| BỘ TÀI CHÍNH | CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM |
| Số: 201/QĐ-BTC | Hà Nội, ngày 12 tháng 02 năm 2018 |
BAN HÀNH QUY CHẾ AN TOÀN THÔNG TIN MẠNG BỘ TÀI CHÍNH
BỘ TRƯỞNG BỘ TÀI CHÍNH
Căn cứ Nghị định số 85/2016/NĐ-CP ngày 01/7/2016 của Chính phủ về bảo đảm an toàn hệ thống thông tin theo cấp độ;
Căn cứ Quyết định số 05/2017/QĐ-TTg ngày 16/3/2017 của Thủ tướng Chính phủ ban hành Quy định về hệ thống phương án ứng cứu khẩn cấp bảo đảm an toàn thông tin mạng quốc gia;
Căn cứ Quyết định số 1622/QĐ-TTg ngày 25/10/2017 của Thủ tướng Chính phủ về việc phê duyệt Đề án đẩy mạnh hoạt động của mạng lưới ứng cứu sự cố, tăng cường năng lực cho cán bộ, bộ phận chuyên trách ứng cứu sự cố an toàn thông tin mạng trên toàn quốc đến 2020, định hướng đến 2025;
Căn cứ Thông tư số 03/2017/TT-BTTTT ngày 24/4/2017 của Bộ Thông tin và Truyền thông quy định chi tiết và hướng dẫn một số điều của Nghị định số 85/2016/NĐ-CP ngày 01/7/2016 của Chính phủ về bảo đảm an toàn hệ thống thông tin theo cấp độ;
Căn cứ Thông tư số 31/2017/TT-BTTTT ngày 15/11/2017 của Bộ Thông tin và Truyền thông quy định hoạt động giám sát an toàn hệ thống thông tin;
Xét đề nghị của Cục trưởng Cục Tin học và Thống kê tài chính,
QUYẾT ĐỊNH:
Điều 2. Quyết định này có hiệu lực từ ngày ký, thay thế Quyết định số 3317/QĐ-BTC ngày 24/12/2014 của Bộ trưởng Bộ Tài chính ban hành Quy định về việc đảm bảo an toàn thông tin trên môi trường máy tính và mạng máy tính; Quyết định số 627/QĐ-BTC ngày 05/4/2017 về việc sửa đổi, bổ sung một số điều của Quy định về việc đảm bảo an toàn thông tin trên môi trường máy tính và mạng máy tính ban hành kèm theo Quyết định số 3317/QĐ-BTC ngày 24/12/2014.
| - Như Điều 3; | KT. BỘ TRƯỞNG |
AN TOÀN THÔNG TIN MẠNG BỘ TÀI CHÍNH
(Kèm theo Quyết định số 201/QĐ-BTC ngày 12 tháng 02 năm 2018 của Bộ trưởng Bộ Tài chính)
1. Phạm vi điều chỉnh: Quy chế này triển khai áp dụng Luật An toàn thông tin mạng, văn bản quy định, tiêu chuẩn liên quan và các biện pháp nhằm bảo đảm an toàn thông tin và các hệ thống thông tin của Bộ Tài chính.
a) Cơ quan hành chính, đơn vị sự nghiệp, doanh nghiệp thuộc Bộ Tài chính (gọi chung là các đơn vị thuộc Bộ); Cán bộ thuộc các đơn vị thuộc Bộ (gọi tắt là người dùng).
c) Cơ quan, tổ chức, cá nhân cung cấp dịch vụ công nghệ thông tin và an toàn thông tin mạng cho các đơn vị thuộc Bộ Tài chính.
1. “An toàn thông tin mạng”: Sự bảo vệ thông tin số và hệ thống thông tin khỏi bị truy nhập, sử dụng, tiết lộ, gián đoạn, sửa đổi hoặc phá hoại trái phép nhằm bảo đảm tính nguyên vẹn, tính bảo mật và tính khả dụng của thông tin.
3. “Mạng nội bộ”: Mạng máy tính trong phạm vi trụ sở của một đơn vị thuộc Bộ.
5. “Phát hiện, ngăn chặn tấn công có chủ đích”: Phát hiện, ngăn chặn loại hình tấn công được thiết kế nhằm đột nhập vào một hệ thống thông tin cụ thể.
7. “Phòng chống xâm nhập”: phát hiện, ngăn chặn các hoạt động vào, ra trên hệ thống thông tin được bảo vệ có dấu hiệu gây hại hoặc vi phạm chính sách an toàn mạng.
9. “Thiết bị HSM”: Thiết bị lưu khóa bí mật và ký số chuyên dụng dùng cho cơ quan, tổ chức.
11. “Truy cập Internet”: Việc tiếp cận, khai thác, sử dụng thông tin, tài liệu, ứng dụng, dịch vụ trên Internet.
13. “Tường lửa ứng dụng web”: Hệ thống ngăn chặn các tấn công nhằm vào các điểm yếu của lớp ứng dụng web.
15. “Sở Giao dịch Chứng khoán”: Sở Giao dịch Chứng khoán Hà Nội, Sở Giao dịch Chứng khoán Thành phố Hồ Chí Minh.
17. “Xác thực đa yếu tố”: Việc kiểm tra đối tượng truy nhập hệ thống thông tin sử dụng thêm ít nhất 1 yếu tố ngoài tên truy nhập và mật khẩu.
1. Cán bộ, công chức, viên chức, nhân viên, các đơn vị thuộc Bộ có trách nhiệm bảo đảm an toàn thông tin và hệ thống thông tin trong phạm vi xử lý công việc của mình theo quy định của Nhà nước, Bộ Tài chính và hướng dẫn của cơ quan, đơn vị có thẩm quyền trong lĩnh vực bảo đảm an toàn thông tin mạng.
3. Thông tin mật, thông tin thuộc Danh mục bí mật nhà nước ngành Tài chính phải được bảo vệ theo quy định của Nhà nước, quy định của Bộ Tài chính về công tác bảo vệ bí mật nhà nước và các nội dung tương ứng trong Quy chế này.
1. Các hành vi bị nghiêm cấm quy định tại Điều 7 Luật An toàn thông tin mạng.
3. Tự ý thay đổi, gỡ bỏ biện pháp an toàn thông tin cài đặt trên thiết bị công nghệ thông tin phục vụ công việc; tự ý thay thế, lắp mới, tráo đổi thành phần của máy tính phục vụ công việc.
BẢO ĐẢM AN TOÀN HỆ THỐNG THÔNG TIN
1. Chủ quản hệ thống thông tin:
Bộ Tài chính ủy quyền cho các đơn vị thuộc Bộ quản lý trực tiếp các hệ thống do Bộ làm chủ quản thông qua một trong các văn bản sau: Quyết định phê duyệt dự án, trong đó giao đơn vị làm chủ đầu tư dự án; Thông tư của Bộ Tài chính hoặc Quyết định của Bộ trưởng Bộ Tài chính có nội dung giao đơn vị làm nhiệm vụ quản lý hệ thống; Văn bản ủy quyền theo quy định tại khoản 3 Điều 5 Thông tư số 03/2017/TT-BTTTT.
c) Chủ quản hệ thống thông tin (hoặc đơn vị được ủy quyền quản lý trực tiếp hệ thống thông tin) thực hiện trách nhiệm theo quy định tại Điều 20 Nghị định 85/2016/NĐ-CP.
a) Cục Tin học và Thống kê tài chính là đơn vị vận hành hệ thống thông tin đối với hệ thống do Cục Tin học và Thống kê tài chính làm chủ quản hoặc được Bộ Tài chính ủy quyền quản lý trực tiếp, các hệ thống do các Cục, Vụ thuộc Bộ làm chủ quản.
c) Bộ phận chuyên trách về công nghệ thông tin thuộc doanh nghiệp (phòng Công nghệ thông tin hoặc đơn vị, bộ phận có chức năng tương đương) là đơn vị vận hành hệ thống thông tin do doanh nghiệp làm chủ quản hoặc được Bộ Tài chính ủy quyền quản lý trực tiếp.
khoản 2, 3, 4, 5 Điều 22 Nghị định 85/2016/NĐ-CP.
a) Đơn vị vận hành hệ thống thông tin quy định tại khoản 2 điều này đồng thời đóng vai trò đơn vị chuyên trách về an toàn thông tin trong phạm vi tương ứng.
c) Đơn vị chuyên trách về an toàn thông tin thực hiện trách nhiệm theo quy định tại khoản 1 Điều 21 Nghị định 85/2016/NĐ-CP.
1. Đối với hệ thống đề xuất cấp độ từ 1 đến 3
- Đối với hệ thống phải lập dự án, chủ đầu tư chỉ đạo đơn vị lập dự án đề xuất cấp độ.
- Đối với hệ thống đang trong giai đoạn triển khai, chủ quản hệ thống thông tin chỉ đạo đơn vị chủ trì triển khai hệ thống đề xuất cấp độ.
b) Thẩm định, phê duyệt cấp độ:
- Đối với hệ thống thông tin được đề xuất là cấp độ 3: Đơn vị chuyên trách về an toàn thông tin của chủ quản hệ thống thông tin thực hiện thẩm định hồ sơ đề xuất cấp độ; Chủ quản hệ thống thông tin phê duyệt hồ sơ đề xuất cấp độ.
a) Đề xuất cấp độ (lập hồ sơ đề xuất cấp độ):
- Bộ Tài chính gửi Bộ Thông tin và Truyền thông thẩm định hồ sơ đề xuất cấp độ.
- Bộ Thông tin và Truyền thông chủ trì, phối hợp với Bộ Quốc phòng, Bộ Công an và các Bộ, ngành liên quan thẩm định hồ sơ đề xuất cấp độ.
3. Cá nhân tham gia lập hồ sơ đề xuất cấp độ không được tham gia thẩm định, phê duyệt cấp độ.
1. Cấp độ 1, 2, 3, 4 của hệ thống thông tin được đề xuất theo điểm a, b, c, d khoản 2 Điều 21 Luật An toàn thông tin mạng và Điều 7, 8, 9, 10 Nghị định 85/2016/NĐ-CP.
a) Xây dựng tiêu chí cụ thể xác định hệ thống thông tin quan trọng quốc gia thuộc lĩnh vực tài chính theo quy định tại điểm đ khoản 2 Điều 21 Luật An toàn thông tin mạng, Điều 11 Nghị định 85/2016/NĐ-CP và khoản 1 Điều 3 Quyết định số 632/QĐ-TTg; trình Bộ lấy ý kiến Bộ Thông tin và Truyền thông, Bộ Công an, Bộ Quốc phòng; hoàn thiện trình Bộ phê duyệt.
c) Định kỳ hàng năm rà soát, đánh giá, xác định hệ thống thông tin quan trọng quốc gia thuộc lĩnh vực tài chính; đề xuất, sửa đổi bổ sung Danh mục hệ thống thông tin quan trọng quốc gia thuộc lĩnh vực tài chính trước ngày 30 tháng 11 hàng năm.
1. Nội dung phương án bảo đảm an toàn hệ thống thông tin bao gồm:
- Quản lý an toàn thông tin mạng: Chính sách chung; tổ chức, nhân sự; quản lý thiết kế, xây dựng; quản lý vận hành; kiểm tra, đánh giá và quản lý rủi ro.
b) Các nội dung phải tuân thủ Chính sách an toàn thông tin mạng Bộ Tài chính (Phụ lục 1 của Quy chế này).
2. Yêu cầu đối với phương án bảo đảm an toàn hệ thống thông tin:
Điều 9 Thông tư 03/2017/TT-BTTTT, tiêu chuẩn Việt Nam TCVN 11930:2017 - Yêu cầu cơ bản về an toàn hệ thống thông tin theo cấp độ. Các nội dung này nếu đáp ứng tiêu chuẩn TCVN 11930:2017 thì được chấp nhận đáp ứng quy định tại Thông tư 03/2017/TT-BTTTT đối với cấp độ tương ứng.
3. Đối với các hệ thống thông tin dùng chung hệ thống mạng và các giải pháp bảo vệ (các hệ thống cấp độ 1, 2, 3), phương án bảo đảm an toàn thông tin gồm 2 phần:
Trong đó, phương án quản lý an toàn thông tin mạng; an toàn hạ tầng mạng; an toàn vật lý Trung tâm dữ liệu/phòng máy chủ phải đáp ứng yêu cầu tương ứng với cấp độ cao nhất trong số các cấp độ được xác định cho các hệ thống thông tin do đơn vị quản lý và tối thiểu đáp ứng yêu cầu:
- Cấp độ 2 đối với Cục Thuế, Cục Hải quan, Kho bạc Nhà nước tỉnh/thành phố trực thuộc Trung ương.
b) Phần áp dụng cho từng hệ thống thông tin cụ thể: an toàn máy chủ, an toàn ứng dụng, an toàn cơ sở dữ liệu, an toàn tài khoản công nghệ thông tin và các nội dung liên quan khác.
Điều 9. Quy trình xác định cấp độ hệ thống đề xuất cấp độ 1, 2, 3
2. Nội dung đề xuất cấp độ hệ thống thông tin:
khoản 2 Điều 6 Nghị định 85/2016/NĐ-CP và Điều 4 Thông tư 03/2017/TT-BTTTT.
c) Xác định loại thông tin được xử lý thông qua hệ thống thông tin theo khoản 1 Điều 6 Nghị định 85/2016/NĐ-CP.
đ) Thuyết minh phương án bảo đảm an toàn thông tin theo cấp độ tương ứng, gồm các phần sau:
- Thuyết minh phương án bảo đảm an toàn thông tin áp dụng riêng cho hệ thống thông tin được đề xuất cấp độ.
a) Nội dung đề xuất cấp độ được lồng ghép (bổ sung chương, mục) vào thiết kế sơ bộ của báo cáo nghiên cứu khả thi, dự án khả thi ứng dụng công nghệ thông tin hoặc báo cáo đầu tư của dự án.
- Việc thẩm định đề xuất cấp độ được thực hiện đồng thời với quá trình thẩm định thiết kế sơ bộ.
4. Đối với hệ thống thông tin đang trong giai đoạn triển khai chưa xác định cấp độ
b) Thẩm định:
- Đơn vị thẩm định đề xuất cấp độ gửi kết quả thẩm định cho đơn vị thẩm định thiết kế thi công để tổng hợp, báo cáo cấp có thẩm quyền phê duyệt thiết kế thi công.
a) Hồ sơ đề xuất cấp độ cho một hệ thống thông tin theo mẫu tại Phụ lục 3. Hồ sơ đề xuất cấp độ cho nhiều hệ thống thông tin theo mẫu tại Phụ lục 4.
6. Tổ chức xác định cấp độ trong nội bộ đơn vị
b) Bộ phận chuyên trách về an toàn thông tin chịu trách nhiệm quản lý toàn bộ các hồ sơ đề xuất cấp độ an toàn thông tin đã được phê duyệt.
1. Hồ sơ đề xuất cấp độ đối với hệ thống đề xuất cấp độ 4, 5 thực hiện theo quy định tại Điều 15 Nghị định 85/2016/NĐ-CP; Điều 7 và điểm b khoản 4 Điều 8 Thông tư 03/2017/TT-BTTTT và hướng dẫn bổ sung của Bộ Thông tin và Truyền thông (nếu có).
Điều 11. Điều chỉnh, bổ sung, thay mới hồ sơ đề xuất cấp độ
Điều 12. Triển khai phương án bảo đảm an toàn hệ thống thông tin
2. Bộ phận chuyên trách về an toàn thông tin thuộc đơn vị chịu trách nhiệm giám sát việc triển khai các phương án bảo đảm an toàn thông tin đã được phê duyệt (trên cơ sở lập hồ sơ theo dõi từng hệ thống thông tin theo mẫu tham khảo tại Phụ lục 5 của Quy chế).
GIÁM SÁT, CẢNH BÁO AN TOÀN THÔNG TIN MẠNG
1. Đối tượng giám sát bắt buộc: Hệ thống thông tin từ cấp độ 3 trở lên.
3. Nội dung, phương thức, hệ thống kỹ thuật phục vụ công tác giám sát: Thực hiện theo quy định tại Điều 5 Thông tư số 31/2017/TT-BTTTT.
1. Đơn vị chuyên trách về an toàn thông tin cử 01 lãnh đạo đơn vị chuyên trách an toàn thông tin và 01 cán bộ thuộc bộ phận chuyên trách về an toàn thông tin làm đầu mối tiếp nhận cảnh báo an toàn thông tin từ Cục Tin học và Thống kê tài chính, các cơ quan, tổ chức có chức năng cảnh báo an toàn thông tin mạng.
2. Đơn vị chuyên trách về an toàn thông tin có trách nhiệm theo dõi, nắm bắt thông tin trên phương tiện thông tin đại chúng và mạng Internet về các sự kiện mất an toàn thông tin có thể tác động tới đơn vị; Chủ động kiểm tra, rà soát trong nội bộ đơn vị theo các văn bản cảnh báo, hướng dẫn của Bộ Công an, Bộ Thông tin và Truyền thông, các cơ quan chức năng và các tổ chức về an toàn thông tin (gửi trực tiếp cho đơn vị hoặc do Văn phòng Bộ, Cục Tin học và Thống kê tài chính sao gửi chủ quản hệ thống thông tin); Thiết lập kênh trao đổi thông tin với các đối tác cung cấp thiết bị, phần mềm, giải pháp an toàn thông tin của đơn vị để nắm bắt kịp thời vấn đề, sự cố có khả năng tác động tới hệ thống thông tin của đơn vị.
ỨNG CỨU SỰ CỐ AN TOÀN THÔNG TIN MẠNG
1. Sự cố an toàn thông tin mạng bao gồm:
b) Hỏng hóc phần cứng, lỗi phần mềm của hệ thống thông tin làm mất tính sẵn sàng của hệ thống thông tin.
d) Hỏng hóc, lỗi của hệ thống mạng làm mất khả năng truy cập tới hệ thống thông tin của các đối tượng sử dụng hệ thống.
e) Sự cố liên quan đến các thảm họa tự nhiên như bão, lụt, động đất, hỏa hoạn.
Điều 16. Phân định vai trò theo quy định của pháp luật về ứng cứu sự cố an toàn thông tin mạng
khoản 2 Điều 5 Quyết định số 05/2017/QĐ-TTg.
a) Cục Tin học và Thống kê tài chính đảm nhiệm vai trò Đơn vị chuyên trách về ứng cứu sự cố an toàn thông tin mạng Bộ Tài chính, chịu trách nhiệm quản lý (hướng dẫn, tổng hợp, giám sát, kiểm tra) công tác ứng cứu sự cố an toàn thông tin mạng toàn ngành Tài chính và trực tiếp triển khai công tác ứng cứu sự cố các hệ thống thông tin tại cơ quan Bộ Tài chính, các hệ thống thông tin dùng chung toàn ngành do Cục quản lý.
c) Đơn vị chuyên trách về ứng cứu sự cố an toàn thông tin mạng thực hiện trách nhiệm quy định tại khoản 2 Điều 6 Quyết định số 05/2017/QĐ-TTg.
a) Các đơn vị chuyên trách về ứng cứu sự cố quy định tại khoản 2 điều này thành lập Đội ứng cứu sự cố thuộc đơn vị.
- Đội trưởng: Lãnh đạo đơn vị chuyên trách về ứng cứu sự cố an toàn thông tin mạng.
- Thành viên: cán bộ thuộc các phòng/trung tâm/bộ phận làm công tác quản lý an toàn an ninh thông tin; quản trị, vận hành hệ thống; quản lý phát triển ứng dụng; và các bộ phận liên quan khác tùy theo đặc thù của từng đơn vị.
Điều 17. Tham gia mạng lưới ứng cứu sự cố an toàn thông tin mạng quốc gia
điểm a, đ khoản 1 Điều 7 Quyết định số 05/2017/QĐ-TTg: Cục Tin học và Thống kê tài chính; các Cục Công nghệ thông tin thuộc Kho bạc Nhà nước, Tổng cục Thuế, Tổng cục Hải quan.
khoản 2 Điều 7 Quyết định số 05/2017/QĐ-TTg đăng ký tham gia mạng lưới ứng cứu sự cố an toàn thông tin mạng quốc gia. Đơn vị được Cơ quan điều phối quốc gia chấp thuận tham gia mạng lưới phải thông báo cho Cục Tin học và Thống kê tài chính.
khoản 4 Điều 7 Quyết định số 05/2017/QĐ-TTg và các quy định đối với thành viên mạng lưới tại Thông tư số 20/2017/TT-BTTTT.
1. Liên minh ứng cứu sự cố: tập hợp toàn bộ các đơn vị tham gia công tác ứng cứu sự cố an toàn thông tin mạng của một đơn vị; bao gồm tất cả các đối tác có liên quan đến việc đảm bảo sự hoạt động bình thường của hệ thống thông tin và hiểu rõ về hệ thống (đối tác xây dựng ứng dụng, cung cấp thiết bị/đường truyền, cung cấp giải pháp/dịch vụ an toàn thông tin...); có thể có sự tham gia của các đơn vị chuyên trách về ứng cứu sự cố an toàn thông tin mạng quốc gia (VNCERT, Trung tâm Internet Việt Nam, Cục Cảnh sát phòng, chống tội phạm công nghệ cao...).
3. Vai trò của các bên tham gia Liên minh ứng cứu sự cố
b) Các đơn vị nghiệp vụ tham gia trong việc xây dựng kịch bản xử lý nghiệp vụ trong trường hợp hệ thống thông tin xảy ra sự cố nghiêm trọng.
Điều 19. Kế hoạch ứng phó sự cố bảo đảm an toàn thông tin mạng
2. Các kế hoạch ứng phó sự cố sau khi được phê duyệt phải gửi Cục Tin học và Thống kê tài chính tổng hợp thành kế hoạch chung toàn ngành. Cục Tin học và Thống kê tài chính có trách nhiệm xây dựng Kế hoạch ứng phó sự cố chung toàn ngành, trình Lãnh đạo Bộ Tài chính phê duyệt.
Điều 20. Quy trình ứng cứu sự cố an toàn thông tin mạng
a) Đối tượng áp dụng quy trình: Đơn vị quản lý trực tiếp hệ thống thông tin cấp độ 4, 5.
Điều 14 Quyết định 05/2017/QĐ-TTg.
2. Quy trình ứng cứu sự cố không nghiêm trọng
b) Nội dung quy trình: theo quy định tại Điều 11 Thông tư 20/2017/TT-BTTTT.
Điều 21. Thông báo, báo cáo sự cố an toàn thông tin mạng
điểm a khoản 1 Điều 11 Quyết định 05/2017/QĐ-TTg và Điều 9 Thông tư 20/2017/TT-BTTT, đồng thời báo cáo Cục Tin học và Thống kê tài chính để Cục tổng hợp, báo cáo Ban Chỉ đạo ứng cứu sự cố an toàn thông tin mạng Bộ Tài chính.
Điều 22. Diễn tập ứng cứu sự cố
b) Cục Tin học và Thống kê tài chính chủ trì, phối hợp với các đơn vị thuộc Bộ tham gia các cuộc diễn tập quốc gia, quốc tế do Cơ quan điều phối quốc gia, Bộ Thông tin và Truyền thông tổ chức và tổ chức diễn tập ứng cứu sự cố trong phạm vi Bộ Tài chính theo tần suất quy định tại điểm b Nhiệm vụ 4 mục II Điều 1 Quyết định số 1622/QĐ-TTg ngày 25/10/2017 của Thủ tướng Chính phủ.
ĐÀO TẠO, BỒI DƯỠNG NGHIỆP VỤ, TUYÊN TRUYỀN, PHỔ BIẾN, NÂNG CAO NHẬN THỨC VỀ AN TOÀN THÔNG TIN MẠNG
1. Người sử dụng máy tính (cán bộ nghiệp vụ, hành chính tại các đơn vị thuộc Bộ) được đào tạo kiến thức cơ bản về an toàn thông tin mạng, hướng dẫn sử dụng các ứng dụng an toàn.
3. Cán bộ công nghệ thông tin.
Điều 24. Trách nhiệm tổ chức đào tạo, bồi dưỡng về an toàn thông tin mạng
2. Các Tổng cục thuộc Bộ tổ chức đào tạo, bồi dưỡng nghiệp vụ về an toàn thông tin cho cán bộ công nghệ thông tin, cán bộ chuyên trách an toàn thông tin mạng các đơn vị thuộc Tổng cục; đào tạo cơ bản về an toàn thông tin cho cán bộ quản lý, người sử dụng máy tính thuộc đơn vị.
BÁO CÁO, CHIA SẺ THÔNG TIN VỀ AN TOÀN THÔNG TIN MẠNG
1. Báo cáo định kỳ:
b) Báo cáo hoạt động giám sát của chủ quản hệ thống thông tin định kỳ 6 tháng theo mẫu tại Phụ lục 2 Thông tư 31/2017/TT-BTTTT.
3. Trách nhiệm lập, phê duyệt báo cáo
- Lập báo cáo an toàn thông tin theo quy định tại điểm a khoản 1 điều này, gửi Cục Tin học và Thống kê tài chính trước ngày 15 tháng 11 hàng năm.
- Báo cáo đột xuất theo hướng dẫn của Cục Tin học và Thống kê tài chính.
2. Khuyến khích các đơn vị thuộc Bộ chia sẻ kinh nghiệm triển khai, vận hành hệ thống an toàn thông tin thông qua trao đổi trực tiếp giữa các đơn vị hoặc hội thảo nội bộ Bộ Tài chính.
KIỂM TRA, ĐÁNH GIÁ VỀ AN TOÀN THÔNG TIN MẠNG
1. Nội dung kiểm tra, đánh giá
b) Kiểm tra công tác giám sát an toàn thông tin; ứng cứu sự cố an toàn thông tin.
2. Thẩm quyền kiểm tra
b) Các đơn vị tự kiểm tra trong nội bộ đơn vị.
a) Cục Tin học và Thống kê tài chính kiểm tra định kỳ 02 năm đối với các Tổng cục, doanh nghiệp, đơn vị sự nghiệp thuộc Bộ.
4. Hoạt động kiểm tra về an toàn thông tin do Cục Tin học và Thống kê tài chính thực hiện tại các Tổng cục thuộc chương trình kiểm tra công tác ứng dụng công nghệ thông tin hàng năm, theo kế hoạch được Bộ Tài chính phê duyệt. Hoạt động kiểm tra về an toàn thông tin do các Tổng cục thuộc Bộ thực hiện có thể lồng ghép trong chương trình kiểm tra công tác ứng dụng công nghệ thông tin hàng năm, theo kế hoạch được Lãnh đạo đơn vị phê duyệt.
Hoạt động đánh giá phát hiện mã độc, lỗ hổng, điểm yếu, thử nghiệm xâm nhập hệ thống thực hiện theo quy định tại điểm c khoản 2 Điều 20 Nghị định số 85/2016/NĐ-CP và Điều 13 Thông tư số 03/2017/TT-BTTTT.
1. Nội dung đánh giá: Đánh giá công tác bảo đảm an toàn thông tin mạng theo tiêu chuẩn Việt Nam (TCVN ISO/IEC 27000, TCVN 11930) hoặc tiêu chuẩn quốc tế (COBIT, NIST, ISO/IEC 27000), khung đánh giá an toàn thông tin của các tổ chức an toàn thông tin khác).
điểm c khoản 2 Điều 20 Nghị định 85/2017/NĐ-CP.
TRÁCH NHIỆM ĐỐI VỚI CÔNG TÁC AN TOÀN THÔNG TIN MẠNG
1. Cục Tin học và Thống kê tài chính:
b) Hướng dẫn triển khai Quy chế này và các quy định liên quan của Nhà nước.
d) Xây dựng kế hoạch, báo cáo về an toàn thông tin mạng của Bộ Tài chính.
a) Thực hiện các trách nhiệm được giao tại Quy chế này.
c) Thực hiện các báo cáo theo quy định, gửi Cục Tin học và Thống kê tài chính tổng hợp, báo cáo Bộ.
a) Thực hiện trách nhiệm của chủ quản hệ thống thông tin trong trường hợp có hệ thống thông tin thuộc quản lý trực tiếp của đơn vị theo quy định của Quy chế này.
4. Các đơn vị sự nghiệp, doanh nghiệp thuộc Bộ:
b) Tổ chức triển khai thực hiện Quy chế này tại đơn vị.
5. Các đơn vị vận hành hệ thống thông tin:
b) Chỉ đạo, phân công các bộ phận kỹ thuật thuộc đơn vị (quản lý ứng dụng; quản lý dữ liệu; vận hành hệ thống thông tin; triển khai và hỗ trợ kỹ thuật) triển khai công tác bảo đảm an toàn thông tin trong tất cả các công đoạn liên quan đến hệ thống thông tin.
a) Thực hiện trách nhiệm của đơn vị chuyên trách về an toàn thông tin theo quy định tại Quy chế này và các nhiệm vụ do chủ quản hệ thống thông tin phân công.
7. Cơ quan, tổ chức, cá nhân ngoài ngành Tài chính có liên quan: Tuân thủ Quy chế này, quy định công tác bảo vệ bí mật nhà nước của ngành Tài chính, các cam kết, thỏa thuận với các đơn vị thuộc Bộ Tài chính về đảm bảo an toàn thông tin khi cung cấp dịch vụ công nghệ thông tin và thực hiện các hoạt động trao đổi thông tin với các đơn vị thuộc Bộ. Trường hợp tham gia sử dụng ứng dụng của ngành Tài chính, phải tuân thủ các yêu cầu, hướng dẫn, quy trình đảm bảo an toàn thông tin cụ thể của ứng dụng.
1. Thủ trưởng đơn vị thuộc đối tượng áp dụng của Quy chế này có trách nhiệm: phổ biến tới từng cán bộ, công chức, viên chức, nhân viên của đơn vị; thường xuyên kiểm tra việc thực hiện Quy chế này tại đơn vị; chịu trách nhiệm trước pháp luật và Lãnh đạo Bộ Tài chính về các vi phạm, thất thoát thông tin, dữ liệu mật thuộc phạm vi quản lý của đơn vị do không tổ chức, chỉ đạo, kiểm tra cán bộ của đơn vị thực hiện đúng quy định.
3. Tập thể, cá nhân vi phạm Quy chế bảo đảm an toàn thông tin mạng Bộ Tài chính làm ảnh hưởng đến việc thực hiện nhiệm vụ chính trị của Bộ Tài chính hoặc gây phương hại đến an ninh quốc gia thì tùy theo tính chất, mức độ của hành vi vi phạm sẽ bị xử lý hành chính, xử lý kỷ luật hoặc truy cứu trách nhiệm hình sự. Nếu gây thiệt hại về tài sản thì phải bồi thường theo quy định của pháp luật.
1. Cục Tin học và Thống kê tài chính, các Tổng cục, đơn vị sự nghiệp, doanh nghiệp thuộc Bộ xây dựng Kế hoạch triển khai Quy chế theo mẫu tại Phụ lục 6, đảm bảo đến năm 2020 tất cả các hệ thống thông tin thuộc quản lý của đơn vị được phê duyệt hồ sơ đề xuất cấp độ, triển khai đầy đủ hoạt động giám sát an toàn thông tin, ứng cứu sự cố an toàn thông tin và các hoạt động khác theo quy định tại Quy chế này; gửi Cục Tin học và Thống kê tài chính Kế hoạch triển khai Quy chế trong vòng 45 ngày kể từ ngày Quy chế này có hiệu lực.
3. Các đơn vị rà soát kế hoạch triển khai Quy chế theo định kỳ hàng năm, gửi kế hoạch điều chỉnh (nếu có) cho Cục Tin học và Thống kê tài chính kèm theo Báo cáo an toàn thông tin định kỳ hàng năm.
Hàng năm, Cục Tin học và Thống kê tài chính tổ chức rà soát, kiểm tra tính phù hợp của Quy chế này với các quy định của Nhà nước về bảo đảm an toàn thông tin mạng và các quy định, tiêu chuẩn liên quan, kiểm tra tính đáp ứng của Quy chế này (bao gồm Chính sách an toàn thông tin mạng Bộ Tài chính) với yêu cầu thực tế của Bộ Tài chính; báo cáo Bộ về việc cập nhật, bổ sung Quy chế trong trường hợp cần thiết./.
Phụ lục 1. Chính sách an toàn thông tin mạng Bộ Tài chính
1.1. Mục đích kết nối, truy cập Internet:
- Cung cấp thông tin; cung cấp dịch vụ công trực tuyến, các dịch vụ trong phạm vi quy định của pháp luật.
- Cung cấp cổng truy cập ứng dụng nội bộ cho cán bộ từ Internet.
b) Cán bộ, công chức, viên chức các đơn vị thuộc Bộ Tài chính được truy cập Internet tại cơ quan cho các mục đích: Cập nhật thông tin tình hình kinh tế, chính trị, xã hội của Việt Nam và thế giới; Tra cứu văn bản quy phạm pháp luật và các tài liệu, thông tin tham khảo phục vụ công việc; Sử dụng các dịch vụ hành chính công; Giao dịch với các cơ quan, tổ chức liên quan tới công việc được giao; Nghiên cứu, học tập nâng cao trình độ.
a) Hệ thống thông tin khi kết nối Internet phải thông qua kiểm soát của tường lửa và hệ thống bảo vệ kết nối truy cập Internet.
1.3. Không kết nối Internet cho các trường hợp sau:
b) Máy tính xử lý thông tin trên hệ thống thông tin cấp độ 4 trở lên;
d) Toàn bộ máy chủ và thiết bị công nghệ thông tin không phải máy tính ngoại trừ các hệ thống bắt buộc phải có giao tiếp với Internet (các hệ thống phục vụ truy cập Internet; cung cấp giao diện ra Internet của trang tin điện tử, dịch vụ công, thư điện tử; phục vụ cập nhật bản vá hệ điều hành, mẫu mã độc, mẫu điểm yếu, mẫu tấn công).
a) Có công văn từ Bộ Tài chính yêu cầu thu hẹp phạm vi kết nối Internet hoặc ngắt kết nối Internet (áp dụng trong các trường hợp khẩn cấp).
1.5. Các biện pháp kỹ thuật bảo đảm an toàn kết nối, truy cập Internet:
b) Đối với truy cập Internet từ máy tính làm việc của cán bộ tại các đơn vị cấp Trung ương, áp dụng một hoặc một số biện pháp nâng cao sau theo năng lực đầu tư, vận hành hệ thống kỹ thuật của đơn vị: Trang bị proxy, hệ thống lọc trang web theo phân loại và ngăn chặn truy cập các trang web nhiễm mã độc; Trang bị hệ thống phát hiện, ngăn chặn tấn công có chủ đích; Cách ly máy tính làm việc và mạng Internet bằng công nghệ VDI hoặc Remote Desktop.
d) Đối với các trang tin điện tử, dịch vụ hành chính công và các ứng dụng phục vụ truy cập từ Internet, áp dụng các biện pháp bảo vệ sau: Phòng chống xâm nhập; Tường lửa ứng dụng web; Đánh giá và khắc phục điểm yếu của hệ thống thông tin; Phòng chống tấn công từ chối dịch vụ.
đ) Mạng riêng hoặc mạng không dây chỉ phục vụ truy cập Internet phải được cách ly với mạng làm việc (từ vùng mạng riêng hoặc mạng không dây này không truy cập được vào vùng mạng làm việc).
2. Bảo đảm an toàn trong hoạt động trao đổi thông tin với các tổ chức, cá nhân ngoài Bộ Tài chính
Vùng mạng của tổ chức, cá nhân bên ngoài được sử dụng để kết nối vào mạng của ngành Tài chính phải được kiểm soát bằng tường lửa; các máy tính trong phân đoạn mạng này phải được cập nhật bản vá hệ điều hành, mẫu phòng diệt mã độc; các tài khoản truy cập hệ thống tối thiểu phải áp dụng mật khẩu phức tạp; chỉ được kết nối Internet trong trường hợp kết nối này phục vụ trực tiếp công việc của các đơn vị thuộc Bộ và đáp ứng quy định về bảo đảm an toàn kết nối Internet tại đơn vị.
2.3. Các đối tác cung cấp dịch vụ công nghệ thông tin (bao gồm thử nghiệm sản phẩm công nghệ thông tin tại hệ thống mạng của đơn vị thuộc Bộ) và nhân viên của đối tác trong trường hợp tiếp xúc với bí mật nhà nước của ngành Tài chính phải ký cam kết bảo vệ bí mật nhà nước trước khi triển khai hợp đồng, thỏa thuận về dịch vụ công nghệ thông tin.
3.1. Tài khoản người dùng:
b) Tài khoản của người dùng không được cấp quyền quản trị trên máy tính nối mạng. Tài khoản quản trị máy tính chỉ được sử dụng trong trường hợp cài đặt phần mềm trên máy tính. Tài khoản quản trị máy tính để bàn phải do bộ phận công nghệ thông tin của đơn vị nắm giữ. Đối với máy tính xách tay, người dùng phải được hướng dẫn sử dụng đúng cách tài khoản quản trị máy tính và có trách nhiệm thực hiện theo đúng hướng dẫn.
- Văn bản quyết định về việc bổ nhiệm chức vụ lãnh đạo, thay đổi vị trí công tác, chuyển công tác, thôi việc, nghỉ hưu phải ghi tên bộ phận chịu trách nhiệm quản lý tài khoản công nghệ thông tin tại phần ghi nơi nhận của văn bản. Trường hợp thay đổi vị trí công tác không sử dụng hình thức văn bản quyết định, đơn vị quản lý người dùng phải thông báo cho bộ phận quản lý tài khoản công nghệ thông tin bằng công văn hoặc theo cách thức quy định trong quy trình quản lý tài khoản công nghệ thông tin áp dụng tại đơn vị.
- Phải có văn bản đề nghị của đơn vị quản lý người dùng trong trường hợp cần duy trì tài khoản của người dùng sau thời điểm người dùng chính thức thay đổi vị trí công tác, chuyển công tác, thôi việc, nghỉ hưu; trong đó nêu rõ lý do, các quyền sử dụng cần duy trì và thời gian duy trì.
3.3. Xác thực tài khoản công nghệ thông tin:
- Có tối thiểu 8 ký tự.
- Không chứa tên tài khoản.
c) Người dùng, người làm công tác quản trị hệ thống có trách nhiệm bảo vệ thông tin tài khoản được cấp, không tiết lộ mật khẩu hoặc đưa cho người khác phương tiện xác thực tài khoản của mình ngoại trừ các trường hợp: cần xử lý công việc khẩn cấp của đơn vị; cần cung cấp, bàn giao cho đơn vị các thông tin, tài liệu do cá nhân quản lý. Chủ tài khoản phải đổi mật khẩu ngay sau khi kết thúc xử lý các việc này.
4. Bảo đảm an toàn máy tính phục vụ công việc
a) Máy tính phục vụ công việc chỉ được cài đặt phần mềm theo danh mục phần mềm do đơn vị quy định và do đơn vị/bộ phận chuyên trách về công nghệ thông tin của đơn vị quản lý hoặc được cung cấp theo các chương trình ứng dụng công nghệ thông tin của Bộ Tài chính và các cơ quan Nhà nước khác có thẩm quyền, được cập nhật bản vá lỗi hệ điều hành về an ninh, cài đặt phần mềm phòng diệt mã độc và cập nhật mẫu mã độc hàng ngày.
4.2. Máy tính do cá nhân tự trang bị phải đáp ứng đầy đủ các điều kiện dưới đây khi kết nối vào hệ thống mạng của ngành Tài chính:
b) Cài đặt phần mềm phòng diệt mã độc và cập nhật mẫu mã độc gần nhất.
d) Được sự kiểm tra và đồng ý của bộ phận quản lý Công nghệ thông tin của đơn vị hoặc đáp ứng yêu cầu của hệ thống kiểm tra tự động trên cơ sở đối chiếu với các quy định tại điểm a, b, c của khoản này.
5.1. Các khu vực sau phải được kiểm soát truy cập vật lý để phòng tránh truy cập trái phép hoặc sai mục đích: Trung tâm dữ liệu; khu vực chứa máy chủ và thiết bị lưu trữ; tủ mạng và đấu nối; thiết bị nguồn điện và dự phòng điện khẩn cấp; phòng vận hành, kiểm soát, quản trị hệ thống. Phải có nội quy hoặc hướng dẫn làm việc trong các khu vực này.
5.3. Máy chủ, thiết bị mạng trung tâm phải được đặt tại Trung tâm dữ liệu hoặc phòng máy chủ.
5.5. Thiết bị xử lý thông tin của đơn vị khi mang đi bảo hành, bảo dưỡng, sửa chữa, phải tháo ổ cứng khỏi thiết bị hoặc xóa thông tin, dữ liệu lưu trữ trên thiết bị (trừ trường hợp mang thiết bị đi khôi phục dữ liệu). Thiết bị lưu trữ không sử dụng tiếp cho công việc của đơn vị (thanh lý, cho, tặng) phải được xóa nội dung bằng phần mềm hoặc bằng thiết bị hủy dữ liệu chuyên dụng hay phá hủy vật lý.
5.7. Người dùng phải thực hiện thao tác khóa máy tính (sử dụng tính năng có sẵn trên máy) khi rời khỏi nơi đặt máy tính; tắt máy tính khi rời khỏi cơ quan.
2. Đối chiếu với Tiêu chuẩn TCVN 11930:2017 cấp độ .... (tương ứng với cấp độ đề xuất tại mục I)
|
3. Đối chiếu với chính sách an toàn thông tin mạng Bộ Tài chính
| ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||