ỦY BAN NHÂN DÂN |
CỘNG HÒA XÃ HỘI
CHỦ NGHĨA VIỆT NAM |
Số: 50/2024/QĐ-UBND |
Bạc Liêu, ngày 01 tháng 11 năm 2024 |
BAN HÀNH QUY CHẾ QUẢN LÝ, VẬN HÀNH, SỬ DỤNG TRUNG TÂM DỮ LIỆU TỈNH BẠC LIÊU
ỦY BAN NHÂN DÂN TỈNH BẠC LIÊU
Căn cứ Luật Tổ chức chính quyền địa phương ngày 19 tháng 6 năm 2015; Căn cứ Luật sửa đổi, bổ sung một số điều của Luật Tổ chức Chính phủ và Luật Tổ chức chính quyền địa phương ngày 22 tháng 11 năm 2019; Căn cứ Luật Công nghệ thông tin ngày 29 tháng 6 năm 2006;
Căn cứ Luật An toàn thông tin mạng ngày 19 tháng 11 năm 2015;
Căn cứ Luật An ninh mạng ngày 12 tháng 6 năm 2018;
Căn cứ Luật Giao dịch điện tử ngày 22 tháng 6 năm 2023;
Căn cứ Nghị định số 64/2007/NĐ-CP ngày 10 tháng 4 năm 2007 của Chính phủ về ứng dụng Công nghệ thông tin trong hoạt động của cơ quan Nhà nước;
Căn cứ Nghị định số 72/2013/NĐ-CP ngày 15 tháng 7 năm 2013 của Chính phủ về quản lý, cung cấp, sử dụng dịch vụ Internet và thông tin trên mạng;
Căn cứ Nghị định số 85/2016/NĐ-CP ngày 01 tháng 7 năm 2016 của Chính phủ về bảo đảm an toàn hệ thống thông tin theo cấp độ;
Căn cứ Nghị định số 27/2018/NĐ-CP ngày 01 tháng 3 năm 2018 của Chính phủ về sửa đổi, bổ sung một số điều của Nghị định số 72/2013/NĐ-CP ngày 15 tháng 7 năm 2013 của Chính phủ về quản lý, cung cấp, sử dụng dịch vụ Internet và thông tin trên mạng;
Căn cứ Quyết định số 08/2023/QĐ-TTg ngày 05 tháng 04 năm 2023 của Thủ tướng Chính phủ về Mạng truyền số liệu chuyên dùng phục vụ các cơ quan Đảng, Nhà nước;
Căn cứ Thông tư số 03/2013/TT-BTTTT ngày 22 tháng 01 năm 2013 của Bộ trưởng Bộ Thông tin và Truyền thông quy định áp dụng tiêu chuẩn, quy chuẩn kỹ thuật đối với Trung tâm dữ liệu;
Căn cứ Thông tư số 31/2017/TT-BTTTT ngày 15 tháng 11 năm 2017 của Bộ trưởng Bộ Thông tin và Truyền thông quy định hoạt động giám sát an toàn hệ thống thông tin;
Căn cứ Thông tư số 12/2022/TT-BTTTT ngày 12 tháng 8 năm 2022 của Bộ trưởng Bộ Thông tin và Truyền thông quy định chi tiết và hướng dẫn một số điều của Nghị định số 85/2016/NĐ-CP ngày 01 tháng 7 năm 2016 của Chính phủ về bảo đảm an toàn hệ thống thông tin theo cấp độ;
Căn cứ Thông tư số 23/2022/TT-BTTTT ngày 30 tháng 11 năm 2022 của Bộ trưởng Bộ Thông tin và Truyền thông sửa đổi, bổ sung một số điều của Thông tư số 03/2013/TT-BTTTT ngày 22 tháng 01 năm 2013 của Bộ trưởng Bộ Thông tin và Truyền thông quy định áp dụng tiêu chuẩn, quy chuẩn kỹ thuật đối với trung tâm dữ liệu;
Căn cứ Thông tư số 19/2023/TT-BTTTT ngày 25 tháng 12 năm 2023 của Bộ trưởng Bộ Thông tin và Truyền thông về việc quy định chi tiết và hướng dẫn một số điều của Quyết định số 08/2023/QĐ-TTg ngày 05 tháng 4 năm 2023 của Thủ tướng Chính phủ về Mạng truyền số liệu chuyên dùng phục vụ các cơ quan Đảng, Nhà nước;
Theo đề nghị của Giám đốc Sở Thông tin và Truyền thông tại Tờ trình số 138/TTr-STTTT ngày 04 tháng 10 năm 2024.
QUYẾT ĐỊNH:
1. Giao Giám đốc Sở Thông tin và Truyền thông chủ trì, phối hợp với Thủ trưởng các Sở, Ban, Ngành cấp tỉnh; Chủ tịch Ủy ban nhân dân các huyện, thị xã, thành phố và các tổ chức, cá nhân có liên quan tổ chức triển khai thực hiện nội dung Quyết định này.
2. Chánh Văn phòng Ủy ban nhân dân tỉnh, Giám đốc Sở Thông tin và Truyền thông; Thủ trưởng các Sở, Ban, Ngành cấp tỉnh; Chủ tịch Ủy ban nhân dân các huyện, thị xã, thành phố và các tổ chức, cá nhân có liên quan chịu trách nhiệm thi hành Quyết định này.
Quyết định này có hiệu lực kể từ ngày 11 tháng 11 năm 2024 và thay thế Quyết định số 03/2021/QĐ-UBND ngày 03 tháng 02 năm 2021 của Ủy ban nhân dân tỉnh ban hành Quy chế quản lý, vận hành, sử dụng Trung tâm dữ liệu tỉnh Bạc Liêu.
|
TM. ỦY BAN NHÂN
DÂN |
QUẢN LÝ, VẬN HÀNH, SỬ DỤNG TRUNG TÂM DỮ LIỆU TỈNH BẠC LIÊU
(Kèm theo Quyết định Số: 50/2024/QĐ-UBND ngày 01/11/2024 của Ủy ban nhân
dân tỉnh Bạc Liêu)
Điều 1. Phạm vi điều chỉnh, đối tượng áp dụng
1. Phạm vi điều chỉnh
Quy chế này quy định việc quản lý, vận hành, sử dụng Trung tâm dữ liệu tỉnh Bạc Liêu (gọi tắt là Trung tâm dữ liệu).
2. Đối tượng áp dụng
Quy chế này áp dụng đối với cơ quan nhà nước, đơn vị sự nghiệp công lập, các tổ chức chính trị - xã hội trên địa bàn tỉnh Bạc Liêu; các tổ chức, cá nhân có liên quan tham gia quản lý, vận hành, sử dụng Trung tâm dữ liệu.
Điều 2. Kiến trúc và dịch vụ của Trung tâm dữ liệu
1. Kiến trúc của Trung tâm dữ liệu được chia làm các phân hệ sau đây:
a) Phân hệ an toàn, an ninh thông tin: Bao gồm các thiết bị tường lửa, thiết bị bảo mật cho lớp mạng và lớp ứng dụng, các thiết bị ngăn chặn xâm nhập trái phép, thiết bị cân bằng tải và các ứng dụng an ninh hệ thống, an ninh máy chủ, an toàn dữ liệu. Mỗi thành phần trong phân hệ an ninh đều được thiết kế bảo đảm tính dự phòng và bổ sung, hỗ trợ lẫn nhau trong toàn bộ hệ thống của Trung tâm dữ liệu.
b) Phân hệ mạng và truyền dẫn: Phân hệ mạng được chia làm nhiều vùng khác nhau, mỗi vùng được thiết lập các chính sách an ninh và truy cập riêng để phục vụ các mục đích khác nhau; sử dụng đường truyền số liệu chuyên dùng để kết nối các cơ quan, đơn vị, tổ chức trong tỉnh và kết nối Bộ, Ngành, địa phương khác nhằm đảm bảo an toàn, an ninh thông tin; sử dụng đường truyền riêng để cung cấp truy cập qua Internet, phục vụ nhu cầu khai thác, sử dụng thông tin của tổ chức, cá nhân, cơ quan, đơn vị.
c) Phân hệ máy chủ: Bao gồm hệ thống máy chủ vật lý đã được đầu tư hoặc được cơ quan quản lý cho phép đặt tại Trung tâm dữ liệu với khả năng sẵn sàng cho việc mở rộng số lượng máy chủ trong tương lai. Hệ thống máy chủ có khả năng cung cấp năng lực tính toán cho nhiều nền tảng với nhiều mục đích khác nhau như: Các ứng dụng dùng chung của tỉnh, ứng dụng chuyên ngành và các hệ thống ứng dụng thông tin khác.
d) Phân hệ lưu trữ: Bao gồm hệ thống lưu trữ tập trung với năng lực xử lý ở mức cao, khả năng lưu trữ lớn và hệ thống sao lưu, phục hồi dữ liệu. Hệ thống được thiết kế bảo đảm khả năng mở rộng đáp ứng nhu cầu phát triển nguồn dữ liệu trong tương lai.
đ) Phân hệ cơ sở dữ liệu: Là hệ thống các hệ cơ sở dữ liệu dùng chung, cơ sở dữ liệu chuyên ngành được xây dựng nhằm liên kết, tích hợp các hệ thống thông tin dùng chung và ứng dụng chuyên ngành phục vụ yêu cầu cung cấp thông tin, kết nối và chia sẻ dữ liệu.
e) Phân hệ các hệ thống phụ trợ: Bao gồm các hệ thống phụ trợ cho Trung tâm dữ liệu như hệ thống điện, điều hòa, thiết bị lưu điện, máy phát điện, sàng nâng, hệ thống phòng cháy chữa cháy, hệ thống chống sét, camera an ninh và các thiết bị khác có liên quan, được thiết kế tuân theo tiêu chuẩn, bảo đảm các thiết bị luôn được hoạt động trong môi trường tiêu chuẩn, ổn định với độ dự phòng cao.
g) Phân hệ quản trị: Bao gồm các hệ thống hỗ trợ cho công tác quản trị toàn bộ Trung tâm dữ liệu giúp công tác quản trị được thuận lợi, nhanh chóng, đảm bảo an toàn, an ninh thông tin. Cụ thể: cung cấp tài nguyên theo yêu cầu; sao lưu, phục hồi; quản trị hệ thống; giám sát an toàn thông tin; giám sát phòng chống mã độc; giám sát luồng dữ liệu; giám sát điện năng, môi trường, camera, phòng chống cháy nổ; chống sét lan truyền….
2. Dịch vụ của Trung tâm dữ liệu
a) Cung cấp các nền tảng và hệ thống thông tin dùng chung của tỉnh;
b) Cung cấp các máy chủ phục vụ nhu cầu khai thác, sử dụng của các cơ quan, đơn vị trong tỉnh;
c) Cung cấp hạ tầng kết nối liên thông giữa các hệ thống thông tin trong tỉnh với các hệ thống thông tin ngoài tỉnh thông qua mạng truyền số liệu chuyên dùng;
d) Cung cấp các cơ sở dữ liệu, các kho dữ liệu dùng chung phục vụ nhu cầu chuyển đổi số, xây dựng Chính quyền số và phát triển đô thị thông minh của tỉnh.
Điều 3. Nguyên tắc quản lý, vận hành, sử dụng Trung tâm dữ liệu
1. Tuân thủ các nguyên tắc về bảo đảm hạ tầng kỹ thuật và hệ thống thông tin phục vụ ứng dụng, phát triển công nghệ thông tin và chuyển đổi số theo quy định hiện hành.
2. Bảo đảm các yêu cầu về an toàn, an ninh thông tin theo Luật An ninh mạng, Luật An toàn thông tin và các văn bản pháp luật hiện hành.
3. Bảo đảm hoạt động ổn định, liên tục phục vụ nhu cầu sử dụng, khai thác của đối tượng sử dụng.
4. Tuân thủ các tiêu chuẩn, quy chuẩn kỹ thuật, các quy định hiện hành về công tác quản lý, vận hành, sử dụng Trung tâm dữ liệu. Kết nối, chia sẻ, nâng cấp Trung tâm dữ liệu phải tuân thủ các tiêu chuẩn, quy chuẩn kỹ thuật do Nhà nước quy định, phù hợp với Kiến trúc Chính quyền điện tử tỉnh.
5. Tuân thủ theo các quy định hiện hành về bảo mật, bảo vệ bí mật Nhà nước, bảo đảm an toàn thông tin theo cấp độ.
QUY ĐỊNH VỀ QUẢN LÝ, VẬN HÀNH, SỬ DỤNG TRUNG TÂM DỮ LIỆU
Điều 4. Quy định về chế độ làm việc tại Trung tâm dữ liệu
1. Quy định quản lý, vận hành
a) Đảm bảo Trung tâm dữ liệu được hoạt động ổn định, liên tục 24 giờ/ngày và 7 ngày/tuần;
b) Duy trì chế độ trực vận hành Trung tâm dữ liệu ngoài giờ hành chính, ngày nghỉ, ngày lễ, ngày tết.
2. Quy định đối với người được giao nhiệm vụ quản trị, vận hành hệ thống
a) Trong quá trình làm việc và trực vận hành phải tuân thủ nghiêm ngặt theo các quy định về quy trình quản lý, xử lý sự cố và nội quy của Trung tâm dữ liệu;
b) Được phép truy cập, khai thác thông tin tại Trung tâm dữ liệu theo trách nhiệm được giao và theo phân quyền; việc khai thác thông tin phải bảo đảm nguyên tắc bảo mật, không được tự ý cung cấp thông tin ra bên ngoài; không được tự ý can thiệp vào các phần mềm ứng dụng, dữ liệu do các cơ quan, đơn vị khác triển khai tại Trung tâm dữ liệu;
c) Quá trình làm việc, thực hiện các nghiệp vụ chuyên môn có sự tác động đến các thiết bị thuộc các phân hệ của Trung tâm dữ liệu phải được ghi chép cụ thể vào sổ nhật ký hệ thống;
d) Có trách nhiệm theo dõi, phát hiện kịp thời các trường hợp truy cập hệ thống trái phép hoặc có hành vi vượt quá giới hạn phải báo cáo cho cán bộ quản lý để tiến hành ngăn chặn, thu hồi, khóa quyền truy cập của các tài khoản vi phạm;
đ) Khi chấm dứt hoặc thay đổi công tác phải thu hồi tài khoản truy cập và vô hiệu hóa tất cả các quyền ra, vào, truy cập tài nguyên hệ thống và có cam kết giữ bí mật thông tin liên quan đến Trung tâm dữ liệu sau khi nghỉ việc.
3. Quy định đối với tổ chức, cá nhân đến làm việc tại Trung tâm dữ liệu
a) Tuân thủ nghiêm theo các nội quy, quy trình, quy định tại Trung tâm dữ liệu;
b) Trong quá trình làm việc, chuyển giao công nghệ và xử lý nâng cấp, tích hợp, cài đặt, tác nghiệp tại Trung tâm dữ liệu phải được ghi chép cụ thể vào sổ nhật ký hoạt động;
c) Không được sử dụng, mang theo các thiết bị điện thoại, máy tính xách tay, máy tính bảng hoặc các thiết bị điện tử cá nhân khác (thiết bị ghi âm, ghi hình, lưu trữ...) khi vào bên trong Trung tâm dữ liệu, trừ trường hợp có sự đồng ý của lãnh đạo cơ quan quản lý, vận hành Trung tâm dữ liệu;
d) Các tổ chức, cá nhân muốn khảo sát Trung tâm dữ liệu phải được cơ quan quản lý cho phép và xác định rõ nội dung trước khi khảo sát;
đ) Các tổ chức, cá nhân tham quan Trung tâm dữ liệu phải được sự đồng ý của cơ quan quản lý. Việc tham quan không được phép kèm nội dung khảo sát, không được ghi lại thông tin dưới bất kỳ hình thức nào.
Điều 5. Quy định về an toàn hoạt động
1. Không được phép đặt tại Trung tâm dữ liệu các thiết bị hư hỏng, thiết bị chờ thanh lý, tài liệu, vật tư, các vật dụng dễ cháy nổ.
2. Trung tâm dữ liệu phải đảm bảo vệ sinh công nghiệp: Môi trường khô ráo, sạch sẽ, không thấm nước, không bị ánh nắng chiếu trực tiếp. Độ ẩm, nhiệt độ môi trường đạt tiêu chuẩn quy định.
3. Hệ thống phòng cháy, chữa cháy phải đáp ứng theo tiêu chuẩn quy định đảm bảo an toàn tuyệt đối cho toàn bộ thiết bị, đảm bảo an toàn cho người quản trị các hệ thống tại Trung tâm dữ liệu.
4. Hệ thống điện cấp cho Trung tâm dữ liệu phải ổn định, liên tục. Trung tâm dữ liệu phải được trang bị hệ thống lưu điện (UPS) và máy phát điện dự phòng để đảm bảo cho hệ thống hoạt động liên tục, ổn định trong thời gian nguồn điện lưới gặp sự cố.
5. Hệ thống camera thực hiện giám sát toàn bộ Trung tâm dữ liệu liên tục 24/7; dữ liệu hình ảnh phải được lưu trữ ít nhất trong thời gian là 30 ngày.
6. Hệ thống quản lý vào ra (Access Control) hoạt động 24/7 và ghi đầy đủ nhật ký nhằm đảm bảo an ninh, chính xác và linh hoạt cho Trung tâm dữ liệu.
7. Thực hiện các biện pháp đảm bảo an toàn thông tin khác theo hướng dẫn, quy định hiện hành.
Điều 6. Quy định về quản lý bản quyền phần mềm
1. Phần mềm hệ thống, các phần mềm ứng dụng được cài đặt tại Trung tâm dữ liệu phải có bản quyền sử dụng và được gia hạn bản quyền định kỳ, đảm bảo cho các hệ thống hoạt động liên tục, ổn định.
2. Các phần mềm chưa có bản quyền, phần mềm mã nguồn mở, phần mềm miễn phí phải được cơ quan quản lý về chuyên môn hoặc người có thẩm quyền đồng ý trước khi cài đặt.
3. Cơ quan quản lý, vận hành phải theo dõi việc sử dụng các bản quyền phần mềm tại Trung tâm dữ liệu. Lập dự toán và báo cáo các cơ quan liên quan về gia hạn bản quyền, đảm bảo hoạt động liên tục, ổn định cho toàn bộ hệ thống.
4. Không phát tán, chia sẻ phần mềm có bản quyền của Trung tâm dữ liệu ra bên ngoài.
Điều 7. Quy định về quản lý kết nối
1. Kết nối mạng truyền số liệu chuyên dùng
Kết nối, sử dụng mạng truyền số liệu chuyên dùng tại Trung tâm dữ liệu thực hiện theo các quy định về quản lý, vận hành và sử dụng mạng truyền số liệu chuyên dùng được Ủy ban nhân dân tỉnh ban hành và các văn bản pháp luật hướng dẫn hiện hành.
2. Kết nối mạng Internet
a) Đối với các kết nối Internet phải thiết lập các giải pháp bảo mật, phòng, chống tấn công xâm nhập, lây lan virus, phần mềm độc hại từ bên ngoài;
b) Đường truyền Internet cho Trung tâm dữ liệu phải có tối thiểu 02 đường truyền của 02 nhà cung cấp khác nhau để đảm bảo dự phòng cho hệ thống.
Điều 8. Quy định về xử lý sự cố
1. Khi phát hiện có sự cố, người được giao nhiệm vụ quản trị, vận hành hệ thống thực hiện các biện pháp cô lập và xác định nguyên nhân xảy ra sự cố, hạn chế tối đa ảnh hưởng tới hoạt động của Trung tâm dữ liệu; đồng thời, có trách nhiệm báo cáo kịp thời cho lãnh đạo đơn vị quản lý, vận hành hệ thống và các đơn vị có liên quan để có biện pháp xử lý kịp thời.
2. Tùy thuộc vào mức độ ảnh hưởng của sự cố, cần đánh giá và phân loại theo 03 mức như sau:
a) Các sự cố thông thường (không gây ảnh hưởng đến hoạt động của Trung tâm dữ liệu): Đơn vị quản lý, vận hành nhanh chóng phối hợp với các cơ quan, tổ chức, đơn vị liên quan thực hiện xử lý sự cố;
b) Các sự cố nghiêm trọng (sự cố liên quan đến thiết bị mạng, thiết bị bảo mật, máy chủ, đường truyền dữ liệu, cơ sở dữ liệu, các sự cố liên quan đến an ninh thông tin, mất dữ liệu, gây ảnh hưởng trực tiếp đến hoạt động của Trung tâm dữ liệu): Đơn vị quản lý, vận hành cần đánh giá ảnh hưởng của sự cố và phối hợp với các đơn vị chuyên trách thuộc Bộ Thông tin và Truyền thông để được hướng dẫn xử lý;
c) Các sự cố đặc biệt nghiêm trọng (gây ngưng trệ một phần hoặc toàn bộ hoạt động của Trung tâm dữ liệu): Đơn vị quản lý, vận hành phải có đánh giá ảnh hưởng của sự cố, phối hợp với các cơ quan Bộ, ngành liên quan, đồng thời thực hiện báo cáo nhanh về Ủy ban nhân dân tỉnh để có chỉ đạo xử lý.
3. Quy định khắc phục sự cố
a) Tuân thủ theo Quy trình xử lý, ứng cứu sự cố do cơ quan quản lý ban hành và các văn bản pháp luật hiện hành;
b) Thực hiện sao lưu dữ liệu trước khi khắc phục sự cố;
c) Đảm bảo tuyệt đối an toàn cho người và thiết bị của Trung tâm dữ liệu;
d) Ghi nhật ký diễn biến sự cố, phương án khắc phục;
đ) Thông báo cho các cơ quan, đơn vị liên quan về thời gian dự kiến khắc phục xong sự cố;
e) Báo cáo kết quả khắc phục, xử lý sự cố đến cơ quan quản lý tùy theo mức độ ảnh hưởng của sự cố.
Điều 9. Quy định về sao lưu, phục hồi dữ liệu
1. Triển khai hệ thống hoặc phương tiện lưu trữ độc lập để sao lưu dự phòng; thực hiện lưu trữ đầy đủ các dữ liệu của người dùng, ứng dụng và hệ thống. Tùy theo từng loại dữ liệu, thực hiện lưu trữ đúng và đủ thời hạn, đảm bảo phục hồi nguyên trạng khi có sự cố xảy ra. Tần suất sao lưu tùy thuộc vào mức độ quan trọng của dữ liệu.
2. Triển khai giải pháp sao lưu ngoại tuyến; có ít nhất 03 (ba) bản sao lưu dữ liệu được lưu trữ trên 02 (hai) phương tiện lưu trữ khác nhau cùng với 01 (một) bản sao lưu ngoại tuyến.
3. Dữ liệu phải được phân loại để lưu trữ theo thứ tự ưu tiên về mức độ quan trọng, sao lưu theo thời gian, loại thông tin, nơi lưu trữ. Đối với các dữ liệu quan trọng phải được lưu trữ tối thiểu tại hai thiết bị hoặc lưu trữ tại hai địa điểm cách biệt nhau.
4. Đơn vị quản lý, vận hành xây dựng quy trình sao lưu, phục hồi dữ liệu và lập lịch sao lưu theo quy trình cho các hệ thống tại Trung tâm dữ liệu theo hướng dẫn và các quy định hiện hành.
Điều 10. Quy định về cấp phát, tiếp nhận tài nguyên
1. Các cơ quan, đơn vị, tổ chức có nhu cầu sử dụng hạ tầng Trung tâm dữ liệu phải có văn bản đề nghị gửi đơn vị quản lý, vận hành xem xét cấp phát tài nguyên theo yêu cầu nhưng phải đảm bảo tính ổn định, tương thích giữa các phân hệ của Trung tâm dữ liệu.
2. Các cơ quan, đơn vị, tổ chức có nhu cầu lắp đặt máy chủ, cài đặt thiết bị vào Trung tâm dữ liệu phải có văn bản đề nghị gửi đơn vị quản lý, vận hành xem xét nhưng phải đảm bảo tính đồng bộ, tương thích với hạ tầng, thiết bị Trung tâm dữ liệu.
3. Cơ quan, đơn vị, tổ chức chịu trách nhiệm quản lý máy chủ, thiết bị, hệ thống của mình đặt tại Trung tâm dữ liệu và phân công người làm đầu mối phối hợp, hỗ trợ cho đơn vị quản lý, vận hành trong quá trình sử dụng. Trường hợp không đảm bảo nhân lực quản trị hệ thống thì chuyển toàn bộ hoặc một phần nhiệm vụ trên cho đơn vị quản lý, vận hành (phải được ký kết, thống nhất giữa hai bên).
Điều 11. Quy định về quản lý tài khoản, mật khẩu
1. Cơ quan quản lý, vận hành quy định cụ thể về tiếp nhận, quản lý, sử dụng, lưu trữ tài khoản quản trị, tài khoản được cấp phát và sử dụng mật khẩu đối với các hệ thống tại Trung tâm dữ liệu theo đúng quy định hiện hành.
2. Đối với mật khẩu tài khoản quản trị phải bảo đảm độ an toàn về độ phức tạp, giới hạn thời gian sử dụng.
a) Độ dài của mật khẩu: Đối với mật khẩu quản trị hệ thống (sử dụng cho quản trị các phân hệ của Trung tâm dữ liệu) phải có ít nhất 12 ký tự; đối với mật khẩu cấp cho người sử dụng (dùng để đăng nhập các hệ thống thông tin tại Trung tâm dữ liệu) phải có ít nhất 08 ký tự.
b) Nội dung mật khẩu: Không bao gồm các từ dễ nhớ như: Họ tên, ngày sinh, số điện thoại, các dãy số, dãy ký tự...; mật khẩu phải bao gồm (ít nhất 01 ký tự): Chữ in hoa, chữ thường, số và ký tự đặc biệt. Ví dụ: Trungtam@2024
c) Thời gian sử dụng mật khẩu: Đối với mật khẩu của người được giao nhiệm vụ quản trị, vận hành định kỳ phải được thay đổi ít nhất 03 tháng một lần. Trường hợp có thay đổi về nhân sự hoặc yêu cầu tăng cường bảo mật về an toàn an ninh thông tin thì thực hiện thay đổi toàn bộ mật khẩu quản trị của Trung tâm dữ liệu.
3. Quy định sử dụng và lưu trữ mật khẩu:
a) Người sử dụng phải thay đổi mật khẩu được cấp mới ngay từ lần đăng nhập đầu tiên và chịu trách nhiệm về việc quản lý mật khẩu được cấp. Khi có dấu hiệu bị lộ, lọt thông tin liên quan thì phải tiến hành thay đổi mật khẩu trên các hệ thống thông tin đang vận hành tại Trung tâm dữ liệu (bao gồm mật khẩu thư điện tử công vụ);
b) Không được tiết lộ mật khẩu của cá nhân, tổ chức; trường hợp bàn giao tài khoản truy cập ứng dụng phải có biên bản bàn giao;
c) Các tài liệu liên quan đến mật khẩu được quản lý nghiêm, không soạn thảo, lưu trữ trên máy tính có nối mạng Internet;
d) Các hệ thống thông tin tại Trung tâm dữ liệu phải có cơ chế bắt buộc người sử dụng thay đổi mật khẩu cho lần truy cập tiếp theo nhằm hạn chế tình trạng người sử dụng không thay đổi mật khẩu mặc định được cấp.
Điều 12. Quy định về kiểm soát truy cập và xác thực
1. Phải có phương án quản lý truy cập, quản trị hệ thống từ xa an toàn. Cấp phát quyền truy cập từ xa hoặc kết nối trực tiếp để sử dụng và khai thác tài nguyên thuộc Trung tâm dữ liệu phải đảm bảo chặt chẽ, đúng mục đích sử dụng. Một người dùng chỉ được cấp một tài khoản và được phân quyền đủ để thực hiện nhiệm vụ được phân công.
2. Các tài khoản truy cập vượt quá giới hạn sẽ bị khóa.
3. Tạm khóa quyền sử dụng đối với tài khoản đã được đăng ký nhưng không sử dụng hoặc không thay đổi mật khẩu mặc định được cấp từ 30 ngày trở
lên, tính từ ngày được thông báo tạo lập tài khoản. Tài khoản chỉ được mở khóa khi có đề nghị bằng văn bản của chủ thể sở hữu tài khoản.
4. Người được giao nhiệm vụ quản trị, vận hành có trách nhiệm theo dõi và phát hiện các trường hợp truy cập hệ thống trái phép hoặc thao tác vượt quá giới hạn, báo cáo cho Người được giao nhiệm vụ quản lý để tiến hành ngăn chặn, thu hồi, khóa quyền truy cập của các tài khoản vi phạm.
1. Thiết bị đặt tại Trung tâm dữ liệu phải được đặt tên và dán nhãn theo đúng quy định.
2. Trường hợp thiết bị hư hỏng cần sửa chữa, thay thế, đơn vị quản lý, vận hành phải có phương án thay thế, khắc phục kịp thời, đảm bảo không làm gián đoạn hoạt động của các hệ thống tại Trung tâm dữ liệu.
3. Việc sửa chữa, thay thế thiết bị hư hỏng thực hiện theo đúng quy định hiện hành.
Điều 14. Quản lý, lưu giữ hồ sơ
1. Danh sách các loại hồ sơ quản lý, lưu giữ
a) Các chính sách, quy định liên quan đến công tác quản lý, vận hành, sử dụng, triển khai, nâng cấp Trung tâm dữ liệu;
b) Các quy trình vận hành kỹ thuật các hệ thống;
c) Các quy trình bảo hành, bảo trì, bảo dưỡng các hệ thống;
d) Hồ sơ thiết kế, thuyết minh kỹ thuật, hoàn công;
đ) Hồ sơ quản lý, quản trị các hệ thống thông tin;
e) Hồ sơ lưu các dịch vụ cung cấp;
g) Báo cáo quản trị hệ thống, nhật ký vận hành hệ thống;
h) Bảng thống kê danh sách thiết bị tại Trung tâm dữ liệu. Danh sách các thiết bị hư hỏng, hết khấu hao sử dụng chờ thanh lý. Biên bản bàn giao thiết bị cho người quản trị, người sử dụng (nếu có);
i) Các hồ sơ, tài liệu kỹ thuật khác.
2. Hồ sơ phải được lưu bằng văn bản, tập tin bản mềm trên máy tính hoặc phần mềm quản lý điều hành và phải được cập nhật khi có sự thay đổi.
1. Đơn vị quản lý, vận hành có trách nhiệm
a) Xây dựng và tham mưu cho Ủy ban nhân dân tỉnh phê duyệt và ban hành quy trình bảo trì, bảo dưỡng cho toàn bộ hệ thống;
b) Trực tiếp thực hiện hoặc thuê dịch vụ bảo trì, bảo dưỡng các hệ thống theo quy định;
c) Thực hiện bảo trì, bảo dưỡng theo kế hoạch được phê duyệt.
2. Yêu cầu về bảo trì, bảo dưỡng
a) Quá trình bảo trì, bảo dưỡng phải thực hiện theo đúng kịch bản, quy trình và ghi nhật ký về tình trạng hoạt động trước và sau khi thực hiện;
b) Việc thực hiện bảo trì, bảo dưỡng không được làm gián đoạn và ảnh hưởng đến hoạt động của Trung tâm dữ liệu.
Điều 16. Công tác kiểm tra định kỳ
Hàng năm, cơ quan quản lý tổ chức kiểm tra việc tuân thủ các quy định của Quy chế này đối với đơn vị được giao nhiệm vụ vận hành và khai thác hệ thống tại Trung tâm dữ liệu. Các nội dung kiểm tra, bao gồm:
1. Việc bảo đảm các điều kiện về môi trường cho hoạt động của Trung tâm dữ liệu.
2. Tình hình an toàn, an ninh thông tin.
3. Công tác quản lý, lưu trữ dữ liệu.
4. Công tác quản lý, lưu trữ hồ sơ.
5. Công tác quản lý tài sản công.
6. Tình hình hoạt động của các phân hệ.
7. Việc tuân thủ các quy định tại Quy chế này.
BẢO ĐẢM AN TOÀN CHO CÁC HỆ THỐNG THÔNG TIN
Điều 17. Quản lý thiết kế cho các hệ thống thông tin
Hệ thống thông tin cài đặt tại Trung tâm dữ liệu phải có các tài liệu sau:
1. Quy mô, phạm vi và đối tượng sử dụng, khai thác; đơn vị trực tiếp quản lý, vận hành.
2. Bản thiết kế và các thành phần của hệ thống thông tin.
3. Phương án bảo đảm an toàn thông tin theo cấp độ.
4. Phương án lựa chọn giải pháp công nghệ cài đặt.
Điều 18. Bảo đảm an toàn thông tin theo cấp độ
1. Tất cả các hệ thống thông tin tại Trung tâm dữ liệu phải được phê duyệt cấp độ an toàn thông tin theo quy định.
2. Các hệ thống thông tin phải được trang bị và triển khai đầy đủ các giải pháp đảm bảo an toàn thông tin đúng theo hướng dẫn, quy định hiện hành.
3. Các hệ thống thông tin đã được phê duyệt cấp độ an toàn thông tin phải được kiểm tra, đánh giá an toàn thông tin định kỳ hàng năm theo quy định và hướng dẫn hiện hành.
Điều 19. Trách nhiệm của Sở Thông tin và Truyền thông
1. Trực tiếp tham mưu, giúp Ủy ban nhân dân tỉnh thực hiện quản lý, vận hành, nâng cấp và mở rộng Trung tâm dữ liệu; tham mưu Ủy ban nhân dân tỉnh quy hoạch hệ thống, các giải pháp, phương án kỹ thuật, kế hoạch phát triển Trung tâm dữ liệu đáp ứng nhu cầu chuyển đổi số của tỉnh, phù hợp với Kiến trúc Chính quyền điện tử tỉnh; quản lý, sử dụng tài sản tại Trung tâm dữ liệu đúng theo quy định hiện hành.
2. Xem xét, cấp phát tài nguyên, hạ tầng, dịch vụ dùng chung theo nhu cầu của các cơ quan, đơn vị nhằm phục vụ nhiệm vụ chuyển đổi số tại các cơ quan, đơn vị, địa phương trong tỉnh.
3. Ban hành các quy trình vận hành, bảo trì, bảo dưỡng và khắc phục sự cố; phân công hoặc thực hiện công tác sửa chữa, bảo trì, bảo dưỡng thiết bị. Thường xuyên kiểm tra và giám sát việc vận hành khai thác dịch vụ, hệ thống tại Trung tâm dữ liệu; theo dõi, giám sát, đảm bảo về an toàn, an ninh thông tin cho các hệ thống tại Trung tâm dữ liệu tỉnh.
4. Ban hành các văn bản hướng dẫn các cơ quan, đơn vị, tổ chức và người sử dụng khai thác và sử dụng dịch vụ tại Trung tâm dữ liệu tỉnh.
5. Xây dựng kế hoạch đào tạo, bồi dưỡng nguồn nhân lực đáp ứng yêu cầu quản lý, vận hành Trung tâm dữ liệu.
7. Dự toán kinh phí hàng năm bảo đảm cho công tác duy trì, quản lý, vận hành, bảo trì, bảo dưỡng, thay thế, gia hạn bản quyền (license) cho các thiết bị, phần mềm tại Trung tâm dữ liệu đầy đủ, kịp thời để phục vụ nhiệm vụ chung.
8. Thực hiện báo cáo hàng quý hoặc đột xuất tình hình hoạt động của Trung tâm dữ liệu. Hàng năm, trước ngày 15 tháng 11 báo cáo tổng thể tình hình quản lý, vận hành của Trung tâm dữ liệu về UBND tỉnh.
Điều 20. Trách nhiệm của Sở Tài chính
Phối hợp với Sở Thông tin và Truyền thông tham mưu bố trí kinh phí đảm bảo cho hoạt động của Trung tâm dữ liệu theo quy định.
Điều 21. Trách nhiệm của cơ quan, đơn vị, người sử dụng
1. Đối với cơ quan, đơn vị
a) Phối hợp, hỗ trợ theo quy định trong quá trình quản lý, vận hành, sử dụng Trung tâm dữ liệu nhằm đảm bảo khả năng xử lý, ứng cứu các sự cố;
b) Tuân thủ các quy định về triển khai, tiếp nhận, quản lý, cấp phát máy chủ, tài nguyên trong Quy chế này. Đồng thời, bảo đảm an toàn thông tin theo quy định tại Hồ sơ cấp độ đã được phê duyệt.
2. Đối với người sử dụng
a) Tuân thủ các quy định được ban hành tại Quy chế này;
b) Tuân thủ các quy định về an toàn bảo mật thông tin, quản lý, vận hành, sử dụng Trung tâm dữ liệu. Không được thực hiện các hành vi đánh cắp, giả mạo tài khoản, truy cập trái phép, sử dụng các công cụ, phần mềm làm tổn hại đến hoạt động của Trung tâm dữ liệu.
1. Sở Thông tin và Truyền thông chủ trì tổ chức triển khai, phổ biến, hướng dẫn thực hiện Quy chế này theo quy định; theo dõi, kiểm tra định kỳ báo cáo Ủy ban nhân dân tỉnh tình hình triển khai của các cơ quan, đơn vị.
2. Các cơ quan, đơn vị có liên quan căn cứ chức năng, nhiệm vụ tổ chức triển khai, kiểm tra việc thực hiện Quy chế này. Phối hợp với Sở Thông tin và Truyền thông xem xét, tích hợp các hệ thống thông tin riêng lẻ của cơ quan, đơn vị để tập trung quản lý, vận hành, sử dụng tại Trung tâm dữ liệu nhằm mục tiêu tận dụng tối đa nguồn tài nguyên, giảm thiểu rủi ro, bảo đảm an toàn, an ninh thông tin.
3. Trong quá trình thực hiện Quy chế này, nếu có khó khăn, vướng mắc, các cơ quan, đơn vị kịp thời phản ánh về Sở Thông tin và Truyền thông để tổng hợp, báo cáo Ủy ban nhân dân tỉnh xem xét, sửa đổi, bổ sung.
Quyết định 50/2024/QĐ-UBND về Quy chế quản lý, vận hành, sử dụng Trung tâm dữ liệu tỉnh Bạc Liêu
Số hiệu: | 50/2024/QĐ-UBND |
---|---|
Loại văn bản: | Quyết định |
Nơi ban hành: | Tỉnh Bạc Liêu |
Người ký: | Ngô Vũ Thăng |
Ngày ban hành: | 01/11/2024 |
Ngày hiệu lực: | Đã biết |
Tình trạng: | Đã biết |
Văn bản đang xem
Quyết định 50/2024/QĐ-UBND về Quy chế quản lý, vận hành, sử dụng Trung tâm dữ liệu tỉnh Bạc Liêu
Chưa có Video