Công văn 3175/TCT-CNTT 2024 tăng cường an toàn thông tin mạng ngành Thuế

Kính gửi: Cục Thuế tỉnh/thành phố trực thuộc Trung ương

Căn cứ chỉ đạo của Lãnh đạo Bộ Tài chính tại Thông báo số 481/TB-BTC ngày 26/4/2024 về tăng cường bảo đảm an toàn thông tin mạng; hướng dẫn của Văn phòng Ban chỉ đạo An toàn, an ninh mạng quốc gia về việc tăng cường công tác an ninh mạng hệ thống thông tin trọng yếu quốc gia tại công văn số 31/VP-BCĐ ngày 28/3/2024, Tổng cục Thuế yêu cầu Cục Thuế triển khai một số nhiệm vụ cấp bách như sau:

1. Thủ trưởng các đơn vị quán triệt các công chức, viên chức, người lao động thuộc phạm vi quản lý thực hiện nghiêm các quy định của pháp luật, quy định của Bộ Tài chính, quy định của Tổng cục Thuế về an toàn thông tin mạng, an ninh mạng, bảo vệ dữ liệu cá nhân, bảo vệ bí mật nhà nước trên không gian mạng; chịu trách nhiệm nếu để hệ thống thông tin thuộc phạm vi quản lý không đảm bảo các quy định về an toàn thông tin mạng.

2. Tổ chức triển khai bảo đảm an toàn thông tin mạng đối với các hệ thống thông tin thuộc phạm vi quản lý của Cục Thuế:

2.1. Đối với máy vi tính (bao gồm máy vi tính để bàn và máy vi tính xách tay): Đảm bảo 100% máy vi tính được cập nhật các bản vá điểm yếu, cài đặt và cập nhật phần mềm phòng chống mã độc của ngành Thuế; không sử dụng thiết bị lưu trữ kết nối (USB, ổ cứng gắn ngoài,...); chỉ cài đặt các phần mềm đảm bảo an toàn. Các máy vi tính trong mạng nội bộ (mạng LAN) không được kết nối trực tiếp ra Internet (qua mạng không dây, qua 3G, 4G,...). Trường hợp truy cập các Website bên ngoài đê phục vụ mục đích công việc phải thông qua hệ thống truy cập Internet (hệ thống Internet tập trung, hệ thống proxy) do Tổng cục triển khai. Các máy vi tính không kết nối mạng nội bộ (máy vi tính để bàn, máy vi tính xách tay do ngành Thuế trang bị sử dụng ngoài trụ sở cơ quan Thuế) khi truy cập Internet chỉ được vào các trang Website phục vụ công việc.

2.2. Đối với máy vi tính soạn thảo văn bản mật: cấp máy vi tính riêng biệt để sử dụng làm máy vi tính mật; không được kết nối với mạng LAN; không kết nối với Internet; chỉ sử dụng thiết bị USB mật do Ban Cơ yếu Chính phủ cung cấp (không sử dụng thiết bị USB thông thường).

2.3. Đối với máy chủ do Cục Thuế tự triển khai: Rà soát các tài khoản được phép truy cập máy chủ, đổi mật khẩu (định kỳ 6 tháng/lần); cấu hình mật khẩu phức tạp (tối thiểu 8 ký tự; có tối thiểu 3 trong 4 loại ký tự sau: chữ cái viết hoa (A - Z), chữ cái viết thường (a - z), chữ số (0 - 9), ký tự; mật khẩu không chứa tên tài khoản); cập nhật các bản vá điểm yếu cho máy chủ; cài đặt và cập nhật phần mềm phòng chống mã độc của ngành Thuế.

2.4. Đối với ứng dụng: Rà soát các tài khoản trên ứng dụng đảm bảo phân quyền đúng vai trò người sử dụng; loại bỏ các tài khoản không còn sử dụng (định kỳ 6 tháng/lần).

2.5. Đối với các hệ thống thông tin do Cục Thuế tự xây dựng và triển khai: Thực hiện xây dựng Hồ sơ cấp độ trình Tổng cục phê duyệt trước ngày 15/9/2024 (qua Cục Công nghệ thông tin) theo chỉ đạo tại Thông báo số 481/TB-BTC ngày 26/4/2024 của Bộ Tài chính. Nội dung Hồ sơ cấp độ thực hiện theo hướng dẫn tại Công văn số 478/CATTT-ATHTTT ngày 30/3/2024 của Cục An toàn thông tin - Bộ Thông tin và Truyền thông (Thông báo số 481/TB-BTC ngày 26/4/2024, Công văn số 478/CATTT-ATHTTT ngày 30/3/2024 tại đường dẫn: ftp://ftp.tct.vn/Public/VPTCT/ATTT_2024/).

2.6. Đối với người sử dụng:

- Giữ bí mật tài khoản, mật khẩu và định kỳ thay đổi mật khẩu 6 tháng/lần; không lưu mật khẩu trên trình duyệt, ứng dụng; không cung cấp tài khoản, mật khẩu cho người khác (trừ trường hợp với cán bộ hỗ trợ kỹ thuật xử lý lỗi); không sử dụng chung mật khẩu của tài khoản do ngành cung cấp với các tài khoản khác.

- Không mở các file lạ được gửi từ địa chỉ email không rõ nguồn gốc; không truy cập các hệ thống thông tin cung cấp cho cán bộ thuế sử dụng từ bên ngoài mạng nội bộ (email, hệ thống thông tin nhật ký thanh tra kiểm tra, hệ thống thông tin văn bản điện tử,...) bằng các máy vi tính không đảm bảo an toàn bảo mật; không sử dụng email ngành để đăng ký phục vụ công việc cá nhân.

- Khi dùng máy vi tính của cá nhân (tự trang bị) hoặc máy vi tính của cơ quan để truy cập vào mạng nội bộ từ bên ngoài phải thông qua hệ thống truy cập từ xa (VDI).

- Không được lắp đặt các thiết bị tự trang bị (thiết bị mạng, thiết bị viễn thông (4G), thiết bị đầu cuối (máy in, Ip phone), ...) vào hệ thống mạng nội bộ của cơ quan.

3. Phân công đầu mối thực hiện các công việc về an toàn thông tin và gửi thông tin (họ và tên, chức vụ, email, số điện thoại) về Cục Công nghệ thông tin (qua ông Nguyễn Thanh Phong, email: [email protected], số điện thoại: 024.7689679 - số máy lẻ 6363).

Tổng cục Thuế thông báo để Cục Thuế biết và triển khai thực hiện./.