ỦY BAN NHÂN DÂN

 HUYỆN CẨM XUYÊN

CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM

Độc lập - Tự do - Hạnh phúc

Số: 3691 /QĐ-UBND.

Cẩm Xuyên, ngày   20  tháng 6 năm 2023

QUYẾT ĐỊNH

Ban hành quy chế bảo đảm an toàn, an ninh mạng

Hệ thống Mạng nội bộ của UBND huyện Cẩm Xuyên

 

CHỦ TỊCH UBND HUYỆN

Căn cứ Luật Tổ chức Chính quyền địa phương ngày 19/6/2015;Luật sửa đổi, bổ sung một số điều của Luật tổ chức Chính phủ và Luật tổ chức Chính quyền địa phương ngày 22/11/2019;

Căn cứ Luật An toàn thông tin mạng số 86/2015/QH-13 ngày 19/11/2015;

Căn cứ Nghị định số 85/2016/NĐ-CP ngày 01/7/2016 của Chính phủ về bảo đảm an toàn hệ thống thông tin theo cấp độ;

Căn cứ Quyết định số 01/2021/QĐ-UBND ngày 19/01/2021 của UBND tỉnh về việc ban hành Quy chế bảo đảm an toàn thông tin mạng trong hoạt động ứng dụng Công nghệ thông tin của các cơ quan nhà nước trên địa bàn tỉnh;

 Theo đề nghị của Chánh Văn phòng HĐND-UBND huyện tại Tờ trình số 11 ngày 15/6/2023 về việc đề nghị ban hành Quy chế quy chế bảo đảm an toàn, an ninh mạng Hệ thống Mạng nội bộ của UBND huyện Cẩm Xuyên.

QUYẾT ĐỊNH:

Điều 1: Ban hành kèm quyết định này quy chế bảo đảm an toàn, an ninh mạng Hệ thống Mạng nội bộ của UBND huyện Cẩm Xuyên.

Điều 2: Quyết định có hiệu lực kể từ ngày ban hành.

Điều 3: ChánhVăn phòng HĐND-UBND huyện, Trưởng các phòng, ban, cơ quan, đơn vị, UBND các xã, thị trấn và các cá nhân, tổ chức có liên quan chịu trách nhiệm thi hành Quyết định này./.

 

Nơi nhận:
- Như Điều 3;

- Sở Thông tin và Truyền thông;

- Chủ tịch, các Phó Chủ tịch UBND huyện;

- Cổng TTĐT của huyện;

- Lưu: VT, VP.

CHỦ TỊCH

 

 

 

 

 

 

Hà Văn Bình

 

ỦY BAN NHÂN DÂN

 HUYỆN CẨM XUYÊN

CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM

Độc lập - Tự do - Hạnh phúc
     

QUY CHẾ

Đảo đảm an toàn, an ninh mạng

Hệ thống Mạng nội bộ của UBND huyện Cẩm Xuyên

(Ban hành kèm theo Quyết định số         /QĐ-UBND ngày    tháng    năm 2023)

Chương I
QUY ĐỊNH CHUNG

Điều 1: Phạm vi điều chỉnh và đối tượng áp dụng

  1. Phạm vi điều chỉnh

Quy chế này quy định các chính sách quản lý và các biện pháp nhằm bảo đảm an toàn thông tin cho Hệ thống Mạng nội bộ bao gồm:

- Phạm vi quản lý về vật lý và logic của tổ chức;

- Các ứng dụng, dịch vụ hệ thống cung cấp;

- Nguồn nhân lực bảo đảm an toàn thông tin.

  1. Đối tượng áp dụng

Quy chế này được áp dụng đối với các  cá nhân tham gia quản lý, sử dụng hệ thống công nghệ thông tin của Hệ thống mạng nội bộ của UBND huyện Cẩm Xuyên.

Điều 2: Giải thích từ ngữ

Trong quy chế này, các từ ngữ dưới đây được hiểu như sau:

  1. An toàn thông tin mạng: là sự bảo vệ thông tin, hệ thống thông tin trên mạng tránh bị truy nhập, sử dụng, tiết lộ, gián đoạn, sửa đổi hoặc phá hoại trái phép nhằm bảo đảm tính nguyên vẹn, tính bảo mật và tính khả dụng của thông tin.

2.Mạng: là môi trường trong đó thông tin được cung cấp, truyền đưa, thu thập, xử lý, lưu trữ và trao đổi thông qua mạng viễn thông và mạng máy tính.

3.Hệ thống thông tin: là tập hợp phần cứng, phần mềm và cơ sở dữ liệu được thiết lập phục vụ mục đích tạo lập, cung cấp, truyền đưa, thu thập, xử lý, lưu trữ và trao đổi thông tin trên mạng.

4.Chủ quản hệ thống thông tin: là cơ quan, tổ chức, cá nhân có thẩm quyền quản lý trực tiếp đối với hệ thống thông tin.

5.Sự cố an toàn thông tin mạng: là việc thông tin, hệ thống thông tin bị gây nguy hại, ảnh hưởng tới tính nguyên vẹn, tính bảo mật hoặc tính khả dụng.

6.Rủi ro an toàn thông tin mạng: là những nhân tố chủ quan hoặc khách quan có khả năng ảnh hưởng tới trạng thái an toàn thông tin mạng.

7.Đánh giá rủi ro an toàn thông tin mạng: là việc phát hiện, phân tích, ước lượng mức độ tổn hại, mối đe dọa đối với thông tin, hệ thống thông tin.

8.Quản lý rủi ro an toàn thông tin mạng: là việc đưa ra các biện pháp nhằm giảm thiểu rủi ro an toàn thông tin mạng.

Điều 3: Mục tiêu, nguyên tắc bảo đảm an toàn thông tin

  1. Mục tiêu bảo đảm an toàn thông tin:

Bảo vệ thông tin, hệ thống thông tin trên mạng tránh bị truy nhập, sử dụng, tiết lộ, gián đoạn, sửa đổi hoặc phá hoại trái phép nhằm bảo đảm tính nguyên vẹn, tính bảo mật và tính khả dụng của Hệ thống thông tin.

  1. Nguyên tắc:
  2. Cơ quan, tổ chức, cá nhân thuộc đối tượng áp dụng Quy chế này có trách nhiệm bảo đảm an toàn thông tin, an ninh mạng trong phạm vi xử lý công việc của mình theo quy định của pháp luật, hướng dẫn của cơ quan, đơn vị có thẩm quyền và các quy định tại Quy chế này.
  3. Bảo đảm an toàn thông tin, an ninh mạng được thực hiện xuyên suốt, toàn trình trong khâu mua sắm, nâng cấp, vận hành, bảo trì và ngừng sử dụng hạ tầng, hệ thống thông tin, phần mềm, dữ liệu.
  4. Việc bảo đảm an toàn Hệ thống thông tin được thực hiện một cách tổng thể, đồng bộ, tập trung trong việc đầu tư các giải pháp bảo vệ, có sự dùng chung, chia sẻ tài nguyên để tối ưu hiệu năng, tránh đầu tư thừa, trùng lặp.
  5. Trách nhiệm bảo đảm an toàn thông tin mạng và an ninh mạng gắn với trách nhiệm của người đứng đầu cơ quan, đon vị và cá nhân trực tiếp liên quan.

đ) Trường hợp có quy định khác tại văn bản quy phạm pháp luật, quyết định của cấp có thẩm quyền cao hơn thì áp dụng quy định tại văn bản đó.

  1. Thông tin thuộc Danh mục bí mật nhà nước được bảo vệ theo quy định của pháp luật về bảo vệ bí mật nhà nước.

Điều 4: Những hành vi nghiêm cấm

  1. Các hành vi bị nghiêm cấm quy định tại Điều 7 Luật An toàn thông tin mạng và Điều 8 Luật An ninh mạng:
  2. Tự ý đấu nối thiết bị mạng, thiết bị cấp phát địa chỉ mạng, thiết bị phát
    sóng như điểm truy cập không dây của cá nhân vào mạng nội bộ; trên cùng một
    thiết bị thực hiện đồng thời truy cập vào mạng nội bộ và truy cập Internet bằng
    thiết bị kết nối Internet của cá nhân (modem quay số, USB 3G/4G, điện thoại di
    động, máy tính bảng, máy tính xách tay).
  3. Tự ý thay đổi, gỡ bỏ biện pháp an toàn thông tin cài đặt trên thiết bị công
    nghệ thông tin phục vụ công việc; tự ý thay thế, lắp mới, tráo đổi thành phần của
    máy tính phục vụ công việc.

Điều 5: Phối hợp với những cơ quan/tổ chức có thẩm quyền

  1. Đầu mối liên hệ, phối hợp với các cơ quan, tổ chức có thẩm quyền quản lý về an toàn thông tin:
  2. a) Cán bộ chuyên trách an toàn thông tin làm đầu mối, tổ chức thực hiện việc tiếp nhận và xử lý các sự cố về an toàn thông tin đối với các Hệ thống thông tin của đơn vị.
  3. b) Cán bộ chuyên trách an toàn thông tin, Văn phòng HĐND-UBND huyện có trách nhiệm phối hợp với phòng Văn hóa - Thông tin, Sở Thông tin và Truyền thông, Đội ứng cứu sự cố an toàn thông tin mạng tỉnh và các cơ quan, tổ chức có thẩm quyền quản lý về an toàn thông tin bảo đảm an toàn thông tin, an ninh mạng cho các Hệ thống thông tin của đơn vị.
  4. Cán bộ chuyên trách an toàn thông tin tham gia các hoạt động, công tác bảo đảm an toàn thông tin khi có yêu cầu của các cơ quan, tổ chức có thẩm quyền.

Điều 6: Bảo đảm nguồn nhân lực

  1. Cán bộ được tuyển dụng vào vị trí làm về an toàn thông tin có trình độ, chuyên ngành về lĩnh vực công nghệ thông tin, an toàn thông tin, phù hợp với vị trí tuyển dụng.

Xây dựng quy trình tuyển dụng cán bộ và điều kiện tuyển dụng cán bộ.

  1. Xây dựng kế hoạch và định kỳ hằng năm tổ chức đào tạo về an toàn thông tin cho 03 nhóm đối tượng bao gồm: cán bộ kỹ thuật, cán bộ quản lý và người sử dụng trong hệ thống.
  2. Trách nhiệm bảo đảm an toàn thông tin cho cán bộ quản lý và vận hành hệ thống.
  3. a) Cán bộ chuyên trách phải thiết lập phương pháp hạn chế truy cập mạng không dây, giám sát và điều khiển truy cập không dây, tổ chức sử dụng chứng thực và mã hóa để bảo vệ truy cập không dây tới hệ thống thông tin.
  4. b) Cán bộ chuyên trách phải tổ chức quản lý định danh đối với tất cả người dùng tham gia sử dụng hệ thống thông tin.
  5. c) Các cơ quan, địa phương và các tổ chức, cá nhân tham gia sử dụng các dịch vụ của hệ thống phải tuân thủ các quy định về bảo đảm an toàn, an ninh thông tin và chịu trách nhiệm đối với mọi hoạt động trên tài khoản truy cập của mình đã được cấp trên hệ thống.
  6. Với người sử dụng:

- Người sử dụng có trách nhiệm đảm bảo ATTT đối với từng vị trí công việc. Trước khi tham gia vào hệ thống phải được kiểm tra khả năng đáp ứng các yêu cầu về ATTT.

- Phải được thường xuyên tổ chức quán triệt các quy định về ATTT, nhằm
nâng cao nhận thức về trách nhiệm đảm bảo ATTT.

- Cá nhân, tổ chức phải có trách nhiệm tự quản lý, bảo quản thiết bị mà mình được giao sử dụng; không tự ý thay đổi, tháo lắp thiết bị.

  1. Quy định đối với cán bộ nghỉ hoặc thay đổi công việc:
  2. a) Cán bộ nghỉ hoặc thay đổi công việc phải thu hồi thẻ truy cập, thông tin được lưu trên các phương tiện lưu trữ, các trang thiết bị máy móc, phần cứng, phần mềm và các tài sản khác thuộc sở hữu của tổ chức.
  3. b) Cán bộ quản trị phải vô hiệu hóa tất cả các quyền ra, vào, truy cập tài nguyên, quản trị hệ thống sau khi cán bộ thôi việc.
  4. Cán bộ có cam kết giữ bí mật thông tin liên quan đến tổ chức sau khi nghỉ việc.

 

Chương II
BẢO ĐẢM AN TOÀN THÔNG TIN TRONG
QUẢN LÝ THIẾT KẾ, XÂY DỰNG HỆ THỐNG

Điều 7: Thiết kế an toàn hệ thống thông tin

  1. Xây dựng các tài liệu mô tả quy mô, phạm vi và đối tượng sử dụng, khai
    thác, quản lý vận hành hệ thống thông tin.
  2. Xây dựng các tài liệu mô tả thiết kế và các thành phần của hệ thống thông tin.
  3. Xây dựng các tài liệu mô tả phương án lựa chọn giải pháp công nghệ bảo
    đảm an toàn thông tin.
  4. Xây dựng các tài liệu mô tả phương án lựa chọn giải pháp công nghệ bảo
    đảm an toàn thông tin.
  5. Khi có thay đổi thiết kế, đánh giá lại tính phù hợp của phương án thiết kế
    đối với các yêu cầu an toàn đặt ra đối với hệ thống.

Điều 8:Thử nghiệm và nghiệm thu hệ thống

  1. Thực hiện thử nghiệm và nghiệm thu hệ thống trước khi bàn giao và đưa vào sử dụng theo quy định của pháp luật:

- Triển khai xây dựng kế hoạch, nội dung thử nghiệm hệ thống, trình cấp có thẩm quyền phê duyệt, trước khi thực hiện thử nghiệm và nghiệm thu hệ thống.

- Hệ thống phải được thực hiện kiểm thử hệ thống trước khi đưa vào vận hành, khai thác sử dụng theo nội dung, kế hoạch được phê duyệt.

  1. Quá trình thử nghiệm và nghiệm thu hệ thống phải đảm bảo nội dung, kế hoạch, quy trình thử nghiệm và nghiệm thu hệ thống.

 

Chương III
BẢO ĐẢM AN TOÀN THÔNG TIN TRONG
QUẢN LÝ VẬN HÀNH HỆ THỐNG

Điều 9: Quản lý an toàn mạng

  1. Quản lý, vận hành hoạt động bình thường của hệ thống máy chủ và dịch vụ.
  2. a) Bảo đảm cho hệ điều hành, phần mềm cài đặt trên máy chủ hoạt động liên tục, ổn định và an toàn.
  3. b) Thường xuyên kiểm tra cấu hình, các file nhật ký hoạt động của hệ điều hành, phần mềm nhằm kịp thời phát hiện và xử lý những sự cố nếu có.
  4. c) Quản lý các thay đổi cấu hình kỹ thuật của hệ điều hành, phần mềm.
  5. d) Thường xuyên cập nhật các bản vá lỗi hệ điều hành, phần mềm từ nhà cung cấp.

đ) Loại bỏ các thành phần của hệ điều hành, phần mềm không cần thiết hoặc không còn nhu cầu sử dụng.

  1. e) Các bản quyền phần mềm cần được thống kê, quản lý thời gian hạn phục vụ cho việc gia hạn.
  2. Cập nhật, sao lưu dự phòng và khôi phục sau khi xảy ra sự cố

Triển khai hệ thống/phương tiện lưu trữ độc lập với hệ thống lưu trữ trên các máy chủ dịch vụ để sao lưu dự phòng; phân loại và quản lý thông tin, dữ liệu được lưu trữ theo từng loại/nhóm thông tin được gán nhãn khác nhau; thực hiện sao lưu, dự phòng các thông tin, dữ liệu cơ bản sau: tập tin cấu hình hệ thống, ảnh hệ điều hành máy chủ, cơ sở dữ liệu; dữ liệu, thông tin nghiệp vụ.

  1. Truy cập và quản lý cấu hình hệ thống
  2. a) Cán bộ quản lý, nhân viên vận hành truy cập, khai thác thông tin tại
    Trung tâm dữ liệu theo trách nhiệm và phân quyền được quy định; việc khai thác thông tin phải bảo đảm nguyên tắc bảo mật, không được tự ý cung cấp thông tin ra bên ngoài.
  3. b) Cán bộ quản lý, nhân viên vận hành có trách nhiệm theo dõi và phát hiện các trường hợp truy cập hệ thống trái phép hoặc thao tác vượt quá giới hạn, báo cáo cho cán bộ quản lý để tiến hành ngăn chặn, thu hồi, khóa quyền truy cập của các tài khoản vi phạm.
  4. c) Cấu hình tối ưu, tăng cường bảo mật cho thiết bị hệ thống (cứng hóa) trước khi đưa vào vận hành, khai thác.
  5. d) Quy trình kết nối thiết bị đầu cuối của người sử dụng vào hệ thống mạng; truy nhập và quản lý cấu hình hệ thống; cấu hình tối ưu, tăng cường bảo mật cho thiết bị mạng, bảo mật (cứng hóa) trong hệ thống và thực hiện quy trình trước khi đưa hệ thống vào vận hành khai thác.

Điều 10: Quản lý an toàn máy chủ và ứng dụng

  1. Quản lý, vận hành hoạt động bình thường của hệ thống máy chủ và dịch vụ
  2. a) Bảo đảm cho hệ điều hành, phần mềm cài đặt trên máy chủ hoạt động liên tục, ổn định và an toàn.
  3. b) Thường xuyên kiểm tra cấu hình, các file nhật ký hoạt động của hệ điều
    hành, phần mềm nhằm kịp thời phát hiện và xử lý những sự cố nếu có.
  4. c) Quản lý các thay đổi cấu hình kỹ thuật của hệ điều hành, phần mềm.

- Thường xuyên cập nhật các bản vá lỗi hệ điều hành, phần mềm từ nhà cung cấp.

- Loại bỏ các thành phần của hệ điều hành, phần mềm không cần thiết hoặc
không còn nhu cầu sử dụng.

- Các bản quyền phần mềm cần được thống kê, quản lý thời gian hạn phục vụ cho việc gia hạn.

  1. Truy cập mạng của máy chủ

Bảo đảm các kết nối mạng trên máy chủ hoạt động liên tục, ổn định và an toàn. Cấu hình, kiểm soát các kết nối, các cổng dịch vụ từ bên trong đi ra cũng nhưng bên ngoài vào hệ thống.

  1. Truy cập và quản trị máy chủ và ứng dụng
  2. a) Thay đổi các tài khoản, mật khẩu mặc định ngay khi đưa hệ điều hành, phần mềm vào sử dụng.
  3. b) Cấp quyền quản lý truy cập của người sử dụng trên máy chủ cài đặt hệ điều hành.
  4. c) Toàn bộ máy chủ và thiết bị công nghệ thông tin không phải máy tính ngoại trừ các hệ thống bắt buộc phải có giao tiếp với Internet (các hệ thống phục vụ truy cập Internet; cung cấp giao diện ra Internet của trang tin điện tử, dịch vụ công, thư điện tử; phục vụ cập nhật bản vá hệ điều hành, mẫu mã độc, mẫu điểm yếu, mẫu tấn công) không được kết nối Internet.
  5. Cập nhật, sao lưu dự phòng và khôi phục sau khi xảy ra sự cố

Triển khai hệ thống/phương tiện lưu trữ độc lập với hệ thống lưu trữ trên các máy chủ dịch vụ để sao lưu dự phòng; phân loại và quản lý thông tin, dữ liệu được lưu trữ theo từng loại/nhóm thông tin được gán nhãn khác nhau; thực hiện sao lưu, dự phòng các thông tin, dữ liệu cơ bản sau: tập tin cấu hình hệ thống, ảnh hệ điều hành máy chủ, cơ sở dữ liệu; dữ liệu, thông tin nghiệp vụ.

  1. Cài đặt, gỡ bỏ hệ điều hành, dịch vụ, phần mềm trên hệ thống máy chủ và ứng dụng

Đơn vị/bộ phận chuyên trách về công nghệ thông tin của đơn vị chịu trách nhiệm cài đặt phần mềm cho máy tính phục vụ công việc. Người dùng không được can thiệp vào các phần mềm đã cài đặt trên máy tính (thay đổi, gỡ bỏ…) khi chưa được sự đồng ý của bộ phận công nghệ thông tin của đơn vị.

  1. Kết nối và gỡ bỏ hệ thống máy chủ và dịch vụ khỏi hệ thống

Cấu hình tối ưu và tăng cường bảo mật (cứng hóa) cho hệ thống máy chủ
trước khi đưa vào vận hành, khai thác.

  1. Các máy chủ trước khi đưa vào vận hành khai thác cần triển khai một số
    yêu cầu tối ưu và tăng cường bảo mật (cứng hóa) như:
  2. a) Sử dụng hệ điều hành bảo đảm an toàn thông tin;
  3. b) Loại bỏ hoặc tắt tất cả các dịch vụ không cần thiết;
  4. c) Sử dụng các phiên bản phần mềm an toàn;
  5. d) Kiểm soát truy cập và ghi nhận lại hoạt động (log) của tất cả các dịch vụ.

Cấm tất cả các truy cập từ bên ngoài vào hệ thống, chỉ cấp quyền truy cập xác đáng cho các người dùng tin cậy.

  1. e) Kiểm soát truy cập ở cấp người dùng cho mỗi dịch vụ.

Điều 11: Quản lý an toàn dữ liệu

  1. Yêu cầu an toàn đối với phương pháp mã hóa
  2. a) Đơn vị xây dựng và áp dụng quy định sử dụng các phương thức mã hóa thích hợp theo các chuẩn quốc gia hoặc quốc tế đã được công nhận để bảo vệ thông tin.
  3. b) Phải có biện pháp quản lý khóa mã hóa thích hợp để hỗ trợ việc sử dụng các kỹ thuật mã hóa.
  4. Phân loại, quản lý và sử dụng khóa bí mật và dữ liệu mã hóa.
  5. Cơ chế mã hóa và kiểm tra tính nguyên vẹn của dữ liệu.
  6. Trao đổi dữ liệu qua môi trường mạng và phương tiện lưu trữ;
  7. a) Ban hành quy định về trao đổi thông tin tối thiểu gồm: Phân loại thông tin theo mức độ nhạy cảm; quyền và trách nhiệm của cá nhân khi tiếp cận thông tin; biện pháp đảm bảo tính toàn vẹn, bảo mật khi truyền nhận, xử lý, lưu trữ thông tin; chế độ bảo quản thông tin.
  8. b) Các thông tin, tài liệu, dữ liệu nhạy cảm phải được mã hóa trước khi trao
    đổi, truyền nhận qua mạng máy tính.
  9. c) Thực hiện các biện pháp quản lý, giám sát và kiểm soát chặt chẽ các
    trang/cổng thông tin điện tử cung cấp thông tin, dịch vụ, giao dịch trực tuyến cho các tổ chức, cá nhân bên ngoài.
  10. d) Thực hiện biện pháp bảo vệ trang thiết bị, phần mềm phục vụ trao đổi
    thông tin nội bộ nhằm hạn chế việc xâm nhập, khai thác bất hợp pháp các thông tin nhạy cảm.
  11. Sao lưu dự phòng và khôi phục dữ liệu (tần suất sao lưu dự phòng, phương tiện lưu trữ, thời gian lưu trữ; nơi lưu trữ, phương thức lưu trữ và phương thức lấy dữ liệu ra khỏi phương tiện lưu trữ.
  12. a) Lập danh sách các dữ liệu, phần mềm cần được sao lưu, có phân loại theo thời gian lưu trữ, thời gian sao lưu, phương pháp sao lưu và thời gian kiểm tra phục hồi hệ thống từ dữ liệu sao lưu.
  13. b) Xây dựng tài liệu, quy trình hướng dẫn sao lưu/phục hồi dữ liệu của hệ
    thống: Đơn vị quản trị hệ thống thực hiện xây dựng Tài liệu hướng dẫn sao lưu cụ thể đối với từng hệ thống cung cấp dịch vụ, hệ thống điều hành mà đơn vị quản lý.
  14. Cập nhật đồng bộ thông tin, dữ liệu giữa hệ thống sao lưu dự phòng chính và hệ thống phụ;
  15. a) Định kỳ hoặc khi có thay đổi cấu hình trên hệ thống thực hiện quy trình sao lưu dự phòng: tập tin cấu hình hệ thống, bản dự phòng hệ điều hành máy chủ, cơ sở dữ liệu; dữ liệu, thông tin nghiệp vụ và các thông tin, dữ liệu quan trọng khác trên hệ thống (nếu có).
  16. b) Thực hiện sao lưu dữ liệu định kỳ: Cán bộ phụ trách sao lưu thực hiện sao lưu định kỳ theo phương án sao lưu đã được phê duyệt.
  17. c) Kiểm tra định kỳ: Dữ liệu sao lưu phải được lưu trữ an toàn và được kiểm tra thường xuyên đảm bảo sẵn sàng cho việc sử dụng khi cần. Kiểm tra, phục hồi hệ thống từ dữ liệu sao lưu.

Điều 12: Kiểm tra, đánh giá và quản lý rủi ro an toàn thông tin mạng

1.Nội dung kiểm tra, đánh giá:

  1. a) Kiểm tra việc tuân thủ quy định của pháp luật về bảo đảm an toàn hệ thống thông tin theo cấp độ;
  2. b) Đánh giá hiệu quả của biện pháp bảo đảm an toàn hệ thống thông tin;
  3. c) Đánh giá phát hiện mã độc, lỗ hổng, điểm yếu, thử nghiệm xâm nhập hệ thống;
  4. d) Kiểm tra, đánh giá khác do chủ quản hệ thống thông tin quy định.
  5. Hình thức kiểm tra, đánh giá:
  6. a) Kiểm tra, đánh giá định kỳ theo kế hoạch của chủ quản hệ thống thông tin;
  7. b) Kiểm tra, đánh giá đột xuất theo yêu cầu của cấp có thẩm quyền.
  8. Giám sát và đánh giá

Đơn vị chủ trì kiểm tra, đánh giá là đơn vị được cấp có thẩm quyền giao
nhiệm vụ hoặc được lựa chọn để thực hiện nhiệm vụ kiểm tra, đánh giá.

Đối tượng kiểm tra, đánh giá là chủ quản hệ thống thông tin hoặc đơn vị
vận hành hệ thống thông tin và các hệ thống thông tin có liên quan

Điều 13.  Kết thúc vận hành, khai thác, thanh lý, hủy bỏ

Cá nhân hoặc tập thể có trách nhiệm bảo đảm an toàn thông tin mạng trong quản lý, sử dụng thiết bị công nghệ thông tin được giao.

1.Quy định hủy bỏ các thông tin/dữ liệu bảo mật;

Khi sửa chữa, khắc phục các sự cố của máy tính dùng soạn thảo văn bản mật, các phòng, đơn vị phải báo cáo cho người có thẩm quyền. Không được cho phép các tổ chức, cá nhân không có trách nhiệm trực tiếp sửa chữa, xử lý, khắc phục sự cố

  1. Quy định về xử lý và hủy bỏ phương tiện lưu trữ điện tử:
  2. a) Thiết bị CNTT có chứa dữ liệu (máy tính, thiết bị lưu trữ, ...) khi bị hỏng phải được cán bộ chuyên trách về công nghệ thông tin kiểm tra, sửa chữa, khắc phục. Phải có biện pháp kiểm tra, giám sát đảm bảo không để lọt lộ thông tin hay lây nhiễm mã độc đối với máy tính mang ra bên ngoài sửa chữa, bảo hành.
  3. b) Trước khi tiến hành thanh lý/loại bỏ thiết bị công nghệ thông tin cũ, phải áp dụng các biện pháp kỹ thuật xoá bỏ hoàn toàn dữ liệu người dùng đã tạo ra, đảm bảo không thể phục hồi.
  4. Quy định về xử lý thông tin trên các phương tiện và thiết bị CNTT:

Trang thiết bị công nghệ thông tin có lưu trữ dữ liệu nhạy cảm khi thay đổi mục đích sử dụng hoặc thanh lý, đơn vị phải thực hiện các biện pháp xóa, tiêu hủy dữ liệu đó đảm bảo không có khả năng phục hồi. Trường hợp không thể tiêu hủy được dữ liệu, đơn vị phải thực hiện tiêu hủy cấu phần lưu trữ dữ liệu trên trang thiết bị công nghệ thông tin đó

Trang thiết bị công nghệ thông tin có bộ phận lưu trữ dữ liệu hoặc thiết bị lưu trữ dữ liệu khi mang đi bảo hành, bảo dưỡng, sửa chữa bên ngoài hoặc ngừng sử dụng phải tháo bộ phận lưu trữ khỏi thiết bị hoặc xóa thông tin, dữ liệu lưu trữ trên thiết bị (trừ trường hợp để khôi phục dữ liệu).

Điều 14. Quản lý an toàn người sử dụng đầu cuối

  1. Kết nối máy tính/thiết bị đầu cuối của người sử dụng vào hệ thống
  2. a. Người sử dụng khi truy cập, sử dụng tài nguyên nội bộ, truy cập mạng và tài nguyên trên Internet phải tuân thủ các quy định của pháp luật về bảo đảm an toàn thông tin và các quy định của cơ quan, tổ chức.
  3. b. Khi cài đặt, kết nối máy tính/thiết bị đầu cuối phải thực hiện theo hướng dẫn/quy trình dưới sự giám sát của bộ phận chuyên trách về an toàn thông tin.
  4. c. Máy tính/thiết bị đầu cuối phải được xử lý điểm yếu an toàn thông tin, cấu hình cứng hóa bảo mật trước khi kết nối vào hệ thống.
  5. Trong quá trình sử dụng
  6. a. Nghiêm túc chấp hành các quy chế, quy trình nội bộ và các quy định khác của pháp luật về an toàn thông tin mạng. Chịu trách nhiệm bảo đảm an toàn thông tin mạng trong phạm vi trách nhiệm và quyền hạn được giao.
  7. b. Có trách nhiệm tự quản lý, bảo quản thiết bị, tài khoản, ứng dụng mà mình được giao sử dụng.
  8. c. Khi phát hiện nguy cơ hoặc sự cố mất an toàn thông tin mạng phải báo cáo ngay với cấp trên và bộ phận phụ trách công nghệ thông tin của cơ quan, đơn vị để kịp thời ngăn chặn và xử lý.
  9. d. Tham gia các chương trình đào tạo, hội nghị về an toàn thông tin mạng được tỉnh hoặc đơn vị chuyên môn tổ chức.

Chương IV
TỔ CHỨC BẢO ĐẢM AN TOÀN THÔNG TIN

Điểu 15:  Trách nhiệm của Bộ phận chuyên trách về ATTT

1.Giao Văn phòng HĐND-UBND huyện là bộ phận chuyên trách thực thi nhiệm vụ bảo đảm an toàn thông tin và ứng cứu sự cố an toàn thông tin mạng theo các quy định tại Quy chế này.

  1. Văn phòng HĐND-UBND huyện có trách nhiệm cử cán bộ chuyên trách về ATTT liên hệ, phối hợp với Phòng Văn hóa - Thông tin, Sở Thông tin và Truyền thông, Đội ứng cứu sự cố an toàn thông tin mạng tỉnh và các cơ quan, tổ chức có thẩm quyền quản lý về an toàn thông tin phục vụ việc bảo đảm an toàn thông tin, an ninh mạng cho các Hệ thống thông tin của đơn vị.

Điều 16: Trách nhiệm của  đơn vị vận hành hệ thống

  1. Giao Văn phòng HĐND-UBND huyện làm nhiệm vụ vận hành hệ thống mạng nội bộ của đơn vị.
  2. 2. Văn phòng HĐND-UBND huyện có trách nhiệm xây dựng và tổ chức thực thi chính sách bảo đảm an toàn thông tin cho hệ thống mạng nội bộ của đơn vị.
  3. Văn phòng HĐND-UBND huyện có trách nhiệm tham mưu Lãnh đạo đơn vị tổ chức thực hiện các nhiệm vụ của đơn vị vận hành Hệ thống mạng nội bộ theo quy định tại Nghị định số 85/2016/NĐ-CP của Chính phủ, Thông tư số 12/2022/TT-BTTTT của Bộ Thông tin và Truyền thông và các hướng dẫn chuyên ngành về công tác bảo đảm an toàn thông tin cho Hệ thống mạng nội bộ của đơn vị.
  4. Đối với các dịch vụ yêu cầu thuê vận hành thì Văn phòng HĐND-UBND huyện có trách nhiệm tham mưu đơn vị cung cấp dịch vụ đảm bảo cung cấp đầy đủ các thành phần, chức năng; thiết kế, thiết lập hệ thống đáp ứng các yêu cầu kỹ thuật cấp độ theo tiêu chuẩn TCVN 11930:2017 trình lãnh đạo phê duyệt phương án thuê dịch vụ.

Chương V
TỔ CHỨC THỰC HIỆN

Điều 17: Xây dựng và công bố

Chính sách được tổ chức/ bộ phận được ủy quyền thông qua trước khi công bố áp dụng.

  1. Quy chế được lấy ý kiến cấp có thẩm quyền, đơn vị liên quan trước khi công bố áp dụng.
  2. Trong quá trình thực hiện nếu có vấn đề phát sinh, vướng mắc, các đơn vị liên quan phản ánh kịp thời về Bộ phận chuyên trách để xem xét, bổ sung, sửa đổi.

Điều 18 : Rà soát, cập nhật, bổ sung Quy chế

  1. Định kỳ hàng năm hoặc khi có thay đổi chính sách an toàn thông tin kiểm tra lại tính phù hợp và thực hiện rà soát, cập nhật, bổ sung Quy chế bảo đảm an toàn thông tin.
  2. Có hồ sơ lưu lại thông tin phản hồi của đối tượng áp dụng chính sách trong quá trình triển khai, áp dụng chính sách an toàn thông tin./.