Quyết định 45/QĐ-BTP 2023 Quy chế Bảo đảm an toàn, an ninh thông tin mạng

QUY CHẾ

Bảo đảm an toàn, an ninh thông tin mạng Bộ Tư pháp

(Ban hành kèm theo Quyết định số 45/QĐ-BTP ngày 16 tháng 01 năm 2023 của Bộ trưởng Bộ Tư pháp)

__________

Chương I. NHỮNG QUY ĐỊNH CHUNG

Điều 1. Phạm vi điều chỉnh và đối tượng áp dụng

1. Phạm vi điều chỉnh: Quy chế này quy định về việc bảo đảm an toàn, an ninh thông tin mạng trong các hoạt động của Bộ Tư pháp.

2. Đối tượng áp dụng:

a) Các đơn vị thuộc Bộ Tư pháp và cán bộ, công chức, viên chức và người lao động thuộc các đơn vị thuộc Bộ.

b) Cơ quan, tổ chức, cá nhân có hoạt động, thiết bị kết nối vào hệ thống mạng của Bộ Tư pháp.

c) Cơ quan, tổ chức, cá nhân cung cấp dịch vụ công nghệ thông tin (CNTT) và an toàn, an ninh thông tin mạng cho các đơn vị thuộc Bộ.

Điều 2. Giải thích từ ngữ

Trong Quy chế này, các từ ngữ dưới đây được hiểu như sau:

1. An toàn thông tin mạng là sự bảo vệ thông tin, hệ thống thông tin trên mạng tránh bị truy nhập, sử dụng, tiết lộ, gián đoạn, sửa đổi hoặc phá hoại trái phép nhằm bảo đảm tính nguyên vẹn, tính bảo mật và tính khả dụng của thông tin.

2. An ninh mạng là sự bảo đảm hoạt động trên không gian mạng không gây phương hại đến an ninh quốc gia, trật tự, an toàn xã hội, quyền và lợi ích hợp pháp của cơ quan, tổ chức, cá nhân.

3. Hạ tầng kỹ thuật là tập hợp các thiết bị tính toán (máy chủ, máy trạm), lưu trữ, thiết bị ngoại vi, thiết bị kết nối mạng, thiết bị phụ trợ, đường truyền, mạng nội bộ, mạng diện rộng ...

4. Phần mềm độc hại là phần mềm có khả năng gây ra hoạt động không bình thường cho một phần hay toàn bộ hệ thống thông tin hoặc thực hiện sao chép, sửa đổi, xóa bỏ trái phép thông tin lưu trữ trong hệ thống thông tin.

5. Hệ thống thông tin là tập hợp phần cứng, phần mềm và cơ sở dữ liệu được thiết lập phục vụ mục đích tạo lập, cung cấp, truyền đưa, thu thập, xử lý, lưu trữ và trao đổi thông tin trên mạng.

Điều 3. Nguyên tắc bảo đảm an toàn, an ninh thông tin

1. Bảo đảm an toàn, an ninh thông tin là yêu cầu bắt buộc, thường xuyên, liên tục, có tính xuyên suốt quá trình liên quan đến thông tin và thiết kế, xây dựng, vận hành, nâng cấp, hủy bỏ hệ thống thông tin. Bảo đảm an toàn, an ninh thông tin tuân thủ các nguyên tắc chung quy định tại Luật An toàn thông tin mạng, Luật An ninh mạng, Nghị định số 53/2022/NĐ-CP ngày 15/8/2022 của Chính phủ về Quy định chi tiết một số điều của Luật An ninh mạng (gọi tắt là Nghị định số 53/2022/NĐ-CP) và Nghị định số 85/2016/NĐ-CP ngày 01/7/2016 của Chính phủ về bảo đảm an toàn hệ thống thông tin theo cấp độ (gọi tắt là Nghị định số 85/2016/NĐ-CP) và các quy định pháp luật khác có liên quan.

2. Xác định rõ quyền hạn, trách nhiệm của Thủ trưởng đơn vị, từng bộ phận, cá nhân trong đơn vị đối với công tác bảo đảm an ninh, an toàn thông tin. Các đơn vị bố trí nhân sự làm đầu mối phối hợp với Cục Công nghệ thông tin trong việc bảo đảm an toàn, an ninh thông tin.

3. Tuân thủ các quy định và hướng dẫn về bảo đảm an toàn, an ninh thông tin của cơ quan có thẩm quyền.

4. Cán bộ, công chức, viên chức và người lao động trong các đơn vị thuộc Bộ có trách nhiệm bảo đảm an toàn, an ninh thông tin trong phạm vi xử lý công việc của mình theo quy định của Nhà nước và của Bộ Tư pháp.

5. Thông tin có bí mật nhà nước phải được bảo vệ theo các quy định pháp luật về bí mật nhà nước; Quy chế bảo vệ bí mật nhà nước của Bộ Tư pháp và các nội dung tương ứng trong Quy chế này.

6. Xử lý sự cố an toàn, an ninh thông tin phải phù hợp với trách nhiệm, quyền hạn và bảo đảm lợi ích hợp pháp của cơ quan, đơn vị, cá nhân liên quan và theo quy định của pháp luật.

Điều 4. Các hành vi bị nghiêm cấm

1. Các hành vi bị nghiêm cấm quy định tại Điều 7 Luật An toàn thông tin mạng, Điều 8 Luật An ninh mạng và Điều 5 Luật Bảo vệ bí mật nhà nước.

2. Tự ý đấu nối thiết bị mạng, thiết bị cấp phát địa chỉ mạng, thiết bị phát sóng như điểm truy cập mạng không dây của cá nhân vào các mạng máy tính của cơ quan mà không có sự đồng ý bằng văn bản của đơn vị quản lý.

3. Tự ý kết nối máy tính cá nhân với hệ thống mạng của Bộ Tư pháp (trừ hệ thống mạng không dây quản lý tập trung của Bộ).

4. Tự ý kết nối máy tính soạn thảo tài liệu mật với các thiết bị có tính năng lưu trữ, thiết bị có tính năng thu phát sóng, thiết bị có tính năng truyền dữ liệu (thiết bị lưu trữ USB thương mại, thẻ nhớ, máy tính bảng, máy ảnh, điện thoại di động, thiết bị thu phát sóng 3G/4G ...), ngoại trừ trường hợp sử dụng thiết bị chuyên dụng do Ban Cơ yếu Chính phủ sản xuất.

5. Nghiêm cấm chuyển đổi mục đích sử dụng từ máy tính dùng để soạn thảo, luu trữ thông tin mật có nội dung bí mật nhà nước sang máy tính có kết nối Internet và ngược lại mà chưa có giải pháp hủy dữ liệu triệt để.

6. Sử dụng chung thiết bị có tính năng lưu trữ tài liệu (thiết bị lưu trữ USB, thẻ nhớ, ổ cứng rời ...) trên máy tính ở các mạng khác nhau trong Bộ Tư pháp (như mạng vùng quản trị, vùng cơ sở dữ liệu, vùng ra internet...).

7. Người dùng tự ý thay đổi, gỡ bỏ biện pháp an toàn thông tin cài đặt trên thiết bị CNTT phục vụ công việc; tự ý thay thế, lắp mới, tráo đổi thành phần của máy tính phục vụ công việc.

8. Tạo ra, cài đặt, phát tán phần mềm độc hại gây ảnh hưởng đến hoạt động bình thường của hệ thống thông tin, hệ thống mạng Bộ Tư pháp

9. Cản trở hoạt động cung cấp dịch vụ của hệ thống thông tin; ngăn chặn việc truy nhập đến thông tin của cơ quan, cá nhân khác trên môi trường mạng, trừ trường hợp pháp luật cho phép.

10. Bẻ khóa, trộm cắp, sử dụng mật khẩu, khóa mật mã và thông tin của cơ quan, cá nhân khác trên môi trường mạng.

11. Tự ý chia sẻ thông tin tài khoản và mật khẩu của đơn vị, cá nhân trái quy định, thẩm quyền.

12. Các hành vi khác làm mất an toàn, bí mật thông tin của cơ quan, cá nhân khác được trao đổi, truyền đưa, lưu trữ trên môi trường mạng.

Chương II. QUY ĐỊNH BẢO ĐẢM AN TOÀN, AN NINH THÔNG TIN MẠNG

Điều 5. Xác định cấp độ và phương án bảo đảm an toàn, an ninh hệ thống thông tin. Xác lập hệ thống thông tin quan trọng về an ninh quốc gia

1. Việc xác định cấp độ hệ thống thông tin và xây dựng phương án bảo vệ hệ thống thông tin theo cấp độ phục vụ mục đích đánh giá an toàn thông tin và bảo đảm an toàn thông tin cho các hệ thống thông tin. Nguyên tắc bảo đảm an toàn thông tin theo cấp độ và nguyên tắc xác định cấp độ căn cứ trên các nguyên tắc quy định tại Điều 4, Điều 5 Nghị định 85/2016/NĐ-CP.

2. Chủ quản hệ thống thông tin

a) Bộ Tư pháp là chủ quản hệ thống thông tin đối với các hệ thống do Bộ quyết định đầu tư hoặc Bộ được giao làm chủ đầu tư nhiệm vụ, dự án xây dựng, thiết lập, nâng cấp, mở rộng hệ thống thông tin.

Bộ Tư pháp ủy quyền cho các đơn vị thuộc Bộ quản lý trục tiếp các hệ thống do Bộ làm chủ quản thông qua một trong các loại văn bản sau: Quyết định phê duyệt dự án, trong đó giao đơn vị làm chủ đầu tư dự án; Quyết định của Bộ trưởng Bộ Tư pháp có nội dung giao đơn vị làm nhiệm vụ quản lý hệ thống; Văn bản ủy quyền theo quy định tại Thông tư số 12/2022/TT-BTTTT ngày 12/8/2022 của Bộ Thông tin và Truyền thông Quy định chi tiết và hướng dẫn một số điều của Nghị định số 85/2016/NĐ-CP (sau đây gọi tắt là Thông tư số 12/2022/TT-BTTTT).

b) Các đơn vị thuộc Bộ là chủ quản hệ thống thông tin do đơn vị quyết định đầu tư dự án xây dựng, quyết định giao kinh phí thường xuyên để xây dựng, thiết lập, nâng cấp, mở rộng hệ thống thông tin; là chủ quản hệ thống thông tin do đơn vị phê duyệt đề cương, dự toán chi tiết; quản lý trực tiếp các hệ thống do Bộ ủy quyền theo quy định tại điểm a khoản này.

c) Chủ quản hệ thống thông tin (hoặc đơn vị được ủy quyền quản lý trực tiếp hệ thống thông tin) thực hiện trách nhiệm theo quy định tại Điều 20 Nghị định 85/2016/NĐ-CP.

3. Đơn vị vận hành hệ thống thông tin

a) Đơn vị vận hành hệ thống thông tin được quy định tại Điều 5 Thông tư số 12/2022/TT-BTTTT.

b) Đơn vị vận hành hệ thống thông tin là đơn vị được Bộ giao chủ quản hệ thống thông tin.

4. Đơn vị chuyên trách về an toàn, an ninh thông tin mạng

Cục Công nghệ thông tin là đơn vị chuyên trách về an toàn thông tin mạng và an ninh mạng của Bộ Tư pháp.

5. Trình tự, thủ tục, thẩm quyền xác định cấp độ an toàn hệ thống thông tin

a) Đơn vị lập hồ sơ đề xuất cấp độ:

- Đối với các hệ thống thông tin thuộc các nhiệm vụ, dự án đang trong giai đoạn lập dự án, đơn vị lập dự án lập hồ sơ đề xuất cấp độ;

- Đối với các hệ thống thông tin thuê dịch vụ, đơn vị chủ trì thuê dịch vụ lập hồ sơ đề xuất cấp độ;

- Đối với các hệ thống thông tin đang trong giai đoạn triển khai, đơn vị chủ trì triển khai lập hồ sơ đề xuất cấp độ;

- Đối với các hệ thống thông tin đang vận hành, đơn vị vận hành lập hồ sơ đề xuất cấp độ.

- Việc xác định, phân loại hệ thống thông tin theo quy định tại Thông tư số 12/2022/TT-BTTTT.

- Nội dung của hồ sơ đề xuất cấp độ hệ thống thông tin theo quy định tại Điều 15 Nghị định 85/2016/NĐ-CP.

- Nội dung, thời gian thẩm định hồ sơ đề xuất cấp độ hệ thống thông tin quy định tại Điều 16 Nghị định 85/2016/NĐ-CP.

- Trình tự, thủ tục xác định cấp độ hệ thống thông tin theo quy định tại Điều 13, Điều 14 Nghị định 85/2016/NĐ-CP và Điều 07, Điều 08 Thông tư số 12/2022/TT-BTTTT.

b) Đối với các hệ thống thông tin được đề xuất từ cấp độ 3 trở lên, đơn vị cần gửi xin ý kiến chuyên môn của Cục Công nghệ thông tin trước khi trình các cấp có thẩm quyền thẩm định, phê duyệt cấp độ.

c) Thẩm quyền thẩm định và phê duyệt cấp độ theo quy định tại Thông tư số 12/2022/TT-BTTTT.

6. Phương án bảo đảm an toàn hệ thống thông tin

a) Phương án bảo đảm an toàn hệ thống thông tin phải phù hợp với cấp độ của hệ thống thông tin và đáp ứng yêu cầu quy định tại Thông tư số 12/2022/TT-BTTTT, phù hợp với tiêu chuẩn TCVN 11930:2017, các tiêu chuẩn, quy chuẩn kỹ thuật khác và chính sách an toàn thông tin mạng của Bộ Tư pháp.

b) Chủ quản hệ thống thông tin hoặc đơn vị được ủy quyền quản lý trực tiếp hệ thống thông tin tổ chức triển khai phương án bảo đảm an toàn hệ thống thông tin sau khi hồ sơ đề xuất cấp độ hoặc phương án bảo đảm an toàn hệ thống được phê duyệt.

c) Đơn vị chuyên trách chịu trách nhiệm giám sát việc triển khai các phương án bảo đảm an toàn thông tin đã được phê duyệt.

7. Hàng năm, chủ quản hệ thống thông tin có trách nhiệm rà soát, đối chiếu với quy định tại khoản 4 Điều 3 Nghị định 53/2022/NĐ-CP để lập hồ sơ đề nghị đưa hệ thống thông tin thuộc thẩm quyền quản lý của mình vào Danh mục hệ thống thông tin quan trọng về an ninh quốc gia.

Điều 6. Bảo đảm an toàn, an ninh thông tin trong quản lý tài sản CNTT

1. Phân loại tài sản CNTT:

a) Tài sản phần cứng (vật lý): là các trang thiết bị phần cứng CNTT, phương tiện truyền thông và các trang thiết bị phục vụ cho hoạt động của hệ thống thông tin;

b) Tài sản phần mềm: là các phần mềm hệ thống, phần mềm thương mại, phần mềm nội bộ, phần mềm ứng dụng, cơ sở dữ liệu và công cụ phát triển phần mềm;

c) Tài sản thông tin: là các thông tin, cơ sở dữ liệu, dữ liệu ở dạng số hóa.

2. Yêu cầu về quản lý tài sản CNTT:

a) Giao, gắn trách nhiệm cho cá nhân hoặc tập thể quản lý, sử dụng tài sản CNTT.

b) Quy định các quy tắc sử dụng, giữ gìn bảo vệ tài sản CNTT trong các trường hợp như: mang ra khỏi cơ quan, trang thiết bị CNTT liên quan đến dữ liệu bảo mật, thông tin cài đặt và cấu hình.

c) Tài sản phần cứng có lưu trữ dữ liệu quan trọng khi thay đổi mục đích sử dụng hoặc thanh lý, đơn vị phải phối hợp với bộ phận chuyên trách về CNTT thực hiện các biện pháp xóa, tiêu hủy dữ liệu đó bảo đảm không có khả năng phục hồi. Trường hợp không thể tiêu hủy được dữ liệu, đơn vị phải thực hiện tiêu hủy cấu phần lưu trữ dữ liệu trên trang thiết bị CNTT đó.

d) Trang thiết bị CNTT có bộ phận lưu trữ dữ liệu hoặc thiết bị lưu trữ dữ liệu khi mang đi bảo hành, bảo dưỡng, sửa chữa bên ngoài hoặc ngừng sử dụng phải tháo bộ phận lưu trữ khỏi thiết bị (bắt buộc thực hiện đối với trường hợp thiết bị có liên quan dữ liệu mật) hoặc xóa thông tin, dữ liệu lưu trữ trên thiết bị (trừ trường hợp để khôi phục dữ liệu).

đ) Các đơn vị có trách nhiệm bảo dưỡng, bảo trì và hướng dẫn cách sử dụng, quản lý, vận hành hệ thống hạ tầng kỹ thuật của mình; chỉ định bộ phận thực hiện quản lý, vận hành và định kỳ kiểm tra, sửa chữa, bảo trì thiết bị (bao gồm thiết bị đang hoạt động và thiết bị dự phòng).

Điều 7. Bảo đảm an toàn về mặt vật lý và môi trường nơi lắp đặt trang thiết bị tại Trung tâm dữ liệu điện tử

1. Các thiết bị kết nối mạng, thiết bị bảo mật quan trọng như tường lửa (firewall), thiết bị định tuyến (router), hệ thống máy chủ, hệ thống lưu trữ SAN, NAS,... phải được đặt trong trung tâm dữ liệu điện tử của Bộ và phải được thiết lập cơ chế bảo vệ, theo dõi phát hiện xâm nhập và biện pháp kiểm soát truy cập, kết nối vật lý phù hợp với từng khu vực: máy chủ và hệ thống lưu trữ; tủ mạng và đầu nối; thiết bị nguồn điện và dự phòng điện khẩn cấp; vận hành, kiếm soát, quản trị hệ thống. Cục Công nghệ thông tin quản lý Trung tâm dữ liệu điện tử của Bộ (TTDLĐT) có trách nhiệm xây dựng nội quy hoặc hướng dẫn làm việc tại TTDLĐT.

2. Trung tâm dữ liệu điện tử của Bộ là khu vực hạn chế tiếp cận. Chỉ những cá nhân có quyền, nhiệm vụ theo phân công của thủ trưởng đơn vị mới được phép vào TTDLĐT. Việc vào, ra TTDLĐT phải được kiểm soát bằng thiết bị bảo vệ (quẹt thẻ, vân tay, nhận dạng sinh trắc học ...).

3. Trung tâm dữ liệu điện tử của Bộ phải được trang bị hệ thống lưu điện đủ công suất và duy trì thời gian hoạt động của các máy chủ ít nhất 30 phút khi có sự cố mất điện.

4. Trung tâm dữ liệu điện tử của Bộ phải có hệ thống làm mát điều hòa không khí, độ ẩm để bảo đảm môi trường vận hành; hệ thống cảnh báo cháy, hệ thống chữa cháy tự động bằng khí, thiết bị phòng cháy, chữa cháy khẩn cấp; hệ thống cảnh báo hệ thống nguồn điện; hệ thống chống sét lan truyền. Các hệ thống này phải được thiết lập chế độ cảnh báo phù hợp. Cục Công nghệ thông tin phải cử cán bộ thường xuyên giám sát thiết bị, hạ tầng của trung tâm dữ liệu điện tử của Bộ.

Điều 8. Khai thác, sử dụng hệ thống mạng máy tính của Bộ Tư pháp

1. Cục Công nghệ thông tin áp dụng các biện pháp kỹ thuật cần thiết đế bảo đảm hoạt động kết nối Internet của người dùng tại đơn vị được an toàn và thông suốt. Tối thiểu đáp ứng các yêu cầu sau: có hệ thống tường lửa và hệ thống bảo vệ truy cập Internet, đáp ứng nhu cầu kết nối đồng thời, hỗ trợ các công nghệ mạng riêng ảo thông dụng và khả năng bảo vệ hệ thống trước các loại tấn công từ chối dịch vụ; lọc bỏ, không cho phép truy cập các trang tin có nghi ngờ chứa mã độc hoặc các nội dung không phù hợp; thực hiện đăng ký để cấp phát địa chỉ mạng cho thiết bị lần đầu trên hệ thống để cho phép kết nối mạng.

2. Các đơn vị khi có nhu cầu kết nối trang thiết bị vào hệ thống mạng máy tính của Bộ Tư pháp với mục đích phục vụ công việc, có trách nhiệm thông báo bằng công văn cho Cục Công nghệ thông tin để phối hợp thực hiện việc kết nối vào mạng máy tính của Bộ.

3. Các đơn vị và cá nhân tham gia vào hệ thống mạng máy tính không được tự ý thay đổi những thông số mạng hay tự ý đưa các thiết bị mạng, thiết bị viễn thông khác tham gia kết nối vào hệ thống mạng.

4. Các cơ quan bên ngoài khi có kết nối trực tiếp vào mạng của Bộ Tư pháp phải được sự đồng ý của Cục Công nghệ thông tin và tuân theo các quy định, các tiêu chuẩn kỹ thuật phù hợp với hệ thống mạng của Bộ Tư pháp.

5. Các đơn vị và cá nhân sẽ được cấp tài khoản của đơn vị và người dừng để truy cập vào các hệ thống thông tin và hệ thống mạng máy tính của Bộ Tư pháp thực hiện nhiệm vụ.

6. Các cá nhân không được sử dụng hệ thống mạng máy tính của Bộ để khai thác, lưu trữ các dữ liệu, thông tin như các trò chơi, các chương trình giải trí không lành mạnh, có nội dung xấu, không phục vụ công việc.

7. Không kết nối Internet cho các trường hợp sau:

- Máy tính sử dụng để đọc, soạn thảo, lưu trữ, in ấn văn bản có nội dung là bí mật nhà nước.

- Máy tính xử lý thông tin trên hệ thống thông tin cấp độ 4 trở lên.

- Máy tính phục vụ quản trị hệ thống thông tin.

- Các máy chủ và thiết bị CNTT khác ngoại trừ các hệ thống bắt buộc phải có giao tiếp với Internet (các hệ thống phục vụ truy cập Internet; cung cấp giao diện ra Internet của trang tin điện tử, dịch vụ công, thư điện tử; phục vụ cập nhật bản vá hệ điều hành, mẫu mã độc, mẫu điểm yếu, mẫu tấn công...).

- Các máy tính không bảo đảm an ninh, an toàn thông tin khi tham gia mạng máy tính của Bộ như: hệ điều hành không có bản quyền; không cài đặt chương trình diệt virus; thay đổi các thông số mạng của máy mà không thông báo và được sự đồng ý của Cục Công nghệ thông tin; cài đặt các phần mềm ứng dụng không bản quyền, không phục vụ mục đích công việc...

8. Chỉ cài đặt phần mềm hợp lệ và thuộc danh mục phần mềm được phép sử dụng trên máy tính được đơn vị cấp cho mình; không được tự ý cài đặt hoặc gỡ bỏ các phần mềm khi chưa có sự đồng ý của bộ phận chuyên trách về công nghệ thông tin; thường xuyên cập nhật phần mềm và hệ điều hành.

9. Cài đặt phần mềm phòng chống virus và thiết lập chế độ tự động cập nhật cho phần mềm, các đơn vị sử dụng mạng nội bộ của Bộ phải cài đặt chương trình phòng chống virus tập trung của Bộ; khi phát hiện bất kỳ dấu hiệu nào liên quan đến việc bị nhiễm phần mềm độc hại trên máy tính phải tắt máy và báo trực tiếp cho bộ phận chuyên trách về công nghệ thông tin để được xử lý kịp thời.

10. Chỉ truy nhập vào các trang/cổng thông tin điện tử, ứng dụng trực tuyến tin cậy và các thông tin phù hợp với chức năng, trách nhiệm, quyền hạn của mình.

Điều 9. Quản lý tài khoản truy cập

1. Tài khoản người dùng:

a) Đơn vị quản lý người dùng có văn bản đề nghị cấp tài khoản và phân quyền truy cập vào từng hệ thống thông tin, phần mềm ứng dụng cho người dùng của đơn vị mình.

Mỗi người dùng khi sử dụng hệ thống thông tin, phần mềm ứng dụng phải được cấp và sử dụng tài khoản truy cập với định danh duy nhất gắn với người dùng đó. Trường hợp sử dụng tài khoản dùng chung cho một nhóm người hay một đơn vị phải có cơ chế xác định các cá nhân có trách nhiệm quản lý tài khoản, có trách nhiệm bảo mật tài khoản truy nhập thông tin, không chia sẻ mật khẩu, thông tin cá nhân với người khác.

b) Trường hợp người dùng thay đổi vị trí công tác, chuyến công tác, thôi việc hoặc nghỉ hưu thì đơn vị quản lý người dùng phải thông báo bằng văn bản cho chủ quản hệ thống thông tin, phần mềm ứng dụng để thực hiện điều chỉnh, thu hồi, hủy bỏ các quyền sử dụng của người. Quy định cụ thế như sau:

- Văn bản đề nghị cấp mới/ thêm quyền/sửa quyền/ xóa tài khoản khi người dùng thay đổi vị trí công tác, chuyển công tác, thôi việc, nghỉ hưu phải gửi về chủ quản hệ thống thông tin, phần mềm ứng dụng. Trường hợp thay đổi vị trí công tác không sử dụng hình thức văn bản quyết định, đơn vị quản lý người dùng phải thông báo cho chủ quản hệ thống thông tin, phần mềm ứng dụng bằng công văn hoặc theo cách thức quy định trong quy trình quản lý tài khoản CNTT áp dụng tại đơn vị chủ quản hệ thống thông tin, phần mềm ứng dụng.

- Tài khoản phải được điều chỉnh, thu hồi, hủy bỏ trong thời gian không quá 03 ngày làm việc tính từ ngày người dùng chính thức chuyển công tác ra khỏi Bộ, thôi việc, nghỉ hưu; không quá 05 ngày làm việc trong trường hợp thay đổi vị trí công tác hoặc chuyển công tác tới đơn vị khác thuộc Bộ.

- Phải có văn bản đề nghị của đơn vị quản lý người dùng trong trường hợp cần duy trì tài khoản của người dùng sau thời điểm người dùng chính thức thay đổi vị trí công tác, chuyển công tác, thôi việc, nghỉ hưu; trong đó nêu rõ lý do, các quyền sử dụng cần duy trì và thời gian duy trì.

2. Tài khoản quản trị hệ thống:

a) Tài khoản quản trị hệ thống (mạng, hệ điều hành, thiết bị kết nối mạng, phần mềm, ứng dụng, cơ sở dữ liệu) phải tách biệt với tài khoản truy cập của người dùng thông thường. Tài khoản hệ thống phải được giao đích danh cá nhân làm công tác quản trị. Hạn chế dùng chung tài khoản quản trị.

b) Trường hợp cần thiết để bảo đảm an toàn, an ninh cho hệ thống, phải triển khai hệ thống quản lý tài khoản đặc quyền để thực hiện quản lý, lưu giữ, cấp phát tài khoản quản trị hệ thống.

3. Xác thực tài khoản:

a) Mật khẩu tài khoản dùng để truy cập hoặc sử dụng hoặc quản trị hệ thống thông tin; truy cập thiết bị lưu khóa bí mật phải:

- Có tối thiểu 8 ký tự.

- Gồm tối thiểu 3 trong 4 loại ký tự sau: chữ cái viết hoa (A - Z); chữ cái viết thường (a - z); chữ số (0 - 9); các ký tự khác trên bàn phím máy tính (’ ~ ! @ # $ % ^ & * () _ - + = { } [ ] \ I : ; ” ’ <>,. ? /) và dấu cách.

- Không chứa tên tài khoản.

b) Mật khẩu phải được đổi ngay sau khi nhận bàn giao từ người khác hoặc có thông báo về sự cố an toàn thông tin, điểm yếu liên quan đến khả năng lộ mật khẩu; mật khẩu phải được đổi tối thiểu 03 tháng một lần đối với tài khoản của người dùng và 02 tháng một lần đối với tài khoản quản trị hệ thống.

c) Người dùng, người quản trị hệ thống có trách nhiệm bảo vệ thông tin tài khoản được cấp, không tiết lộ mật khẩu hoặc đưa cho người khác phương tiện xác thực tài khoản của mình ngoại trừ các trường hợp: cần xử lý công việc khẩn cấp của đơn vị; cần cung cấp, bàn giao cho đơn vị các thông tin, tài liệu do cá nhân quản lý. Chủ tài khoản phải đổi mật khẩu ngay sau khi kết thúc xử lý các việc này.

4. Khi có yêu cầu khóa quyền truy cập hệ thống thông tin của tài khoản đang hoạt động, lãnh đạo đơn vị đang quản lý người dùng có tài khoản cần khóa phải yêu cầu bằng văn bản gửi đơn vị chủ quản hệ thống thông tin. Đơn vị vận hành hệ thống thông tin thực hiện việc khóa quyền truy cập của tài khoản khi có chỉ đạo của đơn vị chủ quản hệ thống thông tin. Đơn vị chủ quản hệ thống thông tin có quyền khóa quyền truy cập của tài khoản trong trường hợp tài khoản đó thực hiện các hành vi tấn công hoặc để xảy ra vấn đề mất an toàn, an ninh thông tin.

5. Hệ thống tài khoản CNTT phải được rà soát hàng năm, bảo đảm các tài khoản và quyền truy cập hệ thống được cấp phát đúng. Các tài khoản không sử dụng trong thời gian 01 năm phải bị khóa hoặc xóa bỏ (sau khi trao đổi, xác nhận với đơn vị sử dụng).

Điều 10. Quản lý an toàn, an ninh thông tin mức ứng dụng

1. Yêu cầu về bảo đảm an toàn thông tin phải được đưa vào tất cả các công đoạn thiết kế, xây dựng, triển khai và vận hành, sử dụng phần mềm, ứng dụng.

2. Phần mềm, ứng dụng phải đáp ứng các yêu cầu sau: cấu hình phần mềm, ứng dụng để xác thực người dùng; giới hạn số lần đăng nhập sai liên tiếp; giới hạn thời gian để chờ đóng phiên kết nối; mã hóa thông tin xác thực trên hệ thống; không để chế độ đăng nhập tự động...

3. Thiết lập, phân quyền truy nhập, quản trị, sử dụng tài nguyên khác nhau của phần mềm, ứng dụng với người dùng /nhóm người dùng có chức năng, yêu cầu nghiệp vụ khác nhau; tách biệt cổng giao tiếp quản trị phần mềm ứng dụng với cổng giao tiếp cung cấp dịch vụ; đóng các cổng giao tiếp không sử dụng.

4. Chỉ cho phép sử dụng các giao thức mạng có hỗ trợ chức năng mã hóa thông tin như SSH, SSL, VPN hoặc tương đương khi truy nhập, quản trị phần mềm, ứng dụng từ xa trên môi trường mạng; hạn chế truy cập đến mã nguồn của phần mềm, ứng dụng và phải đặt mã nguồn trong môi trường an toàn do bộ phận chuyên trách CNTT quản lý.

5. Các hệ thống thông tin bắt buộc phải có chức năng ghi và lưu trữ nhật ký về hoạt động của hệ thống và người dùng hệ thống thông tin. Ghi và lưu giữ bản ghi nhật ký hệ thống của phần mềm, ứng dụng trong khoảng thời gian tối thiểu 03 tháng với những thông tin cơ bản: thời gian, địa chỉ, tài khoản (nếu có), nội dung truy nhập và sử dụng phần mềm, ứng dụng; các lỗi phát sinh trong quá trình hoạt động; thông tin đăng nhập khi quản trị. Thực hiện việc bảo vệ các chức năng ghi nhật ký và thông tin nhật ký, chống giả mạo, sửa đổi, phá hủy và truy cập trái phép.

6. Chủ quản hệ thống thông tin tổ chức thực hiện kiểm tra, đánh giá an toàn thông tin và quản lý rủi ro an toàn thông tin trong phạm vi cơ quan, tổ chức theo quy định tại Điều 20 Nghị định 85/2016/NĐ-CP.

Hệ thống thông tin và phần mềm ứng dụng phải được kiểm tra, đánh giá an toàn thông tin, đánh giá rủi ro an toàn thông tin và khắc phục các lỗ hổng bảo mật trước khi đưa vào sử dụng và trong quá trình sử dụng.

7. Thực hiện quy trình kiểm soát cài đặt, cập nhật, vá lỗi bảo mật phần mềm, ứng dụng trên các máy chủ, máy tính cá nhân, thiết bị kết nối mạng đang hoạt động thuộc hệ thống mạng nội bộ.

Điều 11. Quản lý an toàn, an ninh thông tin mức dữ liệu

1. Đơn vị phải thực hiện bảo vệ thông tin, dữ liệu liên quan đến hoạt động công vụ, thông tin có nội dung quan trọng, nhạy cảm hoặc không phải là thông tin công khai bằng các biện pháp như: thiết lập phương án bảo đảm tính bí mật, nguyên vẹn và khả dụng của thông tin, dữ liệu; mã hóa thông tin, dữ liệu khi lưu trữ trên hệ thống/thiết bị lưu trữ dữ liệu di động; sử dụng chữ ký số đế xác thực và bảo mật thông tin, dữ liệu; xây dựng quy trình quản lý và phân công cán bộ quản lý.

2. Chủ quản hệ thống thông tin hoặc đơn vị được ủy quyền quản lý trực tiếp hệ thống thông tin triển khai hệ thống/phương tiện lưu trữ độc lập với hệ thống lưu trữ trên các máy chủ dịch vụ để sao lưu dự phòng; phân loại và quản lý thông tin, dữ liệu được lưu trữ theo từng loại/nhóm thông tin được gán nhãn khác nhau; thực hiện sao lưu dự phòng các thông tin, dữ liệu cơ bản sau: tập tin cấu hình hệ thống, ảnh hệ điều hành máy chủ, cơ sở dữ liệu; dữ liệu, thông tin nghiệp vụ.

3. Không soạn thảo, lưu giữ tài liệu, vật chứa bí mật nhà nước trên máy tính, các thiết bị khác đã kết nối hoặc đang kết nối với mạng Internet, mạng máy tính, mạng viễn thông, trừ trường hợp lưu giữ bí mật nhà nước theo quy định của pháp luật về cơ yếu.

4. Các đơn vị thuộc Bộ phải thường xuyên kiểm tra, giám sát các hoạt động chia sẻ, gửi, nhận thông tin, dữ liệu trong hoạt động nội bộ của mình; khuyến cáo việc chia sẻ, gửi, nhận thông tin trên môi trường mạng cần phải sử dụng mật khẩu để bảo vệ thông tin.

5. Hoạt động sao chép và chuyển giao dữ liệu bảo mật ra khỏi hệ thống máy tính độc lập dùng để soạn thảo tài liệu mật phải tuân thủ theo đúng các quy định của Quy chế bảo vệ bí mật nhà nước.

6. Giao dịch trực tuyến phải được truyền đầy đủ, đúng địa chỉ, tránh bị sửa đổi, tiết lộ hoặc nhân bản một cách trái phép; sử dụng các cơ chế xác thực mạnh, chữ ký số khi tham gia giao dịch, sử dụng các giao thức truyền thông an toàn.

Điều 12. Bảo đảm an toàn, an ninh thông tin trong việc quản lý cán bộ, công chức, viên chức và người lao động

1. Phân công nhiệm vụ:

a) Xác định trách nhiệm trong việc bảo đảm an toàn thông tin mạng của vị trí phân công.

b) Bảo đảm người được phân công làm việc tại các vị trí có tiếp xúc với thông tin, dữ liệu bảo mật phải qua bước đánh giá, thẩm tra nhân thân và lý lịch.

c) Yêu cầu người được phân công phải cam kết bảo mật thông tin bằng văn bản riêng hoặc cam kết trong hợp đồng làm việc, hợp đồng lao động, bao gồm các điều khoản về trách nhiệm của cá nhân sau khi thôi việc tại đơn vị.

2. Sử dụng nguồn nhân lực:

Các đơn vị có trách nhiệm:

a) Sau khi tuyển dụng, tiếp nhận nhân sự mới, đơn vị phải có trách nhiệm phổ biến cho nhân sự mới các quy định về bảo đảm an toàn, an ninh thông tin tại đơn vị; đối với các vị trí tiếp xúc, quản lý các thông tin, dữ liệu quan trọng hoặc quản trị các hệ thống thông tin quan trọng, đơn vị phải yêu cầu nhân sự mới cam kết bảo mật thông tin bằng văn bản hoặc cam kết trong hợp đồng làm việc, hợp đồng lao động.

b) Có biện pháp quản lý tài khoản người dùng của cán bộ, công chức, viên chức và người lao động trên các hệ thống thông tin quan trọng.

c) Thường xuyên rà soát, kiểm tra quyền truy cập vào các hệ thống thông tin đối với tất cả cán bộ, công chức, viên chức và người lao động bảo đảm quyền truy cập phù hợp với nhiệm vụ được giao.

d) Phải thường xuyên tổ chức quán triệt các quy định về an toàn, an ninh thông tin, nhằm nâng cao nhận thức về trách nhiệm bảo đảm an toàn, an ninh thông tin của từng cá nhân trong đơn vị.

đ) Thực hiện đúng quy trình cấp mới, quản lý và thu hồi tài khoản, phân quyền truy cập các hệ thống thông tin và tất cả các tài sản liên quan đến hệ thống thông tin đối với các cá nhân do đơn vị quản lý.

3. Chấm dứt hoặc thay đổi công việc:

Khi cán bộ, công chức, viên chức và người lao động châm dứt hoặc thay đổi công việc, cơ quan, đơn vị phải:

a) Xác định rõ trách nhiệm của cán bộ, công chức, viên chức, người lao động và các bên liên quan trong quản lý, sử dụng các tài sản CNTT được giao.

b) Lập biên bản bàn giao tài sản CNTT với đơn vị chủ quản và các đơn vị liên quan.

c) Thay đổi hoặc thu hồi quyền truy cập các hệ thống thông tin.

d) Rà soát, kiểm tra đối chiếu định kỳ giữa bộ phận quản lý nhân sự và bộ phận quản lý cấp phát, thu hồi quyền truy cập hệ thống thông tin để bảo đảm tài khoản người dùng của cán bộ, công chức, viên chức và người lao động đã nghỉ việc được thu hồi.

Điều 13. Bảo đảm an toàn, an ninh thông tin khi tiếp nhận, phát triển, vận hành và bảo trì hệ thống thông tin

1. Khi thực hiện nâng cấp, mở rộng, thay thế một phần hệ thống thông tin, phải rà soát cấp độ, phương án bảo đảm an toàn của hệ thống thông tin và thực hiện điều chỉnh, bổ sung hoặc thay mới hồ sơ đề xuất cấp độ trong trường hợp cần thiết.

2. Khi tiếp nhận, phát triển, nâng cấp, bảo trì hệ thống thông tin, đơn vị phải tiến hành phân tích, xác định rủi ro có thể xảy ra, đánh giá phạm vi tác động và phải chuẩn bị các biện pháp hạn chế, loại trừ các rủi ro này và yêu cầu các bên cung cấp, thi công, các cá nhân liên quan thực hiện.

3. Các hệ thống thông tin được cài đặt tại Trung tâm dữ liệu điện tử của Bộ Tư pháp cần đáp ứng các yêu cầu:

a) Tách biệt với các môi trường phát triển, kiểm tra và thử nghiệm;

b) Áp dụng các giải pháp bảo đảm an toàn thông tin;

c) Không cài đặt các công cụ, phương tiện phát triển ứng dụng;

d) Loại bỏ hoặc tắt các tính năng, phần mềm tiện ích không sử dụng trên hệ thống thông tin;

đ) Áp dụng các biện pháp bảo đảm tính toàn vẹn dữ liệu;

e) Mọi thao tác trên hệ thống phải được lưu vết, sẵn sàng cho kiểm tra, kiểm soát khi cần thiết.

4. Trong quá trình vận hành hệ thống thông tin, đơn vị chủ quản hệ thống thông tin cần thực hiện đánh giá, phân loại hệ thống thông tin theo cấp độ; triển khai phương án bảo đảm an toàn hệ thống thông tin đáp ứng yêu cầu cơ bản trong tiêu chuẩn, quy chuẩn kỹ thuật về bảo đảm an toàn hệ thống thông tin theo cấp độ; thường xuyên kiểm tra, giám sát an toàn hệ thống thông tin; tuân thủ quy trình vận hành, quy trình xử lý sự cố đã xây dựng; ghi lại và lưu trữ đầy đủ thông tin nhật ký hệ thống để phục vụ quản lý, kiểm soát thông tin.

5. Các đơn vị thuộc Bộ liên quan đến việc phát triển phần mềm ứng dụng có trách nhiệm yêu cầu các đối tác (nếu có) thực hiện các công tác bảo đảm an toàn thông tin, tránh lộ, lọt mã nguồn và dữ liệu, tài liệu thiết kế, quản trị hệ thống mà đối tác đang xử lý ra bên ngoài.

Điều 14. Giám sát an toàn, an ninh thông tin mạng

1. Nguyên tắc, yêu cầu, nội dung, phương thức, hệ thống kỹ thuật phục vụ công tác giám sát thực hiện theo quy định tại Thông tư số 31/2017/TT-BTTTT ngày 15/11/2017 của Bộ Thông tin và Truyền thông quy định hoạt động giám sát an toàn hệ thống thông tin.

2. Chủ quản hệ thống thông tin chỉ đạo việc giám sát đối với các hệ thống thông tin thuộc phạm vi quản lý, phối hợp với Cục Công nghệ thông tin và các đơn vị chức năng chuyên trách về an toàn an ninh thông tin giám sát theo quy định.

Điều 15. Kiểm tra, đánh giá an toàn, an ninh thông tin

1. Chủ quản hệ thống thông tin có thẩm quyền yêu cầu kiểm tra, đánh giá đối với các hệ thống thông tin thuộc thẩm quyền quản lý. Đơn vị chuyên trách về an toàn thông tin của chủ quản hệ thống thông tin có thẩm quyền yêu cầu kiểm tra, đánh giá đối với các hệ thống thông tin do đơn vị này phê duyệt hồ sơ đề xuất cấp độ.

2. Đơn vị chủ trì kiểm tra, đánh giá là đơn vị được cấp có thẩm quyền giao nhiệm vụ hoặc được lựa chọn để thực hiện việc kiểm tra, đánh giá. Đối tượng kiểm tra, đánh giá là chủ quản hệ thống thông tin hoặc đơn vị vận hành hệ thống thông tin và các hệ thống thông tin có liên quan.

3. Nội dung, hình thức kiểm tra, đánh giá theo quy định tại Điều 11, Điều 12 Thông tư số 12/2022/TT-BTTTT.

4. Cục Công nghệ thông tin thực hiện việc đánh giá hiệu quả của các biện pháp bảo đảm an toàn thông tin theo thẩm quyền. Nội dung đánh giá là cơ sở để điều chỉnh phương án bảo đảm an toàn thông tin cho phù hợp.

Điều 16. ứng cứu sự cố an toàn, an ninh thông tin mạng

1. Đơn vị chuyên trách ứng cứu khẩn cấp sự cố an toàn thông tin mạng, Đội ứng cứu sự cố an toàn thông tin mạng Bộ Tư pháp

a) Cục Công nghệ thông tin là đơn vị chuyên trách về ứng cứu sự cố an toàn thông tin mạng của Bộ Tư pháp. Đơn vị chuyên trách về ứng cứu sự cố an toàn thông tin mạng thực hiện trách nhiệm quy định tại khoản 2 Điều 6 Quyết định số 05/2017/QĐ-TTg.

b) Đội ứng cứu sự cố an toàn thông tin mạng Bộ Tư pháp (Đội ứng cứu sự cố) được thành lập theo quyết định 1246/QĐ-BTP ngày 30/5/2022 và tổ chức thực hiện ứng cứu, khắc phục sự cố an toàn thông tin mạng tại Bộ Tư Pháp. Quy chế hoạt động của Đội ứng cứu được ban hành theo Quyết định số 2216/QĐ-BTP ngày 11/11/2022 ban hành quy chế hoạt động của Đội ứng cứu sự cố an toàn thông tin mạng Bộ Tư pháp.

2. Kế hoạch ứng phó sự cố bảo đảm an toàn, an ninh thông tin mạng

a) Các đơn vị thuộc Bộ tổ chức xây dựng, phê duyệt kế hoạch ứng phó sự cố cho các hệ thống thông tin do đơn vị trực tiếp quản lý theo đề cương tại Phụ lục II Quyết định số 05/2017/QĐ-TTg (bao gồm các điều chỉnh do Bộ Thông tin và Truyền thông ban hành nếu có) và tổ chức triển khai kế hoạch sau khi phê duyệt. Đối với các nội dung trong kế hoạch vượt thẩm quyền quyết định của đơn vị, đơn vị lấy ý kiến của Cục Công nghệ thông tin, báo cáo Bộ xem xét, quyết định.

b) Các kế hoạch ứng phó sự cố sau khi được phê duyệt phải gửi Cục Công nghệ thông tin tổng hợp thành kế hoạch chung của Bộ. Cục Công nghệ thông tin có trách nhiệm xây dựng kế hoạch ứng phó sự cố của Bộ, trình Lãnh đạo Bộ phê duyệt.

c) Kế hoạch ứng phó sự cố được rà soát và điều chỉnh hàng năm (nếu cần thiết) trước ngày 31 tháng 10, làm cơ sở để xây dựng kế hoạch bảo đảm an toàn, an ninh thông tin năm tiếp theo.

3. Quy trình ứng cứu sự cố an toàn thông tin mạng

a) Các tổ chức, cá nhân khi phát hiện dấu hiệu tấn công hoặc sự cố an toàn thông tin mạng cần nhanh chóng báo cho đơn vị vận hành hệ thống thông tin, đơn vị chủ quản hệ thống thông tin liên quan, Cục Công nghệ thông tin, Đội ứng cứu sự cố. Đội ứng cứu sự cố có trách nhiệm cập nhật, công khai thông tin liên lạc, đường dây nóng trên cổng thông tin điện tử của Bộ.

b) Khi xảy ra sự cố an toàn thông tin mạng thuộc loại hình tấn công mạng, đơn vị vận hành hệ thống thông tin thực hiện báo cáo theo quy định tại Điểm a Khoản 1 Điều 11 Quyết định 05/2017/QĐ-TTg và Điều 9 Thông tư số 20/2017/TT-BTTT ngày 12/9/2017 của Bộ Thông tin và Truyền thông quy định về điều phối, ứng cứu sự cố an toàn thông tin mạng trên toàn quốc (sau đây gọi tắt là Thông tư số 20/2017/TT-BTTT), đồng thời báo cáo Cục Công nghệ thông tin để tổng hợp, báo cáo lãnh đạo Bộ. Trách nhiệm của các đơn vị khi phát hiện, tiếp nhận xác minh, xử lý ban đầu và phân loại sự cố an toàn thông tin mạng theo quy định tại Điều 12 Quyết định 05/2017/QĐ-TTg và Điều 10 Thông tư số 20/2017/TT-BTTTT.

c) Quy trình ứng cứu sự cố an toàn thông tin mạng theo quy định tại Điều 13, Điều 14 Quyết định 05/2017/QĐ-TTg và Điều 11 Thông tư số 20/2017/TT-BTTTT.

 4. Diễn tập ứng cứu sự cố an toàn thông tin mạng

a) Chủ quản hệ thống thông tin tổ chức diễn tập ứng cứu sự cố theo kế hoạch ứng phó sự cố được phê duyệt.

b) Cục Công nghệ thông tin và Đội ứng cứ sự cố chủ trì, phối hợp với các đơn vị thuộc Bộ tham gia các cuộc diễn tập quốc gia, quốc tế do Cơ quan điều phối quốc gia, Bộ Thông tin và Truyền thông tổ chức và tổ chức diễn tập ứng cứu sự cố hàng năm trong phạm vi Bộ Tư pháp.

Điều 17. Phong tỏa, hạn chế hoạt động của hệ thống thông tin

1. Việc áp dụng biện pháp phong tỏa, hạn chế hoạt động của hệ thống thông tin được tiến hành trong trường hợp khi có căn cứ hệ thống thông tin đã mất an toàn, an ninh thông tin hoặc bị lợi dụng không gian mạng để khủng bố hoặc thực hiện hành vi vi phạm pháp luật.

2. Trình tự thủ tục thực hiện:

a) Cục Công nghệ thông tin phối hợp với chủ quản hệ thống thông tin khẩn cấp thực hiện biện pháp phong tỏa, hạn chế hoạt động của hệ thống thông tin.

b) Cục Công nghệ thông tin phối hợp với chủ quản hệ thống thông tin báo cáo Lãnh đạo Bộ. Đồng thời, thực hiện thông báo và phối hợp với lực lượng chuyên trách bảo vệ an ninh mạng thực hiện theo trình tự, thủ tục quy định tại Nghị định 04/2019/NĐ-CP ngày 27/12/2019 và Nghị định 101/2016/NĐ-CP ngày 01/7/2016.

Chương III. TRÁCH NHIỆM CỦA CÁC TỔ CHỨC, CÁ NHÂN

Điều 18. Trách nhiệm của Cục Công nghệ thông tin

1. Thực hiện trách nhiệm của đơn vị chuyên trách về an toàn thông tin theo quy định tại Điều 21 Nghị định 85/2016/NĐ-CP và Quy chế này.

2. Hướng dẫn triển khai Quy chế này và các quy định liên quan của Nhà nước.

3. Xây dựng kế hoạch, báo cáo về an toàn, an ninh thông tin mạng của Bộ Tư pháp.

4. Bảo đảm an toàn, an ninh thông tin cho các hệ thống thông tin, cơ sở dữ liệu dùng chung của Bộ.

5. Đôn đốc, giám sát, kiểm tra và báo cáo Bộ việc thực hiện Quy chế này tại các đơn vị thuộc Bộ.

6. Xây dựng kế hoạch tuyên truyền, phổ biến nâng cao nhận thức về an toàn, an ninh thông tin mạng tại Bộ Tư pháp và thực hiện các nội dung theo kế hoạch đã được phê duyệt.

7. Cục Công nghệ thông tin phối hợp với Vụ Tổ chức cán bộ xây dựng, trình Bộ trưởng phê duyệt kế hoạch dài hạn, kế hoạch hàng năm về đào tạo, bồi dưỡng nghiệp vụ an toàn, an ninh thông tin cho cán bộ, công chức, viên chức và người lao động của Bộ và tổ chức đào tạo theo kế hoạch đã phê duyệt.

Điều 19. Trách nhiệm của Vụ Tổ chức Cán bộ

Căn cứ nhu cầu về đào tạo nguồn nhân lực bảo đảm an toàn thông tin của các đơn vị thuộc Bộ, phối hợp với Cục Công nghệ thông tin xây dựng trình Bộ phê duyệt kế hoạch dài hạn, kế hoạch hàng năm về đào tạo, bồi dưỡng nghiệp vụ an toàn, an ninh thông tin cho cán bộ, công chức, viên chức và người lao động của Bộ và thực hiện tổ chức đào tạo theo kế hoạch đã phê duyệt.

Điều 20. Trách nhiệm của các đơn vị thuộc Bộ

1. Thực hiện các trách nhiệm được giao tại Quy chế này.

2. Thực hiện các báo cáo theo quy định, gửi Cục Công nghệ thông tin tổng hợp, báo cáo Bộ.

3. Triển khai quy chế bảo đảm an toàn, an ninh thông tin tại đơn vị bảo đảm phù hợp với Quy chế này và các yêu cầu cụ thể của đơn vị.

4. Thực hiện việc quản lý trang thiết bị CNTT và cán bộ, công chức, viên chức, người lao động theo Quy chế này.

5. Phối hợp với Cục Công nghệ thông tin bảo đảm an toàn, an ninh thông tin cho các hệ thống thông tin, cơ sở dữ liệu dùng chung của Bộ và các hệ thống thông tin do đơn vị quản lý, vận hành.

6. Thường xuyên kiểm tra, theo dõi và đánh giá công tác bảo đảm an toàn, an ninh thông tin mạng tại cơ quan, đơn vị mình, coi đây là nhiệm vụ trọng tâm của đơn vị.

7. Thường xuyên tổ chức các hoạt động tuyên truyền, phổ biến nâng cao nhận thức về bảo đảm an toàn, an ninh thông tin đến toàn thể cán bộ, công chức, viên chức và người lao động tại đơn vị.

Điều 21. Trách nhiệm của chủ quản hệ thống thông tin

1. Thực hiện trách nhiệm của đơn vị chủ quản hệ thống thông tin theo quy định tại Điều 20 Nghị định 85/2016/NĐ-CP và Quy chế này.

2. Chỉ đạo, phân công các đơn vị vận hành các hệ thống thông tin triển khai công tác bảo đảm an toàn thông tin trong tất cả các công đoạn liên quan đến hệ thống thông tin.

Điều 22. Trách nhiệm của đơn vị vận hành hệ thống thông tin

1. Thực hiện trách nhiệm của đơn vị vận hành hệ thống thông tin theo quy định tại Điều 22 Nghị định số 85/2016/NĐ-CP và các nhiệm vụ do chủ quản hệ thống thông tin phân công.

2. Chỉ đạo, phân công các bộ phận kỹ thuật thuộc đơn vị (quản lý ứng dụng; quản lý dữ liệu; vận hành hệ thống thông tin; triển khai và hỗ trợ kỹ thuật) triển khai công tác bảo đảm an toàn thông tin trong tất cả các công đoạn liên quan đến hệ thống thông tin.

Điều 23. Trách nhiệm cá nhân

1. Thủ trưởng đơn vị thuộc Bộ có trách nhiệm: phổ biến tới từng cán bộ, công chức, viên chức, người lao động của đơn vị; tổ chức triển khai và thường xuyên kiểm tra việc thực hiện Quy chế này tại đơn vị; chịu trách nhiệm trước pháp luật và Lãnh đạo Bộ Tư pháp về các vi phạm, thất thoát thông tin, dữ liệu bảo mật thuộc phạm vi quản lý của đơn vị do không tổ chức, chỉ đạo, kiểm tra cán bộ của đơn vị thực hiện đúng quy định.

2. Cán bộ, công chức, viên chức, người lao động của Bộ Tư pháp, các đơn vị thuộc Bộ và các đơn vị khác thuộc đối tượng áp dụng của quy định có trách nhiệm: tuân thủ Quy chế; thông báo các vấn đề bất thường liên quan tới an toàn thông tin cho đơn vị, bộ phận chuyên trách về an toàn thông tin mạng của đơn vị; chịu trách nhiệm trước pháp luật và Lãnh đạo đơn vị về các vi phạm, thất thoát dữ liệu bảo mật của ngành Tư pháp do vi phạm Quy chế; tự cập nhật kiến thức về an ninh mạng và an toàn thông tin đã được đưa lên trang thông tin của Cục Công nghệ thông tin.

Chương IV. TỔ CHỨC THỰC HIỆN

Điều 24. Nguồn lực thực hiện

1. Kinh phí bảo đảm an toàn, an ninh thông tin mạng theo cấp độ từ nguồn vốn ngân sách nhà nước và các nguồn vốn hợp pháp theo quy định của pháp luật.

2. Kinh phí đầu tư cho bảo đảm an toàn, an ninh thông tin mạng sử dụng vốn ngân sách nhà nước. Đối với dự án đầu tư công để xây dựng mới hoặc mở rộng, nâng cấp hệ thống thông tin, kinh phí đầu tư cho bảo đảm an toàn, an ninh thông tin mạng theo cấp độ độ được bố trí trong vốn đầu tư của dự án tương ứng.

3. Kinh phí thực hiện giám sát, quản lý rủi ro an toàn, an ninh thông tin mạng; đào tạo ngắn hạn, tuyên truyền, phổ biến nâng cao nhận thức, diễn tập an toàn thông tin và ứng cứu sự cố được lập và bố trí trong dự toán chi thường xuyên hàng năm của Bộ theo quy định của Pháp luật.

4. Căn cứ nhiệm vụ được giao, các cơ quan, tổ chức thuộc Bộ thực hiện lập dự toán, sử dụng và quyết toán kinh phí thực hiện nhiệm vụ bảo đảm an toàn thông tin theo quy định của Luật Ngân sách Nhà nước.

Điều 25. Khen thưởng, kỷ luật

1. Kết quả thực hiện Quy chế này là một trong những tiêu chí đánh giá kết quả thực hiện hàng năm của cá nhân, đơn vị đồng thời là tiêu chí bắt buộc để xem xét tình hình khen thưởng và danh hiệu thi đua đối với các tổ chức, cá nhân.

2. Đơn vị, cá nhân vi phạm Quy chế này và các quy định khác của pháp luật về bảo đảm an toàn, an ninh thông tin mạng, tùy theo tính chất, mức độ vi phạm sẽ bị xử lý kỷ luật hoặc các hình thức xử lý khác theo quy định của pháp luật; nếu vi phạm gây thiệt hại đến tài sản, thông tin, dữ liệu thì chịu trách nhiệm bồi thường theo pháp luật hiện hành.

Điều 26. Tổ chức thực hiện

1. Thủ trưởng các đơn vị thuộc Bộ phổ biến, quán triệt và tổ chức thực hiện Quy chế này trong phạm vi đơn vị.

2. Cục Công nghệ thông tin theo dõi, đôn đốc, kiểm tra các đơn vị thực hiện Quy chế này; hàng năm kiểm tra, tổng kết, đánh giá và báo cáo trình Bộ trưởng.

3. Tổng cục Thi hành án dân sự thực hiện xây dựng Quy chế bảo đảm an toàn, an ninh thông tin mạng cho Hệ thống các cơ quan Thi hành án dân sự.

4. Vụ Tổ chức cán bộ chủ trì, phối hợp với Cục Công nghệ thông tin trong việc đào tạo, bồi dưỡng nghiệp vụ an toàn, an ninh thông tin cho cán bộ, công chức, viên chức và người lao động của Bộ.

5. Trường hợp các văn bản quy phạm pháp luật được dẫn chiếu tại Quy chế này được bãi bỏ, thay thế, sửa đổi, bổ sung thì thực hiện theo văn bản quy phạm pháp luật mới.

6. Trong quá trình tổ chức thực hiện, nếu có những vấn đề vướng mắc các đơn vị kịp thời phản ánh về Cục Công nghệ thông tin để tổng hợp, trình Bộ trưởng xem xét, quyết định việc sửa đổi, bổ sung cho phù hợp với tình hình thực tế và các quy định của pháp luật./.