TÀI LIỆU HƯỚNG DẪN XÁC ĐỊNH VÀ THỰC THI BẢO VỆ HỆ THỐNG THÔNG TIN THEO CẤP ĐỘ

42 123 0
TÀI LIỆU HƯỚNG DẪN XÁC ĐỊNH VÀ THỰC THI BẢO VỆ HỆ THỐNG THÔNG TIN THEO CẤP ĐỘ

Đang tải... (xem toàn văn)

Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống

Thông tin tài liệu

ỦY BAN NHÂN DÂN TỈNH QUẢNG NINH SỞ THÔNG TIN VÀ TRUYỀN THÔNG TÀI LIỆU HƯỚNG DẪN XÁC ĐỊNH VÀ THỰC THI BẢO VỆ HỆ THỐNG THÔNG TIN THEO CẤP ĐỘ (Kèm theo Công văn số 1275/STTTT-CNTT ngày 29 tháng năm 2019 Sở Thông tin Truyền thông) Quảng Ninh, 2019 CHƯƠNG I PHẠM VI, ĐỐI TƯỢNG ÁP DỤNG 1.1 Phạm vi áp dụng Tài liệu hướng dẫn việc xác định thực thi bảo đảm an tồn hệ thống thơng tin theo cấp độ bao gồm nội dung: Xác định chủ thể liên quan; Hướng dẫn xác định cấp độ; Quy trình thẩm định phê duyệt cấp độ; Hướng dẫn xây dựng Hồ sơ đề xuất cấp độ; Hướng dẫn thẩm định Hồ sơ đề xuất cấp độ; Hướng dẫn bảo vệ hệ thống thông tin theo cấp độ; Hồ sơ đề xuất cấp độ mẫu 1.2 Đối tượng áp dụng Tài liệu áp dụng quan, tổ chức, cá nhân tham gia có liên quan đến hoạt động xây dựng, thiết lập, quản lý, vận hành, nâng cấp, mở rộng hệ thống thông tin Quảng Ninh phục vụ ứng dụng công nghệ thông tin hoạt động quan, tổ chức nhà nước, ứng dụng công nghệ thông tin việc cung cấp dịch vụ trực tuyến phục vụ người dân doanh nghiệp Khuyến khích tổ chức, cá nhân liên quan khác tham khảo tài liệu để có biện pháp bảo vệ hệ thống thông tin phù hợp CHƯƠNG II HƯỚNG DẪN XÁC ĐỊNH CHỦ THỂ LIÊN QUAN Chủ thể liên quan tài liệu bao gồm: Chủ quản hệ thống thông tin, Đơn vị chun trách an tồn thơng tin, Đơn vị vận hành hệ thống thông tin Việc xác định chủ thể liên quan phụ thuộc vào cấu, tổ chức cấp hướng dẫn chi tiết đây: 2.1 Chủ quản hệ thống thông tin Chủ quản hệ thống thông tin xác định quy định Điều Thông tư 03/2017/TT-BTTTT, bao gồm trường hợp sau: 1) Chủ quản hệ thống thông tin thuộc phạm vi quản lý quan, tổ chức nhà nước xác định trường hợp sau: a) Ủy ban nhân dân tỉnh Quảng Ninh c) Trường hợp Chủ quản hệ thống thông tin khơng phải trường hợp Chủ quản xác định cấp có thẩm quyền định đầu tư dự án xây dựng, thiết lập, nâng cấp, mở rộng hệ thống thông tin 2) Hệ thống thông tin thuộc phạm vi quản lý doanh nghiệp tổ chức khác Trong trường hợp này, Chủ quản hệ thống thơng tin cấp có thẩm quyền định đầu tư dự án xây dựng, thiết lập, nâng cấp, mở rộng hệ thống thơng tin Ví dụ: Là tổ chức đại diện theo pháp luật công ty mẹ thuộc Tập đồn kinh tế tổng cơng ty, tổ chức hình thức cơng ty trách nhiệm hữu hạn thành viên Nhà nước làm chủ sở hữu trường hợp công ty mẹ công ty cổ phần, công ty trách nhiệm hữu hạn hai thành viên trở lên có cổ phần, vốn góp chi phối Nhà nước Lưu ý: Trường hợp, để thuận tiện cho trình đầu tư xây dựng quản lý vận hành hệ thống, Chủ quản hệ thống thông tin ủy quyền cho tổ chức thay mặt thực quyền quản lý trực tiếp hệ thống thông tin Việc uỷ quyền phải thực văn bản, nêu rõ phạm vi thời hạn uỷ quyền Tổ chức ủy quyền phải trực tiếp thực quyền nghĩa vụ chủ quản hệ thống thông tin mà không ủy quyền lại cho bên thứ ba theo quy định khoản 3, Điều Thơng tư 03/2017/TT-BTTTT Ví dụ: Trường hợp Sở Thông tin Truyền thông (Sở TT&TT) đơn vị vận hành Trung tâm tích hợp liệu tỉnh để thuận tiện cho cơng tác thẩm định phê duyệt Hồ sơ đề xuất cấp độ cho Trung tâm tích hợp liệu, Ủy ban nhân dân tỉnh ủy quyền cho Sở TT&TT tổ chức thay mặt thực quyền quản lý trực tiếp Trung tâm liệu Trong trường hợp này, Sở TT&TT phải định giao trách nhiệm cho đơn vị chun trách an tồn thơng tin (ví dụ Phòng CNTT) đơn vị vận hành (ví dụ Trung tâm CNTT-TT) 2.2 Đơn vị chun trách an tồn thơng tin Đơn vị chun trách an tồn thơng tin đơn vị có chức năng, nhiệm vụ bảo đảm an tồn thơng tin chủ quản hệ thống thơng tin Đối với tổ chức chưa có đơn vị chun trách an tồn thơng tin độc lập, đơn vị chun trách an tồn thơng tin đơn vị chuyên trách công nghệ thông tin Trong trường hợp này, chủ quản hệ thống thơng tin có trách nhiệm (điểm b, khoản 1, Điều 20 Nghị định 85/2016/NĐ-CP/2016/NĐ-CP): (1) Chỉ định đơn vị chuyên trách công nghệ thông tin làm nhiệm vụ đơn vị chuyên trách an tồn thơng tin; (2) Thành lập định phận chun trách an tồn thơng tin trực thuộc đơn vị chuyên trách công nghệ thông tin Ví dụ: Đơn vị chun trách an tồn thông tin Ủy ban nhân dân tỉnh Quảng Ninh Sở TT&TT; Đơn vị chuyên trách an toàn thông tin doanh nghiệp thường Ban CNTT, Trung tâm CNTT phòng CNTT 2.3 Đơn vị vận hành Đơn vị vận hành hệ thống thông tin quan, tổ chức chủ quản hệ thống thông tin giao nhiệm vụ vận hành hệ thống thông tin Ví dụ: Đơn vị vận hành Ủy ban nhân dân tỉnh thường Sở, ban, ngành, huyện quan khác địa bàn quản lý vận hành hệ thống thông tin phục vụ nhiệm vụ chuyên môn nghiệp vụ riêng đơn vị Đơn vị vận hành doanh nghiệp quan, tổ chức khác là: Đơn vị thành viên tổng công ty, Trung tâm kỹ thuật, đơn vị phận giao nhiệm vụ trực tiếp vận hành hệ thống thông tin Lưu ý: - Trong trường hợp hệ thống thông tin bao gồm nhiều hệ thống thành phần phân tán, có nhiều đơn vị vận hành hệ thống thông tin, chủ quản hệ thống thông tin phải có trách nhiệm định đơn vị làm đầu mối để thực quyền nghĩa vụ đơn vị vận hành hệ thống thông tin theo quy định pháp luật (khoản 2, Điều Thông tư 03/2017/TT-BTTTT) - Trong trường hợp chủ quản hệ thống thông tin th ngồi dịch vụ cơng nghệ thơng tin, đơn vị vận hành hệ thống thông tin bên cung cấp dịch vụ (khoản 3, Điều Thông tư 03/2017/TT-BTTTT) CHƯƠNG III HƯỚNG DẪN XÁC ĐỊNH CẤP ĐỘ Cấp độ an tồn hệ thống thơng tin xác định vào thơng tin mà hệ thống xử lý loại hình hệ thống thơng tin Trên sở đó, tiêu chí xác định cấp độ tập điều kiện loại thông tin hệ thống xử lý loại hình hệ thống thơng tin Việc xác định thông tin mà hệ thống xử lý loại hình hệ thống thơng tin thực hướng dẫn đây: 3.1 Xác định loại thông tin hệ thống thông tin xử lý Một hệ thống thơng tin xử lý loại thơng tin đây: 1) Thông tin công cộng thông tin mạng tổ chức, cá nhân công khai cho tất đối tượng mà không cần xác định danh tính, địa cụ thể đối tượng đó; 2) Thơng tin riêng thơng tin mạng tổ chức, cá nhân mà tổ chức, cá nhân khơng cơng khai cơng khai cho một nhóm đối tượng xác định danh tính, địa cụ thể; 3) Thơng tin cá nhân thông tin mạng gắn với việc xác định danh tính người cụ thể; 4) Thơng tin bí mật nhà nước thơng tin mức Mật, Tối Mật, Tuyệt Mật theo quy định pháp luật bảo vệ bí mật nhà nước Các loại thông tin phân loại theo tính bí mật tăng dần từ thơng tin cơng cộng; thơng tin riêng, cá nhân; thơng tin bí mật nhà nước Khi xác định cấp độ theo thông tin hệ thống xử lý ta cần xác định loại thơng tin có tính bí mật cao nhất, loại thơng tin định cấp độ hệ thống thông tin cần xác định cấp độ Ví dụ: Hệ thống thơng tin có xử lý thơng tin bí mật nhà nước cấp độ tối thiểu cấp độ Hệ thống có xử lý thơng tin riêng thơng tin cá nhân cấp độ tối thiểu cấp độ 3.2 Xác định loại hình hệ thống thơng tin Hệ thống thơng tin phân loại theo chức phục vụ hoạt động nghiệp vụ sau bao gồm 04 loại sau: 1) Hệ thống thông tin phục vụ hoạt động nội hệ thống phục vụ hoạt động quản trị, vận hành nội quan, tổ chức Bao gồm không giới hạn hệ thống thông tin sau: a) Hệ thống thư điện tử; b) Hệ thống quản lý văn điều hành; c) Hệ thống họp, hội nghị truyền hình trực tuyến; d) Hệ thống quản lý thơng tin cụ thể (nhân sự, tài chính, tài sản lĩnh vực chuyên môn nghiệp vụ cụ thể khác) hệ thống quản lý thông tin tổng thể (tích hợp quản lý nhiều chức năng, nghiệp vụ khác nhau); đ) Hệ thống xử lý thông tin nội 2) Hệ thống thông tin phục vụ người dân, doanh nghiệp hệ thống trực tiếp hỗ trợ cung cấp dịch vụ trực tuyến, bao gồm dịch vụ công trực tuyến dịch vụ trực tuyến khác lĩnh vực viễn thông, công nghệ thông tin, thương mại, tài chính, ngân hàng, y tế, giáo dục lĩnh vực chuyên ngành khác Bao gồm không giới hạn hệ thống thông tin sau: a) Hệ thống thư điện tử; b) Hệ thống quản lý văn điều hành; c) Hệ thống cửa điện tử; d) Hệ thống trang, cổng thông tin điện tử; đ) Hệ thống cung cấp hỗ trợ cung cấp dịch vụ trực tuyến; e) Hệ thống chăm sóc khách hàng 3) Hệ thống sở hạ tầng thông tin tập hợp trang thiết bị, đường truyền dẫn kết nối phục vụ hoạt động chung nhiều quan, tổ chức mạng diện rộng, sở liệu, trung tâm liệu, điện toán đám mây; xác thực điện tử, chứng thực điện tử, chữ ký số; kết nối liên thông hệ thống thông tin Bao gồm không giới hạn hệ thống thông tin sau: a) Mạng nội bộ, mạng diện rộng, mạng truyền số liệu chuyên dùng; b) Hệ thống sở liệu, trung tâm liệu, điện toán đám mây; c) Hệ thống xác thực điện tử, chứng thực điện tử, chữ ký số; d) Hệ thống kết nối liên thông, trục tích hợp hệ thống thơng tin 4) Hệ thống thông tin điều khiển công nghiệp hệ thống có chức giám sát, thu thập liệu, quản lý kiểm soát hạng mục quan trọng phục vụ điều khiển, vận hành hoạt động bình thường cơng trình xây dựng Bao gồm khơng giới hạn hệ thống thông tin sau: a) Hệ thống điều khiển lập trình (PLCs); b) Hệ thống điều khiển phân tán (DCS); c) Hệ thống giám sát thu thập liệu (SCADA) Ngồi hệ thống thơng tin phân loại có hệ thống thông tin khác sử dụng để trực tiếp phục vụ hỗ trợ hoạt động nghiệp vụ, sản xuất, kinh doanh cụ thể quan, tổ chức theo lĩnh vực chuyên ngành 3.3 Xác định cấp độ an tồn hệ thống thơng tin Tiêu chí xác định cấp độ an tồn hệ thống thơng tin từ cấp độ đến cấp độ quy định Nghị định 85/2016/NĐ-CP từ Điều đến Điều 11 Về bản, việc áp dụng tiêu chí xác định vào hệ thống thông tin cụ thể thực sau: Trước hết cần xác định hệ thống thông tin cần xác định cấp độ Đây sở để xác định loại thông tin hệ thống xử lý loại hình hệ thống thơng tin Xác định cấp độ dựa vào tiêu chí thực theo trường hợp sau: - Trường hợp xác định cấp độ dựa vào thơng tin mà hệ thống xử lý: Hệ thống thông tin cấp độ xử lý thơng tin cơng cộng Hệ thống thơng tin có xử lý thông tin riêng, thông tin cá nhân, cấp độ đề xuất tối thiểu cấp độ 2; Hệ thống thơng tin có xử lý thơng tin bí mật nhà nước, cấp độ đề xuất tối thiểu cấp độ - Trường hợp hệ thống thông tin hệ thống cung cấp thông tin dịch vụ công trực tuyến từ mức độ trở xuống cấp độ đề xuất cấp độ 2; Trường hợp hệ thống cung cấp thông tin dịch vụ công trực tuyến từ mức độ trở lên cấp độ cấp độ - Trường hợp hệ thống thông tin cung cấp dịch vụ trực tuyến khác có xử lý thông tin riêng, thông tin cá nhân 10.000 người sử dụng cấp độ đề xuất cấp độ 2; Trường hợp hệ thống cung cấp dịch vụ cho 10.000 người sử dụng cấp độ cấp độ - Trường hợp hệ thống hệ thống sở hạ tầng thông tin dùng chung phục vụ hoạt động quan, tổ chức phạm vi ngành, tỉnh số tỉnh cấp độ đề xuất cấp độ 3; Trường hợp phạm vi phục vụ phạm vi toàn quốc yêu cầu vận hành 24/7 không chấp nhận ngừng vận hành mà khơng có kế hoạch trước cấp độ đề xuất cấp độ - Trường hợp hệ thống hệ thống thông tin điều khiển công nghiệp trực tiếp phục vụ điều khiển, vận hành hoạt động bình thường cơng trì nh xây dựng cấp I theo phân cấp pháp luật xây dựng cấp độ đề xuất cấp độ 4; Trường hợp hệ thống phục vụ điều khiển cơng trình xây dựng cấp đặc biệt theo phân cấp pháp luật xây dựng cơng trình quan trọng liên quan đến an ninh quốc gia theo pháp luật an ninh quốc gia cấp độ đề xuất cấp độ Đối với trường hợp khác, việc xác định cấp độ an tồn thơng tin vào quy định Nghị định 85/2016/NĐ-CP Thơng tư 03/2017/TTBTTTT CHƯƠNG IV QUY TRÌNH THẨM ĐỊNH, PHÊ DUYỆT Thẩm quyền, quy trình, thủ tục xác định cấp độ an tồn hệ thống thơng tin quy định từ Điều 12 đến Điều 18 Nghị định 85/2016/NĐ-CP Dưới hướng dẫn chi tiết quy trình, thủ tục xác định cấp độ hệ thống thông tin đề xuất từ cấp độ đến cấp độ 4.1 Hệ thống thông tin đề xuất cấp độ cấp độ Hình 1: Hệ thống thông tin đề xuất cấp độ cấp độ Bước 1: Chuẩn bị HSĐXCĐ Đơn vị vận hành hệ thống thông tin chuẩn bị HSĐXCĐ bao gồm tài liệu sau: Hồ sơ đề xuất cấp độ Văn đề nghị thẩm định HSĐXCĐ (Theo mẫu Mau02-ND85) Văn đề nghị phê duyệt HSĐXCĐ (Theo mẫu Mau05-ND85) Bước 2: Thẩm định phê duyệt HSĐXCĐ Đơn vị vận hành hệ thống thông tin (ĐVVH) gửi hồ sơ đề xuất cấp độ tới đơn vị chuyên trách CNTT/ATTT (ĐVCT) Chủ quản hệ thống thông tin (CQHTTT) để lấy ý kiến thẩm định Đơn vị chuyên trách CNTT/ATTT CQHTTT thực thẩm định HSĐXCĐ Trong vòng 15 ngày kể từ ngày nhận đủ hồ sơ hợp lệ, đơn vị chuyên trách CNTT/ATTT có ý kiến thẩm định phê duyệt HSĐXCĐ theo mẫu Mau06-ND85 gửi báo cáo CQHTTT 4.2 Hệ thống thông tin đề xuất cấp độ Hình 2: Hệ thống thơng tin đề xuất cấp độ Bước 1: Chuẩn bị HSĐXCĐ Đơn vị vận hành hệ thống thông tin chuẩn bị HSĐXCĐ bao gồm tài liệu sau: Thuyết minh Hồ sơ đề xuất cấp độ; Văn đề nghị thẩm định HSĐXCĐ (Theo mẫu Mau02-ND85); Văn đề nghị phê duyệt HSĐXCĐ (Theo mẫu Mau05-ND85) Bước 2: Gửi xin ý kiến thẩm định Đơn vị chuyên trách ĐVVH gửi hồ sơ đề xuất cấp độ tới ĐVCT CQHTTT để lấy ý kiến thẩm định ĐVCT thực thẩm định hồ sơ đề xuất cấp độ Trong vòng 15 ngày kể từ ngày nhận đủ hồ sơ hợp lệ, ĐVCT có ý kiến thẩm định cho HSĐXCĐ theo mẫu Mau04-ND85 Bước 3: Đề nghị phê duyệt HSĐXCĐ Sau nhận ý kiến thẩm định hoàn thiện HSĐXCĐ theo ý kiến thẩm định, ĐVVH gửi HSĐXCĐ tới CQHTTT đề nghị phê duyệt HSĐXCĐ, Hồ sơ bao gồm: - Tờ trình phê duyệt cấp độ (theo mẫu Mau05-ND85); - Hồ sơ đề xuất cấp độ; - Ý kiến thẩm định HSĐXCĐ Bước 4: Phê duyệt HSĐXCĐ Căn vào ý kiến thẩm định ĐVCT, CQHTTT phê duyệt yêu cầu ĐVVH sửa đổi bổ sung HSĐXCĐ theo thẩm quyền Trường hợp HSĐXCĐ đạt yêu cầu theo quy định, CQHTTT phê duyệt cấp độ an tồn hệ thống thơng tin theo mẫu Mau06-ND85 4.3 Hệ thống thơng tin đề xuất cấp độ Hình 3: Hệ thống thông tin đề xuất cấp độ Bước 1: Chuẩn bị HSĐXCĐ Đơn vị vận hành hệ thống thông tin chuẩn bị HSĐXCĐ bao gồm tài liệu sau: Thuyết minh Hồ sơ đề xuất cấp độ; Văn đề nghị thẩm định HSĐXCĐ (Theo mẫu Mau02-ND85); Văn đề nghị phê duyệt HSĐXCĐ (Theo mẫu Mau05-ND85) Bước 2: Gửi xin ý kiến chuyên môn HSĐXCĐ Bảng ánh xạ cấp độ yêu cầu an toàn tương ứng TCVN 11930:2017 Cấp độ đề xuất TCVN:11930 Cấp độ 5.2.1.4 Cấp độ 6.2.1.5 Cấp độ 7.2.1.5 Cấp độ 8.2.1.5 Cấp độ 9.2.1.5 Lưu ý: Đối với hệ thống đưa vào vận hành khai thác cần làm rõ việc triển khai chức phòng chống xâm nhập thiết bị nào, đặt vị trí hệ thống e) Phòng chống phần mềm độc hại mơi trường mạng Mơ tả phương án triển khai/thiết lập cấu hình thiết bị để thực chức phòng chống phần mềm độc hại môi trường mạng đáp ứng yêu cầu an toàn Bảng ánh xạ cấp độ yêu cầu an toàn tương ứng TCVN 11930:2017 Cấp độ đề xuất TCVN:11930 Cấp độ Không yêu cầu Cấp độ Không yêu cầu Cấp độ 7.2.1.6 Cấp độ 8.2.1.6 Cấp độ 9.2.1.6 Lưu ý: Đối với hệ thống đưa vào vận hành khai thác cần làm rõ việc triển khai chức phòng chống phần mềm độc hại mơi trường mạng thiết bị nào, đặt vị trí hệ thống g) Bảo vệ thiết bị hệ thống Mô tả phương án triển khai/thiết lập cấu hình chức bảo mật thiết bị có hệ thống nhằm bảo đảm an toàn cho thiết bị trình sử dụng quản lý vận hành Bảng ánh xạ cấp độ yêu cầu an toàn tương ứng TCVN 11930:2017 Cấp độ đề xuất TCVN:11930 Cấp độ 5.2.1.5 Cấp độ 6.2.1.6 27 Cấp độ 7.2.1.7 Cấp độ 8.2.1.7 Cấp độ 9.2.1.7 Lưu ý: Đối với hệ thống đưa vào vận hành khai thác cần liệt kê thiết bị hệ thống thiết lập chức bảo mật rõ đáp ứng yêu cầu an toàn 2) Bảo đảm an toàn máy chủ a) Xác thực Mơ tả việc cấu trình/thiết lập sách xác thực máy chủ để bảo đảm việc xác thực đăng nhập vào máy chủ an toàn Bảng ánh xạ cấp độ yêu cầu an toàn tương ứng TCVN 11930:2017 Cấp độ đề xuất TCVN:11930 Cấp độ 5.2.2.1 Cấp độ 6.2.2.1 Cấp độ 7.2.2.1 Cấp độ 8.2.2.1 Cấp độ 9.2.2.1 Lưu ý: Đối với hệ thống hệ thống thông tin đưa vào vận hành khai thác cần liệt kê máy chủ có hệ thống thiết lập sách xác thực rõ đáp ứng yêu cầu an toàn b) Kiểm sốt truy cập Mơ tả việc cấu trình/thiết lập sách kiểm soát truy cập máy chủ để bảo đảm việc truy cập, sử dụng máy chủ an toàn sau đăng nhập thành công Bảng ánh xạ cấp độ yêu cầu an toàn tương ứng TCVN 11930:2017 Cấp độ đề xuất TCVN:11930 Cấp độ 5.2.2.1 Cấp độ 6.2.2.1 Cấp độ 7.2.2.1 Cấp độ 8.2.2.1 Cấp độ 9.2.2.1 28 Lưu ý: Đối với hệ thống hệ thống thông tin đưa vào vận hành khai thác cần liệt kê máy chủ có hệ thống thiết lập sách kiểm soát truy cập rõ đáp ứng yêu cầu an toàn c) Nhật ký hệ thống Mô tả phương án quản lý nhật ký hệ thống (log) máy chủ về: Bật chức ghi log; Thông tin ghi log; Thời gian, Dung lượng ghi log; Quản lý log Bảng ánh xạ cấp độ yêu cầu an toàn tương ứng TCVN 11930:2017 Cấp độ đề xuất TCVN:11930 Cấp độ 5.2.2.3 Cấp độ 6.2.2.3 Cấp độ 7.2.2.3 Cấp độ 8.2.2.3 Cấp độ 9.2.2.3 Lưu ý: Đối với hệ thống đưa vào vận hành khai thác cần liệt kê máy chủ hệ thống thiết lập cấu hình nhật ký hệ thống rõ đáp ứng yêu cầu an tồn d) Phòng chống xâm nhập Mơ tả việc cấu trình/thiết lập cấu hình bảo mật máy chủ để bảo bảo vệ công xâm nhập từ bên Bảng ánh xạ cấp độ yêu cầu an toàn tương ứng TCVN 11930:2017 Cấp độ đề xuất TCVN:11930 Cấp độ 5.2.2.4 Cấp độ 6.2.2.4 Cấp độ 7.2.2.4 Cấp độ 8.2.2.4 Cấp độ 9.2.2.4 Lưu ý: Đối với hệ thống đưa vào vận hành khai thác cần liệt kê máy chủ hệ thống thiết lập cấu hình bảo mật rõ đáp ứng u cầu an tồn đ) Phòng chống phần mềm độc hại 29 Mơ tả việc cấu trình/thiết lập cấu hình bảo mật máy chủ về: Cài đặt phần mềm phòng chống mã độc; Dò quét mã độc; Xử lý mã độc; Quản lý tập trung phần mềm phòng chống mã độc để phòng chống mã độc cho máy chủ Bảng ánh xạ cấp độ yêu cầu an toàn tương ứng TCVN 11930:2017 Cấp độ đề xuất TCVN:11930 Cấp độ 5.2.2.5 Cấp độ 6.2.2.5 Cấp độ 7.2.2.5 Cấp độ 8.2.2.5 Cấp độ 9.2.2.5 Lưu ý: Đối với hệ thống đưa vào vận hành khai thác cần liệt kê máy chủ hệ thống thiết lập cấu hình phòng chống phần mềm độc hại rõ đáp ứng yêu cầu an toàn e) Xử lý máy chủ chuyển giao Mô tả phương án xóa liệu; lưu dự phòng liệu chuyển giao thay đổi mục đích sử dụng Bảng ánh xạ cấp độ yêu cầu an toàn tương ứng TCVN 11930:2017 Cấp độ đề xuất TCVN:11930 Cấp độ Không yêu cầu Cấp độ 6.2.2.6 Cấp độ 7.2.2.6 Cấp độ 8.2.2.6 Cấp độ 9.2.2.6 3) Bảo đảm an toàn ứng dụng a) Xác thực Mơ tả việc cấu trình/thiết lập sách xác thực ứng dụng để bảo đảm việc xác thực đăng nhập vào máy chủ an toàn Bảng ánh xạ cấp độ yêu cầu an toàn tương ứng TCVN 11930:2017 Cấp độ đề xuất TCVN:11930 30 Cấp độ 5.2.3.1 Cấp độ 6.2.3.1 Cấp độ 7.2.3.1 Cấp độ 8.2.3.1 Cấp độ 9.2.3.1 Lưu ý: Đối với hệ thống hệ thống thông tin đưa vào vận hành khai thác cần liệt kê ứng dụng thiết lập sách xác thực rõ đáp ứng u cầu an tồn b) Kiểm sốt truy cập Mơ tả việc cấu trình/thiết lập sách kiểm soát truy cập ứng dụng để bảo đảm việc truy cập, sử dụng ứng dụng an toàn sau đăng nhập thành công Bảng ánh xạ cấp độ yêu cầu an toàn tương ứng TCVN 11930:2017 Cấp độ đề xuất TCVN:11930 Cấp độ 5.2.3.2 Cấp độ 6.2.3.2 Cấp độ 7.2.3.2 Cấp độ 8.2.3.2 Cấp độ 9.2.3.2 Lưu ý: Đối với hệ thống hệ thống thông tin đưa vào vận hành khai thác cần liệt kê ứng dụng thiết lập sách kiểm sốt truy cập rõ đáp ứng yêu cầu an toàn c) Nhật ký hệ thống Mô tả phương án quản lý nhật ký hệ thống (log) ứng dụng về: Bật chức ghi log; Thông tin ghi log; Thời gian, dung lượng ghi log; Quản lý log Bảng ánh xạ cấp độ yêu cầu an toàn tương ứng TCVN 11930:2017 Cấp độ đề xuất TCVN:11930 Cấp độ 5.2.2.3 Cấp độ 6.2.2.3 Cấp độ 7.2.2.3 31 Cấp độ 8.2.2.3 Cấp độ 9.2.2.3 Lưu ý: Đối với hệ thống đưa vào vận hành khai thác cần liệt kê máy chủ hệ thống thiết lập cấu hình nhật ký hệ thống rõ đáp ứng u cầu an tồn d) Bảo mật thơng tin liên lạc Mơ tả phương án mã hóa sử dụng giao thức mạng kênh kết nối mạng an tồn trao đổi liệu qua mơi trường mạng Bảng ánh xạ cấp độ yêu cầu an toàn tương ứng TCVN 11930:2017 Cấp độ đề xuất TCVN:11930 Cấp độ Không yêu cầu Cấp độ Không yêu cầu Cấp độ 7.2.3.4 Cấp độ 8.2.3.4 Cấp độ 9.2.3.4 đ) Chống chối bỏ Mô tả phương án sử dụng bảo vệ chữ ký số để bảo vệ tính bí mật chống chối bỏ gửi/nhận thông tin quan trọng qua mạng Bảng ánh xạ cấp độ yêu cầu an toàn tương ứng TCVN 11930:2017 Cấp độ đề xuất TCVN:11930 Cấp độ Không yêu cầu Cấp độ Không yêu cầu Cấp độ 7.2.3.5 Cấp độ 8.2.3.5 Cấp độ 9.2.3.5 e) An toàn ứng dụng mã nguồn Mơ tả phương án cấu hình/thiết lập chức bảo mật cho ứng dụng phương án bảo vệ mã nguồn ứng dụng Bảng ánh xạ cấp độ yêu cầu an toàn tương ứng TCVN 11930:2017 Cấp độ đề xuất TCVN:11930 32 Cấp độ Không yêu cầu Cấp độ 6.2.3.4 Cấp độ 7.2.3.6 Cấp độ 8.2.3.6 Cấp độ 9.2.3.6 Lưu ý: Đối với hệ thống đưa vào vận hành khai thác cần liệt kê ứng dụng thiết lập cấu hình rõ đáp ứng yêu cầu an toàn 4) Bảo đảm an toàn liệu a) Nguyên vẹn liệu Mô tả phương án lưu trữ, quản lý thay đổi, khơi phục liệu bảo đảm tính ngun vẹn liệu Bảng ánh xạ cấp độ yêu cầu an toàn tương ứng TCVN 11930:2017 Cấp độ đề xuất TCVN:11930 Cấp độ Không yêu cầu Cấp độ Không yêu cầu Cấp độ 7.2.4.1 Cấp độ 8.2.4.1 Cấp độ 9.2.4.1 b) Bảo mật liệu Mô tả phương án lưu trữ, quản lý thay đổi, khơi phục liệu bảo đảm tính bí mật liệu Bảng ánh xạ cấp độ yêu cầu an toàn tương ứng TCVN 11930:2017 Cấp độ đề xuất TCVN:11930 Cấp độ Không yêu cầu Cấp độ 6.2.4.1 Cấp độ 7.2.4.2 Cấp độ 8.2.4.2 Cấp độ 9.2.4.2 c) Sao lưu dự phòng 33 Mơ tả phương án lưu dự phòng liệu: Các thơng tin u cầu lưu dự phòng; Phân loại liệu lưu dự phòng; Hệ thống lưu dự phòng… Bảng ánh xạ cấp độ yêu cầu an toàn tương ứng TCVN 11930:2017 Cấp độ đề xuất TCVN:11930 Cấp độ 5.2.4.1 Cấp độ 6.2.4.2 Cấp độ 7.2.4.3 Cấp độ 8.2.4.3 Cấp độ 9.2.4.3 CHƯƠNG VI HƯỚNG DẪN THẨM ĐỊNH HỒ SƠ ĐỀ XUẤT CẤP ĐỘ 6.1 Thẩm định tính hợp lệ Hồ sơ Tài liệu, nội dung HSĐXCĐ phải đáp ứng yêu cầu theo quy định Điều 15, Nghị định 85/2016/NĐ-CP Đơn vị thẩm định (ĐVTĐ) kiểm tra xem HSĐXCĐ có tài liệu thuyết minh đáp ứng yêu cầu sau hay không? Bao gồm: 6.1.1 Tài liệu thiết kế Tài liệu thiết kế tài liệu sau: a) Đối với dự án đầu tư xây dựng mở rộng, nâng cấp hệ thống thông tin: Thiết kế sơ tài liệu có giá trị tương đương; b) Đối với hệ thống thông tin vận hành: Thiết kế thi cơng cấp có thẩm quyền phê duyệt tài liệu có giá trị tương đương Lưu ý: - Trường hợp dự án đầu tư xây dựng mở rộng, nâng cấp hệ thống thông tin thuyết minh đề xuất cấp độ, lồng ghép vào nội dung báo cáo nghiên cứu khả thi, dự án khả thi ứng dụng công nghệ thông tin báo cáo đầu tư dự án, gửi quan chức thẩm định, trình quan có thẩm quyền phê duyệt báo cáo nghiên cứu khả thi; dự án khả thi ứng dụng công nghệ thông tin báo cáo đầu tư theo quy định pháp luật đầu tư - Trong trường hợp thuê dịch vụ cơng nghệ thơng tin, đơn vị chủ trì th dịch vụ xây dựng thuyết minh đề xuất cấp độ, lồng ghép vào nội dung kế hoạch, dự án thuê dịch vụ, gửi quan chức thẩm định, trình quan có thẩm quyền phê duyệt theo quy định pháp luật thuê dịch vụ công nghệ thông tin 34 6.1.2 Thuyết minh HSĐXCĐ 1) Tài liệu thuyết minh Hồ sơ cấp độ, bao gồm nội dung sau: - Mơ tả tổng quan hệ thống thông tin - Thuyết minh đề xuất cấp độ - Thuyết minh phương án bảo đảm an toàn hệ thống thông tin theo cấp độ 2) Thuyết minh việc đề xuất cấp độ tiêu chí theo quy định pháp luật 3) Thuyết minh phương án bảo đảm an tồn thơng tin theo cấp độ tương ứng 6.1.3 Các biểu mẫu hồ sơ kèm theo Các biểu mẫu sử dụng trình thẩm định phê duyệt HSĐXCĐ theo quy định bao gồm: Mẫu số Tên Văn Biểu mẫu 01 Văn đề nghị thẩm định, phê duyệt hồ sơ đề xuất Mau01-ND85 cấp độ 02 Văn đề nghị thẩm định hồ sơ đề xuất cấp độ 03 Văn xin ý kiến chuyên môn hồ sơ đề xuất cấp Mau03-ND85 độ 04 Ý kiến thẩm định hồ sơ đề xuất cấp độ Mau04-ND85 05 Tờ trình phê duyệt hồ sơ đề xuất cấp độ Mau05-ND85 06 Quyết định phê duyệt cấp độ an tồn hệ thống thơng Mau06-ND85 tin 07 Quyết định phê duyệt phương án bảo đảm an toàn Mau07-ND85 thông tin Mau02-ND85 6.2 Thẩm định phù hợp việc đề xuất cấp độ ĐVTĐ vào nội dung thuyết minh mô tả, thuyết minh tổng quan hệ thống thông tin để xác định phạm vi, quy mô hệ thống Căn vào nội dung thuyết minh đề xuất cấp độ an toàn hệ thống thông tin HSĐXCĐ để xác định loại thông tin hệ thống xử lý theo quy định khoản 1, Điều Nghị định 85/2016/NĐ-CP; Loại hình hệ thống thơng tin theo quy định khoản 2, Điều 6, Nghị định 85/2016/NĐ-CP Điều Thông tư 03/2017/TT-BTTTT 35 Căn vào nội dung thuyết minh liên quan vào tiêu chí xác định cấp độ quy định Nghị định 85/2016/NĐ-CP từ Điều đến Điều 11 để có thẩm định xem cấp độ đề xuất có phù hợp hay không? 6.3 Thẩm định phù hợp phương án bảo đảm an tồn thơng tin Tài liệu thiết kế sở để ĐVTĐ xem xét phương án bảo đảm an tồn thơng tin thuyết minh có phù hợp hay không? Tài liệu mô tả chi tiết phương án thiết kế, lựa chọn biện pháp bảo đảm an tồn thơng tin cụ thể thơng tin khác liên quan đến hệ thống Do đó, ĐVTĐ kiểm tra xem tài liệu thiết kế có nội dung sau hay không? Bao gồm: 1) Mô tả quy mô, phạm vi đối tượng sử dụng, khai thác, quản lý vận hành hệ thống thông tin 2) Mô tả thiết kế thành phần hệ thống thông tin 3) Mô tả phương án lựa chọn giải pháp cơng nghệ bảo đảm an tồn thơng tin 4) Mô tả phương án lựa chọn giải pháp cơng nghệ bảo đảm an tồn thơng tin Trường hợp, tài liệu thiết kế chưa có chưa đầy đủ nội dung trên, ĐVTĐ yêu cầu ĐVVH cung cấp, bổ sung Lưu ý: Trường hợp tài liệu thiết kế có nội dung khơng liên quan đến việc thuyết minh phương án bảo đảm an tồn thơng tin lược bỏ để tinh gọn tài liệu 6.4 Thẩm định phù hợp phương án bảo đảm an tồn thơng tin Sự phù hợp phương án bảo đảm an tồn thơng tin việc thuyết minh phương án HSĐXCĐ có đáp ứng u cầu an tồn hay khơng? Lưu ý rằng, thời điểm thẩm định HSĐXCĐ yêu cầu an toàn chưa phải đáp ứng hoàn toàn Đối với yêu cầu an toàn mà hệ thống chưa đáp ứng đáp ứng (đối với hệ thống xây dựng mới) phải phương án thực để đáp ứng u cầu an tồn nào? Đối với yêu cầu an toàn quản lý, ĐVTĐ kiểm tra thuyết minh HSĐXCĐ có sách, quy định (có thể ban hành dạng quy chế bảo đảm an tồn thơng tin quan, tổ chức) đáp ứng yêu cầu an toàn quản lý đặt hay chưa? Trường hợp đáp ứng yêu cầu, ĐVTĐ phải kiểm tra xem sách/quy định ban hành văn nào? Trường hợp chưa đáp ứng, ĐVTĐ kiểm tra HSĐXCĐ có phương án/kế hoạch sửa đổi, bổ sung/thêm 36 quy chế, sách an tồn thơng tin nhằm đáp ứng u cầu đặt hay khơng? Đối với u cầu an tồn kỹ thuật, ĐVTĐ kiểm tra thuyết minh HSĐXCĐ mô tả việc thiết lập/phương án thiết kế, thiết lập, cấu hình hệ thống đáp ứng yêu cầu đặt hay chưa? Trường hợp đáp ứng yêu cầu, ĐVTĐ phải kiểm tra xem việc thiết kế, thiết lập, cấu hình thực nào, thiết bị đáp ứng yêu cầu nào? Trường hợp chưa đáp ứng, ĐVTĐ kiểm tra HSĐXCĐ có phương án/kế hoạch nâng cấp, điều chỉnh hệ thống nhằm đáp ứng yêu cầu đặt hay không? Việc thuyết minh phương án bảo đảm an tồn thơng tin đáp ứng u cầu an tồn tiêu chuẩn quốc gia TCVN:11930 hoàn toàn đáp ứng yêu cầu bắt buộc Thơng tư 03/2017/TT-BTTTT Do đó, ĐVTĐ thẩm định phương án bảo đảm an tồn thơng tin HSĐXCĐ theo hướng dẫn chương Phương án bảo đảm an toàn thông tin thuyết minh HSĐXCĐ phải thống phù hợp với thông tin liên quan tài liệu thiết kế Thuyết minh phương án bảo đảm an tồn thơng tin coi đáp ứng u cầu u cầu an tồn phải có thuyết minh tương ứng CHƯƠNG VII HƯỚNG DẪN BẢO VỆ HỆ THỐNG THÔNG TIN THEO CẤP ĐỘ 7.1 Tổ chức bảo đảm an tồn thơng tin Tổ chức bảo đảm an tồn thơng tin nhiệm vụ quan, tổ chức cần thực công tác bảo đảm an tồn hệ thống thơng tin theo cấp độ Theo đó, người đứng đầu quan, tổ chức chủ quản hệ thống thơng tin có trách nhiệm: (1) Chỉ đạo phụ trách công tác bảo đảm an tồn thơng tin hoạt động quan, tổ chức mình; (2) Trong trường hợp chưa có đơn vị chun trách an tồn thơng tin độc lập: Chỉ định đơn vị chuyên trách công nghệ thông tin làm nhiệm vụ đơn vị chuyên trách an tồn thơng tin thành lập định phận chun trách an tồn thơng tin trực thuộc đơn vị chuyên trách công nghệ thông tin Đối với CQHTTT đạo ĐVVH thực hiện: (1) Lập HSĐXCĐ; tổ chức thẩm định, phê duyệt HSĐXCĐ; (2) Tổ chức thực phương án bảo đảm an toàn hệ thống thông tin theo cấp độ theo phương án phê duyệt HSĐXCĐ; (3) Triển khai công tác kiểm tra, đánh giá an tồn thơng tin quản lý rủi ro an tồn thơng tin; (4) Tổ chức thực đào tạo ngắn hạn, tuyên truyền, phổ biến, nâng cao nhận thức diễn tập an tồn thơng tin 37 Đối với ĐVVH tổ chức thực hiện: (1) Thực xác định cấp độ an tồn hệ thống thơng tin theo đạo CQHTTT; (2) Triển khai phương án bảo đảm an tồn hệ thống thơng tin theo cấp độ theo phương án phê duyệt HSĐXCĐ; (3) Tổ chức đánh giá hiệu biện pháp bảo đảm an tồn thơng tin theo quy định theo yêu cầu quan chức năng; (4) Báo cáo cơng tác thực thi bảo đảm an tồn hệ thống thông tin theo quy định theo yêu cầu quan chức năng; (5) Phối hợp, thực theo yêu cầu quan chức liên quan Bộ Thông tin Truyền thông công tác bảo đảm an tồn thơng tin 7.2 Triển khai phương án bảo đảm an tồn hệ thống thơng tin Sau HSĐXCĐ thẩm định phê duyệt ĐVVH vào phương án đề xuất để lên kế hoạch tổ chức triển khai phương án bảo đảm an tồn thơng tin phê duyệt Đối với phương án quản lý, ĐVVH dự thảo (bổ sung, sửa đổi, cập nhật) quy chế, sách bảo đảm an tồn thơng tin theo phương án HSĐXCĐ tham mưu cho CQHTTT ban hành Đối với phương án kỹ thuật việc thiết lập cấu hình hệ thống liên quan đến đầu tư giải pháp kỹ thuật Do đó, ĐVVH lên kế hoạch, phương án đầu tư, nâng cấp hệ thống để đáp ứng yêu cầu kỹ thuật đặt Lưu ý: Đối với hệ thống thông tin cấp độ trở xuống ưu tiên phương án chia sẻ, dùng chung thiết bị/hạ tầng để giảm thiểu chi phí đầu tư 7.3 Kiểm tra đánh giá quản lý rủi ro an tồn thơng tin u cầu an tồn đưa Thông tư 03/2017/TT-BTTTT tiêu chuẩn quốc gia TCVN:11930 yêu cầu tối thiểu, Hệ thống thông tin đáp ứng yêu câu đáp ứng yêu cầu Trên thực tế, hệ thống thông tin khác phải đối mặt với nguy an tồn thơng tin khác nhau, tùy theo đặc trưng hay dịch vụ mà hệ thống cung cấp Để thực bảo vệ hệ thống thơng tin cách tồn diện, đầy đủ theo yêu cầu, đặc trưng riêng hệ thống, hệ thống thông tin sau đáp ứng yêu cầu tối thiểu, cần thực đánh giá rủi ro để có phương án xử lý rủi ro bổ sung thêm biện pháp bảo đảm an tồn thơng tin cần thiết Theo quy định Thông tư 03/2017/TT-BTTTT, hệ thống thông tin cấp độ định kỳ 02 năm phải thực kiểm tra, đánh giá rủi ro an tồn thơng tin, hệ thống thơng tin cấp độ định kỳ 01 năm hệ thống thông tin cấp độ định kỳ 06 tháng 38 Việc kiểm tra, đánh giá an toàn thơng tin đánh giá rủi ro an tồn thơng tin phải tổ chức chuyên môn quan có thẩm quyền cấp phép tổ chức nghiệp nhà nước có chức năng, nhiệm vụ phù hợp chủ quản hệ thống thông tin định thực theo quy định pháp luật Cơ quan, tổ chức tham khảo tiêu chuẩn quốc gia ISO/IEC 27005:2008 “Cơng nghệ thơng tin- Kỹ thuật an tồn - Quản lý rủi ro an ninh thông tin” (Information technology - Security techniques - Information security risk management) để có thơng tin tham khảo phương án thực kiểm tra, đánh giá quản lý rủi ro cho hệ thống thơng tin 7.4 Triển khai phương án giám sát an tồn thơng tin Để chủ động việc đối phó với cố an tồn thơng tin, ngồi việc thiết lập cấu hình hệ thống đáp ứng yêu cầu kỹ thuật việc tổ chức triển khai phương án giám sát an tồn thơng tin trình quản lý vận hành quan trọng Về yêu cầu kỹ thuật, hệ thống thống thông tin cấp độ trở lên phải có hệ thống giám sát tập trung bao gồm hai loại hình giám sát: (1) Giám sát hoạt động hệ thống để có thơng tin trạng thái hoạt động hệ thống hiệu năng, trạng thái tăng/giảm (Up/Down), băng thông kết nối; (2) Giám sát an tồn thơng tin để phát cảnh báo sớm công mạng nguy an tồn thơng tin Về u cầu quản lý đưa quy định về: Quản lý vận hành hoạt động bình thường hệ thống giám sát; Đối tượng giám sát bao gồm; Kết nối gửi nhật ký hệ thống; Truy cập quản trị hệ thống giám sát; Loại thông tin cần giám sát; Lưu trữ bảo vệ thông tin giám sát; Theo dõi, giám sát cảnh báo cố; Bố trí nguồn lực tổ chức giám sát Nội dung, phương thức, hệ thống kỹ thuật phục vụ công tác giám sát, quan, tổ chức thực theo quy định Điều Thông tư số 31/2017/TTBTTTT Chủ quản hệ thống thơng tin có trách nhiệm đạo triển khai hoạt động giám sát hệ thống thông tin thuộc phạm vi quản lý theo quy định Điều 14 Thông tư số 31/2017/TT-BTTTT 7.5 Kiểm tra đánh giá an tồn thơng tin Việc kiểm tra đánh giá an tồn thơng tin hoạt động phải thực thường xuyên để tăng cường khả phòng chống hệ thống trước nguy an toàn thơng tin từ điểm yếu an tồn thơng tin, lỗi thiết lập/cấu hình hệ thống nguy an tồn thơng tin khác Nội dung, phương án kiểm tra đánh giá an tồn thơng tin quy định chương IV Thơng tư 39 03/2017/TT-BTTTT Trong đó, nội dung kiểm tra đánh giá bao gồm: (1) Kiểm tra việc tuân thủ quy định pháp luật bảo đảm an tồn hệ thống thơng tin theo cấp độ; (2) Đánh giá hiệu biện pháp bảo đảm an tồn hệ thống thơng tin;(3) Đánh giá phát mã độc, lỗ hổng, điểm yếu, thử nghiệm xâm nhập hệ thống Theo quy định ĐVVH phải thực kiểm tra, đánh giá an tồn thơng tin theo quy định theo yêu cầu quan có thẩm quyền Cấp có thẩm quyền yêu cầu kiểm tra, đánh giá trường hợp sau: Bộ trưởng Bộ Thông tin Truyền thông; Chủ quản hệ thống thông tin hệ thống thông tin thuộc thẩm quyền quản lý; Đơn vị chuyên trách an toàn thông tin chủ quản hệ thống thông tin hệ thống thông tin đơn vị phê duyệt hồ sơ đề xuất cấp độ Đơn vị giao chủ trì nhiệm vụ kiểm tra, đánh giá tổ chức sau đây: Cục An toàn thơng tin; Đơn vị chun trách an tồn thơng tin; đơn vị khác có liên quan Thực theo quy định, ĐVVH phải lập kế hoạch đánh giá định kỳ cho năm sau trình cấp có thẩm quyền phê duyệt để làm sở triển khai thực Cụ thể: - Thực kiểm tra việc tuân thủ quy định pháp luật bảo đảm an tồn hệ thống thơng tin theo cấp độ theo quy định Điều 11 Thông tư 03/2017/TT-BTTTT - Thực đánh giá hiệu biện pháp bảo đảm an tồn thơng tin Điều 12 Thơng tư 03/2017/TT-BTTTT - Thực đánh giá phát mã độc, lỗ hổng, điểm yếu, thử nghiệm xâm nhập hệ thống theo quy định Điều 13 Thông tư 03/2017/TT-BTTTT 7.6 Xây dựng phương án ứng cứu cố an tồn thơng tin mạng Việc xây dựng phương án ứng cứu cố an tồn thơng tin mạng giúp quan, tổ chức chủ động việc xử lý cố khôi phục hệ thống sau cố Cơ quan, tổ chức phải xây dựng phương án quản lý cố an tồn thơng tin đáp ứng u cầu an tồn quản lý tài liệu này, bao gồm nội dung: Đưa sách/quy trình thực quản lý cố an tồn thơng tin tổ chức, bao gồm: Phân nhóm cố an tồn thơng tin; Phương án tiếp nhận, phát hiện, phân loại xử lý thơng tin; Kế hoạch ứng phó cố an tồn thơng tin; Giám sát, phát cảnh báo cố an tồn thơng tin; Quy trình ứng cứu cố an tồn thơng tin thơng thường; Quy trình ứng cứu cố an tồn thơng tin 40 nghiêm trọng; Cơ chế phối hợp việc xử lý, khắc phục cố an tồn thơng tin; Diễn tập phương án xử lý cố an tồn thơng tin Thực theo quy định Quyết định số 05/2017/NĐ-CP ngày 16/3/2017 quy định hệ thống phương án ứng cứu khẩn cấp bảo đảm an tồn thơng tin mạng quốc gia Cụ thể, quan, tổ chức phải thực hiện: Phân nhóm cố an tồn thơng tin mạng; Xây dựng hệ thống phương án ứng cứu khẩn cấp bảo đảm an tồn thơng tin mạng quốc gia; thực trách nhiệm liên quan quy định Quyết định 41

Ngày đăng: 04/06/2020, 08:35

Từ khóa liên quan

Tài liệu cùng người dùng

Tài liệu liên quan