I. Ứng cứu sự cố an toàn thông tin mạng

1. Phân loại mức độ sự cố an toàn thông tin mạng:

a) Sự cố mức độ thấp (thông thường): sự cố gây ảnh hưởng đến 01 (một) hoặc một vài cá nhân đơn lẻ và không làm gián đoạn hay đình trệ hoạt động chính của cơ quan, tổ chức như: máy tính cá nhân bị nhiễm phần mềm độc hại hoặc hư hỏng phần cứng; phần mềm hệ điều hành, các phần mềm ứng dụng, tiện ích cài đặt trên máy tính cá nhân phát sinh lỗi;

b) Sự cố mức độ trung bình: sự cố ảnh hưởng đến một nhóm lớn người khai thác, sử dụng nhưng vẫn chưa gây gián đoạn hay đình trệ hoạt động chính của cơ quan, tổ chức như: hệ thống mạng của 01 (một) phòng, ban, đơn vị thuộc cơ quan, tổ chức bị ngưng hoạt động; phần mềm độc hại lây nhiễm tất cả các máy tính trạm trong 01 (một) phòng, ban đơn vị thuộc cơ quan, tổ chức;

c) Sự cố mức độ cao: sự cố làm cho thiết bị, phần mềm hay hệ thống không thể sử dụng được và gây ảnh hưởng đến một trong các hoạt động chính của cơ quan, tổ chức như: ứng dụng quản lý văn bản và điều hành, một cửa điện tử, thông tin báo cáo của toàn cơ quan, tổ chức bị ngưng hoạt động; một số thiết bị công nghệ thông tin quan trọng (bộ chuyển mạch trung tâm, thiết bị định tuyến, thiết bị tường lửa, máy chủ quản lý tệp tin chung) bị hư hỏng;

d) Sự cố có tính chất nghiêm trọng: sự cố ảnh hưởng đến sự liên tục của nhiều hoạt động chính của cơ quan, tổ chức như toàn bộ hệ thống thiết bị công nghệ thông tin ngừng hoạt động; hệ thống trang thông tin điện tử bị tin tặc (hacker) tấn công, xâm nhập, thay đổi nội dung; hoặc sự cố có một hoặc nhiều tính chất sau: có khả năng xảy ra trên diện rộng, lan nhanh; có khả năng phá hoại hệ thống mạng máy tính, lấy cắp dữ liệu; có thể gây thiệt hại lớn cho các hệ thống thông tin quan trọng của tỉnh như: Trung tâm dữ liệu điện tử, Cổng thông tin điện tử, Cổng dịch vụ công và hệ thống thông tin một cửa điện tử, hệ thống quản lý văn bản và điều hành, hệ thống thông tin báo cáo, hệ thống thư điện tử công vụ và các hệ thống thông tin, cơ sở dữ liệu chuyên ngành của sở, ban, ngành, địa phương, đòi hỏi sự tham gia phối hợp của nhiều cơ quan, tổ chức trong tỉnh và cần có sự hỗ trợ của các cơ quan, đơn vị chuyên trách quốc gia để giải quyết.

2. Khi có nguy cơ mất an toàn thông tin mạng hoặc sự cố an toàn thông tin mạng xảy ra ở mức độ thấp thì cơ quan, tổ chức chỉ đạo bộ phận, cán bộ chuyên trách công nghệ thông tin, an toàn thông tin mạng phối hợp với cá nhân bị ảnh hưởng thực hiện tự ngăn chặn, xử lý, khắc phục hoặc liên hệ với đơn vị cung cấp sản phẩm, dịch vụ viễn thông, Internet, công nghệ thông tin, đơn vị triển khai ứng dụng phần mềm để được tư vấn, hỗ trợ ngăn chặn, xử lý, khắc phục.

3. Khi có nguy cơ mất an toàn thông tin mạng hoặc sự cố an toàn thông tin mạng xảy ra ở mức độ trung bình trở lên, hoặc gặp nguy cơ, sự cố thông thường mà cơ quan, tổ chức xét thấy không có khả năng tự ngăn chặn, xử lý được thì thực hiện thông báo hoặc báo cáo cho Đội ứng cứu sự cố an toàn thông tin mạng của tỉnh để tổ chức điều phối, hỗ trợ ứng cứu.

4. Đội ứng cứu sự cố an toàn thông tin mạng (Đội ứng cứu sự cố) của tỉnh thực hiện nhiệm vụ  theo quy chế hoạt động do UBND tỉnh ban hành và theo hướng dẫn tại Thông tư số 20/2017/TT-BTTTT ngày 12/9/2017 của Bộ trưởng Bộ Thông tin và Truyền thông quy định về điều phối, ứng cứu sự cố an toàn thông tin mạng trên toàn quốc.

II. Thông báo, tiếp nhận và xử lý thông báo sự cố

1. Cơ quan, đơn vị, địa phương vận hành hệ thống thông tin khi gặp sự cố nếu thấy không có khả năng tự xử lý, khắc phục được phải thực hiện thông báo sự cố hoặc báo cáo ban đầu sự cố mạng cho Thường trực Đội ứng cứu sự cố. Trường hợp nhận thấy sự cố nghiêm trọng, phải thông báo, báo cáo kịp thời, trực tiếp cho Đội trưởng Đội ứng cứu sự cố.

a) Thông báo sự cố có thể thực hiện qua điện thoại, thư điện tử, nhắn tin đa phương tiện hoặc thông qua hệ thống thông tin khác theo hướng dẫn của Đội ứng cứu sự cố, với các nội dung cơ bản: thông tin mô tả sự cố; các biện pháp đã, đang triển khai xử lý, khắc phục; kiến nghị và đề xuất.

b) Báo cáo ban đầu sự cố mạng có thể thực hiện bằng văn bản giấy hoặc văn bản điện tử (có ký tên và đóng dấu hoặc chữ ký số của người có thẩm quyền) theo Mẫu số 03 Phụ lục I ban hành kèm theo Thông tư số 20/2017/TT-BTTTT.

2. Thường trực Đội ứng cứu sự cố và các cá nhân khi tiếp nhận được thông báo sự cố hoặc báo cáo ban đầu sự cố mạng phải báo cáo kịp thời cho Đội trưởng, các Đội phó.

3. Đội trưởng Đội ứng cứu sự cố quyết định điều phối các thành viên; triệu tập cuộc họp; huy động các nguồn lực để xử lý, khắc phục sự cố khi cần thiết. Trường hợp sự cố nghiêm trọng, Đội trưởng báo cáo, xin ý kiến cấp có thẩm quyền trước khi quyết định tổ chức, điều phối, hỗ trợ ứng cứu sự cố.

III. Điều phối ứng cứu sự cố

1. Thường trực Đội ứng cứu sự cố thực hiện thông báo triệu tập, điều phối của Đội trưởng bằng văn bản đến với các thành viên trong Đội ứng cứu sự cố. Trường hợp khẩn cấp có thể thông báo nhanh bằng điện thoại, email công vụ để điều phối và thông báo chính thức bằng văn bản sau.

Thường trực Đội ứng cứu sự cố thông báo cho các tổ chức, cá nhân gặp sự cố về yêu cầu phối hợp trong quá trình thực hiện điều phối và ứng cứu sự cố.

2. Thành viên Đội ứng cứu sự cố tiếp nhận thông báo điều phối; phối hợp chặt chẽ với cơ quan, đơn vị nơi xảy ra sự cố và các thành viên cùng tham gia ứng cứu tổ chức thực hiện xử lý, khắc phục sự cố đúng yêu cầu điều phối và theo quy trình được hướng dẫn tại Khoản 2, Khoản 3 Điều 11 và Phụ lục II ban hành kèm theo Thông tư số 20/2017/TT-BTTTT; báo cáo kết quả thực hiện cho Đội trưởng (qua Thường trực Đội ứng cứu sự cố).

3. Công tác ứng cứu kết thúc khi đã khắc phục được sự cố và hệ thống hoạt động trở lại bình thường.

4. Sau khi khắc phục sự cố, thành viên tham gia ứng cứu có trách nhiệm:

a) Rà soát, xác định nguyên nhân gây ra sự cố;

b) Tổ chức kiểm tra lại và khắc phục triệt để sự cố;

c) Bảo đảm hệ thống hoạt động bình thường trước khi bàn giao toàn bộ hệ thống cho cơ quan, đơn vị chủ quản;

d) Hướng dẫn đơn vị, cá nhân vận hành hệ thống thông tin chậm nhất trong vòng 05 ngày phải hoàn thiện Báo cáo kết thúc ứng phó sự cố theo Mẫu số 04 Phụ lục I ban hành kèm theo Thông tư số 20/2017/TT-BTTTT để báo cáo cơ quan chủ quản hệ thống thông tin và Đội ứng cứu sự cố.

5. Thường trực Đội ứng cứu sự cố phải lưu trữ thông báo sự cố và biên bản xử lý, khắc phục sự cố; lưu trữ thông báo điều phối và báo cáo kết quả thực hiện xử lý, khắc phục sự cố trong thời gian tối thiểu hai (02) năm, bao gồm các thông tin sau:

a) Nội dung thông báo (hoặc báo cáo ban đầu sự cố mạng), thời gian tiếp nhận, thời gian gửi xác nhận thông báo (hoặc báo cáo) sự cố;

b) Nguyên nhân gây ra, thời gian, kết quả và danh sách tổ chức, cá nhân tham gia phối hợp xử lý, khắc phục sự cố;

c) Báo cáo kết thúc ứng phó sự cố của đơn vị, cá nhân vận hành hệ thống thông tin bị sự cố.

(Nguồn: Quyết định số 13/2020/QĐ-UBND ngày 14/7/2020 của UBND tỉnh ban hành Quy chế bảo đảm ATTTM trong hoạt động ứng dụng CNTT của các CQNN tỉnh Quảng Bình; Quyết định số 4742/QĐ-UBND ngày 05/12/2019 của UBND tỉnh ban hành Quy chế hoạt động của Đội ứng cứu sự cố ATTTM trên địa bàn tỉnh Quảng Bình)