Quyết định 1365/QĐ-BTNMT của Bộ Tài nguyên và Môi trường ban hành kế hoạch hành động thực hiện Chỉ thị 15/CT-TTg ngày 17/6/2014 của chính phủ về tăng cường công tác bảo đảm an ninh và an toàn thông tin mạng trong tình hình mới

QUYẾT ĐỊNH

Ban hành kế hoạch hành động thực hiện Chỉ thị số 15/CT-TTg ngày 17 tháng 6 năm 2014 của chính phủ về tăng cường công tác bảo đảm an ninh và an toàn thông tin mạng trong tình hình mới

_______________

BỘ TRƯỞNG BỘ TÀI NGUYÊN VÀ MÔI TRƯỜNG

Căn cứ Nghị định số 21/2013/NĐ-CP ngày 4 tháng 3 năm 2013 của Chính phủ quy định chức năng, nhiệm vụ, quyền hạn và cơ cấu tổ chức của Bộ Tài nguyên và Môi trường;

Căn cứ Chỉ thị số 15/CT-TTg ngày 17 tháng 6 năm 2014 của Chính phủ về “Tăng cường công tác bảo đảm an ninh và an toàn thông tin mạng trong tình hình mới”;

Theo đề nghị của Cục trưởng Cục Công nghệ thông tin,

QUYẾT ĐỊNH:

Điều 1. Ban hành kèm theo Quyết định này Kế hoạch hành động của Bộ Tài nguyên và Môi trường thực hiện Chỉ thị số 15/CT-TTg ngày 17 tháng 6 năm 2014 của Chính phủ về tăng cường công tác bảo đảm an ninh và an toàn thông tin mạng trong tình hình mới.

Điều 2. Quyết định này có hiệu lực thi hành kể từ ngày ký.

Chánh Văn phòng Bộ, Cục trưởng Cục Công nghệ thông tin, Thủ trưởng các đơn vị trực thuộc Bộ chịu trách nhiệm thi hành Quyết định này./.

KẾ HOẠCH HÀNH ĐỘNG

THỰC HIỆN CHỈ THỊ SỐ 15/CT-TTG NGÀY 17 THÁNG 6 NĂM 2014 CỦA CHÍNH PHỦ VỀ TĂNG CƯỜNG CÔNG TÁC BẢO ĐẢM AN NINH VÀ AN TOÀN THÔNG TIN MẠNG TRONG TÌNH HÌNH MỚI

(Ban hành theo Quyết định số 1365/QĐ-BTNMT ngày 10 tháng 7 năm 2014 của Bộ trưởng Bộ Tài nguyên và Môi trường)

Thực hiện Chỉ thị số 15/CT-TTg ngày 17 tháng 6 năm 2014 của Chính phủ về tăng cường công tác bảo đảm an ninh và an toàn thông tin mạng trong tình hình mới, Bộ Tài nguyên và Môi trường ban hành Kế hoạch hành động với những nội dung chủ yếu sau:

I. MỤC TIÊU

1. Quán triệt, nâng cao nhận thức của cán bộ, công chức, viên chức, người lao động ngành tài nguyên và môi trường về tình hình an ninh và an toàn thông tin mạng trong thời gian qua có nhiều diễn biến phức tạp tác động ảnh hưởng tiêu cực đến an ninh quốc gia, trật tự an toàn xã hội. Từ đó xác định nhiệm vụ bảo đảm an ninh và an toàn thông tin cho hệ thống mạng, cơ sở dữ liệu, các thiết bị trong việc ứng dụng công nghệ thông tin trong công tác quản lý nhà nước ngành tài nguyên và môi trường là nhiệm vụ trọng tâm và cấp thiết.

2. Triển khai kịp thời các nhiệm vụ, giải pháp để nâng cao khả năng phòng, chống các nguy cơ tấn công, xâm phạm hệ thống công nghệ thông tin, ngăn chặn, khắc phục kịp thời các sự cố an toàn thông tin mạng thuộc phạm vi hoạt động, quản lý của Bộ.

II. NHIỆM VỤ CHỦ YẾU

1. Tổ chức phổ biến quán triệt nghiêm túc Chỉ thị số 28-CT/TW ngày 16 tháng 9 năm 2013 của Ban Bí thư về tăng cường công tác bảo đảm an ninh và an toàn thông tin mạng đến cán bộ công chức, viên chức và người lao động của các đơn vị thuộc Bộ Tài nguyên và Môi trường.

2. Thực hiện các biện pháp bảo đảm an ninh và an toàn thông tin mạng phù hợp với điều kiện của các đơn vị thuộc Bộ

a) Các đơn vị tăng cường công tác bảo đảm an ninh và an toàn thông tin mạng, thực hiện chế độ trực, thường xuyên theo dõi hoạt động của Cổng/Trang thông tin điện tử của đơn vị; phát hiện kịp thời và có giải pháp xử lý khi bị thay đổi thông tin, bị đăng tải các thông tin lạ, đặc biệt là các thông tin liên quan đến an ninh chủ quyền quốc gia.

b) Triển khai áp dụng các giải pháp đảm bảo an toàn thông tin mạng tổng thể bao gồm tường lửa, thiết bị cảnh báo xâm nhập và các thiết bị an ninh, chống virus và mã độc hại cho các hệ thống thông tin và các máy tính cá nhân có kết nối mạng Internet. Đối với các hệ thống thông tin quan trọng, các Cổng/Trang thông tin điện tử quan trọng, nhất thiết phải áp dụng chính sách ghi lưu tập trung biên bản hoạt động (log file) cần thiết để phục vụ công tác điều tra và khắc phục sự cố mạng với thời hạn lưu giữ theo hướng dẫn của Bộ Thông tin và Truyền thông.

c) Thẩm tra an ninh tổng thể cho các hệ thống thông tin của từng đơn vị trực thuộc Bộ: Triển khai quét, dò các lỗ hổng bảo mật, thẩm tra an ninh định kỳ cho các hệ thống thông tin dùng chung; kiểm định và nâng cấp an ninh định kỳ cho các ứng dụng dịch vụ công hiện đã triển khai tại từng đơn vị thuộc Bộ; nâng cấp an ninh định kỳ theo chuẩn hiện hành đối với các trang thông tin điện tử, cổng thông tin điện tử của từng đơn vị.

d) Quản lý, sử dụng, bảo mật các hệ thống công nghệ thông tin của cơ quan, hệ thống phần mềm điều hành tác nghiệp và các tài khoản của văn thư, của cán bộ sử dụng, để tránh (hacker) xâm nhập vào hệ thống phá hoại hoặc làm nhiễu thông tin, phát tán thông tin có nội dung không đúng, sai lệch trên mạng.

3. Tăng cường công tác lãnh đạo, quản lý, nhân lực, đầu tư, trang thiết bị kỹ thuật bảo vệ an ninh và an toàn hệ thống mạng

a) Các đơn vị triển khai việc thành lập bộ phận chuyên trách về an ninh và an toàn thông tin trong tổ chức chuyên trách về công nghệ thông tin hiện có để chịu trách nhiệm bảo đảm an ninh và an toàn hệ thống thông tin mạng; lập kế hoạch đào tạo bồi dưỡng nghiệp vụ nâng cao năng lực bảo đảm an toàn, bảo mật thông tin cho người sử dụng mạng; tổ chức đào tạo, bồi dưỡng nâng cao nhận thức và trình độ kỹ thuật về an ninh và an toàn thông tin mạng cho lãnh đạo và cho cán bộ làm việc trong môi trường mạng; tuyên truyền nâng cao nhận thức cộng đồng; xử lý nghiêm minh mọi vi phạm gây mất an ninh và an toàn thông tin mạng, làm lộ, lọt bí mật nhà nước, thông tin nội bộ qua mạng hoặc lợi dụng để vi phạm pháp luật, gây mất đoàn kết nội bộ.

b) Khi có sự cố hoặc nguy cơ mất an toàn thông tin hoặc phát hiện có dấu hiệu hoạt động tấn công mạng vào các mục tiêu quan trọng, bộ phận chứa thông tin, tài liệu của nhà nước, phải kịp thời áp dụng mọi biện pháp kỹ thuật để khắc phục, hạn chế thấp nhất mức thiệt hại có thể xảy ra đồng thời báo ngay cho Cục Công nghệ thông tin để được hỗ trợ và phối hợp trong việc khắc phục, ngăn chặn.

c) Các đơn vị quán triệt và chỉ đạo cán bộ công chức, viên chức và người lao động có trách nhiệm quản lý, bảo quản thiết bị được giao sử dụng; không tự ý thay đổi cấu hình hoặc tháo lắp các thiết bị trên máy tính khi chưa có sự đồng ý của lãnh đạo cơ quan, đơn vị; không truy cập thông tin hoặc nhấp chuột vào trang web có đường dẫn lạ không rõ về nội dung (các phần mềm gián điệp được gửi đi với mục đích đánh cắp thông tin mật của người dùng máy tính...); không mở các email hoặc tải và cài đặt các phần mềm chưa rõ nguồn gốc, không liên quan đến công việc chuyên môn; nghiêm chỉnh chấp hành các quy định nội bộ về an toàn thông tin của cơ quan, đơn vị và các quy định khác của pháp luật; nâng cao ý thức cảnh giác và trách nhiệm đảm bảo an ninh thông tin tại đơn vị.

d) Các đơn vị có thực hiện cung cấp dịch vụ qua mạng cần tăng cường đầu tư xây dựng các hệ thống an ninh và an toàn thông tin mạng như: Hệ thống bảo vệ truy cập nhiều lớp; hệ thống bảo vệ dữ liệu; hệ thống cảnh báo sự cố; hệ thống sao lưu dữ liệu dự phòng; hệ thống sao lưu dữ liệu phục vụ công tác điều tra tội phạm mạng...

4. Xây dựng các quy định, kế hoạch bảo đảm an ninh và an toàn thông tin mạng để chủ động phòng ngừa lộ, lọt thông tin trên môi trường mạng

a) Các đơn vị khẩn trương xây dựng hoàn thiện quy chế quản lý chặt chẽ các thiết bị, phương tiện có tính năng lưu trữ thông tin để phòng ngừa lộ, lọt thông tin qua mạng. Nghiêm cấm lưu trữ, trao đổi, xử lý, hiển thị thông tin có nội dung bí mật nhà nước, bí mật nội bộ trên mạng Internet, sử dụng hòm thư điện tử không có biện pháp bảo mật theo quy định. Trong trường hợp cần thiết cần trao đổi thông tin bí mật nhà nước qua điện thoại, các thiết bị, phương tiện có kết nối Internet phải chấp hành nghiêm các quy định của Pháp lệnh bí mật Nhà nước và các quy định pháp luật liên quan.

b) Ban hành các quy định để kiểm soát chặt chẽ việc mang các thiết bị điện tử có tính năng thu âm, ghi hình vào các cuộc họp có nội dung bí mật Nhà nước, bí mật nội bộ. Không mang các thiết bị chứa bí mật nhà nước, bí mật nội bộ và các thông tin nhạy cảm khi đi nước ngoài. Trường hợp cần thiết phải được các cấp có thẩm quyền đồng ý và phải áp dụng các biện pháp mã hóa.

c) Các đơn vị trực thuộc Bộ chủ động nghiên cứu xây dựng các giải pháp, từng bước hiện đại hóa các phương tiện, thiết bị, phần mềm bảo đảm an ninh và an toàn thông tin mạng; ban hành các quy định đặc thù về việc đầu tư mua sắm thiết bị, thiết lập các mạng dùng riêng và mạng nội bộ.

d) Triển khai các biện pháp quản lý và giải pháp kỹ thuật về an ninh và an toàn thông tin. Xây dựng các quy định về đảm bảo an toàn, an ninh thông tin và bảo mật trên môi trường mạng trong hoạt động của Bộ Tài nguyên và Môi trường. Bảo đảm an ninh và an toàn thông tin mạng cho các dự án đầu tư mới hoặc nâng cấp hệ thống thông tin tuân thủ tiêu chuẩn an ninh và an toàn thông tin mạng. Định kỳ rà soát, kiểm tra, đánh giá hệ thống thông tin để bổ sung các biện pháp kỹ thuật bảo vệ cần thiết. Theo dõi, giám sát, hiệu chỉnh các hệ thống bảo vệ an toàn thông tin. Quản lý và vận hành hệ thống, khắc phục điểm yếu, phòng chống mã độc hại, sao lưu hệ thống, khắc phục sự cố, quản lý rủi ro, phối hợp với các cơ quan chức năng về an ninh và an toàn thông tin mạng.

III. TỔ CHỨC THỰC HIỆN

1. Cục Công nghệ thông tin

a. Chủ trì phối hợp với các đơn vị trực thuộc Bộ; quản lý tốt các mạng nội bộ (LAN); mạng diện rộng (WAN), mạng truyền số liệu chuyên dùng kết nối với cơ quan Đảng và Nhà nước;

b) Thành lập bộ phận chuyên trách về an ninh và an toàn thông tin mạng thuộc Cục. Phân công nhiệm vụ trực thường xuyên để sẵn sàng ứng cứu, ứng phó nguy cơ mất an toàn, sự cố mạng trong phạm vi của Bộ;

c) Chủ trì, phối hợp các đơn vị liên quan tăng cường công tác kiểm tra và đề xuất xử lý nghiêm các hành vi vi phạm của các cá nhân, tổ chức về an toàn thông tin mạng;

d) Chủ trì tổ chức các chương trình đào tạo an toàn, an ninh thông tin mạng cho các bộ phận chuyên trách về an ninh và an toàn thông tin mạng tại các đơn vị trực thuộc Bộ;

đ) Kịp thời thông tin, hướng dẫn về thực hiện công tác bảo đảm an ninh và an toàn thông tin mạng theo hướng dẫn nghiệp vụ của Bộ Công an, Bộ Quốc phòng và Bộ Thông tin và Truyền thông;

e) Có trách nhiệm giúp Bộ trưởng theo dõi, hướng dẫn, kiểm tra, đôn đốc thực hiện Kế hoạch hành động này.

2. Vụ Kế hoạch, Vụ Tài chính, Vụ Khoa học và Công nghệ có trách nhiệm đề xuất, bố trí các nguồn vốn đầu tư, nghiên cứu, phát triển phục vụ xây dựng và nâng cấp hệ thống bảo đảm an ninh và an toàn thông tin mạng của Bộ và các đơn vị trực thuộc.

3. Các đơn vị trực thuộc Bộ:

a) Tổ chức tuyên truyền, phổ biến các văn bản của Nhà nước về công tác bảo đảm an ninh và an toàn thông tin mạng giúp cán bộ công chức, viên chức và người lao động thấy rõ các mặt trái về vấn đề an toàn thông tin như: sự nguy hiểm của các đối tượng xấu tấn công các hệ thống thông tin, các kẽ hở mà có thể để thông tin dễ bị lộ, lọt, các hình thức mà các đối tượng xấu tuyên truyền thông tin chống phá Đảng và Nhà nước. Trên cơ sở đó định hướng cho cán bộ, công chức, viên chức nâng cao ý thức về an toàn thông tin, sử dụng máy tính an toàn, khai thác phần mềm ứng dụng, dịch vụ công nghệ thông tin nhằm thực hiện công vụ đúng cách;

b) Căn cứ chức năng, nhiệm vụ, quyền hạn được giao có trách nhiệm bảo đảm an ninh và an toàn thông tin theo lĩnh vực quản lý; định kỳ hàng năm tổng hợp báo cáo tình hình, kết quả thực hiện công tác bảo đảm an ninh và an toàn thông tin mạng của đơn vị gửi về Cục Công nghệ thông tin để tổng hợp báo cáo Bộ./.