Thông tư quy định rõ yêu cầu bảo đảm an toàn hệ thống thông tin theo cấp độ. Theo đó, việc bảo đảm an toàn hệ thống thông tin theo cấp độ thực hiện theo yêu cầu cơ bản quy định tại Thông tư này và Tiêu chuẩn quốc gia TCVN 11930:2017 về Công nghệ thông tin, các kỹ thuật an toàn, yêu cầu cơ bản về an toàn hệ thống thông tin theo cấp độ.
Yêu cầu cơ bản đối với từng cấp độ là các yêu cầu tối thiểu để bảo đảm an toàn hệ thống thông tin, bao gồm yêu cầu cơ bản về quản lý, yêu cầu cơ bản về kỹ thuật và không bao gồm các yêu cầu bảo đảm an toàn vật lý.
Trong đó, yêu cầu cơ bản về quản lý, bao gồm: Thiết lập chính sách an toàn thông tin; tổ chức bảo đảm an toàn thông tin; bảo đảm nguồn nhân lực; quản lý thiết kế, xây dựng hệ thống; quản lý vận hành hệ thống; phương án Quản lý rủi ro an toàn thông tin; phương án kết thúc vận hành, khai thác, thanh lý, hủy bỏ hệ thống thông tin.
Yêu cầu cơ bản về kỹ thuật, bao gồm: Bảo đảm an toàn mạng; bảo đảm an toàn máy chủ; bảo đảm an toàn ứng dụng; bảo đảm an toàn dữ liệu.
Việc xây dựng phương án bảo đảm an toàn thông tin đáp ứng yêu cầu cơ bản theo từng cấp độ thực hiện theo nguyên tắc quy định tại khoản 2 Điều 4 Nghị định 85/2016/NĐ-CP, cụ thể như sau:
Đối với hệ thống thông tin cấp độ 1, 2, 3: Phương án bảo đảm an toàn thông tin phải xem xét khả năng dùng chung giữa các hệ thống thông tin đối với các giải pháp bảo vệ, chia sẻ tài nguyên để tối ưu hiệu năng, tránh đầu tư thừa, trùng lặp, lãng phí.
Đối với hệ thống thông tin cấp độ 4, 5: Phương án bảo đảm an toàn thông tin cần được thiết kế bảo đảm tính sẵn sàng, phân tách và hạn chế ảnh hưởng đến toàn bộ hệ thống khi một thành phần trong hệ thống hoặc có liên quan tới hệ thống bị mất an toàn thông tin.
Bên cạnh đó, Thông tư cũng nêu rõ yêu cầu bảo đảm an toàn thông tin đối với phần mềm nội bộ khi xây dựng mới hoặc mở rộng, nâng cấp: Phần mềm nội bộ được xây dựng mới hoặc mở rộng, nâng cấp phải tuân thủ Khung phát triển phần mềm an toàn; đáp ứng yêu cầu an toàn cơ bản đối với Phần mềm nội bộ.
Trường hợp hệ thống thông tin cấp độ 3 được triển khai dưới hình thức thuê dịch vụ công nghệ thông tin tại Trung tâm dữ liệu hoặc Điện toán đám mây, thiết kế hệ thống phải đáp ứng các yêu cầu sau: Phải được thiết kế tách riêng, độc lập với các hệ thống khác về logic và có biện pháp quản lý truy cập giữa các hệ thống; các vùng mạng trong hệ thống phải được thiết kế tách riêng, độc lập với nhau về logic và có biện pháp quản lý truy cập giữa các vùng mạng; có phân vùng lưu trữ được phân tách độc lập về logic.
Trường hợp hệ thống thông tin cấp độ 4 hoặc cấp độ 5 được triển khai dưới hình thức thuê dịch vụ công nghệ thông tin tại Trung tâm dữ liệu hoặc Điện toán đám mây, thiết kế hệ thống phải đáp ứng các yêu cầu: Phải được thiết kế tách riêng, độc lập với các hệ thống khác về vật lý và có biện pháp quản lý truy cập giữa các hệ thống; các vùng mạng trong hệ thống phải được thiết kế tách riêng, độc lập với nhau về logic và có biện pháp quản lý truy cập giữa các vùng mạng; có phân vùng lưu trữ được phân tách độc lập về vật lý; các thiết bị mạng chính phải được phân tách độc lập về vật lý.
Thông tư có hiệu lực thi hành từ ngày 1/10/2022.
Gia Minh
08:00 | 02/08/2019
11:00 | 29/02/2024
08:06 | 15/06/2016
13:00 | 06/01/2022
09:00 | 08/09/2022
15:00 | 19/04/2024
Trong kỷ nguyên số, các doanh nghiệp đang đối mặt với các thách thức lớn về rủi ro mất an toàn thông tin. Vì vậy việc bảo đảm an toàn thông tin, dữ liệu cho doanh nghiệp, tổ chức và xác định, đánh giá, kiểm soát các rủi ro liên quan để bảo vệ thông tin một cách hiệu quả là chủ đề được các chuyên gia, doanh nghiệp chia sẻ tại Hội thảo: “ISO/IEC 27001 - An toàn thông tin và bảo vệ quyền riêng tư đối với doanh nghiệp trong kỷ nguyên số” diễn ra vào ngày 16/4 tại TP. Hồ Chí Minh vừa qua.
10:00 | 16/04/2024
Hướng tới kỷ niệm 80 năm Ngày truyền thống ngành Cơ yếu Việt Nam (12/9/1945 - 12/9/2025), Ban Cơ yếu Chính phủ đã ban hành Kế hoạch phát động Cuộc thi sáng tác nghệ thuật thơ, ca khúc về Ngành Cơ yếu Việt Nam.
14:00 | 14/03/2024
Trung tâm Khiếu nại Tội phạm Internet (IC3) thuộc Cục Điều tra Liên bang Mỹ (FBI) đã công bố Báo cáo Tội phạm Internet thường niên năm 2023, trong đó ghi nhận mức thiệt hại của Mỹ đã tăng 22% so với năm 2022, lên tới mức kỷ lục là 12,5 tỷ USD.
09:00 | 06/03/2024
Hội thảo Quốc gia lần thứ XXVII "Một số vấn đề chọn lọc về Công nghệ thông tin và Truyền thông" – VNICT 2024 do Viện Công nghệ thông tin - Viện Hàn lâm Khoa học và Công nghệ Việt Nam và Trường Đại học Nha Trang đồng tổ chức tại Nha Trang - Khánh Hòa vào các ngày 11-12/10/2024. Hội thảo có sự tham gia phối hợp của Câu lạc bộ các Khoa-Trường-Viện CNTT-TT Việt Nam (FISU) và Tạp chí An toàn thông tin.
Chiều 17/4, tại Hà Nội diễn ra Lễ công bố quyết định và trao tặng Bằng khen của Viện trưởng Viện Kiểm sát nhân dân tối cao đối với tập thể, cá nhân Cục Cơ yếu Đảng - Chính quyền (Ban Cơ yếu Chính phủ), vì đã có thành tích xuất sắc trong việc xây dựng Quy chế phối hợp giữa Viện Kiểm sát nhân dân tối cao và Ban Cơ yếu Chính phủ.
16:00 | 19/04/2024
Hướng tới kỷ niệm 80 năm Ngày truyền thống ngành Cơ yếu Việt Nam (12/9/1945 - 12/9/2025), Ban Cơ yếu Chính phủ đã ban hành Kế hoạch phát động Cuộc thi sáng tác nghệ thuật thơ, ca khúc về Ngành Cơ yếu Việt Nam.
10:00 | 16/04/2024
Ngày 03/4 vừa qua, Microsoft và công ty điện toán Quantinuum đưa ra thông báo về việc hai công ty này đã đạt được thỏa thuận then chốt trong quá trình phát triển các máy tính lượng tử khả thi về mặt thương mại.
12:00 | 12/04/2024