|
BỘ GIAO THÔNG VẬN
TẢI |
CỘNG HÒA XÃ HỘI
CHỦ NGHĨA VIỆT NAM |
|
Số: 724/QĐ-BGTVT |
Hà Nội, ngày 13 tháng 06 năm 2024 |
BAN HÀNH QUY CHẾ BẢO ĐẢM AN TOÀN THÔNG TIN, AN NINH MẠNG BỘ GIAO THÔNG VẬN TẢI
BỘ TRƯỞNG BỘ GIAO THÔNG VẬN TẢI
Căn cứ Luật An toàn thông tin mạng số 86/2015/QH13 ngày 19/11/2015;
Căn cứ Luật An ninh mạng số 24/2018/QH14 ngày 12/6/2018;
Căn cứ Nghị định số 56/2022/NĐ-CP ngày 24/8/2022 của Chính phủ quy định chức năng, nhiệm vụ, quyền hạn và cơ cấu tổ chức của Bộ Giao thông vận tải;
Căn cứ Nghị định số 85/2016/NĐ-CP ngày 01/7/2016 của Chính phủ về bảo đảm an toàn hệ thống thông tin theo cấp độ;
Căn cứ Nghị định số 53/2016/NĐ-CP ngày 15/8/2022 của Chính phủ quy định chi tiết một số điều của Luật An ninh mạng;
Căn cứ Quyết định số 05/2017/QĐ-TTg ngày 16/3/2017 của Thủ tướng Chính phủ ban hành quy định về hệ thống phương án ứng cứu khẩn cấp bảo đảm an toàn thông tin mạng quốc gia;
Căn cứ Thông tư số 12/2022/TT-BTTTT ngày 12/8/2022 của Bộ trưởng Bộ Thông tin và Truyền thông quy định chi tiết và hướng dẫn một số điều của Nghị định số 85/2016/NĐ-CP ngày 01/7/2016 về bảo đảm an toàn hệ thống thông tin theo cấp độ;
Theo đề nghị của Giám đốc Trung tâm Công nghệ thông tin.
QUYẾT ĐỊNH:
|
|
KT. BỘ TRƯỞNG |
BẢO ĐẢM AN TOÀN THÔNG TIN, AN NINH MẠNG BỘ GIAO THÔNG VẬN TẢI
(Kèm theo Quyết định số 724/QĐ-BGTVT ngày 13 tháng 06 năm 2024 của Bộ
trưởng Bộ Giao thông vận tải)
Điều 1. Phạm vi điều chỉnh và đối tượng áp dụng
1. Phạm vi điều chỉnh:
Quy chế này quy định về bảo đảm an toàn thông tin, an ninh mạng trong các hoạt động ứng dụng công nghệ thông tin của Bộ Giao thông vận tải.
2. Đối tượng áp dụng:
a) Các cơ quan, đơn vị, doanh nghiệp thuộc Bộ Giao thông vận tải.
b) Cán bộ, công chức, viên chức và người lao động trong các cơ quan, đơn vị, doanh nghiệp thuộc Bộ Giao thông vận tải.
c) Các tổ chức, cá nhân cung cấp dịch vụ công nghệ thông tin và an toàn thông tin, an ninh mạng; tham gia kết nối vào các hệ thống thông tin của Bộ Giao thông vận tải.
Trong Quy chế này, các từ ngữ dưới đây được hiểu như sau:
1. An toàn thông tin là sự bảo vệ thông tin số và các hệ thống thông tin trên mạng tránh bị truy nhập, sử dụng, tiết lộ, gián đoạn, sửa đổi hoặc phá hoại trái phép nhằm bảo đảm tính nguyên vẹn, tính bảo mật và tính khả dụng của thông tin.
2. An ninh mạng là việc bảo đảm thông tin trên mạng không gây phương hại đến an ninh quốc gia, trật tự an toàn xã hội, bí mật nhà nước, quyền và lợi ích hợp pháp của tổ chức, cá nhân.
3. Hệ thống thông tin là tập hợp phần cứng, phần mềm và cơ sở dữ liệu được thiết lập phục vụ mục đích tạo lập, cung cấp, truyền đưa, thu thập, xử lý, lưu trữ và trao đổi thông tin trên mạng.
4. Hạ tầng kỹ thuật là tập hợp các thiết bị tính toán, lưu trữ, thiết bị ngoại vi, thiết bị kết nối mạng, thiết bị phụ trợ, đường truyền, mạng nội bộ, mạng diện rộng…
5. Chủ quản hệ thống thông tin là cơ quan, tổ chức, cá nhân có thẩm quyền quản lý trực tiếp đối với hệ thống thông tin.
6. Đơn vị vận hành hệ thống thông tin là cơ quan, tổ chức được chủ quản hệ thống thông tin giao nhiệm vụ vận hành hệ thống thông tin.
7. Đơn vị chuyên trách về an toàn thông tin là đơn vị có chức năng, nhiệm vụ bảo đảm an toàn thông tin của chủ quản hệ thống thông tin.
8. Hệ thống thông tin quan trọng là hệ thống thông tin khi phát sinh sự cố sẽ làm tổn hại nghiêm trọng đến hoạt động của đơn vị.
9. Rủi ro an toàn thông tin là những nhân tố chủ quan hoặc khách quan có khả năng ảnh hưởng đến trạng thái an toàn thông tin mạng.
10. Phần mềm độc hại (mã độc) là phần mềm có khả năng gây ra hoạt động không bình thường cho một phần hay toàn bộ hệ thống thông tin hoặc thực hiện sao chép, sửa đổi, xóa bỏ trái phép thông tin lưu trữ trong hệ thống thông tin.
11. Sự cố an toàn thông tin mạng là việc thông tin, hệ thống thông tin bị gây nguy hại, ảnh hưởng đến tính toàn vẹn, tính bảo mật và tính khả dụng.
12. Tài khoản người dùng là một tập hợp thông tin đại diện duy nhất cho người sử dụng trên hệ thống thông tin, người dùng sử dụng để đăng nhập và truy cập các tài nguyên được cấp phép trên hệ thống thông tin đó. Tài khoản người dùng ít nhất phải bao gồm tên định danh và mã khóa bí mật.
13. Tính bảo mật của thông tin là đảm bảo thông tin chỉ được tiếp cận bởi những người được cấp quyền tương ứng.
14. Tính toàn vẹn của thông tin là bảo vệ sự chính xác và đầy đủ của thông tin và thông tin chỉ được thay đổi bởi những người được cấp quyền.
15. Tính sẵn sàng của thông tin là đảm bảo những người được cấp quyền có thể truy xuất thông tin ngay khi có nhu cầu.
16. Bên thứ ba là các tổ chức, cá nhân có chuyên môn được đơn vị thuê hoặc hợp tác với đơn vị nhằm cung cấp sản phẩm, dịch vụ kỹ thuật cho hệ thống công nghệ thông tin.
17. Thiết bị di động là thiết bị số có thể cầm tay, có hệ điều hành, có khả năng xử lý, kết nối mạng và có màn hình hiển thị như máy tính xách tay, máy tính bảng, điện thoại di động thông minh.
18. Trung tâm dữ liệu bao gồm hạ tầng kỹ thuật (nhà trạm, hệ thống cáp) và hệ thống máy tính cùng các thiết bị phụ trợ được lắp đặt vào đó để lưu trữ, trao đổi và quản lý tập trung dữ liệu của một hay nhiều tổ chức, cá nhân.
19. Vật mang tin là các phương tiện vật chất dùng để lưu giữ và truyền nhận thông tin điện tử.
20. Dữ liệu nhạy cảm là dữ liệu có thông tin mật, thông tin lưu hành nội bộ của đơn vị hoặc do đơn vị quản lý, nếu lộ lọt ra ngoài sẽ gây ảnh hưởng xấu đến danh tiếng, tài chính và hoạt động của đơn vị.
21. Điểm yếu về mặt kỹ thuật là vị trí trong hệ thống thông tin dễ bị khai thác, lợi dụng khi bị tấn công hoặc xâm nhập bất hợp pháp.
Điều 3. Nguyên tắc bảo đảm an toàn thông tin, an ninh mạng
1. Bảo đảm an toàn thông tin, an ninh mạng là yêu cầu bắt buộc, tuân thủ các nguyên tắc chung quy định tại Điều 4 Luật An toàn thông tin mạng, Điều 4 Luật An ninh mạng và các quy định pháp luật khác có liên quan.
2. Từng đơn vị phải có trách nhiệm bảo đảm an toàn thông tin, an ninh mạng của đơn vị mình, theo đúng quy định của pháp luật, bảo đảm quốc phòng, an ninh quốc gia, bí mật nhà nước.
3. Xác định rõ quyền hạn, trách nhiệm của Thủ trưởng đơn vị (hoặc người đại diện hợp pháp), từng bộ phận và cá nhân trong đơn vị đối với công tác bảo đảm an toàn thông tin, an ninh mạng.
4. An toàn thông tin, an ninh mạng được thực hiện thường xuyên, liên tục từ khâu thiết kế, xây dựng, vận hành đến khi hủy bỏ; tuân thủ theo các tiêu chuẩn, quy chuẩn kỹ thuật được các cơ quan chức năng ban hành.
5. Việc bảo đảm an toàn thông tin, an ninh mạng được thực hiện trên cơ sở hài hòa giữa lợi ích, chi phí và mức độ chấp nhận rủi ro của đơn vị.
6. Nhận biết, phân loại, đánh giá kịp thời và xử lý có hiệu quả các rủi ro an toàn thông tin, an ninh mạng có thể xảy ra trong đơn vị.
7. Xử lý sự cố an toàn thông tin, an ninh mạng phải phù hợp với trách nhiệm, quyền hạn và bảo đảm lợi ích hợp pháp của cơ quan, đơn vị, cá nhân liên quan và theo quy định của pháp luật.
Điều 4. Các hành vi bị nghiêm cấm
1. Các hành vi bị nghiêm cấm về an toàn thông tin quy định tại Điều 7 Luật An toàn thông tin mạng.
2. Các hành vi bị nghiêm cấm về an ninh mạng quy định tại Điều 8 Luật An ninh mạng.
3. Hành vi nghiêm cấp khác về an toàn thông tin, an ninh mạng theo quy định của pháp luật.
Điều 5. Quy chế bảo đảm an toàn thông tin, an ninh mạng
1. Các đơn vị thuộc Bộ phải xây dựng và ban hành quy chế bảo đảm an toàn thông tin, an ninh mạng phù hợp với hệ thống thông tin, cơ cấu tổ chức, yêu cầu quản lý và hoạt động của đơn vị.
2. Quy chế bảo đảm an toàn thông tin, an ninh mạng cần quy định tối thiểu các nội dung cơ bản sau:
a) Quản lý tài sản công nghệ thông tin.
b) Quản lý nguồn nhân lực bảo đảm an toàn thông tin, an ninh mạng;
c) Các biện pháp quản lý truy cập mạng.
d) Bảo đảm an toàn, an ninh về mặt vật lý và môi trường.
đ) Bảo đảm toàn thông tin, an ninh mạng đối với thiết bị đầu cuối.
e) Quản lý vận hành và trao đổi thông tin.
g) Bảo đảm an toàn thông tin, an ninh mạng trong xây dựng, duy trì, hủy bỏ hệ thống thông tin.
h) Quản lý sản phẩm, dịch vụ của bên thứ ba.
i) Quản lý sự cố an toàn thông tin, an ninh mạng.
k) Kiểm tra, giám sát an toàn thông tin, an ninh mạng.
l) Bảo đảm hoạt động liên tục của hệ thống thông tin.
m) Chế độ báo cáo.
3. Quy chế bảo đảm an toàn thông tin, an ninh mạng của đơn vị phải đảm bảo sự đầy đủ theo các quy định tại Quy chế này và phù hợp với các văn bản quy phạm pháp luật liên quan trong lĩnh vực an toàn thông tin, an ninh mạng. Khi phát hiện những bất cập, bất hợp lý gây ra mất an toàn hệ thống thông tin hoặc theo yêu cầu của cơ quan có thẩm quyền, đơn vị phải tiến hành chỉnh sửa, bổ sung quy chế đã ban hành.
CÁC QUY ĐỊNH VỀ BẢO ĐẢM AN TOÀN THÔNG TIN, AN NINH MẠNG
Mục 1. QUẢN LÝ TÀI SẢN CÔNG NGHỆ THÔNG TIN
Điều 6. Quản lý tài sản công nghệ thông tin
1. Các loại tài sản công nghệ thông tin bao gồm:
a) Tài sản vật lý: các thiết bị công nghệ thông tin, phương tiện truyền thông và các thiết bị phục vụ cho hoạt động của hệ thống thông tin.
b) Tài sản thông tin: các thông tin, dữ liệu ở dạng số.
c) Tài sản phần mềm: các phần mềm hệ thống, phần mềm tiện ích, cơ sở dữ liệu, chương trình ứng dụng và công cụ phát triển.
2. Căn cứ phân loại tài sản công nghệ thông tin tại khoản 1 Điều này, đơn vị xây dựng và thực hiện các quy định về quản lý và sử dụng tài sản theo quy định tại Điều 7 Quy chế này.
Điều 7. Yêu cầu cơ bản về quản lý tài sản công nghệ thông tin
1. Lập danh mục tài sản công nghệ thông tin. Thường xuyên cập nhật và quản lý danh mục.
2. Giao, gắn trách nhiệm cho cá nhân hoặc tập thể quản lý, sử dụng tài sản.
3. Quy định các quy tắc sử dụng, gìn giữ, bảo vệ tài sản trong các trường hợp như: mang tài sản ra khỏi cơ quan, tài sản liên quan tới dữ liệu nhạy cảm, cài đặt và cấu hình,...
4. Tài sản vật lý có lưu trữ dữ liệu nhạy cảm khi thay đổi mục đích sử dụng hoặc thanh lý, đơn vị phải thực hiện các biện pháp xóa, tiêu hủy dữ liệu đó đảm bảo không có khả năng phục hồi. Trường hợp không thể tiêu hủy được dữ liệu, đơn vị phải thực hiện biện pháp tiêu hủy cấu phần lưu trữ dữ liệu trên tài sản đó.
Mục 2. QUẢN LÝ NGUỒN NHÂN LỰC BẢO ĐẢM AN TOÀN THÔNG TIN, AN NINH MẠNG
Điều 8. Điều kiện, yêu cầu nhân sự
1. Có phẩm chất đạo đức tốt, có đủ tiêu chuẩn chính trị, có kiến thức pháp luật và chuyên môn, nghiệp vụ về bảo vệ thông tin bí mật, nghiêm chỉnh chấp hành đường lối, chủ trương, chính sách của Đảng, pháp luật của Nhà nước.
2. Có trình độ, chuyên môn về lĩnh vực công nghệ thông tin, an toàn thông tin, an ninh mạng phù hợp với vị trí tuyển dụng.
1. Xác định trách nhiệm trong việc bảo đảm an toàn thông tin, an ninh mạng của vị trí phân công.
2. Yêu cầu người được phân công phải cam kết bảo mật thông tin bằng văn bản riêng hoặc cam kết trong hợp đồng làm việc, hợp đồng lao động, bao gồm các điều khoản về trách nhiệm của cá nhân sau khi thôi việc tại đơn vị.
Điều 10. Sử dụng nguồn nhân lực
Đơn vị có trách nhiệm thực hiện:
1. Phổ biến và cập nhật các quy định về bảo đảm an toàn thông tin, an ninh mạng cho tất cả cán bộ, nhân viên.
2. Có biện pháp quản lý tài khoản người dùng của cán bộ, nhân viên trên các hệ thống thông tin quan trọng.
3. Thường xuyên rà soát, kiểm tra quyền truy cập vào các hệ thống thông tin đối với tất cả cán bộ, nhân viên đảm bảo quyền truy cập phù hợp với nhiệm vụ được giao.
Điều 11. Chấm dứt hoặc thay đổi công việc
Khi cán bộ, nhân viên chấm dứt hoặc thay đổi công việc, đơn vị phải:
1. Xác định rõ trách nhiệm của cán bộ, nhân viên và các bên liên quan trong quản lý, sử dụng các tài sản công nghệ thông tin được giao.
2. Lập biên bản bàn giao tài sản công nghệ thông tin.
3. Thay đổi hoặc thu hồi quyền truy cập các hệ thống thông tin.
4. Rà soát, kiểm tra đối chiếu định kỳ giữa bộ phận quản lý nhân sự và bộ phận quản lý cấp phát, thu hồi quyền truy cập hệ thống thông tin để đảm bảo tài khoản người dùng của cán bộ, nhân viên đã nghỉ việc được thu hồi.
Mục 3. BẢO ĐẢM AN TOÀN VỀ MẶT VẬT LÝ VÀ MÔI TRƯỜNG NƠI LẮP ĐẶT THIẾT BỊ CÔNG NGHỆ THÔNG TIN
Điều 12. Yêu cầu chung đối với nơi lắp đặt
1. Có biện pháp bảo vệ, kiểm soát, hạn chế rủi ro xâm nhập trái phép, phòng chống nguy cơ do cháy nổ, thiên tai, thảm họa.
2. Các khu vực có yêu cầu cao về an toàn như khu vực lắp đặt máy chủ, thiết bị lưu trữ, thiết bị an ninh bảo mật, thiết bị truyền thông phải được cách ly với khu vực dùng chung; ban hành nội quy, hướng dẫn làm việc và áp dụng biện pháp kiểm soát ra vào khu vực đó.
Điều 13. Yêu cầu đối với phòng máy chủ, trung tâm dữ liệu
Ngoài việc đảm bảo yêu cầu tại Điều 12 Quy chế này, phòng máy chủ, trung tâm dữ liệu phải đảm bảo các yêu cầu sau:
1. Khu vực lắp đặt thiết bị phải được tránh nắng chiếu rọi trực tiếp, chống thấm dột nước, tránh ngập lụt. Cửa vào ra phải chắc chắn, có khả năng chống cháy, sử dụng khóa an toàn.
2. Khu vực lắp đặt thiết bị của hệ thống thông tin quan trọng phải được bảo vệ, giám sát 24/7.
3. Có tối thiểu một nguồn điện chính và một nguồn dự phòng có khả năng duy trì hoạt động của thiết bị trong thời gian tối thiểu 30 phút.
4. Có hệ thống điều hòa không khí đảm bảo khả năng hoạt động liên tục.
5. Có hệ thống chống sét trực tiếp và lan truyền.
6. Có hệ thống báo cháy và chữa cháy tự động đảm bảo khi chữa cháy không làm hư hỏng thiết bị lắp đặt bên trong.
7. Có hệ thống sàn kỹ thuật hoặc lớp cách ly chống nhiễm điện.
8. Có hệ thống camera giám sát, lưu trữ dữ liệu tối thiểu 90 ngày.
9. Có hệ thống theo dõi, kiểm soát nhiệt độ, độ ẩm.
10. Có sổ ghi nhật ký ra vào.
Mục 4. ĐẢM BẢO AN TOÀN THÔNG TIN, AN NINH MẠNG ĐỐI VỚI THIẾT BỊ ĐẦU CUỐI
Điều 14. Quản lý an toàn thiết bị đầu cuối
Quy định về quản lý an toàn thiết bị đầu cuối bao gồm các nội dung:
1. Quản lý, vận hành hoạt động bình thường cho thiết bị đầu cuối.
2. Kết nối, truy cập và sử dụng thiết bị đầu cuối từ xa.
3. Cài đặt, kết nối và gỡ bỏ thiết bị đầu cuối trong hệ thống.
4. Cấu hình tối ưu và tăng cường bảo mật cho máy tính người sử dụng và thực hiện quy trình trước khi đưa hệ thống vào sử dụng.
5. Kiểm tra, đánh giá, xử lý điểm yếu an toàn thông tin cho thiết bị đầu cuối trước khi đưa vào sử dụng.
Điều 15. Quản lý an toàn người sử dụng đầu cuối
Chính sách, quy trình quản lý an toàn người sử dụng đầu cuối bao gồm:
1. Quản lý truy cập, sử dụng tài nguyên nội bộ.
2. Quản lý truy cập mạng và tài nguyên trên Internet.
3. Cài đặt và sử dụng máy tính an toàn.
Điều 16. Quản lý phòng chống phần mềm độc hại
1. Cài đặt, cập nhật, sử dụng phần mềm phòng chống mã độc; dò quét, kiểm tra phần mềm độc hại trên máy tính, máy chủ và thiết bị di động.
2. Định kỳ hằng năm thực hiện kiểm tra và dò quét phần mềm độc hại trên các thiết bị đầu cuối; thực hiện kiểm tra và xử lý phần mềm độc hại khi phát hiện dấu hiệu hoặc cảnh báo về dấu hiệu phần mềm độc hại xuất hiện trên thiết bị đầu cuối.
Điều 17: Trách nhiệm của cá nhân
1. Gắn trách nhiệm cho cá nhân quản lý, sử dụng thiết bị đầu cuối.
2. Quy định các quy tắc sử dụng, giữ gìn bảo vệ thiết bị đầu cuối:
a) Cá nhân chỉ cài đặt phần mềm hợp lệ trên máy tính và thường xuyên cập nhật phần mềm và hệ điều hành.
b) Cài đặt phần mềm phòng chống mã độc và thiết lập chế độ tự động cập nhật cho phần mềm; khi phát hiện bất kỳ dấu hiệu nào liên quan đến việc bị nhiễm phần mềm độc hại trên máy tính phải báo trực tiếp cho bộ phận chuyên trách về công nghệ thông tin để được xử lý kịp thời.
c) Chỉ truy nhập vào các trang/cổng thông tin điện tử, ứng dụng trực tuyến tin cậy phù hợp với chức năng, trách nhiệm, quyền hạn của mình; có trách nhiệm bảo mật tài khoản truy nhập thông tin, không chia sẻ mật khẩu, thông tin cá nhân với người khác.
d) Chỉ sử dụng thiết bị lưu trữ di động cho các hoạt động nghiệp vụ, quản lý khi và thực hiện các biện pháp bảo đảm an toàn thông tin, an ninh mạng cho thiết bị lưu trữ di động như mã hóa dữ liệu, quét mã độc định kỳ.
đ) Khóa màn hình máy tính khi rời khỏi bàn làm việc; đăng xuất khỏi hệ thống, ứng dụng khi ngừng sử dụng; tắt máy an toàn sau mỗi buổi làm việc.
Điều 18: Trách nhiệm của đơn vị
a) Các đơn vị có trách nhiệm xây dựng quy trình bảo dưỡng, bảo trì và hướng dẫn người dùng cách sử dụng, quản lý, vận hành hệ thiết bị đầu cuối.
b) Chỉ định bộ phận chuyên trách về công nghệ thông tin thực hiện định kỳ kiểm tra công tác bảo đảm an toàn thông tin, an ninh mạng đối với thiết bị đầu cuối.
Mục 5. QUẢN LÝ, VẬN HÀNH HỆ THỐNG THÔNG TIN
Điều 19. Trách nhiệm quản lý và quy trình vận hành của đơn vị
1. Ban hành các quy trình vận hành hệ thống thông tin, tối thiểu bao gồm: Quy trình khởi động, đóng hệ thống; quy trình sao lưu, phục hồi dữ liệu; quy trình vận hành ứng dụng; quy trình xử lý sự cố; quy trình giám sát và ghi nhật ký hoạt động của hệ thống.
2. Kiểm soát sự thay đổi của phiên bản phần mềm, cấu hình phần cứng, quy trình vận hành: ghi chép lại các thay đổi; lập kế hoạch, thực hiện kiểm tra, thử nghiệm sự thay đổi, báo cáo kết quả và phải được phê duyệt trước khi áp dụng chính thức.
3. Hệ thống thông tin vận hành chính thức phải đáp ứng yêu cầu:
a) Tách biệt với môi trường phát triển và môi trường kiểm tra, thử nghiệm.
b) Có biện pháp, giải pháp bảo đảm an toàn thông tin, an ninh mạng.
c) Không cài đặt các công cụ, phương tiện phát triển ứng dụng trên hệ thống vận hành chính thức.
1. Lập danh sách các dữ liệu, phần mềm cần được sao lưu, có phân loại theo mức độ quan trọng, thời gian lưu trữ, thời gian sao lưu, phương pháp sao lưu và thời gian kiểm tra phục hồi hệ thống từ dữ liệu sao lưu.
2. Dữ liệu của các hệ thống thông tin quan trọng phải được sao lưu ra phương tiện lưu trữ ngoài (như băng từ, đĩa cứng, đĩa quang hoặc phương tiện lưu trữ khác) và cất giữ, bảo quản an toàn tách rời với khu vực tiến hành sao lưu. Kiểm tra, phục hồi dữ liệu sao lưu từ phương tiện lưu trữ ngoài tối thiểu sáu tháng một lần.
3. Cần tách biệt giữa sao lưu dữ liệu và sao lưu ứng dụng. Mọi ứng dụng được cài đặt hoặc xóa bỏ khỏi hệ thống thông tin đều cần được sao lưu vào hệ thống dự phòng, tách biệt khỏi hệ thống sao lưu dữ liệu.
Điều 21. Trao đổi thông tin, dữ liệu
Đơn vị có trách nhiệm:
1. Ban hành quy định về trao đổi thông tin tối thiểu gồm: Phân loại thông tin theo mức độ nhạy cảm; quyền và trách nhiệm của cá nhân khi tiếp cận thông tin; biện pháp đảm bảo tính toàn vẹn, bảo mật khi truyền nhận, xử lý, lưu trữ thông tin; chế độ bảo quản thông tin.
2. Các thông tin, dữ liệu nhạy cảm phải được mã hóa trước khi trao đổi, truyền nhận qua mạng máy tính.
3. Thực hiện các biện pháp quản lý, giám sát và kiểm soát chặt chẽ các trang/cổng thông tin điện tử cung cấp thông tin, dịch vụ, giao dịch trực tuyến cho các tổ chức, cá nhân bên ngoài.
4. Thực hiện biện pháp bảo vệ trang thiết bị, phần mềm phục vụ trao đổi thông tin nội bộ nhằm hạn chế việc xâm nhập, khai thác bất hợp pháp các thông tin nhạy cảm.
Điều 22. Giám sát và ghi nhật ký hoạt động của hệ thống
1. Ghi và lưu trữ nhật ký về hoạt động của hệ thống và người sử dụng hệ thống thông tin.
2. Thực hiện các biện pháp giám sát, phân tích nhật ký, cảnh báo rủi ro, xử lý và báo cáo kết quả.
3. Bảo vệ các chức năng ghi nhật ký và thông tin nhật ký, chống giả mạo, sửa đổi, phá hủy và truy cập trái phép.
4. Thực hiện việc đồng bộ thời gian giữa các hệ thống thông tin.
Xây dựng và thực hiện quy định về phòng chống mã độc đáp ứng các yêu cầu cơ bản sau:
1. Xác định trách nhiệm của người sử dụng và các bộ phận liên quan trong công tác phòng chống mã độc.
2. Triển khai biện pháp, giải pháp phòng chống mã độc cho toàn bộ hệ thống thông tin của đơn vị.
3. Cập nhật mẫu mã độc và phần mềm phòng chống mã độc mới.
4. Kiểm tra, xử lý mã độc đối với vật mang tin nhận từ bên ngoài trước khi sử dụng.
5. Kiểm soát việc cài đặt phần mềm đảm bảo tuân thủ theo quy chế an toàn thông tin, an ninh mạng của đơn vị.
Mục 6. CÁC BIỆN PHÁP QUẢN LÝ TRUY CẬP MẠNG
Điều 24. Yêu cầu nghiệp vụ đối với kiểm soát truy cập
1. Quy định về quản lý truy cập đối với người sử dụng, nhóm người sử dụng, các thiết bị, công cụ sử dụng để truy cập đảm bảo đáp ứng yêu cầu nghiệp vụ và yêu cầu an toàn thông tin, an ninh mạng, bao gồm các nội dung cơ bản sau:
a) Đăng ký, cấp phát, gia hạn và thu hồi quyền truy cập.
b) Giới hạn và kiểm soát các truy cập sử dụng tài khoản quản trị hệ thống.
c) Quản lý, cấp phát mã khóa bí mật về truy cập mạng, hệ điều hành, hệ thống thông tin và ứng dụng.
d) Rà soát, kiểm tra, xét duyệt lại quyền truy cập của người sử dụng.
đ) Yêu cầu, điều kiện an toàn, an ninh đối với các thiết bị, công cụ sử dụng để truy cập.
2. Quy định về quản lý mã khóa bí mật phải đáp ứng các yêu cầu sau:
a) Có quy định về độ phức tạp của mã khóa bí mật. Các yêu cầu về độ phức tạp của mã khóa bí mật hợp lệ phải được kiểm tra tự động khi thiết lập.
b) Các mã khóa bí mật mặc định của nhà sản xuất cài đặt sẵn trên các trang thiết bị, phần mềm, cơ sở dữ liệu phải được thay đổi trước khi đưa vào sử dụng.
3. Có quy định trách nhiệm bảo quản mã khóa bí mật của người sử dụng khi được cấp quyền truy cập.
Điều 25. Quy định về kiểm soát truy cập mạng
1. Đơn vị phải ban hành các quy định về quản lý kết nối, truy cập, trách nhiệm cá nhân của người sử dụng khi truy cập, sử dụng các hệ thống mạng, hệ thống thông tin sau:
a) Mạng Internet.
b) Mạng nội bộ.
c) Hệ thống thông tin và các ứng dụng.
2. Đơn vị phải có biện pháp kiểm soát, bảo đảm người sử dụng tuân thủ các quy định đề ra.
3. Quản lý truy cập và cấu hình hệ thống
a) Cán bộ quản lý, vận hành truy cập, khai thác thông tin tại hệ thống theo trách nhiệm và phân quyền được quy định; việc khai thác thông tin phải bảo đảm nguyên tắc bảo mật, không được tự ý cung cấp thông tin ra bên ngoài.
b) Cán bộ quản lý, vận hành có trách nhiệm theo dõi và phát hiện các trường hợp truy cập hệ thống trái phép hoặc thao tác vượt quá giới hạn, báo cáo cho cán bộ quản lý để tiến hành ngăn chặn, thu hồi, khóa quyền truy cập của các tài khoản vi phạm.
c) Quy trình kết nối thiết bị đầu cuối của người sử dụng vào hệ thống mạng; truy cập và quản lý cấu hình hệ thống; cấu hình tối ưu, tăng cường bảo mật cho các thiết bị mạng, bảo mật trong hệ thống cần được thực hiện trước khi đưa hệ thống vào vận hành, khai thác.
Mục 7. BẢO ĐẢM AN TOÀN THÔNG TIN, AN NINH MẠNG TRONG XÂY DỰNG, DUY TRÌ, HỦY BỎ HỆ THỐNG THÔNG TIN
Điều 26. Thiết kế an toàn hệ thống thông tin
1. Trong quá trình xây dựng hoặc nâng cấp hệ thống, phải có tài liệu mô tả quy mô, phạm vi và đối tượng sử dụng, khai thác, quản lý vận hành hệ thống thông tin; thiết kế và các thành phần của hệ thống thông tin; phương án bảo đảm an toàn thông tin theo cấp độ; phương án lựa chọn giải pháp công nghệ bảo đảm an toàn thông tin, an ninh mạng.
2. Khi có thay đổi thiết kế, đánh giá lại tính phù hợp của phương án thiết kế đối với các yêu cầu an toàn đặt ra đối với hệ thống; có phương án quản lý và bảo vệ hồ sơ thiết kế.
3. Đánh giá hồ sơ thiết kế hệ thống thông tin, các biện pháp bảo đảm an toàn thông tin trước khi triển khai thực hiện.
Điều 27. Yêu cầu về an toàn thông tin, an ninh mạng cho hệ thống
1. Xây dựng các yêu cầu về an toàn thông tin, an ninh mạng đồng thời với việc đưa ra các yêu cầu kỹ thuật, nghiệp vụ.
2. Đánh giá, xác định cấp độ và tuân thủ đầy đủ các quy định về bảo đảm an toàn thông tin, an ninh mạng của hệ thống theo cấp độ tương ứng.
3. Xây dựng các yêu cầu về trách nhiệm cập nhật, vá lỗi, khắc phục lỗ hổng bảo mật của hệ thống thông tin được phát hiện trong quá trình vận hành.
Điều 28. Quản lý an toàn thông tin, an ninh mạng máy chủ
1. Quản lý, vận hành hoạt động của hệ thống máy chủ
a) Bảo đảm cho hệ điều hành, phần mềm cài đặt trên máy chủ hoạt động liên tục, ổn định và an toàn.
b) Thường xuyên kiểm tra cấu hình, các file nhật ký hoạt động của hệ điều hành, phần mềm nhằm kịp thời phát hiện và xử lý những sự cố nếu có.
c) Quản lý các thay đổi cấu hình kỹ thuật; thường xuyên cập nhật các bản vá lỗi và loại bỏ các thành phần của hệ điều hành, phần mềm không cần thiết hoặc không còn nhu cầu sử dụng.
2. Truy cập mạng của máy chủ
Bảo đảm các kết nối mạng trên máy chủ hoạt động liên tục, ổn định và an toàn. Cấu hình, kiểm soát các kết nối, các cổng dịch vụ từ bên trong đi ra cũng nhưng bên ngoài vào hệ thống.
3. Quản trị máy chủ
a) Thay đổi các tài khoản, mật khẩu mặc định ngay khi đưa hệ điều hành, phần mềm vào sử dụng.
b) Cấp quyền quản lý truy cập của người sử dụng trên máy chủ cài đặt hệ điều hành.
c) Toàn bộ máy chủ, ngoại trừ các hệ thống bắt buộc phải có giao tiếp với Internet (các hệ thống phục vụ truy cập Internet; cung cấp giao diện ra Internet của trang tin thông tin điện tử; phục vụ cập nhật bản vá hệ điều hành, mẫu mã độc, mẫu điểm yếu, mẫu tấn công) không được kết nối Internet.
d) Sử dụng cơ chế xác thực đa nhân tố khi truy cập vào các máy chủ trong hệ thống; có cơ chế yêu cầu người sử dụng thay đổi thông tin xác thực định kỳ.
đ) Kiểm tra tính toàn vẹn của các tệp tin hệ thống và tính toàn vẹn của các quyền đã được cấp trên các tài khoản hệ thống.
e) Cấu hình tối ưu và tăng cường bảo mật cho hệ thống máy chủ trước khi đưa vào vận hành, khai thác.
Điều 29. Quản lý an toàn thông tin, an ninh mạng ứng dụng
Các chương trình ứng dụng nghiệp vụ phải đạt các yêu cầu tối thiểu về an toàn thông tin, an ninh mạng sau:
a) Kiểm tra tính hợp lệ của dữ liệu đầu vào khi nhập liệu từ người dùng hoặc các hệ thống bên ngoài.
b) Kiểm tra tính hợp lệ của dữ liệu trao đổi giữa các thành phần của hệ thống.
c) Có các biện pháp đảm bảo tính xác thực và tính toàn vẹn dữ liệu.
d) Kiểm tra tính hợp lệ của dữ liệu xuất ra từ các ứng dụng.
đ) Mã khóa bí mật của người sử dụng trong các hệ thống thông tin quan trọng phải được mã hóa ở lớp ứng dụng.
2. Quản trị ứng dụng
a) Có cơ chế yêu cầu người sử dụng thay đổi thông tin xác thực định kỳ đối với tài khoản quản trị của ứng dụng.
b) Sử dụng cơ chế mã hóa thông tin xác thực của người sử dụng/bên sử dụng trước khi gửi đến ứng dụng qua môi trường mạng.
c) Xác thực thông tin, nguồn gửi khi trao đổi thông tin trong quá trình quản trị ứng dụng (không phải là thông tin, dữ liệu công khai) qua môi trường mạng.
Điều 30. Quản lý an toàn dữ liệu
1. Yêu cầu an toàn đối với phương pháp mã hóa:
a) Đơn vị phải xây dựng và áp dụng quy định sử dụng các phương thức mã hóa thích hợp theo các chuẩn quốc gia hoặc quốc tế đã được công nhận để bảo vệ thông tin.
b) Phải có biện pháp quản lý khóa mã hóa thích hợp để hỗ trợ việc sử dụng các kỹ thuật mã hóa.
2. Phân loại, quản lý và sử dụng khóa bí mật và dữ liệu mã hóa.
3. Có cơ chế mã hóa và kiểm tra tính nguyên vẹn của dữ liệu.
4. Trao đổi dữ liệu qua môi trường mạng và phương tiện lưu trữ.
5. Sao lưu dự phòng và khôi phục dữ liệu (tần suất sao lưu dự phòng, phương tiện lưu trữ, thời gian lưu trữ; nơi lưu trữ, phương thức lưu trữ và phương thức lấy dữ liệu ra khỏi phương tiện lưu trữ).
6. Cập nhật đồng bộ thông tin, dữ liệu giữa hệ thống sao lưu dự phòng chính và hệ thống phụ.
7. Định kỳ hoặc khi có thay đổi cấu hình trên hệ thống thực hiện quy trình sao lưu dự phòng: tập tin cấu hình hệ thống, bản dự phòng hệ điều hành máy chủ, cơ sở dữ liệu; dữ liệu, thông tin nghiệp vụ và các thông tin, dữ liệu quan trọng khác trên hệ thống (nếu có).
1. Quy định và đưa vào sử dụng các biện pháp mã hóa mật mã theo các chuẩn quốc gia hoặc quốc tế đã được công nhận, có biện pháp quản lý khóa để bảo vệ thông tin.
2. Dữ liệu về mã khóa bí mật người sử dụng và các dữ liệu nhạy cảm khác phải được mã hóa, bảo vệ khi truyền qua mạng và khi lưu trữ.
Điều 32. Quản lý sự thay đổi hệ thống thông tin
Ban hành quy trình, biện pháp quản lý và kiểm soát sự thay đổi hệ thống thông tin, tối thiểu bao gồm:
1. Có quy định để đảm bảo hệ thống hoạt động ổn định, an toàn khi thay đổi các phần mềm hệ thống như hệ điều hành, hệ quản trị cơ sở dữ liệu.
2. Kiểm soát chặt chẽ việc sửa đổi mã nguồn phần mềm.
3. Giám sát, quản lý chặt chẽ việc thuê mua phần mềm bên ngoài.
Điều 33. Quản lý rủi ro an toàn thông tin, an ninh mạng
Quản lý rủi ro an toàn thông tin, an ninh mạng bao gồm:
1. Xác định mức rủi ro.
2. Quy trình đánh giá và quản lý rủi ro.
3. Biện pháp kiểm soát rủi ro.
Điều 34. Thử nghiệm và nghiệm thu hệ thống
1. Thực hiện thử nghiệm và nghiệm thu hệ thống trước khi bàn giao và đưa vào sử dụng.
2. Có nội dung, kế hoạch, quy trình thử nghiệm và nghiệm thu hệ thống.
3. Có bộ phận có trách nhiệm thực hiện thử nghiệm và nghiệm thu hệ thống.
4. Có đơn vị độc lập (bên thứ ba) hoặc bộ phận độc lập thuộc đơn vị thực hiện tư vấn và giám sát quá trình thử nghiệm và nghiệm thu hệ thống.
5. Có báo cáo nghiệm thu được xác nhận của bộ phận chuyên trách và phê duyệt của chủ quản hệ thống thông tin trước khi đưa vào sử dụng.
Điều 35. Kết thúc vận hành, khai thác, thanh lý, hủy bỏ
1. Quy định về bảo đảm an toàn thông tin, an ninh mạng khi kết thúc vận hành, khai thác, thanh lý, hủy bỏ.
2. Quy trình xử lý thông tin trên hệ thống khi thay đổi mục đích sử dụng hoặc gỡ bỏ.
3. Phương án kỹ thuật thực hiện xử lý thông tin trên hệ thống khi thay đổi mục đích sử dụng hoặc gỡ bỏ.
Mục 8. QUẢN LÝ SẢN PHẨM, DỊCH VỤ CỦA BÊN THỨ BA
Điều 36. Ký kết hợp đồng với bên thứ ba
Đơn vị phải thực hiện:
1. Xác định rõ trách nhiệm, quyền hạn và nghĩa vụ của các bên về an toàn thông tin, an ninh mạng khi ký hợp đồng. Hợp đồng với bên thứ ba phải bao gồm các điều khoản về việc xử lý vi phạm và trách nhiệm bồi thường thiệt hại của bên thứ ba do vi phạm của bên thứ ba gây ra.
2. Đơn vị không được thuê bên thứ ba thực hiện toàn bộ công việc quản trị (chỉnh sửa cấu hình, dữ liệu, nhật ký) đối với các hệ thống thông tin quan trọng.
Điều 37. Trách nhiệm của đơn vị trong quản lý các sản phẩm, dịch vụ do bên thứ ba cung cấp
1. Cung cấp, thông báo và yêu cầu bên thứ ba thực hiện các quy định của đơn vị về an toàn bảo mật hệ thống thông tin.
2. Đảm bảo triển khai, duy trì các biện pháp an toàn thông tin, an ninh mạng của dịch vụ do bên thứ ba cung cấp theo đúng thỏa thuận.
3. Xác định và ghi rõ các tính năng an toàn, các mức độ bảo mật của dịch vụ và yêu cầu quản lý trong các thỏa thuận về dịch vụ do bên thứ ba cung cấp.
4. Áp dụng các biện pháp giám sát chặt chẽ và giới hạn quyền truy cập của bên thứ ba khi cho phép họ truy cập vào hệ thống thông tin của đơn vị.
5. Giám sát nhân sự của bên thứ ba trong quá trình thực hiện hợp đồng. Khi phát hiện nhân sự bên thứ ba vi phạm quy định về an toàn bảo mật phải thông báo và phối hợp với bên thứ ba áp dụng biện pháp xử lý kịp thời.
6. Thu hồi quyền truy cập hệ thống thông tin đã được cấp cho bên thứ ba, thay đổi các khóa, mã khóa bí mật nhận bàn giao từ bên thứ ba ngay sau khi hoàn thành công việc hoặc kết thúc hợp đồng.
Điều 38. Trách nhiệm của bên thứ ba khi cung cấp sản phẩm, dịch vụ công nghệ thông tin
1. Ký và thực hiện cam kết bảo mật thông tin cả trong quá trình triển khai và sau khi hoàn tất hợp đồng.
2. Lập kế hoạch, bố trí nhân sự và các nguồn lực khác để thực hiện hợp đồng. Thông báo danh sách nhân sự triển khai cho bên ký kết hợp đồng và phải được đơn vị chấp thuận. Nhân sự bên thứ ba phải ký cam kết không tiết lộ thông tin quan trọng của bên ký kết hợp đồng.
3. Bàn giao tài sản, quyền truy cập hệ thống thông tin do bên ký kết hợp đồng cung cấp khi hoàn thành công việc hoặc kết thúc hợp đồng.
4. Đối với sản phẩm phần mềm: cung cấp mã nguồn phần mềm, thực hiện kiểm tra đánh giá an toàn thông tin, an ninh mạng, kiểm thử phần mềm trên môi trường thử nghiệm trước khi đưa vào sử dụng.
Mục 9. QUẢN LÝ SỰ CỐ AN TOÀN THÔNG TIN, AN NINH MẠNG
Điều 39. Nguyên tắc kiểm soát và khắc phục sự cố
1. Các sự cố mất an toàn thông tin, an ninh mạng phải được lập tức báo cáo đến những người có thẩm quyền và những người có liên quan.
2. Xác định nguyên nhân và thực hiện các biện pháp phòng ngừa.
3. Quá trình xử lý sự cố phải được ghi chép và lưu trữ. Thực hiện biện pháp bảo vệ, chống chỉnh sửa, hủy hoại đối với tài liệu lưu trữ về sự cố.
4. Thu thập, ghi chép, bảo toàn bằng chứng, chứng cứ phục vụ cho việc kiểm tra, xử lý, khắc phục và phòng ngừa sự cố.
1. Phân nhóm sự cố an toàn thông tin mạng theo quy định tại Quyết định số 05/2017/QĐ-TTg của Thủ tướng Chính phủ ngày 16/3/2017 quy định về hệ thống phương án ứng cứu khẩn cấp bảo đảm an toàn thông tin mạng quốc gia; xây dựng phương án tiếp nhận, phát hiện, phân loại và xử lý ban đầu sự cố an toàn thông tin, an ninh mạng, ứng phó sự cố an toàn thông tin, an ninh mạng.
2. Phương án tiếp nhận, phát hiện, phân loại và xử lý ban đầu sự cố an toàn thông tin, an ninh mạng.
3. Kế hoạch ứng phó sự cố an toàn thông tin, an ninh mạng.
4. Giám sát, phát hiện và cảnh báo sự cố an toàn thông tin, an ninh mạng.
5. Quy trình ứng cứu sự cố an toàn thông tin, an ninh mạng thông thường.
6. Quy trình ứng cứu sự cố an toàn thông tin, an ninh mạng nghiêm trọng.
7. Cơ chế phối hợp với cơ quan chức năng, các nhóm chuyên gia, bên cung cấp dịch vụ hỗ trợ trong việc xử lý, khắc phục sự cố an toàn thông tin, an ninh mạng.
8. Định kỳ tổ chức diễn tập phương án xử lý sự cố an toàn thông tin, an ninh mạng.
Điều 41. Quy trình xử lý sự cố
Thực hiện theo quy định tại Điều 13, Điều 14 Quyết định số 05/2017/QĐ-TTg ngày 16/3/2017 của Thủ tướng Chính phủ ban hành quy định về hệ thống phương án ứng cứu khẩn cấp bảo đảm an toàn thông tin mạng quốc gia; Điều 11 Thông tư số 20/2017/TT-BTTTT ngày 12/9/2017 của Bộ Thông tin và Truyền thông quy định về điều phối, ứng cứu sự cố an toàn thông tin mạng trên toàn quốc và Quyết định số 991/QĐ-BGTVT ngày 22/5/2019 của Bộ trưởng Bộ Giao thông vận tải ban hành Quy trình điều phối, ứng cứu sự cố an toàn thông tin mạng Bộ Giao thông vận tải, cụ thể như sau:
1. Đối với sự cố thông thường:
Bước 1. Phát hiện, tiếp nhận thông tin sự cố.
Bước 2. Xác minh sự cố.
Bước 3. Phân tích, phân loại sự cố.
Bước 4. Xử lý sự cố.
Bước 5. Kết quả xử lý sự cố.
Bước 6. Tổng kết đánh giá kết quả.
Bước 7. Báo cáo kết quả ứng cứu sự cố và lưu hồ sơ.
2. Đối với sự cố nghiêm trọng:
Bước 1. Phát hiện, tiếp nhận thông tin sự cố.
Bước 2. Xác minh sự cố.
Bước 3. Phân tích, phân loại sự cố.
Bước 4. Báo cáo sự cố.
Bước 5. Lựa chọn phương án điều phối ứng cứu sự cố.
Bước 6. Điều phối ứng cứu sự cố.
Bước 7. Báo cáo kết quả xử lý sự cố.
Bước 8. Tổng kết đánh giá kết quả.
Bước 9. Báo cáo kết quả ứng cứu sự cố và lưu hồ sơ.
Điều 42. Ứng phó sự cố an toàn thông tin, an ninh mạng
1. Kế hoạch ứng phó sự cố bảo đảm an toàn thông tin, an ninh mạng
a) Hằng năm, các đơn vị tổ chức xây dựng, phê duyệt kế hoạch ứng phó sự cố an toàn thông tin, an ninh mạng cho các hệ thống thông tin do đơn vị mình trực tiếp quản lý. Tổ chức triển khai kế hoạch sau khi được phê duyệt.
b) Kế hoạch ứng phó sự cố của đơn vị phải gửi cho Trung tâm Công nghệ thông tin trước ngày 31 tháng 10 hằng năm để tổng hợp thành kế hoạch chung của Bộ. Trung tâm Công nghệ thông tin có trách nhiệm xây dựng kế hoạch ứng phó sự cố của Bộ Giao thông vận tải, trình Lãnh đạo Bộ phê duyệt.
2. Cập nhật, sao lưu dự phòng và khôi phục sau khi xảy ra sự cố
a) Triển khai hệ thống/phương tiện lưu trữ độc lập với hệ thống lưu trữ trên các máy chủ dịch vụ để sao lưu dự phòng; phân loại và quản lý thông tin, dữ liệu được lưu trữ theo từng loại/nhóm thông tin được gán nhãn khác nhau; thực hiện sao lưu, dự phòng các thông tin, dữ liệu cơ bản sau: tập tin cấu hình hệ thống, ảnh hệ điều hành máy chủ, cơ sở dữ liệu; dữ liệu, thông tin nghiệp vụ.
b) Triển khai phương án dự phòng nóng cho các thiết bị mạng chính bảo đảm khả năng vận hành liên tục của hệ thống; năng lực của thiết bị dự phòng phải đáp ứng theo quy mô hoạt động của hệ thống.
c) Triển khai hệ thống/phương tiện lưu trữ nhật ký độc lập và phù hợp với hoạt động của các thiết bị mạng. Dữ liệu nhật ký phải được lưu tối thiểu 06 tháng.
d) Triển khai hệ thống/phương tiện chống thất thoát dữ liệu trong hệ thống.
3. Diễn tập bảo đảm an toàn thông tin, an ninh mạng
a) Chủ quản hệ thống thông tin tổ chức diễn tập bảo đảm an toàn thông tin, an ninh mạng theo kế hoạch ứng phó sự cố an toàn thông tin, an ninh mạng của đơn vị được phê duyệt. Tham gia các cuộc diễn tập chức diễn tập bảo đảm an toàn thông tin, an ninh mạng do Bộ Thông tin và Truyền thông, Bộ Công an và Bộ Giao thông vận tải tổ chức.
b) Trung tâm Công nghệ thông tin chủ trì, phối hợp với các đơn vị thuộc Bộ tổ chức diễn tập bảo đảm an toàn thông tin, an ninh mạng chung của Bộ.
Mục 10. ĐẢM BẢO HOẠT ĐỘNG LIÊN TỤC CỦA HỆ THỐNG THÔNG TIN
Điều 43. Xây dựng hệ thống dự phòng
1. Đơn vị phải xây dựng hoặc thuê hệ thống dự phòng cho các hệ thống thông tin quan trọng.
2. Từng hệ thống dự phòng phải đảm bảo khả năng thay thế hệ thống chính trong thời gian tối đa bốn giờ đồng hồ tính từ thời điểm hệ thống chính có sự cố không khắc phục được.
Điều 44. Xây dựng quy trình đảm bảo hoạt động liên tục
1. Xây dựng quy trình xử lý các tình huống gián đoạn hoạt động của từng cấu phần trong hệ thống thông tin như máy chủ, thiết bị mạng,...
2. Quy trình xử lý phải được kiểm tra và cập nhật khi có sự thay đổi của hệ thống thông tin, cơ cấu tổ chức, nhân sự và phân công trách nhiệm của các bộ phận có liên quan trong đơn vị.
3. Hệ thống dự phòng cần được định kỳ kiểm tra để luôn đảm bảo tính sẵn sàng khi xảy ra các sự cố an toàn thông tin, an ninh mạng.
Điều 45. Quản lý, vận hành hoạt động bình thường của hệ thống
1. Thường xuyên kiểm tra cấu hình, các file nhật ký hoạt động của hệ điều hành, phần mềm nhằm kịp thời phát hiện và xử lý những sự cố (nếu có).
2. Quản lý các thay đổi cấu hình kỹ thuật; thường xuyên cập nhật các bản vá lỗi và loại bỏ các thành phần của hệ điều hành, phần mềm không cần thiết hoặc không còn nhu cầu sử dụng.
3. Các bản quyền phần mềm cần được thống kê, quản lý thời gian phục vụ cho việc gia hạn.
4. Triển khai hệ thống phát hiện phòng chống xâm nhập giữa các vùng mạng quan trọng.
5. Sử dụng thêm các phương pháp xác thực đa nhân tố đối với các thiết bị mạng quan trọng.
6. Triển khai phương án cảnh báo thời gian thực trực tiếp đến người quản trị hệ thống thông qua hệ thống giám sát khi phát hiện sự cố trên các thiết bị mạng.
7. Duy trì ít nhất 02 kết nối mạng Internet từ các nhà cung cấp dịch vụ Internet sử dụng hạ tầng kết nối trong nước khác nhau (nếu hệ thống buộc phải có kết nối mạng Internet).
Mục 11. KIỂM TRA, GIÁM SÁT AN TOÀN THÔNG TIN, AN NINH MẠNG
Điều 46. Quản lý điểm yếu an toàn thông tin, an ninh mạng
Chính sách, quy trình quản lý điểm yếu an toàn thông tin, an ninh mạng bao gồm các nội dung:
1. Quản lý thông tin các thành phần có trong hệ thống có khả năng tồn tại điểm yếu an toàn thông tin, an ninh mạng: thiết bị hệ thống, hệ điều hành, máy chủ, ứng dụng, dịch vụ và các thành phần khác (nếu có).
2. Quản lý, cập nhật nguồn cung cấp điểm yếu an toàn thông tin, an ninh mạng; phân nhóm và mức độ của điểm yếu cho các thành phần trong hệ thống đã xác định.
3. Cơ chế phối hợp với các nhóm chuyên gia, bên cung cấp dịch vụ hỗ trợ trong việc xử lý, khắc phục điểm yếu an toàn thông tin, an ninh mạng.
4. Kiểm tra, đánh giá và xử lý điểm yếu an toàn thông tin, an ninh mạng cho thiết bị hệ thống, máy chủ, dịch vụ trước khi đưa vào sử dụng.
Điều 47. Kiểm tra, đánh giá an toàn thông tin, an ninh mạng
1. Chủ quản hệ thống thông tin có trách nhiệm chỉ đạo, tổ chức thực hiện kiểm tra, đánh giá an toàn thông tin, an ninh mạng trong phạm vi cơ quan, tổ chức mình.
2. Định kỳ kiểm tra, đánh giá an toàn thông tin, an ninh mạng theo quy định tại điểm c khoản 2 Điều 20 Nghị định số 85/2016/NĐ-CP ngày 01/7/2016 của Chính phủ.
Điều 48. Giám sát an toàn thông tin, an ninh mạng
1. Nguyên tắc giám sát
a) Đảm bảo được thực hiện thường xuyên, liên tục.
b) Chủ động theo dõi, phân tích, phòng ngừa để kịp thời phát hiện, ngăn chặn rủi ro, sự cố an toàn thông tin, an ninh mạng.
c) Đảm bảo hoạt động ổn định, bí mật cho thông tin được cung cấp, trao đổi trong quá trình giám sát.
2. Yêu cầu giám sát
a) Chủ quản hệ thống thông tin có trách nhiệm chủ động thực hiện giám sát an toàn thông tin, an ninh mạng đối với các hệ thống thông tin do mình quản lý theo quy định hiện hành.
b) Đối với hệ thống thông tin cấp độ 3 trở lên, hoạt động giám sát an toàn thông tin, an ninh mạng cần đáp ứng các yêu cầu tối thiểu quy định tại Điều 5 Thông tư số 31/2017/TT-BTTTT ngày 15/11/2017 của Bộ Thông tin và Truyền thông quy định hoạt động giám sát an toàn hệ thống thông tin.
c) Chủ quản hệ thống thông tin có trách nhiệm cử cá nhân hoặc bộ phận làm đầu mối giám sát, cảnh báo an toàn thông tin, an ninh mạng để phối hợp với các cơ quan chức năng liên quan.
3. Quản lý giám sát
Chính sách, quy trình quản lý giám sát an toàn thông tin, an ninh mạng bao gồm các nội dung sau:
a) Quản lý, vận hành hoạt động bình thường của hệ thống giám sát.
b) Đối tượng giám sát bao gồm: thiết bị hệ thống, máy chủ, ứng dụng, dịch vụ và các thành phần khác trong hệ thống (nếu có).
c) Kết nối và gửi nhật ký hệ thống từ đối tượng giám sát về hệ thống giám sát.
d) Truy cập và quản trị hệ thống giám sát.
đ) Loại thông tin cần được giám sát.
e) Lưu trữ và bảo vệ thông tin giám sát (nhật ký hệ thống).
g) Đồng bộ thời gian giữa hệ thống giám sát và thiết bị được giám sát.
h) Theo dõi, giám sát và cảnh báo sự cố phát hiện được trên hệ thống thông tin.
i) Bố trí nguồn lực và tổ chức giám sát an toàn hệ thống thông tin 24/7.
Đơn vị trực thuộc Bộ Giao thông vận tải có trách nhiệm gửi báo cáo về Bộ Giao thông vận tải (qua Trung tâm Công nghệ thông tin) như sau:
1. Báo cáo năm
a) Nội dung báo cáo:
- Việc thực hiện bảo đảm an toàn thông tin, an ninh mạng theo quy định tại Quy chế này;
- Các nội dung chỉnh sửa, bổ sung quy chế bảo đảm an toàn thông tin, an ninh mạng của đơn vị (nếu có).
b) Thời hạn gửi báo cáo: trước ngày 31 tháng 01 của năm tiếp theo.
2. Báo cáo đột xuất
a) Các sự cố mất an toàn thông tin, an ninh mạng:
- Thời hạn gửi báo cáo: trong thời gian 03 (ba) ngày kể từ thời điểm vụ, việc được phát hiện;
- Nội dung vụ, việc;
- Thời gian, địa điểm phát sinh vụ, việc;
- Nguyên nhân xảy ra vụ, việc (nếu có);
- Đánh giá rủi ro, ảnh hưởng đối với hệ thống thông tin và nghiệp vụ tại nơi xảy ra vụ, việc và những địa điểm khác có liên quan;
- Các biện pháp đơn vị đã tiến hành để ngăn chặn, khắc phục và phòng ngừa rủi ro;
- Kiến nghị, đề xuất (nếu có).
b) Các trường hợp đột xuất khác theo yêu cầu của Bộ Giao thông vận tải.
1. Trung tâm Công nghệ thông tin có trách nhiệm:
a) Theo dõi, tổng hợp báo cáo Bộ Giao thông vận tải tình hình thực hiện công tác bảo đảm an toàn thông tin, an ninh mạng của các đơn vị theo quy định tại Quy chế này.
b) Hàng năm lập kế hoạch và kiểm tra việc thực hiện Quy chế này tại các đơn vị.
c) Chủ trì, phối hợp với các đơn vị liên quan thuộc Bộ Giao thông vận tải xử lý các vướng mắc phát sinh trong quá trình triển khai thực hiện Quy chế này.
2. Thủ trưởng các đơn vị liên quan thuộc Bộ Giao thông vận tải có trách nhiệm tổ chức thực hiện Quy chế này.
3. Trong quá trình thực hiện nếu có vấn đề phát sinh, vướng mắc, các đơn vị phản ánh kịp thời về Bộ Giao thông vận tải (qua Trung tâm Công nghệ thông tin) để xem xét, bổ sung, sửa đổi./.
Quyết định 724/QĐ-BGTVT năm 2024 về Quy chế bảo đảm an toàn thông tin, an ninh mạng Bộ Giao thông vận tải
| Số hiệu: | 724/QĐ-BGTVT |
|---|---|
| Loại văn bản: | Quyết định |
| Nơi ban hành: | Bộ Giao thông vận tải |
| Người ký: | Nguyễn Danh Huy |
| Ngày ban hành: | 13/06/2024 |
| Ngày hiệu lực: | Đã biết |
| Tình trạng: | Đã biết |
Văn bản đang xem
Quyết định 724/QĐ-BGTVT năm 2024 về Quy chế bảo đảm an toàn thông tin, an ninh mạng Bộ Giao thông vận tải
Chưa có Video
