Ban hành quy chế bảo đảm ATTT trong ứng dụng CNTT của Bộ TT&TT

Bộ trưởng Bộ TT&TT vừa ký quyết định số 856/QĐ-BTTTT ban hành Quy chế bảo đảm an toàn thông tin (ATTT) trong hoạt động ứng dụng CNTT của Bộ TT&TT.

Quy chế gồm 3 chương 21 điều, quy định phạm vi tài nguyên thông tin và các nguyên tắc, chính sách, biện pháp cơ bản bảo đảm ATTT trong hoạt động ứng dụng CNTT của Bộ TT&TT.

Quy chế cũng áp dụng đối với các cơ quan, đơn vị thuộc Bộ TT&TT và cán bộ, công chức, viên chức, người lao động trong các cơ quan, đơn vị tham gia vào hoạt động ứng dụng CNTT của Bộ. Theo đó, bảo đảm ATTT là yêu cầu bắt buộc, có tính xuyên suốt và phải thường xuyên, liên tục được nâng cao, cải tiến trong quá trình. Cơ quan, đơn vị và cá nhân có trách nhiệm thực hiện đầy đủ, nghiêm túc các quy định của pháp luật, quy định, quy chế của Bộ TT&TT về bảo vệ bí mật nhà nước và bảo đảm ATTT. Các dự án ứng dụng CNTT hoặc dự án có cấu phần CNTT phải có ý kiến thẩm định nội dung liên quan đến ATTT trước khi được phê duyệt.

Khi thực hiện thuê dịch vụ CNTT hoặc sử dụng dịch vụ CNTT do bên thứ ba cung cấp, cơ quan, đơn vị và cá nhân phải làm quản lý việc sở hữu thông tin, dữ liệu từ dịch vụ đó; yêu cầu nhà cung cấp dịch vụ có trách nhiệm bảo mật thông tin; không để nhà cung cấp dịch vụ truy nhập, sử dụng thông tin, dữ liệu thuộc phạm vi nhà nước quản lý.

Sự cố ATTT phải được xử lý phù hợp với trách nhiệm, quyền hạn và bảo đảm lợi ích hợp pháp của cơ quan, đơn vị, cá nhân liên quan và theo quy định của pháp luật.

Quy chế cũng quy định các hành vi bị nghiêm cấm, gồm: Vi phạm các quy định, quy chế, quy trình về quản lý, vận hành, sử dụng và bảo đảm ATTT đối với hạ tầng kỹ thuật và hệ thống thông tin của Bộ TT&TT; Truy nhập, tác động trái phép, làm sai lệch, gây nguy hại đến thông tin, dữ liệu hoặc xâm phạm ATTT của cơ quan, đơn vị và cá nhân khác; Tấn công, làm ảnh hưởng đến hoạt động bình thường của hệ thống thông tin hoặc ngăn chặn trái phép, gây gián đoạn truy nhập hợp pháp của người sử dụng tới hệ thống thông tin; Sử dụng tài nguyên thông tin của Bộ để phát tán thư rác, tin nhắn rác, phần mềm độc hại, thiết lập hệ thống thông tin giả mạo, lừa đảo.

Quy chế cũng có quy định bảo đảm ATTT khi sử dụng máy tính. Theo đó, cá nhân sử dụng máy tính để xử lý công việc tuân thủ các quy định như: Chỉ cài đặt phần mềm hợp lệ; Cài đặt phần mềm xử lý phần mềm độc hại và thiết lập chế độ tự động cập nhật cơ sở dữ liệu cho phần mềm; Khi phát hiện ra bất kỳ dấu hiện nào liên quan đến việc bị nhiễm phần mềm độc hại trên máy tính (máy chạy chậm bất thường, cảnh báo từ phần mềm phòng, chống phần mềm độc hại, mất dữ liệu,…), phải tắt máy và báo trực tiếp cho bộ phận chuyên trách về CNTT để được xử lý kịp thời; Chỉ truy nhập vào các trang/cổng thông tin điện tử, ứng dụng trực tuyến tin cậy và các thông tin phù hợp với chức năng, trách nhiệm, quyền hạn của mình; sử dụng những trình duyệt an toàn; Có trách nhiệm bảo mật tài khoản truy nhập thông tin, không chia sẻ mật khẩu, thông tin cá nhân với người khác; Thực hiện thao tác khoá máy tính (sử dụng tính năng có sẵn trên máy tính) khi rời khỏi nơi đặt máy tính; tắt máy tính khi rời khỏi cơ quan.

Cá nhân sử dụng máy tính phải báo cáo và phải được thủ trưởng cơ quan, đơn vị đồng ý, cho phép trước khi mang máy tính, thiết bị CNTT có kết nối mạng thuộc sở hữu riêng đến nơi làm việc và kết nối với mạng nội bộ để thực hiện xử lý công việc. Trong trường hợp này, cá nhân phải tuân thủ đầy đủ các quy định được nêu tại Quy chế và chịu sự giám sát của bộ phận chuyên trách về CNTT của cơ quan, đơn vị.

Quy chế cũng quy định: Bảo đảm ATTT đối với mạng máy tính, Bảo đảm ATTT mức ứng dụng; Bảo đảm ATTT mức dữ liệu; Bảo đảm ATTT khi tiếp nhận, phát triển, vận hành và bảo trì hệ thống thông tin; Kiểm tra, khắc phục sự cố ATTT; Quản lý ATTT (Cơ quan, đơn vị phải thành lập hoặc chỉ định nhân sự/bộ phận chuyên trách về CNTT (hoặc lựa chọn đối tác có đủ năng lực quản lý ATTT) đảm nhiệm; Triển khai công tác giám sát, kiểm tra việc bảo đảm ATTT tại cơ Các cơ quan, đơn vị khi xây dựng quy chế bảo đảm ATTT nội bộ cần căn cứ Tiêu chuẩn TCVN 7562:2005 và các quy chuẩn, tiêu chuẩn kỹ thuật quản lý ATTT tin có liên quan để áp dụng cho phù hợp.

Thủ trưởng cơ quan, đơn vị có trách nhiệm chỉ đạo, bảo đảm việc tuân thủ các quy định tại Quy chế này trong phạm vi tổ chức, quyền hạn của mình và thực hiện báo cáo việc thực hiện Quy chế theo yêu cầu của Trung tâm Thông tin. Căn cứ Quy chế này và nhu cầu thực tế của cơ quan, đơn vị, xây dựng hoặc rà soát sửa đổi phương án quản lý an toàn thông tin đang áp dụng cho phù hợp…

Quy định cũng yêu cầu trách nhiệm của cá nhân phụ trách ATTT, người sử dụng, Trách nhiệm của Trung tâm Thông tin, Trách nhiệm của Cục ATTT, Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam (VNCERT).

Hằng năm Trung tâm Thông tin phối hợp với Cục An toàn thông tin, VNCERT tổ chức đào tạo, tập huấn về an toàn thông tin và tăng cường năng lực ứng cứu, xử lý sự cố ATTT cho các cán bộ, công chức, viên chức, và người lao động trong Bộ TT&TT.

Quyết định này có hiệu lực kể từ ngày ký.

HM