QUYẾT ĐỊNH

VỀ VIỆC BAN HÀNH QUY CHẾ BẢO ĐẢM AN TOÀN THÔNG TIN TRONG ỨNG DỤNG CÔNG NGHỆ THÔNG TIN CỦA NGÀNH BẢO HIỂM XÃ HỘI

TỔNG GIÁM ĐỐC BẢO HIỂM XÃ HỘI VIỆT NAM

hệ thông tin ngày 29/6/2006;

Căn cứ Nghị định số 01/2016/NĐ-CP ngày 05/01/2016 của Chính phủ về việc quy định chức năng, nhiệm vụ, quyền hạn và cơ cấu tổ chức của Bảo hiểm xã hội Việt Nam;

hệ thông tin trong hoạt động của cơ quan nhà nước;

Xét đề nghị của Giám đốc Trung tâm Công nghệ thông tin,

QUYẾT ĐỊNH:

Điều 2. Quyết định này có hiệu lực thi hành từ ngày ký.

QUY CHẾ

BẢO ĐẢM AN TOÀN THÔNG TIN TRONG ỨNG DỤNG CÔNG NGHỆ THÔNG TIN NGÀNH BẢO HIỂM XÃ HỘI
(Ban hành kèm theo Quyết định số: 967/QĐ-BHXH ngày 20 tháng 6 năm 2017 của Tổng Giám đốc BHXH Việt Nam)

QUY ĐỊNH CHUNG

1. Quy chế này quy định về công tác bảo đảm an toàn, an ninh thông tin trong hoạt động ứng dụng công nghệ thông tin (CNTT) của các đơn vị thuộc hệ thống ngành BHXH (sau đây gọi tắt là đơn vị).

Điều 2. Mục đích, nguyên tắc bảo đảm an toàn thông tin mạng

2. Việc bảo đảm an toàn thông tin mạng là yêu cầu bắt buộc và phải được thực hiện thường xuyên, liên tục, hiệu quả trên cơ sở tuân thủ tiêu chuẩn, quy chuẩn, quy định về an toàn thông tin mạng trong quá trình thiết kế, xây dựng, vận hành, nâng cấp, sử dụng và hủy bỏ trong ứng dụng CNTT của Ngành.

4. Thủ trưởng các đơn vị là người chịu trách nhiệm trực tiếp chỉ đạo công tác bảo đảm an toàn thông tin mạng.

6. Các đơn vị và cá nhân có trách nhiệm thực hiện đầy đủ, nghiêm túc các quy định của pháp luật, quy định, quy chế của Bảo hiểm xã hội Việt Nam về bảo vệ bí mật nhà nước và bảo đảm an toàn thông tin mạng.

8. Các dữ liệu khi trao đổi với các hệ thống thông tin ngoài ngành phải có kênh truyền dữ liệu riêng và được mã hóa bằng giải pháp do Ban Cơ yếu Chính phủ cung cấp hoặc cơ quan, đơn vị có thẩm quyền của Bộ Thông tin và Truyền thông chấp nhận sử dụng.

Điều 3. Giải thích từ ngữ

1. An toàn thông tin mạng là sự bảo vệ thông tin, hệ thống thông tin trên mạng tránh bị truy nhập, sử dụng, tiết lộ, gián đoạn, sửa đổi hoặc phá hoại trái phép nhằm bảo đảm tính nguyên vẹn, tính bảo mật và tính khả dụng của thông tin.

3. Hệ thống thông tin là tập hợp phần cứng, phần mềm và cơ sở dữ liệu được thiết lập phục vụ mục đích tạo lập, cung cấp, truyền đưa, thu thập, xử lý, lưu trữ và trao đổi thông tin trên mạng.

5. Mã độc là phần mềm có khả năng gây ra hoạt động không bình thường cho một phần hay toàn bộ hệ thống thông tin hoặc thực hiện sao chép, sửa đổi, xóa bỏ trái phép thông tin lưu trữ trong hệ thống thông tin.

7. Đánh giá rủi ro an toàn thông tin là việc xác định, phân tích nguy cơ mất an toàn thông tin có thể có và dự báo mức độ, phạm vi ảnh hưởng và khả năng gây thiệt hại khi xảy ra sự cố mất an toàn thông tin.

Chương II

QUY ĐỊNH BẢO ĐẢM AN TOÀN THÔNG TIN

Các đơn vị phải thường xuyên tổ chức quán triệt các quy định về an toàn thông tin mạng, nhằm nâng cao nhận thức về trách nhiệm bảo đảm an toàn thông tin mạng của từng cá nhân trong đơn vị.

1. Hạ tầng thiết bị CNTT phải được trang bị tường lửa (firewall) để ngăn chặn và phát hiện các xâm nhập trái phép vào mạng nội bộ. Nhật ký hoạt động của thiết bị tường lửa phải được lưu giữ an toàn trong khoảng thời gian nhất định (tối thiểu 03 tháng) để phục vụ công tác khảo sát, điều tra khi có sự cố xảy ra.

3. Trung tâm dữ liệu/phòng máy chủ của các đơn vị (Trung tâm CNTT, Văn phòng BHXH Việt Nam, BHXH các tỉnh, thành phố, BHXH cấp huyện) là khu vực hạn chế tiếp cận và được lắp đặt hệ thống camera giám sát. Chỉ những người có trách nhiệm theo quy định của thủ trưởng đơn vị mới được phép ra vào trung tâm dữ liệu/phòng máy chủ.

5. Trung tâm dữ liệu phải được thiết kế, xây dựng, quản trị vận hành, khai thác theo tiêu chuẩn, quy chuẩn kỹ thuật quy định tại Thông tư 03/2013/TT- BTTTT ngày 22/01/2013 của Bộ Thông tin và Truyền thông quy định áp tiêu chuẩn, quy chuẩn kỹ thuật đối với trung tâm kỹ thuật. Phòng máy chủ phải áp dụng các tiêu chuẩn kỹ thuật về an toàn kỹ thuật nhiệt độ, độ ẩm,... cho các thiết bị; bảo đảm điều kiện hoạt động ổn định cho các hệ thống hỗ trợ như máy điều hòa nhiệt độ, nguồn cấp điện, dây dẫn.

7. Các thiết bị hạ tầng CNTT quan trọng phải được triển khai có dự phòng, bảo đảm hoạt động khi có sự cố xảy ra.

1. Môi trường mạng Internet, khi thiết lập các dịch vụ trên Internet chỉ cung cấp những chức năng, cổng giao tiếp mạng, giao thức và các dịch vụ thiết yếu nhất bảo đảm duy trì hoạt động của hệ thống thông tin.

3. Hệ thống mạng nội bộ (LAN) phải được bảo vệ bằng tường lửa và phân chia hệ thống mạng thành các vùng mạng quản lý theo chính sách an toàn thông tin riêng, phạm vi truy cập, kiểm soát truy cập giữa các vùng mạng, bao gồm: vùng mạng người dùng; vùng mạng truy cập Internet; vùng máy chủ nội bộ; vùng mạng quản trị.

5. Các hệ thống mạng phải được thiết kế có đầy đủ thiết bị tường lửa, chống truy cập trái phép, lọc Web...; phải được cài đặt, cập nhật, vá lỗi đúng thời hạn để khắc phục các điểm yếu an ninh mạng.

1. Yêu cầu về bảo đảm an toàn thông tin phải được đưa vào tất cả các công đoạn liên quan đến ứng dụng (thiết kế, xây dựng, triển khai và vận hành, sử dụng,...).

3. Hạn chế truy cập tới mã nguồn ứng dụng (nếu có) và phải đặt mã nguồn trong môi trường an toàn do bộ phận chuyên trách quản lý.

5. Theo dõi nắm bắt thông tin về các lỗ hổng bảo mật mới và cập nhật thường xuyên bản vá lỗi về an ninh cho ứng dụng và hệ điều hành.

7. Thiết lập các hệ thống tường lửa lớp ứng dụng và CSDL bảo đảm tính bí mật, nguyên vẹn và khả dụng của dữ liệu; giám sát, cảnh báo khi có thay đổi hoặc phát hiện, ngăn chặn các tác động truy nhập, gửi, nhận dữ liệu trái phép.

9. Sử dụng chữ ký số và các giao thức truyền tin an toàn khi thực hiện giao dịch điện tử với người dân và đơn vị sử dụng lao động.

1. Tất cả các máy trạm, máy chủ phải được trang bị phần mềm phòng chống mã độc. Các phần mềm phòng chống mã độc phải được thiết lập chế độ tự động cập nhật; chế độ tự động quét mã độc khi sao chép, mở các tập tin.

3. Tất cả các máy tính của đơn vị phải được cấu hình nhằm vô hiệu hóa tính năng tự động thực thi (autoplay) các tập tin trên các thiết bị lưu trữ di động.

5. Khi phát hiện ra bất kỳ dấu hiệu nào liên quan đến việc bị nhiễm mã độc trên máy trạm (ví dụ: máy hoạt động chậm bất thường, cảnh báo từ phần mềm phòng chống mã độc, mất dữ liệu,...), người sử dụng phải tắt máy và báo trực tiếp cho bộ phận có trách nhiệm của đơn vị để xử lý.

1. Các đơn vị có quản lý trung tâm dữ liệu/phòng máy chủ phải thực hiện việc ghi nhật ký (log) của toàn bộ hệ thống thông tin nhằm bảo đảm các sự kiện quan trọng xảy ra trên hệ thống được ghi nhận và lưu giữ.

3. Các sự kiện tối thiểu cần phải được ghi nhật ký gồm: quá trình đăng nhập hệ thống; tạo, cập nhật hoặc xóa dữ liệu; các hành vi xem, thiết lập cấu hình hệ thống; việc thiết lập các kết nối bất thường vào và ra hệ thống; thay đổi quyền truy cập hệ thống.

Điều 10. Quản lý truy cập

2. Cá nhân sử dụng hệ thống thông tin được cấp và sử dụng tài khoản truy nhập duy nhất gắn với cá nhân đó và chịu trách nhiệm bảo mật thông tin tài khoản của mình.

4. Tài khoản quản trị của người quản trị hệ thống thông tin (mạng, hệ điều hành, thiết bị kết nối mạng, phần mềm, ứng dụng, cơ sở dữ liệu) phải cấp phát và quản lý thông qua hệ thống quản lý mật khẩu đặc quyền của BHXH Việt Nam.

6. Các hệ thống thông tin cần giới hạn số lần đăng nhập sai liên tiếp vào hệ thống. Hệ thống tự động khóa tài khoản trong một khoảng thời gian nhất định trước khi tiếp tục cho đăng nhập nếu liên tục đăng nhập sai vượt quá số lần quy định.

8. Mạng không dây trong nội bộ đơn vị phải đặt mật khẩu truy cập và chỉ cho phép truy cập Internet.

Điều 11. Quản lý sự cố an toàn thông tin mạng

a) Thấp: sự cố gây ảnh hưởng cá nhân và không làm gián đoạn hay đình trệ hoạt động chính của đơn vị;

c) Cao: sự cố làm cho thiết bị, phần mềm hay hệ thống không thể sử dụng được và gây ảnh hưởng đến một trong các hoạt động chính của đơn vị;

2. Khi có sự cố hoặc nguy cơ mất an toàn thông tin mạng thì lãnh đạo đơn vị phải chỉ đạo kịp thời để khắc phục và hạn chế thiệt hại, báo cáo bằng văn bản cho đơn vị cấp trên trực tiếp quản lý.

Điều 12. Các hành vi bị nghiêm cấm

2. Xâm nhập, sửa đổi, xóa bỏ nội dung thông tin của đơn vị, cá nhân khác.

4. Bẻ khóa, trộm cắp, sử dụng mật khẩu, khóa mật mã và thông tin của đơn vị, cá nhân khác trên môi trường mạng.

6. Lợi dụng mạng để truyền bá thông tin, quan điểm, thực hiện các hành vi gây phương hại đến an ninh quốc gia, trật tự, an toàn xã hội, lợi ích quốc gia trên mạng; phá hại khối đại đoàn kết toàn dân; tuyên truyền chiến tranh xâm lược, khủng bố; gây hận thù, mâu thuẫn giữa các dân tộc, sắc tộc, tôn giáo và bài ngoại;

8. Các hành vi khác bị nghiêm cấm theo quy định của pháp luật.

TRÁCH NHIỆM BẢO ĐẢM AN TOÀN THÔNG TIN

1. Trách nhiệm của cán bộ, công chức, viên chức phụ trách an toàn thông tin mạng:

b) Tham mưu lãnh đạo đơn vị ban hành các quy định, quy trình nội bộ, triển khai các giải pháp kỹ thuật bảo đảm an toàn thông tin;

d) Phối hợp với các cá nhân, đơn vị có liên quan trong việc kiểm soát, phát hiện và khắc phục các sự cố an toàn, an ninh thông tin.

a) Nghiêm túc chấp hành các quy định, quy trình nội bộ, Quy chế này và các quy định khác của pháp luật về an toàn thông tin mạng. Chịu trách nhiệm bảo đảm an toàn thông tin trong phạm vi trách nhiệm và quyền hạn được giao;

trách nhiệm tự quản lý, bảo quản thiết bị mà mình được giao sử dụng; không tự ý thay đổi, tháo lắp các thiết bị trên máy tính; không được truy cập các trang web không rõ về nội dung; không tải và cài đặt các phần mềm không rõ nguồn gốc, không liên quan đến công việc chuyên môn; không nhấp chuột vào các đường dẫn lạ không rõ về nội dung;

d) Tham gia các chương trình đào tạo, hội nghị về an toàn thông tin mạng do Bảo hiểm xã hội Việt nam hoặc các đơn vị chuyên môn về an toàn thông tin trên địa bàn tổ chức.

1. Thủ trưởng các đơn vị có trách nhiệm tổ chức thực hiện các quy định tại Quy chế này và chịu trách nhiệm trước BHXH Việt Nam trong công tác bảo đảm an toàn thông tin mạng của đơn vị mình.

3. Phối hợp, cung cấp thông tin và tạo điều kiện cho các đơn vị có thẩm quyền triển khai công tác kiểm tra khắc phục sự cố xảy ra một cách kịp thời, nhanh chóng và đạt hiệu quả.

5. Định kỳ hằng quý, các đơn vị (Văn phòng BHXH Việt Nam; các đơn vị sự nghiệp trực thuộc BHXH Việt Nam; BHXH các tỉnh, thành phố) lập báo cáo về tình hình an toàn thông tin mạng và gửi về Trung tâm CNTT - BHXH Việt Nam.

1. Tham mưu cho Tổng Giám đốc BHXH Việt Nam về việc quản lý an toàn thông tin trong hoạt động ứng dụng CNTT của Ngành.

3. Chủ trì, phối hợp với các đơn vị liên quan tổ chức kiểm tra theo định kỳ hoặc đột xuất; kịp thời phát hiện và kiến nghị cấp thẩm quyền xử lý theo quy định của quy chế này và của pháp luật hiện hành đối với các đơn vị, cá nhân có các dấu hiệu, hành vi vi phạm an toàn thông tin mạng trên phạm vi toàn Ngành.

5. Tổ chức thực hiện việc tiếp nhận và xử lý các sự cố về an toàn thông tin mạng.

8. Là đầu mối với các cơ quan chức năng, đơn vị chuyên môn trong và ngoài Ngành chuẩn bị sẵn sàng các biện pháp, phương tiện kỹ thuật để phục vụ cho triển khai các phương án ứng cứu đã được xây dựng.

10. Tổng hợp và báo cáo về tình hình an toàn, an ninh thông tin cho BHXH Việt Nam.

TỔ CHỨC THỰC HIỆN

1. Hàng năm, Trung tâm CNTT dựa trên các điều tra, báo cáo công tác an ninh thông tin mạng của các đơn vị để xác lập bảng xếp hạng an toàn thông tin mạng, trên cơ sở đó đề xuất BHXH Việt Nam xem xét khen thưởng theo quy định hiện hành.

Điều 17. Điều khoản thi hành

2. Trong quá trình thực hiện Quy chế này, nếu có vướng mắc, đơn vị, cá nhân phản ánh về Trung tâm CNTT để tổng hợp, báo cáo BHXH Việt Nam xem xét, sửa đổi, bổ sung Quy chế cho phù hợp./.