Chương 3 Nghị định 64/2007/NĐ-CP: Hoạt động của cơ quan nhà nước trên môi trường mạng
Số hiệu: | 64/2007/NĐ-CP | Loại văn bản: | Nghị định |
Nơi ban hành: | Chính phủ | Người ký: | Nguyễn Tấn Dũng |
Ngày ban hành: | 10/04/2007 | Ngày hiệu lực: | 18/05/2007 |
Ngày công báo: | 03/05/2007 | Số công báo: | Từ số 290 đến số 291 |
Lĩnh vực: | Công nghệ thông tin, Bộ máy hành chính | Tình trạng: | Còn hiệu lực |
TÓM TẮT VĂN BẢN
Văn bản tiếng việt
Văn bản tiếng anh
1. Cơ quan nhà nước có trách nhiệm cải tiến và chuẩn hóa các quy định công việc theo hướng phù hợp với chương trình cải cách hành chính đồng thời phát huy tối đa khả năng ứng dụng công nghệ thông tin trong xử lý các quy trình sau đây:
a) Hoạt động nội bộ và giao dịch với các cơ quan nhà nước khác;
b) Giao dịch với tổ chức, cá nhân, đặc biệt trong hoạt động cung cấp các dịch vụ hành chính công;
2. Cơ quan nhà nước có trách nhiệm áp dụng hệ thống quản lý chất lượng theo tiêu chuẩn quy định trong các hoạt động của cơ quan mình.
1. Các quy trình công việc chung phải được chuẩn hóa và áp dụng vào các cơ quan nhà nước có quy trình công việc tương ứng theo lộ trình thích hợp.
2. Cơ quan nhà nước có trách nhiệm ứng dụng công nghệ thông tin để tăng cường khả năng liên thông giữa các quy trình công việc, cải tiến các quy trình công việc đòi hỏi có sự phối hợp của nhiều cơ quan nhà nước nhằm giảm tối đa thời gian xử lý.
1. Văn bản điện tử phù hợp với pháp luật về giao dịch điện tử có giá trị pháp lý tương đương với văn bản giấy trong giao dịch giữa các cơ quan nhà nước.
2. Văn bản điện tử gửi đến cơ quan nhà nước không nhất thiết phải sử dụng chữ ký điện tử nếu văn bản đó có thông tin về người gửi, bảo đảm tính xác thực về nguồn gốc và sự toàn vẹn của văn bản.
1. Thời điểm gửi một văn bản điện tử tới cơ quan nhà nước là thời điểm văn bản điện tử này nhập vào hệ thống thông tin nằm ngoài sự kiểm soát của người khởi tạo.
2. Cơ quan nhà nước được Chính phủ giao trách nhiệm có nhiệm vụ xây dựng hệ thống thông tin bảo đảm xác định thời điểm nhận và gửi văn bản điện tử. Thời điểm nhận là thời điểm văn bản điện tử nhập vào hệ thống thông tin được chỉ định.
Cơ quan nhà nước có trách nhiệm thông báo ngay bằng phương tiện điện tử cho người gửi về việc đã nhận văn bản điện tử sau khi xác nhận được tính hợp lệ của văn bản đó.
1. Văn bản điện tử gửi đến cơ quan nhà nước phải được sao lưu trong hệ thống lưu trữ điện tử.
2. Việc sao lưu hoặc biện pháp tiếp nhận khác phải chỉ ra được thời gian gửi và kiểm tra được tính toàn vẹn của văn bản điện tử.
3. Văn bản điện tử của cơ quan nhà nước phải được đưa vào hồ sơ lưu trữ theo cách bảo đảm chính xác thực, an toàn và khả năng truy nhập văn bản điện tử đó.
Cơ quan nhà nước có quyền sử dụng các biện pháp kỹ thuật đối với văn bản điện tử nếu thấy cần thiết để làm cho văn bản điện tử đó dễ đọc, dễ lưu trữ và để phân loại nhưng bảo đảm không thay đổi nội dung văn bản điện tử đó.
1. Cơ quan nhà nước có trách nhiệm sử dụng chữ ký điện tử để xác nhận văn bản điện tử cuối cùng.
2. Chữ ký điện tử của cơ quan nhà nước phải đáp ứng các yêu cầu của pháp luật về giao dịch điện tử.
1. Việc bảo đảm thông tin là yêu cầu bắt buộc trong quá trình thiết kế, xây dựng, vận hành, nâng cấp và hủy bỏ các hạ tầng kỹ thuật của cơ quan nhà nước.
2. Thông tin số thuộc quy định danh mục bí mật nhà nước của các cơ quan nhà nước phải được phân loại, lưu trữ, bảo vệ trên cơ sở quy định của pháp luật về bảo vệ bí mật nhà nước.
3. Cơ quan nhà nước phải xây dựng nội quy bảo đảm an toàn thông tin; có cán bộ phụ trách quản lý an toàn thông; áp dụng, hướng dẫn và kiểm tra định kỳ việc thực hiện các biện pháp bảo đảm cho hệ thống thông tin trên mạng đáp ứng các tiêu chuẩn, quy chuẩn kỹ thuật về an toàn thông tin.
4. Áp dụng quy trình bảo đảm an toàn dữ liệu bao gồm:
a) Lưu trữ dự phòng;
b) Sử dụng mật mã để bảo đảm an toàn và bảo mật dữ liệu trong lưu trữ và giao dịch theo quy định của Nhà nước về mật mã;
c) Quản lý chặt chẽ việc di chuyển các trang thiết bị công nghệ thông tin lưu trữ các thông tin thuộc danh mục bí mật nhà nước;
d) Giám sát các khâu tạo lập, xử lý và hủy bỏ dữ liệu;
đ) Các quy trình bảo đảm an toàn dữ liệu khác.
5. Áp dụng quy trình quản lý an toàn hạ tầng kỹ thuật bao gồm:
a) Các giải pháp bảo vệ nhằm ngăn chặn và phát hiện sớm việc truy cập trái phép vào mạng máy tính hay thiết bị lưu trữ dữ liệu;
b) Áp dụng các công nghệ xác thực, cơ chế quản lý quyền truy cập và cơ chế ghi biên bản hoạt động của hệ thống để quản lý và kiểm tra việc truy cập mạng;
c) Kiểm soát chặt chẽ việc cài đặt các phần mềm mới lên máy chủ và máy trạm;
d) Theo dõi thường xuyên tình trạng lây nhiễm và thực hiện loại bỏ phần mềm độc hại khỏi hệ thống;
đ) Các quy trình quản lý an toàn hạ tầng kỹ thuật khác.
6. Điều kiện bảo đảm thực hiện an toàn thông tin:
a) Cán bộ, công chức, viên chức phải nắm vững các quy định của pháp luật và nội quy của cơ quan về an toàn thông tin;
b) Cán bộ kỹ thuật về an toàn thông tin phải được tuyển chọn, đào tạo, huấn luyện, thường xuyên bồi dưỡng nghiệp vụ phù hợp với nhiệm vụ được giao và được tạo điều kiện làm việc phù hợp;
c) Cơ quan nhà nước ưu tiên sử dụng lực lượng kỹ thuật về an toàn thông tin của mình; khi cần thiết có thể sử dụng dịch vụ của các tổ chức bảo đảm an toàn thông tin đủ năng lực được Nhà nước công nhận;
d) Hạ tầng kỹ thuật phải được định kỳ kiểm tra, đánh giá hoặc kiểm định về mặt an toàn thông tin phù hợp các tiêu chuẩn, quy chuẩn kỹ thuật quy định.
1. Trách nhiệm của cơ quan nhà nước có hạ tầng kỹ thuật bị sự cố:
a) Áp dụng mọi biện pháp để khắc phục và hạn chế thiệt hại do sự cố xảy ra, lập biên bảo báo cáo cho cơ quan cấp trên quản lý trực tiếp;
b) Trường hợp có sự cố nghiêm trọng vượt quá khả năng khắc phục của đơn vị, phải báo cáo ngay cho cơ quan quản lý nhà nước có thẩm quyền quy định tại Điều 43 Nghị định này;
c) Tạo điều kiện thuận lợi cho cơ quan chức năng tham gia khắc phục sự cố và thực hiện theo đúng hướng dẫn;
d) Cung cấp đầy đủ, chính xác, kịp thời những thông tin cần thiết cho cơ quan cấp trên quản lý trực tiếp;
đ) Báo cáo bằng văn bản về sự cố cho cơ quan cấp trên quản lý trực tiếp và cơ quan quản lý nhà nước.
2. Trách nhiệm của cơ quan cấp trên quản lý trực tiếp:
a) Tùy theo mức độ của sự cố, hướng dẫn hoặc cử cán bộ có thẩm quyền đến cơ sở để hướng dẫn, giúp đỡ khắc phục sự cố.
b) Huy động các phương tiện cần thiết để khắc phục sự cố.
3. Trách nhiệm của cơ quan quản lý nhà nước:
a) Tùy theo mức độ sự cố, cơ quan quản lý nhà nước hướng dẫn hoặc điều phối lực lượng ứng cứu để tham gia khắc phục sự cố;
b) Phối hợp với các Bộ, cơ quan ngang Bộ để điều tra khắc phục sự cố;
c) Thực hiện cam kết trong Điều ước quốc tế có liên quan đến sự cố mà Việt Nam là thành viên.
1. Bộ Bưu chính, Viễn thông đảm nhiệm chức năng điều phối hoạt động ứng cứu máy tính tại Việt Nam và là đầu mối hợp tác quốc tế của Việt Nam để ngăn chặn các sự cố và các cuộc tấn công trên mạng. Căn cứ vào thông lệ quốc tế và các quy định về bảo đảm an toàn thông tin, cơ quan quản lý nhà nước quy định hoạt động điều phối an toàn thông tin để phối hợp trong việc phòng, chống, đối phó, khắc phục sự cố về các vấn đề an toàn thông tin trên môi trường mạng.
2. Cơ quan điều phối có thẩm quyền yêu cầu các đơn vị hay bộ phận an toàn thông tin trong các cơ quan nhà nước, các tổ chức cung cấp dịch vụ an toàn thông tin, các doanh nghiệp cung cấp dịch vụ Internet và doanh nghiệp cung cấp dịch vụ hạ tầng mạng hợp tác tham gia ngăn chặn các nguồn tấn công gây sự cố trên mạng.
3. Cơ quan điều phối có trách nhiệm thông báo danh sách các nguồn tấn công trên mạng Internet, nguy cơ và nguồn gốc phát sinh sự cố mạng, trên cơ sở đó điều phối lực lượng phản ứng khẩn cấp để ngăn chặn và khắc phục sự cố.
4. Trong trường hợp khẩn cấp có thể gây sự cố nghiêm trọng hay khủng bố mạng, các cơ quan chức năng có quyền tổ chức ngăn chặn các nguồn tấn công trước khi có thông báo, sau đó lập biên bản báo cáo cho cơ quan điều phối.
5. Cơ quan, tổ chức, cá nhân có nghĩa vụ cung cấp thông tin và tạo điều kiện cho các cơ quan chức năng nghiên cứu, điều tra để nhanh chóng ngăn chặn sự cố và khắc phục hậu quả khi xảy ra tấn công, khủng bố trên môi trường mạng.
ACTIVITIES OF STATE AGENCIES IN THE NETWORK ENVIRONMENT
Article 33.- Standardization of work processes in state agencies
1. State agencies shall improve and standardize their work processes in conformity with administrative reform programs and, at the same time, bring into the fullest play the information technology application capacity in the following work processes:
a/ Internal operations and transactions with other state agencies;
b/Transactions with organizations or individuals, especially the provision of public administrative services.
2. State agencies shall apply quality management systems to their operations in accordance with prescribed standards.
Article 34.- Requirements for synchrony in work processes among state agencies
1. Common work processes shall be standardized and applied in relevant state agencies according to an appropriate roadmap.
2. State agencies shall apply information technology in order to raise the connectivity of work processes and improve work processes involving different state agencies in order to minimize the processing time.
SECTION 2. MANAGEMENT OF E-DOCUMENTS
Article 35.- Legal validity of e-documents
1. E-documents compliant with the law on e- transactions have legal validity like paper documents used in transactions among state agencies.
2. E-documents sent to state agencies do not need e-signatures, ifthey contain information on senders and ensure the truthfulness of their origin and the integrity of the documents.
Article 36.- Time of sending and receiving e- documents
1. The time of sending an e-document to a state agency is the time when that e-document enters an information system out of the control of the originator.
2. State agencies assigned by the Government shall build information systems capable of determining the time of sending and receiving e- documents. The time of receipt of an e-document is the time it enters a designated information system.
Article 37.- Notification of the receipt of e- documents
State agencies shall immediately and electronically notify senders of the receipt of e- documents right after certifying the validity of these documents.
Article 38.- Acceptance of e-documents and compilation of recorded files
1. E-documents sent to state agencies shall be duplicated and recorded in electronic storage systems.
2. The duplication or other receiving methods must ensure determination of the sending time and inspection of the integrity of e-documents.
3. E-documents ofstate agencies shall be put into recorded files so as to assure their accuracy, safety and accessibility.
Article 39.- Processing of e-documents
When necessary, state agencies may apply technical measures to e-documents so as to make these documents easy to read, store and classify, while keeping unchanged their contents.
Article 40.- Use of e-signsnires
1. State agencies shall use e-signatures to certify the ultimate e-documents.
2. E-signatures of state agencies must satisfy requirements prescribed by the law on e-transactions.
SECTION 3. ASSURANCE OF INFORMATION SAFETY IN THE NETWORK ENVIRONMENT
Article 41.- Principles on information safety assurance
1. Assuring information safety is a compulsory requirement in the process of designing, building, operating, upgrading or destroying technical infrastructure of state agencies.
2. Digital information classified as state secrets of state agencies shall be sorted, stored and protected in accordance with the law on protection of state Secrets
3. State agencies shall elaborate internal rules on information safety assurance; appoint staffs to take charge of information safety management; apply, guide, and regularly inspect the application of, measures to ensure that information systems in the network comply with standards and technical regulations on information safety.
4. Application of processes to assure data safety, including:
a/Back-up storage;
b/ Using codes to ensure data safety and confidentiality in storage and transactions in accordance with state regulations on coding;
c/ Strictly managing the displacement of information technology equipment and devices storing information listed as state secrets;
d/ Supervising the steps of data creation, processing and cancellation;
e/ Other data safety assurance processes.
5. Application of the process of managing technical infrastructure safety, covering:
a/ Protective solutions to prevent and early detect illegal access to computer networks or data-storing devices;
b/Applying certification technologies, the access right management mechanism and the operation- recording mechanism to manage and inspect access to networks;
c/ Strictly controlling the installation of new software on servers and terminals;
d/ Regularly monitoring the infection of harmful software and eliminating them from the systems;
e/ Other processes for assuring technical infrastructure safety.
6. Conditions for fulfillment ofinformation safety tasks
a/ Cadres, civil servants and employees shall grasp legal provisions and internal rules on information safety;
b/ Technicians in charge of information safety shall be recruited, trained and re-trained in professional operations relevant to their assigned tasks and be provided with appropriate working conditions;
c/ State agencies shall prioritize the use of their own technical staffs to assure information safety; when necessary, they may use services provided by capable information safety organizations accredited by the State;
d/ Technical infrastructure shall be periodically inspected, evaluated or tested in terms of information safety in accordance with prescribed standards and technical regulations.
Article 42.- Responsibilities to settle and overcome information safety-related incidents
1. Responsibilities of state agencies when their information infrastructure has information safety- related incidents:
a/ To apply all measure to remedy and minimize damage caused by the incidents, make reports to their direct superior agency;
b/Upon the occurrence ofserious incidents which the units themselves cannot remedy, to immediately report the incidents to competent state management agencies specified in Article 43 of this Decree;
c/ To create favorable conditions for functional agencies to participate in remedying the incidents and comply with their instructions;
d/ To folly, accurately and promptly supply necessary information to their direct superior agency;
e/ To make written reports on the incidents to the direct superior agency and the concerned state management agency.
2. Responsibilities of direct superior agencies:
a/Depending on the seriousness ofthe incidents, to guide or designate competent officials to guide and assist their units in remedying the incidents;
b/ To mobilize necessary means to remedy the incidents.
3. Responsibilities ofstate management agencies:
a/ Depending on the seriousness ofthe incidents, state management agencies" shall guide or mobilize various forces to remedy the incidents;
b/ To coordinate with ministries and ministerial- level agencies in investigating and overcoming incidents;
c/ To realize commitments in incident-related treaties to which Vietnam is a contracting party.
Article 43.- Coordination of activities of urgent rescue, fight against attacks and terrorism on the network
1. The Ministry of Post and Telematics shall perform the function of coordinating activities of computer rescue in Vietnam and act as Vietnam's focal point for international cooperation in preventing incidents and attacks in the network. Pursuant to international practice and regulations on information safety assurance, state management agencies shall provide for coordination of information safety activities to prevent, combat, respond to and remedy information safety-related incidents in the network environment.
2. The coordinating agency may request information safety units or sections in state agencies, information safety service-providing organizations,
Internet service-providing enterprises and network infrastructure service-providing organizations to participate in the prevention of attacking sources that cause incidents to the network.
3. The coordinating agency shall publish a list of attacking sources on the Internet, risks and origins of network incidents and, on that basis, coordinate urgent rescue forces to prevent and remedy incidents.
4. In case of emergency where serious incidents or network terrorism may occur, functional agencies may organize the prevention of attacking sources before receiving notices thereon and report later to the coordinating agency.
5. Agencies, organizations and individuals are obliged to supply information and create conditions for functional agencies to carry out study and investigation in order to quickly prevent incidents and remedy consequences caused by attacks or terrorism in the network environment.