Nội dung kiểm tra, đánh giá việc tuân thủ quy định của pháp luật về bảo đảm an toàn hệ thống thông tin theo cấp độ?

Nội dung chính

• Hoạt động kiểm tra, đánh giá an toàn thông tin phải đáp ứng quy định nào?
• Kiểm tra, đánh giá việc tuân thủ quy định về bảo đảm an toàn thông tin theo cấp độ được thực hiện theo nội dung nào?
• Kiểm tra, đánh giá hiệu quả của các biện pháp bảo đảm an toàn thông tin được thực hiện như thế nào?

Hoạt động kiểm tra, đánh giá an toàn thông tin phải đáp ứng quy định nào?

Căn cứ vào Điều 11 Thông tư 12/2022/TT-BTTTT quy định như sau:

Quy định chung về hoạt động kiểm tra, đánh giá

1. Nội dung kiểm tra, đánh giá:

a) Kiểm tra, đánh giá việc tuân thủ quy định của pháp luật về bảo đảm an toàn hệ thống thông tin theo cấp độ;

b) Kiểm tra, đánh giá hiệu quả của các biện pháp bảo đảm an toàn thông tin theo phương án bảo đảm an toàn thông tin được phê duyệt;

c) Kiểm tra, đánh giá phát hiện mã độc, lỗ hổng, điểm yếu, thử nghiệm xâm nhập hệ thống thông tin.

2. Tần suất kiểm tra, đánh giá:

a) Kiểm tra, đánh giá định kỳ theo quy định tại điểm c khoản 2 Điều 20 Nghị định 85/2016/NĐ-CP;

b) Kiểm tra, đánh giá đột xuất theo yêu cầu của cấp có thẩm quyền.

3. Hình thức kiểm tra, đánh giá phát hiện mã độc, lỗ hổng, điểm yếu, thử nghiệm xâm nhập hệ thống thông tin, gồm 03 hình thức sau:

a) Kiểm tra, đánh giá hộp đen (Black box);

b) Kiểm tra, đánh giá hộp xám (Gray box);

c) Kiểm tra, đánh giá hộp trắng (White box).

Theo đó, việc kiểm tra an toàn thông tin và đánh giá an toàn thông tin sẽ được thực hiện theo các quy định như kiểm tra, đánh giá việc tuân thủ quy định của pháp luật về bảo đảm an toàn hệ thống thông tin theo cấp độ, hiệu quả của các biện pháp bảo đảm an toàn thông tin và phát hiện mã độc, lỗ hổng, điểm yếu, thử nghiệm xâm nhập hệ thống thông tin.

Nội dung kiểm tra, đánh giá việc tuân thủ quy định của pháp luật về bảo đảm an toàn hệ thống thông tin theo cấp độ?

Kiểm tra, đánh giá việc tuân thủ quy định về bảo đảm an toàn thông tin theo cấp độ được thực hiện theo nội dung nào?

Căn cứ khoản 1 Điều 12 Thông tư 12/2022/TT-BTTTT quy định như sau:

Nội dung kiểm tra, đánh giá về an toàn thông tin

1. Nội dung kiểm tra, đánh giá việc tuân thủ quy định của pháp luật về bảo đảm an toàn hệ thống thông tin theo cấp độ, bao gồm:

a) Kiểm tra, đánh giá tuân thủ đối với Chủ quản hệ thống thông tin theo quy định tại Điều 20 Nghị định 85/2016/NĐ-CP, bao gồm: việc thực hiện thành lập/chỉ định đơn vị chuyên trách/bộ phận chuyên trách về an toàn thông tin của chủ quản hệ thống thông tin theo quy định tại khoản 1 Điều 20 Nghị định 85/2016/NĐ-CP; việc thực hiện lập Hồ sơ đề xuất cấp độ, tổ chức thẩm định, phê duyệt Hồ sơ đề xuất cấp độ theo quy định đối với các hệ thống thông tin thuộc phạm vi quản lý; việc triển khai phương án bảo đảm an toàn thông tin theo phương án trong Hồ sơ đề xuất cấp độ được phê duyệt đối với các hệ thống thông tin thuộc phạm vi quản lý; việc tổ chức thực hiện kiểm tra, đánh giá an toàn thông tin và quản lý rủi ro an toàn thông tin trong phạm vi cơ quan, tổ chức mình theo quy định tại điểm c khoản 2 Điều 20 Nghị định 85/2016/ND-CP; việc tổ chức thực hiện đào tạo ngân hạn, tuyên truyền, phổ biến, nâng cao nhận thức và diễn tập về an toàn thông tin theo quy định tại điểm d Khoản 2 Điều 20 Nghị định 85/2016/NĐ-CP;

b) Kiểm tra, đánh giá tuân thủ đối với Đơn vị chuyên trách về an toàn thông tin của chủ quản hệ thống thông tin theo quy định tại Điều 21 Nghị định 85/2016/NĐ-CP, bao gồm các nội dung: công tác tham mưu, tổ chức thực thi, đôn đốc, kiểm tra, giám sát công tác bảo đảm an toàn thông tin; công tác thẩm định, phê duyệt hoặc cho ý kiến về mặt chuyên môn đối với Hồ sơ đề xuất cấp độ theo thẩm quyền quy định;

c) Kiểm tra, đánh giá tuân thủ đối với đơn vị vận hành theo quy định tại Điều 22 Nghị định 85/2016/NĐ-CP;

d) Kiểm tra, đánh giá việc tổ chức thực thi các biện pháp bảo đảm an toàn thông tin theo phương án bảo đảm an toàn thông tin được phê duyệt.

Theo đó, việc kiểm tra, đánh giá an toàn thông tin theo cấp độ được thực hiện dựa trên những nội dung về việc kiểm tra, đánh giá tuân thủ với chủ quản hệ thống thông tin, đơn vị chuyên trách về an toàn thông tin của chủ quản hệ thống thông tin, đơn vị vận hành hệ thống thông tin và tổ chức thực thi biện pháp bảo đảm an toàn thông tin.

Kiểm tra, đánh giá hiệu quả của các biện pháp bảo đảm an toàn thông tin được thực hiện như thế nào?

Căn cứ vào khoản 2 Điều 12 Thông tư 12/2022/TT-BTTTT quy định như sau:

Nội dung kiểm tra, đánh giá về an toàn thông tin

...

Nội dung kiểm tra, đánh giá hiệu quả của các biện pháp bảo đảm an toàn thông tin theo phương án bảo đảm an toàn thông tin được phê duyệt, bao gồm:

a) Kiểm tra tỉnh đầy đủ và phù hợp của Quy chế bảo đảm an toàn thông tin theo phương án bảo đảm an toàn thông tin về quản lý được phê duyệt;

b) Đánh giá việc tuân thủ các quy định, quy trình trong Quy chế bảo đảm an toàn thông tin trong quá trình vận hành, khai thác, kết thúc hoặc hủy bỏ hệ thống thông tin,

c) Đánh giá việc thiết kế hệ thống theo phương án bảo đảm an toàn thông tin được phê duyệt;.

d) Đánh giá việc thiết lập, cấu hình hệ thống theo phương án bảo đảm an toàn thông tin được phê duyệt;

đ) Kiểm tra việc cấu hình, tăng cường bảo mật cho thiết bị hệ thống, hệ điều hành, ứng dụng, cơ sở dữ liệu và các thành phần khác liên quan trong hệ thống theo hướng dẫn của Bộ Thông tin và Truyền thông.

Theo đó, việc kiểm tra, đánh giá hiệu quả của các biện pháp bảo đảm an toàn thông tin theo phương án bảo đảm an toàn thông tin được phê duyệt được thực hiện theo các nội dung về tỉnh đầy đủ và phù hợp của Quy chế bảo đảm an toàn thông tin; tuân thủ các quy định, quy trình trong Quy chế bảo đảm an toàn thông tin; thiết kế hệ thống theo phương án bảo đảm an toàn thông tin được phê duyệt; thiết lập, cấu hình hệ thống theo phương án bảo đảm an toàn thông tin được phê duyệt và kiểm tra cấu hình, tăng cường bảo mật cho thiết bị hệ thống, hệ điều hành, ứng dụng, cơ sở dữ liệu và các thành phần khác liên quan.

Thông tư 12/2022/TT-BTTTT sẽ có hiệu lực từ ngày 01/10/2022.