Nghị định 85/2016/NĐ-CP về bảo đảm an toàn hệ thống thông tin theo cấp độ
Số hiệu: 85/2016/NĐ-CP Loại văn bản: Nghị định
Nơi ban hành: Chính phủ Người ký: Nguyễn Xuân Phúc
Ngày ban hành: 01/07/2016 Ngày hiệu lực: Đang cập nhật
Ngày công báo: 02/08/2016 Số công báo: Từ số 805 đến số 806
Lĩnh vực: Bưu chính, viễn thông, Tình trạng: Đang cập nhập
Ngày hết hiệu lực: Đang cập nhật

CHÍNH PHỦ
-------

CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM
Độc lập - Tự do - Hạnh phúc
---------------

S: 85/2016/NĐ-CP

Hà Nội, ngày 01 tháng 07 năm 2016

 

NGHỊ ĐỊNH

VỀ BẢO ĐẢM AN TOÀN HỆ THỐNG THÔNG TIN THEO CẤP ĐỘ

Căn cứ Luật tổ chức Chính phủ ngày 19 tháng 6 năm 2015;

Căn cứ Luật an toàn thông tin mạng ngày 19 tháng 11 năm 2015;

Theo đề nghị của Bộ trưởng Bộ Thông tin và Truyền thông;

Chính phủ ban hành Nghị định về bảo đảm an toàn hệ thống thông tin theo cấp độ.

Chương I

NHỮNG QUY ĐỊNH CHUNG

Điều 1. Phạm vi Điều chỉnh

Nghị định này quy định chi Tiết về tiêu chí, thẩm quyền, trình tự, thủ tục xác định cấp độ an toàn hệ thống thông tintrách nhiệm bảo đảm an toàn hệ thống thông tin theo từng cấp độ.

Điều 2. Đối tượng áp dụng

Nghị định này áp dụng đối với cơ quan, tổ chức, cá nhân tham gia hoặc có liên quan đến hoạt động xây dựng, thiết lập, quản lý, vận hành, nâng cấp, mở rộng hệ thống thông tin tại Việt Nam phục vụ ứng dụng công nghệ thông tin trong hoạt động của cơ quan, tổ chức nhà nước, ứng dụng công nghệ thông tin trong việc cung cấp dịch vụ trực tuyến phục vụ người dân và doanh nghiệp.

Khuyến khích tổ chức, cá nhân liên quan khác áp dụng các quy định tại Nghị định này để bảo vệ hệ thống thông tin.

Điều 3. Giải thích từ ngữ

Trong Nghị định này, các từ ngữ dưới đây được hiểu như sau:

1. Chủ quản hệ thống thông tin là cơ quan, tổ chức, cá nhân có thẩm quyền quản lý trực tiếp đối với hệ thống thông tin. Đối với cơ quan, tổ chức nhà nước, chủ quản hệ thống thông tin là các bộ, cơ quan ngang bộ, cơ quan thuộc Chính phủ, Ủy ban nhân dân các tỉnh, thành phố trực thuộc trung ương hoặc là cấp có thẩm quyền quyết định đầu tư dự án xây dựng, thiết lập, nâng cấp, mở rộng hệ thống thông tin đó.

2. Xử lý thông tin là việc thực hiện một hoặc một số thao tác tạo lập, cung cấp, thu thập, biên tập, sử dụng, lưu trữ, truyền đưa, chia sẻ, trao đi thông tin trên mạng.

3. Đơn vị vận hành hệ thống thông tin là cơ quan, tổ chức được chủ quản hệ thống thông tin giao nhiệm vụ vận hành hệ thng thông tin. Trong trường hợp chủ quản hệ thống thông tin thuê ngoài dịch vụ công nghệ thông tin, đơn vị vận hành hệ thống thông tin là bên cung cấp dịch vụ.

4. Đơn vị chuyên trách về công nghệ thông tin là đơn vị chuyên trách về công nghệ thông tin của các bộ, cơ quan ngang bộ, cơ quan thuộc Chính phủ; SThông tin và Truyền thông các tỉnh, thành phố trực thuộc trung ương hoặc đơn vị chuyên trách về công nghệ thông tin của chủ quản hệ thống thông tin do chủ quản hệ thống thông tin chỉ định.

5. Đơn vị chuyên trách về an toàn thông tin là đơn vị có chức năng, nhiệm vụ bảo đảm an toàn thông tin của chủ quản hệ thống thông tin.

6. Bộ phận chuyên trách về an toàn thông tin là bộ phận do chủ quản hệ thống thông tin thành lập hoặc chđịnh để thực thi nhiệm vụ bảo đảm an toàn thông tin và ứng cứu sự cố an toàn thông tin mạng.

7. Dịch vụ trực tuyến là dịch vụ do doanh nghiệp hoặc cơ quan nhà nước cung cấp trên môi trường mạng cho các tổ chức, cá nhân.

Điều 4. Nguyên tắc bảo đảm an toàn hệ thống thông tin theo cấp độ

1. Việc bảo đảm an toàn hệ thống thông tin theo cấp độ trong hoạt động của cơ quan, tổ chức được thực hiện thường xuyên, liên tục từ khâu thiết kế, xây dựng, vận hành đến khi hủy bỏ; tuân thủ theo tiêu chun, quy chun kỹ thuật.

2. Việc bảo đảm an toàn hệ thống thông tin theo cấp độ trong hoạt động của cơ quan, tổ chức được thực hiện một cách tổng thể, đồng bộ, tập trung trong việc đầu tư các giải pháp bảo vệ, có sự dùng chung, chia sẻ tài nguyên để tối ưu hiệu năng, tránh đầu tư thừa, trùng lặp.

3. Việc phân bổ, bố trí nguồn lực để bảo đảm an toàn hệ thống thông tin thực hiện theo thứ tự ưu tiên từ cấp độ cao xuống cấp độ thấp.

Điều 5. Nguyên tắc xác định cấp độ

1. Việc xác định hệ thống thông tin để xác định cấp độ căn cứ trên nguyên tắc như sau:

a) Hệ thống thông tin chỉ có một chủ quản hệ thống thông tin;

b) Hệ thống thông tin có thể hoạt động độc lập, được thiết lập nhm trực tiếp phục vụ hoặc hỗ trợ hoạt động nghiệp vụ, sản xuất, kinh doanh cụ th của cơ quan, tổ chức thuộc một trong các loại hình hệ thống thông tin quy định tại Khoản 2 Điều 6 Nghị định này.

2. Trong trường hợp hệ thống thông tin bao gồm nhiều hệ thống thành phần, mỗi hthống thành phần lại tương ứng với một cấp độ khác nhau, thì cấp độ hệ thng thông tin được xác định là cấp độ cao nhất trong các cấp độ của các hệ thống thành phn cấu thành.

Chương II

TIÊU CHÍ XÁC ĐỊNH CẤP ĐỘ

Điều 6. Phân loại thông tin và hệ thống thông tin

1. Thông tin xử lý thông qua hệ thống thông tin được phân loại theo thuộc tính bí mật như sau:

a) Thông tin công cộng là thông tin trên mạng của một tổ chức, cá nhân được công khai cho tất cả các đối tượng mà không cần xác định danh tính, địa chỉ cụ thể của các đối tượng đó;

b) Thông tin riêng là thông tin trên mạng của một tổ chức, cá nhân mà tổ chức, cá nhân đó không công khai hoặc chcông khai cho một hoặc một nhóm đối tượng đã được xác định danh tính, địa chỉ cụ th;

c) Thông tin cá nhân là thông tin trên mạng gắn với việc xác định danh tính một người cụ thể;

d) Thông tin bí mật nhà nước là thông tin mức Mật, Tối Mật, Tuyệt Mật theo quy định của pháp luật về bảo vệ bí mật nhà nước.

2. Hệ thống thông tin được phân loại theo chức năng phục vụ hoạt động nghiệp vụ như sau:

a) Hệ thống thông tin phục vụ hoạt động nội bộ là hệ thống chỉ phục vụ hoạt động quản trị, vận hành nội bộ của cơ quan, tổ chức;

b) Hệ thống thông tin phục vụ người dân, doanh nghiệp là hệ thống trực tiếp hoặc hỗ trợ cung cấp dịch vụ trực tuyến, bao gồm dịch vụ công trực tuyến và dịch vụ trực tuyến khác trong các lĩnh vực viễn thông, công nghệ thông tin, thương mại, tài chính, ngân hàng, y tế, giáo dục và các lĩnh vực chuyên ngành khác;

c) Hệ thống cơ sở hạ tầng thông tin là tập hợp trang thiết bị, đường truyền dẫn kết nối phục vụ chung hoạt động của nhiều cơ quan, tổ chức như mạng diện rộng, cơ sở dữ liệu, trung tâm dữ liệu, điện toán đám mây; xác thực điện tử, chứng thực điện tử, chữ ký số; kết nối liên thông các hệ thống thông tin;

d) Hệ thống thông tin Điều khiển công nghiệp là hệ thống có chức năng giám sát, thu thập dữ liệu, quản lý và kiểm soát các hạng Mục quan trọng phục vụ Điều khiển, vận hành hoạt động bình thường của các công trình xây dựng;

đ) Hệ thống thông tin khác.

Điều 7. Tiêu chí xác định cấp độ 1

Hệ thống thông tin cấp độ 1 là hệ thống thông tin phục vụ hoạt động nội bộ của cơ quan, tổ chức và chỉ xử lý thông tin công cộng.

Điều 8. Tiêu chí xác định cấp độ 2

Hệ thống thông tin cấp độ 2 là hệ thống thông tin có một trong các tiêu chí cụ thể như sau:

1. Hệ thống thông tin phục vụ hoạt động nội bộ của cơ quan, tổ chức và có xử lý thông tin riêng, thông tin cá nhân của người sử dụng nhưng không xử lý thông tin bí mật nhà nước.

2. Hệ thống thông tin phục vụ người dân, doanh nghiệp thuộc một trong các loại hình như sau:

a) Cung cấp thông tin và dịch vụ công trực tuyến từ mức độ 2 trở xuống theo quy định của pháp luật;

b) Cung cấp dịch vụ trực tuyến không thuộc danh Mục dịch vụ kinh doanh có Điều kiện;

c) Cung cấp dịch vụ trực tuyến khác có xử lý thông tin riêng, thông tin cá nhân của dưới 10.000 người sử dụng.

3. Hệ thống cơ sở hạ tầng thông tin phục vụ hoạt động của một cơ quan, tổ chức.

Điều 9. Tiêu chí xác định cấp độ 3

Hệ thống thông tin cấp độ 3 là hệ thống thông tin có một trong các tiêu chí cụ thể như sau:

1. Hệ thống thông tin xử lý thông tin bí mật nhà nước hoặc hệ thống phục vụ quốc phòng, an ninh khi bị phá hoại sẽ làm tn hại tới quốc phòng, an ninh quốc gia.

2. Hệ thống thông tin phục vụ người dân, doanh nghiệp thuộc một trong các loại hình như sau:

a) Cung cấp thông tin và dịch vụ công trực tuyến từ mức độ 3 trở lên theo quy định của pháp luật;

b) Cung cấp dịch vụ trực tuyến thuộc danh Mục dịch vụ kinh doanh có Điều kiện;

c) Cung cấp dịch vụ trực tuyến khác có xử lý thông tin riêng, thông tin cá nhân của từ 10.000 người sử dụng trở lên.

3. Hệ thống cơ sở hạ tầng thông tin dùng chung phục vụ hoạt động của các cơ quan, tổ chức trong phạm vi một ngành, một tỉnh hoặc một số tỉnh.

4. Hệ thống thông tin Điều khiển công nghiệp trực tiếp phục vụ Điều khiển, vận hành hoạt động bình thường của các công trình xây dựng cấp II, cấp III hoặc cấp IV theo phân cấp của pháp luật về xây dựng.

Điều 10. Tiêu chí xác định cấp độ 4

Hệ thống thông tin cấp độ 4 là hệ thống thông tin có một trong các tiêu chí cụ thể như sau:

1. Hệ thống thông tin xử lý thông tin bí mật nhà nước hoặc hệ thống phục vụ quốc phòng, an ninh, khi bị phá hoại sẽ làm tổn hại nghiêm trọng quốc phòng, an ninh quốc gia.

2. Hệ thống thông tin quốc gia phục vụ phát triển Chính phủ điện tử, yêu cầu vận hành 24/7 và không chấp nhận ngừng vận hành mà không có kế hoạch trước.

3. Hệ thống cơ sở hạ tầng thông tin dùng chung phục vụ hoạt động của các cơ quan, tổ chức trên phạm vi toàn quốc, yêu cu vận hành 24/7 và không chấp nhận ngừng vận hành mà không có kế hoạch trước.

4. Hệ thống thông tin Điều khiển công nghiệp trực tiếp phục vụ Điều khiển, vận hành hoạt động bình thường của các công trình xây dựng cấp I theo phân cấp của pháp luật về xây dựng.

Điều 11. Tiêu chí xác định cấp độ 5

Hệ thống thông tin cấp độ 5 là hệ thống thông tin có một trong các tiêu chí cụ thể như sau:

1. Hệ thống thông tin xử lý thông tin bí mật nhà nước hoặc hệ thống phục vụ quốc phòng, an ninh, khi bị phá hoại sẽ làm tổn hại đặc biệt nghiêm trọng tới quốc phòng, an ninh quốc gia.

2. Hệ thống thông tin phục vụ lưu trữ dữ liệu tập trung đối với một số loại hình thông tin, dữ liệu đặc biệt quan trọng của quốc gia.

3. Hệ thống cơ sở hạ tầng thông tin quốc gia phục vụ kết nối liên thông hoạt động của Việt Nam với quốc tế.

4. Hệ thống thông tin Điều khiển công nghiệp trực tiếp phục vụ Điều khiển, vận hành hoạt động bình thường của công trình xây dựng cấp đặc biệt theo phân cấp của pháp luật về xây dựng hoặc công trình quan trọng liên quan đến an ninh quốc gia theo pháp luật về an ninh quốc gia.

5. Hệ thống thông tin khác theo quyết định của Thủ tướng Chính phủ.

Chương III

THẨM QUYỀN, TRÌNH TỰ, THỦ TỤC XÁC ĐỊNH CẤP ĐỘ

Điều 12. Thẩm quyền thẩm định và phê duyệt cấp độ

1. Đối với hệ thống thông tin được đề xuất là cấp độ 1 hoặc cấp độ 2:

Đơn vị chuyên trách về an toàn thông tin của chủ quản hệ thống thông tin thực hiện thm định, phê duyệt hồ sơ đề xuất cấp độ đối với hệ thống thông tin được đề xut là cấp độ 1 hoặc cấp độ 2.

2. Đối với hệ thống thông tin được đề xuất là cấp độ 3:

a) Đơn vị chuyên trách về an toàn thông tin của chủ quản hệ thống thông tin thực hiện thẩm định hồ sơ đề xuất cấp độ;

b) Chủ quản hệ thống thông tin phê duyệt hồ sơ đề xuất cấp độ.

3. Đối với hệ thống thông tin được đề xuất là cấp độ 4 hoặc cấp độ 5:

a) Bộ Thông tin và Truyền thông chủ trì, phối hợp với Bộ Quốc phòng, Bộ Công an và các bộ, ngành liên quan thực hiện thẩm định hồ sơ đề xuất cấp độ, trừ trường hợp quy định tại Điểm b và Điểm c Khoản 3 Điều này;

b) Bộ Quốc phòng chủ trì, phối hợp với Bộ Thông tin và Truyền thông và bộ, ngành liên quan thực hiện thẩm định hồ sơ đề xuất cấp độ đối với hệ thống thông tin do Bộ Quốc phòng quản lý;

c) Bộ Công an chủ trì, phối hợp với Bộ Thông tin và Truyền thông và bộ, ngành liên quan thực hiện thẩm định hồ sơ đề xuất cấp độ đối với hệ thống thông tin do Bộ Công an quản lý;

d) Chủ quản hệ thống thông tin phê duyệt hồ sơ đề xuất cấp độ đối với hệ thống thông tin cấp độ 4; phê duyệt phương án bảo đảm an toàn thông tin đối với hệ thống thông tin cấp độ 5;

đ) Thủ tướng Chính phủ phê duyệt Danh Mục hệ thống thông tin cấp độ 5 (Danh Mục hệ thống thông tin quan trọng quốc gia).

Điều 13. Trình tự, thủ tục xác định cấp độ đối với dự án đầu tư xây dựng mới hoặc mở rộng, nâng cấp hệ thống thông tin

1. Chủ đầu tư xây dựng thuyết minh đề xuất cấp độ, lồng ghép vào nội dung của báo cáo nghiên cứu khả thi, dự án khả thi ứng dụng công nghệ thông tin hoặc báo cáo đầu tư của dự án, gửi cơ quan chức năng thẩm định, trình cơ quan có thẩm quyền phê duyệt báo cáo nghiên cứu khả thi; dự án khả thi ứng dụng công nghệ thông tin hoặc báo cáo đầu tư theo quy định của pháp luật về đầu tư và quy định Nghị định này.

2. Trong trường hợp thuê dịch vụ công nghệ thông tin, đơn vị chủ trì thuê dịch vụ xây dựng thuyết minh đề xuất cấp độ, lồng ghép vào nội dung của kế hoạch, dự án thuê dịch vụ, gửi cơ quan chức năng thẩm định, trình cơ quan có thẩm quyền phê duyệt theo quy định của pháp luật về thuê dịch vụ công nghệ thông tin và quy định của Nghị định này.

3. Tài liệu thuyết minh đề xuất cấp độ theo quy định tại Điều 15 Nghị định này.

Điều 14. Trình tự, thủ tục xác định cấp độ đối với hệ thống thông tin đang vận hành

1. Lập hồ sơ đề xuất cấp độ:

a) Đơn vị vận hành hệ thống thông tin lập hồ sơ đề xuất cấp độ theo quy định tại Điều 15 Nghị định này;

b) Đối với hệ thống thông tin được đề xuất là cấp độ 1 hoặc cấp độ 2:

Đơn vị vận hành hệ thống thông tin gửi hồ sơ đề xuất cấp độ tới đơn vị thẩm định để thực hiện thẩm định theo quy định tại Khoản 1 Điều 12 Nghị định này;

c) Đối với hệ thống thông tin được đề xuất là cấp độ 3:

Đơn vị vận hành hệ thống thông tin gửi hồ sơ đề xuất cấp độ tới đơn vị thẩm định để thực hiện thẩm định theo quy định tại Điểm a Khoản 2 Điều 12 Nghị định này;

d) Đối với hệ thống thông tin được đề xuất là cấp độ 4 hoặc cấp độ 5:

- Đơn vị vận hành hệ thống thông tin gửi hồ sơ đề xuất cấp độ tới đơn vị chuyên trách về an toàn thông tin của chủ quản hệ thống thông tin để xin ý kiến chuyên môn về sự phù hp của đề xuất cấp độ và phương án bảo đảm an toàn hệ thống thông tin theo cấp độ;

- Đơn vị vận hành hệ thống thông tin trình chủ quản hệ thống thông tin hồ sơ đề xuất cấp độ gửi tới cơ quan thẩm định quy định tại Điểm a, Điểm b hoặc Điểm c Khoản 3 Điều 12 Nghị định này.

2. Thẩm định hồ sơ đề xuất cấp độ:

Cơ quan có thẩm quyền thực hiện thẩm định hồ sơ đề xuất cấp độ theo quy định tại Điều 16 Nghị định này.

3. Phê duyệt đề xuất cấp độ:

a) Đối với hệ thống thông tin được đề xuất là cấp độ 1 hoặc cấp độ 2:

Đơn vị chuyên trách về an toàn thông tin của chủ quản hệ thống thông tin phê duyệt đề xuất cấp độ, gửi báo cáo chủ quản hệ thống thông tin;

b) Đối với hệ thống thông tin được đề xuất là cấp độ 3 hoặc cấp độ 4:

Đơn vị vận hành hệ thống thông tin trình chủ quản hệ thống thông tin phê duyệt đề xuất cấp độ;

c) Đối với hệ thống thông tin được đề xuất là cấp độ 5:

- Trên cơ sở kết quả thẩm định hồ sơ đề xuất cấp độ, Bộ Thông tin và Truyền thông chủ trì, phối hợp với Bộ Quốc phòng, Bộ Công an và bộ, ngành có liên quan trình Thủ tướng Chính phủ phê duyệt Danh Mục hệ thống thông tin cấp độ 5;

- Đơn vị vận hành hệ thống thông tin trình chquản hệ thống thông tin phê duyệt phương án bảo đảm an toàn thông tin.

Điều 15. Hồ sơ đề xuất cấp độ

Hồ sơ đề xuất cấp độ bao gồm:

1. Tài liệu mô tả, thuyết minh tổng quan về hệ thống thông tin.

2. Tài liệu thiết kế là một trong những tài liệu sau:

a) Đối với dự án đầu tư xây dựng mới hoặc mở rộng, nâng cấp hệ thống thông tin: Thiết kế sơ bộ hoặc tài liệu có giá trị tương đương;

b) Đối với hệ thống thông tin đang vận hành: Thiết kế thi công đã được cấp có thẩm quyền phê duyệt hoặc tài liệu có giá trị tương đương.

3. Tài liệu thuyết minh về việc đề xuất cấp độ căn cứ trên các tiêu chí theo quy định của pháp luật.

4. Tài liệu thuyết minh phương án bảo đảm an toàn thông tin theo cấp độ tương ứng.

5. Ý kiến về mặt chuyên môn của đơn vị chuyên trách về an toàn thông tin của chủ quản hệ thống thông tin đối với hệ thống thông tin đề xuất cấp độ 4 hoặc cấp độ 5.

Điều 16. Thẩm định hồ sơ đề xuất cấp độ

1. Nội dung thẩm định hồ sơ đề xuất cấp độ:

a) Sự phù hợp về việc đề xuất cấp độ;

b) Sự phù hợp của phương án bảo đảm an toàn hệ thống thông tin trong thiết kế sơ bộ, thiết kế thi công hoặc tài liệu có giá trị tương đương theo cấp độ tương ứng;

c) Sự phù hợp của phương án bảo đảm an toàn hệ thống thông tin trong quá trình vận hành hệ thống theo cấp độ tương ứng.

2. Thời gian thẩm định hồ sơ xác định cấp độ:

a) Đối với hệ thống thông tin đề xuất cấp độ 3, thời gian thẩm định tối đa là 15 ngày kể từ ngày nhận đủ hồ sơ hợp lệ;

b) Đối với hệ thống thông tin đề xuất cấp độ 4 hoặc cấp độ 5, thời gian thẩm định tối đa là 30 ngày kể từ ngày nhận đủ hồ sơ hợp lệ.

Điều 17. Hồ sơ phê duyệt đề xuất cấp độ

1. Hồ sơ phê duyệt đề xuất cấp độ bao gồm:

a) Hồ sơ đề xuất cấp độ;

b) Ý kiến thẩm định của cơ quan chủ trì thẩm định đối với hệ thống thông tin đề xuất từ cấp độ 3 trở lên.

2. Thời gian xử lý hồ sơ phê duyệt cấp độ:

Thời gian xử lý tối đa là 07 ngày làm việc kể từ ngày nhận đủ hồ sơ hợp lệ.

Điều 18. Trình tự, thủ tục xác định lại cấp độ đối với hệ thống thông tin đã được phê duyệt cấp độ

Đối với hệ thống thông tin đã được phê duyệt cấp độ, trong trường hợp phải xác định lại cấp độ cho phù hợp với tình hình thực tế thì thực hiện theo trình tự, thủ tục xác định lần đầu.

Chương IV

TRÁCH NHIỆM BẢO ĐẢM AN TOÀN HỆ THỐNG THÔNG TIN

Điều 19. Phương án bảo đảm an toàn hệ thống thông tin theo cấp độ

1. Phương án bảo đảm an toàn hệ thống thông tin phải đáp ứng yêu cầu cơ bản trong tiêu chuẩn, quy chuẩn kỹ thuật về bảo đảm an toàn hệ thống thông tin theo cấp độ.

2. Phương án bảo đảm an toàn hệ thống thông tin bao gồm các nội dung sau đây:

a) Bảo đảm an toàn hệ thống thông tin trong khâu thiết kế, xây dựng;

b) Bảo đảm an toàn hệ thống thông tin trong quá trình vận hành;

c) Kiểm tra, đánh giá an toàn thông tin;

d) Quản lý rủi ro an toàn thông tin;

đ) Giám sát an toàn thông tin;

e) Dự phòng, ứng cứu sự cố, khôi phục sau thảm họa;

g) Kết thúc vận hành, khai thác, thanh lý, hủy bỏ.

Điều 20. Trách nhiệm của chủ quản hệ thống thông tin

1. Người đứng đầu của cơ quan, tổ chức là chủ quản hệ thống thông tin có trách nhiệm:

a) Trực tiếp chỉ đạo và phụ trách công tác bảo đảm an toàn thông tin trong hoạt động của cơ quan, tổ chức mình;

b) Trong trường hợp chưa có đơn vị chuyên trách về an toàn thông tin độc lập:

- Chỉ định đơn vị chuyên trách về công nghệ thông tin làm nhiệm vụ đơn vị chuyên trách về an toàn thông tin;

- Thành lập hoặc chỉ định bộ phận chuyên trách về an toàn thông tin trực thuộc đơn vị chuyên trách về công nghệ thông tin.

2. Chủ quản hệ thống thông tin có trách nhiệm:

a) Chỉ đạo đơn vị vận hành hệ thống thông tin lập hồ sơ đề xuất cấp độ; tổ chức thẩm định, phê duyệt hồ sơ đề xuất cấp độ theo quy định Nghị định này;

b) Chỉ đạo, tổ chức thực hiện phương án bảo đảm an toàn hệ thống thông tin theo cấp độ đối với hệ thống thông tin thuộc phạm vi mình quản lý theo quy định tại Điều 25, 26 và 27 của Luật an toàn thông tin mạng, Nghị định này và quy định của pháp luật liên quan;

c) Chỉ đạo, tổ chức thực hiện kiểm tra, đánh giá an toàn thông tin và quản lý rủi ro an toàn thông tin trong phạm vi cơ quan, tổ chức mình, cụ thể như sau:

- Định kỳ 02 năm thực hiện kiểm tra, đánh giá an toàn thông tin và quản lý rủi ro an toàn thông tin tổng thể trong hoạt động của cơ quan, tổ chức mình;

- Định kỳ hàng năm thực hiện kiểm tra, đánh giá an toàn thông tin và quản lý rủi ro an toàn thông tin đối với các hệ thống cấp độ 3 và cấp độ 4;

- Định kỳ 06 tháng (hoặc đột xuất khi thấy cần thiết hoặc theo yêu cầu, cảnh báo của cơ quan chức năng) thực hiện kiểm tra, đánh giá an toàn thông tin và quản lý rủi ro an toàn thông tin đối với hệ thống cấp độ 5;

- Việc kiểm tra, đánh giá an toàn thông tin và đánh giá rủi ro an toàn thông tin đối với hệ thống từ cấp độ 3 trở lên phải do tổ chức chuyên môn được cơ quan có thẩm quyền cấp phép; tổ chức sự nghiệp nhà nước có chức năng, nhiệm vụ phù hợp hoặc do tổ chức chuyên môn được cấp có thẩm quyền chđịnh thực hiện.

d) Chỉ đạo, tổ chức thực hiện đào tạo ngắn hạn, tuyên truyền, phổ biến, nâng cao nhận thức và diễn tập về an toàn thông tin, cụ thể như sau:

- Đào tạo, bồi dưỡng theo các chương trình đào tạo ngắn hạn nâng cao kiến thức, kỹ năng về an toàn thông tin cho cán bộ, công chức, viên chức làm về an toàn thông tin trong cơ quan, tổ chức mình;

- Tuyên truyền, phổ biến nâng cao nhận thức về an toàn thông tin cho cán bộ, công chức, viên chức trong cơ quan, tổ chức mình;

- Diễn tập bảo đảm an toàn thông tin trong hoạt động của cơ quan, tổ chức mình; tham gia diễn tập quốc gia và diễn tập quốc tế do Bộ Thông tin và Truyền thông tổ chức.

đ) Chỉ đạo đơn vị vận hành hệ thống thông tin phối hợp với đơn vị chức năng liên quan của Bộ Thông tin và Truyền thông trong việc triển khai thiết bị, kết nối tới hệ thống kỹ thuật xử lý, giảm thiểu tấn công mạng, hỗ trợ giám sát an toàn thông tin cho hệ thống thông tin cung cấp dịch vụ công trực tuyến, phát triển chính phủ điện tử.

Điều 21. Trách nhiệm của đơn vị chuyên trách về an toàn thông tin của chủ quản hệ thống thông tin

1. Tham mưu, tổ chức thực thi, đôn đốc, kiểm tra, giám sát công tác bảo đảm an toàn thông tin.

2. Thẩm định, phê duyệt hoặc cho ý kiến về mặt chuyên môn đối với hồ sơ đề xuất cấp độ theo thẩm quyền quy định tại Khoản 1, Khoản 2 Điều 12 và Khoản 5 Điều 15 Nghị định này.

Điều 22. Trách nhiệm của đơn vị vận hành hệ thống thông tin

Đơn vị vận hành hệ thống thông tin có trách nhiệm:

1. Thực hiện xác định cấp độ an toàn hệ thống thông tin theo quy định tại Điều 14 Nghị định này;

2. Thực hiện bảo vệ hệ thống thông tin theo quy định của pháp luật và hướng dẫn, tiêu chuẩn, quy chuẩn an toàn thông tin;

3. Định kỳ đánh giá hiệu quả của các biện pháp bảo đảm an toàn thông tin, báo cáo chủ quản hệ thống thông tin Điều chỉnh nếu cần thiết;

4. Định kỳ hoặc đột xuất báo cáo công tác thực thi bảo đảm an toàn hệ thống thông tin theo yêu cầu của chủ quản hệ thống thông tin hoặc cơ quan quản lý nhà nước chuyên ngành có thẩm quyền;

5. Phối hợp, thực hiện theo yêu cầu của cơ quan chức năng liên quan của Bộ Thông tin và Truyền thông trong công tác bảo đảm an toàn thông tin.

Điều 23. Trách nhiệm của cơ quan quản lý nhà nước

1. Bộ Thông tin và Truyền thông có trách nhiệm:

a) Thực hiện thẩm định hồ sơ đề xuất cấp độ theo thẩm quyền quy định tại Điểm a Khoản 3 Điều 12 Nghị định này;

b) Xây dựng dự thảo tiêu chuẩn quốc gia, ban hành quy chuẩn kỹ thuật quốc gia về bảo đảm an toàn thông tin theo cấp độ;

c) Hướng dẫn chi Tiết việc xác định hệ thống thông tin quy định tại Khoản 2 Điều 6 Nghị định này;

d) Ban hành quy định, văn bản hướng dẫn về bảo đảm an toàn hệ thống thông tin theo cấp độ; quy định về đánh giá, chứng nhận hợp chuẩn, hợp quy về bảo đảm an toàn hệ thống thông tin theo cấp độ;

đ) Hướng dẫn các cơ quan, tổ chức thực hiện đào tạo ngắn hạn, tuyên truyền, phổ biến nâng cao nhận thức và diễn tập về an toàn thông tin;

e) Quy định chi Tiết về kiểm tra, đánh giá an toàn thông tin và quản lý rủi ro an toàn thông tin trong hoạt động của cơ quan, tổ chức nhà nước, trừ trường hợp quy định tại Điểm d Khoản 2 và Điểm d Khoản 3 Điều này;

g) Triển khai các hệ thống hạ tầng kỹ thuật tập trung quy mô quốc gia để xử lý, giảm thiểu tấn công mạng, hỗ trợ giám sát an toàn thông tin cho hệ thống thông tin cung cấp dịch vụ công trực tuyến, phát triển Chính phủ điện tử.

2. Bộ Quốc phòng có trách nhiệm:

a) Thực hiện thẩm định phương án bảo đảm an toàn thông tin trong hồ sơ đề xuất cấp độ theo thẩm quyền quy định tại Điểm b Khoản 3 Điều 12 Nghị định này;

b) Xây dựng dự thảo tiêu chuẩn, ban hành quy chuẩn kỹ thuật, hướng dẫn về bảo đảm an toàn đối với hệ thống thông tin thuộc phạm vi quản lý;

c) Hướng dẫn về tiêu chí quy định tại Khoản 1 Điều 9, Khoản 1 Điều 10 và Khoản 1 Điều 11 Nghị định này theo chức năng, nhiệm vụ được phân công;

d) Quy định chi Tiết về kiểm tra, đánh giá an toàn thông tin và quản lý rủi ro an toàn thông tin trong hoạt động của Bộ Quốc phòng.

3. Bộ Công an có trách nhiệm:

a) Thực hiện thẩm định phương án bảo đảm an toàn thông tin trong hồ sơ đề xuất cấp độ theo thẩm quyền quy định tại Điểm c Khoản 3 Điều 12 Nghị định này;

b) Xây dựng dự thảo tiêu chuẩn, ban hành quy chuẩn kỹ thuật, hướng dẫn về bảo đảm an toàn đối với hệ thống thông tin thuộc phạm vi quản lý;

c) Hướng dẫn về tiêu chí quy định tại Khoản 1 Điều 9, Khoản 1 Điều 10 và Khoản 1 Điều 11 Nghị định này theo chức năng, nhiệm vụ được phân công;

d) Quy định chi Tiết về kiểm tra, đánh giá an toàn thông tin và quản lý rủi ro an toàn thông tin trong hoạt động của Bộ Công an.

Điều 24. Kinh phí bảo đảm an toàn thông tin

1. Kinh phí thực hiện yêu cầu về an toàn thông tin theo cấp độ trong hoạt động của cơ quan, tổ chức nhà nước do ngân sách nhà nước bảo đảm.

2. Kinh phí đầu tư cho an toàn thông tin sử dụng vốn đầu tư công thực hiện theo quy định của Luật đầu tư công. Đối với dự án đầu tư công để xây dựng mới hoặc mở rộng, nâng cấp hệ thống thông tin, kinh phí đầu tư cho an toàn thông tin theo cấp độ được bố trí trong vốn đầu tư của dự án tương ứng.

3. Kinh phí thực hiện giám sát, đánh giá, quản lý rủi ro an toàn thông tin; đào tạo ngắn hạn, tuyên truyền, phổ biến nâng cao nhận thức, diễn tập an toàn thông tin và ứng cứu sự cố của cơ quan, tổ chức nhà nước được cân đối bố trí trong dự toán ngân sách hàng năm của cơ quan, tổ chức nhà nước đó theo phân cấp của Luật ngân sách nhà nước.

4. Bộ Tài chính hướng dẫn Mục chi cho công tác bảo đảm an toàn thông tin trong dự toán ngân sách, hướng dẫn quản lý và sử dụng kinh phí sự nghiệp chi cho công tác bảo đảm an toàn thông tin trong hoạt động của các cơ quan, tổ chức nhà nước.

5. Căn cứ nhiệm vụ được giao, cơ quan, tổ chức nhà nước thực hiện lập dự toán, quản lý, sử dụng và quyết toán kinh phí thực hiện nhiệm vụ bảo đảm an toàn thông tin theo quy định của Luật ngân sách nhà nước.

Chương V

ĐIỀU KHOẢN THI HÀNH

Điều 25. Hiệu lực thi hành

Nghị định này có hiệu lực thi hành từ ngày 01 tháng 7 năm 2016.

Điều 26. Tổ chức thực hiện

1. Bộ Thông tin và Truyền thông chịu trách nhiệm hướng dẫn, kiểm tra việc thực hiện Nghị định này.

2. Các Bộ trưởng, Thủ trưởng cơ quan ngang bộ, Thủ trưởng cơ quan thuộc Chính phủ, Chủ tịch Ủy ban nhân dân các tỉnh, thành phố trực thuộc trung ương và các tổ chức, cá nhân có liên quan chịu trách nhiệm thi hành Nghị định này./.

 


Nơi nhận:
- Ban Bí thư Trung ương Đảng;
- Thủ tướng, các Phó Thủ tướng Chính phủ;
- Các bộ, cơ quan ngang bộ, cơ quan thuộc Chính phủ;
- HĐND, UBND các t
nh, thành phố trực thuộc trung ương;
- Văn phòng Trung ương và các Ban của Đảng;
- Văn phòng Tổng Bí thư;
- Văn phòng Chủ tịch nước;
- Hội đồng dân tộc và các Ủy ban của Quốc hội;
- Văn phòng Quốc hội;
- Tòa án nhân dân tối cao;
- Viện kiểm sát nhân dân tối cao;
- Ủy ban Giám sát tải chính Quốc gia;
- Kiểm toán nhà nước;
- Ngân hàng Chính sách xã hội;
- Ngân hàng Phát triển Việt Nam;
- Ủy ban trung ương Mặt trận Tổ quốc Việt Nam;
- Cơ quan trung ương của các đoàn thể;
- VPCP: BTCN, các PCN, Trợ lý TTg, TGĐ
Cổng TTĐT, các Vụ, Cục, đơn vị trực thuộc, Công báo;
- Lưu:
VT, KGVX (3).KN

TM. CHÍNH PHỦ
THỦ TƯỚNG




N
guyễn Xuân Phúc

 

PHỤ LỤC

MẪU VĂN BẢN XÁC ĐỊNH CẤP ĐỘ AN TOÀN HỆ THỐNG THÔNG TIN
(Kèm theo Nghị định số 85/2016/NĐ-CP ngày 01 tháng 7 năm 2016 của Chính phủ)

Mẫu số 01

Văn bản đề nghị thẩm định, phê duyệt hồ sơ đề xuất cấp độ

Mẫu số 02

Văn bản đề nghị thẩm định hồ sơ đề xuất cấp độ

Mẫu số 03

Văn bản xin ý kiến chuyên môn về hồ sơ đề xuất cấp độ

Mẫu số 04

Ý kiến thẩm định hồ sơ đề xuất cấp độ

Mẫu số 05

Tờ trình phê duyệt hồ sơ đề xuất cấp độ

Mẫu số 06

Quyết định phê duyệt cấp độ an toàn hệ thống thông tin

Mẫu số 07

Quyết định phê duyệt phương án bảo đảm an toàn thông tin

 

Mẫu số 01

(TÊN CƠ QUAN, TỔ CHỨC)
-------

CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM
Độc lập - Tự do - Hạnh phúc
---------------

Số: ………..
V/v đề nghị thẩm định, phê duyệt hồ sơ đề xuất cấp độ

….., ngày ... tháng ... năm ...

 

Kính gửi: (Đơn vị chuyên trách về an toàn thông tin).

Căn cứ Luật an toàn thông tin mạng ngày 19 tháng 11 năm 2015;

(Căn cứ các văn bản hướng dẫn thi hành Luật an toàn thông tin mạng và các văn bản liên quan);

(Tên cơ quan, tổ chức) đề nghị thẩm định, phê duyệt hồ sơ đề xuất cấp độ với các nội dung sau:

Phần 1. Thông tin chung

1. Tên hệ thống thông tin;

2. Đơn vị vận hành hệ thống thông tin:

3. Địa ch:

4. Cấp độ an toàn hệ thống thông tin đề xuất:

Phần 2. Hồ sơ kèm theo

1. Tài liệu mô tả, thuyết minh tổng quan về hệ thống thông tin.

2. Tài liệu thiết kế thi công đã được cấp có thẩm quyền phê duyệt hoặc tài liệu có giá trị tương đương.

3. Tài liệu thuyết minh về việc đề xuất cấp độ căn cứ trên các tiêu chí theo quy định của pháp luật.

4. Tài liệu thuyết minh phương án bảo đảm an toàn thông tin theo cấp độ tương ứng.

(Tên cơ quan, tổ chức) đề nghị (Đơn vị chuyên trách về an toàn thông tin) thẩm định và phê duyệt hồ sơ đề xuất cấp độ của hệ thống thông tin (Tên hệ thống thông tin)./.

 


Nơi nhận:
- Như trên;
- …………..

ĐẠI DIỆN CỦA CƠ QUAN, TỔ CHỨC
(Ký, ghi rõ họ tên, chức danh và đóng dấu)

 

Mẫu số 02

(TÊN CƠ QUAN, TỔ CHỨC)
-------

CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM
Độc lập - Tự do - Hạnh phúc
---------------

Số: ………..
V/v đề nghị thẩm định hồ sơ đề xuất cấp độ

….., ngày ... tháng ... năm ...

 

Kính gửi: (Đơn vị chuyên trách về an toàn thông tin)

Căn cứ Luật an toàn thông tin mạng ngày 19 tháng 11 năm 2015;

(Căn cứ các văn bản hướng dẫn thi hành Luật an toàn thông tin mạng và các văn bản liên quan);

(Tên cơ quan, tổ chức) đề nghị (Cơ quan thẩm định) thẩm định hồ sơ đề xuất cấp độ với các nội dung sau:

Phần 1. Thông tin chung

1. Tên hệ thống thông tin:

2. Đơn vị vận hành hệ thống thông tin:

3. Địa chỉ:

4. Cấp độ an toàn hệ thống thông tin đề xuất:

Phần 2. Hồ sơ kèm theo

1. Tài liệu mô tả, thuyết minh tổng quan về hệ thống thông tin.

2. Tài liệu thiết kế thi công đã được cấp có thẩm quyền phê duyệt hoặc tài liệu có giá trị tương đương.

3. Tài liệu thuyết minh về việc đề xuất cấp độ căn cứ trên các tiêu chí theo quy định của pháp luật.

4. Tài liệu thuyết minh phương án bảo đảm an toàn thông tin theo cấp độ tương ứng.

5. Ý kiến về mặt chuyên môn của đơn vị chuyên trách về an toàn thông tin của chủ quản hệ thống thông tin (đối với hệ thống thông tin đề xuất cấp độ 4 hoặc cấp độ 5).

(Tên cơ quan, tổ chức) đề nghị (Cơ quan thm định) cho ý kiến thẩm định hồ sơ đề xuất cấp độ an toàn hệ thống thông tin đối với (Tên hệ thống thông tin)./.

 


Nơi nhận:
- Như trên;
- …………..

ĐẠI DIỆN CỦA CƠ QUAN, TỔ CHỨC
(Ký, ghi rõ họ tên, chức danh và đóng dấu)

 

Mẫu số 03

(TÊN CƠ QUAN, TỔ CHỨC)
-------

CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM
Độc lập - Tự do - Hạnh phúc
---------------

Số: ………..
V/v xin ý kiến chuyên môn về hồ sơ đề xuất cấp độ

….., ngày ... tháng ... năm ...

 

Kính gửi: (Đơn vị chuyên trách về an toàn thông tin)

Căn cứ Luật an toàn thông tin mạng ngày 19 tháng 11 năm 2015;

(Căn cứ các văn bản hướng dẫn thi hành Luật an toàn thông tin mạng và các văn bản liên quan);

(Tên cơ quan, tổ chức) đề nghị (Đơn vị chuyên trách về an toàn thông tin) cho ý kiến chuyên môn về hồ sơ đề xuất cấp độ với các nội dung sau:

Phần 1. Thông tin chung

1. Tên hệ thống thông tin:

2. Đơn vị vận hành hệ thống thông tin:

3. Địa chỉ:

4. Cấp độ an toàn hệ thống thông tin đề xuất:

Phần 2. Hồ sơ kèm theo

1. Tài liệu mô tả, thuyết minh tổng quan về hệ thống thông tin.

2. Tài liệu thiết kế thi công đã được cấp có thẩm quyền phê duyệt hoặc tài liệu có giá trị tương đương.

3. Tài liệu thuyết minh về việc đề xuất cấp độ căn cứ trên các tiêu chí theo quy định của pháp luật.

4. Tài liệu thuyết minh phương án bảo đảm an toàn thông tin theo cấp độ tương ứng.

(Tên cơ quan, tổ chức) đề nghị (Đơn vị chuyên trách về an toàn thông tin) cho ý kiến về sự phù hợp của đề xuất cấp độ và phương án bảo đảm an toàn hệ thống thông tin theo cấp độ của hệ thống thông tin (Tên hệ thống thông tin)./.

 


Nơi nhận:
- Như trên;
- …………..

ĐẠI DIỆN CỦA CƠ QUAN, TỔ CHỨC
(Ký, ghi rõ họ tên, chức danh và đóng dấu)

 

Mẫu số 04

(TÊN CƠ QUAN, TỔ CHỨC)
-------

CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM
Độc lập - Tự do - Hạnh phúc
---------------

Số: ………..
V/v ý kiến thẩm định hồ sơ đề xuất cấp độ

….., ngày ... tháng ... năm ...

 

Kính gửi:

(Chủ quản hệ thống thông tin/
Đơn vị vận hành hệ thống thông tin).

(Tên cơ quan thẩm định) nhận được Công văn số ….. ngày ….. tháng ....... năm ….. của (Tên cơ quan đề nghị) về việc thẩm định hồ sơ đề xuất cấp độ của hệ thống thông tin đối với (Tên hệ thống thông tin). Sau khi xem xét, tổng hợp ý kiến và kết quả thẩm định của các cơ quan, tổ chức có liên quan, (Tên cơ quan thẩm định) có ý kiến thẩm định như sau:

Phần 1. Hồ sơ, tài liệu thẩm định

1. Tài liệu mô tả, thuyết minh tổng quan về hệ thống thông tin.

2. Tài liệu thiết kế thi công đã được cấp có thẩm quyền phê duyệt hoặc tài liệu có giá trị tương đương.

3. Tài liệu thuyết minh về việc đề xuất cấp độ căn cứ trên các tiêu chí theo quy định của pháp luật.

4. Tài liệu thuyết minh phương án bảo đảm an toàn thông tin theo cấp độ tương ứng.

5. Ý kiến về mặt chuyên môn của đơn vị chuyên trách về an toàn thông tin của chủ quản hệ thống thông tin đối với hệ thống thông tin đề xuất cấp độ 4 hoặc cấp độ 5.

Phần 2. Căn cứ pháp để thẩm định

1. Căn cứ Luật an toàn thông tin mạng ngày 19 tháng 11 năm 2015.

2. Căn cứ các văn bản hướng dẫn thi hành Luật an toàn thông tin mạng.

2. Các căn cứ pháp lý khác có liên quan.

Phần 3. Tổ chc thẩm định

1. Đơn vị chủ trì thẩm định:

2. Đơn vị phối hợp thẩm định:

3. Hình thức thẩm định: Tổ chức họp hoặc lấy ý kiến bằng văn bản hoặc áp dụng chai hình thức (nếu cần thiết).

Phần 4. ý kiến thẩm định

1. Tổng hợp ý kiến thẩm định của đơn vị phối hợp theo quy định tại Khoản 3 Điều 12 Nghị định này.

2. Ý kiến thẩm định về sự phù hp về việc đề xuất cấp độ theo quy định tại Điều 16 Nghị định này.

3. Ý kiến khác (nếu có).

Phần 5. Kết luận

Hồ sơ đề xuất cấp độ hệ thống thông tin là phù hợp/chưa phù hợp (nếu chưa phù hợp đề nghị chỉ rõ những nội dung chưa phù hợp) để theo cấp độ đề xuất.

Trên đây là ý kiến thẩm định của (Cơ quan thẩm định) cho hồ sơ đề xuất cấp độ của hệ thống thông tin (Tên hthống thông tin). Đnghị cơ quan (Tên cơ quan đề nghị) xem xét báo cáo cấp có thẩm quyền Điều chỉnh (nếu yêu cầu Điều chỉnh) hoặc trình cơ quan có thẩm quyền phê duyệt (nếu chấp thuận đề xuất của cơ quan trình)./.

 


Nơi nhận:
- Như trên;
- …………..

ĐẠI DIỆN CỦA CƠ QUAN, TỔ CHỨC
(Ký, ghi rõ họ tên, chức danh và đóng dấu)

 

Mẫu số 05

(TÊN CƠ QUAN, TỔ CHỨC)
-------

CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM
Độc lập - Tự do - Hạnh phúc
---------------

Số: ………..

….., ngày ... tháng ... năm ...

 

TỜ TRÌNH

Về việc phê duyệt đề xuất cấp độ

Kính gửi: (Cơ quan liên quan có thẩm quyền).

Căn cứ Luật an toàn thông tin mạng ngày 19 tháng 11 năm 2015;

(Căn cứ các văn bản hướng dẫn thi hành Luật an toàn thông tin mạng và các văn bản liên quan);

Căn cứ ý kiến thẩm định của đơn vị chuyên trách về công nghệ thông tin/cơ quan thẩm định;

(Tên cơ quan, tổ chức) trình phê duyệt hồ sơ đề xuất cấp độ với các nội dung sau:

Phần 1. Thông tin chung

1. Tên hệ thống thông tin:

2. Đơn vị vận hành hệ thống thông tin:

3. Địa chỉ:

4. Cấp độ an toàn hệ thống thông tin đề xuất:

Phần 2. Hồ sơ kèm theo

1. Tài liệu mô tả, thuyết minh tổng quan về hệ thống thông tin.

2. Tài liệu thiết kế thi công đã được cấp có thẩm quyền phê duyệt hoặc tài liệu có giá trị tương đương.

3. Tài liệu thuyết minh về việc đề xuất cấp độ căn cứ trên các tiêu chí theo quy định của pháp luật.

4. Tài liệu thuyết minh phương án bảo đảm an toàn thông tin theo cấp độ tương ứng.

5. Ý kiến về mặt chuyên môn của đơn vị chuyên trách về an toàn thông tin của chủ quản hệ thống thông tin đối với hệ thống thông tin đề xuất cấp độ 4 hoặc cấp độ 5.

6. Ý kiến thẩm định của cơ quan chủ trì thẩm định đối với hệ thống thông tin đề xuất từ cấp độ 3 trở lên.

(Tên cơ quan) trình (Chủ quản hệ thống thông tin) xem xét, quyết định phê duyệt đề xuất cấp độ của hệ thống thông tin (Tên hệ thống thông tin)./.

 


Nơi nhận:
- Như trên;
- …………..

ĐẠI DIỆN CỦA CƠ QUAN, TỔ CHỨC
(Ký, ghi rõ họ tên, chức danh và đóng dấu)

 

Mẫu số 06

(CHỦ QUẢN HỆ THỐNG
THÔNG TIN
)
-------

CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM
Độc lập - Tự do - Hạnh phúc
---------------

Số: ………..

….., ngày ... tháng ... năm ...

 

QUYẾT ĐỊNH

Về việc phê duyệt cấp độ an toàn hệ thống thông tin

(THỦ TRƯỞNG CƠ QUAN TCHỨC)

Căn cứ Luật an toàn thông tin mạng ngày 19 tháng 11 năm 2015;

(Căn cứ các văn bản hướng dẫn thi hành Luật an toàn thông tin mạng và các văn bản liên quan);

Xét đề nghị của cơ quan (Tên đơn vị đề nghị),

QUYT ĐỊNH:

Điều 1. Phê duyệt cấp độ an toàn hệ thống thông tin đối với (Tên hệ thống thông tin) cụ thể như sau:

1. Thông tin chung

a) Tên hệ thống thông tin:

b) Đơn vị vận hành hệ thống thông tin:

c) Địa chỉ:

2. Cấp độ an toàn hệ thống thông tin: (cấp độ)

3. Phương án bảo đảm an toàn thông tin:

a) Phương án bảo đảm an toàn thông tin trong thiết kế hệ thống thông tin tương ứng với cấp độ (cấp độ) là phù hợp với tiêu chuẩn quốc gia (Tên tiêu chuẩn), quy chuẩn kỹ thuật quốc gia (Tên quy chuẩn) về bảo đảm an toàn hệ thống thông tin theo cấp độ.

b) Phương án bảo đảm an toàn thông tin trong quá trình vận hành hệ thống tương ứng với cấp độ (cấp độ) là phù hợp với tiêu chuẩn quốc gia (Tên tiêu chuẩn), quy chuẩn kỹ thuật quốc gia (Tên quy chuẩn) về bảo đảm an toàn hệ thống thông tin theo cấp độ.

Điều 2. Tổ chức thực hiện

1. Cơ quan (Tên đơn vị đề nghị) chịu trách nhiệm:

a) Thực hiện trách nhiệm bảo đảm an toàn hệ thống thông tin mình quản lý theo các quy định tại Điều 22 Nghị định này.

b) Các nội dung khác (nếu có).

2. Trách nhiệm của các cơ quan liên quan khác (nếu có).

Điều 3. Điều Khoản thi hành

1. Cơ quan (Tên đơn vị đề xuất) và các cơ quan liên quan khác chịu trách nhiệm thi hành Quyết định này.

2. Đơn vị chuyên trách về an toàn thông tin chịu trách nhiệm kiểm tra, giám sát việc thực hiện Quyết định này báo cáo cơ quan (Chủ quản hệ thống thông tin) theo quy định của pháp luật./.

 


Nơi nhận:
-…………..;
- …………..

ĐẠI DIỆN CỦA CƠ QUAN, TỔ CHỨC
(Ký, ghi rõ họ tên, chức danh và đóng dấu)

 

Mẫu số 07

(CHỦ QUẢN HỆ THỐNG
THÔNG TIN
)
-------

CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM
Độc lập - Tự do - Hạnh phúc
---------------

Số: ………..

….., ngày ... tháng ... năm ...

 

QUYẾT ĐỊNH

Về việc phê duyệt phương án bảo đảm an toàn thông tin

(THỦ TRƯỞNG CƠ QUAN TỔ CHỨC)

Căn cứ Luật an toàn thông tin mạng ngày 19 tháng 11 năm 2015;

(Căn cứ các văn bản hướng dẫn thi hành Luật an toàn thông tin mạng và các văn bản liên quan);

Xét đề nghị của cơ quan (Tên đơn vị đề nghị),

QUYT ĐỊNH:

Điều 1. Phê duyệt phương án bảo đảm an toàn thông tin đối với (Tên hthống thông tin) cụ thể như sau:

1. Thông tin chung

a) Tên hệ thống thông tin:

b) Đơn vị vận hành hệ thống thông tin:

c) Địa chỉ:

2. Phương án bảo đảm an toàn thông tin:

a) Phương án bảo đảm an toàn thông tin trong thiết kế hệ thống thông tin tương ứng với cấp độ (cấp độ) là phù hợp với tiêu chuẩn quốc gia (Tên tiêu chuẩn), quy chuẩn kỹ thuật quốc gia (Tên quy chuẩn) về bảo đảm an toàn hệ thống thông tin theo cấp độ.

b) Phương án bảo đảm an toàn thông tin trong quá trình vận hành hệ thống tương ứng với cấp độ (cấp độ) là phù hợp với tiêu chuẩn quốc gia (Tên tiêu chuẩn), quy chuẩn kỹ thuật quốc gia (Tên quy chuẩn) về bảo đảm an toàn hệ thống thông tin theo cấp độ.

Điều 2. Tổ chc thực hiện

1. Cơ quan (Tên đơn vị đề nghị) chịu trách nhiệm:

a) Thực hiện trách nhiệm bảo đảm an toàn hệ thống thông tin mình quản lý theo các quy định tại Điều 22 Nghị định này.

b) Các nội dung khác (nếu có).

2. Trách nhiệm của các cơ quan liên quan khác (nếu có).

Điều 3. Điều Khoản thi hành

1. Cơ quan (Tên đơn vị đề xuất) và các cơ quan liên quan khác chịu trách nhiệm thi hành Quyết định này.

2. Đơn vị chuyên trách về an toàn thông tin chịu trách nhiệm kiểm tra, giám sát việc thực hiện Quyết định này báo cáo cơ quan (Chủ quản hệ thống thông tin) theo quy định của pháp luật./.

 


Nơi nhận:
-…………..;
- …………..

ĐẠI DIỆN CỦA CƠ QUAN, TỔ CHỨC
(Ký, ghi rõ họ tên, chức danh và đóng dấu)

 

- Điểm này được hướng dẫn bởi Khoản 3 Điều 4 Thông tư 03/2017/TT-BTTTT

Căn cứ Nghị định 85/2016/NĐ-CP ngày 01 tháng 7 năm 2016 của Chính phủ về bảo đảm an toàn hệ thống thông tin theo cấp độ;
...
Bộ trưởng Bộ Thông tin và Truyền thông ban hành Thông tư quy định chi tiết và hướng dẫn một số điều của Nghị định 85/2016/NĐ-CP ngày 01 tháng 7 năm 2016 về bảo đảm an toàn hệ thống thông tin theo cấp độ.
...
Điều 4. Hướng dẫn xác định hệ thống thông tin cụ thể
...
3. Hệ thống thông tin phục vụ hoạt động nội bộ là hệ thống chỉ phục vụ hoạt động quản trị, vận hành nội bộ của cơ quan, tổ chức, bao gồm:

a) Hệ thống thư điện tử;

b) Hệ thống quản lý văn bản và điều hành;

c) Hệ thống họp, hội nghị truyền hình trực tuyến;

d) Hệ thống quản lý thông tin cụ thể (nhân sự, tài chính, tài sản hoặc lĩnh vực chuyên môn nghiệp vụ cụ thể khác) hoặc hệ thống quản lý thông tin tổng thể (tích hợp quản lý nhiều chức năng, nghiệp vụ khác nhau);

đ) Hệ thống xử lý thông tin nội bộ.

Xem nội dung VB
- Điểm này được hướng dẫn bởi Khoản 4 Điều 4 Thông tư 03/2017/TT-BTTTT

Căn cứ Nghị định 85/2016/NĐ-CP ngày 01 tháng 7 năm 2016 của Chính phủ về bảo đảm an toàn hệ thống thông tin theo cấp độ;
...
Bộ trưởng Bộ Thông tin và Truyền thông ban hành Thông tư quy định chi tiết và hướng dẫn một số điều của Nghị định 85/2016/NĐ-CP ngày 01 tháng 7 năm 2016 về bảo đảm an toàn hệ thống thông tin theo cấp độ.
...
Điều 4. Hướng dẫn xác định hệ thống thông tin cụ thể
...
4. Hệ thống thông tin phục vụ người dân, doanh nghiệp là hệ thống trực tiếp hoặc hỗ trợ cung cấp dịch vụ trực tuyến, bao gồm dịch vụ công trực tuyến và dịch vụ trực tuyến khác trong các lĩnh vực viễn thông, công nghệ thông tin, thương mại, tài chính, ngân hàng, y tế, giáo dục và lĩnh vực chuyên ngành khác, bao gồm:

a) Hệ thống thư điện tử;

b) Hệ thống quản lý văn bản và điều hành;

c) Hệ thống một cửa điện tử;

d) Hệ thống trang, cổng thông tin điện tử;

đ) Hệ thống cung cấp hoặc hỗ trợ cung cấp dịch vụ trực tuyến;

e) Hệ thống chăm sóc khách hàng.

Xem nội dung VB
- Điểm này được hướng dẫn bởi Khoản 5 Điều 4 Thông tư 03/2017/TT-BTTTT

Căn cứ Nghị định 85/2016/NĐ-CP ngày 01 tháng 7 năm 2016 của Chính phủ về bảo đảm an toàn hệ thống thông tin theo cấp độ;
...
Bộ trưởng Bộ Thông tin và Truyền thông ban hành Thông tư quy định chi tiết và hướng dẫn một số điều của Nghị định 85/2016/NĐ-CP ngày 01 tháng 7 năm 2016 về bảo đảm an toàn hệ thống thông tin theo cấp độ.
...
Điều 4. Hướng dẫn xác định hệ thống thông tin cụ thể
...
5. Hệ thống cơ sở hạ tầng thông tin là tập hợp trang thiết bị, đường truyền dẫn kết nối phục vụ chung hoạt động của nhiều cơ quan, tổ chức, bao gồm:

a) Mạng nội bộ, mạng diện rộng, mạng truyền số liệu chuyên dùng;

b) Hệ thống cơ sở dữ liệu, trung tâm dữ liệu, điện toán đám mây;

c) Hệ thống xác thực điện tử, chứng thực điện tử, chữ ký số;

d) Hệ thống kết nối liên thông, trục tích hợp các hệ thống thông tin.

Xem nội dung VB
- Điểm này được hướng dẫn bởi Khoản 6 Điều 4 Thông tư 03/2017/TT-BTTTT

Căn cứ Nghị định 85/2016/NĐ-CP ngày 01 tháng 7 năm 2016 của Chính phủ về bảo đảm an toàn hệ thống thông tin theo cấp độ;
...
Bộ trưởng Bộ Thông tin và Truyền thông ban hành Thông tư quy định chi tiết và hướng dẫn một số điều của Nghị định 85/2016/NĐ-CP ngày 01 tháng 7 năm 2016 về bảo đảm an toàn hệ thống thông tin theo cấp độ.
...
Điều 4. Hướng dẫn xác định hệ thống thông tin cụ thể
...
6. Hệ thống thông tin điều khiển công nghiệp là hệ thống có chức năng giám sát, thu thập dữ liệu, quản lý và kiểm soát các hạng mục quan trọng phục vụ điều khiển, vận hành hoạt động bình thường của các công trình xây dựng, bao gồm:

a) Hệ thống điều khiển lập trình được (PLCs);

b) Hệ thống điều khiển phân tán (DCS);

c) Hệ thống giám sát và thu thập dữ liệu (SCADA).

Xem nội dung VB
- Điểm này được hướng dẫn bởi Khoản 7 Điều 4 Thông tư 03/2017/TT-BTTTT

Căn cứ Nghị định 85/2016/NĐ-CP ngày 01 tháng 7 năm 2016 của Chính phủ về bảo đảm an toàn hệ thống thông tin theo cấp độ;
...
Bộ trưởng Bộ Thông tin và Truyền thông ban hành Thông tư quy định chi tiết và hướng dẫn một số điều của Nghị định 85/2016/NĐ-CP ngày 01 tháng 7 năm 2016 về bảo đảm an toàn hệ thống thông tin theo cấp độ.
...
Điều 4. Hướng dẫn xác định hệ thống thông tin cụ thể
...
7. Hệ thống thông tin khác là hệ thống thông tin không thuộc các loại hình trên, được sử dụng để trực tiếp phục vụ hoặc hỗ trợ hoạt động nghiệp vụ, sản xuất, kinh doanh cụ thể của cơ quan, tổ chức theo lĩnh vực chuyên ngành.

Xem nội dung VB
- Thuyết minh đề xuất cấp độ được hướng dẫn bởi Khoản 3 Điều 7 Thông tư 03/2017/TT-BTTTT

Căn cứ Nghị định 85/2016/NĐ-CP ngày 01 tháng 7 năm 2016 của Chính phủ về bảo đảm an toàn hệ thống thông tin theo cấp độ;
...
Bộ trưởng Bộ Thông tin và Truyền thông ban hành Thông tư quy định chi tiết và hướng dẫn một số điều của Nghị định 85/2016/NĐ-CP ngày 01 tháng 7 năm 2016 về bảo đảm an toàn hệ thống thông tin theo cấp độ.
...
Điều 7. Hướng dẫn xác định và thuyết minh cấp độ an toàn hệ thống thông tin
...
3. Xác định cấp độ căn cứ theo quy định tại các điều từ Điều 7 đến Điều 11 Nghị định 85/2016/NĐ-CP. Đối với hệ thống thông tin đề xuất là cấp độ 4 hoặc cấp độ 5, thuyết minh đề xuất cấp độ làm rõ các nội dung sau đây:

a) Xác định các hệ thống thông tin khác có liên quan hoặc có kết nối đến hoặc có ảnh hưởng quan trọng tới hoạt động bình thường của hệ thống thông tin được đề xuất; trong đó, xác định rõ mức độ ảnh hưởng đến hệ thống thông tin đang được đề xuất cấp độ khi các hệ thống này bị mất an toàn thông tin.

b) Danh mục đề xuất các thành phần, thiết bị mạng quan trọng, các loại thông tin quan trọng được xử lý trong hệ thống (nếu có);

c) Thuyết minh về mức độ quan trọng của các thành phần, thiết bị mạng quan trọng, các loại thông tin, dữ liệu được xử lý hoặc lưu trữ trên hệ thống (nếu có);

d) Thuyết minh về các nguy cơ tấn công mạng, mất an toàn thông tin đối với hệ thống, các thành phần hệ thống và các thiết bị mạng quan trọng; ảnh hưởng của các nguy cơ tấn công mạng, mất an toàn thông tin này đối với các tiêu chí xác định cấp độ theo Điều 10, 11 Nghị định 85/2016/NĐ-CP;

đ) Đánh giá phạm vi và mức độ ảnh hưởng tới lợi ích công cộng, trật tự an toàn xã hội hoặc quốc phòng, an ninh quốc gia khi bị tấn công mạng gây mất an toàn thông tin hoặc gián đoạn hoạt động của từng hệ thống đã được xác định.

Đối với hệ thống thông tin cấp độ 4, thuyết minh yêu cầu cần phải vận hành 24/7 và không chấp nhận ngừng vận hành mà không có kế hoạch trước;

e) Thuyết minh khác (nếu có) trên cơ sở thực tế hoạt động của hệ thống thông tin.

Xem nội dung VB
- Thuyết minh cấp độ an toàn hệ thống thông tin được hướng dẫn bởi Điều 7 Thông tư 03/2017/TT-BTTTT

Căn cứ Nghị định 85/2016/NĐ-CP ngày 01 tháng 7 năm 2016 của Chính phủ về bảo đảm an toàn hệ thống thông tin theo cấp độ;
...
Bộ trưởng Bộ Thông tin và Truyền thông ban hành Thông tư quy định chi tiết và hướng dẫn một số điều của Nghị định 85/2016/NĐ-CP ngày 01 tháng 7 năm 2016 về bảo đảm an toàn hệ thống thông tin theo cấp độ.
...
Điều 7. Hướng dẫn xác định và thuyết minh cấp độ an toàn hệ thống thông tin

Việc xác định cấp độ và thuyết minh cấp độ an toàn hệ thống thông tin thực hiện như sau:

1. Xác định và phân loại hệ thống thông tin; xác định chủ quản hệ thống thông tin, đơn vị vận hành hệ thống thông tin căn cứ theo quy định tại các Điều 5, 6 Nghị định 85/2016/NĐ-CP và các Điều 4,5,6 Thông tư này.

2. Xác định loại thông tin được xử lý thông qua hệ thống thông tin căn cứ theo quy định tại khoản 1 Điều 6 Nghị định 85/2016/NĐ-CP.

3. Xác định cấp độ căn cứ theo quy định tại các điều từ Điều 7 đến Điều 11 Nghị định 85/2016/NĐ-CP. Đối với hệ thống thông tin đề xuất là cấp độ 4 hoặc cấp độ 5, thuyết minh đề xuất cấp độ làm rõ các nội dung sau đây:

a) Xác định các hệ thống thông tin khác có liên quan hoặc có kết nối đến hoặc có ảnh hưởng quan trọng tới hoạt động bình thường của hệ thống thông tin được đề xuất; trong đó, xác định rõ mức độ ảnh hưởng đến hệ thống thông tin đang được đề xuất cấp độ khi các hệ thống này bị mất an toàn thông tin.

b) Danh mục đề xuất các thành phần, thiết bị mạng quan trọng, các loại thông tin quan trọng được xử lý trong hệ thống (nếu có);

c) Thuyết minh về mức độ quan trọng của các thành phần, thiết bị mạng quan trọng, các loại thông tin, dữ liệu được xử lý hoặc lưu trữ trên hệ thống (nếu có);

d) Thuyết minh về các nguy cơ tấn công mạng, mất an toàn thông tin đối với hệ thống, các thành phần hệ thống và các thiết bị mạng quan trọng; ảnh hưởng của các nguy cơ tấn công mạng, mất an toàn thông tin này đối với các tiêu chí xác định cấp độ theo Điều 10, 11 Nghị định 85/2016/NĐ-CP;

đ) Đánh giá phạm vi và mức độ ảnh hưởng tới lợi ích công cộng, trật tự an toàn xã hội hoặc quốc phòng, an ninh quốc gia khi bị tấn công mạng gây mất an toàn thông tin hoặc gián đoạn hoạt động của từng hệ thống đã được xác định.

Đối với hệ thống thông tin cấp độ 4, thuyết minh yêu cầu cần phải vận hành 24/7 và không chấp nhận ngừng vận hành mà không có kế hoạch trước;

e) Thuyết minh khác (nếu có) trên cơ sở thực tế hoạt động của hệ thống thông tin.

Xem nội dung VB
- Cơ chế phối hợp thẩm định đề xuất cấp độ được hướng dẫn bởi Điều 16 Thông tư 03/2017/TT-BTTTT

Căn cứ Nghị định 85/2016/NĐ-CP ngày 01 tháng 7 năm 2016 của Chính phủ về bảo đảm an toàn hệ thống thông tin theo cấp độ;
...
Bộ trưởng Bộ Thông tin và Truyền thông ban hành Thông tư quy định chi tiết và hướng dẫn một số điều của Nghị định 85/2016/NĐ-CP ngày 01 tháng 7 năm 2016 về bảo đảm an toàn hệ thống thông tin theo cấp độ.
...
Điều 16. Cơ chế phối hợp thẩm định

1. Đơn vị vận hành hệ thống thông tin có trách nhiệm phối hợp với đơn vị thẩm định hồ sơ đề xuất cấp độ trong việc xác định sự phù hợp của hồ sơ đề xuất cấp độ đối với yêu cầu hoạt động của hệ thống thông tin tương ứng.

2. Trong trường hợp cần thiết, đơn vị thẩm định hồ sơ đề xuất cấp độ thực hiện kiểm tra, đánh giá thực tế các phương án bảo đảm an toàn hệ thống thông tin theo cấp độ được đề xuất. Việc kiểm tra, đánh giá bảo đảm không gây ảnh hưởng đến hoạt động bình thường của hệ thống thông tin và có thông báo cho chủ quản hệ thống thông tin, đơn vị vận hành khi phát hiện các điểm yếu an toàn thông tin cần khắc phục.

Xem nội dung VB
- Khoản này được hướng dẫn bởi từ Khoản 1 đến Khoản 3 Điều 8 Thông tư 03/2017/TT-BTTTT

Căn cứ Nghị định 85/2016/NĐ-CP ngày 01 tháng 7 năm 2016 của Chính phủ về bảo đảm an toàn hệ thống thông tin theo cấp độ;
...
Bộ trưởng Bộ Thông tin và Truyền thông ban hành Thông tư quy định chi tiết và hướng dẫn một số điều của Nghị định 85/2016/NĐ-CP ngày 01 tháng 7 năm 2016 về bảo đảm an toàn hệ thống thông tin theo cấp độ.
...
Điều 8. Yêu cầu chung

1. Việc bảo đảm an toàn hệ thống thông tin theo cấp độ thực hiện theo yêu cầu cơ bản quy định tại Thông tư này; tiêu chuẩn, quy chuẩn kỹ thuật về an toàn thông tin và tiêu chuẩn, quy chuẩn kỹ thuật chuyên ngành có liên quan khác.

2. Yêu cầu cơ bản đối với từng cấp độ quy định tại Thông tư này là yêu cầu tối thiểu để bảo đảm an toàn hệ thống thông tin và không bao gồm các yêu cầu bảo đảm an toàn vật lý.

3. Yêu cầu cơ bản bao gồm:

a) Yêu cầu kỹ thuật: An toàn hạ tầng mạng; an toàn máy chủ; an toàn ứng dụng và an toàn dữ liệu;

b) Yêu cầu quản lý: Chính sách chung; tổ chức, nhân sự; quản lý thiết kế, xây dựng; quản lý vận hành; kiểm tra, đánh giá và quản lý rủi ro.

Xem nội dung VB
- Yêu cầu cơ bản của việc xây dựng phương án bảo đảm an toàn thông tin được hướng dẫn bởi Khoản 4 Điều 8 và Điều 9 Thông tư 03/2017/TT-BTTTT

Căn cứ Nghị định 85/2016/NĐ-CP ngày 01 tháng 7 năm 2016 của Chính phủ về bảo đảm an toàn hệ thống thông tin theo cấp độ;
...
Bộ trưởng Bộ Thông tin và Truyền thông ban hành Thông tư quy định chi tiết và hướng dẫn một số điều của Nghị định 85/2016/NĐ-CP ngày 01 tháng 7 năm 2016 về bảo đảm an toàn hệ thống thông tin theo cấp độ.
...
Điều 8. Yêu cầu chung
...
4. Việc xây dựng phương án bảo đảm an toàn thông tin đáp ứng yêu cầu cơ bản theo từng cấp độ thực hiện theo nguyên tắc quy định tại khoản 2 Điều 4 Nghị định 85/2016/NĐ-CP, cụ thể như sau:

a) Đối với hệ thống thông tin cấp độ 1,2,3: Phương án bảo đảm an toàn thông tin phải xem xét khả năng dùng chung giữa các hệ thống thông tin đối với các giải pháp bảo vệ, chia sẻ tài nguyên để tối ưu hiệu năng, tránh đầu tư thừa, trùng lặp, lãng phí. Trong trường hợp đầu tư mới, phải có thuyết minh về việc giải pháp đã có không đáp ứng được yêu cầu cơ bản;

b) Đối với hệ thống thông tin cấp độ 4,5: Phương án bảo đảm an toàn thông tin cần được thiết kế bảo đảm tính sẵn sàng, phân tách và hạn chế ảnh hưởng đến toàn bộ hệ thống khi một thành phần trong hệ thống hoặc có liên quan tới hệ thống bị mất an toàn thông tin.

Điều 9. Yêu cầu cơ bản đối với từng cấp độ

1. Phương án bảo đảm an toàn hệ thống thông tin cấp độ 1 phải đáp ứng yêu cầu quy định chi tiết tại Phụ lục 1 ban hành kèm theo Thông tư này.

2. Phương án bảo đảm an toàn hệ thống thông tin cấp độ 2 phải đáp ứng yêu cầu như đối với cấp độ 1 và bổ sung yêu cầu quy định chi tiết tại Phụ lục 2 ban hành kèm theo Thông tư này.

3. Phương án bảo đảm an toàn hệ thống thông tin cấp độ 3 phải đáp ứng yêu cầu như đối với cấp độ 2 và bổ sung yêu cầu quy định chi tiết tại Phụ lục 3 ban hành kèm theo Thông tư này.

4. Phương án bảo đảm an toàn hệ thống thông tin cấp độ 4 phải đáp ứng yêu cầu như đối với cấp độ 3 và bổ sung yêu cầu quy định chi tiết tại Phụ lục 4 ban hành kèm theo Thông tư này.

5. Phương án bảo đảm an toàn hệ thống thông tin cấp độ 5 phải đáp ứng yêu cầu như đối với cấp độ 4 và bổ sung yêu cầu quy định chi tiết tại Phụ lục 5 ban hành kèm theo Thông tư này.

Xem nội dung VB
- Yêu cầu bảo đảm an toàn hệ thống thông tin theo cấp độ được hướng dẫn bởi Chương III Thông tư 03/2017/TT-BTTTT

Căn cứ Nghị định 85/2016/NĐ-CP ngày 01 tháng 7 năm 2016 của Chính phủ về bảo đảm an toàn hệ thống thông tin theo cấp độ;
...
Bộ trưởng Bộ Thông tin và Truyền thông ban hành Thông tư quy định chi tiết và hướng dẫn một số điều của Nghị định 85/2016/NĐ-CP ngày 01 tháng 7 năm 2016 về bảo đảm an toàn hệ thống thông tin theo cấp độ.
...
Chương III. YÊU CẦU BẢO ĐẢM AN TOÀN HỆ THỐNG THÔNG TIN THEO CẤP ĐỘ
...
Điều 8. Yêu cầu chung

1. Việc bảo đảm an toàn hệ thống thông tin theo cấp độ thực hiện theo yêu cầu cơ bản quy định tại Thông tư này; tiêu chuẩn, quy chuẩn kỹ thuật về an toàn thông tin và tiêu chuẩn, quy chuẩn kỹ thuật chuyên ngành có liên quan khác.

2. Yêu cầu cơ bản đối với từng cấp độ quy định tại Thông tư này là yêu cầu tối thiểu để bảo đảm an toàn hệ thống thông tin và không bao gồm các yêu cầu bảo đảm an toàn vật lý.

3. Yêu cầu cơ bản bao gồm:

a) Yêu cầu kỹ thuật: An toàn hạ tầng mạng; an toàn máy chủ; an toàn ứng dụng và an toàn dữ liệu;

b) Yêu cầu quản lý: Chính sách chung; tổ chức, nhân sự; quản lý thiết kế, xây dựng; quản lý vận hành; kiểm tra, đánh giá và quản lý rủi ro.

4. Việc xây dựng phương án bảo đảm an toàn thông tin đáp ứng yêu cầu cơ bản theo từng cấp độ thực hiện theo nguyên tắc quy định tại khoản 2 Điều 4 Nghị định 85/2016/NĐ-CP, cụ thể như sau:

a) Đối với hệ thống thông tin cấp độ 1,2,3: Phương án bảo đảm an toàn thông tin phải xem xét khả năng dùng chung giữa các hệ thống thông tin đối với các giải pháp bảo vệ, chia sẻ tài nguyên để tối ưu hiệu năng, tránh đầu tư thừa, trùng lặp, lãng phí. Trong trường hợp đầu tư mới, phải có thuyết minh về việc giải pháp đã có không đáp ứng được yêu cầu cơ bản;

b) Đối với hệ thống thông tin cấp độ 4,5: Phương án bảo đảm an toàn thông tin cần được thiết kế bảo đảm tính sẵn sàng, phân tách và hạn chế ảnh hưởng đến toàn bộ hệ thống khi một thành phần trong hệ thống hoặc có liên quan tới hệ thống bị mất an toàn thông tin.

Điều 9. Yêu cầu cơ bản đối với từng cấp độ

1. Phương án bảo đảm an toàn hệ thống thông tin cấp độ 1 phải đáp ứng yêu cầu quy định chi tiết tại Phụ lục 1 ban hành kèm theo Thông tư này.

2. Phương án bảo đảm an toàn hệ thống thông tin cấp độ 2 phải đáp ứng yêu cầu như đối với cấp độ 1 và bổ sung yêu cầu quy định chi tiết tại Phụ lục 2 ban hành kèm theo Thông tư này.

3. Phương án bảo đảm an toàn hệ thống thông tin cấp độ 3 phải đáp ứng yêu cầu như đối với cấp độ 2 và bổ sung yêu cầu quy định chi tiết tại Phụ lục 3 ban hành kèm theo Thông tư này.

4. Phương án bảo đảm an toàn hệ thống thông tin cấp độ 4 phải đáp ứng yêu cầu như đối với cấp độ 3 và bổ sung yêu cầu quy định chi tiết tại Phụ lục 4 ban hành kèm theo Thông tư này.

5. Phương án bảo đảm an toàn hệ thống thông tin cấp độ 5 phải đáp ứng yêu cầu như đối với cấp độ 4 và bổ sung yêu cầu quy định chi tiết tại Phụ lục 5 ban hành kèm theo Thông tư này.

Xem nội dung VB
- Yêu cầu bảo đảm an toàn hệ thống thông tin theo cấp độ được hướng dẫn bởi Chương III Thông tư 03/2017/TT-BTTTT

Căn cứ Nghị định 85/2016/NĐ-CP ngày 01 tháng 7 năm 2016 của Chính phủ về bảo đảm an toàn hệ thống thông tin theo cấp độ;
...
Bộ trưởng Bộ Thông tin và Truyền thông ban hành Thông tư quy định chi tiết và hướng dẫn một số điều của Nghị định 85/2016/NĐ-CP ngày 01 tháng 7 năm 2016 về bảo đảm an toàn hệ thống thông tin theo cấp độ.
...
Chương III. YÊU CẦU BẢO ĐẢM AN TOÀN HỆ THỐNG THÔNG TIN THEO CẤP ĐỘ
...
Điều 8. Yêu cầu chung

1. Việc bảo đảm an toàn hệ thống thông tin theo cấp độ thực hiện theo yêu cầu cơ bản quy định tại Thông tư này; tiêu chuẩn, quy chuẩn kỹ thuật về an toàn thông tin và tiêu chuẩn, quy chuẩn kỹ thuật chuyên ngành có liên quan khác.

2. Yêu cầu cơ bản đối với từng cấp độ quy định tại Thông tư này là yêu cầu tối thiểu để bảo đảm an toàn hệ thống thông tin và không bao gồm các yêu cầu bảo đảm an toàn vật lý.

3. Yêu cầu cơ bản bao gồm:

a) Yêu cầu kỹ thuật: An toàn hạ tầng mạng; an toàn máy chủ; an toàn ứng dụng và an toàn dữ liệu;

b) Yêu cầu quản lý: Chính sách chung; tổ chức, nhân sự; quản lý thiết kế, xây dựng; quản lý vận hành; kiểm tra, đánh giá và quản lý rủi ro.

4. Việc xây dựng phương án bảo đảm an toàn thông tin đáp ứng yêu cầu cơ bản theo từng cấp độ thực hiện theo nguyên tắc quy định tại khoản 2 Điều 4 Nghị định 85/2016/NĐ-CP, cụ thể như sau:

a) Đối với hệ thống thông tin cấp độ 1,2,3: Phương án bảo đảm an toàn thông tin phải xem xét khả năng dùng chung giữa các hệ thống thông tin đối với các giải pháp bảo vệ, chia sẻ tài nguyên để tối ưu hiệu năng, tránh đầu tư thừa, trùng lặp, lãng phí. Trong trường hợp đầu tư mới, phải có thuyết minh về việc giải pháp đã có không đáp ứng được yêu cầu cơ bản;

b) Đối với hệ thống thông tin cấp độ 4,5: Phương án bảo đảm an toàn thông tin cần được thiết kế bảo đảm tính sẵn sàng, phân tách và hạn chế ảnh hưởng đến toàn bộ hệ thống khi một thành phần trong hệ thống hoặc có liên quan tới hệ thống bị mất an toàn thông tin.

Điều 9. Yêu cầu cơ bản đối với từng cấp độ

1. Phương án bảo đảm an toàn hệ thống thông tin cấp độ 1 phải đáp ứng yêu cầu quy định chi tiết tại Phụ lục 1 ban hành kèm theo Thông tư này.

2. Phương án bảo đảm an toàn hệ thống thông tin cấp độ 2 phải đáp ứng yêu cầu như đối với cấp độ 1 và bổ sung yêu cầu quy định chi tiết tại Phụ lục 2 ban hành kèm theo Thông tư này.

3. Phương án bảo đảm an toàn hệ thống thông tin cấp độ 3 phải đáp ứng yêu cầu như đối với cấp độ 2 và bổ sung yêu cầu quy định chi tiết tại Phụ lục 3 ban hành kèm theo Thông tư này.

4. Phương án bảo đảm an toàn hệ thống thông tin cấp độ 4 phải đáp ứng yêu cầu như đối với cấp độ 3 và bổ sung yêu cầu quy định chi tiết tại Phụ lục 4 ban hành kèm theo Thông tư này.

5. Phương án bảo đảm an toàn hệ thống thông tin cấp độ 5 phải đáp ứng yêu cầu như đối với cấp độ 4 và bổ sung yêu cầu quy định chi tiết tại Phụ lục 5 ban hành kèm theo Thông tư này.

Xem nội dung VB
Điều 25. Trách nhiệm của chủ quản hệ thống thông tin

1. Chủ quản hệ thống thông tin có trách nhiệm thực hiện bảo vệ hệ thống thông tin theo quy định tại các điều 22, 23 và 24 của Luật này.

2. Chủ quản hệ thống thông tin sử dụng ngân sách nhà nước thực hiện trách nhiệm quy định tại khoản 1 Điều này và có trách nhiệm sau đây:

a) Có phương án bảo đảm an toàn thông tin mạng được cơ quan nhà nước có thẩm quyền thẩm định khi thiết lập, mở rộng hoặc nâng cấp hệ thống thông tin;

b) Chỉ định cá nhân, bộ phận phụ trách về an toàn thông tin mạng.

Điều 26. Hệ thống thông tin quan trọng quốc gia

1. Khi thiết lập, mở rộng và nâng cấp hệ thống thông tin quan trọng quốc gia phải thực hiện kiểm định an toàn thông tin trước khi đưa vào vận hành, khai thác.

2. Bộ Thông tin và Truyền thông chủ trì, phối hợp với Bộ Quốc phòng, Bộ Công an và bộ, ngành có liên quan xây dựng Danh mục hệ thống thông tin quan trọng quốc gia trình Thủ tướng Chính phủ ban hành.

Điều 27. Trách nhiệm bảo đảm an toàn thông tin mạng cho hệ thống thông tin quan trọng quốc gia

1. Chủ quản hệ thống thông tin quan trọng quốc gia có trách nhiệm sau đây:

a) Thực hiện quy định tại khoản 2 Điều 25 của Luật này;

b) Định kỳ đánh giá rủi ro an toàn thông tin mạng. Việc đánh giá rủi ro an toàn thông tin mạng phải do tổ chức chuyên môn được cơ quan nhà nước có thẩm quyền chỉ định thực hiện;

c) Triển khai biện pháp dự phòng cho hệ thống thông tin;

d) Lập kế hoạch bảo vệ, lập phương án và diễn tập phương án bảo vệ hệ thống thông tin quan trọng quốc gia.

2. Bộ Thông tin và Truyền thông có trách nhiệm sau đây:

a) Chủ trì, phối hợp với chủ quản hệ thống thông tin quan trọng quốc gia, Bộ Công an và bộ, ngành có liên quan hướng dẫn, đôn đốc, thanh tra, kiểm tra công tác bảo vệ an toàn thông tin mạng đối với hệ thống thông tin quan trọng quốc gia, trừ hệ thống thông tin quy định tại khoản 3 và khoản 4 Điều này;

b) Yêu cầu doanh nghiệp viễn thông, doanh nghiệp cung cấp dịch vụ công nghệ thông tin, doanh nghiệp cung cấp dịch vụ an toàn thông tin mạng tham gia tư vấn, hỗ trợ kỹ thuật, ứng cứu sự cố an toàn thông tin mạng cho hệ thống thông tin quan trọng quốc gia.

3. Bộ Công an chủ trì hướng dẫn, đôn đốc, thanh tra, kiểm tra công tác bảo vệ an toàn thông tin mạng đối với hệ thống thông tin quan trọng quốc gia do Bộ Công an quản lý; phối hợp với Bộ Thông tin và Truyền thông, chủ quản hệ thống thông tin quan trọng quốc gia, bộ, ngành, Ủy ban nhân dân các cấp có liên quan trong việc bảo vệ hệ thống thông tin quan trọng quốc gia khác khi có yêu cầu của cơ quan nhà nước có thẩm quyền.

4. Bộ Quốc phòng chủ trì hướng dẫn, đôn đốc, thanh tra, kiểm tra công tác bảo vệ an toàn thông tin mạng đối với hệ thống thông tin quan trọng quốc gia do Bộ Quốc phòng quản lý.

5. Ban Cơ yếu Chính phủ chủ trì tổ chức triển khai giải pháp dùng mật mã để bảo vệ thông tin trong hệ thống thông tin quan trọng quốc gia của cơ quan nhà nước, tổ chức chính trị, tổ chức chính trị - xã hội; phối hợp với chủ quản hệ thống thông tin quan trọng quốc gia trong việc giám sát an toàn thông tin mạng theo quy định của pháp luật.

Xem nội dung VB
- Chủ quản hệ thống thông tin được hướng dẫn bởi Điều 5 Thông tư 03/2017/TT-BTTTT

Căn cứ Nghị định 85/2016/NĐ-CP ngày 01 tháng 7 năm 2016 của Chính phủ về bảo đảm an toàn hệ thống thông tin theo cấp độ;
...
Bộ trưởng Bộ Thông tin và Truyền thông ban hành Thông tư quy định chi tiết và hướng dẫn một số điều của Nghị định 85/2016/NĐ-CP ngày 01 tháng 7 năm 2016 về bảo đảm an toàn hệ thống thông tin theo cấp độ.
...
Điều 5. Chủ quản hệ thống thông tin

1. Đối với cơ quan, tổ chức nhà nước, chủ quản hệ thống thông tin là một trong các trường hợp sau:

a) Bộ, cơ quan ngang bộ, cơ quan thuộc Chính phủ;

b) Ủy ban nhân dân các tỉnh, thành phố trực thuộc Trung ương;

c) Cấp có thẩm quyền quyết định đầu tư dự án xây dựng, thiết lập, nâng cấp, mở rộng hệ thống thông tin.

2. Đối với doanh nghiệp và tổ chức khác, chủ quản hệ thống thông tin là cấp có thẩm quyền quyết định đầu tư dự án xây dựng, thiết lập, nâng cấp, mở rộng hệ thống thông tin.

3. Chủ quản hệ thống thông tin có thể ủy quyền cho một tổ chức thay mặt mình thực hiện quyền quản lý trực tiếp đối với hệ thống thông tin và trách nhiệm bảo đảm an toàn hệ thống thông tin theo quy định tại khoản 2 Điều 20 Nghị định 85/2016/NĐ-CP.

Việc ủy quyền phải được thực hiện bằng văn bản, trong đó nêu rõ phạm vi và thời hạn ủy quyền. Tổ chức được ủy quyền phải trực tiếp thực hiện quyền và nghĩa vụ của chủ quản hệ thống thông tin mà không được ủy quyền lại cho bên thứ ba.

Xem nội dung VB
- Khoản này được hướng dẫn bởi Khoản 1 Điều 15 Thông tư 03/2017/TT-BTTTT

Căn cứ Nghị định 85/2016/NĐ-CP ngày 01 tháng 7 năm 2016 của Chính phủ về bảo đảm an toàn hệ thống thông tin theo cấp độ;
...
Bộ trưởng Bộ Thông tin và Truyền thông ban hành Thông tư quy định chi tiết và hướng dẫn một số điều của Nghị định 85/2016/NĐ-CP ngày 01 tháng 7 năm 2016 về bảo đảm an toàn hệ thống thông tin theo cấp độ.
...
Điều 15. Tổ chức thẩm định hồ sơ đề xuất cấp độ

1. Đối với hệ thống thông tin được đề xuất cấp độ 1,2,3:

Đơn vị chuyên trách về an toàn thông tin thực hiện thẩm định hồ sơ đề xuất cấp độ theo quy định tại Điều 16 Nghị định 85/2016/NĐ-CP.

Trong quá trình thẩm định, trong trường hợp cần thiết, đơn vị chuyên trách về an toàn thông tin lấy ý kiến bằng văn bản của các đơn vị liên quan.

Xem nội dung VB
- Đơn vị vận hành hệ thống thông tin được hướng dẫn bởi Điều 6 Thông tư 03/2017/TT-BTTTT

Căn cứ Nghị định 85/2016/NĐ-CP ngày 01 tháng 7 năm 2016 của Chính phủ về bảo đảm an toàn hệ thống thông tin theo cấp độ;
...
Bộ trưởng Bộ Thông tin và Truyền thông ban hành Thông tư quy định chi tiết và hướng dẫn một số điều của Nghị định 85/2016/NĐ-CP ngày 01 tháng 7 năm 2016 về bảo đảm an toàn hệ thống thông tin theo cấp độ.
...
Điều 6. Đơn vị vận hành hệ thống thông tin

1. Đơn vị vận hành hệ thống thông tin là cơ quan, tổ chức được chủ quản hệ thống thông tin giao nhiệm vụ vận hành hệ thống thông tin.

2. Trong trường hợp hệ thống thông tin bao gồm nhiều hệ thống thành phần hoặc phân tán, có nhiều hơn một đơn vị vận hành hệ thống thông tin, chủ quản hệ thống thông tin phải có trách nhiệm chỉ định một đơn vị làm đầu mối để thực hiện quyền và nghĩa vụ của đơn vị vận hành hệ thống thông tin theo quy định của pháp luật.

3. Trong trường hợp chủ quản hệ thống thông tin thuê ngoài dịch vụ công nghệ thông tin, đơn vị vận hành hệ thống thông tin là bên cung cấp dịch vụ.

Xem nội dung VB
- Khoản này được hướng dẫn bởi Điều 7 Thông tư 03/2017/TT-BTTTT

Căn cứ Nghị định 85/2016/NĐ-CP ngày 01 tháng 7 năm 2016 của Chính phủ về bảo đảm an toàn hệ thống thông tin theo cấp độ;
...
Bộ trưởng Bộ Thông tin và Truyền thông ban hành Thông tư quy định chi tiết và hướng dẫn một số điều của Nghị định 85/2016/NĐ-CP ngày 01 tháng 7 năm 2016 về bảo đảm an toàn hệ thống thông tin theo cấp độ.
...
Điều 7. Hướng dẫn xác định và thuyết minh cấp độ an toàn hệ thống thông tin

Việc xác định cấp độ và thuyết minh cấp độ an toàn hệ thống thông tin thực hiện như sau:

1. Xác định và phân loại hệ thống thông tin; xác định chủ quản hệ thống thông tin, đơn vị vận hành hệ thống thông tin căn cứ theo quy định tại các Điều 5, 6 Nghị định 85/2016/NĐ-CP và các Điều 4,5,6 Thông tư này.

2. Xác định loại thông tin được xử lý thông qua hệ thống thông tin căn cứ theo quy định tại khoản 1 Điều 6 Nghị định 85/2016/NĐ-CP.

3. Xác định cấp độ căn cứ theo quy định tại các điều từ Điều 7 đến Điều 11 Nghị định 85/2016/NĐ-CP. Đối với hệ thống thông tin đề xuất là cấp độ 4 hoặc cấp độ 5, thuyết minh đề xuất cấp độ làm rõ các nội dung sau đây:

a) Xác định các hệ thống thông tin khác có liên quan hoặc có kết nối đến hoặc có ảnh hưởng quan trọng tới hoạt động bình thường của hệ thống thông tin được đề xuất; trong đó, xác định rõ mức độ ảnh hưởng đến hệ thống thông tin đang được đề xuất cấp độ khi các hệ thống này bị mất an toàn thông tin.

b) Danh mục đề xuất các thành phần, thiết bị mạng quan trọng, các loại thông tin quan trọng được xử lý trong hệ thống (nếu có);

c) Thuyết minh về mức độ quan trọng của các thành phần, thiết bị mạng quan trọng, các loại thông tin, dữ liệu được xử lý hoặc lưu trữ trên hệ thống (nếu có);

d) Thuyết minh về các nguy cơ tấn công mạng, mất an toàn thông tin đối với hệ thống, các thành phần hệ thống và các thiết bị mạng quan trọng; ảnh hưởng của các nguy cơ tấn công mạng, mất an toàn thông tin này đối với các tiêu chí xác định cấp độ theo Điều 10, 11 Nghị định 85/2016/NĐ-CP;

đ) Đánh giá phạm vi và mức độ ảnh hưởng tới lợi ích công cộng, trật tự an toàn xã hội hoặc quốc phòng, an ninh quốc gia khi bị tấn công mạng gây mất an toàn thông tin hoặc gián đoạn hoạt động của từng hệ thống đã được xác định.

Đối với hệ thống thông tin cấp độ 4, thuyết minh yêu cầu cần phải vận hành 24/7 và không chấp nhận ngừng vận hành mà không có kế hoạch trước;

e) Thuyết minh khác (nếu có) trên cơ sở thực tế hoạt động của hệ thống thông tin.

Xem nội dung VB
- Khoản này được hướng dẫn bởi Điều 12 Thông tư 03/2017/TT-BTTTT

Căn cứ Nghị định 85/2016/NĐ-CP ngày 01 tháng 7 năm 2016 của Chính phủ về bảo đảm an toàn hệ thống thông tin theo cấp độ;
...
Bộ trưởng Bộ Thông tin và Truyền thông ban hành Thông tư quy định chi tiết và hướng dẫn một số điều của Nghị định 85/2016/NĐ-CP ngày 01 tháng 7 năm 2016 về bảo đảm an toàn hệ thống thông tin theo cấp độ.
...
Điều 12. Đánh giá hiệu quả của biện pháp bảo đảm an toàn thông tin

1. Đánh giá hiệu quả của biện pháp bảo đảm an toàn thông tin là việc rà soát một cách tổng thể, xác minh mức độ hiệu quả của phương án bảo đảm an toàn thông tin theo từng tiêu chí, yêu cầu cơ bản cụ thể.

Đánh giá hiệu quả của biện pháp bảo đảm an toàn thông tin đã được áp dụng là cơ sở để tiến hành điều chỉnh phương án bảo đảm an toàn thông tin cho phù hợp với yêu cầu thực tiễn.

2. Đơn vị chủ trì đánh giá là một trong những tổ chức sau đây:

a) Cục An toàn thông tin;

b) Đơn vị chuyên trách về an toàn thông tin;

c) Tổ chức sự nghiệp nhà nước có chức năng, nhiệm vụ phù hợp;

d) Doanh nghiệp đã được cấp phép cung cấp dịch vụ kiểm tra, đánh giá an toàn thông tin mạng.

3. Đơn vị vận hành hệ thống thông tin lập kế hoạch đánh giá định kỳ cho năm sau trình cấp có thẩm quyền phê duyệt để làm cơ sở triển khai thực hiện. Kế hoạch đánh giá bao gồm:

a) Danh sách các đơn vị, hệ thống thông tin sẽ tiến hành đánh giá;

b) Thời gian tiến hành đánh giá;

c) Đơn vị thực hiện: Tự thực hiện hoặc do đơn vị chuyên trách về an toàn thông tin thực hiện hoặc thuê ngoài theo quy định của pháp luật.

4. Trường hợp có thay đổi so với kế hoạch đánh giá đã được phê duyệt, đơn vị vận hành hệ thống thông tin lập kế hoạch đánh giá điều chỉnh trình cấp có thẩm quyền phê duyệt điều chỉnh.

5. Sau khi kết thúc kiểm tra trực tiếp tại cơ sở, đơn vị chủ trì đánh giá có trách nhiệm thông báo cho đơn vị vận hành hệ thống thông tin biết và bàn giao tài liệu, trang thiết bị sử dụng (nếu có) trong quá trình kiểm tra.

Đơn vị chủ trì đánh giá có trách nhiệm dự thảo Báo cáo đánh giá, gửi cho đơn vị vận hành hệ thống thông tin để lấy ý kiến. Trong thời hạn 05 ngày kể từ ngày nhận được dự thảo Báo cáo đánh giá, đơn vị vận hành hệ thống thông tin có trách nhiệm có ý kiến đối với các nội dung dự thảo.

6. Trên cơ sở dự thảo Báo cáo đánh giá, ý kiến của đơn vị vận hành hệ thống thông tin, đơn vị chủ trì đánh giá hoàn thiện Báo cáo đánh giá, gửi đơn vị vận hành và chủ quản hệ thống thông tin.

Xem nội dung VB
- Điểm này được hướng dẫn bởi Khoản 2 Điều 15 Thông tư 03/2017/TT-BTTTT

Căn cứ Nghị định 85/2016/NĐ-CP ngày 01 tháng 7 năm 2016 của Chính phủ về bảo đảm an toàn hệ thống thông tin theo cấp độ;
...
Bộ trưởng Bộ Thông tin và Truyền thông ban hành Thông tư quy định chi tiết và hướng dẫn một số điều của Nghị định 85/2016/NĐ-CP ngày 01 tháng 7 năm 2016 về bảo đảm an toàn hệ thống thông tin theo cấp độ.
...
Điều 15. Tổ chức thẩm định hồ sơ đề xuất cấp độ
...
2. Đối với hệ thống thông tin được đề xuất cấp độ 4,5:

Bộ Thông tin và Truyền thông thực hiện thẩm định hồ sơ đề xuất cấp độ theo quy định tại Điều 16 Nghị định 85/2016/NĐ-CP. Việc tổ chức thẩm định hồ sơ đề xuất cấp độ được thực hiện theo quy trình sau:

a) Cục An toàn thông tin lấy ý kiến bằng văn bản của Vụ Pháp chế và đơn vị liên quan khác thuộc Bộ Thông tin và Truyền thông trong trường hợp cần thiết theo chức năng, nhiệm vụ của các đơn vị;

b) Bộ Thông tin và Truyền thông lấy ý kiến bằng văn bản của Bộ Quốc phòng, Bộ Công an theo quy định.

c) Căn cứ ý kiến bằng văn bản của Bộ Quốc phòng, Bộ Công an và các đơn vị liên quan, trong trường hợp cần thiết, Bộ Thông tin và Truyền thông thành lập Hội đồng thẩm định để trao đổi, thảo luận, cho ý kiến cụ thể. Chủ tịch Hội đồng thẩm định do Bộ trưởng Bộ Thông tin và Truyền thông phân công, đại diện Lãnh đạo Cục An toàn thông tin, Vụ Pháp chế, Trung tâm VNCERT - Bộ Thông tin và Truyền thông, đại diện Lãnh đạo đơn vị chức năng của Bộ Công an, Bộ Quốc phòng và một số chuyên gia độc lập (nếu cần thiết) làm thành viên.

Xem nội dung VB
- Điểm này được hướng dẫn bởi Điều 4 Thông tư 03/2017/TT-BTTTT

Căn cứ Nghị định 85/2016/NĐ-CP ngày 01 tháng 7 năm 2016 của Chính phủ về bảo đảm an toàn hệ thống thông tin theo cấp độ;
...
Bộ trưởng Bộ Thông tin và Truyền thông ban hành Thông tư quy định chi tiết và hướng dẫn một số điều của Nghị định 85/2016/NĐ-CP ngày 01 tháng 7 năm 2016 về bảo đảm an toàn hệ thống thông tin theo cấp độ.
...
Điều 4. Hướng dẫn xác định hệ thống thông tin cụ thể

1. Việc xác định hệ thống thông tin để xác định cấp độ căn cứ trên nguyên tắc quy định tại khoản 1 Điều 5 Nghị định 85/2016/NĐ-CP.

2. Hệ thống thông tin được thiết lập, hình thành thông qua một hoặc một số hình thức sau: Đầu tư xây dựng, thiết lập mới; nâng cấp, mở rộng, tích hợp với hệ thống đã có; thuê hoặc chuyển giao hệ thống.

3. Hệ thống thông tin phục vụ hoạt động nội bộ là hệ thống chỉ phục vụ hoạt động quản trị, vận hành nội bộ của cơ quan, tổ chức, bao gồm:

a) Hệ thống thư điện tử;

b) Hệ thống quản lý văn bản và điều hành;

c) Hệ thống họp, hội nghị truyền hình trực tuyến;

d) Hệ thống quản lý thông tin cụ thể (nhân sự, tài chính, tài sản hoặc lĩnh vực chuyên môn nghiệp vụ cụ thể khác) hoặc hệ thống quản lý thông tin tổng thể (tích hợp quản lý nhiều chức năng, nghiệp vụ khác nhau);

đ) Hệ thống xử lý thông tin nội bộ.

4. Hệ thống thông tin phục vụ người dân, doanh nghiệp là hệ thống trực tiếp hoặc hỗ trợ cung cấp dịch vụ trực tuyến, bao gồm dịch vụ công trực tuyến và dịch vụ trực tuyến khác trong các lĩnh vực viễn thông, công nghệ thông tin, thương mại, tài chính, ngân hàng, y tế, giáo dục và lĩnh vực chuyên ngành khác, bao gồm:

a) Hệ thống thư điện tử;

b) Hệ thống quản lý văn bản và điều hành;

c) Hệ thống một cửa điện tử;

d) Hệ thống trang, cổng thông tin điện tử;

đ) Hệ thống cung cấp hoặc hỗ trợ cung cấp dịch vụ trực tuyến;

e) Hệ thống chăm sóc khách hàng.

5. Hệ thống cơ sở hạ tầng thông tin là tập hợp trang thiết bị, đường truyền dẫn kết nối phục vụ chung hoạt động của nhiều cơ quan, tổ chức, bao gồm:

a) Mạng nội bộ, mạng diện rộng, mạng truyền số liệu chuyên dùng;

b) Hệ thống cơ sở dữ liệu, trung tâm dữ liệu, điện toán đám mây;

c) Hệ thống xác thực điện tử, chứng thực điện tử, chữ ký số;

d) Hệ thống kết nối liên thông, trục tích hợp các hệ thống thông tin.

6. Hệ thống thông tin điều khiển công nghiệp là hệ thống có chức năng giám sát, thu thập dữ liệu, quản lý và kiểm soát các hạng mục quan trọng phục vụ điều khiển, vận hành hoạt động bình thường của các công trình xây dựng, bao gồm:

a) Hệ thống điều khiển lập trình được (PLCs);

b) Hệ thống điều khiển phân tán (DCS);

c) Hệ thống giám sát và thu thập dữ liệu (SCADA).

7. Hệ thống thông tin khác là hệ thống thông tin không thuộc các loại hình trên, được sử dụng để trực tiếp phục vụ hoặc hỗ trợ hoạt động nghiệp vụ, sản xuất, kinh doanh cụ thể của cơ quan, tổ chức theo lĩnh vực chuyên ngành.

Xem nội dung VB
- Điểm này được hướng dẫn bởi Thông tư 03/2017/TT-BTTTT

Căn cứ Nghị định 85/2016/NĐ-CP ngày 01 tháng 7 năm 2016 của Chính phủ về bảo đảm an toàn hệ thống thông tin theo cấp độ;
...
Bộ trưởng Bộ Thông tin và Truyền thông ban hành Thông tư quy định chi tiết và hướng dẫn một số điều của Nghị định 85/2016/NĐ-CP ngày 01 tháng 7 năm 2016 về bảo đảm an toàn hệ thống thông tin theo cấp độ.
...
Chương I. QUY ĐỊNH CHUNG

Điều 1. Phạm vi điều chỉnh
...
Điều 2. Đối tượng áp dụng
...
Điều 3. Giải thích từ ngữ
...
Chương II. HƯỚNG DẪN XÁC ĐỊNH HỆ THỐNG THÔNG TIN VÀ CẤP ĐỘ AN TOÀN HỆ THỐNG THÔNG TIN

Điều 4. Hướng dẫn xác định hệ thống thông tin cụ thể
...
Điều 5. Chủ quản hệ thống thông tin
...
Điều 6. Đơn vị vận hành hệ thống thông tin
...
Điều 7. Hướng dẫn xác định và thuyết minh cấp độ an toàn hệ thống thông tin
...
Chương III. YÊU CẦU BẢO ĐẢM AN TOÀN HỆ THỐNG THÔNG TIN THEO CẤP ĐỘ

Điều 8. Yêu cầu chung
...
Điều 9. Yêu cầu cơ bản đối với từng cấp độ
...
Chương IV. KIỂM TRA, ĐÁNH GIÁ AN TOÀN THÔNG TIN

Điều 10. Nội dung, hình thức kiểm tra, đánh giá
...
Điều 11. Kiểm tra việc tuân thủ quy định của pháp luật về bảo đảm an toàn hệ thống thông tin theo cấp độ
...
Điều 12. Đánh giá hiệu quả của biện pháp bảo đảm an toàn thông tin
...
Điều 13. Đánh giá phát hiện mã độc, lỗ hổng, điểm yếu, thử nghiệm xâm nhập hệ thống
...
Chương V. TIẾP NHẬN VÀ THẨM ĐỊNH HỒ SƠ ĐỀ XUẤT CẤP ĐỘ

Điều 14. Nộp và tiếp nhận hồ sơ đề xuất cấp độ để thẩm định
...
Điều 15. Tổ chức thẩm định hồ sơ đề xuất cấp độ
...
Điều 16. Cơ chế phối hợp thẩm định
...
Chương VII. TỔ CHỨC THỰC HIỆN
...
Điều 19. Hiệu lực thi hành
...
PHỤ LỤC 1. YÊU CẦU CƠ BẢN BẢO ĐẢM AN TOÀN HỆ THỐNG THÔNG TIN ĐỐI VỚI HỆ THỐNG THÔNG TIN CẤP ĐỘ 1
...
PHỤ LỤC 2. YÊU CẦU CƠ BẢN BẢO ĐẢM AN TOÀN HỆ THỐNG THÔNG TIN ĐỐI VỚI HỆ THỐNG THÔNG TIN CẤP ĐỘ 2
...
PHỤ LỤC 3. YÊU CẦU CƠ BẢN BẢO ĐẢM AN TOÀN HỆ THỐNG THÔNG TIN ĐỐI VỚI HỆ THỐNG THÔNG TIN CẤP ĐỘ 3
...
PHỤ LỤC 4. YÊU CẦU CƠ BẢN BẢO ĐẢM AN TOÀN HỆ THỐNG THÔNG TIN ĐỐI VỚI HỆ THỐNG THÔNG TIN CẤP ĐỘ 4
...
PHỤ LỤC 5. YÊU CẦU CƠ BẢN BẢO ĐẢM AN TOÀN HỆ THỐNG THÔNG TIN ĐỐI VỚI HỆ THỐNG THÔNG TIN CẤP ĐỘ 5

Xem nội dung VB
- Điểm này được hướng dẫn bởi Chương IV Thông tư 03/2017/TT-BTTTT

Căn cứ Nghị định 85/2016/NĐ-CP ngày 01 tháng 7 năm 2016 của Chính phủ về bảo đảm an toàn hệ thống thông tin theo cấp độ;
...
Bộ trưởng Bộ Thông tin và Truyền thông ban hành Thông tư quy định chi tiết và hướng dẫn một số điều của Nghị định 85/2016/NĐ-CP ngày 01 tháng 7 năm 2016 về bảo đảm an toàn hệ thống thông tin theo cấp độ.
...
Chương IV. KIỂM TRA, ĐÁNH GIÁ AN TOÀN THÔNG TIN

Điều 10. Nội dung, hình thức kiểm tra, đánh giá
...
Điều 11. Kiểm tra việc tuân thủ quy định của pháp luật về bảo đảm an toàn hệ thống thông tin theo cấp độ
...
Điều 12. Đánh giá hiệu quả của biện pháp bảo đảm an toàn thông tin
...
Điều 13. Đánh giá phát hiện mã độc, lỗ hổng, điểm yếu, thử nghiệm xâm nhập hệ thống

Xem nội dung VB
- Việc lập dự toán, quản lý, sử dụng và quyết toán kinh phí để thực hiện công tác ứng cứu sự cố, bảo đảm an toàn thông tin mạng được hướng dẫn bởi Thông tư 121/2018/TT-BTC

Căn cứ Nghị định số 85/2016/NĐ-CP ngày 01 tháng 7 năm 2016 của Chính phủ về bảo đảm an toàn hệ thống thông tin theo cấp độ;
...
Bộ trưởng Bộ Tài chính ban hành Thông tư quy định về lập dự toán, quản lý, sử dụng và quyết toán kinh phí để thực hiện công tác ứng cứu sự cố, bảo đảm an toàn thông tin mạng.

Điều 1. Phạm vi điều chỉnh
...
Điều 2. Đối tượng áp dụng
...
Điều 3. Nguồn kinh phí
...
Điều 4. Nguyên tắc quản lý, sử dụng kinh phí
...
Điều 5. Nội dung chi
...
Điều 6. Mức chi
...
Điều 7. Lập dự toán, phân bổ dự toán, sử dụng và quyết toán
...
Điều 8. Điều khoản thi hành

Xem nội dung VB




Hiện tại không có văn bản nào liên quan.