Đang tải... (xem toàn văn)
Quyết định 856/QĐ-BTTTT Quy chế bảo đảm an toàn thông tin trong hoạt động ứng dụng công nghệ thông tin tài liệu, giáo án...
BỘ THÔNG TIN VÀ TRUYỀN THÔNG - CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM Độc lập - Tự - Hạnh phúc - Số: 856/QĐ-BTTTT Hà Nội, ngày 06 tháng 06 năm 2017 QUYẾT ĐỊNH BAN HÀNH QUY CHẾ BẢO ĐẢM AN TỒN THƠNG TIN TRONG HOẠT ĐỘNG ỨNG DỤNG CÔNG NGHỆ THÔNG TIN CỦA BỘ THÔNG TIN VÀ TRUYỀN THÔNG BỘ TRƯỞNG BỘ THÔNG TIN VÀ TRUYỀN THÔNG Căn Luật Công nghệ thông tin ngày 29 tháng năm 2006; Căn Luật An tồn thơng tin mạng ngày 19 tháng 11 năm 2015; Căn Nghị định số 17/2017/NĐ-CP ngày 17 tháng 02 năm 2017 Chính phủ quy định chức năng, nhiệm vụ, quyền hạn cấu tổ chức Bộ Thông tin Truyền thông; Căn Nghị định số 64/2007/NĐ-CP ngày 10 tháng năm 2007 Chính phủ ứng dụng công nghệ thông tin hoạt động quan nhà nước; Thực Quyết định số 509/QĐ-BTTTT ngày 05 tháng năm 2016 Bộ trưởng Bộ Thông tin Truyền thông phê duyệt Kế hoạch ứng dụng công nghệ thông tin hoạt động quan nhà nước, xây dựng Bộ Thông tin Truyền thông điện tử giai đoạn 2016-2020; Xét đề nghị Giám đốc Trung tâm Thông tin, QUYẾT ĐỊNH: Điều Ban hành kèm theo Quyết định “Quy chế bảo đảm an tồn thơng tin hoạt động ứng dụng cơng nghệ thông tin Bộ Thông tin Truyền thông” Điều Quyết định có hiệu lực thi hành kể từ ngày ký Điều Chánh Văn phòng, Giám đốc Trung tâm Thông tin, Thủ trưởng quan, đơn vị thuộc Bộ có liên quan chịu trách nhiệm thi hành Quyết định này./ BỘ TRƯỞNG Nơi nhận: - Như Điều 3; - Bộ trưởng Thứ trưởng; - Lưu: VT, TTTT Trương Minh Tuấn QUY CHẾ BẢO ĐẢM AN TỒN THƠNG TIN TRONG HOẠT ĐỘNG ỨNG DỤNG CƠNG NGHỆ THÔNG TIN CỦA BỘ THÔNG TIN VÀ TRUYỀN THÔNG (Ban hành kèm theo Quyết định số 856/QĐ-BTTTT ngày 06 tháng năm 2017 Bộ trưởng Bộ Thông tin Truyền thông) Chương I QUY ĐỊNH CHUNG Điều Phạm vi điều chỉnh, đối tượng áp dụng Quy chế quy định phạm vi tài nguyên thông tin nguyên tắc, sách, biện pháp bảo đảm an tồn thơng tin hoạt động ứng dụng công nghệ thông tin Bộ Thông tin Truyền thông Quy chế áp dụng quan, đơn vị thuộc Bộ Thông tin Truyền thông (sau gọi quan, đơn vị) cán bộ, công chức, viên chức, người lao động quan, đơn vị (sau gọi cá nhân) tham gia vào hoạt động ứng dụng công nghệ thơng tin Bộ Điều Giải thích từ ngữ Trong Quy chế này, từ ngữ hiểu sau: An tồn thơng tin bảo vệ thông tin hệ thống thông tin tránh bị truy nhập, sử dụng, tiết lộ, gián đoạn, sửa đổi phá hoại trái phép nhằm bảo đảm tính nguyên vẹn, tính bảo mật tính khả dụng thơng tin Xâm phạm an tồn thơng tin hành vi truy nhập, sử dụng, tiết lộ, làm gián đoạn, sửa đổi, làm sai lệch chức năng, phá hoại trái phép thông tin hệ thống thông tin Hạ tầng kỹ thuật tập hợp thiết bị tính tốn, lưu trữ, thiết bị ngoại vi, thiết bị kết nối mạng, thiết bị phụ trợ, đường truyền, mạng nội bộ, mạng diện rộng 4 Hệ thống thông tin tập hợp phần cứng, phần mềm sở liệu thiết lập phục vụ mục đích tạo lập, cung cấp, truyền đưa, thu thập, xử lý, lưu trữ trao đổi thông tin môi trường mạng Trang thông tin điện tử trang thông tin tập hợp trang thông tin môi trường mạng phục vụ cho việc cung cấp, trao đổi thông tin Cổng thông tin điện tử điểm truy nhập quan, đơn vị mơi trường mạng, liên kết, tích hợp kênh thơng tin, dịch vụ ứng dụng mà qua người dùng khai thác, sử dụng cá nhân hóa việc hiển thị thơng tin Phần mềm độc hại phần mềm có khả gây hoạt động khơng bình thường cho phần hay tồn hệ thống thơng tin thực chép, sửa đổi, xóa bỏ trái phép thơng tin lưu trữ hệ thống thông tin Cổng giao tiếp dùng để định danh ứng dụng gửi nhận liệu Mỗi ứng dụng gắn tương ứng (không cố định) với cổng giao tiếp Những ứng dụng phổ biến đặt với số hiệu cổng định trước, nhằm định danh ứng dụng Khi máy tính sử dụng dịch vụ cổng giao tiếp tương ứng với dịch vụ mở Bản ghi nhật ký hệ thống tập tin tạo thiết bị hệ thống thông tin như: thiết bị bảo mật, thiết bị tính tốn, máy chủ ứng dụng, có chứa tất thông tin hoạt động xảy thiết bị Bản ghi nhật ký hệ thống dùng để phân tích kiện xảy ra, nguồn gốc kết để có biện pháp xử lý thích hợp 10 Thiết bị lưu trữ liệu di động thiết bị sử dụng để đọc, ghi liệu di chuyển tới nhiều nơi, nhiều người sử dụng (ổ cứng di động, USB, máy tính xách tay, thẻ nhớ, CD, DVD, ) 11 Lưu trữ môi trường mạng phương thức lưu trữ sử dụng ứng dụng lưu trữ nhà cung cấp Dữ liệu đưa lên máy chủ nhà cung cấp dịch vụ lưu trữ 12 Người sử dụng cá nhân sử dụng máy tính để xử lý cơng việc 13 Tiêu chuẩn TCVN 7562:2005 tiêu chuẩn Việt Nam quy tắc thực hành quản lý an tồn thơng tin (tương đương tiêu chuẩn ISO/IEC 17799:2000) Điều Tài nguyên thông tin cần bảo đảm an tồn thơng tin Tài ngun thơng tin cần bảo đảm an tồn thơng tin Bộ Thông tin Truyền thông bao gồm thành phần sau đây: Hệ thống hạ tầng kỹ thuật: a) Thiết bị tính tốn, lưu trữ (máy chủ, máy trạm, SAN, NAS, ) b) Thiết bị ngoại vi (máy in, máy quét thiết bị số hóa, thiết bị lưu trữ liệu di động, ) c) Đường truyền liệu, đường kết nối Internet d) Mạng nội (LAN), mạng diện rộng (WAN) thiết bị kết nối mạng, thiết bị bảo mật, thiết bị phụ trợ đ) Thiết bị công nghệ thông tin kết nối mạng quan, đơn vị Hệ thống thông tin, phần mềm, ứng dụng sở liệu: a) Hệ thống thông tin, sở liệu dùng chung (thư điện tử, quản lý văn điều hành, thông tin nội bộ, quản lý nhân thi đua khen thưởng, quản lý tài sản, hồ sơ hành điện tử, liệu thống kê tổng hợp, ) b) Phần mềm, ứng dụng cung cấp dịch vụ công trực tuyến c) Cổng thông tin điện tử Bộ hệ thống trang/Cổng thông tin điện tử quan, đơn vị d) Hệ thống thông tin nghiệp vụ sở liệu chuyên ngành đ) Phần mềm, ứng dụng phục vụ công tác quản lý, điều hành hoạt động quan nhà nước Thông tin, liệu trao đổi, truyền tải, xử lý lưu trữ hạ tầng kỹ thuật Bộ Thông tin Truyền thông Điều Nguyên tắc chung bảo đảm an tồn thơng tin Bảo đảm an tồn thơng tin u cầu bắt buộc, có tính xun suốt phải thường xun, liên tục nâng cao, cải tiến trình: a) Thu thập, tạo lập, xử lý, truyền tải, lưu trữ sử dụng thông tin, liệu b) Thiết kế, xây dựng, vận hành, nâng cấp, hủy bỏ hệ thống thông tin Cơ quan, đơn vị cá nhân có trách nhiệm thực đầy đủ, nghiêm túc quy định pháp luật, quy định, quy chế Bộ Thơng tin Truyền thơng bảo vệ bí mật nhà nước bảo đảm an tồn thơng tin Các dự án ứng dụng công nghệ thông tin dự án có cấu phần cơng nghệ thơng tin phải có ý kiến thẩm định nội dung liên quan đến an tồn thơng tin trước phê duyệt 4 Khi thực thuê dịch vụ công nghệ thông tin sử dụng dịch vụ công nghệ thông tin bên thứ ba cung cấp, quan, đơn vị cá nhân phải làm quản lý việc sở hữu thơng tin, liệu từ dịch vụ đó; u cầu nhà cung cấp dịch vụ có trách nhiệm bảo mật thông tin; không để nhà cung cấp dịch vụ truy nhập, sử dụng thông tin, liệu thuộc phạm vi nhà nước quản lý Xử lý cố an tồn thơng tin phải phù hợp với trách nhiệm, quyền hạn bảo đảm lợi ích hợp pháp quan, đơn vị, cá nhân liên quan theo quy định pháp luật Điều Các hành vi bị nghiêm cấm Vi phạm quy định, quy chế, quy trình quản lý, vận hành, sử dụng bảo đảm an tồn thơng tin hạ tầng kỹ thuật hệ thống thông tin Bộ Thông tin Truyền thông Truy nhập, tác động trái phép, làm sai lệch, gây nguy hại đến thông tin, liệu xâm phạm an tồn thơng tin quan, đơn vị cá nhân khác Tấn cơng, làm ảnh hưởng đến hoạt động bình thường hệ thống thông tin ngăn chặn trái phép, gây gián đoạn truy nhập hợp pháp người sử dụng tới hệ thống thông tin Sử dụng tài nguyên thông tin Bộ để phát tán thư rác, tin nhắn rác, phần mềm độc hại, thiết lập hệ thống thông tin giả mạo, lừa đảo Chương II QUY ĐỊNH BẢO ĐẢM AN TỒN THƠNG TIN Điều Bảo đảm an tồn thơng tin mức vật lý Bảo đảm an tồn thơng tin mức vật lý việc bảo vệ hệ thống hạ tầng kỹ thuật, phần mềm, ứng dụng sở liệu khỏi mối nguy hiểm vật lý (như: cháy, nổ; nhiệt độ, độ ẩm mức cho phép; thiên tai; điện; tác động học) gây ảnh hưởng đến hoạt động hệ thống Các biện pháp bảo đảm an tồn thơng tin mức vật lý bao gồm: a) Quản lý trung tâm liệu/phòng máy chủ: - Các thiết bị kết nối mạng, thiết bị bảo mật quan trọng tường lửa, thiết bị định tuyến, hệ thống máy chủ, hệ thống lưu trữ SAN, NAS, phải đặt trung tâm liệu/phòng máy chủ; - Trung tâm liệu/phòng máy chủ phải thiết lập chế bảo vệ, theo dõi, phát xâm nhập biện pháp kiểm soát truy nhập, kết nối vật lý phù hợp khu vực: máy chủ hệ thống lưu trữ; từ mạng đấu nối; thiết bị nguồn điện dự phòng điện khẩn cấp; vận hành, kiểm soát, quản trị hệ thống Cơ quan, đơn vị chủ quản trung tâm liệu/phòng máy chủ có trách nhiệm xây dựng nội quy hướng dẫn làm việc khu vực này; - Quá trình vào, trung tâm liệu/phòng máy chủ phải ghi nhận vào nhật ký quản lý trung tâm liệu/phịng máy chủ Chỉ cá nhân có quyền, nhiệm vụ theo quy định thủ trưởng quan, đơn vị phép vào trung tâm liệu/phòng máy chủ Trang bị chế kiểm tra xác thực nâng cao (thẻ, token, vân tay ) cần thiết; - Có phương án, kế hoạch phịng, chống khắc phục cố ngập dột nước, sét, tĩnh điện, cháy nổ; áp dụng quy chuẩn kỹ thuật an toàn kỹ thuật nhiệt, độ ẩm, ánh sáng cho thiết bị tính tốn, lưu trữ; bảo đảm điều kiện hoạt động ổn định cho hệ thống hỗ trợ máy điều hòa nhiệt độ, nguồn cấp điện, dây dẫn; - Trung tâm liệu/phòng máy chủ phải trang bị hệ thống lưu điện đủ công suất trì thời gian hoạt động máy chủ 15 phút có cố điện b) Thiết lập chế dự phòng thiết bị hạ tầng kỹ thuật quan trọng; có kế hoạch kiểm tra, bảo dưỡng định kỳ trì thơng số kỹ thuật thiết bị có phương án sửa chữa, thay đáp ứng yêu cầu độ sẵn sàng suốt thời gian lắp đặt, sử dụng c) Các đường truyền liệu, đường truyền Internet hệ thống dây dẫn mạng WAN, LAN phải lắp đặt ống, máng che đậy kín, hạn chế khả tiếp cận trái phép Ngắt kết nối cổng Ethernet không sử dụng, đặc biệt khu vực làm việc chung quan, đơn vị d) Cá nhân sử dụng thiết bị lưu trữ liệu di động để lưu trữ thông tin, liệu Bộ Thông tin Truyền thông, quan, đơn vị có trách nhiệm bảo vệ thiết bị thông tin lưu thiết bị, tránh làm lộ, lọt thông tin, liệu Không mang nước ngồi thơng tin, liệu quan, đơn vị, Nhà nước mà không liên quan tới nội dung cơng việc thực nước ngồi đ) Thiết bị tính tốn có phận lưu trữ thiết bị lưu trữ mang bảo hành, bảo dưỡng, sửa chữa bên ngừng sử dụng phải tháo phận lưu trữ khỏi thiết bị xóa thông tin, liệu lưu trữ thiết bị (trừ trường hợp để khôi phục liệu) Khi lý thiết bị phải xóa nội dung lưu trữ phần mềm thiết bị hủy liệu chuyên dụng hay phá hủy vật lý 3 Cơ quan, đơn vị có trách nhiệm xây dựng quy trình bảo dưỡng, bảo trì hướng dẫn cách sử dụng, quản lý, vận hành hệ thống hạ tầng kỹ thuật mình; định phận chuyên trách công nghệ thông tin thực quản lý, vận hành định kỳ kiểm tra, sửa chữa, bảo trì thiết bị (bao gồm thiết bị hoạt động thiết bị dự phòng) Điều Bảo đảm an tồn thơng tin sử dụng máy tính Cá nhân sử dụng máy tính để xử lý công việc tuân thủ quy định sau: a) Chỉ cài đặt phần mềm hợp lệ (phần mềm có quyền thương mại, phần mềm nội đầu tư phần mềm mã nguồn mở có nguồn gốc rõ ràng) thuộc danh mục phần mềm phép sử dụng quan, đơn vị có thẩm quyền Bộ Thông tin Truyền thông ban hành (nếu có) máy tính quan, đơn vị cấp cho mình; khơng tự ý cài đặt gỡ bỏ phần mềm chưa có đồng ý phận chuyên trách công nghệ thông tin; thường xuyên cập nhật phần mềm hệ điều hành b) Cài đặt phần mềm xử lý phần mềm độc hại thiết lập chế độ tự động cập nhật sở liệu cho phần mềm; thực kiểm tra, rà quét phần mềm độc hại chép, mở tập tin trước kết nối thiết bị lưu trữ liệu di động với máy tính c) Khi phát dấu hiệu liên quan đến việc bị nhiễm phần mềm độc hại máy tính (máy chạy chậm bất thường, cảnh báo từ phần mềm phòng, chống phần mềm độc hại, liệu, ), phải tắt máy báo trực tiếp cho phận chuyên trách công nghệ thông tin để xử lý kịp thời d) Chỉ truy nhập vào trang/cổng thông tin điện tử, ứng dụng trực tuyến tin cậy thông tin phù hợp với chức năng, trách nhiệm, quyền hạn mình; sử dụng trình duyệt an tồn; khơng truy nhập, mở trang tin, thư điện tử không rõ nguồn gốc; khơng sử dụng tính lưu mật tự động đăng nhập tự động đ) Có trách nhiệm bảo mật tài khoản truy nhập thông tin, không chia sẻ mật khẩu, thông tin cá nhân với người khác Đặt mật với độ an toàn cao (có chữ thường, có chữ in hoa, có số ký tự đặc biệt @, #, !, ) thay đổi mật 01 lần/tháng; tài khoản đăng nhập hệ thống phải đăng xuất khơng sử dụng; thường xun xóa biểu mẫu, mật khẩu, nhớ cache cookie trình duyệt máy tính e) Thực thao tác khóa máy tính (sử dụng tính có sẵn máy tính) rời khỏi nơi đặt máy tính; tắt máy tính rời khỏi quan g) Báo cáo phải thủ trưởng quan, đơn vị đồng ý, cho phép trước mang máy tính, thiết bị cơng nghệ thơng tin có kết nối mạng thuộc sở hữu riêng đến nơi làm việc kết nối với mạng nội để thực xử lý công việc Trong trường hợp này, cá nhân phải tuân thủ đầy đủ quy định Điểm a, b, c, d, đ, e Khoản chịu giám sát phận chuyên trách công nghệ thông tin quan, đơn vị Cơ quan, đơn vị có trách nhiệm tập hợp, cập nhật tài liệu hướng dẫn, quy định bảo đảm an tồn thơng tin sử dụng máy tính (cho phù hợp với điều kiện mơi trường hoạt động, tình hình phát triển cơng nghệ thơng tin) phổ biến đến tất cá nhân thuộc phạm vi quan, đơn vị để tuân thủ thực Tài khoản truy nhập a) Cá nhân sử dụng hệ thống thông tin cấp sử dụng tài khoản truy nhập với định danh gắn với cá nhân Các hệ thống thơng tin dùng chung Bộ sử dụng chế đăng nhập lần, chung tài khoản truy nhập mật b) Trường hợp cá nhân thay đổi vị trí công tác, chuyển công tác, việc nghỉ hưu, quan, vịng khơng q 05 ngày làm việc, đơn vị quản lý cá nhân phải thơng báo quan, đơn vị chủ quản hệ thống thông tin để điều chỉnh, thu hồi, hủy bỏ quyền sử dụng hệ thống thông tin c) Tài khoản quản trị hệ thống (mạng, hệ điều hành, thiết bị kết nối mạng, phần mềm, ứng dụng, sở liệu) phải tách biệt với tài khoản truy nhập người sử dụng thông thường Tài khoản quản trị hệ thống phải giao đích danh cá nhân làm cơng tác quản trị Hạn chế dùng chung tài khoản quản trị Điều Bảo đảm an tồn thơng tin mạng máy tính Hệ thống mạng nội (LAN) phải thiết kế phân vùng theo chức (theo sách an tồn thơng tin riêng), bao gồm: vùng mạng người dùng; vùng mạng kết nối hệ thống bên Internet mạng khác; vùng mạng máy chủ công cộng; vùng mạng máy chủ nội bộ; vùng mạng máy chủ quản trị Dữ liệu trao đổi vùng mạng phải quản lý giám sát hệ thống thiết bị mạng, thiết bị bảo mật Căn điều kiện, yêu cầu thực tế bảo mật liệu, quan, đơn vị chủ quản hệ thống mạng nội chủ động triển khai xây dựng mơ hình, giải pháp an toàn bảo mật, bao gồm biện pháp kỹ thuật sau đây: a) Kiểm soát truy nhập từ bên ngồi mạng (sử dụng giao thức mạng có hỗ trợ chức mã hóa thơng tin SSH, SSL/TLS, VPN tương đương) b) Kiểm soát truy nhập từ bên mạng (quản lý thiết bị đầu cuối, máy tính người sử dụng kết nối vào hệ thống mạng; giám sát, phát ngăn chặn truy nhập từ bên mạng đến địa Internet bị cấm truy nhập) c) Phòng, chống xâm nhập phần mềm độc hại, bảo vệ vùng mạng máy chủ công cộng, máy chủ nội bộ, máy chủ sở liệu vùng mạng nội bộ; có khả tự động cập nhật thời gian thực sở liệu, dấu hiệu phát cơng Vơ hiệu hóa tất dịch vụ không cần thiết vùng mạng d) Cấu hình chức xác thực thiết bị kết nối mạng để xác thực người sử dụng quản trị thiết bị trực tiếp từ xa đ) Mạng khơng dây phải có chế bảo tồn tính tồn vẹn bí mật thơng tin truyền đưa mơi trường mạng, có hướng dẫn bảo đảm an tồn thơng tin dành cho thiết bị đầu cuối kết nối vào mạng; thiết lập tham số: tên, nhận dạng dịch vụ (SSID), mật khẩu, cấp phép truy nhập địa vật lý (MAC address), mã hóa liệu Thường xuyên thay đổi mật Các điểm truy nhập không dây phải bảo vệ, tránh bị tiếp cận trái phép e) Hệ thống máy chủ phải có chức tự động cập nhật ghi nhật ký hệ thống khoảng thời gian định (tối thiểu 03 tháng), lưu trữ thơng tin kết nối mạng, q trình đăng nhập vào máy chủ, thao tác cấu hình hệ thống, lỗi phát sinh trình hoạt động thơng tin liên quan an tồn thơng tin để phục vụ công tác khắc phục cố điều tra an tồn thơng tin xảy Xóa thơng tin, liệu máy chủ chuyển giao thay đổi mục đích sử dụng Cơ quan, đơn vị tham gia kết nối, sử dụng hệ thống mạng diện rộng (WAN) Bộ Thông tin Truyền thơng, mạng Truyền số liệu chun dùng có trách nhiệm: a) Bảo đảm an tồn thơng tin hệ thống mạng nội thiết bị thực kết nối vào hệ thống mạng diện rộng; thông báo cố hành vi phá hoại, xâm nhập Trung tâm Thông tin để thống xử lý b) Phối hợp với Trung tâm Thơng tin rà sốt đánh giá tính hợp lệ cấu hình địa IP kết nối mạng diện rộng trình vận hành sử dụng hệ thống thông tin, máy chủ, thiết bị công nghệ thông tin có kết nối với hệ thống mạng diện rộng c) Định kỳ lưu thông tin, liệu dùng chung lưu trữ mạng diện rộng d) Không tiết lộ phương thức (tên đăng ký, mật khẩu, tiện ích, tệp hỗ trợ cách thức khác) để truy nhập vào hệ thống mạng diện rộng cho tổ chức, cá nhân khác; khơng tìm cách truy nhập hình thức vào khu vực không phép truy nhập Cơ quan, đơn vị phải áp dụng biện pháp kỹ thuật cần thiết bảo đảm an tồn thơng tin hoạt động kết nối Internet, tối thiểu đáp ứng yêu cầu sau: a) Có hệ thống tường lửa hệ thống bảo vệ kiểm soát truy nhập Internet, đáp ứng nhu cầu kết nối đồng thời, hỗ trợ công nghệ mạng riêng ảo thơng dụng có phần cứng mã hóa tích hợp để tăng tốc độ mã hóa liệu, cung cấp đầy đủ chế bảo mật NAT, PAT, quản lý luồng liệu ra, vào có khả bảo vệ hệ thống trước loại công từ chối dịch vụ (DDoS) b) Lọc bỏ, không cho phép truy nhập trang tin có nghi ngờ chứa mã độc nội dung không phù hợp c) Không mở trang tin ứng dụng Internet máy tính chứa liệu quan trọng có khả tiếp cận liệu, ứng dụng quan trọng; chi thiết lập kết nối Internet cho máy chủ thiết bị công nghệ thông tin cần phải có giao tiếp với Internet (các máy chủ, thiết bị cung cấp giao diện Internet trang tin điện tử, dịch vụ công, thư điện tử; thiết bị cập nhật hệ điều hành, mẫu mã độc, mẫu điểm yếu, mẫu công) Điều Bảo đảm an tồn thơng tin mức ứng dụng Cơ quan, đơn vị xây dựng, vận hành sử dụng phần mềm, ứng dụng phải đáp ứng yêu cầu sau: a) Yêu cầu bảo đảm an toàn thông tin phải đưa vào tất công đoạn thiết kế, xây dựng, triển khai vận hành, sử dụng phần mềm, ứng dụng b) Cấu hình phần mềm, ứng dụng để xác thực người sử dụng; giới hạn số lần đăng nhập sai liên tiếp; giới hạn thời gian chờ để đóng phiên kết nối; mã hóa thơng tin xác thực hệ thống; khơng khuyến khích việc đăng nhập tự động c) Thiết lập phân quyền truy nhập, quản trị, sử dụng tài nguyên khác phần mềm, ứng dụng với người sử dụng/nhóm người sử dụng có chức năng, yêu cầu nghiệp vụ khác nhau; tách biệt cổng giao tiếp quản trị phần mềm ứng dụng với cổng giao tiếp cung cấp dịch vụ; đóng cổng giao tiếp khơng sử dụng d) Chỉ cho phép sử dụng giao thức mạng có hỗ trợ chức mã hóa thơng tin SSH, SSL/TLS, VPN tương đương truy nhập, quản trị phần mềm, ứng dụng từ xa thông môi trường mạng; hạn chế truy nhập tới mã nguồn phần mềm, ứng dụng phải đặt mã nguồn môi trường an tồn phận chun trách cơng nghệ thơng tin quản lý đ) Ghi lưu giữ ghi nhật ký hệ thống phần mềm, ứng dụng khoảng thời gian tối thiểu 03 tháng với thông tin bản: thời gian, địa chỉ, tài khoản (nếu có), nội dung truy nhập sử dụng phần mềm, ứng dụng; lỗi phát sinh trình hoạt động; thông tin đăng nhập quản trị e) Thực quy trình kiểm sốt việc cài đặt, cập nhật, vá lỗi bảo mật phần mềm, ứng dụng máy chủ, máy tính cá nhân, thiết bị kết nối mạng hoạt động thuộc hệ thống mạng nội g) Kiểm tra phát khắc phục điểm yếu ứng dụng trước đưa vào sử dụng q trình sử dụng (khi có thơng tin xuất điểm yếu môi trường hoạt động ứng dụng; tối thiểu năm lần) Trung tâm Thơng tin có trách nhiệm phối hợp với quan, đơn vị chủ quản hệ thống thông tin, sở liệu dùng chung Bộ thực hiện: a) Xây dựng, thống kế hoạch, phương án bảo đảm an tồn thơng tin cho hệ thống thông tin, sở liệu dùng chung b) Thường xun theo dõi, giám sát an tồn thơng tin kiểm tra, rà soát hoạt động hệ thống thông tin, sở liệu dùng chung c) Xây dựng phương án ứng cứu, khắc phục cố Điều 10 Bảo đảm an tồn thơng tin mức liệu Cơ quan, đơn vị thực bảo vệ thông tin, liệu liên quan đến hoạt động công vụ, thơng tin có nội dung quan trọng, nhạy cảm thông tin công khai sau: a) Thiết lập phương án bảo đảm tính bí mật, nguyên vẹn khả dụng thông tin, liệu; giám sát, cảnh báo có thay đổi phát hiện, ngăn chặn tác động truy nhập, gửi, nhận liệu trái phép; khuyến khích áp dụng chữ ký số để xác thực bảo mật thông tin, liệu, đặc biệt trường hợp cần bảo đảm chống từ chối nguồn gốc liệu b) Mã hóa thơng tin, liệu lưu trữ hệ thống lưu trữ/thiết bị lưu trữ liệu di động giải pháp Ban Cơ yếu Chính phủ cung cấp quan, đơn vị có thẩm quyền Bộ Thơng tin Truyền thông chấp nhận sử dụng; thiết lập phân vùng lưu trữ mã hóa, cho phép cá nhân có quyền, trách nhiệm truy nhập, lưu trữ liệu phân vùng mã hóa c) Triển khai hệ thống/phương tiện lưu trữ độc lập với hệ thống lưu trữ máy chủ dịch vụ để lưu dự phịng; phân loại quản lý thơng tin, liệu lưu trữ theo loại/nhóm thơng tin gán nhãn khác nhau; thực lưu, dự phòng thông tin, liệu sau: tập tin cấu hình hệ thống, ảnh hệ điều hành máy chủ, sở liệu; liệu, thông tin nghiệp vụ d) Bố trí máy tính riêng khơng kết nối mạng, đặt mật khẩu, mã hóa liệu biện pháp bảo mật khác bảo đảm an tồn thơng tin để soạn thảo, lưu trữ liệu, thông tin tài liệu quan trọng mức độ mật, tối mật, tuyệt mật Cơ quan, đơn vị phải thường xuyên kiểm tra, giám sát hoạt động chia sẻ, gửi, nhận thông tin, liệu hoạt động nội mình; khuyến cáo việc chia sẻ, gửi, nhận thơng tin môi trường mạng cần phải sử dụng mật để bảo vệ thông tin Đối với hoạt động trao đổi thơng tin, liệu với bên ngồi, quan, đơn vị cá nhân thực trao đổi thơng tin, liệu bên ngồi phải cam kết có biện pháp bảo mật thơng tin, liệu trao đổi; yêu cầu bên đáp ứng thỏa thuận kết nối, bảo vệ thông tin phù hợp với quy định bảo đảm an tồn thơng tin Bộ; thiết lập chức phát liệu đính kèm có phần mềm độc hại, chế bảo mật truyền thơng khơng dây, mã hóa thơng tin, liệu trước truyền đưa, trao đổi môi trường mạng theo quy định pháp luật Giao dịch trực tuyến phải truyền đầy đủ, địa chỉ, tránh bị sửa đổi, tiết lộ nhân cách trái phép; sử dụng chế xác thực mạnh, chữ ký số tham gia giao dịch, sử dụng giao thức truyền thơng an tồn Điều 11 Bảo đảm an tồn thơng tin tiếp nhận, phát triển, vận hành bảo trì hệ thống thơng tin Khi tiếp nhận, phát triển, nâng cấp, bảo trì hệ thống thơng tin, quan, đơn vị phải tiến hành phân tích, xác định rủi ro xảy ra, đánh giá phạm vi tác động phải chuẩn bị biện pháp hạn chế, loại trừ rủi ro yêu cầu bên cung cấp, thi công, cá nhân liên quan thực Một số yêu cầu sau: a) Có phương án bảo đảm an tồn thơng tin mạng quan, đơn vị có thẩm quyền Bộ Thơng tin Truyền thông thẩm định phát triển, mở rộng nâng cấp hệ thống thông tin b) Chỉ tiếp nhận đưa vào vận hành hệ thống thông tin sau thực nghiệm thu kiểm thử hệ thống (được thẩm định, xác nhận phận chuyên trách phê duyệt quan, đơn vị có thẩm quyền Bộ Thông tin Truyền thông chủ quản hệ thống thông tin) c) Hệ thống thông tin tiếp nhận phải kèm: - Tài liệu mô tả quy mô, phạm vi đối tượng sử dụng, khai thác, quản lý vận hành hệ thống thông tin; - Tài liệu mô tả thành phần hệ thống thông tin, gồm: vùng mạng chức năng, hệ thống thiết bị mạng, thiết bị bảo mật; hệ thống máy chủ hệ thống; hệ thống máy chủ ứng dụng; dịch vụ thành phần khác hệ thống thơng tin d) Xem xét tính tương thích với phần mềm, ứng dụng có, bảo đảm hoạt động ổn định, an toàn trước định thay đổi nâng cấp hệ điều hành lên phiên hơn; kiểm soát chặt chẽ việc nâng cấp, mở rộng phần mềm, ứng dụng hệ thống Việc bổ sung thiết bị vào hệ thống thông tin cần có kế hoạch, quy trình bảo đảm việc tiếp nhận không làm gián đoạn hoạt động hệ thống vận hành đ) Bảo trì hệ thống thơng tin phải có kế hoạch từ trước thực thường xun Trong q trình vận hành hệ thống thơng tin, quan, đơn vị chủ quản hệ thống cần thực hiện: a) Đánh giá, phân loại hệ thống thông tin theo cấp độ; triển khai phương án bảo đảm an tồn hệ thống thơng tin đáp ứng u cầu tiêu chuẩn, quy chuẩn kỹ thuật bảo đảm an tồn hệ thống thơng tin theo cấp độ b) Thường xuyên kiểm tra, giám sát việc tuân thủ quy định an tồn thơng tin, cập nhật đầy đủ lỗ hổng bảo mật, áp dụng chế lưu dự phịng, bảo đảm an tồn truy nhập, đăng nhập hệ thống c) Giám sát an tồn hệ thống thơng tin, cảnh báo hành vi xâm phạm an tồn thơng tin hành vi có khả gây cố an tồn thơng tin hệ thống thơng tin; tiến hành phân tích yếu tố then chốt ảnh hưởng tới trạng thái an toàn thông tin; đề xuất thay đổi biện pháp kỹ thuật d) Giám sát hiệu hệ thống thực biện pháp bảo trì cần thiết (dọn dẹp hệ thống, điều chỉnh thông số kỹ thuật bổ sung mua sắm) để bảo đảm khả xử lý tính sẵn sàng hệ thống thơng tin theo u cầu đ) Tuân thủ quy trình vận hành, quy trình xử lý cố xây dựng; ghi đầy đủ thông tin ghi nhật ký hệ thống lưu trữ nhật ký khoảng thời gian định, để phục vụ việc quản lý, kiểm sốt thơng tin 3 Đối tác phát triển phần mềm, ứng dụng cho quan, đơn vị có trách nhiệm bảo đảm an tồn thơng tin cho cơng tác phát triển, vận hành, bảo hành, bảo trì phần mềm, ứng dụng, tránh lộ lọt mã nguồn liệu, tài liệu thiết kế, quản trị hệ thống mà đối tác xử lý bên Các biện pháp kỹ thuật bảo đảm an tồn thơng tin cho trang/cổng thơng tin điện tử: a) Xác định cấu trúc thiết kế trang/cổng thơng tin điện tử: quản lý tồn phiên mã nguồn phần mềm, ứng dụng trang/cổng thông tin điện tử; phối hợp với đơn vị thực dịch vụ th máy chủ tổ chức mơ hình trang/cổng thông tin điện tử hợp lý tránh khả công leo thang đặc quyền; yêu cầu đơn vị cung cấp dịch vụ hosting phải cài đặt hệ thống phòng vệ tường lửa, thiết bị phát hiện/phòng, chống xâm nhập (IDS/IPS) mức ứng dụng web (WAF - Web Application Firewall) b) Vận hành phần mềm, ứng dụng trang/cổng thông tin điện tử: trang/ cổng thông tin điện tử đưa vào sử dụng bổ sung thêm chức thực dịch vụ công trực tuyến cần đánh giá kiểm định nhằm tránh lỗi bảo mật thường xảy ứng dụng web (như SQL Injection, Cross-Site Scripting, Broken Authentication and Session Management, Insecure Direct Object References, Cross Site Request Forgery, Security Misconfiguration, Failure to Restrict URL Access, Insecure Cryptoeraphic Storage, Insufficient Transport Layer Protection, Unvalidated Redirects and Forwards lỗi bảo mật khác) c) Thiết lập cấu hình sở liệu trang/cổng thơng tin điện tử: - Luôn cập nhật vá lỗi cho hệ quản trị sở liệu; sử dụng cơng cụ để đánh giá, tìm kiếm lỗ hổng máy chủ sở liệu; - Gỡ bỏ sở liệu khơng cịn sử dụng; - Có chế lưu liệu, tài liệu hóa trình thay đổi cấu trúc cách xây dựng nhật ký sở liệu với nội dung như: Nội dung thay đổi, lý thay đổi, thời gian, vị trí thay đổi d) Phối hợp với nhà cung cấp dịch vụ thuê máy chủ xây dựng phương án phục hồi trang/cổng thơng tin điện tử, ý tháng thực việc lưu tồn nội dung trang/cổng thơng tin điện tử 01 lần bao gồm mã nguồn, sở liệu, liệu phi cấu trúc để bảo đảm có cố khắc phục thời gian ngắn Điều 12 Kiểm tra, khắc phục cố an tồn thơng tin Cơ quan, đơn vị chủ quản hệ thống thơng tin có trách nhiệm phối hợp với quan, đơn vị chuyên trách công nghệ thơng tin, an tồn thơng tin Bộ: a) Rà soát, đánh giá xác định cố an tồn thơng tin, rủi ro an tồn thơng tin xảy với thành phần hệ thống thơng tin phạm vi quản lý Trên sở đó, xây dựng phê duyệt phương án ứng cứu, xử lý cố phù hợp với rủi ro an tồn thơng tin xảy b) Chuẩn bị sẵn sàng biện pháp, phương tiện kỹ thuật để phục vụ cho triển khai phương án ứng cứu xây dựng c) Xây dựng ban hành hướng dẫn, quy trình xử lý cố an tồn thơng tin đối tượng người sử dụng cụ thể hệ thống thông tin theo hướng dẫn Trung tâm ứng cứu khẩn cấp máy tính Việt Nam d) Thơng báo cơng khai phương án liên lạc với phận xử lý cố cho toàn cá nhân liên quan hệ thống thông tin quản lý đ) Thường xuyên kiểm tra, rà sốt tính sẵn sàng phương án ứng cứu cố; thực hướng dẫn, quy trình xử lý cố an tồn thơng tin Khi có cố nguy an tồn thơng tin, thủ trưởng quan, đơn vị thực hiện: a) Chỉ đạo xác định nguyên nhân cố, có biện pháp khắc phục kịp thời, hạn chế thiệt hại b) Trường hợp gặp cố nghiêm trọng mức độ cao, khẩn cấp (hệ thống bị gián đoạn dịch vụ; liệu tuyệt mật bí mật nhà nước có khả bị tiết lộ; liệu quan trọng hệ thống khơng bảo đảm tính tồn vẹn khơng có khả khơi phục được; hệ thống bị quyền điều khiển) chủ quản hệ thống khơng đủ khả tự kiểm sốt, xử lý cố phải phối hợp chặt chẽ với Trung tâm Thông tin, Trung tâm ứng cứu khẩn cấp máy tính Việt Nam, cung cấp đầy đủ thơng tin cố để hướng dẫn, hỗ trợ cụ thể c) Chuẩn bị tài liệu báo cáo cố, gồm nội dung sau: - Tên, địa Đơn vị vận hành hệ thống thông tin; chủ quản hệ thống thông tin; hệ thống thông tin bị cố; thời điểm phát cố; - Đầu mối liên lạc cố đơn vị vận hành hệ thống bị cố: Tên, chức vụ, điện thoại, thư điện tử; - Mô tả cố: Loại cố, tượng, đánh giá sơ mức độ nguy hại, mức độ lây lan, tác động cố đến hoạt động bình thường tổ chức; - Đơn vị cung cấp dịch vụ hạ tầng kỹ thuật; - Liệt kê biện pháp triển khai dự kiến triển khai để xử lý khắc phục cố; - Các tổ chức, doanh nghiệp hỗ trợ ứng cứu, xử lý kết xử lý cố tính đến thời điểm báo cáo; - Kết ứng cứu cố ban đầu; - Kiến nghị đề xuất hướng ứng cứu xử lý cố (nếu có); - Bản cập nhật tài liệu mô tả thành phần hệ thống thông tin, bao gồm: vùng mạng chức năng; hệ thống thiết bị mạng, thiết bị bảo mật; hệ thống máy chủ hệ thống; hệ thống máy chủ ứng dụng; dịch vụ thành phần khác hệ thống thông tin (trong trường hợp cố có khả xảy diện rộng gây ảnh hưởng dây chuyền, làm tổn hại cho hệ thống thông tin quan trọng khác) Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam chủ trì, phối hợp với Trung tâm Thơng tin, chủ quản hệ thống thông tin giám sát liên tục diễn biến cố (ở mức độ cao, khẩn cấp) thông báo, cập nhật đến bên liên quan; tiến hành phân tích cố khắc phục cố, gỡ bỏ phần mềm độc hại Điều 13 Quản lý an tồn thơng tin Cơ quan, đơn vị phải thành lập định nhân sự/bộ phận chuyên trách cơng nghệ thơng tin (hoặc lựa chọn đối tác có đủ lực quản lý an tồn thơng tin) đảm nhiệm: a) Triển khai công tác giám sát, kiểm tra việc bảo đảm an tồn thơng tin quan, đơn vị đánh giá rủi ro an tồn thơng tin b) Làm đầu mối liên hệ với quan, đơn vị chuyên trách công nghệ thông tin, an tồn thơng tin Bộ tổ chức, cá nhân lĩnh vực an tồn thơng tin c) Xây dựng chủ trì việc áp dụng sách, quy trình quản lý an tồn thơng tin, bao gồm: - Chính sách quản lý kiểm sốt truy nhập vào từ hệ thống ra; lưu dự phịng khơi phục cấu hình hệ thống; quản lý, vận hành hoạt động bình thường thiết bị tính tốn, lưu trữ, thiết bị bảo vệ mạng, thiết bị lưu trữ di động, điện thoại thông minh máy tính bảng; - Quy trình kết nối thiết bị đầu cuối người sử dụng vào hệ thống mạng; truy nhập quản lý cấu hình hệ thống; cấu hình tối ưu, tăng cường bảo mật cho thiết bị mạng, bảo mật (cứng hóa) hệ thống thực quy trình trước đưa hệ thống vào vận hành khai thác; - Nguyên tắc chung phân loại quản lý mức độ ưu tiên tài nguyên hệ thống thông tin; kiểm tra, đánh giá tài nguyên hệ thống thông tin trước đưa vào sử dụng; sử dụng hệ thống thơng tin an tồn hiệu quả; xử lý an tồn thiết bị, hệ thống thơng tin trước lý, ngừng sử dụng, chuyển giao, bảo trì sửa chữa Các quan, đơn vị xây dựng quy chế bảo đảm an tồn thơng tin nội cần Tiêu chuẩn TCVN 7562:2005 quy chuẩn, tiêu chuẩn kỹ thuật quản lý an tồn thơng tin có liên quan để áp dụng cho phù hợp Cơ quan, đơn vị thực đánh giá rủi ro an tồn thơng tin có thay đổi nhu cầu bảo đảm an tồn thơng tin, thay đổi hạ tầng kỹ thuật phần mềm, ứng dụng xuất nguy an toàn thông tin sau: a) Lập danh mục rủi ro (các mối đe dọa, điểm yếu, hậu quả) xảy thơng tin, liệu hệ thống thơng tin quan trọng mình; xác định phạm vi giới hạn cho quản lý rủi ro an tồn thơng tin; định phận chuyên trách công nghệ thông tin quản lý thực đánh giá rủi ro b) Phân tích rủi ro an tồn thơng tin, đánh giá hậu quả, thực xử lý rủi ro Cá nhân phải phận chuyên trách công nghệ thông tin hướng dẫn, hỗ trợ, cung cấp tài liệu, công cụ cần thiết để thực trách nhiệm bảo đảm an tồn thơng tin theo quy định Chương III TỔ CHỨC THỰC HIỆN Điều 14 Trách nhiệm thủ trưởng quan, đơn vị Chỉ đạo, bảo đảm việc tuân thủ quy định Quy chế phạm vi tổ chức, quyền hạn thực báo cáo việc thực Quy chế theo yêu cầu Trung tâm Thông tin Căn Quy chế nhu cầu thực tế quan, đơn vị, xây dựng rà soát sửa đổi phương án quản lý an tồn thơng tin áp dụng cho phù hợp Tổ chức kiểm tra, đánh giá định kỳ năm an tồn thơng tin hệ thống thông tin vận hành, gửi kết Trung tâm Thông tin để tổng hợp, báo cáo Lãnh đạo Bộ Tuyên truyền, phổ biến nội dung Quy chế tới cá nhân thuộc quan, đơn vị; nâng cao nhận thức cho cá nhân nguy an tồn thơng tin 5 Tạo điều kiện để bồi dưỡng, đào tạo, tăng cường lực cho phận chuyên trách công nghệ thông tin cá nhân làm công tác an tồn thơng tin Phối hợp, cung cấp thơng tin tạo điều kiện cho Trung tâm Thông tin, Cục An tồn thơng tin, Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam triển khai cơng tác kiểm tra khắc phục cố xảy cách kịp thời, nhanh chóng đạt hiệu Điều 15 Trách nhiệm cá nhân Cá nhân phụ trách an toàn thơng tin có trách nhiệm: a) Tham mưu cho thủ trưởng quan, đơn vị ban hành quy định, quy trình nội chịu trách nhiệm triển khai giải pháp kỹ thuật bảo đảm an tồn thơng tin quan, đơn vị theo Quy chế b) Thực việc giám sát, đánh giá, báo cáo thủ trưởng quan, đơn vị rủi ro an tồn thơng tin mức độ nghiêm trọng rủi ro c) Phối hợp với cá nhân, đơn vị có liên quan việc kiểm tra, phát khắc phục cố an tồn thơng tin Cá nhân người sử dụng có trách nhiệm: a) Chấp hành nghiêm túc quy định an tồn thơng tin quan, đơn vị, quy định Quy chế quy định khác pháp luật an tồn thơng tin; nâng cao ý thức cảnh giác trách nhiệm bảo đảm an tồn thơng tin phạm vi trách nhiệm quyền hạn giao b) Tự quản lý, bảo quản thiết bị mà giao sử dụng Khi phát cố phải báo với cấp phận chuyên trách công nghệ thông tin để kịp thời ngăn chặn, xử lý c) Tích cực tham gia chương trình đào tạo, hội nghị an tồn thơng tin Bộ Thơng tin Truyền thông đơn vị chuyên môn tổ chức Điều 16 Trách nhiệm Trung tâm Thông tin Là đơn vị chuyên trách công nghệ thông tin Bộ, giúp Lãnh đạo Bộ thực quản lý an tồn thơng tin hoạt động ứng dụng cơng nghệ thông tin Bộ Thông tin Truyền thông theo quy định Quy chế quy định khác pháp luật có liên quan Tổ chức phổ biến, triển khai hướng dẫn, kiểm tra việc thực Quy chế phạm vi Bộ Thông tin Truyền thông; định kỳ báo cáo Lãnh đạo Bộ thơng tin, tình hình thực 3 Chủ trì triển khai giải pháp bảo đảm an tồn thơng tin hạ tầng kỹ thuật, hệ thống thông tin sở liệu triển khai quan Bộ Tổ chức truyền thông, nâng cao nhận thức gắn kết bảo đảm an tồn thơng tin với triển khai ứng dụng cơng nghệ thông tin, phát triển Bộ Thông tin Truyền thông điện tử Tùy theo mức độ cố, phối hợp với Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam quan chức ứng cứu cố an tồn thơng tin Điều 17 Trách nhiệm Cục An tồn thơng tin Đánh giá mức độ an tồn, an ninh thơng tin hệ thống thông tin đầu tư quan, đơn vị thuộc Bộ trình xây dựng trước nghiệm thu sản phẩm, thức đưa vào sử dụng Chủ trì, phối hợp với Trung tâm Thơng tin xây dựng tiêu chí quy trình kỹ thuật kiểm tra cơng tác an tồn thơng tin Bộ Thơng tin Truyền thơng Xây dựng chủ trì triển khai quy định gắn kết bảo đảm an tồn thơng tin với triển khai ứng dụng công nghệ thông tin, phát triển Bộ Thông tin Truyền thông điện tử Phối hợp kiểm tra đánh giá công tác bảo đảm an tồn thơng tin quan, đơn vị Bộ Thông tin Truyền thông; thực đánh giá an tồn thơng tin cho hệ thống thơng tin quan, đơn vị Điều 18 Trách nhiệm Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam Là đơn vị đầu mối tiếp nhận điều phối ứng cứu cố máy tính; chủ trì, hướng dẫn cơng tác phịng ngừa ứng cứu cố an tồn thơng tin; hỗ trợ quan, đơn vị giải cố có yêu cầu Tổ chức hoạt động diễn tập ứng cứu cố máy tính theo chức năng, nhiệm vụ giao Thực kiểm tra, đánh giá định kỳ hàng năm hệ thống thông tin, sở liệu vận hành Bộ; kiểm tra, đánh giá an tồn thơng tin cho thiết bị kỹ thuật theo phân công Lãnh đạo Bộ theo đề nghị quan, đơn vị liên quan Phối hợp với Trung tâm Thông tin hoạt động giám sát an tồn hệ thống thơng tin Bộ, hoạt động ứng cứu, xử lý cố, phòng chống cơng mạng; thực giám sát an tồn thông tin cho hệ thống mạng Bộ Điều 19 Đào tạo an tồn thơng tin Hằng năm Trung tâm Thơng tin phối hợp với Cục An tồn thơng tin, Trung tâm ứng cứu khẩn cấp máy tính Việt Nam tổ chức đào tạo, tập huấn an tồn thơng tin tăng cường lực ứng cứu, xử lý cố an tồn thơng tin cho cán bộ, công chức, viên chức, người lao động Bộ Thông tin Truyền thông Nguồn kinh phí đào tạo từ nguồn ngân sách nhà nước Điều 20 Khen thưởng, xử lý vi phạm Trung tâm Thông tin tiến hành kiểm tra, đánh giá, xếp hạng an tồn thơng tin, sở tham mưu, đề xuất Lãnh đạo Bộ khen thưởng quan, đơn vị cá nhân thực tốt Quy chế năm theo quy định Cơ quan, đơn vị cá nhân vi phạm Quy chế này, tùy theo tính chất, mức độ vi phạm bị xử lý hành chính, xử lý kỷ luật hình thức xử lý khác theo quy định hành; vi phạm gây thiệt hại lớn đến tài nguyên thông tin Bộ phải chịu trách nhiệm thiệt hại gây theo quy định pháp luật Việc giải khiếu nại, tố cáo tranh chấp thực theo quy định liên quan pháp luật Điều 21 Điều khoản thi hành Trong trình thực Quy chế này, có vướng mắc, quan, đơn vị, cá nhân phản ánh Trung tâm Thông tin để tổng hợp, báo cáo Lãnh đạo Bộ Thông tin Truyền thông xem xét sửa đổi, bổ sung Quy chế cho phù hợp./ ... VT, TTTT Trương Minh Tuấn QUY CHẾ BẢO ĐẢM AN TỒN THƠNG TIN TRONG HOẠT ĐỘNG ỨNG DỤNG CÔNG NGHỆ THÔNG TIN CỦA BỘ THÔNG TIN VÀ TRUYỀN THÔNG (Ban hành kèm theo Quy? ??t định số 856/QĐ-BTTTT ngày 06 tháng... hoạt động ứng dụng công nghệ thông tin Bộ Thông tin Truyền thông Quy chế áp dụng quan, đơn vị thuộc Bộ Thông tin Truyền thông (sau gọi quan, đơn vị) cán bộ, công chức, viên chức, người lao động. .. thơng tin hoạt động ứng dụng công nghệ thông tin Bộ Thông tin Truyền thông theo quy định Quy chế quy định khác pháp luật có liên quan Tổ chức phổ biến, triển khai hướng dẫn, kiểm tra việc thực Quy