Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống
1
/ 29 trang
THÔNG TIN TÀI LIỆU
Thông tin cơ bản
Định dạng
Số trang
29
Dung lượng
319,5 KB
Nội dung
BỘ THÔNG TIN VÀ TRUYỀN THÔNG - CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM Độc lập - Tự - Hạnh phúc - Số: 12/2022/TT-BTTTT Hà Nội, ngày 12 tháng năm 2022 THÔNG TƯ QUY ĐỊNH CHI TIẾT VÀ HƯỚNG DẪN MỘT SỐ ĐIỀU CỦA NGHỊ ĐỊNH SỐ 85/2016/ NĐ-CP NGÀY 01/7/2016 CỦA CHÍNH PHỦ VỀ BẢO ĐẢM AN TỒN HỆ THỐNG THƠNG TIN THEO CẤP ĐỘ Căn Luật An tồn thơng tin mạng ngày 19 tháng 11 năm 2015; Căn Nghị định số 85/2016/NĐ-CP ngày 01 tháng năm 2016 Chính phủ bảo đảm an tồn hệ thống thơng tin theo cấp độ; Căn Nghị định số 48/2022/NĐ-CP ngày 26 tháng năm 2022 Chính phủ quy định chức năng, nhiệm vụ, quyền hạn cấu tổ chức Bộ Thông tin Truyền thông; Theo đề nghị Cục trưởng Cục An tồn thơng tin; Bộ trưởng Bộ Thơng tin Truyền thông ban hành Thông tư quy định chi tiết hướng dẫn số điều Nghị định số 85/2016/NĐ-CP ngày 01 tháng năm 2016 bảo đảm an tồn hệ thống thơng tin theo cấp độ Chương I QUY ĐỊNH CHUNG Điều Phạm vi điều chỉnh Thông tư quy định chi tiết hướng dẫn bảo đảm an tồn hệ thống thơng tin theo cấp độ, bao gồm: xác định hệ thống thông tin thuyết minh cấp độ an toàn hệ thống thơng tin; u cầu bảo đảm an tồn hệ thống thông tin theo cấp độ; kiểm tra, đánh giá an tồn thơng tin; chế độ báo cáo Điều Đối tượng áp dụng Đối tượng áp dụng Thông tư thực theo quy định Điều Nghị định số 85/2016/ NĐ-CP ngày 01 tháng năm 2016 Chính phủ bảo đảm an tồn hệ thống thông tin theo cấp độ (sau gọi tắt Nghị định 85/2016/NĐ-CP) Điều Giải thích từ ngữ Trong Thông tư này, từ ngữ hiểu sau: Dự phịng nóng khả thay chức thiết bị xảy cố mà không làm gián đoạn hoạt động hệ thống Thiết bị mạng quan trọng thiết bị hệ thống bị ngừng hoạt động mà khơng có kế hoạch trước làm gián đoạn hoạt động tồn hệ thống thơng tin Thành phần thiết bị mạng xác định theo cấp độ hệ thống thông tin, bao gồm tối thiểu: thiết bị chuyển mạch trung tâm tương đương, thiết bị tường lửa trung tâm, tường lửa ứng dụng web, hệ thống lưu trữ tập trung, tường lửa sở liệu Điều Chủ quản hệ thống thông tin Đối với Bộ, quan ngang bộ, quan thuộc Chính phủ, Ủy ban nhân dân tỉnh, thành phố trực thuộc Trung ương, chủ quản hệ thống thông tin trường hợp sau: a) Bộ, quan ngang bộ, quan thuộc Chính phủ; b) Ủy ban nhân dân tỉnh, thành phố trực thuộc Trung ương; c) Cấp có thẩm quyền định đầu tư dự án xây dựng, thiết lập, nâng cấp, mở rộng hệ thống thông tin Bộ, quan ngang bộ, quan thuộc Chính phủ, Ủy ban nhân dân tỉnh, thành phố trực thuộc Trung ương định chủ quản hệ thống thông tin theo quy định khoản này, bảo đảm quan, tổ chức giao chủ quản hệ thống thơng tin có đủ lực để thực thi đầy đủ quy định Điều 20 Nghị định 85/2016/NĐ-CP Đối với doanh nghiệp tổ chức khác (không phải Bộ, quan ngang bộ, quan thuộc Chính phủ, Ủy ban nhân dân tỉnh, thành phố trực thuộc Trung ương), chủ quản hệ thống thơng tin cấp có thẩm quyền định đầu tư xây dựng, thiết lập, nâng cấp, mở rộng hệ thống thông tin Trong trường hợp cần thiết, chủ quản hệ thống thông tin ủy quyền cho tổ chức trực thuộc có đủ lực để thay mặt thực trách nhiệm chủ quản hệ thống thông tin quy định khoản Điều 20 Nghị định 85/2016/NĐ-CP Việc ủy quyền trách nhiệm chủ quản hệ thống thông tin phải thực văn bản, nêu rõ phạm vi hệ thống, trách nhiệm tổ chức ủy quyền thời hạn ủy quyền Điều Đơn vị vận hành hệ thống thông tin Đơn vị vận hành hệ thống thông tin quan, tổ chức chủ quản hệ thống thông tin giao nhiệm vụ vận hành hệ thống thông tin Trong trường hợp hệ thống thông tin gồm nhiều hệ thống thành phần phân tán, có nhiều đơn vị vận hành hệ thống thơng tin, chủ quản hệ thống thơng tin có trách nhiệm định đơn vị chủ trì thực quyền nghĩa vụ đơn vị vận hành hệ thống thông tin theo quy định pháp luật Trong trường hợp thuê dịch vụ công nghệ thông tin, đơn vị vận hành hệ thống thông tin xác định sau: a) Trường hợp chưa xác định đơn vị cung cấp dịch vụ theo quy định pháp luật, đơn vị chủ trì th dịch vụ đóng vai trò đơn vị vận hành; b) Trường hợp xác định đơn vị cung cấp dịch vụ theo quy định pháp luật đơn vị vận hành đơn vị cung cấp dịch vụ; c) Trường hợp hết thời hạn cung cấp dịch vụ, hệ thống thơng tin thiết lập qua hình thức th dịch vụ tiếp tục trì hoạt động, đơn vị vận hành xác định đơn vị chủ trì thuê dịch vụ Điều Thẩm định Hồ sơ đề xuất cấp độ trường hợp đơn vị chuyên trách an tồn thơng tin đồng thời chủ quản hệ thống thông tin giao quản lý, vận hành hệ thống thông tin Trường hợp đơn vị chuyên trách an tồn thơng tin, đồng thời chủ quản hệ thống thông tin giao quản lý, vận hành hệ thống thông tin, việc tổ chức thẩm định Hồ sơ đề xuất cấp độ thực theo phương án sau đây: Đơn vị chuyên trách an tồn thơng tin trình chủ quản hệ thống thơng tin giao đơn vị trực thuộc có đủ lực chủ trì, tổ chức thẩm định Đơn vị chun trách an tồn thơng tin trình chủ quản hệ thống thông tin thành lập Hội đồng thẩm định độc lập thực nhiệm vụ thẩm định Hồ sơ đề xuất cấp độ Chương II XÁC ĐỊNH HỆ THỐNG THƠNG TIN VÀ THUYẾT MINH CẤP ĐỘ AN TỒN HỆ THỐNG THÔNG TIN Điều Xác định hệ thống thông tin Việc xác định hệ thống thông tin để xác định cấp độ nguyên tắc quy định khoản Điều Nghị định 85/2016/NĐ-CP Hệ thống thông tin phục vụ hoạt động nội hệ thống phục vụ hoạt động quản trị, vận hành nội quan, tổ chức Hệ thống thông tin phục vụ người dân, doanh nghiệp hệ thống trực tiếp hỗ trợ cung cấp dịch vụ trực tuyến, bao gồm dịch vụ công trực tuyến dịch vụ trực tuyến khác lĩnh vực viễn thông, công nghệ thông tin, thương mại, tài chính, ngân hàng, y tế, giáo dục lĩnh vực chuyên ngành khác Hệ thống sở hạ tầng thông tin tập hợp trang thiết bị, đường truyền dẫn kết nối phục vụ chung hoạt động nhiều quan, tổ chức mạng diện rộng, sở liệu, trung tâm liệu, điện toán đám mây; xác thực điện tử, chứng thực điện tử, chữ ký số; kết nối liên thông hệ thống thông tin Hệ thống thông tin Điều khiển cơng nghiệp hệ thống có chức giám sát, thu thập liệu, quản lý kiểm soát hạng mục quan trọng phục vụ điều khiển, vận hành hoạt động bình thường cơng trình xây dựng Hệ thống thông tin khác hệ thống thông tin khơng thuộc loại hình nêu khoản 2, 3, 4, Điều này, sử dụng để trực tiếp phục vụ hỗ trợ hoạt động nghiệp vụ, sản xuất, kinh doanh cụ thể quan, tổ chức theo lĩnh vực chuyên ngành Định kỳ hàng quý (ngày quý), Cục An tồn thơng tin - Bộ Thơng tin Truyền thơng có trách nhiệm cập nhật, bổ sung danh mục hệ thống thông tin theo quy định khoản 2, 3, 4, 5, Điều công bố Cổng thông tin điện tử Bộ Thông tin Truyền thông Điều Thuyết minh cấp độ an tồn hệ thống thơng tin Đối với hệ thống thông tin đầu tư xây dựng mở rộng, nâng cấp, tùy thuộc vào hình thức đầu tư, phương án kỹ thuật Báo cáo kinh tế - kỹ thuật (trường hợp dự án đầu tư áp dụng phương án thiết kế 01 bước), Thiết kế sở thuộc Báo cáo nghiên cứu khả thi (trường hợp dự án đầu tư áp dụng phương án thiết kế 02 bước), Kế hoạch thuê dịch vụ công nghệ thông tin (trong trường hợp thuê dịch vụ công nghệ thơng tin) Đề cương dự tốn chi tiết (trong trường hợp đầu tư ứng dụng công nghệ thông tin lập dự án) phải đáp ứng yêu cầu phương án bảo đảm an toàn thông tin theo cấp độ đề xuất, thuyết minh Hồ sơ đề xuất cấp độ Thuyết minh Hồ sơ đề xuất cấp độ, bao gồm thành phần sau đây: a) Thuyết minh tổng quan hệ thống thông tin; b) Thuyết minh việc đề xuất cấp độ; c) Thuyết minh phương án bảo đảm an tồn thơng tin Thuyết minh tổng quan hệ thống thông tin, bao gồm nội dung: a) Thông tin chủ quản hệ thống thông tin, gồm: tên chủ quản hệ thống thông tin; quy định chức năng, nhiệm vụ quyền hạn; người đại diện, chức vụ; địa chỉ; thông tin liên hệ (bao gồm số điện thoại, thư điện tử); b) Thông tin đơn vị vận hành hệ thống thông tin, gồm: tên đơn vị vận hành; quy định chức năng, nhiệm vụ quyền hạn; người đại diện, chức vụ; địa chỉ; thông tin liên hệ (bao gồm số điện thoại, thư điện tử); c) Mô tả phạm vi, quy mô hệ thống thơng tin, cần làm rõ phạm vi hệ thống, quy mô hệ thống đối tượng phục vụ hệ thống; d) Mô tả trạng kiến trúc hệ thống (đối với hệ thống vận hành) mô tả kiến trúc hệ thống (đối với hệ thống xây dựng nâng cấp, mở rộng), mơ tả cụ thể mơ hình lơ-gic, mơ hình vật lý hệ thống, danh mục thiết bị thiết bị mạng hệ thống (bao gồm tên thiết bị/chủng loại, vị trí triển khai, mục đích sử dụng), danh mục ứng dụng/dịch vụ cung cấp hệ thống (bao gồm tên dịch vụ, máy chủ triển khai/vị trí triển khai/hệ điều hành máy chủ, mục đích sử dụng dịch vụ), quy hoạch vùng mạng địa IP hệ thống (bao gồm vùng mạng, địa IP nội (IP Private), địa IP công khai (IP Public)) Thuyết minh việc đề xuất cấp độ, bao gồm nội dung: a) Danh mục hệ thống thông tin cấp độ tương ứng, bao gồm: tên hệ thống thông tin, cấp độ đề xuất, đề xuất hệ thống thông tin; b) Thuyết minh chi tiết hệ thống thơng tin, cần làm rõ loại thông tin xử lý, loại hệ thống thông tin, đề xuất cấp độ hệ thống thông tin Thuyết minh việc đề xuất cấp độ hệ thống thông tin đề xuất cấp độ cấp độ 5, nội dung quy định khoản Điều này, cần làm rõ thêm nội dung sau đây: a) Xác định hệ thống thông tin khác có liên quan có kết nối đến có ảnh hưởng quan trọng tới hoạt động bình thường hệ thống thông tin đề xuất cấp độ; b) Thuyết minh nguy công mạng mức độ ảnh hưởng hệ thống thông tin đề xuất cấp độ; c) Đánh giá phạm vi mức độ ảnh hưởng tới lợi ích cơng cộng, trật tự an tồn xã hội quốc phịng, an ninh quốc gia bị công mạng gây an tồn thơng tin gián đoạn hoạt động hệ thống thông tin đề xuất cấp độ; d) Thuyết minh yêu cầu cần phải vận hành 24/7 khơng chấp nhận ngừng vận hành mà khơng có kế hoạch trước hệ thống thông tin theo quy định khoản khoản Điều 10 Nghị định 85/2016/NĐ-CP Thuyết minh phương án bảo đảm an tồn thơng tin, bao gồm nội dung: a) Thuyết minh phương án đáp ứng yêu cầu quản lý tương ứng với cấp độ đề xuất; b) Thuyết minh phương án đáp ứng yêu cầu kỹ thuật tương ứng với cấp độ đề xuất Chương III YÊU CẦU BẢO ĐẢM AN TOÀN HỆ THỐNG THÔNG TIN THEO CẤP ĐỘ Điều Yêu cầu chung Việc bảo đảm an toàn hệ thống thông tin theo cấp độ thực theo yêu cầu quy định Thông tư Tiêu chuẩn quốc gia TCVN 11930:2017 Công nghệ thông tin - kỹ thuật an toàn - yêu cầu an tồn hệ thống thơng tin theo cấp độ Yêu cầu cấp độ quy định Thông tư yêu cầu tối thiểu để bảo đảm an toàn hệ thống thông tin, bao gồm yêu cầu quản lý, yêu cầu kỹ thuật không bao gồm yêu cầu bảo đảm an toàn vật lý Yêu cầu quản lý, bao gồm: a) Thiết lập sách an tồn thơng tin; b) Tổ chức bảo đảm an tồn thơng tin; c) Bảo đảm nguồn nhân lực; d) Quản lý thiết kế, xây dựng hệ thống; đ) Quản lý vận hành hệ thống; e) Phương án Quản lý rủi ro an toàn thông tin; g) Phương án Kết thúc vận hành, khai thác, lý, hủy bỏ hệ thống thông tin Yêu cầu kỹ thuật, bao gồm: a) Bảo đảm an toàn mạng; b) Bảo đảm an toàn máy chủ; c) Bảo đảm an toàn ứng dụng; d) Bảo đảm an toàn liệu Việc xây dựng phương án bảo đảm an tồn thơng tin đáp ứng yêu cầu theo cấp độ thực theo nguyên tắc quy định khoản Điều Nghị định 85/2016/NĐ-CP, cụ thể sau: a) Đối với hệ thống thông tin cấp độ 1, 2, 3: Phương án bảo đảm an tồn thơng tin phải xem xét khả dùng chung hệ thống thông tin giải pháp bảo vệ, chia sẻ tài nguyên để tối ưu hiệu năng, tránh đầu tư thừa, trùng lặp, lãng phí; b) Đối với hệ thống thơng tin cấp độ 4, 5: Phương án bảo đảm an tồn thơng tin cần thiết kế bảo đảm tính sẵn sàng, phân tách hạn chế ảnh hưởng đến toàn hệ thống thành phần hệ thống có liên quan tới hệ thống bị an tồn thơng tin Hệ thống thơng tin đầu tư xây dựng mở rộng, nâng cấp phải triển khai đầy đủ phương án bảo đảm an tồn thơng tin phê duyệt Hồ sơ đề xuất cấp độ đáp ứng yêu cầu an tồn Điều Điều 10 Thơng tư trước đưa vào vận hành, khai thác Quy chế bảo đảm an tồn hệ thống thơng tin cho hệ thống phải xây dựng, đáp ứng yêu cầu an toàn quản lý theo cấp độ an tồn hệ thống thơng tin tương ứng cấp có thẩm quyền phê duyệt, ban hành trước Hồ sơ đề xuất cấp độ phê duyệt u cầu bảo đảm an tồn thơng tin phần mềm nội xây dựng mở rộng, nâng cấp: a) Phần mềm nội xây dựng mở rộng, nâng cấp phải tuân thủ Khung phát triển phần mềm an toàn; b) Đáp ứng yêu cầu an toàn Phần mềm nội Trường hợp hệ thống thông tin cấp độ triển khai hình thức thuê dịch vụ công nghệ thông tin Trung tâm liệu Điện toán đám mây, thiết kế hệ thống phải đáp ứng yêu cầu sau: a) Phải thiết kế tách riêng, độc lập với hệ thống khác lơ-gic có biện pháp quản lý truy cập hệ thống; b) Các vùng mạng hệ thống phải thiết kế tách riêng, độc lập với lơ-gic có biện pháp quản lý truy cập vùng mạng; c) Có phân vùng lưu trữ phân tách độc lập lô-gic 10 Trường hợp hệ thống thông tin cấp độ cấp độ triển khai hình thức thuê dịch vụ công nghệ thông tin Trung tâm liệu Điện toán đám mây, thiết kế hệ thống phải đáp ứng yêu cầu sau: a) Phải thiết kế tách riêng, độc lập với hệ thống khác vật lý có biện pháp quản lý truy cập hệ thống; b) Các vùng mạng hệ thống phải thiết kế tách riêng, độc lập với lơ-gic có biện pháp quản lý truy cập vùng mạng; c) Có phân vùng lưu trữ phân tách độc lập vật lý; d) Các thiết bị mạng phải phân tách độc lập vật lý Điều 10 Phương án bảo đảm an tồn thơng tin cấp độ Phương án bảo đảm an toàn hệ thống thông tin cấp độ phải đáp ứng yêu cầu quy định chi tiết Phụ lục I ban hành kèm theo Thông tư Phương án bảo đảm an tồn hệ thống thơng tin cấp độ phải đáp ứng yêu cầu quy định chi tiết Phụ lục II ban hành kèm theo Thông tư Phương án bảo đảm an tồn hệ thống thơng tin cấp độ phải đáp ứng yêu cầu quy định chi tiết Phụ lục III ban hành kèm theo Thơng tư Phương án bảo đảm an tồn hệ thống thông tin cấp độ phải đáp ứng yêu cầu quy định chi tiết Phụ lục IV ban hành kèm theo Thông tư Phương án bảo đảm an tồn hệ thống thơng tin cấp độ phải đáp ứng yêu cầu quy định chi tiết Phụ lục V ban hành kèm theo Thông tư Chương IV KIỂM TRA, ĐÁNH GIÁ AN TỒN THƠNG TIN Điều 11 Quy định chung hoạt động kiểm tra, đánh giá Nội dung kiểm tra, đánh giá: a) Kiểm tra, đánh giá việc tuân thủ quy định pháp luật bảo đảm an toàn hệ thống thông tin theo cấp độ; b) Kiểm tra, đánh giá hiệu biện pháp bảo đảm an toàn thơng tin theo phương án bảo đảm an tồn thơng tin phê duyệt; c) Kiểm tra, đánh giá phát mã độc, lỗ hổng, điểm yếu, thử nghiệm xâm nhập hệ thống thông tin Tần suất kiểm tra, đánh giá: a) Kiểm tra, đánh giá định kỳ theo quy định điểm c khoản Điều 20 Nghị định 85/2016/NĐCP; b) Kiểm tra, đánh giá đột xuất theo u cầu cấp có thẩm quyền Hình thức kiểm tra, đánh giá phát mã độc, lỗ hổng, điểm yếu, thử nghiệm xâm nhập hệ thống thông tin, gồm 03 hình thức sau: a) Kiểm tra, đánh giá hộp đen (Black box); b) Kiểm tra, đánh giá hộp xám (Gray box); c) Kiểm tra, đánh giá hộp trắng (White box) Điều 12 Nội dung kiểm tra, đánh giá an tồn thơng tin Nội dung kiểm tra, đánh giá việc tuân thủ quy định pháp luật bảo đảm an tồn hệ thống thơng tin theo cấp độ, bao gồm: a) Kiểm tra, đánh giá tuân thủ Chủ quản hệ thống thông tin theo quy định Điều 20 Nghị định 85/2016/NĐ-CP, bao gồm: việc thực thành lập/chỉ định đơn vị chuyên trách/bộ phận chun trách an tồn thơng tin chủ quản hệ thống thông tin theo quy định khoản Điều 20 Nghị định 85/2016/NĐ-CP; việc thực lập Hồ sơ đề xuất cấp độ, tổ chức thẩm định, phê duyệt Hồ sơ đề xuất cấp độ theo quy định hệ thống thông tin thuộc phạm vi quản lý; việc triển khai phương án bảo đảm an tồn thơng tin theo phương án Hồ sơ đề xuất cấp độ phê duyệt hệ thống thông tin thuộc phạm vi quản lý; việc tổ chức thực kiểm tra, đánh giá an tồn thơng tin quản lý rủi ro an tồn thơng tin phạm vi quan, tổ chức theo quy định điểm c khoản Điều 20 Nghị định 85/2016/NĐ-CP; việc tổ chức thực đào tạo ngắn hạn, tuyên truyền, phổ biến, nâng cao nhận thức diễn tập an tồn thơng tin theo quy định điểm d Khoản Điều 20 Nghị định 85/2016/NĐ-CP; b) Kiểm tra, đánh giá tuân thủ Đơn vị chun trách an tồn thơng tin chủ quản hệ thống thông tin theo quy định Điều 21 Nghị định 85/2016/NĐ-CP, bao gồm nội dung: công tác tham mưu, tổ chức thực thi, đôn đốc, kiểm tra, giám sát cơng tác bảo đảm an tồn thông tin; công tác thẩm định, phê duyệt cho ý kiến mặt chuyên môn Hồ sơ đề xuất cấp độ theo thẩm quyền quy định; c) Kiểm tra, đánh giá tuân thủ Đơn vị vận hành theo quy định Điều 22 Nghị định 85/2016/NĐ-CP; d) Kiểm tra, đánh giá việc tổ chức thực thi biện pháp bảo đảm an tồn thơng tin theo phương án bảo đảm an tồn thơng tin phê duyệt Nội dung kiểm tra, đánh giá hiệu biện pháp bảo đảm an tồn thơng tin theo phương án bảo đảm an tồn thơng tin phê duyệt, bao gồm: a) Kiểm tra tính đầy đủ phù hợp Quy chế bảo đảm an tồn thơng tin theo phương án bảo đảm an tồn thông tin quản lý phê duyệt; b) Đánh giá việc tuân thủ quy định, quy trình Quy chế bảo đảm an tồn thơng tin q trình vận hành, khai thác, kết thúc hủy bỏ hệ thống thông tin; c) Đánh giá việc thiết kế hệ thống theo phương án bảo đảm an tồn thơng tin phê duyệt; d) Đánh giá việc thiết lập, cấu hình hệ thống theo phương án bảo đảm an tồn thơng tin phê duyệt; đ) Kiểm tra việc cấu hình, tăng cường bảo mật cho thiết bị hệ thống, hệ điều hành, ứng dụng, sở liệu thành phần khác liên quan hệ thống theo hướng dẫn Bộ Thông tin Truyền thông Nội dung kiểm tra, đánh giá phát mã độc, lỗ hổng, điểm yếu, thử nghiệm xâm nhập hệ thống thơng tin, bao gồm: a) Dị qt, phát mã độc, lỗ hổng, điểm yếu hệ thống, thử nghiệm công xâm nhập thiết bị hệ thống, hệ điều hành, ứng dụng, sở liệu thành phần khác liên quan hệ thống; b) Đánh giá an toàn mã nguồn phần mềm nội bộ; c) Đưa phương án kế hoạch xử lý lỗ hổng, điểm yếu phương án cấu hình, tăng cường bảo mật nội dung kiểm tra đánh giá chưa đạt Chương V CHẾ ĐỘ BÁO CÁO Điều 13 Quy định chung chế độ báo cáo Phương thức gửi, nhận báo cáo: a) Gửi qua hệ thống quản lý văn điều hành; b) Gửi qua hệ thống phần mềm báo cáo Bộ Thông tin Truyền thông triển khai; c) Gửi qua hệ thống thư điện tử; d) Các phương thức khác theo quy định pháp luật Tần suất thực báo cáo: a) Định kỳ hàng năm; b) Đột xuất theo đề nghị quan có thẩm quyền Thời gian chốt số liệu báo cáo định kỳ hàng năm: Tính từ ngày 15 tháng 12 năm trước kỳ báo cáo đến ngày 14 tháng 12 kỳ báo cáo 1.3.1 Xác thực Mục 5.2.3.1 1.3.2 Kiểm soát truy cập Mục 5.2.3.2 1.3.3 Nhật kí hệ thống Mục 5.2.3.3 1.4 Bảo đảm an toàn liệu Mục 5.2.4 1.4.1 Sao lưu dự phòng Mục 5.2.4.1 PHỤ LỤC II YÊU CẦU CƠ BẢN BẢO ĐẢM AN TỒN HỆ THỐNG THƠNG TIN ĐỐI VỚI HỆ THỐNG THÔNG TIN CẤP ĐỘ (Ban hành kèm theo Thông tư số 12/2022/TT-BTTTT ngày 12 tháng năm 2022 Bộ trưởng Bộ Thông tin Truyền thông) I YÊU CẦU QUẢN LÝ STT 1.1 Yêu cầu Thiết lập sách an tồn thơng tin TCVN 11930:2017 Mục 6.1.1 1.1.1 Chính sách an tồn thơng tin Mục 6.1.1.1 1.1.2 Xây dựng công bố Mục 6.1.1.2 1.1.3 Rà soát, sửa đổi Mục 6.1.1.3 1.2 Tổ chức bảo đảm an tồn thơng tin Mục 6.1.2 1.2.1 Đơn vị chun trách an tồn thơng tin Mục 6.1.2.1 1.2.2 Phối hợp với quan/tổ chức có thẩm quyền Mục 6.1.2.2 1.3 Bảo đảm nguồn nhân lực Mục 6.1.3 1.3.1 Tuyển dụng Mục 6.1.3.1 1.3.2 Trong trình làm việc Mục 6.1.3.2 1.3.3 Chấm dứt thay đổi công việc Mục 6.1.3.3 1.4 Quản lý thiết kế, xây dựng hệ thống Mục 6.1.4 1.4.1 Thiết kế an toàn hệ thống thông tin Mục 6.1.4.1 1.4.2 Phát triển phần mềm thuê khoán Mục 6.1.4.2 1.4.3 Thử nghiệm nghiệm thu hệ thống Mục 6.1.4.3 1.5 Quản lý vận hành hệ thống 1.5.1 Quản lý an toàn mạng Mục 6.1.5 Mục 6.1.5.1 1.5.2 Quản lý an toàn máy chủ ứng dụng Mục 6.1.5.2 1.5.3 Quản lý an toàn liệu Mục 6.1.5.3 1.5.4 Quản lý cố an tồn thơng tin Mục 6.1.5.4 1.5.5 Quản lý an toàn người sử dụng đầu cuối Mục 6.1.5.5 1.6 Phương án Quản lý rủi ro an tồn thơng tin 1.7 Phương án Kết thúc vận hành, khai thác, lý, hủy bỏ II YÊU CẦU KỸ THUẬT Yêu cầu thiết kế hệ thống a) Thiết kế vùng mạng hệ thống theo chức năng, vùng mạng tối thiểu bao gồm: i Vùng mạng nội bộ; ii Vùng mạng biên; iii Vùng DMZ; iv Vùng máy chủ nội bộ; v Vùng mạng khơng dây (nếu có) tách riêng, độc lập với vùng mạng khác b) Có phương án thiết kế bảo đảm yêu cầu sau: i Có phương án quản lý truy cập, quản trị hệ thống từ xa an toàn sử dụng mạng riêng ảo phương án tương đương; ii Có phương án quản lý truy cập vùng mạng phòng chống xâm nhập, sử dụng sản phẩm Tường lửa có tích hợp chức phòng, chống xâm nhập phương án tương đương; iii Có phương án phịng chống mã độc cho máy chủ máy trạm sử dụng sản phẩm Phòng chống mã độc phương án tương đương; iv Có phương án phịng chống cơng mạng cho ứng dụng web; sử dụng sản phẩm Tường lửa ứng dụng web hệ thống thông tin theo quy định khoản Điều Nghị định 85/2016/NĐ-CP; v Có phương án bảo đảm an tồn thơng tin cho hệ thống thư điện tử hệ thống thư điện tử; vi Có phương án dự phịng cho thiết bị mạng chính, bao gồm thiết bị chuyển mạch trung tâm tương đương, thiết bị tường lửa trung tâm Yêu cầu thiết lập, cấu hình hệ thống STT 1.1 Yêu cầu Bảo đảm an toàn mạng TCVN 11930:2017 Mục 6.2.1 1.1.1 Kiểm sốt truy cập từ bên ngồi mạng Mục 6.2.1.2 1.1.2 Kiểm soát truy cập từ bên mạng Mục 6.2.1.3 1.1.3 Nhật kí hệ thống Mục 6.2.1.4 1.1.4 Phòng chống xâm nhập Mục 6.2.1.5 1.1.5 Bảo vệ thiết bị hệ thống Mục 6.2.1.6 1.2 Bảo đảm an toàn máy chủ Mục 6.2.2 1.2.1 Xác thực Mục 6.2.2.1 1.2.2 Kiểm soát truy cập Mục 6.2.2.2 1.2.3 Nhật ký hệ thống Mục 6.2.2.3 1.2.4 Phòng chống xâm nhập Mục 6.2.2.4 1.2.5 Phòng chống phần mềm độc hại Mục 6.2.2.5 1.2.6 Xử lý máy chủ chuyển giao Mục 6.2.2.6 1.3 Bảo đảm an toàn ứng dụng Mục 6.2.3 1.3.1 Xác thực Mục 6.2.3.1 1.3.2 Kiểm soát truy cập Mục 6.2.3.2 1.3.3 Nhật kí hệ thống Mục 6.2.3.3 1.3.4 An toàn ứng dụng mã nguồn Mục 6.2.3.4 1.4 Bảo đảm an toàn liệu Mục 6.2.4 1.4.1 Bảo mật liệu Mục 6.2.4.1 1.4.2 Sao lưu dự phòng Mục 6.2.4.2 PHỤ LỤC III YÊU CẦU CƠ BẢN BẢO ĐẢM AN TỒN HỆ THỐNG THƠNG TIN ĐỐI VỚI HỆ THỐNG THƠNG TIN CẤP ĐỘ (Ban hành kèm theo Thơng tư số /2022/TT-BTTTT ngày tháng năm 2022 Bộ trưởng Bộ Thông tin Truyền thông) I YÊU CẦU QUẢN LÝ STT 1.1 Yêu cầu Thiết lập sách an tồn thơng tin TCVN 11930:2017 Mục 7.1.1 1.1.1 Chính sách an tồn thơng tin Mục 7.1.1.1 1.1.2 Xây dựng cơng bố Mục 7.1.1.2 1.1.3 Rà sốt, sửa đổi Mục 7.1.1.3 1.2 Tổ chức bảo đảm an tồn thơng tin Mục 7.1.2 1.2.1 Đơn vị chuyên trách an toàn thông tin Mục 7.1.2.1 1.2.2 Phối hợp với quan/tổ chức có thẩm quyền Mục 7.1.2.2 1.3 Bảo đảm nguồn nhân lực Mục 7.1.3 1.3.1 Tuyển dụng Mục 7.1.3.1 1.3.2 Trong trình làm việc Mục 7.1.3.2 1.3.3 Chấm dứt thay đổi công việc Mục 7.1.3.3 1.4 Quản lý thiết kế, xây dựng hệ thống Mục 7.1.4 1.4.1 Thiết kế an tồn hệ thống thơng tin Mục 7.1.4.1 1.4.2 Phát triển phần mềm thuê khoán Mục 7.1.4.2 1.4.3 Thử nghiệm nghiệm thu hệ thống Mục 7.1.4.3 1.5 Quản lý vận hành hệ thống Mục 7.1.5 1.5.1 Quản lý an toàn mạng Mục 7.1.5.1 1.5.2 Quản lý an toàn máy chủ ứng dụng Mục 7.1.5.2 1.5.3 Quản lý an toàn liệu Mục 7.1.5.3 1.5.4 Quản lý an toàn thiết bị đầu cuối Mục 7.1.5.4 1.5.5 Quản lý phòng chống phần mềm độc hại Mục 7.1.5.5 1.5.6 Quản lý giám sát an tồn hệ thống thơng tin Mục 7.1.5.6 1.5.7 Quản lý điểm yếu an tồn thơng tin Mục 7.1.5.7 1.5.8 Quản lý cố an tồn thơng tin Mục 7.1.5.8 1.5.9 Quản lý an toàn người sử dụng đầu cuối Mục 7.1.5.9 1.6 Phương án Quản lý rủi ro an tồn thơng tin 1.7 Phương án Kết thúc vận hành, khai thác, lý, hủy bỏ II YÊU CẦU KỸ THUẬT Yêu cầu thiết kế hệ thống a) Thiết kế vùng mạng hệ thống theo chức năng, vùng mạng tối thiểu bao gồm: i Vùng mạng nội bộ; ii Vùng mạng biên; iii Vùng DMZ; iv Vùng máy chủ nội bộ; v Vùng mạng khơng dây (nếu có) tách riêng, độc lập với vùng mạng khác; vi Vùng mạng máy chủ sở liệu; vii Vùng quản trị b) Có phương án thiết kế bảo đảm yêu cầu sau: i Có phương án quản lý truy cập, quản trị hệ thống từ xa an toàn sử dụng mạng riêng ảo phương án tương đương; sử dụng sản phẩm Mạng riêng ảo hệ thống thơng tin có xử lý thơng tin bí mật nhà nước hệ thống thông tin quy định điểm c khoản Điều Nghị định 85/2016/NĐ-CP; ii Có phương án quản lý truy cập vùng mạng phòng chống xâm nhập sử dụng sản phẩm Tường lửa có tích hợp chức phòng, chống xâm nhập sản phẩm Phịng, chống xâm nhập lớp mạng; iii Có phương án cân tải, dự phịng nóng cho thiết bị mạng chính, tối thiểu bao gồm thiết bị chuyển mạch trung tâm tương đương, thiết bị tường lửa trung tâm, tường lửa ứng dụng web, hệ thống lưu trữ tập trung, tường lửa sở liệu (nếu có); iv Có phương án bảo đảm an tồn cho máy chủ sở liệu; sử dụng sản phẩm Tường lửa sở liệu hệ thống sở liệu tập trung, đáp ứng tiêu chí quy định khoản Điều Nghị định 85/2016/NĐ-CP; v Có phương án chặn lọc phần mềm độc hại mơi trường mạng sử dụng Tường lửa tích hợp chức phịng, chống mã độc mơi trường mạng phương án tương đương; vi Có phương án phịng chống công từ chối dịch vụ; sử dụng dịch vụ doanh nghiệp sản phẩm Phịng, chống cơng từ chối dịch vụ hệ thống Trung tâm liệu, điện toán đám mây, hệ thống Định danh, xác thực điện tử, chứng thực điện tử, chữ ký số hệ thống Kết nối tích hợp, chia sẻ liệu, đáp ứng tiêu chí quy định khoản Điều Nghị định 85/2016/NĐ-CP; vii Có phương án phịng chống cơng mạng cho ứng dụng web; sử dụng sản phẩm Tường lửa ứng dụng web hệ thống thông tin quy định khoản 2, Điều Nghị định 85/2016/NĐ-CP; viii Có phương án bảo đảm an tồn thơng tin cho hệ thống thư điện tử; sử dụng sản phẩm Bảo đảm an tồn thơng tin cho hệ thống thư điện tử hệ thống Thư điện tử, đáp ứng tiêu chí quy định khoản Điều Nghị định 85/2016/NĐ-CP; ix Có phương án quản lý truy cập lớp mạng; sử dụng sản phẩm Quản lý truy cập lớp mạng hệ thống Mạng nội bộ, Trung tâm giám sát điều hành an tồn thơng tin mạng, đáp ứng tiêu chí quy định khoản Điều Nghị định 85/2016/NĐ-CP; x Có phương án giám sát hệ thống thơng tin tập trung; xi Có phương án giám sát an tồn hệ thống thơng tin tập trung sử dụng sản phẩm Quản lý phân tích kiện an tồn thơng tin sản phẩm tương đương; xii Có phương án quản lý lưu dự phòng tập trung sử dụng hệ thống lưu trữ tập trung sản phẩm quản lý lưu trữ tập trung; xiii Có phương án quản lý phần mềm phòng chống mã độc máy chủ/máy tính người dùng, sử dụng sản phẩm Phịng, chống mã độc và/hoặc sản phẩm Phát phản ứng cố an tồn thơng tin thiết bị đầu cuối, có chức quản lý tập trung; xiv Có phương án phịng, chống thất liệu; sử dụng sản phẩm Phịng, chống thất liệu hệ thống thơng tin có xử lý thơng tin bí mật nhà nước hệ thống thơng tin quy định điểm c khoản Điều Nghị định 85/2016/NĐ-CP; xv Có phương án dự phịng kết nối mạng Internet cho máy chủ dịch vụ; xvi Có phương án bảo đảm an tồn cho mạng khơng dây (nếu có) u cầu thiết lập, cấu hình hệ thống STT 1.1 Yêu cầu Bảo đảm an toàn mạng TCVN 11930:2017 Mục 7.2.1 1.1.1 Kiểm soát truy cập từ bên ngồi mạng Mục 7.2.1.2 1.1.2 Kiểm sốt truy cập từ bên mạng Mục 7.2.1.3 1.1.3 Nhật kí hệ thống Mục 7.2.1.4 1.1.4 Phòng chống xâm nhập Mục 7.2.1.5 1.1.5 Phịng chống phần mềm độc hại mơi trường mạng Mục 7.2.1.6 1.1.6 Bảo vệ thiết bị hệ thống Mục 7.2.1.7 ... ứng với cấp độ đề xuất Chương III YÊU CẦU BẢO ĐẢM AN TOÀN HỆ THỐNG THÔNG TIN THEO CẤP ĐỘ Điều Yêu cầu chung Việc bảo đảm an toàn hệ thống thông tin theo cấp độ thực theo yêu cầu quy định Thông. .. theo cấp độ phê duyệt Danh sách hệ thống thơng tin có Quy chế bảo đảm an tồn thơng tin theo quy định Danh sách hệ thống thông tin tuân thủ quy định, quy trình Quy chế bảo đảm an tồn thơng tin q... 11930:2017 Công nghệ thông tin - kỹ thuật an toàn - yêu cầu an tồn hệ thống thơng tin theo cấp độ Yêu cầu cấp độ quy định Thông tư yêu cầu tối thiểu để bảo đảm an toàn hệ thống thông tin, bao gồm