QUYẾT ĐỊNH
Ban hành Quy chế quản lý, vận hành và khai thác
Trung tâm Dữ liệu tỉnh Thái Nguyên
__________________
ỦY BAN NHÂN DÂN TỈNH THÁI NGUYÊN
Căn cứ Luật Tổ chức chính quyền địa phương ngày 19 tháng 6 năm 2015;
Căn cứ Luật Giao dịch điện tử ngày 29 tháng 11 năm 2005;
Căn cứ Luật Công nghệ thông tin ngày 29 tháng 6 năm 2006;
Căn cứ Luật An toàn thông tin mạng ngày 19 tháng 11 năm 2015;
Căn cứ Nghị định số 64/2007/NĐ-CP ngày 10 tháng 4 năm 2007 của Chính phủ về ứng dụng công nghệ thông tin trong hoạt động của cơ quan nhà nước;
Căn cứ Nghị định số 85/2016/NĐ-CP ngày 01 tháng 07 năm 2016 của Chính phủ về đảm bảo an toàn hệ thống thông tin theo cấp độ;
Căn cứ Thông tư số 03/2013/TT-BTTTT ngày 22 tháng 01 năm 2013 của Bộ trưởng Bộ Thông tin và Truyền thông quy định áp dụng tiêu chuẩn, quy chuẩn kỹ thuật đối với Trung tâm Dữ liệu;
Căn cứ Thông tư số 27/2017/TT-BTTTT ngày 24 tháng 4 năm 2017 của Bộ trưởng Bộ Thông tin và Truyền thông quy định chi tiết và hướng dẫn một số điều của Nghị định số 85/2016/NĐ-CP ngày 01/7/2016 của Chính phủ về bảo đảm an toàn hệ thống thông tin theo cấp độ;
Căn cứ Thông tư số 31/2017/TT-BTTTT ngày 15 tháng 11 năm 2017 của Bộ trưởng Bộ Thông tin và Truyền thông quy định hoạt động giám sát an toàn hệ thông thông tin;
Căn cứ Thông tư số 39/2017/TT-BTTTT ngày 15 tháng 12 năm 2017 của Bộ trưởng Bộ Thông tin và Truyền thông về việc ban hành danh mục tiêu chuẩn kỹ thuật về ứng dụng công nghệ thông tin trong cơ quan nhà nước;
Xét đề nghị của Giám đốc Sở Thông tin và Truyền thông.
QUYẾT ĐỊNH:
Điều 1. Ban hành kèm theo Quyết định này “Quy chế quản lý, vận hành và khai thác Trung tâm Dữ liệu tỉnh Thái Nguyên”.
Điều 2. Quyết định này có hiệu lực thi hành kể từ ngày 10 tháng 12 năm 2020.
Điều 3. Chánh Văn phòng UBND tỉnh, Thủ trưởng các Sở, Ban, ngành, đoàn thể; Chủ tịch UBND các huyện, thành phố, thị xã và các tổ chức, cá nhân có liên quan chịu trách nhiệm thi hành Quyết định này./.
QUY CHẾ
Quản lý, vận hành và khai thác Trung tâm Dữ liệu tỉnh Thái Nguyên
(Ban hành kèm theo Quyết định số 28/2020/QĐ-UBND ngày 01 tháng 12 năm 2020 của UBND tỉnh Thái Nguyên)
_________________
Chương I
QUY ĐỊNH CHUNG
Điều 1. Phạm vi điều chỉnh, đối tượng áp dụng
1. Phạm vi điều chỉnh: Quy chế này quy định việc quản lý, vận hành và khai thác Trung tâm Dữ liệu tỉnh Thái Nguyên (sau đây gọi tắt là Trung tâm Dữ liệu).
2. Đối tượng áp dụng: Quy chế này áp dụng đối với cơ quan hành chính, đơn vị sự nghiệp công lập trên địa bàn tỉnh Thái Nguyên; các tổ chức, cá nhân có liên quan tham gia quản lý, vận hành và khai thác Trung tâm Dữ liệu.
Điều 2. Giải thích từ ngữ
Trong Quy chế này, các từ ngữ dưới đây được hiểu như sau:
-
Ứng dụng dùng chung: Là các phần mềm (hệ phần mềm) ứng dụng cung cấp dịch vụ cho các cơ quan, đơn vị và người sử dụng được UBND tỉnh thống nhất triển khai đưa vào hoạt động tại Trung tâm Dữ liệu tỉnh.
-
Mạng diện rộng (sau đây gọi tắt là Mạng WAN): Là mạng tin học được thiết lập bằng việc kết nối giữa Trung tâm Dữ liệu và mạng nội bộ của các cơ quan, đơn vị trên địa bàn tỉnh thông qua hạ tầng mạng của nhà cung cấp dịch vụ và cho phép kết nối với mạng của Chính phủ khi có yêu cầu.
-
Mạng truyền số liệu chuyên dùng trong các cơ quan nhà nước tỉnh Thái Nguyên (sau đây gọi tắt là Mạng TSLCD): Là mạng truyền dẫn tốc độ cao, sử dụng đường truyền số liệu chuyên dùng của các cơ quan Đảng và Nhà nước do Tập đoàn Bưu chính Viễn thông Việt Nam xây dựng để kết nối mạng nội bộ của các cơ quan nhà nước tỉnh Thái Nguyên thành một hệ thống mạng thống nhất trên phạm vi toàn tỉnh.
-
Hạ tầng kỹ thuật: Là tập hợp thiết bị công nghệ thông tin (thiết bị định tuyến, thiết bị chuyển mạch, thiết bị lưu trữ dữ liệu, các thiết bị giám sát, bảo mật, máy chủ, máy trạm), thiết bị điện (điều hòa chính xác, tủ điện, chống sét, máng cáp điện), thiết bị phòng cháy, chữa cháy, thiết bị viễn thông, thiết bị ngoại vi, mạng nội bộ, mạng diện rộng, mạng truyền số liệu chuyên dùng và các thiết bị kỹ thuật chuyên dùng khác.
-
An toàn an ninh thông tin: Bao gồm các hoạt động quản lý, nghiệp vụ và kỹ thuật đối với hệ thống thông tin nhằm bảo vệ, khôi phục các hệ thống, các dịch vụ và nội dung thông tin trước các nguy cơ tự nhiên hoặc do con người gây ra. Việc bảo vệ thông tin, thiết bị mạng, tài sản và con người trong hệ thống thông tin nhằm bảo đảm cho các hệ thống thông tin thực hiện đúng chức năng, phục vụ đúng đối tượng một cách sẵn sàng, chính xác và tin cậy. An toàn, an ninh thông tin bao hàm các nội dung bảo vệ và bảo mật thông tin, an toàn dữ liệu, an toàn máy tính và an toàn mạng.
-
Cơ quan chủ sở hữu Trung tâm Dữ liệu (gọi tắt là Cơ quan chủ quản): UBND tỉnh Thái Nguyên.
-
Cơ quan chịu trách nhiệm quản lý Trung tâm Dữ liệu (gọi tắt là Cơ quan quản lý): Sở Thông tin và Truyền thông.
-
Đơn vị trực tiếp vận hành Trung tâm Dữ liệu (gọi tắt là Đơn vị quản trị, vận hành): Trung tâm Công nghệ Thông tin và Truyền thông thuộc Sở Thông tin và Truyền thông.
Điều 3. Đặc điểm, chức năng Trung tâm Dữ liệu
1. Đặc điểm: Trung tâm Dữ liệu là một công trình xây dựng, bao gồm hạ tầng kỹ thuật (nhà trạm, hệ thống cáp) và hệ thống máy tính cùng các thiết bị phụ trợ được lắp đặt để lưu trữ, trao đổi và quản lý tập trung dữ liệu của một hay nhiều tổ chức, cá nhân.
2. Chức năng: Trung tâm Dữ liệu là nơi tập trung các thiết bị công nghệ thông tin và viễn thông chuyên dụng có chức năng lưu trữ dữ liệu lớn, hệ thống bảo mật an toàn dữ liệu, hệ thống phụ trợ, mạng diện rộng, mạng chuyên dùng, các hệ thống phần mềm ứng dụng công nghệ thông tin dùng chung và phần mềm ứng dụng chuyên ngành của các cơ quan, đơn vị trên địa bàn tỉnh.
Điều 4. Kiến trúc và dịch vụ của Trung tâm Dữ liệu
1. Kiến trúc của Trung tâm Dữ liệu được chia làm các phân hệ sau đây:
a) Phân hệ mạng và truyền dẫn: Phân hệ mạng được chia làm nhiều vùng khác nhau, mỗi vùng được thiết lập các chính sách an ninh và truy cập riêng để phục vụ các mục đích khác nhau. Trung tâm Dữ liệu sử dụng đường truyền số liệu chuyên dùng để kết nối mạng WAN của tỉnh phục vụ các cơ quan, địa phương, đơn vị trên địa bàn tỉnh khai thác hệ thống dữ liệu dùng chung, sử dụng đường truyền riêng để cung cấp dịch vụ truy cập qua Internet.
b) Phân hệ an ninh: Bao gồm các thiết bị tường lửa cho lớp mạng và lớp ứng dụng, các thiết bị ngăn chặn xâm nhập trái phép, thiết bị cân bằng tải và các ứng dụng an ninh hệ thống, an ninh máy chủ. Mỗi thành phần trong phân hệ an ninh đều được thiết kế bảo đảm tính dự phòng và bổ sung hỗ trợ lẫn nhau trong toàn bộ hệ thống của Trung tâm Dữ liệu.
c) Phân hệ máy chủ: Bao gồm hệ thống máy chủ phiến và các máy chủ đã được đầu tư hoặc được đặt tại Trung tâm Dữ liệu với khả năng sẵn sàng cho việc mở rộng số lượng máy chủ trong tương lai. Hệ thống máy chủ có khả năng cung cấp năng lực tính toán cho nhiều nền tảng với nhiều mục đích khác nhau như: Các ứng dụng dùng chung của tỉnh, ứng dụng chuyên ngành và các hệ thống ứng dụng thông tin khác.
d) Phân hệ lưu trữ: Bao gồm hệ thống lưu trữ tập trung với năng lực xử lý ở mức cao, khả năng lưu trữ lớn và hệ thống sao lưu, phục hồi dữ liệu. Phân hệ được thiết kế bảo đảm khả năng mở rộng đáp ứng nhu cầu phát triển nguồn dữ liệu trong tương lai.
đ) Phân hệ cơ sở dữ liệu: Là hệ thống các hệ cơ sở dữ liệu dùng chung hoặc chuyên ngành được xây dựng nhằm liên kết, tích hợp các ứng dụng dùng chung và chuyên ngành phục vụ ứng dụng công nghệ thông tin trong các cơ quan, đơn vị và phục vụ công dân, doanh nghiệp.
e)Phân hệ các hệ thống phụ trợ: Bao gồm hệ thống nguồn điện, điều hòa chính xác, thiết bị lưu điện, máy phát điện, sàn nâng, hệ thống máng, cáp, hệ thống phòng cháy chữa cháy, camera an ninh và các thiết bị có liên quan khác.
2. Các dịch vụ, hệ thống phần mềm được cung cấp tại Trung tâm Dữ liệu, bao gồm:
a) Các ứng dụng dùng chung phục vụ cho việc triển khai các ứng dụng công nghệ thông tin cho các cơ quan Nhà nước, tổ chức chính trị, chính trị - xã hội bao gồm: Hệ thống Thư điện tử công vụ, hệ thống Quản lý văn bản điều hành; hệ thống phần mềm Một cửa điện tử liên thông; Cổng Dịch vụ công trực tuyến; hệ thống Giao ban trực tuyến; hệ thống thông tin Điều hành tác nghiệp và Cổng thông tin điện tử của Tỉnh ủy Thái Nguyên; hệ thống phần mềm phục vụ công tác điều hành, tác nghiệp của các cơ quan Hội đồng nhân dân tỉnh; hệ thống phần mềm Quản lý cán bộ công chức, viên chức tỉnh.
b) Ngoài các ứng dụng dùng chung của tỉnh được ngân sách nhà nước bảo đảm toàn bộ kinh phí, các dịch vụ công nghệ thông tin có thu phí (dịch vụ giá trị gia tăng) được cung cấp tại Trung tâm Dữ liệu bao gồm:
- Dịch vụ thuê đặt máy chủ;
- Dịch vụ thuê máy chủ, máy chủ ảo;
- Dịch vụ thuê phân vùng cài đặt, vận hành ứng dụng (Hosting);
- Dịch vụ tạo lập, số hóa, lưu trữ dữ liệu;
- Dịch vụ thư mục (Active Directory);
- Dịch vụ rà quét, đánh giá, ứng cứu, khắc phục sự cố bảo mật ứng dụng;
- Dịch vụ quản trị hạ tầng, vận hành ứng dụng;
- Dịch vụ hỗ trợ cung cấp kết nối, chia sẻ dữ liệu;
- Các dịch vụ công nghệ thông tin khác.
c) Căn cứ vào nhu cầu thực tế, UBND tỉnh chỉ đạo bổ sung các ứng dụng khác được vận hành tại Trung tâm Dữ liệu tỉnh.
Điều 5. Nguyên tắc về quản lý, vận hành và khai thác Trung tâm Dữ liệu
-
Tuân thủ các nguyên tắc, bảo đảm cơ sở hạ tầng và hệ thống thông tin phục vụ ứng dụng, phát triển công nghệ thông tin theo Luật Công nghệ thông tin.
-
Bảo đảm các yêu cầu về an toàn thông tin theo Luật An toàn thông tin mạng, Luật An ninh mạng và các văn bản pháp lý hiện hành.
-
Việc thiết lập, vận hành hệ thống quản lý An toàn thông tin (ISMS) đảm bảo tuân thủ theo tiêu chuẩn quốc tế ISO/IEC 27001: 2013 về quản lý bảo mật thông tin.
-
Việc duy trì, vận hành, nâng cấp Trung tâm Dữ liệu tỉnh phải tuân thủ các tiêu chuẩn, quy chuẩn kỹ thuật theo Thông tư số 03/2013/TT-BTTTT ngày 22/01/2013 của Bộ Thông tin và Truyền thông quy định áp dụng tiêu chuẩn, quy chuẩn kỹ thuật đối với Trung tâm Dữ liệu và phù hợp với Kiến trúc Chính quyền điện tử tỉnh Thái Nguyên.
-
Việc quản lý, kết nối và chia sẻ dữ liệu số không chứa thông tin bí mật nhà nước của Trung tâm Dữ liệu phải tuân thủ theo Nghị định số 47/2020/NĐ-CP ngày 09/04/2020 của Chính phủ quy định về Quản lý, kết nối và chia sẻ dữ liệu số của cơ quan nhà nước.
-
Việc chia sẻ dữ liệu số chứa thông tin thuộc phạm vi bí mật nhà nước được thực hiện theo Luật Bảo vệ bí mật nhà nước và các văn bản pháp lý hiện hành.
-
Các tổ chức, cá nhân sử dụng các dịch vụ của Trung tâm Dữ liệu phải tuân thủ các quy định chung về bảo đảm an toàn, an ninh thông tin và chịu trách nhiệm đối với mọi hoạt động trên tài khoản truy cập của mình.
-
Đơn vị quản trị, vận hành Trung tâm Dữ liệu sử dụng, quản lý tài sản theo đúng các quy định hiện hành về quản lý, sử dụng tài sản công và được phép triển khai cung cấp các dịch vụ gia tăng được cho phép quy định nhưng phải dựa trên cơ sở đảm bảo khai thác an toàn, hiệu quả hạ tầng Trung tâm Dữ liệu hiện có.
-
Kinh phí ngân sách nhà nước thường xuyên hàng năm bảo đảm cho công tác duy trì, quản lý, vận hành Trung tâm Dữ liệu thực hiện theo quy định của Luật Ngân sách Nhà nước và các văn bản quy phạm pháp luật có liên quan.
Điều 6. Các hành vi bị cấm trong quản lý, vận hành và khai thác Trung tâm Dữ liệu
-
Phá hoại cơ sở hạ tầng, làm gián đoạn hoặc cản trở hoạt động chung của Trung tâm Dữ liệu.
-
Sử dụng hoặc phát tán các thông tin cá nhân do Trung tâm Dữ liệu nắm giữ vì mục đích vụ lợi, vi phạm quy định pháp luật hiện hành; trừ các yêu cầu đặc biệt của các cơ quan chức năng có thẩm quyền.
-
Đánh cắp, giả mạo tài khoản để truy cập trái phép vào các phần mềm ứng dụng, hệ thống thông tin, cơ sở dữ liệu tại Trung tâm Dữ liệu.
-
Sử dụng các công cụ, phần mềm có nguy cơ hoặc gây mất an toàn hệ thống, ảnh hưởng đến hoạt động chung của Trung tâm Dữ liệu.
-
Khai thác, sử dụng cơ sở hạ tầng, dữ liệu, dịch vụ của Trung tâm Dữ liệu cho mục đích: phá hoại, lưu trữ, truyền tải các nội dung không phù hợp với thuần phong mỹ tục, trái pháp luật, quy định của Nhà nước; khai thác trái phép các dịch vụ trên mạng Internet và các hoạt động vi phạm khác theo quy định của pháp luật.
Chương II
QUẢN LÝ, VẬN HÀNH VÀ KHAI THÁC TRUNG TÂM DỮ LIỆU
Điều 7. Quy định về chế độ làm việc, ra, vào Trung tâm Dữ liệu
1. Quy định đối với quản trị viên vận hành hệ thống:
a) Trong quá trình làm việc tại Trung tâm Dữ liệu phải tuân thủ nghiêm ngặt theo các quy trình, quy định đã được phê duyệt và nội quy lao động.
b) Quản trị, vận hành và sử dụng thông tin tại Trung tâm Dữ liệu theo trách nhiệm và phân quyền được quy định; không tự ý can thiệp vào các phần mềm ứng dụng, dữ liệu do các cơ quan, đơn vị khác triển khai tại Trung tâm Dữ liệu; việc khai thác thông tin phải bảo đảm nguyên tắc bảo mật, không được tự ý cung cấp thông tin ra bên ngoài.
c) Không được mang, sử dụng các thiết bị điện thoại, máy tính xách tay, máy tính bảng hoặc các thiết bị điện tử cá nhân khác (máy chụp hình, máy quay phim, thiết bị lưu trữ,…) khi vào bên trong Trung tâm Dữ liệu.
2. Quy định đối với tổ chức, cá nhân đến làm việc, sử dụng dịch vụ tại Trung tâm Dữ liệu:
a) Yêu cầu:
- Tuân thủ nghiêm ngặt theo các quy trình, quy định làm việc tại Trung tâm Dữ liệu;
- Không được mang, sử dụng các thiết bị điện thoại, máy tính xách tay, máy tính bảng hoặc các thiết bị điện tử cá nhân khác (máy chụp hình, máy quay phim, thiết bị lưu trữ,…) khi vào bên trong Trung tâm Dữ liệu, trừ các yêu cầu tác nghiệp đặc biệt của các cơ quan chức năng có thẩm quyền theo luật định.
3. Quy định đối với các tổ chức, cá nhân liên quan đến đăng ký thăm quan tại Trung tâm Dữ liệu:
a) Yêu cầu: Không được mang các thiết bị điện tử cá nhân (điện thoại, máy chụp hình, máy quay phim, thiết bị lưu trữ,…) vào trong Trung tâm Dữ liệu.
b) Thủ tục: Các tổ chức, cá nhân đến đăng ký thăm quan cần tuân thủ theo các quy định của đơn vị quản lý Trung tâm Dữ liệu như: Cung cấp giấy giới thiệu của cơ quan, đơn vị hoặc đơn đề nghị thăm quan tại Trung tâm Dữ liệu; danh sách những người thăm quan (có thông tin về số CMND hoặc Hộ chiếu kèm theo).
Điều 8. Quy định về An toàn hoạt động
1. Không được đặt tại Trung tâm Dữ liệu: Thiết bị hỏng, thiết bị chờ thanh lý, hủy, tài liệu, vật tư, các vật dụng dễ cháy nổ,…
2. Trung tâm Dữ liệu phải đảm bảo vệ sinh: Môi trường khô ráo, sạch sẽ. Độ ẩm, nhiệt độ đạt tiêu chuẩn quy định cho các thiết bị công nghệ thông tin.
3. Hệ thống phòng cháy, chữa cháy phải đáp ứng theo tiêu chuẩn quy định, được cấp giấy phép của cơ quan có thẩm quyền, vừa đảm bảo an toàn tuyệt đối cho toàn hệ thống thiết bị, vừa đảm bảo an toàn cho người quản trị các hệ thống tại Trung tâm Dữ liệu.
4. Hệ thống điện cấp cho Trung tâm Dữ liệu phải có ít nhất 2 nguồn ổn định, được trang bị hệ thống lưu điện (UPS) và máy phát điện dự phòng để đảm bảo cho hệ thống vẫn hoạt động trong thời gian nguồn điện lưới gặp sự cố.
5. Hệ thống camera thực hiện giám sát toàn bộ Trung tâm Dữ liệu liên tục 24/24; dữ liệu hình ảnh phải được lưu trữ ít nhất trong thời gian là 30 ngày.
6. Hệ thống quản lý vào ra (Access Control) hoạt động 24/24 giờ và ghi đầy đủ nhật ký nhằm đảm bảo an ninh, chính xác và linh hoạt cho Trung tâm Dữ liệu.
Điều 8. Quản lý thiết bị
1. Thiết bị công nghệ thông tin đặt tại Trung tâm Dữ liệu phải được đặt tên và dán nhãn tài sản nhà nước theo đúng tiêu chuẩn quy định.
2. Đơn vị quản trị, vận hành phải thực hiện tổng hợp tình hình quản lý, sử dụng thiết bị tại Trung tâm Dữ liệu hàng quý, năm và báo cáo đơn vị quản lý theo quy định.
3. Việc sửa chữa, thay thế thiết bị hỏng được thực hiện thường xuyên bởi đơn vị quản trị, vận hành dựa trên nguồn ngân sách nhà nước cấp hàng năm cho đơn vị.
4. Trường hợp thiết bị hỏng là thiết bị quan trọng (gây ảnh hưởng đến hoạt động của Trung tâm Dữ liệu), đơn vị vận hành phải báo cáo ngay cơ quan quản lý để có biện pháp khắc phục nhanh chóng, kịp thời.
5. Ghi nhật ký, quy định thời gian lưu trữ các thông tin về hoạt động của các thiết bị, người sử dụng, lỗi phát sinh và các sự cố nhằm trợ giúp cho việc điều tra giám sát về sau.
Điều 9. Quản lý an toàn hạ tầng mạng
1. Hệ thống mạng phải bảo đảm:
a) Hệ thống mạng hoạt động liên tục 24/24 giờ, ổn định, an toàn và đáp ứng được yêu cầu về băng thông cho các ứng dụng trong hệ thống.
b) Áp dụng các giải pháp kiểm soát việc truy cập mạng để đảm bảo các quy định về an ninh, các chính sách bảo mật.
c) Tuân theo các tiêu chuẩn của Trung tâm Dữ liệu về bấm dây, dán nhãn, chuẩn cáp mạng, cách thức đi dây, đấu nối, phân bổ nút mạng.
d) Đối với các kết nối Internet phải có các giải pháp, chính sách bảo mật đảm bảo hệ thống không bị tấn công xâm nhập, lây lan virus, phần mềm độc hại từ bên ngoài; ngăn chặn, không để phát tán virus, phần mềm độc hại từ các thiết bị ngoại vi khác.
đ) Đường truyền Internet cho Trung tâm Dữ liệu tối thiểu phải từ 02 (hai) nhà cung cấp dịch vụ khác nhau, có giải pháp chia tải, cân bằng tải đường truyền để đảm bảo độ dự phòng cao và tính sẵn sàng cho hệ thống.
e) Cán bộ quản trị, vận hành hệ thống không được sử dụng trình duyệt hoặc các phần mềm để truy cập Internet từ các máy tính có IP chung hệ thống máy chủ thuộc Trung tâm Dữ liệu.
g) Hệ thống mạng không dây (mạng wifi) tại Trung tâm Dữ liệu là đường truyền riêng biệt không có kết nối với hệ thống mạng tại Trung tâm Dữ liệu.
2. Đơn vị vận hành chịu trách nhiệm giám sát, kiểm tra nội dung và băng thông truy cập, ngăn chặn, đề xuất các biện pháp xử lý các hành vi vi phạm.
Điều 10. Quản lý mạng truyền số liệu chuyên dùng
1. Đơn vị vận hành là đơn vị đầu mối triển khai các ứng dụng hoạt động trên Mạng TSLCD tỉnh Thái Nguyên.
2. Các đơn vị sử dụng mạng TSLCD kết nối và các ứng dụng của Trung tâm Dữ liệu phải tuân thủ các quy định về quản lý, vận hành, kết nối, sử dụng và bảo đảm an toàn thông tin trên mạng TSLCD theo Thông tư số 12/2019/TT-BTTTT ngày 05/11/2019 của Bộ Thông tin và Truyền thông và các quy định mới, sửa đổi sau này.
3. Đơn vị cung cấp dịch vụ viễn thông phải cấu hình mạng TSLCD đảm bảo việc giám sát an toàn an ninh thông tin tập trung tại Trung tâm Dữ liệu, đồng thời báo cáo tình hình sử dụng mạng TSLCD của các đơn vị gửi Đơn vị vận hành theo định kỳ tháng, quý, năm.
Điều 11. Quản lý an toàn, an ninh thông tin trên hạ tầng Trung tâm Dữ liệu
-
Các hệ thống thông tin tại Trung tâm dữ liệu phải đáp ứng các yêu cầu trong tiêu chuẩn, quy chuẩn kỹ thuật về đảm bảo an toàn thông tin cấp độ 3 theo Thông tư 03/2017/TT-BTTTT ngày 24/04/2017 của Bộ Thông tin và Truyền thông và Quyết định phê duyệt cấp độ an toàn thông tin đối với Trung tâm dữ liệu tỉnh Thái Nguyên của cơ quan nhà nước có thẩm quyền.
-
Các hệ thống thông tin từ cấp 3 trở lên thuộc Trung tâm Dữ liệu phải được kiểm tra, đánh giá an toàn thông tin theo định kỳ ít nhất 01 lần/năm bởi đơn vị quản trị vận hành hoặc thuê doanh nghiệp, tổ chức độc lập thực hiện việc kiểm tra, đánh giá và tổng hợp, báo cáo theo định kỳ.
-
Kết nối, chia sẻ thông tin với hệ thống giám sát quốc gia: Kết nối, chia sẻ thông tin giám sát an toàn thông tin với Trung tâm giám sát an toàn không gian mạng quốc gia trực thuộc Cục An toàn thông tin, Bộ Thông tin và Truyền thông.
Điều 12. Quản trị các hệ thống phần mềm
1. Danh sách tài sản phần mềm được lập với các thông tin cơ bản gồm: Tên tài sản, giá trị, mức độ quan trọng, mục đích sử dụng, phạm vi sử dụng, chủ thể quản lý, thông tin về bản quyền, phiên bản, nơi lưu giữ.
2. Đơn vị quản trị, vận hành phải phân loại và đánh giá mức độ rủi ro dựa trên yêu cầu về tính bảo mật, tính toàn vẹn, tính sẵn sàng cho việc sử dụng của tài sản phần mềm để thực hiện các biện pháp quản lý, bảo vệ phù hợp.
3. Các phần mềm, chương trình ứng dụng sử dụng tại Trung tâm Dữ liệu phải có bản quyền và sử dụng theo đúng quy định của pháp luật.
4. Cài đặt và sử dụng các hệ thống phần mềm:
a) Đối với phần mềm cài đặt mới tại Trung tâm Dữ liệu:
- Phần mềm trước khi cài đặt phải đáp ứng được các yêu cầu về kỹ thuật, phù hợp với hồ sơ thiết kế thi công được cơ quan có thẩm quyền phê duyệt;
- Khi cài đặt phải rà quét (scan) virus, mã độc… và sử dụng máy tính có ghi màn hình tất cả quá trình thao tác tại Trung tâm Dữ liệu.
b) Đối với các phần mềm đang sử dụng tại Trung tâm Dữ liệu:
- Các cơ quan, đơn vị, cá nhân chịu trách nhiệm thường xuyên cập nhật thông tin, nội dung thông tin của các hệ thống thông tin, cơ sở dữ liệu, phần mềm chuyên ngành của cơ quan, đơn vị mình; cung cấp thông tin ra ngoài phải đảm bảo các yêu cầu về an toàn, bảo mật, phạm vi cung cấp thông tin, tính đúng đắn, hợp pháp của thông tin.
- Thường xuyên cập nhật các bản vá lỗi đối với hệ điều hành, các phần mềm nền tảng, hệ thống mã nguồn theo khuyến nghị của nhà sản xuất.
5. Không phát tán, chia sẻ các hệ thống phần mềm tại Trung tâm Dữ liệu dưới bất kỳ hình thức nào khi chưa được sự đồng ý của cơ quan có thẩm quyền.
Điều 13. Quản trị sao lưu, phục hồi dữ liệu
1. Thực hiện lưu trữ đầy đủ các dữ liệu của người dùng, ứng dụng và hệ thống. Tùy theo từng loại dữ liệu, thực hiện lưu trữ đúng và đủ thời hạn, đảm bảo phục hồi nguyên trạng khi có sự cố xảy ra.
2. Đơn vị vận hành có trách nhiệm xây dựng và triển khai thực hiện Quy trình sao lưu, phục hồi dữ liệu dự phòng cho toàn Trung tâm Dữ liệu.
3. Dữ liệu phải được phân loại để lưu trữ theo thứ tự ưu tiên về mức độ quan trọng, sao lưu theo thời gian, loại thông tin, nơi lưu trữ. Đối với các dữ liệu quan trọng phải được lưu trữ tối thiểu tại hai thiết bị hoặc hai địa điểm cách biệt nhau.
4. Tần suất sao lưu tùy thuộc vào mức độ quan trọng dữ liệu và phải được kiểm soát và đối chiếu sau khi sao lưu.
Điều 14. Quản lý hồ sơ
1. Danh sách các loại hồ sơ lưu trữ:
a) Quy định về quản lý, triển khai, vận hành các hệ thống.
b) Các quy trình vận hành kỹ thuật các hệ thống.
c) Các quy trình bảo hành, bảo trì, bảo dưỡng hệ thống.
d) Hồ sơ thiết kế, thuyết minh kỹ thuật, hoàn công.
đ) Hồ sơ quản trị các hệ thống thông tin.
e) Hồ sơ lưu các dịch vụ cung cấp.
g) Bảng thống kê danh sách thiết bị tại Trung tâm Dữ liệu. Danh sách các thiết bị hỏng, hết khấu hao sử dụng chờ thanh lý. Biên bản bàn giao thiết bị cho người quản trị, người sử dụng (nếu có).
h) Tài liệu, biên bản kiểm tra, đánh giá của Trung tâm Dữ liệu.
i) Báo cáo quản trị hệ thống, nhật ký vận hành hệ thống.
k) Các hồ sơ, tài liệu kỹ thuật khác.
2. Hồ sơ phải được lưu bằng văn bản, tập tin bản mềm trên máy tính hoặc phần mềm quản lý điều hành và phải được cập nhật khi có sự thay đổi.
Điều 15. Xử lý sự cố
1. Khi phát hiện có sự cố, người sử dụng hoặc cán bộ vận hành, cán bộ trực hệ thống có trách nhiệm báo cáo kịp thời cho lãnh đạo đơn vị vận hành, lãnh đạo cơ quan quản lý để có biện pháp cô lập và xác định nguyên nhân xảy ra sự cố, hạn chế tối đa ảnh hưởng tới hoạt động của hệ thống.
2. Tùy thuộc vào mức độ ảnh hưởng của sự cố, đánh giá và phân loại theo 03 mức:
a) Các sự cố thông thường (không gây ảnh hưởng đến hoạt động của Trung tâm Dữ liệu), đơn vị vận hành nhanh chóng xử lý sự cố.
b) Các sự cố nghiêm trọng (sự cố liên quan đến thiết bị mạng, thiết bị bảo mật, máy chủ, đường truyền dữ liệu, cơ sở dữ liệu, các sự cố liên quan đến an ninh thông tin, mất dữ liệu, gây ảnh hưởng trực tiếp đến hoạt động của Trung tâm Dữ liệu), ngay sau khi phát hiện sự cố đơn vị vận hành cần đánh giá ảnh hưởng của sự cố và thực hiện báo cáo về cơ quan quản lý để phối hợp với các đơn vị chuyên trách thuộc Bộ Thông tin và Truyền thông hướng dẫn xử lý.
c) Các sự cố đặc biệt nghiêm trọng (gây ngưng trệ đến toàn bộ hoạt động của Trung tâm Dữ liệu), đơn vị vận hành và cơ quan quản lý phải có đánh giá ảnh hưởng của sự cố, phối hợp với các cơ quan Bộ, ngành liên quan đồng thời thực hiện báo cáo nhanh về UBND tỉnh để có chỉ đạo xử lý.
3. Quy định khắc phục sự cố:
a) Thực hiện sao lưu dữ liệu trước khi khắc phục sự cố (ưu tiên dữ liệu quan trọng).
b) Đảm bảo an toàn cho người và thiết bị hệ thống.
c) Ghi nhật ký diễn biến sự cố, phương án khắc phục.
4. Đối với các sự cố vượt khả năng xử lý, đơn vị quản trị, vận hành phải báo cáo lãnh đạo cơ quan quản lý để đề nghị đơn vị tư vấn, đơn vị cung cấp, các đơn vị chuyên trách thuộc Bộ Thông tin và Truyền thông hỗ trợ ứng phó và khắc phục sự cố.
Điều 16. Bảo trì, bảo dưỡng Trung tâm Dữ liệu
1. Đơn vị quản trị, vận hành có trách nhiệm thực hiện bảo trì, bảo dưỡng hệ thống theo quy trình và kế hoạch được duyệt.
2. Việc thực hiện bảo trì, bảo dưỡng các hệ thống do đơn vị quản trị, vận hành thực hiện hoặc thuê dịch vụ.
3. Thời gian bảo trì, bảo dưỡng từng thiết bị, phần mềm thực hiện theo yêu cầu thực tiễn và khuyến nghị của nhà cung cấp. Bảo trì, bảo dưỡng tổng thể toàn bộ hệ thống ít nhất 01 lần/năm.
4. Việc thực hiện bảo trì, bảo dưỡng không được làm gián đoạn và ảnh hưởng đến tình hình hoạt động của Trung tâm Dữ liệu; Quá trình bảo trì, bảo dưỡng phải thực hiện theo đúng kịch bản, quy trình và ghi nhật ký về tình trạng hoạt động trước và sau khi thực hiện.
Điều 17. Bảo vệ thông tin cá nhân trong các ứng dụng tại Trung tâm Dữ liệu trên môi trường mạng
Nghiêm cấm việc sử dụng, phát tán các thông tin cá nhân từ các ứng dụng đặt tại Trung tâm Dữ liệu (các thông tin cá nhân trên được thu thập, xử lý theo Luật Công nghệ thông tin) vì mục đích vụ lợi, vi phạm quy định pháp luật hiện hành; trừ các yêu cầu đặc biệt của cơ quan chức năng có thẩm quyền.
Điều 18. Quản lý mật khẩu hệ thống Trung tâm Dữ liệu
1. Thủ trưởng đơn vị vận hành Trung tâm Dữ liệu có trách nhiệm quản lý hệ thống mật mã quản trị của Trung tâm Dữ liệu và gửi 01 bản in hệ thống mật mã quản trị hiện hành cho vào phong bì, niêm phong, dán kín gửi về lưu trữ theo chế độ “Mật” tại văn phòng cơ quan quản lý.
2. Mật khẩu phải bảo đảm độ an toàn về độ phức tạp, thời gian sử dụng, lưu trữ:
a) Độ dài của mật khẩu:
- Đối với mật khẩu của nhân viên và người sử dụng (dùng để đăng nhập thư điện tử, ứng dụng nghiệp vụ, máy tính cá nhân và các ứng dụng khác): Tối thiểu là 08 ký tự.
- Đối với mật khẩu quản trị hệ thống (sử dụng cho quản trị các hệ thống mạng, bảo mật, máy chủ, thư điện tử, ứng dụng dùng chung): Tối thiểu là 11 ký tự.
b) Nội dung mật khẩu:
- Không bao gồm các từ dễ nhớ như: Tên, ngày, tháng, năm sinh, số điện thoại.
- Đối với mật khẩu quản trị hệ thống phải bao gồm các loại ký tự sau: Chữ cái in thường, chữ cái in hoa, ký tự đặc biệt, số.
c) Thời gian sử dụng mật khẩu:
Đối với mật khẩu của nhân viên vận hành, của người quản trị hệ thống (không phải quản trị cấp cao nhất) định kỳ phải được thay đổi ít nhất 03 tháng một lần. Trường hợp có thay đổi về nhân sự hoặc yêu cầu tăng cường bảo mật về an toàn an ninh thông tin thì Thủ trưởng đơn vị vận hành Trung tâm Dữ liệu quyết định việc thay đổi toàn bộ mật khẩu quản trị của Trung tâm Dữ liệu.
d) Quy định lưu trữ mật khẩu:
- Không lưu trữ mật khẩu trên máy tính cá nhân, các thiết bị điện tử.
- Các tài liệu liên quan đến mật mã được xem là tài liệu tối mật, không soạn thảo trên máy tính có nối mạng Internet.
Điều 19. Kiểm soát truy nhập và xác thực
1. Cấp phát quyền truy cập từ xa hoặc kết nối trực tiếp để sử dụng và khai thác ứng dụng, tài nguyên thuộc Trung tâm Dữ liệu phải đảm bảo chặt chẽ, đúng mục đích sử dụng. Mỗi người dùng sẽ chỉ được cấp một tài khoản và được phân quyền đủ để thực hiện nhiệm vụ được phân công.
2. Hệ thống sẽ thực hiện khóa tạm thời tài khoản, không cho người sử dụng tiếp tục sử dụng tài khoản nếu xác thực sai liên tiếp 05 lần trong vòng 30 phút. Tài khoản chỉ được mở khóa khi có đề nghị bằng văn bản của chủ thể sở hữu tài khoản và được chấp thuận bởi lãnh đạo đơn vị vận hành.
3. Tạm dừng quyền sử dụng đối với tài khoản đã hết hạn thời gian đăng ký trên hệ thống và những tài khoản không làm việc trong hệ thống từ 30 ngày trở lên.
4. Đối với các quản trị viên, nhân viên vận hành hệ thống, nếu phát hiện các trường hợp truy cập hệ thống trái phép hoặc thao tác vượt quá giới hạn tùy theo mức độ vi phạm sẽ bị xử lý với các hình thức: Nhắc nhở, cảnh cáo, kỷ luật hoặc truy cứu trách nhiệm hình sự.
Điều 20. Quy định về cung cấp, tiếp nhận máy móc, thiết bị và phần mềm của các đơn vị tại Trung tâm Dữ liệu
1. Việc triển khai các dự án, nhiệm vụ ứng dụng CNTT trên hạ tầng Trung tâm Dữ liệu phải được quy định cụ thể trong thiết kế kỹ thuật được cơ quan có thẩm quyền phê duyệt.
2. Đối với các cơ quan, đơn vị có nhu cầu cung cấp hoặc đặt máy chủ để triển khai ứng dụng trên nền hạ tầng Trung tâm Dữ liệu: Các cơ quan, đơn vị gửi văn bản đề nghị về Sở Thông tin và Truyền thông xem xét, quyết định. Thủ tục cung cấp, tiếp nhận đặt máy chủ, cài đặt phần mềm và quản lý tài sản do Đơn vị quản trị, vận hành quy định.
3. Các đơn vị có thiết bị hoặc ứng dụng đặt tại Trung tâm Dữ liệu chịu trách nhiệm quản trị nội dung, phần mềm của cơ quan mình (thực hiện từ xa hoặc trực tiếp) đồng thời tuân thủ các nguyên tắc và đảm bảo an toàn an ninh hệ thống.
Điều 21. Kiểm tra, báo cáo định kỳ
-
Thực hiện kiểm tra, báo cáo theo định kỳ tháng, quý, năm: Đơn vị quản trị, vận hành phải tiến hành kiểm tra định kỳ, đánh giá phân tích hiệu quả hoạt động của Trung tâm Dữ liệu và tổng hợp báo cáo với cơ quan quản lý.
-
Các nội dung kiểm tra:
-
Việc bảo đảm các điều kiện về môi trường cho hoạt động của Trung tâm Dữ liệu.
-
Tình hình sử dụng thiết bị, khai thác ứng dụng của hệ thống.
-
Hoạt động của các hệ thống máy chủ, máy trạm, các dịch vụ (cập nhật nâng cấp, bản vá lỗi, tài nguyên, hiệu năng sử dụng).
-
Tình hình an ninh, bảo mật hệ thống, đánh giá hiệu quả của hệ thống bảo mật.
đ) Kiểm tra công tác sao lưu, lưu trữ, phục hồi dữ liệu.
-
Việc tuân thủ các quy định khác nêu tại Quy chế này.
-
Cơ quan quản lý tổ chức kiểm tra việc tuân thủ các quy định về quản lý kỹ thuật, triển khai, vận hành và khai thác sử dụng Trung tâm Dữ liệu theo các quy định tại Quy chế này tối thiểu 06 tháng một lần mà không cần báo trước thời gian. Các vấn đề phát hiện sau khi kiểm tra phải được tổng hợp, đánh giá phân tích mức độ ảnh hưởng với hoạt động của Trung tâm Dữ liệu và giao đơn vị quản trị, vận hành lập kế hoạch khắc phục xử lý.
Chương III
TRÁCH NHIỆM CỦA CÁC CƠ QUAN, TỔ CHỨC, CÁ NHÂN TRONG VIỆC QUẢN LÝ, VẬN HÀNH VÀ KHAI THÁC TRUNG TÂM DỮ LIỆU
Điều 22. Trách nhiệm của Sở Thông tin và Truyền thông
1. Tham mưu UBND tỉnh nâng cấp và mở rộng Trung tâm Dữ liệu đáp ứng nhu cầu cho các ứng dụng công nghệ thông tin, xây dựng chính quyền điện tử, đô thị thông minh của tỉnh Thái Nguyên.
2. Thanh tra, kiểm tra và giám sát việc vận hành, khai thác dịch vụ của đơn vị vận hành Trung tâm Dữ liệu.
3. Thực hiện chế độ báo cáo định kỳ hàng năm, báo cáo đột xuất cho UBND tỉnh về tình hình hoạt động Trung tâm Dữ liệu.
4. Nghiên cứu, đề xuất nhiệm vụ tích hợp chung theo hướng chuẩn hóa, thống nhất các ứng dụng CNTT trên Trung tâm Dữ liệu.
Điều 23. Trách nhiệm của đơn vị quản trị, vận hành
1. Ban hành nội quy làm việc tại Trung tâm Dữ liệu; xây dựng kế hoạch, bố trí cán bộ trực vận hành hệ thống Trung tâm Dữ liệu 24/24 giờ.
2. Quy định thủ tục chuyển giao thiết bị, cài đặt phần mềm và quản lý tài sản của Trung tâm Dữ liệu; ban hành quy trình vận hành, tổ chức thực hiện sao lưu dữ liệu, bảo trì, bảo dưỡng, sửa chữa thiết bị và khắc phục sự cố hệ thống.
3. Quy hoạch tài nguyên hệ thống, tham mưu cơ quan quản lý các giải pháp, phương án kỹ thuật, kế hoạch phát triển Trung tâm Dữ liệu.
4. Tiếp nhận các yêu cầu cung cấp hạ tầng, dịch vụ của các tổ chức, cá nhân trong phạm vi quy định và triển khai cung cấp theo đúng với tiêu chuẩn chất lượng, quy trình và trên cơ sở khai thác, sử dụng hiệu quả hạ tầng Trung tâm Dữ liệu.
5. Hàng năm, xây dựng kinh phí đảm bảo duy trì, vận hành, bảo dưỡng, sửa chữa, thay thế trang thiết bị, xây dựng hoặc nâng cấp, cập nhật phần mềm quản lý Trung tâm Dữ liệu và chế độ trực 24/24 giờ cho cán bộ quản trị, vận hành tổng hợp chung trong dự toán chi nghiệp vụ chuyên môn của đơn vị, trình cấp có thẩm quyền phê duyệt.
6. Đào tạo cán bộ quản lý, vận hành có chuyên môn đáp ứng yêu cầu, được trang bị các kiến thức liên quan tới hoạt động của Trung tâm Dữ liệu.
7. Thực hiện báo cáo định kỳ hàng quý cho cơ quan quản lý về tình hình hoạt động, cung cấp hạ tầng của Trung tâm Dữ liệu đồng thời xây dựng báo cáo đột xuất khi có yêu cầu.
Điều 24. Trách nhiệm của các cơ quan, đơn vị, người sử dụng dịch vụ
1. Sử dụng hạ tầng, dịch vụ của Trung tâm Dữ liệu theo quy chế này và các hướng dẫn khác của đơn vị quản lý, đơn vị vận hành Trung tâm Dữ liệu.
2. Tuân thủ theo Quyết định số 10/2020/QĐ-UBND ngày 03/04/2020 của UBND tỉnh Thái Nguyên về việc ban hành Quy chế bảo đảm an toàn thông tin mạng trong hoạt động ứng dụng công nghệ thông tin của cơ quan nhà nước tỉnh Thái Nguyên, các quy định về an toàn bảo mật thông tin trong quản lý, vận hành và khai thác Trung tâm Dữ liệu.
3. Đối với cơ quan, đơn vị: Duy trì hoạt động các ứng dụng, hệ thống thông tin đồng thời chịu trách nhiệm về các nội dung, thông tin lưu trữ tại Trung tâm Dữ liệu do cơ quan, đơn vị cung cấp, cập nhật phù hợp với quy định pháp luật. Sao lưu dữ liệu thường xuyên của đơn vị, theo sự hướng dẫn của Đơn vị vận hành.
4. Đối với người sử dụng: Không được thực hiện các hành vi đánh cắp, giả mạo tài khoản, truy cập trái phép, sử dụng các công cụ, phần mềm làm tổn hại đến hoạt động của Trung tâm Dữ liệu.
5. Trường hợp phát sinh sự cố, phải thông báo ngay cho cán bộ kỹ thuật của Đơn vị vận hành để phối hợp trong việc xử lý sự cố và xác nhận kết quả xử lý.
Điều 25. Khen thưởng, xử lý vi phạm
1. Hàng năm, UBND tỉnh đánh giá việc quản lý, vận hành, sử dụng Trung tâm Dữ liệu và có hình thức khen thưởng phù hợp đối với những cá nhân, tổ chức có liên quan.
2. Đối với các Cơ quan, đơn vị, cán bộ, công chức, viên chức, người lao động vi phạm Quy chế này, tùy theo tính chất, mức độ vi phạm bị xử lý kỷ luật hoặc các hình thức xử lý khác theo quy định pháp luật hiện hành.
3. Đối với các tổ chức, cá nhân khác tham gia sử dụng dịch vụ của Trung tâm Dữ liệu vi phạm Quy chế này thì xử lý vi phạm theo các điều khoản tại Hợp đồng đã ký kết giữa các bên có liên quan và theo quy định của pháp luật.
CHƯƠNG IV
TỔ CHỨC THỰC HIỆN
Điều 26. Tổ chức thực hiện
1. Sở Thông tin và Truyền thông, Đơn vị quản trị, vận hành Trung tâm Dữ liệu: Chịu trách nhiệm trước Chủ tịch UBND tỉnh, UBND tỉnh về việc quản lý, vận hành sử dụng Trung tâm dữ liệu đảm bảo ổn định, liên tục, an toàn bảo mật thông tin, quản lý tài sản,… theo đúng quy định.
2. Sở Thông tin và Truyền thông chủ trì tổ chức triển khai, hướng dẫn thực hiện Quy chế này; theo dõi, kiểm tra định kỳ báo cáo UBND tỉnh tình hình triển khai của các cơ quan, đơn vị.
3. Sở Tài chính bố trí kinh phí cho đơn vị quản lý và vận hành Trung tâm Dữ liệu theo quy định để Trung tâm Dữ liệu hoạt động ổn định, hiệu quả và an toàn.
4. Thủ trưởng các cơ quan, đơn vị chịu trách nhiệm trước UBND tỉnh về việc tổ chức triển khai thực hiện Quy chế này trong phạm vi quản lý của mình.
Điều 27. Sửa đổi, bổ sung Quy chế
Trong quá trình triển khai thực hiện Quy chế, nếu có khó khăn, vướng mắc hoặc có vấn đề phát sinh. Các cơ quan, đơn vị báo cáo UBND tỉnh (thông qua Sở Thông tin và Truyền thông) để tổng hợp, tham mưu, trình UBND tỉnh, bổ sung Quy chế cho phù hợp./.