Cảm ơn quý khách đã gửi báo lỗi.
Quyết định 2926/QĐ-TCHQ của Tổng cục Hải quan về việc ban hành Quy chế bảo đảm an ninh, an toàn Hệ thống Công nghệ thông tin Hải quan
- Thuộc tính
- Nội dung
- VB gốc
- Tiếng Anh
- Hiệu lực
- VB liên quan
- Lược đồ
- Nội dung MIX
- Tổng hợp lại tất cả các quy định pháp luật còn hiệu lực áp dụng từ văn bản gốc và các văn bản sửa đổi, bổ sung, đính chính…
- Khách hàng chỉ cần xem Nội dung MIX, có thể nắm bắt toàn bộ quy định pháp luật hiện hành còn áp dụng, cho dù văn bản gốc đã qua nhiều lần chỉnh sửa, bổ sung.
- Tải về
Đây là tiện ích dành cho thành viên đăng ký phần mềm.
Quý khách vui lòng Đăng nhập tài khoản LuatVietnam và đăng ký sử dụng Phần mềm tra cứu văn bản.
thuộc tính Quyết định 2926/QĐ-TCHQ
Cơ quan ban hành: | Tổng cục Hải quan | Số công báo: | Đã biết Vui lòng đăng nhập tài khoản gói Tiêu chuẩn hoặc Nâng cao để xem Số công báo. Nếu chưa có tài khoản Quý khách đăng ký tại đây! |
Số hiệu: | 2926/QĐ-TCHQ | Ngày đăng công báo: | Đang cập nhật |
Loại văn bản: | Quyết định | Người ký: | Nguyễn Công Bình |
Ngày ban hành: | 06/10/2014 | Ngày hết hiệu lực: | Đã biết Vui lòng đăng nhập tài khoản gói Tiêu chuẩn hoặc Nâng cao để xem Ngày hết hiệu lực. Nếu chưa có tài khoản Quý khách đăng ký tại đây! |
Áp dụng: | Tình trạng hiệu lực: | Đã biết Vui lòng đăng nhập tài khoản gói Tiêu chuẩn hoặc Nâng cao để xem Tình trạng hiệu lực. Nếu chưa có tài khoản Quý khách đăng ký tại đây! | |
Lĩnh vực: | Xuất nhập khẩu |
TÓM TẮT VĂN BẢN
Nội dung tóm tắt đang được cập nhật, Quý khách vui lòng quay lại sau!
tải Quyết định 2926/QĐ-TCHQ
Nếu chưa có tài khoản, vui lòng Đăng ký tại đây!
Nếu chưa có tài khoản, vui lòng Đăng ký tại đây!
Nếu chưa có tài khoản, vui lòng Đăng ký tại đây!
BỘ TÀI CHÍNH Số: 2926/QĐ-TCHQ |
CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM Hà Nội, ngày 06 tháng 10 năm 2014 |
QUYẾT ĐỊNH
VỀ VIỆC BAN HÀNH QUY CHẾ BẢO ĐẢM AN NINH, AN TOÀN HỆ THỐNG
CÔNG NGHỆ THÔNG TIN HẢI QUAN
---------------------
TỔNG CỤC TRƯỞNG TỔNG CỤC HẢI QUAN
Căn cứ Luật Hải quan số 29/2001/QH10 ngày 29/06/2001; Luật số 42/2005/QH11 ngày 14/6/2005 sửa đổi, bổ sung một số điều của Luật Hải quan;
Căn cứ Luật giao dịch điện tử số 51/2005/QH11 ngày 29/11/2005;
Căn cứ Luật Công nghệ thông tin số 67/2006/QH11 ngày 29/06/2006;
Căn cứ Nghị định 174/2013/NĐ-CP ngày 13/11/2013 của Chính phủ quy định xử phạt vi phạm hành chính trong lĩnh vực Bưu chính, viễn thông, công nghệ thông tin và tần số vô tuyến điện;
Căn cứ Nghị định 64/2007/NĐ-CP ngày 10/04/2007 của Chính phủ về ứng dụng công nghệ thông tin trong hoạt động của cơ quan nhà nước;
Căn cứ Quyết định số 02/2010/QĐ-TTg ngày 15 tháng 01 năm 2010 của Thủ tướng Chính phủ quy định về chức năng, nhiệm vụ, quyền hạn và cơ cấu tổ chức của Tổng cục Hải quan trực thuộc Bộ Tài chính;
Xét đề nghị của Cục trưởng Cục Công nghệ thông tin và Thống kê Hải quan,
QUYẾT ĐỊNH:
Nơi nhận: |
KT. TỔNG CỤC TRƯỞNG |
QUY CHẾ
BẢO ĐẢM AN NINH, AN TOÀN
HỆ THỐNG CÔNG NGHỆ THÔNG TIN HẢI QUAN
(Ban hành kèm theo Quyết định số: 2926/QĐ-TCHQ ngày 06 tháng 10 năm 2014
của Tổng cục trưởng Tổng cục Hải quan)
_____________________
QUY ĐỊNH CHUNG
Trong toàn bộ quá trình xây dựng, phát triển, quản lý, vận hành, khai thác, sử dụng Hệ thống công nghệ thông tin hải quan.
Trong Quy chế này, các từ ngữ dưới đây được hiểu như sau:
CNTT: Công nghệ thông tin.
TCHQ: Tổng cục Hải quan.
ANTT: An ninh thông tin.
Log: Ghi nhật ký.
ID: (Identification number) Tài khoản.
DC: Trung tâm dữ liệu (Data Center - DC) thuộc TCHQ.
DR: Trung tâm dự phòng (Disaster Recovery - DR) thuộc TCHQ.
TTDL&CNTT: Trung tâm dữ liệu và Công nghệ thông tin.
TTQLVH-HTCNTT: Trung tâm quản lý, vận hành hệ thống Công nghệ thông tin hải quan.
Cổng TTĐT Hải quan: Cổng thông tin điện tử Hải quan.
Tài sản CNTT: Bao gồm các trang thiết bị CNTT, các phần mềm thương mại, phần mềm ứng dụng.
Phương tiện xử lý thông tin: Hệ thống, dịch vụ hay cơ sở hạ tầng thông tin, hoặc các vị trí vật lý để đặt chúng.
An toàn thông tin: Sự duy trì tính bí mật, tính toàn vẹn và tính sẵn sàng; ngoài ra còn có thể bao hàm một số tính chất khác như tính xác thực; giải trình trách nhiệm, không thể chối bỏ và tin cậy.
Rủi ro: Sự kết hợp giữa khả năng xảy ra một sự kiện và hậu quả.
Đối tác: Tổ chức hay cá nhân (kể cả bên độc lập với tổ chức, cá nhân) tham gia các việc triển khai hệ thống, mạng, trang thiết bị CNTT; bảo đảm ANTT; nghiên cứu phát triển, kiểm thử, triển khai ứng dụng thuộc Hệ thống CNTT Hải quan.
Hệ thống Công nghệ thông tin hải quan: bao gồm hệ thống mạng, phần cứng máy tính và các thiết bị ngoại vi; hệ thống bảo đảm an ninh mạng, an toàn thông tin; phần mềm quản trị hệ thống, phần mềm ứng dụng triển khai tập trung, phân tán, phần mềm quản trị cơ sở dữ liệu triển khai tại TCHQ, Cục Hải quan các tỉnh, thành phố; các trang/cổng Thông tin điện tử trong ngành Hải quan.
Hệ thống mạng: bao gồm mạng cục bộ tại các đơn vị thuộc, trực thuộc TCHQ, mạng diện rộng ngành Hải quan.
Hệ thống an ninh thông tin: bao gồm phần cứng (máy tính và các thiết bị Firewall), phần mềm quản lý an ninh; các chính sách bảo đảm an ninh, an toàn thông tin.
Phần mềm: bao gồm phần mềm thương mại và phần mềm ứng dụng
Phần mềm ứng dụng: bao gồm phần mềm ứng dụng xử lý dữ liệu tập trung, phần mềm ứng dụng xử lý dữ liệu phân tán.
Phần mềm ứng dụng xử lý dữ liệu tập trung: là Hệ thống chương trình ứng dụng xử lý dữ liệu tập trung triển khai tại DC, DR, TTDL&CNTT (VNACCS/VCIS và các ứng dụng liên quan; Hệ thống thông quan một cửa quốc gia v.v..)
Phần mềm ứng dụng xử lý phân tán: là Hệ thống chương trình ứng dụng được xử lý dữ liệu phân tán cài đặt tại DC, DR; phòng máy chủ thuộc TTDL&CNTT, văn phòng Cục, Chi cục Hải quan.
Dữ liệu điện tử hải quan: là dữ liệu thu thập từ các Phần mềm ứng dụng xử lý dữ liệu tập trung, phân tán; các nguồn dữ liệu điện tử khác theo quy định (VD: văn bản quét trên mạng).
Phần mềm thương mại: là phần mềm đóng gói, triển khai trong các hệ thống CNTT như Windows Server; windows 20xx; SQL Server; Oracle; Virus v.v...
Người dùng: bao gồm quản trị viên, người sử dụng chương trình (gọi chung là người dùng).
Tài khoản người dùng: gồm tên truy cập và mật khẩu dùng để truy cập vào các chương trình trong Hệ thống CNTT Hải quan.
Mật khẩu đặc quyền: Mật khẩu duy nhất có đặc quyền cao (gọi tắt là mật khẩu đặc quyền) là mật khẩu của các tài khoản trọng yếu có quyền cao nhất đối với Hệ thống công nghệ thông tin Hải quan, như quyền cài đặt, cấu hình lại hệ thống, quyền tạo ra các tài khoản khác trong hệ thống, quyền khôi phục lại dữ liệu hoặc bản thân hệ thống từ các bản sao lưu.
Mật khẩu quản trị: Là các mật khẩu của tài khoản dùng để quản trị Hệ thống CNTT Hải quan (chỉ có một số quyền nhất định).
Mật khẩu người dùng: Mật khẩu của tài khoản người sử dụng khi đăng nhập Hệ thống Công nghệ thông tin Hải quan.
Xác thực đa nhân tố: Xác thực đa nhân tố dựa trên những thông tin mà người dùng biết (số PIN, mật khẩu) cùng với những gì mà người dùng có (SmartCard, USB, Token, Grid Card...) để chứng minh danh tính.
RAID (Redundant Arrays of Independent Disks): là hình thức ghép nhiều ổ đĩa cứng vật lý thành một hệ thống ổ đĩa cứng có chức năng gia tăng tốc độ đọc/ghi dữ liệu hoặc nhằm tăng thêm sự an toàn của dữ liệu chứa trên hệ thống đĩa hoặc kết hợp cả hai yếu tố trên.
Nhận dạng sinh trắc học: tức là sử dụng các đặc điểm hành vi và sinh học như dấu vân tay, dáng đi và thậm chí cả hình dạng tai để xác nhận danh tính.
- Mạng diện rộng (WAN) ngành Hải quan;
- Hệ thống mạng nội bộ (LAN) và trang thiết bị CNTT triển khai tại DC, DR và cơ quan TCHQ;
- Hệ thống bảo đảm an ninh, an toàn cho Hệ thống CNTT Hải quan tại các DC, DR;
- Máy tính và thiết bị CNTT tại Cục CNTT&Thống kê hải quan.
- Phần mềm ứng dụng xử lý dữ liệu tập trung, phân tán triển khai tại DC, DR;
- Cổng Thông tin điện tử Hải quan.
- Mạng diện rộng (WAN) từ Cục Hải quan các tỉnh thành phố tới các Chi cục Hải quan;
- Hệ thống mạng LAN, máy tính triển khai tại các TTDL&CNTT, Phòng máy chủ, văn phòng làm việc tại Cục, Chi cục Hải quan;
- Hệ thống bảo đảm an ninh, an toàn thông tin tại TTDL&CNTT, các Phòng máy chủ thuộc Cục;
- Máy tính và trang bị CNTT tại Cục Hải quan các tỉnh, thành phố, Chi cục Hải quan trực thuộc.
- Trang bị tại TTDL&CNTT, Phòng máy chủ, các máy tính thuộc Cục Hải quan các tỉnh, thành phố.
- Phần mềm ứng dụng xử lý dữ liệu tập trung, phân tán triển khai tại TTDL&CNTT, Phòng Máy chủ thuộc Cục, Chi cục Hải quan;
- Các phần mềm ứng dụng khác do Cục Hải quan tỉnh, thành phố phát triển, triển khai tại đơn vị;
- Hoạt động của trang/cổng thông tin điện tử hải quan do Cục Hải quan tỉnh, thành phố quản lý.
- Phần mềm ứng dụng xử lý dữ liệu tập trung, phân tán triển khai trên các máy tính do đơn vị quản lý, vận hành.
- Hoạt động của trang/cổng Thông tin điện tử do đơn vị quản lý.
Lãnh đạo Hải quan các cấp phải nhận thức rõ tầm quan trọng về bảo đảm an ninh, an toàn cho Hệ thống CNTT Hải quan; tổ chức triển khai, giám sát kết quả thực hiện các quy định về đảm bảo an ninh, an toàn cho Hệ thống CNTT tại đơn vị mình.
- Các đơn vị thuộc, trực thuộc TCHQ có trách nhiệm phối hợp với Cục CNTT & Thống kê hải quan thực hiện các quy định về đảm bảo an ninh, an toàn cho Hệ thống thông tin Hải quan.
- Đối tác khi thực hiện các công việc liên quan đến Hệ thống CNTT Hải quan phải thực hiện quy định về bảo đảm an ninh, an toàn thông tin.
- Cục CNTT & Thống kê hải quan là đơn vị đầu mối của Tổng cục Hải quan làm việc với Bộ Tài chính, Bộ Thông tin truyền thông, các cơ quan, tổ chức có thẩm quyền; các nhóm chuyên gia, hiệp hội an toàn an ninh thông tin để bảo đảm an ninh, an toàn Hệ thống CNTT Hải quan.
- Các TTDL & CNTT, các đơn vị phụ trách CNTT (đối với các Cục hải quan không có TTDL & CNTT) chủ trì, đầu mối trong phối hợp với Cục CNTT & Thống kê hải quan và các đơn vị quản lý chuyên ngành tại địa phương về đảm bảo an ninh, an toàn cho Hệ thống CNTT Hải quan.
Các đơn vị thuộc, trực thuộc TCHQ thực hiện:
Đơn vị hải quan quản lý trực tiếp cán bộ, công chức, viên chức chấm dứt hoặc thay đổi công việc phải:
- Trước khi đến làm việc, đối tác phải ký với cơ quan hải quan chủ trì thỏa thuận, thực hiện bảo đảm an ninh, an toàn Hệ thống CNTT Hải quan;
- Đối tác chỉ làm việc tại khu vực mạng riêng cho đối tác; không được tùy tiện làm việc ở những nơi ngoài quy định khi chưa được phép;
- Được truy cập vào phần mã nguồn, dữ liệu mà hai bên đã thỏa thuận.
- Xuất trình giấy ra vào với đơn vị chủ trì tại bàn đón tiếp tòa nhà (chứng minh thư hoặc hộ chiếu, giấy liên hệ công tác), và chỉ vào cơ quan khi được cấp thẻ khách hoặc được phép của Bộ phận đón tiếp;
- Khi vào, ra phải được phép, có sự giám sát, hướng dẫn của cán bộ trực tại DC, DR;
- Khi ra vào TTDL&CNTT hoặc các phòng máy chủ tại Cục Hải quan các tỉnh, thành phố phải được phép, và có sự giám sát, hướng dẫn của cán bộ thuộc đơn vị chủ quản.
- Người của đối tác khi đến làm việc tại cơ quan hải quan không được sử dụng các thiết bị thông minh (SmartPhone) để truy cập vào máy tính trong mạng nội bộ của cơ quan hải quan;
- Không được tự ý cài đặt thêm bất cứ phần mềm nào vào máy tính của cơ quan hải quan;
- Không được truy cập vào thư điện tử của cơ quan hải quan dưới mọi hình thức, khi không được phép.
Cục CNTT&Thống kê hải quan, TTDL&CNTT, đơn vị quản lý bộ phận CNTT (Cục Hải quan chưa có TTDL&CNTT):
- Tổ chức hướng dẫn các quy định cho đối tác trước khi tham gia vào Hệ thống CNTT Hải quan;
- Quản lý, giám sát đối tác khi làm việc liên quan tới Hệ thống CNTT Hải quan;
- Thường xuyên kiểm tra, giám sát phát hiện các ảnh hưởng có thể gây ra đối với Hệ thống CNTT Hải quan.
ĐẢM BẢO AN NINH, AN TOÀN TRONG THIẾT KẾ, XÂY DỰNG, TRIỂN KHAI
HỆ THỐNG CNTT HẢI QUAN
TRANG THIẾT BỊ CÔNG NGHỆ THÔNG TIN
- Phòng máy chủ được bố trí hệ thống phòng cháy, chữa cháy chuyên dùng cho phòng máy tính.
- Bố trí các thiết bị dập cháy như bình bọt, bình CO2, v.v..
- Phòng máy chủ được bố trí hệ thống điện đủ công suất hoạt động cho các thiết bị lắp đặt trong phòng.
- Có hai đường dẫn điện khác nhau để phòng rủi ro.
- Trang bị hệ thống phát điện, nhiên liệu dự phòng khi mất điện.
- Thiết bị trong phòng máy chủ được bố trí hệ thống lưu điện tập trung hoặc cho từng thiết bị, đủ công suất hoạt động.
- Kiểm tra thiết bị lưu điện phải bảo đảm hoạt động khi có sự cố mất điện.
- Phòng máy chủ được bố trí hệ thống tiếp đất theo tiêu chuẩn an toàn cho hệ thống máy tính.
- Kiểm tra thường xuyên, bảo đảm hoạt động của hệ thống tiếp đất.
- Phòng máy chủ được bố trí hệ thống chống sét bao gồm: chống sét đánh thẳng, sét đánh lan truyền qua đường cấp điện nguồn, điện thoại, đường mạng.
- Kiểm tra, bảo đảm hệ thống chống sét hoạt động liên tục.
- Phòng máy chủ được bố trí hệ thống điều hòa làm mát, bảo đảm nhiệt độ và độ ẩm cho thiết bị theo tiêu chuẩn của nhà sản xuất quy định.
- Có hệ thống điều hòa dự phòng cho các phòng máy chủ, bảo đảm hệ thống điều hòa phải hoạt động liên tục 24/24h các ngày, đủ công suất.
- Phòng máy chủ tại DC, DR, TTDL&CNTT có hệ thống Camera giám sát hoạt động liên tục 24/24h các ngày.
- Hệ thống Camera giám sát được kết nối với máy tính để lưu trữ dữ liệu và máy tính của bộ phận giám sát.
HỆ THỐNG MẠNG
Thiết kế và vận hành mạng diện rộng theo Quy chế quản lý, vận hành và sử dụng hạ tầng truyền thông thống nhất ngành Tài chính ban hành tại Quyết định số 109/QĐ-BTC ngày 15/01/2009 của Bộ trưởng Bộ Tài chính và các văn bản sửa đổi, cập nhật quy chế này nếu có.
- Phân chia hệ thống mạng nội bộ thành các vùng mạng theo phạm vi truy cập, thực hiện kiểm soát truy cập giữa các vùng bằng tường lửa. Phân chia các vùng mạng tối thiểu như sau:
+ Vùng mạng cho truy cập từ Internet khu vực để dữ liệu trung gian (DMZ) truy cập internet áp dụng với các dịch vụ công hoặc ứng dụng cung cấp ra Internet đối với trang/cổng thông tin điện tử đặt tại đơn vị.
+ Vùng mạng truy cập Internet (trung chuyển các yêu cầu truy cập Internet từ người dùng hoặc máy chủ);
+ Vùng mạng máy chủ nội bộ;
+ Vùng mạng quản trị (các hoạt động quản trị hệ thống, quản trị ANTT phải được thực hiện thông qua vùng mạng này);
+ Vùng mạng người dùng, trong đó tách riêng vùng mạng cho kết nối có dây và không dây;
+ Vùng mạng riêng đối tác: áp dụng cho đối tác tới làm việc tại cơ quan hải quan theo các thỏa thuận, hợp đồng có các công việc liên quan đến các Hệ thống CNTT Hải quan.
- Vô hiệu hóa (tắt) tất cả các dịch vụ không sử dụng tại từng vùng mạng.
- Thực hiện các biện pháp bảo mật, tránh truy cập trực tiếp từ ngoài tới các địa chỉ mạng bên trong (Internet, hạ tầng truyền thông ngành Hải quan).
- Cài đặt các bản cập nhật, vá lỗi đúng hạn cho các tường lửa để khắc phục các điểm yếu an ninh nghiêm trọng; thực hiện chế độ bảo hành hoặc thiết bị dự phòng để đảm bảo sự hoạt động liên tục của tường lửa.
- Khi thiết kế mạng nội bộ (LAN): Bảo đảm đáp ứng các hoạt động nghiệp vụ, năng lực hoạt động của hệ thống và khả năng dự phòng (bảo đảm nút mạng/người; giải thông; tiêu chuẩn về dây cáp, đầu nối mạng, tiêu chuẩn đi dây nối mạng, biện pháp chống nhiễu).
- Lãnh đạo đơn vị chủ trì quản lý Hệ thống CNTT Hải quan phê duyệt toàn bộ sơ đồ thiết kế.
- Triển khai lắp đặt mạng nội bộ phải đúng với sơ đồ thiết kế đã được cấp thẩm quyền phê duyệt; các trang thiết bị kỹ thuật mạng bảo đảm đúng xuất xứ nguồn gốc, tiêu chuẩn kỹ thuật và bảo đảm mỹ quan.
- Triển khai các biện pháp giám sát trong quá trình thi công lắp đặt mạng và thiết bị mạng;
- Thực hiện kiểm thử mạng sau khi hoàn thành lắp đặt bằng các giải pháp kỹ thuật khác nhau, bảo đảm mạng khi đi vào hoạt động đáp ứng các năng lực của hệ thống như thiết kế.
- Các phần mềm thương mại (VD: Windows Server, windows xx, v.v...) phải có bản quyền; thực hiện kiểm thử trước khi triển khai chính thức.
- Triển khai, cài đặt các phần mềm thương mại trên Hệ thống CNTT Hải quan và các phần mềm khác để bảo đảm môi trường triển khai ứng dụng nghiệp vụ, quản lý của cơ quan Hải quan.
- Triển khai cài đặt ngay các bản vá mới nhất của các phần mềm thương mại (bản vá của chính hãng cấp hoặc nguồn gốc cung cấp tin cậy), các phần mềm ngăn chặn mã độc hại và các phần mềm khác bảo đảm đủ môi trường triển khai ứng dụng nghiệp vụ, ứng dụng chuyên môn khác của ngành Hải quan.
PHẦN MỀM ỨNG DỤNG
- Thông báo tới các đơn vị nghiệp vụ cung cấp mới và bổ sung đủ, chính xác, đúng thời gian dữ liệu chuẩn cho từng phần mềm ứng dụng;
- Thực hiện nhập số liệu cho các tệp dữ liệu chuẩn, đôn đốc và phối hợp với các đơn vị nghiệp vụ trong việc nhập dữ liệu chuẩn (đã phân công cụ thể đối với từng phần mềm ứng dụng) bảo đảm đúng thời gian, chính xác và đầy đủ dữ liệu;
- Kiểm tra tính hợp lệ, đầy đủ, chính xác của dữ liệu chuẩn.
- Chịu trách nhiệm cung cấp thông tin dữ liệu chuẩn của từng hệ thống (đã phân công cụ thể đối với từng phần mềm ứng dụng); dữ liệu bảo đảm chính xác, đủ và đúng thời gian quy định;
- Tham gia cập nhật dữ liệu chuẩn, kiểm tra dữ liệu chuẩn theo quy định.
ĐẢM BẢO AN NINH, AN TOÀN TRONG VẬN HÀNH GIÁM SÁT HỆ THỐNG
CÔNG NGHỆ THÔNG TIN HẢI QUAN
TRANG THIẾT BỊ CÔNG NGHỆ THÔNG TIN
Cán bộ, công chức, viên chức thực hiện các quy định sau:
HỆ THỐNG MẠNG
- Cán bộ, công chức, viên chức được phép truy cập vào mạng, hệ thống CNTT Hải quan (từ trong hệ thống mạng) để tác nghiệp nghiệp vụ.
- Chỉ Quản trị viên hệ thống được lãnh đạo đơn vị phân công mới thực hiện truy cập từ xa (bên ngoài) vào Hệ thống CNTT Hải quan để tác nghiệp, xử lý kỹ thuật.
- Quản trị viên hệ thống: khi thực hiện truy cập từ bên ngoài vào Hệ thống CNTT Hải quan, phải thực hiện các biện pháp bảo đảm an ninh, an toàn cho các phương tiện xử lý thông tin (cài đặt các hệ thống giám sát, phòng chống mã độc, chống nghe trộm, chống lấy cắp tài khoản v.v...); các thông tin quan trọng khi truy cập từ ngoài vào Hệ thống CNTT Hải quan phải thực hiện các biện pháp mã hóa, bảo đảm an ninh, an toàn.
- Lãnh đạo đơn vị tổ chức cho cán bộ, công chức, viên chức thực hiện đăng ký và phê duyệt danh sách đề nghị cấp tài khoản truy cập mạng, thu hồi tài khoản với người thay đổi vị trí, không tiếp tục công việc.
- Lãnh đạo đơn vị phê duyệt danh sách cán bộ, công chức, viên chức được truy cập từ bên ngoài qua (VPN) để khai thác thông tin nghiệp vụ, quản lý trong mạng nội bộ hoặc đề nghị thu hồi tài khoản đối với cán bộ, công chức đã thay đổi vị trí công việc, không tham gia truy cập qua mạng ảo (VPN) để vào Hệ thống NetOffice; Hệ thống thông quan điện tử tập trung (có quản lý chuyển cửa khẩu) gửi về TCHQ (Cục CNTT&Thống kê hải quan) để cấp, hoặc thu hồi tài khoản truy cập.
- Cục CNTT&Thống kê hải quan: Kiểm tra, cấp tài khoản truy cập (quyền truy cập) từ xa; thường xuyên rà soát thu hồi quyền truy cập từ xa với cán bộ, công chức đã ngừng công việc, chuyển đổi vị trí công tác, không được giao nhiệm vụ truy cập lấy thông tin qua mạng ảo VPN.
- Triển khai thiết bị giám sát, kiểm tra tình trạng hoạt động của mạng, các thiết bị đang kết nối trong hệ thống mạng.
- Thiết bị giám sát cần chỉ rõ địa chỉ mà thiết bị đang kết nối; địa chỉ bị ngắt kết nối, để giúp quá trình giám sát, xử lý kịp thời sự cố.
Cục CNTT&Thống kê hải quan triển khai:
- Thực hiện đóng tất cả các cổng, dịch vụ, và các tính năng tương tự trên máy tính hay thiết bị mạng chưa sử dụng đối với các Hệ thống CNTT Hải quan tại DC, DR. Cổng TTĐT Hải quan.
- Hướng dẫn các đơn vị thuộc, trực thuộc TCHQ thực hiện đóng tất cả các cổng, dịch vụ, và các tính năng tương tự trên máy tính hay thiết bị mạng không dùng tới.
Các đơn vị thuộc, trực thuộc TCHQ triển khai:
- Triển khai thực hiện đóng tất cả các cổng, dịch vụ, và các tính năng tương tự trên máy tính, thiết bị mạng chưa sử dụng đối với các Hệ thống CNTT Hải quan tại TTDL&CNTT, phòng máy chủ; trang/cổng thông tin điện tử trong phạm vi quản lý của đơn vị.
- Cục CNTT&Thống kê hải quan thực hiện quản lý kết nối mạng trong phạm vi toàn ngành; hỗ trợ tới Cục Hải quan các tỉnh, thành phố quản lý kết nối mạng trong phạm vi Cục Hải quan quản lý.
- Các đơn vị thuộc, trực thuộc TCHQ phối hợp với Cục CNTT&Thống kê hải quan trong việc theo dõi, cấp, thu hồi các quyền truy cập mạng của người dùng.
Cục CNTT&Thống kê hải quan và Cục Hải quan các tỉnh, thành phố:
- Triển khai quản lý định tuyến mạng để bảo đảm các kết nối mạng máy tính và luồng thông tin không vi phạm chính sách quản lý truy cập.
- Triển khai quản lý định tuyến cần được dựa trên cơ chế kiểm tra địa chỉ nguồn và địa chỉ đích.
- Các cổng bảo vệ cần được kiểm tra để xác định địa chỉ nguồn và đích tại các thời điểm quản lý bên trong, bên ngoài mạng nếu các kỹ thuật chuyển đổi địa chỉ mạng và/hoặc máy trung gian được sử dụng, cần hiểu biết tính đầy đủ và sự thiếu sót của cơ cấu được triển khai.
- Quản lý người dùng đã được cấp quyền truy cập hệ điều hành, phù hợp với chính sách quản lý truy cập đã xác định.
- Sau ba lần truy cập không thành công sẽ bị hủy quyền truy cập.
- Sau 5 phút truy cập không thành công sẽ bị hủy quyền truy cập.
- Ghi nhật ký việc sử dụng các đặc quyền của hệ thống.
- Ghi nhật ký những nỗ lực xác thực hệ thống thành công và thất bại.
- Quản trị viên hệ thống:
+ Thực hiện đăng nhập, đăng xuất theo đúng tài khoản đã đăng ký;
+ Số lần đăng nhập tối đa ba (3) lần, quá ba lần đăng nhập, sẽ bị kết thúc đăng nhập.
- Người dùng:
+ Thực hiện đăng nhập, đăng xuất theo đúng tài khoản đã đăng ký; trong cùng thời điểm không được đăng nhập cùng một tài khoản trên nhiều máy tính khác nhau;
+ Số lần đăng nhập tối đa năm (5) lần, quá năm lần đăng nhập, sẽ bị kết thúc đăng nhập;
+ Không được đăng nhập từ tài khoản của người khác.
Tất cả những người dùng đều phải định danh duy nhất (định danh người dùng – User ID) để sử dụng riêng cho họ:
- Các ID của người dùng cần sử dụng để theo dõi các hoạt động của cá nhân. Không được thực hiện những hoạt động của người dùng thông qua các tài khoản đặc quyền, quản trị viên hệ thống.
- Trong trường hợp ngoại lệ, khi yêu cầu xử lý nghiệp vụ, có thể sử dụng ID người dùng chia sẻ một nhóm người dùng hoặc một công việc nhất định, được lãnh đạo đơn vị phê duyệt.
- Khi có yêu cầu xác thực mạnh hoặc xác minh định danh thì thực hiện các phương thức xác thực thay thế mật khẩu, ví dụ các phương tiện mã hóa, thẻ thông minh, thẻ hoặc các phương tiện sinh trắc học hay mã thông báo sẽ được sử dụng.
- Bắt buộc sử dụng các ID và mật khẩu cá nhân riêng để duy trì khả năng giải trình trách nhiệm.
- Triển khai các quy định về quản lý mật khẩu.
- Các phiên làm việc không hoạt động sẽ đóng lại sau thời gian không hoạt động là 15 phút.
- Khi tạm ngừng làm việc, phải đăng xuất hoặc khóa màn hình.
- Xây dựng, trình cấp có thẩm quyền ban hành quy trình vận hành, giám sát hoạt động của Hệ thống mạng Hải quan;
- Thực hiện giám sát hoạt động của Hệ thống mạng diện rộng (WAN), trên phạm vi toàn ngành Hải quan;
- Thực hiện trực, giám sát hoạt động của hệ thống mạng hải quan 24/24 h các ngày, đồng thời nghiên cứu triển khai thiết bị giám sát hoạt động hệ thống mạng (kết hợp với tiếp nhận thông báo qua điện thoại, mail), đưa ra thông báo kịp thời về tình trạng của mạng; khi bị gián đoạn hoạt động mạng đưa ra địa chỉ, thời gian bị gián đoạn, để tổ chức chỉ đạo khắc phục ngay sự cố;
- Hướng dẫn các đơn vị thuộc, trực thuộc TCHQ vận hành, giám sát, khắc phục sự cố với hệ thống mạng trong phạm vi đơn vị chủ trì quản lý.
- Thực hiện vận hành, trực giám sát hoạt động của Hệ thống mạng WAN, LAN trên địa bàn (phạm vi) đơn vị được giao chủ trì quản lý theo đúng quy trình vận hành, giám sát hệ thống mạng.
- Thông báo ngay các sự cố về mạng máy tính về TCHQ (Cục CNTT&Thống kê hải quan) để triển khai các biện pháp khắc phục.
- Khi có sự cố xảy ra, đơn vị phải triển khai ngay biện pháp khắc phục, bảo đảm hệ thống mạng hoạt động liên tục, phục vụ công tác.
- Phối hợp với Cục CNTT&Thống kê hải quan trong vận hành, giám sát, khắc phục sự cố về mạng máy tính, triển khai các biện pháp kỹ thuật trong vận hành, giám sát hoạt động của mạng máy tính.
- Thực hiện giám sát hoạt động của Hệ thống mạng LAN triển khai tại đơn vị;
- Thông báo ngay các sự cố về mạng máy tính về TCHQ (Cục CNTT&Thống kê hải quan) để triển khai các biện pháp khắc phục.
PHẦN MỀM ỨNG DỤNG
- Xây dựng, trình cấp có thẩm quyền ban hành quy trình vận hành, giám sát đối với từng phần mềm ứng dụng;
- Vận hành các phần mềm ứng dụng triển khai tại DC, DR và Cổng TTĐT Hải quan;
- Bảo đảm các ứng dụng hoạt động liên tục 24/24h tất cả các ngày;
- Hỗ trợ các đơn vị hải quan thuộc, trực thuộc TCHQ vận hành, xử lý các sự cố liên quan đến vận hành, giám sát phần mềm ứng dụng.
- Vận hành các phần mềm ứng dụng do đơn vị quản lý, triển khai tại TTDL&CNTT, phòng máy chủ thuộc Cục, Chi cục; vận hành hoạt động trang/cổng thông tin điện tử của đơn vị;
- Bảo đảm các ứng dụng hoạt động liên tục 24/24h tất cả các ngày;
- Thực hiện đúng thao tác vận hành ứng dụng đã quy định trong các quy trình vận hành quy định cho từng phần mềm ứng dụng;
- Hỗ trợ các chi cục Hải quan trực thuộc vận hành các phần mềm ứng dụng, triển khai tại Chi cục hải quan;
- Thực hiện báo cáo, kiến nghị vướng mắc quá trình bảo đảm an ninh, an toàn khi vận hành phần mềm ứng dụng về TCHQ (Cục CNTT&Thống kê hải quan) để kịp thời khắc phục vướng mắc và triển khai quy định mới cho phù hợp.
- Vận hành các phần mềm ứng dụng, trang/cổng thông tin điện tử do đơn vị quản lý;
- Bảo đảm các ứng dụng hoạt động liên tục 24/24h tất cả các ngày;
- Thực hiện đúng thao tác vận hành phần mềm ứng dụng;
- Thực hiện báo cáo, kiến nghị vướng mắc quá trình bảo đảm an ninh, an toàn vận phần mềm ứng dụng về TCHQ (Cục CNTT&Thống kê hải quan) để kịp thời khắc phục vướng mắc và triển khai quy định mới cho phù hợp.
- Tổ chức trực giám sát hoạt động của các phần mềm ứng dụng đã triển khai tại DC, DR; Cổng TTĐT Hải quan;
- Triển khai công nghệ trong hoạt động giám sát tập trung các hoạt động, kịp thời phát hiện các sự cố về hoạt động của phần mềm ứng dụng, có biện pháp khắc phục để bảo đảm các hoạt động liên tục;
- Hướng dẫn, hỗ trợ các đơn vị hải quan thuộc, trực thuộc TCHQ thực hiện giám sát hoạt động của các phần mềm ứng dụng, trang/cổng thông tin điện tử của các đơn vị;
- Tổ chức trực giám sát hoạt động của các phần mềm ứng dụng đã triển khai tại TTDL&CNTT, phòng máy chủ, trang/cổng thông tin điện tử của đơn vị;
- Phối hợp với Cục CNTT&Thống kê hải quan triển khai công nghệ trong hoạt động giám sát tập trung hoạt động của các phần mềm ứng dụng, kịp thời phát hiện các sự cố về hoạt động của ứng dụng, báo cáo về TCHQ (Cục CNTT&Thống kê hải quan) để triển khai các biện pháp khắc phục.
- Hướng dẫn, hỗ trợ các đơn vị hải quan thuộc, trực thuộc Cục thực hiện giám sát hoạt động của các phần mềm ứng dụng, báo cáo về Cục các sự cố liên quan đến hoạt động của phần mềm ứng dụng.
- Tổ chức trực giám sát hoạt động của các phần mềm ứng dụng, trang/cổng thông tin điện tử của đơn vị;
- Phối hợp với Cục CNTT&Thống kê hải quan triển khai công nghệ trong hoạt động giám sát tập trung hoạt động của các phần mềm ứng dụng, kịp thời phát hiện các sự cố về hoạt động của phần mềm ứng dụng, báo cáo về TCHQ (Cục CNTT&Thống kê hải quan) để triển khai các biện pháp khắc phục.
- Xây dựng, trình cấp thẩm quyền ban hành quy trình khai thác số liệu nghiệp vụ trên các phần mềm ứng dụng;
- Chủ trì khai thác dữ liệu đầu ra của các phần mềm ứng dụng, phục vụ công tác nghiệp vụ và Thống kê Nhà nước về Hải quan;
- Hướng dẫn các đơn vị thuộc, trực thuộc TCHQ khai thác dữ liệu đầu ra của các phần mềm ứng dụng, phục vụ công tác nghiệp vụ;
- Kiểm soát các truy cập để khai thác dữ liệu đầu ra của các phần mềm ứng dụng, kịp thời thông báo tới các đơn vị những vấn đề cần thiết để tăng cường biện pháp quản lý số liệu.
- Thực hiện khai thác dữ liệu trên các phần mềm ứng dụng để phục vụ công tác nghiệp vụ, quản lý của đơn vị;
- Chịu trách nhiệm kiểm tra, giám sát cán bộ, công chức, viên chức thuộc đơn vị tham gia khai thác, sử dụng dữ liệu đúng mục đích công việc;
- Chịu trách nhiệm quản lý, bảo mật số liệu đã thực hiện khai thác trên các phần mềm ứng dụng theo các quy định hiện hành;
- Thông báo về TCHQ (Cục CNTT&Thống kê hải quan) những yêu cầu phát sinh, kiến nghị, cả những vấn đề cần phối hợp quản lý để bảo đảm an toàn an ninh cho dữ liệu đã tham gia khai thác.
Cục CNTT&Thống kê hải quan chủ trì sao lưu Hệ thống CNTT hải quan triển khai tại các DC, DR, Cổng TTĐT Hải quan và hỗ trợ, hướng dẫn cho các Cục Hải quan tỉnh, thành phố thực hiện sao lưu, phục hồi dữ liệu.
Các đơn vị thuộc, trực thuộc TCHQ chủ trì sao lưu, phục hồi dữ liệu các Hệ thống CNTT hải quan triển khai tại đơn vị (TTDL&CNTT, Phòng máy chủ tại đơn vị, Chi cục hải quan); trang/cổng thông tin điện tử do đơn vị quản lý.
Nội dung sao lưu phục hồi dữ liệu như sau:
Lãnh đạo đơn vị chủ trì quản lý Hệ thống CNTT Hải quan phê duyệt:
- Thiết lập hệ thống mạng dự phòng cho sao lưu;
- Chuẩn bị thiết bị thay thế dự phòng cho hệ thống sao lưu dữ liệu;
- Sử dụng các thiết bị và chuẩn kết nối tốc độ cao;
- Đảm bảo khả năng lưu trữ các bản sao dữ liệu;
- Xây dựng hệ thống kiểm thử cho việc sao lưu, phục hồi dữ liệu.
- Kiểm tra trạng thái hệ thống trước và sau khi sao lưu dữ liệu;
- Kiểm tra, xác định chính xác dữ liệu cần sao lưu và nơi lưu trữ bản sao dữ liệu;
- Kiểm tra dữ liệu trước và sau khi sao lưu;
- Thực hiện kiểm thử trước khi tiến hành sao lưu.
- Kiểm tra trạng thái hệ thống trước và sau khi phục hồi dữ liệu;
- Kiểm tra, xác định chính xác dữ liệu cần phục hồi trước khi thực hiện phục hồi dữ liệu;
- Kiểm tra dữ liệu trước và sau khi phục hồi;
- Thực hiện kiểm thử trước khi phục hồi dữ liệu.
- Cấu hình RAID trên các máy chủ và trên hệ thống lưu trữ mở rộng sử dụng đĩa cứng;
- Chuẩn bị thiết bị lưu trữ dự phòng để thay thế cho các thiết bị không còn khả năng sử dụng;
- Sử dụng tủ lưu trữ chống cháy và có khóa để lưu trữ dữ liệu.
- Kiểm soát, phân quyền các truy nhập vật lý và truy nhập từ xa tới bản sao dữ liệu.
- Quy định chung về mật khẩu: các phần mềm quản trị hệ thống; phần mềm ứng dụng; phần mềm quản trị cơ sở dữ liệu; hệ thống an ninh an toàn đều có hệ thống mật khẩu riêng (một mật khẩu đặc quyền, các mật khẩu quản trị và mật khẩu người dùng, nhóm người dùng).
- Trách nhiệm quản lý mật khẩu:
+ Cục CNTT&Thống kê hải quan quản lý, cấp phát, thu hồi mật khẩu đặc quyền, mật khẩu quản trị hệ thống, mật khẩu người dùng, nhóm người dùng với các Hệ thống CNTT triển khai tại DC và DR; Cổng TTĐT Hải quan.
+ Cục Hải quan các tỉnh, thành phố quản lý, cấp phát, thu hồi mật khẩu đặc quyền, mật khẩu quản trị hệ thống, mật khẩu người dùng, nhóm người dùng với các Hệ thống CNTT triển khai tại TTDL&CNTT, Phòng máy chủ các đơn vị thuộc Cục; trang/cổng thông tin điện tử do đơn vị quản lý. Quản lý mật khẩu quản trị, mật khẩu người dùng đã đăng ký và được cấp tài khoản truy cập.
+ Các đơn vị thuộc cơ quan TCHQ: Quản lý, cấp phát, thu hồi mật khẩu đặc quyền, mật khẩu quản trị hệ thống, mật khẩu người dùng, nhóm người dùng với các Hệ thống CNTT, trang/cổng thông tin điện tử do đơn vị chủ trì quản lý. Quản lý mật khẩu quản trị, mật khẩu người dùng đã đăng ký và được cấp tài khoản truy cập vào các Hệ thống CNTT Hải quan.
- Mật khẩu đặc quyền: Tại TCHQ do Cục trưởng Cục CNTT và Thống kê quản lý hoặc phân công quản lý; tại các đơn vị thuộc, trực thuộc TCHQ do Trưởng TTDL&CNTT hoặc trưởng đơn vị phụ trách Bộ phận CNTT quản lý;
- Mật khẩu quản trị: Cấp cho quản trị viên của từng hệ thống (quản trị viên hệ thống, quản trị viên ANTT, quản trị viên ứng dụng, quản trị viên quản trị cơ sở dữ liệu).
- Mật khẩu người dùng, nhóm người dùng: cấp cho người sử dụng trong các Hệ thống CNTT Hải quan.
- Nguyên tắc cấp: Một cán bộ, công chức, viên chức không làm quản trị đồng thời hai hệ thống, hai ứng dụng (quản trị viên hệ thống, quản trị viên ANTT, quản trị viên ứng dụng, quản trị viên quản trị cơ sở dữ liệu).
- Cán bộ, công chức, viên chức đăng ký và sử dụng các ID người dùng duy nhất; việc sử dụng ID nhóm chỉ được thực hiện khi có sự phê duyệt của lãnh đạo đơn vị;
- Đơn vị được giao quản lý hệ thống CNTT thực hiện:
+ Kiểm tra người dùng đã được cấp quyền truy cập sử dụng hệ thống hoặc dịch vụ thông tin;
+ Kiểm tra các quyền truy cập được cấp có phù hợp mục đích nghiệp vụ và phù hợp chính sách an ninh của cơ quan không;
+ Thiết lập hồ sơ quản lý tất cả các người đã đăng ký sử dụng dịch vụ;
+ Loại bỏ hoặc ngăn chặn kịp thời các quyền truy cập của những người dùng đã tạm ngừng, nghỉ hoặc thay đổi vị trí công việc;
+ Kiểm tra định kỳ, loại bỏ hoặc chặn các ID người dùng và các tài khoản thừa;
+ Đảm bảo rằng các ID thừa không được cấp cho những người khác.
- Giữ bí mật mật khẩu, không cho người khác biết;
- Tránh giữ hồ sơ (giấy, tập tin phần mềm hoặc thiết bị cầm tay) có ghi mật khẩu, trừ khi hồ sơ được giữ an toàn và phương pháp lưu giữ được phê duyệt;
- Mật khẩu đặt theo tiêu chí mật khẩu mạnh:
+ Có ít nhất 8 ký tự;
+ Chứa từ 3 trong 4 loại ký tự sau: chữ hoa (A, B, C…), chữ thường (a, b, c), chữ số (0, 1, 2...), ký tự đặc biệt (@#...); riêng đối với VNACCS/VCIS chưa sử dụng ký tự đặc biệt.
+ Không chứa tất cả hoặc một phần tên tài khoản người dùng tương ứng;
+ Không sử dụng: ngày sinh nhật, tên đầu hoặc cuối, tên viết tắt, tên vợ con, tên cơ quan, số điện thoại, v.v....
+ Không dễ tổn hại bởi những tấn công dò tìm mật khẩu thông qua từ điển (tức là không chứa các từ trong từ điển);
+ Không phải là dãy ký tự hay số giống nhau liên tiếp.
- Thực hiện thay đổi mật khẩu định kỳ: 6 tháng /lần đối với tài khoản của người dùng; 3 tháng /lần đối với tài khoản quản trị hệ thống;
- Không sử dụng chung mật khẩu của ứng dụng nghiệp vụ với các ứng dụng cá nhân;
- Khi kết thúc công việc phải thực hiện việc đăng xuất;
- Khi bị lộ mật khẩu, hoặc nghi ngờ bị lộ mật khẩu phải đổi mật khẩu và báo cáo ngay cán bộ quản trị để thực hiện khóa ngay tài khoản, nhằm ngăn chặn các hành động phá hoại, lấy cắp thông tin, lợi dụng tín nhiệm;
- Nếu quên mật khẩu, người sử dụng thực hiện theo quy trình cấp mật khẩu mới;
- Khi sử dụng mật khẩu mới, phải đổi sang mật khẩu khác;
- Không đưa mật khẩu vào thủ tục đăng nhập tự động, ví dụ đăng ký trong chương trình macro hay khóa chức năng;
- Không chia sẻ mật khẩu người dùng cá nhân.
- Tuân thủ Quy định chung khi sử dụng mật khẩu;
- Mật khẩu đặc quyền được quản lý, bảo mật, lưu trữ bằng các biện pháp đặc biệt: lưu ra giấy (có đặt khóa mã hóa riêng); mật khẩu và mã khóa riêng của mật khẩu được niêm phong độc lập trong phong bì và cất độc lập trong các tủ hoặc két có mã khóa;
- Người quản lý mật khẩu đặc quyền được phép tạo ra tài khoản có đặc quyền cao để dự phòng; Mật khẩu của tài khoản này phải được lưu giữ với độ an toàn bảo mật cao như mật khẩu đặc quyền. Mật khẩu này được cất trữ riêng biệt, không lưu trong các hệ thống quản lý tự động; không cất cùng với mật khẩu đặc quyền;
- Mật khẩu đặc quyền các máy chủ của trang/cổng thông tin điện tử hải quan (thuê chỗ ngoài): do lãnh đạo đơn vị cấp Phòng, TTDL trực tiếp quản lý và tuân thủ theo nguyên tắc quản lý mật khẩu đặc quyền tại mục (a,b) khoản này;
- Người quản lý mật khẩu đặc quyền được phép tạo ra một mật khẩu có đặc quyền cao, đủ để thực hiện nhiệm vụ cấp mới, thu hồi mật khẩu quản trị, mật khẩu người sử dụng theo thẩm quyền được quy định;
- Mật khẩu đặc quyền và mật khẩu có đặc quyền cao để dự phòng không sử dụng trong thực tế, chỉ được sử dụng trong các trường hợp đặc biệt: Khắc phục sự cố khẩn cấp hoặc sử dụng trong các trường hợp khác đã được Lãnh đạo đơn vị phê duyệt, chỉ đạo.
- Tuân thủ Quy định chung khi sử dụng mật khẩu.
- Lưu trữ mật khẩu bằng các biện pháp an toàn, mã hóa mật khẩu trong quá trình lưu trữ và truyền tải qua mạng.
- Mật khẩu mặc định của nhà sản xuất (mới cấp) phải được thay đổi ngay lập tức sau khi đưa vào hoạt động.
- Mật khẩu quản trị trong Hệ thống CNTT Hải quan, chỉ thực hiện truy cập vào Hệ thống từ các máy tính dùng cho quản trị viên Hệ thống trong khu vực phục vụ kiểm soát an ninh thông tin, có xác thực mạnh.
- Mật khẩu quản trị khi truy cập từ xa (bên ngoài) vào Hệ thống CNTT Hải quan chỉ được thực hiện khi lãnh đạo đơn vị phân công, chỉ đạo cho thực hiện, khi truy cập từ xa phải thực hiện các biện pháp xác thực đa nhân tố, và thực hiện trên các phương tiện xử lý thông tin đã có các Hệ thống bảo đảm an ninh, an toàn.
- Phải thực hiện đăng xuất trong vòng 30 phút đối với tài khoản người dùng và 15 phút đối với tài khoản quản trị khi không sử dụng.
- Ghi nhật ký (log) đăng nhập và thay đổi mật khẩu.
- Tuân thủ Quy định chung khi sử dụng mật khẩu.
- Người dùng phải có tài khoản cá nhân, bao gồm tên đăng nhập và mật khẩu, để xác thực và quản lý định danh người dùng khi tham gia vào hệ thống CNTT Hải quan.
- Người dùng có một mật khẩu tạm thời an toàn và phải được thay đổi ngay lập tức sau lần sử dụng đầu tiên. Mật khẩu tạm thời phải là duy nhất, không được tái sử dụng và phải tuân thủ với yêu cầu về cách thức chọn.
- Thực hiện biện pháp an toàn để cung cấp mật khẩu tạm thời cho người dùng, ví dụ: phong bì đảm bảo dán kín có niêm phong, qua các kênh trao đổi thông tin nội bộ có mã hóa, v.v...
- Việc cấp phát lại mật khẩu cần đảm bảo đúng quy trình cấp mật khẩu mới.
- Trong một số trường hợp người dùng đòi hỏi yêu cầu bảo mật cao, cần triển khai biện pháp xác thực đa nhân tố, tối thiểu là hai nhân tố.
Cán bộ, công chức, viên chức:
Cán bộ, công chức, viên chức:
Cục CNTT&Thống kê hải quan quản lý Hệ thống thư điện tử:
Cuc CNTT&Thống kê hải quan:
- Triển khai các giải pháp phòng chống mã độc hại; cài đặt chương trình tìm, phát hiện, diệt mã độc trên máy tính thuộc DC và DR thuộc TCHQ; hỗ trợ Cục Hải quan các tỉnh, thành phố triển khai chương trình phòng chống mã độc trên các máy tính của đơn vị;
- Sử dụng hai hoặc nhiều sản phẩm phần mềm phòng chống mã độc của các nhà cung cấp khác nhau để nâng cao hiệu quả phòng chống mã độc;
- Tiếp nhận thông báo về sự cố liên quan đến mã độc hại từ các đơn vị thuộc, trực thuộc Tổng cục Hải quan;
- Xác định nguyên nhân và đề ra biện pháp xử lý mã độc.
- Thực hiện các biện pháp xử lý sự cố liên quan đến mã độc hại trên máy trạm và máy chủ;
- Khôi phục hoạt động hệ thống sau khi xử lý sự cố liên quan đến mã độc hại.
Cục Hải quan các tỉnh thành phố:
- Triển khai các giải pháp phòng chống mã độc hại; cài đặt chương trình tìm, phát hiện, diệt mã độc hại trên các máy tính thuộc Cục Hải quan quản lý;
- Tiếp nhận thông báo về sự cố liên quan đến mã độc hại từ các Phòng, Ban, Chi cục hải quan trực thuộc, báo cáo về TCHQ;
- Phối hợp với Cục CNTT&Thống kê hải quan, triển khai các biện pháp xử lý sự cố liên quan đến mã độc hại trên máy trạm và máy chủ;
- Khôi phục hoạt động các máy tính thuộc Cục (Phòng, Ban, Chi cục) sau khi xử lý sự cố liên quan đến mã độc hại.
- Quản lý, theo dõi các giải pháp phòng chống mã độc hại và đảm bảo các giải pháp này vận hành liên tục;
- Theo dõi và phát hiện sớm nguồn phát tán mã độc hại để kịp thời xử lý;
- Báo cáo Tổng cục Hải quan khi các giải pháp phòng chống mã độc hại không hoạt động hoặc hoạt động không đúng chức năng và khi xảy ra sự cố liên quan đến mã độc hại;
- Tổ chức các đơn vị có liên quan trong việc xử lý các sự cố liên quan đến mã độc hại.
Cán bộ, công chức, viên chức thực hiện:
- Triển khai nội dung kiểm tra lỗ hổng bảo mật đối với các Hệ thống CNTT Hải quan một năm/lần; phần mềm ứng dụng quan trọng 6 tháng/lần.
- Thực hiện khắc phục lỗ hổng bảo mật với các Hệ thống CNTT triển khai tại các DR, DC; Cổng TTĐT Hải quan;
- Thông báo, hướng dẫn nội dung cần khắc phục tới các đơn vị thuộc, trực thuộc TCHQ thực hiện khắc phục lỗ hổng bảo mật đối với Hệ thống CNTT Hải quan triển khai, do đơn vị hải quan chủ trì quản lý.
- Tổng hợp kết quả, báo cáo của các đơn vị thuộc, trực thuộc TCHQ; báo cáo Lãnh đạo TCHQ, Lãnh đạo Bộ Tài chính theo định kỳ tháng 6 và tháng 12 hàng năm, và các báo cáo đột xuất.
- Khi có thông báo từ Cục CNTT&Thống kê hải quan, thực hiện khắc phục lỗ hổng bảo mật với các Hệ thống CNTT Hải quan triển khai tại Cục Hải quan, Chi cục hải quan trực thuộc; trang/cổng TTĐT Hải quan do đơn vị quản lý;
- Báo cáo kết quả khắc phục lỗ hổng bảo mật về TCHQ (Cục CNTT&Thống kê hải quan) tổng hợp báo cáo TCHQ, Bộ Tài chính trước ngày 20/6 và 20/12 hàng năm; các báo cáo kiểm tra chấp hành hệ thống; báo cáo đột xuất.
- Khi có thông báo từ Cục CNTT&Thống kê hải quan, thực hiện khắc phục lỗ hổng bảo mật với các Hệ thống CNTT Hải quan; trang/cổng thông tin điện tử do đơn vị triển khai, quản lý.
- Báo cáo kết quả khắc phục lỗ hổng bảo mật về TCHQ (Cục CNTT&Thống kê hải quan) tổng hợp báo cáo TCHQ, Bộ Tài chính trước ngày 20/6 và 20/12 hàng năm; các báo cáo kiểm tra chấp hành hệ thống; báo cáo đột xuất.
- Phần mềm xử lý dữ liệu tập trung;
- Một số phần mềm xử lý dữ liệu phân tán triển khai toàn Ngành (do Cục CNTT&Thống kê hải quan) xác định từng năm;
- Các trang/cổng thông tin điện tử trong ngành Hải quan.
- Kiểm tra, giám sát, đánh giá việc thực hiện công tác thực hiện đảm bảo hoạt động liên tục của hệ thống CNTT 6 tháng/lần;
- Báo cáo lên Lãnh đạo TCHQ việc thực hiện Kế hoạch công tác bảo đảm hoạt động liên tục của Hệ thống CNTT Hải quan, định kỳ 6 tháng/lần.
- Xác định phạm vi và mục tiêu của từng biện pháp kiểm tra.
- Phải lập lịch thực hiện các công tác kiểm tra 6 tháng/lần.
Nội dung kiểm tra:
a1. Kiểm tra các kịch bản khác nhau (trong đó thảo luận về các kịch bản khôi phục hoạt động nghiệp vụ sử dụng các gián đoạn mẫu);
a2. Kiểm tra việc khôi phục kỹ thuật (đảm bảo các hệ thống thông tin có thể được khôi phục thực sự);
a3. Hoàn tất các đợt diễn tập (kiểm tra bảo đảm rằng tổ chức, cá nhân, thiết bị, các phương tiện và quá trình có thể đối phó được với các gián đoạn).
a4. Kiểm tra việc khôi phục từ một vị trí khác (chạy các quy trình nghiệp vụ song song với các hoạt động khôi phục ở xa vị trí chính);
a5. Các cuộc kiểm tra phương tiện và dịch vụ của nhà cung cấp (đảm bảo rằng các dịch vụ và sản phẩm được cung cấp từ bên ngoài sẽ tuân theo cam kết trong hợp đồng).
- Cập nhật những thay đổi, quy trình mới bổ sung thay quy trình cũ;
- Hệ thống CNTT có thay đổi về công nghệ hoặc địa điểm;
- Sau khi thực hiện các biện pháp kiểm tra, đánh giá và các đề xuất.
- Kế hoạch, quy trình khôi phục sau sự cố đối với hệ thống CNTT tại đơn vị đã được Lãnh đạo đơn vị phê duyệt.
- Xây dựng các tài liệu hướng dẫn thực hiện kế hoạch, kiểm thử kế hoạch, và cập nhật kế hoạch khôi phục sau sự cố đối với hệ thống CNTT.
- Phải tổ chức báo cáo lên Lãnh đạo đơn vị định kỳ 6 tháng một lần về việc thực hiện kế hoạch khôi phục sau sự cố đối với hệ thống CNTT.
- Xem xét, cập nhật bổ sung kế hoạch khôi phục sau sự cố định kỳ thực hiện một năm/lần. Khi có thay đổi hệ thống CNTT thì xem xét, cập nhật kế hoạch ngay;
- Xây dựng và cập nhật các biện pháp khôi phục sau sự cố đối với các hệ thống mới.
- Ghi nhật ký quá trình cập nhật kế hoạch.
ĐẢM BẢO AN NINH, AN TOÀN CHO TÀI LIỆU, QUẢN LÝ
THAY ĐỔI, CẬP NHẬT BẢN VÁ, BẢO TRÌ HỆ THỐNG CNTT HẢI QUAN
Lưu giữ theo tiêu chuẩn bí mật Nhà nước của ngành Tài chính quy định tại Thông tư 56/2013/BCA-A81 ngày 13/11/2013 V/v Quy định bí mật Nhà nước của Tài chính, và Tài liệu nghiệp vụ của ngành Hải quan:
Thực hiện kiểm tra, bảo trì, cập nhật bản vá đối với các Hệ thống CNTT Hải quan triển khai tại các DC và DR; Cổng TTĐT Hải quan.
- Định kỳ (3-6)tháng/lần thực hiện kiểm tra, bảo dưỡng các trang thiết bị CNTT; năm/lần với thiết bị mạng.
- Nội dung bảo trì thực hiện theo yêu cầu của nhà sản xuất.
- Năm/lần kiểm tra, nâng cấp kỹ thuật đối với các trang thiết bị CNTT.
- Ghi nhật ký quá trình bảo trì; hoạt động của thiết bị.
- Kiểm tra thường xuyên hoạt động của các phần mềm thương mại (VD: Windows; Oracle; SQL Server v.v…).
- Cập nhật đủ các bản vá mới nhất (cung cấp từ chính hãng hoặc nơi cấp tin cậy).
- Kiểm thử các bản nâng cấp, bản vá, đánh giá trước khi triển khai chính thức.
- Phần mềm ứng dụng phải được nhà cung cấp bảo hành theo thỏa thuận.
- Phần mềm ứng dụng phải được bảo trì thường xuyên, sau bảo hành.
- Hàng năm đều rà soát lại chức năng chương trình, phần mềm ứng dụng được nâng cấp để bảo đảm đủ chức năng, yêu cầu kỹ thuật để đáp ứng các yêu cầu quản lý, nghiệp vụ.
- Nội dung bảo trì ứng dụng thực hiện theo tài liệu hướng dẫn.
TỔ CHỨC THỰC HIỆN
Vụ Tài vụ quản trị phối hợp Cục CNTT & Thống kê Hải quan ưu tiên bố trí kinh phí thực hiện các nhiệm vụ đảm bảo an ninh, an toàn cho các Hệ thống CNTT Hải quan.
Trong quá trình thực hiện, có khó khăn, vướng mắc hoặc kiến nghị bổ sung, các đơn vị kịp thời báo về Tổng cục Hải quan (Cục CNTT&Thống kê hải quan) để xem xét, giải quyết, kịp thời bổ sung./.
PHỤ LỤC
CÁC MẪU BÁO CÁO
MẪU SỐ 01
BÁO CÁO ĐỊNH KỲ
(Ban hành kèm theo Quy chế số ………. ngày ….. tháng ….. năm 2014 của Tổng cục trưởng Tổng cục hải quan)
TỔNG CỤC HẢI QUAN ĐƠN VỊ: …………………. |
CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM |
BÁO CÁO ĐỊNH KỲ
Kính gửi: Tổng cục hải quan
Báo cáo định kỳ |
6 Tháng □ |
Năm □ |
Từ tháng...đến tháng... |
….. |
I. Tình hình hoạt động:
- Tình hình chung
- Các hoạt động, công việc mới phát sinh
- Báo cáo sự cố
II. Kiến nghị
|
……….., ngày …… tháng ….. năm ….. |
MẪU SỐ 02
BÁO CÁO ĐỘT XUẤT
(Ban hành kèm theo Quy chế số ………… ngày ….. tháng ….. năm 2014 của Tổng cục trưởng Tổng cục hải quan)
TỔNG CỤC HẢI QUAN ĐƠN VỊ: …………………. |
CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM |
BÁO CÁO ĐỘT XUẤT
Kính gửi: Tổng cục hải quan
Báo cáo đột xuất |
Khi có sự cố |
Khi có sự việc phát sinh |
Khác |
□ |
□ |
□ |
I. Tình hình hoạt động:
- Báo cáo khi có sự cố: Thực hiện báo cáo khi có sự cố đột xuất không thể xử lý cần xin ý kiến chỉ đạo của Tổng cục hải quan.
- Khi có sự việc phát sinh: Thực hiện báo cáo khi có sự việc mới phát sinh cần xin ý kiến chỉ đạo xử lý.
II. Đề xuất kiến nghị
|
…….., ngày …… tháng ….. năm ….. |
MẪU SỐ 03
BIÊN BẢN KIỂM TRA
(Ban hành kèm theo Quy chế số ………… ngày ….. tháng ….. năm 2014 của Tổng cục trưởng Tổng cục hải quan)
TỔNG CỤC HẢI QUAN ĐƠN VỊ: …………………. |
CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM |
BIÊN BẢN KIỂM TRA
I. Căn cứ kiểm tra
Văn bản số….
II. Thời gian kiểm tra: .... giờ.... ngày ….. tháng .... năm 201....
III. Địa điểm kiểm tra
....................................................................................................................................
....................................................................................................................................
IV. Thành phần Đoàn kiểm tra
1. ................................................................................................................................
2. ................................................................................................................................
3. ................................................................................................................................
V. Nội dung kiểm tra
....................................................................................................................................
....................................................................................................................................
....................................................................................................................................
....................................................................................................................................
VI. Kết quả kiểm tra và nhận xét của các thành viên Đoàn kiểm tra
....................................................................................................................................
....................................................................................................................................
....................................................................................................................................
....................................................................................................................................
VII. Nhận xét:
....................................................................................................................................
VIII. Ý kiến của đơn vị:
....................................................................................................................................
IX. Kết luận của Đoàn (bộ phận) kiểm tra:
....................................................................................................................................
....................................................................................................................................
....................................................................................................................................
Biên bản được lập thành 02 (hai) bản có giá trị như nhau, ….………. giữ 01 bản, Đoàn kiểm tra giữ 01 bản.
Biên bản kết thúc vào lúc …….. giờ …… cùng ngày, đã đọc lại cho các bên cùng nghe và thống nhất nội dung, ký tên vào Biên bản./.
|
…….., ngày …… tháng ….. năm ….. |