Trang chủ

Tin tức sự kiện

QUYẾT ĐỊNH Ban hành Quy chế đảm bảo an toàn thông tin trong hoạt động ứng dụng công nghệ thông tin
Ngày đăng 04/12/2018 | 09:45 | Lượt xem: 179

UBND QUẬN NGÔ QUYỀN

TRƯỜNG TIỂU HỌC THÁI PHIÊN

CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM

Độc lập – Tự do – Hạnh phúc

 

 

Số:  49  /QĐ-THTP

P. Cầu Tre,  ngày    20  tháng  9   năm 2018

 

 

 

QUYẾT ĐỊNH

Ban hành Quy chế đảm bảo an toàn thông tin

trong hoạt động ứng dụng công nghệ thông tin

 

 
 
  

HIỆU TRƯỞNG TRƯỜNG TIỂU HỌC THÁI PHIÊN

 

       Căn cứ  Nghị định số 64/2007/NĐ-CP ngày 10/4/2007 của Chính phủ quy định về  ứng dụng công nghệ thong tin trong hoạt động cơ quan nhà nước;

       Căn cứ Nghị định số 85/2016/NĐ-CP ngày 01/7/2016 của Chính phủ về đảm bảo an toàn hệ thống thông tin theo cấp độ;

       Căn cứ Thông tư số 26/2009/TT-BTTTT ngày 31/7/2009 của Bộ Thông tin và Truyền thông quy định về cung cấp thông tin và đảm bảo khả năng truy cập thuận tiện đối với trang thông tin điện tử của cơ quan Nhà nước.

       Căn cứ vào quy chế làm việc của trường Tiểu học Thái Phiên,

Xét đề nghị của Tổ trưởng tổ văn phòng nhà trường,

QUYẾT ĐỊNH:

Điều 1. Ban hành kèm theo Quyết định này Quy chế đảm bảo an toàn thông tin trong hoạt động ứng dụng công nghệ thông tin của nhà trường.

Điều 2. Quyết định này có hiệu lực từ ngày ký.

Điều 3. Các cán bộ, giáo viên, nhân viên, học sinh nhà trường liên quan chịu trách nhiệm thi hành Quyết định này./.

 

 

Nơi nhận:

- Như Điều 3;

- Website;

- Lưu: VT.

 

HIỆU TRƯỞNG

 

 

(Đã ký)

 

 

Vũ Thị Phượng

 

 

UBND QUẬN NGÔ QUYỀN

TRƯỜNG TIỂU HỌC THÁI PHIÊN

CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM

Độc lập – Tự do – Hạnh phúc

QUY CHẾ

Đảm bảo an toàn thông tin trong hoạt động ứng dụng công nghệ thông tin

(Ban hành kèm theo Quyết định số 49  /QĐ-THTP  ngày  20 tháng 9 năm 2018      )

 

Chương I

QUI ĐỊNH CHUNG

Điều 1. Phạm vi điều chỉnh và đối tượng áp dụng

1. Quy chế này quy định về công tác đảm bảo an toàn thông tin điện tử (ATTT) trong hoạt động ứng dụng công nghệ thông tin (CNTT) 

2. Quy chế này áp dụng đối với trường Tiểu học Thái Phiên, cán bộ, giáo viên, nhân viên, học sinh nhà trường và các cá nhân có liên quan.

Điều 2. Giải thích từ ngữ

1. An toàn thông tin là sự bảo vệ thông tin và các hệ thống thông tin tránh bị truy nhập, sử dụng, tiết lộ, gián đoạn, sửa đổi hoặc phá hoại trái phép nhằm bảo đảm tính nguyên vẹn, tính bảo mật và tính khả dụng của thông tin.

2. An ninh thông tin là việc bảo đảm thông tin trên mạng không gây phương hại đến an ninh quốc gia, trật tự an toàn xã hội, bí mật nhà nước, quyền và lợi ích hợp pháp của tổ chức, cá nhân.

3. Xâm phạm ATTT là hành vi truy cập, sử dụng, tiết lộ, làm gián đoạn, sửa đổi, làm sai lệch chức năng, phá hoại trái phép thông tin và hệ thống thông tin.

4. Hạ tầng kỹ thuật là tập hợp thiết bị tính toán (máy chủ, máy trạm), thiết bị ngoại vi, thiết bị kết nối mạng, thiết bị phụ trợ, mạng nội bộ, mạng diện rộng.

5. Hệ thống thông tin là tập hợp các thiết bị viễn thông, CNTT bao gồm phần cứng, phần mềm và cơ sở dữ liệu phục vụ cho hoạt động lưu trữ, xử lý, truyền đưa, chia sẻ, trao đổi, cung cấp và sử dụng thông tin.

6. Trang thông tin điện tử (website) là hệ thống thông tin dùng để thiết lập một hoặc nhiều trang thông tin được trình bày dưới dạng ký hiệu, số, chữ viết, hình ảnh, âm thanh và các dạng thông tin khác phục vụ cho việc cung cấp và sử dụng thông tin trên Internet.

7. Cổng thông tin điện tử (Portal) là Trang thông tin điện tử tích hợp các kênh thông tin, các dịch vụ và ứng dụng theo một phương thức thống nhất, thông qua một điểm truy cập duy nhất đối với người sử dụng (từ nay gọi chung là website).

8. Phần mềm độc hại là phần mềm có khả năng gây ra hoạt động không bình thường cho một phần hay toàn bộ hệ thống thông tin hoặc thực hiện sao chép, sửa đổi, xóa bỏ trái phép thông tin lưu trữ trong hệ thống thông tin.

9. Cổng giao tiếp (Port) dùng để định danh các ứng dụng gửi và nhận dữ liệu, mỗi ứng dụng sẽ tương ứng với một cổng giao tiếp, những ứng dụng phổ biến được đặt với số hiệu cổng định trước, nhằm định danh duy nhất các ứng dụng đó. Khi máy tính sử dụng dịch vụ nào thì cổng giao tiếp tương ứng với dịch vụ đó sẽ mở.

10. Bản ghi nhật ký hệ thống (Logfile) là một tập tin được tạo ra trên mỗi thiết bị của hệ thống thông tin như: Tường lửa, máy chủ ứng dụng,... có chứa tất cả thông tin về các hoạt động xảy ra trên thiết bị đó. Bản ghi nhật ký hệ thống dùng để phân tích những sự kiện đã xảy ra, nguồn gốc và các kết quả để có các biện pháp xử lý thích hợp.

11. TCVN 7562:2005: Tiêu chuẩn Việt Nam về mã thực hành quản lý ATTT .

12. ISO/IEC 17799:2005: Tiêu chuẩn về CNTT - kỹ thuật an ninh – mã thực hành quản lý ATTT của Tổ chức Tiêu chuẩn quốc tế (ISO).

13. ISO 27001:2005: Tiêu chuẩn về CNTT – hệ thống quản lý an ninh thông tin của ISO.

Điều 3. Phạm vi và tài nguyên đảm bảo an toàn thông tin

1. Hệ thống mạng của nhà trường bao gồm:

- Hệ thống đường truyền dữ liệu, đường kết nối Internet;

- Hệ thống mạng có dây, không dây;

- Các trang thiết bị CNTT được kết nối mạng trong đơn vị.

2. Hệ thống tài nguyên mạng và ứng dụng CNTT bao gồm:

- Hệ thống thư điện tử;

- Hệ thống thông tin quản lý và cơ sở dữ liệu chuyên ngành;

- Cổng thông tin điện tử và hệ thống các website;

- Các phần mềm ứng dụng phục vụ công tác quản lý, điều hành hoạt động của cơ quan nhà nước.

Điều 4. Nguyên tắc chung triển khai công tác an toàn thông tin

1. An toàn thông tin phải được đảm bảo trong quá trình thiết kế, xây dựng, vận hành hệ thống CNTT.

2. Các dự án CNTT hoặc có cấu phần CNTT phải có ý kiến thẩm định chuyên môn về CNTT trong đó có thẩm định nội dung liên quan đến ATTT trước khi được phê duyệt.

3. Khi thuê dịch vụ CNTT hoặc sử dụng dịch vụ thông tin do bên thứ ba cung cấp, cơ quan nhà nước phải làm chủ thông tin, dữ liệu trên hệ thống dịch vụ đó. Tuyệt đối không để nhà cung cấp dịch vụ truy cập, sử dụng thông tin, dữ liệu trong phạm vi nhà nước quản lý.

Điều 5. Các hành vi bị nghiêm cấm

1. Ngăn chặn trái phép việc truyền tải thông tin trên mạng; can thiệp trái phép, gây nguy hại, xóa, thay đổi, sửa chữa, làm sai lệch thông tin trên mạng.

2. Ngăn chặn trái phép, gây ảnh hưởng tới sự hoạt động bình thường của hệ thống thông tin hoặc ngăn chặn trái phép, gây ảnh hưởng tới khả năng truy cập hợp pháp của người sử dụng tới hệ thống thông tin.

3. Tấn công, vô hiệu hóa trái phép làm mất tác dụng của biện pháp bảo vệ ATTT cho hệ thống thông tin; lợi dụng sơ hở, điểm yếu của hệ thống thông tin để cố ý vượt qua biện pháp kiểm soát truy cập, tấn công, chiếm quyền điều khiển trái phép đối với hệ thống thông tin.

4. Phát tán thư rác, tin nhắn rác, phần mềm độc hại, thiết lập hệ thống thông tin giả mạo, lừa đảo.

5. Truy cập bất hợp pháp thông tin của cá nhân hoặc tổ chức.

6. Làm thay đổi hệ thống mạng: tự ý lắp đặt thêm bộ chuyển mạch (swich), lắp đặt thêm mạng không dây, cấu hình địa chỉ IP,...

7. Cấm lưu trữ, đưa lên mạng hoặc trao đổi các thông tin sau:

a) Thông tin chưa được cấp có thẩm quyền công bố.

b) Thông tin thuộc danh mục thông tin mật do pháp luật hiện hành quy định.

c) Thông tin và các dịch vụ thông tin trái với quy định của pháp luật hiện hành như:

- Gây ảnh hưởng đến an ninh quốc gia;

- Xuyên tạc, tuyên truyền chống đối chính sách và pháp luật của Nhà nước;

- Có nội dung kích động bạo lực, tuyên truyền chiến tranh xâm lược, gây hận thù giữa các dân tộc và nhân dân các nước, truyền bá tư tưởng phản động;

- Có ảnh hưởng đến văn hoá xã hội và thuần phong mỹ tục;

- Giả mạo nguồn gốc của thông tin;

- Có ảnh hưởng xấu đến đời tư người khác: quấy rối cá nhân, xúc phạm danh dự, vu khống, xúc phạm đến nhân phẩm người khác.

Chương II

NỘI DUNG, BIỆN PHÁP BẢO ĐẢM AN TOÀN THÔNG TIN

Điều 6Lưu trữ và trao đổi thông tin

1. Việc lưu trữ và trao đổi thông tin phải tuân thủ các quy định của pháp luật về lưu trữ, CNTT và truyền thông.

2. Các dữ liệu, thông tin và tài liệu quan trọng, ở các mức độ mật, tối mật, tuyệt mật thì người sử dụng phải soạn thảo, lưu trữ tại máy tính riêng không kết nối mạng. Phải đặt mật khẩu, mã hoá dữ liệu và các biện pháp bảo mật khác đảm bảo an toàn, an ninh thông tin.

Điều 7. Yêu cầu về công tác bảo đảm an toàn thông tin

1. Hệ thống mạng nội bộ của nhà trường thường xuyên được quản lý, giám sát, kiểm soát nhằm phát hiện và ngăn chặn các truy cập trái phép của người sử dụng và tin tặc; cần được triển khai cơ chế phòng chống vi rút tin học, thư rác cho hệ thống thư điện tử, ….

2. Có biện pháp bảo vệ, phòng và chống các nguy cơ mất cắp thông tin, cháy nổ, ngập dột nước và các thảm hoạ do thiên nhiên hoặc con người gây ra và có các phương án khắc phục sau thảm hoạ.

3. Xây dựng hệ thống dự phòng cho các hệ thống CNTT cốt lõi như: cơ sở dữ liệu, thư điện tử. Phải có quy trình phục hồi, sao lưu dữ liệu định kỳ cho hệ thống các phần mềm và cơ sở dữ liệu.

4. Quản lý chặt chẽ hệ thống tài khoản người sử dụng của các hệ thống thông tin, thư điện tử, và các tài nguyên mạng khác gồm các công việc: tạo mới,kích hoạt, sửa đổi, vô hiệu hoá, xoá bỏ,... Phải có biện pháp khóa hoặc hủy tài khoản, quyền truy nhập, thu hồi các thiết bị liên quan tới hệ thống thông tin (khóa, thẻ nhận dạng,...) cho phù hợp đối với cán bộ, công chức, viên chức đã nghỉ việc hoặc chuyển công tác.

5. Việc thanh lý, tiêu huỷ thiết bị hoặc vật mang thông tin (đĩa cứng, đĩa di động,...) phải đảm bảo yêu cầu không để lộ, lọt thông tin nhà nước. Phải có quy trình cụ thể và phải lưu giữ hồ sơ, biên bản thanh lý, tiêu huỷ.

Điều 8. Một số biện pháp quản  vn hành đảm bảo an toàn thông tin

1. Đối với nhà trường :

a) Bố trí cán bộ phụ trách về ATTT. Cán bộ phụ trách ATTT được đảm bảo điều kiện học tập, tiếp cận công nghệ, kiến thức an toàn bảo mật thông tin trước khi tiến hành các hoạt động quản lý hay kỹ thuật nghiệp vụ.

b) Quan tâm và ưu tiên bố trí kinh phí cần thiết để đảm bảo và tăng cường ATTT trong hoạt động ứng dụng CNTT.

c) Không sử dụng máy tính kết nối Internet để soạn thảo văn bản, lưu giữ thông tin có nội dung mật theo quy định. Không được kết nối đồng thời Internet công cộng của các nhà cung cấp dịch vụ Internet khác (như xDSL, thiết bị 3G,...) vào mạng truyền số liệu chuyên dùng.

2. Đối với cán bộ phụ trách ATTT:

a) Tham mưu cho lãnh đạo triển khai thực hiện các biện pháp để đảm bảo an toàn, an ninh hệ thống thông tin của nhà trường. Thường xuyên nghiên cứu, cập nhật các kiến thức về ATTT, có biện pháp phòng tránh các nguy cơ tiềm ẩn có thể gây mất thông tin khi tiến hành các hoạt động quản lý hay kỹ thuật nghiệp vụ.

b) Thường xuyên cập nhật cấu hình chuẩn cho các thành phần của hệ thống thông tin, thiết lập cấu hình chặt chẽ nhất nhưng vẫn đảm bảo duy trì hoạt động thường xuyên của hệ thống thông tin.

c) Khi thiết lập cấu hình hệ thống thông tin cần xác định các chức năng, cổng giao tiếp mạng, giao thức và dịch vụ không cần thiết để cấm hoặc hạn chế sử dụng.

d) Thường xuyên thực hiện việc theo dõi bản ghi nhật ký hệ thống và các sự kiện khác có liên quan để đánh giá, báo cáo mức độ nghiêm trọng các rủi ro đó. Các rủi ro đó có thể xảy ra do sự truy cập trái phép, sử dụng trái phép, mất, thay đổi hoặc phá hủy thông tin và hệ thống thông tin.

đ) Kiểm soát chặt chẽ việc cài đặt phần mềm vào máy tính của nhà trường.

3. Đối với cán bộ, công chức, viên chức:

a) Thường xuyên cập nhật những chính sách, thủ tục ATTT của nhà trường và thực hiện đúng hướng dẫn về ATTT của cán bộ phụ trách.

b) Thực hiện quét vi rút trước khi mở các tập tin đính kèm theo thư điện tử, không mở các thư điện tử khi chưa rõ người gửi hoặc tập tin đính kèm có nguồn gốc không rõ ràng để tránh vi rút, phần mềm gián điệp lây nhiễm máy tính.

c) Phải đặt mật khẩu cho máy tính (mật khẩu đăng nhập, mật khẩu bảo vệ màn hình). Sử dụng các thiết bị lưu trữ thông tin (USB, ổ cứng gắn ngoài, thẻ nhớ,...) đảm bảo an toàn, đúng cách để phòng ngừa vi rút, phần mềm gián điệp xâm nhập máy tính phá hoại, đánh cắp thông tin. Định kỳ thường xuyên quét vi rút, phần mềm gián điệp trên máy tính.

Điều 9. Một số biện pháp quản lý kỹ thuật đảm bảo an toàn thông tin

1. Quản lý hệ thống mạng không dây:

Khi thiết lập mạng không dây để kết nối với mạng cục bộ thông qua các điểm truy nhập, cần thiết lập các tham số như: Tên, nhận dạng dịch vụ (Service set identification - SSID), mật khẩu, cấp phép truy cập đối với địa chỉ vật lý (MAC address), mã hóa dữ liệu và thông báo các thông tin liên quan đến điểm truy nhập để cơ quan sử dụng, thường xuyên thay đổi mật khẩu nhằm tăng cường công tác bảo mật.

2. Quản lý đăng nhập hệ thống:

a) Các hệ thống thông tin cần giới hạn một số hữu hạn lần đăng nhập sai liên tiếp. Nếu liên tục đăng nhập sai vượt quá số lần quy định, hệ thống phải tự động khóa tài khoản hoặc cô lập tài khoản trong một khoảng thời gian nhất định trước khi tiếp tục cho đăng nhập. Tăng cường áp dụng biện pháp bảo mật hai lớp (2-step verification) đối với những ứng dụng quan trọng về bảo mật thông tin.

b) Tổ chức theo dõi, kiểm soát tất cả các phương pháp truy nhập từ xa (quay số, Internet,...) tới hệ thống thông tin, bao gồm cả sự truy nhập có chức năng quản trị, tăng cường sử dụng mạng riêng ảo khi có nhu cầu làm việc từ xa; có biện pháp khoá, chặn quyền truy nhập tới hệ thống đối với những tài khoản có dấu hiệu hoặc bị rò rỉ thông tin truy cập.

c) Yêu cầu người dùng đặt mật khẩu với độ an toàn cao (có chữ thường, có chữ in hoa, có số và ký tự đặc biệt như @, #, !,...) và thường xuyên thay đổi mật khẩu 1 lần/tháng.

3. Chống mã độc, vi rút:

Lựa chọn, triển khai các phần mềm chống vi rút, thư rác có hiệu quả trên các máy chủ, máy trạm, các thiết bị, phương tiện kỹ thuật trong mạng, các hệ thống thông tin quan trọng như: Cổng/Trang thông tin điện tử, thư điện tử, một cửa điện tử,..; đồng thời, thường xuyên cập nhật phiên bản mới, bản vá lỗi của các phần mềm chống vi rút, nhằm kịp thời phát hiện, loại trừ mã độc máy tính (vi rút, trojan, worms,..).

4. Tổ chức quản lý tài nguyên:

Kiểm tra, giám sát chức năng chia sẻ thông tin. Tổ chức cấp phát tài nguyên trên máy chủ theo danh mục thư mục cho từng phòng/ban; khuyến cáo người sử dụng cân nhắc việc chia sẻ tài nguyên cục bộ trên máy đang sử dụng, khi thực hiện việc chia sẻ tài nguyên cần phải sử dụng mật khẩu để bảo vệ thông tin.

5. Các biện pháp kỹ thuật bảo đảm an toàn cho website:

a) Xác định cấu trúc thiết kế website: Quản lý toàn bộ các phiên bản của mã nguồn, phối hợp với đơn vị thực hiện dịch vụ thuê máy chủ (hosting) tổ chức mô hình trang web hợp lý tránh khả năng tấn công leo thang đặc quyền. Yêu cầu đơn vị cung cấp dịch vụ hosting phải cài đặt các hệ thống phòng vệ như tường lửa (firewall), thiết bị phát hiện/phòng chống xâm nhập (IDS/IPS) ở mức ứng dụng web (WAF - Web Application Firewall).

b) Vận hành ứng dụng website an toàn: Các website khi đưa vào sử dụng hoặc khi bổ sung thêm các chức năng, dịch vụ công mới cần đánh giá kiểm định nhằm tránh được các lỗi bảo mật thường xảy ra trên ứng dụng web như: SQL Injection, Cross-Site Scripting (xss), Broken Authentication and Session Management, Insecure Direct Object References, Cross Site Request Forgery (CSRF), Security Misconfiguration, Failure to Restrict URL Access, Insecure Cryptographic Storage, Insufficient Transport Layer Protection, Unvalidated Redirects and Forwards và các lỗi khác.

c) Thiết lập và cấu hình cơ sở dữ liệu an toàn:

- Luôn cập nhật bản vá lỗi mới nhất cho hệ quản trị cơ sở dữ liệu; sử dụng công cụ để đánh giá, tìm kiếm lỗ hổng trên máy chủ cơ sở dữ liệu;

- Gỡ bỏ các cơ sở dữ liệu không sử dụng;

- Có cơ chế sao lưu dữ liệu, tài liệu hóa quá trình thay đổi cấu trúc bằng cách xây dựng nhật ký cơ sở dữ liệu với các nội dung như: Nội dung thay đổi, lý do thay đổi, thời gian, vị trí thay đổi.

d) Phối hợp với các nhà cung cấp dịch vụ hosting xây dựng phương án phục hồi website, trong đó chú ý ít nhất mỗi tháng thực hiện việc sao lưu toàn bộ nội dung trang web 01 lần bao gồm mã nguồn, cơ sở dữ liệu, dữ liệu phi cấu trúc để bảo đảm khi có sự cố có thể khắc phục trong thời gian ngắn nhất.

6. Thiết lập cơ chế sao lưu và phục hồi hệ thống:

Hệ thống thông tin phải có cơ chế sao lưu thông tin ở mức người dùng và mức hệ thống, được lưu trữ tại nơi an toàn; đồng thời, thường xuyên kiểm tra để đảm bảo tính sẵn sàng phục hồi và toàn vẹn thông tin. Có giải pháp sao lưu dự phòng dữ liệu ra chỗ khác nhằm tránh tình trạng hỏa hoạn, thiên tai, lũ lụt.

7. Xử lý khẩn cấp:

Khi phát hiện hệ thống máy chủ bị tấn công, thông qua các dấu hiệu như luồng tin tăng lên bất ngờ, nội dung trang chủ bị thay đổi, hệ thống hoạt động rất chậm khác thường,... cần thực hiện các bước cơ bản sau:

a) Bước 1: Ngắt kết nối máy chủ ra khỏi mạng.

b) Bước 2: Sao chép logfile và toàn bộ dữ liệu của hệ thống ra thiết bị lưu trữ (phục vụ cho công tác phân tích).

c) Bước 3: Khôi phục hệ thống bằng cách chuyển dữ liệu dự phòng (backup) mới nhất để hệ thống hoạt động.

d) Bước 4: Thông báo cho cơ quan chức năng để được hướng dẫn, hỗ trợ.

8. Hệ thống thông tin tại các đơn vị cần có cơ chế ngăn chặn hoặc hạn chế các sự cố gây ra do tấn công từ chối dịch vụ (DoS, DDoS). Sử dụng các thiết bị đặt tại biên của mạng để lọc các gói tin nhằm bảo vệ các thiết bị bên trong, tránh bị ảnh hưởng trực tiếp bởi tấn công từ chối dịch vụ. Đối với hệ thống thông tin cho phép truy nhập công cộng có thể thực hiện bảo vệ bằng cách tăng dung lượng, băng thông hoặc thiết lập hệ thống dự phòng.

Điều 10. Xây dựng quy chế nội bộ đảm bảo an toàn thông tin

Nhà trường ban hành hoặc điều chỉnh, bổ sung quy chế nội bộ, đảm bảo quy định rõ các vấn đề sau:

a) Mục tiêu và phương hướng thực hiện công tác đảm bảo an toàn, an ninh cho hệ thống thông tin.

b) Nguyên tắc phân loại và quản lý mức độ ưu tiên đối với các tài nguyên của hệ thống thông tin (phần mềm, dữ liệu, trang thiết bị).

c) Quản lý phân quyền và trách nhiệm đối với từng cá nhân khi tham gia sử dụng hệ thống thông tin.

d) Quản lý và điều hành hệ thống máy chủ, thiết bị mạng, thiết bị bảo vệ mạng một cách an toàn.

đ) Kiểm tra, khắc phục sự cố an toàn, an ninh của hệ thống thông tin bằng cách sử dụng các biện pháp tại Quy chế này.

e) Nguyên tắc chung về sử dụng an toàn và hiệu quả đối với các cá nhân tham gia sử dụng hệ thống thông tin.

g) Báo cáo tổng hợp tình hình an toàn, an ninh của hệ thống thông tin theo định kỳ.

h) Các biện pháp tổ chức thực hiện.

Điều 11. Xây dựng và áp dụng quy trình đảm bảo an toàn thông tin

Nhà trường  xây dựng và áp dụng quy trình đảm bảo an toàn, an ninh cho hệ thống thông tin nhằm giảm thiểu các nguy cơ gây ra sự cố, tạo điều kiện cho việc khắc phục và truy vết trong trường hợp có sự cố xảy ra. Nội dung của quy trình có thể chia làm các bước cơ bản như:

a) Lập kế hoạch bảo vệ an toàn, an ninh cho hệ thống thông tin.

b) Xây dựng hệ thống bảo vệ ATTT.

c) Quản lý và vận hành hệ thống bảo vệ ATTT.

d) Kiểm tra đánh giá hoạt động của hệ thống bảo vệ ATTT.

đ) Bảo trì và nâng cấp hệ thống bảo vệ ATTT.

 

Chương III

TỔ CHỨC THỰC HIỆN

 

Điều 12. Trách nhiệm của cán bộ phụ trách ATTT

1. Tham mưu BGH về công tác bảo đảm ATTT nhà trường và chịu trách nhiệm trước Hiệu trưởng trong việc đảm bảo ATTT cho các hệ thống CNTT được giao phụ trách.

2. Hàng năm xây dựng kế hoạch, tổng hợp kinh phí để triển khai công tác ATTT trong hoạt động ứng dụng CNTT.

3. Phối hợp với các tổ triển khai các nhiệm vụ ATTT.

4. Xây dựng và triển khai các chương trình đào tạo, hội nghị tuyên truyền ATTT.

5. Thông báo cán bộ giáo viên nhà trường biết và có biện pháp phòng ngừa, ngăn chặn các nguy cơ mất ATTT do vi rút, phần mềm gián điệp,... gây ra.

6.Tiến hành kiểm tra định kỳ hoặc đột xuất khi phát hiện có các dấu hiệu, hành vi vi phạm ATTT.

7. Tuỳ theo mức độ sự cố, phối hợp với các cơ quan chức năng ứng cứu các sự cố mất ATTT.

8. Hàng năm, tổng hợp và báo cáo Hiệu trưởng tình hình triển khai ATTT.

Điều 13. Trách nhiệm của Hiệu trưởng , BGH

1. Đảm bảo ATTT cho các hệ thống CNTT của nhà trường.

2. Tuyên truyền, nâng cao nhận thức cho cán bộ, công chức, viên chức về các nguy cơ mất ATTT; tổ chức thực hiện các quy định tại Quy chế này trong công tác đảm bảo ATTT.

3. Bố trí cán bộ quản lý, cán bộ kỹ thuật phù hợp chịu trách nhiệm đảm bảo ATTT cho các hệ thống CNTT; Lập kế hoạch đào tạo, bồi dưỡng cho cán bộ làm công tác ATTT.

4. Ban hành qui định đảm bảo ATTT cho các hệ thống CNTT

5. Khi có sự cố hoặc có nguy cơ mất ATTT phải kịp thời chỉ đạo khắc phục. Trường hợp không khắc phục được thì phối hợp các cơ quan chức năng để được hướng dẫn, hỗ trợ.

Điều 14. Trách nhiệm của cán bộ, công chức, viên chức

a) Chấp hành nghiêm túc các quy định về ATTT của cơ quan, đơn vị, của Quy chế này và các quy định khác của pháp luật; nâng cao ý thức cảnh giác và trách nhiệm đảm bảo an ninh thông tin tại cơ quan, đơn vị.

b) Khi phát hiện sự cố phải báo ngay với cấp trên và bộ phận phụ trách ATTT để kịp thời ngăn chặn, xử lý.

c) Tích cực tham gia các chương trình đào tạo, hội nghị về ATTT do các cấp  tổ chức.

Điều 15. Xử lý vi phạm

Các cơ quan, đơn vị, cá nhân có hành vi vi phạm Quy chế này, tùy theo tính chất, mức độ vi phạm mà bị xử lý theo quy định của pháp luật.

Điều 16. Điều khoản thi hành

Các cán bộ , giáo vien, nhân viên nhà trường nghiêm túc thực hiện thực hiện Quy chế này.

Trong quá trình thực hiện, nếu có vướng mắc, phát sinh, kịp thời phản ánh về cán bộ phụ trách ATTT để tổng hợp, báo cáo Hiệu trưởng xem xét sửa đổi, bổ sung quy chế cho phù hợp./.

 

Nơi nhận:
- Như Điều 3;

- Bộ trưởng (để báo cáo);

- Các Thứ trưởng (để phối hợp chỉ đạo);                                   

- Bộ Thông tin và Truyền thông (để biết);

- Website Bộ;

- Lưu: VT, CNTT.

 

HIỆU TRƯỞNG

 

(Đã ký)

 

 

 

Vũ Thị Phượng

 

 

Trang chủ

Tin tức sự kiện