BỘ TƯ PHÁP
-------

CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM
Độc lập - Tự do - Hạnh phúc
---------------

Số: 3090/QĐ-BTP

Hà Nội, ngày 26 tháng 12 năm 2018

BỘ TƯ PHÁP
-------

CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM
Độc lập - Tự do - Hạnh phúc
---------------

Số: 3090/QĐ-BTP

Hà Nội, ngày 26 tháng 12 năm 2018

Nơi nhận:
- Như Điều 3;
- Bộ trưởng (để b/c);
- Bộ Thông tin và Truyền thông;
- Các Thứ trưởng;
- Các tổ chức chính trị - xã hội cơ quan Bộ;
- Cổng Thông tin điện tử Bộ Tư pháp;
- Lưu: VT, Cục CNTT.

KT. BỘ TRƯỞNG
THỨ TRƯỞNG




Nguyễn Khánh Ngọc

BỘ TƯ PHÁP

CỤC CÔNG NGHỆ THÔNG TIN

HỒ SƠ ĐỀ XUẤT CẤP ĐỘ

CHO HỆ THỐNG THÔNG TIN – BỘ TƯ PHÁP

Hà Nội – 2018

STT

Từ viết tắt

Nghĩa đầy đủ

1.

BTP

Bộ Tư pháp

2.

CNTT

Công nghệ thông tin

3.

CSDL

Cơ sở dữ liệu

4.

DVCTT

Dịch vụ công trực tuyến

5.

HTTT

Hệ thống thông tin

6.

WAN

Mạng diện rộng

7.

LAN

Mạng nội bộ

8.

TSLCD 

Mạng Truyền số liệu chuyên dùng

9.

VPN

Vitural Private Network

10.

TTDLĐT

Trung tâm dữ liệu điện tử

11.

DNS    

Domain Name Server

STT

Tên thiết bị/Chủng loại

Vị trí triển khai

Mục đích sử dụng

1

FotiWan 1000B

Vùng mạng DataCenter

Loadbalancer đường truyền

2

Firewall/FotiGate 800D

Vùng mạng DataCenter

Tường lửa Gateway

3

Firewall/Checkpoint 4800

Vùng mạng DataCenter

Tường lửa cho Database

4

WAF Appwall

Vùng mạng DataCenter

Tường lửa ứng dụng

5

Pineapp MailSecure

Vùng mạng DataCenter

AntiSpam Mail

6

A10

Vùng mạng DataCenter

LoadBalancer ứng dụng

7

Firewall/Checkpoint 4600

Vùng mạng Lan

Tường lửa vùng mạng Lan

8

TMG Proxy

Vùng mạng Lan

Thiết bị Proxy cho vùng mạng Lan

9

Sonicwall NSA 4600

Vùng mạng Lan

Thiết bị quản lý wifi tập trung

STT

Tên dịch vụ

Máy chủ triển khai

Mục đích sử dụng

1

Cổng thông tin điện tử

Hai máy chủ Web/ Vùng DMZ/Windows Server 2012

Hai máy chủ Database/ Vùng Database / Windows Server 2012

Cung cấp thông tin chỉ đạo, điều hành, hướng dẫn chuyên môn nghiệp vụ phục vụ cho cán bộ, công chức, viên chức ngành Tư pháp; công khai thông tin thủ tục hành chính, văn bản quy phạm pháp luật.., hoạt động của Bộ, ngành Tư pháp phục vụ nhu cầu tra cứu, tìm kiếm của các tổ chức, cá nhân.

2

Hệ thống thư điện tử

Hai máy chủ Email/ Vùng DMZ/CentOS 7

Cung cấp và đáp ứng trao đổi thông tin dữ liệu trên môi trường mạng ngày càng gia tăng cao của cán bộ, công chức, viên chức trong ngành, đáp ứng nhu cầu trao đổi thông tin, gửi nhận thư điện tử giữa các cơ quan nhà nước được đảm bảo ổn định thông suốt, đáp ứng nhu cầu ngày càng gia tăng cao về chất lượng, số lượng trong việc trao đổi thông tin trên môi trường mạng…

3

Hệ thống cơ sở dữ liệu người dùng tập trung LDAP – Đăng nhập 1 cửa

Hai máy chủ Web/ Vùng DMZ/CentOS 7

Máy chủ Database/ Vùng Database /CentOS 7

Cung cấp và là nơi quản lý về tài khoản người dùng tại các hệ thống thông tin và phần mềm ứng dụng của Bộ Tư pháp. Các hệ thống như: Cổng thông tin điện tử, Thư Điện tử, Phần mềm Quản lý văn bản và điều hành, Phần mềm Quản lý cán bộ đều được thẩm định xác thực tập trung qua Hệ thống cơ sở dữ liệu người dùng tập trung. Thành viên hệ thống chỉ sử dụng một tài khoản duy nhất được cung cấp và được phân quyền khi tham gia vào các hệ thống thông tin của Bộ.

4

Cổng thông tin Thi hành án dân sự

Máy chủ Web/ Vùng DMZ/ Windows Server 2012

Máy chủ Database/ Vùng Database / Windows Server 2012

Cung cấp đầy đủ thông tin theo quy định của nhà nước về công tác Thi hành án dân sự, thi hành án hành chính, đồng thời là công cụ hỗ trợ thiết thực phục vụ công tác quản lý, chỉ đạo điều hành của Bộ và Tổng cục Thi hành án dân sự.

5

Cổng thông tin Pháp điển

Máy chủ Web/ Vùng DMZ/ Windows Server 2012

Máy chủ Database/ Vùng Database / Windows Server 2012

Cung cấp thông tin về công tác pháp điển thuộc phạm vi quản lý nhà nước của Bộ; đăng tải, phổ biến và quảng bá Bộ pháp điển ra toàn quốc cũng như ra thế giới.

Là kênh giao tiếp chính thức của Bộ Tư pháp với các cơ quan, tổ chức, người dân, doanh nghiệp trong các hoạt động về pháp điển hệ thống QPPL.

6

Cổng thông tin Học viện Tư pháp

Máy chủ Web/ Vùng DMZ/ Windows Server 2012

Máy chủ Database/ Vùng Database / Windows Server 2012

Kênh thông tin chính thức của Học viện Tư pháp.

7

Phần mềm Quản lý văn bản, điều hành và hồ sơ lưu trữ

Máy chủ Web/ Vùng DMZ/ CenOS 6

Máy chủ Database/ Vùng Database / CentOS 6

Cung cấp công cụ quản lý văn bản đến/đi, điều hành tác nghiệp trên Hệ thống và quản lý Hồ sơ lưu trữ cơ quan và lưu trữ các đơn vị thuộc Bộ.

8

Phần mềm Quản lý hồ sơ cán bộ và chức danh tư pháp

Máy chủ Web/ Vùng DMZ/ CenOS 6

Máy chủ Database/ Vùng Database / CentOS 6

Cung cấp công cụ quản lý hồ sơ cán bộ và các chức danh tư pháp (bao gồm các đơn vị thuộc bộ và các đơn vị thi hành án dân sự địa phương).

9

Hệ thống thông tin đăng ký và quản lý Hộ tịch

Hai máy chủ Web/ Vùng DMZ/ CenOS 7

Hai máy chủ Database/ Vùng Database / CentOS 7

- Cung cấp Phần mềm đăng ký, quản lý hộ tịch dùng chung tại tất cả các cơ quan đăng ký, quản lý hộ tịch trên toàn quốc đáp ứng các yêu cầu của Luật Hộ tịch năm 2014 và các văn bản hướng dẫn thi hành;

- Từng bước thiết lập Hệ thống thông tin quản lý dữ liệu hộ tịch điện tử thống nhất từ Trung ương đến địa phương, bước đầu hình thành Cơ sở dữ liệu hộ tịch điện tử tại các địa phương tham gia triển khai hệ thống;

- Thí điểm chia sẻ và cung cấp dữ liệu công dân cho Cơ sở dữ liệu quốc gia về dân cư trên cơ sở các sự kiện hộ tịch đăng ký khai sinh mới có ngày đăng ký từ ngày 01/01/2016 và tính đến thời điểm cập nhật dữ liệu trên phần mềm người được đăng ký khai sinh chưa đủ 14 tuổi.

10

Hệ thống thông tin lý lịch tư pháp

Hai máy chủ Web/ Vùng DMZ/ CenOS 6

Hai máy chủ Database/ Vùng Database / CentOS 6

Hệ thống thông tin lý lịch tư pháp là một hệ thống tổng thể được triển khai thống nhất tại Bộ Tư pháp và Sở Tư pháp các tỉnh/thành phố trực thuộc Trung ương trên toàn quốc trong các mặt như xây dựng cơ sở dữ liệu về lý lịch tư pháp; cấp Phiếu lý lịch tư pháp; kết nối, tích hợp dữ liệu từ các hệ thống có liên quan; cung cấp dịch vụ công trực tuyến mức độ 3.

11

Hệ thống thông tin quản lý quốc tịch

Máy chủ Web/ Vùng DMZ/ CenOS 6

Máy chủ Database/ Vùng Database / CentOS 6

Cung cấp các phần mềm hỗ trợ quản lý hồ sơ quốc tịch cho Bộ Tư pháp và các Sở Tư pháp.

12

Hệ thống Đăng ký giao dịch bảo đảm trực tuyến

Hai máy chủ Web/ Vùng DMZ/ CenOS 7

Hai máy chủ Database/ Vùng Database / CentOS 7

Cung cấp dịch vụ công trực tuyến mức độ 3, đã góp phần nâng cao chất lượng phục vụ người dân, doanh nghiệp khi đăng ký và tra cứu thông tin về đăng ký giao dịch bảo đảm

13

Phần mềm Thống kê Ngành Tư pháp

Một máy chủ / Vùng DMZ/ Window Server 2008

Cung cấp công cụ hỗ trợ công tác thống kê, báo cáo trong Ngành Tư pháp

14

Phần mềm Quản lý hồ sơ Ủy thác tư pháp

Một Máy chủ / Vùng DMZ/ Window Server 2008

Cung cấp công cụ hỗ trợ công tác quản lý hồ sơ ủy thác Tư pháp

15

Phần mềm Quản lý công tác Thi đua khen thưởng

Một máy chủ / Vùng DMZ/ Window Server 2008

Cung cấp công cụ hỗ trợ công tác quản lý thi đua – khen thưởng.

16

Phần mềm Cơ sở dữ liệu tư liệu, tài liệu khoa học pháp lý

Một máy chủ / Vùng DMZ/ Window Server 2008

Cung cấp công cụ quản lý và xây dựng CSDL về tư liệu, tài liệu khoa học pháp lý

17

Phần mềm Hỗ trợ pháp điển Hệ thống quy phạm pháp luật

Một máy chủ / Vùng DMZ/ Window Server 2012

Cung cấp công cụ hỗ trợ pháp điển hệ thống quy phạm pháp luật. Tạo lập Bộ pháp điển điện tử để công khai trên Cổng thông tin điện tử pháp điển.

18

Phần mềm Thư viện điện tử, thư viện số

Một máy chủ / Vùng DMZ/ Window Server 2012

Cung cấp công cụ hỗ trợ và tạo lập thư viện điện tử, thư viện số của Bộ Tư pháp

19

Phần mềm quản lý nuôi con nuôi

Một máy chủ / Vùng DMZ/ Window Server 2012

Cung cấp phần mềm hỗ trợ quản lý hồ sơ đăng ký nuôi con nuôi trong nước cho các UBND cấp xã trên toàn quốc và phần mềm đăng ký nuôi con nuôi có yếu tố nước ngoài cho Bộ Tư pháp.

20

Hệ thống Quản lý công văn đi đến tại các Cục Thi hành án dân sự

Máy chủ Web/ Vùng DMZ/ CenOS 6

Máy chủ Database/ Vùng Database / CentOS 6

Cung cấp công cụ quản lý các văn bản đến/đi cho các cục Thi hành án dân sự.

21

Phần mềm quản lý quá trình thụ lý, tổ chức thi hành án và báo cáo thống kê thi hành án dân sự

Hai máy chủ Web/ Vùng DMZ/ CenOS 7

Hai máy chủ Database/ Vùng Database / CentOS 7

Hỗ trợ một cách hiệu quả, chính xác, kịp thời, thống nhất đối với công tác quản lý quá trình thụ lý, tổ chức thi hành án và báo cáo thống kê thi hành án dân sự tại các cơ quan Thi hành án dân sự toàn quốc cũng như theo dõi, thống kê báo cáo và quản lý tập trung công tác thi hành án dân sự ở địa phương tại Tổng cục Thi hành án dân sự; Đáp ứng được việc liên thông dữ liệu giữa các cơ quan Thi hành án dân sự và kết nối, trao đổi, chia sẻ thông tin với các Hệ thống khác như: phần mềm Lý lịch tư pháp, Phần mềm tiếp nhận, hỗ trợ trực tuyến thi hành án dân sự…

22

Phần mềm Lưu trữ dùng chung cho Hệ thống tổ chức các cơ quan Thi hành án dân sự

Máy chủ Web/ Vùng DMZ/ CenOS 6

Máy chủ Database/ Vùng Database / CentOS 6

Cung cấp công cụ quản lý Hồ sơ lưu trữ cho các cục Thi hành án dân sự.

23

Phần mềm Quản lý nghiệp vụ Hành chính tập chung

Một máy chủ / Vùng DMZ/ Window Server 2012

Phần mềm quản lý nghiệp vụ hành chính tập trung đóng vai trò là Cổng dịch vụ công trực tuyến và Phần mềm một cửa của Bộ Tư pháp. Qua đó công dân có thể tìm hiểu văn bản pháp luật, thủ tục hành chính, nộp hồ sơ trực tuyến, tra cứu trạng thái xử lý; các đơn vị thực hiện giải quyết thủ tục hành chính tại Bộ có thể quản lý thông tin tiếp nhận hồ sơ, thực hiện báo cáo, thống kê tình hình, kết quả giải quyết thủ tục hành chính.

24

CSDL quốc gia về pháp luật

Hai máy chủ Web/ Vùng DMZ/Windows Server 2012

Một máy chủ chia sẻ dữ liệu Webservices Vùng DMZ/Windows Server 2012

Hai máy chủ Database/ Vùng Database / Windows Server 2012

CSDL quốc gia về pháp luật quản lý khai thác và cập nhập về tất cả VBPL của 25 Bộ, Ngành, cơ quan trung ương và 63 Tỉnh, Thành phố trên toàn quốc.

STT

Hệ thống

Cấp độ đề xuất

Căn cứ đề xuất

1

Cổng thông tin điện tử

3

Điều 9 Nghị định 85/2016-NĐ-CP

2

Hệ thống thư điện tử (Email)

3

Điều 9 Nghị định 85/2016-NĐ-CP

3

Hệ thống cơ sở dữ liệu người dùng tập trung LDAP

3

Điều 9 Nghị định 85/2016-NĐ-CP

4

Cổng thông tin Thi hành án dân sự

3

Điều 9 Nghị định 85/2016-NĐ-CP

5

Cổng thông tin Pháp điển

3

Điều 9 Nghị định 85/2016-NĐ-CP

6

Cổng thông tin Học viện Tư pháp

3

Điều 9 Nghị định 85/2016-NĐ-CP

7

Phần mềm Quản lý văn bản, điều hành và hồ sơ lưu trữ

3

Điều 9 Nghị định 85/2016-NĐ-CP

8

Phần mềm Quản lý hồ sơ cán bộ và chức danh tư pháp

3

Điều 9 Nghị định 85/2016-NĐ-CP

9

Hệ thống thông tin đăng ký và quản lý Hộ tịch

3

Điều 9 Nghị định 85/2016-NĐ-CP

10

Hệ thống thông tin lý lịch tư pháp

3

Điều 9 Nghị định 85/2016-NĐ-CP

11

Hệ thống thông tin quản lý quốc tịch

3

Điều 9 Nghị định 85/2016-NĐ-CP

12

Hệ thống Đăng ký giao dịch bảo đảm trực tuyến

3

Điều 9 Nghị định 85/2016-NĐ-CP

13

Phần mềm Thống kê Ngành Tư pháp

3

Điều 9 Nghị định 85/2016-NĐ-CP

14

Phần mềm Quản lý hồ sơ Ủy thác tư pháp

3

Điều 9 Nghị định 85/2016-NĐ-CP

15

Phần mềm Quản lý công tác Thi đua khen thưởng

3

Điều 9 Nghị định 85/2016-NĐ-CP

16

Phần mềm Cơ sở dữ liệu tư liệu, tài liệu khoa học pháp lý

3

Điều 9 Nghị định 85/2016-NĐ-CP

17

Phần mềm Hỗ trợ pháp điển Hệ thống quy phạm pháp luật

3

Điều 9 Nghị định 85/2016-NĐ-CP

18

Phần mềm Thư viện điện tử, thư viện số

3

Điều 9 Nghị định 85/2016-NĐ-CP

19

Phần mềm quản lý nuôi con nuôi

3

Điều 9 Nghị định 85/2016-NĐ-CP

20

Hệ thống Quản lý công văn đi đến tại các Cục Thi hành án dân sự

3

Điều 9 Nghị định 85/2016-NĐ-CP

21

Phần mềm quản lý quá trình thụ lý, tổ chức thi hành án và báo cáo thống kê thi hành án dân sự triển khai thí điểm tại Cục THADS TP Hồ Chí Minh

3

Điều 9 Nghị định 85/2016-NĐ-CP

22

Phần mềm Lưu trữ dùng chung cho Hệ thống tổ chức các cơ quan Thi hành án dân sự

3

Điều 9 Nghị định 85/2016-NĐ-CP

23

Phần mềm Quản lý nghiệp vụ Hành chính tập chung

3

Điều 9 Nghị định 85/2016-NĐ-CP

24

CSDL quốc gia về pháp luật

3

Điều 9 Nghị định 85/2016-NĐ-CP

Loại văn bản chính sách ATTT

Văn bản hiện hành

Văn bản cũ trước đây đã được thay thế bằng văn bản hiện hành (nếu có)

Năm

Số hiệu văn bản

Năm

Số hiệu văn bản

Quy chế, qui định

2005

2006

2006

2011

2014

107/QĐ-BTP

1328/QĐ-BTP

1691/QĐ-BTP

4146/QĐ-BTP

2217/QĐ-BTP

2010

2014

290/QĐ-BTP

299/QĐ-BTP

STT

Yêu cầu

P/A

Ghi chú

Xây dựng chính sách an toàn thông tin, bao gồm:

1

Xác định các mục tiêu, nguyên tắc bảo đảm an toàn thông tin;

Có

Chương III QĐ 299/QĐ-BTP ngày 08/2/2014 về việc ban hành Quy chế Quản lý, vận hành, khai thác, sử dụng và đảm bảo an toàn thông tin hệ thống mạng máy tính của Bộ Tư pháp.

2

Xác định trách nhiệm của đơn vị chuyên trách về an toàn thông tin, các cán bộ làm về an toàn thông tin và các đối tượng thuộc phạm vi điều chỉnh của chính sách an toàn thông tin;

Có

Theo quy định tại Quyết định số 1468/QĐ-BTP ngày 29 tháng 6 năm 2018 của Bộ trưởng Bộ Tư pháp quy định chức năng, nhiệm vụ, quyền hạn và cơ cấu tổ chức của Cục Công nghệ thông tin

3

Xác định phạm vi chính sách an toàn thông tin bao gồm:

- Phạm vi quản lý về vật lý và logic của tổ chức;

- Các ứng dụng, dịch vụ hệ thống cung cấp;

- Nguồn nhân lực bảo đảm an toàn thông tin.

Có

QĐ 299/QĐ-BTP ngày 08/2/2014 về việc ban hành Quy chế Quản lý, vận hành, khai thác, sử dụng và đảm bảo an toàn thông tin hệ thống mạng máy tính của Bộ Tư pháp.

4

Xây dựng chính sách an toàn thông tin bao gồm:

- Quản lý an toàn mạng;

- Quản lý an toàn máy chủ và ứng dụng;

- Quản lý an toàn dữ liệu;

- Quản lý an toàn thiết bị đầu cuối;

- Quản lý phòng chống phần mềm độc hại;

- Quản lý giám sát an toàn thông tin;

- Quản lý sự cố an toàn thông tin;

- Quản lý an toàn người sử dụng đầu cuối.

Có

QĐ 299/QĐ-BTP ngày 08/2/2014 về việc ban hành Quy chế Quản lý, vận hành, khai thác, sử dụng và đảm bảo an toàn thông tin hệ thống mạng máy tính của Bộ Tư pháp.

STT

Yêu cầu

P/A

Ghi chú

1

Thành lập hoặc chỉ định đơn vị chuyên trách về an toàn thông tin trong tổ chức;

Có

Theo quy định tại Quyết định số 1468/QĐ-BTP ngày 29 tháng 6 năm 2018 của Bộ trưởng Bộ Tư pháp quy định chức năng, nhiệm vụ, quyền hạn và cơ cấu tổ chức của Cục Công nghệ thông tin.
Cục CNTT là đơn vị chuyên trách về an toàn thông tin của Bộ Tư pháp.

2

Phân định vai trò, trách nhiệm, cơ chế phối hợp của các bộ phận, cán bộ trong đơn vị chuyên trách về an toàn thông tin;

Có

Theo quy định tại Quyết định số 1468/QĐ-BTP ngày 29 tháng 6 năm 2018 của Bộ trưởng Bộ Tư pháp quy định chức năng, nhiệm vụ, quyền hạn và cơ cấu tổ chức của Cục Công nghệ thông tin

STT

Yêu cầu

P/A

Ghi chú

1

Có đầu mối liên hệ, phối hợp với các cơ quan, tổ chức có thẩm quyền quản lý về an toàn thông tin;

Có

QĐ 299/QĐ-BTP ngày 08/2/2014 về việc ban hành Quy chế Quản lý, vận hành, khai thác, sử dụng và đảm bảo an toàn thông tin hệ thống mạng máy tính của Bộ Tư pháp.

2

Có mối liên hệ, phối hợp với các cơ quan, tổ chức trong công tác hỗ trợ điều phối xử lý sự cố an toàn thông tin;

Có

3

Tham gia các hoạt động, công tác bảo đảm an toàn thông tin khi có yêu cầu của tổ chức có thẩm quyền.

Có

STT

Yêu cầu

P/A

Ghi chú

1

Có quy định về việc thực hiện nội quy, quy chế bảo đảm an toàn thông tin cho người sử dụng, cán bộ quản lý và vận hành hệ thống;

Có

QĐ 299/QĐ-BTP ngày 08/2/2014 về việc ban hành Quy chế Quản lý, vận hành, khai thác, sử dụng và đảm bảo an toàn thông tin hệ thống mạng máy tính của Bộ Tư pháp.

Kế hoạch công tác hàng năm của Cục CNTT.

2

Có kế hoạch và định kỳ hàng năm tổ chức phổ biến, tuyên truyền nâng cao nhận thức về an toàn thông tin cho người sử dụng;

Có

3

Có kế hoạch và định kỳ hàng năm tổ chức đào tạo về an toàn thông tin hàng năm cho 03 nhóm đối tượng bao gồm: cán bộ kỹ thuật, cán bộ quản lý và người sử dụng trong hệ thống.
 Định kỳ hàng năm, tổ chức đào tạo các kỹ năng cơ bản về an toàn thông tin cho người sử dụng.

Có

1

Cán bộ chấm dứt hoặc thay đổi công việc phải thu hồi thẻ truy cập, thông tin được lưu trên các phương tiện điện tử, các trang thiết bị máy móc, phần cứng, phần mềm và các tài sản khác của tổ chức;

Có

Quy định chung của Cục

2

Có quy trình và thực hiện vô hiệu hóa tất cả các quyền ra, vào, truy cập tài nguyên, quản trị hệ thống sau khi cán bộ thôi việc.

Có

1

Có tài liệu mô tả quy mô, phạm vi và đối tượng sử dụng, khai thác, quản lý vận hành hệ thống thông tin;

Có

2

Có tài liệu mô tả thiết kế và các thành phần của hệ thống thông tin;

Có

Tham khảo tài liệu Thiết kế bao gồm thiết bị phần cứng và phần mềm của hệ thống thông tin.

3

Có tài liệu mô tả phương án bảo đảm an toàn thông tin theo cấp độ;

Có

Các HTTT được triển khai trong năm 2018 đang trong giai đoạn hoàn thiện, do đó tài liệu mô tả phương án đảm bảo an toàn thông tin theo cấp độ đang được xây dựng.

4

Có tài liệu mô tả phương án lựa chọn giải pháp công nghệ bảo đảm an toàn thông tin;

Có

Tham khảo tài liệu Thiết kế đảm bảo an toàn thông tin cho hệ thống ứng dụng công nghệ thông tin.

4

Kiểm tra, đánh giá an toàn thông tin, trước khi đưa vào sử dụng;

Có

Có thực hiện kiểm tra, đánh giá an toàn thông tin, trước khi đưa vào sử dụng

1

Thực hiện kiểm thử hệ thống trước khi đưa vào vận hành, khai thác sử dụng;

Có

Có thực hiện kiểm thử hệ thống trước khi đưa vào vận hành, khai thác sử dụng

2

Có nội dung, kế hoạch, quy trình thử nghiệm và nghiệm thu hệ thống;

Có

Tham khảo Kế hoạch triển khai hợp đồng

3

Có bộ phận có trách nhiệm thực hiện thử nghiệm và nghiệm thu hệ thống;

Có

Tham khảo Kế hoạch triển khai hợp đồng

4

Có đơn vị độc lập (bên thứ 3) hoặc bộ phận độc lập thuộc đơn vị thực hiện tư vấn và giám sát quá trình thử nghiệm và nghiệm thu hệ thống;

Có

Có thành lập bộ phận độc lập thực hiện giám sát quá trình thử nghiệm và nghiệm thu hệ thống

5

Có báo cáo nghiệm thu được xác nhận của bộ phận chuyên trách và phê duyệt của chủ quản hệ thống thông tin trước khi đưa vào sử dụng;

Có

Có tài liệu báo cáo nghiệm thu, biên bản nghiệm thu

1

Quản lý, vận hành hoạt động bình thường của hệ thống;

Có

QĐ 299/QĐ-BTP ngày 08/2/2014 về việc ban hành Quy chế Quản lý, vận hành, khai thác, sử dụng và đảm bảo an toàn thông tin hệ thống mạng máy tính của Bộ Tư pháp.

2

Cập nhật; sao lưu dự phòng các tệp tin cấu hình hệ thống và khôi phục hệ thống sau khi xảy ra sự cố;

Có

3

Truy cập và quản lý cấu hình hệ thống;

Có

4

Cấu hình tối ưu, tăng cường bảo mật cho thiết bị hệ thống (cứng hóa) trước khi đưa vào vận hành, khai thác.

Có

STT

Yêu cầu

P/A

Ghi chú

1

Quản lý, vận hành hoạt động bình thường của hệ thống máy chủ và dịch vụ;

Có

QĐ 299/QĐ-BTP ngày 08/2/2014 về việc ban hành Quy chế Quản lý, vận hành, khai thác, sử dụng và đảm bảo an toàn thông tin hệ thống mạng máy tính của Bộ Tư pháp.

2

Truy cập mạng của máy chủ;

Có

3

Truy cập và quản trị máy chủ và ứng dụng;

Có

4

Cập nhật; sao lưu dự phòng và khôi phục sau khi xảy ra sự cố;

Có

5

Cài đặt, gỡ bỏ hệ điều hành, dịch vụ, phần mềm trên hệ thống máy chủ và ứng dụng;

Có

6

Kết nối và gỡ bỏ hệ thống máy chủ và dịch vụ khỏi hệ thống;

Có

7

Cấu hình tối ưu và tăng cường bảo mật (cứng hóa) cho hệ thống máy chủ trước khi đưa vào vận hành, khai thác.

Có

STT

Yêu cầu

P/A

Ghi chú

4

a) Xây dựng và thực thi chính sách, quy trình dự phòng và khôi phục dữ liệu;

QĐ 299/QĐ-BTP ngày 08/2/2014 về việc ban hành Quy chế Quản lý, vận hành, khai thác, sử dụng và đảm bảo an toàn thông tin hệ thống mạng máy tính của Bộ Tư pháp.

5

Sao lưu dự phòng và khôi phục dữ liệu (tần suất sao lưu dự phòng, phương tiện lưu trữ, thời gian lưu trữ; nơi lưu trữ, phương thức lưu trữ và phương thức lấy dữ liệu ra khỏi phương tiện lưu trữ);

Có

7

Định kỳ hoặc khi có thay đổi cấu hình trên hệ thống thực hiện quy trình sao lưu dự phòng: tập tin cấu hình hệ thống, bản dự phòng hệ điều hành máy chủ, cơ sở dữ liệu; dữ liệu, thông tin nghiệp vụ và các thông tin, dữ liệu quan trọng khác trên hệ thống (nếu có).

Có

STT

Yêu cầu

P/A

Ghi chú

1

Quản lý, vận hành hoạt động bình thường cho thiết bị đầu cuối;

Có

QĐ 299/QĐ-BTP ngày 08/2/2014 về việc ban hành Quy chế Quản lý, vận hành, khai thác, sử dụng và đảm bảo an toàn thông tin hệ thống mạng máy tính của Bộ Tư pháp.

2

Kết nối, truy cập và sử dụng thiết bị đầu cuối từ xa;

Có

3

Cài đặt, kết nối và gỡ bỏ thiết bị đầu cuối trong hệ thống;

Có

STT

Yêu cầu

P/A

Ghi chú

1

Cài đặt, cập nhật, sử dụng phần mềm phòng chống mã độc; dò quét, kiểm tra phần mềm độc hại trên máy tính, máy chủ và thiết bị di động;

Có

QĐ 299/QĐ-BTP ngày 08/2/2014 về việc ban hành Quy chế Quản lý, vận hành, khai thác, sử dụng và đảm bảo an toàn thông tin hệ thống mạng máy tính của Bộ Tư pháp.

2

Cài đặt, sử dụng phần mềm trên máy tính, thiết bị di động và việc truy cập các trang thông tin trên mạng;

Có

3

Định kỳ thực hiện kiểm tra và dò quét phần mềm độc hại trên toàn bộ hệ thống; Thực hiện kiểm tra và xử lý phần mềm độc hại khi phát hiện dấu hiệu hoặc cảnh báo về dấu hiệu phần mềm độc hại xuất hiện trên hệ thống.

1

Quản lý hoạt động bình thường của hệ thống giám sát;

Có

Nhật ký hoạt động, theo dõi, giám sát đảm bảo an toàn an ninh hệ thống của phòng HTKT&ATTT

2

Đối tượng giám sát bao gồm: thiết bị hệ thống, máy chủ, ứng dụng, dịch vụ và các thành phần khác trong hệ thống (nếu có);

Có

3

Kết nối và gửi nhật ký hệ thống từ thiết bị, máy chủ về hệ thống giám sát;

Có

4

Truy cập và quản trị hệ thống giám sát;

Có

5

Lưu trữ và bảo vệ thông tin giám sát (nhật ký hệ thống);

Có

6

Đồng bộ thời gian giữa hệ thống giám sát và thiết bị được giám sát;

Có

7

Theo dõi, giám sát và cảnh báo sự cố phát hiện được trên hệ thống thông tin;

Có

8

Bố trí nguồn lực và tổ chức giám sát an toàn hệ thống thông tin 24/7.

Có

1

Quản lý thông tin các thành phần có trong hệ thống có khả năng tồn tại điểm yếu an toàn thông tin: thiết bị hệ thống, hệ điều hành, máy chủ, ứng dụng, dịch vụ và các thành phần khác (nếu có);

Có

Đã có phương án quản lý, đang xây dựng quy chế để trình báo cáo lãnh đạo Cục.

2

Quản lý, cập nhật nguồn cung cấp điểm yếu an toàn thông tin; phân nhóm và mức độ của điểm yếu cho các thành phần trong hệ thống đã xác định;

Có

3

Cơ chế phối hợp với các nhóm chuyên gia, bên cung cấp dịch vụ hỗ trợ trong việc xử lý, khắc phục điểm yếu an toàn thông tin;

Có

4

Kiểm tra, đánh giá và xử lý điểm yếu an toàn thông tin cho thiết bị hệ thống, máy chủ, dịch vụ trước khi đưa vào sử dụng;

Có

5

Định kỳ kiểm tra, đánh giá điểm yếu an toàn thông tin cho toàn bộ hệ thống thông tin; Thực hiện quy trình kiểm tra, đánh giá, xử lý điểm yếu an toàn thông tin khi có thông tin hoặc nhận được cảnh báo về điểm yếu an toàn thông tin đối với thành phần cụ thể trong hệ thống.

Có

STT

Yêu cầu

P/A

Ghi chú

1

Phân nhóm sự cố an toàn thông tin mạng;

Có

Đã có phương án quản lý, đang xây dựng quy chế để trình báo cáo lãnh đạo Cục.

2

Kế hoạch ứng phó sự cố an toàn thông tin mạng;

Có

3

Giám sát, phát hiện và cảnh báo sự cố an toàn thông tin;

Có

4

Quy trình ứng cứu sự cố an toàn thông tin mạng thông thường;

Có

5

Quy trình ứng cứu sự cố an toàn thông tin mạng nghiêm trọng;

Có

6

Cơ chế phối hợp với cơ quan chức năng, các nhóm chuyên gia, bên cung cấp dịch vụ hỗ trợ trong việc xử lý, khắc phục sự cố an toàn thông tin;

Có

7

Định kỳ tổ chức diễn tập phương án xử lý sự cố an toàn thông tin.

Có

STT

Yêu cầu

P/A

Ghi chú

1

Quản lý truy cập, sử dụng tài nguyên nội bộ;

Có

QĐ 299/QĐ-BTP ngày 08/2/2014 về việc ban hành Quy chế Quản lý, vận hành, khai thác, sử dụng và đảm bảo an toàn thông tin hệ thống mạng máy tính của Bộ Tư pháp.

2

Quản lý truy cập mạng và tài nguyên trên Internet;

Có

3

Cài đặt và sử dụng máy tính an toàn.

Có

STT

Yêu cầu

P/A

Ghi chú

1

Thiết kế các vùng mạng trong hệ thống theo chức năng, các vùng mạng tối thiểu bao gồm:

- Vùng mạng nội bộ;

Có

Có vùng mạng nội bộ (mạng LAN) cho người sử dụng trong Bộ.

- Vùng DMZ;

Có

Có vùng DMZ đặt các máy chủ cung cấp dịch vụ ra Internet

- Vùng máy chủ nội bộ;

Có

Có vùng máy chủ nội bộ riêng đặt các máy chủ nội bộ, cung cấp các dịch vụ nội bộ cho người sử dụng trong hệ thống.

- Vùng mạng không dây (nếu có) tách riêng, độc lập với các vùng mạng khác;

Có

Hệ thống mạng không dây quản trị tập trung được tách riêng, độc lập hoàn toàn cả về vật lý và logic với mạng LAN

- Vùng mạng máy chủ máy chủ cơ sở dữ liệu;

Có

Có vùng mạng riêng đặt các máy chủ CSDL

- Vùng quản trị;

Có

Có vùng mạng riêng đặt các máy chủ quản trị

2

Phương án thiết kế bảo đảm các yêu cầu sau:

- Có phương án quản lý truy cập, quản trị hệ thống từ xa an toàn;

Có

Hệ thống của Bộ Tư pháp không cho phép truy cập từ xa phục vụ công tác quản trị hệ thống, tuy nhiên vẫn sẵn sàng sử dụng giải pháp VPN. Toàn bộ các truy cập từ xa đều được lưu log (tài khoản đăng nhập, thời gian truy cập…)

- Có phương án quản lý truy cập giữa các vùng mạng và phòng chống xâm nhập;

Có

Hệ thống của Bộ Tư pháp được triển khai các thiết bị IPS để phòng chống xâm nhập trái phép. Truy cập giữa các vùng mạng được kiểm soát bằng thiết bị tường lửa.

- Có phương án cân bằng tải và dự phòng nóng cho các thiết bị mạng chính;

Không

Các thiết bị mạng, bảo mật chính (Switch, Router, Firewall, IPS, …) chưa được triển khai theo cơ chế HA (High availability).

- Có phương án bảo đảm an toàn cho máy chủ cơ sở dữ liệu;

Có

Máy chủ CSDL được đặt tại vùng riêng, có thiết bị tưởng lửa chuyên dụng cho Database

- Có phương án chặn lọc phần mềm độc hại trên môi trường mạng;

Có

Hệ thống Bộ Tư pháp được trang bị các giải pháp Web Proxy, IPS, Next-Gen Firewall có cơ chế cập nhật liên tục signature và có khả năng chặn, lọc phần mềm độc hại trên môi trường mạng.

- Có phương án phòng chống tấn công từ chối dịch vụ;

Không

Hệ thống của Bộ Tư pháp chưa được trang bị thiết bị phòng chống tấn công DDOS chuyên dụng, có khả năng phòng chống tấn công từ chối dịch vụ

- Có phương án quản lý sao lưu dự phòng tập trung;

Có

Hệ thống của Bộ Tư pháp được trang bị hệ thống sao lưu tập trung

- Có phương án quản lý phần mềm phòng chống mã độc trên các máy chủ/máy tính người dùng tập trung;

Có

Hệ thống của Bộ Tư pháp đang sử dụng giải pháp quản lý phần mềm phòng chống mã độc (cài đặt trên toàn bộ máy chủ, máy trạm) tập trung của hãng McAfee

- Có phương án phòng, chống thất thoát dữ liệu;

Có

Sử dụng phương án phân quyền trên hệ thống nhằm hạn chế tối đa việc truy cập sử dụng của những cá nhân không có thẩm quyền;

- Có phương án dự phòng kết nối mạng Internet cho các máy chủ dịch vụ;

Có

Bộ Tư pháp hiện đang sử dụng 02 đường truyền kết nối LeasedLine Internet được cấu hình Loadbalance đường truyền trên thiết bị FortiWan.

- Có phương án bảo đảm an toàn cho mạng không dây (nếu có);

Có

Bộ Tư pháp triển khai phương án quản trị tập trung đối với mạng không dây. Mạng không dây được tách biệt hoàn toàn về vật lý với mạng LAN.

STT

Yêu cầu

P/A

Ghi chú

1

Kiểm soát truy cập từ bên ngoài vào hệ thống theo từng dịch vụ, ứng dụng cụ thể; chặn tất cả truy cập tới các dịch vụ, ứng dụng mà hệ thống không cung cấp hoặc không cho phép truy cập từ bên ngoài;

Có

Bộ Tư pháp chỉ cho phép truy cập từ ngoài Internet vào các dịch vụ cụ thể như truy cập các dịch vụ công, các phần mềm ứng dụng được public ra bên ngoài.

2

Phân quyền và cấp quyền truy cập từ bên ngoài vào hệ thống theo từng người dùng hoặc nhóm người dùng căn cứ theo yêu cầu nghiệp vụ, yêu cầu quản lý;

Có

Việc truy cập từ ngoài Internet có phân quyền riêng cho người dùng hoặc nhóm người dùng với từng ứng dụng cụ thể

STT

Yêu cầu

P/A

Ghi chú

1

Chỉ cho phép truy cập các phần mềm, ứng dụng theo yêu cầu nghiệp vụ, chặn các dịch vụ khác không phục vụ hoạt động nghiệp vụ theo chính sách của tổ chức;

Có

Hệ thống của Bộ Tư pháp sử dụng các thiết bị tường lửa để phân tách hệ thống thành nhiều vùng riêng biệt.

Truy cập từ người dùng được thiết lập chặt chẽ, chỉ cho phép truy cập vào các cổng của ứng dụng/dịch vụ và ra ngoài Internet, đóng toàn bộ các kết nối không được phép.

2

Có phương án kiểm soát truy cập của người dùng vào các dịch vụ, các máy chủ nội bộ theo chức năng và chính sách của tổ chức;

Có

Hệ thống của Bộ Tư pháp sử dụng các thiết bị tường lửa để kiểm soát truy cập của người dùng vào các dịch vụ, máy chủ nội bộ;

STT

Yêu cầu

P/A

Ghi chú

1

Thiết lập chức năng ghi, lưu trữ nhật ký hệ thống trên các thiết bị hệ thống (nếu hỗ trợ), bao gồm các thông tin sau:

Có

Toàn bộ log của các thiết bị đều được lưu trữ trong 1 khoảng thời gian nhất định.

- Thời gian kết nối;

Có

Log Firewall có ghi lại thời gian kết nối

- Thông tin kết nối mạng (địa chỉ IP, cổng kết nối);

Có

Log Firewall có ghi lại thông tin địa chỉ IP, cổng kết nối

- Hành động đối với kết nối (cho phép, ngăn chặn);

Có

Log Firewall có ghi lại hành động của kết nối (cho phép hoặc ngăn chặn)

- Thông tin các thiết bị đầu cuối kết nối vào hệ thống theo địa chỉ vật lý và logic;

Có

Log Firewall có ghi lại thông tin địa chỉ IP của thiết bị đầu cuối kết nối vào hệ thống

- Thông tin cảnh báo từ các thiết bị;

Có

Các thông tin cảnh báo từ các thiết bị (router, switch, firewall…) đều được lưu log trên hệ thống

- Thông tin hiệu năng hoạt động của thiết bị và tài nguyên mạng.

Có

Cục CNTT theo định kỳ ghi lại tình hình hoạt động của các thiết bị và tài nguyên mạng, trong đó có thông tin về hiệu năng của thiết bị

2

Sử dụng máy chủ thời gian trong hệ thống để đồng bộ thời gian giữa các thiết bị mạng, thiết bị đầu cuối và các thành phần khác trong hệ thống tham gia hoạt động giám sát;

Có

Bộ Tư pháp có thiết lập máy chủ Time Server chuyên dụng, đồng bộ thời gian cho các máy chủ trong hệ thống.

3

Lưu trữ và quản lý tập trung nhật ký hệ thống thu thập được từ các thiết bị hệ thống;

Có

Toàn bộ log của các thiết bị đều được lưu trữ trong 1 khoảng thời gian nhất định.

4

Lưu trữ nhật ký hệ thống của thiết bị tối thiểu 03 tháng.

Có

03 tháng.

STT

Yêu cầu

P/A

Ghi chú

1

Có phương án phòng chống xâm nhập để bảo vệ các vùng mạng trong hệ thống;

Có

Hệ thống của Bộ Tư pháp được triển khai giải pháp phòng chống xâm nhập trái phép (IPS) cho các vùng mạng trong hệ thống

2

Định kỳ cập nhật cơ sở dữ liệu dấu hiệu phát hiện tấn công mạng (Signatures);

Có

Định kỳ update cho các trang thiết bị bảo mật

3

Bảo đảm năng lực hệ thống đáp ứng đủ theo yêu cầu, quy mô số lượng người dùng và dịch vụ, ứng dụng của hệ thống cung cấp;

Có

Hệ thống phòng chống xâm nhập trái phép của Bộ Tư pháp được trang bị với cấu hình đáp được yêu cầu, quy mô số lượng người dùng và dịch vụ, ứng dụng của hệ thống cung cấp

STT

Yêu cầu

P/A

Ghi chú

1

Có phương án phòng chống phần mềm độc hại trên môi trường mạng;

Có

Bộ Tư pháp đang sử dụng bộ giải pháp của hãng McAfee để phòng chống phần mềm độc hại

2

Định kỳ cập nhật dữ liệu cho hệ thống phòng chống phần mềm độc hại;

Có

Các giải pháp của McAfee đang sử dụng tại Bộ Tư pháp được quản trị tập trung, được cập nhật mẫu virus định kỳ

3

Bảo đảm năng lực hệ thống đáp ứng đủ theo yêu cầu, quy mô số lượng người dùng và dịch vụ, ứng dụng của hệ thống cung cấp;

Có

Hệ thống phòng chống phần mềm độc hại được cài đặt trên máy chủ ảo, do đó tài nguyên hệ thống có thể mở rộng được, đảm bảo năng lực đáp ứng đủ theo yêu cầu, quy mô số lượng người dùng và dịch vụ, ứng dụng của hệ thống cung cấp

STT

Yêu cầu

P/A

Ghi chú

1

Cấu hình chức năng xác thực trên các thiết bị hệ thống để xác thực người dùng khi quản trị thiết bị;

Có

Hệ thống của Bộ Tư pháp yêu cầu xác thực nhiều lớp khi quản trị thiết bị, bao gồm: xác thực qua hệ thống quản lý mật khẩu đặc quyền, xác thực qua máy chủ trung gian, xác thực trên chính thiết bị cần quản trị

2

Thiết lập cấu hình chỉ cho phép sử dụng các kết nối mạng an toàn khi truy cập, quản trị thiết bị từ xa;

Có

Hệ thống của Bộ Tư pháp cho phép truy cập, quản trị thiết bị từ xa sử dụng kênh mã hoá an toàn (SSL)

3

Cấu hình thiết bị (nếu hỗ trợ) chỉ cho phép hạn chế các địa chỉ mạng có thể kết kết nối;

Có

Hệ thống Bộ Tư pháp chỉ cho phép quản trị trang thiết bị từ vùng mạng quản trị riêng biệt.

4

Hạn chế được số lần đăng nhập sai khi quản;

Có

Trên hệ thống các trang thiết bị, máy chủ trung gian đều có thiết lập số lần đăng nhập sai

5

Phân quyền truy cập, quản trị thiết bị đối với các tài khoản quản trị có quyền hạn khác nhau;

Có

Trên hệ thống trang thiết bị, máy chủ quản trị đều có phân quyền truy cập, quản trị theo nhóm người dùng với quyền hạn khác nhau

6

Nâng cấp, xử lý điểm yếu an toàn thông tin của thiết bị hệ thống trước khi đưa vào sử dụng;

Có

Thường xuyên tiến hành dò quét, update các bản vá, khắc phục các lỗ hổng bảo mật trước khi cung cấp ra Internet

STT

Yêu cầu

P/A

Ghi chú

1

Thiết lập chính sách xác thực trên máy chủ để xác thực người dùng khi truy cập, quản lý và sử dụng máy chủ;

Có

Chính sách được thiết lập để áp chung cho tất cả các máy chủ.

2

Thay đổi các tài khoản mặc định trên hệ thống hoặc vô hiệu hóa (nếu không sử dụng);

Có

Những user mặc định trên hệ thống đã được disable trên server khi bàn giao sử dụng

3

Thiết lập cấu hình máy chủ để đảm bảo an toàn mật khẩu người sử dụng, bao gồm các yêu cầu sau:

Có

Chính sách được thiết lập để đảm bảo an toàn mật khẩu người sử dụng (thời gian thay đổi mật khẩu 3 tháng, mật khẩu phải đảm bảo ít nhất 8 ký tự, trong đó phải có chữ hoa, chữ thường, số và ký tự đặc biệt)

- Yêu cầu thay đổi mật khẩu mặc định;

- Thiết lập quy tắc đặt mật khẩu về số ký tự, loại ký tự;

- Thiết lập thời gian yêu cầu thay đổi mật khẩu

- Thiết lập thời gian mật khẩu hợp lệ.

4

Hạn chế số lần đăng nhập sai trong khoảng thời gian nhất định với một tài khoản nhất định;

Có

Chính sách được thiết lập trên từng phần mềm, ứng dụng

5

Thiết lập cấu hình để vô hiệu hóa tài khoản nếu tài khoản đó đăng nhập sai nhiều lần vượt số lần quy định;

Có

Chính sách được thiết lập trên từng phần mềm, ứng dụng

STT

Yêu cầu

P/A

Ghi chú

1

Thiết lập hệ thống chỉ cho phép sử dụng các kết nối mạng an toàn khi truy cập

Có

Truy cập máy chủ phải qua máy trạm nằm trong vùng quản trị (truy cập phải có sự phê duyệt nhu cầu sử dụng) và phải được xác thực 2 yếu tố:
- Máy trạm nằm trong vùng quản trị được phép truy cập vào máy chủ.
- Xác thực mật khẩu của máy chủ

2

Thiết lập giới hạn thời gian chờ (timeout) để đóng phiên kết nối khi máy chủ không nhận được yêu cầu từ người dùng;

Có

Chính sách được thiết lập trên từng phần mềm, ứng dụng

3

Thay đổi cổng quản trị mặc định của máy chủ;

Không

Không nhưng chỉ cho phép truy cập an toàn có mã hóa

4

Giới hạn địa chỉ mạng được phép truy cập, quản trị máy chủ từ xa.

Có

Máy trạm dùng để truy cập phải nằm trong vùng quản trị và được firewall cho phép việc truy cập kết nối tới các máy chủ

STT

Yêu cầu

P/A

Ghi chú

1

Ghi nhật ký hệ thống bao gồm những thông tin cơ bản sau:

Log hệ thống được thiết lập lưu tối thiểu 03 tháng (log firewal, event, audit,….) để phục vụ tra vết thông tin kết nối, đăng nhập, lỗi hệ thống, thay đổi cấu hình, khai thác dữ liệu,…

- Thông tin kết nối mạng tới máy chủ (Firewall log);

Có

Toàn bộ kết nối từ bên ngoài tới máy chủ đều đi qua Firewall và có lưu log trên Firewall.

- Thông tin đăng nhập vào máy chủ;

Có

Thông tin đăng nhập vào máy chủ được lưu log trên chính máy chủ (xem trong Event Viewer)

- Lỗi phát sinh trong quá trình hoạt động;

Có

Lỗi phát sinh trong quá trình hoạt động được lưu log trên chính máy chủ (xem trong Event Viewer)

- Thông tin thay đổi cấu hình máy chủ;

Có

Thông tin thay đổi cấu hình máy chủ được lưu log trên chính máy chủ (xem trong Event Viewer)

- Thông tin truy cập dữ liệu và dịch vụ quan trọng trên máy chủ (nếu có).

Có

Thông tin truy cập vào dịch vụ quan trọng chạy trên máy chủ được lưu trong log của dịch vụ chạy trên máy chủ. Log truy cập dữ liệu được lưu trên log của CSDL

2

Đồng bộ thời gian giữa máy chủ với máy chủ thời gian;

Có

Hệ thống được thiết lập với máy chủ time server để đảm bảo thời gian trên toàn hệ thống là duy nhất

3

Giới hạn đủ dung lượng lưu trữ nhật ký hệ thống để không mất hoặc tràn nhật ký hệ thống;

Có

Có chính sách vận hành quản trị để đảm bảo việc lưu nhật hệ thống 03 tháng (không bị mất hoặc tràn ổ cứng ảnh hưởng đến hoạt động của máy chủ)

4

Quản lý và lưu trữ tập trung nhật ký hệ thống thu thập được từ máy chủ;

Có

Log hệ thống được lưu 03 tháng, sẽ thực hiện lưu trên local máy chủ, không thực hiện lưu tập trung

5

Lưu nhật ký hệ thống trong khoảng thời gian tối thiểu là 03 tháng;

Có

Thiết lập log hệ thống lưu thời gian tối thiểu 03 tháng.

STT

Yêu cầu

P/A

Ghi chú

1

Loại bỏ các tài khoản không sử dụng, các tài khoản không còn hợp lệ trên máy chủ;

Có

Thiết lập chính sách trên từng máy chủ

2

Sử dụng tường lửa của hệ điều hành và hệ thống để cấm các truy cập trái phép tới máy chủ;

Có

Thiết lập chính sách trên firewall để chống truy cập trái phép đến máy chủ (chỉ cho phép truy cập kết nối đến các máy chủ khác đúng mục đích)

3

Vô hiệu hóa các giao thức mạng không an toàn, các dịch vụ hệ thống không sử dụng;

Có

Rà soát định kỳ thực hiện disable các services,disable port không sử dụng

4

Có phương án cập nhật bản vá, xử lý điểm yếu an toàn thông tin cho hệ điều hành và các dịch vụ hệ thống trên máy chủ;

Có

Thực hiện update các bản vá của hệ điều hành

5

Thực hiện nâng cấp, xử lý điểm yếu an toàn thông tin trên máy chủ trước khi đưa vào sử dụng;

Có

Khi cấp máy chủ phải đảm bảo: Hệ điều hành phải là phiên bản vẫn còn được hãng hỗ trợ, các bản vá lỗi phải được cập nhật mới nhất, áp dụng chính sách an ninh thông tin cho máy chủ

STT

Yêu cầu

P/A

Ghi chú

1

Cài đặt phần mềm phòng chống mã độc (hoặc có phương án khác tương đương) và thiết lập chế độ tự động cập nhật cơ sở dữ liệu cho phần mềm;

Có

Toàn bộ máy chủ thuộc hệ thống được cài đặt phần mềm phòng chống mã độc của hãng McAfee, được quản lý tập trung, được thiết lập chế độ tự động cập nhật cơ sở dữ liệu

2

Có phương án kiểm tra, dò quét, xử lý phần mềm độc hại cho các phần mềm trước khi cài đặt;

Có

Phần mềm phòng chống mã độc McAfee được thiết lập cơ chế real-time scan, đảm bảo cho toàn bộ máy chủ luôn được quét liên tục. Do đó bất kỳ phần mềm nào trên máy chủ cũng được kiểm tra, quét trước khi cài đặt

3

Quản lý tập trung (cập nhật, cảnh báo và quản lý) các phần mềm phòng chống mã độc cài đặt trên máy chủ và các máy tính người sử dụng trong hệ thống;

Có

Hệ thống phòng chống mã độc McAfee đang sử dụng tại Bộ Tư pháp được triển khai tập trung, đảm bảo việc quản lý tập trung, cập nhật và cảnh báo cho toàn bộ máy chủ, máy trạm trong hệ thống

STT

Yêu cầu

P/A

Ghi chú

1

Có biện pháp chuyên dụng để xóa sạch thông tin, dữ liệu trên máy chủ khi chuyển giao hoặc thay đổi mục đích sử dụng;

Có

Máy chủ sau khi không sử dụng sẽ được thu hồi và có quy trình xóa dữ liệu.

2

Sao lưu dự phòng thông tin, dữ liệu trên máy chủ;

Có

Theo chính sách sau khi máy chủ không còn mục đích sử dụng sẽ thu hồi sau 07 ngày các nội dung trên hệ thống sẽ được xóa.

3

Có biện pháp kiểm tra, bảo đảm dữ liệu không thể khôi phục sau khi xóa.

Không

Bộ Tư pháp chưa có biện pháp kiểm tra, bảo đảm dữ liệu không thể khôi phục sau khi xóa.

STT

Yêu cầu

P/A

Ghi chú

1

Thiết lập cấu hình ứng dụng để xác thực người sử dụng khi truy cập, quản trị, cấu hình ứng dụng;

Có

Người dùng được phân quyền theo mục đích sử dụng

2

Lưu trữ có mã hóa thông tin xác thực hệ thống;

Có

Các cơ sở dữ liệu được mã hóa theo từng ứng dụng cụ thể

3

Thiết lập cấu hình ứng dụng để đảm bảo an toàn mật khẩu người sử dụng, bao gồm các yêu cầu sau:

Có

Thiết lập thay đổi mật khẩu khi lần đầu đăng nhập, sau 03 tháng thực hiện đổi mật khẩu, mật khẩu đảm bảo nguyên tắc chữ hoa, chữ thường, số và ký tự đặc biệt.

- Yêu cầu thay đổi mật khẩu mặc định;

- Thiết lập quy tắc đặt mật khẩu về số ký tự, loại ký tự;

- Thiết lập thời gian yêu cầu thay đổi mật khẩu;

- Thiết lập thời gian mật khẩu hợp lệ.

4

Hạn chế số lần đăng nhập sai trong khoảng thời gian nhất định với tài khoản nhất định;

Có

Thiết lập theo từng phần mềm ứng dụng

5

Mã hóa thông tin xác thực trước khi gửi qua môi trường mạng;

Có

Thực hiện truy cập qua giao thức https

STT

Yêu cầu

P/A

Ghi chú

1

Thiết lập hệ thống chỉ cho phép sử dụng các kết nối mạng an toàn khi truy cập;

Có

Sử dụng kết nối HTTPS

2

Thiết lập giới hạn thời gian chờ (timeout) để đóng phiên kết nối khi ứng dụng không nhận được yêu cầu từ người dùng;

Có

Thiết lập theo từng phần mềm ứng dụng

3

Phân quyền truy cập, quản trị, sử dụng tài nguyên khác nhau của ứng dụng với người sử dụng/ nhóm người sử dụng có chức năng, yêu cầu nghiệp vụ khác nhau;

Có

Phân quyền người dùng quản trị theo từng hệ thống, từng nhóm đối tượng sử dụng với mục đích sử dụng tương ứng.

STT

Yêu cầu

P/A

Ghi chú

1

Ghi nhật ký hệ thống bao gồm những thông tin cơ bản sau:

Có

Hệ thống được lưu 03 tháng bao gồm các thông tin truy cập (đăng nhập, quản trị) thông tin lỗi phát sinh, thông tin thay đổi cấu hình hệ thống.

- Thông tin truy cập ứng dụng;

- Thông tin đăng nhập khi quản trị ứng dụng;

- Thông tin các lỗi phát sinh trong quá trình hoạt động;

- Thông tin thay đổi cấu hình ứng dụng.

2

Nhật ký hệ thống phải được lưu trữ trong khoảng thời gian tối thiểu là 06 tháng;

Có

Cấu hình lưu log hệ thống tối thiểu 03 tháng

STT

Yêu cầu

P/A

Ghi chú

1

Mã hóa thông tin, dữ liệu (không phải là thông tin, dữ liệu công khai) trước khi truyền đưa, trao đổi qua môi trường mạng; sử dụng phương án mã hóa theo quy định về bảo vệ bí mật nhà nước đối với thông tin mật;

Có

Sử dụng đường truyền riêng hoặc giao thức https khi truyền thông tin qua mạng

2

Sử dụng kết nối mạng an toàn, bảo đảm an toàn trong quá trình khởi tạo kết nối kênh truyền và trao đổi thông tin qua kênh truyền;

Có

Thiết lập đường truyền riêng hoặc sử dụng giao thức https để trao đổi thông tin

STT

Yêu cầu

P/A

Ghi chú

1

Sử dụng chữ ký số khi trao đổi thông tin, dữ liệu quan trọng;

Có

Sử dụng chữ ký số để xác thực thông tin trao đổi

STT

Yêu cầu

P/A

Ghi chú

1

Có phương án quản lý, lưu trữ dữ liệu quan trọng trong hệ thống cùng với mã kiểm tra tính nguyên vẹn;

Có

 Sử dụng backup và sao lưu để đảm bảo tính toàn vẹn của dữ liệu

STT

Yêu cầu

P/A

Ghi chú

1

Lưu trữ có mã hóa các thông tin, dữ liệu (không phải là thông tin, dữ liệu công khai) trên hệ thống lưu trữ/phương tiện lưu trữ;

Có

Mã hóa bằng tính năng của mỗi thiết bị phần cứng và phần mềm sử dụng.

2

Sử dụng các phương pháp mã hóa mạnh (chưa được các tổ chức quốc tế công bố điểm yếu an toàn thông tin) để mã hóa dữ liệu;

Có

Dữ liệu được bảo đảm an toàn thông tin khi truyền qua môi trường mạng và sử các giao thức SSHv2, HTTPS để mã hóa thông tin.

STT

Yêu cầu

P/A

Ghi chú

1

Thực hiện sao lưu dự phòng các thông tin, dữ liệu cơ bản sau: tập tin cấu hình hệ thống, bản dự phòng hệ điều hành máy chủ, cơ sở dữ liệu; dữ liệu, thông tin nghiệp vụ;

Có

 Sử dụng cơ chế backup và sao lưu đối với tập tin cấu hình hệ thống; cơ sở dữ liệu; dữ liệu, thông tin nghiệp vụ.

2

Phân loại và quản lý các dữ liệu được lưu trữ theo từng loại/nhóm thông tin được gán nhãn khác nhau;

Có

Phân loại theo từng nhóm hệ thống

3

Có hệ thống/phương tiện lưu trữ độc lập để sao lưu dự phòng;

Có

Các dữ liệu được sao lưu dự phòng trên hệ thống SAN, có thể khôi phục dữ liệu nóng khi một thành phần trong hệ thống xảy ra sự cố