QUYẾT ĐỊNH

BAN HÀNH QUY CHẾ BẢO ĐẢM AN TOÀN, AN NINH THÔNG TIN MẠNG BỘ TÀI NGUYÊN VÀ MÔI TRƯỜNG

BỘ TRƯỞNG BỘ TÀI NGUYÊN VÀ MÔI TRƯỜNG

Căn cứ Nghị định số 85/2016/NĐ-CP ngày 01 tháng 7 năm 2016 của Chính phủ về bảo đảm an toàn hệ thống thông tin theo cấp độ;

Căn cứ Quyết định số 05/2017/QĐ-TTg ngày 16 tháng 3 năm 2017 của Thủ tướng Chính phủ ban hành Quy định về hệ thống phương án ứng cứu khẩn cấp bảo đảm an toàn thông tin mạng quốc gia;

Căn cứ Quyết định số 1622/QĐ-TTg ngày 25 tháng 10 năm 2017 của Thủ tướng Chính phủ về việc phê duyệt Đề án đẩy mạnh hoạt động của mạng lưới ứng cứu sự cố, tăng cường năng lực cho cán bộ, bộ phận chuyên trách ứng cứu sự cố an toàn thông tin mạng trên toàn quốc đến 2020, định hướng đến 2025;

Nghị định số 36/2017/NĐ-CP ngày 04 tháng 4 năm 2017 của Chính phủ quy định chức năng, nhiệm vụ, quyền hạn và cơ cấu tổ chức của Bộ Tài nguyên và Môi trường;

Nghị định số 85/2016/NĐ-CP ngày 01 tháng 7 năm 2016 của Chính phủ về bảo đảm an toàn hệ thống thông tin theo cấp độ;

Căn cứ Thông tư số 31/2017/TT-BTTTT ngày 15 tháng 11 năm 2017 của Bộ Thông tin và Truyền thông quy định hoạt động giám sát an toàn hệ thống thông tin;

Căn cứ Quyết định số 3313/QĐ-BTNMT ngày 25 tháng 12 năm 2017 của Bộ trưởng Bộ Tài nguyên và Môi trường về ban hành kế hoạch triển khai nhiệm vụ bảo đảm an toàn, an ninh thông tin của Bộ Tài nguyên và Môi trường;

QUYẾT ĐỊNH:

Điều 2. Quyết định này có hiệu lực từ ngày ký.

QUY CHẾ

BẢO ĐẢM AN TOÀN, AN NINH THÔNG TIN MẠNG BỘ TÀI NGUYÊN VÀ MÔI TRƯỜNG
(Kèm theo Quyết định số 3210/QĐ-BTNMT ngày 24 tháng 10 năm 2018 của Bộ trưởng Bộ Tài nguyên và Môi trường)

QUY ĐỊNH CHUNG

1. Phạm vi điều chỉnh: Quy chế này quy định về bảo đảm an toàn, an ninh thông tin mạng trong các hoạt động của Bộ Tài nguyên và Môi trường và các đơn vị trực thuộc Bộ.

a) Các đơn vị trực thuộc Bộ Tài nguyên và Môi trường (sau đây gọi là đơn vị trực thuộc Bộ) và cán bộ, công chức, viên chức và người lao động thuộc các đơn vị trực thuộc Bộ.

c) Cơ quan, tổ chức, cá nhân cung cấp dịch vụ công nghệ thông tin và an toàn thông tin mạng cho các đơn vị trực thuộc Bộ.

Trong Quy chế này, các từ ngữ dưới đây được hiểu như sau:

2. Không gian mạng là mạng lưới kết nối của cơ sở hạ tầng công nghệ thông tin, bao gồm mạng viễn thông, mạng internet, hệ thống máy tính, hệ thống xử lý và điều khiển thông tin, cơ sở dữ liệu, là nơi con người thực hiện các hành vi xã hội không bị giới hạn bởi không gian và thời gian;

4. Trang thông tin điện tử là trang thông tin hoặc tập hợp trang thông tin trên môi trường mạng phục vụ cho việc cung cấp, trao đổi thông tin;

6. Phần mềm độc hại là phần mềm có khả năng gây ra hoạt động không bình thường cho một phần hay toàn bộ hệ thống thông tin hoặc thực hiện sao chép, sửa đổi, xóa bỏ trái phép thông tin lưu trữ trong hệ thống thông tin.

1. Bảo đảm an toàn, an ninh thông tin là yêu cầu bắt buộc, thường xuyên, liên tục, có tính xuyên suốt quá trình liên quan đến thông tin và thiết kế, xây dựng, vận hành, nâng cấp, hủy bỏ hệ thống thông tin. Bảo đảm an toàn, an ninh thông tin tuân thủ các nguyên tắc chung quy định tại Điều 4 Luật An toàn thông tin mạng và Điều 4 Nghị định số 85/2016/NĐ-CP.

3. Cán bộ, công chức, viên chức và người lao động trong các đơn vị trực thuộc Bộ có trách nhiệm bảo đảm an toàn, an ninh thông tin trong phạm vi xử lý công việc của mình theo quy định của Nhà nước và của Bộ Tài nguyên và Môi trường.

5. Thông tin mật, thông tin thuộc Danh mục bí mật nhà nước ngành tài nguyên môi trường phải được bảo vệ theo quy định của Nhà nước, quy định của Bộ Tài nguyên và Môi trường về công tác bảo vệ bí mật nhà nước và các nội dung tương ứng trong Quy chế này.

Điều 4. Các hành vi bị nghiêm cấm

Điều 7 Luật An toàn thông tin mạng.

3. Tạo ra, cài đặt, phát tán phần mềm độc hại.

5. Bẻ khóa, trộm cắp, sử dụng mật khẩu, khóa mật mã và thông tin của cơ quan, cá nhân khác trên môi trường mạng.

Chương II

QUY ĐỊNH BẢO ĐẢM AN TOÀN, AN NINH THÔNG TIN MẠNG

1. Giao, gắn trách nhiệm cho cá nhân hoặc tập thể quản lý, sử dụng trang thiết bị công nghệ thông tin.

3. Trang thiết bị công nghệ thông tin có lưu trữ dữ liệu nhạy cảm khi thay đổi mục đích sử dụng hoặc thanh lý, đơn vị phải thực hiện các biện pháp xóa, tiêu hủy dữ liệu đó đảm bảo không có khả năng phục hồi. Trường hợp không thể tiêu hủy được dữ liệu, đơn vị phải thực hiện tiêu hủy cấu phần lưu trữ dữ liệu trên trang thiết bị công nghệ thông tin đó.

5. Các đơn vị trực thuộc Bộ có trách nhiệm xây dựng quy trình bảo dưỡng, bảo trì và hướng dẫn cách sử dụng, quản lý, vận hành hệ thống hạ tầng kỹ thuật của mình; chỉ định bộ phận chuyên trách về công nghệ thông tin thực hiện quản lý, vận hành và định kỳ kiểm tra, sửa chữa, bảo trì thiết bị (bao gồm thiết bị đang hoạt động và thiết bị dự phòng).

1. Các đơn vị trực thuộc Bộ vị phải xây dựng các yêu cầu, trách nhiệm bảo đảm an toàn, an ninh thông tin đối với từng vị trí công việc. Sau khi tuyển dụng, tiếp nhận nhân sự mới, đơn vị phải có trách nhiệm phổ biến cho nhân sự mới các quy định về bảo đảm an toàn, an ninh thông tin tại đơn vị; đối với các vị trí tiếp xúc, quản lý các thông tin, dữ liệu quan trọng hoặc quản trị các hệ thống thông tin quan trọng, đơn vị phải yêu cầu nhân sự mới cam kết bảo mật thông tin bằng văn bản hoặc cam kết trong hợp đồng làm việc, hợp đồng lao động.

3. Các đơn vị trực thuộc Bộ phải xây dựng quy trình cấp mới, quản lý và thu hồi tài khoản, phân quyền truy cập các hệ thống thông tin và tất cả các tài sản liên quan đến hệ thống thông tin đối với các cá nhân do đơn vị quản lý.

a) Xác định rõ trách nhiệm của cán bộ, nhân viên và các bên liên quan trong quản lý, sử dụng các tài sản công nghệ thông tin được giao.

c) Thay đổi hoặc thu hồi quyền truy cập các hệ thống thông tin.

1. Bảo đảm an toàn thông tin đối với trung tâm dữ liệu/phòng máy chủ

b) Trung tâm dữ liệu/phòng máy chủ là khu vực hạn chế tiếp cận và được lắp đặt hệ thống camera giám sát. Chỉ những cá nhân có quyền, nhiệm vụ theo quy định của thủ trưởng đơn vị mới được phép vào trung tâm dữ liệu/phòng máy chủ. Quá trình vào, ra phòng máy chủ phải được ghi nhận vào nhật ký quản lý trung tâm dữ liệu/phòng máy chủ.

d) Trung tâm dữ liệu/phòng máy chủ phải có hệ thống giám sát nhiệt độ, độ ẩm để đảm bảo môi trường vận hành; hệ thống cảnh báo cháy, hệ thống chữa cháy tự động bằng khí, thiết bị phòng cháy, chữa cháy khẩn cấp; hệ thống cảnh báo hệ thống nguồn điện; hệ thống chống sét lan truyền. Tất cả các cảnh báo này phải được gửi đến các cá nhân có trách nhiệm qua tin nhắn hoặc thư điện tử. Đơn vị phải cử cán bộ thường xuyên giám sát thiết bị, hạ tầng của trung tâm dữ liệu/phòng máy chủ.

a) Cá nhân chỉ cài đặt phần mềm hợp lệ và thuộc danh mục phần mềm được phép sử dụng do cơ quan có thẩm quyền ban hành trên máy tính được đơn vị cấp cho mình; không được tự ý cài đặt hoặc gỡ bỏ các phần mềm khi chưa có sự đồng ý của bộ phận chuyên trách về công nghệ thông tin; thường xuyên cập nhật phần mềm và hệ điều hành.

c) Chỉ truy nhập vào các trang/cổng thông tin điện tử, ứng dụng trực tuyến tin cậy và các thông tin phù hợp với chức năng, trách nhiệm, quyền hạn của mình; có trách nhiệm bảo mật tài khoản truy nhập thông tin, không chia sẻ mật khẩu, thông tin cá nhân với người khác.

a) Hệ thống mạng nội bộ (LAN) phải được thiết kế phân vùng theo chức năng cơ bản (theo các chính sách an toàn thông tin riêng), bao gồm: vùng mạng người dùng; vùng mạng kết nối hệ thống ra bên ngoài Internet và các mạng khác; vùng mạng máy chủ công cộng; vùng mạng máy chủ nội bộ; vùng mạng máy chủ quản trị. Dữ liệu trao đổi giữa các vùng mạng phải được quản lý, giám sát bởi hệ thống các thiết bị mạng, thiết bị bảo mật.

c) Các đơn vị trực thuộc Bộ phải áp dụng các biện pháp kỹ thuật cần thiết bảo đảm an toàn thông tin trong hoạt động kết nối Internet, tối thiểu đáp ứng các yêu cầu sau: có hệ thống tường lửa và hệ thống bảo vệ truy nhập Internet, đáp ứng nhu cầu kết nối đồng thời, hỗ trợ các công nghệ mạng riêng ảo thông dụng và có phần cứng mã hóa tích hợp để tăng tốc độ mã hóa dữ liệu và có khả năng bảo vệ hệ thống trước các loại tấn công từ chối dịch vụ (DDoS); Lọc bỏ, không cho phép truy nhập các trang tin có nghi ngờ chứa mã độc hoặc các nội dung không phù hợp;

4. Quản lý tài khoản truy cập

b) Trường hợp cá nhân thay đổi vị trí công tác, chuyển công tác, thôi việc hoặc nghỉ hưu, cơ quan, trong vòng không quá 05 ngày làm việc, đơn vị quản lý cá nhân đó phải thông báo cơ quan, đơn vị chủ quản hệ thống thông tin để điều chỉnh, thu hồi, hủy bỏ các quyền sử dụng đối với hệ thống thông tin.

d) Khi có yêu cầu khóa quyền truy cập hệ thống thông tin của tài khoản đang hoạt động, lãnh đạo đơn vị phải yêu cầu bằng văn bản gửi đơn vị chủ quản hệ thống thông tin. Đơn vị vận hành hệ thống thông tin thực hiện việc khóa quyền truy cập của tài khoản khi có chỉ đạo của đơn vị chủ quản hệ thống thông tin. Đơn vị chủ quản hệ thống thông tin có quyền khóa quyền truy cập của tài khoản trong trường hợp tài khoản đó thực hiện các hành vi tấn công hoặc để xảy ra vấn đề mất an toàn, an ninh thông tin.

5. Bảo đảm an toàn thông tin mức ứng dụng

b) Phần mềm, ứng dụng phải đáp ứng các yêu cầu sau: cấu hình phần mềm, ứng dụng để xác thực người sử dụng; giới hạn số lần đăng nhập sai liên tiếp; giới hạn thời gian để chờ đóng phiên kết nối; mã hóa thông tin xác thực trên hệ thống; không khuyến khích việc đăng nhập tự động.

d) Chỉ cho phép sử dụng các giao thức mạng có hỗ trợ chức năng mã hóa thông tin như SSH, SSL, VPN hoặc tương đương khi truy nhập, quản trị phần mềm, ứng dụng từ xa trên môi trường mạng; hạn chế truy cập đến mã nguồn của phần mềm, ứng dụng và phải đặt mã nguồn trong môi trường an toàn do bộ phận chuyên trách công nghệ thông tin quản lý.

e) Phần mềm, ứng dụng cần được kiểm tra phát hiện và khắc phục các điểm yếu về an toàn, an ninh thông tin trước khi đưa vào sử dụng và trong quá trình sử dụng.

6. Bảo đảm an toàn thông tin mức dữ liệu

b) Đơn vị cần triển khai hệ thống/phương tiện lưu trữ độc lập với hệ thống lưu trữ trên các máy chủ dịch vụ để sao lưu dự phòng; phân loại và quản lý thông tin, dữ liệu được lưu trữ theo từng loại/nhóm thông tin được gán nhãn khác nhau; thực hiện sao lưu dự phòng các thông tin, dữ liệu cơ bản sau: tập tin cấu hình hệ thống, ảnh hệ điều hành máy chủ, cơ sở dữ liệu; dữ liệu, thông tin nghiệp vụ.

d) Các đơn vị trực thuộc Bộ phải thường xuyên kiểm tra, giám sát các hoạt động chia sẻ, gửi, nhận thông tin, dữ liệu trong hoạt động nội bộ của mình; khuyến cáo việc chia sẻ, gửi, nhận thông tin trên môi trường mạng cần phải sử dụng mật khẩu để bảo vệ thông tin.

Điều 8. Xác định cấp độ và phương án bảo đảm an toàn hệ thống thông tin

Điều 4, Điều 5 Nghị định 85/2016/NĐ-CP.

a) Bộ Tài nguyên và Môi trường là chủ quản hệ thống thông tin đối với các hệ thống do Bộ quyết định đầu tư hoặc Bộ được giao làm chủ đầu tư nhiệm vụ, dự án xây dựng, thiết lập, nâng cấp, mở rộng hệ thống thông tin.

Khoản 3, Điều 5 Thông tư số 03/2017/TT-BTTTT.

a) Giao Cục Công nghệ thông tin và Dữ liệu tài nguyên môi trường là đơn vị vận hành các hệ thống thông tin, cơ sở dữ liệu dùng chung của Bộ và các hệ thống thông tin do các Vụ thuộc Bộ làm chủ quản.

Điều 6 Thông tư số 03/2017/TT-BTTTT.

a) Cục Công nghệ thông tin và Dữ liệu tài nguyên môi trường là đơn vị chuyên trách về an toàn thông tin của Bộ Tài nguyên và Môi trường.

5. Thẩm quyền xác định cấp độ an toàn hệ thống thông tin

b) Đối với các hệ thống thông tin được đề xuất từ cấp độ 3 trở lên, đơn vị chuyên trách về an toàn thông tin của các đơn vị trực thuộc Bộ cần gửi xin ý kiến chuyên môn của Cục Công nghệ thông tin và Dữ liệu tài nguyên môi trường trước khi trình các cấp có thẩm quyền thẩm định, phê duyệt cấp độ.

Điều 12 Thông tư số 03/2017/TT-BTTTT.

a) Việc xác định, phân loại hệ thống thông tin theo quy định tại Điều 4 Thông tư số 03/2017/TT-BTTTT.

Điều 15 Nghị định 85/2016/NĐ-CP.

Điều 16 Nghị định 85/2016/NĐ-CP.

Điều 13, Điều 14 Nghị định 85/2016/NĐ-CP và Điều 14, Điều 15, Điều 16 Thông tư số 03/2017/TT-BTTTT.

a) Phương án bảo đảm an toàn hệ thống thông tin phải phù hợp với cấp độ của hệ thống thông tin và đáp ứng yêu cầu quy định tại Thông tư số 03/2017/TT-BTTTT, phù hợp với tiêu chuẩn TCVN 11930:2017, các tiêu chuẩn, quy chuẩn kỹ thuật khác và chính sách an toàn thông tin mạng của Bộ Tài nguyên và Môi trường, chính sách an toàn thông tin mạng của các đơn vị trực thuộc Bộ (nếu có).

c) Đơn vị/bộ phận chuyên trách về an toàn thông tin thuộc đơn vị chịu trách nhiệm giám sát việc triển khai các phương án bảo đảm an toàn thông tin đã được phê duyệt.

1. Khi thực hiện nâng cấp, mở rộng, thay thế một phần hệ thống thông tin, phải rà soát cấp độ, phương án bảo đảm an toàn của hệ thống thông tin và thực hiện điều chỉnh, bổ sung hoặc thay mới hồ sơ đề xuất cấp độ trong trường hợp cần thiết.

3. Trong quá trình vận hành hệ thống thông tin, đơn vị chủ quản hệ thống thông tin cần thực hiện đánh giá, phân loại hệ thống thông tin theo cấp độ; triển khai phương án bảo đảm an toàn hệ thống thông tin đáp ứng yêu cầu cơ bản trong tiêu chuẩn, quy chuẩn kỹ thuật về bảo đảm an toàn hệ thống thông tin theo cấp độ; thường xuyên kiểm tra, giám sát an toàn hệ thống thông tin; tuân thủ quy trình vận hành, quy trình xử lý sự cố đã xây dựng; ghi lại và lưu trữ đầy đủ thông tin nhật ký hệ thống để phục vụ quản lý, kiểm soát thông tin.

Điều 10. Giám sát an toàn thông tin mạng

2. Các hệ thống thông tin bắt buộc phải có chức năng ghi và lưu trữ nhật ký về hoạt động của hệ thống và người sử dụng hệ thống thông tin. Thực hiện việc bảo vệ các chức năng ghi nhật ký và thông tin nhật ký, chống giả mạo, sửa đổi, phá hủy và truy cập trái phép.

4. Đơn vị chuyên trách về an toàn thông tin của các đơn vị trực thuộc Bộ cử 01 lãnh đạo đơn vị và 01 cán bộ (hoặc 01 đơn vị trực thuộc) làm đầu mối giám sát an toàn thông tin mạng để tiếp nhận cảnh báo, cung cấp, trao đổi, chia sẻ thông tin với Cục Công nghệ thông tin và Dữ liệu tài nguyên môi trường trong các hoạt động giám sát an toàn thông tin tại đơn vị và tại Bộ Tài nguyên và Môi trường.

1. Chủ quản hệ thống thông tin có thẩm quyền yêu cầu kiểm tra, đánh giá đối với các hệ thống thông tin thuộc thẩm quyền quản lý. Đơn vị chuyên trách về an toàn thông tin của chủ quản hệ thống thông tin có thẩm quyền yêu cầu kiểm tra, đánh giá đối với các hệ thống thông tin do đơn vị này phê duyệt hồ sơ đề xuất cấp độ.

3. Nội dung, hình thức kiểm tra, đánh giá theo quy định tại Điều 10 Thông tư số 03/2017/TT-BTTTT.

Điều 11 Thông tư số 03/2017/TT-BTTTT.

Điều 12. Ứng cứu sự cố an toàn thông tin mạng

a) Ban chỉ đạo ứng dụng và phát triển công nghệ thông tin theo Quyết định số 674/QĐ-BTNMT ngày 31/3/2017 đảm nhiệm chức năng Ban chỉ đạo ứng cứu khẩn cấp sự cố an toàn thông tin mạng của Bộ Tài nguyên và Môi trường. Trách nhiệm và quyền hạn của Ban chỉ đạo ứng cứu khẩn cấp sự cố an toàn thông tin mạng của Bộ Tài nguyên và Môi trường được quy định tại Khoản 2, Điều 5 Quyết định số 05/2017/QĐ-TTg.

khoản 2 Điều 6 Quyết định số 05/2017/QĐ-TTg.

2. Kế hoạch ứng phó sự cố bảo đảm an toàn thông tin mạng

b) Các kế hoạch ứng phó sự cố sau khi được phê duyệt phải gửi Cục Công nghệ thông tin và Dữ liệu tài nguyên môi trường tổng hợp thành kế hoạch chung của Bộ Tài nguyên và Môi trường. Cục Công nghệ thông tin và Dữ liệu tài nguyên môi trường có trách nhiệm xây dựng kế hoạch ứng phó sự cố của Bộ Tài nguyên và Môi trường, trình Lãnh đạo Bộ phê duyệt.

3. Quy trình ứng cứu sự cố an toàn thông tin mạng

b) Khi xảy ra sự cố an toàn thông tin mạng thuộc loại hình tấn công mạng, đơn vị vận hành hệ thống thông tin thực hiện báo cáo theo quy định tại Điểm a Khoản 1 Điều 11 Quyết định 05/2017/QĐ-TTg và Điều 9 Thông tư 20/2017/TT-BTTT, đồng thời báo cáo Cục Công nghệ thông tin và Dữ liệu tài nguyên môi trường để tổng hợp, báo cáo Ban Chỉ đạo ứng cứu khẩn cấp sự cố an toàn thông tin mạng Bộ Tài nguyên và Môi trường. Trách nhiệm của các đơn vị khi phát hiện, tiếp nhận xác minh, xử lý ban đầu và phân loại sự cố an toàn thông tin mạng theo quy định tại Điều 12 Quyết định 05/2017/QĐ-TTg và Điều 10 Thông tư số 20/2017/TT-BTTTT.

Điều 13, Điều 14 Quyết định 05/2017/QĐ-TTg và Điều 11 Thông tư số 20/2017/TT-BTTTT.

a) Chủ quản hệ thống thông tin tổ chức diễn tập ứng cứu sự cố theo kế hoạch ứng phó sự cố được phê duyệt.

điểm b Nhiệm vụ 4 mục II Điều 1 Quyết định số 1622/QĐ-TTg ngày 25/10/2017 của Thủ tướng Chính phủ.

1. Các đơn vị trực thuộc Bộ xác định nhu cầu về đào tạo nguồn nhân lực bảo đảm an toàn thông tin tại đơn vị mình gửi Cục Công nghệ thông tin và Dữ liệu tài nguyên môi trường. Cục Công nghệ thông tin và Dữ liệu tài nguyên môi trường tổng hợp, xây dựng trình Bộ phê duyệt kế hoạch dài hạn, kế hoạch hàng năm về đào tạo, bồi dưỡng nghiệp vụ an toàn, an ninh thông tin cho cán bộ, công chức, viên chức và người lao động của Bộ Tài nguyên và Môi trường và thực hiện tổ chức đào tạo theo kế hoạch đã phê duyệt.

3. Các đơn vị trực thuộc Bộ phải thường xuyên tổ chức các hoạt động tuyên truyền, phổ biến nâng cao nhận thức về bảo đảm an toàn, an ninh thông tin mạng đến toàn thể bộ cán bộ, công chức, viên chức và người lao động tại đơn vị.

Chương III

TRÁCH NHIỆM CỦA CÁC TỔ CHỨC LIÊN QUAN

1. Thực hiện các trách nhiệm được giao tại Quy chế này.

3. Tổ chức triển khai thực hiện Quy chế tại trụ sở cơ quan Bộ Tài nguyên và Môi trường.

5. Bảo đảm an toàn, an ninh thông tin cho các hệ thống thông tin, cơ sở dữ liệu dùng chung của Bộ.

1. Thực hiện các trách nhiệm được giao tại Quy chế này.

3. Thực hiện các báo cáo theo quy định, gửi Cục Công nghệ thông tin và Dữ liệu tài nguyên môi trường tổng hợp, báo cáo Bộ.

5. Thực hiện việc quản lý trang thiết bị công nghệ thông tin và cán bộ, công chức, viên chức, người lao động theo Điều 5 và Điều 6 của Quy chế này.

Điều 16. Trách nhiệm của đơn vị chuyên trách về an toàn thông tin

2. Phối hợp chặt chẽ với các bộ phận kỹ thuật thuộc đơn vị vận hành hệ thống thông tin trong việc bảo đảm an toàn thông tin trong tất cả các công đoạn liên quan đến hệ thống thông tin.

1. Thực hiện trách nhiệm của đơn vị chủ quản hệ thống thông tin theo quy định tại Quy chế này.

Điều 18. Trách nhiệm của đơn vị vận hành hệ thống thông tin

2. Chỉ đạo, phân công các bộ phận kỹ thuật thuộc đơn vị (quản lý ứng dụng; quản lý dữ liệu; vận hành hệ thống thông tin; triển khai và hỗ trợ kỹ thuật) triển khai công tác bảo đảm an toàn thông tin trong tất cả các công đoạn liên quan đến hệ thống thông tin.

1. Thủ trưởng đơn vị thuộc đối tượng áp dụng của Quy chế này có trách nhiệm: phổ biến tới từng cán bộ, công chức, viên chức, người lao động của đơn vị; thường xuyên kiểm tra việc thực hiện Quy chế này tại đơn vị; chịu trách nhiệm trước pháp luật và Lãnh đạo Bộ Tài nguyên và Môi trường về các vi phạm, thất thoát thông tin, dữ liệu mật thuộc phạm vi quản lý của đơn vị do không tổ chức, chỉ đạo, kiểm tra cán bộ của đơn vị thực hiện đúng quy định.

Chương IV

TỔ CHỨC THỰC HIỆN

Kinh phí bảo đảm an toàn, an ninh thông tin mạng được lấy từ nguồn ngân sách nhà nước dự toán hàng năm của Bộ Tài nguyên và Môi trường.

Điều 21. Công tác kiểm tra

2. Giao Cục Công nghệ thông tin và Dữ liệu tài nguyên môi trường kiểm tra và báo cáo Bộ việc thực hiện Quy chế này tại các đơn vị trực thuộc Bộ.

1. Báo cáo định kỳ:

khoản 3 Điều 17 Thông tư 03/2017/TT-BTTTT.

2. Báo cáo đột xuất: Báo cáo về công tác khắc phục mã độc, lỗ hổng, điểm yếu, triển khai cảnh báo an toàn thông tin và các báo cáo đột xuất khác theo yêu cầu của các cơ quan quản lý nhà nước về an toàn thông tin.

a) Các đơn vị trực thuộc Bộ chịu trách nhiệm:

- Lập báo cáo hoạt động giám sát của chủ quản hệ thống thông tin theo quy định tại điểm b khoản 1 điều này, gửi Cục Công nghệ thông tin và Dữ liệu tài nguyên môi trường trước ngày 15 tháng 6 và 15 tháng 12 hàng năm.

b) Cục Công nghệ thông tin và Dữ liệu tài nguyên môi trường chịu trách nhiệm tập hợp, tổng hợp báo cáo của các đơn vị, trình Bộ phê duyệt, gửi các cơ quan quản lý nhà nước về an toàn thông tin.

1. Kết quả thực hiện Quy chế này là một trong những tiêu chí đánh giá kết quả thực hiện hàng năm của cá nhân, đơn vị đồng thời là tiêu chí bắt buộc để xem xét tình hình khen thưởng và danh hiệu thi đua đối với các tổ chức, cá nhân.

Điều 24. Trách nhiệm thi hành

2. Trong quá trình thực hiện, nếu có những vấn đề khó khăn, vướng mắc, các đơn vị phản ảnh về Cục Công nghệ thông tin và Dữ liệu tài nguyên môi trường để tổng hợp, trình Bộ trưởng xem xét, sửa đổi, bổ sung quy chế ./.