Xác định hệ thống thông tin theo cấp độ cần phải đáp ứng các tiêu chí nào? Phương án bảo đảm an toàn hệ thống thông tin theo cấp độ bao gồm các nội dung gì?

Nội dung chính

• Xác định hệ thống thông tin theo cấp độ cần phải đáp ứng các tiêu chí nào?
• Ai có thẩm quyền thẩm định và phê duyệt hệ thống thông tin theo cấp độ?
• Phương án bảo đảm an toàn hệ thống thông tin theo cấp độ bao gồm các nội dung gì?

Xác định hệ thống thông tin theo cấp độ cần phải đáp ứng các tiêu chí nào?

Tại Điều 7 đến Điều 11 Nghị định 85/2016/NĐ-CP quy định các tiêu chí để xác định hệ thống thông tin theo cấp độ, cụ thể như sau:

Điều 7. Tiêu chí xác định cấp độ 1

Hệ thống thông tin cấp độ 1 là hệ thống thông tin phục vụ hoạt động nội bộ của cơ quan, tổ chức và chỉ xử lý thông tin công cộng.

Điều 8. Tiêu chí xác định cấp độ 2

Hệ thống thông tin cấp độ 2 là hệ thống thông tin có một trong các tiêu chí cụ thể như sau:

1. Hệ thống thông tin phục vụ hoạt động nội bộ của cơ quan, tổ chức và có xử lý thông tin riêng, thông tin cá nhân của người sử dụng nhưng không xử lý thông tin bí mật nhà nước.

2. Hệ thống thông tin phục vụ người dân, doanh nghiệp thuộc một trong các loại hình như sau:

a) Cung cấp thông tin và dịch vụ công trực tuyến từ mức độ 2 trở xuống theo quy định của pháp luật;

b) Cung cấp dịch vụ trực tuyến không thuộc danh Mục dịch vụ kinh doanh có Điều kiện;

c) Cung cấp dịch vụ trực tuyến khác có xử lý thông tin riêng, thông tin cá nhân của dưới 10.000 người sử dụng.

3. Hệ thống cơ sở hạ tầng thông tin phục vụ hoạt động của một cơ quan, tổ chức.

Điều 9. Tiêu chí xác định cấp độ 3

Hệ thống thông tin cấp độ 3 là hệ thống thông tin có một trong các tiêu chí cụ thể như sau:

1. Hệ thống thông tin xử lý thông tin bí mật nhà nước hoặc hệ thống phục vụ quốc phòng, an ninh khi bị phá hoại sẽ làm tổn hại tới quốc phòng, an ninh quốc gia.

2. Hệ thống thông tin phục vụ người dân, doanh nghiệp thuộc một trong các loại hình như sau:

a) Cung cấp thông tin và dịch vụ công trực tuyến từ mức độ 3 trở lên theo quy định của pháp luật;

b) Cung cấp dịch vụ trực tuyến thuộc danh Mục dịch vụ kinh doanh có Điều kiện;

c) Cung cấp dịch vụ trực tuyến khác có xử lý thông tin riêng, thông tin cá nhân của từ 10.000 người sử dụng trở lên.

3. Hệ thống cơ sở hạ tầng thông tin dùng chung phục vụ hoạt động của các cơ quan, tổ chức trong phạm vi một ngành, một tỉnh hoặc một số tỉnh.

4. Hệ thống thông tin Điều khiển công nghiệp trực tiếp phục vụ Điều khiển, vận hành hoạt động bình thường của các công trình xây dựng cấp II, cấp III hoặc cấp IV theo phân cấp của pháp luật về xây dựng.

Điều 10. Tiêu chí xác định cấp độ 4

Hệ thống thông tin cấp độ 4 là hệ thống thông tin có một trong các tiêu chí cụ thể như sau:

1. Hệ thống thông tin xử lý thông tin bí mật nhà nước hoặc hệ thống phục vụ quốc phòng, an ninh, khi bị phá hoại sẽ làm tổn hại nghiêm trọng quốc phòng, an ninh quốc gia.

2. Hệ thống thông tin quốc gia phục vụ phát triển Chính phủ điện tử, yêu cầu vận hành 24/7 và không chấp nhận ngừng vận hành mà không có kế hoạch trước.

3. Hệ thống cơ sở hạ tầng thông tin dùng chung phục vụ hoạt động của các cơ quan, tổ chức trên phạm vi toàn quốc, yêu cầu vận hành 24/7 và không chấp nhận ngừng vận hành mà không có kế hoạch trước.

4. Hệ thống thông tin Điều khiển công nghiệp trực tiếp phục vụ Điều khiển, vận hành hoạt động bình thường của các công trình xây dựng cấp I theo phân cấp của pháp luật về xây dựng.

Điều 11. Tiêu chí xác định cấp độ 5

Hệ thống thông tin cấp độ 5 là hệ thống thông tin có một trong các tiêu chí cụ thể như sau:

1. Hệ thống thông tin xử lý thông tin bí mật nhà nước hoặc hệ thống phục vụ quốc phòng, an ninh, khi bị phá hoại sẽ làm tổn hại đặc biệt nghiêm trọng tới quốc phòng, an ninh quốc gia.

2. Hệ thống thông tin phục vụ lưu trữ dữ liệu tập trung đối với một số loại hình thông tin, dữ liệu đặc biệt quan trọng của quốc gia.

3. Hệ thống cơ sở hạ tầng thông tin quốc gia phục vụ kết nối liên thông hoạt động của Việt Nam với quốc tế.

4. Hệ thống thông tin Điều khiển công nghiệp trực tiếp phục vụ Điều khiển, vận hành hoạt động bình thường của công trình xây dựng cấp đặc biệt theo phân cấp của pháp luật về xây dựng hoặc công trình quan trọng liên quan đến an ninh quốc gia theo pháp luật về an ninh quốc gia.

5. Hệ thống thông tin khác theo quyết định của Thủ tướng Chính phủ.

Theo đó, có 05 cấp độ để xác định hệ thống thông tin và phải đảm bảo các tiêu chí cụ thể từ Điều 7 đến Điều 11.

Xác định hệ thống thông tin theo cấp độ cần phải đáp ứng các tiêu chí nào? (Hình từ Internet).

Ai có thẩm quyền thẩm định và phê duyệt hệ thống thông tin theo cấp độ?

Theo Điều 12 Nghị định 85/2016/NĐ-CP quy định về thẩm định và phê duyệt hệ thống thông tin theo cấp độ như sau:

- Đối với hệ thống thông tin được đề xuất là cấp độ 1 hoặc cấp độ 2:

Đơn vị chuyên trách về an toàn thông tin của chủ quản hệ thống thông tin thực hiện thẩm định, phê duyệt hồ sơ đề xuất cấp độ đối với hệ thống thông tin được đề xuất là cấp độ 1 hoặc cấp độ 2.

- Đối với hệ thống thông tin được đề xuất là cấp độ 3:

+ Đơn vị chuyên trách về an toàn thông tin của chủ quản hệ thống thông tin thực hiện thẩm định hồ sơ đề xuất cấp độ;

+ Chủ quản hệ thống thông tin phê duyệt hồ sơ đề xuất cấp độ.

- Đối với hệ thống thông tin được đề xuất là cấp độ 4 hoặc cấp độ 5:

+ Bộ Thông tin và Truyền thông chủ trì, phối hợp với Bộ Quốc phòng, Bộ Công an và các bộ, ngành liên quan thực hiện thẩm định hồ sơ đề xuất cấp độ trừ các trường hợp:

++ Bộ Quốc phòng chủ trì, phối hợp với Bộ Thông tin và Truyền thông và bộ, ngành liên quan thực hiện thẩm định hồ sơ đề xuất cấp độ đối với hệ thống thông tin do Bộ Quốc phòng quản lý;

++ Bộ Công an chủ trì, phối hợp với Bộ Thông tin và Truyền thông và bộ, ngành liên quan thực hiện thẩm định hồ sơ đề xuất cấp độ đối với hệ thống thông tin do Bộ Công an quản lý;

+ Chủ quản hệ thống thông tin phê duyệt hồ sơ đề xuất cấp độ đối với hệ thống thông tin cấp độ 4; phê duyệt phương án bảo đảm an toàn thông tin đối với hệ thống thông tin cấp độ 5;

+ Thủ tướng Chính phủ phê duyệt Danh Mục hệ thống thông tin cấp độ 5 (Danh Mục hệ thống thông tin quan trọng quốc gia).

Phương án bảo đảm an toàn hệ thống thông tin theo cấp độ bao gồm các nội dung gì?

Tại khoản 2 Điều 19 Nghị định 85/2016/NĐ-CP quy định về nội dung trong phương án bảo đảm an toàn hệ thống thông tin như sau:

Phương án bảo đảm an toàn hệ thống thông tin theo cấp độ

1. Phương án bảo đảm an toàn hệ thống thông tin phải đáp ứng yêu cầu cơ bản trong tiêu chuẩn, quy chuẩn kỹ thuật về bảo đảm an toàn hệ thống thông tin theo cấp độ.

2. Phương án bảo đảm an toàn hệ thống thông tin bao gồm các nội dung sau đây:

a) Bảo đảm an toàn hệ thống thông tin trong khâu thiết kế, xây dựng;

b) Bảo đảm an toàn hệ thống thông tin trong quá trình vận hành;

c) Kiểm tra, đánh giá an toàn thông tin;

d) Quản lý rủi ro an toàn thông tin;

đ) Giám sát an toàn thông tin;

e) Dự phòng, ứng cứu sự cố, khôi phục sau thảm họa;

g) Kết thúc vận hành, khai thác, thanh lý, hủy bỏ.

Cũng theo Điều 10 Thông tư 12/2022/TT-BTTTT quy định thì:

Phương án bảo đảm an toàn thông tin đối với từng cấp độ

1. Phương án bảo đảm an toàn hệ thống thông tin cấp độ 1 phải đáp ứng yêu cầu quy định chi tiết tại Phụ lục I ban hành kèm theo Thông tư này.

2. Phương án bảo đảm an toàn hệ thống thông tin cấp độ 2 phải đáp ứng yêu cầu quy định chi tiết tại Phụ lục II ban hành kèm theo Thông tư này.

3. Phương án bảo đảm an toàn hệ thống thông tin cấp độ 3 phải đáp ứng yêu cầu quy định chi tiết tại Phụ lục III ban hành kèm theo Thông tư này.

4. Phương án bảo đảm an toàn hệ thống thông tin cấp độ 4 phải đáp ứng yêu cầu quy định chi tiết tại Phụ lục IV ban hành kèm theo Thông tư này.

5. Phương án bảo đảm an toàn hệ thống thông tin cấp độ 5 phải đáp ứng yêu cầu quy định chi tiết tại Phụ lục V ban hành kèm theo Thông tư này.

Như vậy, về phương án bảo đảm an toàn hệ thống thông tin bao gồm các nội dung sau đây:

- Bảo đảm an toàn hệ thống thông tin trong khâu thiết kế, xây dựng;

- Bảo đảm an toàn hệ thống thông tin trong quá trình vận hành;

- Kiểm tra, đánh giá an toàn thông tin;

- Quản lý rủi ro an toàn thông tin;

- Giám sát an toàn thông tin;

- Dự phòng, ứng cứu sự cố, khôi phục sau thảm họa;

- Kết thúc vận hành, khai thác, thanh lý, hủy bỏ.