Đối với hệ thống thông tin cấp độ 3 thì định kỳ bao lâu phải rà soát thay đổi chính sách an toàn thông tin?

Tôi cần một vài thông tin về yêu cầu cơ bản cho hệ thống thông tin cấp độ 3, cụ thể thì định kỳ bao lâu phải rà soát thay đổi chính sách an toàn thông tin? Chính sách, quy trình quản lý điểm yếu an toàn thông tin và sự cố an toàn thông tin quy định ra sao? Và đối với thiết kế hệ thống, nhật ký hệ thống gồm các nội dung gì? Anh Xuân Hưng (Quảng Ngãi) đặt câu hỏi.

Đối với hệ thống thông tin cấp độ 3, định kỳ bao lâu phải rà soát thay đổi chính sách an toàn thông tin?

Theo quy định tại Mục 7.1.1 Tiêu chuẩn quốc gia TCVN 11930:2017 có quy định về thiết lập chính sách an toàn thông tin đối với hệ thống tin cấp độ 3 như sau:

Thiết lập chính sách an toàn thông tin
7.1.1.1 Chính sách an toàn thông tin
Xây dựng chính sách an toàn thông tin, bao gồm:
a) Xác định các mục tiêu, nguyên tắc bảo đảm an toàn thông tin;
b) Xác định trách nhiệm của đơn vị chuyên trách về an toàn thông tin, các cán bộ làm về an toàn thông tin và các đối tượng thuộc phạm vi điều chỉnh của chính sách an toàn thông tin;
c) Xác định phạm vi chính sách an toàn thông tin bao gồm:
- Phạm vi quản lý về vật lý và logic của tổ chức;
- Các ứng dụng, dịch vụ hệ thống cung cấp;
- Nguồn nhân lực bảo đảm an toàn thông tin.
d) Xây dựng chính sách an toàn thông tin bao gồm:
- Quản lý an toàn mạng;
- Quản lý an toàn máy chủ và ứng dụng;
- Quản lý an toàn dữ liệu;
- Quản lý an toàn thiết bị đầu cuối;
- Quản lý phòng chống phần mềm độc hại;
- Quản lý điểm yếu an toàn thông tin;
- Quản lý giám sát an toàn hệ thống thông tin;
- Quản lý an toàn người sử dụng đầu cuối.
7.1.1.2 Xây dựng và công bố
a) Chính sách được tổ chức/bộ phận được ủy quyền thông qua trước khi công bố áp dụng;
b) Chính sách được công bố trước khi áp dụng.
7.1.1.3 Rà soát, sửa đổi
Định kỳ 02 năm hoặc khi có thay đổi chính sách an toàn thông tin kiểm tra lại tính phù hợp và thực hiện rà soát, cập nhật, bổ sung.

Như vậy, định kỳ 02 năm hoặc khi có thay đổi chính sách an toàn thông tin kiểm tra lại tính phù hợp và thực hiện rà soát, cập nhật, bổ sung trong hệ thống thông tin cấp độ 3.

hệ thống thông tin cấp độ 3

Hệ thống thông tin cấp độ 3 (Hình từ Internet)

Chính sách, quy trình quản lý điểm yếu an toàn thông tin và sự cố an toàn thông tin quy định ra sao?

Cụ thể theo Mục 7.1.5.7, Mục 7.1.5.8 Tiêu chuẩn quốc gia TCVN 11930:2017 quy định thì:

7.1.5.7 Quản lý điểm yếu an toàn thông tin
Chính sách, quy trình quản lý điểm yếu an toàn thông tin bao gồm:
a) Quản lý thông tin các thành phần có trong hệ thống có khả năng tồn tại điểm yếu an toàn thông tin: thiết bị hệ thống, hệ điều hành, máy chủ, ứng dụng, dịch vụ và các thành phần khác (nếu có);
b) Quản lý, cập nhật nguồn cung cấp điểm yếu an toàn thông tin; phân nhóm và mức độ của điểm yếu cho các thành phần trong hệ thống đã xác định;
c) Cơ chế phối hợp với các nhóm chuyên gia, bên cung cấp dịch vụ hỗ trợ trong việc xử lý, khắc phục điểm yếu an toàn thông tin;
d) Kiểm tra, đánh giá và xử lý điểm yếu an toàn thông tin cho thiết bị hệ thống, máy chủ, dịch vụ trước khi đưa vào sử dụng;
đ) Định kỳ kiểm tra, đánh giá điểm yếu an toàn thông tin cho toàn bộ hệ thống thông tin; Thực hiện quy trình kiểm tra, đánh giá, xử lý điểm yếu an toàn thông tin khi có thông tin hoặc nhận được cảnh báo về điểm yếu an toàn thông tin đối với thành phần cụ thể trong hệ thống.
7.1.5.8 Quản lý sự cố an toàn thông tin
Chính sách, quy trình quản lý sự cố an toàn thông tin bao gồm:
a) Phân nhóm sự cố an toàn thông tin mạng;
b) Phương án tiếp nhận, phát hiện, phân loại và xử lý ban đầu sự cố an toàn thông tin mạng;
c) Kế hoạch ứng phó sự cố an toàn thông tin mạng;
d) Giám sát, phát hiện và cảnh báo sự cố an toàn thông tin;
đ) Quy trình ứng cứu sự cố an toàn thông tin mạng thông thường;
e) Quy trình ứng cứu sự cố an toàn thông tin mạng nghiêm trọng;
g) Cơ chế phối hợp với cơ quan chức năng, các nhóm chuyên gia, bên cung cấp dịch vụ hỗ trợ trong việc xử lý, khắc phục sự cố an toàn thông tin;
h) Định kỳ tổ chức diễn tập phương án xử lý sự cố an toàn thông tin.

Thiết kế hệ thống, nhật ký hệ thống của hệ thống thông tin cấp độ 3 gồm các nội dung gì?

Về thiết kế hệ thống, nhật ký hệ thống của hệ thống thông tin cấp độ 3 được nêu rõ tại Mục 7.2.1.1, Mục 7.2.1.4 Tiêu chuẩn quốc gia TCVN 11930:2017 như sau:

7.2.1.1 Thiết kế hệ thống
a) Thiết kế các vùng mạng trong hệ thống theo chức năng, các vùng mạng tối thiểu bao gồm:
- Vùng mạng nội bộ;
- Vùng mạng biên;
- Vùng DMZ;
- Vùng máy chủ nội bộ;
- Vùng mạng không dây (nếu có) tách riêng, độc lập với các vùng mạng khác;
- Vùng mạng máy chủ cơ sở dữ liệu;
- Vùng quản trị;
b) Phương án thiết kế bảo đảm các yêu cầu sau:
- Có phương án quản lý truy cập, quản trị hệ thống từ xa an toàn;
- Có phương án quản lý truy cập giữa các vùng mạng và phòng chống xâm nhập;
- Có phương án cân bằng tải và dự phòng nóng cho các thiết bị mạng chính;
- Có phương án bảo đảm an toàn cho máy chủ cơ sở dữ liệu;
- Có phương án chặn lọc phần mềm độc hại trên môi trường mạng;
- Có phương án phòng chống tấn công từ chối dịch vụ;
- Có phương án giám sát hệ thống thông tin tập trung;
- Có phương án giám sát an toàn hệ thống thông tin tập trung;
- Có phương án quản lý sao lưu dự phòng tập trung;
- Có phương án quản lý phần mềm phòng chống mã độc trên các máy chủ/máy tính người dùng tập trung;
- Có phương án phòng, chống thất thoát dữ liệu;
- Có phương án dự phòng kết nối mạng Internet cho các máy chủ dịch vụ;
- Có phương án bảo đảm an toàn cho mạng không dây (nếu có).
...
7.2.1.4 Nhật ký hệ thống
a) Thiết lập chức năng ghi, lưu trữ nhật ký hệ thống trên các thiết bị hệ thống (nếu hỗ trợ), bao gồm các thông tin sau;
- Thời gian kết nối;
- Thông tin kết nối mạng (địa chỉ IP, cổng kết nối);
- Hành động đối với kết nối (cho phép, ngăn chặn);
- Thông tin các thiết bị đầu cuối kết nối vào hệ thống theo địa chỉ vật lý và logic;
- Thông tin cảnh báo từ các thiết bị;
- Thông tin hiệu năng hoạt động của thiết bị và tài nguyên mạng.
b) Sử dụng máy chủ thời gian trong hệ thống để đồng bộ thời gian giữa các thiết bị mạng, thiết bị đầu cuối và các thành phần khác trong hệ thống tham gia hoạt động giám sát;
c) Lưu trữ và quản lý tập trung nhật ký hệ thống thu thập được từ các thiết bị hệ thống;
đ) Lưu trữ nhật ký hệ thống của thiết bị tối thiểu 03 tháng.

Theo đó, cần đảm bảo có đầy đủ các nội dung theo quy định tại Mục 7.2.1.1 về thiết kế hệ thống và tại Mục 7.2.1.4 về nhật ký hệ thống.

Hệ thống thông tin
Căn cứ pháp lý
MỚI NHẤT
Thư viện nhà đất
Đã có Nghị định 111/2024/NĐ-CP quy định hệ thống thông tin, Cơ sở dữ liệu quốc gia về hoạt động xây dựng?
Pháp luật
Hệ thống thông tin xét duyệt cho thuê tài chính bằng phương tiện điện tử phải bảo đảm an toàn hệ thống thông tin cấp độ mấy?
Pháp luật
Các thông tin an toàn thông tin mạng tối thiểu cần thu thập và cung cấp đối với hệ thống thông tin cấp độ 3 trở lên bao gồm những gì?
Pháp luật
Giám sát an toàn hệ thống thông tin được thực hiện thông qua phương thức giám sát trực tiếp đúng không?
Pháp luật
Hệ thống thông tin quan trọng về an ninh quốc gia là gì? Việc kiểm tra, giám sát an ninh mạng đối với hệ thống thông tin quan trọng về an ninh quốc gia được quy định như thế nào?
Pháp luật
Dữ liệu nhật ký của các hệ thống thông tin từ cấp độ 3 trở lên trong hoạt động ngân hàng được lưu trực tuyến bao nhiêu tháng?
Pháp luật
Hệ thống thông tin phục vụ khách hàng không yêu cầu vận hành 24/7 trong hoạt động ngân hàng là hệ thống thông tin cấp mấy?
Pháp luật
4 nguyên nhân dẫn đến việc chưa tuân thủ quy định của pháp luật về bảo đảm an toàn hệ thống thông tin theo cấp độ là gì?
Pháp luật
Chậm nhất tháng 9/2024 100% hệ thống thông tin đang vận hành phải được phê duyệt cấp độ an toàn hệ thống thông tin?
Pháp luật
Sổ tay hướng dẫn tuân thủ quy định pháp luật và tăng cường bảo đảm an toàn hệ thống thông tin theo cấp độ do ai ban hành?
Pháp luật
Chủ quản hệ thống thông tin theo cấp độ cho Trung tâm dữ liệu điện tử Bộ Tư pháp là những cơ quan nào?
Đặt câu hỏi

Quý khách cần hỏi thêm thông tin về có thể đặt câu hỏi tại đây.

Đi đến trang Tìm kiếm nội dung Tư vấn pháp luật - Hệ thống thông tin
7,569 lượt xem
TÌM KIẾM LIÊN QUAN
Hệ thống thông tin

TÌM KIẾM VĂN BẢN
Xem toàn bộ văn bản về Hệ thống thông tin

Chủ quản: Công ty THƯ VIỆN PHÁP LUẬT. Giấy phép số: 27/GP-TTĐT, do Sở TTTT TP. HCM cấp ngày 09/05/2019.
Chịu trách nhiệm chính: Ông Bùi Tường Vũ - Số điện thoại liên hệ: 028 3930 3279
Địa chỉ: P.702A , Centre Point, 106 Nguyễn Văn Trỗi, P.8, Q. Phú Nhuận, TP. HCM;
Địa điểm Kinh Doanh: Số 17 Nguyễn Gia Thiều, P. Võ Thị Sáu, Q3, TP. HCM;
Chứng nhận bản quyền tác giả số 416/2021/QTG ngày 18/01/2021, cấp bởi Bộ Văn hoá - Thể thao - Du lịch
Thông báo
Bạn không có thông báo nào