Quyết định 2405/QĐ-BTC năm 2025 về Quy chế an toàn thông tin mạng và an ninh mạng Bộ Tài chính
| Số hiệu | 2405/QĐ-BTC |
| Ngày ban hành | 08/07/2025 |
| Ngày có hiệu lực | 08/07/2025 |
| Loại văn bản | Quyết định |
| Cơ quan ban hành | Bộ Tài chính |
| Người ký | Bùi Văn Khắng |
| Lĩnh vực | Công nghệ thông tin |
|
BỘ TÀI CHÍNH |
CỘNG HÒA XÃ HỘI
CHỦ NGHĨA VIỆT NAM |
|
Số: 2405/QĐ-BTC |
Hà Nội, ngày 08 tháng 7 năm 2025 |
BAN HÀNH QUY CHẾ AN TOÀN THÔNG TIN MẠNG VÀ AN NINH MẠNG BỘ TÀI CHÍNH
BỘ TRƯỞNG BỘ TÀI CHÍNH
Căn cứ Luật An toàn thông tin mạng ngày 19/11/2015;
Căn cứ Luật An ninh mạng ngày 12/6/2018;
Căn cứ Luật Bảo vệ bí mật nhà nước ngày 15/11/2018;
Căn cứ Nghị định số 85/2016/NĐ-CP ngày 01/7/2016 của Chính phủ về bảo đảm an toàn hệ thống thông tin theo cấp độ;
Căn cứ Nghị định số 142/2016/NĐ-CP ngày 01/7/2016 của Chính phủ về ngăn chặn xung đột thông tin trên mạng;
Căn cứ Nghị định số 53/2022/NĐ-CP ngày 15/8/2022 của Chính phủ về việc quy định chi tiết một số điều của Luật An ninh mạng;
Căn cứ Nghị định số 13/2023/NĐ-CP ngày 17/4/2023 của Chính phủ về bảo vệ dữ liệu cá nhân;
Căn cứ Nghị định số 29/2025/NĐ-CP ngày 24/2/2025 của Chính phủ quy định chức năng, nhiệm vụ, quyền hạn và cơ cấu tổ chức của Bộ Tài chính;
Căn cứ Nghị định số 166/2025/NĐ-CP ngày 30/6/2025 của Chính phủ sửa đổi, bổ sung một số điều của Nghị định số 29/2025/NĐ-CP ngày 24/02/2025 của Chính phủ quy định chức năng, nhiệm vụ, quyền hạn và cơ cấu tổ chức của Bộ Tài chính;
Căn cứ Quyết định số 05/2017/QĐ-TTg ngày 16/3/2017 của Thủ tướng Chính phủ ban hành Quy định về hệ thống phương án ứng cứu khẩn cấp bảo đảm an toàn thông tin mạng quốc gia;
Căn cứ Thông báo số 52/TB-BCA-A05 ngày 06/5/2025 của Bộ Công an về việc tuân thủ quy định của pháp luật về bảo đảm an toàn hệ thống thông tin theo cấp độ;
Theo đề nghị của Cục trưởng Cục Công nghệ thông tin và chuyển đổi số.
QUYẾT ĐỊNH:
|
|
KT. BỘ TRƯỞNG |
AN
TOÀN THÔNG TIN MẠNG VÀ AN NINH MẠNG BỘ TÀI CHÍNH
(Kèm theo Quyết định số 2405/QĐ-BTC ngày 08 tháng 7 năm 2025 của Bộ Tài
chính)
Điều 1. Phạm vi điều chỉnh, đối tượng áp dụng
1. Quy chế này quy định về công tác an toàn thông tin mạng và an ninh mạng của Bộ Tài chính.
|
BỘ TÀI CHÍNH |
CỘNG HÒA XÃ HỘI
CHỦ NGHĨA VIỆT NAM |
|
Số: 2405/QĐ-BTC |
Hà Nội, ngày 08 tháng 7 năm 2025 |
BAN HÀNH QUY CHẾ AN TOÀN THÔNG TIN MẠNG VÀ AN NINH MẠNG BỘ TÀI CHÍNH
BỘ TRƯỞNG BỘ TÀI CHÍNH
Căn cứ Luật An toàn thông tin mạng ngày 19/11/2015;
Căn cứ Luật An ninh mạng ngày 12/6/2018;
Căn cứ Luật Bảo vệ bí mật nhà nước ngày 15/11/2018;
Căn cứ Nghị định số 85/2016/NĐ-CP ngày 01/7/2016 của Chính phủ về bảo đảm an toàn hệ thống thông tin theo cấp độ;
Căn cứ Nghị định số 142/2016/NĐ-CP ngày 01/7/2016 của Chính phủ về ngăn chặn xung đột thông tin trên mạng;
Căn cứ Nghị định số 53/2022/NĐ-CP ngày 15/8/2022 của Chính phủ về việc quy định chi tiết một số điều của Luật An ninh mạng;
Căn cứ Nghị định số 13/2023/NĐ-CP ngày 17/4/2023 của Chính phủ về bảo vệ dữ liệu cá nhân;
Căn cứ Nghị định số 29/2025/NĐ-CP ngày 24/2/2025 của Chính phủ quy định chức năng, nhiệm vụ, quyền hạn và cơ cấu tổ chức của Bộ Tài chính;
Căn cứ Nghị định số 166/2025/NĐ-CP ngày 30/6/2025 của Chính phủ sửa đổi, bổ sung một số điều của Nghị định số 29/2025/NĐ-CP ngày 24/02/2025 của Chính phủ quy định chức năng, nhiệm vụ, quyền hạn và cơ cấu tổ chức của Bộ Tài chính;
Căn cứ Quyết định số 05/2017/QĐ-TTg ngày 16/3/2017 của Thủ tướng Chính phủ ban hành Quy định về hệ thống phương án ứng cứu khẩn cấp bảo đảm an toàn thông tin mạng quốc gia;
Căn cứ Thông báo số 52/TB-BCA-A05 ngày 06/5/2025 của Bộ Công an về việc tuân thủ quy định của pháp luật về bảo đảm an toàn hệ thống thông tin theo cấp độ;
Theo đề nghị của Cục trưởng Cục Công nghệ thông tin và chuyển đổi số.
QUYẾT ĐỊNH:
|
|
KT. BỘ TRƯỞNG |
AN
TOÀN THÔNG TIN MẠNG VÀ AN NINH MẠNG BỘ TÀI CHÍNH
(Kèm theo Quyết định số 2405/QĐ-BTC ngày 08 tháng 7 năm 2025 của Bộ Tài
chính)
Điều 1. Phạm vi điều chỉnh, đối tượng áp dụng
1. Quy chế này quy định về công tác an toàn thông tin mạng và an ninh mạng của Bộ Tài chính.
2. Quy chế này áp dụng với các cơ quan hành chính, đơn vị sự nghiệp, đơn vị đặc thù, các tổ chức cá nhân tham gia hoặc có liên quan trong công tác an toàn thông tin mạng và an ninh mạng tại Bộ Tài chính.
Điều 2. Giải thích từ ngữ sử dụng trong Quy chế
1. An toàn an ninh mạng là viết tắt của an toàn thông tin mạng và an ninh mạng.
2. Người dùng là người được cấp quyền truy cập, sử dụng các ứng dụng, dịch vụ công nghệ thông tin do Bộ Tài chính cung cấp.
3. Chủ quản hệ thống thông tin là Bộ Tài chính hoặc cấp có thẩm quyền phê duyệt thuê dịch vụ công nghệ thông tin, quyết định đầu tư dự án xây dựng, thiết lập, nâng cấp, mở rộng hệ thống thông tin.
Trường hợp không xác định được cấp có thẩm quyền phê duyệt dịch vụ công nghệ thông tin, quyết định đầu tư dự án xây dựng, thiết lập, nâng cấp, mở rộng hệ thống thông tin, chủ quản hệ thống thông tin là đơn vị có thẩm quyền quản lý trực tiếp hệ thống thông tin.
4. Đơn vị vận hành hệ thống thông tin do Bộ Tài chính là chủ quản (viết tắt là Đơn vị vận hành hệ thống thông tin): Các Cục, Kho bạc Nhà nước, Ủy ban Chứng khoán Nhà nước, Bảo hiểm xã hội Việt Nam, đơn vị sự nghiệp công lập, trường, học viện, doanh nghiệp thuộc Bộ, đáp ứng một trong các điều kiện sau:
a) Là đơn vị được Bộ Tài chính giao nhiệm vụ quản lý, vận hành hệ thống thông tin.
b) Là chủ đầu tư dự án đối với các dự án đầu tư, chủ trì thuê dịch vụ công nghệ thông tin.
5. Mật khẩu mạnh là mật khẩu đáp ứng các yêu cầu: Có tối thiểu 12 ký tự, gồm tối thiểu 3 trong 4 loại ký tự sau: chữ cái viết hoa (A - Z), chữ cái viết thường (a - z), chữ số (0 - 9), các ký tự khác (` ~ ! @ # $ % A & * ( ) _ - + = { } [ ] \ I : ; " ' < > , . ? /); không chứa tên tài khoản, tên người sử dụng, năm sinh người sử dụng; không bao gồm các chuỗi liên tiếp dễ đoán (123456, abcd...).
Điều 3. Nguyên tắc an toàn an ninh mạng tại Bộ Tài chính
1. Tuân thủ quy định của pháp luật về an toàn thông tin mạng, an ninh mạng; bảo vệ bí mật nhà nước, bí mật công tác, dữ liệu cá nhân; giao dịch điện tử và các quy định khác có liên quan. Trường hợp có văn bản quy định cập nhật, thay thế hoặc quy định khác tại văn bản quy phạm pháp luật, quyết định của cấp có thẩm quyền cao hơn thì áp dụng quy định tại văn bản đó.
2. An toàn an ninh mạng phải gắn liền và hỗ trợ các hoạt động ứng dụng công nghệ thông tin, giao dịch điện tử, chuyển đổi số của Bộ Tài chính; hỗ trợ việc sử dụng thiết bị xử lý thông tin để xử lý công việc của cán bộ, công chức, viên chức, người lao động thuộc Bộ Tài chính.
3. Mỗi cán bộ, công chức, viên chức, người lao động tại các đơn vị thuộc Bộ Tài chính nêu cao tinh thần chủ động, tự giác trong việc áp dụng các biện pháp an toàn an ninh mạng.
Điều 4. Xác định cấp độ an toàn hệ thống thông tin do Bộ Tài chính làm chủ quản
1. Đối với hệ thống thông tin đề xuất cấp độ 1, 2
Đơn vị vận hành hệ thống thông tin gửi Cục Công nghệ thông tin và chuyển đổi số thẩm định và phê duyệt cấp độ đối với hệ thống thông tin.
2. Đối với hệ thống thông tin đề xuất cấp độ 3
a) Đơn vị vận hành hệ thống thông tin gửi Cục Công nghệ thông tin và chuyển đổi số hồ sơ đề xuất cấp độ để thẩm định.
b) Đơn vị vận hành hệ thống thông tin phê duyệt hồ sơ đề xuất cấp độ. Cục Công nghệ thông tin và chuyển đổi số trình Bộ quyết định ủy quyền phê duyệt hồ sơ đề xuất cấp độ cho Đơn vị vận hành hệ thống thông tin.
3. Cục Công nghệ thông tin và chuyển đổi số trình Bộ Tài chính thành lập Hội đồng thẩm định độc lập thực hiện thẩm định hồ sơ đề xuất cấp độ đối với các hệ thống thông tin đề xuất cấp độ 1, 2, 3 do Cục Công nghệ thông tin và chuyển đổi số vận hành.
4. Đối với hệ thống thông tin đề xuất cấp độ 4, 5
a) Đơn vị vận hành hệ thống thông tin gửi Cục Công nghệ thông tin và chuyển đổi số hồ sơ đề xuất cấp độ để có ý kiến về chuyên môn.
b) Đơn vị vận hành hệ thống thông tin trình Bộ ký văn bản gửi Bộ Công an thẩm định hồ sơ đề xuất cấp độ.
c) Bộ Tài chính phê duyệt hồ sơ đề xuất cấp độ 4; phê duyệt phương án bảo đảm an toàn thông tin hệ thống thông tin đề xuất cấp độ 5.
Điều 5. Xác định hệ thống thông tin quan trọng về an ninh quốc gia
Đối với hệ thống thông tin đáp ứng tiêu chí hệ thống thông tin quan trọng về an ninh quốc gia, đơn vị vận hành hệ thống thông tin lập hồ sơ đề nghị đua hệ thống thông tin vào Danh mục hệ thống thông tin quan trọng về an ninh quốc gia, trình Bộ Tài chính (thông qua Cục Công nghệ thông tin và chuyển đổi số) gửi Bộ Công an thẩm định.
Điều 6. Bảo đảm an toàn an ninh mạng đối với hệ thống thông tin, thiết bị xử lý thông tin
1. Chủ quản hệ thống thông tin, đơn vị vận hành hệ thống thông tin, đơn vị chuyên trách về an toàn thông tin của chủ quản hệ thống thông tin thực hiện các nhiệm vụ sau:
a) Xác định cấp độ an toàn của hệ thống thông tin (lập hồ sơ đề xuất cấp độ; tổ chức thẩm định, phê duyệt hồ sơ đề xuất cấp độ) và triển khai phương án bảo đảm an toàn hệ thống thông tin theo cấp độ theo quy định của pháp luật về an toàn thông tin mạng và Điều 4 của Quy chế này và quy định, hướng dẫn khác của cơ quan chức năng (nếu có).
b) Bảo đảm an ninh mạng cho hệ thống thông tin quan trọng về an ninh quốc gia theo quy định của pháp luật về an ninh mạng.
2. Đơn vị không thuộc phạm vi khoản 1 Điều này và có thẩm quyền tự trang bị thiết bị xử lý thông tin sử dụng tại đơn vị có trách nhiệm:
a) Bảo đảm an toàn an ninh mạng cho máy tính của người sử dụng thuộc đơn vị: sử dụng hệ điều hành được hỗ trợ bản vá lỗ hổng bảo mật; chỉ cài đặt tiện ích thiết yếu được cung cấp kèm theo hệ điều hành và các phần mềm phục vụ công việc, có bản quyền hoặc được các cơ quan chức năng đánh giá, xác nhận an toàn; cài đặt phần mềm phòng, diệt mã độc và cập nhật thường xuyên mẫu nhận diện mã độc.
b) Bảo đảm an toàn an ninh mạng cho thiết bị mạng, thiết bị an ninh mạng sử dụng tại đơn vị: không sử dụng thiết bị không còn được hỗ trợ khắc phục lỗ hổng bảo mật; thực hiện khắc phục lỗ hổng bảo mật ngay khi nhận được cảnh báo, hướng dẫn từ cơ quan chức năng; thay đổi mật khẩu mặc định và giừ bí mật mật khẩu quản trị thiết bị.
3. Đơn vị mua sắm, sử dụng camera giám sát phải tuân thủ quy chuẩn kỹ thuật quốc gia về an toàn thông tin mạng cơ bản cho camera giám sát, theo Chỉ thị số 23/CT-TTg ngày 26/12/2022 của Thủ tướng Chính phủ về tăng cường công tác bảo đảm an toàn thông tin mạng, an ninh thông tin cho thiết bị camera giám sát.
Điều 7. Quản lý rủi ro, lỗ hổng, điểm yếu an toàn an ninh mạng
1. Đơn vị vận hành hệ thống thông tin tổ chức quản lý lỗ hổng, điểm yếu an toàn an ninh mạng theo các nội dung sau:
a) Lập danh sách toàn bộ thiết bị, phần mềm công nghệ thông tin đang sử dụng trong phạm vi quản lý của chủ quản hệ thống thông tin: nhãn hiệu phần cứng, tên phần mềm và phiên bản (hệ điều hành, cơ sở dữ liệu, ứng dụng, các tiện ích khác).
b) Thiết lập, duy trì kênh tiếp nhận thông tin về lỗ hổng, điểm yếu an toàn an ninh mạng từ các cơ quan, tổ chức có chức năng cảnh báo về an toàn an ninh mạng; các đơn vị cung cấp thiết bị, phần mềm công nghệ thông tin thuộc phạm vi điểm a khoản này.
c) Quản lý, giám sát việc cài đặt bản vá lỗ hổng, điểm yếu an toàn an ninh mạng. Sử dụng và cập nhật liên tục các công cụ dò quét lỗ hổng, điểm yếu an toàn an ninh mạng để các công cụ này có thể phát hiện được các lỗ hổng bảo mật mới nhất; hoặc sử dụng kết quả kiểm tra, đánh giá an toàn an ninh mạng để xác định các lỗ hổng, điểm yếu của hệ thống thông tin.
d) Triển khai cài đặt bản vá lỗ hổng, điểm yếu an toàn an ninh mạng sau khi bản vá được phát hành; Áp dụng các biện pháp bảo vệ tạm thời trong trường hợp bản vá bảo mật chưa được phát hành hoặc chưa đủ điều kiện để triển khai.
2. Đơn vị vận hành hệ thống thông tin triển khai quản lý rủi ro an toàn an ninh mạng trên cơ sở quản lý lỗ hổng, điểm yếu an toàn an ninh mạng theo quy định tại khoản 1 Điều này và theo hướng dẫn của cơ quan chức năng.
Điều 8. Giám sát an toàn an ninh mạng
1. Cục Công nghệ thông tin và chuyển đổi số, Cục Thuế, Cục Hải quan, Cục Dự trữ Nhà nước, Cục Thống kê, Kho bạc Nhà nước, Ủy ban Chứng khoán Nhà nước, Bảo hiểm xã hội Việt Nam, Cục Quản lý đấu thầu, Cục Phát triển doanh nghiệp tư nhân và kinh tế tập thể, đơn vị sự nghiệp công lập, doanh nghiệp thuộc Bộ tự thực hiện giám sát hoặc lựa chọn tổ chức, doanh nghiệp có đủ năng lực thực hiện giám sát an toàn hệ thống thông tin theo quy định của pháp luật và hướng dẫn của cơ quan chức năng. Cục Công nghệ thông tin và chuyển đổi số thiết lập hệ thống tiếp nhận thông tin giám sát từ các đơn vị thuộc Bộ Tài chính và hướng dẫn các đơn vị thuộc Bộ kết nối, chia sẻ thông tin về Bộ Tài chính; làm đầu mối thực hiện kết nối, chia sẻ thông tin giám sát từ các đơn vị của Bộ Tài chính với hệ thống giám sát của cơ quan chức năng.
2. Đơn vị vận hành hệ thống thông tin quan trọng về an ninh quốc gia phối hợp với Cục An ninh mạng và phòng chống tội phạm công nghệ cao của Bộ Công an triển khai giám sát an ninh mạng đối với hệ thống thông tin quan trọng về an ninh quốc gia theo quy định của pháp luật về an ninh mạng.
1. Cục Công nghệ thông tin và chuyển đổi số, Cục Thuế, Cục Hải quan, Cục Dự trữ Nhà nước, Cục Thống kê, Kho bạc Nhà nước, Ủy ban Chứng khoán Nhà nước, Bảo hiểm xã hội Việt Nam, Cục Quản lý đấu thầu, Cục Phát triển doanh nghiệp tư nhân và kinh tế tập thể, đơn vị sự nghiệp công lập, doanh nghiệp thuộc Bộ tổ chức triển khai hệ thống phòng chống mã độc tập trung đáp ứng các yêu cầu kỹ thuật của cơ quan chức năng; chia sẻ thông tin lây nhiễm mã độc trên hệ thống mạng do đơn vị vận hành hệ thống thông tin theo hướng dẫn của Cục Công nghệ thông tin và chuyển đổi số.
2. Cục Công nghệ thông tin và chuyển đổi số tổ chức thực hiện chia sẻ thông tin lây nhiễm mã độc trong toàn ngành với hệ thống giám sát của cơ quan chức năng.
Điều 10. Kiểm tra, đánh giá an toàn an ninh mạng
1. Về kiểm tra, đánh giá việc tuân thủ quy định của pháp luật về an toàn an ninh mạng; kiểm tra, đánh giá hiệu quả của các biện pháp bảo đảm an toàn thông tin theo phương án bảo đảm an toàn thông tin được phê duyệt:
a) Cục Công nghệ thông tin và chuyển đổi số thực hiện kiểm tra, đánh giá các đơn vị thuộc Bộ, đơn vị sự nghiệp trực thuộc Bộ Tài chính trong chương trình, kế hoạch kiểm tra công tác ứng dụng công nghệ thông tin hàng năm hoặc chương trình kiểm tra theo chuyên đề về an toàn an ninh mạng được Bộ trưởng Bộ Tài chính phê duyệt.
b) Các đơn vị thuộc Bộ tự kiểm tra, đánh giá hàng năm trong nội bộ đơn vị, trong phạm vi trách nhiệm của đơn vị đối với công tác an toàn an ninh mạng theo quy định của pháp luật và quy định tại Quy chế này.
2. Cục Công nghệ thông tin và chuyển đổi số, Cục Thuế, Cục Hải quan, Cục Dự trữ Nhà nước, Cục Thống kê, Kho bạc Nhà nước, Ủy ban Chứng khoán Nhà nước, Bảo hiểm xã hội Việt Nam, Cục Quản lý đấu thầu, Cục Phát triển doanh nghiệp tư nhân và kinh tế tập thể lựa chọn tổ chức, doanh nghiệp có chức năng hoặc được cấp phép thực hiện kiểm tra, đánh giá phát hiện mã độc, lỗ hổng, điểm yếu, thử nghiệm xâm nhập hệ thống thông tin, theo quy định của pháp luật về an toàn thông tin mạng; kiểm tra, đánh giá an ninh mạng theo quy định của pháp luật về an ninh mạng và theo hướng dẫn của Bộ Công an. Tổ chức, doanh nghiệp cung cấp dịch vụ kiểm tra, đánh giá an toàn an ninh mạng phải độc lập với tổ chức, doanh nghiệp cung cấp dịch vụ giám sát an toàn, an ninh mạng cho đơn vị.
Điều 11. Điều phối, diễn tập, ứng phó sự cố an toàn an ninh mạng
1. Đơn vị vận hành hệ thống thông tin xây dựng, phê duyệt kế hoạch ứng phó sự cố bảo đảm an toàn thông tin mạng; phương án ứng phó, khắc phục sự cố an ninh mạng cho các hệ thống thông tin thuộc quản lý của đơn vị theo quy định của pháp luật; tổ chức triển khai kế hoạch, phương án sau khi phê duyệt. Đối với nội dung (thuộc kế hoạch ứng phó sự cố bảo đảm an toàn thông tin mạng; phương án ứng phó, khắc phục sự cố an ninh mạng) vượt thẩm quyền quyết định của đơn vị, đơn vị lấy ý kiến của các đơn vị liên quan, báo cáo Lãnh đạo Bộ Tài chính xem xét, quyết định.
2. Đối với hệ thống thông tin không phải hệ thống thông tin quan trọng về an ninh quốc gia, áp dụng quy trình ứng cứu sự cố thông thường theo quy định của pháp luật. Đối với hệ thống thông tin quan trọng về an ninh quốc gia, áp dụng trình tự, thủ tục ứng phó, khắc phục sự cố an ninh mạng theo quy định của pháp luật về an ninh mạng. Trong quá trình ứng cứu, ứng phó sự cố đối với hệ thống thông tin cấp độ 4, 5 và hệ thống thông tin quan trọng về an ninh quốc gia, các cục có trách nhiệm báo cáo Lãnh đạo Bộ Tài chính, đồng thời cung cấp thông tin diễn biến tình hình cho Cục Công nghệ thông tin và chuyển đổi số để phối hợp xử lý.
3. Đơn vị chuyên trách về an toàn thông tin của chủ quản hệ thống thông tin có trách nhiệm theo dõi, nắm bắt thông tin trên phương tiện thông tin đại chúng và mạng Internet về các sự kiện mất an toàn an ninh mạng có thể tác động tới đơn vị; chủ động kiểm tra, rà soát trong nội bộ đơn vị theo các văn bản cảnh báo, hướng dẫn của các cơ quan chức năng và các tổ chức về an toàn thông tin (gửi trực tiếp cho đơn vị hoặc do Văn phòng Bộ, Cục Công nghệ thông tin và chuyển đổi số sao gửi chủ quản hệ thống thông tin); Thiết lập kênh trao đổi thông tin với các đối tác cung cấp thiết bị, phần mềm, giải pháp an toàn thông tin của đơn vị để nắm bắt kịp thời vấn đề, sự cố có khả năng tác động tới hệ thống thông tin của đơn vị. Đơn vị chuyên trách về an toàn thông tin của chủ quản hệ thống thông tin cử 01 lãnh đạo chịu trách nhiệm triển khai công tác an toàn an ninh mạng và 01 cán bộ làm đầu mối tiếp nhận cảnh báo an toàn thông tin từ Cục Công nghệ thông tin và chuyển đổi số, các cơ quan, tổ chức có chức năng cảnh báo an toàn thông tin mạng, an ninh mạng (thông qua thư điện tử hoặc các kênh trao đổi thông tin khác).
4. Khi xảy ra sự cố an toàn thông tin mạng thuộc loại hình tấn công mạng, đơn vị vận hành hệ thống thông tin thực hiện báo cáo theo quy định pháp luật về an ninh mạng và hướng dẫn của Bộ Công an, đồng thời gửi báo cáo cho Cục Công nghệ thông tin và chuyển đổi số để tổng hợp, báo cáo Lãnh đạo Bộ Tài chính. Chủ quản hệ thống thông tin phải thông báo rộng rãi về đầu mối tiếp nhận thông tin để các cá nhân, tổ chức thuộc đơn vị liên lạc trong trường hợp: nghi ngờ, phát hiện dấu hiệu tấn công, sự cố an toàn thông tin mạng; dấu hiệu, hành vi khủng bố mạng; tình huống nguy hiểm về an ninh mạng; hành vi vi phạm pháp luật về an ninh mạng liên quan đến các hệ thống thông tin do đơn vị quản lý.
5. Định kỳ hàng năm, Cục Công nghệ thông tin và chuyển đổi số chủ trì tổ chức diễn tập thực chiến an toàn an ninh mạng cho Lực lượng bảo vệ an ninh mạng Bộ Tài chính và các đơn vị thuộc Bộ Tài chính, theo kế hoạch ứng phó sự cố bảo đảm an toàn thông tin mạng và phương án ứng phó, khắc phục sự cố an ninh mạng được phê duyệt, trong phạm vi các hệ thống thông tin do Bộ Tài chính làm chủ quản. Các cục tổ chức huấn luyện, diễn tập ứng cứu sự cố theo kế hoạch ứng phó sự cố bảo đảm an toàn thông tin mạng và phương án ứng phó, khắc phục sự cố an ninh mạng được phê duyệt, trong phạm vi các hệ thống thông tin do đơn vị làm chủ quản. Đơn vị là thành viên mạng lưới ứng cứu sự cố an toàn thông tin mạng quốc gia tham gia đầy đủ các cuộc diễn tập quốc gia, quốc tế do cơ quan chức năng tổ chức.
6. Các đơn vị chuyên trách về an toàn thông tin của chủ quản hệ thống thông tin có trách nhiệm đăng ký tham gia Mạng lưới ứng cứu sự cố an toàn thông tin mạng quốc gia. Khuyến khích các đơn vị khác thuộc Bộ đăng ký tham gia Mạng lưới ứng cứu sự cố an toàn thông tin mạng quốc gia với tư cách thành viên tự nguyện.
Điều 12. Phòng ngừa, xử lý hành vi xâm phạm an ninh mạng
1. Đơn vị chuyên trách về an toàn thông tin của chủ quản hệ thống thông tin phối hợp với đơn vị vận hành hệ thống thông tin thực hiện các nhiệm vụ sau trong phạm vi hệ thống thông tin thuộc quản lý của chủ quản hệ thống thông tin, theo quy định của Luật An ninh mạng và Nghị định số 53/2022/NĐ-CP:
a) Triển khai biện pháp quản lý, kỹ thuật để phòng ngừa, phát hiện, ngăn chặn, gỡ bỏ thông tin có nội dung: tuyên truyền chống Nhà nước Cộng hòa xã hội chủ nghĩa Việt Nam; kích động gây bạo loạn, phá rối an ninh, gây rối trật tự công cộng; làm nhục, vu khống; xâm phạm trật tự quản lý kinh tế trên hệ thống thông tin;
b) Triển khai biện pháp quản lý, kỹ thuật để phòng ngừa, phát hiện, ngăn chặn hoạt động xâm nhập bất hợp pháp, hành vi gián điệp mạng, xâm phạm bí mật nhà nước, bí mật công tác, bí mật kinh doanh, bí mật cá nhân, bí mật gia đình và đời tư trên hệ thống thông tin và kịp thời gỡ bỏ thông tin liên quan đến hành vi này;
c) Áp dụng biện pháp kỹ thuật để phòng ngừa, ngăn chặn hành vi tấn công mạng và hành vi có liên quan đến tấn công mạng đối với hệ thống thông tin; Thường xuyên rà soát, kiểm tra hệ thống thông tin nhằm loại trừ nguy cơ khủng bố mạng;
d) Phối hợp, thực hiện yêu cầu của Cục An ninh mạng và Phòng, chống tội phạm sử dụng công nghệ cao (Bộ Công an) về phòng, chống gián điệp mạng, bảo vệ thông tin thuộc bí mật nhà nước, bí mật công tác, bí mật kinh doanh, bí mật cá nhân, bí mật gia đình và đời tư trên hệ thống thông tin; về áp dụng biện pháp xác định nguồn gốc tấn công mạng, thu thập chứng cứ khi xảy ra tấn công mạng xâm phạm hoặc đe dọa xâm phạm chủ quyền, lợi ích, an ninh quốc gia, gây tổn hại nghiêm trọng trật tự, an toàn xã hội; về gỡ bỏ các nội dung buộc phải gỡ bỏ theo quy định của pháp luật trên hệ thống thông tin; về thực hiện biện pháp phòng ngừa, phát hiện, xử lý tình huống nguy hiểm về an ninh mạng.
2. Đơn vị chuyên trách về an toàn thông tin của chủ quản hệ thống thông tin khi tiếp nhận tin báo về tình huống nguy hiểm về an ninh mạng hoặc khủng bố mạng liên quan đến hệ thống thông tin thuộc phạm vi quản lý của chủ quản hệ thống thông tin, cần thông báo kịp thời cho Cục An ninh mạng và Phòng, chống tội phạm sử dụng công nghệ cao.
3. Chủ quản hệ thống thông tin có trách nhiệm thông báo cho Cục An ninh mạng và Phòng, chống tội phạm sử dụng công nghệ cao khi phát hiện hành vi vi phạm pháp luật về an ninh mạng trên hệ thống thông tin thuộc phạm vi quản lý.
Điều 13. Phổ biến, tuyên truyền, đào tạo, bồi dưỡng về an toàn an ninh mạng
1. Cục Công nghệ thông tin và chuyển đổi số phối hợp với Văn phòng Bộ và các đơn vị liên quan lập kế hoạch và triển khai công tác tuyên truyền, phổ biến chủ trương, chính sách, pháp luật, biện pháp an toàn an ninh mạng, thông qua các hình thức: văn bản hướng dẫn; hội nghị, hội thảo; đăng bài trên Cổng thông tin điện tử Bộ Tài chính, báo, tạp chí của ngành Tài chính; gửi thư điện tử và các hình thức khác phù hợp với quy định của pháp luật. Các đơn vị thuộc Bộ Tài chính có trách nhiệm thực hiện quán triệt, tuyên truyền, phổ biến, nâng cao nhận thức, trách nhiệm về an toàn an ninh mạng cho cán bộ, công chức, viên chức, người lao động thuộc đơn vị.
2. Cục Công nghệ thông tin và chuyển đổi số tổ chức đào tạo, bồi dưỡng theo các chương trình đào tạo ngắn hạn nâng cao kiến thức, kỹ năng về an toàn an ninh mạng cho công chức, viên chức chuyên trách về công nghệ thông tin, an toàn an ninh mạng tại các đơn vị thuộc Bộ Tài chính. Các đơn vị vận hành hệ thống, đơn vị sự nghiệp trực thuộc Bộ tổ chức đào tạo, bồi dưỡng hoặc cử cán bộ của đơn vị tham gia đào tạo, bồi dưỡng về an toàn an ninh mạng.
Điều 14. Báo cáo an toàn an ninh mạng
1. Đối với báo cáo năm về an toàn thông tin mạng, chủ quản hệ thống thông tin, đơn vị vận hành hệ thống thông tin lập báo cáo theo hướng dẫn của Cục Công nghệ thông tin và chuyển đổi số trước ngày 20 tháng 12 hàng năm. Cục Công nghệ thông tin và chuyển đổi số tổng hợp, xây dựng Báo cáo an toàn thông tin định kỳ hàng năm của Bộ Tài chính, trình Lãnh đạo Bộ phê duyệt, gửi Bộ Công an trước ngày 25 tháng 12 hàng năm.
2. Cục Công nghệ thông tin và chuyển đổi số chủ trì, phối hợp với các chủ quản hệ thống thông tin thuộc Bộ Tài chính xây dựng các báo cáo đột xuất về an toàn an ninh mạng theo yêu cầu của Bộ Công an, Bộ Quốc phòng, trình Lãnh đạo Bộ Tài chính phê duyệt.
Điều 15. Quy định về tài khoản thông tin
1. Tài khoản thông tin (gọi tắt là tài khoản) là tập hợp gồm tên đăng nhập và mật khẩu hoặc/và hình thức xác thực khác, được gắn với quyền truy cập thực hiện một số tác vụ trên hệ thống thông tin hoặc trên thiết bị xử lý thông tin tại Bộ Tài chính, bao gồm các loại sau:
a) Tài khoản định danh: mỗi tài khoản định danh chỉ cấp cho một người dùng duy nhất và được gắn quyền truy cập các hệ thống thông tin mà người dùng đó được sử dụng.
b) Tài khoản truy cập hệ thống gắn với một nhiệm vụ cụ thể, được gắn với quyền truy cập thực hiện các tác vụ cần thiết cho nhiệm vụ đó (ví dụ: tài khoản văn thư, tài khoản biên tập,...).
c) Tài khoản quản trị gắn với quyền cài đặt, cấu hình các thông số và cấp quyền truy cập trên hệ thống thông tin, gồm: quản trị nội dung, quản trị ứng dụng, quản trị cơ sở dữ liệu, quản trị hệ điều hành, quản trị thiết bị.
2. Cục Công nghệ thông tin và chuyển đổi số cấp tài khoản định danh cho người dùng trong thời gian không quá 03 ngày làm việc, tính từ thời điểm nhận được văn bản đề nghị cấp tài khoản của đơn vị quản lý người dùng; điều chỉnh quyền truy cập, thu hồi tài khoản định danh của cá nhân trong thời gian không quá 03 ngày làm việc tính từ ngày người dùng chính thức được bổ nhiệm, điều động, chuyển công tác, thôi việc, nghỉ hưu hoặc từ thời điểm nhận được văn bản đề nghị dừng tài khoản của đơn vị quản lý người dùng. Trường hợp cần duy trì tài khoản định danh sau thời điểm người dùng dừng làm việc tại đơn vị, đơn vị quản lý người dùng phải có văn bản gửi Cục Công nghệ thông tin và chuyển đổi số, trong đó nêu rõ lý do, phạm vi các quyền cần duy trì và thời gian duy trì tài khoản.
3. Cục Công nghệ thông tin và chuyển đổi số hoặc đơn vị vận hành hệ thống thông tin cấp tài khoản nhiệm vụ cho người dùng được đơn vị quản lý người dùng phân công thực hiện nhiệm vụ. Khi kết thúc thời gian thực hiện nhiệm vụ, người dùng bàn giao tài khoản nhiệm vụ cho người dùng được phân công tiếp nhận nhiệm vụ hoặc giao trả tài khoản cho đơn vị quản lý người dùng.
4. Tài khoản quản trị được giao cho cá nhân, đơn vị thực hiện nhiệm vụ quản trị ứng dụng, quản trị cơ sở dữ liệu, quản trị hệ điều hành, quản trị thiết bị. Cục Công nghệ thông tin và chuyển đổi số giữ ít nhất 01 tài khoản quản trị hệ điều hành của tất cả các máy chủ hoạt động trong mạng nội bộ của Bộ. Trường hợp thuê dịch vụ quản trị hệ thống, đơn vị chủ trì thuê dịch vụ phải quản lý việc sử dụng tài khoản quản trị của đơn vị cung cấp dịch vụ: lập danh sách cá nhân được giao tài khoản quản trị, thời điểm cá nhân tiếp nhận tài khoản, thời điểm kết thúc sử dụng; cập nhật danh sách khi có thay đổi về nhân sự giữ tài khoản.
5. Tài khoản phải được thiết lập mật khẩu mạnh. Mật khẩu phải được giữ bí mật và được đổi ngay sau khi tài khoản được bàn giao giữa các cá nhân, đơn vị hoặc khi nghi ngờ bị lộ. Mật khẩu phải được thay đổi ít nhất một lần trong 06 tháng. Khuyến nghị sử dụng mật khẩu có độ dài từ 14 ký tự trở lên với các tài khoản có vai trò quản trị.
6. Cá nhân được cấp hoặc giao tài khoản chịu trách nhiệm về các hành vi của tài khoản được ghi nhận trên thiết bị xử lý thông tin, hệ thống thông tin, hệ thống giám sát an toàn an ninh mạng.
7. Cục Công nghệ thông tin và chuyển đổi số, đơn vị vận hành hệ thống thông tin thường xuyên rà soát các tài khoản đang hoạt động, phát hiện và thu hồi các tài khoản không sử dụng hoặc không hợp lệ, điều chỉnh thông tin tài khoản chưa phản ánh chính xác thông tin thực tế tại thời điểm rà soát.
8. Các ứng dụng hoạt động trên mạng Internet có xác thực đăng nhập phải thực hiện xác thực đa yếu tố (ngoài sử dụng tên đăng nhập và mật khẩu, phải sử dụng thêm phương thức xác thực khác như mật khẩu sử dụng một lần (OTP), xác thực sinh trắc học, thiết bị ...).
Điều 16. Quy định về máy tính của người dùng
1. Máy tính do cơ quan trang bị có kết nối vào mạng nội bộ phải đáp ứng đầy đủ các yêu cầu sau:
a) Đặt tên máy theo quy tắc:
- Đối với máy cá nhân: Tên viết tắt của đơn vị (theo quy định của Bộ Tài chính)-Số phòng-Tên của người dùng (ví dụ: CNTT-212-AN), trường hợp trong một phòng có người trùng tên thì thêm Họ và tên đệm (ví dụ: CNTT-212-ANNT) và thêm số thứ tự (nếu cần thiết);
- Đối với máy dùng chung: hoặc Tên viết tắt của đơn vị-Số phòng-Chức năng dùng chung (ví dụ: CNTT-210-AN NINH).
b) Sử dụng hệ điều hành được hỗ trợ bản vá lỗ hổng bảo mật; trường hợp đã hết hỗ trợ phải có kế hoạch nâng cấp, thay thế. Chỉ cài đặt tiện ích thiết yếu được cung cấp kèm theo hệ điều hành và các phần mềm phục vụ công việc, có bản quyền hoặc được các cơ quan chức năng đánh giá, xác nhận an toàn. Cài đặt phần mềm phòng diệt mã độc và cập nhật mẫu nhận diện mã độc từ hệ thống quản lý phần mềm phòng diệt mã độc tập trung do Cục Công nghệ thông tin và chuyển đổi số vận hành.
c) Không kết nối với mạng không dây (wifi), mạng dữ liệu di động (3G/4G/5G...).
d) Căn cứ yêu cầu về bảo đảm an toàn an ninh mạng, Cục Công nghệ thông tin và chuyển đổi số có thể cài đặt thêm phần mềm giám sát an toàn an ninh mạng đối với các máy tính đáp ứng hiệu năng yêu cầu.
đ) Máy tính trước khi kết nối vào mạng nội bộ Bộ Tài chính phải được Cục Công nghệ thông tin và chuyển đổi số kiểm tra đáp ứng các quy định tại điểm a, b, c của khoản này. Cục Công nghệ thông tin và chuyển đổi số có trách nhiệm giám sát, đảm bảo máy tính kết nối vào mạng nội bộ tuân thủ các quy định tại khoản này; ngắt kết nối mạng của máy tính không đáp ứng quy định.
e) Máy tính khi được chuyển sử dụng từ cá nhân này sang cá nhân khác hoặc không tiếp tục sử dụng cho công việc của cơ quan phải thực hiện xóa toàn bộ dữ liệu trên ổ cứng và có biên bản về việc xóa dữ liệu. Máy tính khi mang đi bảo hành, bảo dưỡng, sửa chữa, phải tháo ổ cứng hoặc xóa dữ liệu lưu trên ổ cứng.
2. Máy tính soạn thảo văn bản chứa nội dung bí mật nhà nước, lưu trữ bí mật nhà nước:
a) Sử dụng hệ điều hành và các phần mềm soạn thảo văn bản có bản quyền. Không kết nối vào mạng Internet, mạng nội bộ, mạng không dây, mạng viễn thông, trừ trường hợp đã áp dụng các biện pháp bảo vệ theo hướng dẫn của Ban Cơ yếu Chính phủ. Không sử dụng thiết bị lưu trữ ngoài không do Ban Cơ yếu Chính phủ cung cấp, trừ trường hợp cần cài đặt hệ điều hành, sửa chữa, nâng cấp phần mềm cho máy tính hoặc phục vụ công tác kiểm tra, thanh tra về an toàn an ninh mạng.
b) Phân quyền truy cập máy tính theo tên người hoặc đơn vị cấp phòng được giao soạn thảo bí mật nhà nước.
c) Trường hợp ổ cứng lỗi cần mang đi bảo hành, phải thực hiện biện pháp xóa dữ liệu vĩnh viễn trước khi mang ổ cứng ra khỏi cơ quan và có biên bản ghi nhận về việc xóa dữ liệu giữa đơn vị sử dụng máy tính và đơn vị nhận ổ cứng. Việc sửa chữa, nâng cấp phần mềm cho máy tính (sau khi đã đưa vào sử dụng), nêu yêu cầu phải tiếp cận các tệp tin trên ổ cứng, phải thực hiện dưới sự giám sát của đơn vị sử dụng máy tính, đảm bảo không lộ lọt dữ liệu trên ổ cứng máy tính ra bên ngoài trong quá trình này (có biên bản giữa đơn vị sử dụng máy tính và đơn vị sửa chữa, nâng cấp phần mềm).
d) Đơn vị được cấp sử dụng máy tính soạn thảo, lưu trữ bí mật nhà nước chịu trách nhiệm giám sát, đảm bảo việc sử dụng máy tính tuân thủ đúng quy định tại khoản này.
3. Trường hợp máy tính xách tay được cơ quan trang bị để sử dụng bên ngoài trụ sở Bộ, nếu kết nối Internet, phải cài đặt hệ điều hành được hỗ trợ bản vá lỗ hổng bảo mật và phần mềm phòng diệt mã độc, phải cập nhật thường xuyên bản vá cho hệ điều hành và mẫu nhận diện mã độc do nhà sản xuất cung cấp.
4. Đối với máy tính bảng được cơ quan trang bị để phục vụ công việc phải sử dụng hệ điều hành được hỗ trợ bản vá lỗ hổng bảo mật; chỉ cài đặt phần mềm phục vụ công việc và các phần mềm bảo đảm an toàn an ninh mạng do Cục Công nghệ thông tin và chuyển đổi số hoặc các cơ quan chức năng về an toàn an ninh mạng cung cấp; cấu hình bảo đảm an toàn an ninh mạng theo hướng dẫn của Cục Công nghệ thông tin và chuyển đổi số.
5. Máy tính do người dùng tự trang bị, khi kết nối vào mạng nội bộ hoặc chạy ứng dụng của Bộ Tài chính từ địa điểm bên ngoài mạng nội bộ của Bộ Tài chính, phải đáp ứng đầy đủ các điều kiện dưới đây:
a) Cài đặt đầy đủ các bản vá lỗ hổng bảo mật của hệ điều hành; cài đặt phần mềm phòng diệt mã độc và cập nhật mẫu nhận diện mã độc mới nhất;
b) Không cài đặt, sử dụng phần mềm, công cụ có tính năng hoặc tạo rủi ro mất an toàn an ninh mạng (cấp phát địa chỉ mạng, dò quét mật khẩu, dò quét cổng mạng, giả lập tấn công...);
c) Khi kết nối vào mạng nội bộ Bộ Tài chính, người dùng cần thực hiện: đăng ký với Cục Công nghệ thông tin và chuyển đổi số để được kiểm tra máy tính trước khi kết nối; ngắt các kết nối vào các hệ thống mạng khác (mạng không dây, mạng dữ liệu di động...), không sử dụng máy tính như một điểm phát sóng không dây.
Điều 17. Quy định đối với người dùng
Người dùng tại cơ quan Bộ Tài chính có trách nhiệm:
1. Đảm bảo an toàn mật khẩu các tài khoản thông tin mà người dùng được cấp, theo quy định tại khoản 5 Điều 15 của Quy chế này. Nếu phát hiện có dấu hiệu lộ mật khẩu, thực hiện các việc sau: đổi mật khẩu tại máy tính làm việc tại cơ quan; quét mã độc trên các thiết bị của cá nhân đã từng được sử dụng để truy cập thư điện tử công vụ hoặc các ứng dụng của Bộ Tài chính trước đó; cung cấp thông tin về sự việc, hiện tượng cho bộ phận hỗ trợ kỹ thuật của Cục Công nghệ thông tin và chuyển đổi số.
2. Sử dụng tài khoản định danh cá nhân khi đăng nhập vào máy tính có kết nối vào mạng nội bộ.
3. Không lưu thông tin ngoài phạm vi công việc và hoạt động của cơ quan trên ổ đĩa mạng. Chia sẻ thông tin trên ổ đĩa mạng đúng phạm vi cần chia sẻ. Xóa thông tin trên ổ đĩa mạng do bản thân tạo ra sau khi thông tin hết giá trị sử dụng.
4. Nếu nghi ngờ hoặc phát hiện thư điện tử nhận được là thư rác, thư giả mạo, người dùng chuyển tiếp thư này cho hòm thư điện tử của bộ phận hỗ trợ kỹ thuật của Cục Công nghệ thông tin và chuyển đổi số để áp dụng biện pháp ngăn chặn. Không mở các địa chỉ trong nội dung thư, mở tệp đính kèm hoặc thực hiện theo hướng dẫn của thư điện tử có địa chỉ nhận không rõ nguồn gốc. Không mở thư điện tử công vụ và các phần mềm nội bộ của Bộ Tài chính trên máy tính công cộng hoặc máy tính không đáp ứng các yêu cầu quy định tại khoản 3, 4, 5 Điều 16 của Quy chế này. Không sử dụng địa chỉ thư điện tử công vụ để đăng ký sử dụng các ứng dụng, dịch vụ ngoài phạm vi công việc. Mã hóa hoặc đặt mật khẩu các tệp tin có nội dung nhạy cảm trước khi gửi qua thư điện tử và gửi mật khẩu cho người nhận bằng phương thức khác.
5. Thực hiện quét mã độc thiết bị lưu trữ ngoài (thẻ nhớ, ổ đĩa ngoài,...) trước khi sử dụng. Bảo vệ thiết bị lưu trữ ngoài, không để thất thoát thông tin, tài liệu của cơ quan. Mã hóa hoặc đặt mật khẩu các tệp tin có nội dung nhạy cảm khi lưu trữ trên thiết bị lưu trữ ngoài và xóa thông tin, tài liệu của cơ quan trên thiết bị lưu trữ ngoài sau khi hoàn thành xử lý công việc cần sử dụng thiết bị lưu trữ ngoài.
6. Thực hiện soạn thảo văn bản chứa nội dung bí mật nhà nước, lưu trữ tài liệu mật tại máy tính được trang bị cho việc soạn thảo, lưu trữ văn bản mật theo quy định. Không sử dụng thiết bị lưu trữ ngoài để lưu thông tin, tài liệu mật, trừ trường hợp có áp dụng các biện pháp mã hóa do Ban Cơ yếu Chính phủ cung cấp.
7. Đối với bí mật công tác, bí mật kinh doanh, dữ liệu cá nhân do người dùng được phân công xử lý: áp dụng mã hóa dữ liệu trong trường hợp cần lưu trữ, truyền đưa trên môi trường mạng hoặc thiết bị lưu trữ ngoài; giới hạn phạm vi truy cập trong phạm vi các cá nhân có trách nhiệm tham gia xử lý.
8. Khoá máy tính (sử dụng tính năng của hệ điều hành) khi rời khỏi nơi đặt máy tính; tắt máy tính khi rời khỏi cơ quan.
9. Cập nhật bản vá hệ điều hành và quét mã độc thường xuyên máy tính xách tay hoặc máy do người dùng tự trang bị và sử dụng để truy cập ứng dụng của Bộ Tài chính từ Internet.
10. Phối hợp với Cục Công nghệ thông tin và chuyển đổi số trong việc triển khai các biện pháp an toàn an ninh mạng trên máy tính của người dùng, gỡ mã độc (nếu phát hiện có mã độc mà phần mềm phòng diệt mã độc không có khả năng xử lý), điều tra nguyên nhân mất an toàn an ninh mạng liên quan đến người dùng hoặc máy tính của người dùng.
11. Không tự ý thay đổi, gỡ bỏ biện pháp an toàn thông tin cài đặt trên máy tính phục vụ công việc.
Điều 18. Quy định về hệ thống mạng nội bộ
1. Hệ thống mạng nội bộ của Bộ Tài chính phải được tổ chức thành các vùng mạng theo chức năng, tối thiểu gồm: vùng mạng người dùng; vùng mạng kết nối Internet; vùng mạng kết nối với các đơn vị trong ngành Tài chính; vùng mạng kết nối với cơ quan, đơn vị ngoài ngành Tài chính và mạng truyền số liệu chuyên dùng Chính phủ; vùng mạng máy chủ cung cấp ứng dụng, dịch vụ ra Internet; vùng mạng máy chủ nội bộ, máy chủ cơ sở dữ liệu; vùng mạng hệ thống quản lý tập trung, quản trị thiết bị; vùng mạng phục vụ công tác quản trị; vùng mạng hệ thống giám sát an toàn an ninh mạng. Sử dụng tường lửa mạng để kiểm soát truy cập giữa các vùng mạng: Chỉ cho phép truy cập các ứng dụng, dịch vụ theo từng ứng dụng, dịch vụ cụ thể; chặn tất cả truy cập tới các dịch vụ, ứng dụng không sử dụng hoặc không phục vụ công việc. Thiết lập phòng chống xâm nhập và phòng chống phần mềm độc hại trên môi trường mạng cho các vùng mạng máy chủ.
2. Các kết nối mạng để xác thực, truy cập thông tin, trao đổi thông tin, quản trị ứng dụng/thiết bị/hệ thống phải áp dụng mã hóa.
3. Các thiết bị mạng lõi, thiết bị mạng các vùng mạng máy chủ, thiết bị an toàn an ninh mạng phải được cấu hình gửi nhật ký hệ thống tới hệ thống giám sát an toàn an ninh mạng. Nhật ký hệ thống của các thiết bị mạng phải được lưu trữ tối thiểu 03 tháng.
4. Các thiết bị mạng phải được cấu hình xác thực để xác thực truy cập quản trị. Chỉ cho phép truy cập quản trị thiết bị mạng từ vùng mạng phục vụ công tác quản trị.
5. Truy cập quản trị hệ thống từ Internet phải thông qua cổng truy cập SSL VPN của Bộ Tài chính và thực hiện xác thực 02 yếu tố; Thiết lập giới hạn thời gian chờ để đóng phiên kết nối khi cổng SSL VPN không nhận được tín hiệu từ người truy cập (tối đa 60 phút).
6. Các thiết bị kết nối vào mạng nội bộ phải đồng bộ thời gian với máy chủ thời gian (được đồng bộ với nguồn thời gian tin cậy trên Internet).
7. Thiết bị mạng, thiết bị an toàn an ninh mạng phải được xử lý lỗ hổng, điểm yếu đã công bố trước khi đưa vào sử dụng và khi có cảnh báo về lỗ hổng bảo mật mới. Thực hiện kiểm tra, đánh giá an toàn an ninh mạng đối với hệ thống mạng nội bộ định kỳ hàng năm.
8. Đối với hệ thống mạng không dây
a) Được trang bị phủ sóng các trụ sở của Bộ, các phòng làm việc, phòng họp, phục vụ kết nối Internet cho thiết bị di động, được quản lý tập trung thống nhất, sử dụng tài khoản định danh tập trung để xác thực.
b) Truy cập giữa thiết bị di động với các hệ thống ứng dụng nội bộ và ứng dụng trên mạng Internet phải được kiểm soát thông qua hệ thống thiết bị bảo mật.
c) Cục Công nghệ thông tin và chuyển đổi số tổ chức thực hiện, bảo đảm an toàn, an ninh mạng cho hệ thống mạng không dây.
9. Tài liệu mô tả hệ thống mạng phải được cập nhật thường xuyên, phản ánh chính xác thực tế các cấu hình, chính sách đang áp dụng cho hệ thống mạng.
Điều 19. Quy định về kết nối Internet
1. Kết nối Internet từ mạng nội bộ phải áp dụng các biện pháp kiểm soát truy cập, bảo đảm an toàn an ninh mạng do Cục Công nghệ thông tin và chuyển đổi số thiết lập.
2. Kênh truyền Internet sử dụng để công khai ứng dụng, dịch vụ công nghệ thông tin của Bộ trên mạng Internet được trang bị tối thiểu 02 kênh vật lý từ 02 nhà cung cấp dịch vụ viễn thông độc lập, được VNNIC cấp phát dải địa chỉ IPv4, IPv6 riêng cho Bộ Tài chính sử dụng.
3. Kênh truyền Internet sử dụng cho người dùng mạng nội bộ để truy cập các ứng dụng, dịch vụ trên mạng Internet được trang bị tối thiểu 02 kênh vật lý độc lập.
4. Đối với máy chủ và thiết bị xử lý thông tin khác, chi thiết lập kết nối Internet cho các hệ thống được thiết kế có giao tiếp với Internet.
5. Các ứng dụng, dịch vụ của Bộ công khai trên mạng Internet được giới hạn truy cập theo vùng mạng quốc gia (IP Geolocation), chỉ cho phép các vùng mạng có nhu cầu sử dụng được truy cập.
Điều 20. Quy định về hệ thống thông tin
1. Phần mềm ứng dụng triển khai trên hệ thống mạng nội bộ của Bộ Tài chính phải đáp ứng các yêu cầu sau:
a) Áp dụng Khung phát triển phần mềm an toàn theo hướng dẫn của cơ quan chức năng.
b) Sử dụng hệ điều hành, cơ sở dữ liệu, công cụ phát triển phần mềm có bản quyền hoặc được các cơ quan chức năng đánh giá, xác nhận an toàn; được cung cấp bản vá lỗ hổng, điểm yếu bảo mật trong thời hoạt động trên hệ thống mạng.
c) Có kiến trúc phù hợp với phân chia vùng mạng quy định tại khoản 1 Điều 18 của Quy chế này. Truy cập ứng dụng web phải thông qua tường lửa ứng dụng web; sử dụng chứng thư số SSL đặt trên tường lửa ứng dụng web để mã hóa kết nối giữa người dùng, người quản trị và hệ thống thông tin. Tách riêng địa chỉ truy cập dành cho người dùng và truy cập dành cho quản trị ứng dụng; địa chỉ quản trị ứng dụng không được phép truy cập trực tiếp từ Internet.
d) Có khả năng tích hợp với hệ thống quản lý người dùng tập trung để xác thực người dùng tại cơ quan Bộ. Có tính năng cho phép người dùng đổi mật khẩu. Cho phép cấu hình đảm bảo an toàn mật khẩu người sử dụng đối với tài khoản xác thực tại ứng dụng: Yêu cầu thay đổi mật khẩu mặc định; Cho phép thiết lập quy tắc đặt mật khẩu về số ký tự, loại ký tự; Cho phép thiết lập thời gian yêu cầu thay đổi mật khẩu; Cho phép thiết lập thời gian mật khẩu hợp lệ; Hạn chế số lần đăng nhập sai trong khoảng thời gian nhất định với tài khoản nhất định. Mã hóa thông tin xác thực đối với tài khoản xác thực tại ứng dụng theo tiêu chuẩn mã hóa do cơ quan chức năng quy định. Cho phép cấu hình giới hạn thời gian chờ để đóng phiên kết nối khi ứng dụng không nhận được yêu cầu từ người dùng (cấu hình ban đầu 60 phút và điều chỉnh trong quá trình hoạt động để phù hợp với yêu cầu thực tế của từng ứng dụng).
đ) Có tính năng kiểm tra tính hợp lệ của dữ liệu dầu vào, đầu ra; lọc bỏ, ngăn chặn dữ liệu không hợp lệ.
e) Có tính năng ghi nhật ký hệ thống và gửi nhật ký hệ thống tới hệ thống giám sát an toàn an ninh mạng. Giới hạn kích thước tệp nhật ký hệ thống lưu trên máy chủ ở mức độ phù hợp để không làm ảnh hưởng đến hiệu năng của ứng dụng. Nhật ký hệ thống của ứng dụng phải được lưu trữ tối thiểu 03 tháng.
g) Có phương án sao lưu dự phòng sự cố sử dụng hệ thống sao lưu dữ liệu do Cục Công nghệ thông tin và chuyển đổi số quản lý.
h) Có thiết kế đáp ứng yêu cầu bảo đảm an toàn hệ thống thông tin theo cấp độ. Khi có thay đổi thiết kế, phải đánh giá lại tính phù hợp của phương án thiết kế đối với các yêu cầu an toàn đặt ra đối với hệ thống.
i) Áp dụng biện pháp bảo vệ theo hướng dẫn của Ban Cơ yếu Chính phủ đối với ứng dụng có xử lý bí mật nhà nước.
2. Dữ liệu xử lý trong hệ thống thông tin:
a) Trường hợp hệ thống thông tin cần thu thập, xử lý, lưu trữ dữ liệu cá nhân, phải đáp ứng các yêu cầu sau: Chỉ thu thập các dữ liệu cá nhân được phép thu thập theo quy định của pháp luật; Thông báo tới người dùng các loại dữ liệu cá nhân được thu thập, xử lý, lưu trữ thông tin trong hệ thống thông tin và biện pháp bảo vệ; Chỉ cơ quan, đơn vị có trách nhiệm được phân quyền truy cập, sử dụng dữ liệu cá nhân.
b) Bí mật nhà nước của ngành Tài chính phải được mã hoá bằng giải pháp do Ban Cơ yếu Chính phủ cung cấp.
c) Áp dụng chữ ký số trong trường hợp cần đảm bảo chống từ chối nguồn gốc dữ liệu.
3. Máy chủ hoạt động trên hệ thống mạng nội bộ Bộ Tài chính phải đáp ứng các yêu cầu sau:
a) Đặt tên máy theo quy tắc: Viết tắt tên của hệ thống thông tin-Viết tắt chức năng của máy chủ và số thứ tự (nếu có từ 2 máy trở lên cùng chức năng) (ví dụ: VBDH-APP01).
b) Sử dụng hệ điều hành được cung cấp bản vá lỗ hổng, điểm yếu. Chỉ cài đặt các dịch vụ, tiện ích thiết yếu được cung cấp kèm theo hệ điều hành và các phần mềm phục vụ hoạt động của máy chủ, có nguồn gốc an toàn và không nhiễm mã độc. Cài đặt phần mềm phòng diệt mã độc và cập nhật mẫu nhận diện mã độc từ hệ thống quản lý phần mềm phòng diệt mã độc tập trung do Cục Công nghệ thông tin và chuyển đổi số vận hành; Cài đặt phần mềm giám sát an toàn an ninh mạng, cấu hình tự động tải bản vá lỗ hổng bảo mật mức hệ điều hành từ hệ thống quản lý bản vá lỗ hổng bảo mật tập trung (đối với máy chủ sử dụng hệ điều hành Windows).
c) Thiết lập chính sách xác thực trên máy chủ đáp ứng quy định về mật khẩu của tài khoản thông tin quy định tại khoản 5 Điều 15 của Quy chế này; yêu cầu thay đổi mật khẩu mặc định. Cấu hình giới hạn thời gian chờ để đóng phiên kết nối khi máy chủ không nhận được yêu cầu từ người dùng (tối đa 60 phút).
d) Cấu hình gửi nhật ký hệ thống tới hệ thống giám sát an toàn an ninh mạng. Nhật ký hệ thống của máy chủ phải được lưu trữ tối thiểu 03 tháng.
đ) Không kết nối với mạng không dây, mạng dữ liệu di động.
e) Thực hiện cài đặt bản vá lỗ hổng bảo mật mức hệ điều hành trong vòng 07 ngày làm việc sau khi bản vá được phát hành.
g) Không lưu mã nguồn ứng dụng; tài liệu thiết kế, cài đặt, quản trị, vận hành, bảo đảm an toàn an ninh mạng hệ thống thông tin trên máy chủ không có chức năng lưu trữ mà nguồn và tài liệu về hệ thống thông tin.
4. Hệ thống thông tin phải được triển khai, cấu hình và duy trì hoạt động đáp ứng các quy định tại Điều này và theo phương án bảo đảm an toàn thông tin đã được phê duyệt theo hồ sơ đề xuất cấp độ; được kiểm tra, đánh giá an toàn an ninh mạng trước khi đưa vào sử dụng và định kỳ hàng năm trong quá trình vận hành.
5. Tài liệu về hệ thống thông tin phải được cập nhật trong quá trình vận hành, đảm bảo phản ánh chính xác hiện trạng của hệ thống. Tài liệu về hệ thống thông tin phải được lưu giữ an toàn, chỉ được cung cấp cho các đối tượng có trách nhiệm đối với hệ thống thông tin.
Điều 21. Quy định về kết thúc sử dụng hệ thống thông tin
1. Hệ thống thông tin phải kết thúc sử dụng khi: đã được thay thế hoàn toàn bằng hệ thống thông tin khác; hoặc không còn giá trị sử dụng; hoặc sử dụng phiên bản phần mềm có lỗ hổng bảo mật nghiêm trọng và không có biện pháp ngăn chặn việc khai thác các lỗ hổng bảo mật này; hoặc các thành phần tài sản của hệ thống thông tin đã hết thời gian khấu hao sử dụng theo quy định pháp luật về quản lý, sử dụng tài sản công và được cấp có thẩm quyền cho phép dừng sử dụng.
2. Thủ tục kết thúc vận hành, khai thác, hủy bỏ hệ thống thông tin:
a) Đơn vị vận hành hệ thống thông tin báo cáo chủ quản hệ thống thông tin cho phép kết thúc vận hành, khai thác hệ thống thông tin.
b) Cục Công nghệ thông tin và chuyển đổi số thực hiện sao lưu dữ liệu hệ thống thông tin; dừng hoạt động của hệ thống; thu hồi tài nguyên máy chủ ảo hóa (nếu hệ thống thông tin sử dụng nền tảng ảo hóa) hoặc xóa bỏ hoàn toàn (không có khả năng phục hồi) nội dung thông tin, dữ liệu trên thiết bị vật lý trước khi chuyển sang bộ phận quản lý tài sản chờ thanh lý; thu hồi địa chỉ mạng, cấu hình trên hệ thống mạng, hệ thống an toàn an ninh mạng áp dụng cho hệ thống thông tin.
Điều 22. Quy định về sao lưu dữ liệu phòng ngừa sự cố
1. Cục Công nghệ thông tin và chuyển đổi số thực hiện sao lưu thông tin, dữ liệu của hệ thống thông tin thuộc phạm vi quản lý của Cục và các đơn vị sử dụng hệ thống mạng nội bộ Bộ Tài chính như sau:
a) Loại dữ liệu cần sao lưu: Cơ sở dữ liệu, thông tin về cấu hình của phần mềm nội bộ, thông tin cấu hình thiết bị, hệ điều hành của thiết bị và những thông tin, dữ liệu khác (nếu có) thuộc môi trường sản xuất, môi trường dự phòng cần phải sao lưu phục vụ công tác quản lý, khai thác sử dụng.
b) Đối với cơ sở dữ liệu, thông tin về cấu hình của phần mềm nội bộ: Thực hiện sao lưu ngoài giờ hành chính.
c) Đối với thông tin cấu hình thiết bị, hệ điều hành của thiết bị và những thông tin, dữ liệu khác (nếu có): Thực hiện sao lưu 01 bản sao lưu sau mỗi lần cài đặt, thay đổi cấu hình.
d) Lưu giữ tối thiểu 07 bản sao lưu gần nhất.
2. Dữ liệu sao lưu được khôi phục trong các trường hợp: có yêu cầu khôi phục dữ liệu từ người dùng; ứng dụng, cơ sở dữ liệu đang hoạt động bị sự cố, cần khôi phục từ bản sao lưu; hoặc theo yêu cầu của cơ quan có thẩm quyền.
TRÁCH NHIỆM CỦA CƠ QUAN, ĐƠN VỊ, CÁ NHÂN THUỘC BỘ TÀI CHÍNH
Điều 23. Trách nhiệm của các cơ quan, đơn vị thuộc Bộ Tài chính
1. Cục, Vụ, đơn vị sự nghiệp công lập, doanh nghiệp:
a) Ban hành quy chế/quy định/nội quy về an toàn an ninh mạng của đơn vị phù hợp với trách nhiệm của đơn vị theo Quy chế này và các quy định của pháp luật về an toàn an ninh mạng.
b) Tổ chức triển khai thực hiện Quy chế này và các quy định của pháp luật, văn bản chỉ đạo và hướng dẫn của các cơ quan có thẩm quyền về an toàn an ninh mạng trong phạm vi đơn vị.
c) Đơn vị sử dụng hệ thống mạng nội bộ Bộ Tài chính (Vụ Tổ chức cán bộ, Văn phòng Bộ, đơn vị có thẩm quyền quyết định về nhân sự) có trách nhiệm gửi Cục Công nghệ thông tin và chuyển đổi số quyết định về tiếp nhận, bổ nhiệm, điều động, chuyển công tác, thôi việc, nghỉ hưu, dừng công tác tại thời điểm phát hành văn bản.
d) Đơn vị vận hành hệ thống thông tin: Ban hành quy trình vận hành hệ thống thông tin, sao lưu phục hồi dữ liệu; Thực hiện bảo vệ hệ thống thông tin theo quy định của pháp luật và hướng dẫn, tiêu chuẩn, quy chuẩn an toàn thông tin.
2. Cục Công nghệ thông tin và chuyển đổi số
a) Tham mưu cho Bộ Tài chính về việc triển khai công tác an toàn an ninh mạng; Hướng dẫn các quy định của pháp luật, văn bản chỉ đạo và hướng dẫn của các cơ quan có thẩm quyền về an toàn an ninh mạng trong phạm vi các cơ quan, đơn vị, tổ chức thuộc Bộ Tài chính; Thực hiện trách nhiệm của đơn vị chuyên trách về an toàn thông tin của chủ quản hệ thống thông tin; Tổ chức triển khai Quy chế này và các quy định của pháp luật về an toàn an ninh mạng đối với các hệ thống thông tin do Cục Công nghệ thông tin và chuyển đổi số quản lý vận hành;
b) Xây dựng, trình Bộ trưởng ban hành Kế hoạch bảo đảm an toàn, an ninh mạng tổng thể của Bộ Tài chính; Tổng hợp kế hoạch, báo cáo định kỳ, đột xuất về an toàn an ninh mạng, trình Lãnh đạo Bộ Tài chính gửi các cơ quan quản lý về an toàn an ninh mạng; Xử lý các việc đột xuất về an toàn an ninh mạng (chưa quy định tại Quy chế này) theo phân công của Lãnh đạo Bộ;
c) Định kỳ hàng năm, tổ chức rà soát, kiểm tra tính phù hợp của Quy chế này với các quy định của pháp luật về an toàn thông tin mạng, an ninh mạng và các quy định, tiêu chuẩn liên quan; kiểm tra tính đáp ứng của Quy chế này với yêu cầu thực tế của Bộ Tài chính; báo cáo Bộ về việc sửa đổi, bổ sung Quy chế trong trường hợp cần thiết.
Điều 24. Trách nhiệm cá nhân thuộc Bộ Tài chính
1. Thủ trưởng đơn vị thuộc đối tượng áp dụng của Quy chế này có trách nhiệm: phổ biến tới từng cán bộ, công chức, viên chức, người lao động của đơn vị; thường xuyên kiểm tra việc thực hiện Quy chế này tại đơn vị; chịu trách nhiệm trước pháp luật và Lãnh đạo Bộ Tài chính về các vi phạm, thất thoát thông tin, dữ liệu mật thuộc phạm vi quản lý của đơn vị do không tổ chức, chỉ đạo, kiểm tra cán bộ của đơn vị thực hiện đúng quy định.
2. Cán bộ, công chức, viên chức, người lao động thuộc Bộ Tài chính, các đơn vị thuộc Bộ và các đơn vị khác thuộc đối tượng áp dụng của quy định có trách nhiệm: tuân thủ Quy chế; thông báo các vấn đề bất thường liên quan tới an toàn an ninh mạng cho đơn vị chuyên trách về an toàn thông tin của chủ quản hệ thống thông tin; chịu trách nhiệm trước pháp luật và Lãnh đạo đơn vị về các vi phạm, thất thoát dữ liệu mật của ngành Tài chính do không tuân thủ Quy chế.
3. Tập thể, cá nhân vi phạm Quy chế này làm ảnh hưởng đến việc thực hiện nhiệm vụ chính trị của Bộ Tài chính hoặc gây phương hại đến an ninh quốc gia thì tùy theo tính chất, mức độ của hành vi vi phạm sẽ bị xử lý hành chính, xử lý kỷ luật hoặc truy cứu trách nhiệm hình sự. Nếu gây thiệt hại về tài sản thì phải bồi thường theo quy định của pháp luật.
1. Cục Công nghệ thông tin và chuyển đổi số chịu trách nhiệm hướng dẫn, theo dõi, kiểm tra, đôn đốc việc thực hiện Quy chế này.
2. Đơn vị vận hành hệ thống thông tin tổ chức rà soát, thống kê, cập nhật danh mục hệ thống thông tin thuộc phạm vi quản lý. Đối với các hệ thống thông tin đã phê duyệt cấp độ, chủ quản hệ thống thông tin quyết định điều chỉnh thông tin chủ quản hệ thống thông tin, đơn vị được giao vận hành hệ thống thông tin phù hợp với tổ chức bộ máy. Cục Công nghệ thông tin và chuyển đổi số thực hiện rà soát, trình Bộ quyết định điều chỉnh thông tin chủ quản hệ thống thông tin, đơn vị vận hành hệ thống thông tin do bộ, cơ quan ngang bộ là chủ quản hệ thống thông tin sáp nhập với Bộ Tài chính.
3. Trong quá trình thực hiện Quy chế này, nếu phát sinh khó khăn, vướng mắc, các đơn vị, cá nhân gửi ý kiến về Cục Công nghệ thông tin và chuyển đổi số để tổng hợp, báo cáo, đề xuất trình Bộ trưởng xem xét, quyết định./.
Đăng xuất
Việc làm Hồ Chí Minh