Đối với hệ thống thông tin cấp độ 3, kiểm soát truy cập trong bảo đảm an toàn máy chủ và bảo đảm an toàn ứng dụng phải tuân thủ như thế nào?

Chính sách và quy trình quản lý an toàn mạng trong hệ thống thông tin cấp độ 3 quy định ra sao? Đối với hệ thống thông tin cấp độ 3, kiểm soát truy cập trong bảo đảm an toàn máy chủ và bảo đảm an toàn ứng dụng phải tuân thủ như thế nào? Tổ chức bảo đảm an toàn thông tin phải đảm bảo các yêu cầu ra sao? Anh Khánh Đặng (Hòa Bình) đặt câu hỏi.

Chính sách và quy trình quản lý an toàn mạng trong hệ thống thông tin cấp độ 3 quy định ra sao?

Tại Mục 7.1.5.1 Tiêu chuẩn quốc gia TCVN 11930:2017 quy định về quản lý an toàn mạng thực hiện theo các chính sách, quy trình quản lý an toàn mạng sau:

- Quản lý, vận hành hoạt động bình thường của hệ thống;

- Cập nhật, sao lưu dự phòng và khôi phục hệ thống sau khi xảy ra sự cố;

- Truy cập và quản lý cấu hình hệ thống;

- Cấu hình tối ưu, tăng cường bảo mật cho thiết bị hệ thống (cứng hóa) trước khi đưa vào vận hành, khai thác.

Hệ thống thông tin cấp độ 3

Hệ thống thông tin cấp độ 3 (Hình từ Internet)

Đối với hệ thống thông tin cấp độ 3, kiểm soát truy cập trong bảo đảm an toàn máy chủ và bảo đảm an toàn ứng dụng phải tuân thủ như thế nào?

Theo Mục 7.2.2.2 và Mục 7.2.3.2 Tiêu chuẩn quốc gia TCVN 11930:2017 quy định thì:

Bảo đảm an toàn máy chủ
...
7.2.2.2 Kiểm soát truy cập
a) Thiết lập hệ thống chỉ cho phép sử dụng các kết nối mạng an toàn khi truy cập, quản trị máy chủ từ xa;
b) Thiết lập giới hạn thời gian chờ (timeout) để đóng phiên kết nối khi máy chủ không nhận được yêu cầu từ người dùng;
c) Thay đổi cổng quản trị mặc định của máy chủ;
d) Giới hạn địa chỉ mạng được phép truy cập, quản trị máy chủ từ xa.
...
7.2.3 Bảo đảm an toàn ứng dụng
...
7.2.3.2 Kiểm soát truy cập
a) Thiết lập hệ thống chỉ cho phép sử dụng các kết nối mạng an toàn khi truy cập, quản trị ứng dụng từ xa;
b) Thiết lập giới hạn thời gian chờ (timeout) để đóng phiên kết nối khi ứng dụng không nhận được yêu cầu từ người dùng;
c) Giới hạn địa chỉ mạng quản trị được phép truy cập, quản trị ứng dụng từ xa;
d) Phân quyền truy cập, quản trị, sử dụng tài nguyên khác nhau của ứng dụng với người sử dụng/ nhóm người sử dụng có chức năng, yêu cầu nghiệp vụ khác nhau;
đ) Giới hạn số lượng các kết nối đồng thời (kết nối khởi tạo và đã thiết lập) đối với các ứng dụng, dịch vụ máy chủ cung cấp.

Theo đó, cần nắm rõ các quy định về kiểm soát truy cập trong bảo đảm an toàn máy chủ và bảo đảm an toàn ứng dụng đối với hệ thống thông tin cấp độ 3.

Quy định về tổ chức bảo đảm an toàn thông tin đối với hệ thống thông tin cấp độ 3 ra sao?

Theo Mục 7.1.2 Tiêu chuẩn quốc gia TCVN 11930:2017, tổ chức bảo đảm an toàn thông tin được quy định như sau:

Tổ chức bảo đảm an toàn thông tin
7.1.2.1 Đơn vị chuyên trách về an toàn thông tin
a) Thành lập hoặc chỉ định đơn vị/bộ phận chuyên trách về an toàn thông tin trong tổ chức;
b) Phân định vai trò, trách nhiệm, cơ chế phối hợp của các bộ phận, cán bộ trong đơn vị chuyên trách về an toàn thông tin.
7.1.2.2 Phối hợp với những cơ quan/tổ chức có thẩm quyền
a) Có đầu mối liên hệ, phối hợp với các cơ quan, tổ chức có thẩm quyền quản lý về an toàn thông tin;
b) Có đầu mối liên hệ, phối hợp với các cơ quan, tổ chức trong công tác hỗ trợ điều phối xử lý sự cố an toàn thông tin;
c) Tham gia các hoạt động, công tác bảo đảm an toàn thông tin khi có yêu cầu của tổ chức có thẩm quyền.
7.1.3 Bảo đảm nguồn nhân lực
7.1.3.1 Tuyển dụng
a) Cán bộ được tuyển dụng vào vị trí làm về an toàn thông tin có trình độ, chuyên ngành về lĩnh vực công nghệ thông tin, an toàn thông tin, phù hợp với vị trí tuyển dụng;
b) Có quy định, quy trình tuyển dụng cán bộ và điều kiện tuyển dụng cán bộ.
7.1.3.2 Trong quá trình làm việc
a) Có quy định về việc thực hiện nội quy, quy chế bảo đảm an toàn thông tin cho người sử dụng, cán bộ quản lý và vận hành hệ thống;
b) Có kế hoạch và định kỳ hàng năm tổ chức phổ biến, tuyên truyền nâng cao nhận thức về an toàn thông tin cho người sử dụng;
c) Định kỳ hàng năm, tổ chức đào tạo các kỹ năng cơ bản về an toàn thông tin cho người sử dụng.
7.1.3.3 Chấm dứt hoặc thay đổi công việc
a) Cán bộ chấm dứt hoặc thay đổi công việc phải thu hồi thẻ truy cập, thông tin được lưu trên các phương tiện lưu trữ, các trang thiết bị máy móc, phần cứng, phần mềm và các tài sản khác (nếu có) thuộc sở hữu của tổ chức;
b) Có quy trình và thực hiện vô hiệu hóa tất cả các quyền ra, vào, truy cập tài nguyên, quản trị hệ thống sau khi cán bộ thôi việc;
c) Có cam kết giữ bí mật thông tin liên quan đến tổ chức sau khi nghỉ việc.
Hệ thống thông tin
Căn cứ pháp lý
MỚI NHẤT
Thư viện nhà đất
Đã có Nghị định 111/2024/NĐ-CP quy định hệ thống thông tin, Cơ sở dữ liệu quốc gia về hoạt động xây dựng?
Pháp luật
Hệ thống thông tin xét duyệt cho thuê tài chính bằng phương tiện điện tử phải bảo đảm an toàn hệ thống thông tin cấp độ mấy?
Pháp luật
Các thông tin an toàn thông tin mạng tối thiểu cần thu thập và cung cấp đối với hệ thống thông tin cấp độ 3 trở lên bao gồm những gì?
Pháp luật
Giám sát an toàn hệ thống thông tin được thực hiện thông qua phương thức giám sát trực tiếp đúng không?
Pháp luật
Hệ thống thông tin quan trọng về an ninh quốc gia là gì? Việc kiểm tra, giám sát an ninh mạng đối với hệ thống thông tin quan trọng về an ninh quốc gia được quy định như thế nào?
Pháp luật
Dữ liệu nhật ký của các hệ thống thông tin từ cấp độ 3 trở lên trong hoạt động ngân hàng được lưu trực tuyến bao nhiêu tháng?
Pháp luật
Hệ thống thông tin phục vụ khách hàng không yêu cầu vận hành 24/7 trong hoạt động ngân hàng là hệ thống thông tin cấp mấy?
Pháp luật
4 nguyên nhân dẫn đến việc chưa tuân thủ quy định của pháp luật về bảo đảm an toàn hệ thống thông tin theo cấp độ là gì?
Pháp luật
Chậm nhất tháng 9/2024 100% hệ thống thông tin đang vận hành phải được phê duyệt cấp độ an toàn hệ thống thông tin?
Pháp luật
Sổ tay hướng dẫn tuân thủ quy định pháp luật và tăng cường bảo đảm an toàn hệ thống thông tin theo cấp độ do ai ban hành?
Pháp luật
Chủ quản hệ thống thông tin theo cấp độ cho Trung tâm dữ liệu điện tử Bộ Tư pháp là những cơ quan nào?
Đặt câu hỏi

Quý khách cần hỏi thêm thông tin về có thể đặt câu hỏi tại đây.

Đi đến trang Tìm kiếm nội dung Tư vấn pháp luật - Hệ thống thông tin
8,163 lượt xem

TÌM KIẾM LIÊN QUAN
Hệ thống thông tin

TÌM KIẾM VĂN BẢN
Xem toàn bộ văn bản về Hệ thống thông tin

Chủ quản: Công ty THƯ VIỆN PHÁP LUẬT. Giấy phép số: 27/GP-TTĐT, do Sở TTTT TP. HCM cấp ngày 09/05/2019.
Chịu trách nhiệm chính: Ông Bùi Tường Vũ - Số điện thoại liên hệ: 028 3930 3279
Địa chỉ: P.702A , Centre Point, 106 Nguyễn Văn Trỗi, P.8, Q. Phú Nhuận, TP. HCM;
Địa điểm Kinh Doanh: Số 17 Nguyễn Gia Thiều, P. Võ Thị Sáu, Q3, TP. HCM;
Chứng nhận bản quyền tác giả số 416/2021/QTG ngày 18/01/2021, cấp bởi Bộ Văn hoá - Thể thao - Du lịch
Thông báo
Bạn không có thông báo nào