BỘ XÂY DỰNG
——————
Số: 319/QĐ-BXD
|
CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM
Độc lập – Tự do – Hạnh phúc
————————–
Hà Nội, ngày 25 tháng 03 năm 2011
|
QUYẾT ĐỊNH
Ban hành Quy chế bảo đảm an toàn, an ninh mạng thông tin Bộ Xây dựng
———————————
BỘ TRƯỞNG BỘ XÂY DỰNG
Căn cứ Nghị định số 17/2008/NĐ-CP ngày 04/02/2008 của Chính phủ quy định chức năng, nhiệm vụ, quyền hạn và cơ cấu tổ chức của Bộ Xây dựng;
Căn cứ Nghị định số 64/2007/NĐ-CP ngày 10/4/2007 của Chính phủ về việc Ứng dụng công nghệ thông tin trong hoạt động của cơ quan nhà nước;
Xét đề nghị của Giám đốc Trung tâm Thông tin Bộ Xây dựng,
QUYẾT ĐỊNH:
Điều 1. Ban hành kèm theo quyết định này “Quy chế bảo đảm an toàn, an ninh mạng thông tin Bộ Xây dựng”.
Điều 2. Quyết định này có hiệu lực thi hành kể từ ngày ký.
Điều 3. Giám đốc Trung tâm Thông tin, Chánh Văn phòng Bộ và Thủ trưởng các đơn vị thuộc cơ quan Bộ Xây dựng chịu trách nhiệm tổ chức thi hành Quyết định này./.
Nơi nhận:
– Như điều 3;
– Bộ Trưởng, các Thứ trưởng;
– Bộ TT&TT;
– Website Bộ XD;
– Lưu: VP; TTTT.
|
KT.BỘ TRƯỞNG
THỨ TRƯỞNG
(Đã ký)
Nguyễn Trần Nam
|
BỘ XÂY DỰNG
——————-
|
CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM
Độc lập – Tự do – Hạnh phúc
——————————
|
QUY CHẾ
Bảo đảm an toàn, an ninh mạng thông tin Bộ Xây dựng
(Ban hành kèm theo Quyết định số: 319 /QĐ-BXD
Ngày 25 tháng 3 năm 2011 của Bộ trưởng Bộ Xây dựng)
Chương I
QUY ĐỊNH CHUNG
Điều 1. Phạm vi điều chỉnh, đối tượng áp dụng
1. Quy chế này quy định việc sử dụng, quản lý khai thác, bảo vệ an toàn, an ninh mạng thông tin của Bộ Xây dựng.
2. Quy chế này áp dụng đối với các cơ quan, đơn vị trực thuộc Bộ Xây dựng và các cán bộ, công chức, viên chức đang làm việc trong các cơ quan này được quyền khai thác, sử dụng tài nguyên trên mạng thông tin của Bộ Xây dựng.
Điều 2. Giải thích từ ngữ
1. XDNET là tên viết tắt mạng thông tin Bộ Xây dựng.
2. Người sử dụng là cán bộ, công chức, viên chức của các cơ quan, đơn vị trực thuộc Bộ Xây dựng được quyền khai thác, sử dụng tài nguyên trên mạng XDNET.
3. An toàn thông tin: bao gồm các hoạt động quản lý, nghiệp vụ và kỹ thuật đối với hệ thống thông tin nhằm bảo vệ, khôi phục các hệ thống, các dịch vụ và nội dung thông tin đối với nguy cơ tự nhiên hoặc do con người gây ra. Bảo đảm cho các hệ thống thực hiện đúng chức năng, phục vụ đúng đối tượng một cách sẵn sàng, chính xác và tin cậy.
4. Bức tường lửa là tập hợp các thành phần hoặc một hệ thống các thiết bị phần cứng, phần mềm được đặt giữa mạng cục bộ và các mạng kết nối ra internet, nhằm kiểm soát tất cả các kết nối từ bên trong ra bên ngoài mạng hoặc ngược lại.
5. Hệ thống an ninh mạng là tập hợp các thiết bị tin học hoạt động đồng bộ theo một chính sách an ninh nhất quán nhằm quản lý, giám sát, kiểm soát chặt chẽ mọi thông tin trên mạng, phát hiện và xử lý các truy cập bất hợp pháp.
Điều 3. Phạm vi vật lý và tài nguyên mạng XDNET
1. Phạm vi vật lý của mạng XDNET bao gồm:
a) Hệ thống mạng cục bộ tại cơ quan Bộ Xây dựng;
b) Hệ thống mạng kết nối Internet;
c) Các mạng truyền số liệu chuyên dụng;
d) Hệ thống hội nghị truyền hình trực tuyến.
2. Tài nguyên mạng XDNET bao gồm:
a) Hệ thống địa chỉ sử dụng để giao tiếp trên mạng XDNET;
b) Các trang, thiết bị tin học của Bộ Xây dựng kết nối mạng XDNET;
c) Các cơ sở dữ liệu và các file dữ liệu;
d) Hệ thống thư điện tử;
đ) Các phần mềm phục vụ công tác quản lý, điều hành của Bộ Xây dựng hoạt động trên mạng XDNET;
e) Các phần mềm hệ thống, phần mềm trung gian, phần mềm quản trị và quản lý cơ sở dữ liệu, phần mềm an ninh, bảo mật và phòng chống virus tin học.
f) Cổng thông tin điện tử (TTĐT) của Bộ Xây dựng (bao gồm trang chủ và các trang TTĐT chuyên ngành trực thuộc Cổng này);
g) Các thông tin được xử lý, truyền tải, lưu trữ trên mạng XDNET.
Điều 4. Ngôn ngữ trao đổi trên mạng XDNET
Ngôn ngữ được dùng để trao đổi thông tin trên mạng XDNET bằng tiếng Việt và tiếng Anh. Mạng XDNET sử dụng bảng mã chuẩn và các kiểu chữ tiếng Việt theo quy định tại TCVN 6909:2001 “Công nghệ thông tin – Bộ mã ký tự tiếng Việt 16-bit”.
Điều 5. Khai thác, sử dụng tài nguyên trên mạng XDNET
Việc khai thác sử dụng tài nguyên trên mạng XDNET phải tuân thủ Quy chế này và các quy định của pháp luật hiện hành về Công nghệ thông tin và Truyền thông.
Chương II
QUẢN LÝ VÀ SỬ DỤNG MẠNG XDNET
Mục 1. Thông tin và dịch vụ trên mạng XDNET
Điều 6. Các loại thông tin trên mạng XDNET
1. Các cơ sở dữ liệu phục vụ công tác quản lý, điều hành của Bộ và các đơn vị trong khối cơ quan Bộ.
2. Cổng TTĐT Bộ Xây dựng.
3. Thông tin trao đổi giữa Bộ Xây dựng và Chính phủ, các Bộ, ngành, các UBND tỉnh, thành phố trực thuộc TW, các tổ chức khác.
4. Thông tin trao đổi giữa Bộ Xây dựng và các đơn vị trực thuộc.
5. Thông tin trao đổi giữa Người sử dụng với nhau.
Điều 7. Các dịch vụ trên mạng XDNET
1. Các dịch vụ được cung cấp từ các hệ thống ứng dụng tin học phục vụ công tác quản lý, điều hành của Bộ và các đơn vị trong khối cơ quan Bộ hoạt động trên mạng XDNET (Hệ thống thư điện tử, Hệ thông tin điều hành tác nghiệp, Hệ thống quản lý văn bản, các Cơ sở dữ liệu chuyên ngành của Bộ …v.v).
2. Các dịch vụ được cung cấp từ Cổng TTĐT của Bộ (Tin tức hoạt động; tin chỉ đạo điều hành; hệ thống văn bản pháp quy của Bộ; hệ thống danh bạ điện tử của Bộ; bộ thủ tục hành chính …v.v).
3. Các dịch vụ chia sẻ tài nguyên trên mạng như: Truyền file, dùng chung ổ cứng, dùng chung máy in …v.v.
Điều 8. Lưu trữ và trao đổi thông tin trên mạng XDNET
1. Việc lưu trữ và trao đổi thông tin phải tuân thủ các quy định của pháp luật về bưu chính, viễn thông và công nghệ thông tin.
2. Các thông tin bị cấm lưu trữ, trao đổi trên mạng XDNET và đưa lên Cổng TTĐT của Bộ Xây dựng:
a) Thông tin chưa được cấp có thẩm quyền cho phép công bố;
b) Thông tin thuộc danh mục thông tin mật do pháp luật quy định;
c) Thông tin cá nhân như: tài sản cá nhân, đời tư, các sản phẩm nghiên cứu khoa học công nghệ mà người sở hữu chưa cho phép công bố rộng rãi;
d) Thông tin và các dịch vụ bất hợp pháp, độc hại như:
– Làm ảnh hưởng đến an ninh quốc gia;
– Xuyên tạc, tuyên truyền chống đối các chủ trương chính sách của Đảng và Nhà nước, phá hoại khối đại đoàn kết dân tộc;
– Có nội dung kích động bạo lực, tuyên truyền chiến tranh xâm lược, gây hận thù giữa các dân tộc và nhân dân các nước, truyền bá tư tưởng phản động;
– Làm ảnh hưởng đến đời tư công dân: các thông tin quấy rối cá nhân, xúc phạm danh dự, vu khống, xúc phạm đến nhân phẩm công dân;
– Làm ảnh hưởng đến an ninh kinh tế: thông tin lừa đảo, thông tin bí mật kinh tế;
– Vi phạm quyền sở hữu trí tuệ: sử dụng và truyền bá trái phép các sản phẩm có bản quyền, phần mềm tin học, âm nhạc, tác phẩm văn học, tác phẩm nghệ thuật;
– Làm ảnh hưởng đến an toàn thông tin: các ứng dụng có tính chất phá hoại như virus tin học, lấy cắp thông tin, phá hoại cơ sở dữ liệu, làm tê liệt mạng máy tính;
– Có ảnh hưởng xấu đến văn hoá xã hội: xuyên tạc lịch sử, phủ nhận các thành quả cách mạng, xúc phạm các vĩ nhân và các anh hùng dân tộc, phao tin đồn nhảm ảnh hưởng đến uy tín của Quốc gia;
– Trái với thuần phong mỹ tục như: các thông tin khiêu dâm, đồi trụy, tệ nạn xã hội, nghiện hút, cờ bạc, mê tín dị đoan, sử dụng các từ ngữ thô tục, nội dung không lành mạnh, thiếu văn hoá, các thông tin ảnh hưởng đến quyền tự do tín ngưỡng của nhân dân.
Mục 2. An ninh, bảo mật mạng XDNET
Điều 9. Bảo đảm an ninh, an toàn và bảo mật mạng XDNET
1. Mạng XDNET phải được trang bị hệ thống kỹ thuật hiện đại để thường xuyên, liên tục quản lý, giám sát, kiểm soát mạng, nhằm phát hiện ngăn chặn các truy cập trái phép của người sử dụng, tin tặc tấn công mạng XDNET và phải được triển khai cơ chế chống virus, thư rác cho những hệ thống xung yếu hiện hữu (web server, mail server,…) và tại các máy trạm, máy chủ trong mạng; tổ chức sử dụng cơ chế chống virus, thư rác để phát hiện và loại trừ những đoạn mã độc hại (virus, trojan, worms…) có khả năng khai thác các lỗ hổng của hệ thống thông tin, được truyền tải bởi thư điện tử, tập tin đính kèm từ Internet, thiết bị lưu trữ tháo lắp; đồng thời thường xuyên cập nhật cơ chế chống virus, thư rác. Hệ thống an ninh mạng của XDNET được phép kiểm soát các truy cập từ bên ngoài vào mạng và ngược lại.
2. Giữa mạng XDNET và các mạng tin học khác phải được ngăn cách bởi các bức tường lửa.
3. Các dữ liệu, thông tin quan trọng, thông tin và tài liệu thuộc loại mật, tuyệt mật, tối mật người sử dụng phải soạn thảo, lưu trữ tại máy tính riêng không kết nối mạng XDNET và không kết nối trực tiếp ra mạng Internet.
4. Các dữ liệu, thông tin quan trọng, nhạy cảm khi cần trao đổi trên mạng XDNET phải được mã hoá, đặt mật khẩu bảo vệ.
Điều 10. Các biện pháp đảm bảo an ninh, an toàn và bảo mật thông tin
1. Tổ chức quản lý các tài khoản của hệ thống thông tin, bao gồm: Tạo mới, kích hoạt, sửa đổi, vô hiệu hóa và loại bỏ các tài khoản, đồng thời tổ chức kiểm tra các tài khoản của hệ thống thông tin ít nhất 01 lần/01 năm và triển khai các công cụ tự động để hỗ trợ việc quản lý các tài khoản của hệ thống thông tin.
2. Hệ thống thông tin phải có cơ chế giới hạn một số hữu hạn lần đăng nhập sai liên tiếp. Nếu liên tục đăng nhập sai vượt quá số lần quy định thì hệ thống sẽ tự động khóa hoặc cô lập tài khoản trong một khoảng thời gian nhất định trước khi tiếp tục cho đăng nhập.
3. Hệ thống thông tin phải ghi nhận được các sự kiện về quá trình đăng nhập hệ thống, các thao tác cấu hình hệ thống, quá trình truy xuất hệ thống, đồng thời ghi nhận đầy đủ các thông tin liên quan vào các bản ghi nhật ký nhằm xác định những sự kiện nào đã xảy ra, nguồn gốc và các kết quả của sự kiện đó để có cơ chế bảo vệ và lưu giữ nhật ký trong một khoảng thời gian nhất định.
4. Hệ thống thông tin phải có cơ chế ngăn chặn hoặc hạn chế các sự cố gây ra do tấn công từ chối dịch vụ. Sử dụng các thiết bị giám sát mạng để phát hiện và ngăn chặn tấn công từ chối dịch vụ.
5. Hệ thống thông tin phải có cơ chế kiểm tra, cho phép tương ứng với mỗi phương pháp truy cập từ xa và cơ chế tự động giám sát, điều khiển các truy cập từ xa; phải thiết lập phương pháp hạn chế truy cập mạng không dây, giám sát và điều khiển truy cập không dây, tổ chức sử dụng chứng thực và mã hóa để bảo vệ truy cập không dây tới hệ thống thông tin.
Điều 11. Kiểm soát và giám sát truy cập mạng XDNET
1. Hệ thống thông tin trong mạng XDNET phải tổ chức quản lý định danh, xác thực đối với tất cả người dùng tham gia sử dụng hệ thống thông tin.
2. Người sử dụng mạng XDNET phải đăng ký sử dụng. Khi được phép sử dụng sẽ được cấp thông tin về tên, mật khẩu truy cập và quyền khai thác mạng. Khi sử dụng mạng XDNET phải tuân thủ các quy định bảo đảm an ninh, bảo mật tại Quy chế này.
3. Người sử dụng chỉ được khai thác các tài nguyên mạng này trong phạm vi được cấp quyền và chịu sự giám sát của hệ thống an ninh mạng.
Mục 3. Trách nhiệm và quyền hạn của đơn vị, cá nhân tham gia mạng XDNET
Điều 12. Trách nhiệm và quyền hạn của Trung tâm Thông tin.
1. Trách nhiệm:
a) Trung tâm Thông tin là đơn vị đầu mối quản lý thống nhất kỹ thuật mạng XDNET, kiểm soát kỹ thuật các thông tin truyền trên mạng XDNET; phối hợp với các cơ quan nhà nước có chức năng, các đơn vị có liên quan để đảm bảo về an ninh, an toàn thông tin; tiếp nhận và đưa ra các cảnh báo về an ninh, an toàn thông tin; áp dụng mọi biện pháp để khắc phục và hạn chế thiệt hại do sự cố mất an ninh, an toàn thông tin xảy ra, lập biên bản báo cáo báo cáo lãnh đạo Bộ (trường hợp có sự cố nghiêm trọng vượt quá khả năng khắc phục phải báo cáo ngay cho cơ quan quản lý nhà nước có chức năng để cùng phối hợp giải quyết); báo cáo lãnh đạo Bộ để xử lý vi phạm quy chế này trong trường hợp vượt quá thầm quyền.
b) Bố trí cán bộ chuyên trách về an toàn, an ninh thông tin; xây dựng quy chế, quy trình nội bộ quản lý chức năng đặc quyền (admin), quản lý và đảm bảo an ninh, bảo mật tên, mật khẩu truy cập và các thông tin lưu trữ tại Trung tâm tích hợp dữ liệu của Bộ; thường xuyên thực hiện đánh giá, lập báo cáo các rủi ro và mức độ nghiêm trọng của các rủi ro đó; tổ chức theo dõi và kiểm soát tất cả các phương pháp truy cập từ xa qua mạng Internet bao gồm cả sự truy cập có chức năng đặc quyền; xác định các rủi ro có thể xảy ra do nguy cơ tự nhiên, truy cập trái phép, sử dụng trái phép dẫn đến làm mất, thay đổi hoặc phá hủy thông tin và hệ thống thông tin. Cán bộ chuyên trách được đảm bảo điều kiện học tập, tiếp thu công nghệ, kiến thức an toàn bảo mật thông tin trước khi tiến hành các hoạt động quản lý hay kỹ thuật nghiệp vụ;
c) Lựa chọn công nghệ, xây dựng và triển khai các cơ chế, giải pháp bảo đảm an toàn, an ninh mạng XDNET;
d) Trang bị, lắp đặt, hướng dẫn sử dụng, nâng cấp, bảo trì, sao lưu dữ liệu và quản trị mạng XDNET; tổ chức kiểm tra thường xuyên thông tin lưu trữ để đảm bảo tính sẵn sàng và toàn vẹn thông tin, đảm bảo hoạt động ổn định và an toàn cho người sử dụng;
e) Thường xuyên cập nhật cấu hình chuẩn cho các thành phần của hệ thống thông tin, thiết lập cấu hình một cách chặt chẽ nhất cho các sản phẩm an toàn thông tin nhưng vẫn đảm bảo duy trì hoạt động thường xuyên của hệ thống thông tin; kiểm tra và xử lý các lỗi kỹ thuật, các lỗ hổng bảo mật và sửa chữa kịp thời các hỏng hóc, lỗi kỹ thuật xảy ra khi các đơn vị thông báo;
g) Lập hướng dẫn và phổ biến đầy đủ các kiến thức bảo mật cơ bản cho Người sử dụng khi cấp quyền khai thác và sử dụng tài nguyên mạng XDNET.
h) Lập kế hoạch, trình Bộ trưởng Bộ Xây dựng phê duyệt và tổ chức triển khai kế hoạch phát triển, bảo đảm an ninh mạng XDNET và kế hoạch đào tạo bồi dưỡng nghiệp vụ an toàn, bảo mật thông tin cho Người sử dụng;
i) Báo cáo Bộ trưởng Bộ Xây dựng định kỳ (mỗi năm 01 lần vào cuối quý IV) và trong trường hợp đột xuất về tình hình và kết quả thực hiện công tác đảm bảo an toàn, an ninh, bảo mật thông tin và mạng XDNET;
k) Chủ trì, phối hợp với Văn phòng Bộ tiến hành kiểm tra định kỳ hàng năm và đột xuất công tác đảm bảo an ninh, bảo mật thông tin đối với các đơn vị sử dụng;
2. Quyền hạn:
a) Cấp tên, mật khẩu truy cập và quyền khai thác tài nguyên mạng XDNET cho Người sử dụng sau khi có đăng ký sử dụng;
b) Xử lý trường hợp Người sử dụng vi phạm Quy chế này theo quy định tại Điều 15 theo các mức sau:
– Nhắc nhở (nếu vi phạm lần đầu);
– Tạm đình chỉ sử dụng mạng XDNET (nếu vi phạm lần thứ 2);
– Đình chỉ, thu hồi quyền sử dụng XDNET và báo cáo lãnh đạo Bộ xử lý theo quy định tại Điều 15 của Quy chế này (nếu vi phạm lần thứ 3).
Điều 13. Trách nhiệm và quyền hạn của các đơn vị
1. Trách nhiệm:
a) Đăng ký quyền sử dụng cho đơn vị và Người sử dụng mới thuộc đơn vị mình; thông báo cho Trung tâm Thông tin danh sách cán bộ, công chức hoặc nhân viên đã nghỉ việc để thực hiện hủy quyền truy cập hệ thống thông tin và thu hồi các tài sản liên quan tới hệ thống thông tin;
b) Kiểm tra, bảo vệ, quản lý các trang thiết bị và tài nguyên mạng XDNET được lắp đặt tại đơn vị;
c) Trong trường hợp phát hiện sự cố mất an toàn, an ninh thông tin thì kịp thời áp dụng mọi biện pháp để khắc phục và hạn chế thiệt hại (nếu đơn vị có cán bộ chuyên trách). Trường hợp không có cán bộ chuyên trách phải thông báo ngay cho Trung tâm Thông tin bằng điện thoại vào số máy nội bộ 234 hoặc 39742071 để phối hợp giải quyết;
d) Tạo điều kiện thuận lợi cho Trung tâm Thông tin triển khai công tác kiểm tra, khắc phục sự cố mất an toàn, an ninh thông tin trên mạng XDNET.
2. Quyền hạn:
a) Được khai thác tài nguyên mạng XDNET trong phạm vi được cấp quyền sử dụng;
b) Đề xuất nhu cầu về sử dụng tài nguyên mạng của đơn vị.
Điều 14. Trách nhiệm và quyền hạn của Người sử dụng
1. Trách nhiệm:
a) Thực hiện nghiêm túc các quy định tại Quy chế này; nâng cao trách nhiệm bảo đảm an toàn, an ninh thông tin; thông báo kịp thời với Trung tâm Thông tin trong trường hợp phát hiện sự cố về an toàn, an ninh thông tin;
b) Thực hiện đúng thẩm quyền việc sao chép, đưa thêm thông tin vào Hệ thống; chịu trách nhiệm pháp lý về các thông tin do mình đưa vào Hệ thống;
c) Giữ bí mật đối với tên và mật khẩu truy cập của mình; có trách nhiệm thay đổi mật khẩu theo định kỳ, khi bị lộ hoặc nghi bị lộ;
d) Thường xuyên kiểm tra và diệt virus, phối hợp với Trung tâm Thông tin để sử dụng các dịch vụ an toàn mạng, bảo mật thông tin mới; không mở các thư lạ, các tệp tin đính kèm hoặc các liên kết trong các thư lạ để tránh virus; Không vào các trang TTĐT không có nguồn gốc xuất xứ rõ ràng;
e) Không được làm ngưng trệ hoạt động; không được khai thác trái phép tài nguyên mạng XDNET;
g) Không được tự lắp đặt thiết bị kết nối trực tiếp với mạng Internet vào thiết bị đang nối mạng XDNET;
h) Tạo điều kiện thuận lợi cho cán bộ kỹ thuật khắc phục sự cố mất an toàn, an ninh thông tin và thực hiện theo đúng hướng dẫn;
i) Không được bao che hoặc dung túng kẻ xấu lợi dụng thiết bị, mật khẩu, mã khoá để truy cập phá hoại mạng XDNET.
2. Quyền hạn:
a) Được khai thác, sử dụng tài nguyên mạng XDNET trong phạm vi, quyền hạn đã được cấp;
b) Có quyền đề đạt nguyện vọng; tham gia ý kiến xây dựng hoàn thiện mạng XDNET.
Chương III
ĐIỀU KHOẢN THI HÀNH
Điều 15. Xử lý vi phạm
Tổ chức, cá nhân có hành vi vi phạm Quy chế này thì tùy theo tính chất, mức độ vi phạm mà bị xử lý kỷ luật theo trách nhiệm, xử phạt hành chính hoặc bị truy cứu trách nhiệm hình sự. Nếu gây thiệt hại thì phải bồi thường theo quy định hiện hành của pháp luật.
Điều 16. Trách nhiệm thi hành
1. Trung tâm Thông tin có trách nhiệm hướng dẫn, theo dõi và kiểm tra việc thực hiện Quy chế này.
2. Văn phòng Bộ có trách nhiệm phối hợp với Trung tâm Thông tin kiểm tra việc chấp hành Quy chế này.
3. Thủ trưởng các đơn vị thuộc Bộ Xây dựng trong phạm vi chức năng, nhiệm vụ của mình, có trách nhiệm tổ chức triển khai và kiểm tra việc chấp hành tại đơn vị theo đúng các quy định của Quy chế này.
Điều 17. Việc sửa đổi, bổ sung Quy chế này do Bộ trưởng Bộ Xây dựng quyết định./.
KT.BỘ TRƯỞNG
THỨ TRƯỞNG
(Đã ký)
Nguyễn Trần Nam
|
Reviews
There are no reviews yet.