VIỆN KIỂM SÁT NHÂN DÂN | CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM |
Số: 245/QĐ-VKSTC | Hà Nội, ngày 29 tháng 7 năm 2021 |
BAN HÀNH QUY CHẾ BẢO ĐẢM AN TOÀN, AN NINH THÔNG TIN MẠNG CỦA VIỆN KIỂM SÁT NHÂN DÂN
VIỆN TRƯỞNG VIỆN KIỂM SÁT NHÂN DÂN TỐI CAO
Căn cứ Luật Công nghệ thông tin năm 2006 (sửa đổi, bổ sung năm 2017);
Căn cứ Luật An ninh mạng năm 2018;
Căn cứ Chỉ thị số 02/CT-TTg ngày 04/7/2018 của Thủ tướng Chính phủ về công tác bảo vệ bí mật nhà nước trên không gian mạng;
Xét đề nghị của Cục trưởng Cục Thống kê tội phạm và Công nghệ thông tin.
QUYẾT ĐỊNH:
Điều 2. Quyết định này có hiệu lực kể từ ngày ký.
- Các đ/c Phó Viện trưởng VKSNDTC; | VIỆN TRƯỞNG |
BẢO ĐẢM AN TOÀN, AN NINH THÔNG TIN MẠNG CỦA VIỆN KIỂM SÁT NHÂN DÂN
(Ban hành kèm theo Quyết định số 245/QĐ-VKSTC ngày 29/7/2021 của Viện trưởng Viện kiểm sát nhân dân tối cao)
1. Quy chế này quy định nguyên tắc, nội dung bảo đảm và trách nhiệm của các cơ quan, tổ chức, cá nhân về bảo đảm an toàn, an ninh thông tin mạng trong hệ thống Viện kiểm sát nhân dân.
a) Viện kiểm sát nhân dân tối cao, Viện kiểm sát nhân dân cấp dưới;
c) Cơ quan, tổ chức, cá nhân tham gia quản lý, vận hành, cung cấp dịch vụ công nghệ thông tin cho Viện Kiểm sát nhân dân; tổ chức, cá nhân sử dụng hệ thống mạng của Viện kiểm sát nhân dân;
Điều 2. Từ ngữ sử dụng trong Quy chế
Điều 3. Nguyên tắc bảo đảm an toàn, an ninh thông tin mạng
2. Bảo đảm an toàn, an ninh thông tin mạng là yêu cầu bắt buộc, thường xuyên, liên tục, xuyên suốt quá trình thiết kế, xây dựng, vận hành, nâng cấp, hủy bỏ hệ thống thông tin.
Điều 4. Các hành vi bị nghiêm cấm
1. Nghiêm cấm soạn thảo, lưu trữ, sao chụp thông tin bí mật nhà nước trên máy tính hoặc thiết bị khác có tính năng lưu trữ thông tin có kết nối Internet; kết nối vật lý hệ thống mạng nội bộ chứa thông tin bí mật nhà nước với mạng Internet và ngược lại.
3. Nghiêm cấm sử dụng thiết bị nhớ ngoài USB, ổ cứng di động và các thiết bị, phương tiện điện tử có khả năng lưu trữ dữ liệu khác để sao chép dữ liệu giữa các máy tính soạn thảo nội dung bí mật nhà nước với máy tính hoặc thiết bị, phương tiện điện tử có kết nối Internet.
5. Sử dụng hệ thống mạng của Viện kiểm sát nhân dân để thực hiện hành vi bẻ khóa, trộm cắp, sử dụng mật khẩu, khóa mật mã và thông tin của cơ quan, cá nhân.
NỘI DUNG BẢO ĐẢM AN TOÀN, AN NINH THÔNG TIN MẠNG
1. Viện kiểm sát nhân dân tối cao là chủ quản hệ thống thông tin do Viện kiểm sát nhân dân tối cao quyết định đầu tư xây dựng, thiết lập, nâng cấp, mở rộng hệ thống thông tin.
3. Chủ quản hệ thống thông tin có thẩm quyền bảo đảm an toàn, an ninh thông tin mạng theo quy định của pháp luật liên quan và theo quy định của Quy chế này.
1. Cục Thống kê tội phạm và Công nghệ thông tin là đơn vị chuyên trách về an toàn, an ninh thông tin mạng của cơ quan Viện kiểm sát nhân dân tối cao và của Viện kiểm sát nhân dân cấp dưới.
3. Đơn vị chuyên trách về công nghệ thông tin tại Viện kiểm sát nhân dân cấp cao là đơn vị chuyên trách về an toàn, an ninh thông tin mạng của đơn vị mình và các đơn vị trực thuộc.
5. Đơn vị chuyên trách về an toàn, an ninh thông tin mạng có thẩm quyền bảo đảm an toàn, an ninh thông tin mạng theo quy định của pháp luật liên quan và theo quy định của Quy chế này.
1. Các đơn vị có trách nhiệm bảo đảm an toàn, an ninh thông tin mạng của đơn vị mình; căn cứ quy mô, chức năng, điều kiện thực tế của đơn vị để bố trí nhân sự chuyên trách chịu trách nhiệm bảo đảm an toàn, an ninh thông tin mạng cho phù hợp; xác định rõ quyền hạn, trách nhiệm của Thủ trưởng đơn vị, từng bộ phận, cá nhân trong đơn vị đối với công tác bảo đảm an toàn, an ninh thông tin mạng.
Điều 8. Xác định cấp độ và phương án bảo đảm an toàn, an ninh hệ thống thông tin
2. Đơn vị chuyên trách về an toàn, an ninh thông tin mạng có trách nhiệm thực hiện thẩm định hồ sơ đề xuất cấp độ căn cứ trên các nguyên tắc quy định của pháp luật.
a) Phương án bảo đảm an toàn, an ninh hệ thống thông tin mạng phải phù hợp với cấp độ của hệ thống thông tin và đáp ứng yêu cầu quy định của pháp luật, các tiêu chuẩn, quy chuẩn kỹ thuật khác;
Điều 9. Bảo đảm an toàn, an ninh thông tin tại Trung tâm dữ liệu
điện khẩn cấp; vận hành, kiểm soát, quản trị hệ thống.
điện đủ công suất và duy trì thời gian hoạt động của các máy chủ ít nhất 15 phút khi có sự cố mất điện; hệ thống làm mát điều hòa không khí, độ ẩm để bảo đảm môi trường vận hành; hệ thống cảnh báo cháy, hệ thống chữa cháy tự động bằng khí, thiết bị phòng cháy, chữa cháy khẩn cấp; hệ thống cảnh báo hệ thống nguồn điện; hệ thống chống sét lan truyền. Các hệ thống này phải được thiết lập chế độ cảnh báo phù hợp.
4. Đối với phần mềm thương mại tại Trung tâm dữ liệu yêu cầu phải có bản quyền.
1. Hệ thống mạng nội bộ (LAN) phải được thiết kế phân vùng theo chức năng cơ bản, bao gồm: vùng mạng người dùng; vùng mạng kết nối hệ thống ra bên ngoài Internet và các mạng khác; vùng mạng máy chủ công cộng; vùng mạng máy chủ nội bộ; vùng mạng máy chủ cơ sở dữ liệu, vùng mạng máy chủ quản trị. Dữ liệu trao đổi giữa các vùng mạng phải được quản lý, giám sát bởi hệ thống các thiết bị mạng, thiết bị bảo mật.
ìm cách truy cập dưới bất cứ hình thức nào vào các khu vực không được phép truy cập.
Điều 11. Bảo đảm an toàn, an ninh thông tin đối với thiết bị kết nối mạng
2. Trang thiết bị công nghệ thông tin có bộ phận lưu trữ dữ liệu khi mang đi bảo hành, bảo dưỡng, sửa chữa bên ngoài hoặc ngừng sử dụng phải tháo bộ phận lưu trữ khỏi thiết bị hoặc xóa thông tin, dữ liệu lưu trữ trên thiết bị (trừ trường hợp để khôi phục dữ liệu).
được xử lý kịp thời.
1. Cá nhân sử dụng hệ thống thông tin được cấp và sử dụng tài khoản truy cập với định danh duy nhất gắn với cá nhân đó, chỉ truy cập vào các trang/cổng thông tin điện tử, ứng dụng trực tuyến và các thông tin phù hợp với chức năng, trách nhiệm, quyền hạn của mình; có trách nhiệm bảo mật tài khoản truy cập thông tin, không chia sẻ mật khẩu, thông tin cá nhân với người khác.
3. Đơn vị chuyên trách về an toàn, an ninh thông tin mạng khóa quyền truy cập của tài khoản các hệ thống thông tin trong trường hợp tài khoản đó thực hiện các hành vi tấn công hoặc để xảy ra vấn đề mất an toàn, an ninh thông tin mạng.
Điều 13. Bảo đảm an toàn, an ninh thông tin đối với việc xây dựng và sử dụng phần mềm ứng dụng
2. Phần mềm ứng dụng phải đáp ứng các yêu cầu sau: cấu hình phần mềm, ứng dụng để xác thực người sử dụng; giới hạn số lần đăng nhập sai liên tiếp; giới hạn thời gian để chờ đóng phiên kết nối; mã hóa thông tin xác thực trên hệ thống; không được để chế độ đăng nhập tự động.
4. Cá nhân chỉ sử dụng phần mềm do đơn vị chuyên trách về an toàn, an ninh thông tin mạng cài đặt trên máy tính, thiết bị kết nối mạng máy tính được cấp; không được tự ý cài đặt hoặc gỡ bỏ các phần mềm khi chưa có sự đồng ý của đơn vị chuyên trách về an toàn, an ninh thông tin mạng.
ổng giao tiếp cung cấp dịch vụ; đóng các cổng giao tiếp không sử dụng.
đương) khi truy cập, quản trị phần mềm, ứng dụng từ xa trên môi trường mạng; hạn chế truy cập đến mà nguồn của phần mềm ứng dụng và phải đặt mã nguồn trong môi trường an toàn do bộ phận chuyên trách công nghệ thông tin quản lý.
1. Chủ quản hệ thống thông tin phải thiết lập phương án bảo đảm tính bí mật, nguyên vẹn và khả dụng của thông tin, dữ liệu; mã hóa thông tin, dữ liệu khi lưu trữ trên hệ thống/thiết bị lưu trữ dữ liệu di động; sử dụng chữ ký số để xác thực và bảo mật thông tin, dữ liệu.
3. Đơn vị cần bố trí máy tính riêng không kết nối mạng, đặt mật khẩu, mã hóa dữ liệu và các biện pháp bảo mật khác bảo đảm an toàn, an ninh thông tin để soạn thảo, lưu trữ dữ liệu, thông tin và tài liệu quan trọng ở các mức độ mật, tuyệt mật, tối mật.
1. Khi thực hiện nâng cấp, mở rộng, thay thế một phần hệ thống thông tin, chủ quản hệ thống thông tin phải rà soát cấp độ, phương án bảo đảm an toàn của hệ thống thông tin và thực hiện điều chỉnh, bổ sung hoặc thay mới hồ sơ đề xuất cấp độ trong trường hợp cần thiết.
3. Trong quá trình vận hành hệ thống thông tin, chủ quản hệ thống thông tin cần thực hiện đánh giá, phân loại hệ thống thông tin theo cấp độ; triển khai phương án bảo đảm an toàn hệ thống thông tin đáp ứng yêu cầu cơ bản trong tiêu chuẩn, quy chuẩn kỹ thuật về bảo đảm an toàn hệ thống thông tin theo cấp độ; thường xuyên kiểm tra, giám sát an toàn hệ thống thông tin; tuân thủ quy trình vận hành, quy trình xử lý sự cố đã xây dựng; ghi lại và lưu trữ đầy đủ thông tin nhật ký hệ thống để phục vụ quản lý, kiểm soát thông tin.
Điều 16. Giám sát an toàn, an ninh thông tin mạng
2. Đơn vị chuyên trách về an toàn, an ninh thông tin mạng phải thường xuyên kiểm tra, giám sát các hoạt động chia sẻ, gửi, nhận thông tin, dữ liệu trong hoạt động nội bộ của mình; việc chia sẻ, gửi, nhận thông tin trên môi trường mạng cần phải sử dụng mật khẩu để bảo vệ thông tin.
4. Nguyên tắc, yêu cầu, nội dung, phương thức, hệ thống kỹ thuật phục vụ công tác giám sát thực hiện theo quy định của pháp luật về hoạt động giám sát an toàn hệ thống thông tin.
1. Các đơn vị, cá nhân khi phát hiện dấu hiệu tấn công hoặc sự cố an toàn, an ninh thông tin mạng cần nhanh chóng báo cho đơn vị chuyên trách về an toàn, an ninh thông tin mạng.
Điều 18. Kiểm tra, đánh giá, chế độ báo cáo an toàn, an ninh thông tin mạng
a) Kiểm tra việc tuân thủ quy định của pháp luật về bảo đảm an toàn, an ninh thông tin theo cấp độ;
c) Đánh giá phát hiện mã độc, lỗ hổng, điểm yếu, thử nghiệm xâm nhập hệ thống;
2. Hình thức kiểm tra, đánh giá:
b) Kiểm tra, đánh giá đột xuất theo yêu cầu của cấp có thẩm quyền.
a) Đơn vị vận hành hệ thống thông tin hàng năm định kỳ hoặc đột xuất báo cáo công tác thực thi bảo đảm an toàn hệ thống thông tin theo chủ quản hệ thống thông tin hoặc cơ quan quản lý nhà nước chuyên ngành có thẩm quyền.
2. Kinh phí đầu tư cho bảo đảm an toàn, an ninh thông tin mạng sử dụng vốn đầu tư công thực hiện theo quy định của Luật đầu tư công. Đối với dự án đầu tư công để xây dựng mới hoặc mở rộng, nâng cấp hệ thống thông tin, kinh phí đầu tư cho bảo đảm an toàn, an ninh thông tin mạng theo cấp độ được bố trí trong vốn đầu tư của dự án tương ứng.
Quy chế này có hiệu lực thi hành kể từ ngày ký Quyết định ban hành. Các quy định trước đây trái với Quy chế này bị bãi bỏ.
1. Thủ trưởng đơn vị thuộc Viện kiểm sát nhân dân tối cao, Viện trưởng Viện kiểm sát nhân dân và Viện Kiểm sát quân sự các cấp chịu trách nhiệm tổ chức thực hiện Quy chế này.
3. Trong quá trình thực hiện, nếu có khó khăn vướng mắc hoặc phát sinh những vấn đề cần phải sửa đổi, bổ sung thì kịp thời báo cáo Viện kiểm sát nhân dân tối cao qua Cục Thống kê tội phạm và Công nghệ thông tin để tổng hợp, báo cáo Viện trưởng Viện kiểm sát nhân dân tối cao xem xét, quyết định./.
File gốc của Quyết định 245/QĐ-VKSTC năm 2021 về Quy chế bảo đảm an toàn, an ninh thông tin mạng của Viện kiểm sát nhân dân do Viện kiểm sát nhân dân tối cao ban hành đang được cập nhật.
Quyết định 245/QĐ-VKSTC năm 2021 về Quy chế bảo đảm an toàn, an ninh thông tin mạng của Viện kiểm sát nhân dân do Viện kiểm sát nhân dân tối cao ban hành
Tóm tắt
Cơ quan ban hành | Viện kiểm sát nhân dân tối cao |
Số hiệu | 245/QĐ-VKSTC |
Loại văn bản | Quyết định |
Người ký | Lê Minh Trí |
Ngày ban hành | 2021-07-29 |
Ngày hiệu lực | 2021-07-29 |
Lĩnh vực | Công nghệ thông tin |
Tình trạng | Còn hiệu lực |