STT	Từ viết tắt	Nghĩa đầy đủ
1	CNTT	Công nghệ thông tin
2	CSDL	Cơ sở dữ liệu
3	HSĐXCĐ	Hồ sơ đề xuất cấp độ
4	LAN	Mạng nội bộ
5	WAN	Mạng tin học diện rộng

‎

DANH MỤC CÁC BẢNG

Bảng 1. Danh mục các ứng dụng/dịch vụ cung cấp bởi hệ thống

Bảng 2. Quy hoạch địa chỉ IP các vùng mạng trong hệ thống

‎

DANH MỤC CÁC HÌNH VẼ, ĐỒ THỊ

Hình 1. Cấu trúc logic của hệ thống

Hình 2. Kết nối vật lý của hệ thống

‎

PHẦN I. THÔNG TIN TỔNG QUAN VỀ HỆ THỐNG THÔNG TIN

1. Thông tin Chủ quản hệ thống thông tin

- Tên Tổ chức: UBND tỉnh Thanh Hóa.

- Quy định chức năng, nhiệm vụ và quyền hạn: Theo Luật Tổ chức chính quyền địa phương số 72/2025/QH15 ngày 16/6/2025.

- Người đại diện: Ông Đỗ Minh Tuấn, Chức vụ: Chủ tịch UBND tỉnh.

- Địa chỉ: Số 35, Đại lộ Lê Lợi, phường Hạc Thành, tỉnh Thanh Hóa.

- Thông tin liên hệ: Số điện thoại: 02373.852246

2. Thông tin Đơn vị vận hành

- Tên đơn vị vận hành: UBND xã Quảng Yên

- Quy định chức năng, nhiệm vụ và quyền hạn: Nghị quyết số 03/NQ-HĐND ngày 01/7/2025 của Hội đồng nhân dân xã Quảng Yên về thành lập các phòng chuyên môn của UBND xã Quảng Yên.

- Người đại diện: Ông Mai Đình Thủy - Chủ tịch UBND xã.

- Địa chỉ: Thôn Trung Đào , xã Quảng Yên, tỉnh Thanh Hóa.

- Thông tin liên hệ:

+ Số điện thoại:

+ Thư điện tử: quangyen@thanhhoa.gov.vn .

3. Mô tả phạm vi, quy mô của hệ thống

- Phạm vi, quy mô của Hệ thống thông tin UBND xã Quảng Yên: Hệ thống thông tin phục vụ hoạt động nội bộ của xã Quảng Yên, có xử lý thông tin riêng, thông tin cá nhân của người sử dụng nhưng không xử lý thông tin bí mật nhà nước. Quy mô sử dụng cho các tổ chức trong xã gồm: 03 phòng, 02 trung tâm và Hội đồng nhân dân xã; hiện tại có 45 người dùng.

- Đối tượng phục vụ của hệ thống: Cán bộ, công chức, viên chức cơ quan UBND xã, các cơ quan, tổ chức, doanh nghiệp trên địa bàn xã.

- Danh mục các hệ thống thông tin thành phần/các dịch vụ được cung cấp bởi hệ thống thông tin của UBND xã Quảng Yên:

(1) Hệ thống mạng nội bộ UBND xã Quảng Yên.

(2) Hệ thống Camera UBND xã Quảng Yên;

(3) Hệ thống Hội nghị trực tuyến UBND xã Quảng Yên;

4. Mô tả cấu trúc của hệ thống

4.1. Mô hình logic tổng thể

Hình 1 . Cấu trúc logic của hệ thống

Các vùng mạng được thiết kế như sau:

(1) Vùng mạng biên được đặt được đặt các thiết bị Router, Firewall để kết nối hệ thống ra các mạng bên ngoài và mạng Internet.

(2) Vùng mạng nội bộ vùng mạng dành cho các máy tính, máy in, máy scan, … phục vụ công việc của cán bộ, công chức, viên chức.

(3) Vùng mạng không dây: Cung cấp các kết nối không dây dành cho người dùng/khách truy cập Internet.

(4) Vùng mạng truyền số liệu chuyên dùng phục vụ hội nghị truyền hình đặt các trang thiết bị cung cấp dịch vụ hội nghị truyền hình triển khai cấp xã cho người sử dụng trong hệ thống.

(5) Vùng mạng camera: phục vụ kết nối camera giám sát

4.2. Mô hình kết nối vật lý

Hình 2 . Kết nối vật lý của hệ thống

4.3. Danh sách trang thiết bị mạng tại đơn vị:

STT	Tên thiết bị/ Chủng loại	Vị trí triển khai	Mục đích sử dụng
1	Router Mikrotik RB4011iGS+RM	Vùng mạng biên	Kết nối và định tuyến động với các Router của nhà mạng.
2	SW02 GS-4210-24T2S		Kết nối các máy trạm và thiết bị đầu cuối trong vùng mạng nội bộ.
3	G040H	Vùng mạng không dây	Cung cấp mạng không dây cho các thiết bị kết nối.

Bảng 1. Danh mục thiết bị sử dụng trong hệ thống

4.4. Danh mục các ứng dụng/dịch vụ cung cấp bởi hệ thống

STT	Tên dịch vụ	Thiết bị/Vùng mạng/HĐH	Mục đích sử dụng
0

Bảng 1 . Danh mục các ứng dụng/dịch vụ cung cấp bởi hệ thống

4.5. Quy hoạch địa chỉ IP các vùng mạng trong hệ thống

STT	Vùng mạng	IP Private	IP Public
1	Vùng mạng nội bộ	10.203.97.0/24
2	Vùng mạng biên	10.66.187.116/29
3	Vùng mạng không dây	192.168.88.0/24
4	Vùng mạng camera	192.168.1.0/24
5	Vùng mạng truyền số liệu chuyên dùng	10.157.37.194/29

Bảng 2 . Quy hoạch địa chỉ IP các vùng mạng trong hệ thống

‎

PHẦN II. THUYẾT MINH CẤP ĐỘ ĐỀ XUẤT

1. Danh mục hệ thống thông tin và cấp độ đề xuất

STT	Hệ thống	Cấp độ đề xuất	Căn cứ đề xuất
1	Hệ thống mạng nội bộ UBND xã Quảng Yên	2	Khoản 1 Điều 8/NĐ85
2	Hệ thống camera UBND xã Quảng Yên	2	Khoản 1 Điều 8/NĐ85
3	Hệ thống hội nghị trực tuyến UBND xã Quảng Yên	2	Khoản 1 Điều 8/NĐ85

2. Thuyết minh đề xuất cấp độ đối với hệ thống thông tin

2.1. Hệ thống mạng nội bộ UBND xã Quảng Yên .

Hệ thống mạng nội bộ được xây dựng để phục vụ hoạt động nội bộ của cơ quan, tổ chức và có xử lý thông tin riêng, thông tin cá nhân của người sử dụng nhưng không xử lý thông tin bí mật nhà nước. Căn cứ theo quy định tại Khoản 1, Điều 8 Nghị định 85/2016/NĐ-CP, hệ thống này được đề xuất cấp độ 2.

2.2. Hệ thống Camera UBND xã Quảng Yên.

Hệ thống camera được xây dựng để phục vụ hoạt động theo dõi, giám sát UBND xã. Căn cứ theo quy định tại Khoản 1, Điều 8 Nghị định 85/2016/NĐ-CP, hệ thống này được đề xuất cấp độ 2.

2.3. Hệ thống hội nghị trực tuyến UBND xã Quảng Yên.

Hệ thống hội nghị trực tuyến được xây dựng để phục vụ hoạt động họp trực tuyến UBND xã. Căn cứ theo quy định tại Khoản 1, Điều 8 Nghị định 85/2016/NĐ-CP, hệ thống này được đề xuất cấp độ 2.

‎

PHẦN III: THUYẾT MINH PHƯƠNG ÁN BẢO ĐẢM AN TOÀN HỆ THỐNG THÔNG TIN

I. Thuyết minh phương án về quản lý bao gồm các nội dung sau:

1. Thiết lập chính sách an toàn thông tin

2. Tổ chức bảo đảm an toàn thông tin

3. Bảo đảm nguồn nhân lực

4. Quản lý thiết kế, xây dựng hệ thống

5. Quản lý vận hành hệ thống

6. Phương án Quản lý rủi ro an toàn thông tin

7. Phương án Kết thúc vận hành, khai thác, thanh lý, hủy bỏ

Đối với những yêu cầu quản lý chưa đáp ứng các yêu cầu an toàn trong Thuyết minh này, Đơn vị vận hành sẽ cập nhật, bổ sung trình Chủ quản hệ thống thông tin ban hành trong vòng 06 tháng, kể từ khi HSĐXCĐ được phê duyệt.

II. Thuyết minh phương án về kỹ thuật bao gồm các nội dung:

1. Bảo đảm an toàn mạng.

2. Bảo đảm an toàn máy chủ.

3. Bảo đảm an toàn ứng dụng.

4. Bảo đảm an toàn dữ liệu.

Đối với các yêu cầu kỹ thuật chưa đáp ứng yêu cầu an toàn cơ bản trong Thuyết minh này, Đơn vị vận hành sẽ triển khai nâng cấp, thiết lập cấu hình hệ thống để đáp ứng yêu cầu trong vòng 18 tháng, kể từ khi HSĐXCĐ được phê duyệt.

Thuyết minh phương án bảo đảm an toàn thông tin cho Hệ thống thông tin của UBND xã Quảng Yên sẽ bao gồm các thuyết minh thành phần sau:

STT	Hệ thống	Cấp độ đề xuất	Nội dung thuyết minh
1	Thuyết minh phương án đáp ứng yêu cầu quản lý	2	Phụ lục I
2	Thuyết minh phương án đáp ứng yêu cầu kỹ thuật đối với Hệ thống Mạng nội bộ UBND xã Quảng Yên	2	Phụ lục II
3	Thuyết minh phương án đáp ứng yêu cầu kỹ thuật đối với Hệ thống hội nghị truyền hình trực tuyến UBND xã Quảng Yên .	2	Phụ lục II
4	Thuyết minh phương án đáp ứng yêu cầu kỹ thuật đối với Hệ thống camera UBND xã Quảng Yên	2	Phụ lục II

‎

PHỤ LỤC I : THUYẾT MINH PHƯƠNG ÁN BẢO ĐẢM AN TOÀN THÔNG TIN VỀ QUẢN LÝ VỚI CẤP ĐỘ 2

Đơn vị đã ban hành Quy chế bảo đảm an toàn thông tin, an ninh mạng cho Hệ thống thông tin của UBND xã Quảng Yên (Quyết định số /QĐ-UBND ngày / /2025)

1. Thiết lập chính sách an toàn thông tin

1.1. Chính sách an toàn thông tin

Yêu cầu

Xây dựng chính sách an toàn thông tin

Hiện trạng

Đáp ứng. tham chiếu điều 8, điều 9, điều 10, điều 11 Quy chế bảo đảm an toàn, an ninh mạng

Phương án

Xây dựng chính sách an toàn thông tin, bao gồm:

- Quản lý an toàn mạng;

- Quản lý an toàn máy chủ và ứng dụng;

- Quản lý an toàn dữ liệu;

- Quản lý an toàn người sử dụng đầu cuối.

1.2. Xây dựng và công bố

Yêu cầu

Quy định về xây dựng và công bố Quy chế bảo đảm an toàn thông tin

Hiện trạng

Đáp ứng, đơn vị vận hành đã xây dựng , công bố Quy chế bảo đảm an toàn thông tin, an ninh mạng.

Phương án

Chính sách được tổ chức/ bộ phận được ủy quyền thông qua trước khi công bố áp dụng

Xây dựng và công bố Quy chế bảo đảm an toàn thông tin, an ninh mạng:

1. Quy chế được lấy ý kiến cấp có thẩm quyền, đơn vị liên quan trước khi công bố áp dụng.

2. Quy chế được xây dựng trình Chủ tịch UBND xã ban hành.

1.3. Rà soát, sửa đổi

Yêu cầu

Có quy định về việc rà soát, sửa đổi Quy chế bảo đảm an toàn thông tin

Hiện trạng

Đáp ứng. Tham chiếu điều 23 Quy chế bảo đảm an toàn, an ninh mạng

Phương án

Rà soát, sửa đổi Quy chế bảo đảm an toàn thông tin:

1. Định kỳ 03 năm hoặc khi có thay đổi Quy chế bảo đảm an toàn thông tin kiểm tra lại tính phù hợp và thực hiện rà soát, cập nhật, bổ sung. Chính sách được tổ chức/ bộ phận được ủy quyền thông qua trước khi công bố áp dụng.

2. Trong quá trình thực hiện Quy chế, nếu có vấn đề vướng mắc, phát sinh, các đơn vị phản ánh kịp thời về Văn phòng HĐND- UBND xã để tổng hợp báo cáo điều chỉnh, bổ sung.

2. Tổ chức bảo đảm an toàn thông tin

2.1. Đơn vị chuyên trách về an toàn thông tin

Yêu cầu	Thành lập hoặc chỉ định đơn vị/bộ phận chuyên trách về an toàn thông tin trong tổ chức
Hiện trạng	Đáp ứng. Tham chiếu điều 24 Quy chế bảo đảm an toàn, an ninh mạng
Phương án	Giao Văn phòng HĐND và UBND xã là bộ phận chuyên trách về ATTT cho Hệ thống thông tin của UBND xã.

2.2. Phối hợp với những cơ quan/tổ chức có thẩm quyền

2.2.a. Có đầu mối liên hệ, phối hợp với các cơ quan, tổ chức có thẩm quyền quản lý về an toàn thông tin

Yêu cầu

Có đầu mối liên hệ, phối hợp với các cơ quan, tổ chức có thẩm quyền quản lý về an toàn thông tin

Hiện trạng

Đáp ứng, tham chiếu điều 4 Quy chế bảo đảm an toàn, an ninh mạng

Phương án

Đầu mối liên hệ, phối hợp với các cơ quan, tổ chức có thẩm quyền quản lý về an toàn thông tin:

- UBND xã giao Bộ phận chuyên trách về An toàn thông tin, Tổ ứng cứu sự cố an toàn thông tin mạng xã là đầu mối liên hệ, phối hợp với Đội ứng cứu sự cố an toàn thông tin mạng tỉnh và các cơ quan, tổ chức có thẩm quyền quản lý về an toàn thông tin phục vụ việc bảo đảm an toàn thông tin, an ninh mạng cho các Hệ thống thông tin của UBND xã Quảng Yên.

- Giao Bộ phận chuyên trách về An toàn thông tin, Tổ ứng cứu sự cố an toàn thông tin mạng xã làm đầu mối, tổ chức thực hiện việc tiếp nhận và xử lý các sự cố về an toàn thông tin đối với các Hệ thống thông tin của UBND xã Quảng Yên.

2.2.b. Có đầu mối liên hệ, phối hợp với các cơ quan, tổ chức trong công tác hỗ trợ điều phối xử lý sự cố an toàn thông tin

Yêu cầu

Có đầu mối liên hệ, phối hợp quan, tổ chức trong công tác hỗ trợ điều phối xử lý sự cố an toàn thông tin

Hiện trạng

Đáp ứng, tham chiếu điều 4, điều 15 Quy chế bảo đảm an toàn, an ninh mạng

Phương án

- Giao Phòng Văn phòng HĐND và UBND xã và Tổ ứng cứu sự cố an toàn thông tin mạng xã tham gia các hoạt động, công tác bảo đảm an toàn thông tin khi có yêu cầu của tổ chức có thẩm quyền .

- Liên hệ, phối hợp với các cơ quan, tổ chức trong công tác hỗ trợ điều phối xử lý sự cố an toàn thông tin: Tùy theo mức độ sự cố, phối hợp với Đội ứng cứu sự cố an toàn thông tin mạng tỉnh và các đơn vị có liên quan hướng dẫn xử lý, ứng cứu các sự cố an toàn thông tin mạng.

2.2.c. Tham gia các hoạt động, công tác bảo đảm an toàn thông tin khi có yêu cầu của tổ chức có thẩm quyền

Yêu cầu	Tham gia các hoạt động, công tác bảo đảm an toàn thông tin khi có yêu cầu của tổ chức có thẩm quyền
Hiện trạng	Đáp ứng, tham chiếu điều 4 Quy chế bảo đảm an toàn, an ninh mạng
Phương án	Giao Văn phòng HĐND và UBND xã tham gia các hoạt động, công tác bảo đảm an toàn thông tin khi có yêu cầu của tổ chức có thẩm quyền .

3. Bảo đảm nguồn nhân lực

3.1. Tuyển dụng

Yêu cầu	Có quy định về tuyển dụng cán bộ và điều kiện tuyển dụng cán bộ
Hiện trạng	Đáp ứng, tham chiếu điều 5 Quy chế bảo đảm an toàn, an ninh mạng .
Phương án	Quy định về tuyển dụng cán bộ và điều kiện tuyển dụng cán bộ: Cán bộ được tuyển dụng, bố trí vào vị trí làm về an toàn thông tin có trình độ, năng lực về lĩnh vực công nghệ thông tin, an toàn thông tin, phù hợp với vị trí tuyển dụng được lồng ghép trong quy trình tuyển dụng cán bộ và điều kiện tuyển dụng cán bộ.

3.2. Trong quá trình làm việc

3.2.a. Có quy định về việc thực hiện nội quy, quy chế bảo đảm an toàn thông tin cho người sử dụng, cán bộ quản lý và vận hành hệ thống

Yêu cầu

Có quy định về việc thực hiện nội quy, quy chế bảo đảm an toàn thông tin cho người sử dụng, cán bộ quản lý và vận hành hệ thống

Hiện trạng

Đáp ứng, tham chiếu điều 5 Quy chế bảo đảm an toàn, an ninh mạng

Phương án

Quy định về việc thực hiện bảo đảm an toàn thông tin trong quá trình làm việc:

1. Trách nhiệm bảo đảm an toàn thông tin cho cán bộ quản lý và vận hành hệ thống

a) Cán bộ chuyên trách phải thiết lập phương pháp hạn chế truy cập mạng không dây, giám sát và điều khiển truy cập không dây, tổ chức sử dụng chứng thực và mã hóa để bảo vệ truy cập không dây tới hệ thống thông tin.

b) Cán bộ chuyên trách phải tổ chức quản lý định danh đối với tất cả người dùng tham gia sử dụng hệ thống thông tin.

c) Các bộ phận, cá nhân tham gia sử dụng các dịch vụ của hệ thống phải tuân thủ các quy định về bảo đảm an toàn, an ninh thông tin và chịu trách nhiệm đối với mọi hoạt động trên tài khoản truy cập của mình đã được cấp.

d) Tài khoản quản trị hệ thống (mạng, hệ điều hành, thiết bị kết nối mạng, phần mềm, ứng dụng, cơ sở dữ liệu) phải tách biệt với tài khoản truy nhập của người sử dụng thông thường. Tài khoản quản trị hệ thống phải được giao đích danh cá nhân làm công tác quản trị. Phân quyền sử dụng tài khoản quản trị theo chức năng nhiệm vụ của cá nhân trong công tác vận hành quản trị hệ thống.

2. Với người sử dụng:

a) Người sử dụng có trách nhiệm đảm bảo ATTT đối với từng vị trí công việc. Trước khi tham gia vào hệ thống phải được kiểm tra khả năng đáp ứng các yêu cầu về ATTT.

b) Phải được thường xuyên tổ chức quán triệt các quy định về ATTT, nhằm nâng cao nhận thức về trách nhiệm đảm bảo ATTT.

c) Chỉ truy nhập vào các trang/cổng thông tin điện tử, ứng dụng trực tuyến tin cậy và các thông tin phù hợp với chức năng, trách nhiệm, quyền hạn của mình; không truy nhập, mở các trang tin, thư điện tử không rõ nguồn gốc.

d) Có trách nhiệm bảo mật tài khoản truy nhập thông tin, không chia sẻ mật khẩu với người khác. Đặt mật khẩu với độ an toàn cao và thay đổi mật khẩu tối thiểu 03 lần/tháng; các tài khoản đăng nhập các hệ thống phải được đăng xuất khi không sử dụng. Thực hiện các biện pháp mã hóa đối với các tài khoản, mật khẩu được lưu trữ trên thiết bị.

e) Khóa máy tính khi tạm thời rời khỏi nơi đặt máy tính; tắt máy tính khi rời khỏi cơ quan.

3.2.b. Có kế hoạch và định kỳ hàng năm tổ chức phổ biến, tuyên truyền nâng cao nhận thức về an toàn thông tin cho người sử dụng

Yêu cầu

Có kế hoạch và định kỳ hàng năm tổ chức phổ biến, tuyên truyền nâng cao nhận thức về an toàn thông tin cho người sử dụng

Hiện trạng

Đáp ứng, tham chiếu điều 5 Quy chế bảo đảm an toàn, an ninh mạng

Phương án

Kế hoạch và tổ chức định kỳ hàng năm:

Kế hoạch và định kỳ hàng năm tổ chức đào tạo về an toàn thông tin cho 03 nhóm đối tượng bao gồm: cán bộ kỹ thuật, cán bộ quản lý và người sử dụng trong hệ thống.

3.3. Chấm dứt hoặc thay đổi công việc

a) Cán bộ chấm dứt hoặc thay đổi công việc phải thu hồi thẻ truy cập, thông tin được lưu trên các phương tiện lưu trữ, các trang thiết bị máy móc, phần cứng, phần mềm và các tài sản khác (nếu có) thuộc sở hữu của tổ chức.

Yêu cầu	Có quy định đối với cán bộ nghỉ hoặc thay đổi công việc
Hiện trạng	Đáp ứng, tham chiếu điều 5 Quy chế bảo đảm an toàn, an ninh mạng
Phương án	Cán bộ nghỉ hoặc thay đổi công việc phải thu hồi thẻ truy cập, thông tin được lưu trên các phương tiện lưu trữ, các trang thiết bị máy móc, phần cứng, phần mềm và các tài sản khác thuộc sở hữu của tổ chức.

b) Có quy trình và thực hiện vô hiệu hóa tất cả các quyền ra, vào, truy cập tài nguyên, quản trị hệ thống sau khi cán bộ thôi việc.

Yêu cầu

Có quy trình và thực hiện vô hiệu hóa tất cả các quyền ra, vào, truy cập tài nguyên, quản trị hệ thống sau khi cán bộ thôi việc.

Hiện trạng

Đáp ứng một phần tại điều điều 5 Quy chế bảo đảm an toàn, an ninh mạng

Phương án

Cán bộ quản trị phải vô hiệu hóa tất cả các quyền ra, vào, truy cập tài nguyên, quản trị hệ thống sau khi cán bộ thôi việc.

Bổ sung, xây dựng quy trình vô hiệu hóa tất cả các quyền ra, vào, truy cập tài nguyên, quản trị hệ thống sau khi cán bộ thôi việc trong vòng 06 tháng kể từ khi HSĐXCĐ được phê duyệt.

4. Quản lý thiết kế, xây dựng hệ thống thông tin

4.1. Thiết kế an toàn hệ thống thông tin

4.1.a. Có tài liệu mô tả quy mô, phạm vi và đối tượng sử dụng, khai thác, quản lý vận hành hệ thống thông tin

Yêu cầu	Có tài liệu mô tả quy mô, phạm vi và đối tượng sử dụng, khai thác, quản lý vận hành hệ thống thông tin
Hiện trạng	Đáp ứng, tham chiếu điều 6 Quy chế bảo đảm an toàn, an ninh mạng
Phương án	Xây dựng các tài liệu mô tả quy mô, phạm vi và đối tượng sử dụng, khai thác, quản lý vận hành hệ thống thông tin.

4.1.b. Có tài liệu mô tả thiết kế và các thành phần của hệ thống thông tin

Yêu cầu	Có tài liệu mô tả thiết kế và các thành phần của hệ thống thông tin
Hiện trạng	Đáp ứng, tham chiếu điều 6 Quy chế bảo đảm an toàn, an ninh mạng
Phương án	Xây dựng các tài liệu mô tả thiết kế và các thành phần của hệ thống thông tin.

4.1.c. Có tài liệu mô tả phương án bảo đảm an toàn thông tin theo cấp độ

Yêu cầu	Có tài liệu mô tả phương án bảo đảm an toàn thông tin theo cấp độ
Hiện trạng	Đáp ứng, tham chiếu điều 6 Quy chế bảo đảm an toàn, an ninh mạng
Phương án	Xây dựng các tài liệu mô tả phương án bảo đảm an toàn thông tin theo cấp độ.

4.1.d. Có tài liệu mô tả phương án lựa chọn giải pháp công nghệ bảo đảm an toàn thông tin

Yêu cầu	Có tài liệu mô tả phương án lựa chọn giải pháp công nghệ bảo đảm an toàn thông tin
Hiện trạng	Đáp ứng, tham chiếu điều 6 Quy chế bảo đảm an toàn, an ninh mạng
Phương án	Xây dựng các tài liệu mô tả phương án lựa chọn giải pháp công nghệ bảo đảm an toàn thông tin.

4.1.đ. Khi có thay đổi thiết kế, đánh giá lại tính phù hợp của phương án thiết kế đối với các yêu cầu an toàn đặt ra đối với hệ thống

Yêu cầu	Có quy định khi có thay đổi thiết kế, đánh giá lại tính phù hợp của phương án thiết kế đối với các yêu cầu an toàn đặt ra đối với hệ thống
Hiện trạng	Đáp ứng, tham chiếu điều 6 Quy chế bảo đảm an toàn, an ninh mạng
Phương án	Khi có thay đổi thiết kế, đánh giá lại tính phù hợp của phương án thiết kế đối với các yêu cầu an toàn đặt ra đối với hệ thống.

4.2. Phát triển phần mềm thuê khoán

4.2.a. Có biên bản, hợp đồng và các cam kết đối với bên thuê khoán các nội dung liên quan đến việc phát triển phần mềm thuê khoán

Yêu cầu	Có biên bản, hợp đồng và các cam kết đối với bên thuê khoán các nội dung liên quan đến việc phát triển phần mềm thuê khoán
Hiện trạng	Đáp ứng, tham chiếu điều 7 Quy chế bảo đảm an toàn, an ninh mạng
Phương án	Có điều khoản hợp đồng và các cam kết đối với bên thuê khoán khi thực hiện các nội dung liên quan đến việc phát triển phần mềm thuê khoán.

4.2.b. Yêu cầu các nhà phát triển cung cấp mã nguồn phần mềm

Yêu cầu	Có quy định yêu cầu các nhà phát triển cung cấp mã nguồn phần mềm
Hiện trạng	Đáp ứng, tham chiếu điều 7 Quy chế bảo đảm an toàn, an ninh mạng
Phương án	Các nhà phát triển cung cấp mã nguồn phần mềm sau khi đưa vào sử dụng.

4.3. Thử nghiệm và nghiệm thu hệ thống

4.3.a. Thực hiện kiểm thử hệ thống trước khi đưa vào vận hành, khai thác sử dụng

Yêu cầu

Có quy định về việc thực hiện kiểm thử hệ thống trước khi đưa vào vận hành, khai thác sử dụng

Hiện trạng

Đáp ứng, tham chiếu điều 7 Quy chế bảo đảm an toàn, an ninh mạng

Phương án

Phần mềm thuê khoán phải được kiểm thử phần mềm trên môi trường thử nghiệm trước khi bàn giao và đưa vào sử dụng.

a) Bên triển khai xây dựng kế hoạch, nội dung thử nghiệm hệ thống, trình cấp có thẩm quyền phê duyệt, trước khi thực hiện thử nghiệm và nghiệm thu hệ thống.

b) Hệ thống phải được thực hiện kiểm thử hệ thống trước khi đưa vào vận hành, khai thác sử dụng theo nội dung, kế hoạch được phê duyệt.

4.3.b. Có nội dung, kế hoạch, quy trình thử nghiệm và nghiệm thu hệ thống

Yêu cầu	Có yêu cầu về nội dung, kế hoạch, quy trình thử nghiệm và nghiệm thu hệ thống
Hiện trạng	Đáp ứng một phần tại điều 7 Quy chế bảo đảm an toàn, an ninh mạng
Phương án	Bên triển khai xây dựng kế hoạch, nội dung thử nghiệm hệ thống, trình cấp có thẩm quyền phê duyệt, trước khi thực hiện thử nghiệm và nghiệm thu hệ thống.

4.3.c. Có bộ phận có trách nhiệm thực hiện thử nghiệm và nghiệm thu hệ thống

Yêu cầu

Có bộ phận có trách nhiệm thực hiện thử nghiệm và nghiệm thu hệ thống

Hiện trạng

Đáp ứng, tham chiếu điều 7 Quy chế bảo đảm an toàn, an ninh mạng

Phương án

Quy định đối với việc thử nghiệm và nghiệm thu hệ thống:

Trong quá trình thực hiện thử nghiệm và nghiệm thu hệ thống, giao cho bộ phận chuyên trách an toàn thông tin mạng là đầu mối phối hợp với đơn vị phát triển để triển khai thực hiện.

5. Quản lý vận hành hệ thống thông tin

5.1. Quản lý an toàn mạng

5.1.a. Quản lý, vận hành hoạt động bình thường của hệ thống

Yêu cầu

Có quy định về quản lý, vận hành hoạt động bình thường của hệ thống

Hiện trạng

Đáp ứng, tham chiếu điều 8 Quy chế bảo đảm an toàn, an ninh mạng

Phương án

a) Thực hiện việc quản lý và kiểm soát mạng nhằm ngăn ngừa các nguy cơ, rủi ro và duy trì an toàn cho các máy tính, ứng dụng sử dụng mạng:

- Có sơ đồ logic và vật lý về hệ thống mạng, tổ chức quản lý định danh, xác thực đối với tất cả người sử dụng nhằm mục đích quản lý hệ thống chặt chẽ, bảo đảm an toàn và bảo mật.

- Sử dụng thiết bị tường lửa, thiết bị phát hiện và kiểm soát truy cập từ bên ngoài mạng và phân chia hệ thống mạng thành các vùng mạng quản lý theo chính sách an toàn thông tin riêng; Kiểm soát truy cập từ bên trong mạng; Kết nối về hệ thống giám sát tập trung; Phòng chống xâm nhập giữa các vùng mạng; Phòng chống phần mềm độc hại trên môi trường mạng.

b) Thiết lập, cấu hình đầy đủ các tính năng của thiết bị mạng. Thường xuyên, kiểm tra phiên bản hệ điều hành của thiết bị mạng để cập nhật, vá lỗi khi cần thiết. Sử dụng các công cụ để dò tìm và phát hiện kịp thời các điểm yếu, lỗ hổng bảo mật và các truy cập bất hợp pháp vào hệ thống mạng. Thường xuyên kiểm tra, phát hiện những kết nối, trang thiết bị, phần mềm cài đặt bất hợp pháp vào mạng.

c) Xác định và ghi rõ các tính năng an toàn, các mức độ bảo mật của dịch vụ và yêu cầu quản lý trong các thỏa thuận về dịch vụ mạng do bên thứ ba cung cấp.

d) Mạng không dây (WIFI), thiết lập các thông số an toàn và định kỳ ít nhất 3 tháng thay đổi mật khẩu truy cập nhằm tăng cường công tác bảo mật. Hệ thống mạng không dây phải được bảo vệ bởi mật khẩu an toàn.

5.1.b. Cập nhật; sao lưu dự phòng các tập tin cấu hình hệ thống và khôi phục hệ thống sau khi xảy ra sự cố

Yêu cầu

Có quy định về cập nhật; sao lưu dự phòng các tập tin cấu hình hệ thống và khôi phục hệ thống sau khi xảy ra sự cố

Hiện trạng

Đáp ứng, tham chiếu điều 8 Quy chế bảo đảm an toàn, an ninh mạng.

Phương án

Cập nhật, sao lưu dự phòng và khôi phục sau khi xảy ra sự cố

- Phải có phương án dự phòng đường truyền mạng, thiết bị mạng để đảm bảo tính sẵn sàng đáp ứng yêu cầu hoạt động của hệ thống mạng.

- Triển khai hệ thống phương tiện lưu trữ độc lập để lưu trữ các thông tin cấu hình thiết bị mạng, kết nối, định danh trong mạng để khôi phục sau khi xảy ra sự cố.

5.1.c. Truy cập và quản lý cấu hình hệ thống

Yêu cầu

Truy cập và quản lý cấu hình hệ thống

Hiện trạng

Đáp ứng, tham chiếu điều 8 Quy chế bảo đảm an toàn, an ninh mạng.

Phương án

Truy cập và quản lý cấu hình hệ thống:

a) Cán bộ quản lý, nhân viên vận hành truy cập, khai thác thông tin theo trách nhiệm và phân quyền được quy định; việc khai thác thông tin phải bảo đảm nguyên tắc bảo mật, không được tự ý cung cấp thông tin ra bên ngoài.

b) Cán bộ quản lý, nhân viên vận hành có trách nhiệm theo dõi và phát hiện các trường hợp truy cập hệ thống trái phép hoặc thao tác vượt quá giới hạn, báo cáo cho cán bộ quản lý để tiến hành ngăn chặn, thu hồi, khóa quyền truy cập của các tài khoản vi phạm.

c) Cấu hình tối ưu, tăng cường bảo mật cho thiết bị hệ thống (cứng hóa) trước khi đưa vào vận hành, khai thác.

d) Quy trình kết nối thiết bị đầu cuối của người sử dụng vào hệ thống mạng; truy nhập và quản lý cấu hình hệ thống; cấu hình tối ưu, tăng cường bảo mật cho thiết bị mạng, bảo mật (cứng hóa) trong hệ thống và thực hiện quy trình trước khi đưa hệ thống vào vận hành khai thác.

5.2. Quản lý an toàn máy chủ và ứng dụng

5.2.a. Quản lý, vận hành hoạt động bình thường của hệ thống máy chủ và dịch vụ

Yêu cầu

Có quy định về quản lý, vận hành hoạt động bình thường của hệ thống máy chủ và dịch vụ.

Hiện trạng

Đáp ứng, tham chiếu Điều 9 Quy chế bảo đảm an toàn, an ninh thông tin

Phương án

Tại Điều 9 Quy chế bảo đảm an toàn, an ninh thông tin quy định về quản lý an toàn máy chủ và ứng dụng như sau:

a) Bảo đảm cho hệ điều hành, phần mềm cài đặt trên máy chủ hoạt động liên tục, ổn định và an toàn.

b) Thường xuyên kiểm tra cấu hình, các file nhật ký hoạt động của hệ điều hành, phần mềm nhằm kịp thời phát hiện và xử lý những sự cố nếu có.

c) Quản lý các thay đổi cấu hình kỹ thuật của hệ điều hành, phần mềm.

- Thường xuyên cập nhật các bản vá lỗi hệ điều hành, phần mềm từ nhà cung cấp.

- Loại bỏ các thành phần của hệ điều hành, phần mềm không cần thiết hoặc không còn nhu cầu sử dụng, …

- Các bản quyền phần mềm cần được thống kê, quản lý thời gian hạn phục vụ cho việc gia hạn.

5.2.b . Truy cập mạng của máy chủ

Yêu cầu	Có quy định quản lý truy cập mạng của máy chủ
Hiện trạng	Đáp ứng, tham chiếu Khoản 2, Điều 9, Quy chế đảm bảo an ninh mạng, an toàn thông tin
Phương án	Bảo đảm các kết nối mạng trên máy chủ hoạt động liên tục, ổn định và an toàn. Cấu hình, kiểm soát các kết nối, các cổng dịch vụ từ bên trong đi ra cũng nhưng bên ngoài vào hệ thống.

5.2.c. Truy cập và quản trị máy chủ và ứng dụng

Yêu cầu	Có quy định quản lý truy cập và quản trị máy chủ và ứng dụng.
Hiện trạng	Đáp ứng, tham chiếu Khoản 3, Điều 9, Quy chế đảm bảo an ninh mạng, an toàn thông tin
Phương án	a) Thay đổi các tài khoản, mật khẩu mặc định ngay khi đưa hệ điều hành, phần mềm vào sử dụng. b) Cấp quyền quản lý truy cập của người sử dụng trên máy chủ cài đặt hệ điều hành. c) Toàn bộ máy chủ và thiết bị công nghệ thông tin không phải máy tính ngoại trừ các hệ thống bắt buộc phải có giao tiếp với Internet (các hệ thống phục vụ truy cập Internet; cung cấp giao diện ra Internet của trang tin điện tử, dịch vụ công, thư điện tử; phục vụ cập nhật bản vá hệ điều hành, mẫu mã độc, mẫu điểm yếu, mẫu tấn công) không được kết nối Internet.

5.2.d. Cập nhật, sao lưu dự phòng và khôi phục sau khi xảy ra sự cố

Yêu cầu	Có quy định về cập nhật, sao lưu dự phòng và khôi phục sau khi xảy ra sự cố.
Hiện trạng	Đáp ứng, tham chiếu Khoản 3, Điều 9, Quy chế đảm bảo an ninh mạng, an toàn thông tin
Phương án	Triển khai hệ thống phương tiện lưu trữ độc lập với hệ thống lưu trữ trên các máy chủ dịch vụ để sao lưu dự phòng; phân loại và quản lý thông tin, dữ liệu được lưu trữ theo từng loại, nhóm thông tin được gán nhãn khác nhau; thực hiện sao lưu, dự phòng các thông tin, dữ liệu cơ bản sau: tập tin cấu hình hệ thống, ảnh hệ điều hành máy chủ, cơ sở dữ liệu; dữ liệu, thông tin nghiệp vụ.

5.3. Quản lý an toàn dữ liệu

5.3.a. Chính sách, quy trình dự phòng và khôi phục dữ liệu

Yêu cầu

Có chính sách, quy trình dự phòng và khôi phục dữ liệu

Hiện trạng

Đáp ứng, tham chiếu điều 10 Quy chế bảo đảm an toàn, an ninh mạng.

Phương án

Sao lưu dự phòng và khôi phục dữ liệu (tần suất sao lưu dự phòng, phương tiện lưu trữ, thời gian lưu trữ; nơi lưu trữ, phương thức lưu trữ và phương thức lấy dữ liệu ra khỏi phương tiện lưu trữ):

a) Lập danh sách các dữ liệu, phần mềm cần được sao lưu, có phân loại theo thời gian lưu trữ, thời gian sao lưu, phương pháp sao lưu và thời gian kiểm tra phục hồi hệ thống từ dữ liệu sao lưu.

b) Xây dựng tài liệu, quy trình hướng dẫn sao lưu/phục hồi dữ liệu của hệ thống: Đơn vị quản trị hệ thống thực hiện xây dựng Tài liệu hướng dẫn sao lưu cụ thể đối với từng hệ thống cung cấp dịch vụ, hệ thống điều hành mà đơn vị quản lý.

5.3.b. Định kỳ hoặc khi có thay đổi cấu hình trên hệ thống thực hiện quy trình sao lưu dự phòng: tập tin cấu hình hệ thống, bản dự phòng hệ điều hành máy chủ, cơ sở dữ liệu; dữ liệu, thông tin nghiệp vụ.

Yêu cầu

Định kỳ hoặc khi có thay đổi cấu hình trên hệ thống thực hiện quy trình sao lưu dự phòng: tập tin cấu hình hệ thống, bản dự phòng hệ điều hành máy chủ, cơ sở dữ liệu; dữ liệu, thông tin nghiệp vụ.

Hiện trạng

Đáp ứng, tham chiếu điều 10 Quy chế bảo đảm an toàn, an ninh mạng.

Phương án

Cập nhật đồng bộ thông tin, dữ liệu giữa hệ thống sao lưu dự phòng chính và hệ thống phụ :

a) Định kỳ hoặc khi có thay đổi cấu hình trên hệ thống thực hiện quy trình sao lưu dự phòng: tập tin cấu hình hệ thống, dữ liệu, thông tin nghiệp vụ và các thông tin, dữ liệu quan trọng khác trên hệ thống (nếu có).

b) Thực hiện sao lưu dữ liệu định kỳ: Cán bộ phụ trách sao lưu thực hiện sao lưu định kỳ theo phương án sao lưu đã được phê duyệt.

c) Kiểm tra định kỳ: Dữ liệu sao lưu phải được lưu trữ an toàn và được kiểm tra thường xuyên đảm bảo sẵn sàng cho việc sử dụng khi cần. Kiểm tra, phục hồi hệ thống từ dữ liệu sao lưu.

5.4. Quản lý sự cố an toàn thông tin

5.4.a. Phân nhóm sự cố an toàn thông tin mạng

Yêu cầu	Có quy định về phân nhóm sự cố an toàn thông tin mạng
Hiện trạng	Đáp ứng, tham chiếu điều 15 Quy chế bảo đảm an toàn, an ninh mạng.
Phương án	Phân nhóm sự cố an toàn thông tin mạng theo quy định tại Quyết định số 05/2017/QĐ-TTg của Thủ tướng Chính phủ ngày 16/3/2017 quy định về hệ thống phương án ứng cứu khẩn cấp bảo đảm an toàn thông tin mạng quốc gia; Xây dựng phương án tiếp nhận, phát hiện, phân loại và xử lý ban đầu sự cố an toàn thông tin mạng, ứng phó sự cố an toàn thông tin mạng.

5.8.b. Phương án tiếp nhận, phát hiện, phân loại và xử lý ban đầu sự cố an toàn thông tin mạng

Yêu cầu

Có phương án tiếp nhận, phát hiện, phân loại và xử lý ban đầu sự cố an toàn thông tin mạng

Hiện trạng

Đáp ứng, tham chiếu điều 15 Quy chế bảo đảm an toàn, an ninh mạng.

Phương án

Xây dựng quy trình ứng cứu sự cố an toàn thông tin mạng thông thường và nghiêm trọng theo quy định tại Điều 13,14 Quyết định số 05/2017/QĐ-TTg (có nội dung tiếp nhận, phát hiện, phân loại và xử lý ban đầu sự cố an toàn thông tin mạng).

Xây dựng quy trình ứng cứu sự cố an toàn thông tin mạng thông thường và nghiêm trọng trong vòng 06 tháng kể từ khi HSĐXCĐ được phê duyệt .

5.8.c. Kế hoạch ứng phó sự cố an toàn thông tin mạng

Yêu cầu	Xây dựng kế hoạch ứng phó sự cố an toàn thông tin mạng
Hiện trạng	Đáp ứng, tham chiếu điều 15 Quy chế bảo đảm an toàn, an ninh mạng.
Phương án	Xây dựng và triển khai kế hoạch ứng phó sự cố an toàn thông tin theo quy định tại Điều 16 Quyết định số 05/2017/QĐ-TTg trong vòng 06 tháng kể từ khi HSĐXCĐ được phê duyệt.

5.8.d. Giám sát, phát hiện và cảnh báo sự cố an toàn thông tin

Yêu cầu	Có quy định về quản lý giám sát, phát hiện và cảnh báo sự cố an toàn thông tin
Hiện trạng	Đáp ứng, tham chiếu điều 15 Quy chế bảo đảm an toàn, an ninh mạng.
Phương án	Xây dựng và triển khai phương án giám sát, phát hiện và cảnh báo sự cố an toàn thông tin trong quy trình ứng cứu sự cố an toàn thông tin mạng nhằm khắc phục sự cố về ATTT; Hỗ trợ, phối hợp và hướng dẫn các cơ quan khắc phục sự cố mất ATTT; Yêu cầu ngưng hoạt động một phần hoặc toàn bộ các hệ thống thông tin của các cơ quan nhằm phục vụ công tác khắc phục sự cố về ATTT; Phối hợp với đơn vị chức năng trong điều tra các nguyên nhân gây ra sự cố mất an toàn thông tin theo chỉ đạo của Lãnh đạo.

5.8.đ. Quy trình ứng cứu sự cố an toàn thông tin mạng thông thường

Yêu cầu	Có quy trình ứng cứu sự cố an toàn thông tin mạng thông thường
Hiện trạng	Đáp ứng tại điều 15 Quy chế bảo đảm an toàn, an ninh mạng.
Phương án	Xây dựng quy trình ứng cứu sự cố an toàn thông tin mạng thông thường và nghiêm trọng theo quy định tại Điều 13, 14 Quyết định số 05/2017/QĐ-TTg trong vòng 06 tháng kể từ khi HSĐXCĐ được phê duy ệt.

5.8.e. Quy trình ứng cứu sự cố an toàn thông tin mạng nghiêm trọng

Yêu cầu	Có quy trình ứng cứu sự cố an toàn thông tin mạng nghiêm trọng
Hiện trạng	Đáp ứng tại điều 15 Quy chế bảo đảm an toàn, an ninh mạng.
Phương án	Xây dựng quy trình ứng cứu sự cố an toàn thông tin mạng thông thường và nghiêm trọng theo quy định tại Điều 13, 14 Quyết định số 05/2017/QĐ-TTg trong vòng 06 tháng kể từ khi HSĐXCĐ được phê duy ệt.

5.8.g. Cơ chế phối hợp với cơ quan chức năng, các nhóm chuyên gia, bên cung cấp dịch vụ hỗ trợ trong việc xử lý, khắc phục sự cố an toàn thông tin

Yêu cầu	Có quy định về cơ chế phối hợp với cơ quan chức năng, các nhóm chuyên gia, bên cung cấp dịch vụ hỗ trợ trong việc xử lý, khắc phục sự cố an toàn thông tin
Hiện trạng	Đáp ứng, tham chiếu điều 15 Quy chế bảo đảm an toàn, an ninh mạng.
Phương án	Liên hệ, phối hợp với các cơ quan, tổ chức trong công tác hỗ trợ điều phối xử lý sự cố an toàn thông tin: Tùy theo mức độ sự cố, phối hợp Đội ứng cứu sự cố an toàn thông tin mạng tỉnh và các đơn vị có liên quan hướng dẫn xử lý, ứng cứu các sự cố an toàn thông tin mạng.

5.5. Quản lý an toàn người sử dụng đầu cuối

5.5.a. Quản lý truy cập, sử dụng tài nguyên nội bộ

Yêu cầu

Có quy định về quản lý truy cập, sử dụng tài nguyên nội bộ

Hiện trạng

Đáp ứng, tham chiếu điều 16 Quy chế bảo đảm an toàn, an ninh mạng.

Phương án

Quản lý truy cập, sử dụng tài nguyên nội bộ:

a) Người sử dụng khi truy cập, sử dụng tài nguyên nội bộ, truy cập mạng và tài nguyên trên Internet phải tuân thủ các quy định của pháp luật về bảo đảm an toàn thông tin và các quy định của cơ quan, tổ chức.

b) Khi cài đặt, kết nối máy tính/thiết bị đầu cuối phải thực hiện theo hướng dẫn/quy trình dưới sự giám sát của bộ phận chuyên trách về an toàn thông tin.

c) Máy tính/thiết bị đầu cuối phải được xử lý điểm yếu an toàn thông tin, cấu hình cứng hóa bảo mật trước khi kết nối vào hệ thống.

d) Không sử dụng các máy tính thuộc sở hữu cá nhân (máy xách tay của cá nhân, thiết bị di động thông minh) hoặc những thiết bị lưu trữ di động cá nhân vào mục đích riêng. Hạn chế tối đa việc sử dụng các thiết bị lưu trữ ngoài để sao chép, di chuyển dữ liệu.

e) Việc sử dụng các thiết bị lưu trữ ngoài như ổ cứng di động, các loại thẻ nhớ, thiết bị lưu trữ USB, ... phải thường xuyên quét mã độc trước khi đọc hoặc sao chép dữ liệu.

5.5.b. Quản lý truy cập mạng và tài nguyên trên Internet

Yêu cầu

Có quy định về quản lý truy cập mạng và tài nguyên trên Internet

Hiện trạng

Đáp ứng, tham chiếu điều 16 Quy chế bảo đảm an toàn, an ninh mạng.

Phương án

Quản lý truy cập mạng và tài nguyên trên Internet:

a) Nghiêm túc chấp hành các quy chế, quy trình nội bộ và các quy định khác của pháp luật về an toàn thông tin mạng. Chịu trách nhiệm bảo đảm an toàn thông tin mạng trong phạm vi trách nhiệm và quyền hạn được giao.

b) Có trách nhiệm tự quản lý, bảo quản thiết bị, tài khoản, ứng dụng mà mình được giao sử dụng.

c) Khi phát hiện nguy cơ hoặc sự cố mất an toàn thông tin mạng phải báo cáo ngay với cấp trên và bộ phận phụ trách công nghệ thông tin của cơ quan, đơn vị để kịp thời ngăn chặn và xử lý.

d) Tham gia các chương trình đào tạo, hội nghị về an toàn thông tin mạng được tỉnh hoặc đơn vị chuyên môn tổ chức.

‎

PHỤ LỤC II. THUYẾT MINH PHƯƠNG ÁN KỸ THUẬT ĐỐI VỚI HỆ THỐNG THÀNH PHẦN CẤP ĐỘ 2

Hệ thống thông tin UBND xã Quảng Yên có nhiều hệ thống thành phần khác nhau, trong đó hệ thống thành phần là mạng nội bộ cấp độ 2 (cấp độ cao nhất), được thuyết minh phương án đáp ứng yêu cầu cấp độ 2 như sau:

1. Bảo đảm an toàn mạng

1.1. Thiết kế hệ thống

a) Thiết kế các vùng mạng trong hệ thống:

STT	Yêu cầu	P/A	Ghi chú/Mô tả
1	Vùng mạng nội bộ	Có	Cung cấp kết nối mạng cho các máy trạm và các thiết bị đầu cuối, các thiết bị khác của người sử dụng vào hệ thống
2	Vùng mạng biên	Có	Kết nối hệ thống với mạng Internet và mạng diện rộng (TSLCD)
3	Vùng DMZ	Không	Đơn vị không có máy chủ nên không triển khai vùng DMZ
4	Vùng máy chủ nội bộ	Không	Đơn vị không có máy chủ
5	Vùng mạng không dây	Có	Là vùng truy cập vào mạng không dây
6	Vùng mạng số liệu chuyên dụng	Có	Phục vụ họp trực tuyến
7	Vùng mạng camera	Có	Phục vụ camera giám sát

b) Phương án thiết kế bảo đảm an toàn thông tin

STT	Yêu cầu	P/A	Ghi chú/Mô tả
1	Có phương án quản lý truy cập, quản trị hệ thống từ xa an toàn sử dụng mạng riêng ảo hoặc phương án tương đương.	Đáp ứng	Sử dụng Tường lửa Fortinet FG-100F có tích hợp chức năng VPN để quản lý truy cập, quản trị hệ thống từ xa an toàn. Tính năng VPN này được cấu hình trực tiếp trên thiết bị Firewall, quản lý truy cập từ bên ngoài vào vùng mạng nội bộ, vùng mạng hội nghị truyền hình , từ vùng mạng nội bộ vào vùng mạng hội nghị truyền hình.
2	Có phương án quản lý truy cập giữa các vùng mạng và phòng chống xâm nhập, sử dụng sản phẩm Tường lửa có tích hợp chức năng phòng, chống xâm nhập hoặc phương án tương đương.	Đáp ứng	Sử dụng Tường lửa Fortinet FG-100F có tích hợp chức năng IPS để quản lý truy cập giữa các vùng mạng và phòng chống xâm nhập. Tính năng IPS được cấu hình trên Tường lửa Fortinet FG-100F kiểm soát truy cập và phòng chống xâm nhập giữa các phân vùng mạng nội bộ, vùng mạng hội nghị truyền hình và phân vùng mạng không dây .
3	Có phương án phòng chống mã độc cho máy chủ và máy trạm sử dụng sản phẩm Phòng chống mã độc hoặc phương án tương đương.	Đáp ứng	Sử dụng sản phẩm Phòng chống mã độc tập trung của tỉnh triển khai trên các máy trạm phần mềm là: Bkav endpoind và Bkav Pro, Kaspersky.
4	Có phương án phòng chống tấn công mạng cho ứng dụng web; sử dụng sản phẩm Tường lửa ứng dụng web đối với hệ thống thông tin theo quy định tại khoản 2 Điều 8 Nghị định 85/2016/NĐ-CP.	Không	HTTT của đơn vị không có máy chủ web
5	Có phương án bảo đảm an toàn thông tin cho hệ thống thư điện tử đối với hệ thống thư điện tử	Không	HTTT của đơn vị không có hệ thống thư điện tử.
6	Phương án dự phòng cho các thiết bị mạng chính	Đáp ứng	Sơ đồ thiết kế vật lý, Logic để minh chứng các thiết bị có thiết bị dự phòng. Đơn vị sẽ đầu tư các thiết bị dự phòng như Firewall, Switch trong vòng 18 tháng kể từ ngày HSĐXCĐ được phê duyệt.

1.2. Kiểm soát truy cập từ bên ngoài mạng

STT	Yêu cầu	P/A	Ghi chú/Mô tả
1	Thiết lập hệ thống chỉ cho phép sử dụng các kết nối mạng an toàn khi truy cập thông tin nội bộ hoặc quản trị hệ thống từ các mạng bên ngoài và mạng Internet	Đáp ứng	Hệ thống sử dụng Tường lửa Fortinet FG-100F có tích hợp chức năng VPN được thiết lập chỉ cho phép kết nối mạng có hỗ trợ mã hóa, xác thực khi truy cập thông tin nội bộ hoặc quản trị hệ thống từ các mạng bên ngoài và mạng Internet.
2	Kiểm soát truy cập từ bên ngoài vào hệ thống theo từng dịch vụ, ứng dụng cụ thể; chặn tất cả truy cập tới các dịch vụ, ứng dụng mà hệ thống không cung cấp hoặc không cho phép truy cập từ bên ngoài	Không	HTTT của đơn vị không có dịch vụ, ứng dụng.
3	Thiết lập giới hạn thời gian chờ (timeout) để đóng phiên kết nối khi hệ thống không nhận được yêu cầu từ người dùng.	Đáp ứng	Thiết lập giới hạn thời gian chờ (timeout) để đóng phiên kết nối khi hệ thống không nhận được yêu cầu từ người dùng trên Tường lửa Fortinet FG-100F và ngắt phiên kết nối VPN khi người dùng không thao tác sử dụng trong 1 khoảng thời gian.

1.3 Kiểm soát truy cập từ bên trong mạng

STT	Yêu cầu	P/A	Ghi chú/Mô tả
1	Chỉ cho phép truy cập các ứng dụng, dịch vụ bên ngoài theo yêu cầu nghiệp vụ, chặn các dịch vụ khác không phục vụ hoạt động nghiệp vụ theo chính sách của tổ chức	Đáp ứng	Chính sách kiểm soát truy cập từ các vùng mạng trong hệ thống đi ra các mạng bên ngoài và mạng Internet được thiết lập trên Tường lửa Fortinet FG-100F.

1.4. Nhật ký hệ thống

Yêu cầu	Thiết lập chức năng ghi, lưu trữ nhật ký hệ thống trên các thiết bị hệ thống (nếu có)	Sử dụng máy chủ thời gian trong hệ thống để đồng bộ thời gian
Thiết bị
Router Mikrotik RB4011iGS	+	+
FW01/ FG-100F	+	+
FW02/ FG-100F (Dự phòng cho FW01)	+	+
SW01 L2 T1/ TP-Link TL-SG2218	+	+
SW02 L2 T2/ TP-Link TL-SG2218 (Dự phòng cho SW01)	+	+
iGate AC1200WG	+	+

1.5. Phòng chống xâm nhập

STT	Yêu cầu	P/A	Ghi chú/Mô tả
1	Có phương án phòng chống xâm nhập để bảo vệ các vùng mạng trong hệ thống	Đáp ứng	Các vùng mạng được phân tách, triển khai hệ thống IDS/IPS tích hợp trong Tường lửa Fortinet FG-100F cho phép phát hiện và phòng chống xâm nhập.
2	Định kỳ cập nhật cơ sở dữ liệu dấu hiệu phát hiện tấn công mạng	Đáp ứng	Đã thiết lập chức năng tự động cập nhật cơ sở dữ liệu dấu hiệu phát hiện tấn công mạng trên hệ thống IDS/IPS tích hợp trong Tường lửa Fortinet FG-100F.

1.6. Bảo vệ thiết bị hệ thống

Yêu cầu	Cấu hình chức năng xác thực trên các thiết bị	Chỉ cho phép sử dụng các kết nối mạng an toàn khi truy cập, quản trị thiết bị từ xa	Hạn chế các địa chỉ mạng có thể kết nối, quản trị thiết bị từ xa
Thiết bị	Cấu hình chức năng xác thực trên các thiết bị
Router Mikrotik RB4011iGS	+	+	+
FW01/ FG-100F	+	+	+
FW02/ FG-100F (Dự phòng cho FW01)	+	+	+
SW01 L2 T1/ TP-Link TL-SG2218	+	+	+
SW02 L2 T2/ TP-Link TL-SG2218 (Dự phòng cho SW01)	+	+	+
iGate AC1200WG	+	+	+

2. Bảo đảm an toàn máy ch ủ

Hệ thống thông tin của đơn vị không có máy chủ.

3. Bảo đảm an toàn ứng dụn g

Hệ thống thông tin của đơn vị không có ứng dụng.

4. Bảo đảm an toàn dữ liệu

4.1. Bảo mật dữ liệu

STT

Yêu cầu

Hiện trạng

Mô tả phương án triển khai/Lý do không triển khai

Lưu trữ có mã hóa các thông tin, dữ liệu (không phải là thông tin, dữ liệu công khai) trên hệ thống lưu trữ/phương tiện lưu trữ

Đáp ứng

Dữ liệu quan trọng trên hệ thống bao gồm dữ liệu: dữ liệu nghiệp vụ, văn bản điện tử quan trọng và dữ liệu cấu hình hệ thống.

Dữ liệu được nén và thiết lập mật khẩu để bảo vệ. Tệp tin lưu trữ phải có mã kiểm tra tính toàn vẹn kèm theo.

4.2. Sao lưu dự phòng

STT	Yêu cầu	Hiện trạng	Mô tả phương án triển khai/Lý do không triển khai
1	Thực hiện sao lưu dự phòng các thông tin, dữ liệu cơ bản sau: tập tin cấu hình hệ thống, bản dự phòng hệ điều hành máy chủ, cơ sở dữ liệu; dữ liệu, thông tin nghiệp vụ	Đáp ứng	Định kỳ hàng tháng sao lưu dự phòng các thông tin, dữ liệu cơ bản sau: tập tin cấu hình hệ thống, dữ liệu, thông tin nghiệp vụ trên thiết bị hoặc hệ thống lưu trữ độc lập.