Công văn 4486/GDĐT-TTTT của Sở Giáo dục và Đào tạo Thành phố Hồ Chí Minh về đảm bảo an toàn, an ninh các hệ thống công nghệ thông tin tại đơn vị cơ sở giáo dục do

Căn cứ quyết định 2453/QĐ-GDĐT-VP ngày 27 tháng 11 năm 2017 của Giám đốc Sở Giáo dục và Đào tạo về phê duyệt Quy chế đảm bảo an toàn, an ninh thông tin trong hoạt động ứng dụng công nghệ thông tin của Ngành Giáo dục và Đào tạo Thành phố Hồ Chí Minh.

Nhằm nâng cao hiệu quả việc đảm bảo an toàn, an ninh các hệ thống CNTT của Ngành Giáo dục và Đào tạo, Sở Giáo dục và Đào tạo đề nghị thủ trưởng các đơn vị thực hiện và triển khai các giải pháp, nhiệm vụ cụ thể như sau:

I. Nội dung thực hiện:

Thủ trưởng các đơn vị tổ chức tổng rà soát việc đảm bảo an toàn, an ninh các hệ thống thông tin của đơn vị ở những nội dung sau:

1. Tổ chức thực hiện:

1.1 Trách nhiệm của thủ trưởng đơn vị:

- Thủ trưởng đơn vị có trách nhiệm tổ chức thực hiện các quy định tại Quy chế đảm bảo an toàn, an ninh thông tin.

- Ban hành quyết định phân công bộ phận hoặc các bộ phụ trách các hệ thống của đơn vị.

- Chịu trách nhiệm trước đơn vị quản lý trực tiếp và Sở Giáo dục và Đào tạo trong công tác đảm bảo an toàn thông tin của đơn vị.

1.2 Trách nhiệm của cán bộ phụ trách hệ thống:

- Cán bộ phụ trách hệ thống thông tin chịu trách nhiệm đảm bảo an toàn, an ninh thông tin của đơn vị;

- Phải thay đổi mật khẩu khi tiếp nhận các hệ thống thông tin (bao gồm cả hệ thống camera quan sát), không sử dụng mật khẩu mặc định hoặc các mật khẩu đơn giản (ví dụ: 123456, 123456789, abcd1234, ...). Mật khẩu phải có độ phức tạp cao (độ dài tối thiểu 8 ký tự, có ký tự thường, ký tự số, ký tự đặc biệt như: !, @, #, $, %, ...) và phải thường xuyên thay đổi mật khẩu.

- Tham mưu thủ trưởng đơn vị các giải pháp bảo mật hệ thống. Giám sát, đánh giá, báo cáo thủ trưởng đơn vị các rủi ro có thể xảy ra trong quá trình vận hành hệ thống.

- Phối hợp với các cá nhân, đơn vị liên quan tích cực khắc phục khi xảy ra sự cố an toàn, an ninh thông tin.

2. Quản trị hệ thống:

2.1 Quản lý phòng máy chủ, nơi đặt thiết bị lưu trữ:

- Vị trí đặt máy chủ, thiết bị lưu trữ dữ liệu là khu vực hạn chế tiếp cận. (Không đặt máy chủ, thiết bị lưu trữ dữ liệu, hình ảnh camera, ... tại phòng bảo vệ hoặc các phòng chức năng không đảm bảo an toàn).

- Chỉ những người có trách nhiệm theo sự phân công của thủ trưởng mới được phép vào các khu vực này.

2.2 Sao lưu dữ liệu:

Các dữ liệu quan trọng của đơn vị phải được sao lưu, bao gồm: thông tin cấu hình hệ thống, cơ sở dữ liệu, nhật ký hệ thống. Đảm bảo khả năng phục hồi dữ liệu khi có sự cố xảy ra.

2.3 Quản lý truy cập:

- Tài khoản quản trị có quyền cao nhất (Admin) chỉ được cấp bằng văn bản cho một người. Các tài khoản khác khi truy cập hệ thống cần được phân quyền cụ thể, chỉ được phép truy cập các thông tin phù hợp với chức năng, nhiệm vụ, quyền hạn được phân công.

- Người được giao tài khoản trên hệ thống có trách nhiệm bảo mật tài khoản và chịu trách nhiệm trước thủ trưởng đơn vị nếu để xảy ra sự cố mất an ninh, an toàn thông tin.

- Hệ thống mạng không dây của đơn vị phải có mật khẩu truy cập và chỉ cho phép truy cập Internet (chặn các kết nối đến hệ thống máy chủ, hệ thống mạng của đơn vị).

3. Các hành vi bị cấm:

Nghiêm cấm các hành vi sử dụng hệ thống sai mục đích, gây nguy cơ nhiễm vi rút, phần mềm độc hại, ... Không sử dụng thông tin của đơn vị sai mục đích, không cung cấp thông tin đơn vị (thông tin học sinh, nhân sự, dữ liệu hình ảnh camera, ...) cho đối tượng, đơn vị khác.

4. Tuyên truyền về công tác đảm bảo an toàn, an ninh hệ thống CNTT

Nhằm nâng cao hiệu quả công tác đảm bảo an toàn, an ninh hệ thống CNTT Ngành Giáo dục và Đào tạo thành phố thủ trưởng các đơn vị cần quán triệt các nội dung theo quyết định số 2453/QĐ-GDĐT-VP ngày 27 tháng 11 năm 2017 của Giám đốc Sở Giáo dục và Đào tạo về phê duyệt Quy chế đảm bảo an toàn, an ninh thông tin trong hoạt động ứng dụng công nghệ thông tin của Ngành Giáo dục và Đào tạo Thành phố Hồ Chí Minh đến các bộ phận liên quan và giáo viên, viên chức của đơn vị trong đó đặc biệt quan tâm đến yếu tố “Thái độ người dùng”; đảm bảo việc phân công trách nhiệm của lãnh đạo, cán bộ thông tin và giáo viên khi tham gia các hệ thống thông tin của ngành.

II. Quản lý sự cố:

Trong quá trình thực hiện nếu xảy ra sự cố làm mất an toàn, an ninh hệ thống thông tin đề nghị các đơn vị xử lý theo quy trình cụ thể như sau:

1. Quy trình xử lý sự cố đối với các hệ thống do Sở GD&ĐT triển khai:

Nếu phát hiện sự cố an toàn thông tin mà không xử lý được, các đơn vị cần thực hiện theo quy trình xử lý sau:

- Bước 1: Báo cáo hiện trạng sự cố cho Sở GD&ĐT (Văn phòng Sở GD&ĐT, Trung tâm Thông tin và Chương trình Giáo dục, phòng, ban phụ trách triển khai, quản lý hệ thống) và đơn vị cung cấp hệ thống.

Đầu mối báo cáo và ứng cứu sự cố tại Sở GD&ĐT:

+ Lãnh đạo Văn phòng Sở Giáo dục và Đào tạo, điện thoại (028) 38.274.526, email: [email protected]

+ Ông Nguyễn Hồng Tuấn - Phó Giám đốc TTTT&CTGD - Sở GD&ĐT, điện thoại: 0903.093.688, email: [email protected] hoặc [email protected]

- Bước 2: Phối hợp giữa các đơn vị để ngăn chặn sự cố xảy ra trong thời gian sớm nhất. Tích cực khắc phục hậu quả, đảm bảo hệ thống hoạt động ổn định, không gây ảnh hưởng đến hoạt động chung của đơn vị.

- Bước 3: Báo cáo tổng hợp thông tin về sự cố cho Sở GD&ĐT.

2. Đối với hệ thống được triển khai theo thỏa thuận giữa trường và đơn vị cung cấp dịch vụ:

- Khi xảy ra sự cố, trường phối hợp với đơn vị cung cấp dịch vụ khẩn trương ngăn chặn sự cố và khắc phục hậu quả, đảm bảo hệ thống hoạt động ổn định, không gây ảnh hưởng đến hoạt động chung của đơn vị.

- Báo cáo tổng hợp thông tin về sự cố cho Sở GD&ĐT (Văn phòng Sở, Trung tâm Thông tin và Chương trình Giáo dục - (028) 38.291.875, email: [email protected]).

Đảm bảo an toàn, an ninh thông tin là nhiệm vụ quan trọng, ảnh hưởng trực tiếp đến việc thực hiện các nhiệm vụ chính trị, chuyên môn của đơn vị và của ngành. Vì vậy, Sở GD&ĐT đề nghị thủ trưởng các đơn vị nghiêm túc triển khai thực hiện các quy định về đảm bảo an toàn, an ninh thông tin các hệ thống CNTT của ngành Giáo dục và Đào tạo thành phố./.