B THÔNG TIN VÀ TRUYN THÔNG
CC AN TOÀN THÔNG TIN
S TAY
HƢỚNG DN TUÂN TH QUY ĐỊNH PHÁP LUT
VÀ TĂNG CƢỜNG BẢO ĐẢM AN TOÀN H THNG
THÔNG TIN THEO CẤP ĐỘ
(Phiên bn 1.0)
(Ban hành theo Công văn số 478/CATTT-ATHTTT ngày 30/03/2024
ca Cc An toàn thông tin - B Thông tin và Truyn thông)
Hà Ni, 2024
Mục lục
Lời nói đầu ........................................................................................................... 1
Chƣơng 1. Tng quan v bo đm an toàn h thng thông tin theo cp đ ........ 3
1. Bảo đảm an toàn h thng thông tin theo cấp độ là gì? .................................... 3
1.1. Khái niệm ................................................................................................. 3
1.2. Phân loại................................................................................................... 3
1.3. Mạng, hệ thống thông tin, hệ thống thông tin quan trọng quốc gia ........ 4
1.4. Nguyên tắc thực hiện ............................................................................... 4
2. Căn cứ pháp lý và mt s văn bản ch đạo quan trng liên quan ..................... 5
2.1. Các văn bản quy phạm pháp luật chính ................................................... 5
2.2. Tiêu chuẩn, quy chuẩn kỹ thuật ............................................................... 6
2.3. Một số văn bản chỉ đạo điều hành quan trọng ......................................... 6
3. Phạm vi đối tƣợng áp dụng quy định v bảo đảm an toàn h thng thông tin
theo cấp độ............................................................................................................. 9
4. Trách nhim quản lý nhà nƣớc ........................................................................ 10
4.1. Trách nhiệm của Bộ Thông tin và Truyền thông................................... 10
4.2. Trách nhiệm của Bộ Quốc phòng .......................................................... 10
4.3. Trách nhiệm của Bộ Công an ................................................................ 11
5. Kinh phí bảo đảm an toàn h thng thông tin theo cấp độ ............................. 11
TNG KT CHƢƠNG 1 .................................................................................... 12
Chƣơng 2. Xác định các ch th có liên quan ................................................ 13
1. Ch qun h thng thông tin ........................................................................... 13
1.1. Định nghĩa .............................................................................................. 13
1.2. Trách nhiệm của Ngƣời đứng đầu cơ quan, tổ chức là chủ quản hệ thống
thông tin ........................................................................................................ 13
1.3. Trách nhiệm của chủ quản hệ thống thông tin ....................................... 14
1.4. Xác định chủ quản hệ thống thông tin ................................................... 15
1.5. Ủy quyền trách nhiệm chủ quản hệ thống thông tin .............................. 17
2. Đơn vị chuyên trách v an toàn thông tin ca ch qun h thng thông tin ... 18
2.1. Định nghĩa .............................................................................................. 18
2.2. Trách nhiệm của đơn vị chuyên trách về an toàn thông tin ................... 18
2.3. Chỉ định, thành lập đơn vị chuyên trách về an toàn thông tin ............... 18
3. Đơn vị vn hành h thng thông tin ................................................................ 20
3.1. Định nghĩa .............................................................................................. 20
3.2. Trách nhiệm của đơn vị vận hành hệ thống thông tin ........................... 20
3.3. Trƣờng hợp hệ thống thông tin gồm nhiều hệ thống thành phần hoặc
phân tán, có nhiều hơn một đơn vị vận hành hệ thống thông tin ................. 20
4. Trách nhim ca ch đầu dự án, hoạt động ng dng công ngh thông tin
phc v xây dng, thiết lp, nâng cp, m rng h thng thông tin ................... 20
4.1. Trong các giai đoạn chuẩn bị đầu tƣ, thực hiện đầu tƣ xây dựng dự án,
hoạt động ứng dụng công nghệ thông tin ..................................................... 20
4.2. Trong giai đoạn vận hành cho đến khi kết thúc vận hành, khai thác,
thanh lý, hủy bỏ hệ thống thông tin .............................................................. 21
5. Xác đnh các ch th khi thuê dch v công ngh thông tin không sn trên
th trƣờng ............................................................................................................. 22
TNG KT CHƢƠNG 2 .................................................................................... 23
Chƣơng 3. Xác định cấp độ an toàn h thng thông tin ................................ 24
1. Nguyên tắc xác đnh cấp độ ............................................................................ 24
2. Bƣớc 1. Xác định h thng thông tin .............................................................. 24
3. Bƣớc 2. Phân loi thông tin ............................................................................. 25
4. Bƣớc 3. Phân loi h thng thông tin .............................................................. 25
4.1. Hệ thống thông tin phục vụ hoạt động nội bộ ....................................... 26
4.2. Hệ thống thông tin phục vụ ngƣời dân, doanh nghiệp .......................... 26
4.3. Hệ thống cơ sở hạ tầng thông tin ........................................................... 27
4.4. Hệ thống thông tin điều khiển công nghiệp ........................................... 27
4.5. Hệ thống thông tin khác ......................................................................... 28
5. Bƣớc 4. Xác định cấp độ an toàn h thng thông tin ...................................... 28
5.1. Hệ thống thông tin cấp độ 1 ................................................................... 28
5.2. Hệ thống thông tin cấp độ 2 ................................................................... 28
5.3. Hệ thống thông tin cấp độ 3 ................................................................... 30
5.4. Hệ thống thông tin cấp độ 4 ................................................................... 32
5.5. Hệ thống thông tin cấp độ 5 ................................................................... 33
TNG KT CHƢƠNG 3 .................................................................................... 34
Chƣơng 4. Xây dựng h sơ đề xut cp độ ..................................................... 35
1. Khi nào cn xây dng h sơ đề xut cp độ? .................................................. 36
2. Lng ghép thuyết minh đề xut cấp độ vào tài liu thiết kế h thng thông tin
............................................................................................................................. 37
3. Thuyết minh tng quan v h thng thông tin ................................................ 37
3.1. Thông tin về chủ quản hệ thống thông tin ............................................. 38
3.2. Thông tin về đơn vị vận hành hệ thống thông tin .................................. 38
3.3. Mô tả phạm vi, quy mô của hệ thống thông tin ..................................... 38
3.4. Mô tả kiến trúc hệ thống ........................................................................ 38
4. Thuyết minh v việc đề xut cp độ................................................................ 46
4.1. Danh mục các hệ thống thông tin và cấp độ tƣơng ứng ........................ 47
4.2. Thuyết minh chi tiết đối với các hệ thống thông tin .............................. 47
4.3. Thuyết minh bổ sung đối với các hệ thống thông tin đƣợc đƣợc đề xuất
cấp độ 4 hoặc cấp độ 5 .................................................................................. 48
5. Thuyết minh phƣơng án bảo đảm an toàn thông tin ....................................... 48
5.1. Thuyết minh phƣơng án đáp ứng các yêu cầu về quản lý tƣơng ứng với
cấp độ đề xuất ............................................................................................... 49
5.2. Thuyết minh phƣơng án đáp ứng các yêu cầu về kỹ thuật tƣơng ứng với
cấp độ đề xuất ............................................................................................... 55
6. Quy chế bảo đảm an toàn thông tin cho h thng thông tin ........................... 65
6.1. Nguyên tắc xây dựng ............................................................................. 65
6.2. Cấp có thẩm quyền ban hành quy chế bảo đảm an toàn thông tin cho hệ
thống thông tin .............................................................................................. 65
6.3. Các quy trình liên quan .......................................................................... 66
TNG KT CHƢƠNG 4 .................................................................................... 67
Chƣơng 5. Thẩm định, phê duyt cấp đ an toàn h thng thông tin ......... 68
1. Thm quyn thẩm định, phê duyt cấp độ ...................................................... 68
1.1. Đối với hệ thống thông tin đề xuất cấp độ 1 hoặc cấp độ 2 .................. 68
1.2. Đối với hệ thống thông tin đề xuất cấp độ 3 .......................................... 68
1.3. Đối với hệ thống thông tin đề xuất cấp độ 4 hoặc cấp độ 5 .................. 68
2. T chc thẩm định h sơ đề xut cấp đ......................................................... 69
2.1. Hồ sơ gửi thẩm định .............................................................................. 69
2.2. Hình thức thẩm định .............................................................................. 70
2.3. Thẩm định hồ sơ đề xuất cấp độ ............................................................ 70
2.4. Hội đồng thẩm định độc lập ................................................................... 74
2.5. Thời gian thẩm định hồ sơ đề xuất cấp độ ............................................. 76
3. Quy trình thẩm định, phê duyt cấp độ ........................................................... 77
3.1. Đối với hệ thống thông tin đề xuất cấp độ 1 hoặc cấp độ 2 .................. 77
3.2. Đối với hệ thống thông tin đề xuất cấp độ 3 .......................................... 78
3.3. Đối với hệ thống thông tin đề xuất cấp độ 4 hoặc cấp độ 5 .................. 80
4. Thời điểm phê duyt cấp độ an toàn thông tin ................................................ 82
5. Điều chnh, cp nht ni dung h sơ đề xut cấp độ ...................................... 83
6. Trình Th ng Chính ph phê duyệt, đƣa hệ thng thông tin vào danh mc
h thng thông tin cấp độ 5 ................................................................................. 83
7. Trình Th ng Chính ph phê duyệt, đƣa hệ thng thông tin ra khi danh
mc h thng thông tin cấp độ 5 ......................................................................... 84
TNG KT CHƢƠNG 5 .................................................................................... 85
Chƣơng 6. Chế đ báo cáo ................................................................................ 86
1. Các quy định chung ......................................................................................... 86
1.1. Phƣơng thức gửi, nhận báo cáo ............................................................. 86
1.2. Tần suất thực hiện .................................................................................. 86
1.3. Thời gian chốt số liệu báo cáo định kỳ hàng năm ................................. 86
1.4. Thời hạn gửi báo cáo đối với báo cáo định kỳ hàng năm ...................... 87
2. Ni dung báo cáo ............................................................................................. 87
2.1. Quy định về nội dung báo cáo ............................................................... 87
2.2. Mẫu báo cáo ........................................................................................... 88
3. Nn tng h tr qun lý bảo đảm an toàn h thng thông tin theo cấp độ ..... 90
TNG KT CHƢƠNG 6 .................................................................................... 91