ỦY BAN NHÂN DÂN | CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM |
Số: 1101/QĐ-UBND | Tuyên Quang, ngày 09 tháng 8 năm 2022 |
CHỦ TỊCH ỦY BAN NHÂN DÂN TỈNH TUYÊN QUANG
Căn cứ Luật Tổ chức chính quyền địa phương ngày 19/6/2015; Luật sửa đổi, bổ sung một số điều của Luật Tổ chức Chính phủ và Luật Tổ chức chính quyền địa phương ngày 22/11/2019;
Căn cứ Luật an toàn thông tin mạng ngày 19 tháng 11 năm 2015;
Căn cứ Nghị định số 85/2016/NĐ-CP ngày 01 tháng 7 năm 2016 của Chính phủ về việc bảo đảm an toàn hệ thống thông tin theo cấp độ;
Căn cứ Thông tư số 03/2017/TT-BTTTT ngày 24 tháng 4 năm 2017 của Bộ Thông tin và Truyền thông quy định chi tiết và hướng dẫn một số điều của Nghị định 85/2016/NĐ-CP ngày 01 tháng 7 năm 2016 của Chính phủ về bảo đảm an toàn hệ thống thông tin theo cấp độ;
Căn cứ Thông tư số 27/2017/TT-BTTTT ngày 20 tháng 10 năm 2017 của Bộ Thông tin và Truyền thông quy định về quản lý, vận hành, kết nối, sử dụng và bảo đảm an toàn thông tin trên mạng truyền số liệu chuyên dùng của các cơ quan Đảng, Nhà nước; Thông tư số 12/2019/TT-BTTTT ngày 05 tháng 11 năm 2019 của Bộ Thông tin và Truyền thông về việc sửa đổi, bổ sung một số điều của Thông tư số 27/2017/TT-BTTTT ngày 20 tháng 10 năm 2017 của Bộ Thông tin và Truyền thông;
Theo đề nghị của Giám đốc sở Thông tin và Truyền thông tại Tờ trình số 79/TTr-STTTT ngày 26 tháng 7 năm 2022, Báo cáo thẩm định số 191/BC-STTTT ngày 25 tháng 7 năm 2022 thẩm định an toàn hệ thống thông tin cấp độ 3 mạng truyền số liệu chuyên dùng cấp II do Viettel triển khai trên địa bàn tỉnh.
QUYẾT ĐỊNH:
1. Thông tin chung
a) Tên hệ thống thông tin: Mạng truyền số liệu chuyên dùng cấp II do Viettel triển khai trên địa bàn tỉnh Tuyên Quang.
b) Đơn vị vận hành hệ thống thông tin: Viettel Tuyên Quang - Chi nhánh Tập đoàn Công nghiệp Viễn thông Quân đội.
c) Địa chỉ: Số 172, đường Bình Thuận, phường Tân Quang, thành phố Tuyên Quang, tỉnh Tuyên Quang.
2. Phương án bảo đảm an toàn thông tin
a) Phương án bảo đảm an toàn thông tin trong thiết kế hệ thống thông tin tương ứng với cấp độ 3 là phù hợp với tiêu chuẩn quốc gia (TCVN11930:2017), quy chuẩn kỹ thuật quốc gia (TCVN11930:2017) về bảo đảm an toàn hệ thống thông tin theo cấp độ.
b) Phương án bảo đảm an toàn thông tin trong quá trình vận hành hệ thống tương ứng với cấp độ 3 là phù hợp với tiêu chuẩn quốc gia (TCVN11930:2017), quy chuẩn kỹ thuật quốc gia (TCVN11930:2017) về bảo đảm an toàn hệ thống thông tin theo cấp độ.
1. Viettel Tuyên Quang - Chi nhánh Tập đoàn Công nghiệp Viễn thông Quân đội chịu trách nhiệm bảo đảm an toàn hệ thống thông tin mình quản lý theo các quy định tại Điều 22 Nghị định số 85/2016/NĐ-CP ngày 01/7/2016 của Chính phủ về bảo đảm an toàn hệ thống thông tin theo cấp độ.
2. Sở Thông tin và Truyền thông có trách nhiệm kiểm tra, giám sát, theo dõi, đôn đốc Viettel Tuyên Quang - Chi nhánh Tập đoàn Công nghiệp Viễn thông Quân đội thực hiện theo các quy định nêu trên, báo cáo Ủy ban nhân dân tỉnh theo quy định.
Điều 3. Quyết định này có hiệu lực thi hành kể từ ngày ký.
Chánh Văn phòng Ủy ban nhân dân tỉnh, Giám đốc Sở Thông tin và Truyền thông, Viettel Tuyên Quang - Chi nhánh Tập đoàn Công nghiệp Viễn thông Quân đội và các cơ quan liên quan chịu trách nhiệm thi hành Quyết định này./.
| KT. CHỦ TỊCH |
PHƯƠNG ÁN BẢO ĐẢM AN TOÀN THÔNG TIN
MẠNG TRUYỀN SỐ LIỆU CHUYÊN DÙNG CẤP II DO VIETTEL TRIỂN KHAI TRÊN ĐỊA BÀN TỈNH TUYÊN QUANG
(Kèm theo Quyết định số 1101/QĐ-UBND, ngày 09/8/2022 của Chủ tịch Ủy ban nhân dân tỉnh Tuyên Quang)
1. Hồ sơ, tài liệu quản lý
a) Lập hồ sơ, tài liệu hệ thống như tài liệu thiết kế, triển khai, quản trị, vận hành, bảo đảm an toàn thông tin.
b) Lưu trữ, bảo quản hồ sơ, tài liệu, xác định phạm vi phổ biến, sử dụng của tài liệu.
c) Thực hiện cập nhật tài liệu thường xuyên khi có thay đổi, xem xét định kỳ hàng năm.
2. Kiểm tra, đánh giá an toàn, an ninh mạng
a) Thực hiện kiểm tra, đánh giá chức năng và an toàn, an ninh mạng các hệ thống thông tin trước khi đưa vào sử dụng khi triển khai hệ thống mới hoặc nâng cấp hệ thống có thay đổi kiến trúc của hệ thống.
b) Thực hiện kiểm tra, đánh giá chức năng và an toàn, an ninh mạng trước khi đưa vào sử dụng đối với các phần mềm thuê khoán khi xây dựng phần mềm mới hoặc khi thay đổi phần mềm, thay đổi mã nguồn mà có ảnh hưởng đến kiến trúc của phần mềm.
c) Chuẩn bị hồ sơ, thực hiện các bước, quy trình kiểm tra, đánh giá an toàn, an ninh mạng theo quy định, quy trình, hướng dẫn của đơn vị chuyên trách an toàn, an ninh mạng của Bộ Thông tin và Truyền thông.
3. Giám sát an toàn, an ninh mạng
a) Triển khai giám sát 24/7 đối với các hệ thống thông tin.
b) Các yêu cầu giám sát cơ bản gồm: Trạng thái hoạt động up/down; lưu lượng mạng, dịch vụ. Ngoài ra, thực hiện giám sát an toàn thông tin theo hướng dẫn tại Thông tư số 31/2017/TT-BTTTT ngày 15/11/2017 của Bộ Thông tin và Truyền thông. Tùy vào điều kiện, nguồn lực và mức độ quan trọng của các hệ thống thông tin, có thể triển khai thêm các phương án giám sát khác để giám sát bất thường, nguy cơ, rủi ro hoặc dấu hiệu an toàn, an ninh mạng của hệ thống thông tin.
c) Xây dựng các quy trình xử lý đối với các sự cố an toàn, an ninh mạng được phát hiện qua công tác giám sát. Đối với các sự cố chưa có trong quy trình, có khả năng ảnh hưởng nguy hiểm tới các hệ thống thông tin quan trọng thì thực hiện cung cấp thông tin kịp thời cho đơn vị chuyên trách an toàn, an ninh mạng của Bộ Thông tin và Truyền thông để phối hợp điều tra, phân tích và xử lý.
d) Thực hiện báo cáo định kỳ, báo cáo khi có sự cố xảy ra hoặc báo cáo đột xuất theo yêu cầu của các cấp có thẩm quyền.
4. Quản lý rủi ro
a) Thực hiện đánh giá rủi ro đối với các hệ thống thông tin.
b) Nội dung đánh giá rủi ro tập trung xác định các điểm yếu, mối đe dọa đối với tài sản của các hệ thống thông tin, từ đó xác định hậu quả và mức độ ảnh hưởng. Đồng thời đưa ra biện pháp để xử lý rủi ro bảo đảm cân đối giữa nguồn lực và giá trị mang lại.
5. Kết thúc vận hành, khai thác, sửa chữa, thanh lý, hủy bỏ
a) Thực hiện hủy bỏ toàn bộ thông tin, dữ liệu trên hệ thống với sự xác nhận của đơn vị chủ quản hệ thống thông tin khi kết thúc vận hành, khai thác, thanh lý, hủy bỏ hệ thống thông tin. Trong trường hợp thông tin, dữ liệu của hệ thống thông tin lưu trữ trên tài sản vật lý, đơn vị chủ quản hệ thống thông tin thực hiện các biện pháp tiêu hủy hoặc xóa thông tin bảo đảm không có khả năng phục hồi. Với trường hợp đặc biệt không thể tiêu hủy được thông tin, dữ liệu thì sử dụng biện pháp tiêu hủy cấu trúc phần lưu trữ dữ liệu trên tài sản đó.
b) Đối với các hệ thống thông tin có dữ liệu được lưu trữ trên tài sản vật lý cần phải mang đi bảo hành, bảo dưỡng, sửa chữa bên ngoài thì phải được sự phê duyệt của cấp có thẩm quyền và thực hiện các biện pháp bảo vệ dữ liệu; có cam kết bảo mật thông tin giữa bên có dữ liệu và bên cung cấp dịch vụ sửa chữa thiết bị lưu trữ dữ liệu.
1. Nguyên tắc thực hiện
Phương án ứng phó, khắc phục sự cố an toàn, an ninh mạng được thực hiện theo nguyên tắc: Phát hiện hoặc tiếp nhận sự cố; xác minh, phân tích, đánh giá và phân loại sự cố; quyết định lựa chọn phương án và phối hợp các đơn vị liên quan; ứng cứu sự cố, khôi phục hệ thống; điều phối, ứng cứu sự cố; kết thúc sự cố; khắc phục, phòng ngừa sự cố tái diễn; hỗ trợ sau sự cố.
2. Đánh giá các nguy cơ, sự cố an toàn, an ninh mạng
a) Thực hiện đánh giá, xác định nguy cơ, sự cố an toàn, an ninh mạng trong hoạt động quản trị, vận hành các hệ thống thông tin.
b) Xác định phạm vi sự cố: (1) Sự cố do lỗi phần cứng, phần mềm hoặc do công tác quản trị, vận hành làm gián đoạn hệ thống thông tin. (2) Sự cố do bị tấn công mạng: Tấn công từ chối dịch vụ; tấn công giả mạo; tấn công sử dụng mã độc; truy cập trái phép, chiếm quyền điều khiển; tấn công thay đổi giao diện; tấn công mã hóa phần mềm, dữ liệu, thiết bị; phá hoại thông tin, dữ liệu, phần mềm; nghe trộm, gián điệp, lấy cắp thông tin, dữ liệu; các hình thức tấn công mạng khác.
3. Phương án ứng phó, khắc phục đối với một số tình huống cụ thể:
- An toàn đường truyền
+ Các kết nối vào mạng truyền số liệu chuyên dùng (TSLCD) sử dụng đường truyền WAN MPLS (L3VPN/L2VPN), Viettel cung cấp đường truyền và giải pháp đảm bảo hình thành một mạng riêng, an toàn cho mọi đơn vị kết nối vào mạng TSLCD.
+ Phần mạng lõi (mạng truyền tải MPLS Viettel): Mạng lõi Viettel chạy trên nền tảng giao thức chuyển mạch MPLS, cho phép thiết lập các kênh WAN VPN bằng cách tạo các Tunnel riêng cho từng khách hàng. Các VPN Tunnel tách biệt nhau về mặt logic bằng các kênh ảo lớp 3 (VRF) hoặc các kênh ảo lớp 2 (pseudo - wire). Trên mạng truyền tài MPLS Viettel, các khách hàng được phân tách về logic, khách hàng khác nhau sẽ không thể nhìn và đọc thông tin của nhau.
+ Phần mạng ngoại vi: Từ Router biên đến site khách hàng, Viettel triển khai trên hạ tầng mạng cáp quang sử dụng công nghệ AON và GPON đảm bảo tách biệt giữa mạng số liệu chuyên dùng và các khách hàng khác.
- An toàn trong quản lý và vận hành mạng TSLCD cấp II
+ Tổng đài tiếp nhận phản ánh chất lượng dịch vụ kênh truyền: 18008000 nhánh 3. Tổng đài này hoạt động 24/7, sẵn sàng tiếp nhận và xử lý các phản ánh về chất lượng dịch vụ kênh truyền của khách hàng ở bất cứ thời điểm nào trong ngày, bất cứ ngày nào trong năm.
+ Phương án giám sát băng thông: VIETTEL cung cấp cho mỗi khách hàng một tài khoản trên hệ thống giám sát kênh truyền do Viettel quản lý, công cụ giám sát đặt trên trang thông tin điện tử của VIETTEL. Các cơ quan Đảng, Nhà nước hoàn toàn có thể chủ động giám sát chất lượng đường truyền của mình bằng công cụ này.
√ Giám sát và quản lý đường truyền thông tin 24/7.
√ Có khả năng giám sát riêng băng thông upload, băng thông download.
√ Cung cấp các thông số chi tiết cùng biểu đồ mô phỏng về hiện trạng mức độ sử dụng, mức độ hoạt động tại các điểm kết nối theo yêu cầu.
√ Cho phép xem lại lịch sử hiệu năng mạng cung cấp cho khách hàng, có thể tùy chọn xem theo tuần, xem theo tháng…
+ Tổ chức lực lượng: Lực lượng kỹ thuật của VIETTEL được tổ chức rộng khắp từ Trung ương đến cấp xã theo phân cấp chức năng chuyên biệt, đảm bảo tính chuyên môn hóa cao, tối ưu chất lượng và tốc độ xử lý các vấn đề kỹ thuật: Cấp quốc gia/toàn cầu, cấp khu vực, cấp tỉnh, cấp huyện, cấp xã.
+ Hoạt động: Lực lượng kỹ thuật được duy trì hoạt động 24/24 ở tất cả các cấp, đảm bảo luôn sẵn sàng cho mọi tình huống vận hành, khai thác mạng lưới truyền dẫn.
- Quy trình xử lý sự cố kỹ về chất lượng dịch vụ
Mô tả:
+ Phát sinh sự cố:
√ Khi có sự cố phát sinh, khách hàng tiến hành phân tích, nếu sự cố thuộc phía tuyến Viettel thì chuyển sang bước 2: Thông báo sự cố cho Viettel.
+ Thông báo sự cố:
√ Khách hàng gọi điện trực tiếp báo sự cố theo số điện thoại tiếp nhận sự cố của Viettel: 18008000.
√ Với những trường hợp cần có đầu mối để phối hợp xử lý, khách hàng sẽ cử đầu mối làm việc sang bên Viettel.
+ Tiếp nhận sự cố:
√ Đầu mối Viettel tiếp nhận thông báo sự cố từ phía khách hàng.
√ Tất cả các trường hợp thay đổi đầu mối tiếp nhận sự cố, Viettel sẽ thông báo cho khách hàng để đảm bảo chất lượng dịch vụ ở mức tốt nhất. Thời gian tiếp nhận sự cố 24/7/365.
+ Phân tích sự cố:
√ Viettel phối hợp với kách hàng để tìm nguyên nhân về sự cố:
○ Nếu sự cố thuộc bên khách hàng thì phía khách hàng sẽ khắc phục sự cố.
○ Nếu sự cố thuộc bên Viettel thì chuyển sang bước 5.
√ Viettel có trách nhiệm thông báo lại cho khách hàng biết nguyên nhân sự cố và thời gian để khắc phục sự cố này.
√ Các quy định đặc biệt theo cam kết với khách hàng.
+ Xử lý sự cố:
√ Viettel triển khai các biện pháp để khắc phục sự cố trừ các trường hợp thiên tai bất khả kháng.
√ Các sự cố chưa xử lý xong nhưng đã quá hạn, Viettel có hệ thống nhắn tin cảnh báo sự cố quá hạn nội bộ từ cấp xử lý trực tiếp (Trung tâm Viettel thành phố, huyện) đến mức cao nhất chịu trách nhiệm về chất lượng dịch vụ.
√ Thời gian khắc phục sự cố ≤ 3 giờ.
+ Xác nhận khắc phục xong sự cố:
√ Khi khắc phục xong sự cố, Viettel sẽ thông báo lại cho khách hàng về tình trạng sự cố đã được khắc phục bằng điện thoại, đồng thời hệ thống của Viettel sẽ tự động nhắn tin và gửi email cho đầu mối khách hàng (do khách hàng cung cấp) thông báo sự cố đã được xử lý, thời gian xử lý và nguyên nhân lỗi.
+ Kết thúc/Lưu hồ sơ:
√ Hai bên thống nhất về thời gian tiếp nhận sự cố và thời gian khắc phục xong sự cố. Thời gian sự cố sẽ được tính theo thời gian sự cố thực tế giữa kỹ thuật của khách hàng và Viettel.
√ Hai bên đóng sự cố và kết thúc sự cố./.
File gốc của Quyết định 1101/QĐ-UBND năm 2022 của Uỷ ban nhân dân tỉnh Tuyên Quang về việc phê duyệt phương án bảo đảm an toàn hệ thống thông tin mạng truyền số liệu chuyên dùng cấp II do Viettel triển khai trên địa bàn tỉnh Tuyên Quang đang được cập nhật.
Quyết định 1101/QĐ-UBND năm 2022 của Uỷ ban nhân dân tỉnh Tuyên Quang về việc phê duyệt phương án bảo đảm an toàn hệ thống thông tin mạng truyền số liệu chuyên dùng cấp II do Viettel triển khai trên địa bàn tỉnh Tuyên Quang
Tóm tắt
Cơ quan ban hành | Tỉnh Tuyên Quang |
Số hiệu | 1101/QĐ-UBND |
Loại văn bản | Quyết định |
Người ký | Hoàng Việt Phương |
Ngày ban hành | 2022-08-09 |
Ngày hiệu lực | 2022-08-09 |
Lĩnh vực | An ninh mạng |
Tình trạng | Còn hiệu lực |