Quyết định số 49/2014/QĐ-UBND ngày 03/10/2014 Về đảm bảo an toàn thông tin trong hoạt động ứng dụng công nghệ thông tin của cơ quan nhà nước trên địa bàn tỉnh Long An (Văn bản hết hiệu lực)
- Số hiệu văn bản: 49/2014/QĐ-UBND
- Loại văn bản: Quyết định
- Cơ quan ban hành: Tỉnh Long An
- Ngày ban hành: 03-10-2014
- Ngày có hiệu lực: 13-10-2014
- Ngày bị bãi bỏ, thay thế: 05-02-2018
- Tình trạng hiệu lực: Hết hiệu lực
- Thời gian duy trì hiệu lực: 1211 ngày (3 năm 3 tháng 26 ngày)
- Ngày hết hiệu lực: 05-02-2018
- Ngôn ngữ:
- Định dạng văn bản hiện có:
ỦY BAN NHÂN DÂN | CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM |
Số: 49/2014/QĐ-UBND | Long An, ngày 03 tháng 10 năm 2014 |
QUYẾT ĐỊNH
BAN HÀNH QUY ĐỊNH ĐẢM BẢO AN TOÀN THÔNG TIN TRONG HOẠT ĐỘNG ỨNG DỤNG CÔNG NGHỆ THÔNG TIN CỦA CƠ QUAN NHÀ NƯỚC TRÊN ĐỊA BÀN TỈNH LONG AN
ỦY BAN NHÂN DÂN TỈNH LONG AN
Căn cứ Luật Tổ chức HĐND và UBND ngày 26/11/2003;
Căn cứ Luật Giao dịch điện tử ngày 29/11/2005;
Căn cứ Luật Công nghệ thông tin ngày 29/6/2006;
Căn cứ Nghị định số 64/2007/NĐ-CP ngày 10/4/2007 của Chính phủ về ứng dụng công nghệ thông tin trong hoạt động của cơ quan nhà nước;
Căn cứ Nghị định số 72/2013/NĐ-CP ngày 15/7/2013 của Chính phủ về quản lý, cung cấp, sử dụng dịch vụ Internet và thông tin trên mạng;
Căn cứ Thông tư liên tịch số 06/2008/TTLT-BTTTT-BCA ngày 28/11/2008 của Bộ Thông tin và Truyền thông và Bộ Công an về bảo đảm an toàn cơ sở hạ tầng và an ninh thông tin trong hoạt động bưu chính, viễn thông và công nghệ thông tin;
Căn cứ Thông tư số 27/2011/TT-BTTTT ngày 04/10/2011 của Bộ Thông tin và Truyền thông quy định về điều phối các hoạt động ứng cứu sự cố mạng Internet Việt Nam;
Theo đề nghị của Sở Thông tin và Truyền thông tại tờ trình số 870/TTr-STTTT ngày 23/9/2014,
QUYẾT ĐỊNH:
Điều 1. Ban hành kèm theo Quyết định này Quy định về đảm bảo an toàn thông tin trong hoạt động ứng dụng công nghệ thông tin của cơ quan nhà nước trên địa bàn tỉnh Long An.
Điều 2. Giao Sở Thông tin và Truyền thông chủ trì, phối hợp với các cơ quan, đơn vị tổ chức triển khai, hướng dẫn, đôn đốc, kiểm tra việc thực hiện nội dung Quyết định này.
Quyết định này có hiệu lực thi hành sau 10 (mười) ngày kể từ ngày ký và thay thế Quyết định số 49/2010/QĐ-UBND ngày 01/12/2010 của UBND tỉnh về việc ban hành quy định về đảm bảo an toàn, an ninh thông tin và bảo mật trên môi trường mạng trong hoạt động của các cơ quan nhà nước trên địa bàn tỉnh Long An.
Điều 3. Chánh Văn phòng UBND tỉnh; Thủ trưởng các sở ngành tỉnh; Chủ tịch UBND các huyện, thị xã, thành phố, các xã, phường, thị trấn và các đơn vị, tổ chức, cá nhân có liên quan chịu trách nhiệm thi hành Quyết định này./.
Nơi nhận: | TM. ỦY BAN NHÂN DÂN |
QUY ĐỊNH
ĐẢM BẢO AN TOÀN THÔNG TIN TRONG HOẠT ĐỘNG ỨNG DỤNG CÔNG NGHỆ THÔNG TIN CỦA CƠ QUAN NHÀ NƯỚC TRÊN ĐỊA BÀN TỈNH LONG AN
(Kèm theo Quyết định số 49/2014/QĐ-UBND ngày 03/10/2014 của UBND tỉnh)
Chương I
QUY ĐỊNH CHUNG
Điều 1. Phạm vi và đối tượng áp dụng
1. Quy định này quy định về công tác đảm bảo an toàn thông tin số và trách nhiệm của tổ chức, cá nhân có liên quan trong hoạt động ứng dụng công nghệ thông tin (CNTT) trên môi trường mạng của các cơ quan nhà nước trên địa bàn tỉnh Long An.
2. Quy định này áp dụng đối với:
a) Các cơ quan, đơn vị sau:
- Ủy ban nhân dân (UBND) các cấp;
- Các sở, ngành tỉnh; các đơn vị sự nghiệp thuộc UBND tỉnh; các tổ chức đoàn thể tỉnh;
- Các cơ quan chuyên môn, đơn vị thuộc UBND cấp huyện.
b) Cán bộ, công chức, viên chức (CBCC-VC), người lao động trong các cơ quan, đơn vị nêu tại điểm a khoản này và các tổ chức, cá nhân có liên quan đến hoạt động ứng dụng CNTT trên môi trường mạng của các cơ quan nhà.
Điều 2. Giải thích từ ngữ
1. Mạng là khái niệm chung dùng để chỉ mạng viễn thông (cố định, di động, Internet), mạng máy tính (WAN, LAN). Trong Quy định này các vùng mạng ngoài (Public Zone), vùng mạng DMZ, vùng mạng làm việc (Working Zone) hiểu như sau:
a) Vùng mạng ngoài (Public Zone) là vùng mạng Internet;
b) Vùng DMZ (DMZ - DeMilitarized Zone) là một vùng mạng trung lập giữa mạng nội bộ và mạng Internet, chứa các thông tin cho phép người dùng từ Internet truy xuất vào mạng nội bộ. Các thiết bị tại vùng này bao gồm các thiết bị mạng phục vụ cho vùng và các máy chủ ứng dụng;
c) Vùng làm việc (Working Zone) là vùng mạng cục bộ của cơ quan và nơi bố trí các mạng nội bộ ảo trực thuộc mạng nội bộ của đơn vị. Các mạng nội bộ ảo này có thể kết nối với nhau thông qua lớp trung gian hoặc kết nối trực tiếp với nhau.
2. An toàn thông tin là sự bảo vệ thông tin và hệ thống thông tin tránh bị truy cập, sử dụng, tiết lộ, gián đoạn, sửa đổi hoặc phá hoại trái phép nhằm bảo đảm tính nguyên vẹn, tính bảo mật và tính khả dụng của thông tin.
3. Đảm bảo an toàn thông tin là đảm bảo tính nguyên vẹn, tính bảo mật và tính khả dụng của thông tin, trong đó:
a) Tính bảo mật là đảm bảo thông tin chỉ có thể được truy nhập bởi những người được cấp quyền sử dụng;
b) Tính nguyên vẹn là bảo vệ sự chính xác và đầy đủ của thông tin và các phương pháp xử lý;
c) Tính khả dụng là đảm bảo những người được cấp quyền có thể truy nhập thông tin và các tài sản liên quan ngay khi có nhu cầu.
4. Hệ thống thông tin là tập hợp thiết bị phần cứng, phần mềm và cơ sở dữ liệu được thiết lập phục vụ mục đích tạo lập, cung cấp, truyền đưa, thu thập, xử lý, lưu trữ và trao đổi thông tin.
5. Bản ghi nhật ký hệ thống (Logfile) là tập tin được tạo ra trên mỗi thiết bị của hệ thống thông tin như: Tường lửa, máy chủ ứng dụng,... có chứa tất cả thông tin về các hoạt động xảy ra trên thiết bị đó. Bản ghi nhật ký hệ thống dùng để phân tích những sự kiện đã xảy ra, truy tìm nguồn gốc và kết quả để từ đó có các biện pháp xử lý thích hợp.
6. Người dùng là cán bộ, công chức, viên chức, nhân viên hợp đồng của cơ quan, đơn vị được sử dụng máy tính truy cập vào các hệ thống ứng dụng CNTT tại cơ quan, đơn vị để xử lý công việc.
7. ISO/IEC 27001 (ISMS) là tiêu chuẩn về hệ thống quản lý an toàn thông tin do Tổ chức tiêu chuẩn hóa quốc tế và Ủy ban kỹ thuật điện quốc tế ban hành.
8. Đánh giá an toàn thông tin là việc xác định, phân tích nguy cơ mất an toàn thông tin có thể có và dự báo mức độ, phạm vi ảnh hưởng và khả năng gây thiệt hại khi xảy ra sự cố mất an toàn thông tin.
9. Tấn công từ chối dịch vụ là một kiểu tấn công mà một người làm cho một hệ thống không thể sử dụng, hoặc làm cho hệ thống đó chậm đi một cách đáng kể với người dùng bình thường, bằng cách làm quá tải tài nguyên của hệ thống.
10. Máy tính làm việc bao gồm: Máy chủ, máy quản trị và máy tính cá nhân do cơ quan cấp cho người dùng để phục vụ công việc và được quản lý theo các quy định của pháp luật về quản lý tài sản nhà nước.
Điều 3. Nguyên tắc chung về đảm bảo an toàn thông tin
1. Các cơ quan, đơn vị, CBCC-VC tham gia hoạt động trên môi trường mạng không được xâm phạm an toàn thông tin của cơ quan, đơn vị, CBCC-VC khác; trường hợp phát hiện hành vi xâm phạm an toàn thông tin hoặc sự cố mất an toàn thông tin, cơ quan, đơn vị, CBCC-VC có trách nhiệm thông báo kịp thời cho cơ quan chức năng liên quan, đồng thời tiến hành các biện pháp khắc phục nhanh chóng, hạn chế thiệt hại tại cơ quan, đơn vị.
2. Các cơ quan, đơn vị, CBCC-VC chịu trách nhiệm bảo đảm an toàn thông tin đối với thông tin và hệ thống thông tin thuộc thẩm quyền quản lý; tuân thủ các nguyên tắc, các tiêu chuẩn, quy chuẩn kỹ thuật về bảo mật, an toàn thông tin số; chịu sự quản lý, thanh tra, kiểm tra và thực hiện các yêu cầu về bảo đảm an toàn thông tin của cơ quan nhà nước có thẩm quyền; phối hợp với cơ quan quản lý nhà nước có thẩm quyền và tổ chức, cá nhân có liên quan trong việc bảo đảm an toàn thông tin trên môi trường mạng.
3. Các cơ quan, đơn vị có liên quan phải triển khai các giải pháp tăng cường khả năng phòng, chống các nguy cơ tấn công, xâm nhập các hệ thống thông tin; ngăn chặn, khắc phục kịp thời các sự cố mất an toàn thông tin trên mạng máy tính và các hệ thống thông tin thuộc thẩm quyền quản lý. Ngăn ngừa việc lộ, lọt tài liệu, thông tin bí mật nhà nước.
Điều 4. Các hành vi bị nghiêm cấm
1. Lợi dụng mạng và thông tin trên mạng nhằm mục đích:
a) Tuyên truyền chống lại Nhà nước Cộng hòa xã hội chủ nghĩa Việt Nam; thực hiện các hành vi xâm phạm an ninh quốc gia, trật tự, an toàn xã hội, gây ảnh hưởng xấu tới thuần phong, mỹ tục của dân tộc;
b) Tiết lộ bí mật nhà nước và những bí mật khác do pháp luật quy định;
c) Đưa thông tin xuyên tạc, vu khống, xúc phạm uy tín của tổ chức, danh dự và nhân phẩm của cá nhân.
2. Ngăn chặn trái phép việc truyền tải thông tin trên mạng; can thiệp trái phép, gây nguy hại, xóa, thay đổi, sửa chữa làm sai lệch thông tin trên mạng.
3. Đánh cắp và sử dụng trái phép mật khẩu, khóa mật mã, thông tin riêng của tổ chức, cá nhân; ngăn cản bất hợp pháp việc truy nhập thông tin của tổ chức, cá nhân.
4. Cản trở bất hợp pháp, gây ảnh hưởng tới hoạt động bình thường của hệ thống thông tin; Lợi dụng sơ hở, điểm yếu của hệ thống thông tin để vô hiệu hóa, vượt qua biện pháp kiểm soát truy cập, tấn công, chiếm quyền điều khiển trái phép đối với hệ thống thông tin.
5. Phát tán thư rác, thư giả mạo, tin nhắn rác, phần mềm độc hại, thiết lập hệ thống thông tin giả mạo, lừa đảo.
6. Các hành vi trái pháp luật khác liên quan đến hoạt động đảm bảo an toàn thông tin.
Chương II
NỘI DUNG ĐẢM BẢO AN TOÀN THÔNG TIN
Mục 1: ĐỐI VỚI CƠ SỞ HẠ TẦNG
Điều 5. Đảm bảo an toàn cơ sở hạ tầng công nghệ thông tin
1. Bảo vệ cơ sở hạ tầng CNTT của cơ quan, đơn vị nhằm ngăn chặn các hoạt động tấn công, đột nhập, phá hoại; phòng, chống sự cố do cháy, nổ và các sự cố khác do thiên tai gây ra.
2. Triển khai các giải pháp và hệ thống thiết bị dự phòng để bảo đảm cơ sở hạ tầng CNTT hoạt động liên tục và an toàn.
3. Triển khai các biện pháp ngăn chặn việc sử dụng, lợi dụng mạng lưới, thiết bị, các công cụ phần cứng, phần mềm để cản trở, gây nhiễu, gây rối loạn, làm hư hỏng, hủy hoại hoạt động cơ sở hạ tầng CNTT; phòng, chống virus, thư rác, phần mềm gián điệp; phòng, chống hành vi đánh cắp và sử dụng trái phép mật khẩu, khóa mật mã, thông tin riêng của các tổ chức, cá nhân.
Điều 6. Đảm bảo an toàn sử dụng máy tính làm việc
1. Máy tính làm việc chỉ được cài đặt phần mềm thông dụng do cán bộ chuyên trách CNTT quản lý hoặc những phần mềm được cung cấp theo các chương trình ứng dụng CNTT của cơ quan nhà nước có thẩm quyền; hệ điều hành được cập nhật bản vá lỗi kịp thời, cài đặt phần mềm phòng chống, diệt virus có bản quyền và cập nhật phiên bản mới nhất; thường xuyên rà quét để phát hiện và loại bỏ mã độc trong máy tính.
2. Máy tính dùng để quản trị hệ thống chỉ được cài đặt các phần mềm cần thiết phục vụ cho hoạt động quản trị hệ thống, đặt trong vùng mạng phục vụ công tác quản trị hệ thống và chỉ được cấp quyền truy cập cho các cá nhân được giao trách nhiệm quản trị hệ thống.
3. Người dùng không tự ý thay đổi cấu hình máy tính, kết nối máy tính cá nhân do cơ quan cấp vào các mạng thông tin khác (ngoài hệ thống thông tin của cơ quan); không tự ý sử dụng máy tính cấp cho người sử dụng khác; phải sử dụng mật khẩu cho tài khoản đăng nhập vào máy tính và tuân thủ các quy định tại Điều 13 Quy định này.
4. Người dùng khi sử dụng các thiết bị lưu trữ di động cá nhân phải tiến hành quét virus trước khi đưa vào sử dụng trên máy tính làm việc của mình.
Điều 7. Đảm bảo an toàn hệ thống mạng nội bộ
1. Mạng nội bộ của các cơ quan, đơn vị phải được kết nối mạng truyền số liệu chuyên dụng của tỉnh để đảm bảo an toàn thông tin theo quy định về quản lý vận hành, sử dụng và bảo đảm an toàn thông tin Mạng truyền số liệu chuyên dùng trong các cơ quan nhà nước trên địa bàn tỉnh Long An.
2. Hệ thống mạng nội bộ của cơ quan, đơn vị phải được bảo vệ bằng thiết bị tường lửa và phải đáp ứng các yêu cầu sau:
a) Phân chia hệ thống mạng nội bộ thành các vùng mạng theo phạm vi truy cập và kiểm soát truy cập giữa các vùng bằng thiết bị tường lửa, phải phân chia tối thiểu thành các vùng mạng sau: Vùng mạng ngoài (Public Zone); vùng DMZ; vùng làm việc (Working Zone) và vùng mạng riêng cho khách (áp dụng đối với các cơ quan, đơn vị cho phép khách đến làm việc được truy cập hệ thống mạng của đơn vị để sử dụng Internet).
b) Vô hiệu hóa tất cả các dịch vụ không sử dụng tại từng phân vùng mạng.
c) Cài đặt các bản cập nhật, vá lỗi đúng hạn cho các thiết bị tường lửa để khắc phục các điểm yếu nghiêm trọng của thiết bị; có cơ chế dự phòng phù hợp để đảm bảo hoạt động liên tục của các thiết bị tường lửa.
3. Đối với việc truy cập từ xa vào hệ thống mạng nội bộ:
a) Thủ trưởng cơ quan, đơn vị quyết định việc cho phép hoặc không cho phép thiết lập các kít nối từ xa vào hệ thống thông tin của cơ quan, đơn vị.
b) Cán bộ chuyên trách CNTT phải tham mưu lãnh đạo triển khai giải pháp áp dụng các tiêu chuẩn kỹ thuật để đảm bảo các kết nối từ xa vào hệ thống thông tin của cơ quan, đơn vị được giám sát chặt chẽ, cùng với các biện pháp đảm bảo an toàn thông tin; đảm bảo việc quản lý, giám sát và sử dụng các kết nối từ xa vào hệ thống thông tin của cơ quan, đơn vị tuân thủ các quy định về đảm bảo an toàn thông tin như các kết nối trực tiếp trong hệ thống mạng nội bộ của cơ quan, đơn vị.
c) Người dùng được cấp tài khoản để thực hiện kết nối từ xa vào hệ thống thông tin của cơ quan phải tuân thủ các quy định tại Điều 12 của Quy định này.
4. Không được kết nối điện thoại thông minh, máy tính bảng với hệ thống nội bộ khi chưa có sự cho phép của lãnh đạo cơ quan, đơn vị.
Điều 8. Đảm bảo an toàn thông tin khi kết nối và sử dụng mạng Internet
1. Khi kết nối hệ thống thông tin của cơ quan, đơn vị với mạng Internet để sử dụng các dịch vụ ứng dụng CNTT cung cấp qua mạng Internet, cung cấp thông tin và dịch vụ công trực tuyến cho tổ chức, cá nhân theo quy định của pháp luật, cơ quan, đơn vị phải trang bị thiết bị kiểm soát truy cập Internet; kiểm soát, hạn chế hoặc không cho phép người dùng kết nối Internet để sử dụng các dịch vụ làm tiêu tốn nhiều thời gian, băng thông phục vụ cho mục đích cá nhân trong giờ làm việc hành chính tại cơ quan, đơn vị (như: các dạng tải dữ liệu dung lượng lớn, kết nối mạng và chuyển dữ liệu trực tiếp với máy tính bên ngoài hệ thống thông tin, trao đổi trực tuyến có sử dụng giao tiếp âm thanh và hình ảnh, xem phim, chơi trò chơi trực tuyến,...).
2. Người dùng không được phép truy cập các trang thông tin có nghi ngờ chứa mã độc, không rõ nguồn gốc hoặc có nội dung không phù hợp (phản động hoặc trái thuần phong mỹ tục). Ngoại trừ những người có chức năng, thẩm quyền quản lý nhà nước lĩnh vực Internet có quyền truy cập để phục vụ cho công tác điều tra, xử lý.
3. Đối với máy chủ và thiết bị CNTT khác, chỉ thiết lập kết nối Internet cho các hệ thống cần phải có giao tiếp với Internet (các máy chủ, thiết bị cung cấp giao diện ra Internet của trang thông tin điện tử, dịch vụ công trực tuyến, thư điện tử,...).
4. Nghiêm cấm dùng máy tính kết nối vào hệ thống mạng để soạn thảo, in ấn, sao chép, lưu trữ tài liệu có nội dung liên quan đến bí mật Nhà nước.
Điều 9. Đảm bảo an toàn trong thu hồi, thanh lý, sửa chữa thiết bị
1. Các thiết bị (máy chủ, máy tính xách tay, phương tiện lưu trữ, máy tính để bàn, smartphone,...) khi không còn sử dụng cho công việc của cơ quan, đơn vị thì tiến hành thu hồi, thanh lý và đơn vị đang sử dụng, quản lý phải tiến hành xóa dữ liệu, ghi đè hoặc phá hủy vật lý, đảm bảo dữ liệu được xóa không thể khôi phục lại được.
2. Đối với các phương tiện lưu trữ có chứa dữ liệu quan trọng, phương án xử lý và ghi đè dữ liệu phải được bộ phận chuyên trách CNTT xem xét và có ý kiến phê duyệt của lãnh đạo cơ quan, đơn vị.
3. Trường hợp bắt buộc phải sửa chữa, bảo hành các thiết bị (máy chủ, máy tính để bàn, máy tính xách tay, ổ cứng, thiết bị lưu trữ di động,...) phải có ý kiến của bộ phận chuyên trách CNTT và được lãnh đạo phê duyệt.
4. Trường hợp thay đổi mục đích hoặc bàn giao thiết bị mạng, đơn vị quản trị loại bỏ hoàn toàn các cấu hình hiện tại trên thiết bị, khôi phục về trạng thái mặc định của nhà sản xuất trước khi thay đổi mục đích sử dụng hoặc bàn giao.
5. Trường hợp bàn giao các thiết bị (máy chủ, máy tính để bàn, máy tính xách tay, các thiết bị lưu trữ,...) cho bên thứ ba sửa chữa phải có biện pháp đảm bảo dữ liệu bên trong thiết bị được an toàn, không bị lộ, lọt thông tin, dữ liệu.
Điều 10. Giám sát an toàn hệ thống thông tin
1. Giám sát an toàn hệ thống thông tin là hoạt động giám sát nhằm phát hiện hành vi xâm phạm an toàn thông tin hoặc có khả năng gây ra sự cố mất an toàn thông tin đối với hệ thống thông tin.
2. Hoạt động giám sát an toàn hệ thống thông tin bao gồm:
a) Giám sát luồng thông tin được gửi, nhận qua mạng;
b) Giám sát hoạt động tại máy tính, thiết bị xử lý thông tin có kết nối mạng.
3. Cơ quan, đơn vị quản lý hệ thống thông tin quan trọng có trách nhiệm thực hiện giám sát an toàn hệ thống thông tin và lưu trữ thông tin giám sát theo quy định.
4. Doanh nghiệp viễn thông, doanh nghiệp cung cấp dịch vụ CNTT có trách nhiệm thực thi đầy đủ yêu cầu của cơ quan nhà nước khi được yêu cầu phối hợp giám sát an toàn hệ thống thông tin.
Mục 2: ĐỐI VỚI PHẦN MỀM ỨNG DỤNG
Điều 11. Đảm bảo an toàn phần mềm ứng dụng
1. Yêu cầu về đảm bảo an toàn thông tin phải được đưa vào tất cả các công đoạn liên quan đến công tác triển khai ứng dụng CNTT từ khâu thiết kế, xây dựng, triển khai và vận hành, sử dụng.
2. Ứng dụng do cơ quan, đơn vị phát triển hoặc thuê phát triển phải đáp ứng các yêu cầu sau:
a) Mã hóa thông tin bí mật hoặc nhạy cảm bằng thuật toán mã hóa an toàn.
b) Kiểm tra tính hợp lệ của dữ liệu đầu vào và đầu ra để đảm bảo dữ liệu chính xác và phù hợp.
c) Thực hiện các quy trình kiểm soát việc cài đặt phần mềm trên các máy chủ, máy tính của người dùng, thiết bị mạng đang hoạt động thuộc hệ thống mạng nội bộ.
d) Hạn chế truy cập tới mã nguồn chương trình và phải đặt mã nguồn trong môi trường an toàn do bộ phận chuyên trách CNTT quản lý.
đ) Thực hiện kiểm tra phát hiện và khắc phục lỗ hổng bảo mật của ứng dụng trước khi đưa vào sử dụng và kiểm tra định kỳ tối thiểu 6 tháng/01 lần trong quá trình sử dụng.
3. Đối với ứng dụng mua ở dạng đóng gói:
a) Theo dõi nắm bắt thông tin về các lỗ hổng bảo mật mới và cập nhật thường xuyên bản vá lỗi về bảo mật cho ứng dụng;
b) Trường hợp lỗ hổng đã được phát hiện mà chưa có bản vá lỗi của đơn vị sản xuất phần mềm, phải thực hiện đánh giá rủi ro và có biện pháp phòng tránh phù hợp.
Điều 12. Đảm bảo an toàn cơ sở dữ liệu
1. Các nội dung quan trọng hoặc nhạy cảm khi lưu trữ trên thiết bị di động hoặc truyền nhận trên môi trường mạng phải được mã hóa, trong đó:
a) Áp dụng mã hóa kênh kết nối cho các hoạt động sau: Quản trị hệ thống; đăng nhập mạng, ứng dụng; gửi nhận dữ liệu tự động giữa các máy chủ; nhập và biên tập dữ liệu; tra cứu dữ liệu;
b) Áp dụng chữ ký số để xác thực và bảo mật dữ liệu, đặc biệt trong trường hợp cần đảm bảo chống từ chối nguồn gốc dữ liệu;
c) Văn bản điện tử có nội dung cần hạn chế tiếp cận nhưng không thuộc danh mục bí mật Nhà nước được sử dụng tính năng mã hóa (đặt mật khẩu) của các ứng dụng văn phòng (phần mềm soạn thảo, đọc văn bản, nén tập tin), nhưng phải sử dụng mật khẩu an toàn.
2. CBCC-VC, người lao động thực hiện soạn thảo, gửi, nhận dữ liệu có trách nhiệm xác định mức độ quan trọng của dữ liệu để thực hiện phương thức bảo vệ dữ liệu phù hợp hoặc yêu cầu bộ phận chuyên trách CNTT hướng dẫn, hỗ trợ phương thức bảo vệ trong trường hợp cần thiết.
3. Cơ quan, đơn vị, CBCC-VC, người lao động bắt buộc phải sử dụng hộp thư điện tử của tỉnh (@longan.gov.vn) hoặc của ngành dọc (.gov.vn) để trao đổi thông tin, gửi nhận tài liệu, văn bản phục vụ cho công việc. Tuyệt đối không được sử dụng các địa chỉ thư điện tử miễn phí khác (gmail, yahoo mail,...) để trao đổi thông tin, gửi nhận tài liệu phục vụ cho công việc.
Điều 13. Quản lý, sử dụng tài khoản và mật khẩu
1. Mật khẩu của tất cả các tài khoản (ở cả cấp độ quản trị hệ thống và cấp độ người sử dụng) phải tuân thủ đồng thời các yêu cầu sau:
a) Có chứa cả các ký tự chữ in và chữ thường.
b) Có chứa ký tự số, các ký tự dấu câu hoặc các ký tự đặc biệt (!, @, #,...).
c) Có ít nhất 08 ký tự đối với tài khoản người dùng, ít nhất 15 ký tự đối với tài khoản quản trị hệ thống.
d) Không phải là một từ hoàn chỉnh trong các ngôn ngữ thông dụng (Tiếng Việt, Tiếng Anh, Tiếng Pháp,...).
đ) Không phải là một dãy ký tự lặp lại có quy luật;
e) Không dựa vào thông tin cá nhân (ngày sinh, số điện thoại,...), tên người, tên địa danh, tên cơ quan hoặc các tên gọi khác.
2. Người dùng phải thay đổi mật khẩu ngay lần đầu tiên đăng nhập vào hệ thống và thường xuyên thay đổi mật khẩu ít nhất 03 tháng/01 lần.
3. Tất cả các tài khoản quản trị hệ thống thông tin của cơ quan, đơn vị (bao gồm máy chủ, thiết bị mạng, ứng dụng và cơ sở dữ liệu trong hệ thống thông tin), thường xuyên thay đổi mật khẩu, ít nhất 02 tháng/01 lần.
4. Khi quên mật khẩu hoặc nghi ngờ mật khẩu tài khoản của mình bị người khác biết ngoài ý muốn, phải báo cáo sự việc với thủ trưởng cơ quan và cán bộ chuyên trách CNTT để có phương án xử lý kịp thời; không sử dụng mật khẩu đã bị đánh cắp hoặc nghi ngờ bị đánh cắp cho tài khoản cũ hoặc các tài khoản khác do cơ quan cấp.
5. Các quyết định, thông báo về việc người dùng điều chuyển công tác, thôi việc hoặc nghỉ việc phải được đồng thời chuyển đến cán bộ chuyên trách CNTT, đơn vị chủ trì quản lý hệ thống thông tin để thực hiện điều chỉnh, thu hồi, hủy bỏ các quyền sử dụng của người dùng đó.
Mục 3: KỸ THUẬT, BIỆN PHÁP ĐẢM BẢO AN TOÀN THÔNG TIN
Điều 14. Các biện pháp kỹ thuật đảm bảo an toàn thông tin cơ sở hạ tầng
1. Tổ chức quản lý các tài khoản của hệ thống thông tin, bao gồm: Tạo mới, kích hoạt, sửa đổi, vô hiệu và loại bỏ các tài khoản, đồng thời định kỳ tổ chức kiểm tra các tài khoản của hệ thống thông tin ít nhất 02 lần/01 năm và triển khai hệ thống quản lý người dùng để hỗ trợ việc quản lý các tài khoản của hệ thống thông tin.
2. Hệ thống thông tin phải giới hạn số lần đăng nhập sai liên tiếp (không quá 05 lần). Nếu liên tục đăng nhập sai vượt quá số lần quy định thì hệ thống sẽ tự động khóa hoặc cô lập tài khoản trong một khoảng thời gian nhất định trước khi tiếp tục cho đăng nhập.
3. Hệ thống thông tin phải ghi nhận được các sự kiện về quá trình đăng nhập hệ thống, các thao tác cấu hình hệ thống, quá trình truy xuất hệ thống, đồng thời ghi nhận đầy đủ các thông tin liên quan vào các bản ghi nhật ký hệ thống nhằm xác định những sự kiện nào đã xảy ra, nguồn gốc và kết quả của sự kiện đó; có cơ chế bảo vệ và lưu giữ bản ghi nhật ký hệ thống trong một khoảng thời gian nhất định.
4. Hệ thống thông tin tại các cơ quan, đơn vị cần có cơ chế ngăn chặn hoặc hạn chế các sự cố do tấn công từ chối dịch vụ (DoS, DDoS) gây ra. Sử dụng các thiết bị chuyên dụng để lọc gói tin nhằm bảo vệ các thiết bị bên trong, tránh bị ảnh hưởng trực tiếp bởi tấn công từ chối dịch vụ. Đối với hệ thống thông tin cho phép truy nhập công cộng có thể thực hiện bảo vệ bằng cách tăng dung lượng, băng thông hoặc thiết lập hệ thống dự phòng.
5. Xây dựng cơ chế kiểm tra, cho phép tương ứng với mỗi phương pháp truy cập từ xa và cơ chế tự động giám sát, điều khiển các truy cập từ xa; phải thiết lập phương pháp hạn chế truy cập mạng không dây, giám sát và điều khiển truy cập mạng không dây, tổ chức sử dụng chứng thực và mã hóa để bảo vệ truy cập mạng không dây tới hệ thống thông tin.
6. Lựa chọn, triển khai các phần mềm chống virus, thư rác có hiệu quả trên các máy chủ, máy trạm, các thiết bị, phương tiện kỹ thuật trong mạng,...; đồng thời, thường xuyên cập nhật bản vá lỗi, phiên bản mới cho các phần mềm chống virus, nhằm kịp thời phát hiện, loại trừ mã độc máy tính (virus, trojan, worms,...).
7. Kiểm tra, giám sát chức năng chia sẻ thông tin trong mạng nội bộ. Tổ chức cấp phát tài nguyên trên máy chủ theo danh mục, thư mục cho từng phòng/ban, đơn vị. Khi thực hiện việc chia sẻ tài nguyên trên máy chủ hoặc trên máy đang sử dụng phải đặt mật khẩu theo quy định tại Điều 13 của Quy định này để bảo vệ thông tin.
8. Hệ thống thông tin phải có cơ chế, giải pháp sao lưu dự phòng dữ liệu ở mức người dùng, mức hệ thống và được lưu trữ tại nơi an toàn nhằm tránh bị ảnh hưởng khi xảy ra sự cố hỏa hoạn, thiên tai, lũ lụt. Đồng thời, thường xuyên kiểm tra dữ liệu dự phòng để đảm bảo tính sẵn sàng phục hồi và toàn vẹn thông tin.
Điều 15. Các biện pháp kỹ thuật đảm bảo an toàn thông tin phần mềm ứng dụng
1. Quản lý toàn bộ các phiên bản mã nguồn của phần mềm ứng dụng. Các phần mềm ứng dụng khi triển khai ra môi trường Internet phải tổ chức mô hình hợp lý, tránh khả năng tấn công chiếm quyền quản trị ứng dụng; cài đặt các hệ thống phòng vệ như tường lửa (firewall), thiết bị phát hiện/phòng chống xâm nhập (IDS/IPS) ở mức phần mềm ứng dụng.
2. Các phần mềm ứng dụng khi đưa vào sử dụng hoặc khi bổ sung các chức năng mới cần tiến hành đánh giá, kiểm định mức độ an toàn thông tin trước khi đưa vào vận hành chính thức nhằm tránh các lỗi mang tính bảo mật.
3. Thiết lập và cấu hình cơ sở dữ liệu bảo đảm an toàn:
a) Luôn cập nhật bản vá lỗi mới nhất cho hệ thống quản trị cơ sở dữ liệu; sử dụng công cụ để đánh giá, tìm kiếm lỗ hổng trên máy chủ cơ sở dữ liệu.
b) Gỡ bỏ các cơ sở dữ liệu không sử dụng.
c) Có các cơ chế sao lưu dữ liệu, tài liệu trong quá trình thay đổi cấu trúc bằng cách xây dựng nhật ký cơ sở dữ liệu với các nội dung như: Nội dung thay đổi, lý do thay đổi, thời gian, vị trí thay đổi.
4. Xây dựng phương án sao lưu, phục hồi các phần mềm ứng dụng, trong đó chú ý việc sao lưu toàn bộ nội dung liên quan của phần mềm ứng dụng, bao gồm: Mã nguồn, cơ sở dữ liệu, dữ liệu phi cấu trúc, đảm bảo khi có sự cố xảy ra có thể kịp thời khắc phục, phục hồi đầy đủ, trả lại trạng thái hoạt động bình thường của phần mềm ứng dụng.
Điều 16. Điều phối, ứng cứu sự cố mạng
1. Ứng cứu sự cố mạng là hoạt động nhằm xử lý, khắc phục sự cố gây mất an toàn thông tin trên mạng, ứng cứu sự cố mạng trên địa bàn tỉnh do Bộ phận điều phối các hoạt động ứng cứu sự cố mạng Internet trong các cơ quan nhà nước trên địa bàn tỉnh (gọi tắt là “Bộ phận điều phối”) thực hiện.
2. Ứng cứu sự cố mạng được thực hiện theo các nguyên tắc sau đây:
a) Nhanh chóng, chính xác, kịp thời, hiệu quả; tuân thủ quy định của pháp luật về điều phối ứng cứu sự cố mạng.
b) Thông tin được trao đổi, cung cấp trong quá trình điều phối, xử lý sự cố phải được đảm bảo bí mật theo yêu cầu của tổ chức, cá nhân gặp sự cố, trừ khi sự cố xảy ra có liên quan tới nhiều đối tượng người dùng khác hoặc có tính chất nghiêm trọng mà Cơ quan điều phối cấp trên có yêu cầu cung cấp để phục vụ cho công tác ứng cứu.
c) Việc trao đổi thông tin trong hoạt động điều phối phải được thực hiện bằng một hoặc nhiều hình thức như: công văn, thư điện tử, điện thoại, fax. Thành viên tiếp nhận thông tin phải chủ động xác thực đối tượng gửi nhằm bảo đảm thông điệp nhận được là tin cậy.
d) Thành viên Bộ phận điều phối có quyền được chia sẻ thông tin, kinh nghiệm, tham gia các hoạt động diễn tập ứng cứu sự cố, tham gia các khóa đào tạo, bồi dưỡng về hoạt động ứng cứu sự cố.
3. Công tác điều phối ứng cứu sự cố thực hiện theo Quy chế và quy trình cụ thể từ khâu: Thông báo sự cố; tiếp nhận và xử lý thông báo sự cố đến khâu điều phối ứng cứu sự cố.
Điều 17. Phát hiện, ngăn chặn và xử lý phần mềm độc hại
1. Cơ quan, đơn vị quản lý hệ thống thông tin quan trọng triển khai giải pháp, xây dựng hệ thống kỹ thuật nghiệp vụ nhằm phát hiện, ngăn chặn và xử lý kịp thời việc phát tán phần mềm độc hại.
2. Tổ chức cung cấp dịch vụ thư điện tử, truyền đưa, lưu trữ thông tin trực tuyến phải có hệ thống phát hiện và lọc phần mềm độc hại trong thông tin được gửi, nhận hoặc lưu trữ trên hệ thống thông tin của mình và có trách nhiệm báo cáo cho cơ quan có thẩm quyền theo quy định của pháp luật.
3. Doanh nghiệp cung cấp dịch vụ Internet có trách nhiệm ngăn chặn việc phát tán phần mềm độc hại theo yêu cầu của cơ quan chức năng.
Điều 18. Đào tạo, bồi dưỡng kiến thức an toàn thông tin
1. Cơ quan, tổ chức xây dựng kế hoạch tuyển dụng, đào tạo, phân công, cán bộ chuyên trách về CNTT và an toàn thông tin để đảm bảo quản lý, khai thác có hiệu quả và bảo đảm an toàn cho hệ thống thông tin thuộc phạm vi quản lý của cơ quan, tổ chức mình; chịu trách nhiệm tổ chức hoặc cử cán bộ chuyên trách, bán chuyên trách CNTT tham gia các khóa đào tạo, bồi dưỡng, cập nhật kiến thức cơ bản về an toàn thông tin mạng do tỉnh hoặc cấp trên tổ chức.
2. Cán bộ chuyên trách về CNTT tại các cơ quan, đơn vị có hệ thống thông tin phải thường xuyên được đào tạo nâng cao, chuyên sâu về công tác đảm bảo an toàn thông tin, kịp thời cập nhật kiến thức mới về an toàn thông tin; được bố trí, tạo điều kiện làm việc phù hợp, được hưởng lương và phụ cấp ưu đãi theo quy định.
Điều 19. Xây dựng quy chế nội bộ và áp dụng quy trình đảm bảo an toàn thông tin
1. Các cơ quan, đơn vị phải xây dựng quy chế nội bộ và áp dụng quy trình đảm bảo an toàn, an ninh cho hệ thống thông tin nhằm giảm thiểu các nguy cơ gây ra sự cố mất an toàn thông tin, tạo điều kiện cho việc khắc phục và truy vết trong trường hợp có sự cố xảy ra.
2. Các cơ quan, đơn vị tham khảo các bước cơ bản để xây dựng khung quy trình đảm bảo an toàn thông tin cho hệ thống thông tin tại tiêu chuẩn Quốc tế lSO/IEC 27001.
Chương III
PHÂN CÔNG TRÁCH NHIỆM THỰC HIỆN
Điều 20. Trách nhiệm của các cơ quan, đơn vị
1. Các cơ quan, đơn vị trên địa bàn tỉnh phải ban hành quy định hoặc quy chế về đảm bảo an toàn thông tin trong hoạt động của cơ quan, đơn vị mình.
2. Thủ trưởng các cơ quan, đơn vị có trách nhiệm tuyên truyền, nâng cao nhận thức cho CBCC-VC về các nguy cơ mất an toàn hệ thống thông tin; triển khai thực hiện nghiêm túc Quy định này và các quy định khác có liên quan; chịu trách nhiệm trước UBND tỉnh về công tác đảm bảo an toàn thông tin cho các hệ thống thông tin do cơ quan, đơn vị mình quản lý, vận hành. Thiết lập kênh thông tin trực tuyến để tiếp nhận phản ánh các vấn đề liên quan đến an toàn thông tin.
3. Khi có sự cố hoặc nguy cơ mất an toàn thông tin phải kịp thời chỉ đạo khắc phục ngay, ưu tiên sử dụng cán bộ kỹ thuật chuyên trách CNTT trong cơ quan, đơn vị. Đồng thời, thông báo bằng văn bản gửi về Sở Thông tin và Truyền thông, cơ quan cấp trên quản lý trực tiếp nắm bắt. Trường hợp không khắc phục được thì phối hợp với Sở Thông tin và Truyền thông hoặc cơ quan quản lý cấp trên để được hướng dẫn, hỗ trợ.
4. Phối hợp chặt chẽ với cơ quan Công an trong công tác phòng ngừa, đấu tranh, ngăn chặn các hành vi vi phạm an toàn, an ninh thông tin. Tạo điều kiện thuận lợi cho các cơ quan chức năng tham gia khắc phục sự cố và thực hiện đúng theo hướng dẫn.
5. Phối hợp với đoàn kiểm tra triển khai công tác kiểm tra khắc phục sự cố; đồng thời cung cấp đầy đủ các thông tin khi đoàn kiểm tra yêu cầu.
6. Báo cáo UBND tỉnh về tình hình và kết quả thực hiện công tác đảm bảo an toàn thông tin tại cơ quan, đơn vị (thông qua Sở Thông tin và Truyền thông) định kỳ hàng năm (trước ngày 20 tháng 9).
Điều 21. Trách nhiệm Sở Thông tin và Truyền thông
1. Tham mưu UBND tỉnh tổ chức thực hiện các văn bản quy phạm pháp luật, chiến lược, quy hoạch, tiêu chuẩn, quy chuẩn kỹ thuật về an toàn thông tin trên địa bàn tỉnh; chịu trách nhiệm trước UBND tỉnh về việc đảm bảo an toàn thông tin cho các hệ thống thông tin trực tiếp quản lý vận hành.
2. Hàng năm, xây dựng và trình UBND tỉnh phê duyệt kế hoạch, dự toán nguồn kinh phí triển khai thực hiện công tác đảm bảo an toàn thông tin trong hoạt động ứng dụng CNTT của các cơ quan, đơn vị trên địa bàn tỉnh; đánh giá an toàn thông tin cho các hệ thống thông tin trọng điểm của tỉnh.
3. Phối hợp với các cơ quan, đơn vị liên quan thực hiện thanh tra, kiểm tra khi phát hiện có các dấu hiệu, hành vi vi phạm pháp luật về an toàn thông tin. Sở Thông tin và Truyền thông có trách nhiệm quản lý công tác giám sát an toàn hệ thống thông tin của cơ quan, đơn vị trên địa bàn tỉnh.
4. Xây dựng và triển khai thực hiện các chương trình, kế hoạch đào tạo, bồi dưỡng; hội nghị tuyên truyền, phổ biến pháp luật về an toàn thông tin cho các cơ quan, đơn vị, tổ chức, cá nhân có liên quan trên địa bàn tỉnh.
5. Tham mưu UBND tỉnh quyết định thành lập, ban hành Quy chế hoạt động của Bộ phận điều phối và triển khai thực hiện quy trình điều phối xử lý, ứng cứu sự cố mất an toàn thông tin của Bộ phận điều phối trong cơ quan nhà nước của tỉnh. Tùy theo mức độ sự cố, phối hợp Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam (VNCERT) và các đơn vị có liên quan để hướng dẫn xử lý, ứng cứu các sự cố mất an toàn thông tin tại các hệ thống thông tin trên địa bàn tỉnh.
6. Hướng dẫn chuyên môn nghiệp vụ về đảm bảo an toàn thông tin cho hệ thống thông tin của các cơ quan, đơn vị; thường xuyên thông báo đến các cơ quan, đơn vị về nguy cơ gây mất an toàn thông tin do virus, phần mềm gián điệp,... gây ra và hướng dẫn biện pháp phòng ngừa, ngăn chặn kịp thời.
7. Định kỳ và đột xuất báo cáo UBND tỉnh và Bộ thông tin và Truyền thông về tình hình thực hiện công tác đảm bảo an toàn thông tin trong các cơ quan, đơn vị trên địa bàn tỉnh.
Điều 22. Trách nhiệm Công an tỉnh
1. Phối hợp với Sở Thông tin và Truyền thông kiểm tra công tác đảm bảo an toàn an ninh thông tin trong các cơ quan, đơn vị trên địa bàn tỉnh; triển khai công tác bảo đảm an ninh thông tin, phòng, chống tội phạm và các hành vi vi phạm pháp luật khác trong công tác đảm bảo an toàn thông tin; thanh tra, kiểm tra và xử lý vi phạm đối với tổ chức, cá nhân vi phạm quy định về bảo đảm an ninh thông tin trong hoạt động của các cơ quan, đơn vị.
2. Thường xuyên thông báo cho các cơ quan, đơn vị về âm mưu, phương thức, thủ đoạn hoạt động của các thế lực thù địch và tội phạm trên lĩnh vực CNTT nhằm nâng cao ý thức cảnh giác và có biện pháp phòng ngừa, đấu tranh, ngăn chặn kịp thời hoạt động của tội phạm và các thế lực thù địch.
3. Điều tra và xử lý các trường hợp vi phạm về an toàn, an ninh thông tin theo thẩm quyền quy định của pháp luật hiện hành.
4. Thực hiện nhiệm vụ bảo vệ an toàn các công trình quan trọng về an ninh quốc gia trong lĩnh vực CNTT trên địa bàn tỉnh.
5. Cơ quan chuyên trách bảo vệ an ninh quốc gia thuộc Công an tỉnh khi phát hiện các thông tin, tài liệu, dữ liệu, đồ vật liên quan đến hoạt động xâm phạm an ninh quốc gia theo quy định phải thực hiện các quy định sau đây:
a) Yêu cầu tổ chức, cá nhân cung cấp các thông tin, dữ liệu, số liệu, tài liệu, đồ vật liên quan.
b) Thực hiện theo thẩm quyền các biện pháp thu giữ, sao chép thông tin, dữ liệu, số liệu, tài liệu, đồ vật, một phần hoặc toàn bộ hệ thống thiết bị liên quan.
c) Ngăn cản việc truy nhập hệ thống thiết bị, mạng lưới và sử dụng dịch vụ.
d) Thực hiện các nhiệm vụ, quyền hạn khác theo quy định của pháp luật.
Điều 23. Trách nhiệm Sở Tài chính
Chủ trì phối hợp với Sở Thông tin và Truyền thông hướng dẫn các cơ quan, đơn vị lập dự toán, quản lý, sử dụng và quyết toán kinh phí ngân sách nhà nước hàng năm trong dự toán được giao để thực hiện nhiệm vụ chuyên môn về bảo đảm an toàn, an ninh thông tin.
Điều 24. Trách nhiệm Sở Kế hoạch và Đầu tư
Ưu tiên bố trí nguồn kinh phí đầu tư để thực hiện các nhiệm vụ, dự án liên quan đến công tác bảo đảm an toàn, an ninh thông tin.
Điều 25. Trách nhiệm của cán bộ, công chức, viên chức, người lao động
1. Cán bộ chuyên trách CNTT có trách nhiệm tham mưu thủ trưởng cơ quan, đơn vị:
a) Triển khai thực hiện các biện pháp quản lý vận hành kỹ thuật cho hệ thống thông tin của cơ quan, đơn vị mình;
b) Phối hợp với các cơ quan, đơn vị, cá nhân có liên quan trong việc kiểm tra, phát hiện và khắc phục các sự cố mất an toàn thông tin;
c) Tham gia các chương trình đào tạo, hội nghị về an toàn thông tin do tỉnh hoặc các đơn vị chuyên môn tổ chức;
d) Xác định các chương trình, phần mềm cần thiết để cài đặt trên các máy tính cá nhân trong cơ quan phục vụ công việc của từng nhóm người dùng (văn thư, cán bộ chuyên môn, kế toán,...) và thực hiện cài đặt các phần mềm này theo đúng quy định.
2. Cán bộ, công chức, viên chức, người lao động có trách nhiệm:
a) Chấp hành nghiêm các quy định của tỉnh, cơ quan, đơn vị về công tác đảm bảo an toàn thông tin và các quy định pháp luật khác có liên quan; nâng cao ý thức cảnh giác và có trách nhiệm trong công tác đảm bảo an toàn thông tin tại cơ quan, đơn vị.
b) Khi phát hiện sự cố mất an toàn thông tin phải báo cáo ngay với lãnh đạo trực tiếp và bộ phận hoặc cán bộ chuyên trách CNTT để kịp thời ngăn chặn, xử lý.
Chương IV
TỔ CHỨC THỰC HIỆN
Điều 26. Khen thưởng, xử lý vi phạm
1. Hàng năm, Sở Thông tin và Truyền thông dựa trên hoạt động kiểm tra việc triển khai thực hiện công tác đảm bảo an toàn thông tin của các cơ quan, đơn vị trên địa bàn tỉnh, tham mưu, đề xuất UBND tỉnh xem xét khen thưởng các cơ quan, đơn vị, tổ chức, cá nhân thực hiện tốt công tác đảm bảo an toàn thông tin cho hệ thống thông tin của các cơ quan, đơn vị và của tỉnh.
2. Tổ chức, cá nhân có hành vi vi phạm các quy định về an toàn cơ sở hạ tầng và an ninh thông tin trong hoạt động của cơ quan nhà nước thì tùy theo tính chất, mức độ vi phạm mà bị xử lý kỷ luật theo trách nhiệm, xử phạt vi phạm hành chính hoặc truy cứu trách nhiệm hình sự. Nếu gây thiệt hại thì phải bồi thường theo quy định hiện hành của pháp luật.
Điều 27. Điều khoản thi hành
1. Giao Sở Thông tin và Truyền thông chủ trì, phối hợp với các cơ quan, đơn vị có liên quan hướng dẫn, theo dõi, đôn đốc, kiểm tra việc triển khai thực hiện Quy định này.
2. Trong quá trình thực hiện, nếu có vướng mắc, đề nghị cơ quan, tổ chức, cá nhân có liên quan phản ánh về Sở Thông tin và Truyền thông để tổng hợp trình UBND tỉnh xem xét, giải quyết./.