Quyết định 201/QĐ-BTC năm 2018 ban hành Quy chế An toàn thông tin mạng Bộ Tài chính
- Tóm tắt
- Nội dung
- VB gốc
- Tiếng Anh
- Hiệu lực
- VB liên quan
- Lược đồ
- Nội dung MIX
- Tổng hợp lại tất cả các quy định pháp luật còn hiệu lực áp dụng từ văn bản gốc và các văn bản sửa đổi, bổ sung, đính chính…
- Khách hàng chỉ cần xem Nội dung MIX, có thể nắm bắt toàn bộ quy định pháp luật hiện hành còn áp dụng, cho dù văn bản gốc đã qua nhiều lần chỉnh sửa, bổ sung.
- Tải về
Đây là tiện ích dành cho thành viên đăng ký phần mềm.
Quý khách vui lòng Đăng nhập tài khoản LuatVietnam và đăng ký sử dụng Phần mềm tra cứu văn bản.
thuộc tính Quyết định 201/QĐ-BTC
Cơ quan ban hành: | Bộ Tài chính | Số công báo: Số công báo là mã số ấn phẩm được đăng chính thức trên ấn phẩm thông tin của Nhà nước. Mã số này do Chính phủ thống nhất quản lý. | Đang cập nhật |
Số hiệu: | 201/QĐ-BTC | Ngày đăng công báo: | Đang cập nhật |
Loại văn bản: | Quyết định | Người ký: | Vũ Thị Mai |
Ngày ban hành: Ngày ban hành là ngày, tháng, năm văn bản được thông qua hoặc ký ban hành. | 12/02/2018 | Ngày hết hiệu lực: Ngày hết hiệu lực là ngày, tháng, năm văn bản chính thức không còn hiệu lực (áp dụng). | Đã biết Vui lòng đăng nhập tài khoản gói Tiêu chuẩn hoặc Nâng cao để xem Ngày hết hiệu lực. Nếu chưa có tài khoản Quý khách đăng ký tại đây! |
Áp dụng: Ngày áp dụng là ngày, tháng, năm văn bản chính thức có hiệu lực (áp dụng). | Tình trạng hiệu lực: Cho biết trạng thái hiệu lực của văn bản đang tra cứu: Chưa áp dụng, Còn hiệu lực, Hết hiệu lực, Hết hiệu lực 1 phần; Đã sửa đổi, Đính chính hay Không còn phù hợp,... | Đã biết Vui lòng đăng nhập tài khoản gói Tiêu chuẩn hoặc Nâng cao để xem Tình trạng hiệu lực. Nếu chưa có tài khoản Quý khách đăng ký tại đây! | |
Lĩnh vực: | Thông tin-Truyền thông |
TÓM TẮT VĂN BẢN
Giám sát bắt buộc 24/24 với hệ thống thông tin cấp độ 4, 5
Theo Quy chế An toàn thông tin mạng Bộ Tài chính được Bộ ban hành kèm theo Quyết định 201/QĐ-BTC ngày 12/02/2018:
Hệ thống thông tin từ cấp độ 03 trở lên được giám sát bắt buộc. Trong đó, giám sát tối thiểu 24 giờ/ngày và 07 ngày/tuần đối với hệ thống cấp độ 04, 05; Giám sát trong giờ làm việc đối với hệ thống cấp độ 03.
Đơn vị vận hành hệ thống thông tin phải thông báo trong toàn đơn vị đầu mối tiếp nhận thông tin để các cá nhân, tổ chức thuộc đơn vị liên lạc trong trường hợp nghi ngờ, phát hiện dấu hiệu tấn công hoặc sự cố an toàn thông tin mạng liên quan đến các hệ thống thông tin do mình quản lý.
Hành vi tự ý đấu nối thiết bị mạng, thiết bị cấp phát địa chỉ mạng, thiết bị phát sóng như điểm truy cập không dây của cá nhân vào mạng nội bộ; trên cùng một thiết bị thực hiện đồng thời truy cập vào mạng nội bộ và truy cập Internet bằng thiết bị kết nối Internet của cá nhân (modem quay số, USB 3G/4G, điện thoại di động, máy tính bảng, máy tính xách tay) là một trong các hành vi bị nghiêm cấm.
Quyết định này có hiệu lực từ ngày ký.
Xem chi tiết: Luật An ninh mạng 2018 mới nhất
Xem thêm: Luật An ninh mạng 2018: 8 nội dung nổi bật nhất
Xem chi tiết Quyết định 201/QĐ-BTC tại đây
tải Quyết định 201/QĐ-BTC
Nếu chưa có tài khoản, vui lòng Đăng ký tại đây!
Nếu chưa có tài khoản, vui lòng Đăng ký tại đây!
BỘ TÀI CHÍNH Số: 201/QĐ-BTC |
CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM Hà Nội, ngày 12 tháng 02 năm 2018 |
QUYẾT ĐỊNH
BAN HÀNH QUY CHẾ AN TOÀN THÔNG TIN MẠNG BỘ TÀI CHÍNH
-------------
BỘ TRƯỞNG BỘ TÀI CHÍNH
Căn cứ Luật An toàn thông tin mạng năm 2015;
Căn cứ Nghị định số 85/2016/NĐ-CP ngày 01/7/2016 của Chính phủ về bảo đảm an toàn hệ thống thông tin theo cấp độ;
Căn cứ Nghị định số 142/2016/NĐ-CP ngày 01/7/2016 của Chính phủ về ngăn chặn xung đột thông tin trên mạng;
Căn cứ Quyết định số 05/2017/QĐ-TTg ngày 16/3/2017 của Thủ tướng Chính phủ ban hành Quy định về hệ thống phương án ứng cứu khẩn cấp bảo đảm an toàn thông tin mạng quốc gia;
Căn cứ Quyết định số 632/QĐ-TTg ngày 10/5/2017 của Thủ tướng Chính phủ ban hành Danh mục lĩnh vực quan trọng cần ưu tiên bảo đảm an toàn thông tin mạng và hệ thống thông tin quan trọng quốc gia;
Căn cứ Quyết định số 1622/QĐ-TTg ngày 25/10/2017 của Thủ tướng Chính phủ về việc phê duyệt Đề án đẩy mạnh hoạt động của mạng lưới ứng cứu sự cố, tăng cường năng lực cho cán bộ, bộ phận chuyên trách ứng cứu sự cố an toàn thông tin mạng trên toàn quốc đến 2020, định hướng đến 2025;
Căn cứ Nghị định số 87/2017/NĐ-CP ngày 26/7/2017 của Chính phủ quy định chức năng, nhiệm vụ, quyền hạn và cơ cấu tổ chức của Bộ Tài chính;
Căn cứ Thông tư số 03/2017/TT-BTTTT ngày 24/4/2017 của Bộ Thông tin và Truyền thông quy định chi tiết và hướng dẫn một số điều của Nghị định số 85/2016/NĐ-CP ngày 01/7/2016 của Chính phủ về bảo đảm an toàn hệ thống thông tin theo cấp độ;
Căn cứ Thông tư số 20/2017/TT-BTTTT ngày 12/9/2017 của Bộ Thông tin và Truyền thông quy định về điều phối, ứng cứu sự cố an toàn thông tin mạng trên toàn quốc;
Căn cứ Thông tư số 31/2017/TT-BTTTT ngày 15/11/2017 của Bộ Thông tin và Truyền thông quy định hoạt động giám sát an toàn hệ thống thông tin;
Căn cứ Quyết định số 2582/QĐ-BKHCN ngày 25/9/2017 của Bộ trưởng Bộ Khoa học và Công nghệ về việc công bố Tiêu chuẩn quốc gia TCVN 11930:2017 yêu cầu cơ bản về an toàn hệ thống thông tin theo cấp độ;
Xét đề nghị của Cục trưởng Cục Tin học và Thống kê tài chính,
QUYẾT ĐỊNH:
Nơi nhận: |
KT. BỘ TRƯỞNG |
QUY CHẾ
AN TOÀN THÔNG TIN MẠNG BỘ TÀI CHÍNH
(Kèm theo Quyết định số 201/QĐ-BTC ngày 12 tháng 02 năm 2018 của Bộ trưởng Bộ Tài chính)
QUY ĐỊNH CHUNG
BẢO ĐẢM AN TOÀN HỆ THỐNG THÔNG TIN
Bộ Tài chính ủy quyền cho các đơn vị thuộc Bộ quản lý trực tiếp các hệ thống do Bộ làm chủ quản thông qua một trong các văn bản sau: Quyết định phê duyệt dự án, trong đó giao đơn vị làm chủ đầu tư dự án; Thông tư của Bộ Tài chính hoặc Quyết định của Bộ trưởng Bộ Tài chính có nội dung giao đơn vị làm nhiệm vụ quản lý hệ thống; Văn bản ủy quyền theo quy định tại khoản 3 Điều 5 Thông tư số 03/2017/TT-BTTTT.
- Đối với hệ thống phải lập dự án, chủ đầu tư chỉ đạo đơn vị lập dự án đề xuất cấp độ.
- Đối với hệ thống thuê dịch vụ, đơn vị chủ trì thuê dịch vụ đề xuất cấp độ.
- Đối với hệ thống đang trong giai đoạn triển khai, chủ quản hệ thống thông tin chỉ đạo đơn vị chủ trì triển khai hệ thống đề xuất cấp độ.
- Đối với hệ thống đang vận hành, chủ quản hệ thống thông tin chỉ đạo đơn vị vận hành hệ thống thông tin đề xuất cấp độ. Trường hợp đơn vị vận hành hệ thống thông tin ngang cấp với chủ quản hệ thống thông tin, đơn vị vận hành hệ thống thông tin phối hợp với chủ quản hệ thống thông tin đề xuất cấp độ.
- Đơn vị chuyên trách về an toàn thông tin của chủ quản hệ thống thông tin thực hiện thẩm định, phê duyệt hồ sơ đề xuất cấp độ đối với hệ thống thông tin được đề xuất là cấp độ 1 hoặc cấp độ 2.
- Đối với hệ thống thông tin được đề xuất là cấp độ 3: Đơn vị chuyên trách về an toàn thông tin của chủ quản hệ thống thông tin thực hiện thẩm định hồ sơ đề xuất cấp độ; Chủ quản hệ thống thông tin phê duyệt hồ sơ đề xuất cấp độ.
- Chủ quản hệ thống thông tin (hoặc đơn vị được ủy quyền quản lý trực tiếp hệ thống thông tin) lập hồ sơ đề xuất cấp độ, trình Bộ sau khi lấy ý kiến Cục Tin học và Thống kê tài chính.
- Bộ Tài chính gửi Bộ Thông tin và Truyền thông thẩm định hồ sơ đề xuất cấp độ.
- Bộ Thông tin và Truyền thông chủ trì, phối hợp với Bộ Quốc phòng, Bộ Công an và các Bộ, ngành liên quan thẩm định hồ sơ đề xuất cấp độ.
- Bộ Tài chính phê duyệt hồ sơ đề xuất cấp độ đối với hệ thống thông tin cấp độ 4, phê duyệt phương án bảo đảm an toàn thông tin đối với hệ thống thông tin cấp độ 5. Chính phủ phê duyệt cấp độ đối với hệ thống cấp độ 5.
- Quản lý an toàn thông tin mạng: Chính sách chung; tổ chức, nhân sự; quản lý thiết kế, xây dựng; quản lý vận hành; kiểm tra, đánh giá và quản lý rủi ro.
- Phương án kỹ thuật: An toàn hạ tầng mạng; an toàn máy chủ; an toàn ứng dụng và an toàn dữ liệu; an toàn vật lý cho Trung tâm dữ liệu/phòng máy chủ.
Trong đó, phương án quản lý an toàn thông tin mạng; an toàn hạ tầng mạng; an toàn vật lý Trung tâm dữ liệu/phòng máy chủ phải đáp ứng yêu cầu tương ứng với cấp độ cao nhất trong số các cấp độ được xác định cho các hệ thống thông tin do đơn vị quản lý và tối thiểu đáp ứng yêu cầu:
- Cấp độ 3 đối với các đơn vị cấp Trung ương gồm cơ quan Bộ Tài chính, Tổng cục thuộc Bộ, Sở Giao dịch Chứng khoán, Trung tâm Lưu ký Chứng khoán Việt Nam, Công ty Xổ số Điện toán Việt Nam.
- Cấp độ 2 đối với Cục Thuế, Cục Hải quan, Kho bạc Nhà nước tỉnh/thành phố trực thuộc Trung ương.
- Cấp độ 1 đối với Cục Dự trữ Nhà nước, Chi cục Dự trữ Nhà nước, Chi cục Hải quan, Chi cục Thuế, Kho bạc Nhà nước quận/huyện, Học viện Tài chính, các trường thuộc Bộ, Nhà xuất bản tài chính, Nhà in tài chính.
- Tham chiếu phương án bảo đảm an toàn thông tin mạng dùng chung cho các hệ thống thông tin trong phạm vi đơn vị.
- Thuyết minh phương án bảo đảm an toàn thông tin áp dụng riêng cho hệ thống thông tin được đề xuất cấp độ.
- Việc thẩm định đề xuất cấp độ được thực hiện đồng thời với quá trình thẩm định thiết kế sơ bộ.
- Đơn vị thẩm định đề xuất cấp độ gửi kết quả thẩm định cho đơn vị thẩm định dự án để tổng hợp, báo cáo cấp có thẩm quyền phê duyệt dự án.
- Việc thẩm định đề xuất cấp độ được thực hiện đồng thời với quá trình thiết kế thi công hoặc triển khai hệ thống.
- Đơn vị thẩm định đề xuất cấp độ gửi kết quả thẩm định cho đơn vị thẩm định thiết kế thi công để tổng hợp, báo cáo cấp có thẩm quyền phê duyệt thiết kế thi công.
Khi thực hiện nâng cấp, mở rộng, thay thế một phần hệ thống thông tin, phải rà soát cấp độ, phương án bảo đảm an toàn của hệ thống và thực hiện điều chỉnh, bổ sung hoặc thay mới hồ sơ đề xuất cấp độ trong trường hợp cần thiết.
GIÁM SÁT, CẢNH BÁO AN TOÀN THÔNG TIN MẠNG
Đầu mối tiếp nhận cảnh báo phân tích sơ bộ mức độ ảnh hưởng tới các hệ thống thông tin của đơn vị mình, chuyển tiếp cảnh báo cho các bộ phận liên quan xử lý, tổng hợp và gửi báo cáo kết quả xử lý cho đầu mối tiếp nhận cảnh báo của Cục Tin học và Thống kê tài chính qua thư điện tử hoặc điện thoại hoặc bằng văn bản trong trường hợp được yêu cầu báo cáo bằng văn bản.
ỨNG CỨU SỰ CỐ AN TOÀN THÔNG TIN MẠNG
- Đội trưởng: Lãnh đạo đơn vị chuyên trách về ứng cứu sự cố an toàn thông tin mạng.
- Đội phó gồm: 01 đội phó thường trực là lãnh đạo phòng/phụ trách nhóm Quản lý an toàn an ninh thông tin (hoặc tương đương), 01 đội phó là lãnh đạo phòng/phụ trách nhóm Quản trị, vận hành hệ thống (hoặc tương đương), 01 đội phó là lãnh đạo/phụ trách nhóm Quản lý phát triển ứng dụng (hoặc tương đương).
- Thành viên: cán bộ thuộc các phòng/trung tâm/bộ phận làm công tác quản lý an toàn an ninh thông tin; quản trị, vận hành hệ thống; quản lý phát triển ứng dụng; và các bộ phận liên quan khác tùy theo đặc thù của từng đơn vị.
a) Chủ quản hệ thống thông tin tổ chức diễn tập ứng cứu sự cố theo Kế hoạch ứng phó sự cố được phê duyệt.
b) Cục Tin học và Thống kê tài chính chủ trì, phối hợp với các đơn vị thuộc Bộ tham gia các cuộc diễn tập quốc gia, quốc tế do Cơ quan điều phối quốc gia, Bộ Thông tin và Truyền thông tổ chức và tổ chức diễn tập ứng cứu sự cố trong phạm vi Bộ Tài chính theo tần suất quy định tại điểm b Nhiệm vụ 4 mục II Điều 1 Quyết định số 1622/QĐ-TTg ngày 25/10/2017 của Thủ tướng Chính phủ.
ĐÀO TẠO, BỒI DƯỠNG NGHIỆP VỤ, TUYÊN TRUYỀN, PHỔ BIẾN, NÂNG CAO NHẬN THỨC VỀ AN TOÀN THÔNG TIN MẠNG
BÁO CÁO, CHIA SẺ THÔNG TIN VỀ AN TOÀN THÔNG TIN MẠNG
- Lập báo cáo an toàn thông tin theo quy định tại điểm a khoản 1 điều này, gửi Cục Tin học và Thống kê tài chính trước ngày 15 tháng 11 hàng năm.
- Lập báo cáo hoạt động giám sát của chủ quản hệ thống thông tin theo quy định tại điểm b khoản 1 điều này, gửi Cục Tin học và Thống kê tài chính trước ngày 15 tháng 6 và 15 tháng 12 hàng năm.
- Báo cáo đột xuất theo hướng dẫn của Cục Tin học và Thống kê tài chính.
KIỂM TRA, ĐÁNH GIÁ VỀ AN TOÀN THÔNG TIN MẠNG
Hoạt động đánh giá phát hiện mã độc, lỗ hổng, điểm yếu, thử nghiệm xâm nhập hệ thống thực hiện theo quy định tại điểm c khoản 2 Điều 20 Nghị định số 85/2016/NĐ-CP và Điều 13 Thông tư số 03/2017/TT-BTTTT.
TRÁCH NHIỆM ĐỐI VỚI CÔNG TÁC AN TOÀN THÔNG TIN MẠNG
TỔ CHỨC THỰC HIỆN
Hàng năm, Cục Tin học và Thống kê tài chính tổ chức rà soát, kiểm tra tính phù hợp của Quy chế này với các quy định của Nhà nước về bảo đảm an toàn thông tin mạng và các quy định, tiêu chuẩn liên quan, kiểm tra tính đáp ứng của Quy chế này (bao gồm Chính sách an toàn thông tin mạng Bộ Tài chính) với yêu cầu thực tế của Bộ Tài chính; báo cáo Bộ về việc cập nhật, bổ sung Quy chế trong trường hợp cần thiết./.
Phụ lục 1. Chính sách an toàn thông tin mạng Bộ Tài chính
1. Bảo đảm an toàn kết nối Internet
1.1. Mục đích kết nối, truy cập Internet:
a) Hệ thống thông tin được thiết lập kết nối Internet cho các mục đích:
- Cung cấp thông tin; cung cấp dịch vụ công trực tuyến, các dịch vụ trong phạm vi quy định của pháp luật.
- Kết nối tới hệ thống thông tin của các cơ quan, tổ chức để phục vụ hoạt động nghiệp vụ, trao đổi thông tin, phối hợp cung cấp dịch vụ công trực tuyến.
- Cung cấp cổng truy cập ứng dụng nội bộ cho cán bộ từ Internet.
- Cập nhật phiên bản phần mềm, bản vá phần mềm; Cập nhật mẫu mã độc, mẫu tấn công.
b) Cán bộ, công chức, viên chức các đơn vị thuộc Bộ Tài chính được truy cập Internet tại cơ quan cho các mục đích: Cập nhật thông tin tình hình kinh tế, chính trị, xã hội của Việt Nam và thế giới; Tra cứu văn bản quy phạm pháp luật và các tài liệu, thông tin tham khảo phục vụ công việc; Sử dụng các dịch vụ hành chính công; Giao dịch với các cơ quan, tổ chức liên quan tới công việc được giao; Nghiên cứu, học tập nâng cao trình độ.
1.2. Cách thức thiết lập kết nối Internet:
a) Hệ thống thông tin khi kết nối Internet phải thông qua kiểm soát của tường lửa và hệ thống bảo vệ kết nối truy cập Internet.
b) Việc truy cập Internet của cán bộ, công chức, viên chức được thực hiện thông qua một hoặc một số cách thức sau: Thiết lập mạng riêng gồm các máy tính chỉ phục vụ truy cập Internet; Thiếp lập mạng không dây chỉ phục vụ truy cập Internet; Truy cập Internet từ máy tính làm việc.
1.3. Không kết nối Internet cho các trường hợp sau:
a) Máy tính sử dụng để đọc, soạn thảo, lưu trữ, in ấn văn bản thuộc bí mật nhà nước;
b) Máy tính xử lý thông tin trên hệ thống thông tin cấp độ 4 trở lên;
c) Máy tính phục vụ quản trị hệ thống thông tin;
d) Toàn bộ máy chủ và thiết bị công nghệ thông tin không phải máy tính ngoại trừ các hệ thống bắt buộc phải có giao tiếp với Internet (các hệ thống phục vụ truy cập Internet; cung cấp giao diện ra Internet của trang tin điện tử, dịch vụ công, thư điện tử; phục vụ cập nhật bản vá hệ điều hành, mẫu mã độc, mẫu điểm yếu, mẫu tấn công).
1.4. Kết nối Internet cho máy tính phục vụ công việc của người dùng tại đơn vị bị thu hẹp phạm vi hoặc bị ngắt trong các trường hợp sau:
a) Có công văn từ Bộ Tài chính yêu cầu thu hẹp phạm vi kết nối Internet hoặc ngắt kết nối Internet (áp dụng trong các trường hợp khẩn cấp).
b) Lãnh đạo đơn vị quyết định hạn chế phạm vi kết nối hoặc ngắt hoàn toàn kết nối Internet máy tính phục vụ công việc của người dùng để đảm bảo an toàn cho hệ thống mạng của đơn vị và hạn chế các ảnh hưởng khác của Internet tới hoạt động của đơn vị.
1.5. Các biện pháp kỹ thuật bảo đảm an toàn kết nối, truy cập Internet:
a) Các biện pháp kỹ thuật tối thiểu: Trang bị tường lửa; Cài đặt phần mềm phòng, diệt mã độc và cập nhật bản vá hệ điều hành trên máy tính kết nối Internet.
b) Đối với truy cập Internet từ máy tính làm việc của cán bộ tại các đơn vị cấp Trung ương, áp dụng một hoặc một số biện pháp nâng cao sau theo năng lực đầu tư, vận hành hệ thống kỹ thuật của đơn vị: Trang bị proxy, hệ thống lọc trang web theo phân loại và ngăn chặn truy cập các trang web nhiễm mã độc; Trang bị hệ thống phát hiện, ngăn chặn tấn công có chủ đích; Cách ly máy tính làm việc và mạng Internet bằng công nghệ VDI hoặc Remote Desktop.
c) Đối với truy cập Internet từ máy tính làm việc của cán bộ tại cơ quan cấp tỉnh, áp dụng một hoặc một số biện pháp nâng cao sau theo năng lực đầu tư, vận hành hệ thống kỹ thuật của đơn vị: Trang bị proxy; Trang bị hệ thống lọc trang web theo phân loại và ngăn chặn truy cập các trang web nhiễm mã độc; Cách ly máy tính làm việc và mạng Internet bằng công nghệ ảo hóa VDI hoặc Remote Desktop.
d) Đối với các trang tin điện tử, dịch vụ hành chính công và các ứng dụng phục vụ truy cập từ Internet, áp dụng các biện pháp bảo vệ sau: Phòng chống xâm nhập; Tường lửa ứng dụng web; Đánh giá và khắc phục điểm yếu của hệ thống thông tin; Phòng chống tấn công từ chối dịch vụ.
d) Truy cập mạng, ứng dụng nội bộ từ Internet phải thực hiện xác thực đa yếu tố.
đ) Mạng riêng hoặc mạng không dây chỉ phục vụ truy cập Internet phải được cách ly với mạng làm việc (từ vùng mạng riêng hoặc mạng không dây này không truy cập được vào vùng mạng làm việc).
e) Các hệ thống kỹ thuật đảm bảo an toàn kết nối, truy cập Internet phải được bảo hành phần cứng, cập nhật mẫu mã độc, cập nhật mẫu tấn công liên tục. Công tác giám sát, vận hành các hệ thống này phải được thực hiện thường xuyên.
2. Bảo đảm an toàn trong hoạt động trao đổi thông tin với các tổ chức, cá nhân ngoài Bộ Tài chính
2.1. Đối với cơ quan, tổ chức, cá nhân ngoài Bộ Tài chính có thiết lập kết nối vào hệ thống mạng của ngành Tài chính:
Vùng mạng của tổ chức, cá nhân bên ngoài được sử dụng để kết nối vào mạng của ngành Tài chính phải được kiểm soát bằng tường lửa; các máy tính trong phân đoạn mạng này phải được cập nhật bản vá hệ điều hành, mẫu phòng diệt mã độc; các tài khoản truy cập hệ thống tối thiểu phải áp dụng mật khẩu phức tạp; chỉ được kết nối Internet trong trường hợp kết nối này phục vụ trực tiếp công việc của các đơn vị thuộc Bộ và đáp ứng quy định về bảo đảm an toàn kết nối Internet tại đơn vị.
2.2. Đối tác phát triển ứng dụng cho các đơn vị thuộc Bộ Tài chính có trách nhiệm đảm bảo an toàn cho công tác phát triển ứng dụng, bao gồm cả giai đoạn bảo trì, bảo hành ứng dụng: sử dụng máy tính được cập nhật bản vá hệ điều hành, phần mềm phòng diệt mã độc; thực hiện các biện pháp tránh lộ lọt mã nguồn, phần mềm ứng dụng của ngành Tài chính và các tài liệu liên quan; không sử dụng các công cụ phát triển ứng dụng không có bản quyền hoặc có nguồn gốc không an toàn.
2.3. Các đối tác cung cấp dịch vụ công nghệ thông tin (bao gồm thử nghiệm sản phẩm công nghệ thông tin tại hệ thống mạng của đơn vị thuộc Bộ) và nhân viên của đối tác trong trường hợp tiếp xúc với bí mật nhà nước của ngành Tài chính phải ký cam kết bảo vệ bí mật nhà nước trước khi triển khai hợp đồng, thỏa thuận về dịch vụ công nghệ thông tin.
3. Bảo đảm an toàn tài khoản công nghệ thông tin
3.1. Tài khoản người dùng:
a) Mỗi người dùng khi sử dụng hệ thống thông tin phải được cấp và sử dụng tài khoản truy cập với định danh duy nhất gắn với người dùng đó. Trường hợp sử dụng tài khoản dùng chung cho một nhóm người hay một đơn vị phải có cơ chế xác định các cá nhân có trách nhiệm quản lý tài khoản.
b) Tài khoản của người dùng không được cấp quyền quản trị trên máy tính nối mạng. Tài khoản quản trị máy tính chỉ được sử dụng trong trường hợp cài đặt phần mềm trên máy tính. Tài khoản quản trị máy tính để bàn phải do bộ phận công nghệ thông tin của đơn vị nắm giữ. Đối với máy tính xách tay, người dùng phải được hướng dẫn sử dụng đúng cách tài khoản quản trị máy tính và có trách nhiệm thực hiện theo đúng hướng dẫn.
c) Trường hợp người dùng thay đổi vị trí công tác, chuyển công tác, thôi việc hoặc nghỉ hưu phải thông báo kịp thời cho bộ phận quản lý tài khoản công nghệ thông tin để thực hiện điều chỉnh, thu hồi, hủy bỏ các quyền sử dụng của người dùng đối với hệ thống mạng, ứng dụng. Quy định cụ thể như sau:
- Văn bản quyết định về việc bổ nhiệm chức vụ lãnh đạo, thay đổi vị trí công tác, chuyển công tác, thôi việc, nghỉ hưu phải ghi tên bộ phận chịu trách nhiệm quản lý tài khoản công nghệ thông tin tại phần ghi nơi nhận của văn bản. Trường hợp thay đổi vị trí công tác không sử dụng hình thức văn bản quyết định, đơn vị quản lý người dùng phải thông báo cho bộ phận quản lý tài khoản công nghệ thông tin bằng công văn hoặc theo cách thức quy định trong quy trình quản lý tài khoản công nghệ thông tin áp dụng tại đơn vị.
- Tài khoản công nghệ thông tin phải được điều chỉnh, thu hồi, hủy bỏ trong thời gian không quá 03 ngày làm việc tính từ ngày người dùng chính thức chuyển công tác ra khỏi ngành Tài chính, thôi việc, nghỉ hưu; không quá 05 ngày làm việc trong trường hợp thay đổi vị trí công tác trong nội bộ đơn vị hoặc chuyển công tác tới đơn vị khác thuộc ngành Tài chính.
- Phải có văn bản đề nghị của đơn vị quản lý người dùng trong trường hợp cần duy trì tài khoản của người dùng sau thời điểm người dùng chính thức thay đổi vị trí công tác, chuyển công tác, thôi việc, nghỉ hưu; trong đó nêu rõ lý do, các quyền sử dụng cần duy trì và thời gian duy trì.
3.2. Tài khoản quản trị hệ thống (thiết bị, mạng, hệ điều hành, ứng dụng, cơ sở dữ liệu) phải tách biệt với tài khoản truy cập mạng, ứng dụng với tư cách người dùng thông thường. Tài khoản quản trị hệ thống phải được giao đích danh cá nhân làm công tác quản trị hệ thống. Hạn chế dùng chung tài khoản quản trị.
3.3. Xác thực tài khoản công nghệ thông tin:
a) Mật khẩu truy cập, sử dụng, quản trị hệ thống thông tin; truy cập thiết bị lưu khóa bí mật phải:
- Có tối thiểu 8 ký tự.
- Gồm tối thiểu 3 trong 4 loại ký tự sau: chữ cái viết hoa (A - Z); chữ cái viết thường (a - z); chữ số (0 - 9); các ký tự khác trên bàn phím máy tính ( ' ~ ! @ # $ % ^ & * ( ) _ - + = { } [ ] \ | : ; ” ’ <> , . ? / ) và dấu cách.
- Không chứa tên tài khoản.
b) Mật khẩu phải được đổi ngay sau khi nhận bàn giao từ người khác hoặc có thông báo về sự cố an toàn thông tin, điểm yếu liên quan đến khả năng lộ mật khẩu; mật khẩu phải được đổi tối thiểu 03 tháng một lần đối với tài khoản của người dùng và 02 tháng một lần đối với tài khoản quản trị hệ thống.
c) Người dùng, người làm công tác quản trị hệ thống có trách nhiệm bảo vệ thông tin tài khoản được cấp, không tiết lộ mật khẩu hoặc đưa cho người khác phương tiện xác thực tài khoản của mình ngoại trừ các trường hợp: cần xử lý công việc khẩn cấp của đơn vị; cần cung cấp, bàn giao cho đơn vị các thông tin, tài liệu do cá nhân quản lý. Chủ tài khoản phải đổi mật khẩu ngay sau khi kết thúc xử lý các việc này.
3.4. Hệ thống tài khoản công nghệ thông tin phải được rà soát hàng năm, đảm bảo các tài khoản và quyền truy cập hệ thống được cấp phát đúng. Các tài khoản không sử dụng trong thời gian 01 năm phải bị khóa hoặc xóa bỏ (sau khi trao đổi, xác nhận với đơn vị sử dụng).
4. Bảo đảm an toàn máy tính phục vụ công việc
4.1. Máy tính phục vụ công việc (bao gồm máy chủ, máy tính quản trị và máy tính để bàn, máy tính xách tay, máy tính bảng phục vụ công việc của người dùng tại đơn vị):
a) Máy tính phục vụ công việc chỉ được cài đặt phần mềm theo danh mục phần mềm do đơn vị quy định và do đơn vị/bộ phận chuyên trách về công nghệ thông tin của đơn vị quản lý hoặc được cung cấp theo các chương trình ứng dụng công nghệ thông tin của Bộ Tài chính và các cơ quan Nhà nước khác có thẩm quyền, được cập nhật bản vá lỗi hệ điều hành về an ninh, cài đặt phần mềm phòng diệt mã độc và cập nhật mẫu mã độc hàng ngày.
b) Đơn vị/bộ phận chuyên trách về công nghệ thông tin của đơn vị chịu trách nhiệm cài đặt phần mềm cho máy tính phục vụ công việc. Người dùng không được can thiệp vào các phần mềm đã cài đặt trên máy tính (thay đổi, gỡ bỏ,...) khi chưa được sự đồng ý của bộ phận công nghệ thông tin của đơn vị.
4.2. Máy tính do cá nhân tự trang bị phải đáp ứng đầy đủ các điều kiện dưới đây khi kết nối vào hệ thống mạng của ngành Tài chính:
a) Cài đặt đầy đủ các bản vá lỗi hệ điều hành về an ninh.
b) Cài đặt phần mềm phòng diệt mã độc và cập nhật mẫu mã độc gần nhất.
c) Không cài đặt phần mềm, công cụ có tính năng gây mất an toàn thông tin hoặc tạo rủi ro cho hệ thống mạng (cấp phát địa chỉ mạng, dò quét mật khẩu, dò quét cổng mạng, giả lập tấn công,..).
d) Được sự kiểm tra và đồng ý của bộ phận quản lý Công nghệ thông tin của đơn vị hoặc đáp ứng yêu cầu của hệ thống kiểm tra tự động trên cơ sở đối chiếu với các quy định tại điểm a, b, c của khoản này.
5. Bảo đảm an toàn vật lý các thiết bị công nghệ thông tin
5.1. Các khu vực sau phải được kiểm soát truy cập vật lý để phòng tránh truy cập trái phép hoặc sai mục đích: Trung tâm dữ liệu; khu vực chứa máy chủ và thiết bị lưu trữ; tủ mạng và đấu nối; thiết bị nguồn điện và dự phòng điện khẩn cấp; phòng vận hành, kiểm soát, quản trị hệ thống. Phải có nội quy hoặc hướng dẫn làm việc trong các khu vực này.
5.2. Các điểm truy cập không dây của đơn vị được bảo vệ tránh bị tiếp cận trái phép.
5.3. Máy chủ, thiết bị mạng trung tâm phải được đặt tại Trung tâm dữ liệu hoặc phòng máy chủ.
5.4. Thiết bị thuộc hệ thống thông tin từ cấp độ 2 trở lên phải được bảo dưỡng định kỳ và duy trì chế độ bảo hành liên tục hoặc có cơ chế sửa chữa, thay thế đáp ứng yêu cầu về mức độ sẵn sàng của hệ thống thông tin trong suốt thời gian sử dụng.
5.5. Thiết bị xử lý thông tin của đơn vị khi mang đi bảo hành, bảo dưỡng, sửa chữa, phải tháo ổ cứng khỏi thiết bị hoặc xóa thông tin, dữ liệu lưu trữ trên thiết bị (trừ trường hợp mang thiết bị đi khôi phục dữ liệu). Thiết bị lưu trữ không sử dụng tiếp cho công việc của đơn vị (thanh lý, cho, tặng) phải được xóa nội dung bằng phần mềm hoặc bằng thiết bị hủy dữ liệu chuyên dụng hay phá hủy vật lý.
5.6. Người dùng sử dụng các thiết bị lưu trữ dữ liệu di động (máy tính xách tay, thiết bị số cầm tay, thẻ nhớ USB, ổ cứng ngoài, băng từ) để xử lý công việc của cơ quan có trách nhiệm bảo vệ các thiết bị này và thông tin lưu trên thiết bị, tránh làm mất, lộ thông tin; xóa ngay thông tin lưu trữ trên thiết bị sau khi hoàn thành xử lý. Không mang ra nước ngoài thông tin của cơ quan, Nhà nước không liên quan tới nội dung công việc thực hiện ở nước ngoài. Người dùng sử dụng các thiết bị lưu trữ dữ liệu di động do đơn vị cấp phát không tự ý thuê, mua dịch vụ sao lưu, phục hồi dữ liệu khi gặp sự cố hỏng hóc mà báo bộ phận Công nghệ thông tin của đơn vị để xử lý; không tự ý hủy các thiết bị này khi không còn khả năng sử dụng.
5.7. Người dùng phải thực hiện thao tác khóa máy tính (sử dụng tính năng có sẵn trên máy) khi rời khỏi nơi đặt máy tính; tắt máy tính khi rời khỏi cơ quan.
Phụ lục 2. Mẫu thuyết minh phương án bảo đảm an toàn thông tin mạng dùng chung cho các hệ thống thông tin
1. Cấp độ đề xuất: ....
2. Đối chiếu với Tiêu chuẩn TCVN 11930:2017 cấp độ .... (tương ứng với cấp độ đề xuất tại mục I)
Yêu cầu của TCVN 11930:2017 |
Hiện trạng |
Phương án cải thiện hiện trạng |
Đánh giá đáp ứng tiêu chuẩn |
Lý do, biện pháp thay thế đối với các nội dung không đáp ứng tiêu chuẩn |
X.1 Yêu cầu quản lý |
|
|
|
|
… |
|
|
|
|
X.2 Yêu cầu kỹ thuật |
|
|
|
|
X.2.1 Bảo đảm an toàn mạng |
|
|
|
|
… |
|
|
|
|
A.Y Yêu cầu vật lý |
|
|
|
|
… |
|
|
|
|
3. Đối chiếu với chính sách an toàn thông tin mạng Bộ Tài chính
Chính sách của Bộ Tài chính |
Hiện trạng |
Phương án cải thiện hiện trạng |
Đánh giá đáp ứng tiêu chuẩn |
Lý do, biện pháp thay thế đối với các nội dung không đáp ứng chính sách |
1. Bảo đảm an toàn kết nối Internet |
|
|
|
|
… |
|
|
|
|
2. Bảo đảm an toàn trong hoạt động trao đổi thông tin với các tổ chức, cá nhân ngoài Bộ Tài chính |
|
|
|
|
… |
|
|
|
|
3. Bảo đảm an toàn tài khoản công nghệ thông tin |
|
|
|
|
… |
|
|
|
|
4. Bảo đảm an toàn máy tính phục vụ công việc |
|
|
|
|
… |
|
|
|
|
5. Bảo đảm an toàn vật lý các thiết bị công nghệ thông tin |
|
|
|
|
… |
|
|
|
|
4. Đối chiếu với quy định, chính sách của đơn vị
Quy định, chính sách của đơn vị |
Hiện trạng |
Phương án cải thiện hiện trạng |
Đánh giá đáp ứng tiêu chuẩn |
Lý do, biện pháp thay thế đối với các nội dung không đáp ứng quy định |
|
|
|
|
|
|
|
|
|
|
Ghi chú: Có thể ghép các bảng tại mục 2, 3, 4 vào chung thành một bảng nếu phù hợp.
Phụ lục 3. Mẫu Hồ sơ đề xuất cấp độ an toàn hệ thống thông
Tài liệu 1: THUYẾT MINH ĐỀ XUẤT CẤP ĐỘ VÀ PHƯƠNG ÁN BẢO ĐẢM AN TOÀN THÔNG TIN
1. Tên hệ thống thông tin
2. Mô tả chung về hệ thống thông tin
2.1 Chức năng chính của hệ thống thông tin
2.2 Đối tượng sử dụng:
2.3 Mô hình hệ thống thông tin:
2.4 Hệ điều hành và các phần mềm CSDL, ứng dụng sử dụng cho hệ thống thông tin:
3. Phân loại hệ thống thông tin (theo khoản 2 Điều 5 Nghị định 85/2016/NĐ-CP và Điều 4 Thông tư 03/2017/TT-BTTTT):
4. Chủ quản hệ thống thông tin (theo khoản 1, 2 Điều 5 của Quy chế):
5. Đơn vị vận hành hệ thống thông tin (theo khoản 1, 2 Điều 5 của Quy chế):
6. Loại thông tin được xử lý thông qua hệ thống thông tin (theo khoản 1 Điều 6 Nghị định 85/2016/NĐ-CP):
7. Cấp độ đề xuất (kèm thuyết minh căn cứ đề xuất cấp độ (theo Điều 7 của Quy chế):
8. Thuyết minh phương án bảo đảm an toàn thông tin (tương ứng với cấp độ đề xuất)
8.1 Phương án bảo đảm an toàn thông tin mạng dùng chung
Tham chiếu Quyết định phê duyệt phương án bảo đảm an toàn thông tin mạng dùng chung nếu đã có quyết định này hoặc mô tả phương án bảo đảm bảo đảm an toàn thông tin mạng dùng chung.
8.2 Phương án bảo đảm an toàn áp dụng cho mỗi hệ thống thông tin
8.2.1 Đối chiếu với Tiêu chuẩn TCVN 11930:2017
Yêu cầu của TCVN 11930:2017 cấp độ.. |
Hiện trạng |
Phương án cải thiện hiện trạng |
Đánh giá đáp ứng tiêu chuẩn |
Lý do, biện pháp thay thế đối với các nội dung không đáp ứng yêu cầu |
|
|
|
|
|
|
|
|
|
|
8.2.2 Đối chiếu với quy định, chính sách của đơn vị (có thể ghép chung với bảng tại mục 8.2.1 nếu phù hợp).
Tài liệu 2: Tài liệu mô tả chi tiết hệ thống (Thiết kế sơ bộ hoặc Thiết kế thi công hoặc Tài liệu hoàn công).
Phụ lục 4. Mẫu Hồ sơ đề xuất cấp độ áp dụng cho nhiều hệ thống thông tin
1. Đề xuất cấp độ
TT |
Tên hệ thống |
Mô tả chung hệ thống |
Phân loại hệ thống |
Loại thông tin xử lý trên hệ thống |
Chủ quản hệ thống thông tin |
Đơn vị vận hành |
Cấp độ đề xuất |
Thuyết minh đề xuất cấp độ |
1 |
|
|
|
|
|
|
|
|
2 |
|
|
|
|
|
|
|
|
2. Phương án bảo đảm an toàn thông tin
2.1 Phương án bảo đảm an toàn thông tin mạng dùng chung
Tham chiếu Quyết định phê duyệt phương án bảo đảm an toàn thông tin mạng dùng chung nếu đã có quyết định này hoặc mô tả phương án bảo đảm bảo đảm an toàn thông tin mạng dùng chung.
2.2 Phương án bảo đảm an toàn áp dụng cho mỗi hệ thống thông tin
2.2.1 Hệ thống thông tin 1 - Tên hệ thống - Cấp độ đề xuất:
2.2.2.1 Đối chiếu với Tiêu chuẩn TCVN 11930:2017
Yêu cầu của Tiêu chuẩn TCVN 11930:2017 |
Hiện trạng |
Phương án cải thiện hiện trạng |
Đánh giá đáp ứng tiêu chuẩn |
Lý do, biện pháp thay thế đối với các nội dung không đáp ứng yêu cầu |
|
|
|
|
|
|
|
|
|
|
2.2.2.2 Đối chiếu với quy định, chính sách của đơn vị (có thể ghép chung với bảng tại mục 2.2.2.1 nếu phù hợp).
2.2.2 Hệ thống thông tin 2 - Tên hệ thống -Cấp độ đề xuất:
…….
Phụ lục 5. Mẫu tham khảo Hồ sơ theo dõi triển khai phương án bảo đảm an toàn cho hệ thống thông tin
1. Tên Hệ thống thông tin:
2. Cấp độ đề xuất được phê duyệt:
3. Cấp độ phương án bảo đảm an toàn thông tin đề xuất được phê duyệt:
Yêu cầu của Tiêu chuẩn TCVN 11930:2017/Quy định, chính sách của đơn vị |
Hiện trạng |
Phương án cải thiện hiện trạng |
Đánh giá đáp ứng tiêu chuẩn |
Lý do, biện pháp thay thế đối với các nội dung không đáp ứng yêu cầu |
Tiến độ triển khai phương án bảo đảm an toàn thông tin |
|
|
|
|
|
|
|
|
|
|
|
|
Phụ lục 6. Mẫu Kế hoạch triển khai Quy chế An toàn thông tin mạng Bộ Tài chính
KẾ HOẠCH TRIỂN KHAI QUY CHẾ AN TOÀN THÔNG TIN MẠNG BỘ TÀI CHÍNH ĐẾN NĂM 2020
I. Xác định cấp độ an toàn thông tin
1. Phân công vai trò, trách nhiệm trong hoạt động xác định cấp độ an toàn thông tin
2. Xác định cấp độ đối với phần dùng chung cho các hệ thống của đơn vị (xem điểm a khoản 3 Điều 8 của Quy chế):
- Cấp độ dự kiến:....
- Kế hoạch xây dựng chính sách quản lý an toàn thông tin mạng tương ứng với cấp độ dự kiến theo Tiêu chuẩn TCVN 11930:2017 (dự kiến thời gian hoàn thành xây dựng mới hoặc rà soát, hoàn thiện các quy định hiện có của đơn vị):
- Kế hoạch rà soát, hoàn thiện hệ thống mạng, Trung tâm dữ liệu/phòng máy chủ và các nội dung khác của phần dùng chung.
3. Xác định cấp độ cho các hệ thống thông tin
TT |
Tên hệ thống |
Tình trạng (đang hoạt động/chuẩn bị lập dự án/đang triển khai) |
Cấp độ dự kiến (theo thứ tự từ cao xuống thấp) |
Dự kiến thời gian xác định cấp độ (quý/năm - quý/năm) |
||
A |
Các hệ thống phục vụ người dân, doanh nghiệp, đối tượng quản lý, đối tượng phục vụ |
|||||
… |
|
|
|
|
||
B |
Các hệ thống phục vụ nội bộ |
|||||
… |
|
|
|
|
||
C |
Các hệ thống hạ tầng |
|||||
… |
|
|
|
|
|
|
D |
Các hệ thống điều khiển công nghiệp và hệ thống khác |
|||||
|
|
|
|
|
|
|
II. Giám sát an toàn thông tin
1. Hiện trạng hoạt động giám sát an toàn thông tin
2. Kế hoạch triển khai hoạt động giám sát an toàn thông tin
III. Ứng cứu sự cố an toàn thông tin mạng
TT |
Công việc |
Thời gian dự kiến triển khai (quý/năm) |
1 |
Đăng ký tham gia mạng lưới ứng cứu sự cố |
|
2 |
Thành lập đội ứng cứu sự cố |
|
3 |
Xây dựng Kế hoạch ứng phó sự cố |
|
4 |
Thành lập Liên minh ứng cứu sự cố |
|
IV. Đào tạo, bồi dưỡng nghiệp vụ về an toàn thông tin
1. Tình hình công tác đào tạo, bồi dưỡng nghiệp vụ về an toàn thông tin của đơn vị đến thời điểm này
2. Định hướng triển khai công tác đào tạo, bồi dưỡng về nghiệp vụ an toàn thông tin của đơn vị từ năm 2018-2020
V. Kiểm tra, đánh giá an toàn thông tin
1. Tình hình công tác tự kiểm tra, đánh giá an toàn thông tin tính đến thời này
2. Dự kiến triển khai công tác kiểm tra, đánh giá an toàn thông tin từ năm 2018-2020