|
KIỂM TOÁN NHÀ
NƯỚC |
CỘNG HÒA XÃ HỘI
CHỦ NGHĨA VIỆT NAM |
|
Số: 2142/QĐ-KTNN |
Hà Nội, ngày 31 tháng 12 năm 2024 |
BAN HÀNH QUY CHẾ ĐẢM BẢO AN TOÀN THÔNG TIN MẠNG CỦA KIỂM TOÁN NHÀ NƯỚC
TỔNG KIỂM TOÁN NHÀ NƯỚC
Căn cứ Luật Kiểm toán nhà nước ngày 24/6/2015; Luật sửa đổi, bổ sung một số điều của Luật Kiểm toán nhà nước ngày 26/11/2019;
Căn cứ Luật An toàn thông tin mạng 2015; Luật An ninh mạng 2018;
Căn cứ Nghị định số 85/2016/NĐ-CP ngày 01/7/2016 của Chính phủ về bảo đảm an toàn hệ thống thông tin theo cấp độ;
Căn cứ Nghị định số 53/2022/NĐ-CP ngày 15/8/2022 của Chính phủ quy định chi tiết một số điều của Luật An ninh mạng.
Căn cứ Thông tư số 12/2022/TT-BTTTT ngày 12/8/2022 của Bộ Thông tin và Truyền thông quy định chi tiết và hướng dẫn một số điều của Nghị định số 85/2016/NĐ-CP về bảo đảm an toàn hệ thống thông tin theo cấp độ;
Căn cứ Thông tư số 31/2017/TT-BTTTT ngày 15/11/2017 của Bộ Thông tin và Truyền thông về quy định hoạt động giám sát an toàn hệ thống thông tin;
Căn cứ Thông tư số 20/2017/TT-BTTTT ngày 12/9/2017 của Bộ Thông tin và Truyền thông quy định về điều phối ứng cứu sự cố an toàn thông tin mạng trên toàn quốc;
Căn cứ Quyết định số 05/2017/QĐ-TTg ngày 16/03/2017 của Thủ tướng Chính phủ ban hành quy định về hệ thống phương án ứng cứu khẩn cấp bảo đảm an toàn thông tin mạng quốc gia;
Căn cứ Quyết định số 1622/QĐ-TTg ngày 25/10/2017 của Thủ tướng Chính phủ về Phê duyệt Đề án đẩy mạnh hoạt động của mạng lưới ứng cứu sự cố, tăng cường năng lực cho các cán bộ, bộ phận chuyên trách ứng cứu sự cố an toàn thông tin mạng trên toàn quốc đến 2020, định hướng đến 2025;
Theo đề nghị của Cục trưởng Cục Công nghệ thông tin.
QUYẾT ĐỊNH:
Điều 2. Quyết định này có hiệu lực thi hành kể từ ngày ký.
|
|
KT. TỔNG KIỂM
TOÁN NHÀ NƯỚC |
ĐẢM
BẢO AN TOÀN THÔNG TIN MẠNG CỦA KIỂM TOÁN NHÀ NƯỚC
(Kèm theo Quyết định số 2142/QĐ-KTNN ngày 31/12/2024 của Tổng Kiểm toán
nhà nước)
Điều 1. Phạm vi điều chỉnh và đối tượng áp dụng
1. Quy chế này quy định về đảm bảo An toàn thông tin mạng của Kiểm toán nhà nước.
2. Quy chế này áp dụng đối với các đơn vị, tổ chức (gọi chung là đơn vị) trực thuộc Kiểm toán nhà nước và cán bộ, công chức, viên chức, người lao động thuộc Kiểm toán nhà nước (gọi chung là công chức); đơn vị, tổ chức, cá nhân khác cung cấp dịch vụ công nghệ thông tin và an toàn thông tin mạng cho các đơn vị trực thuộc Kiểm toán nhà nước hoặc có sử dụng kết nối vào hệ thống mạng của Kiểm toán nhà nước.
Trong Quy chế này, các từ ngữ dưới đây được hiểu như sau:
1. An toàn thông tin mạng là sự bảo vệ thông tin, hệ thống thông tin trên mạng tránh bị truy nhập, sử dụng, tiết lộ, gián đoạn, sửa đổi hoặc phá hoại trái phép nhằm bảo đảm tính nguyên vẹn, tính bảo mật và tính khả dụng của thông tin.
2. Hệ thống mạng bao gồm dịch vụ kết nối internet, mạng nội bộ, mạng truyền số liệu chuyên dùng.
3. Hệ thống thông tin là tập hợp phần cứng, phần mềm và cơ sở dữ liệu được thiết lập phục vụ mục đích tạo lập, cung cấp, truyền đưa, thu thập, xử lý, lưu trữ và trao đổi thông tin trên mạng.
4. Hệ thống công nghệ thông tin là một tập hợp có cấu trúc các trang thiết bị phần cứng, phần mềm, cơ sở dữ liệu và hệ thống mạng để sản xuất, truyền nhận, thu thập, xử lý, lưu trữ và trao đổi thông tin số phục vụ cho một hoặc nhiều hoạt động kỹ thuật, nghiệp vụ của đơn vị.
5. Mạng nội bộ (LAN) là tập hợp các trang thiết bị công nghệ thông tin được kết nối với nhau thông qua các bộ chuyển mạch, bộ định tuyến, bộ điểm truy cập và các máy chủ, thiết bị quản lý mạng, phần mềm quản lý mạng, thiết bị an toàn hệ thống mạng trong phạm vi quản lý của Kiểm toán nhà nước. Mạng nội bộ bao gồm mạng nội bộ có dây và mạng nội bộ không dây (Wifi).
6. Mạng truyền số liệu chuyên dùng là mạng kết nối các cơ quan Đảng, Nhà nước, được tổ chức, quản lý thống nhất, bảo đảm chất lượng, an toàn, bảo mật thông tin để trao đổi, chia sẻ dữ liệu giữa các cơ quan Đảng, Nhà nước.
7. Vùng mạng internet là vùng mạng được thiết kế để kết nối hệ thống mạng Trung tâm dữ liệu ra các mạng bên ngoài và mạng internet.
8. Vùng mạng lõi là vùng mạng làm nhiệm vụ kết nối tất cả các vùng mạng với nhau, nó có vai trò trung chuyển lưu lượng giữa các vùng.
9. Vùng mạng quản trị là vùng mạng tập trung các máy chủ quản trị, giám sát hệ thống.
10. Vùng máy chủ nội bộ là nơi đặt các máy chủ ứng dụng, cơ sở dữ liệu không trực tiếp cung cấp dịch vụ cho mạng internet.
11. Trung tâm dữ liệu của Kiểm toán nhà nước bao gồm hệ thống máy chủ, thiết bị chuyển mạch, thiết bị định tuyến, thiết bị lưu trữ, thiết bị đảm bảo an toàn thông tin mạng, thiết bị ngoại vi, thiết bị phụ trợ, đường truyền kết nối internet và thiết bị phòng cháy, chữa cháy, chống sét và các thiết bị khác. Kiểm toán nhà nước có 02 Trung tâm dữ liệu là Trung tâm dữ liệu chính và Trung tâm dữ liệu dự phòng.
12. Phần mềm độc hại là phần mềm có khả năng gây ra hoạt động không bình thường cho một phần hay toàn bộ hệ thống thông tin hoặc thực hiện sao chép, sửa đổi, xóa bỏ trái phép thông tin lưu trữ trong hệ thống thông tin.
13. Trang thiết bị công nghệ thông tin cá nhân bao gồm máy tính để bàn, máy tính xách tay, thiết bị số (máy tính bảng, điện thoại thông minh), các sản phẩm mật mã (gồm: thiết bị ký số, thiết bị lưu tham số mật mã - Token, máy mã thoại VoiIP có hình, máy tính chuyên dụng đa giao diện, thiết bị mã thoại và Fax IP, thiết bị bảo mật mạng BMM-100 cho Hội nghị truyền hình) được cấp phát do công chức thuộc Kiểm toán nhà nước quản lý, sử dụng hoặc của người dùng khác truy cập vào hệ thống mạng của Kiểm toán nhà nước.
14. Đơn vị quản lý là đơn vị được Tổng Kiểm toán nhà nước giao trực tiếp xây dựng, quản lý, vận hành, khai thác, sửa chữa, nâng cấp, bảo trì hệ thống thông tin.
15. Tài khoản định danh là tài khoản bao gồm tên đăng nhập (user name), mật khẩu (password) và các thông tin khác nhằm xác định duy nhất người dùng hoặc tổ chức trong hệ thống công nghệ thông tin của Kiểm toán nhà nước để khai thác và sử dụng hệ thống công nghệ thông tin của Kiểm toán nhà nước.
16. Tài khoản định danh cá nhân là tài khoản định danh được cấp cho người dùng là công chức của Kiểm toán nhà nước.
17. Tài khoản quản trị hệ thống là tài khoản có đặc quyền cao nhất trong hệ thống để có thể kiểm soát và xử lý lỗi dễ dàng khi hệ thống gặp lỗi; là tài khoản có quyền truy cập đầy đủ tài nguyên của các hệ thống công nghệ thông tin của KTNN bao gồm các thành phần như: Máy chủ, thiết bị an ninh bảo mật, thiết bị lưu trữ, các thiết bị mạng, cơ sở dữ liệu, thiết bị giám sát, thiết bị phụ trợ khác (ví dụ tài khoản Administrator của máy chủ Windows; tài khoản root của máy chủ UNIX; tài khoản DBA của hệ thống CSDL Oracle;..) được dùng để quản trị, vận hành, giám sát, sao lưu phục hồi dữ liệu, xử lý sự cố nhằm duy trì hoạt động an toàn, ổn định của hệ thống Công nghệ thông tin.
18. Mật mã là những quy tắc, quy ước riêng dùng để thay đổi hình thức biểu hiện thông tin nhằm bảo đảm bí mật, xác thực, toàn vẹn của nội dung thông tin.
19. Mã hóa là quá trình chuyển đổi dữ liệu này sang một dữ liệu khác với ý nghĩa khác với dữ liệu ban đầu. Mục đích nhằm chỉ cho phép một số người, đối tượng nhất định đọc, hiểu được dữ liệu ban đầu thông qua quá trình giải mã dữ liệu sau khi đã được biến đổi.
Điều 3. Nguyên tắc đảm bảo an toàn thông tin mạng
1. Đảm bảo an toàn thông tin mạng là yêu cầu bắt buộc, thường xuyên, liên tục, có tính xuyên suốt quá trình, đồng bộ từ khi thiết kế, xây dựng, vận hành, nâng cấp và hủy bỏ (dừng hoạt động) hệ thống thông tin. Đảm bảo an toàn thông tin mạng phải tuân thủ các nguyên tắc chung, được quy định tại Điều 4 Luật An toàn thông tin mạng và Điều 4 Nghị định số 85/2016/NĐ-CP ngày 01/07/2016 của Chính phủ về đảm bảo an toàn thông tin theo cấp độ (gọi tắt là Nghị định 85).
2. Các đơn vị được giao quản lý, sử dụng hệ thống thông tin có trách nhiệm đảm bảo an toàn thông tin mạng đối với hệ thống thông tin của đơn vị mình quản lý và sử dụng; bố trí nhân sự để sẵn sàng xử lý sự cố an toàn thông tin mạng đối với các hệ thống thông tin do đơn vị mình quản lý.
3. Công chức thuộc Kiểm toán nhà nước có trách nhiệm đảm bảo an toàn thông tin mạng trong phạm vi xử lý công việc của mình và các thiết bị công nghệ thông tin, phần mềm được giao quản lý, sử dụng theo quy định của Nhà nước và của Kiểm toán nhà nước.
4. Các đơn vị, tổ chức, cá nhân khác có liên quan khi đến làm việc hoặc truy cập vào hệ thống mạng của Kiểm toán nhà nước phải tuân thủ các quy định tại Quy chế này.
5. Việc xử lý sự cố an toàn thông tin mạng phải bảo đảm quyền và lợi ích hợp pháp của cơ quan, đơn vị, cá nhân liên quan và theo quy định của pháp luật, không xâm phạm đến đời sống riêng tư, bí mật cá nhân, bí mật gia đình của cá nhân, thông tin riêng của tổ chức, cơ quan.
6. Hoạt động an toàn thông tin mạng của cơ quan, tổ chức, cá nhân phải đúng quy định của pháp luật, bảo đảm quốc phòng, an ninh quốc gia, bí mật nhà nước, giữ vững ổn định chính trị, trật tự, an toàn xã hội và thúc đẩy phát triển kinh tế - xã hội.
Điều 4. Các hành vi bị nghiêm cấm
1. Các hành vi bị nghiêm cấm quy định tại Điều 7 Luật An toàn thông tin mạng năm 2015 và Điều 8 Luật An ninh mạng năm 2018.
2. Tự ý đấu nối thiết bị mạng, thiết bị cấp phát địa chỉ mạng, thiết bị phát sóng như điểm truy cập mạng không dây của cá nhân vào hệ thống mạng Kiểm toán nhà nước.
3. Tự ý thay đổi, gỡ bỏ biện pháp an toàn thông tin (như phần mềm phòng chống mã độc - virus) cài đặt trên thiết bị công nghệ thông tin phục vụ công việc.
4. Cản trở hoạt động cung cấp dịch vụ của hệ thống thông tin; ngăn chặn việc truy cập đến thông tin của cơ quan, cá nhân khác trên môi trường mạng, trừ trường hợp pháp luật cho phép.
5. Bẻ khóa, sử dụng trái phép mật khẩu, khóa mật mã và thông tin của cơ quan, cá nhân khác trên môi trường mạng.
6. Các hành vi khác làm mất an toàn thông tin của tổ chức, cá nhân khi trao đổi, truyền đưa, lưu trữ trên môi trường mạng.
7. Truyền bá tư tưởng, văn hóa mang tính kích động, chống phá các chủ trương, đường lối của Đảng, chính sách, pháp luật của Nhà nước.
8. Khai thác, lưu trữ các chương trình giải trí không lành mạnh, các thông tin có nội dung xấu.
9. Sử dụng hệ thống mạng Kiểm toán nhà nước vào các mục đích trái với quy định của Kiểm toán nhà nước và pháp luật.
QUY ĐỊNH ĐẢM BẢO AN TOÀN THÔNG TIN MẠNG
Điều 5. Đảm bảo an toàn thông tin mạng của Kiểm toán nhà nước
1. Đảm bảo an toàn Trung tâm dữ liệu
a) Cục Công nghệ thông tin là đơn vị quản lý, vận hành Trung tâm dữ liệu của Kiểm toán nhà nước.
b) Trung tâm dữ liệu là khu vực hạn chế tiếp cận, chỉ những cá nhân có quyền, nhiệm vụ theo quy định mới được phép vào Trung tâm dữ liệu. Cục Công nghệ thông tin có trách nhiệm kiểm soát ra/vào Trung tâm dữ liệu, ghi nhật ký ra/vào Trung tâm dữ liệu.
2. Đảm bảo an toàn thông tin hệ thống mạng
a) Cục Công nghệ thông tin là đơn vị quản lý, vận hành mạng nội bộ, mạng truyền số liệu chuyên dùng và dịch vụ internet của Kiểm toán nhà nước.
b) Cục Công nghệ thông tin có trách nhiệm triển khai biện pháp kỹ thuật giám sát kết nối mạng internet của thiết bị công nghệ thông tin, phát hiện và ngăn chặn các hành vi xâm nhập từ mạng internet.
c) Hệ thống mạng nội bộ phải được thiết kế phân vùng theo chức năng cơ bản (theo các chính sách an toàn thông tin riêng), bao gồm: vùng mạng internet, vùng mạng lõi, vùng mạng quản trị, vùng máy chủ nội bộ. Dữ liệu trao đổi giữa các vùng mạng phải được quản lý, giám sát bởi hệ thống các thiết bị mạng, thiết bị bảo mật.
d) Đơn vị thuộc Kiểm toán nhà nước có trách nhiệm tự quản lý, vận hành dịch vụ internet và bảo đảm an toàn thông tin đối với hệ thống mạng nội bộ và các thiết bị tại đơn vị; Thủ trưởng các đơn vị trực thuộc Kiểm toán nhà nước có quyền yêu cầu khóa quyền truy cập của tài khoản định danh thuộc đơn vị mình quản lý trong trường hợp tài khoản đó vi phạm quy định về đảm bảo an toàn thông tin mạng, áp dụng các biện pháp bảo vệ thông tin của đơn vị.
e) Khi phát hiện nguy cơ mất an toàn thông tin (cảnh báo từ phần mềm phòng chống mã độc, máy tính hoạt động chậm bất thường, mất dữ liệu, dấu hiệu phần mềm, ứng dụng lạ), đơn vị và cá nhân phải tắt thiết bị công nghệ thông tin, kịp thời thông báo với Cục Công nghệ thông tin để được hỗ trợ xử lý.
3. Đảm bảo an toàn trong quản lý hệ thống thông tin
a) Đơn vị vận hành hệ thống thông tin chịu trách nhiệm đảm bảo an toàn thông tin cho các hệ thống thông tin theo quy định tại các Điều 22, 23 và 24 của Luật An toàn thông tin mạng năm 2015.
b) Cục Công nghệ thông tin đảm bảo an toàn thông tin cho các hệ thống thông tin dùng chung và cho ý kiến về phương án bảo đảm an toàn cho các hệ thống thông tin trong phạm vi quản lý của Kiểm toán nhà nước.
c) Khi xây dựng mới hoặc nâng cấp hệ thống thông tin, đơn vị quản lý cần phải phối hợp với Cục Công nghệ thông tin để xây dựng phương án bảo đảm an toàn thông tin: rà soát cấp độ an toàn của hệ thống và thực hiện điều chỉnh, bổ sung hoặc thay mới hồ sơ đề xuất cấp độ trong trường hợp cần thiết; kiểm tra đánh giá về an toàn thông tin trước khi vận hành chính thức; giám sát an toàn thông tin cho hệ thống sau khi triển khai.
4. Đảm bảo an toàn trong vận hành hệ thống thông tin
a) Đơn vị vận hành hệ thống thông tin phải thực hiện các quy định về đảm bảo an toàn thông tin theo Điều 22, Nghị định số 85.
b) Đơn vị vận hành hệ thống thông tin thường xuyên kiểm tra, đánh giá, giám sát an toàn hệ thống thông tin; lưu trữ đầy đủ thông tin nhật ký hệ thống thông tin để phục vụ quản lý, kiểm soát và truy vết khi có sự cố.
5. Đảm bảo an toàn thông tin trong quản lý và sử dụng tài khoản truy cập các hệ thống
a) Công chức có trách nhiệm bảo vệ thông tin tài khoản được cấp, không tiết lộ mật khẩu, không khuyến khích để chế độ lưu mật khẩu tự động hoặc đưa cho người khác phương tiện xác thực tài khoản của mình ngoại trừ các trường hợp: cần xử lý công việc khẩn cấp của đơn vị; đổi ngay mật khẩu sau khi nhận bàn giao lần đầu từ Cục Công nghệ thông tin hoặc có thông báo về sự cố an toàn thông tin, điểm yếu liên quan đến khả năng lộ mật khẩu từ Cục Công nghệ thông tin.
b) Đối với công chức thay đổi vị trí công tác, chuyển công tác, thôi việc hoặc nghỉ hưu, Vụ Tổ chức cán bộ có trách nhiệm cập nhật thông tin lên phần mềm Quản lý cán bộ để hệ thống tự động khóa/thu hồi tài khoản định danh.
c) Thủ trưởng các đơn vị trực thuộc Kiểm toán nhà nước có quyền yêu cầu khóa quyền truy cập của tài khoản định danh thuộc đơn vị mình quản lý trong trường hợp tài khoản đó vi phạm kỷ luật, áp dụng các biện pháp bảo vệ thông tin của đơn vị; khi phát hiện sự cố hoặc các hành vi phá hoại, xâm nhập cần thông báo kịp thời cho Cục Công nghệ thông tin để xử lý.
d) Cục Công nghệ thông tin có quyền khóa quyền truy cập của tài khoản định danh, tài khoản quản trị hệ thống trong trường hợp tài khoản đó có dấu hiệu mất an toàn thông tin hoặc thực hiện các hành vi tấn công vào hệ thống.
e) Tài khoản quản trị hệ thống phải tách biệt với tài khoản truy nhập của người sử dụng thông thường (không dùng tài khoản định danh cá nhân làm tài khoản quản trị hệ thống). Tài khoản quản trị hệ thống phải được giao đích danh cá nhân làm công tác quản trị và không dùng chung tài khoản quản trị hệ thống.
f) Công chức được giao quản trị hệ thống khi thay đổi vị trí công tác, chuyển công tác, thôi việc hoặc nghỉ hưu, thì công chức đó phải có trách nhiệm bàn giao lại tài khoản quản trị hệ thống cho Lãnh đạo phòng quản lý trực tiếp.
6. Đảm bảo an toàn đối với thiết bị công nghệ thông tin được cơ quan cấp phát
a) Các đơn vị và công chức có trách nhiệm quản lý, bảo quản các trang thiết bị công nghệ thông tin được giao quản lý, thiết bị mạng nội bộ và thiết bị công nghệ thông tin dùng chung lắp đặt tại phòng làm việc của đơn vị.
b) Công chức chịu trách nhiệm đảm bảo an toàn thông tin, tránh bị lộ lọt dữ liệu khi thực hiện bảo hành, bảo dưỡng, sửa chữa hoặc bảo trì thiết bị được giao quản lý.
c) Khi ngừng sử dụng thiết bị công nghệ thông tin, công chức phải thực hiện xóa toàn bộ dữ liệu nghiệp vụ được lưu trữ trên thiết bị trước khi bàn giao lại cho đơn vị quản lý. Cục Công nghệ thông tin có trách nhiệm hướng dẫn các công chức xóa dữ liệu trước khi bàn giao thiết bị cho đơn vị quản lý (nếu có yêu cầu).
7. Quy định về đảm bảo an toàn cho máy tính được cơ quan cấp phát
a) Công chức sử dụng máy tính phải cài đặt và cập nhật thường xuyên phần mềm phòng chống mã độc do Kiểm toán nhà nước trang bị; thực hiện kiểm tra, rà quét bằng phần mềm phòng chống mã độc toàn bộ tập tin trên máy tính đối với trường hợp cài đặt lần đầu.
b) Công chức chỉ được cài đặt các phần mềm trên máy tính của mình theo quy định tại Quy chế sử dụng thiết bị Công nghệ thông tin của Kiểm toán nhà nước.
c) Máy tính khi được chuyển sử dụng từ công chức này sang công chức khác hoặc không tiếp tục sử dụng cho công việc của đơn vị phải thực hiện xóa vĩnh viễn toàn bộ dữ liệu trên ổ cứng. Máy tính khi mang đi bảo hành, bảo dưỡng, sửa chữa, phải tháo ổ cứng hoặc xóa vĩnh viễn dữ liệu ổ cứng (có phương án sao lưu dữ liệu ra thiết bị lưu trữ ngoài của công chức), trường hợp cần sự hỗ trợ có thể liên hệ với bộ phận kỹ thuật của Cục Công nghệ thông tin.
d) Đơn vị cần bố trí máy tính riêng không kết nối mạng hoặc sử dụng máy tính đa giao diện do Ban Cơ yếu cung cấp để soạn thảo, lưu trữ tài liệu bí mật nhà nước.
e) Khi phát hiện nguy cơ mất an toàn thông tin (cảnh báo từ phần mềm phòng chống mã độc, máy tính hoạt động chậm bất thường, mất dữ liệu), đơn vị và công chức phải tắt thiết bị công nghệ thông tin, đồng thời báo cáo lãnh đạo đơn vị và thông báo ngay cho Cục Công nghệ thông tin để được hỗ trợ xử lý.
Điều 6. Kiểm tra, đánh giá an toàn thông tin mạng
1. Hệ thống công nghệ thông tin của Kiểm toán nhà nước phải được kiểm tra, đánh giá phát hiện mã độc, lỗ hổng, điểm yếu, thử nghiệm xâm nhập hệ thống định kỳ theo quy định tại điểm c khoản 2 Điều 20 Nghị định số 85/2016/NĐ-CP của Chính phủ và khoản 3 Điều 11, khoản 3 Điều 12 Thông tư số 12/2022/TT- BTTTT ngày 01/7/2016 của Bộ trưởng Bộ Thông tin và Truyền thông về Quy định chi tiết và hướng dẫn một số điều của Nghị định số 85/2016/NĐ-CP của Chính phủ; kiểm tra, đánh giá an toàn thông tin mạng theo quy định tại điểm c khoản 2 Điều 24 Nghị định số 53/2022/NĐ-CP ngày 15/8/2022 của Thủ tướng Chính phủ quy định chi tiết một số điều của Luật An ninh mạng.
2. Cục Công nghệ thông tin thực hiện kiểm tra, đánh giá hệ thống thông tin của Kiểm toán nhà nước hàng năm hoặc theo chương trình kiểm tra theo chuyên đề về an toàn thông tin mạng được Tổng Kiểm toán nhà nước phê duyệt.
3. Đơn vị quản lý hệ thống thông tin lựa chọn tổ chức, doanh nghiệp có chức năng hoặc được cấp phép thực hiện Kiểm tra, đánh giá phát hiện mã độc, lỗ hổng, điểm yếu, thử nghiệm xâm nhập hệ thống thông tin, theo quy định tại khoản 1 Điều 6 Quy chế này.
Điều 7. Giám sát an toàn hệ thống thông tin
1. Các hệ thống thông tin phải được thực hiện giám sát an toàn thông tin trong quá trình hoạt động theo quy định tại Thông tư số 31/2017/TT-BTTTT ngày 15/11/2017 của Bộ trưởng Bộ Thông tin và Truyền thông quy định hoạt động giám sát an toàn hệ thống thông tin (gọi tắt là Thông tư số 31).
2. Cục Công nghệ thông tin thiết lập hệ thống kết nối, chia sẻ thông tin giám sát giữa hệ thống thông tin của Kiểm toán nhà nước với Trung tâm giám sát không gian mạng quốc gia thuộc Cục An toàn thông tin, Bộ Thông tin và Truyền thông. Nội dung thông tin giám sát cần kết nối, chia sẻ theo hướng dẫn của Bộ Thông tin và Truyền thông.
Điều 8. Ứng cứu sự cố an toàn hệ thống thông tin
1. Cục Công nghệ thông tin là đơn vị chuyên trách về ứng cứu sự cố an toàn thông tin mạng của Kiểm toán nhà nước, theo kế hoạch hằng năm, Cục Công nghệ thông tin có trách nhiệm trình Tổng Kiểm toán nhà nước kiện toàn Đội ứng cứu sự cố an toàn thông tin mạng và tổ chức ứng cứu sự cố trong phạm vi của Kiểm toán nhà nước.
2. Quy trình ứng cứu sự cố An toàn thông tin mạng được thực hiện theo quy định tại Quyết định số 05/2017/QĐ-TTg ngày 16/03/2017 của Thủ tướng Chính phủ ban hành quy định về hệ thống phương án ứng cứu khẩn cấp bảo đảm an toàn thông tin mạng quốc gia và Thông tư số 20/2017/TT-BTTTT ngày 12/9/2017 của Bộ trưởng Bộ Thông tin và Truyền thông quy định về điều phối, ứng cứu sự cố an toàn thông tin mạng trên toàn quốc.
3. Diễn tập ứng cứu sự cố an toàn thông tin mạng
a) Cục Công nghệ thông tin là thành viên mạng lưới ứng cứu sự cố an toàn thông tin mạng quốc gia tham gia đầy đủ các cuộc diễn tập quốc gia, quốc tế do Cơ quan điều phối quốc gia và các cơ quan chức năng thuộc Bộ Thông tin và Truyền thông, Bộ Công an, Bộ Quốc phòng tổ chức.
b) Hàng năm, Cục Công nghệ thông tin chủ trì tổ chức diễn tập ứng cứu sự cố an toàn thông tin mạng trong phạm vi các hệ thống thông tin của Kiểm toán nhà nước làm chủ quản, thực hiện theo kế hoạch ứng phó sự cố đảm bảo an toàn thông tin mạng và phương án ứng phó, khắc phục sự cố an ninh mạng được Tổng Kiểm toán nhà nước phê duyệt.
Điều 9. Phổ biến, tuyên truyền, đào tạo, bồi dưỡng về an toàn thông tin mạng
1. Cục Công nghệ thông tin lập kế hoạch và triển khai công tác tuyên truyền, phổ biến chủ chương, chính sách, pháp luật, biện pháp an toàn thông tin mạng, thông qua các hình thức: văn bản hướng dẫn, đào tạo, hội nghị, hội thảo, đăng bài trên Cổng Thông tin điện tử Kiểm toán nhà nước, trang thông tin điện tử của Cục Công nghệ thông tin, gửi thư điện tử và các hình thức khác phù hợp với quy định của pháp luật.
2. Các đơn vị trực thuộc Kiểm toán nhà nước quán triệt, tuyên truyền, phổ biến, nâng cao nhận thức, trách nhiệm về an toàn thông tin mạng cho công chức thuộc đơn vị.
Điều 10. Báo cáo an toàn thông tin mạng
1. Cục Công nghệ thông tin lập báo cáo năm về an toàn thông tin mạng theo quy định tại khoản 3 Điều 13 và Điều 14 Thông tư số 12/2022/TT-BTTTT ngày 12/8/2022 của Bộ trưởng Bộ Thông tin và Truyền thông quy định chi tiết và hướng dẫn một số điều của Nghị định số 85/2016/NĐ-CP của Chính phủ gửi Tổng Kiểm toán nhà nước và Bộ Thông tin và Truyền thông trước 25 tháng 12 hàng năm.
2. Cục Công nghệ thông tin lập báo cáo hoạt động giám sát an toàn thông tin mạng của Kiểm toán nhà nước định kỳ 6 tháng theo quy định tại điểm k khoản 3 Điều 5 Thông tư 31 gửi Tổng Kiểm toán nhà nước và Bộ Thông tin và Truyền thông theo hướng dẫn của Bộ Thông tin và Truyền thông.
Điều 11. Xác định cấp độ và phương án đảm bảo an toàn hệ thống thông tin
1. Các hệ thống thông tin phải thực hiện đảm bảo an toàn thông tin cấp độ theo quy định tại Nghị định số 85.
2. Cục Công nghệ thông tin và các đơn vị được giao quản lý hệ thống thông tin có trách nhiệm lập hồ sơ đề xuất cấp độ an toàn thông tin, trình Tổng Kiểm toán nhà nước phê duyệt hồ sơ đề xuất cấp độ theo quy định tại Nghị định 85.
3. Phương án đảm bảo an toàn theo cấp độ
a) Đơn vị xây dựng hệ thống công nghệ thông tin phải xây dựng phương án đảm bảo an toàn thông tin phù hợp với cấp độ của hệ thống thông tin và đáp ứng yêu cầu quy định tại Thông tư số 12/2022/TT-BTTTT ngày 12/8/2022 của Bộ Thông tin và Truyền thông về Quy định chi tiết và hướng dẫn một số điều của Nghị định số 85/2016/NĐ-CP của Chính phủ, phù hợp với tiêu chuẩn TCVN 11930:2017 và quy định về an toàn thông tin mạng của Kiểm toán nhà nước.
b) Đơn vị vận hành hệ thống thông tin có trách nhiệm tổ chức triển khai phương án đảm bảo an toàn hệ thống thông tin sau khi được phê duyệt.
c) Cục Công nghệ thông tin giám sát, kiểm tra, đánh giá việc triển khai các phương án đảm bảo an toàn thông tin đã được phê duyệt.
Điều 12. Trách nhiệm của Cục Công nghệ thông tin
1. Chủ trì tổ chức theo dõi, đôn đốc, kiểm tra và đánh giá việc thực hiện Quy chế này.
2. Chịu trách nhiệm trước pháp luật và Tổng Kiểm toán nhà nước về các vi phạm, thất thoát thông tin, dữ liệu thuộc phạm vi quản lý của đơn vị do không tổ chức, chỉ đạo kiểm tra công chức của đơn vị thực hiện đúng Quy chế này.
3. Đảm nhận vai trò là đơn vị vận hành hệ thống thông tin của Kiểm toán nhà nước; là đơn vị chuyên trách an toàn thông tin mạng của Kiểm toán nhà nước.
4. Lập kế hoạch hàng năm trình Tổng Kiểm toán nhà nước phê duyệt và tổ chức triển khai kế hoạch đảm bảo an toàn thông tin mạng của Kiểm toán nhà nước và kế hoạch đào tạo, bồi dưỡng nghiệp vụ cho cán bộ chuyên trách công nghệ thông tin.
5. Hàng năm, phối hợp với các đơn vị trực thuộc Kiểm toán nhà nước kiểm tra về công tác đảm bảo an toàn thông tin mạng đối với các đơn vị.
6. Nhắc nhở, tạm dừng cung cấp dịch vụ trong hệ thống mạng Kiểm toán nhà nước đối với các đơn vị, người sử dụng có liên quan đến việc kiểm tra, khắc phục sự cố. Trường hợp có sự cố nghiêm trọng vượt quá khả năng khắc phục phải báo cáo Tổng Kiểm toán nhà nước và thông báo cho các tổ chức có chuyển môn sâu hỗ trợ xử lý sự cố mất An toàn thông tin để cùng phối hợp giải quyết.
7. Trước ngày 01/03 hàng năm, thực hiện báo cáo Tổng Kiểm toán nhà nước tình hình an toàn thông tin của năm liền trước theo mẫu số 02 kèm theo Quy chế này; báo cáo cho Bộ Thông tin và Truyền thông về hoạt động giám sát của chủ quản hệ thống thông tin định kỳ 6 tháng theo mẫu tại Phụ lục 2 Thông tư số 31; báo cáo đột xuất hoặc theo yêu cầu của Tổng Kiểm toán nhà nước (nếu có).
Điều 13. Trách nhiệm của thủ trưởng các đơn vị trực thuộc Kiểm toán nhà nước
1. Thủ trưởng các đơn vị trực thuộc Kiểm toán nhà nước có trách nhiệm phổ biến, quán triệt đến toàn bộ công chức trong đơn vị thực hiện các quy định của Quy chế này.
2. Bố trí công chức phối hợp chặt chẽ với Cục Công nghệ thông tin trong quá trình triển khai công tác đảm bảo an toàn thông tin mạng tại đơn vị và tham gia chương trình đào tạo, tập huấn của Kiểm toán nhà nước về an toàn thông tin mạng khi có yêu cầu.
3. Thường xuyên kiểm tra, đôn đốc việc triển khai an toàn thông tin mạng trong đơn vị.
4. Trong trường hợp mua sắm trang bị thiết bị hạ tầng công nghệ thông tin, xây dựng phần mềm có liên quan hoặc ảnh hưởng tới hạ tầng công nghệ, phần mềm dùng chung của Kiểm toán nhà nước phải có tư vấn, thông qua của đơn vị chuyên trách an toàn thông tin thẩm định để không gây ảnh hưởng tới hạ tầng công nghệ chung của Kiểm toán nhà nước.
5. Chịu trách nhiệm trước pháp luật và Tổng Kiểm toán nhà nước về các vi phạm, thất thoát thông tin, dữ liệu thuộc phạm vi quản lý của đơn vị do không tổ chức, chỉ đạo kiểm tra công chức của đơn vị thực hiện đúng Quy chế này.
6. Trước ngày 01/02 hàng năm, thực hiện gửi báo cáo tình hình đảm bảo an toàn thông tin tại các đơn vị về Cục Công nghệ thông tin của năm liền trước theo mẫu số 01 kèm theo Quy chế này.
Điều 14. Trách nhiệm của công chức
1. Thực hiện các quy định tại Quy chế này về đảm bảo an toàn thông tin mạng.
2. Tham gia đầy đủ các lớp đào tạo ngắn hạn, tuyên truyền, phổ biến nâng cao nhận thức, diễn tập an toàn thông tin và ứng cứu sự cố để bảo đảm an toàn thông tin mạng theo kế hoạch.
3. Chịu trách nhiệm trước lãnh đạo đơn vị và Tổng Kiểm toán nhà nước về các vi phạm làm mất an toàn thông tin mạng do không tuân thủ Quy chế này.
1. Các đơn vị, công chức thuộc Kiểm toán nhà nước chịu trách nhiệm thực hiện các quy định của Quy chế này.
2. Các tổ chức, cá nhân khác có sử dụng, kết nối hoặc truy cập vào các hệ thống thông tin do Kiểm toán nhà nước triển khai hoặc liên quan đến hoạt động ứng dụng công nghệ thông tin của Kiểm toán nhà nước phải tuân thủ Quy chế này và các quy định hiện hành của pháp luật có liên quan.
3. Các đơn vị, tổ chức, cá nhân cung cấp dịch vụ công nghệ thông tin và an toàn thông tin mạng cho các đơn vị trực thuộc Kiểm toán nhà nước phải tuân thủ Quy chế này và các quy định hiện hành của pháp luật có liên quan.
4. Trong quá trình thực hiện nếu có khó khăn vướng mắc, đơn vị phản ánh về Cục Công nghệ thông tin để tổng hợp, báo cáo Tổng Kiểm toán nhà nước xem xét sửa đổi, bổ sung Quy chế cho phù hợp./.
|
|
||
|
KIỂM TOÁN NHÀ NƯỚC |
CỘNG HÒA XÃ HỘI
CHỦ NGHĨA VIỆT NAM |
|
|
|
Hà Nội, ngày tháng năm 20…... |
|
|
|
|
|
BÁO CÁO TÌNH HÌNH ĐẢM BẢO AN TOÀN THÔNG TIN
Năm: <Năm báo cáo>
Kính gửi: Cục Công nghệ thông tin
I. Tình hình triển khai các giải pháp an toàn thông tin tại đơn vị
|
STT |
Nội dung |
Kết quả |
Ghi chú |
|
1 |
2 |
3 |
5 |
|
1 |
Triển khai phần mềm diệt virus trên máy tính |
Tỷ lệ triển khai |
Tỷ lệ % số lượng triển khai/tổng số công chức, viên chức |
|
2 |
Phổ biến cho công chức, viên chức, người lao động về các văn bản hướng dẫn về an toàn thông tin phát sinh trong năm |
Tỷ lệ phổ biến |
Tỷ lệ % số lượng văn bản đã phổ biến/tổng số văn bản phát sinh trong năm |
II. Tình hình mất an toàn thông tin phát sinh tại đơn vị
|
STT |
Nội dung |
Kết quả |
Ghi chú |
|
1 |
2 |
3 |
4 |
|
I |
Số lượng sự cố an toàn thông tin phát sinh tại đơn vị |
Số lượng |
Số lượng sự cố an toàn thông tin phát sinh trong năm |
|
II |
Chi tiết sự cố an toàn thông tin phát sinh |
|
|
|
1 |
Sự cố 1: Mô tả sự cố: - Nội dung sự cố - Thời điểm xảy ra sự cố - Thời gian khắc phục sự cố - Ảnh hưởng sự cố an toàn thông tin |
Kết quả xử lý sự cố |
Ghi nhận sự phối hợp với Cục CNTT và các đơn vị xử lý sự cố an toàn thông tin phát sinh tai đơn vị |
|
2 |
Sự cố 2: Ví dụ: Sự cố tấn công chiếm quyền email, gửi thư Spam |
- Đã phối hợp với Cục CNTT xử lý sự cố. |
|
|
|
Đại diện Lãnh đạo
đơn vị báo cáo |
|
|
||
|
KIỂM TOÁN NHÀ NƯỚC |
CỘNG HÒA XÃ HỘI
CHỦ NGHĨA VIỆT NAM |
|
|
|
Hà Nội, ngày tháng năm 20…... |
|
|
|
|
|
TÌNH HÌNH ĐẢM BẢO AN TOÀN THÔNG TIN TOÀN NGÀNH
Năm: <Năm báo cáo>
Kính gửi: Tổng Kiểm toán nhà nước
I. Tình hình triển khai các giải pháp an toàn thông tin tại các đơn vị
|
STT |
Nội dung |
Kết quả |
Ghi chú |
|
1 |
2 |
3 |
5 |
|
1 |
Triển khai phần mềm diệt virus trên máy tính |
Tỷ lệ triển khai |
Tỷ lệ % số lượng triển khai/tổng số công chức, viên chức |
|
2 |
Phổ biến cho công chức, viên chức, người lao động về các văn bản hướng dẫn về an toàn thông tin phát sinh trong năm |
Tỷ lệ phổ biến |
Tỷ lệ đơn vị đã phổ biến đầy đủ cho công chức, viên chức, người lao động về các văn bản hướng dẫn an toàn thông tin phát sinh trong năm/Tổng số đơn vị |
II. Tình hình mất an toàn thông tin phát sinh tại đơn vị
|
STT |
Nội dung |
Kết quả |
Ghi chú |
|
1 |
2 |
3 |
4 |
|
I |
Số lượng sự cố an toàn thông tin phát sinh tại các đơn vị |
Số lượng |
Số lượng sự cố an toàn thông tin phát sinh trong năm |
|
II |
Tổng hợp sự cố an toàn thông tin phát sinh |
|
|
|
1 |
Sự cố mức độ đặc biệt nghiêm trọng |
Số lượng sự cố đặc biệt nghiêm trọng |
|
|
1 |
Sự cố mức độ nghiêm trọng |
Số lượng sự cố nghiêm trọng |
|
|
2 |
Sự cố mức độ thông thường |
Số lượng sự cố thông thường |
|
III. Tổng hợp sự cố an toàn thông tin tại Trung tâm dữ liệu (báo cáo theo mẫu hướng dẫn của Bộ Thông tin và truyền thông)
|
Loại sự cố/tấn công mạng |
Số lượng |
Số sự có tự xử lý |
Số sự cố có sự hỗ trợ xử lý từ các tổ chức khác |
Số sự cố có hỗ trợ xử lý từ tổ chức nước ngoài |
Số sự cố đề nghị VNCERT hỗ trợ xử lý |
Thiệt hại ước tính |
|
Từ chối dịch vụ |
|
|
|
|
|
|
|
Tấn công giả mạo |
|
|
|
|
|
|
|
Tấn công sử dụng mã độc |
|
|
|
|
|
|
|
Truy cập trái phép, chiếm quyền điều khiển |
|
|
|
|
|
|
|
Thay đổi giao diện |
|
|
|
|
|
|
|
Mã hóa phần mềm, dữ liệu, thiết bị |
|
|
|
|
|
|
|
Phá hoại thông tin, dữ liệu, phần mềm |
|
|
|
|
|
|
|
Nghe trộm, gián điệp, lấy cắp thông tin, dữ liệu |
|
|
|
|
|
|
|
Tấn công tổng hợp sử dụng kết hợp nhiều hình thức |
|
|
|
|
|
|
|
Các hình thức tấn công khác |
|
|
|
|
|
|
|
Các cảnh báo liên quan đến hệ thống máy chủ |
|
|
|
|
|
|
|
Tổng số |
|
|
|
|
|
|
|
|
CỤC TRƯỞNG |
Quyết định 2142/QĐ-KTNN năm 2024 về Quy chế đảm bảo an toàn thông tin mạng của Kiểm toán Nhà nước
| Số hiệu: | 2142/QĐ-KTNN |
|---|---|
| Loại văn bản: | Quyết định |
| Nơi ban hành: | Kiểm toán Nhà nước |
| Người ký: | Bùi Quốc Dũng |
| Ngày ban hành: | 31/12/2024 |
| Ngày hiệu lực: | Đã biết |
| Tình trạng: | Đã biết |
Văn bản đang xem
Quyết định 2142/QĐ-KTNN năm 2024 về Quy chế đảm bảo an toàn thông tin mạng của Kiểm toán Nhà nước
Chưa có Video
