Báo cáo bảo đảm an toàn hệ thống thông tin theo từng cấp độ phải có những thông tin nào theo quy định?

Nội dung chính

• Báo cáo bảo đảm an toàn hệ thống thông tin theo cấp độ được thực hiện theo quy định nào?
• Báo cáo bảo đảm an toàn hệ thống thông tin theo cấp độ phải có những thông tin nào?
• Kiểm tra mã độc, lỗ hổng, điểm yếu, thử nghiệm xâm nhập hệ thống thông tin để đảm bảo an toàn thông tin thực hiện như thế nào?

Báo cáo bảo đảm an toàn hệ thống thông tin theo cấp độ được thực hiện theo quy định nào?

Căn cứ vào Điều 13 Thông tư 12/2022/TT-BTTTT quy định như sau:

Quy định chung về chế độ báo cáo

1. Phương thức gửi, nhận bảo cáo:

a) Gửi qua hệ thống quản lý văn bản và điều hành;

b) Gửi qua hệ thống phần mềm báo cáo do Bộ Thông tin và Truyền thông triển khai;

c) Gửi qua hệ thống thư điện tử,

d) Các phương thức khác theo quy định của pháp luật.

2. Tần suất thực hiện báo cáo:

a) Định kỳ hàng năm;

b) Đột xuất theo đề nghị của cơ quan có thẩm quyền.

3. Thời gian chốt số liệu báo cáo định kỳ hàng năm:

Tính từ ngày 15 tháng 12 năm trước kỳ báo cáo đến ngày 14 tháng 12 của kỳ báo cáo.

4. Thời hạn gửi báo cáo đổi với báo cáo định kỳ hàng năm:

a) Đơn vị chuyên trách về an toàn thông tin, đơn vị vận hành hệ thống thông tin gửi báo cáo tới chủ quản hệ thống thông tin trước ngày 20 tháng 12 hàng năm;

b) Chủ quản hệ thống thông tin gửi báo cáo Bộ Thông tin và Truyền thông trước ngày 25 tháng 12 hàng năm.

Theo đó, báo cáo bảo đảm an toàn hệ thống thông tin theo cấp độ được gửi và nhân qua hệ thống quản lý văn bản và điều hành hoặc hệ thống phần mềm báo cáo do Bộ Thông tin và Truyền thông triển khai hoặc hệ thống thư điện tử hoặc phương thức khác theo quy định pháp luật.

Báo cáo bảo đảm an toàn hệ thống thông tin theo cấp độ phải thực hiện định kỳ hằng năm và đột xuất theo đề nghị của cơ quan có thẩm quyền.

Báo cáo bảo đảm an toàn hệ thống thông tin theo từng cấp độ phải có những thông tin nào theo quy định? 

Báo cáo bảo đảm an toàn hệ thống thông tin theo cấp độ phải có những thông tin nào?

Căn cứ vào Điều 14 Thông tư 12/2022/TT-BTTTT quy định như sau:

Nội dung báo cáo

1. Thông tin chung về chủ quản hệ thống thông tin, đơn vị chuyên trách về an toàn thông tin, đơn vị vận hành đối với từng hệ thống thông tin thuộc phạm vi quản lý, gồm: tên chủ quản hệ thống thông tin, đơn vị chuyên trách an toàn thông tin, đơn vị vận hành; quy định chức năng, nhiệm vụ và quyền hạn; người đại diện, chức vụ, địa chỉ, thông tin liên hệ (bao gồm số điện thoại, thư điện tử).

2. Danh sách các hệ thống thông tin thuộc phạm vi quản lý, gồm: tên hệ thống, đơn vị vận hành, cấp độ để xuất.

3. Danh sách hệ thống thông tin được phê duyệt Hồ sơ đề xuất cấp độ theo quy định.

4. Danh sách hệ thống thông tin đã triển khai đầy đủ, mới triển khai một phần hoặc chưa triển khai các biện pháp bảo vệ đáp ứng các yêu cầu an toàn theo phương án bảo đảm an toàn thông tin theo cấp độ dã dược phê duyệt.

5. Danh sách hệ thống thông tin có Quy chế bảo đảm an toàn thông tỉn theo quy định.

6. Danh sách hệ thống thông tin tuân thủ các quy định, quy trình trong Quy chế bảo đảm an toàn thông tin trong quá trình vận hành, khai thác, kết thúc hoặc hủy bỏ hệ thống thông tin.

7. Danh sách hệ thống thông tin được kiểm tra, đánh giá theo quy định.

8. Đánh giá về việc triển khai các biện pháp bảo đảm an toàn thông tin theo phương án bảo đảm an toàn thông tin được phê duyệt trong Hồ sơ đề xuất cấp độ theo từng tiêu chí, yêu cầu.

9, Thông tin Quyết định phê duyệt Hồ sơ đề xuất cấp độ, phương án bảo đảm an toàn thông tin được phê duyệt trong Hồ sơ đề xuất cấp độ theo từng tiêu chí, yêu cầu (đã đáp ứng đầy đủ/chưa đáp ứng đầy đủ, kế hoạch hoặc lộ trình hoàn thiện tiêu chí, yêu cầu chưa đáp ứng).

10. Thông tin Quyết định ban hành và Quy chế bảo đảm an toàn thông tin.

11. Các thông tin khác theo yêu cầu của cơ quan có thẩm quyền.

Như vậy, báo cáo bảo đảm an toàn hệ thống thông tin theo cấp độ phải có những nội dung như: thông tin chung về chủ quản hệ thống thông tin, đơn vị chuyên trách về an toàn thông tin, đơn vị vận hành đối với từng hệ thống thông tin, danh sách các hệ thống thông tin thuộc phạm vi quản lý,…theo quy định trên.

Kiểm tra mã độc, lỗ hổng, điểm yếu, thử nghiệm xâm nhập hệ thống thông tin để đảm bảo an toàn thông tin thực hiện như thế nào?

Căn cứ vào khoản 3 Điều 12 Thông tư 12/2022/TT-BTTTT quy định như sau:

Nội dung kiểm tra, đánh giá về an toàn thông tin

3. Nội dung kiểm tra, đánh giá phát hiện mã độc, lỗ hổng, điểm yếu, thử nghiệm xâm nhập hệ thống thông tin, bao gồm:

a) Dò quét, phát hiện mã độc, lỗ hổng, điểm yếu của hệ thống, thử nghiệm tấn công xâm nhập đối với các thiết bị hệ thống, hệ điều hành, ứng dụng, cơ sở dữ liệu và các thành phần khác liên quan trong hệ thống;

b) Đánh giá an toàn mã nguồn đối với phần mềm nội bộ;

c) Đưa ra phương án và kế hoạch xử lý lỗ hổng, điểm yếu và phương án cấu hình, tăng cường bảo mật đối với các nội dung kiểm tra được đánh giá là chưa đạt.

Theo đó, việc kiểm tra, đánh giá phát hiện mã độc, lỗ hổng, điểm yếu, thử nghiệm xâm nhập hệ thống thông tin để đảm bảo an toàn thông tin được thực hiện theo các nội dung của quy định trên.

Thông tư 12/2022/TT-BTTTT sẽ có hiệu lực từ ngày 01/10/2022.