Bảo đảm nguồn nhân lực đối với hệ thống thông tin cấp độ 2, cụ thể là những công việc nào? Quy định về quản lý vận hành hệ thống thông tin cấp độ 2 như thế nào?

Nội dung chính

• Bảo đảm nguồn nhân lực đối với hệ thống thông tin cấp độ 2, cụ thể là những công việc thế nào?
• Quy định về quản lý vận hành hệ thống thông tin cấp độ 2 như thế nào?
• Việc xác thực trong bảo đảm an toàn máy chủ và bảo đảm an toàn ứng dụng trong hệ thống thông tin cấp độ 2 phải tuân thủ các yêu cầu ra sao?

Bảo đảm nguồn nhân lực đối với hệ thống thông tin cấp độ 2, cụ thể là những công việc thế nào?

Tại Mục 6.1.3 Tiêu chuẩn quốc gia TCVN 11930:2017 về Công nghệ thông tin - Các kỹ thuật an toàn - Yêu cầu cơ bản về an toàn hệ thống thông tin theo cấp độ quy định về bảo đảm nguồn nhân lực như sau:

Bảo đảm nguồn nhân lực

6.1.3.1 Tuyển dụng

Cán bộ được tuyển dụng vào vị trí làm về an toàn thông tin có trình độ, chuyên ngành phù hợp với vị trí tuyển dụng.

6.1.3.2 Trong quá trình làm việc

a) Có quy định về việc thực hiện nội quy, quy chế bảo đảm an toàn thông tin cho người sử dụng, cán bộ quản lý và vận hành hệ thống;

b) Có kế hoạch và định kỳ hàng năm tổ chức phổ biến, tuyên truyền nâng cao nhận thức về an toàn thông tin cho người sử dụng.

6.1.3.3 Chấm dứt hoặc thay đổi công việc

a) Cán bộ chấm dứt hoặc thay đổi công việc phải thu hồi thẻ truy cập, thông tin được lưu trên các phương tiện lưu trữ, các trang thiết bị máy móc, phần cứng, phần mềm và các tài sản khác (nếu có) thuộc sở hữu của tổ chức;

b) Có quy trình và thực hiện vô hiệu hóa tất cả các quyền ra, vào, truy cập tài nguyên, quản trị hệ thống sau khi cán bộ thôi việc.

Theo đó, bảo đảm nguồn nhân lực đối với hệ thống thông tin cấp độ 2 đó là bảo đảm về việc tuyển dụng, trong quá trình làm việc và chấm dứt hoặc thay đổi công việc.

Hệ thống thông tin cấp độ 2 (Hình từ Internet)

Quy định về quản lý vận hành hệ thống thông tin cấp độ 2 như thế nào?

Căn cứ tại Mục 6.1.5 Tiêu chuẩn quốc gia TCVN 11930:2017 về Công nghệ thông tin - Các kỹ thuật an toàn - Yêu cầu cơ bản về an toàn hệ thống thông tin theo cấp độ quy định về quản lý vận hành hệ thống:

Quản lý vận hành hệ thống

6.1.5.1 Quản lý an toàn mạng

Chính sách, quy trình quản lý an toàn mạng bao gồm:

a) Quản lý, vận hành hoạt động bình thường của hệ thống;

b) Cập nhật; sao lưu dự phòng các tập tin cấu hình hệ thống và khôi phục hệ thống sau khi xảy ra sự cố;

c) Truy cập và quản lý cấu hình hệ thống.

6.1.5.2 Quản lý an toàn máy chủ và ứng dụng

Chính sách, quy trình quản lý an toàn máy chủ và ứng dụng bao gồm:

a) Quản lý, vận hành hoạt động bình thường của hệ thống máy chủ và dịch vụ;

b) Truy cập mạng của máy chủ;

c) Truy cập và quản trị máy chủ và ứng dụng;

d) Cập nhật; sao lưu dự phòng và khôi phục sau khi xảy ra sự cố.

6.1.5.3 Quản lý an toàn dữ liệu

Chính sách, quy trình quản lý an toàn dữ liệu bao gồm:

a) Chính sách, quy trình dự phòng và khôi phục dữ liệu;

b) Định kỳ hoặc khi có thay đổi cấu hình trên hệ thống thực hiện quy trình sao lưu dự phòng: tập tin cấu hình hệ thống, bản dự phòng hệ điều hành máy chủ, cơ sở dữ liệu; dữ liệu, thông tin nghiệp vụ.

6.1.5.4 Quản lý sự cố an toàn thông tin

Chính sách, quy trình quản lý sự cố an toàn thông tin bao gồm:

a) Phân nhóm sự cố an toàn thông tin mạng;

b) Phương án tiếp nhận, phát hiện, phân loại và xử lý ban đầu sự cố an toàn thông tin mạng;

c) Kế hoạch ứng phó sự cố an toàn thông tin mạng;

d) Giám sát, phát hiện và cảnh báo sự cố an toàn thông tin;

đ) Quy trình ứng cứu sự cố an toàn thông tin mạng thông thường;

e) Quy trình ứng cứu sự cố an toàn thông tin mạng nghiêm trọng;

g) Cơ chế phối hợp với cơ quan chức năng, các nhóm chuyên gia, bên cung cấp dịch vụ hỗ trợ trong việc xử lý, khắc phục sự cố an toàn thông tin.

6.1.5.5 Quản lý an toàn người sử dụng đầu cuối

Chính sách, quy trình quản lý an toàn người sử dụng đầu cuối bao gồm:

a) Quản lý truy cập, sử dụng tài nguyên nội bộ;

b) Quản lý truy cập mạng và tài nguyên trên Internet.

Như vậy, quản lý vận hành hệ thống thông tin cấp độ 2 bao gồm:

- Quản lý an toàn mạng

- Quản lý an toàn máy chủ và ứng dụng

- Quản lý an toàn dữ liệu

- Quản lý sự cố an toàn thông tin

- Quản lý an toàn người sử dụng đầu cuối.

Việc xác thực trong bảo đảm an toàn máy chủ và bảo đảm an toàn ứng dụng trong hệ thống thông tin cấp độ 2 phải tuân thủ các yêu cầu ra sao?

Cụ thể về xác thực trong bảo đảm an toàn máy chủ và trong bảo đảm an toàn ứng dụng được nêu tại Mục 6.2.2 Tiêu chuẩn quốc gia TCVN 11930:2017 về Công nghệ thông tin - Các kỹ thuật an toàn - Yêu cầu cơ bản về an toàn hệ thống thông tin theo cấp độ quy định:

6.2.2 Bảo đảm an toàn máy chủ

6.2.2.1 Xác thực

a) Thiết lập chính sách xác thực trên máy chủ để xác thực người dùng khi truy cập, quản lý và sử dụng máy chủ;

b) Thay đổi các tài khoản mặc định trên hệ thống hoặc vô hiệu hóa (nếu không sử dụng);

c) Thiết lập cấu hình máy chủ để đảm bảo an toàn mật khẩu người sử dụng, bao gồm các yêu cầu sau:

- Yêu cầu thay đổi mật khẩu mặc định;

- Thiết lập quy tắc đặt mật khẩu về số ký tự, loại ký tự;

- Thiết lập thời gian yêu cầu thay đổi mật khẩu;

- Thiết lập thời gian mật khẩu hợp lệ.

...

6.2.3 Bảo đảm an toàn ứng dụng

6.2.3.1 Xác thực

a) Thiết lập cấu hình ứng dụng để xác thực người sử dụng khi truy cập, quản trị, cấu hình ứng dụng;

b) Lưu trữ có mã hóa thông tin xác thực hệ thống;

c) Thiết lập cấu hình ứng dụng để đảm bảo an toàn mật khẩu người sử dụng, bao gồm các yêu cầu sau:

- Yêu cầu thay đổi mật khẩu mặc định;

- Thiết lập quy tắc đặt mật khẩu về số ký tự, loại ký tự;

- Thiết lập thời gian yêu cầu thay đổi mật khẩu;

- Thiết lập thời gian mật khẩu hợp lệ.

d) Hạn chế số lần đăng nhập sai trong khoảng thời gian nhất định với tài khoản nhất định