Khuôn khổ pháp lý và bối cảnh chiến lược
Quyết định 558 được xây dựng trên nền tảng tuân thủ tuyệt đối các văn bản quy phạm pháp luật cao nhất của Nhà nước về lĩnh vực CNTT và an toàn thông tin mạng, bao gồm Luật An toàn thông tin mạng, Luật An ninh mạng, Luật Công nghệ thông tin, và Luật Bảo vệ bí mật nhà nước. Đặc biệt, Quyết định này bám sát các quy định chi tiết về quản lý, bảo đảm an toàn hệ thống thông tin theo cấp độ, như Nghị định số 85/2016/NĐ-CP và Thông tư số 12/2022/TT-BTTTT về bảo đảm an toàn hệ thống thông tin theo cấp độ, cùng với việc tuân thủ các tiêu chuẩn kỹ thuật quốc gia như Tiêu chuẩn Việt Nam TCVN 11930:2017 về Yêu cầu cơ bản về an toàn hệ thống thông tin theo cấp độ. Việc ban hành Quy chế là sự cụ thể hóa trực tiếp cho nhóm nhiệm vụ “Đảm bảo an toàn thông tin mạng” đã được xác định là điều kiện tiên quyết trong Kế hoạch Chuyển đổi số năm 2025 mà Cục đã xây dựng. Quy chế áp dụng cho mọi đơn vị, cán bộ, công chức, viên chức, người lao động thuộc Cục, cũng như các cơ quan, tổ chức, cá nhân có liên quan đến việc cung cấp dịch vụ, sử dụng hoặc kết nối truy cập vào hệ thống thông tin của Cục và các hệ thống thông tin được Bộ Nông nghiệp và Môi trường giao quản lý, vận hành, khai thác, sử dụng.
Chế độ kiểm soát nghiêm ngặt đối với Trung tâm dữ liệu
Trung tâm dữ liệu (TTDL) được xác định là nơi tập trung các tài nguyên CNTT mật độ cao, đóng vai trò lưu trữ và xử lý toàn bộ dữ liệu hệ thống, yêu cầu khả năng sẵn sàng, ổn định và an toàn an ninh thông tin cao. Quyết định 558 đã thiết lập một cơ chế kiểm soát chặt chẽ đối với TTDL, đảm bảo môi trường vật lý và môi trường mạng luôn được bảo vệ ở mức tối đa. Mọi hoạt động ra vào TTDL phải tuân thủ nghiêm ngặt theo nội quy, được ghi lại chi tiết trong sổ nhật ký (mẫu TTDL_BM_03). Đối với đơn vị quản lý, việc cử cán bộ giám sát các hoạt động làm việc của đơn vị khác là bắt buộc. Các cơ quan, tổ chức bên ngoài phải thực hiện thủ tục đăng ký làm việc (TTDL_BM_01) và đăng ký ra vào (TTDL_BM_02) để đảm bảo không có hoạt động trái phép.
Về quản lý thiết bị, Quyết định 558 yêu cầu mọi thiết bị CNTT đặt tại TTDL phải được đặt tên, dán nhãn và tổng hợp vào hồ sơ quản lý. Quá trình lắp đặt, bảo trì, bảo dưỡng phải được giám sát chặt chẽ về thời gian và không gian để giảm thiểu rủi ro đối với các hệ thống đang hoạt động. Điều này trực tiếp hỗ trợ nhiệm vụ phát triển hạ tầng số trong Kế hoạch CĐS 2025, vốn yêu cầu quản trị, duy trì hệ thống máy chủ, thiết bị lưu trữ, và mạng, đảm bảo tính bảo mật và an toàn thông tin. Đơn vị quản lý, vận hành TTDL có trách nhiệm tổng hợp tình hình sử dụng, đề xuất bảo hành, thay thế thiết bị hư hỏng hàng năm để duy trì hoạt động ổn định 24/24 giờ.
Hạ tầng ảo hóa, công nghệ cung cấp tài nguyên tính toán (máy chủ, lưu trữ, mạng), cũng được quản lý chặt chẽ. Việc cấp phát tài nguyên ảo hóa phải được Lãnh đạo Cục phê duyệt, đảm bảo cấp phát đúng mục đích. Hơn thế nữa, việc sử dụng hạ tầng ảo hóa phải đảm bảo tính hiệu quả và được đánh giá định kỳ hoặc đột xuất. Nếu tài nguyên cấp phát chưa được sử dụng hiệu quả, đơn vị quản lý, vận hành TTDL có quyền thu hồi phần tài nguyên dư thừa.
Đối với kết nối Internet, Quyết định 558 quy định đường truyền cho TTDL phải có tối thiểu 02 nhà cung cấp dịch vụ khác nhau để đảm bảo tính sẵn sàng cao. Hạ tầng kết nối phải được trang bị các giải pháp bảo mật nhằm phòng tránh tấn công mạng, lây lan mã độc. Đơn vị quản lý vận hành TTDL có nhiệm vụ giám sát, kiểm tra nội dung và băng thông truy cập, đồng thời ngăn chặn, đề xuất xử lý các hành vi vi phạm an toàn an ninh thông tin.
Tiêu chuẩn kỹ thuật và quản lý an toàn thông tin mạng
Quy chế nghiêm cấm các hành vi đánh cắp, giả mạo tài khoản hoặc sử dụng công cụ, phần mềm truy cập trái phép làm tổn hại hoạt động TTDL. Thực hiện duy trì cập nhật bản vá lỗi bảo mật thường xuyên cho các hệ thống bảo mật (tường lửa, phòng chống mã độc, ngăn chặn xâm nhập...). Nghiêm cấm sử dụng các phần mềm không rõ nguồn gốc hoặc phần mềm bẻ khóa; chỉ được sử dụng các phần mềm có bản quyền (hệ điều hành, phần mềm nền, phần mềm ứng dụng). Các hệ thống thông tin (HTTT) phải được đánh giá về ATTT trước khi đặt tại TTDL. Việc kiểm tra, đánh giá này phải tuân thủ Quy chế bảo đảm an toàn, an ninh thông tin mạng của Bộ Nông nghiệp và Môi trường và theo quy định tại Điều 10 Thông tư số 31/2017/TT-BTTTT. Nhanh chóng cách ly các HTTT có hiện tượng nhiễm mã độc, tấn công các máy tính trong mạng nội bộ hoặc trên internet.
Quy chế quản lý mật khẩu được tăng cường với yêu cầu độ dài tối thiểu 10 ký tự và phải kết hợp ít nhất 03 trong 04 loại ký tự: chữ cái in thường, chữ cái in hoa, ký tự số, và ký tự đặc biệt. Mật khẩu quản trị cần được thay đổi định kỳ, tối đa 06 tháng 1 lần. Trường hợp có thay đổi về nhân sự hoặc yêu cầu tăng cường bảo mật, lãnh đạo đơn vị quản lý hệ thống TTDL có thể yêu cầu thay đổi mật khẩu của các tài khoản quản trị HTTT. Hệ thống phân quyền được xây dựng theo nguyên tắc “ít quyền nhất” dựa trên chức năng, nhiệm vụ của người dùng. Quy chế phân loại rõ ràng 03 nhóm tài khoản: tài khoản quản trị, tài khoản chuyên môn, và tài khoản người dùng thông thường.
Đáng chú ý, Quy chế đặc biệt nhấn mạnh khâu kiểm soát truy cập bằng cách yêu cầu mọi hoạt động đăng nhập, đăng xuất, truy cập dữ liệu, thay đổi cấu hình phải được ghi log và lưu trữ tối thiểu 90 ngày. Để đảm bảo tính kỷ luật và bảo mật, đơn vị quản lý vận hành HTTT phải thông báo cho đơn vị quản lý vận hành TTDL trong vòng 24 giờ để thu hồi tài khoản khi người dùng nghỉ việc hoặc chuyển đơn vị, và tài khoản không hoạt động trên 30 ngày sẽ bị khóa tạm thời. Các hành vi lợi dụng quyền truy cập trái phép hoặc làm rò rỉ thông tin sẽ bị xử lý kỷ luật công vụ, thậm chí truy cứu trách nhiệm hình sự theo Luật An toàn thông tin mạng.
Đảm bảo tính toàn vẹn và khả năng phục hồi dữ liệu
Trong Chính phủ số, dữ liệu được coi là tài sản quý giá nhất, đặc biệt là các Cơ sở dữ liệu (CSDL) chuyên ngành thủy sản mà Kế hoạch CĐS 2025 yêu cầu phải đảm bảo nguyên tắc “đúng, đủ, sạch, sống, thống nhất, dùng chung”. Quyết định 558 đưa ra Quy trình Sao lưu dự phòng và Phục hồi dữ liệu (TTDL_QT_04) nhằm bảo đảm an toàn và toàn vẹn dữ liệu trong mọi tình huống. Quy chế yêu cầu dữ liệu của HTTT phải được sao lưu định kỳ. Quan trọng hơn, bản sao lưu phải được lưu giữ ở ít nhất 02 vị trí (an toàn trong TTDL và vị trí ngoài site). Bản sao lưu thành công phải được mã hóa (AES 256-bit) và kiểm tra checksum. Việc lưu trữ ngoài site (Off-site) phải được thực hiện định kỳ đến điểm dự phòng an toàn (hoặc cloud được mã hóa), với thời gian giữ tối thiểu 90 ngày. Yêu cầu khắt khe này nhằm giảm thiểu tối đa mất mát dữ liệu và duy trì tính liên tục vận hành cho các dịch vụ nghiệp vụ trọng yếu.
Để ứng phó với rủi ro, khi phát hiện sự cố, đơn vị quản lý vận hành phải thực hiện ngay các biện pháp cô lập và xác định nguyên nhân; thông tin về sự cố và phương án xử lý phải được ghi nhận trong nhật ký. Nếu sự cố nghiêm trọng, vượt khả năng xử lý, cần kích hoạt quy trình ứng cứu cấp Bộ và báo cáo Cục trong 30 phút. Việc này đảm bảo Cục Thủy sản và Kiểm ngư luôn trong tư thế sẵn sàng khôi phục hệ thống sau sự cố mất an toàn thông tin mạng, một nhiệm vụ trọng tâm của CĐS 2025.
Đơn vị quản lý vận hành TTDL thực hiện báo cáo Cục 06 tháng 1 lần về tình hình quản lý, vận hành và sử dụng tài nguyên tính toán: máy chủ, ảo hóa, lưu trữ, mạng.... Đơn vị quản lý vận hành HTTT báo cáo Cục 06 tháng 1 lần về tình hình sử dụng các hệ thống thông tin: tình trạng hoạt động, tình hình sử dụng tài nguyên tính toán, tình hình đảm bảo ANATTT, sao lưu dữ liệu. Thời gian báo cáo trước ngày 20/6 và ngày 15/12 hàng năm.
Trách nhiệm của các đơn vị
Quyết định 558 phân định rõ ràng trách nhiệm của các bên liên quan, đảm bảo tính kỷ luật số được thực thi trên toàn hệ thống. Đối với đơn vị quản lý, vận hành, Trung tâm Thông tin Thủy sản và Kiểm ngư được giao vai trò chủ trì, chịu trách nhiệm quản lý, vận hành, giám sát hoạt động của TTDL, đảm bảo sẵn sàng ở mức độ cao. Trung tâm phải xây dựng các kế hoạch dự phòng, khôi phục hệ thống, quản lý hạ tầng ảo hóa và an toàn an ninh thông tin. Đây cũng là đơn vị chịu trách nhiệm tham mưu Cục về việc nâng cấp và mở rộng TTDL để đảm bảo ứng dụng CNTT phục vụ ngành Thủy sản, đồng thời chịu trách nhiệm xử lý sự cố mạng kịp thời đối với máy tính cá nhân của người lao động.
Bên cạnh đó, Quy chế cũng đặt ra các yêu cầu cao về kỷ luật đối với người dùng (cán bộ, công chức, viên chức, người lao động), coi đây là mắt xích quan trọng nhất trong chuỗi bảo mật. Người dùng phải chịu trách nhiệm bảo mật tài khoản được cấp, không tiết lộ hoặc chia sẻ. Khi nghi ngờ lộ mật khẩu hoặc tài khoản bị xâm nhập, phải thông báo ngay cho đơn vị quản lý vận hành HTTT để phối hợp xử lý. Đặc biệt, Quy chế nghiêm cấm người dùng tự ý cài đặt phần mềm, thiết bị ngoại vi hoặc thay đổi cấu hình hệ thống khi chưa được phép bằng văn bản. Đối với dữ liệu cá nhân, người dùng phải tuân thủ nghiêm ngặt Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân, không thu thập, sao chép, chuyển giao dữ liệu cá nhân của tổ chức hoặc cá nhân khác khi chưa được phép. Mọi đơn vị và cá nhân vi phạm Quy chế này và các quy định khác của pháp luật về sử dụng hạ tầng công nghệ thông tin thì tuỳ theo tính chất, mức độ vi phạm sẽ bị xử lý kỷ luật hoặc các hình thức xử lý khác theo quy định của pháp luật; nếu vi phạm gây thiệt hại đến tài sản, thiết bị, thông tin dữ liệu của Cục phải chịu trách nhiệm bồi thường theo quy định của pháp luật.
Hương Trà