiết Quản lý dịch vụ bên thứ ba cung cấp Phải giám sát kiểm tra dịch vụ bên thứ ba cung cấp đảm bảo chất lượng dịch vụ, khả hoạt động hệ thống đáp ứng quy trình nghiệp vụ, đáp ứng yêu cầu bảo mật Quản lý thay đổi dịch vụ bên thứ ba cung cấp bao gồm: Nâng cấp phiên mới; sử dụng kỹ thuật mới, công cụ môi trường phát triển Đánh giá đầy đủ tác động việc thay đổi, đảm bảo an toàn đưa vào sử dụng Quản lý việc lập kế hoạch tiếp nhận hệ thống công nghệ thông tin Giám sát việc lập kế hoạch công nghệ thông tin xây dựng yêu cầu, tiêu chuẩn kỹ thuật, an tồn thơng tin Thực kiểm tra đánh giá khả đáp ứng hệ thống công nghệ thông tin hệ thống nâng cấp trước áp dụng thức Sao lưu dự phịng Ban hành phổ biến quy trình lưu dự phịng phục hồi cho phần mềm, liệu cần thiết Lập danh sách liệu, phần mềm cần lưu, có phân loại theo thời gian lưu trữ, thời gian lưu, phương pháp lưu thời gian kiểm tra phục hồi hệ thống từ liệu lưu Dữ liệu lưu phải lưu trữ an toàn kiểm tra thường xuyên đảm bảo sẵn sàng cho việc sử dụng cần Kiểm tra, phục hồi hệ thống từ liệu lưu tối thiểu ba tháng lần Quản lý an toàn, bảo mật mạng a) Thực việc quản lý kiểm soát mạng nhằm ngăn ngừa hiểm họa trì an tồn cho hệ thống, ứng dụng sử dụng mạng: - Có sơ đồ logic vật lý hệ thống mạng; - Sử dụng thiết bị tường lửa, thiết bị phát ngăn chặn xâm nhập trang thiết bị khác đảm bảo an tồn bảo mật mạng b) Thiết lập, cấu hình đầy đủ tính thiết bị an ninh mạng Sử dụng cơng cụ để dị tìm phát kịp thời điểm yếu, lỗ hổng truy cập bất hợp pháp vào hệ thống mạng Thường xuyên kiểm tra, phát kết nối, trang thiết bị, phần mềm cài đặt bất hợp pháp vào mạng c) Xác định ghi rõ tính an toàn, mức độ bảo mật dịch vụ yêu cầu quản lý thỏa thuận dịch vụ mạng bên thứ ba cung cấp Trao đổi thông tin Ban hành quy định trao đổi thông tin phần mềm qua mạng truyền thông đơn vị Ủy ban Dân tộc với đơn vị bên Xác định trách nhiệm nghĩa vụ pháp lý với thành phần tham gia Có thỏa thuận an tồn bảo mật cho việc trao đổi thơng tin với bên ngồi Có biện pháp bảo vệ phương tiện mang tin vận chuyển Xây dựng thực biện pháp bảo vệ thông tin trao đổi hệ thống công nghệ thơng tin Phịng chống vi rút phần mềm độc hại Xây dựng thực quy định phòng chống vi rút, mã độc đáp ứng yêu cầu sau: - Triển khai thường xuyên nâng cấp hệ thống phòng chống vi rút máy tính cho tồn hệ thống cơng nghệ thơng tin đơn vị; - Kiểm tra, diệt vi rút, mã độc cho tồn hệ thống cơng nghệ thơng tin đơn vị hàng ngày phương tiện mang tin nhận từ bên ngồi trước sử dụng; Khơng mở thư điện tử lạ, tệp tin đính kèm liên kết thư lạ để tránh vi rút, mã độc; Khơng vào website khơng có nguồn gốc xuất xứ rõ ràng, đáng ngờ; Cập nhật kịp thời mẫu vi rút, mã độc phần mềm chống vi rút, mã độc mới; Báo cho người quản trị hệ thống xử lý trường hợp phát không diệt vi rút, mã độc; Không tự ý cài đặt phần mềm chưa kiểm định tính an tồn bảo mật Giám sát ghi nhật ký hoạt động hệ thống công nghệ thông tin Ghi nhật ký quy định thời gian lưu trữ thông tin hoạt động hệ thống công nghệ thông tin người sử dụng, lỗi phát sinh cố an tồn thơng tin nhằm trợ giúp cho việc điều tra giám sát sau Xem xét lập báo cáo định kỳ nhật ký có hoạt động xử lý lỗi, cố cần thiết Bảo vệ chức ghi nhật ký thông tin nhật ký, chống giả mạo truy cập trái phép Người quản trị hệ thống người sử dụng khơng xóa hay sửa đổi nhật ký hệ thống ghi lại hoạt động họ Có chế đồng thời gian hệ thống công nghệ thông tin Điều Giải khắc phục cố công nghệ thông tin Báo cáo cố Xây dựng quy trình báo cáo, mẫu báo cáo xác định rõ người nhận báo cáo cố công nghệ thông tin Quy định rõ trách nhiệm báo cáo cán bộ, nhân viên bên thứ ba cố công nghệ thơng tin Các cố an tồn phải báo cáo đến người có thẩm quyền người có liên quan để có biện pháp khắc phục thời gian sớm Kiểm sốt khắc phục cố Ban hành quy trình, trách nhiệm khắc phục phịng ngừa cố cơng nghệ thông tin, đảm bảo cố xử lý thời gian ngắn giảm thiểu khả cố lặp lại Quá trình xử lý cố phải ghi chép lưu trữ đơn vị Thu thập, ghi chép, bảo toàn chứng, chứng phục vụ cho việc kiểm tra, xử lý, khắc phục phòng ngừa cố Trong trường hợp cố cơng nghệ thơng tin có liên quan đến vi phạm pháp luật, đơn vị có trách nhiệm thu thập cung cấp chứng cho quan có thẩm quyền theo quy định pháp luật Đảm bảo hoạt động liên tục Căn quy mô mức độ quan trọng hệ thống công nghệ thông tin hoạt động Ủy ban Dân tộc vụ, đơn vị để lựa chọn hệ thống công nghệ thông tin trọng yếu, có ảnh hưởng lớn tới hoạt động đơn vị Xây dựng triển khai kế hoạch, quy trình đảm bảo hoạt động liên tục hệ thống công nghệ thông tin trọng yếu Tối thiểu sáu tháng lần, tiến hành kiểm tra, thử nghiệm, đánh giá cập nhật quy trình đảm bảo hoạt động liên tục hệ thống công nghệ thông tin trọng yếu Kế hoạch, quy trình đảm bảo hoạt động liên tục phải kiểm tra, đánh giá cập nhật có thay đổi hệ thống Cơng tác dự phòng thảm họa Xây dựng hệ thống dự phịng cho hệ thống cơng nghệ thơng tin trọng yếu Ủy ban Dân tộc vụ, đơn vị trực thuộc Hệ thống dự phòng phải thay hệ thống vịng kể từ hệ thống có cố khơng khắc phục Tối thiểu ba tháng lần, phải chuyển hoạt động từ hệ thống sang hệ thống dự phịng để đảm bảo tính đồng sẵn sàng hệ thống dự phòng Tối thiểu ba tháng lần, tiến hành kiểm tra, đánh giá hoạt động hệ thống dự phòng Điều 10 Quản lý nguồn nhân lực nội đơn vị Trước tuyển dụng phân công nhiệm vụ 10 Xác định trách nhiệm an tồn, bảo mật cơng nghệ thơng tin vị trí cần tuyển dụng phân cơng Kiểm tra lý lịch, xem xét đánh giá nghiêm ngặt tư cách đạo đức, trình độ chun mơn tuyển dụng, phân công cán bộ, nhân viên làm việc vị trí trọng yếu hệ thống cơng nghệ thơng tin quản trị hệ thống, quản trị hệ thống an ninh bảo mật, vận hành hệ thống, quản trị sở liệu Quyết định hợp đồng tuyển dụng (nếu có) phải bao gồm điều khoản trách nhiệm đảm bảo an tồn, bảo mật cơng nghệ thơng tin người tuyển dụng sau làm việc Ủy ban vụ, đơn vị Trong thời gian làm việc Lãnh đạo vụ, đơn vị có trách nhiệm phổ biến cập nhật quy định an tồn, bảo mật cơng nghệ thông tin cho cán bộ, công chức đơn vị Trung tâm Thơng tin phải phối hợp với Vụ, đơn vị tiến hành kiểm tra việc thi hành quy định an tồn, bảo mật cơng nghệ thông tin cá nhân, tổ chức thuộc đơn vị tối thiểu năm lần Áp dụng biện pháp kỷ luật cán bộ, nhân viên đơn vị vi phạm quy định an toàn, bảo mật công nghệ thông tin Những công việc quan trọng cấu hình hệ thống an ninh mạng, thay đổi tham số hệ điều hành, cài đặt thiết bị tường lửa, thiết bị phát ngăn chặn xâm nhập phải thực hai người phải có người giám sát Khơng cấp quyền quản trị (người chỉnh sửa cấu hình, liệu, nhật ký) hệ thống cơng nghệ thơng tin hệ thống dự phòng cho cá nhân Khi chấm dứt thay đổi công việc Khi cán bộ, nhân viên chấm dứt thay đổi công việc, đơn vị phải: - Xác định rõ trách nhiệm cán bộ, nhân viên bên liên quan hệ thống công nghệ thông tin; - Làm biên bàn giao tài sản với cán bộ, nhân viên; - Thu hồi thay đổi quyền truy cập hệ thống công nghệ thông tin cán bộ, nhân viên cho phù hợp với công việc thay đổi Chương III TRÁCH NHIỆM ĐẢM BẢO AN NINH, AN TỒN THƠNG TIN Điều 11 Trách nhiệm Vụ, đơn vị thuộc Ủy ban Dân tộc 11 Lãnh đạo Vụ, đơn vị chịu trách nhiệm trước Ủy ban công tác đảm bảo an tồn hệ thống thơng tin đơn vị có trách nhiệm thi hành phổ biến quy chế tới cán công chức thuộc đơn vị Khi có cố nguy an tồn thơng tin, kịp thời áp dụng biện pháp để khắc phục hạn chế thấp mức thiệt hại xảy ra, báo cáo văn cho quan cấp quản lý trực tiếp Trung tâm Thông tin Ủy ban Dân tộc Trường hợp có cố nghiêm trọng vượt khả khắc phục đơn vị, phải báo cáo cho quan cấp quản lý trực tiếp Trung tâm Thông tin để kịp thời khắc phục Phối hợp với Trung tâm Thông tin lên phương án dự phòng nhằm khắc phục cố đảm bảo hệ thống hoạt động liên tục; 100% ứng dụng giao dịch điện tử phải đảm bảo an tồn thơng tin Lên kế hoạch đầu tư cần thiết để đảm bảo tăng cường an ninh, an tồn thơng tin hoạt động ứng dụng công nghệ thông tin đơn vị Báo cáo định hình an ninh, an tồn thông tin quan, đơn vị, gửi Trung tâm Thông tin để tổng hợp báo cáo lãnh đạo Ủy ban Dân tộc Điều 12 Trách nhiệm cán chuyên trách công nghệ thông tin Ủy ban Dân tộc Cán chuyên trách công nghệ thông tin (sau gọi tắt cán chuyên trách) chịu trách nhiệm tham mưu vận hành an tồn hệ thống thơng tin đơn vị, tổ chức theo dõi, kiểm soát tất phương pháp truy nhập từ xa tới hệ thống thông tin bao gồm truy nhập có chức đặc quyền Hệ thống phải có q trình kiểm tra, cho phép truy nhập từ xa người phân quyền có quyền truy cập từ xa vào hệ thống Đồng thời tổ chức triển khai chế tự động giám sát điều khiển truy nhập từ xa Thường xuyên kiểm giám sát việc lưu dự phịng đảm bảo tính sẵn sàng tồn vẹn thơng tin Tổ chức triển khai biện pháp phòng, chống, lây nhiễm virus, mã độc, thư rác,… hệ thống thông tin Xây dựng sở liệu, thiết lập hệ thống an toàn thơng tin có khả ngăn chặn truy nhập bất hợp pháp cho phép gửi/nhận liệu theo địa hợp lệ Thường xuyên triển khai biện pháp phịng chống rủi ro xảy truy cập, sử dụng trái phép; làm mất, thay đổi phá hủy hệ thống thông tin có liên quan tới hoạt động đơn vị Trường hợp xảy rủi ro cần kịp thời tổng hợp, đánh giá báo cáo mức độ nghiêm trọng để có biện pháp xử lý kịp thời Điều 13 Trách nhiệm cán công chức Ủy ban Dân tộc 12 Nghiêm chỉnh chấp hành quy định nội bộ, quy trình an tồn thơng tin quan, đơn vị quy định khác pháp luật, nâng cao ý thức cảnh giác trách nhiệm đảm bảo an ninh thông tin đơn vị Khi phát nguy an toàn cố phải báo cáo cho phận chuyên trách quan, đơn vị để kịp thời ngăn chặn, xử lý Tham gia chương trình đào tạo, hội nghị an ninh, an tồn thơng tin quan cấp Trung tâm Thông tin tổ chức Điều 14 Trách nhiệm Trung tâm Thông tin Tham mưu cho Lãnh đạo Úy ban Dân tộc công tác đảm bảo an ninh, an tồn thơng tin chịu trách nhiệm trước Lãnh đạo Úy ban việc đảm bảo an ninh, an tồn thơng tin cho hệ thống thơng tin Ủy ban Chủ trì phối hợp với quan có liên quan thành lập đồn kiểm tra cơng tác đảm bảo an ninh, an tồn thông tin; xử phạt theo thẩm quyền hành vi vi phạm hành lĩnh vực cơng nghệ thông tin Ủy ban Dân tộc theo quy định pháp luật Xây dựng triển khai chương trình đào tạo, hội nghị tuyên truyền an ninh, an tồn thơng tin cơng tác quản lý nhà nước Tùy theo mức độ cố, phối hợp với Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam (VNCERT) đơn vị có liên quan hướng dẫn xử lý, ứng cứu cố thông tin Hướng dẫn quan, đơn vị xây dựng quy định đảm bảo an ninh, an tồn thơng tin; hướng dẫn nội dung báo cáo định kỳ để quan, đơn vị thực thống Trung tâm Thơng tin chủ trì triển khai chế điều phối phối hợp đơn vị nhằm đảm bảo an tồn an ninh thơng tin Internet Phối hợp với quan báo chí đẩy mạnh tuyên truyền nâng cao nhận thức an toàn an ninh thông tin mạng internet Điều 15 Trách nhiệm công tác kiểm tra đảm bảo an ninh, an tồn thơng tin Trung tâm Thơng tin chủ trì, phối hợp với đơn vị có liên quan tiến hành kiểm tra công tác đảm bảo an ninh, an tồn thơng tin định kỳ hàng năm Vụ, đơn vị Ủy ban Dân tộc Các quan liên quan mời tham gia đoàn kiểm tra: Cử cán có chun mơn cơng nghệ thơng tin tham gia đồn kiểm tra Trung tâm Thơng tin tổ chức; phối hợp với đồn kiểm tra xây dựng tiêu chí quy trình kỹ thuật kiểm tra công tác đảm bảo an ninh, an tồn thơng tin Chương IV ĐIỀU KHOẢN THI HÀNH 13 Điều 16 Xử lý vi phạm Tổ chức, cá nhân có hành vi vi phạm Quy chế tùy theo tính chất, mức độ vi phạm mà bị xử lý kỷ luật theo trách nhiệm, xử phạt hành bị truy cứu trách nhiệm hình Nếu gây thiệt hại phải bồi thường theo quy định hành pháp luật Điều 17 Trách nhiệm thi hành Trung tâm Thơng tin chủ trì, phối hợp với vụ, đơn có liên quan triển khai thực Quy chế Văn phòng Ủy ban Dân tộc có trách nhiệm phối hợp với Trung tâm Thơng tin kiểm tra việc chấp hành Quy chế Thủ trưởng vụ, đơn vị thuộc Ủy ban Dân tộc phạm vi chức năng, nhiệm vụ mình, có trách nhiệm tổ chức triển khai kiểm tra việc chấp hành đơn vị theo quy định Quy chế Điều 18 Tổ chức thực Trong q trình triển khai, có vướng mắc, vụ, đơn vị cần phản ánh kịp thời Trung tâm Thơng tin để tổng hợp trình Lãnh đạo Ủy ban Dân tộc xem xét, bổ sung, sửa đổi Quy chế cho phù hợp./ BỘ TRƯỞNG, CHỦ NHIỆM Giàng Seo Phử 14 ... tâm Thông tin Tham mưu cho Lãnh đạo Úy ban Dân tộc công tác đảm bảo an ninh, an tồn thơng tin chịu trách nhiệm trước Lãnh đạo Úy ban việc đảm bảo an ninh, an tồn thơng tin cho hệ thống thơng tin. .. NHIỆM ĐẢM BẢO AN NINH, AN TOÀN THÔNG TIN Điều 11 Trách nhiệm Vụ, đơn vị thuộc Ủy ban Dân tộc 11 Lãnh đạo Vụ, đơn vị chịu trách nhiệm trước Ủy ban cơng tác đảm bảo an tồn hệ thống thơng tin đơn... an ninh, an tồn thơng tin hoạt động ứng dụng công nghệ thông tin đơn vị Báo cáo định hình an ninh, an tồn thơng tin quan, đơn vị, gửi Trung tâm Thông tin để tổng hợp báo cáo lãnh đạo Ủy ban Dân