SỞ thông tin và truyềN thôNG

ỦY BAN NHÂN DÂN THÀNH PHỐ HỒ CHÍ MINH SỞ THÔNG TIN VÀ TRUYỀN THÔNG Số: ……../STTTT-CNTT Về chính sách đảm bảo an toàn thông tin tại các đơn vị.

CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM Độc lập - Tự do - Hạnh phúc Tp. Hồ Chí Minh, ngày tháng 4 năm 2012

Sở Thông tin và Truyền thông đề nghị các đơn vị thực hiện triển khai nội dung các chính sách đảm bảo an toàn thông tin nêu trên tại đơn vị và các đơn vị trực thuộc nhằm giảm thiểu các nguy cơ gây mất an toàn thông tin trong quá trình ứng dụng công nghệ thông tin trong quản lý nhà nước trên địa bàn thành phố.

1. 
   Tắt máy tính trước khi về.
   
2. 
   Quét virus ổ cứng di động, thẻ nhớ ngay sau khi gắn vào máy tính.
   
3. 
   Quét virus trước khi gửi và nhận tài liệu qua email.
   
4. 
   Xóa dữ liệu trên ổ cứng di động, thẻ nhớ trước khi cho người khác dùng.
   
5. 
   Đặt mật khẩu truy cập vào máy vi tính. Mật khẩu phải nhiều hơn 8 ký tự và bao gồm số, chữ cái và các ký tự đặc biệt.
   
6. 
   Thay đổi mật khẩu đăng nhập mỗi 03 tháng/ lần.
   
7. 
   Phải thiết lập chế độ tự động bảo vệ màn hình máy vi tính khi không sử dụng trong thời gian từ 15 phút trở lên.
   

1. 
   Không lưu trữ các tài liệu quan trọng lên ổ cứng di động, thẻ nhớ.
   
2. 
   Không chia sẽ mật khẩu của cá nhân cho người khác, không đăng nhập mật khẩu khi có người bên cạnh.
   
3. 
   Không lưu mật khẩu trên máy vi tính, điện thoại, sổ tay cá nhân…
   
4. 
   Không sử dụng chế độ tự động đăng nhập thư điện tử, phần mềm.
   
5. 
   Không truy cập các trang web và các tập tin không rõ nguồn gốc hoặc có nội dung xấu.
   
6. 
   Không được lưu trữ, tải xuống hoặc phát tán các chương trình, mã độc hại, thông tin xấu.
   
7. 
   Không cài đặt và sử dụng các phần mềm ngoài danh sách phần mềm do cơ quan quy định.
   

• 
  Tuân thủ đầy đủ các quy định về: “Các quy định về an toàn thông tin đối với người sử dụng” (quy định tại phụ lục 1);
  
• 
  Sửa chữa hệ thống phần cứng, thiết bị thông tin trong mạng nội bộ của cơ quan theo yêu cầu;
  
• 
  Thực hiện chính sách hạn chế quyền cài đặt phần mềm tại các máy trạm;
  
• 
  Hỗ trợ hướng dẫn sử dụng các ứng dụng phần mềm tại đơn vị và phối hợp với các đơn vị phát triển phần mềm chỉnh sửa, nâng cấp trong trường hợp phát sinh yêu cầu hoặc lỗi;
  
• 
  Xây dựng, thực hiện và giám sát chính sách ATTT tại cơ quan.
  
• 
  Thực hiện các nhiệm vụ liên quan đến hệ thống công nghệ thông tin của cơ quan do Lãnh đạo đơn vị chỉ đạo thực hiện;
  
• 
  Cung cấp số điện thoại riêng về danh sách các thành viên bộ phận quản trị IT (mail, di động, điện thoại bàn) để nhận phản hồi từ cán bộ công chức về các tình huống ảnh hưởng đến ATTT hoặc các sự cố về thông tin;
  

• 
  Phải ghi lại nhật ký hoạt động (NKHĐ) về phòng máy chủ: kiểm soát việc ra vào của nhân viên tại phòng máy, hiện tượng sai lệch và bất bình thường của hệ thống vận hành, thời gian xảy ra lỗi, cảnh báo hiện tượng nguy cấp, xác định máy trạm hay phân vùng mạng có khả năng là nguyên nhân, lỗi trong quá trình hoạt động của các thiết bị và trong quá trình bảo trì...;
  
• 
  Ghi nhận nhật ký các hoạt động sửa chữa, hỗ trợ thực hiện trực tiếp tại các phòng ban về hệ thống mạng, máy trạm, các hệ thống phần mềm ứng dụng của cơ quan.
  
• 
  Kiểm tra hệ thống điện, nhiệt độ phòng máy, toàn bộ máy chủ, các thiết bị mạng, các hệ thống bảo mật (router, switch, firewall, hệ thống phòng chống phần mềm độc hại,..), giao diện Cổng thông tin, phần mềm ứng dụng của cơ quan 02 lần/ ngày (sáng & chiều) để phát hiện kịp thời những thay đổi, bất thường;
  
• 
  Kiểm tra, giám sát an toàn an ninh thông tin thông qua các camera quan sát trong cơ quan (nếu có);
  
• 
  Cập nhật thông tin các cán bộ công chức của cơ quan cho chính xác khi phát sinh thay đổi.
  

• 
  Kiểm tra và cập nhật các bản và lỗi, bản cập nhật cho các hệ thống bảo mật (thiết bị phần cứng, phần mềm, Firewall, Antirus,…);
  
• 
  Kiểm tra các điều kiện phòng cháy chữa cháy, điều kiện nhiệt độ hoạt động và nguồn điện cho phòng máy chủ;
  
• 
  Theo dõi nhật ký hệ thống, trang web, phần mềm ứng dụng và các hệ thống thông tin (logfile) trong cơ quan 02 lần/ tuần để phát hiện kịp thời những trường hợp bất thường;
  
• 
  Sao lưu dự phòng dữ liệu trên các máy chủ, sao lưu dữ liệu trên các hệ thống thông tin (quản lý hồ sơ công việc, Website, cấp phép, chấm công ….);
  

• 
  Tổng hợp báo cáo về việc tuân thủ quy định an toàn an ninh thông tin của toàn bộ cán bộ công nhân viên và những sự cố về ATTT trong cơ quan đồng thời đề xuất những biện pháp giải quyết thích hợp trình Lãnh đạo phụ trách;
  
• 
  Giám sát và cập nhật phân quyền truy cập hệ thống thông tin trong cơ quan và đưa ra những quy định chi tiết để hướng dẫn người sử dụng;
  
• 
  Cập nhật danh sách các phần mềm, hệ điều hành khác mà các CBCNV trong cơ quan có thể cài đặt, chạy thử nghiệm các ứng dụng;
  
• 
  Cập nhật danh sách các phần mềm bị cấm không được sử dụng đối với các nhân viên;
  
• 
  Xây dựng chính sách sao lưu dữ liệu dung chung, cá nhân được lưu trên máy chủ FILE, dữ liệu của camera (nếu có), dữ liệu của các phần mềm ứng dụng, Cổng thông tin… định kỳ hàng tháng để bảo vệ là những dữ liệu chuyên môn, quan trọng phục vụ công tác của cơ quan, đơn vị. Các thiết bị lưu trữ thông tin này phải được bảo quản ở nơi an toàn và bảo mật.
  
• 
  
  

• 
  Phối hợp các phòng ban thực hiện việc xây dựng, triển khai và cập nhật quy định ATTT trong cơ quan. Làm báo cáo tổng hợp trong cuộc họp hàng quý với lãnh đạo đơn vị.
  
• 
  Xây dựng các quy trình cụ thể để triển khai quy định ATTT đến tòan bộ CBCNV trong cơ quan;
  
• 
  Bộ phận quản trị IT có trách nhiệm tham mưu đề xuất việc đào tạo, nâng cao kiến thức về ATTT cho nhân viên cơ;
  
• 
  Phối hợp cùng đơn vị tư vấn độc lập, có uy tín về bảo mật, an toàn thông tin để thực hiện kiểm thử, đánh giá rủi ro đối với hệ thống thông tin trong cơ quan (ít nhất 01 lần/ năm hoặc khi có các thay đổi lớn) để nâng cấp thiết bị, phần mềm hoặc sửa đổi chính sách nhằm mục đích hoàn thiện hệ thống hơn.
  

• 
  Bộ phận quản trị IT phải xây dựng Quy trình xử lý các tình huống đột xuất đối với hệ thống thông tin và Quy trình phối hợp với Đội ứng cứu và đảm bảo vận hành hệ thống mạng, phần mềm của thành phố;
  
• 
  Tuân thủ các quy định trong quy trình xử lý sự cố đột xuất;
  
• 
  Trực tiếp xử lý những sự cố đột xuất về kỹ thuật theo khả năng và phạm vi được giao khi nhận được thông báo về sự cố;
  
• 
  Bộ phận quản trị IT phải ghi nhận lại các mẫu tấn công, phạm vi bị ảnh hưởng, chi phí khắc phục...để rút kinh nghiệm cho những lần sau;
  
• 
  Đối với các tình huống nằm ngoài thẩm quyền, bộ phận IT phải xin ý kiến chỉ đạo Lãnh đạo đơn vị về cách thức xử lý tiếp theo;
  
• 
  Thực hiện công tác ứng cứu, xử lý sự cố về thông tin, sự cố máy tính trong cơ quan theo yêu cầu của lãnh đạo đơn vị.
  

• 
  Bộ phận quản trị IT phải xác định loại tài nguyên trong hệ thống thông tin (cơ sở dữ liệu, thông tin, thiết bị...) mà cộng tác viên có thể truy cập trách nhiệm của cộng tác viên khi xảy ra các sự cố về hệ thống thông tin của cơ quan;
  
• 
  Bộ phận quản trị IT phải giám sát, ghi lại toàn bộ các tác động của Bên thứ 3 vào hệ thống máy tính của cơ quan.