• Lưu trữ
  • Thông báo
  • Ghi chú
  • Facebook
  • Google
    • 12

Văn bản pháp luật về Luật An ninh mạng


Văn bản pháp luật về An toàn thông tin mạng

 

Quyết định 201/QĐ-BTC năm 2018 về Quy chế An toàn thông tin mạng Bộ Tài chính

Tải về Quyết định 201/QĐ-BTC
Bản Tiếng Việt

BỘ TÀI CHÍNH
-------

CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM
Độc lập - Tự do - Hạnh phúc
---------------

Số: 201/QĐ-BTC

Hà Nội, ngày 12 tháng 02 năm 2018

 

QUYẾT ĐỊNH

BAN HÀNH QUY CHẾ AN TOÀN THÔNG TIN MẠNG BỘ TÀI CHÍNH

BỘ TRƯỞNG BỘ TÀI CHÍNH

Căn cứ Luật An toàn thông tin mạng năm 2015;

Căn cứ Nghị định số 85/2016/NĐ-CP ngày 01/7/2016 của Chính phủ về bảo đảm an toàn hệ thống thông tin theo cấp độ;

Căn cứ Nghị định số 142/2016/NĐ-CP ngày 01/7/2016 của Chính phủ về ngăn chặn xung đột thông tin trên mạng;

Căn cứ Quyết định số 05/2017/QĐ-TTg ngày 16/3/2017 của Thủ tướng Chính phủ ban hành Quy định về hệ thống phương án ứng cứu khẩn cấp bảo đảm an toàn thông tin mạng quốc gia;

Căn cứ Quyết định số 632/QĐ-TTg ngày 10/5/2017 của Thủ tướng Chính phủ ban hành Danh mục lĩnh vực quan trọng cần ưu tiên bảo đảm an toàn thông tin mạng và hệ thống thông tin quan trọng quốc gia;

Căn cứ Quyết định số 1622/QĐ-TTg ngày 25/10/2017 của Thủ tướng Chính phủ về việc phê duyệt Đán đẩy mạnh hoạt động của mạng lưới ứng cu sự c, tăng cường năng lực cho cán bộ, bộ phận chuyên trách ứng cứu sự can toàn thông tin mạng trên toàn quốc đến 2020, định hướng đến 2025;

Căn cứ Nghị định số 87/2017/NĐ-CP ngày 26/7/2017 của Chính phủ quy định chức năng, nhiệm vụ, quyền hạn và cơ cấu tổ chức của Bộ Tài chính;

Căn cứ Thông tư số 03/2017/TT-BTTTT ngày 24/4/2017 của Bộ Thông tin và Truyền thông quy định chi tiết và hướng dẫn một số điều của Nghị định s85/2016/NĐ-CP ngày 01/7/2016 của Chính phủ về bảo đảm an toàn hệ thống thông tin theo cấp độ;

Căn cứ Thông tư số 20/2017/TT-BTTTT ngày 12/9/2017 của Bộ Thông tin và Truyền thông quy đnh về điều phối, ứng cứu sự cố an toàn thông tin mạng trên toàn quốc;

Căn cứ Thông tư số 31/2017/TT-BTTTT ngày 15/11/2017 của Bộ Thông tin và Truyền thông quy định hoạt động giám sát an toàn hệ thống thông tin;

Căn cứ Quyết đnh số 2582/QĐ-BKHCN ngày 25/9/2017 của Bộ trưởng Bộ Khoa học và Công nghệ về việc công bố Tiêu chuẩn quốc gia TCVN 11930:2017 yêu cầu cơ bản về an toàn hệ thống thông tin theo cấp độ;

Xét đề nghị của Cục trưởng Cục Tin học và Thống kê tài chính,

QUYẾT ĐỊNH:

Điều 1. Ban hành kèm theo Quyết định này Quy chế An toàn thông tin mạng Bộ Tài chính.

Điều 2. Quyết định này có hiệu lực từ ngày ký, thay thế Quyết định số 3317/QĐ-BTC ngày 24/12/2014 của Bộ trưởng Bộ Tài chính ban hành Quy định về việc đảm bảo an toàn thông tin trên môi trường máy tính và mạng máy tính; Quyết định số 627/QĐ-BTC ngày 05/4/2017 về việc sửa đổi, bổ sung một số điều của Quy định về việc đảm bảo an toàn thông tin trên môi trường máy tính và mạng máy tính ban hành kèm theo Quyết định số 3317/QĐ-BTC ngày 24/12/2014.

Điều 3. Cục trưởng Cục Tin học và Thống kê tài chính, Thủ trưởng các cơ quan hành chính, đơn vị sự nghiệp, doanh nghiệp thuộc Bộ Tài chính, công chức, viên chức Bộ Tài chính, tổ chức và cá nhân có liên quan chịu trách nhiệm thi hành Quyết định này./.

 


Nơi nhận:
- Như Điều 3;
- Bộ Thông tin và Truyền thông;
- Bộ Công an;
- Bộ Quốc phòng;
- S
Tài chính các tỉnh, thành phố;
- C
ng thông tin điện tử Bộ Tài chính;
- Lưu: VT, THTK (120b).

KT. BỘ TRƯỞNG
THỨ TRƯỞNG




Vũ Thị Mai

 

QUY CHẾ

AN TOÀN THÔNG TIN MẠNG BỘ TÀI CHÍNH
(Kèm theo Quyết định s201/QĐ-BTC ngày 12 tháng 02 năm 2018 của Bộ trưởng Bộ Tài chính)

Chương I

QUY ĐỊNH CHUNG

Điều 1. Phạm vi điều chỉnh và đối tượng áp dụng

1. Phạm vi điều chỉnh: Quy chế này triển khai áp dụng Luật An toàn thông tin mạng, văn bản quy định, tiêu chuẩn liên quan và các biện pháp nhằm bảo đảm an toàn thông tin và các hệ thống thông tin của Bộ Tài chính.

2. Đối tượng áp dụng:

a) Cơ quan hành chính, đơn vị sự nghiệp, doanh nghiệp thuộc Bộ Tài chính (gọi chung là các đơn vị thuộc Bộ); Cán bộ thuộc các đơn vị thuộc Bộ (gọi tắt là người dùng).

b) Cơ quan, tổ chức, cá nhân có kết nối vào mạng máy tính của ngành Tài chính.

c) Cơ quan, tổ chức, cá nhân cung cấp dịch vụ công nghệ thông tin và an toàn thông tin mạng cho các đơn vị thuộc Bộ Tài chính.

Điều 2. Giải thích từ ngữ sử dụng trong Quy chế

1. “An toàn thông tin mạng”: Sự bảo vệ thông tin số và hệ thống thông tin khỏi bị truy nhập, sử dụng, tiết lộ, gián đoạn, sửa đổi hoặc phá hoại trái phép nhằm bảo đảm tính nguyên vẹn, tính bảo mật và tính khả dụng của thông tin.

2. “Kết nối Internet”: Kết nối mạng tới hệ thống mạng Internet nhằm cung cấp khả năng truy cập Internet hoặc cung cấp thông tin, dịch vụ ra Internet.

3. “Mạng nội bộ”: Mạng máy tính trong phạm vi trụ sở của một đơn vị thuộc Bộ.

4. “Mạng của ngành Tài chính”: Từ chỉ chung “mạng nội bộ”, “hạ tầng truyền thông thống nhất ngành Tài chính”.

5. “Phát hiện, ngăn chặn tấn công có chủ đích”: Phát hiện, ngăn chặn loại hình tấn công được thiết kế nhằm đột nhập vào một hệ thống thông tin cụ thể.

6. “Phòng chống tấn công từ chối dịch vụ”: Ngăn chặn tác dụng của các cuộc tấn công trên mạng nhằm làm suy giảm hoặc gián đoạn hoạt động của một trang tin, ứng dụng, dịch vụ hoặc hệ thống mạng, dẫn đến người dùng không thể sử dụng trang tin, ứng dụng, dịch vụ hoặc hệ thống mạng này.

7. “Phòng chống xâm nhập”: phát hiện, ngăn chặn các hoạt động vào, ra trên hệ thống thông tin được bảo vệ có dấu hiệu gây hại hoặc vi phạm chính sách an toàn mạng.

8. “Proxy”: Hệ thống làm nhiệm vụ chuyển tiếp yêu cầu truy cập Internet từ bên trong mạng nội bộ ra Internet, nhằm che giấu thông tin về thiết bị, máy tính đưa ra yêu cầu truy cập Internet.

9. “Thiết bị HSM”: Thiết bị lưu khóa bí mật và ký số chuyên dụng dùng cho cơ quan, tổ chức.

10. “Tổng cục thuộc Bộ”: Kho bạc Nhà nước, Tổng cục Thuế, Tổng cục Hải quan, Tổng cục Dự trữ Nhà nước, Ủy ban Chứng khoán Nhà nước.

11. “Truy cập Internet”: Việc tiếp cận, khai thác, sử dụng thông tin, tài liệu, ứng dụng, dịch vụ trên Internet.

12. “Tường lửa”: Hệ thống cho phép hoặc không cho phép thiết lập kết nối mạng giữa thiết bị thuộc vùng mạng này và thiết bị thuộc vùng mạng khác theo chính sách an toàn mạng của đơn vị.

13. “Tường lửa ứng dụng web”: Hệ thống ngăn chặn các tấn công nhằm vào các điểm yếu của lớp ứng dụng web.

14. “Remote Desktop”: Giải pháp đảm bảo an toàn truy cập Internet của người dùng thông qua việc thiết lập kết nối Internet từ máy chủ cài đặt phần mềm Remote Desktop Services thay cho từ máy tính làm việc của người dùng.

15. “Sở Giao dịch Chứng khoán”: Sở Giao dịch Chứng khoán Hà Nội, SGiao dịch Chứng khoán Thành phố Hồ Chí Minh.

16. “VDI”: Viết tắt của cụm từ Virtual Desktop Infrastructure, là giải pháp cung cp môi trường làm việc trên hệ thống ảo hóa, được vận dụng để đảm bảo an toàn truy cập Internet của người dùng thông qua việc thiết lập kết nối Internet từ hệ thống ảo hóa thay cho từ máy tính làm việc của người dùng.

17. “Xác thực đa yếu tố”: Việc kiểm tra đối tượng truy nhập hệ thống thông tin sử dụng thêm ít nhất 1 yếu tố ngoài tên truy nhập và mật khẩu.

Điều 3. Nguyên tắc bảo đảm an toàn thông tin mạng tại Bộ Tài chính

1. Cán bộ, công chức, viên chức, nhân viên, các đơn vị thuộc Bộ có trách nhiệm bảo đảm an toàn thông tin và hệ thống thông tin trong phạm vi xử lý công việc của mình theo quy định của Nhà nước, Bộ Tài chính và hướng dẫn của cơ quan, đơn vị có thẩm quyền trong lĩnh vực bảo đảm an toàn thông tin mạng.

2. Bảo đảm an toàn thông tin mạng phải được thực hiện tại tất cả các công đoạn liên quan đến thông tin và hệ thống thông tin.

3. Thông tin mật, thông tin thuộc Danh mục bí mật nhà nước ngành Tài chính phải được bảo vệ theo quy định của Nhà nước, quy định của Bộ Tài chính về công tác bảo vệ bí mật nhà nước và các nội dung tương ứng trong Quy chế này.

Điều 4. Các hành vi bị nghiêm cấm

1. Các hành vi bị nghiêm cấm quy định tại Điều 7 Luật An toàn thông tin mạng.

2. Tự ý đấu nối thiết bị mạng, thiết bị cấp phát địa chỉ mạng, thiết bị phát sóng như điểm truy cập không dây của cá nhân vào mạng nội bộ; trên cùng một thiết bị thực hiện đồng thời truy cập vào mạng nội bộ và truy cập Internet bằng thiết bị kết nối Internet của cá nhân (modem quay số, USB 3G/4G, điện thoại di động, máy tính bảng, máy tính xách tay).

3. Tự ý thay đổi, gỡ bỏ biện pháp an toàn thông tin cài đặt trên thiết bị công nghệ thông tin phục vụ công việc; tự ý thay thế, lắp mới, tráo đổi thành phn của máy tính phục vụ công việc.

Chương II

BẢO ĐẢM AN TOÀN HỆ THỐNG THÔNG TIN

Điều 5. Phân định vai trò theo quy định của pháp luật về bảo đảm an toàn hệ thống thông tin theo cấp độ

1. Chủ quản hệ thống thông tin:

a) Bộ Tài chính là chủ quản hệ thống thông tin đối với các hệ thống do Bộ quyết định đu tư hoặc Bộ được giao làm chủ đầu tư dự án xây dựng, thiết lập, nâng cp, mở rộng hệ thống thông tin.

Bộ Tài chính ủy quyền cho các đơn vị thuộc Bộ quản lý trực tiếp các hệ thống do Bộ làm chủ quản thông qua một trong các văn bản sau: Quyết định phê duyệt dự án, trong đó giao đơn vị làm chủ đầu tư dự án; Thông tư của Bộ Tài chính hoặc Quyết định của Bộ trưởng Bộ Tài chính có nội dung giao đơn vị làm nhiệm vụ quản lý hệ thống; Văn bản ủy quyền theo quy định tại khoản 3 Điều 5 Thông tư số 03/2017/TT-BTTTT.

b) Các đơn vị thuộc Bộ là chủ quản hệ thống thông tin do đơn vị quyết định đầu tư dự án xây dựng, thiết lập, nâng cấp, mở rộng hệ thống thông tin; là chủ quản hệ thống thông tin do đơn vị phê duyệt đề cương, dự toán chi tiết; quản lý trực tiếp các hệ thống do Bộ Tài chính ủy quyền theo quy định tại điểm a khoản này.

c) Chủ quản hệ thống thông tin (hoặc đơn vị được ủy quyền quản lý trực tiếp hệ thống thông tin) thực hiện trách nhiệm theo quy định tại Điều 20 Nghị định 85/2016/NĐ-CP.

2. Đơn vị vận hành hệ thống thông tin:

a) Cục Tin học và Thống kê tài chính là đơn vị vận hành hệ thống thông tin đối với hệ thống do Cục Tin học và Thống kê tài chính làm chủ quản hoặc được Bộ Tài chính ủy quyền quản lý trực tiếp, các hệ thống do các Cục, Vụ thuộc Bộ làm chủ quản.

b) Cục Công nghệ thông tin các Tổng cục thuộc Bộ là đơn vị vận hành hệ thống thông tin do đơn vị làm chủ quản, do Tổng cục làm chủ quản hoặc được Bộ Tài chính ủy quyền quản lý trực tiếp.

c) Bộ phận chuyên trách về công nghệ thông tin thuộc doanh nghiệp (phòng Công nghệ thông tin hoặc đơn vị, bộ phận có chức năng tương đương) là đơn vị vận hành hệ thống thông tin do doanh nghiệp làm chủ quản hoặc được Bộ Tài chính ủy quyền quản lý trực tiếp.

d) Đơn vị vận hành hệ thống thông tin thực hiện trách nhiệm theo quy định tại khoản 2, 3, 4, 5 Điều 22 Nghị định 85/2016/NĐ-CP.

3. Đơn vị chuyên trách về an toàn thông tin:

a) Đơn vị vận hành hệ thống thông tin quy định tại khoản 2 điều này đồng thời đóng vai trò đơn vị chuyên trách về an toàn thông tin trong phạm vi tương ứng.

b) Đơn vị chuyên trách về an toàn thông tin cấp Bộ và Tổng cục thành lập bộ phận chuyên trách về an toàn thông tin (Phòng hoặc Tổ). Đơn vị chuyên trách van toàn thông tin các cấp còn lại chỉ định cá nhân phụ trách (chuyên trách hoặc kiêm nhiệm) công tác an toàn thông tin mạng.

c) Đơn vị chuyên trách về an toàn thông tin thực hiện trách nhiệm theo quy định tại khoản 1 Điều 21 Nghị định 85/2016/NĐ-CP.

Điều 6. Thẩm quyền xác định cấp độ an toàn hệ thống thông tin

1. Đối với hệ thống đề xuất cấp độ từ 1 đến 3

a) Đề xuất cấp độ (lập hồ sơ đề xuất cấp độ):

- Đối với hệ thống phải lập dự án, chủ đầu tư chỉ đạo đơn vị lập dự án đề xuất cấp độ.

- Đối với hệ thống thuê dịch vụ, đơn vị chủ trì thuê dịch vụ đề xuất cấp độ.

- Đối với hệ thống đang trong giai đoạn triển khai, chủ quản hệ thống thông tin chỉ đạo đơn vị chủ trì triển khai hệ thống đề xuất cấp độ.

- Đối với hệ thống đang vận hành, chủ quản hệ thống thông tin chỉ đạo đơn vị vận hành hệ thống thông tin đề xuất cấp độ. Trường hp đơn vị vận hành hệ thống thông tin ngang cấp với chủ quản hệ thống thông tin, đơn vị vận hành hệ thống thông tin phối hợp với chủ quản hệ thống thông tin đề xuất cấp độ.

b) Thẩm định, phê duyệt cấp độ:

- Đơn vị chuyên trách về an toàn thông tin của chủ quản hệ thống thông tin thực hiện thẩm định, phê duyệt hồ sơ đề xuất cấp độ đối với hệ thống thông tin được đề xuất là cấp độ 1 hoặc cấp độ 2.

- Đối với hệ thống thông tin được đề xuất là cấp độ 3: Đơn vị chuyên trách về an toàn thông tin của chủ quản hệ thống thông tin thực hiện thẩm định hsơ đề xuất cấp độ; Chủ quản hệ thống thông tin phê duyệt hồ sơ đề xuất cấp độ.

2. Đối với hệ thống đề xuất cấp độ 4, 5

a) Đxuất cấp độ (lập hồ sơ đề xuất cấp độ):

- Chủ quản hệ thống thông tin (hoặc đơn vị được ủy quyền quản lý trực tiếp hệ thống thông tin) lập hồ sơ đề xuất cấp độ, trình Bộ sau khi lấy ý kiến Cục Tin học và Thống kê tài chính.

- Bộ Tài chính gửi Bộ Thông tin và Truyền thông thẩm định hồ sơ đề xuất cấp độ.

b) Thẩm định, phê duyệt cấp độ:

- Bộ Thông tin và Truyền thông chủ trì, phối hợp với Bộ Quốc phòng, Bộ Công an và các Bộ, ngành liên quan thẩm định hồ sơ đề xuất cấp độ.

- Bộ Tài chính phê duyệt hồ sơ đề xuất cấp độ đối với hệ thống thông tin cấp độ 4, phê duyệt phương án bảo đảm an toàn thông tin đối với hệ thống thông tin cấp độ 5. Chính phủ phê duyệt cấp độ đối với hệ thống cấp độ 5.

3. Cá nhân tham gia lập hồ sơ đề xuất cấp độ không được tham gia thẩm định, phê duyệt cấp độ.

Điều 7. Căn cứ đề xuất cấp độ

1. Cấp độ 1, 2, 3, 4 của hệ thống thông tin được đề xuất theo điểm a, b, c, d khoản 2 Điều 21 Luật An toàn thông tin mạngĐiều 7, 8, 9, 10 Nghị định 85/2016/NĐ-CP.

2. Đối với hệ thống cấp độ 5, Cục Tin học và Thống kê tài chính chủ trì, phối hợp với các đơn vị thuộc Bộ:

a) Xây dựng tiêu chí cụ thể xác định hệ thống thông tin quan trọng quốc gia thuộc lĩnh vực tài chính theo quy định tại điểm đ khoản 2 Điều 21 Luật An toàn thông tin mạng, Điều 11 Nghị định 85/2016/NĐ-CPkhoản 1 Điều 3 Quyết định số 632/QĐ-TTg; trình Bộ lấy ý kiến Bộ Thông tin và Truyền thông, Bộ Công an, Bộ Quốc phòng; hoàn thiện trình Bộ phê duyệt.

b) Trên cơ sở các tiêu chí được phê duyệt tại điểm a khoản này, xây dựng Danh mục hệ thống thông tin quan trọng quốc gia thuộc lĩnh vực tài chính; trình Bộ gửi Bộ Thông tin và Truyền thông thẩm định; hoàn thiện và trình Bộ gửi Thủ tướng Chính phủ phê duyệt.

c) Định kỳ hàng năm rà soát, đánh giá, xác định hệ thống thông tin quan trọng quốc gia thuộc lĩnh vực tài chính; đề xuất, sửa đổi bổ sung Danh mục hệ thống thông tin quan trọng quốc gia thuộc lĩnh vực tài chính trước ngày 30 tháng 11 hàng năm.

Điều 8. Phương án bảo đảm an toàn hệ thống thông tin

1. Nội dung phương án bảo đảm an toàn hệ thống thông tin bao gồm:

a) Các nội dung phải tuân thủ quy định của Nhà nước:

- Quản lý an toàn thông tin mạng: Chính sách chung; tổ chức, nhân sự; quản lý thiết kế, xây dựng; quản lý vận hành; kiểm tra, đánh giá và quản lý rủi ro.

- Phương án kỹ thuật: An toàn hạ tầng mạng; an toàn máy chủ; an toàn ứng dụng và an toàn dữ liệu; an toàn vật lý cho Trung tâm dữ liệu/phòng máy ch.

b) Các nội dung phải tuân thủ Chính sách an toàn thông tin mạng Bộ Tài chính (Phụ lục 1 của Quy chế này).

c) Các nội dung phải tuân thủ quy định, chính sách của đơn vị.

2. Yêu cầu đối với phương án bảo đảm an toàn hệ thống thông tin:

a) Các nội dung tại điểm a khoản 1 điều này phải tối thiểu đáp ứng quy định tại Điều 9 Thông tư 03/2017/TT-BTTTT, tiêu chuẩn Việt Nam TCVN 11930:2017 - Yêu cầu cơ bản về an toàn hệ thống thông tin theo cấp độ. Các nội dung này nếu đáp ứng tiêu chuẩn TCVN 11930:2017 thì được chấp nhận đáp ứng quy định tại Thông tư 03/2017/TT-BTTTT đối với cấp độ tương ứng.

b) Trường hợp không thể đáp ứng đầy đủ yêu cu của tiêu chuẩn Việt Nam TCVN 11930:2017 , đơn vị phải giải trình lý do và đề xuất biện pháp thay thế có tác dụng tương đương (nếu có) đối với các nội dung cụ thể không đáp ứng quy định, số lượng yêu cầu không đáp ứng không được vượt quá 05% tổng số yêu cu ca tiêu chuẩn tại cấp độ tương ứng. Các yêu cầu không đáp ứng phải nm ngoài các yêu cầu quy định tại Thông tư 03/2017/TT-BTTT và Chính sách an toàn thông tin mạng Bộ Tài chính.

3. Đối với các hệ thống thông tin dùng chung hệ thống mạng và các giải pháp bảo vệ (các hệ thống cấp độ 1, 2, 3), phương án bảo đảm an toàn thông tin gồm 2 phần:

a) Phần dùng chung cho các hệ thống bao gồm: quản lý an toàn thông tin mạng; an toàn hạ tầng mạng; an toàn vật lý Trung tâm dữ liệu/phòng máy chủ; an toàn kết nối Internet; an toàn trong trao đổi thông tin với các tổ chức, cá nhân ngoài Bộ Tài chính; an toàn tài khoản công nghệ thông tin; an toàn máy tính phục vụ công việc; an toàn vật lý các thiết bị công nghệ thông tin.

Trong đó, phương án quản lý an toàn thông tin mạng; an toàn hạ tầng mạng; an toàn vật lý Trung tâm dữ liệu/phòng máy chủ phải đáp ứng yêu cầu tương ứng với cấp độ cao nhất trong số các cấp độ được xác định cho các hệ thống thông tin do đơn vị quản lý và tối thiểu đáp ứng yêu cầu:

- Cấp độ 3 đối với các đơn vị cấp Trung ương gồm cơ quan Bộ Tài chính, Tổng cục thuộc Bộ, Sở Giao dịch Chứng khoán, Trung tâm Lưu ký Chứng khoán Việt Nam, Công ty Xổ số Điện toán Việt Nam.

- Cấp độ 2 đi với Cục Thuế, Cục Hải quan, Kho bạc Nhà nước tỉnh/thành phố trực thuộc Trung ương.

- Cấp độ 1 đối với Cục Dự trữ Nhà nước, Chi cục Dự trữ Nhà nước, Chi cục Hải quan, Chi cục Thuế, Kho bạc Nhà nước quận/huyện, Học viện Tài chính, các trường thuộc Bộ, Nhà xuất bản tài chính, Nhà in tài chính.

b) Phần áp dụng cho từng hệ thống thông tin cụ thể: an toàn máy chủ, an toàn ứng dụng, an toàn cơ sở dữ liệu, an toàn tài khoản công nghệ thông tin và các nội dung liên quan khác.

4. Khuyến khích các đơn vị cấp Trung ương thống nhất áp dụng phương án bảo đảm an toàn tối thiểu đáp ứng các yêu cầu của cấp độ 3 đối với tất cả các hệ thống thông tin hoạt động trên hệ thống mạng của đơn vị.

Điều 9. Quy trình xác định cấp độ hệ thống đề xuất cấp độ 1, 2, 3

1. Đơn vị xây dựng phương án bảo đảm an toàn thông tin mạng cho phần dùng chung cho các hệ thống thông tin của đơn vị (quy định tại điểm a khoản 3 Điều 8 của Quy chế này) theo mẫu tại Phụ lục 2. Thực hiện thẩm định và phê duyệt phương án này.

2. Nội dung đề xuất cấp độ hệ thống thông tin:

a) Xác định và phân loại hệ thống thông tin theo khoản 2 Điều 6 Nghị định 85/2016/NĐ-CPĐiều 4 Thông tư 03/2017/TT-BTTTT.

b) Xác định chủ quản hệ thống thông tin, đơn vị vận hành hệ thống thông tin theo khoản 1, 2 Điều 5 của Quy chế.

c) Xác định loại thông tin được xử lý thông qua hệ thống thông tin theo khoản 1 Điều 6 Nghị định 85/2016/NĐ-CP.

d) Thuyết minh về việc đề xuất cấp độ theo Điều 7 của Quy chế.

đ) Thuyết minh phương án bảo đảm an toàn thông tin theo cấp độ tương ứng, gồm các phần sau:

- Tham chiếu phương án bảo đảm an toàn thông tin mạng dùng chung cho các hệ thống thông tin trong phạm vi đơn vị.

- Thuyết minh phương án bảo đảm an toàn thông tin áp dụng riêng cho hệ thống thông tin được đề xuất cấp độ.

3. Đối với dự án đầu tư xây dựng mới hoặc mở rộng, nâng cấp hệ thống thông tin:

a) Nội dung đề xuất cấp độ được lồng ghép (bổ sung chương, mục) vào thiết kế sơ bộ của báo cáo nghiên cứu khả thi, dự án khả thi ứng dụng công nghệ thông tin hoặc báo cáo đầu tư của dự án.

b) Thẩm định:

- Việc thẩm định đề xuất cấp độ được thực hiện đồng thời với quá trình thẩm định thiết kế sơ bộ.

- Đơn vị thẩm định đề xuất cấp độ gửi kết quả thẩm định cho đơn vị thẩm định dự án để tổng hp, báo cáo cấp có thẩm quyền phê duyệt dự án.

4. Đối với hệ thống thông tin đang trong giai đoạn triển khai chưa xác định cấp độ

a) Nội dung đề xuất cấp độ được lồng ghép (bổ sung chương, mục) vào tài liệu thiết kế thi công đối với hệ thống thông tin lập dự án hoặc lập thành tài liệu độc lập đối với hệ thống thông tin không lập dự án.

b) Thẩm định:

- Việc thẩm định đề xuất cấp độ được thực hiện đồng thời với quá trình thiết kế thi công hoặc triển khai hệ thống.

- Đơn vị thẩm định đề xuất cấp độ gửi kết quả thẩm định cho đơn vị thẩm định thiết kế thi công để tổng hợp, báo cáo cấp có thẩm quyền phê duyệt thiết kế thi công.

5. Đối với hệ thống thông tin đang vận hành chưa xác định cấp độ

a) Hồ sơ đề xuất cấp độ cho một hệ thống thông tin theo mẫu tại Phụ lục 3. Hsơ đề xuất cấp độ cho nhiều hệ thống thông tin theo mẫu tại Phụ lục 4.

b) Hồ sơ đề xuất cấp độ có thể được lập và phê duyệt dưới dạng điện tử (có chữ ký scủa lãnh đạo hoặc chữ ký số của đơn vị đề xuất và phê duyệt hồ sơ). Khuyến khích đơn vị áp dụng hồ sơ điện tử.

6. Tổ chức xác định cấp độ trong nội bộ đơn vị

a) Bộ phận được giao chủ trì đxuất, xây dựng, triển khai hệ thống thông tin (thuộc chủ quản hệ thống thông tin hoặc đơn vị vận hành hệ thống thông tin) phối hợp với bộ phận chuyên trách về an toàn thông tin của đơn vị chuyên trách v an toàn thông tin xây dựng đề xuất cấp độ; xây dựng phương án bảo đảm an toàn thông tin cho hệ thống; lập hồ sơ đề xuất cấp độ cho hệ thống; đồng trình hồ sơ đề xuất cấp độ lên lãnh đạo đơn vị vận hành hệ thống thông tin (theo mẫu văn bản tờ trình áp dụng trong nội bộ đơn vị).

b) Bộ phận chuyên trách về an toàn thông tin chịu trách nhiệm quản lý toàn bộ các hồ sơ đề xuất cấp độ an toàn thông tin đã được phê duyệt.

Điều 10. Quy trình xác định cấp độ hệ thống đề xuất cấp độ 4, 5

1. Hồ sơ đề xuất cấp độ đối với hệ thống đề xuất cấp độ 4, 5 thực hiện theo quy định tại Điều 15 Nghị định 85/2016/NĐ-CP; Điều 7 và điểm b khoản 4 Điều 8 Thông tư 03/2017/TT-BTTTT và hướng dẫn bổ sung của Bộ Thông tin và Truyền thông (nếu có).

2. Quy trình thẩm định, phê duyệt hồ sơ đề xuất cấp độ 4, 5 theo khoản 2 Điều 6 của Quy chế.

Điều 11. Điều chỉnh, bổ sung, thay mới hồ sơ đề xuất cấp độ

Khi thực hiện nâng cấp, mở rộng, thay thế một phần hệ thống thông tin, phải rà soát cp độ, phương án bảo đảm an toàn của hệ thống và thực hiện điều chỉnh, bổ sung hoặc thay mới hồ sơ đề xuất cấp độ trong trường hợp cần thiết.

Điều 12. Triển khai phương án bảo đảm an toàn hệ thống thông tin

1. Chủ quản hệ thống thông tin hoặc đơn vị được ủy quyền quản lý trực tiếp hệ thống thông tin tổ chức triển khai phương án bảo đảm an toàn hệ thống thông tin sau khi hồ sơ đề xuất cấp độ hoặc phương án bảo đảm an toàn hệ thống được phê duyệt.

2. Bộ phận chuyên trách về an toàn thông tin thuộc đơn vị chịu trách nhiệm giám sát việc triển khai các phương án bảo đảm an toàn thông tin đã được phê duyệt (trên cơ sở lập hồ sơ theo dõi từng hệ thống thông tin theo mẫu tham khảo tại Phụ lục 5 của Quy chế).

Chương III

GIÁM SÁT, CẢNH BÁO AN TOÀN THÔNG TIN MẠNG

Điều 13. Giám sát an toàn thông tin mạng

1. Đối tượng giám sát bắt buộc: Hệ thống thông tin từ cấp độ 3 trở lên.

2. Thời gian giám sát tối thiểu: Giám sát 24 giờ/ngày và 7 ngày/tuần đối với hệ thống cấp độ 4, 5; Giám sát trong giờ làm việc đối với hệ thống cấp độ 3.

3. Nội dung, phương thức, hệ thống kỹ thuật phục vụ công tác giám sát: Thực hiện theo quy định tại Điều 5 Thông tư số 31/2017/TT-BTTTT.

Điều 14. Cảnh báo an toàn thông tin mạng

1. Đơn vị chuyên trách về an toàn thông tin cử 01 lãnh đạo đơn vị chuyên trách an toàn thông tin và 01 cán bộ thuộc bộ phận chuyên trách về an toàn thông tin làm đầu mối tiếp nhận cảnh báo an toàn thông tin từ Cục Tin học và Thống kê tài chính, các cơ quan, tổ chức có chức năng cảnh báo an toàn thông tin mạng.

Đầu mối tiếp nhận cảnh báo phân tích sơ bộ mức độ ảnh hưởng tới các hệ thống thông tin của đơn vị mình, chuyển tiếp cảnh báo cho các bộ phận liên quan xử lý, tổng hợp và gửi báo cáo kết quả xử lý cho đầu mối tiếp nhận cảnh báo của Cục Tin học và Thống kê tài chính qua thư điện tử hoặc điện thoại hoặc bằng văn bản trong trường hợp được yêu cầu báo cáo bằng văn bản.

2. Đơn vị chuyên trách về an toàn thông tin có trách nhiệm theo dõi, nắm bắt thông tin trên phương tiện thông tin đại chúng và mạng Internet về các sự kiện mất an toàn thông tin có thể tác động tới đơn vị; Chủ động kiểm tra, rà soát trong nội bộ đơn vị theo các văn bản cảnh báo, hướng dẫn của Bộ Công an, Bộ Thông tin và Truyền thông, các cơ quan chức năng và các tổ chức về an toàn thông tin (gửi trực tiếp cho đơn vị hoặc do Văn phòng Bộ, Cục Tin học và Thống kê tài chính sao gửi chủ quản hệ thống thông tin); Thiết lập kênh trao đổi thông tin với các đối tác cung cấp thiết bị, phần mềm, giải pháp an toàn thông tin của đơn vị để nắm bắt kịp thời vấn đ, sự cố có khả năng tác động tới hệ thống thông tin của đơn vị.

Chương IV

ỨNG CỨU SỰ CỐ AN TOÀN THÔNG TIN MẠNG

Điều 15. Nội dung ứng cứu sự cố an toàn thông tin mạng

1. Sự cố an toàn thông tin mạng bao gồm:

a) Sự cố do bị tấn công mạng: tấn công từ chối dịch vụ; tấn công giả mạo; tấn công sử dụng mã độc; truy cập trái phép, chiếm quyền điều khiển; tấn công thay đổi giao diện; tấn công mã hóa phần mềm, dữ liệu, thiết bị; phá hoại thông tin, dliệu, phần mềm; nghe trộm, gián điệp, lấy cắp thông tin, dữ liệu; các hình thức tấn công mạng khác.

b) Hỏng hóc phần cứng, lỗi phần mềm của hệ thống thông tin làm mất tính sẵn sàng của hệ thống thông tin.

c) Hỏng hóc, lỗi của các hệ thống thuộc hạ tầng Trung tâm dữ liệu, phòng máy chủ (nguồn điện, làm mát, chống sét, chống cháy...) làm mất tính sẵn sàng của hệ thống thông tin.

d) Hỏng hóc, lỗi của hệ thống mạng làm mất khả năng truy cập tới hệ thống thông tin của các đối tượng sử dụng hệ thống.

đ) Sự cố do lỗi của người quản trị, vận hành hệ thống.

e) Sự cố liên quan đến các thảm họa tự nhiên như bão, lụt, động đất, hỏa hoạn.

2. Hoạt động ứng cứu sự cố an toàn thông tin mạng huy động các nguồn lực nằm ngoài phạm vi của đơn vị vận hành hệ thống thông tin để đối phó với các sự cố quy định tại khoản 1 điều này.

Điều 16. Phân định vai trò theo quy định của pháp luật về ứng cứu sự cố an toàn thông tin mạng

1. Ban Chỉ đạo ứng cứu sự cố an toàn thông tin mạng Bộ Tài chính do Ban Chỉ đạo ứng dụng công nghệ thông tin Bộ Tài chính đảm nhiệm. Ban Chỉ đạo ứng cứu sự cố an toàn thông tin mạng Bộ Tài chính thực hiện trách nhiệm theo quy định tại khoản 2 Điều 5 Quyết định số 05/2017/QĐ-TTg.

2. Đơn vị chuyên trách về ứng cứu sự cố an toàn thông tin mạng

a) Cục Tin học và Thống kê tài chính đảm nhiệm vai trò Đơn vị chuyên trách vứng cứu sự cố an toàn thông tin mạng Bộ Tài chính, chịu trách nhiệm quản lý (hướng dẫn, tổng hợp, giám sát, kiểm tra) công tác ứng cứu sự cố an toàn thông tin mạng toàn ngành Tài chính và trực tiếp triển khai công tác ứng cứu sự cố các hệ thống thông tin tại cơ quan Bộ Tài chính, các hệ thống thông tin dùng chung toàn ngành do Cục quản lý.

b) Cục Công nghệ thông tin các Tổng cục thuộc Bộ, Trung tâm thông tin Học viện Tài chính, Sở Giao dịch Chứng khoán, Trung tâm Lưu ký Chứng khoán Việt Nam, Công ty Xổ số điện toán Việt Nam đảm nhiệm vai trò chuyên trách về ứng cứu sự cố an toàn thông tin mạng trong phạm vi quản lý công nghệ thông tin của đơn vị.

c) Đơn vị chuyên trách về ứng cứu sự cố an toàn thông tin mạng thực hiện trách nhiệm quy định tại khoản 2 Điều 6 Quyết định số 05/2017/QĐ-TTg.

3. Đội ứng cứu sự cố an toàn thông tin mạng

a) Các đơn vị chuyên trách về ứng cứu sự cố quy định tại khoản 2 điều này thành lập Đội ứng cứu sự cố thuộc đơn vị.

b) Thành phần Đội ứng cứu sự cố bao gồm:

- Đội trưởng: Lãnh đạo đơn vị chuyên trách về ứng cứu sự cố an toàn thông tin mạng.

- Đội phó gồm: 01 đội phó thường trực là lãnh đạo phòng/phụ trách nhóm Quản lý an toàn an ninh thông tin (hoặc tương đương), 01 đội phó là lãnh đạo phòng/phụ trách nhóm Quản trị, vận hành hệ thống (hoặc tương đương), 01 đội phó là lãnh đạo/phụ trách nhóm Quản lý phát triển ứng dụng (hoặc tương đương).

- Thành viên: cán bộ thuộc các phòng/trung tâm/bộ phận làm công tác quản lý an toàn an ninh thông tin; quản trị, vận hành hệ thống; quản lý phát triển ứng dụng; và các bộ phận liên quan khác tùy theo đặc thù của từng đơn vị.

c) Đội ứng cứu sự cố có trách nhiệm phối hợp với các bên liên quan phân tích, xử lý sự cố an toàn thông tin mạng đối với các sự cố diễn ra trong phạm vi hệ thống thuộc quản lý của chủ quản hệ thống thông tin.

Điều 17. Tham gia mạng lưới ứng cứu sự cố an toàn thông tin mạng quốc gia

1. Thành viên có nghĩa vụ phải tham gia mạng lưới ứng cứu sự cố an toàn thông tin mạng quốc gia theo quy định tại điểm a, đ khoản 1 Điều 7 Quyết định số 05/2017/QĐ-TTg: Cục Tin học và Thống kê tài chính; các Cục Công nghệ thông tin thuộc Kho bạc Nhà nước, Tổng cục Thuế, Tổng cục Hải quan.

2. Thành viên tự nguyện tham gia mạng lưới: Khuyến khích các đơn vị thuộc Bộ không thuộc quy định tại khoản 1 điều này và đáp ứng quy định tại khoản 2 Điều 7 Quyết định số 05/2017/QĐ-TTg đăng ký tham gia mạng lưới ứng cứu sự cố an toàn thông tin mạng quốc gia. Đơn vị được Cơ quan điều phối quốc gia chấp thuận tham gia mạng lưới phải thông báo cho Cục Tin học và Thống kê tài chính.

3. Các đơn vị tham gia mạng lưới ứng cứu sự cố an toàn thông tin mạng quốc gia thực hiện trách nhiệm theo quy định tại khoản 4 Điều 7 Quyết định số 05/2017/QĐ-TTg và các quy định đối với thành viên mạng lưới tại Thông tư số 20/2017/TT-BTTTT .

Điều 18. Liên minh ứng cứu sự cố an toàn thông tin mạng

1. Liên minh ứng cứu sự cố: tập hợp toàn bộ các đơn vị tham gia công tác ứng cứu sự cố an toàn thông tin mạng của một đơn vị; bao gồm tất cả các đối tác có liên quan đến việc đảm bảo sự hoạt động bình thường của hệ thống thông tin và hiểu rõ về hệ thống (đối tác xây dựng ứng dụng, cung cấp thiết bị/đường truyền, cung cấp giải pháp/dịch vụ an toàn thông tin...); có thể có sự tham gia của các đơn vị chuyên trách về ứng cứu sự cố an toàn thông tin mạng quốc gia (VNCERT, Trung tâm Internet Việt Nam, Cục Cảnh sát phòng, chống tội phạm công nghệ cao...).

2. Cục Tin học và Thống kê tài chính, các Tổng cục thuộc Bộ, các Sở Giao dịch Chứng khoán, Trung tâm Lưu ký Chứng khoán Việt Nam, Công ty Xổ số Điện toán Việt Nam hình thành Liên minh ứng cứu sự cố để thực hiện ứng cứu các hệ thống thông tin do đơn vị trực tiếp quản lý. Trách nhiệm của từng thành viên trong Liên minh được quy định tại các điều khoản về hỗ trợ xử lý sự cố/hỗ trợ kỹ thuật/ứng cứu sự cố trong các hp đồng kinh tế, các thỏa thuận hp tác song phương hoặc các quy định của Nhà nước về ứng cứu sự cố (đối với các thành viên tham gia mạng lưới ứng cứu sự cố an toàn thông tin mạng quốc gia); các thành viên tham gia Liên minh được liệt kê đầy đủ trong Kế hoạch ứng phó sự cố an toàn thông tin của mỗi đơn vị.

3. Vai trò của các bên tham gia Liên minh ứng cứu sự cố

a) Đơn vị vận hành hệ thống thông tin đóng vai trò chủ trì, điều phối trong Liên minh ứng cứu sự cố.

b) Các đơn vị nghiệp vụ tham gia trong việc xây dựng kịch bản xử lý nghiệp vụ trong trường hợp hệ thống thông tin xảy ra sự cố nghiêm trọng.

c) Các đơn vị tham gia Liên minh ứng cứu sự cố có nghĩa vụ chia sẻ thông tin, phối hợp xử lý sự cố theo sự điều phối của đơn vị chủ trì Liên minh.

Điều 19. Kế hoạch ứng phó sự cố bảo đảm an toàn thông tin mạng

1. Cục Tin học và Thống kê tài chính, các Tổng cục thuộc Bộ, Học viện Tài chính, các Sở Giao dịch Chứng khoán, Trung tâm Lưu ký Chứng khoán Việt Nam, Công ty Xổ số Điện toán Việt Nam tổ chức xây dựng, phê duyệt Kế hoạch ứng phó sự cố cho các hệ thống thông tin do đơn vị trực tiếp quản lý theo đề cương tại Phụ lục II Quyết định số 05/2017/QĐ-TTg (bao gồm các điều chỉnh do Bộ Thông tin và Truyền thông ban hành nếu có) và tổ chức triển khai kế hoạch sau khi phê duyệt. Đối với các nội dung trong kế hoạch vượt thẩm quyền quyết định của đơn vị, đơn vị lấy ý kiến của Cục Tin học và Thng kê tài chính, Cục Kế hoạch - Tài chính (đi với các nội dung yêu cu có kinh phí), báo cáo Bộ xem xét, quyết định.

2. Các kế hoạch ứng phó sự cố sau khi được phê duyệt phải gửi Cục Tin học và Thống kê tài chính tổng hp thành kế hoạch chung toàn ngành. Cục Tin học và Thống kê tài chính có trách nhiệm xây dựng Kế hoạch ứng phó sự cố chung toàn ngành, trình Lãnh đạo Bộ Tài chính phê duyệt.

3. Kế hoạch ứng phó sự cố được rà soát và điều chỉnh hàng năm (nếu cần thiết) trước ngày 31 tháng 10, làm cơ sở đxây dựng kế hoạch bảo đảm an toàn thông tin năm tiếp theo.

Điều 20. Quy trình ứng cứu sự cố an toàn thông tin mạng

1. Quy trình ứng cứu sự cố nghiêm trọng

a) Đối tượng áp dụng quy trình: Đơn vị quản lý trực tiếp hệ thống thông tin cp độ 4, 5.

b) Nội dung quy trình: theo quy định tại Điều 14 Quyết định 05/2017/QĐ-TTg.

c) Trong quá trình ứng cứu sự cố, đơn vị chuyên trách ứng cứu sự cố cung cp thông tin diễn biến tình hình cho Cục Tin học và Thống kê tài chính nắm thông tin và phối hợp xử lý; Chủ quản hệ thống thông tin báo cáo tình hình cho Lãnh đạo Bộ.

2. Quy trình ứng cứu sự cố không nghiêm trọng

a) Đối tượng áp dụng: Chủ quản hệ thống thông tin, đơn vị vận hành hệ thống thông tin.

b) Nội dung quy trình: theo quy định tại Điều 11 Thông tư 20/2017/TT-BTTTT.

c) Đối với các báo cáo phải gửi Cơ quan điều phối quốc gia về ứng cứu sự cố an toàn thông tin mạng, chủ quản hệ thống thông tin gửi một bản cho Cục Tin học và Thống kê tài chính theo dõi.

Điều 21. Thông báo, báo cáo sự cố an toàn thông tin mạng

1. Khi xảy ra sự cố an toàn thông tin mạng thuộc loại hình tấn công mạng, đơn vị vận hành hệ thống thông tin thực hiện báo cáo theo quy định tại điểm a khoản 1 Điều 11 Quyết định 05/2017/QĐ-TTgĐiều 9 Thông tư 20/2017/TT-BTTT, đồng thời báo cáo Cục Tin học và Thống kê tài chính để Cục tổng hợp, báo cáo Ban Chỉ đạo ứng cứu sự cố an toàn thông tin mạng Bộ Tài chính.

2. Đơn vị phải thông báo trong toàn đơn vị đầu mối tiếp nhận thông tin để các cá nhân, tổ chức thuộc đơn vị liên lạc trong trường hợp nghi ngờ, phát hiện dấu hiệu tấn công hoặc sự cố an toàn thông tin mạng liên quan đến các hệ thống thông tin do đơn vị quản lý.

Điều 22. Diễn tập ứng cứu sự cố

a) Chủ quản hệ thống thông tin tổ chức diễn tập ứng cứu sự cố theo Kế hoạch ứng phó sự cố được phê duyệt.

b) Cục Tin học và Thống kê tài chính chủ trì, phối hợp với các đơn vị thuộc Bộ tham gia các cuộc diễn tập quốc gia, quốc tế do Cơ quan điều phối quốc gia, Bộ Thông tin và Truyền thông tổ chức và tổ chức diễn tập ứng cứu sự ctrong phạm vi Bộ Tài chính theo tần suất quy định tại điểm b Nhiệm vụ 4 mục II Điều 1 Quyết định số 1622/QĐ-TTg ngày 25/10/2017 của Thủ tướng Chính phủ.

Chương V

ĐÀO TẠO, BỒI DƯỠNG NGHIỆP VỤ, TUYÊN TRUYỀN, PHỔ BIẾN, NÂNG CAO NHẬN THỨC VỀ AN TOÀN THÔNG TIN MẠNG

Điều 23. Đối tượng đào tạo, bồi dưỡng về an toàn thông tin mạng

1. Người sử dụng máy tính (cán bộ nghiệp vụ, hành chính tại các đơn vị thuộc Bộ) được đào tạo kiến thức cơ bản về an toàn thông tin mạng, hướng dẫn sử dụng các ứng dụng an toàn.

2. Cán bộ quản lý.

3. Cán bộ công nghệ thông tin.

4. Cán bộ chuyên trách công tác an toàn thông tin mạng.

Điều 24. Trách nhiệm tổ chức đào tạo, bồi dưỡng về an toàn thông tin mạng

1. Cục Tin học và Thống kê tài chính tổ chức đào tạo, bồi dưỡng nghiệp vụ về an toàn thông tin cho cán bộ công nghệ thông tin, cán bộ chuyên trách an toàn thông tin mạng các đơn vị hành chính thuộc Bộ; đào tạo cơ bản về an toàn thông tin cho cán bộ quản lý, người sử dụng máy tính cơ quan Bộ Tài chính.

2. Các Tổng cục thuộc Bộ tổ chức đào tạo, bồi dưỡng nghiệp vụ về an toàn thông tin cho cán bộ công nghệ thông tin, cán bộ chuyên trách an toàn thông tin mạng các đơn vị thuộc Tổng cục; đào tạo cơ bản về an toàn thông tin cho cán bộ quản lý, người sử dụng máy tính thuộc đơn vị.

3. Các doanh nghiệp, đơn vị sự nghiệp tổ chức đào tạo cho nhân viên thuộc đơn vị mình.

Chương VI

BÁO CÁO, CHIA SẺ THÔNG TIN VỀ AN TOÀN THÔNG TIN MẠNG

Điều 25. Chế độ báo cáo

1. Báo cáo định kỳ:

a) Báo cáo an toàn thông tin định kỳ hàng năm gồm các nội dung quy định tại khoản 3 Điều 17 Thông tư 03/2017/TT-BTTTT .

b) Báo cáo hoạt động giám sát của chủ quản hệ thống thông tin định kỳ 6 tháng theo mẫu tại Phụ lục 2 Thông tư 31/2017/TT-BTTTT .

2. Báo cáo đột xuất: Báo cáo về công tác khắc phục mã độc, lhổng, điểm yếu, triển khai cảnh báo an toàn thông tin và các báo cáo đột xuất khác theo yêu cầu của các cơ quan quản lý nhà nước về an toàn thông tin.

3. Trách nhiệm lập, phê duyệt báo cáo

a) Các Tổng cục, đơn vị sự nghiệp, doanh nghiệp thuộc Bộ chịu trách nhiệm:

- Lập báo cáo an toàn thông tin theo quy định tại điểm a khoản 1 điều này, gửi Cục Tin học và Thống kê tài chính trước ngày 15 tháng 11 hàng năm.

- Lập báo cáo hoạt động giám sát của chủ quản hệ thống thông tin theo quy định tại điểm b khoản 1 điều này, gửi Cục Tin học và Thống kê tài chính trước ngày 15 tháng 6 và 15 tháng 12 hàng năm.

- Báo cáo đột xuất theo hướng dẫn của Cục Tin học và Thống kê tài chính.

b) Cục Tin học và Thống kê tài chính chịu trách nhiệm tập hợp, tổng hợp báo cáo của các đơn vị, trình Bộ phê duyệt, gửi các cơ quan quản lý nhà nước về an toàn thông tin.

Điều 26. Chia sẻ thông tin

1. Việc chia sẻ thông tin về công tác bảo đảm an toàn thông tin với các đơn vị ngoài Bộ được thực hiện theo quy định tại Điều 18 Thông tư 03/2017/TT-BTTT.

2. Khuyến khích các đơn vị thuộc Bộ chia sẻ kinh nghiệm triển khai, vận hành hệ thống an toàn thông tin thông qua trao đổi trực tiếp giữa các đơn vị hoặc hội thảo nội bộ Bộ Tài chính.

3. Cục Tin học và Thống kê tài chính chịu trách nhiệm tổ chức hội thảo trao đổi kinh nghiệm giữa các đơn vị thuộc Bộ tối thiểu 2 năm 1 lần.

Chương VII

KIỂM TRA, ĐÁNH GIÁ VỀ AN TOÀN THÔNG TIN MẠNG

Điều 27. Kiểm tra việc tuân thủ quy định về an toàn thông tin và hiệu quả của biện pháp bảo đảm an toàn thông tin

1. Nội dung kiểm tra, đánh giá

a) Kiểm tra việc xác định cấp độ an toàn hệ thống thông tin và triển khai phương án bảo đảm an toàn thông tin; Kiểm tra hiệu quả của các biện pháp bảo đảm an toàn thông tin.

b) Kiểm tra công tác giám sát an toàn thông tin; ứng cu sự c an toàn thông tin.

c) Kiểm tra các nội dung khác tại Quy chế.

2. Thẩm quyền kiểm tra

a) Cục Tin học và Thống kê tài chính chịu trách nhiệm kiểm tra các Tổng cục, doanh nghiệp, đơn vị sự nghiệp thuộc Bộ.

b) Các đơn vị tự kiểm tra trong nội bộ đơn vị.

3. Kỳ kiểm tra:

a) Cục Tin học và Thống kê tài chính kiểm tra định kỳ 02 năm đối với các Tng cục, doanh nghiệp, đơn vị sự nghiệp thuộc Bộ.

b) Các Tổng cục kiểm tra định kỳ hàng năm trong nội bộ đơn vị.

4. Hoạt động kiểm tra về an toàn thông tin do Cục Tin học và Thống kê tài chính thực hiện tại các Tổng cục thuộc chương trình kiểm tra công tác ứng dụng công nghệ thông tin hàng năm, theo kế hoạch được Bộ Tài chính phê duyệt. Hoạt động kiểm tra về an toàn thông tin do các Tổng cục thuộc Bộ thực hiện có thể lồng ghép trong chương trình kiểm tra công tác ứng dụng công nghệ thông tin hàng năm, theo kế hoạch được Lãnh đạo đơn vị phê duyệt.

Điều 28. Đánh giá phát hiện mã độc, lỗ hổng, điểm yếu, thử nghiệm xâm nhập hệ thống

Hoạt động đánh giá phát hiện mã độc, lỗ hổng, điểm yếu, thử nghiệm xâm nhập hệ thống thực hiện theo quy định tại điểm c khoản 2 Điều 20 Nghị định số 85/2016/NĐ-CPĐiều 13 Thông tư số 03/2017/TT-BTTTT.

Điều 29. Đánh giá tổng thể an toàn thông tin

1. Nội dung đánh giá: Đánh giá công tác bảo đảm an toàn thông tin mạng theo tiêu chuẩn Việt Nam (TCVN ISO/IEC 27000, TCVN 11930) hoặc tiêu chuẩn quốc tế (COBIT, NIST, ISO/IEC 27000), khung đánh giá an toàn thông tin của các tổ chức an toàn thông tin khác).

2. Phương thức đánh giá: Đơn vị tự tổ chức đánh giá hoặc thuê tổ chức được cấp phép cung cấp dịch vụ an toàn thông tin mạng thực hiện đánh giá theo kỳ đánh giá quy định tại điểm c khoản 2 Điều 20 Nghị định 85/2017/NĐ-CP.

Chương VIII

TRÁCH NHIỆM ĐỐI VỚI CÔNG TÁC AN TOÀN THÔNG TIN MẠNG

Điều 30. Trách nhiệm của các đơn vị thuộc Bộ

1. Cục Tin học và Thống kê tài chính:

a) Thực hiện các trách nhiệm được giao tại Quy chế này.

b) Hướng dẫn triển khai Quy chế này và các quy định liên quan của Nhà nước.

c) Tổ chức triển khai thực hiện Quy chế tại trụ sở cơ quan Bộ Tài chính.

d) Xây dựng kế hoạch, báo cáo về an toàn thông tin mạng của Bộ Tài chính.

2. Các Tổng cục thuộc Bộ:

a) Thực hiện các trách nhiệm được giao tại Quy chế này.

b) Tổ chức triển khai thực hiện Quy chế này tại đơn vị.

c) Thực hiện các báo cáo theo quy định, gửi Cục Tin học và Thng kê tài chính tổng hợp, báo cáo Bộ.

3. Các Cục, Vụ thuộc Bộ:

a) Thực hiện trách nhiệm của chủ quản hệ thống thông tin trong trường hợp có hệ thống thông tin thuộc quản lý trực tiếp của đơn vị theo quy định của Quy chế này.

b) Phối hợp với Cục Tin học và Thống kê tài chính triển khai Quy chế này tại đơn vị.

4. Các đơn vị sự nghiệp, doanh nghiệp thuộc Bộ:

a) Thực hiện trách nhiệm của chủ quản hệ thống thông tin hoặc đơn vị quản trực tiếp hệ thống thông tin trong trường hp có hệ thống thông tin thuộc quản lý trực tiếp của đơn vị theo quy định của Quy chế này.

b) Tổ chức triển khai thực hiện Quy chế này tại đơn vị.

c) Thực hiện các báo cáo về an toàn thông tin mạng khi được Bộ Tài chính yêu cầu.

5. Các đơn vị vận hành hệ thống thông tin:

a) Thực hiện trách nhiệm của đơn vị vận hành hệ thống thông tin theo quy định tại Quy chế này và các nhiệm vụ do chủ quản hệ thống thông tin phân công.

b) Chỉ đạo, phân công các bộ phận kỹ thuật thuộc đơn vị (quản lý ứng dụng; quản lý dliệu; vận hành hệ thống thông tin; triển khai và hỗ trợ kỹ thuật) trin khai công tác bảo đảm an toàn thông tin trong tt cả các công đoạn liên quan đến hệ thống thông tin.

6. Các đơn vị chuyên trách về an toàn thông tin của các đơn vị thuộc Bộ:

a) Thực hiện trách nhiệm của đơn vị chuyên trách về an toàn thông tin theo quy định tại Quy chế này và các nhiệm vụ do chủ quản hệ thống thông tin phân công.

b) Phối hợp chặt chẽ với các bộ phận kỹ thuật thuộc đơn vị vận hành hệ thống thông tin trong việc bảo đảm an toàn thông tin trong tt cả các công đoạn liên quan đến hệ thống thông tin.

7. Cơ quan, tổ chức, cá nhân ngoài ngành Tài chính có liên quan: Tuân thủ Quy chế này, quy định công tác bảo vệ bí mật nhà nước của ngành Tài chính, các cam kết, thỏa thuận với các đơn vị thuộc Bộ Tài chính về đảm bảo an toàn thông tin khi cung cấp dịch vụ công nghệ thông tin và thực hiện các hoạt động trao đổi thông tin với các đơn vị thuộc Bộ. Trường hợp tham gia sử dụng ứng dụng của ngành Tài chính, phải tuân thủ các yêu cầu, hướng dẫn, quy trình đảm bảo an toàn thông tin cụ thể của ứng dụng.

Điều 31. Trách nhiệm cá nhân

1. Thủ trưởng đơn vị thuộc đối tượng áp dụng của Quy chế này có trách nhiệm: phbiến tới từng cán bộ, công chức, viên chức, nhân viên của đơn vị; thường xuyên kiểm tra việc thực hiện Quy chế này tại đơn vị; chịu trách nhiệm trước pháp luật và Lãnh đạo Bộ Tài chính về các vi phạm, thất thoát thông tin, dữ liệu mật thuộc phạm vi quản lý của đơn vị do không tổ chức, chỉ đạo, kiểm tra cán bộ của đơn vị thực hiện đúng quy định.

2. Cán bộ, công chức, viên chức, nhân viên của Bộ Tài chính, các đơn vị thuộc Bộ và các đơn vị khác thuộc đối tượng áp dụng của quy định có trách nhiệm: tuân thủ Quy chế; thông báo các vấn đề bất thường liên quan tới an toàn thông tin cho đơn vị, bộ phận chuyên trách về an toàn thông tin mạng của đơn vị; chịu trách nhiệm trước pháp luật và Lãnh đạo đơn vị về các vi phạm, thất thoát dữ liệu mật của ngành Tài chính do không tuân thủ Quy chế.

3. Tập thể, cá nhân vi phạm Quy chế bảo đảm an toàn thông tin mạng Bộ Tài chính làm ảnh hưởng đến việc thực hiện nhiệm vụ chính trị của Bộ Tài chính hoặc gây phương hại đến an ninh quốc gia thì tùy theo tính chất, mức độ của hành vi vi phạm sẽ bị xử lý hành chính, xử lý kỷ luật hoặc truy cứu trách nhiệm hình sự. Nếu gây thiệt hại về tài sản thì phải bồi thường theo quy định của pháp luật.

Chương IX

TỔ CHỨC THỰC HIỆN

Điều 32. Tổ chức triển khai Quy chế

1. Cục Tin học và Thống kê tài chính, các Tổng cục, đơn vị sự nghiệp, doanh nghiệp thuộc Bộ xây dựng Kế hoạch triển khai Quy chế theo mẫu tại Phụ lục 6, đảm bảo đến năm 2020 tất cả các hệ thống thông tin thuộc quản lý của đơn vị được phê duyệt hồ sơ đề xuất cấp độ, triển khai đầy đủ hoạt động giám sát an toàn thông tin, ứng cứu sự cố an toàn thông tin và các hoạt động khác theo quy định tại Quy chế này; gửi Cục Tin học và Thống kê tài chính Kế hoạch triển khai Quy chế trong vòng 45 ngày ktừ ngày Quy chế này có hiệu lực.

2. Cục Tin học và Thống kê tài chính tổng hợp kế hoạch của các đơn vị, tchức thảo luận với các đơn vị, thống nhất thành kế hoạch chung của Bộ Tài chính, trình Bộ phê duyệt, làm căn cứ để giám sát và đôn đc tiến độ triển khai Quy chế của các đơn vị.

3. Các đơn vị rà soát kế hoạch triển khai Quy chế theo định kỳ hàng năm, gửi kế hoạch điều chỉnh (nếu có) cho Cục Tin học và Thống kê tài chính kèm theo Báo cáo an toàn thông tin định kỳ hàng năm.

Điều 33. Rà soát, cập nhật, bổ sung Quy chế

Hàng năm, Cục Tin học và Thống kê tài chính tổ chức rà soát, kiểm tra tính phù hợp của Quy chế này với các quy định của Nhà nước về bảo đảm an toàn thông tin mạng và các quy định, tiêu chuẩn liên quan, kiểm tra tính đáp ứng của Quy chế này (bao gm Chính sách an toàn thông tin mạng Bộ Tài chính) với yêu cu thực tế của Bộ Tài chính; báo cáo Bộ về việc cập nhật, bổ sung Quy chế trong trường hợp cần thiết./.

 

Phụ lục 1. Chính sách an toàn thông tin mạng Bộ Tài chính

1. Bảo đảm an toàn kết nối Internet

1.1. Mục đích kết nối, truy cập Internet:

a) Hệ thống thông tin được thiết lập kết nối Internet cho các mục đích:

- Cung cấp thông tin; cung cấp dịch vụ công trực tuyến, các dịch vụ trong phạm vi quy định của pháp luật.

- Kết nối tới hệ thống thông tin của các cơ quan, tổ chức để phục vụ hoạt động nghiệp vụ, trao đổi thông tin, phối hợp cung cấp dịch vụ công trực tuyến.

- Cung cấp cổng truy cập ứng dụng nội bộ cho cán bộ từ Internet.

- Cập nhật phiên bản phần mềm, bản vá phần mềm; Cập nhật mẫu mã độc, mẫu tấn công.

b) Cán bộ, công chức, viên chức các đơn vị thuộc Bộ Tài chính được truy cập Internet tại cơ quan cho các mục đích: Cập nhật thông tin tình hình kinh tế, chính trị, xã hội của Việt Nam và thế giới; Tra cứu văn bản quy phạm pháp luật và các tài liệu, thông tin tham khảo phục vụ công việc; Sử dụng các dịch vụ hành chính công; Giao dịch với các cơ quan, tổ chức liên quan tới công việc được giao; Nghiên cứu, học tập nâng cao trình độ.

1.2. Cách thức thiết lập kết nối Internet:

a) Hệ thống thông tin khi kết nối Internet phải thông qua kiểm soát của tường lửa và hệ thống bảo vệ kết nối truy cập Internet.

b) Việc truy cập Internet của cán bộ, công chức, viên chức được thực hiện thông qua một hoặc một số cách thức sau: Thiết lập mạng riêng gồm các máy tính chỉ phục vụ truy cập Internet; Thiếp lập mạng không dây chỉ phục vụ truy cập Internet; Truy cập Internet từ máy tính làm việc.

1.3. Không kết nối Internet cho các trường hợp sau:

a) Máy tính sử dụng để đọc, soạn thảo, lưu trữ, in ấn văn bản thuộc bí mật nhà nước;

b) Máy tính xử lý thông tin trên hệ thống thông tin cấp độ 4 trở lên;

c) Máy tính phục vụ quản trị hệ thống thông tin;

d) Toàn bộ máy chủ và thiết bị công nghệ thông tin không phải máy tính ngoại trừ các hệ thống bắt buộc phải có giao tiếp với Internet (các hệ thống phục vụ truy cập Internet; cung cấp giao diện ra Internet của trang tin điện tử, dịch vụ công, thư điện tử; phục vụ cập nhật bản vá hệ điều hành, mẫu mã độc, mẫu điểm yếu, mẫu tấn công).

1.4. Kết nối Internet cho máy tính phục vụ công việc của người dùng tại đơn vị bị thu hẹp phạm vi hoặc bị ngắt trong các trường hợp sau:

a) Có công văn từ Bộ Tài chính yêu cầu thu hẹp phạm vi kết nối Internet hoặc ngt kết nối Internet (áp dụng trong các trường hợp khẩn cấp).

b) Lãnh đạo đơn vị quyết định hạn chế phạm vi kết nối hoặc ngắt hoàn toàn kết nối Internet máy tính phục vụ công việc của người dùng để đảm bảo an toàn cho hệ thống mạng của đơn vị và hạn chế các ảnh hưởng khác của Internet tới hoạt động của đơn vị.

1.5. Các biện pháp kỹ thuật bảo đảm an toàn kết nối, truy cập Internet:

a) Các biện pháp kỹ thuật tối thiểu: Trang bị tường lửa; Cài đặt phần mềm phòng, diệt mã độc và cập nhật bản vá hệ điều hành trên máy tính kết nối Internet.

b) Đối với truy cập Internet từ máy tính làm việc của cán bộ tại các đơn vị cp Trung ương, áp dụng một hoặc một sbiện pháp nâng cao sau theo năng lực đu tư, vận hành hệ thống kỹ thuật của đơn vị: Trang bị proxy, hệ thống lọc trang web theo phân loại và ngăn chặn truy cập các trang web nhiễm mã độc; Trang bị hệ thống phát hiện, ngăn chặn tấn công có chủ đích; Cách ly máy tính làm việc và mạng Internet bằng công nghệ VDI hoặc Remote Desktop.

c) Đối với truy cập Internet từ máy tính làm việc của cán bộ tại cơ quan cấp tỉnh, áp dụng một hoặc một số biện pháp nâng cao sau theo năng lực đầu tư, vận hành hệ thống kỹ thuật của đơn vị: Trang bị proxy; Trang bị hệ thống lọc trang web theo phân loại và ngăn chặn truy cập các trang web nhiễm mã độc; Cách ly máy tính làm việc và mạng Internet bằng công nghệ ảo hóa VDI hoặc Remote Desktop.

d) Đối với các trang tin điện tử, dịch vụ hành chính công và các ứng dụng phục vụ truy cập từ Internet, áp dụng các biện pháp bảo vệ sau: Phòng chống xâm nhập; Tường lửa ứng dụng web; Đánh giá và khắc phục điểm yếu của hệ thống thông tin; Phòng chống tấn công từ chối dịch vụ.

d) Truy cập mạng, ứng dụng nội bộ từ Internet phải thực hiện xác thực đa yếu t.

đ) Mạng riêng hoặc mạng không dây chỉ phục vụ truy cập Internet phải được cách ly với mạng làm việc (từ vùng mạng riêng hoặc mạng không dây này không truy cập được vào vùng mạng làm việc).

e) Các hệ thống kỹ thuật đảm bảo an toàn kết nối, truy cập Internet phải được bảo hành phần cứng, cập nhật mẫu mã độc, cập nhật mẫu tấn công liên tục. Công tác giám sát, vận hành các hệ thống này phải được thực hiện thường xuyên.

2. Bảo đảm an toàn trong hoạt động trao đổi thông tin vi các tổ chức, cá nhân ngoài Bộ Tài chính

2.1. Đối với cơ quan, tổ chức, cá nhân ngoài Bộ Tài chính có thiết lập kết nối vào hệ thống mạng của ngành Tài chính:

Vùng mạng của tổ chức, cá nhân bên ngoài được sử dụng để kết nối vào mạng của ngành Tài chính phải được kiểm soát bằng tường lửa; các máy tính trong phân đoạn mạng này phải được cập nhật bản vá hệ điều hành, mẫu phòng diệt mã độc; các tài khoản truy cập hệ thống tối thiểu phải áp dụng mật khẩu phức tạp; chỉ được kết nối Internet trong trường hợp kết nối này phục vụ trực tiếp công việc của các đơn vị thuộc Bộ và đáp ứng quy định về bảo đảm an toàn kết nối Internet tại đơn vị.

2.2. Đối tác phát triển ứng dụng cho các đơn vị thuộc Bộ Tài chính có trách nhiệm đảm bảo an toàn cho công tác phát triển ứng dụng, bao gồm cả giai đoạn bảo trì, bảo hành ứng dụng: sử dụng máy tính được cập nhật bản vá hệ điều hành, phần mềm phòng diệt mã độc; thực hiện các biện pháp tránh lộ lọt mã nguồn, phần mềm ứng dụng của ngành Tài chính và các tài liệu liên quan; không sử dụng các công cụ phát triển ứng dụng không có bản quyền hoặc có nguồn gốc không an toàn.

2.3. Các đối tác cung cấp dịch vụ công nghệ thông tin (bao gồm thử nghiệm sản phẩm công nghệ thông tin tại hệ thống mạng của đơn vị thuộc Bộ) và nhân viên của đi tác trong trường hợp tiếp xúc với bí mật nhà nước của ngành Tài chính phải ký cam kết bảo vệ bí mật nhà nước trước khi triển khai hp đồng, thỏa thuận về dịch vụ công nghệ thông tin.

3. Bảo đảm an toàn tài khoản công nghệ thông tin

3.1. Tài khoản người dùng:

a) Mỗi người dùng khi sử dụng hệ thống thông tin phải được cấp và sử dụng tài khoản truy cập với định danh duy nhất gắn với người dùng đó. Trường hợp sử dụng tài khoản dùng chung cho một nhóm người hay một đơn vị phải có cơ chế xác định các cá nhân có trách nhiệm quản lý tài khoản.

b) Tài khoản của người dùng không được cấp quyền quản trị trên máy tính ni mạng. Tài khoản quản trị máy tính chỉ được sử dụng trong trường hp cài đặt phần mềm trên máy tính. Tài khoản quản trị máy tính để bàn phải do bộ phận công nghệ thông tin của đơn vị nắm giữ. Đối với máy tính xách tay, người dùng phải được hướng dẫn sử dụng đúng cách tài khoản quản trị máy tính và có trách nhiệm thực hiện theo đúng hướng dẫn.

c) Trường hợp người dùng thay đổi vị trí công tác, chuyển công tác, thôi việc hoặc nghỉ hưu phải thông báo kịp thời cho bộ phận quản lý tài khoản công nghệ thông tin để thực hiện điều chỉnh, thu hồi, hủy bỏ các quyền sử dụng của người dùng đối với hệ thống mạng, ứng dụng. Quy định cụ thể như sau:

- Văn bản quyết định về việc bổ nhiệm chức vụ lãnh đạo, thay đổi vị trí công tác, chuyển công tác, thôi việc, nghỉ hưu phải ghi tên bộ phận chịu trách nhiệm quản lý tài khoản công nghệ thông tin tại phần ghi nơi nhận của văn bản. Trường hợp thay đổi vị trí công tác không sử dụng hình thức văn bản quyết định, đơn vị quản lý người dùng phải thông báo cho bộ phận quản lý tài khoản công nghệ thông tin bằng công văn hoặc theo cách thức quy định trong quy trình quản lý tài khoản công nghệ thông tin áp dụng tại đơn vị.

- Tài khoản công nghệ thông tin phải được điều chỉnh, thu hồi, hủy bỏ trong thời gian không quá 03 ngày làm việc tính từ ngày người dùng chính thức chuyển công tác ra khỏi ngành Tài chính, thôi việc, nghỉ hưu; không quá 05 ngày làm việc trong trường hợp thay đổi vị trí công tác trong nội bộ đơn vị hoặc chuyển công tác tới đơn vị khác thuộc ngành Tài chính.

- Phải có văn bản đề nghị của đơn vị quản lý người dùng trong trường hợp cần duy trì tài khoản của người dùng sau thời điểm người dùng chính thức thay đi vị trí công tác, chuyển công tác, thôi việc, nghỉ hưu; trong đó nêu rõ lý do, các quyền sử dụng cần duy trì và thời gian duy trì.

3.2. Tài khoản quản trị hệ thống (thiết bị, mạng, hệ điều hành, ứng dụng, cơ sở dữ liệu) phải tách biệt với tài khoản truy cập mạng, ứng dụng với tư cách người dùng thông thường. Tài khoản quản trị hệ thống phải được giao đích danh cá nhân làm công tác quản trị hệ thống. Hạn chế dùng chung tài khoản quản trị.

3.3. Xác thực tài khoản công nghệ thông tin:

a) Mật khẩu truy cập, sử dụng, quản trị hệ thống thông tin; truy cập thiết bị lưu khóa bí mật phải:

- Có tối thiểu 8 ký tự.

- Gồm tối thiểu 3 trong 4 loại ký tự sau: chữ cái viết hoa (A - Z); chữ cái viết thường (a - z); chữ số (0 - 9); các ký tự khác trên bàn phím máy tính ( ' ~ ! @ # $ % ^ & * ( ) _ - + = { } [ ] \ | : ; ’ < > , . ? / ) và dấu cách.

- Không chứa tên tài khoản.

b) Mật khẩu phải được đổi ngay sau khi nhận bàn giao tngười khác hoặc có thông báo về sự cố an toàn thông tin, điểm yếu liên quan đến khả năng lộ mật khẩu; mật khẩu phải được đổi tối thiểu 03 tháng một lần đối với tài khoản của người dùng và 02 tháng một lần đối với tài khoản quản trị hệ thống.

c) Người dùng, người làm công tác quản trị hệ thống có trách nhiệm bảo vệ thông tin tài khoản được cấp, không tiết lộ mật khẩu hoặc đưa cho người khác phương tiện xác thực tài khoản của mình ngoại trừ các trường hợp: cần xử lý công việc khẩn cấp của đơn vị; cần cung cấp, bàn giao cho đơn vị các thông tin, tài liệu do cá nhân quản lý. Chủ tài khoản phải đổi mật khẩu ngay sau khi kết thúc xử lý các việc này.

3.4. Hệ thống tài khoản công nghệ thông tin phải được rà soát hàng năm, đảm bảo các tài khoản và quyền truy cập hệ thống được cấp phát đúng. Các tài khoản không sử dụng trong thời gian 01 năm phải bị khóa hoặc xóa bỏ (sau khi trao đổi, xác nhận vi đơn vị sử dụng).

4. Bảo đảm an toàn máy tính phục vụ công việc

4.1. Máy tính phục vụ công việc (bao gồm máy chủ, máy tính quản trị và máy tính để bàn, máy tính xách tay, máy tính bảng phục vụ công việc của người dùng tại đơn vị):

a) Máy tính phục vụ công việc chỉ được cài đặt phần mềm theo danh mục phần mềm do đơn vị quy định và do đơn vị/bộ phận chuyên trách về công nghệ thông tin của đơn vị quản lý hoặc được cung cấp theo các chương trình ứng dụng công nghệ thông tin của Bộ Tài chính và các cơ quan Nhà nước khác có thẩm quyền, được cập nhật bản vá lỗi hệ điều hành về an ninh, cài đặt phần mềm phòng diệt mã độc và cập nhật mẫu mã độc hàng ngày.

b) Đơn vị/bộ phận chuyên trách về công nghệ thông tin của đơn vị chịu trách nhiệm cài đặt phần mềm cho máy tính phục vụ công việc. Người dùng không được can thiệp vào các phần mềm đã cài đặt trên máy tính (thay đổi, gỡ bỏ,...) khi chưa được sự đồng ý của bộ phận công nghệ thông tin của đơn vị.

4.2. Máy tính do cá nhân tự trang bị phải đáp ứng đầy đủ các điều kiện dưới đây khi kết nối vào hệ thống mạng của ngành Tài chính:

a) Cài đặt đầy đủ các bản vá lỗi hệ điều hành về an ninh.

b) Cài đặt phần mềm phòng diệt mã độc và cập nhật mẫu mã độc gn nhất.

c) Không cài đặt phần mềm, công cụ có tính năng gây mất an toàn thông tin hoặc tạo rủi ro cho hệ thống mạng (cấp phát địa chỉ mạng, dò quét mật khẩu, dò quét cổng mạng, giả lập tấn công,..).

d) Được sự kiểm tra và đồng ý của bộ phận quản lý Công nghệ thông tin của đơn vị hoặc đáp ứng yêu cầu của hệ thống kiểm tra tự động trên cơ sở đối chiếu với các quy định tại điểm a, b, c của khoản này.

5. Bảo đảm an toàn vật lý các thiết bị công nghệ thông tin

5.1. Các khu vực sau phải được kiểm soát truy cập vật lý để phòng tránh truy cập trái phép hoặc sai mục đích: Trung tâm dữ liệu; khu vực chứa máy chủ và thiết bị lưu trữ; tủ mạng và đấu nối; thiết bị nguồn điện và dự phòng điện khn cấp; phòng vận hành, kiểm soát, quản trị hệ thống. Phải có nội quy hoặc hướng dẫn làm việc trong các khu vực này.

5.2. Các điểm truy cập không dây của đơn vị được bảo vệ tránh bị tiếp cận trái phép.

5.3. Máy chủ, thiết bị mạng trung tâm phải được đặt tại Trung tâm dữ liệu hoặc phòng máy chủ.

5.4. Thiết bị thuộc hệ thống thông tin từ cấp độ 2 trở lên phải được bảo dưỡng định kỳ và duy trì chế độ bảo hành liên tục hoặc có cơ chế sửa chữa, thay thế đáp ứng yêu cầu về mức độ sẵn sàng của hệ thống thông tin trong suốt thời gian sử dụng.

5.5. Thiết bị xử lý thông tin của đơn vị khi mang đi bảo hành, bảo dưỡng, sửa chữa, phải tháo ổ cứng khỏi thiết bị hoặc xóa thông tin, dữ liệu lưu trữ trên thiết bị (trừ trường hợp mang thiết bị đi khôi phục dữ liệu). Thiết bị lưu trữ không sử dụng tiếp cho công việc của đơn vị (thanh lý, cho, tặng) phải được xóa nội dung bằng phần mềm hoặc bằng thiết bị hủy dữ liệu chuyên dụng hay phá hủy vật lý.

5.6. Người dùng sử dụng các thiết bị lưu trữ dữ liệu di động (máy tính xách tay, thiết bị số cầm tay, thẻ nhớ USB, ổ cứng ngoài, băng từ) để xử lý công việc của cơ quan có trách nhiệm bảo vệ các thiết bị này và thông tin lưu trên thiết bị, tránh làm mất, lộ thông tin; xóa ngay thông tin lưu trữ trên thiết bị sau khi hoàn thành xử lý. Không mang ra nước ngoài thông tin của cơ quan, Nhà nước không liên quan tới nội dung công việc thực hiện ở nước ngoài. Người dùng sử dụng các thiết bị lưu trữ dữ liệu di động do đơn vị cấp phát không tự ý thuê, mua dịch vụ sao lưu, phục hồi dữ liệu khi gặp sự cố hỏng hóc mà báo bộ phận Công nghệ thông tin của đơn vị để xử lý; không tự ý hủy các thiết bị này khi không còn khả năng sử dụng.

5.7. Người dùng phải thực hiện thao tác khóa máy tính (sử dụng tính năng có sẵn trên máy) khi rời khỏi nơi đặt máy tính; tắt máy tính khi rời khỏi cơ quan.

 

Phụ lục 2. Mẫu thuyết minh phương án bảo đảm an toàn thông tin mạng dùng chung cho các hệ thống thông tin

1. Cấp độ đề xuất: ....

2. Đối chiếu với Tiêu chuẩn TCVN 11930:2017 cấp độ .... (tương ng với cp độ đề xuất tại mục I)

Yêu cầu của TCVN 11930:2017

Hiện trạng

Phương án cải thiện hiện trạng

Đánh giá đáp ứng tiêu chuẩn

Lý do, biện pháp thay thế đối với các nội dung không đáp ứng tiêu chuẩn

X.1 Yêu cầu quản lý

 

 

 

 

 

 

 

 

X.2 Yêu cầu kỹ thuật

 

 

 

 

X.2.1 Bảo đảm an toàn mạng

 

 

 

 

 

 

 

 

A.Y Yêu cầu vật lý

 

 

 

 

 

 

 

 

3. Đi chiếu với chính sách an toàn thông tin mạng Bộ Tài chính

Chính sách của Bộ Tài chính

Hiện trạng

Phương án cải thiện hiện trạng

Đánh giá đáp ứng tiêu chuẩn

Lý do, biện pháp thay thế đi với các ni dung không đáp ứng chính sách

1. Bảo đảm an toàn kết nối Internet

 

 

 

 

 

 

 

 

2. Bảo đảm an toàn trong hoạt động trao đổi thông tin với các tổ chức, cá nhân ngoài Bộ Tài chính

 

 

 

 

 

 

 

 

3. Bảo đảm an toàn tài khoản công nghệ thông tin

 

 

 

 

 

 

 

 

4. Bảo đảm an toàn máy tính phục vụ công việc

 

 

 

 

 

 

 

 

5. Bảo đảm an toàn vật lý các thiết bị công nghệ thông tin

 

 

 

 

 

 

 

 

4. Đối chiếu với quy định, chính sách ca đơn vị

Quy định, chính sách của đơn vị

Hiện trạng

Phương án cải thiện hiện trạng

Đánh giá đáp ứng tiêu chuẩn

Lý do, biện pháp thay thế đối với các ni dung không đáp ứng quy định

 

 

 

 

 

 

 

 

 

 

Ghi chú: Có thể ghép các bảng tại mục 2, 3, 4 vào chung thành một bảng nếu phù hợp.

 

Phụ lục 3. Mẫu Hồ sơ đề xuất cấp độ an toàn hệ thống thông

Tài liệu 1: THUYẾT MINH ĐỀ XUẤT CẤP ĐỘ VÀ PHƯƠNG ÁN BẢO ĐẢM AN TOÀN THÔNG TIN

1. Tên hệ thống thông tin

2. Mô tả chung về hệ thống thông tin

2.1 Chức năng chính của hệ thống thông tin

2.2 Đối tượng sử dụng:

2.3 Mô hình hệ thống thông tin:

2.4 Hệ điều hành và các phần mềm CSDL, ứng dụng sử dụng cho hệ thống thông tin:

3. Phân loại hệ thống thông tin (theo khoản 2 Điều 5 Nghị định 85/2016/NĐ-CP và Điều 4 Thông tư 03/2017/TT-BTTTT):

4. Chủ quản hệ thống thông tin (theo khoản 1, 2 Điều 5 của Quy chế):

5. Đơn vị vận hành hệ thống thông tin (theo khoản 1, 2 Điều 5 của Quy chế):

6. Loại thông tin được xử lý thông qua hệ thống thông tin (theo khoản 1 Điều 6 Nghị định 85/2016/NĐ-CP):

7. Cấp độ đề xuất (kèm thuyết minh căn cứ đề xuất cấp độ (theo Điều 7 của Quy chế):

8. Thuyết minh phương án bảo đảm an toàn thông tin (tương ứng với cấp độ đề xuất)

8.1 Phương án bảo đảm an toàn thông tin mạng dùng chung

Tham chiếu Quyết định phê duyệt phương án bảo đảm an toàn thông tin mạng dùng chung nếu đã có quyết định này hoặc mô tả phương án bảo đảm bảo đảm an toàn thông tin mạng dùng chung.

8.2 Phương án bảo đảm an toàn áp dụng cho mỗi hệ thống thông tin

8.2.1 Đối chiếu với Tiêu chuẩn TCVN 11930:2017

Yêu cầu của TCVN 11930:2017 cấp độ..

Hiện trạng

Phương án cải thiện hiện trạng

Đánh giá đáp ứng tiêu chuẩn

Lý do, biện pháp thay thế đối với các nội dung không đáp ứng yêu cầu

 

 

 

 

 

 

 

 

 

 

8.2.2 Đối chiếu với quy định, chính sách của đơn vị (có thể ghép chung với bảng tại mục 8.2.1 nếu phù hp).

Tài liệu 2: Tài liệu mô tả chi tiết hệ thống (Thiết kế sơ bộ hoặc Thiết kế thi công hoặc Tài liệu hoàn công).

 

Phụ lục 4. Mẫu Hồ sơ đề xuất cấp độ áp dụng cho nhiều hệ thống thông tin

1. Đxuất cấp độ

TT

Tên hệ thống

Mô tả chung hệ thống

Phân loại hệ thống

Loại thông tin xử lý trên hệ thống

Chủ quản hệ thống thông tin

Đơn vị vận hành

Cấp độ đề xuất

Thuyết minh đề xuất cấp độ

1

 

 

 

 

 

 

 

 

2

 

 

 

 

 

 

 

 

2. Phương án bảo đảm an toàn thông tin

2.1 Phương án bảo đảm an toàn thông tin mạng dùng chung

Tham chiếu Quyết định phê duyệt phương án bảo đảm an toàn thông tin mạng dùng chung nếu đã có quyết định này hoặc mô tả phương án bảo đảm bảo đảm an toàn thông tin mạng dùng chung.

2.2 Phương án bảo đảm an toàn áp dụng cho mỗi hệ thống thông tin

2.2.1 Hệ thống thông tin 1 - Tên hệ thống - Cấp độ đề xuất:

2.2.2.1 Đối chiếu với Tiêu chuẩn TCVN 11930:2017

Yêu cu của Tiêu chuẩn TCVN 11930:2017

Hiện trạng

Phương án cải thiện hiện trạng

Đánh giá đáp ứng tiêu chuẩn

Lý do, biện pháp thay thế đối với các nội dung không đáp ứng yêu cầu

 

 

 

 

 

 

 

 

 

 

2.2.2.2 Đối chiếu với quy định, chính sách của đơn vị (có thể ghép chung với bảng tại mục 2.2.2.1 nếu phù hợp).

2.2.2 Hệ thống thông tin 2 - Tên hệ thng -Cấp độ đề xuất:

…….

 

Phụ lục 5. Mẫu tham khảo Hồ sơ theo dõi triển khai phương án bảo đảm an toàn cho hệ thống thông tin

1. Tên Hệ thống thông tin:

2. Cấp độ đề xuất được phê duyệt:

3. Cấp độ phương án bảo đảm an toàn thông tin đề xuất được phê duyệt:

Yêu cầu của Tiêu chuẩn TCVN 11930:2017 /Quy định, chính sách của đơn vị

Hiện trạng

Phương án cải thiện hiện trạng

Đánh giá đáp ứng tiêu chuẩn

Lý do, biện pháp thay thế đối với các nội dung không đáp ứng yêu cầu

Tiến độ triển khai phương án bảo đảm an toàn thông tin

 

 

 

 

 

 

 

 

 

 

 

 

 

Phụ lục 6. Mẫu Kế hoạch triển khai Quy chế An toàn thông tin mạng Bộ Tài chính

KẾ HOẠCH TRIỂN KHAI QUY CHẾ AN TOÀN THÔNG TIN MẠNG BỘ TÀI CHÍNH ĐẾN NĂM 2020

I. Xác định cấp độ an toàn thông tin

1. Phân công vai trò, trách nhiệm trong hoạt động xác định cấp độ an toàn thông tin

2. Xác định cấp độ đối với phần dùng chung cho các hệ thống của đơn vị (xem điểm a khoản 3 Điều 8 của Quy chế):

- Cấp độ dự kiến:....

- Kế hoạch xây dựng chính sách quản lý an toàn thông tin mạng tương ứng với cấp độ dự kiến theo Tiêu chuẩn TCVN 11930:2017 (dự kiến thời gian hoàn thành xây dựng mới hoặc rà soát, hoàn thiện các quy định hiện có của đơn vị):

- Kế hoạch rà soát, hoàn thiện hệ thống mạng, Trung tâm dữ liệu/phòng máy chủ và các nội dung khác của phần dùng chung.

3. Xác định cấp độ cho các hệ thống thông tin

TT

Tên hệ thống

Tình trạng (đang hoạt động/chuẩn bị lập dự án/đang triển khai)

Cấp độ dự kiến (theo thứ tự từ cao xuống thấp)

Dự kiến thời gian xác định cấp độ (quý/năm - quý/năm)

A

Các hệ thống phục vụ người dân, doanh nghiệp, đối tượng quản lý, đối tượng phục vụ

 

 

 

 

B

Các hệ thống phục vụ nội bộ

 

 

 

 

C

Các hệ thống hạ tầng

 

 

 

 

 

D

Các hệ thống điều khiển công nghiệp và hệ thống khác

 

 

 

 

 

 

 

II. Giám sát an toàn thông tin

1. Hiện trạng hoạt động giám sát an toàn thông tin

2. Kế hoạch triển khai hoạt động giám sát an toàn thông tin

III. Ứng cứu sự cố an toàn thông tin mạng

TT

Công việc

Thời gian dự kiến triển khai (quý/năm)

1

Đăng ký tham gia mạng lưới ứng cứu sự cố

 

2

Thành lập đội ứng cứu sự cố

 

3

Xây dựng Kế hoạch ứng phó sự c

 

4

Thành lập Liên minh ứng cứu sự cố

 

IV. Đào tạo, bồi dưỡng nghiệp vụ về an toàn thông tin

1. Tình hình công tác đào tạo, bồi dưỡng nghiệp vụ về an toàn thông tin của đơn vị đến thời điểm này

2. Định hướng triển khai công tác đào tạo, bồi dưỡng về nghiệp vụ an toàn thông tin của đơn vị từ năm 2018-2020

V. Kiểm tra, đánh giá an toàn thông tin

1. Tình hình công tác tự kiểm tra, đánh giá an toàn thông tin tính đến thời này

2. Dự kiến triển khai công tác kiểm tra, đánh giá an toàn thông tin từ năm 2018-2020

Điều 7. Các hành vi bị nghiêm cấm

1. Ngăn chặn việc truyền tải thông tin trên mạng, can thiệp, truy nhập, gây nguy hại, xóa, thay đổi, sao chép và làm sai lệch thông tin trên mạng trái pháp luật.

2. Gây ảnh hưởng, cản trở trái pháp luật tới hoạt động bình thường của hệ thống thông tin hoặc tới khả năng truy nhập hệ thống thông tin của người sử dụng.

3. Tấn công, vô hiệu hóa trái pháp luật làm mất tác dụng của biện pháp bảo vệ an toàn thông tin mạng của hệ thống thông tin; tấn công, chiếm quyền điều khiển, phá hoại hệ thống thông tin.

4. Phát tán thư rác, phần mềm độc hại, thiết lập hệ thống thông tin giả mạo, lừa đảo.

5. Thu thập, sử dụng, phát tán, kinh doanh trái pháp luật thông tin cá nhân của người khác; lợi dụng sơ hở, điểm yếu của hệ thống thông tin để thu thập, khai thác thông tin cá nhân.

6. Xâm nhập trái pháp luật bí mật mật mã và thông tin đã mã hóa hợp pháp của cơ quan, tổ chức, cá nhân; tiết lộ thông tin về sản phẩm mật mã dân sự, thông tin về khách hàng sử dụng hợp pháp sản phẩm mật mã dân sự; sử dụng, kinh doanh các sản phẩm mật mã dân sự không rõ nguồn gốc.

Xem nội dung VB
Click vào để xem nội dung
Điều 5. Chủ quản hệ thống thông tin
...
3. Chủ quản hệ thống thông tin có thể ủy quyền cho một tổ chức thay mặt mình thực hiện quyền quản lý trực tiếp đối với hệ thống thông tin và trách nhiệm bảo đảm an toàn hệ thống thông tin theo quy định tại khoản 2 Điều 20 Nghị định 85/2016/NĐ-CP.

Việc ủy quyền phải được thực hiện bằng văn bản, trong đó nêu rõ phạm vi và thời hạn ủy quyền. Tổ chức được ủy quyền phải trực tiếp thực hiện quyền và nghĩa vụ của chủ quản hệ thống thông tin mà không được ủy quyền lại cho bên thứ ba.

Xem nội dung VB
Click vào để xem nội dung
Điều 20. Trách nhiệm của chủ quản hệ thống thông tin

1. Người đứng đầu của cơ quan, tổ chức là chủ quản hệ thống thông tin có trách nhiệm:

a) Trực tiếp chỉ đạo và phụ trách công tác bảo đảm an toàn thông tin trong hoạt động của cơ quan, tổ chức mình;

b) Trong trường hợp chưa có đơn vị chuyên trách về an toàn thông tin độc lập:

- Chỉ định đơn vị chuyên trách về công nghệ thông tin làm nhiệm vụ đơn vị chuyên trách về an toàn thông tin;

- Thành lập hoặc chỉ định bộ phận chuyên trách về an toàn thông tin trực thuộc đơn vị chuyên trách về công nghệ thông tin.

2. Chủ quản hệ thống thông tin có trách nhiệm:

a) Chỉ đạo đơn vị vận hành hệ thống thông tin lập hồ sơ đề xuất cấp độ; tổ chức thẩm định, phê duyệt hồ sơ đề xuất cấp độ theo quy định Nghị định này;

b) Chỉ đạo, tổ chức thực hiện phương án bảo đảm an toàn hệ thống thông tin theo cấp độ đối với hệ thống thông tin thuộc phạm vi mình quản lý theo quy định tại Điều 25, 26 và 27 của Luật an toàn thông tin mạng, Nghị định này và quy định của pháp luật liên quan;

c) Chỉ đạo, tổ chức thực hiện kiểm tra, đánh giá an toàn thông tin và quản lý rủi ro an toàn thông tin trong phạm vi cơ quan, tổ chức mình, cụ thể như sau:

- Định kỳ 02 năm thực hiện kiểm tra, đánh giá an toàn thông tin và quản lý rủi ro an toàn thông tin tổng thể trong hoạt động của cơ quan, tổ chức mình;

- Định kỳ hàng năm thực hiện kiểm tra, đánh giá an toàn thông tin và quản lý rủi ro an toàn thông tin đối với các hệ thống cấp độ 3 và cấp độ 4;

- Định kỳ 06 tháng (hoặc đột xuất khi thấy cần thiết hoặc theo yêu cầu, cảnh báo của cơ quan chức năng) thực hiện kiểm tra, đánh giá an toàn thông tin và quản lý rủi ro an toàn thông tin đối với hệ thống cấp độ 5;

- Việc kiểm tra, đánh giá an toàn thông tin và đánh giá rủi ro an toàn thông tin đối với hệ thống từ cấp độ 3 trở lên phải do tổ chức chuyên môn được cơ quan có thẩm quyền cấp phép; tổ chức sự nghiệp nhà nước có chức năng, nhiệm vụ phù hợp hoặc do tổ chức chuyên môn được cấp có thẩm quyền chỉ định thực hiện.

d) Chỉ đạo, tổ chức thực hiện đào tạo ngắn hạn, tuyên truyền, phổ biến, nâng cao nhận thức và diễn tập về an toàn thông tin, cụ thể như sau:

- Đào tạo, bồi dưỡng theo các chương trình đào tạo ngắn hạn nâng cao kiến thức, kỹ năng về an toàn thông tin cho cán bộ, công chức, viên chức làm về an toàn thông tin trong cơ quan, tổ chức mình;

- Tuyên truyền, phổ biến nâng cao nhận thức về an toàn thông tin cho cán bộ, công chức, viên chức trong cơ quan, tổ chức mình;

- Diễn tập bảo đảm an toàn thông tin trong hoạt động của cơ quan, tổ chức mình; tham gia diễn tập quốc gia và diễn tập quốc tế do Bộ Thông tin và Truyền thông tổ chức.

đ) Chỉ đạo đơn vị vận hành hệ thống thông tin phối hợp với đơn vị chức năng liên quan của Bộ Thông tin và Truyền thông trong việc triển khai thiết bị, kết nối tới hệ thống kỹ thuật xử lý, giảm thiểu tấn công mạng, hỗ trợ giám sát an toàn thông tin cho hệ thống thông tin cung cấp dịch vụ công trực tuyến, phát triển chính phủ điện tử.

Xem nội dung VB
Click vào để xem nội dung
Điều 22. Trách nhiệm của đơn vị vận hành hệ thống thông tin

Đơn vị vận hành hệ thống thông tin có trách nhiệm:
...
2. Thực hiện bảo vệ hệ thống thông tin theo quy định của pháp luật và hướng dẫn, tiêu chuẩn, quy chuẩn an toàn thông tin;

3. Định kỳ đánh giá hiệu quả của các biện pháp bảo đảm an toàn thông tin, báo cáo chủ quản hệ thống thông tin Điều chỉnh nếu cần thiết;

4. Định kỳ hoặc đột xuất báo cáo công tác thực thi bảo đảm an toàn hệ thống thông tin theo yêu cầu của chủ quản hệ thống thông tin hoặc cơ quan quản lý nhà nước chuyên ngành có thẩm quyền;

5. Phối hợp, thực hiện theo yêu cầu của cơ quan chức năng liên quan của Bộ Thông tin và Truyền thông trong công tác bảo đảm an toàn thông tin.

Xem nội dung VB
Click vào để xem nội dung
Điều 21. Trách nhiệm của đơn vị chuyên trách về an toàn thông tin của chủ quản hệ thống thông tin

1. Tham mưu, tổ chức thực thi, đôn đốc, kiểm tra, giám sát công tác bảo đảm an toàn thông tin.

Xem nội dung VB
Click vào để xem nội dung
Điều 21. Phân loại cấp độ an toàn hệ thống thông tin
...
2. Hệ thống thông tin được phân loại theo cấp độ an toàn như sau:

a) Cấp độ 1 là cấp độ mà khi bị phá hoại sẽ làm tổn hại tới quyền và lợi ích hợp pháp của tổ chức, cá nhân nhưng không làm tổn hại tới lợi ích công cộng, trật tự, an toàn xã hội, quốc phòng, an ninh quốc gia;

b) Cấp độ 2 là cấp độ mà khi bị phá hoại sẽ làm tổn hại nghiêm trọng tới quyền và lợi ích hợp pháp của tổ chức, cá nhân hoặc làm tổn hại tới lợi ích công cộng nhưng không làm tổn hại tới trật tự, an toàn xã hội, quốc phòng, an ninh quốc gia;

c) Cấp độ 3 là cấp độ mà khi bị phá hoại sẽ làm tổn hại nghiêm trọng tới sản xuất, lợi ích công cộng và trật tự, an toàn xã hội hoặc làm tổn hại tới quốc phòng, an ninh quốc gia;

d) Cấp độ 4 là cấp độ mà khi bị phá hoại sẽ làm tổn hại đặc biệt nghiêm trọng tới lợi ích công cộng và trật tự, an toàn xã hội hoặc làm tổn hại nghiêm trọng tới quốc phòng, an ninh quốc gia;

Xem nội dung VB
Click vào để xem nội dung
Điều 7. Tiêu chí xác định cấp độ 1

Hệ thống thông tin cấp độ 1 là hệ thống thông tin phục vụ hoạt động nội bộ của cơ quan, tổ chức và chỉ xử lý thông tin công cộng.

Điều 8. Tiêu chí xác định cấp độ 2

Hệ thống thông tin cấp độ 2 là hệ thống thông tin có một trong các tiêu chí cụ thể như sau:

1. Hệ thống thông tin phục vụ hoạt động nội bộ của cơ quan, tổ chức và có xử lý thông tin riêng, thông tin cá nhân của người sử dụng nhưng không xử lý thông tin bí mật nhà nước.

2. Hệ thống thông tin phục vụ người dân, doanh nghiệp thuộc một trong các loại hình như sau:

a) Cung cấp thông tin và dịch vụ công trực tuyến từ mức độ 2 trở xuống theo quy định của pháp luật;

b) Cung cấp dịch vụ trực tuyến không thuộc danh Mục dịch vụ kinh doanh có Điều kiện;

c) Cung cấp dịch vụ trực tuyến khác có xử lý thông tin riêng, thông tin cá nhân của dưới 10.000 người sử dụng.

3. Hệ thống cơ sở hạ tầng thông tin phục vụ hoạt động của một cơ quan, tổ chức.

Điều 9. Tiêu chí xác định cấp độ 3

Hệ thống thông tin cấp độ 3 là hệ thống thông tin có một trong các tiêu chí cụ thể như sau:

1. Hệ thống thông tin xử lý thông tin bí mật nhà nước hoặc hệ thống phục vụ quốc phòng, an ninh khi bị phá hoại sẽ làm tổn hại tới quốc phòng, an ninh quốc gia.

2. Hệ thống thông tin phục vụ người dân, doanh nghiệp thuộc một trong các loại hình như sau:

a) Cung cấp thông tin và dịch vụ công trực tuyến từ mức độ 3 trở lên theo quy định của pháp luật;

b) Cung cấp dịch vụ trực tuyến thuộc danh Mục dịch vụ kinh doanh có Điều kiện;

c) Cung cấp dịch vụ trực tuyến khác có xử lý thông tin riêng, thông tin cá nhân của từ 10.000 người sử dụng trở lên.

3. Hệ thống cơ sở hạ tầng thông tin dùng chung phục vụ hoạt động của các cơ quan, tổ chức trong phạm vi một ngành, một tỉnh hoặc một số tỉnh.

4. Hệ thống thông tin Điều khiển công nghiệp trực tiếp phục vụ Điều khiển, vận hành hoạt động bình thường của các công trình xây dựng cấp II, cấp III hoặc cấp IV theo phân cấp của pháp luật về xây dựng.

Điều 10. Tiêu chí xác định cấp độ 4

Hệ thống thông tin cấp độ 4 là hệ thống thông tin có một trong các tiêu chí cụ thể như sau:

1. Hệ thống thông tin xử lý thông tin bí mật nhà nước hoặc hệ thống phục vụ quốc phòng, an ninh, khi bị phá hoại sẽ làm tổn hại nghiêm trọng quốc phòng, an ninh quốc gia.

2. Hệ thống thông tin quốc gia phục vụ phát triển Chính phủ điện tử, yêu cầu vận hành 24/7 và không chấp nhận ngừng vận hành mà không có kế hoạch trước.

3. Hệ thống cơ sở hạ tầng thông tin dùng chung phục vụ hoạt động của các cơ quan, tổ chức trên phạm vi toàn quốc, yêu cầu vận hành 24/7 và không chấp nhận ngừng vận hành mà không có kế hoạch trước.

4. Hệ thống thông tin Điều khiển công nghiệp trực tiếp phục vụ Điều khiển, vận hành hoạt động bình thường của các công trình xây dựng cấp I theo phân cấp của pháp luật về xây dựng.

Xem nội dung VB
Click vào để xem nội dung
Điều 21. Phân loại cấp độ an toàn hệ thống thông tin
...
2. Hệ thống thông tin được phân loại theo cấp độ an toàn như sau:
...
đ) Cấp độ 5 là cấp độ mà khi bị phá hoại sẽ làm tổn hại đặc biệt nghiêm trọng tới quốc phòng, an ninh quốc gia.

Xem nội dung VB
Click vào để xem nội dung
Điều 11. Tiêu chí xác định cấp độ 5

Hệ thống thông tin cấp độ 5 là hệ thống thông tin có một trong các tiêu chí cụ thể như sau:

1. Hệ thống thông tin xử lý thông tin bí mật nhà nước hoặc hệ thống phục vụ quốc phòng, an ninh, khi bị phá hoại sẽ làm tổn hại đặc biệt nghiêm trọng tới quốc phòng, an ninh quốc gia.

2. Hệ thống thông tin phục vụ lưu trữ dữ liệu tập trung đối với một số loại hình thông tin, dữ liệu đặc biệt quan trọng của quốc gia.

3. Hệ thống cơ sở hạ tầng thông tin quốc gia phục vụ kết nối liên thông hoạt động của Việt Nam với quốc tế.

4. Hệ thống thông tin Điều khiển công nghiệp trực tiếp phục vụ Điều khiển, vận hành hoạt động bình thường của công trình xây dựng cấp đặc biệt theo phân cấp của pháp luật về xây dựng hoặc công trình quan trọng liên quan đến an ninh quốc gia theo pháp luật về an ninh quốc gia.

5. Hệ thống thông tin khác theo quyết định của Thủ tướng Chính phủ.

Xem nội dung VB
Click vào để xem nội dung
Điều 3. Tổ chức thực hiện

1. Cơ quan chủ trì từng lĩnh vực:

a) Chủ trì, phối hợp với các Bộ: Thông tin và Truyền thông, Công an, Quốc phòng xây dựng tiêu chí cụ thể xác định hệ thống thông tin quan trọng quốc gia thuộc lĩnh vực quản lý, trên cơ sở đó xây dựng danh mục hệ thống thông tin quan trọng quốc gia gửi Bộ Thông tin và Truyền thông để thẩm định theo quy định;

b) Chủ trì hoặc phối hợp với chủ quản hệ thống thông tin định kỳ hàng năm thực hiện rà soát, đánh giá, xác định hệ thống thông tin quan trọng quốc gia thuộc phạm vi quản lý;

c) Đề xuất sửa đổi, bổ sung vào Danh mục hệ thống thông tin quan trọng quốc gia trước ngày 30 tháng 11 hàng năm.

Xem nội dung VB
Click vào để xem nội dung
Điều 9. Yêu cầu cơ bản đối với từng cấp độ

1. Phương án bảo đảm an toàn hệ thống thông tin cấp độ 1 phải đáp ứng yêu cầu quy định chi tiết tại Phụ lục 1 ban hành kèm theo Thông tư này.

2. Phương án bảo đảm an toàn hệ thống thông tin cấp độ 2 phải đáp ứng yêu cầu như đối với cấp độ 1 và bổ sung yêu cầu quy định chi tiết tại Phụ lục 2 ban hành kèm theo Thông tư này.

3. Phương án bảo đảm an toàn hệ thống thông tin cấp độ 3 phải đáp ứng yêu cầu như đối với cấp độ 2 và bổ sung yêu cầu quy định chi tiết tại Phụ lục 3 ban hành kèm theo Thông tư này.

4. Phương án bảo đảm an toàn hệ thống thông tin cấp độ 4 phải đáp ứng yêu cầu như đối với cấp độ 3 và bổ sung yêu cầu quy định chi tiết tại Phụ lục 4 ban hành kèm theo Thông tư này.

5. Phương án bảo đảm an toàn hệ thống thông tin cấp độ 5 phải đáp ứng yêu cầu như đối với cấp độ 4 và bổ sung yêu cầu quy định chi tiết tại Phụ lục 5 ban hành kèm theo Thông tư này.

Xem nội dung VB
Click vào để xem nội dung
Điều 6. Phân loại thông tin và hệ thống thông tin
...
2. Hệ thống thông tin được phân loại theo chức năng phục vụ hoạt động nghiệp vụ như sau:

a) Hệ thống thông tin phục vụ hoạt động nội bộ là hệ thống chỉ phục vụ hoạt động quản trị, vận hành nội bộ của cơ quan, tổ chức;

b) Hệ thống thông tin phục vụ người dân, doanh nghiệp là hệ thống trực tiếp hoặc hỗ trợ cung cấp dịch vụ trực tuyến, bao gồm dịch vụ công trực tuyến và dịch vụ trực tuyến khác trong các lĩnh vực viễn thông, công nghệ thông tin, thương mại, tài chính, ngân hàng, y tế, giáo dục và các lĩnh vực chuyên ngành khác;

c) Hệ thống cơ sở hạ tầng thông tin là tập hợp trang thiết bị, đường truyền dẫn kết nối phục vụ chung hoạt động của nhiều cơ quan, tổ chức như mạng diện rộng, cơ sở dữ liệu, trung tâm dữ liệu, điện toán đám mây; xác thực điện tử, chứng thực điện tử, chữ ký số; kết nối liên thông các hệ thống thông tin;

d) Hệ thống thông tin Điều khiển công nghiệp là hệ thống có chức năng giám sát, thu thập dữ liệu, quản lý và kiểm soát các hạng Mục quan trọng phục vụ Điều khiển, vận hành hoạt động bình thường của các công trình xây dựng;

đ) Hệ thống thông tin khác.

Xem nội dung VB
Click vào để xem nội dung
Điều 4. Hướng dẫn xác định hệ thống thông tin cụ thể

1. Việc xác định hệ thống thông tin để xác định cấp độ căn cứ trên nguyên tắc quy định tại khoản 1 Điều 5 Nghị định 85/2016/NĐ-CP.

2. Hệ thống thông tin được thiết lập, hình thành thông qua một hoặc một số hình thức sau: Đầu tư xây dựng, thiết lập mới; nâng cấp, mở rộng, tích hợp với hệ thống đã có; thuê hoặc chuyển giao hệ thống.

3. Hệ thống thông tin phục vụ hoạt động nội bộ là hệ thống chỉ phục vụ hoạt động quản trị, vận hành nội bộ của cơ quan, tổ chức, bao gồm:

a) Hệ thống thư điện tử;

b) Hệ thống quản lý văn bản và điều hành;

c) Hệ thống họp, hội nghị truyền hình trực tuyến;

d) Hệ thống quản lý thông tin cụ thể (nhân sự, tài chính, tài sản hoặc lĩnh vực chuyên môn nghiệp vụ cụ thể khác) hoặc hệ thống quản lý thông tin tổng thể (tích hợp quản lý nhiều chức năng, nghiệp vụ khác nhau);

đ) Hệ thống xử lý thông tin nội bộ.

4. Hệ thống thông tin phục vụ người dân, doanh nghiệp là hệ thống trực tiếp hoặc hỗ trợ cung cấp dịch vụ trực tuyến, bao gồm dịch vụ công trực tuyến và dịch vụ trực tuyến khác trong các lĩnh vực viễn thông, công nghệ thông tin, thương mại, tài chính, ngân hàng, y tế, giáo dục và lĩnh vực chuyên ngành khác, bao gồm:

a) Hệ thống thư điện tử;

b) Hệ thống quản lý văn bản và điều hành;

c) Hệ thống một cửa điện tử;

d) Hệ thống trang, cổng thông tin điện tử;

đ) Hệ thống cung cấp hoặc hỗ trợ cung cấp dịch vụ trực tuyến;

e) Hệ thống chăm sóc khách hàng.

5. Hệ thống cơ sở hạ tầng thông tin là tập hợp trang thiết bị, đường truyền dẫn kết nối phục vụ chung hoạt động của nhiều cơ quan, tổ chức, bao gồm:

a) Mạng nội bộ, mạng diện rộng, mạng truyền số liệu chuyên dùng;

b) Hệ thống cơ sở dữ liệu, trung tâm dữ liệu, điện toán đám mây;

c) Hệ thống xác thực điện tử, chứng thực điện tử, chữ ký số;

d) Hệ thống kết nối liên thông, trục tích hợp các hệ thống thông tin.

6. Hệ thống thông tin điều khiển công nghiệp là hệ thống có chức năng giám sát, thu thập dữ liệu, quản lý và kiểm soát các hạng mục quan trọng phục vụ điều khiển, vận hành hoạt động bình thường của các công trình xây dựng, bao gồm:

a) Hệ thống điều khiển lập trình được (PLCs);

b) Hệ thống điều khiển phân tán (DCS);

c) Hệ thống giám sát và thu thập dữ liệu (SCADA).

7. Hệ thống thông tin khác là hệ thống thông tin không thuộc các loại hình trên, được sử dụng để trực tiếp phục vụ hoặc hỗ trợ hoạt động nghiệp vụ, sản xuất, kinh doanh cụ thể của cơ quan, tổ chức theo lĩnh vực chuyên ngành.

Xem nội dung VB
Click vào để xem nội dung
Điều 6. Phân loại thông tin và hệ thống thông tin

1. Thông tin xử lý thông qua hệ thống thông tin được phân loại theo thuộc tính bí mật như sau:

a) Thông tin công cộng là thông tin trên mạng của một tổ chức, cá nhân được công khai cho tất cả các đối tượng mà không cần xác định danh tính, địa chỉ cụ thể của các đối tượng đó;

b) Thông tin riêng là thông tin trên mạng của một tổ chức, cá nhân mà tổ chức, cá nhân đó không công khai hoặc chỉ công khai cho một hoặc một nhóm đối tượng đã được xác định danh tính, địa chỉ cụ thể;

c) Thông tin cá nhân là thông tin trên mạng gắn với việc xác định danh tính một người cụ thể;

d) Thông tin bí mật nhà nước là thông tin ở mức Mật, Tối Mật, Tuyệt Mật theo quy định của pháp luật về bảo vệ bí mật nhà nước.

Xem nội dung VB
Click vào để xem nội dung
Điều 15. Hồ sơ đề xuất cấp độ

Hồ sơ đề xuất cấp độ bao gồm:

1. Tài liệu mô tả, thuyết minh tổng quan về hệ thống thông tin.

2. Tài liệu thiết kế là một trong những tài liệu sau:

a) Đối với dự án đầu tư xây dựng mới hoặc mở rộng, nâng cấp hệ thống thông tin: Thiết kế sơ bộ hoặc tài liệu có giá trị tương đương;

b) Đối với hệ thống thông tin đang vận hành: Thiết kế thi công đã được cấp có thẩm quyền phê duyệt hoặc tài liệu có giá trị tương đương.

3. Tài liệu thuyết minh về việc đề xuất cấp độ căn cứ trên các tiêu chí theo quy định của pháp luật.

4. Tài liệu thuyết minh phương án bảo đảm an toàn thông tin theo cấp độ tương ứng.

5. Ý kiến về mặt chuyên môn của đơn vị chuyên trách về an toàn thông tin của chủ quản hệ thống thông tin đối với hệ thống thông tin đề xuất cấp độ 4 hoặc cấp độ 5.

Xem nội dung VB
Click vào để xem nội dung
Điều 7. Hướng dẫn xác định và thuyết minh cấp độ an toàn hệ thống thông tin

Việc xác định cấp độ và thuyết minh cấp độ an toàn hệ thống thông tin thực hiện như sau:

1. Xác định và phân loại hệ thống thông tin; xác định chủ quản hệ thống thông tin, đơn vị vận hành hệ thống thông tin căn cứ theo quy định tại các Điều 5, 6 Nghị định 85/2016/NĐ-CP và các Điều 4,5,6 Thông tư này.

2. Xác định loại thông tin được xử lý thông qua hệ thống thông tin căn cứ theo quy định tại khoản 1 Điều 6 Nghị định 85/2016/NĐ-CP.

3. Xác định cấp độ căn cứ theo quy định tại các điều từ Điều 7 đến Điều 11 Nghị định 85/2016/NĐ-CP. Đối với hệ thống thông tin đề xuất là cấp độ 4 hoặc cấp độ 5, thuyết minh đề xuất cấp độ làm rõ các nội dung sau đây:

a) Xác định các hệ thống thông tin khác có liên quan hoặc có kết nối đến hoặc có ảnh hưởng quan trọng tới hoạt động bình thường của hệ thống thông tin được đề xuất; trong đó, xác định rõ mức độ ảnh hưởng đến hệ thống thông tin đang được đề xuất cấp độ khi các hệ thống này bị mất an toàn thông tin.

b) Danh mục đề xuất các thành phần, thiết bị mạng quan trọng, các loại thông tin quan trọng được xử lý trong hệ thống (nếu có);

c) Thuyết minh về mức độ quan trọng của các thành phần, thiết bị mạng quan trọng, các loại thông tin, dữ liệu được xử lý hoặc lưu trữ trên hệ thống (nếu có);

d) Thuyết minh về các nguy cơ tấn công mạng, mất an toàn thông tin đối với hệ thống, các thành phần hệ thống và các thiết bị mạng quan trọng; ảnh hưởng của các nguy cơ tấn công mạng, mất an toàn thông tin này đối với các tiêu chí xác định cấp độ theo Điều 10, 11 Nghị định 85/2016/NĐ-CP;

đ) Đánh giá phạm vi và mức độ ảnh hưởng tới lợi ích công cộng, trật tự an toàn xã hội hoặc quốc phòng, an ninh quốc gia khi bị tấn công mạng gây mất an toàn thông tin hoặc gián đoạn hoạt động của từng hệ thống đã được xác định.

Đối với hệ thống thông tin cấp độ 4, thuyết minh yêu cầu cần phải vận hành 24/7 và không chấp nhận ngừng vận hành mà không có kế hoạch trước;

e) Thuyết minh khác (nếu có) trên cơ sở thực tế hoạt động của hệ thống thông tin.
...
Điều 8. Yêu cầu chung
...
4. Việc xây dựng phương án bảo đảm an toàn thông tin đáp ứng yêu cầu cơ bản theo từng cấp độ thực hiện theo nguyên tắc quy định tại khoản 2 Điều 4 Nghị định 85/2016/NĐ-CP, cụ thể như sau:
...
b) Đối với hệ thống thông tin cấp độ 4,5: Phương án bảo đảm an toàn thông tin cần được thiết kế bảo đảm tính sẵn sàng, phân tách và hạn chế ảnh hưởng đến toàn bộ hệ thống khi một thành phần trong hệ thống hoặc có liên quan tới hệ thống bị mất an toàn thông tin.

Xem nội dung VB
Click vào để xem nội dung
Điều 5. Yêu cầu giám sát trực tiếp đối với chủ quản hệ thống thông tin

Chủ quản hệ thống thông tin có trách nhiệm chủ động thực hiện giám sát theo quy định hiện hành. Đối với hệ thống thông tin cấp độ 3 trở lên, hoạt động giám sát của chủ quản hệ thống thông tin cần đáp ứng các yêu cầu tối thiểu sau đây:

1. Thành phần giám sát trung tâm của chủ quản hệ thống thông tin cần đáp ứng các yêu cầu sau:

a) Cung cấp đầy đủ các tính năng thu thập và tổng hợp các thông tin an toàn thông tin mạng;

b) Phân tích các thông tin thu thập để phát hiện và cảnh báo tấn công, rủi ro, sự cố an toàn thông tin mạng có khả năng ảnh hưởng tới hoạt động hệ thống hoặc khả năng cung cấp các dịch vụ của hệ thống thông tin được giám sát;

c) Cung cấp giao diện thuận tiện cho việc theo dõi, giám sát liên tục của cán bộ giám sát;

d) Thực hiện thu thập và phân tích các thông tin đầu vào tối thiểu sau đây: nhật ký máy chủ web (web server) với các ứng dụng web (ví dụ: cổng thông tin điện tử, dịch vụ công trực tuyến v.v...); cảnh báo/nhật ký của thiết bị quan trắc cơ sở; cảnh báo/nhật ký của thiết bị tường lửa được thiết lập bảo vệ luồng kết nối mạng Internet liên quan đến các đối tượng cần giám sát;

e) Năng lực xử lý thành phần giám sát trung tâm của chủ quản hệ thống thông tin cần phù hợp với khối lượng, định dạng và có khả năng phân tích thông tin an toàn thông tin mạng thu thập từ các hệ thống được giám sát.

2. Thu thập thông tin an toàn thông tin mạng và quan trắc cơ sở cần đáp ứng các yêu cầu sau:

a) Thực hiện thu thập thông tin an toàn thông tin mạng từ nhật ký và cảnh báo của các phần mềm/thiết bị liên quan đến đối tượng cần giám sát để cung cấp cho thành phần giám sát trung tâm của chủ quản hệ thống thông tin hoặc theo yêu cầu của cơ quan chức năng thuộc Bộ Thông tin và Truyền thông. Các thông tin an toàn thông tin mạng tối thiểu cần thu thập và cung cấp bao gồm: nhật ký máy chủ web (web server) của các ứng dụng web (ví dụ: cổng thông tin điện tử, dịch vụ công trực tuyến v.v...); cảnh báo/nhật ký của thiết bị quan trắc cơ sở; cảnh báo/nhật ký của thiết bị tường lửa được thiết lập bảo vệ luồng kết nối mạng Internet liên quan đến các đối tượng cần giám sát;

b) Các thiết bị quan trắc cơ sở đảm bảo các chức năng phát hiện tấn công, rủi ro, sự cố an toàn thông tin mạng; cần được thiết lập để đảm bảo khả năng giám sát bao phủ được tất cả các đường kết nối mạng Internet của đối tượng cần giám sát;

c) Thiết bị quan trắc cần đáp ứng tối thiểu các chức năng phát hiện, tạo lập luật phát hiện tấn công riêng dựa trên các thông tin như: địa chỉ IP nguồn, địa chỉ IP đích, địa chỉ cổng nguồn, địa chỉ cổng đích, các đoạn dữ liệu đặc biệt trong gói tin được truyền qua. Đối với các cơ quan, tổ chức nhà nước tự triển khai thiết bị quan trắc cơ sở, ưu tiên sử dụng các thiết bị phát hiện tấn công đã có (ví dụ: IDS, IPS, tường lửa Web, v.v...) để kết hợp làm thiết bị quan trắc cơ sở;

d) Đối với các hệ thống thông tin phục vụ Chính phủ điện tử sử dụng giao thức có mã hóa (ví dụ: https), cần có phương án kỹ thuật đảm bảo thiết bị quan trắc an toàn thông tin mạng có được đầy đủ thông tin để có thể phát hiện được các tấn công, rủi ro, sự cố an toàn thông tin mạng;

e) Thiết lập, kết nối các thiết bị quan trắc cơ sở với hệ thống giám sát của Bộ Thông tin và Truyền thông theo hướng dẫn và yêu cầu của cơ quan chức năng.

3. Nội dung thực hiện giám sát:

a) Theo dõi, trực giám sát liên tục, lập báo cáo hàng ngày, đảm bảo hệ thống giám sát của chủ quản hệ thống thông tin hoạt động và thu thập thông tin ổn định, liên tục;

b) Xây dựng và ban hành các quy chế giám sát an toàn thông tin mạng, trong đó quy định cụ thể về thời hạn định kỳ thống kê kết quả xử lý, lập báo cáo;

c) Theo dõi, vận hành các thiết bị quan trắc cơ sở đảm bảo ổn định, liên tục, điều chỉnh kịp thời khi có các thay đổi và thực hiện đầy đủ các hướng dẫn của Bộ Thông tin và Truyền thông để đảm bảo hiệu quả giám sát;

d) Lập báo cáo kết quả giám sát hàng tuần để báo cáo chủ quản hệ thống thông tin, nội dung báo cáo tuần bao gồm đầy đủ các thông tin sau: thời gian giám sát; danh mục đối tượng bị tấn công cần chú ý (địa chỉ IP, mô tả dịch vụ cung cấp, thời điểm bị tấn công); kỹ thuật tấn công đã phát hiện được và chứng cứ liên quan; các đối tượng thực hiện tấn công; các thay đổi trong hệ thống được giám sát và hệ thống giám sát; v.v...;

đ) Tiến hành phân loại nguy cơ, rủi ro, sự cố an toàn thông tin mạng tùy theo tình hình cụ thể;

e) Định kỳ thống kê kết quả xử lý nguy cơ, rủi ro, sự cố an toàn thông tin mạng để phục vụ công tác lưu trữ, báo cáo;

g) Trong trường hợp chủ quản hệ thống thông tin đề nghị đơn vị chức năng của Bộ Thông tin và Truyền thông thực hiện giám sát cơ sở hoặc hệ thống thuộc trách nhiệm giám sát của Bộ Thông tin và Truyền thông, chủ quản hệ thống thông tin có trách nhiệm cung cấp và cập nhật thông tin về hệ thống thông tin cần giám sát và mô tả phương án kỹ thuật triển khai hệ thống giám sát của chủ quản hệ thống thông tin cho Bộ Thông tin và Truyền thông theo mẫu phiếu cung cấp thông tin tại Phụ lục 1, trong đó có các thông tin:

- Mô tả đối tượng được giám sát, bao gồm các thông tin cơ bản sau đây: địa chỉ IP, tên miền, dịch vụ cung cấp, tên và phiên bản hệ điều hành, phần mềm ứng dụng web;

- Vị trí đặt hệ thống giám sát của chủ quản hệ thống thông tin, dung lượng các đường truyền kết nối vào đối tượng giám sát của chủ quản hệ thống thông tin, các thông tin dự kiến thu thập và giao thức thu thập, ví dụ cảnh báo của IDS, nhật ký tường lửa (log firewall), nhật ký máy chủ web (log web server), v.v...

h) Năng lực lưu trữ thông tin giám sát tối thiểu đạt mức trung bình 30 ngày hoạt động trong điều kiện bình thường;

i) Cung cấp thông tin giám sát theo định kỳ hoặc đột xuất có yêu cầu của Bộ Thông tin và Truyền thông theo quy định của pháp luật;

k) Báo cáo hoạt động giám sát của chủ quản hệ thống thông tin định kỳ 06 tháng theo mẫu tại Phụ lục 2.

Xem nội dung VB
Click vào để xem nội dung
Điều 5. Ban Chỉ đạo ứng cứu khẩn cấp sự cố an toàn thông tin mạng của các bộ, cơ quan ngang bộ, cơ quan thuộc Chính phủ và Ủy ban nhân đân các tỉnh, thành phố trực thuộc trung ương
...
2. Trách nhiệm, quyền hạn của Ban chỉ đạo cấp bộ, tỉnh:

a) Chỉ đạo công tác điều phối, ứng cứu sự cố trong phạm vi ngành, lĩnh vực, địa phương mình; chỉ đạo các cơ quan, đơn vị trực thuộc phối hợp, tuân thủ yêu cầu của Cơ quan điều phối quốc gia trong điều phối, ứng cứu sự cố;

b) Triệu tập, chỉ đạo Đội ứng cứu sự cố hoặc Bộ phận tác nghiệp ứng cứu sự cố an toàn thông tin mạng cùng cấp theo đề xuất của đơn vị chuyên trách ứng cứu sự cố;

c) Báo cáo tình hình và xin ý kiến của Ban Chỉ đạo quốc gia qua Cơ quan thường trực về các vấn đề phát sinh vượt thẩm quyền trong quá trình thực hiện nhiệm vụ; chịu sự chỉ đạo, điều hành của Ban Chỉ đạo quốc gia qua Cơ quan thường trực và Cơ quan điều phối quốc gia.

Xem nội dung VB
Click vào để xem nội dung
Điều 6. Đơn vị chuyên trách về ứng cứu sự cố an toàn thông tin mạng
...
2. Đơn vị chuyên trách ứng cứu sự cố có trách nhiệm trình thành lập Đội ứng cứu sự cố và tổ chức hoạt động ứng cứu sự cố trong lĩnh vực, địa bàn, phạm vi mình quản lý; tham gia hoạt động ứng cứu khẩn cấp bảo đảm an toàn thông tin mạng quốc gia khi có yêu cầu từ Cơ quan thường trực hoặc Cơ quan điều phối.

Xem nội dung VB
Click vào để xem nội dung
Điều 7. Mạng lưới ứng cứu sự cố an toàn thông tin mạng quốc gia

1. Thành viên có nghĩa vụ phải tham gia mạng lưới ứng cứu sự cố an toàn thông tin mạng quốc gia (sau đây gọi tắt là mạng lưới ứng cứu sự cố) gồm:

a) Đơn vị chuyên trách về ứng cứu sự cố, an toàn thông tin hoặc công nghệ thống tin của các bộ, cơ quan ngang bộ, cơ quan thuộc Chính phủ, cơ quan trung ương; Sở Thông tin và Truyền thông các tỉnh, thành phố trực thuộc trung ương;
...
đ) Các doanh nghiệp cung cấp dịch vụ hạ tầng viễn thông, Internet (ISP); các tổ chức, doanh nghiệp cung cấp dịch vụ trung tâm dữ liệu, cho thuê không gian lưu trữ thông tin số; đơn vị quản lý, vận hành cơ sở dữ liệu quốc gia; đơn vị chuyên trách về an toàn thông tin, công nghệ thông tin của các tổ chức ngân hàng, tài chính, kho bạc, thuế, hải quan;

Xem nội dung VB
Click vào để xem nội dung
Điều 7. Mạng lưới ứng cứu sự cố an toàn thông tin mạng quốc gia
...
2. Thành viên tự nguyện tham gia mạng lưới: Là các tổ chức, doanh nghiệp không thuộc danh sách quy định tại khoản 1 Điều này, có năng lực về an toàn thông tin hoặc công nghệ thông tin, có đăng ký và được Cơ quan điều phối quốc gia chấp thuận tham gia mạng lưới. Khuyến khích các tổ chức, doanh nghiệp hoạt động trong lĩnh vực an toàn thông tin, công nghệ thông tin; các tổ chức, doanh nghiệp quản lý, vận hành hệ thống thông tin quy mô lớn, hệ thống thông tin chuyên ngành ngân hàng, tài chính, hệ thống điều khiển công nghiệp (SCADA); và các đơn vị khác có năng lực về an toàn thông tin đăng ký tham gia mạng lưới.

Xem nội dung VB
Click vào để xem nội dung
Điều 7. Mạng lưới ứng cứu sự cố an toàn thông tin mạng quốc gia
...
4. Các thành viên mạng lưới có trách nhiệm tuân thủ quy chế hoạt động của mạng lưới, tuân thủ các yêu cầu điều phối của cơ quan điều phối, tham gia, đóng góp tích cực cho hoạt động của mạng lưới. Doanh nghiệp viễn thông, nhà cung cấp dịch vụ Internet ISP có trách nhiệm lưu trữ và cung cấp thông tin liên quan đến các địa chỉ IP thuê bao, máy chủ, thiết bị IOT, các log file, nhật ký dịch vụ phân giải tên miền DNS trong phạm vi quản lý của doanh nghiệp; thiết lập môi trường để lắp đặt thiết bị quan trắc, lấy mẫu và cung cấp luồng dữ liệu mạng để phục vụ giám sát, phát hiện sự cố theo yêu cầu của cơ quan điều phối quốc gia; thiết lập đầu mối thường trực 24/7, bố trí nhân, vật lực sẵn sàng phối hợp, triển khai các giải pháp nhằm ứng cứu, khắc phục hậu quả sự cố trong trường hợp nguồn tấn công được xác định xuất phát từ thuê bao thuộc doanh nghiệp mình hoặc khi được yêu cầu từ cơ quan điều phối quốc gia.

Xem nội dung VB
Click vào để xem nội dung
Điều 14. Quy trình ứng cứu sự cố an toàn thông tin mạng nghiêm trọng

Quy trình ứng cứu khẩn cấp sự cố an toàn thông tin mạng nghiêm trọng sau đây được sử dụng chung cho cả bốn phương án ứng cứu khẩn cấp nêu trong Điều 10 Quyết định này, cụ thể bao gồm các bước sau:

1. Phát hiện hoặc tiếp nhận sự cố

Đơn vị chủ trì: Đơn vị vận hành hệ thống thông tin; Cơ quan điều phối quốc gia.

Đơn vị phối hợp: Đơn vị chuyên trách về ứng cứu sự cố; Chủ quản hệ thống thông tin.

Nội dung thực hiện: Đơn vị vận hành hệ thống thông tin chịu trách nhiệm liên tục theo dõi, phát hiện các tấn công, sự cố đối với hệ thống mình được giao quản lý, vận hành. Cơ quan điều phối quốc gia là đơn vị đầu mối tổ chức các hoạt động theo dõi, giám sát, phát hiện các sự cố và tiếp nhận thông báo về sự cố an toàn thông tin mạng từ các nguồn khác nhau.

2. Xác minh, phân tích, đánh giá và phân loại sự cố

Đơn vị chủ trì: Cơ quan điều phối quốc gia.

Đơn vị phối hợp: Chủ quản hệ thống thông tin; Đơn vị chuyên trách về ứng cứu sự cố; Đơn vị vận hành hệ thống thông tin.

Nội dung thực hiện:

a) Cơ quan điều phối quốc gia phối hợp cùng chủ quản hệ thống thông tin (hoặc đơn vị được ủy quyền như đơn vị chuyên trách về ứng cứu sự cố hoặc đơn vị vận hành hệ thống thông tin) xác minh sự cố bao gồm các thông tin sau: Tình trạng sự cố; mức độ sự cố; phạm vi ảnh hưởng của sự cố; đối tượng, địa điểm xảy ra sự cố.

b) Sau khi xác minh được sự cố, Cơ quan điều phối quốc gia có trách nhiệm phân loại sự cố và triển khai tiếp như sau:

- Trường hợp sự cố được phân loại thông thường (không đạt các tiêu chí quy định tại Điều 9 Quyết định này) thì Cơ quan điều phối quốc gia thông báo cho các bên liên quan để tiếp tục triển khai theo phương án ứng cứu sự cố an toàn thông tin mạng thông thường;

- Trường hợp sự cố được phân loại nghiêm trọng (đạt các tiêu chí quy định tại Điều 9 Quyết định này) thì Cơ quan điều phối quốc gia báo cáo Cơ quan thường trực về sự cố nghiêm trọng cùng với các đề xuất: Phương án ứng cứu; các đơn vị tham gia lực lượng ứng cứu; nguồn lực cần thiết để ứng cứu sự cố; dự kiến triệu tập bộ phận tác nghiệp ứng cứu khẩn cấp và thực hiện tiếp theo khoản 3 Điều này.

3. Cơ quan thường trực quyết định lựa chọn phương án và triệu tập các thành viên của bộ phận tác nghiệp ứng cứu khẩn cấp.

Đơn vị chủ trì: Cơ quan thường trực.

Nội dung thực hiện:

a) Cơ quan thường trực căn cứ theo báo cáo của Cơ quan điều phối quốc gia xem xét quyết định lựa chọn phương án ứng cứu khẩn cấp quốc gia và triệu tập bộ phạn tác nghiệp ứng cứu khẩn cấp để ứng cứu, xử lý sự cố. Tùy theo tình hình thực tế, bộ phận tác nghiệp ứng cứu khẩn cấp được huy động từ số các đơn vị theo quy định tại Điều 8 Quyết định này phù hợp với phương án ứng cứu được lựa chọn và đặc thú của sự cố.

b) Nguyên tắc phân công nhiệm vụ triển khai các biện pháp ứng cứu khẩn cấp bảo đảm an toàn thông tin mạng quốc gia như sau:

- Chỉ đạo điều hành hoạt động ứng cứu và giám sát cơ chế phối hợp, chia sẻ thông tin: Bộ Thông tin và Truyền thông, Ban điều phối ứng cứu quốc gia;

- Thu thập, tổng hợp thông tin và chia sẻ, báo cáo: Cơ quan điều phối quốc gia, chủ quản hệ thống thông tin (qua đơn vị vận hành hệ thống thông tin và đơn vị chuyên trách ứng cứu sự cố);

- Phân tích thông tin: Cơ quan điều phối quốc gia, đơn vị vận hành hệ thống thông tin, đơn vị chuyên trách ứng cứu sự cố và các đơn vị tham gia tác nghiệp ứng cứu khẩn cấp;

- Ngăn chặn, xử lý sự cố: Đơn vị vận hành hệ thống thông tin, đơn vị chuyên trách ứng cứu sự cố, Cơ quan điều phối quốc gia và các đơn vị tham gia tác nghiệp ứng cứu khẩn cấp;

- Khắc phục, gỡ bỏ, khôi phục dữ liệu và hoạt động bình thường: Chủ quản hệ thống thông tin, các đơn vị được chủ quản hệ thống thông tin lựa chọn;

- Xử lý hậu quả: Chủ quản hệ thống thông tin, các đơn vị tham gia tác nghiệp ứng cứu khẩn cấp;

- Công bố và xử lý khủng hoảng thông tin: Cơ quan thường trực, Cơ quan điều phối quốc gia.

4. Triển khai phương án ứng cứu ban đầu

Đơn vị chủ trì: Cơ quan điều phối quốc gia, Chủ quản hệ thống thông tin.

Nội dung thực hiện: Cơ quan điều phối quốc gia nhanh chóng phối hợp với chủ quản hệ thống thông tin tiến hành ngay các biện pháp ứng cứu ban đầu, bao gồm:

a) Xác định phạm vi, đối tượng, mục tiêu cần ứng cứu:

- Các sự cố liên quan đã xảy ra;

- Đối tượng đang bị ảnh hưởng;

- Phạm vi bị ảnh hưởng;

- Các mục tiêu ưu tiên trong khắc phục sự cố (khôi phục hoạt động, bảo đảm bí mật dữ liệu; bảo đảm tính toàn vẹn dữ liệu);

- Diễn biến tình hình và phương thức thủ đoạn tấn công;

- Dự đoán các diễn biến tiếp theo có thể xảy ra.

b) Điều phối các hoạt động ứng cứu ban đầu: Cơ quan thường trực chỉ đạo Cơ quan điều phối quốc gia thực hiện điều phối và chia sẻ thông tin, tài liệu liên quan đến tình huống ứng cứu cho các thành viên tham gia theo chức năng, nhiệm vụ được giao.

c) Cảnh báo sự cố trên mạng lưới ứng cứu quốc gia: Cơ quan điều phối quốc gia thực hiện cảnh báo cho các thành viên mạng lưới và các đối tượng có liên quan hoặc có khả năng xảy ra các sự cố tương tự.

d) Tiến hành các biện pháp khôi phục tạm thời:

Căn cứ vào mục tiêu được ưu tiên trong khắc phục sự cố, Chủ quản hệ thống thông tin phối hợp với Cơ quan điều phối quốc gia, các nhà cung cấp dịch vụ và các cơ quan chức năng khác tiến hành khôi phục một số hoạt động, dữ liệu hoặc kết nối cần thiết nhất để giảm thiểu thiệt hại đối với hệ thống thông tin, ảnh hưởng uy tín của cơ quan chủ quản, quản lý hệ thống hoặc gây ảnh hưởng xấu tới xã hội.

Chủ quản hệ thống thông tin phải phối hợp chặt chẽ, cung cấp đầy đủ thông tin để Cơ quan điều phối quốc gia thực hiện giám sát, theo dõi quá trình phục hồi và các tấn công, ảnh hưởng trong thời gian chưa khắc phục triệt để sự cố.

đ) Xử lý hậu quả ban đầu: Chủ quản hệ thống thông tin cần nhanh chóng tiến hành các biện pháp khắc phục khẩn cấp các hậu quả, thiệt hại do tấn công mạng gây ra làm ảnh hưởng đến người dân, xã hội, cơ quan, tổ chức khác theo yêu cầu của Cơ quan thường trực.

e) Ngăn chặn, xử lý các hành vi đã được phát hiện: Cơ quan thường trực điều phối hoặc chỉ đạo Cơ quan điều phối quốc gia thực hiện điều phối các cơ quan chức năng triển khai hỗ trợ phát hiện và xử lý các nguồn phát tán tấn công, ngăn chặn các tấn công từ bên ngoài vào hệ thống thông tin bị sự cố. Cơ quan thường trực cung cấp hoặc chỉ đạo cung cấp các thông tin, chứng cứ liên quan đến các hành vi vi phạm pháp luật có yếu tố cấu thành tội phạm (nếu có) để các cơ quan chức năng thuộc Bộ Công an tiến hành điều tra, xác minh và ngăn chặn tội phạm.

5. Triển khai phương án ứng cứu khẩn cấp

a) Chỉ đạo xử lý sự cố

Đơn vị chủ trì: Cơ quan thường trực, Ban Chỉ đạo ứng cứa sự cố cấp bộ, tỉnh.

Nội dung thực hiện: Căn cứ theo phương án ứng cứu được lựa chọn, Cơ quan thường trực chỉ đạo chủ quản hệ thống thông tin, Cơ quan điều phối quốc gia, bộ phận tác nghiệp ứng cứu sự cố triển khai công tác ứng cứu, xử lý sự cố. Trong quá trình ứng cứu, tùy thuộc vào diễn biến tình hình thực tế, Cơ quan thường trực có thể quyết định bổ sung thành phần tham gia tác nghiệp ứng cứu khẩn cấp.

b) Điều phối công tác ứng cứu

Đơn vị chủ trì: Ban điều phối ứng cứu quốc gia, Cơ quan điều phối quốc gia.

Nội dung thực hiện: Căn cứ theo phương án ứng cứu được lựa chọn, Ban Điều phối ứng cứu quốc gia hoặc Cơ quan điều phối quốc gia thực hiện công tác điều phối ứng cứu theo chức năng nhiệm vụ của mình và giám sát cơ chế phối hợp, chia sẻ thông tin.

c) Phát ngôn và công bố thông tin

Cơ quan thường trực chịu trách nhiệm chỉ định người phát ngôn, cung cấp thông tin; quyết định địa điểm, nội dung, thời điểm phát ngôn, cung cấp thông tin cho các cơ quan thông tin đại chúng, các cá nhân và tổ chức có liên quan đến sự cố.

d) Thu thập thông tin

Đơn vị chủ trì: Cơ quan điều phối quốc gia, chủ quản hệ thống thông tin.

Nội dung thực hiện: Căn cứ theo yêu cầu cung cấp thông tin cho các đơn vị thuộc thành phần tác nghiệp ứng cứu khẩn cấp, cơ quan điều phối quốc gia cùng chủ quản hệ thống thông tin phối hợp tiến hành thu thập, tổng hợp và chia sẻ, cung cấp thông tin.

đ) Phân tích, giám sát tình hình liên quan sự cố

Cơ quan điều phối quốc gia chủ trì, phối hợp với chủ quản hệ thống thông tin thực hiện giám sát liên tục diễn biến sự cố và thông báo, cập nhật đến các đơn vị trong bộ phận tác nghiệp ứng cứu khẩn cấp.

Các đơn vị thuộc bộ phận tác nghiệp ứng cứu khẩn cấp dựa trên các thông tin thu thập được, sử dụng các nguồn lực, phương tiện và các quy trình nghiệp vụ của mình để tiến hành phân tích sự cố. Kết quả phân tích sự cố được báo cáo Cơ quan thường trực, Cơ quan điều phối quốc gia và chia sẻ trong bộ phận tác nghiệp ứng cứu khẩn cấp để phục vụ ứng cứu, khắc phục sự cố.

e) Khắc phục sự cố, gỡ bỏ mã độc

Đơn vị chủ trì: Chủ quản hệ thống thông tin.

Đơn vị phối hợp: Cơ quan điều phối quốc gia, các đơn vị khác thuộc Bộ phận tác nghiệp ứng cứu khẩn cấp.

Nội dung thực hiện:

- Sao lưu hệ thống trước và sau khi xử lý sự cố;

- Tiêu diệt các mã độc, phần mềm độc hại;

- Khôi phục hệ thống, dữ liệu và kết nối;

- Cấu hình hệ thống an toàn;

- Kiểm tra thử toàn bộ hệ thống sau khi khắc phục sự cố;

- Khắc phục các điểm yếu an toàn thông tin;

- Bổ sung các thiết bị, phần cứng, phần mềm bảo đảm an toàn thông tin cho hệ thống;

- Triển khai theo dõi, giám sát, ngăn chặn khả năng lặp lại sự cố hoặc xảy ra các sự cố tương tự.

g) Ngăn chặn, xử lý hậu quả

Chủ quản hệ thống thông tin có trách nhiệm xử lý các hậu quả do sự cố hệ thống thông tin của mình gây ra ảnh hưởng đến người dân, cơ quan, tổ chức khác.

Các đơn vị thuộc thành phần tham gia tác nghiệp ứng cứu khẩn cấp, dựa trên các kết quả phân tích, điều tra, sử dụng các nguồn lực, phương tiện và nghiệp vụ của mình để tiến hành ngăn chặn các hành vi gây ra sự cố và hỗ trợ xử lý hậu quả.

h) Xác minh nguyên nhân và truy tìm nguồn gốc

Các đơn vị tham gia tác nghiệp ứng cứu khẩn cấp sau khi phân tích sự cố, tham khảo các kết quả phân tích sự cố của các đơn vị khác, sử dụng các nguồn tin và quy trình nghiệp vụ của mình, chủ động điều tra chi tiết nguyên nhân và truy tìm nguồn gốc, gửi Cơ quan thường trực, Cơ quan điều phối quốc gia để tổng hợp, xác minh, báo cáo Ban Chỉ đạo quốc gia các thông tin liên quan, cụ thể bao gồm:

- Đối tượng bị tấn công;

- Phương thức thủ đoạn tấn công (quy trình, kỹ thuật, mẫu mã đọc, phần mềm độc hại);

- Thời gian tấn công;

- Các thiệt hại đã xảy ra;

- Đối tượng tấn công;

- Dự đoán khả năng xảy ra các tấn công tương tự và thiệt hại.

6. Đánh giá kết quả triển khai phương án ứng cứu khẩn cấp bảo đảm an toàn thông tin mạng quốc gia

Đơn vị chủ trỉ: Ban Chỉ đạo quốc gia

Nội dung thực hiện: Cơ quan thường trực tổng hợp toàn bộ các báo cáo phân tích có liên quan đến triển khai phương án ứng cứu khẩn cấp bảo đảm an toàn thông tin mạng quốc gia để báo cáo với Ban Chỉ đạo quốc gia và họp phân tích nguyên nhân, rút kinh nghiệm trong hoạt động xử lý sự cố và đề xuất các biện pháp bổ sung cho các sự cố tương tự.

7. Kết thúc

Đơn vị chủ trì: Cơ quan điều phối quốc gia

Đơn vị phối hợp: Chủ quản hệ thống thông tin, các đơn vị thuộc Bộ phận tác nghiệp ứng cứu khẩn cấp.

Nội dung thực hiện: Cơ quan điều phối quốc gia căn cứ kết quả đánh giá của Ban Chỉ đạo quốc gia sẽ thực hiện hoàn tất các nhiệm vụ sau, kết thúc hoạt động ứng cứu sự cố khẩn cấp:

- Lưu hồ sơ, tài liệu lưu trữ;

- Xây dựng, đúc rút các bài học, kinh nghiệm;

- Đề xuất các kiến nghị về kỹ thuật, chính sách để hạn chế thiệt hại khi xảy ra các tấn công tương tự;

- Báo cáo cơ quan cấp trên, tổ chức họp báo hoặc gửi thông tin cho truyền thông nếu cần thiết.

Xem nội dung VB
Click vào để xem nội dung
Điều 11. Quy trình ứng cứu sự cố an toàn thông tin mạng

Quy trình ứng cứu sự cố an toàn thông tin mạng theo sơ đồ tại Phụ lục II cụ thể gồm:

1. Tiếp nhận, phân tích, ứng cứu ban đầu và thông báo sự cố

a) Tiếp nhận, xác minh sự cố

Đơn vị chủ trì: Đơn vị, cá nhân vận hành hệ thống thông tin.

Đơn vị phối hợp: Đơn vị chuyên trách về ứng cứu sự cố, Cơ quan điều phối quốc gia.

Nội dung thực hiện: Theo dõi, tiếp nhận, phân tích các cảnh báo, dấu hiệu sự cố từ các nguồn bên trong và bên ngoài. Khi phân tích, xác minh sự cố đã xảy ra, cần tổ chức ghi nhận, thu thập chứng cứ, xác định nguồn gốc sự cố.

b) Triển khai các bước ưu tiên ứng cứu ban đầu

Đơn vị chủ trì: Đơn vị, cá nhân vận hành hệ thống thông tin.

Đơn vị phối hợp: Đơn vị chuyên trách về ứng cứu sự cố, thành viên mạng lưới có liên quan và Cơ quan điều phối quốc gia.

Nội dung: Sau khi đã xác định sự cố xảy ra, đơn vị, cá nhân vận hành hệ thống thông tin căn cứ vào bản chất, dấu hiệu của sự cố tổ chức triển khai các bước ưu tiên ban đầu để xử lý sự cố theo kế hoạch ứng phó sự cố đã được cấp thẩm quyền phê duyệt hoặc theo hướng dẫn của Đơn vị chuyên trách về ứng cứu sự cố liên quan hoặc Cơ quan điều phối quốc gia.

c) Triển khai lựa chọn phương án ứng cứu

Đơn vị chủ trì: Đơn vị, cá nhân vận hành hệ thống thông tin.

Đơn vị phối hợp: Đơn vị chuyên trách về ứng cứu sự cố, thành viên mạng lưới có liên quan, Cơ quan điều phối quốc gia.

Nội dung thực hiện: Căn cứ theo kế hoạch ứng phó sự cố đã được cấp thẩm quyền phê duyệt hoặc theo hướng dẫn của Đơn vị chuyên trách về ứng cứu sự cố hoặc Cơ quan điều phối quốc gia để lựa chọn phương án ngăn chặn và xử lý sự cố; báo cáo, đề xuất Chủ quản hệ thống thông tin, Ban Chỉ đạo ứng cứu sự cố cấp bộ, tỉnh xin ý kiến chỉ đạo nếu cần.

d) Chỉ đạo xử lý sự cố (nếu cần)

Đơn vị chủ trì: Ban Chỉ đạo ứng cứu sự cố cấp bộ, tỉnh.

Đơn vị phối hợp: Chủ quản hệ thống thông tin.

Nội dung thực hiện: Căn cứ theo báo cáo, đề xuất của Đơn vị, cá nhân vận hành hệ thống thông tin, Ban Chỉ đạo ứng cứu sự cố cấp bộ, tỉnh phối hợp với chủ quản hệ thống thông tin và tham khảo ý kiến Cơ quan điều phối quốc gia (nếu cần) thực hiện chỉ đạo Đơn vị chuyên trách về ứng cứu sự cố, triệu tập Đội/bộ phận ứng cứu sự cố thuộc phạm vi quản lý triển khai công tác ứng cứu, xử lý sự cố; chỉ đạo, phân công hoạt động phát ngôn, cung cấp thông tin. Trong quá trình ứng cứu, tùy thuộc vào diễn biến tình hình thực tế, Ban Chỉ đạo ứng cứu sự cố cấp bộ, tỉnh có thể quyết định bổ sung thành phần tham gia Đội/bộ phận ứng cứu sự cố, chỉ đạo điều chỉnh phương án ứng cứu sự cố.

đ) Báo cáo sự cố

Đơn vị chủ trì: Đơn vị, cá nhân vận hành hệ thống thông tin.

Đơn vị phối hợp: Đơn vị chuyên trách về ứng cứu sự cố liên quan/chịu trách nhiệm, các doanh nghiệp viễn thông, Internet (ISP).

Nội dung thực hiện: Sau khi đã triển khai các bước ưu tiên ứng cứu ban đầu, Đơn vị vận hành hệ thống thông tin tổ chức thông báo, báo cáo sự cố đến các tổ chức, cá nhân liên quan bên trong và bên ngoài cơ quan tổ chức theo quy định tại Điều 9 Thông tư này và quy định nội bộ (nếu có).

e) Điều phối công tác ứng cứu

Đơn vị chủ trì: Ban Chỉ đạo ứng cứu sự cố cấp bộ, tỉnh; Cơ quan điều phối quốc gia.

Đơn vị phối hợp: Đơn vị, cá nhân vận hành hệ thống thông tin, Đơn vị chuyên trách về ứng cứu sự cố, thành viên mạng lưới có liên quan.

Nội dung thực hiện: Căn cứ vào tính chất sự cố, đề nghị hỗ trợ của Đơn vị, cá nhân vận hành hệ thống thông tin và Đơn vị chuyên trách về ứng cứu sự cố, Ban Chỉ đạo ứng cứu sự cố cấp bộ, tỉnh và Cơ quan điều phối quốc gia thực hiện công tác điều phối, giám sát cơ chế phối hợp, chia sẻ thông tin theo phạm vi, chức năng, nhiệm vụ của mình để huy động nguồn lực ứng cứu sự cố.

2. Triển khai ứng cứu, ngăn chặn và xử lý sự cố

Đơn vị chủ trì: Đơn vị, cá nhân vận hành hệ thống thông tin; Đội/bộ phận ứng cứu sự cố.

Đơn vị phối hợp: Đơn vị chịu trách nhiệm bảo đảm an toàn thông tin cho hệ thống bị sự cố, Đơn vị chuyên trách về ứng cứu sự cố, thành viên mạng lưới có liên quan, Cơ quan điều phối quốc gia.

Nội dung thực hiện:

a) Triển khai thu thập chứng cứ, phân tích, xác định phạm vi, đối tượng bị ảnh hưởng.

b) Triển khai phân tích, xác định nguồn gốc tấn công, tổ chức ứng cứu và ngăn chặn, giảm thiểu tác động, thiệt hại đến hệ thống thông tin.

3. Xử lý sự cố, gỡ bỏ và khôi phục

a) Xử lý sự cố, gỡ bỏ

Đơn vị chủ trì: Đơn vị, cá nhân vận hành hệ thống thông tin; Đội/bộ phận ứng cứu sự cố.

Đơn vị phối hợp: Đơn vị chịu trách nhiệm bảo đảm an toàn thông tin cho hệ thống bị sự cố; Đơn vị chuyên trách về ứng cứu sự cố, thành viên mạng lưới có liên quan, Cơ quan điều phối quốc gia.

Nội dung thực hiện: Sau khi đã triển khai ngăn chặn sự cố, đơn vị, cá nhân vận hành hệ thống thông tin, Đơn vị chuyên trách về ứng cứu sự cố, Đội/bộ phận ứng cứu sự cố triển khai tiêu diệt, gỡ bỏ các mã độc, phần mềm độc hại khắc phục các điểm yếu an toàn thông tin của hệ thống thông tin.

b) Khôi phục

Đơn vị chủ trì: Đơn vị, cá nhân vận hành hệ thống thông tin;.

Đơn vị phối hợp: Đội/bộ phận ứng cứu sự cố, Đơn vị chịu trách nhiệm bảo đảm an toàn thông tin cho hệ thống bị sự cố, Đơn vị chuyên trách về ứng cứu sự cố, thành viên mạng lưới có liên quan, Cơ quan điều phối quốc gia.

Nội dung thực hiện: Đơn vị, cá nhân vận hành hệ thống chủ trì phối hợp với các đơn vị liên quan triển khai các hoạt động khôi phục hệ thống thông tin dữ liệu và kết nối; cấu hình hệ thống an toàn; bổ sung các thiết bị, phần cứng phần mềm bảo đảm an toàn thông tin cho hệ thống thông tin.

c) Kiểm tra, đánh giá hệ thống thông tin

Đơn vị chủ trì: Đơn vị, cá nhân vận hành hệ thống thông tin.

Đơn vị phối hợp: Đơn vị chịu trách nhiệm bảo đảm an toàn thông tin cho hệ thống bị sự cố, Đơn vị chuyên trách về ứng cứu sự cố, chủ quản hệ thống thông tin, Cơ quan điều phối quốc gia.

Nội dung thực hiện: Đơn vị, cá nhân vận hành hệ thống và các đơn vị liên quan triển khai kiểm tra, đánh giá hoạt động của toàn bộ hệ thống thông tin sau khi khắc phục sự cố. Trường hợp hệ thống chưa hoạt động ổn định, cần tiếp tục tổ chức thu thập, xác minh lại nguyên nhân và tổ chức các bước tương ứng tại Khoản 2 và Khoản 3 của Điều này để xử lý dứt điểm, khôi phục hoạt động bình thường của hệ thống thông tin.

4. Tổng kết, đánh giá

Đơn vị chủ trì: Đơn vị, cá nhân vận hành hệ thống thông tin.

Đơn vị phối hợp: Đơn vị chuyên trách về ứng cứu sự cố; Đội/bộ phận ứng cứu sự cố; Chủ quản hệ thống thông tin; Ban Chỉ đạo ứng cứu sự cố cấp bộ, tỉnh; Cơ quan điều phối quốc gia.

Nội dung thực hiện: Đơn vị, cá nhân vận hành hệ thống bị sự cố phối hợp với Đơn vị chuyên trách về ứng cứu sự cố và Đội/bộ phận ứng cứu sự cố triển khai tổng hợp toàn bộ các thông tin, báo cáo, phân tích có liên quan đến sự cố, công tác triển khai phương án ứng cứu sự cố, báo cáo Chủ quản hệ thống thông tin, Ban Chỉ đạo ứng cứu sự cố cấp bộ, tỉnh và Cơ quan điều phối quốc gia; tổ chức phân tích nguyên nhân, rút kinh nghiệm trong hoạt động xử lý sự cố và đề xuất các biện pháp bổ sung nhằm phòng ngừa, ứng cứu đối với các sự cố tương tự trong tương lai.

Xem nội dung VB
Click vào để xem nội dung
Điều 11. Báo cáo sự cố an toàn thông tin mạng

1. Báo cáo sự cố an toàn thông tin mạng:

a) Đơn vị vận hành hệ thống thông tin có trách nhiệm báo cáo sự cố tới cơ quan chủ quản, đơn vị chuyên trách ứng cứu sự cố cùng cấp, Cơ quan điều phối quốc gia chậm nhất 5 ngày kể từ khi phát hiện sự cố; trường hợp xác định sự cố có thể vượt khả năng xử lý của mình, đơn vị vận hành hệ thống thông tin phải thực hiện quy trình báo cáo khẩn cấp theo quy định tại khoản 2 đến khoản 5 Điều này ngay khi phát hiện sự cố hoặc xác định sự cố có thể vượt khả năng xử lý của mình.

Xem nội dung VB
Click vào để xem nội dung
Điều 9. Thông báo, báo cáo sự cố an toàn thông tin mạng

1. Các hình thức thông báo, báo cáo sự cố

a) Hình thức thông báo sự cố: Bằng công văn, fax, thư điện tử, nhắn tin đa phương tiện hoặc thông qua hệ thống kỹ thuật báo cáo sự cố an toàn thông tin mạng theo hướng dẫn của Cơ quan điều phối quốc gia;

b) Hình thức báo cáo sự cố: Bằng văn bản giấy hoặc văn bản điện tử (có ký tên và đóng dấu hoặc chữ ký số của người có thẩm quyền).

2. Báo cáo sự cố an toàn thông tin mạng

a) Đơn vị, cá nhân vận hành hệ thống thông tin có trách nhiệm chậm nhất 05 ngày kể từ khi phát hiện sự cố phải thông báo các thông tin của sự cố theo nội dung tại Điểm a Khoản 3 Điều này (Thông báo sự cố) tới đồng thời các cơ quan, đơn vị sau: Chủ quản hệ thống thông tin, Cơ quan điều phối quốc gia, Đơn vị chuyên trách về ứng cứu sự cố và thành viên mạng lưới ứng cứu sự cố có trách nhiệm liên quan (nếu có). Tại thời điểm báo cáo, nếu chưa hoàn thành việc xử lý sự cố, đơn vị, cá nhân vận hành hệ thống phải cập nhật lại thông tin của sự cố cho các cơ quan, đơn vị đã nhận thông tin trước đó ngay khi kết thúc việc xử lý sự cố;

b) Trường hợp đơn vị, cá nhân vận hành hệ thống thông tin xác định sự cố có thể vượt khả năng xử lý của mình phải xây dựng ngay Báo cáo ban đầu sự cố, báo cáo Chủ quản hệ thống thông tin, Đơn vị chuyên trách về ứng cứu sự cố chịu trách nhiệm ứng cứu (nếu có) và Cơ quan điều phối quốc gia; sau khi kết thúc ứng cứu sự cố, chậm nhất trong vòng 05 ngày phải hoàn thiện Báo cáo kết thúc ứng phó sự cố để báo cáo Chủ quản hệ thống thông tin và Cơ quan điều phối quốc gia. Cơ quan điều phối quốc gia chỉ ghi nhận sự cố đã hoàn thành ứng cứu sự cố sau khi đã nhận được Báo cáo kết thúc ứng phó sự cố;

c) Các tổ chức, cá nhân không phải là đơn vị, cá nhân vận hành hệ thống thông tin khi phát hiện dấu hiệu tấn công hoặc sự cố an toàn thông tin mạng cần nhanh chóng thông báo thông tin của sự cố (Thông báo sự cố) tới đồng thời hoặc một trong các cơ quan, đơn vị sau: Đơn vị, cá nhân vận hành hệ thống thông tin Chủ quản hệ thống thông tin, Cơ quan điều phối quốc gia, Đơn vị chuyên trách về ứng cứu sự cố hoặc thành viên mạng lưới ứng cứu sự cố có trách nhiệm liên quan.

3. Các loại thông báo, báo cáo sự cố:

a) Thông báo sự cố, nội dung gồm: Tên, địa chỉ đơn vị, cá nhân thông báo sự cố; tên hoặc tên miền, địa chỉ IP của hệ thống thông tin bị sự cố; tên địa chỉ của đơn vị, cá nhân vận hành và cơ quan chủ quản hệ thống thông tin bị sự cố (nếu biết); mô tả sự cố và thời điểm phát hiện sự cố; kết quả xử lý sự cố đề xuất, kiến nghị và các thông tin liên quan khác (nếu có);

b) Báo cáo ban đầu sự cố, nội dung theo Biểu mẫu số 03 Phụ lục I ban hành kèm theo Thông tư này;

c) Báo cáo diễn biến tình hình;

d) Báo cáo phương án ứng cứu cụ thể;

đ) Báo cáo đề nghị hỗ trợ, phối hợp;

e) Báo cáo kết thúc ứng phó sự cố, nội dung theo Biểu mẫu số 04 Phụ lục I ban hành kèm theo Thông tư này.

4. Trong quá trình ứng cứu sự cố, đơn vị, cá nhân vận hành hệ thống phải chủ trì, phối hợp với các cơ quan, đơn vị liên quan xây dựng và duy trì thực hiện các báo cáo ứng cứu sự cố theo quy định và yêu cầu của cơ quan có thẩm quyền.

Xem nội dung VB
Click vào để xem nội dung
Điều 1. Phê duyệt Đề án “Đẩy mạnh hoạt động của mạng lưới ứng cứu sự cố, tăng cường năng lực cho các cán bộ, bộ phận chuyên trách ứng cứu sự cố an toàn thông tin mạng trên toàn quốc đến năm 2020, định hướng đến 2025” (sau đây gọi tắt là Đề án) với những nội dung chủ yếu sau đây:
...
II. CÁC NHIỆM VỤ CHỦ YẾU
...
4. Nhiệm vụ 4: Tổ chức các chương trình diễn tập ứng cứu sự cố, phòng ngừa tấn công mạng
...
b) Cấp bộ, tỉnh, thành phố trực thuộc trung ương:

Hàng năm mỗi bộ, tỉnh, thành phố tổ chức ít nhất 01 cuộc diễn tập chuyên đề an toàn thông tin, ứng cứu sự cố mạng trong phạm vi của bộ, ngành, địa phương mình; phối hợp, tham gia các cuộc diễn tập quốc gia và quốc tế do Cơ quan điều phối quốc gia, Bộ Thông tin và Truyền thông tổ chức.

Xem nội dung VB
Click vào để xem nội dung
Điều 20. Trách nhiệm của chủ quản hệ thống thông tin
...
2. Chủ quản hệ thống thông tin có trách nhiệm:
...
c) Chỉ đạo, tổ chức thực hiện kiểm tra, đánh giá an toàn thông tin và quản lý rủi ro an toàn thông tin trong phạm vi cơ quan, tổ chức mình, cụ thể như sau:

- Định kỳ 02 năm thực hiện kiểm tra, đánh giá an toàn thông tin và quản lý rủi ro an toàn thông tin tổng thể trong hoạt động của cơ quan, tổ chức mình;

- Định kỳ hàng năm thực hiện kiểm tra, đánh giá an toàn thông tin và quản lý rủi ro an toàn thông tin đối với các hệ thống cấp độ 3 và cấp độ 4;

- Định kỳ 06 tháng (hoặc đột xuất khi thấy cần thiết hoặc theo yêu cầu, cảnh báo của cơ quan chức năng) thực hiện kiểm tra, đánh giá an toàn thông tin và quản lý rủi ro an toàn thông tin đối với hệ thống cấp độ 5;

- Việc kiểm tra, đánh giá an toàn thông tin và đánh giá rủi ro an toàn thông tin đối với hệ thống từ cấp độ 3 trở lên phải do tổ chức chuyên môn được cơ quan có thẩm quyền cấp phép; tổ chức sự nghiệp nhà nước có chức năng, nhiệm vụ phù hợp hoặc do tổ chức chuyên môn được cấp có thẩm quyền chỉ định thực hiện.

Xem nội dung VB
Click vào để xem nội dung
Điều 13. Đánh giá phát hiện mã độc, lỗ hổng, điểm yếu, thử nghiệm xâm nhập hệ thống

1. Đánh giá phát hiện mã độc, lỗ hổng, điểm yếu, thử nghiệm xâm nhập hệ thống là việc thực hiện dò quét, phát hiện lỗ hổng, điểm yếu của hệ thống, thử nghiệm tấn công xâm nhập hệ thống và đánh giá nguy cơ, thiệt hại có thể có của hệ thống thông tin khi bị đối tượng tấn công xâm nhập.

2. Đơn vị chủ trì đánh giá là một trong những tổ chức sau đây:

a) Cục An toàn thông tin;

b) Đơn vị chuyên trách về an toàn thông tin;

c) Tổ chức sự nghiệp nhà nước có chức năng, nhiệm vụ phù hợp;

d) Doanh nghiệp đã được cấp phép cung cấp dịch vụ kiểm tra, đánh giá an toàn thông tin mạng hoặc tổ chức khác được chủ quản hệ thống thông tin cho phép thực hiện đánh giá phát hiện mã độc, lỗ hổng, điểm yếu, thử nghiệm xâm nhập hệ thống.

3. Đơn vị chủ trì đánh giá phát hiện mã độc, lỗ hổng, điểm yếu, thử nghiệm xâm nhập hệ thống có trách nhiệm:

a) Thông báo cho chủ quản hệ thống thông tin về điểm yếu an toàn thông tin phát hiện ra nhằm khắc phục, phòng tránh các sự cố an toàn thông tin;

b) Thực hiện công tác bảo đảm an toàn cho dữ liệu liên quan đến hệ thống được đánh giá, không công bố dữ liệu liên quan khi chưa được sự đồng ý của chủ quản hệ thống thông tin;

c) Việc đánh giá phát hiện mã độc, lỗ hổng, điểm yếu, thử nghiệm xâm nhập hệ thống phải bảo đảm không ảnh hưởng đến hoạt động bình thường của hệ thống.

Xem nội dung VB
Click vào để xem nội dung
Điều 20. Trách nhiệm của chủ quản hệ thống thông tin
...
2. Chủ quản hệ thống thông tin có trách nhiệm:
...
c) Chỉ đạo, tổ chức thực hiện kiểm tra, đánh giá an toàn thông tin và quản lý rủi ro an toàn thông tin trong phạm vi cơ quan, tổ chức mình, cụ thể như sau:

- Định kỳ 02 năm thực hiện kiểm tra, đánh giá an toàn thông tin và quản lý rủi ro an toàn thông tin tổng thể trong hoạt động của cơ quan, tổ chức mình;

- Định kỳ hàng năm thực hiện kiểm tra, đánh giá an toàn thông tin và quản lý rủi ro an toàn thông tin đối với các hệ thống cấp độ 3 và cấp độ 4;

- Định kỳ 06 tháng (hoặc đột xuất khi thấy cần thiết hoặc theo yêu cầu, cảnh báo của cơ quan chức năng) thực hiện kiểm tra, đánh giá an toàn thông tin và quản lý rủi ro an toàn thông tin đối với hệ thống cấp độ 5;

- Việc kiểm tra, đánh giá an toàn thông tin và đánh giá rủi ro an toàn thông tin đối với hệ thống từ cấp độ 3 trở lên phải do tổ chức chuyên môn được cơ quan có thẩm quyền cấp phép; tổ chức sự nghiệp nhà nước có chức năng, nhiệm vụ phù hợp hoặc do tổ chức chuyên môn được cấp có thẩm quyền chỉ định thực hiện.

Xem nội dung VB
Click vào để xem nội dung
Văn bản gốc
Lược Đồ
Tải về


Trích lược
Số hiệu: 201/QĐ-BTC   Loại văn bản: Quyết định
Nơi ban hành: Bộ Tài chính   Người ký: Vũ Thị Mai
Ngày ban hành: 12/02/2018   Ngày hiệu lực: Đã biết
Ngày công báo: Đang cập nhật   Số công báo: Đang cập nhật
Lĩnh vực: Bưu chính, viễn thông   Tình trạng: Đã biết
Từ khóa: Quyết định 201/QĐ-BTC

1.279

Thành viên
Đăng nhập bằng Google
375552