Sinh viên thực hiện:
Huỳnh Hoàng Lam
Mã SV: CHAT3P10
Lớp: CHAT3P
Giảng viên hướng dẫn:
TS. Nguyễn An Khương
Ngành: An toàn thông tin
BÁO CÁO NGHIÊN CỨU
PHÂN LOẠI HỆ THỐNG THÔNG TIN VÀ ÁP DỤNG BIỆN PHÁP BẢO VỆ THEO
CẤP ĐỘ:
TUÂN THỦ TCVN 11930:2017 VÀ NGHỊ ĐỊNH 85/2016/NĐ-CP
I. GIỚI THIỆU .............................................................................................................................. 1
II. Hệ thống Thông tin (Information System - IS) .............................................................................. 1
A. Định nghĩa và các thành phần cốt lõi ........................................................................................ 1
B. Mục tiêu, vai trò và quy trình hoạt động của Hệ thống Thông tin ................................................. 3
III. HỆ THỐNG CÔNG NGHỆ THÔNG TIN (INFORMATION TECHNOLOGY SYSTEM - ITS) ........ 4
A. Định nghĩa và các thành phần chính ......................................................................................... 4
B. Các yếu tố cấu thành cơ sở hạ tầng Công nghệ Thông tin chi tiết ................................................. 5
C. Tình huống minh họa về ứng dụng Hệ thống Công nghệ Thông tin .............................................. 8
IV. PHÂN BIỆT HỆ THỐNG THÔNG TIN VÀ HỆ THNG CÔNG NGHỆ THÔNG TIN.................. 10
A. Mối quan hệ tương hỗ: HTCNTT là nền tảng công nghệ cho HTTT ........................................... 10
B. Những điểm khác biệt chính .................................................................................................. 10
C. Bảng so sánh tổng hợp .......................................................................................................... 12
D. Minh họa ứng dụng Hệ thống Công nghệ Thông tin trong hoạt động thực tế ............................... 13
V. PHÂN LOẠI CẤP ĐỘ VÀ TIÊU CHUẨN, QUY CHUẨN .......................................................... 15
Luật an Toàn thông tin 2015 ...................................................................................................... 16
A. BẢO VỆ HỆ THỐNG THÔNG TIN................................................................................... 16
B. TIÊU CHUẨN, QUY CHUẨN KỸ THUẬT AN TOÀN THÔNG TIN MNG ........................ 18
Chứng nhận hợp quy ATTT hệ thống thông tin ......................................................................... 19
VI. VỀ BẢO ĐẢM AN TOÀN HỆ THỐNG THÔNG TIN THEO CẤP ĐỘ ....................................... 21
A. Tổng quan về Nghị định 85/2016/NĐ-CP (Nghị định 85) ......................................................... 21
B. Tổng quan về Thông tư 12/2022/TT-BTTTT (Thông tư 12) ....................................................... 22
C. TIÊU CHÍ XÁC ĐỊNH CẤP ĐỘ ........................................................................................... 25
Tiêu chí xác định cấp độ 1 ..................................................................................................... 26
Tiêu chí xác định cấp độ 2 ..................................................................................................... 26
Tiêu chí xác định cấp độ 3 ..................................................................................................... 27
Tiêu chí xác định cấp độ 4 ..................................................................................................... 28
Tiêu chí xác định cấp độ 5 ..................................................................................................... 28
VII. THẨM QUYỀN, TRÌNH TỰ, THỦ TỤC XÁC ĐỊNH CẤP ĐỘ ................................................. 29
VIII. TRÁCH NHIỆM BẢO ĐẢM AN TOÀN HỆ THỐNG THÔNG TIN ......................................... 30
Thông tư 12/2022/TT-BTTT ......................................................................................................... 35
IX. KIỂM TRA, ĐÁNH GIÁ AN TOÀN THÔNG TIN .................................................................... 35
X. CÁC KỸ THUẬT AN TOÀN - YÊU CẦU CƠ BẢN VỀ AN TOÀN HỆ THỐNG THÔNG TIN THEO
CẤP ĐỘ TCVN 11930:2017 ......................................................................................................... 36
YÊU CẦU CƠ BẢN CHO HỆ THNG THÔNG TIN CẤP ĐỘ 1 ................................................. 37
YÊU CẦU QUẢN L .......................................................................................................... 37
YÊU CẦU KỸ THUẬT ........................................................................................................ 39
YÊU CẦU CƠ BẢN BẢO ĐẢM AN TOÀN HỆ THỐNG THÔNG TIN ĐỐI VỚI HỆ THNG
THÔNG TIN CẤP ĐỘ 2 ........................................................................................................... 40
YÊU CẦU QUẢN L .......................................................................................................... 40
YÊU CẦU KỸ THUẬT ........................................................................................................ 41
YÊU CẦU CƠ BẢN BẢO ĐẢM AN TOÀN HỆ THỐNG THÔNG TIN ĐỐI VỚI HỆ THNG
THÔNG TIN CẤP ĐỘ 3 ........................................................................................................... 43
YÊU CẦU QUẢN L .......................................................................................................... 43
YÊU CẦU KỸ THUẬT ........................................................................................................ 44
YÊU CẦU CƠ BẢN BẢO ĐẢM AN TOÀN HỆ THỐNG THÔNG TIN ĐỐI VỚI HỆ THNG
THÔNG TIN CẤP ĐỘ 4 ........................................................................................................... 47
YÊU CẦU QUẢN L .......................................................................................................... 47
YÊU CẦU KỸ THUẬT ........................................................................................................ 48
YÊU CẦU CƠ BẢN BẢO ĐẢM AN TOÀN HỆ THỐNG THÔNG TIN ĐỐI VỚI HỆ THNG
THÔNG TIN CẤP ĐỘ 5 ........................................................................................................... 51
YÊU CẦU QUẢN L .......................................................................................................... 51
YÊU CẦU KỸ THUẬT ........................................................................................................ 52
CHƯƠNG IX. HỒ SƠ THẨM ĐỊNH, PHÊ DUYỆT HỒ SƠ ĐỀ XUT CẤP ĐỘ .............................. 55
Mẫu số 01: Văn bản đề nghthẩm định, phê duyệt hồ sơ đề xuất cấp độ ......................................... 55
Mẫu số 02: Văn bản đề nghthẩm định hồ sơ đề xuất cấp độ (trong trường hợp cụ thể) .................... 56
Mẫu số 03: Văn bản xin ý kiến chuyên môn về hồ sơ đề xuất cấp độ .............................................. 56
Mẫu số 04: Tờ trình phê duyệt hồ sơ đề xuất cấp độ ..................................................................... 57
CHƯƠNG X. HIỆN THỰC HÓA KIẾN THỨC L THUYẾT ......................................................... 57
1.Mục tiêu của sơ đồ mạng cấp độ 3 trong trường học .................................................................. 57
2. Sơ đồ mạng cấp độ 3 cho trường học (mô tả chi tiết) ................................................................. 58
3. Thành phần thiết b ............................................................................................................... 58
4. Tuân thủ theo Nghị định 85/2016/NĐ-CP ................................................................................ 59
CHƯƠNG XI. QUY ĐỊNH XỬ PHẠT VÀ CHẾ TÀI ...................................................................... 59
1. Khung Chế tài: Nghị định 15/2020/NĐ-CP và các Sửa đổi bởi Nghị định 14/2022/NĐ-CP ............ 59
a. Tổng quan về Nghị định 15/2020/NĐ-CP (Nghị định 15) ....................................................... 60
b. Các Sửa đổi Chính bởi Nghị định 14/2022/NĐ-CP (Nghị định 14) .......................................... 60
2. Các Chế tài Cụ thể đối với Hành vi Không Tuân thủ Nghĩa vụ An toàn Hệ thống Thông tin........... 61
a. Không Phân loại Hệ thống, Lập/Phê duyệt Hồ sơ Đề xuất Cấp độ hoặc Thiết lập Kế hoạch An toàn
.......................................................................................................................................... 61
b. Không Triển khai Biện pháp An toàn Thông tin Phù hợp........................................................ 62
c. Không Thực hiện Kiểm tra, Đánh giá hoặc Đánh giá Rủi ro theo Quy định .............................. 63
d. Không Tuân thủ Nghĩa vụ Ứng cứu và Báo cáo Sự cố ........................................................... 63
e. Các Vi phạm Liên quan Khác và Lưu ý Chung...................................................................... 64
CHƯƠNG XII. MÔ HÌNH THAM CHIẾU AN TOÀN THÔNG TIN (SRM) ...................................... 68
A. CẤU TRÚC MÔ HÌNH THAM CHIẾU AN TOÀN THÔNG TIN ............................................. 68
B. PHÂN LOẠI ....................................................................................................................... 69
1. Mục tiêu (SRM001) .......................................................................................................... 69
2. Rủi ro (SRM002) .............................................................................................................. 73
3. Kiểm soát (SRM003)......................................................................................................... 75
Tài liệu kham khảo ...................................................................................................................... 77
LỜI NÓI ĐẦU
Trong bối cảnh cuộc Cách mạng công nghiệp lần thứ chương trình chuyển đổi số quốc gia
đang diễn ra mạnh mẽ, các dự án công nghệ thông tin (CNTT) ngày càng đóng vai trò huyết mạch
trong sự phát triển của các tổ chức, doanh nghiệp toàn hội. Việc triển khai thành công các
dự án này không chỉ phụ thuộc vào năng lực công nghệ, kỹ thuật mà còn đòi hỏi sự tuân thủ cht
chẽ các quy định pháp lý và tiêu chuẩn kỹ thuật của Nhà nước.
Nhận thức được tầm quan trọng đó, trong khuôn khổ môn học Quản lý An toàn thông tin do Thầy
hướng dẫn, em đã thực hiện đề tài nghiên cứu: " Phân Loại Hệ Thống Thông Tin Áp Dụng Biện
Pháp Bảo Vệ Theo Cấp Độ: Tuân Thủ Tcvn 11930:2017 Và Nghị Định 85/2016/Nđ-Cp".
Đề tài này tập trung vào việc hệ thống hóa và làm rõ các yêu cầu cốt lõi từ ba văn bản quan trọng:
Nghị định số 86/2016/NĐ-CP: Quy định về bảo đảm an toàn hthống thông tin theo cấp
độ, một nền tảng pháp không thể thiếu cho các dự án CNTT, đặc biệt là các dán liên
quan đến dữ liệu quan trọng.
Thông tư 12/2022/TT-BTTTT: Văn bản hướng dẫn chi tiết việc thi hành các quy định liên
quan, giúp các nhà quản lý dự án có cái nhìn cụ thể hơn trong quá trình triển khai.
Tiêu chuẩn Quốc gia TCVN 11930:2017: Cung cấp bộ yêu cầu chất lượng và khung đánh
giá cho sản phẩm phần mềm, thước đo kỹ thuật quan trọng để đảm bảo chất lượng đầu
ra của dự án.
Mục tiêu của bài nghiên cứu phân tích mối quan hệ tương hỗ, làm rõ cách thức áp dụng đồng
bộ các văn bản này vào vòng đời của một dự án CNTT, từ đó đề xuất một góc nhìn tổng quan cho
các nhà quản lý dự án nhằm nâng cao hiệu quả quản lý, đảm bảo dự án vừa tuân thủ pháp luật, vừa
đạt các tiêu chuẩn về chất lượng và an toàn thông tin.
Để hoàn thành bài nghiên cứu này, em xin bày tỏ lòng biết ơn chân thành và sâu sắc nhất đến
Thầy. Những bài giảng tâm huyết, sự chdẫn tận tình những kiến thức quý báu Thầy đã
truyền đạt trong suốt học phần là nền tảng vững chắc và nguồn cảm hứng lớn để em thực hiện
và hoàn thiện đề tài này.
Mặc dù đã có nhiều cố gắng, nhưng do kiến thức và thời gian nghiên cứu có hạn, bài làm chắc
chắn không thể tránh khỏi những thiếu sót. Em rất mong nhận được những ý kiến nhận xét, đóng
góp quý báu của Thầy để đề tài được hoàn thiện hơn nữa.
Em xin chân thành cảm ơn!