Quyết định số 03/2019/QĐ-UBND ngày 21/02/2019 Quy định về đảm bảo an toàn, an ninh thông tin thuộc lĩnh vực công nghệ thông tin trong hoạt động của các cơ quan nhà nước trên địa bàn tỉnh Quảng Ngãi
- Số hiệu văn bản: 03/2019/QĐ-UBND
- Loại văn bản: Quyết định
- Cơ quan ban hành: Tỉnh Quảng Ngãi
- Ngày ban hành: 21-02-2019
- Ngày có hiệu lực: 01-03-2019
- Tình trạng hiệu lực: Đang có hiệu lực
- Thời gian duy trì hiệu lực: 2096 ngày (5 năm 9 tháng 1 ngày)
- Ngôn ngữ:
- Định dạng văn bản hiện có:
ỦY BAN NHÂN DÂN | CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM |
Số: 03/2019/QĐ-UBND | Quảng Ngãi, ngày 21 tháng 02 năm 2019 |
QUYẾT ĐỊNH
BAN HÀNH QUY ĐỊNH VỀ ĐẢM BẢO AN TOÀN, AN NINH THÔNG TIN THUỘC LĨNH VỰC CÔNG NGHỆ THÔNG TIN TRONG HOẠT ĐỘNG CỦA CÁC CƠ QUAN NHÀ NƯỚC TRÊN ĐỊA BÀN TỈNH QUẢNG NGÃI
ỦY BAN NHÂN DÂN TỈNH QUẢNG NGÃI
Căn cứ Luật Tổ chức chính quyền địa phương ngày 19 tháng 6 năm 2015;
Căn cứ Luật Công nghệ thông tin ngày 29 tháng 6 năm 2006;
Căn cứ Luật Giao dịch điện tử ngày 29 tháng 11 năm 2005;
Căn cứ Luật An toàn thông tin mạng ngày 19 tháng 11 năm 2015;
Căn cứ Nghị định số 64/2007/NĐ-CP ngày 10 tháng 04 năm 2007 của Chính phủ ứng dụng công nghệ thông tin trong hoạt động của cơ quan nhà nước;
Căn cứ Nghị định số 85/2016/NĐ-CP ngày 01 tháng 07 năm 2016 của Chính phủ về bảo đảm an toàn hệ thống thông tin theo cấp độ;
Căn cứ Nghị định số 72/2013/NĐ-CP ngày 15 tháng 07 năm 2013 của Chính phủ quản lý, cung cấp, sử dụng dịch vụ internet và thông tin trên mạng;
Căn cứ Quyết định số 05/2017/QĐ-TTg ngày 16 tháng 03 năm 2017 của Thủ tướng Chính phủ ban hành quy định về hệ thống phương án ứng cứu khẩn cấp bảo đảm an toàn thông tin mạng quốc gia;
Căn cứ Thông tư số 03/2017/TT-BTTTT ngày 24 tháng 4 năm 2017 của Bộ Trưởng Bộ Thông tin và Truyền thông quy định chi tiết và hướng dẫn một số điều của Nghị định số 85/2016/NĐ-CP ngày 01 tháng 7 năm 2016 của Chính phủ về bảo đảm an toàn hệ thống thông tin theo cấp độ;
Theo đề nghị của Giám đốc Sở Thông tin và Truyền thông tại Tờ trình số 1366/TTr-STTTT ngày 27 tháng 12 năm 2018 và ý kiến thẩm định của Sở Tư pháp tại Công văn số 233/BC-STP ngày 07/12/2018.
QUYẾT ĐỊNH:
Điều 1. Ban hành kèm theo Quyết định này Quy định về đảm bảo an toàn, an ninh thông tin thuộc lĩnh vực công nghệ thông tin trong hoạt động của các cơ quan nhà nước trên địa bàn tỉnh Quảng Ngãi.
Điều 2. Quyết định này có hiệu lực thi hành kể từ ngày 01 tháng 03 năm 2019 và thay thế Quyết định số 44/2012/QĐ-UBND ngày 06 tháng 12 năm 2012 của UBND tỉnh ban hành Quy chế bảo đảm an toàn, an ninh thông tin trong hoạt động ứng dụng công nghệ thông tin của các cơ quan, đơn vị quản lý nhà nước tỉnh Quảng Ngãi.
Điều 3. Chánh Văn phòng Ủy ban nhân dân tỉnh, Giám đốc Công an tỉnh, Giám đốc Sở Thông tin và Truyền thông, Thủ trưởng các Sở, ban, ngành, đơn vị trực thuộc UBND tỉnh; Chủ tịch Ủy ban nhân dân các huyện, thành phố, Chủ tịch UBND các xã, phường, thị trấn; Thủ trưởng các cơ quan, tổ chức và cá nhân có liên quan chịu trách nhiệm thi hành quyết định này./.
| TM. ỦY BAN NHÂN DÂN |
QUY ĐỊNH
VỀ ĐẢM BẢO AN TOÀN, AN NINH THÔNG TIN THUỘC LĨNH VỰC CÔNG NGHỆ THÔNG TIN TRONG HOẠT ĐỘNG CỦA CÁC CƠ QUAN NHÀ NƯỚC TRÊN ĐỊA BÀN TỈNH QUẢNG NGÃI
(Ban hành kèm theo Quyết định số 03/2019/QĐ-UBND ngày 21/02/2019 của UBND tỉnh Quảng Ngãi)
Chương I
QUY ĐỊNH CHUNG
Điều 1. Phạm vi điều chỉnh và đối tượng áp dụng
1. Quy định này quy định về công tác đảm bảo an toàn, an ninh thông tin trong hoạt động ứng dụng công nghệ thông tin của các cơ quan nhà nước, đơn vị sự nghiệp của tỉnh Quảng Ngãi (sau đây gọi tắt là cơ quan).
2. Quy định này được áp dụng đối với các tổ chức, cá nhân liên quan đến công tác đảm bảo an toàn, an ninh thông tin trong các cơ quan nhà nước, đơn vị sự nghiệp của tỉnh Quảng Ngãi.
Điều 2. Giải thích từ ngữ
Trong Quy định này, các từ ngữ dưới đây được hiểu như sau:
1. Tệp tin nhật ký (Log File): Là một tập tin được tạo ra bởi một máy chủ web hoặc máy chủ Proxy có chứa tất cả thông tin về các hoạt động trên máy chủ đó.
2. Tường lửa (Firewall): là một hệ thống an ninh mạng, có thể dựa trên phần cứng hoặc phần mềm, sử dụng các quy tắc để kiểm soát băng thông vào, ra khỏi hệ thống. Tường lửa hoạt động như một rào chắn giữa mạng an toàn và mạng không an toàn. Nó kiểm soát các truy cập đến nguồn lực của mạng thông qua một mô hình kiểm soát chủ động.
3. TCVN 7562:2005: Tiêu chuẩn Việt Nam về mã thực hành quản lý an toàn thông tin.
4. TCVN ISO/IEC 27001:2009: Tiêu chuẩn Việt Nam về Công nghệ thông tin - Hệ thống quản lý an toàn thông tin.
5. Người sử dụng: Là cán bộ, công chức, viên chức, người lao động các cơ quan sử dụng máy tính hoặc các thiết bị, hệ thống thông tin để xử lý công việc.
6. Sự cố an toàn, an ninh thông tin: là khả năng thông tin mất an ninh, mất an toàn, không sẵn sàng, bị xâm phạm tính toàn vẹn, bị tiếp cận bởi các đối tượng không có thẩm quyền truy cập.
Điều 3. Mục đích, nguyên tắc đảm bảo an toàn, an ninh thông tin
1. Việc áp dụng Quy định này nhằm phòng ngừa, ngăn chặn, xử lý và giảm thiểu các nguy cơ gây mất an toàn thông tin và đảm bảo an ninh thông tin trong quá trình ứng dụng công nghệ thông tin trong hoạt động của các cơ quan.
2. Các hoạt động ứng dụng công nghệ thông tin phải tuân theo nguyên tắc đảm bảo an toàn, an ninh thông tin được quy định tại Điều 4, Luật An toàn thông tin mạng; Điều 41, Nghị định số 64/2007/NĐ-CP ngày 10/4/2007 của Chính phủ ứng dụng công nghệ thông tin trong hoạt động của cơ quan nhà nước.
Điều 4. Các hành vi bị nghiêm cấm
1. Xâm nhập, sửa đổi, xóa bỏ nội dung thông tin của cơ quan, cá nhân khác trái pháp luật.
2. Tạo ra, cài đặt, phát tán phần mềm độc hại.
3. Cản trở hoạt động cung cấp dịch vụ của hệ thống thông tin.
4. Ngăn chặn việc truy nhập đến thông tin của cơ quan, cá nhân khác trên môi trường mạng, trừ trường hợp pháp luật cho phép.
5. Bẻ khóa, trộm cắp, sử dụng mật khẩu, khóa mật mã và thông tin của cơ quan, cá nhân khác trên môi trường mạng.
6. Nghiêm cấm tự ý lắp đặt các thiết bị phát sóng Wifi vào mạng máy tính của cơ quan và lắp đặt các thiết bị tiếp sóng Wifi trên máy tính có kết nối mạng nội bộ để truy cập mạng wifi ngoài khi chưa được phê duyệt của lãnh đạo cơ quan.
7. Các hành vi khác làm mất an toàn, an ninh thông tin, bí mật của cơ quan, cá nhân khác được trao đổi, truyền đưa, lưu trữ trên môi trường mạng.
Chương II
QUY ĐỊNH ĐẢM BẢO AN TOÀN, AN NINH THÔNG TIN
Điều 5. Điều kiện đảm bảo thực hiện nhiệm vụ an toàn, an ninh thông tin
1. Các cơ quan phải phổ biến những kiến thức cơ bản về an toàn, an ninh thông tin cho cán bộ, công chức, viên chức và người lao động trước khi tham gia sử dụng các hệ thống thông tin.
2. Các cơ quan bố trí cán bộ, công chức, viên chức và người lao động làm công tác chuyên trách hoặc phụ trách kiêm nhiệm về công nghệ thông tin phải thường xuyên được đào tạo, bồi dưỡng nghiệp vụ về an toàn, an ninh thông tin.
3. Xác định và ưu tiên phân bổ kinh phí cần thiết cho các hoạt động liên quan đến việc bảo vệ hệ thống thông tin, thông qua việc đầu tư các thiết bị tường lửa, các chương trình chống thư rác, virus máy tính trên hệ thống máy chủ, máy trạm và các công tác khác liên quan đến việc bảo đảm an toàn, an ninh thông tin.
4. Cán bộ, công chức, viên chức và người lao động tham gia đoàn kiểm tra công tác đảm bảo an toàn, an ninh thông tin phải được trang bị đầy đủ những kiến thức và được tập huấn hàng năm về công tác đảm bảo an toàn, an ninh thông tin.
Điều 6. Xây dựng Quy định nội bộ về đảm bảo an toàn, an ninh thông tin
1. Các cơ quan phải xây dựng, ban hành Quy định nội bộ về đảm bảo an toàn, an ninh thông tin theo quy định và tiêu chuẩn quốc gia về thực hành và quản lý an toàn thông tin hiện hành để quy định rõ trách nhiệm đảm bảo an toàn, an ninh thông tin trong nội bộ của đơn vị.
2. Sở Thông tin và Truyền thông có trách nhiệm hướng dẫn quy định khung về đảm bảo an toàn, an ninh thông tin trong nội bộ của mỗi cơ quan như quy định tại điều này.
Điều 7. Quản lý hệ thống trung tâm dữ liệu, hệ cơ sở dữ liệu, phòng máy chủ cơ quan
1. Hệ thống trung tâm dữ liệu, hệ cơ sở dữ liệu, hệ thống máy chủ, các thiết bị quan trọng như tường lửa (firewall), thiết bị định tuyến (router), ... phải được đặt riêng trong hệ thống phòng ốc và các điểm tập trung dây cáp tín hiệu (cable) bên ngoài hệ thống cần phải có biện pháp bảo vệ, ngăn chặn xâm nhập trái phép.
2. Hệ thống trung tâm dữ liệu, hệ cơ sở dữ liệu, phòng máy chủ của các cơ quan là khu vực hạn chế tiếp cận và được lắp đặt hệ thống camera giám sát. Chỉ những người có trách nhiệm theo quy định của thủ trưởng cơ quan mới được phép vào, ra.
3. Quá trình vào, ra trung tâm dữ liệu, tiếp cận hệ cơ sở dữ liệu, phòng máy chủ phải được ghi nhận vào bản ghi nhật ký quản lý.
4. Hệ thống trung tâm dữ liệu, phòng máy chủ phải có hệ thống lưu điện đủ công suất và duy trì thời gian hoạt động của các máy chủ tối thiểu 15 phút khi có sự cố mất điện.
5. Hệ thống trung tâm dữ liệu, phòng máy chủ phải có hệ thống giám sát nhiệt độ, độ ẩm để đảm bảo môi trường vận hành; hệ thống cảnh báo cháy, hệ thống chữa cháy tự động bằng khí, thiết bị phòng cháy chữa cháy khẩn cấp; hệ thống cảnh báo hệ thống nguồn điện; hệ thống chống sét lan truyền. Tất cả cảnh báo này được gửi đến các cá nhân có trách nhiệm quản lý qua tin nhắn SMS, thư điện tử, hoặc các hình thức khác đảm bảo tính khả thi trong liên lạc, trao đổi thông tin. Cơ quan phải cử cán bộ thường xuyên giám sát hệ thống thiết bị, hạ tầng của phòng máy chủ.
Điều 8. Về quản lý cán bộ, công chức, viên chức và người lao động
1. Các cơ quan phải xây dựng các yêu cầu, trách nhiệm đảm bảo an toàn, an ninh thông tin đối với từng vị trí công việc. Sau khi tiếp nhận nhân sự mới, các cơ quan phải có trách nhiệm phổ biến cho nhân sự mới các quy định về đảm bảo an toàn, an ninh thông tin tại cơ quan.
2. Các cơ quan phải thường xuyên tổ chức quán triệt các quy định về an toàn, an ninh thông tin, nhằm nâng cao nhận thức về trách nhiệm đảm bảo an toàn, an ninh thông tin của từng cá nhân trong cơ quan.
3. Các cơ quan phải xây dựng quy trình cấp mới, quản lý và thu hồi tài khoản (không hủy tài khoản), phân quyền truy cập các hệ thống thông tin và tất cả các tài sản liên quan tới hệ thống thông tin đối với các cá nhân do cơ quan quản lý.
Điều 9. Quản lý và phòng chống phần mềm độc hại
1. Tất cả các máy trạm, máy chủ phải được cài đặt phần mềm phòng chống phần mềm độc hại. Các phần mềm phòng chống phần mềm độc hại phải được thiết lập chế độ tự động cập nhật; chế độ tự động quét khi sao chép, mở các tập tin.
2. Các cán bộ, công chức, viên chức và người lao động trong cơ quan phải được hướng dẫn về phòng chống phần mềm độc hại, các rủi ro do phần mềm độc hại gây ra; không được tự ý cài đặt hoặc gỡ bỏ các phần mềm trên máy trạm khi chưa có sự đồng ý của người có thẩm quyền theo quy định của cơ quan.
3. Tất cả các máy tính của cơ quan phải được cấu hình nhằm vô hiệu hóa tính năng tự động thực thi (autoplay) các tập tin trên các thiết bị lưu trữ di động.
4. Các máy tính cá nhân, thiết bị điện tử trước khi kết nối vào mạng nội bộ của cơ quan phải đảm bảo đã được cài chương trình phòng chống phần mềm độc hại và đã được kiểm duyệt về các phần mềm độc hại.
5. Tất cả các tập tin, thư mục phải được quét phần mềm độc hại trước khi sao chép, sử dụng.
6. Người sử dụng không được thiết lập chia sẻ dữ liệu trên máy tính của mình cho tất cả mọi người (nhóm phân quyền truy cập: everyone); không được chia sẻ với phân quyền tối đa (full control); nghiêm cấm lưu trữ dữ liệu cá nhân trên máy chủ hoặc các hệ thống lưu trữ dùng chung của cơ quan.
7. Khi phát hiện ra bất kỳ dấu hiệu nào liên quan đến việc bị nhiễm phần mềm độc hại trên máy trạm như: máy hoạt động chậm bất thường, cảnh báo từ phần mềm phòng chống phần mềm độc hại, tình trạng này lặp đi lặp lại nhiều lần, ở các vị trí khác nhau; quan trọng nhất là có dấu hiệu mất dữ liệu..., người sử dụng phải tắt máy, cách ly máy tính ra khỏi hệ thống và báo trực tiếp cho bộ phận có trách nhiệm của cơ quan để xử lý.
Điều 10. Bảo quản, sao lưu dữ liệu dự phòng hệ thống
1. Các dữ liệu quan trọng của cơ quan phải được sao lưu, bao gồm: thông tin cấu hình của hệ thống mạng, máy chủ; phần mềm ứng dụng và cơ sở dữ liệu; bản ghi nhật ký hệ thống.
2. Các cơ quan phải lập kế hoạch và thực hiện sao lưu dữ liệu phù hợp với điều kiện của từng cơ quan, đảm bảo khả năng phục hồi dữ liệu khi có sự cố xảy ra.
Điều 11. Quản lý thiết bị tường lửa, hệ thống phát hiện, cảnh báo truy nhập trái phép
1. Các hạ tầng công nghệ thông tin phải được trang bị thiết bị tường lửa, hệ thống phát hiện, cảnh báo truy nhập trái phép và giám sát thường xuyên hoạt động của các thiết bị này để ngăn chặn và phát hiện các xâm nhập trái phép vào hệ thống.
2. Nhật ký hoạt động của thiết bị tường lửa, hệ thống phát hiện, cảnh báo truy nhập trái phép phải được lưu giữ an toàn để phục vụ công tác khảo sát, điều tra khi có sự cố xảy ra.
Điều 12. Quản lý nhật ký trong quá trình vận hành các hệ thống thông tin
1. Các cơ quan phải thực hiện việc ghi nhật ký (log) trên các thiết bị mạng máy tính, phần mềm ứng dụng, hệ điều hành, cơ sở dữ liệu nhằm đảm bảo các sự kiện quan trọng xảy ra trên hệ thống được ghi nhận và lưu giữ.
2. Các bản ghi nhật ký này phải được bảo vệ an toàn nhằm phục vụ công tác kiểm tra, phân tích khi cần thiết.
3. Các sự kiện tối thiểu cần phải được ghi nhật ký gồm: quá trình đăng nhập hệ thống; tạo, cập nhật hoặc xóa dữ liệu; các hành vi xem, thiết lập cấu hình hệ thống; việc thiết lập các kết nối bất thường vào và ra hệ thống; thay đổi quyền truy cập hệ thống.
4. Thường xuyên thực hiện việc theo dõi bản ghi nhật ký của hệ thống và các sự kiện khác có liên quan để đánh giá, báo cáo các rủi ro và mức độ nghiêm trọng các rủi ro đó.
Điều 13. Quản lý truy cập
1. Các quy định về quản lý truy cập vào hệ thống thông tin, mạng máy tính, thiết bị, phần mềm ứng dụng của cơ quan phải được quy định chi tiết và tổ chức thực hiện nghiêm túc, phù hợp với các quy định của pháp luật về an toàn, an ninh thông tin.
2. Mỗi tài khoản truy cập các hệ thống thông tin chỉ được giao cho một người quản lý, sử dụng và chịu trách nhiệm chính về bảo mật an toàn, an ninh thông tin truy cập tài khoản.
3. Mỗi cán bộ, công chức, viên chức và người lao động chỉ được phép truy cập các thông tin phù hợp với chức năng, trách nhiệm, quyền hạn của mình, có trách nhiệm bảo mật tài khoản truy cập thông tin.
4. Các hệ thống thông tin cần giới hạn số lần đăng nhập sai liên tiếp (không quá 05 lần) vào hệ thống. Hệ thống tự động khóa tài khoản trong một khoảng thời gian nhất định trước khi tiếp tục cho đăng nhập nếu liên tục đăng nhập sai vượt quá số lần quy định.
5. Tất cả máy trạm, máy chủ và các hệ thống thông tin phải được đặt mật khẩu truy cập và thiết lập chế độ tự động bảo vệ màn hình sau 12 phút không sử dụng.
6. Khi thiết lập mạng không dây trong nội bộ cơ quan, phải đặt mật khẩu truy cập vào mạng không dây và chỉ cho phép truy cập Internet.
7. Các hệ thống thông tin phải thiết lập chế độ mật khẩu đăng nhập vào các hệ thống phải có độ phức tạp cao (có độ dài tối thiểu 8 ký tự, có ký tự thường, có ký tự hoa, ký tự số và ký tự đặc biệt như !, @, #, $, %) và phải được thay đổi ít nhất 3 tháng/lần. Các hệ thống thông tin phải thiết lập thời gian không truy cập của các tài khoản (trong 3 tháng), trong khoảng thời gian quy định này, các tài khoản không truy cập vào hệ thống sẽ bị khóa tài khoản.
8. Các hệ thống thông tin cần thiết lập thời hạn sử dụng của mật khẩu, sau 01 thời gian xác định mà người dùng không đổi mật khẩu thì sẽ tự động khóa tài khoản; và triển khai việc thiết lập hệ thống bảo mật mật khẩu bằng hình thức xác thực mật khẩu 02 lớp.
Điều 14. Phân loại, quản lý sự cố an toàn, an ninh thông tin hệ thống
1. Sự cố được phân loại theo các dạng, bao gồm:
a) Dạng thấp: sự cố gây ảnh hưởng cá nhân và không làm gián đoạn hay đình trệ hoạt động chính của cơ quan, như: máy tính trạm bị nhiễm phần mềm độc hại, phần mềm hệ điều hành, các phần mềm ứng dụng cài đặt trên máy tính cá nhân phát sinh lỗi.
b) Dạng trung bình: sự cố ảnh hưởng đến một nhóm người dùng nhưng không gây gián đoạn hay đình trệ hoạt động chính của cơ quan như: hệ thống mạng của 01 (một) phòng, ban thuộc cơ quan bị ngưng hoạt động, phần mềm độc hại lây nhiễm tất cả các máy tính trạm trong 01 phòng, ban.
c) Dạng nguy hiểm: sự cố làm cho thiết bị, phần mềm hay hệ thống không thể sử dụng được và gây ảnh hưởng đến một trong các hoạt động chính của cơ quan như: hệ thống quản lý văn bản, hồ sơ cấp phép, một cửa điện tử của cơ quan bị ngưng hoạt động, một số thiết bị công nghệ thông tin quan trọng (bộ chuyển mạch trung tâm, thiết bị định tuyến, thiết bị tường lửa, máy chủ quản lý tập tin chung,) bị hư hỏng.
d) Dạng khẩn cấp: sự cố ảnh hưởng đến sự liên tục của nhiều hoạt động chính của cơ quan như: toàn bộ hệ thống thiết bị công nghệ thông tin, hệ thống cung cấp điện ngừng hoạt động, hệ thống trang thông tin điện tử bị tin tặc (hacker) tấn công, xâm nhập, thay đổi nội dung,...
2. Khi có sự cố hoặc nguy cơ mất an toàn, an ninh thông tin xảy ra, lãnh đạo cơ quan phải chỉ đạo kịp thời để khắc phục và hạn chế thiệt hại, báo cáo bằng văn bản cho cơ quan cấp trên trực tiếp quản lý và Sở Thông tin và Truyền thông.
3. Trường hợp có sự cố nghiêm trọng ở dạng nguy hiểm, khẩn cấp hoặc vượt quá khả năng khắc phục của cơ quan, lãnh đạo cơ quan phải báo cáo ngay cho cơ quan cấp trên quản lý trực tiếp và Sở Thông tin và Truyền thông để được hướng dẫn, hỗ trợ. Đội ứng cứu sự cố an toàn thông tin mạng tỉnh Quảng Ngãi, có trách nhiệm cùng phối hợp để khẩn trương khắc phục xử lý, kịp thời.
Chương III
TRÁCH NHIỆM ĐẢM BẢO AN TOÀN, AN NINH THÔNG TIN
Điều 15. Trách nhiệm của các cơ quan trong việc đảm bảo an toàn, an ninh thông tin
1. Các cơ quan có trách nhiệm tổ chức thực hiện các quy định tại Quy định này và chịu trách nhiệm trước Ủy ban nhân dân tỉnh trong công tác đảm bảo an toàn, an ninh thông tin của cơ quan mình.
2. Phân công lãnh đạo cơ quan chịu trách nhiệm chỉ đạo bộ phận hoặc cán bộ chuyên trách thực hiện các công việc nhằm đảm bảo an toàn, an ninh thông tin cho cơ quan.
3. Phân công bộ phận hoặc cán bộ chuyên trách đảm bảo an toàn, an ninh thông tin của cơ quan; tạo điều kiện để các cán bộ phụ trách an toàn, an ninh thông tin được học tập, nâng cao trình độ về an toàn, an ninh thông tin.
4. Xây dựng quy định, quy trình nội bộ về đảm bảo an toàn, an ninh thông tin phù hợp với Quy định này và các quy định của pháp luật.
5. Các cơ quan có trách nhiệm thực hiện xác định cấp độ an toàn, an ninh thông tin và đảm bảo an toàn cho hệ thống thông tin của cơ quan đang quản lý theo quy định tại Luật An toàn thông tin mạng, Nghị định số 85/2016/NĐ-CP ngày 01 tháng 7 năm 2016 của Chính phủ về bảo đảm an toàn hệ thống thông tin theo cấp độ và hướng dẫn tại Thông tư số 03/2017/TT-BTTTT ngày 24 tháng 4 năm 2017 của Bộ trưởng Bộ Thông tin và Truyền thông quy định chi tiết và hướng dẫn một số điều của Nghị định số 85/2016/NĐ-CP ngày 01 tháng 7 năm 2016 của Chính phủ về bảo đảm an toàn hệ thống thông tin theo cấp độ,...
6. Có nghĩa vụ phải tham gia mạng lưới ứng cứu sự cố an toàn, an ninh thông tin mạng quốc gia (được quy định chi tiết về trách nhiệm, quyền hạn tại Quyết định số 05/2017/QĐ-TTg ngày 16 tháng 3 năm 2017 của Thủ tướng Chính phủ).
7. Phối hợp, cung cấp thông tin và tạo điều kiện cho các cơ quan có thẩm quyền triển khai công tác kiểm tra khắc phục sự cố xảy ra một cách kịp thời, nhanh chóng và đạt hiệu quả.
8. Có trách nhiệm phối hợp, liên hệ chặt chẽ với Công an tỉnh trong công tác phòng ngừa, đấu tranh, ngăn chặn các hoạt động xâm phạm an toàn, an ninh thông tin.
9. Định kỳ 6 tháng, hằng năm hoặc đột xuất các cơ quan lập báo cáo về tình hình an toàn, an ninh thông tin và gửi về Sở Thông tin và Truyền thông (Sở Thông tin và Truyền thông có hướng dẫn cho các cơ quan bằng văn bản).
Điều 16. Trách nhiệm của cán bộ, công chức, viên chức và người lao động trong các cơ quan
1. Trách nhiệm của cán bộ, công chức, viên chức và người lao động phụ trách an toàn, an ninh thông tin:
a) Chịu trách nhiệm đảm bảo an toàn, an ninh thông tin của cơ quan;
b) Tham mưu lãnh đạo cơ quan ban hành các quy định, quy trình nội bộ, triển khai các giải pháp kỹ thuật đảm bảo an toàn, an ninh thông tin;
c) Thực hiện việc giám sát, đánh giá, báo cáo thủ trưởng cơ quan các rủi ro mất an toàn, an ninh thông tin và mức độ nghiêm trọng của các rủi ro;
d) Phối hợp với các cá nhân, cơ quan có liên quan trong việc kiểm soát, phát hiện và khắc phục các sự cố an toàn, an ninh thông tin.
2. Trách nhiệm của cán bộ, công chức, viên chức và người lao động trong các cơ quan:
a) Nghiêm túc chấp hành các quy định, quy trình nội bộ, Quy định này và các quy định khác của pháp luật về an toàn, an ninh thông tin. Chịu trách nhiệm đảm bảo an toàn, an ninh thông tin trong phạm vi trách nhiệm và quyền hạn được giao;
b) Khi tham gia vận hành mạng máy tính của cơ quan phải nghiêm chỉnh chấp hành chế độ bảo mật, an toàn, an ninh thông tin đồng thời chịu trách nhiệm đối với các thông tin mà mình cung cấp. Mỗi cán bộ, công chức, viên chức và người lao động phải có trách nhiệm tự quản lý, bảo quản thiết bị mà mình được giao sử dụng; không tự ý thay đổi, tháo lắp các thiết bị trên máy tính; không được vào các trang thông tin điện tử không rõ về nội dung; không tải và cài đặt các phần mềm không rõ nguồn gốc, không liên quan đến công việc chuyên môn; không nhấp chuột vào các đường dẫn lạ không rõ về nội dung; không cho phép bất cứ hành vi nào gây tổn hại đến dịch vụ, gây hư hỏng thiết bị mạng; không cung cấp thông tin không trung thực để công bố trên mạng; không sử dụng mạng để thâm nhập vào các mạng máy tính khi chưa được phép; không đưa các thông tin có nội dung "mật", "tối mật" và "tuyệt mật" lên hệ thống máy tính có kết nối mạng Internet;
c) Mỗi cán bộ, công chức, viên chức và người lao động không sử dụng các trang mạng xã hội, các dịch vụ thư điện tử công cộng (không phải hệ thống thư điện tử của tỉnh) để trao đổi thông tin liên quan đến công việc chuyên môn của cơ quan;
d) Khi phát hiện nguy cơ hoặc sự cố mất an toàn, an ninh thông tin phải báo cáo ngay với cấp trên và bộ phận chuyên trách công nghệ thông tin của cơ quan để kịp thời ngăn chặn và xử lý;
đ) Tham gia các chương trình đào tạo, hội nghị về an toàn, an ninh thông tin do cơ quan hoặc Sở Thông tin và Truyền thông tổ chức.
Điều 17. Trách nhiệm của Sở Thông tin và Truyền thông
1. Tham mưu cho Ủy ban nhân dân tỉnh về công tác đảm bảo an toàn, an ninh thông tin trên địa bàn tỉnh và chịu trách nhiệm trước Ủy ban nhân dân tỉnh trong việc đảm bảo an toàn, an ninh cho các hệ thống thông tin của tỉnh.
2. Thực hiện thủ tục xác định cấp độ an toàn, an ninh thông tin và đảm bảo an toàn cho các hệ thống thông tin dùng chung của tỉnh theo quy định của Luật An toàn thông tin mạng, Nghị định số 85/2016/NĐ-CP ngày 01 tháng 7 năm 2016 của Chính phủ về bảo đảm an toàn hệ thống thông tin theo cấp độ và hướng dẫn tại Thông tư số 03/2017/TT-BTTTT ngày 24 tháng 4 năm 2017 của Bộ trưởng Bộ Thông tin và Truyền thông quy định chi tiết và hướng dẫn một số điều của Nghị định số 85/2016/NĐ-CP ngày 01 tháng 7 năm 2016 của Chính phủ về bảo đảm an toàn hệ thống thông tin theo cấp độ.
3. Hằng năm xây dựng kế hoạch triển khai công tác đảm bảo an toàn, an ninh thông tin phục vụ cho việc vận hành các hệ thống thông tin được Ủy ban nhân dân tỉnh giao quản lý.
4. Chủ trì, phối hợp với Công an tỉnh và các cơ quan liên quan tổ chức kiểm tra theo định kỳ hoặc đột xuất; kịp thời phát hiện và xử lý theo quy định của pháp luật đối với các cơ quan, tổ chức, cá nhân có các dấu hiệu, hành vi vi phạm an toàn, an ninh thông tin trên địa bàn tỉnh.
5. Hằng năm xây dựng và triển khai các chương trình đào tạo chuyên sâu về an toàn, an ninh thông tin, tổ chức diễn tập an ninh mạng cho lực lượng đảm bảo an toàn, an ninh thông tin của các cơ quan.
6. Tổ chức các hội nghị, hội thảo chuyên đề và tuyên truyền về an toàn, an ninh thông tin trong công tác quản lý Nhà nước trên địa bàn tỉnh.
7. Tổ chức thực hiện việc tiếp nhận và xử lý các sự cố về an toàn, an ninh thông tin.
8. Hướng dẫn, giám sát các cơ quan trên địa bàn tỉnh xây dựng Quy định nội bộ về đảm bảo an toàn, an ninh thông tin và thực hiện việc đảm bảo an toàn, an ninh cho hệ thống thông tin theo quy định của Nhà nước.
9. Tổng hợp và báo cáo về tình hình an toàn, an ninh thông tin theo định kỳ cho Bộ Thông tin và Truyền thông, Ủy ban nhân dân tỉnh và các cơ quan có liên quan.
Điều 18. Trách nhiệm của Công an tỉnh
1. Chủ trì, phối hợp với Sở Thông tin và Truyền thông và các cơ quan có liên quan xây dựng kế hoạch và kiểm soát, phòng ngừa, đấu tranh, ngăn chặn các loại tội phạm sử dụng hệ thống thông tin gây hại đến an toàn, an ninh thông tin trong cơ quan nhà nước.
2. Phối hợp với các cơ quan chức năng kiểm tra, đánh giá, đề xuất biện pháp đảm bảo an toàn, an ninh thông tin.
3. Tăng cường công tác phối hợp các cơ quan, ban, ngành của tỉnh tuyên truyền, phổ biến pháp luật về xử lý tội phạm xâm phạm an toàn, an ninh thông tin; hướng dẫn thực hiện và kiểm tra việc thi hành Quy định bảo vệ bí mật Nhà nước trên địa bàn tỉnh trong việc đảm bảo an toàn, an ninh thông tin.
4. Điều tra và đề xuất xử lý các trường hợp vi phạm pháp luật về an toàn, an ninh thông tin theo thẩm quyền.
5. Thực hiện nhiệm vụ bảo vệ an toàn các công trình quan trọng về an ninh quốc gia trên lĩnh vực công nghệ thông tin.
Chương IV
TỔ CHỨC THỰC HIỆN
Điều 19. Khen thưởng và xử lý vi phạm
1. Hàng năm, Sở Thông tin và Truyền thông dựa trên các điều tra, báo cáo công tác an toàn, an ninh thông tin của các cơ quan nhằm xác lập mức độ bảo đảm an toàn, an ninh thông tin tại các cơ quan, trên cơ sở đó tham mưu đề xuất Ủy ban nhân dân tỉnh xem xét khen thưởng theo quy định pháp luật hiện hành.
2. Các tổ chức, cá nhân vi phạm Quy định này tùy theo tính chất, mức độ vi phạm mà bị xử lý kỷ luật hành chính hoặc bị truy cứu trách nhiệm hình sự; nếu gây thiệt hại thì phải bồi thường theo quy định pháp luật hiện hành.
Điều 20. Sửa đổi, bổ sung
Trong quá trình triển khai thực hiện nếu phát sinh khó khăn, vướng mắc, các đơn vị, địa phương có liên quan phản ánh về Sở Thông tin và Truyền thông để tổng hợp, báo cáo UBND tỉnh xem xét sửa đổi, bổ sung cho phù hợp./.