Nhằm đảm bảo an toàn thông tin mạng, an ninh mạng trong các hoạt động của Cục và thực hiện Quyết định số 1921/QĐ-BNNMT ngày 5/6/2025 của Bộ trưởng Bộ Nông nghiệp và Môi trường về việc ban hành Quy chế bảo đảm an toàn thông tin mạng, an ninh mạng Bộ Nông nghiệp và Môi trường, mới đây, Cục trưởng Cục Quản lý tài nguyên nước Châu Trần Vĩnh đã ký Quyết định số 417/QĐ-TNN Ban hành Quy chế bảo đảm an toàn thông tin mạng, an ninh mạng áp dụng trong các hoạt động của Cục Quản lý tài nguyên nước và các đơn vị trực thuộc Cục.
Quy chế áp dụng đối với các đơn vị trực thuộc Cục Quản lý tài nguyên nước và cán bộ, công chức, viên chức, người lao động thuộc các đơn vị trực thuộc Cục; Cơ quan, tổ chức, cá nhân có sử dụng hoặc kết nối truy cập vào hệ thống mạng của của Cục Quản lý tài nguyên nước; Cơ quan, tổ chức, cá nhân cung cấp dịch vụ công nghệ thông tin và an toàn thông tin mạng, an ninh mạng cho các đơn vị trực thuộc Cục Quản lý tài nguyên nước.
Nguyên tắc bảo đảm an toàn, an ninh thông tin mạng
Theo Quy chế, bảo đảm an toàn, an ninh thông tin là yêu cầu bắt buộc, thường xuyên, liên tục, có tính xuyên suốt quá trình liên quan đến thông tin và thiết kế, xây dựng, vận hành, nâng cấp, hủy bỏ hệ thống thông tin. Bảo đảm an toàn, an ninh thông tin tuân thủ các nguyên tắc chung quy định tại Điều 4 Luật An toàn thông tin mạng và Điều 4 Nghị định số 85/2016/NĐ-CP và các quy định pháp luật khác có liên quan.
Trách nhiệm bảo đảm an toàn thông tin mạng và an ninh mạng gắn với trách nhiệm của người đứng đầu cơ quan, đơn vị và cá nhân trực tiếp liên quan.
Quản lý, sử dụng và bảo đảm an ninh mạng, mạng máy tính nội bộ có lưu trữ, truyền đưa bí mật nhà nước phải được tách biệt vật lý hoàn toàn với mạng máy tính, các thiết bị, phương tiện điện tử có kết nối mạng internet, trường hợp khác phải bảo đảm quy định của pháp luật về bảo vệ bí mật nhà nước.
Xử lý sự cố an toàn thông tin phải phù hợp với trách nhiệm, quyền hạn và bảo đảm lợi ích hợp pháp của cơ quan, đơn vị, cá nhân liên quan và theo quy định của pháp luật.
Mỗi công chức, viên chức, người lao động tại các đơn vị thuộc Cục phải nêu cao tinh thần chủ động, tự giác trong việc áp dụng các biện pháp bảo đảm an toàn, an ninh mạng; bảo đảm tính toàn vẹn và nhất quán của dữ liệu tài nguyên nước trong phạm vi quản lý của Cục và các đơn vị trực thuộc.
Các hành vi bị nghiêm cấm
Quy chế dẫn chiếu đầy đủ các hành vi bị cấm theo Luật An toàn thông tin mạng 2015, Luật An ninh mạng 2018 và Luật Bảo vệ bí mật nhà nước 2020. Đồng thời, Cục cũng cụ thể hóa một số hành vi vi phạm thường gặp trong môi trường công tác tại cơ quan đơn vị, bao gồm:
Tự ý đấu nối thiết bị mạng, thiết bị cấp phát địa chỉ mạng, thiết bị phát sóng như điểm truy cập mạng không dây của cá nhân vào mạng nội bộ; tự ý thay đổi, gỡ bỏ biện pháp an toàn thông tin cài đặt trên thiết bị công nghệ thông tin phục vụ công việc; tự ý thay thế, lắp mới, tráo đổi thành phần của máy tính phục vụ công việc.
Tiết lộ thiết kế, thông số cấu hình hệ thống cho tổ chức, cá nhân khác khi không được phép; tìm cách truy cập dưới bất cứ hình thức nào vào các khu vực không được phép truy cập.
Sử dụng hạ tầng, trang thiết bị công nghệ thông tin của cơ quan, đơn vị để đào tiền ảo, đánh bạc, cá độ.
Phát tán thư rác, phần mềm độc hại, thiết lập hệ thống thông tin giả mạo, lừa đảo.
Thu thập, sử dụng, phát tán, kinh doanh trái pháp luật thông tin cá nhân của người khác; lợi dụng sơ hở, điểm yếu của hệ thống thông tin để thu thập, khai thác thông tin cá nhân.
Bẻ khóa, trộm cắp, sử dụng mật khẩu, khóa mật mã và thông tin của cơ quan, cá nhân khác trên môi trường mạng.
Gây ảnh hưởng, cản trở trái pháp luật tới hoạt động bình thường của hệ thống thông tin hoặc tới khả năng truy cập hệ thống thông tin của người sử dụng.
Các hành vi khác làm mất an toàn, bí mật thông tin của cơ quan, cá nhân khác được trao đổi, truyền đưa, lưu trữ trên môi trường mạng.
Phân công trách nhiệm trong quản lý hệ thống thông tin
Quy chế phân định rõ trách nhiệm của từng đơn vị trong quản lý, vận hành hệ thống thông tin theo đúng quy định pháp luật. Theo đó, Cục Quản lý tài nguyên nước là chủ quản hệ thống thông tin đối với các hệ thống do Cục quyết định đầu tư hoặc Cục được giao làm chủ đầu tư nhiệm vụ, dự án xây dựng, thiết lập, nâng cấp, mở rộng hệ thống thông tin.
Cục có thể ủy quyền cho các đơn vị trực thuộc quản lý trực tiếp thông qua các văn bản như quyết định giao nhiệm vụ, quyết định phê duyệt dự án hoặc văn bản ủy quyền theo Thông tư 12/2022/TT-BTTTT.
Các đơn vị trực thuộc Cục là chủ quản hệ thống thông tin do đơn vị quyết định đầu tư dự án xây dựng, thiết lập, nâng cấp, mở rộng hệ thống thông tin hoặc được Cục ủy quyền theo quy định tại Thông tư số 12/2022/TT BTTTT.
Đặc biệt, Quy chế giao Trung tâm Thông tin, Kinh tế và Giám sát tài nguyên nước là đơn vị chuyên trách về an toàn thông tin, chịu trách nhiệm vận hành các hệ thống thông tin và cơ sở dữ liệu dùng chung của Cục. Các đơn vị khác có bộ phận công nghệ thông tin sẽ chịu trách nhiệm quản lý an toàn thông tin trong phạm vi đơn vị mình.
Bảo đảm an toàn trong tiếp nhận, vận hành và nâng cấp hệ thống thông tin
Quy chế nhấn mạnh yêu cầu đánh giá rủi ro trước khi triển khai bất kỳ hoạt động nâng cấp, mở rộng hoặc thay thế hệ thống thông tin. Các đơn vị phải: Rà soát lại cấp độ an toàn hệ thống thông tin, điều chỉnh hồ sơ cấp độ khi cần thiết; Đánh giá đầy đủ rủi ro có thể xảy ra trong quá trình phát triển, nâng cấp, bảo trì; Chuẩn bị biện pháp phòng ngừa và yêu cầu nhà cung cấp thực hiện đúng quy định bảo mật.
Các hệ thống thông tin được cài đặt tại cơ sở dữ liệu tập trung của Cục Quản lý tài nguyên nước cần đáp ứng các yêu cầu: Tách biệt với các môi trường phát triển, kiểm tra và thử nghiệm; áp dụng các giải pháp bảo đảm an toàn, an ninh thông tin; không cài đặt các công cụ, phương tiện phát triển ứng dụng; loại bỏ hoặc tắt các tính năng, phần mềm tiện ích không sử dụng trên hệ thống thông tin; áp dụng các biện pháp bảo đảm tính toàn vẹn dữ liệu; mọi thao tác trên hệ thống phải được lưu vết, sẵn sàng cho kiểm tra, kiểm soát khi cần thiết.
Trong quá trình vận hành hệ thống thông tin, đơn vị chủ quản hệ thống thông tin cần thực hiện đánh giá, phân loại hệ thống thông tin theo cấp độ; triển khai phương án bảo đảm an toàn hệ thống thông tin đáp ứng yêu cầu cơ bản trong tiêu chuẩn, quy chuẩn kỹ thuật về bảo đảm an toàn hệ thống thông tin theo cấp độ; thường xuyên kiểm tra, giám sát an toàn hệ thống thông tin; tuân thủ quy trình vận hành, quy trình xử lý sự cố đã xây dựng; ghi lại và lưu trữ đầy đủ thông tin nhật ký hệ thống để phục vụ quản lý, kiểm soát thông tin.
Đối với các phần mềm ứng dụng được phát triển bởi đối tác bên ngoài, các đơn vị phải yêu cầu nhà thầu tuân thủ quy định bảo mật, tránh để lộ mã nguồn, tài liệu thiết kế hoặc thông tin quản trị hệ thống.
Quy định chi tiết về quản lý an ninh mạng
Quy chế cũng đề cập toàn diện các nội dung quản lý khác, bao gồm: Quản lý an toàn, an ninh thông tin về vật lý đối với trung tâm dữ liệu, phòng máy chủ; Quản lý an toàn, an ninh thông tin đối với hạ tầng mạng, hệ thống máy chủ và thiết bị đầu cuối, thiết bị số; Quản lý an toàn, an ninh thông tin đối với tài khoản truy cập; Quản lý an toàn, an ninh thông tin đối với ứng dụng, phần mềm, dịch vụ cài đặt trên máy chủ; Quản lý an toàn, an ninh thông tin đối với dữ liệu; Quản lý an toàn, an ninh thông tin đối với công chức, viên chức và người lao động; Giám sát an toàn, an ninh thông tin mạng; Kiểm tra, đánh giá an toàn, an ninh thông tin mạng; Ứng cứu sự cố an toàn thông tin mạng; Phổ biến, tuyên truyền, đào tạo, bồi dưỡng về an toàn thông tin mạng; ….
Quyết định này có hiệu lực từ ngày 24/11/2025 và thay thế Quyết định số 393/QĐ-TNN ngày 12 tháng 12 năm 2024 của Cục trưởng Cục Quản lý tài nguyên nước Ban hành Quy chế bảo đảm an toàn thông tin mạng Cục Quản lý tài nguyên nước.