Quy chế đảm bảo an toàn, an ninh thông tin thuộc lĩnh vực công nghệ thông tin trong hoạt động của các cơ quan nhà nước trên địa bàn tỉnh Thái Nguyên

Thứ bảy, 25/04/2015 14:48 đăng bởi CISO

Ngày 16/12/2013, UBND tỉnh Thái Nguyên đã ban hành Quyết định số 31/2013/QĐ-UBND quy chế đảm bảo an toàn, an ninh thông tin thuộc lĩnh vực công nghệ thông tin trong hoạt động của các cơ quan nhà nước trên địa bàn tỉnh Thái Nguyên.

QUY CHẾ

Đảm bảo an toàn, an ninh thông tin thuộc lĩnh vực công nghệ
thông tin trong hoạt động của các cơ quan nhà nước
trên địa bàn tỉnh Thái Nguyên

(Ban hành kèm theo Quyết định số: 31/2013/QĐ/UBND ngày 16 tháng 12 năm 2013 của Uỷ ban nhân dân tỉnh Thái Nguyên)

Chương I

QUY ĐỊNH CHUNG

Điều 1. Phạm vi điều chỉnh

Quy chế này quy định về nội dung, biện pháp đảm bảo an toàn, an ninh thông tin thuộc lĩnh vực công nghệ thông tin phục vụ cho công tác điều hành và quản lý nhà nước trên địa bàn tỉnh Thái Nguyên.

Điều 2. Đối tượng áp dụng

Quy chế này được áp dụng đối với tất cả các cơ quan nhà nước trên địa bàn tỉnh Thái Nguyên (kể cả các cơ quan Trung ương đặt tại địa bàn tỉnh Thái Nguyên).

Điều 3. Giải thích từ ngữ

Trong Quy chế này, các từ ngữ dưới đây được hiểu như sau:

1. Cán bộ chuyên trách Công nghệ thông tin (CNTT): Là cán bộ kỹ thuật hoặc cán bộ quản lý có chuyên môn về lĩnh vực CNTT, trực tiếp tham mưu cho lãnh đạo khai thác, quản lý và thực hiện công tác ứng dụng CNTT tại cơ quan, đơn vị, bảo đảm kỹ thuật và an toàn, an ninh thông tin cho việc khai thác, vận hành hệ thống CNTT tại đơn vị.

2. Tính tin cậy: bảo đảm thông tin chỉ có thể được truy cập bởi những người được cấp quyền sử dụng.

3. Tính toàn vẹn: bảo vệ sự chính xác và đầy đủ của thông tin và các phương pháp xử lý.

4. Tính sẵn sàng: bảo đảm những người được cấp quyền có thể truy cập thông tin và các tài sản liên quan ngay khi có nhu cầu.

5. An toàn, an ninh thông tin (ATANTT): bao gồm các hoạt động quản lý, nghiệp vụ và kỹ thuật đối với hệ thống thông tin nhằm bảo vệ, khôi phục các hệ thống, các dịch vụ và nội dung thông tin đối với nguy cơ tự nhiên hoặc do con người gây ra. Việc bảo vệ thông tin, tài sản và con người trong hệ thống thông tin nhằm bảo đảm cho các hệ thống thực hiện đúng chức năng, phục vụ đúng đối tượng, tính sẵn sàng cao với yêu cầu chính xác và tin cậy. An toàn, an ninh thông tin bao hàm các nội dung bảo vệ và bảo mật thông tin, an toàn dữ liệu của máy tính và an toàn mạng.

6. TCVN 7562:2005: Tiêu chuẩn Việt Nam về mã thực hành quản lý an toàn thông tin.

7. ISO 17799:2005: Tiêu chuẩn quốc tế cung cấp các hướng dẫn quản lý an toàn, bảo mật thông tin dựa trên những quy phạm công nghiệp tốt nhất (tập quy phạm cho quản lý an toàn bảo mật thông tin).

8. ISO 27001:2005: Tiêu chuẩn quốc tế về quản lý bảo mật thông tin do Tổ chức Chất lượng Quốc tế và Hội đồng Điện tử Quốc tế xuất bản vào tháng 10/2005.

9. Các từ tiếng Anh, từ kỹ thuật, từ chuyên ngành, từ được giải thích, ghi chú tại Phụ lục 2 của Quy chế này.

Chương II

NỘI DUNG ĐẢM BẢO AN TOÀN, AN NINH THÔNG TIN

Điều 4. Các biện pháp quản lý kỹ thuật cơ bản cho công tác an toàn, an ninh thông tin

1. Tổ chức mô hình mạng: Cài đặt, cấu hình, tổ chức hệ thống mạng theo mô hình Clients/Server, hạn chế sử dụng mô hình mạng ngang hàng. Đối với các sở, ngành, huyện, thành phố, thị xã có nhiều phòng, ban, đơn vị trực thuộc không nằm trong cùng một khu vực thì cần thiết lập mạng riêng ảo (VPN – Virtual Private Network) để tăng cường an ninh cho hạ tầng mạng nội bộ. Khi thiết lập các dịch vụ trên môi trường mạng Internet, chỉ cung cấp những chức năng thiết yếu nhất bảo đảm duy trì hoạt động của hệ thống thông tin; hạn chế sử dụng chức năng, cổng giao tiếp mạng, giao thức và các dịch vụ không cần thiết.

2. Quản lý hệ thống mạng không dây : Khi thiết lập mạng không dây để kết nối với mạng cục bộ thông qua các điểm truy nhập (Access Point -AP), cần thiết lập các tham số như: tên, SSID, mật khẩu, mã hóa dữ liệu và thông báo các thông tin liên quan đến AP để cơ quan sử dụng, định kỳ 3 tháng thay đổi mật khẩu nhằm tăng cường công tác bảo mật.

3. Tổ chức quản lý tài khoản: Các tài khoản và định danh người dùng trong hệ thống thông tin, bao gồm: tạo mới, kích hoạt, sửa đổi và loại bỏ các tài khoản, đồng thời tổ chức kiểm tra các tài khoản của hệ thống thông tin ít nhất 6 tháng 1 lần thông qua các công cụ của hệ thống. Hủy tài khoản, quyền truy nhập hệ thống thông tin, thu hồi lại tất cả các tài sản liên quan tới hệ thống thông tin (khóa, thẻ nhận dạng, thư mục lưu trữ,...) đối với cán bộ, nhân viên đã chuyển công tác, chấm dứt hợp đồng lao động.

4. Quản lý đăng nhập hệ thống: Các hệ thống thông tin cần giới hạn số lần đăng nhập vào hệ thống. Hệ thống tự động khóa tài khoản hoặc cô lập tài khoản khi liên tục đăng nhập sai vượt quá số lần quy định. Tổ chức theo dõi, giám sát tất cả các phương pháp đăng nhập từ xa (quay số, internet,…), nhất là các đăng nhập có chức năng quản trị, tăng cường việc sử dụng VPN khi có nhu cầu làm việc từ xa; yêu cầu người sử dụng đặt mật khẩu với độ an toàn cao, giám sát, nhắc nhở khuyến cáo nên thay đổi thường xuyên mật khẩu.

5. Quản lý Logfile: Hệ thống thông tin cần ghi nhận các sự kiện: quá trình đăng nhập vào hệ thống, các thao tác cấu hình hệ thống. Thường xuyên kiểm tra, sao lưu (backup) các logfile theo từng tháng để lưu vết theo dõi, xác định những sự kiện đã xảy ra của hệ thống và hạn chế việc tràn logfile gây ảnh hưởng đến hoạt động của hệ thống.

6. Chống mã độc, vi rút máy tính: Lựa chọn, triển khai các phần mềm chống vi rút máy tính, thư rác trên các máy chủ, các thiết bị di động trong mạng và những hệ thống thông tin xung yếu như: Cổng thông tin điện tử, thư điện tử, một cửa điện tử,… để phát hiện, loại trừ những đoạn mã độc hại (Vi rút máy tính, trojan, worms…) và hỗ trợ người sử dụng cài đặt các phần mềm này trên máy trạm. Thường xuyên cập nhật các phiên bản (Version) mới, các bản vá lỗi của các phần mềm chống vi rút máy tính để bảo đảm chương trình quét vi rút máy tính của cơ quan trên các máy chủ, máy trạm luôn được cập nhật mới nhất, thiết lập chế độ quét thường xuyên ít nhất là hằng tuần.

7. Tổ chức quản lý tài nguyên: Kiểm tra, giám sát chức năng chia sẻ thông tin (Network File and Folder Sharing). Tổ chức cấp phát tài nguyên trên máy chủ theo danh mục thư mục cho từng phòng/ban; khuyến cáo người sử dụng cân nhắc việc chia sẻ tài nguyên cục bộ trên máy đang sử dụng, tuyệt đối không được chia sẻ toàn bộ ổ cứng. Khi thực hiện việc chia sẻ tài nguyên trên máy chủ hoặc trên máy cục bộ nên sử dụng mật khẩu để bảo vệ thông tin.

8. Các biện pháp kỹ thuật đảm bảo an toàn cho Trang thông tin điện tử/ Cổng thông tin điện tử (gọi tắt là trang web):

a) Xác định cấu trúc thiết kế trang web: Quản lý toàn bộ các phiên bản của mã nguồn, phối hợp với đơn vị thực hiện dịch vụ hosting tổ chức mô hình trang web hợp lý tránh khả năng tấn công leo thang đặc quyền. Yêu cầu đơn vị cung cấp dịch vụ hosting phải cài đặt các hệ thống phòng vệ như tường lửa (firewall), thiết bị phát hiện/phòng chống xâm nhập (IDS/IPS) ở mức ứng dụng web (WAF- Web Application Firewall);

b) Vận hành ứng dụng web an toàn: Các trang web khi đưa vào sử dụng hoặc khi bổ sung thêm các chức năng, dịch vụ công mới cần liên hệ với Trung tâm Công nghệ thông tin và Truyền thông Thái Nguyên hoặc liên hệ với các tổ chức an ninh mạng đánh giá kiểm định nhằm tránh được các lỗi bảo mật thường xảy ra trên ứng dụng web như: SQL Injection, Cross-Site Scripting (xss), Broken Authentication and Session Management, Insecure Direct Object References, Cross Site Request Forgery (CSRF), Security Misconfiguration, Failure to Restrict URL Access, Insecure Cryptographic Storage, Insufficient Transport Layer Protection, Unvalidated Redirects and Forwards...;

c) Thiết lập và cấu hình cơ sở dữ liệu (CSDL) an toàn:

- Luôn cập nhật bản vá lỗi mới nhất cho hệ quản trị cơ sở dữ liệu; sử dụng công cụ để đánh giá, tìm kiếm lỗ hổng trên máy chủ cơ sở dữ liệu;

- Gỡ bỏ các cơ sở dữ liệu không sử dụng;

- Có các cơ chế sao lưu dữ liệu, tài liệu hóa quá trình thay đổi cấu trúc bằng cách xây dựng nhật ký CSDL với các nội dung như: nội dung thay đổi, lý do thay đổi, thời gian, vị trí thay đổi...

d) Phối hợp với các nhà cung cấp dịch vụ hosting xây dựng phương án phục hồi trang web, trong đó chú ý mỗi tháng thực hiện việc backup toàn bộ nội dung trang web 1 lần bao gồm mã nguồn, cơ sở dữ liệu, dữ liệu phi cấu trúc,... để bảo đảm khi có sự cố có thể khắc phục lại ngay trong vòng 24 giờ.

9. Thiết lập cơ chế sao lưu và phục hồi máy chủ, máy trạm:

a) Đối với máy trạm, máy chủ: Thực hiện việc sao lưu dữ liệu như hệ điều hành, các phần mềm ứng dụng văn phòng, phần mềm chuyên ngành...bằng các phần mềm như Pqmagic, FinalData, Symantec Ghost, ZAR (Zero Assumption Recovery), NovaBackup Professional, Nero BackItUp & Burn, Digital Rescue Premium...Sau khi sao lưu mỗi máy được lưu vào các thiết bị lưu trữ như CD, ổ cứng ngoài...và thực hiện việc đánh số, dán nhãn để tránh nhầm lẫn nhằm phục vụ cho công tác phục hồi dữ liệu một cách nhanh nhất;

b) Đối với máy chủ: Cài đặt các dịch vụ Mirror, Raid, Clustering bảo đảm thiết lập cơ chế sao lưu và phục hồi hệ thống của máy chủ. Đối với các máy chủ cài đặt hệ điều hành Windows sử dụng chức năng System Restore để có thể dễ dàng khôi phục lại toàn bộ máy chủ hoặc các tập tin, thư mục được lựa chọn phục hồi.

10. Xử lý khẩn cấp: Khi phát hiện hệ thống bị tấn công, thông qua các dấu hiệu như luồng tin (traffic) tăng lên bất ngờ, nội dung trang chủ bị thay đổi, hệ thống hoạt động rất chậm khác thường,... cần thực hiện các bước cơ bản sau:

a) Bước 1: Ngắt kết nối máy chủ ra khỏi mạng;

b) Bước 2: Sao chép logfile và toàn bộ dữ liệu của hệ thống ra thiết bị lưu trữ (phục vụ cho công tác phân tích);

c) Bước 3: Khôi phục hệ thống bằng cách chuyển dữ liệu backup mới nhất để hệ thống hoạt động;

d) Bước 4: Thực hiện các công việc của khoản 2 Điều 8.

Điều 5. Các biện pháp quản lý vận hành trong công tác an toàn, an ninh thông tin

1. Đối với các cơ quan, đơn vị:

a) Phổ biến, hướng dẫn thực hiện các quy chế chung liên quan đến công tác ứng dụng CNTT đã được Ủy ban nhân dân (UBND) tỉnh ban hành như Quy chế quản lý, vận hành và sử dụng hệ thống thư điện tử dùng chung tỉnh Thái Nguyên (theo Quyết định số 957/QĐ-UBND ngày 22/5/2013 của Ủy ban nhân dân tỉnh Thái Nguyên), Quy chế quản lý hoạt động và cung cấp thông tin của Cổng thông tin điện tử tỉnh Thái Nguyên (theo Quyết định số 40/2012/QĐ-UBND ngày 06/11/2012 của Ủy ban nhân dân tỉnh Thái Nguyên),...

b) Kiểm tra việc thực hiện các nội dung của Điều 4 về các biện pháp quản lý kỹ thuật cơ bản cho công tác an toàn, an ninh thông tin của cán bộ chuyên trách công nghệ thông tin;

c) Tổ chức đào tạo tại đơn vị hoặc cử cán bộ tham gia các lớp đào tạo để trang bị các kiến thức về an toàn thông tin cơ bản cho cán bộ, công chức, viên chức trước khi cho phép truy nhập, vận hành, khai thác và sử dụng hệ thống thông tin;

d) Xác định và phân bổ kinh phí chi thường xuyên cần thiết cho các hoạt động liên quan đến việc bảo vệ hệ thống thông tin, thông qua việc đầu tư các thiết bị tường lửa, các chương trình chống Spam, Vi rút máy tính trên các máy trạm, máy chủ...

2. Đối với Cán bộ chuyên trách CNTT:

a) Triển khai, thực hiện các nội dung của Điều 4 về các biện pháp quản lý kỹ thuật cơ bản cho công tác an toàn, an ninh thông tin;

b) Tham mưu chuyên môn và vận hành an toàn hệ thống thông tin của đơn vị, triển khai các biện pháp đảm bảo an toàn, an ninh thông tin cho tất cả cán bộ, công chức, viên chức trong đơn vị mình;

c) Nắm vững và thực hiện nghiêm túc Pháp lệnh bảo vệ bí mật Nhà nước ngày 28/12/2008. Thường xuyên tự cập nhật các kiến thức về an toàn, an ninh thông tin, nguy cơ tiềm ẩn có thể gây mất mát thông tin và các biện pháp phòng tránh khi tiến hành các hoạt động quản lý hay kỹ thuật nghiệp vụ;

d) Thực hiện việc đánh giá, báo cáo các rủi ro và mức độ nghiêm trọng của các rủi ro đó. Các rủi ro đó có thể xảy ra do sự truy cập trái phép, sử dụng trái phép, mất, thay đổi hoặc phá hủy thông tin và hệ thống thông tin;

e) Phối hợp chặt chẽ với cơ quan Công an trong công tác phòng ngừa, đấu tranh, ngăn chặn các hoạt động xâm phạm an toàn, an ninh thông tin.

3. Đối với cán bộ, công chức, viên chức:

a) Thường xuyên cập nhật những chính sách, thủ tục an toàn thông tin của đơn vị cũng như thực hiện những hướng dẫn về an toàn, an ninh thông tin của cán bộ chuyên trách như một phần của công việc chuyên môn;

b) Hạn chế việc sử dụng chức năng chia sẻ tài nguyên (sharing), khi sử dụng chức năng này cần bật thuộc tính bảo mật bằng mật khẩu và thực hiện việc thu hồi chức năng này khi đã sử dụng xong;

c) Các máy tính khi không sử dụng trong thời gian dài (quá 2 giờ làm việc) cần tắt máy hoặc ngưng kết nối mạng, để tránh bị các hacker lợi dụng, sử dụng chức năng điều khiển từ xa dùng máy tính của mình tấn công vào các hệ thống thông tin khác;

d) Sử dụng chức năng mã hóa ở mức hệ điều hành bảo đảm các dữ liệu nhạy cảm như tài khoản, mật khẩu, các tập tin văn bản… được mã hóa trước khi truyền trên môi trường mạng. Các tập tin gửi đính kèm bởi thư điện tử hoặc được tải xuống từ Internet hay các thiết bị lưu trữ gắn vào hệ thống cần được kiểm tra để phòng chống lây nhiễm vi rút máy tính hoặc phần mềm gián điệp gây mất mát thông tin.

Điều 6. Xây dựng quy chế nội bộ đảm bảo an toàn cho hệ thống thông tin

1. Thủ trưởng các cơ quan, đơn vị được quy định tại Điều 2 của Quy chế này phải ban hành quy chế nội bộ, bảo đảm quy định rõ các vấn đề sau:

a) Mục tiêu và phương hướng thực hiện công tác đảm bảo an toàn an ninh cho hệ thống thông tin;

b) Nguyên tắc phân loại và quản lý mức độ ưu tiên đối với các tài nguyên của hệ thống thông tin (phần mềm, dữ liệu, trang thiết bị,…);

c) Quản lý phân quyền và trách nhiệm đối với từng cá nhân khi tham gia sử dụng hệ thống thông tin;

d) Quản lý và điều hành máy chủ, thiết bị mạng, thiết bị bảo vệ mạng một cách an toàn;

e) Kiểm tra, rà soát và khắc phục sự cố an toàn an ninh của hệ thống thông tin sử dụng các biện pháp trong Điều 4, Điều 5 và Điều 7 của Quy chế này;

f) Nguyên tắc chung sử dụng an toàn và hiệu quả đối với toàn bộ cá nhân tham gia sử dụng hệ thống thông tin;

g) Tổ chức thực hiện.

2. Các cơ quan, đơn vị xây dựng quy chế an toàn an ninh cho đơn vị căn cứ các tiêu chuẩn kỹ thuật quản lý an toàn của bộ tiêu chuẩn TCVN 7562:2005 và ISO/IEC 17799:2005 tại Phụ lục 1 để có sự lựa chọn áp dụng phù hợp với cơ quan mình.

Điều 7. Xây dựng và áp dụng quy trình đảm bảo an toàn, an ninh cho hệ thống thông tin

1. Các cơ quan nhà nước phải xây dựng và áp dụng quy trình đảm bảo an toàn, an ninh cho hệ thống thông tin nhằm giảm thiểu các nguy cơ gây ra sự cố, tạo điều kiện cho việc khắc phục và truy vết trong trường hợp có sự cố xảy ra.

Nội dung của quy trình nên chia làm các bước cơ bản sau:

a) Lập kế hoạch bảo vệ an toàn, an ninh cho hệ thống thông tin;

b) Xây dựng hệ thống bảo vệ an toàn, an ninh thông tin;

c) Quản lý và vận hành hệ thống bảo vệ an toàn, an ninh thông tin;

d) Kiểm tra đánh giá hoạt động của hệ thống bảo vệ an toàn, an ninh thông tin;

e) Bảo trì và nâng cấp hệ thống bảo vệ an toàn, an ninh thông tin.

2. Các cơ quan, đơn vị tham khảo các bước cơ bản để xây dựng khung quy trình đảm bảo an toàn, an ninh thông tin cho hệ thống thông tin tại Phụ lục 3 của Quy chế này và tiêu chuẩn quốc tế ISO 27001.

Chương III

TRÁCH NHIỆM ĐẢM BẢO AN TOÀN, AN NINH THÔNG TIN

Điều 8. Trách nhiệm của các cơ quan, đơn vị

1. Thủ trưởng các cơ quan, đơn vị có trách nhiệm thực hiện Điều 6 và Điều 7 của Quy chế này và chịu trách nhiệm thực hiện các quy định của pháp luật trong công tác bảo vệ an toàn hệ thống thông tin của đơn vị.

2. Khi có sự cố hoặc nguy cơ mất an toàn thông tin, kịp thời áp dụng mọi biện pháp để khắc phục và hạn chế thiệt hại, ưu tiên sử dụng lực lượng kỹ thuật an ninh thông tin của đơn vị và lập biên bản báo cáo bằng văn bản cho cơ quan cấp trên quản lý trực tiếp và Sở Thông tin và Truyền thông theo biểu mẫu tại Phụ lục 4 của Quy chế này.

Trường hợp có sự cố nghiêm trọng vượt quá khả năng khắc phục của đơn vị, phải báo cáo ngay cho cơ quan cấp trên quản lý trực tiếp và Sở Thông tin và Truyền thông để cùng phối hợp xử lý.

3. Tạo điều kiện thuận lợi cho các cơ quan chức năng tham gia khắc phục sự cố và thực hiện đúng theo hướng dẫn.

4. Phối hợp với Đoàn kiểm tra để triển khai công tác kiểm tra, khắc phục sự cố được nhanh chóng và đạt hiệu quả; đồng thời cung cấp đầy đủ các thông tin khi Đoàn kiểm tra yêu cầu xuất trình.

5. Định kỳ hằng Quý, lập báo cáo tình hình an toàn, an ninh thông tin theo biểu mẫu tại Phụ lục 5 của Quy chế này và gửi về Sở Thông tin và Truyền thông qua hộp thư điện tử vanthu.sotttt@thainguyen.gov.vn. Riêng báo cáo thuộc Quý IV của năm yêu cầu các đơn vị gửi về Sở Thông tin và Truyền thông bằng văn bản.

Điều 9. Trách nhiệm của cán bộ công chức, viên chức và người lao động trong các cơ quan, đơn vị

1. Nghiêm chỉnh chấp hành các quy định về bảo vệ bí mật nhà nước, quy chế nội bộ, quy trình về an toàn, an ninh thông tin của cơ quan, đơn vị cũng như quy định khác của pháp luật, nâng cao ý thức cảnh giác và trách nhiệm đảm bảo an toàn, an ninh thông tin tại đơn vị.

2. Khi phát hiện sự cố phải báo ngay với cơ quan cấp trên và bộ phận chuyên trách CNTT để kịp thời ngăn chặn, xử lý.

3. Tham gia các chương trình đào tạo, hội nghị về an toàn, an ninh thông tin do Sở Thông tin và Truyền thông tổ chức.

Điều 10. Trách nhiệm của Công an tỉnh Thái Nguyên

1. Tham mưu cho Ủy ban nhân dân tỉnh chỉ đạo, tổ chức triển khai, thực hiện các Chỉ thị, Nghị quyết của Đảng, pháp luật Nhà nước về công tác bảo mệ bí mật nhà nước, bảo vệ an ninh chính trị nội bộ, an ninh kinh tế, an ninh thông tin, an toàn cơ sở hạ tầng, bảo vệ công trình quan trọng liên quan đến an ninh quốc gia, trật tự an toàn cơ quan; xây dựng, ban hành danh mục bảo vệ bí mật Nhà nước, các quy định về tiêu chuẩn, quy chuẩn kỹ thuật an toàn, an ninh thông tin trong vận hành, khai thác mạng lưới, dịch vụ, các công cụ phần cứng, chương trình virut, phần mềm gián điệp để phát tán thư rác, đánh cắp, sử dụng trái phép mật khẩu, khóa mật mã, lưu trữ, phát tán thông tin, tài liệu trái pháp luật, xâm phạm an toàn, an ninh thông tin, vi phạm thuần phong mỹ tục; thực hiện quyền, nghĩa vụ, trách nhiệm bảo vệ an ninh chính trị nội bộ, an ninh thông tin truyền thông, bảo vệ bí mật Nhà nước, an toàn cơ sở hạ tầng, trật tự an toàn cơ quan; làm tốt công tác chính trị tư tưởng, công tác quản lý nội bộ nhằm nâng cao ý thức trách nhiệm cho cán bộ công nhân viên; xây dựng phong trào “ Toàn dân bảo vệ an ninh Tổ quốc”.

2. Trao đổi kịp thời cho Sở Thông tin và Truyền thông và các cơ quan, đơn vị trên địa bàn tỉnh Thái Nguyên về âm mưu, phương thức, thủ đoạn hoạt động của các thế lực thù địch và tội phạm trên lĩnh vực viễn thông và công nghệ thông tin; nhằm phòng ngừa, ngăn chặn hoạt động của các thế lực thù địch và tội phạm; nâng cao tinh thần cảnh giác và ý thức trách nhiệm của cán bộ, công nhân viên.

3. Chỉ đạo các phòng nghiệp vụ và Công an các huyện, thành phố, thị xã tăng cường tuyên truyền vận động nhân dân các xã, phường, thị trấn có hệ thống thông tin đi qua nêu cao tinh thần trách nhiệm, ý thức cảnh giác, kịp thời ngăn chặn, phát hiện, tố giác những hành vi gây nguy hại đến công trình mạng lưới viễn thông, công nghệ thông tin. Triển khai công tác đảm bảo an ninh trật tự, phòng chống tội phạm và các hành vi vi phạm khác trong lĩnh vực viễn thông và công nghệ thông tin. Sau khi tiếp nhận tin báo về tội phạm xâm phạm an ninh trật tự trong lĩnh vực viễn thông và công nghệ thông tin phải khẩn trương tổ chức xác minh, điều tra làm rõ nguyên nhân, phương thức thủ đoạn, hoạt động của đối tượng, kịp thời đưa ra để xử lý theo pháp luật.

4. Khi phát hiện các thông tin, tài liệu, dữ liệu, đồ vật liên quan đến hoạt động xâm phạm an ninh quốc gia theo quy định tại Điều 3 Nghị định số 151/2005/NĐ-CP, ngày 14/12/2005 của Chính phủ quy định quyền hạn, trách nhiệm của cơ quan và cán bộ chuyên trách bảo vệ an ninh quốc gia, thực hiện ngay các biện pháp sau đây:

a) Yêu cầu tổ chức, cá nhân cung cấp các thông tin dữ liệu, số liệu, tài liệu, đồ vật liên quan;

b) Thực hiện theo thẩm quyền các biện pháp lưu giữ, sao chép thông tin, dữ liệu, tài liệu, đồ vật, một phần hoặc toàn bộ hệ thống thiết bị liên quan;

c) Ngăn cản việc truy nhập hệ thống thiết bị, mạng lưới và sử dụng dịch vụ;

d) Thực hiện các nhiệm vụ, quyền hạn khác theo quy định của pháp luật.

Điều 11. Trách nhiệm của Sở Thông tin và Truyền thông

1. Tham mưu UBND tỉnh về công tác đảm bảo an toàn, an ninh thông tin và chịu trách nhiệm trước UBND tỉnh trong việc đảm bảo an toàn, an ninh cho các hệ thống thông tin cấp tỉnh.

2. Xây dựng kế hoạch, dự toán nguồn kinh phí để triển khai công tác an toàn và an ninh thông tin phục vụ cho việc vận hành các hệ thống thông tin được UBND tỉnh giao quản lý và lưu ký các trang thông tin điện tử của các sở ngành, huyện, thành phố, thị xã.

3. Thành lập Đoàn kiểm tra an toàn, an ninh thông tin và tiến hành kiểm tra theo định kỳ hoặc đột xuất khi phát hiện có các dấu hiệu, hành vi vi phạm an toàn, an ninh thông tin. Kết thúc đợt kiểm tra phải có văn bản báo cáo UBND tỉnh về tình hình an toàn, an ninh thông tin thuộc tỉnh và có những đề xuất phù hợp.

4. Xây dựng và triển khai các chương trình đào tạo, hội nghị tuyên truyền an toàn, an ninh thông tin trong công tác quản lý nhà nước thuộc tỉnh nhằm phổ biến, cập nhật kiến thức về an toàn an ninh thông tin vào Quý III hằng năm.

5. Tùy theo mức độ sự cố, phối hợp Trung tâm Ứng cứu khẩn cẩp máy tính Việt Nam (VNCERT) và các đơn vị có liên quan hướng dẫn xử lý, ứng cứu các sự cố thông tin.

6. Hướng dẫn, giám sát các đơn vị xây dựng Quy chế đảm bảo an toàn, an ninh cho hệ thống thông tin theo quy định của nhà nước.

Chương IV

CÔNG TÁC THANH TRA, KIỂM TRA AN TOÀN,

AN NINH THÔNG TIN

Điều 12. Kế hoạch kiểm tra hằng năm

1. Sở Thông tin và Truyền thông chủ trì, phối hợp Văn phòng UBND tỉnh, Công an tỉnh và các đơn vị có liên quan tiến hành công tác kiểm tra an toàn, an ninh thông tin tại tất cả các đơn vị hành chính cấp tỉnh, huyện, thành phố, thị xã định kỳ hằng năm tối thiểu 1 lần vào quý III, kiểm tra tại cơ sở cấp phường/xã theo kế hoạch của Sở Thông tin và Truyền thông.

2. Tiến hành kiểm tra đột xuất các cơ quan nhà nước khi có dấu hiệu vi phạm an toàn, an ninh thông tin.

Điều 13. Quan hệ phối hợp và trách nhiệm của các cơ quan chức năng liên quan

Sở Thông tin và Truyền thông

a) Chịu trách nhiệm chính trong việc chủ trì và phối hợp với các cơ quan chức năng liên quan để thành lập Đoàn kiểm tra và triển khai, báo cáo công tác kiểm tra an toàn, an ninh thông tin trên quy mô toàn tỉnh;

b) Phối hợp với Công an tỉnh thực hiện xử lý các hành vi vi phạm an toàn, an ninh thông tin gây thiệt hại cho hệ thống thông tin thuộc các cơ quan, đơn vị nhà nước thuộc tỉnh.

Văn phòng UBND tỉnh:

a) Cử bộ phận chuyên trách an toàn, an ninh thông tin phối hợp với Sở Thông tin và Truyền thông kiểm tra, đánh giá công tác an toàn, an ninh thông tin;

b) Phối hợp xây dựng các tiêu chí và quy trình kỹ thuật kiểm tra công tác an toàn, an ninh thông tin.

3. Trách nhiệm của Công an tỉnh:

a) Phối hợp Sở Thông tin và Truyền thông kiểm tra công tác an toàn, an ninh thông tin;

b) Tham mưu UBND tỉnh ban hành, sửa đổi, bổ sung các quy định của pháp luật có liên quan đến công tác an toàn, an ninh thông tin;

c) Thường xuyên thông báo cho các cơ quan, đơn vị về phương thức, thủ đoạn mới của các loại tội phạm xâm phạm an toàn, an ninh thông tin để có biện pháp phòng ngừa, đấu tranh, ngăn chặn;

d) Điều tra và xử lý các trường hợp vi phạm an toàn, an ninh thông tin theo thẩm quyền.

Chương V

KHEN THƯỞNG, XỬ LÝ VI PHẠM

Điều 14. Khen thưởng

Hằng năm, Sở Thông tin và Truyền thông dựa trên kết quả kiểm tra, đánh giá, báo cáo công tác an toàn, an ninh thông tin của các cơ quan, đơn vị để xác lập bảng xếp hạng an toàn, an ninh thông tin; trên cơ sở đó đề xuất UBND tỉnh xem xét khen thưởng cho các cá nhân, đơn vị có thành tích đảm bảo an toàn, an ninh thông tin theo quy định hiện hành.

Điều 15. Xử lý vi phạm

Tổ chức cá nhân có hành vi vi phạm quy chế này thì tùy theo tính chất, mức độ vi phạm mà bị xử lý kỷ luật, xử phạt hành chính hoặc bị truy cứu trách nhiệm hình sự quy định của pháp luật hiện hành.

Chương VI

ĐIỀU KHOẢN THI HÀNH

Điều 16. Sở Thông tin và Truyền thông chủ trì, phối hợp với các sở, ban, ngành, UBND các huyện, thành phố, thị xã và các cơ quan có liên quan triển khai thực hiện Quy chế này.

Trong quá trình thực hiện, nếu có vướng mắc, đề nghị cơ quan, tổ chức, cá nhân có liên quan phản ánh về Sở Thông tin và Truyền thông tổng hợp trình UBND tỉnh xem xét, giải quyết./.

TM. ỦY BAN NHÂN DÂN

KT. CHỦ TỊCH

PHÓ CHỦ TỊCH

Nhữ Văn Tâm

UỶ BAN NHÂN DÂN

TỈNH THÁI NGUYÊN

CỘNG HOÀ XÃ HỘI CHỦ NGHĨA VIỆT NAM

Độc lập - Tự do - Hạnh phúc

QUY CHẾ

Đảm bảo an toàn, an ninh thông tin thuộc lĩnh vực công nghệ
thông tin trong hoạt động của các cơ quan nhà nước
trên địa bàn tỉnh Thái Nguyên

(Ban hành kèm theo Quyết định số: /2013/QĐ/UBND ngày tháng 12 năm 2013 của Uỷ ban nhân dân tỉnh Thái Nguyên)