BỘ TÀI CHÍNH ---------- Số: 2728/QĐ-BTC | CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM Độc lập - Tự do - Hạnh phúc --------------- Hà Nội, ngày 22 tháng 12 năm 2015 |
QUYẾT ĐỊNH
BAN HÀNH QUY CHẾ XỬ LÝ SỰ CỐ TRONG CÁC TRƯỜNG HỢP KHẨN CẤP, CHÁY NỔ TẠI TRUNG TÂM DỮ LIỆU, PHÒNG MÁY
---------------
BỘ TRƯỞNG BỘ TÀI CHÍNH
Căn cứ Luật số 27/2001/QH10 ngày 29/6/2001 của Quốc hội về phòng cháy và chữa cháy;
Căn cứ Luật số 40/2013/QH13 ngày 22/11/2013 của Quốc hội về sửa đổi, bổ sung một số điều của Luật phòng cháy và chữa cháy;
Căn cứ Luật số 67/2006/QH11 ngày 29/6/2006 của Quốc hội về Công nghệ thông tin;
Căn cứ Nghị định số 64/2007/NĐ-CP ngày 10/4/2007 của Chính phủ về ứng dụng công nghệ thông tin trong hoạt động của cơ quan Nhà nước;
Căn cứ Nghị định số 102/2009/NĐ-CP ngày 06/11/2009 của Chính phủ về quản lý đầu tư ứng dụng công nghệ thông tin sử dụng nguồn vốn ngân sách nhà nước;
Căn cứ Nghị định số 79/2014/NĐ-CP ngày 31/7/2014 của Chính phủ quy định chi tiết thi hành một số điều của Luật phòng cháy và chữa cháy và Luật sửa đổi và bổ sung một số điều của Luật phòng cháy và chữa cháy;
Căn cứ Nghị định số 215/2013/NĐ-CP ngày 23/12/2013 của Chính phủ quy định chức năng, nhiệm vụ, quyền hạn và cơ cấu tổ chức của Bộ Tài chính;
Căn cứ Thông tư số 02/2011/TT-BTTTT ngày 04/01/2011 của Bộ Thông tin và Truyền thông quy định nội dung giải quyết sự cố trong quá trình thực hiện đầu tư, bảo hành, vận hành các dự án ứng dụng công nghệ thông tin sử dụng nguồn vốn ngân sách nhà nước;
Xét đề nghị của Cục trưởng Cục Tin học và Thống kê tài chính,
QUYẾT ĐỊNH:
Điều 1. Ban hành kèm theo Quyết định này Quy chế xử lý sự cố trong các trường hợp khẩn cấp, cháy nổ tại trung tâm dữ liệu, phòng máy.
Điều 2. Quyết định này có hiệu lực từ ngày ký.
Điều 3. Cục trưởng Cục Tin học và Thống kê tài chính, Thủ trưởng các đơn vị thuộc Bộ, công chức, viên chức Bộ Tài chính, các cơ quan, tổ chức và cá nhân có liên quan chịu trách nhiệm thi hành Quyết định này./.
Nơi nhận: - Lãnh đạo Bộ (để b/c); - Các đơn vị thuộc Bộ Tài chính; - Lưu: VT, THTK. | KT. BỘ TRƯỞNG THỨ TRƯỞNG Trần Xuân Hà |
QUY CHẾ
XỬ LÝ SỰ CỐ TRONG CÁC TRƯỜNG HỢP KHẨN CẤP, CHÁY NỔ TẠI TRUNG TÂM DỮ LIỆU, PHÒNG MÁY
(Ban hành kèm theo Quyết định số 2728/QĐ-BTC ngày 22 tháng 12 năm 2015của Bộ trưởng Bộ Tài chính)
Chương I
QUY ĐỊNH CHUNG
Điều 1. Phạm vi và đối tượng áp dụng
Quy chế này quy định nguyên tắc và trình tự cơ bản trong việc thực hiện xử lý sự cố đối với các trường hợp khẩn cấp, cháy nổ tại trung tâm dữ liệu, phòng máy nhằm hạn chế tối đa thiệt hại do sự cố xảy ra.
2. Đối tượng áp dụng:
a) Các đơn vị thuộc Bộ Tài chính có trung tâm dữ liệu, phòng máy.
b) Cơ quan, tổ chức, cá nhân cung cấp dịch vụ quản trị, vận hành giám sát hệ thống, dịch vụ cho thuê trung tâm dữ liệu, phòng máy cho các đơn vị thuộc Bộ Tài chính.
Điều 2. Giải thích từ ngữ
Trong Quy chế này, các từ ngữ dưới đây được hiểu như sau:
1. Phòng máy là khu vực chứa thiết bị công nghệ thông tin (máy chủ, thiết bị mạng, bảo mật, thiết bị lưu trữ, sao lưu và các thiết bị công nghệ thông tin khác).
2. Ứng dụng, dịch vụ CNTT quan trọng là ứng dụng, dịch vụ công nghệ thông tin có mức ưu tiên cao trong hoạt động nghiệp vụ của đơn vị hoặc ngành Tài chính, được quy định bởi cơ quan chuyên môn hoặc Bộ Tài chính.
3. Hệ thống CNTT là tập hợp của một hoặc nhiều thiết bị (máy chủ, thiết bị mạng, thiết bị bảo mật, thiết bị lưu trữ, sao lưu), phần mềm, các thiết bị công nghệ thông tin khác, có chức năng hỗ trợ cho hoạt động của đơn vị.
4. Hệ thống hạ tầng kỹ thuật bao gồm hệ thống điện, lưu điện UPS; hệ thống điều hòa, hệ thống phát hiện chất lỏng, hệ thống giám sát môi trường; hệ thống phòng cháy, chữa cháy; hệ thống kiểm soát an ninh.
5. Sự cốlà những sai hỏng, trục trặc (phần cứng và/hoặc phần mềm) khiến hệ thống không còn đáng tin cậy, trục trặc trong vận hành, hay hoạt động bất bình thường.
Sự cố trong trường hợp khẩn cấp là các sự việc xảy ra trong hệ thống CNTT hoặc hệ thống hạ tầng kỹ thuật có nguy cơ gây ra tình trạng mất thông tin dữ liệu hoặc tình trạng gián đoạn hoạt động của ứng dụng, dịch vụ CNTT quan trọng.
Sự cố cháy nổ: là các sự việc cháy, nổ xảy ra tại trung tâm dữ liệu, phòng máy hoặc các sự việc cháy, nổ xảy ra tại vị trí khác có nguy cơ làm hư hại hệ thống CNTT trong trung tâm dữ liệu/phòng máy.
6. Bộ phận quản trị hệ thống là bộ phận trực tiếp chịu trách nhiệm về các hoạt động của thiết bị, ứng dụng trong hệ thống CNTT hoặc hệ thống hạ tầng kỹ thuật.
7. Bộ phận giám sát hệ thống là bộ phận trực tiếp theo dõi tình trạng hoạt động của hệ thống CNTT hoặc hệ thống hạ tầng kỹ thuật.
Chương II
YÊU CẦU VÀ NGUYÊN TẮC PHÒNG NGỪA SỰ CỐ
Điều 3. Yêu cầu và nguyên tắc chung
1. Thông tin về các hệ thống thuộc phạm vi áp dụng nêu tại quy chế này cần được tập hợp đầy đủ, cập nhật khi có thay đổi và sẵn sàng sử dụng trong quá trình xử lý sự cố.
2. Định kỳ kiểm tra, bảo dưỡng, sửa chữa hệ thống CNTT, hệ thống hạ tầng kỹ thuật để đảm bảo vận hành, quản trị an toàn và giảm thiểu khả năng xảy ra sự cố.
3. Thực hiện giám sát hệ thống CNTT, hệ thống hạ tầng kỹ thuật để đảm bảo phát hiện các sự cố sớm nhất, từ đó có phương án xử lý nhằm giảm thiểu thiệt hại do sự cố gây ra.
4. Trong các hoạt động triển khai, nâng cấp, bảo hành, bảo trì, bảo dưỡng thiết bị, ứng dụng CNTT thuộc hệ thống CNTT và hệ thống hạ tầng kỹ thuật, nghiêm cấm việc đưa vào hoặc lưu giữ trong trung tâm dữ liệu/phòng máy và khu vực đặt hệ thống hạ tầng kỹ thuật các vật có khả năng gây cháy, chất lỏng hoặc các vật phẩm gây mất vệ sinh, ngoại trừ các trường hợp bắt buộc phải sử dụng trong quá trình thực hiện công việc hoặc sử dụng trong quá trình làm vệ sinh trung tâm dữ liệu/phòng máy, khu vực đặt hệ thống hạ tầng kỹ thuật. Các vật dụng cần thiết cho công việc phải được để gọn gàng trong quá trình sử dụng và mang khỏi trung tâm dữ liệu/phòng máy, khu vực đặt hệ thống hạ tầng kỹ thuật khi kết thúc công việc.
5. Đảm bảo cơ chế hoạt động dự phòng (HA-High Avalibility) đối với hệ thống điện, lưu điện UPS, điều hòa của hệ thống hạ tầng kỹ thuật và các dịch vụ CNTT quan trọng.
6. Đảm bảo việc sao lưu dữ liệu dự phòng đối với các hệ thống CNTT và hạ tầng kỹ thuật (nếu có) để phục vụ việc khôi phục hệ thống nhanh nhất khi cần thiết.
7. Triển khai, vận hành các giải pháp kỹ thuật và các chính sách để ngăn chặn tấn công mức vật lý và mức ứng dụng vào hệ thống CNTT.
8. Hoạt động hỗ trợ, phối hợp xử lý sự cố từ các đơn vị bên ngoài Bộ Tài chính cần được pháp lý hóa thông qua quy chế phối hợp hoặc đưa vào các điều khoản hợp đồng, thỏa thuận hỗ trợ.
Điều 4. Trách nhiệm của đơn vị quản lý CNTT, quản lý hệ thống hạ tầng kỹ thuật đối với việc phòng ngừa sự cố
1. Triển khai các nội dung công việc và các hoạt động để đảm bảo yêu cầu và nguyên tắc phòng ngừa sự cố đối với hệ thống CNTT và hệ thống hạ tầng kỹ thuật nêu tại Điều 3 của Quy chế này.
2. Ban hành các quy trình vận hành và xử lý sự cố thuộc phạm vi quản lý phù hợp với Quy chế này. Trong các quy trình phải gắn trách nhiệm của cá nhân/bộ phận/đơn vị cụ thể đối với việc quản lý/quản trị hệ thống CNTT và hệ thống hạ tầng kỹ thuật. Định kỳ đánh giá, rà soát quy trình và việc thực hiện các quy trình đã được ban hành.
3. Quy định rõ bộ phận chịu trách nhiệm tập hợp, cập nhật thông tin và phương thức cung cấp, sử dụng thông tin về hệ thống CNTT và hệ thống hạ tầng kỹ thuật nêu tại Điều 3 của Quy chế này, đảm bảo đáp ứng yêu cầu của việc xử lý sự cố trong trường hợp khẩn cấp, đồng thời đảm bảo tính bảo mật của các thông tin này theo quy định về bảo vệ bí mật nhà nước của Nhà nước và của Bộ Tài chính. Định kỳ thực hiện kiểm tra, rà soát tính đầy đủ, chính xác của các thông tin tính đến thời điểm kiểm tra.
4. Thiết lập cơ chế tiếp nhận và thông báo thông tin về sự cố để thông tin này đến được người chịu trách nhiệm chính trong việc xử lý sự cố và các bên liên quan sớm nhất.
5. Hàng năm tổ chức đào tạo, kiểm tra diễn tập xử lý sự cố cho bộ phận quản trị hệ thống, bộ phận giám sát hệ thống ít nhất 01 (một) lần, đảm bảo bộ phận quản trị hệ thống, bộ phận giám sát hệ thống nắm được các quy định, quy trình xử lý sự cố cháy nổ và quy định, quy trình xử lý sự cố trong công việc quản trị, giám sát.
Chương III
XỬ LÝ SỰ CỐ TRONG CÁC TRƯỜNG HỢP KHẨN CẤP
Điều 5. Nguyên tắc xử lý sự cố
1. Nguyên tắc chung
a) Áp dụng quy định, quy trình hướng dẫn biện pháp xử lý sự cố đối với trường hợp khẩn cấp để nhanh chóng loại trừ sự cố và ngăn ngừa sự cố lan rộng.
b) Ưu tiên các giải pháp khắc phục sự cố tạm thời để đảm bảo duy trì hoạt động nghiệp vụ của đơn vị, của ngành Tài chính. Trong quá trình áp dụng giải pháp khắc phục tạm thời, cho phép chất lượng dịch vụ CNTT khác với quy định của đơn vị và nhanh chóng khôi phục hệ thống đáp ứng chất lượng dịch vụ CNTT theo quy định.
c) Nắm vững diễn biến sự cố, tình trạng các thành phần của hệ thống khi có sự cố, phân tích các hiện tượng sự cố, dự đoán thời gian khôi phục.
d) Những người không có nhiệm vụ xử lý sự cố không được phép vào khu vực có sự cố và không được tác động trực tiếp hoặc gián tiếp vào hệ thống có sự cố. Những người được giao nhiệm vụ xử lý sự cố phải tuân thủ sự chỉ huy, điều hành, hướng dẫn của người chủ trì xử lý sự cố.
e) Thứ tự ưu tiên về hình thức thông báo sự cố: gọi điện thoại trực tiếp, nhắn tin qua điện thoại, gửi thư điện tử, gửi văn bản.
2. Quy trình khung đối với việc xử lý sự cố
Khi có sự cố xảy ra, thực hiện xử lý theo trình tự sau:
a) Thông báo về tình trạng sự cố cho các cá nhân/ bộ phận/ đơn vị liên quan.
b) Thực hiện các bước xử lý sự cố theo quy trình xử lý sự cố cụ thể của đơnvị.
c) Tiến hành tìm nguyên nhân sự cố và đề ra các biện pháp đề phòng sự cố lặp lại.
Điều 6. Trách nhiệm xử lý sự cố
1. Cá nhân/bộ phận/đơn vị có trách nhiệm chủ trì, tổ chức xử lý sự cố khi sự cố xảy ra trên các hệ thống CNTT theo đúng phạm vi và trách nhiệm quản lý.
2. Cá nhân/bộ phận/đơn vị quản lý các hệ thống liên quan đến sự cố có trách nhiệm phối hợp nhanh chóng, kịp thời với cá nhân/bộ phận/đơn vị chủ trì theo đúng phạm vi và trách nhiệm quản lý.
3. Các đơn vị/bộ phận quản lý hệ thống CNTT, hệ thống hạ tầng kỹ thuật phải quy định rõ trách nhiệm của các cá nhân (người quản lý, người quản trị hệ thống, người giám sát) trong việc xử lý sự cố theo từng hệ thống đặc thù và tình huống đặc thù. Nhân sự tham gia xử lý sự cố phải có thông tin liên lạc đầy đủ: điện thoại di động, thư điện tử, các phương thức liên lạc khác (nếu có).
Chương IV
XỬ LÝ SỰ CỐ TRONG TRƯỜNG HỢP CHÁY NỔ
Điều 7. Nguyên tắc xử lý sự cố
1. Nguyên tắc chung
a) Bình tĩnh áp dụng các biện pháp xử lý sự cố theo quy trình xử lý sự cố đối với trường hợp cháy nổ tại trung tâm dữ liệu, phòng máy.
b) Thứ tự ưu tiên ứng cứu khi xảy ra cháy nổ: người, thiết bị/hệ thống lưu trữ, hệ thống sao lưu, các thiết bị thuộc hệ thống quan trọng, các thiết bị/hệ thống khác.
c) Hạn chế tối đa việc dập lửa bằng nước hoặc dung dịch tại khu vực có thiết bị hệ thống CNTT hoặc hệ thống hạ tầng kỹ thuật.
d) Những người không có nhiệm vụ xử lý sự cố không được phép vào khu vực có sự cố.
2. Quy trình khung đối với việc xử lý sự cố
Khi có sự cố xảy ra, thực hiện xử lý theo trình tự sau:
a) Báo động gấp về sự cố cháy nổ và thông báo về tình trạng sự cố cho các cá nhân/bộ phận/đơn vị liên quan.
b) Ngắt điện cấp cho các thiết bị thuộc khu vực xảy ra cháy nổ
c) Thực hiện các bước xử lý sự cố theo quy trình xử lý sự cố cháy nổ tại trung tâm dữ liệu, phòng máy của đơn vị.
d) Gọi cho lực lượng phòng cháy chữa cháy chuyên nghiệp, số điện thoại 114.
e) Phối hợp với các đơn vị chức năng (đơn vị phòng cháy chữa cháy, đơn vị quản lý toàn nhà và các đơn vị khác liên quan) tìm nguyên nhân sự cố và đề ra các biện pháp đề phòng sự cố lặp lại.
Điều 8. Trách nhiệm xử lý sự cố
1. Người phát hiện ra sự cố cháy nổ thực hiện các nguyên tắc xử lý sự cố nêu tại Điều 7 của Quy chế này.
2. Bộ phận/đơn vị quản lý hệ thống CNTT, bộ phận/đơn vị quản lý hệ thống hạ tầng kỹ thuật trung tâm dữ liệu, phòng máy khi nhận được thông báo về sự cố cháy nổ phải thực hiện ngay các quy trình xử lý sự cố trong trường hợp khẩn cấp để đảm bảo giảm thiểu thiệt hại của hệ thống CNTT.
3. Lãnh đạo của đơn vị quản lý hệ thống CNTT, đơn vị quản lý hệ thống hạ tầng kỹ thuật trung tâm dữ liệu, phòng máy phải có mặt kịp thời tại hiện trường xảy ra sự cố để chỉ huy, điều hành việc xử lý sự cố.
Chương V
TỔ CHỨC THỰC HIỆN
Điều 9. Trách nhiệm của các đơn vị thuộc Bộ và các cơ quan, tổ chức có liên quan
1. Cục Tin học và Thống kê tài chính:
a) Tổ chức phổ biến và triển khai thực hiện Quy chế này tại cơ quan Bộ Tài chính. Trên cơ sở các quy định tại quy chế này xây dựng, ban hành quy định cụ thể về quy trình xử lý sự cố trong trường hợp khẩn cấp, cháy nổ cho trung tâm dữ liệu, phòng máy của cơ quan Bộ Tài chính do đơn vị quản lý.
b) Hướng dẫn, kiểm tra việc thực hiện Quy chế này của các đơn vị thuộc Bộ và các cơ quan, tổ chức, cá nhân cung cấp dịch vụ quản trị, vận hành, giám sát hệ thống CNTT, hệ thống hạ tầng kỹ thuật, dịch vụ thuê trung tâm dữ liệu, phòng máy cho các đơn vị thuộc Bộ Tài chính.
c) Hàng năm tổng hợp, báo cáo Bộ tình hình thực hiện Quy chế này của Cục Tin học và Thống kê Tài chính, các đơn vị thuộc Bộ và các cơ quan, tổ chức, cá nhân cung cấp dịch vụ quản trị, vận hành, giám sát hệ thống CNTT, hệ thống hạ tầng kỹ thuật, dịch vụ cho thuê trung tâm dữ liệu, phòng máy cho các đơn vị thuộc Bộ Tài chính.
d) Trình Bộ sửa đổi, bổ sung Quy chế này để phù hợp với tình hình và điều kiện thực tế.
2. Các đơn vị thuộc Bộ thuộc đối tượng áp dụng tại quy chế này:
a) Tổ chức triển khai thực hiện Quy chế này tại đơn vị. Trên cơ sở các quy định tại Quy chế này xây dựng, ban hành quy định cụ thể về quy trình xử lý sự cố trong trường hợp khẩn cấp, cháy nổ tại đơn vị.
b) Hàng năm báo cáo Bộ (qua Cục Tin học và Thống kê Tài chính) tình hình thực hiện quy chế này.
c) Phản ánh tới Cục Tin học và Thống kê Tài chính các vướng mắc, đề xuất sửa đổi, bổ sung quy chế này trong quá trình thực hiện.
d) Đối với trường hợp đơn vị trực tiếp quản lý trung tâm dữ liệu, phòng máy:
- Trên cơ sở các quy định tại Quy chế này, thực hiện xây dựng, ban hành quy định cụ thể về việc xử lý sự cố trong trường hợp khẩn cấp, cháy nổ phù hợp với mô hình tổ chức, yêu cầu quản lý của đơn vị.
- Nghiên cứu, kiện toàn hệ thống hạ tầng kỹ thuật để đảm bảo an toàn, an ninh cho hệ thống CNTT và phù hợp với điều kiện thực tế, yêu cầu quản lý tại đơn vị.
e) Đối với trường hợp đơn vị đi thuê trung tâm dữ liệu, phòng máy: Trên cơ sở các quy định tại Quy chế này, xây dựng quy chế phối hợp, tiêu chí về việc phối hợp xử lý sự cố trong trường hợp khẩn cấp, cháy nổ mà đơn vị cho thuê trung tâm dữ liệu, phòng máy phải đáp ứng.
3. Cơ quan, tổ chức thuộc đối tượng áp dụng tại quy chế này và cơ quan, tổ chức có liên quan:
a) Tuân thủ quy chế này.
b) Phản ánh vướng mắc trong quá trình thực hiện Quy chế này tới các đơn vị thuộc Bộ Tài chính hoặc Cục Tin học và Thống kê tài chính để cùng phối hợp xử lý, giải quyết.
Điều 10. Trách nhiệm của cá nhân
1. Thủ trưởng đơn vị thuộc đối tượng áp dụng của Quy chế này có trách nhiệm phổ biến tới từng cán bộ, công chức, viên chức, nhân viên của đơn vị.
2. Cán bộ, công chức, viên chức, nhân viên của Bộ Tài chính, các đơn vị thuộc Bộ và các đơn vị khác thuộc đối tượng áp dụng của quy chế có trách nhiệm tuân thủ đúng các quy định của Quy chế.
3. Cá nhân vi phạm Quy chế này làm ảnh hưởng đến hoạt động của hệ thống CNTT thì tùy theo tính chất, mức độ của hành vi vi phạm sẽ bị xử lý hành chính, xử lý kỷ luật hoặc truy cứu trách nhiệm hình sự. Nếu gây thiệt hại về tài sản thì phải bồi thường theo quy định của pháp luật./.