Quyết định Về việc ban hành Quy chế bảo đảm an toàn thông tin

và Công nghệ”.

chịu trách nhiệm thi hành Quyết định này./. Nơi nhận: - Như điều 3; - Lãnh đạo Sở; - Lưu VT, CN. KT. GIÁM ĐỐC PHÓ GIÁM ĐỐC Nguyễn Hữu Hà -- 1 of 10 -- 2 UBND TỈNH BÌNH ĐỊNH SỞ KHOA HỌC VÀ CÔNG NGHỆ CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM Độc lập – Tự do – Hạnh phúc QUY CHẾ Bảo đảm an toàn thông tin của Sở Khoa học và Công nghệ (Kèm theo Quyết định số /QĐ-SKHCN ngày tháng năm 2024 của Sở Khoa học và Công nghệ) Chương I QUY ĐỊNH CHUNG

1. Giảm thiểu được các nguy cơ gây sự cố mất an toàn thông tin và đảm bảo an ninh thông tin trong quá trình tác nghiệp của cán bộ, công chức, viên chức. 2. Công tác đảm bảo an toàn, an ninh thông tin, bảo mật trên môi trường mạng là một trong những nhiệm vụ trọng tâm để đảm bảo thành công trong việc ứng dụng công nghệ thông tin trong hoạt động của Sở.

1. Tấn công mạng: Tấn công làm quá tải hệ thống, gây gián đoạn dịch vụ, thường do lỗ hổng bảo mật chưa được vá. 2. Mã độc/phần mềm độc hại: Phần mềm độc hại tự sao chép, phá hủy hoặc mã hóa dữ liệu, đôi khi đòi tiền chuộc để giải mã. 3. Mất mát/rò rỉ dữ liệu: Mất dữ liệu quan trọng hoặc rò rỉ thông tin do lỗi hệ thống hoặc hành vi sai. 4. Chính sách/quy trình: Vi phạm quy định an ninh như sử dụng phần mềm không hợp pháp hoặc quản lý dữ liệu không đúng. 5. Tấn công xã hội: Lừa người dùng cung cấp thông tin cá nhân hoặc quyền truy cập.

Quy chế này áp dụng đối với tất cả các cán bộ, công chức viên chức của các phòng và các đơn vị trực thuộc Sở Khoa học và Công nghệ khi tham gia khai thác, sử dụng hệ thống công nghệ thông tin của Sở. -- 2 of 10 -- 3 Chương II QUY ĐỊNH ĐẢM BẢO AN TOÀN, AN NINH THÔNG TIN

toàn, an ninh thông tin 1. Đối với Lãnh đạo Sở và Lãnh đạo các đơn vị: a. Trang bị đầy đủ các kiến thức bảo mật cơ bản cho cán bộ, công chức, viên chức trước khi cho phép truy nhập và sử dụng hệ thống thông tin. b. Bố trí cán bộ chuyên trách về an toàn hệ thống thông tin. c. Xác định và phân bổ kinh phí chi thường xuyên cần thiết cho các hoạt động liên quan đến việc bảo vệ hệ thống thông tin, thông qua việc đầu tư các thiết bị tường lửa, các chương trình chống thư rác, phần mềm diệt vi rút máy tính trên các máy trạm, máy chủ và các công việc khác có liên quan đến việc bảo đảm an toàn, an ninh thông tin. d. Bố trí ít nhất 01 máy vi tính riêng, không kết nối mạng nội bộ và mạng Internet dùng để quản lý, soạn thảo các tài liệu mật theo quy định. 2. Đối với cán bộ chuyên trách công nghệ thông tin tại Sở: a. Tham mưu chuyên môn và vận hành an toàn hệ thống thông tin của Sở, triển khai các biện pháp bảo đảm an toàn, an ninh thông tin cho tất cả cán bộ, công chức, viên chức trong Sở. Thường xuyên tự nghiên cứu, cập nhật các kiến thức về an toàn, an ninh thông tin, nguy cơ tiềm ẩn có thể gây mất mát thông tin và các biện pháp phòng tránh khi tiến hành các hoạt động quản lý hay kỹ thuật nghiệp vụ. b. Thường xuyên cập nhật cấu hình chuẩn cho các thành phần của hệ thống thông tin, thiết lập cấu hình chặt chẽ nhất cho các sản phẩm an toàn thông tin nhưng vẫn duy trì yêu cầu hoạt động của hệ thống thông tin. c. Khi tổ chức cấu hình hệ thống thông tin chỉ cung cấp những chức năng thiết yếu nhất, xác định rõ các chức năng, cổng giao tiếp mạng, giao thức và dịch vụ không cần thiết để cấm hoặc hạn chế không sử dụng. d. Thường xuyên thực hiện việc theo dõi bản ghi nhật ký hệ thống và các sự việc khác có liên quan để đánh giá, báo cáo các rủi ro và mức độ nghiêm trọng các rủi ro đó. Các rủi ro đó có thể xảy ra do sự truy cập trái phép, sử dụng trái phép, mất, thay đổi hoặc phá hủy thông tin và hệ thống thông tin. e. Kiểm soát chặt chẽ cài đặt phần mềm vào máy trạm và máy chủ. 3. Đối với cán bộ, công chức, viên chức: -- 3 of 10 -- 4 a. Thường xuyên cập nhật những chính sách, thủ tục an toàn thông tin của Sở cũng như thực hiện những hướng dẫn về an toàn, an ninh thông tin của cán bộ chuyên trách công nghệ thông tin. b. Hạn chế việc sử dụng chức năng chia sẻ tài nguyên, khi sử dụng chức năng này cần bật thuộc tính bảo mật bằng mật khẩu và thực hiện việc thu hồi chức năng này khi đã sử dụng xong. c. Các máy tính khi không sử dụng trong thời gian dài (quá 4 giờ làm việc) cần tắt máy hoặc ngưng kết nối mạng, để tránh bị các hacker lợi dụng, sử dụng chức năng điều khiển từ xa dùng máy tính của mình tấn công vào các hệ thống thông tin khác. d. Khi mở các tập tin đính kèm theo thư điện tử, nếu biết rõ người gửi thư thì phải lưu tập tin vào máy tính rồi quét vi rút máy tính trước khi mở, không được mở các thư điện tử có tập tin đính kèm có nguồn gốc không rõ ràng vì rất có thể có vi rút máy tính, phần mềm gián điệp được đính kèm theo thư. e. Phải đặt mật khẩu truy nhập vào máy tính của mình, đồng thời thiết lập chế độ bảo vệ tắt màn hình có sử dụng mật khẩu bảo vệ sau một khoảng thời gian nhất định không sử dụng máy tính. Sử dụng các thiết bị lưu trữ (usb, ổ cứng gắn ngoài...) an toàn, đúng cách để phòng ngừa virus, phần mềm gián điệp xâm nhập máy tính: khi gắn thiết bị lưu trữ vào máy tính, không được trực tiếp truy cập ngay mà phải quét vi rút trước.

an ninh thông tin 1. Tổ chức mô hình mạng: Cài đặt, cấu hình, tổ chức hệ thống mạng theo mô hình Clients/Server, hạn chế sử dụng mô hình mạng ngang hàng. Khi thiết lập các dịch vụ trên môi trường mạng Internet, chỉ cung cấp những chức năng thiết yếu nhất bảo đảm duy trì hoạt động của hệ thống thông tin. 2. Quản lý hệ thống mạng không dây: Khi thiết lập mạng không dây để kết nối với mạng cục bộ thông qua các điểm truy nhập (Access Point), cần thiết lập các tham số như: tên, SSID, mật khẩu, mã hóa dữ liệu và thông báo các thông tin liên quan đến Access Point để cơ quan sử dụng. 3. Tổ chức quản lý tài khoản của các hệ thống thông tin, bao gồm: Tạo mới, kích hoạt, sửa đổi, vô hiệu hóa và loại bỏ các tài khoản. Đồng thời tổ chức kiểm tra các tài khoản của hệ thống thông tin ít nhất 06 tháng/1 lần và triển khai các công cụ tự động để hỗ trợ việc quản lý các tài khoản của hệ thống thông tin. Hủy tài khoản, quyền truy nhập hệ thống thông tin, thu hồi lại tất cả các tài sản liên quan tới hệ thống thông tin (khóa, thẻ nhận dạng, thư mục lưu trữ) đối với cán bộ, nhân viên đã chuyển công tác, chấm dứt hợp đồng lao động. 4. Quản lý đăng nhập hệ thống: Các hệ thống thông tin cần giới hạn số lần đăng nhập sai liên tiếp. Hệ thống tự động khóa tài khoản hoặc cô lập tài khoản trong một khoảng thời gian nhất định trước khi tiếp tục cho đăng nhập nếu liên -- 4 of 10 -- 5 tục đăng nhập sai vượt quá số lần quy định. Tổ chức theo dõi và kiểm soát tất cả các phương pháp truy nhập từ xa tới hệ thống thông tin bao gồm cả sự truy nhập có chức năng quản trị, tăng cường việc sử dụng mạng riêng ảo khi có nhu cầu làm việc từ xa; yêu cầu người sử dụng đặt mật khẩu với độ an toàn cao, giám sát, nhắc nhở khuyến cáo nên thay đổi thường xuyên mật khẩu. Hệ thống thông tin cần có cơ chế kiểm tra, cho phép ứng với mỗi phương pháp truy nhập từ xa và cơ chế tự động giám sát, điều khiển các truy nhập từ xa. 5. Quản lý Logfile: Hệ thống thông tin cần ghi nhận các sự kiện cần thiết phục vụ quá trình kiểm soát: quá trình đăng nhập hệ thống, các thao tác cấu hình hệ thống, quá trình truy xuất hệ thống; ghi nhận đầy đủ các thông tin trong các bản ghi nhật ký để xác định những sự kiện nào đã xảy ra, nguồn gốc và các kết quả của sự kiện để có cơ chế bảo vệ và lưu giữ nhật ký trong một khoảng thời gian nhất định. 6. Chống mã độc, vi rút: Lựa chọn, triển khai các phần mềm chống vi rút, thư rác trên các máy chủ, các thiết bị di động trong mạng và những hệ thống thông tin xung yếu như: Cổng thông tin điện tử, thư điện tử, một cửa điện tử,… để phát hiện, loại trừ những đoạn mã độc hại và hỗ trợ người sử dụng cài đặt các phần mềm này trên máy trạm. Thường xuyên cập nhật các phiên bản mới, các bản vá lỗi của các phần mềm chống virus để bảo đảm chương trình quét vi rút của cơ quan trên các máy chủ, máy trạm luôn được cập nhật mới nhất, phù hợp với quy trình và chính sách quản lý hệ thống thông tin của tổ chức, thiết lập chế độ quét thường xuyên ít nhất là hằng tuần. 7. Tổ chức quản lý tài nguyên: Kiểm tra, giám sát chức năng chia sẻ thông tin. Tổ chức cấp phát tài nguyên trên máy chủ theo danh mục thư mục cho từng phòng/ban; khuyến cáo người sử dụng cân nhắc việc chia sẻ tài nguyên cục bộ trên máy đang sử dụng, tuyệt đối không được chia sẻ toàn bộ ổ cứng. Khi thực hiện việc chia sẻ tài nguyên trên máy chủ hoặc trên máy cục bộ nên sử dụng mật khẩu để bảo vệ thông tin. 8. Thiết lập cơ chế sao lưu và phục hồi máy chủ, máy trạm a. Đối với máy trạm, máy chủ: Thực hiện việc sao lưu dữ liệu như hệ điều hành, các phần mềm ứng dụng, phần mềm chuyên ngành, cơ sở dữ liệu chuyên môn, quan trọng phục vụ công tác của Sở bằng các phần mềm chuyên dụng. b. Đối với máy chủ: Bảo đảm thiết lập cơ chế sao lưu và phục hồi hệ thống của máy chủ. 9. Xử lý khẩn cấp: Khi phát hiện hệ thống bị tấn công, thông qua các dấu hiệu như luồng tin tăng lên bất ngờ, nội dung trang chủ bị thay đổi, hệ thống hoạt động rất chậm khác thường, cần thực hiện các bước cơ bản sau: a. Bước 1: Ngắt kết nối máy chủ ra khỏi mạng. b. Bước 2: Sao chép logfile và toàn bộ dữ liệu của hệ thống ra thiết bị lưu trữ (phục vụ cho công tác phân tích). -- 5 of 10 -- 6 c. Bước 3: Khôi phục hệ thống bằng cách chuyển dữ liệu (backup) mới nhất để hệ thống hoạt động. d. Bước 4: Báo cáo bằng văn bản cho cơ quan cấp trên quản lý trực tiếp. 10. Hệ thống thông tin cần có cơ chế ngăn chặn hoặc hạn chế các sự cố gây ra do tấn công từ chối dịch vụ (DoS, DDoS).

1. Hệ thống camera được lắp đặt trong phạm vi Sở, cho phép lưu trữ dữ liệu phục vụ xem lại các đoạn video khi cần. 2. Tài khoản quản lý kết nối quản trị được cung cấp cho Thủ trưởng đơn vị và bộ phận quản trị mạng. 3. Thay đổi mật khẩu quản trị định kì mỗi tháng, sửa chữa trong trường hợp xảy ra sự cố. 4. Định kỳ 3 tháng thực hiện bảo trì hệ thống để đảm bảo vận hành tốt.

1. Các đơn vị, cá nhân khi phát hiện dấu hiệu tấn công hoặc sự cố an toàn thông tin mạng cần nhanh chóng báo cho đơn vị vận hành hệ thống thông tin (thông qua chuyên trách công nghệ thông tin). Chuyên trách công nghệ thông tin có trách nhiệm cập nhật, tổng hợp và báo cáo đơn vị cơ quan quản lý nhà nước trong trường hợp cần thiết. 2. Khi xảy ra sự cố an toàn thông tin mạng thuộc loại hình tấn công mạng thực hiện báo cáo theo quy định tại Điều 11 Quyết định số 05/2017/QĐ-TTg và

tiếp nhận xác minh, xử lý ban đầu và phân loại sự cố an toàn thông tin mạng theo quy định. 3. Quy trình ứng cứu sự cố an toàn thông tin mạng theo quy định tại Điều 13, Điều 14 Quyết định số 05/2017/QĐ-TTg, Điều 11 Thông tư số 20/2017/TT- BTTTT.

1. Cán bộ chuyên trách được tuyển dụng vào vị trí làm việc về an toàn thông tin có trình độ, chuyên ngành về lĩnh vực công nghệ thông tin, an toàn thông tin, phù hợp với vị trí tuyển dụng. -- 6 of 10 -- 7 2. Cán bộ chuyên trách được đảm bảo các điều kiện học tập, tiếp cận công nghệ, kiến thức an toàn bảo mật thông tin trước khi tiến hành các hoạt động quản lý hay kỹ thuật nghiệp vụ. 3. Thường xuyên tổ chức, phổ biến các quy định về đảm bảo an toàn thông tin, nhằm nâng cao nhận thức về trách nhiệm đảm bảo an toàn thông tin cho tổ chức cá nhân sử dụng hệ thống thông tin do đơn vị quản lý. 4. Cán bộ chuyên trách về an ninh mạng được tạo điều kiện tham gia các lớp tập huấn do Sở Thông tin và Truyền thông tổ chức. 5. Đánh giá lại tính phù hợp của phương án thiết kế đối với các yêu cầu an toàn đặt ra đối với hệ thống. 6. Xây dựng quy định về quản lý, vận hành hoạt động bình thường của hệ thống. 7. Xây dựng quy định về cập nhật, sao lưu dự phòng các tập tin cấu hình hệ thống và khôi phục hệ thống sau khi xảy ra sự cố.

1. Có biên bản, hợp đồng và các cam kết đối với bên thuê khoán các nội dung liên quan đến việc thuê khoán dịch vụ công nghệ thông tin. 2. Nhà phát triển phải cam kết cung cấp các bản vá lỗi bảo mật và bản cập nhật kịp thời khi có phát hiện lỗ hổng hoặc lỗi phát sinh từ phần mềm. Cung cấp mã nguồn phần mềm. 3. Thực hiện kiểm thử hệ thống trước khi đưa vào vận hành, khai thác sử dụng: a. Trước khi đưa hệ thống vào vận hành, tất cả các thành phần phần mềm, phần cứng và các kết nối mạng phải trải qua quá trình kiểm thử toàn diện để đảm bảo tính ổn định và an toàn. b. Quy trình kiểm thử phải được lập kế hoạch chi tiết, bao gồm phạm vi kiểm thử, công cụ và phương pháp kiểm thử được sử dụng (kiểm thử chức năng, kiểm thử bảo mật, kiểm thử tốc độ tải, …) c. Ngoài việc kiểm thử trước khi đưa vào sử dụng, hệ thống cũng cần được kiểm thử định kỳ, đặc biệt là sau các bản cập nhật phần mềm hoặc thay đổi cấu trúc. d. Cán bộ chuyên trách về An toàn hệ thống thông tin có trách nhiệm thực hiện thử nghiệm và nghiệm thu hệ thống, chịu trách nhiệm đảm bảo rằng hệ thống được triển khai một cách an toàn, bảo mật, và đáp ứng các yêu cầu pháp lý và tiêu chuẩn an toàn thông tin, từ giai đoạn thử nghiệm cho đến khi hệ thống được đưa vào sử dụng chính thức. 4. Có nội dung, kế hoạch, quy trình thử nghiệm và nghiệm thu hệ thống. -- 7 of 10 -- 8

thống thông tin Ngắt kết nối hệ thống, sao lưu dữ liệu trước khi gỡ bỏ nếu cần, phải xoá dữ liệu, ghi đè dữ liệu, định dạng ổ cứng trên thiết bị theo quy định bảo mật. Một số trường hợp đặc biệt có thể cần phải phá huỷ vật lý thiết bị/vật lưu trữ trước khi bỏ đi. Chương III TRÁCH NHIỆM ĐẢM BẢO AN TOÀN, AN NINH THÔNG TIN

1. Lãnh đạo các phòng, đơn vị trực thuộc Sở có trách nhiệm tổ chức thực hiện, phổ biến, triển khai Quy chế này đến toàn thể công chức, viên chức và người lao động thuộc phòng, đơn vị mình quản lý và chịu trách nhiệm trước Lãnh đạo Sở trong công tác bảo vệ an toàn, an ninh thông tin của cơ quan, đơn vị mình. 2. Khi có sự cố hoặc nguy cơ mất an toàn thông tin phải kịp thời áp dụng mọi biện pháp để khắc phục và hạn chế thiệt hại, ưu tiên sử dụng lực lượng kỹ thuật an toàn, an ninh thông tin của cơ quan và lập biên bản, báo cáo bằng văn bản cho cơ quan cấp trên quản lý trực tiếp. 3. Phối hợp chặt chẽ với cơ quan Công an trong công tác phòng ngừa, đấu tranh, ngăn chặn các hoạt động xâm phạm an toàn, an ninh thông tin. Tạo điều kiện thuận lợi cho các cơ quan chức năng tham gia khắc phục sự cố và thực hiện đúng theo hướng dẫn. 4. Văn phòng Sở hàng năm cử cán bộ tham gia các lớp đào tạo, tập huấn về công tác bảo đảm an toàn thông tin mạng do tỉnh tổ chức và tuyên truyền về an toàn thông tin mạng trong công tác quản lý nhà nước trên địa bàn tỉnh. 5. Tổ chức thực hiện, kiểm tra định kỳ hoặc đột xuất về công tác đảm bảo an toàn thông tin mạng, an ninh mạng trong phạm vi quản lý của phòng, đơn vị mình. Kịp thời phát hiện và khắc phục những thiếu sót, sơ hở về công tác đảm bảo an toàn thông tin mạng, an ninh mạng trong từng đơn vị. Chủ động xây dựng dự toán kinh phí phục vụ công tác đảm bảo an toàn thông tin mạng, an ninh mạng theo quy định hiện hành. 6. Định kỳ hàng năm tổ chức phổ biến, tuyên truyền nâng cao nhận thức về an toàn thông tin cho người sử dụng.

1. Trách nhiệm của cán bộ chuyên trách an toàn an ninh thông tin a. Chịu trách nhiệm triển khai các biện pháp quản lý vận hành, quản lý kỹ thuật, tham mưu xây dựng các quy định đảm bảo an toàn, an ninh thông tin cho Hệ thống thông tin của Sở theo Quy chế này. -- 8 of 10 -- 9 b. Phối hợp với các cá nhân, đơn vị có liên quan trong việc kiểm soát, phát hiện và khắc phục các sự cố an toàn, an ninh thông tin. c. Thực hiện vô hiệu hóa tất cả các quyền ra, vào, truy cập tài nguyên, sau khi cán bộ thôi việc, nghỉ hưu hoặc chuyển công tác. d. Xây dựng phương án ứng cứu, xử lý sự cố tấn công mạng, quy định về cập nhật, sao lưu dự phòng và khôi phục sau khi xảy ra sự cố. e. Xây dựng tài liệu hướng dẫn mô tả quy mô, phạm vi và đối tượng sử dụng, khai thác, quản lý vận hành hệ thống thông tin. f. Xây dựng tài liệu thiết kế và vận hành hệ thống thông tin của cơ quan, đơn vị, quy định về phân nhóm sự cố an toàn thông tin mạng. g. Truy cập và quản lý cấu hình hệ thống. h. Xây dựng phương án tiếp nhận, phát hiện, phân loại và xử lý ban đầu sự cố an toàn thông tin mạng. i. Xây dựng quy định về quản lý giám sát, phát hiện và cảnh báo sự cố. j. Xây dựng quy trình ứng cứu sự cố an toàn thông tin mạng thông thường và nghiêm trọng. 2. Trách nhiệm của cán bộ, công chức, viên chức a. Nghiêm chỉnh thi hành các quy chế nội bộ, quy trình về an toàn, an ninh thông tin của Sở cũng như các quy định khác của pháp luật, nâng cao ý thức cảnh giác và trách nhiệm đảm bảo an toàn thông tin, an ninh mạng tại Sở. b. Khi phát hiện sự cố phải báo cáo ngay với cấp trên và bộ phận chuyên trách để kịp thời ngăn chặn, xử lý. c. Thực hiện các biện pháp đảm bảo an toàn thông tin mạng, an ninh mạng. d. Sử dụng thông tin, dữ liệu đúng mục đích, đúng quy định.

làm việc 1. Có trách nhiệm bàn giao các tài liệu có liên quan đến hệ thống thông tin cho cơ quan, đơn vị. 2. Bàn giao dữ liệu điện tử dùng chung cho phòng, đơn vị. 3. Bàn giao thiết bị máy vi tính, thiết bị ngoại vi và thiết bị lưu trữ (nếu có) cho phòng, đơn vị.

1. Cán bộ chuyên trách an toàn an ninh thông tin tham mưu chuyên môn và vận hành an toàn hệ thống thông tin của Sở, triển khai các biện pháp bảo đảm an toàn, an ninh thông tin cho tất cả cán bộ, công chức, viên chức trong Sở. -- 9 of 10 -- 10 2. Thường xuyên tự nghiên cứu, cập nhật các kiến thức về an toàn, an ninh thông tin, nguy cơ tiềm ẩn có thể gây mất mát thông tin và các biện pháp phòng tránh khi tiến hành các hoạt động quản lý hay kỹ thuật nghiệp vụ. 3. Thường xuyên cập nhật cấu hình chuẩn cho các thành phần của hệ thống thông tin, thiết lập cấu hình chặt chẽ nhất cho các sản phẩm an toàn thông tin nhưng vẫn duy trì yêu cầu hoạt động của hệ thống thông tin. 4. Kiểm soát chặt chẽ cài đặt phần mềm vào máy trạm và máy chủ. 5. Quy định về cơ chế phối hợp với cơ quan chức năng, các nhóm chuyên gia, bên cung cấp dịch vụ hỗ trợ trong việc xử lý, khắc phục sự cố an toàn thông tin. 6. Quy định về quản lý truy cập, sử dụng tà