|
BẢO HIỂM XÃ HỘI VIỆT NAM
-------
|
CỘNG HÒA XÃ HỘI
CHỦ NGHĨA VIỆT NAM
Độc lập - Tự do - Hạnh phúc
---------------
|
|
Số: 1668/QĐ-BHXH
|
Hà Nội, ngày 20
tháng 11 năm 2023
|
QUYẾT ĐỊNH
BAN HÀNH QUY CHẾ BẢO ĐẢM AN TOÀN HỆ THỐNG THÔNG TIN THEO CẤP
ĐỘ NGÀNH BẢO HIỂM XÃ HỘI VIỆT NAM
TỔNG GIÁM ĐỐC BẢO HIỂM XÃ HỘI VIỆT NAM
Căn cứ Luật Công nghệ thông
tin ngày 29 tháng 6 năm 2006;
Căn cứ Luật An toàn thông
tin mạng ngày 19 tháng 11 năm 2015;
Căn cứ Luật An ninh mạng
ngày 12 tháng 6 năm 2018;
Căn cứ Nghị định số
64/2007/NĐ-CP ngày 10 tháng 4 năm 2007 của Chính phủ về ứng dụng Công nghệ
thông tin trong hoạt động của cơ quan nhà nước;
Căn cứ Nghị định số
85/2016/NĐ-CP ngày 01 tháng 7 năm 2016 của Chính phủ về bảo đảm an toàn hệ thống
thông tin theo cấp độ;
Căn cứ Nghị định
89/2020/NĐ-CP ngày 04 tháng 8 năm 2020 của Chính phủ quy định chức năng, nhiệm
vụ, quyền hạn và cơ cấu tổ chức của Bảo hiểm xã hội Việt Nam;
Căn cứ Quyết định số
05/2017/QĐ-TTg ngày ngày 16 tháng 3 năm 2017 của Thủ tướng Chính phủ ban hành
quy định về hệ thống phương án ứng cứu khẩn cấp bảo đảm an toàn thông tin mạng
quốc gia;
Căn cứ Thông tư số
20/2017/TT-BTTTT ngày 12 tháng 9 năm 2017 của Bộ trưởng Bộ Thông tin và Truyền
thông quy định về điều phối, ứng cứu sự cố an toàn thông tin mạng trên toàn quốc;
Căn cứ Thông tư số
31/2017/TT-BTTTT ngày 15 tháng 11 năm 2017 của Bộ trưởng Bộ Thông tin và Truyền
thông quy định hoạt động giám sát an toàn hệ thống thông tin;
Căn cứ Thông tư số 12/2022/TT-BTTTT
ngày 12 tháng 8 năm 2022 của Bộ trưởng Bộ Thông tin và Truyền thông quy định
chi tiết và hướng dẫn một số điều của Nghị định số 85/2016/NĐ-CP ngày 01 tháng
7 năm 2016 của Chính phủ về bảo đảm an toàn hệ thống thông tin theo cấp độ;
Căn cứ Quyết định số
345/QĐ-BHXH ngày 09 tháng 4 năm 2021 của Tổng Giám đốc Bảo hiểm xã hội Việt Nam
thành lập đội ứng cứu sự cố, bảo đảm an toàn thông tin mạng ngành Bảo hiểm xã hội
Việt Nam;
Căn cứ Quyết định số
861/QĐ-BHXH ngày 01 tháng 9 năm 2021 của Tổng Giám đốc Bảo hiểm xã hội Việt Nam
thành lập Ban chỉ đạo chuyển đổi số ngành Bảo hiểm xã hội Việt Nam; Quyết định
số 608/QĐ-BHXH ngày 28/3/2022 của Tổng Giám đốc Bảo hiểm xã hội Việt Nam sửa đổi,
bổ sung Quyết định số 861/QĐ-BHXH ngày 01/9/2021 của Tổng Giám đốc Bảo hiểm xã
hội Việt Nam về việc thành lập Ban chỉ đạo chuyển đổi số ngành Bảo hiểm xã hội
Việt Nam;
Căn cứ Quyết định số
2358/QĐ-BHXH ngày 19 tháng 9 năm 2022 của Tổng Giám đốc Bảo hiểm xã hội Việt
Nam phê duyệt kiến trúc Chính phủ điện tử ngành Bảo hiểm xã hội Việt Nam, phiên
bản 2.0;
Căn cứ Kế hoạch số
3280/KH-BHXH ngày 29 tháng 8 năm 2018 của Bảo hiểm xã hội Việt Nam ứng phó sự cố
bảo đảm an toàn thông tin mạng trong ngành Bảo hiểm xã hội Việt Nam;
Theo đề nghị của Giám đốc
Trung tâm Công nghệ thông tin.
QUYẾT ĐỊNH:
Điều 1. Ban
hành kèm theo Quyết định này Quy chế bảo đảm an toàn hệ thống thông tin theo cấp
độ ngành Bảo hiểm xã hội Việt Nam.
Điều 2.
Quyết định này có hiệu lực thi hành kể từ ngày ký,
thay thế Điều 11, Khoản 4 Điều 15 Quyết định 967/QĐ-BHXH
ngày 20/6/2017 của Tổng Giám đốc Bảo hiểm xã hội
Việt Nam ban hành Quy chế Bảo đảm an toàn thông tin trong ứng dụng công nghệ
thông tin của ngành Bảo hiểm xã hội và các quy định khác của Bảo hiểm xã hội Việt
Nam có liên quan trái với quy định tại Quy chế kèm theo quyết định này.
Điều 3. Giám
đốc Trung tâm Công nghệ thông tin, Chánh Văn phòng Bảo hiểm xã hội Việt Nam, Thủ
trưởng các đơn vị trực thuộc Bảo hiểm xã hội Việt Nam, Giám đốc Bảo hiểm xã hội
các tỉnh, thành phố trực thuộc Trung ương và các tổ chức, cá nhân có liên quan
chịu trách nhiệm thi hành Quyết định này./.
|
Nơi nhận:
- Như điều 3;
- Tổng Giám đốc;
- Các Phó Tổng Giám đốc;
- Lưu: VT, CNTT.
|
TỔNG GIÁM ĐỐC
Nguyễn Thế Mạnh
|
QUY CHẾ
BẢO ĐẢM AN TOÀN HỆ THỐNG THÔNG TIN THEO CẤP ĐỘ NGÀNH BẢO HIỂM
XÃ HỘI VIỆT NAM
(Ban hành kèm theo Quyết định số /QĐ-BHXH ngày
tháng năm 2023 của Tổng Giám đốc Bảo hiểm xã hội Việt
Nam)
Chương I
QUY ĐỊNH CHUNG
Điều 1.
Phạm vi điều chỉnh và đối tượng áp dụng
1. Phạm vi điều chỉnh
Quy chế này quy định chính sách
quản lý và phương án nhằm bảo đảm an toàn hệ thống thông tin theo cấp độ ngành
Bảo hiểm xã hội (BHXH) Việt Nam bao gồm: xác định cấp độ và yêu cầu bảo đảm an
toàn hệ thống thông tin theo cấp độ, bảo đảm an toàn thông tin (ATTT) trong quản
lý thiết kế, xây dựng hệ thống; bảo đảm ATTT trong quản lý vận hành hệ thống;
phương án bảo đảm ứng cứu sự cố ATTT mạng.
2. Đối tượng áp dụng
a) Các đơn vị và công chức,
viên chức, lao động hợp đồng (CCVC) thuộc BHXH Việt Nam, BHXH các tỉnh, thành
phố tham gia quản lý, vận hành, duy trì, phát triển và bảo đảm ATTT phục vụ hoạt
động của các hệ thống thông tin thuộc ngành BHXH Việt Nam;
b) Các tổ chức, cá nhân có kết
nối, sử dụng hệ thống thông tin của ngành BHXH Việt Nam;
c) Các tổ chức, cá nhân cung cấp
dịch vụ quản lý, vận hành, duy trì, phát triển và bảo đảm ATTT phục vụ hoạt động
của các hệ thống thông tin thuộc ngành BHXH Việt Nam.
Điều 2.
Giải thích từ ngữ
1. Chủ quản hệ thống thông tin
là BHXH Việt Nam.
2. Ban Chỉ đạo ứng cứu khẩn cấp
sự cố ATTT mạng là Ban chỉ đạo chuyển đổi số ngành BHXH Việt Nam đảm nhiệm chức
năng chỉ đạo ứng cứu khẩn cấp sự cố ATTT mạng trong ngành BHXH (sau đây gọi là
Ban Chỉ đạo ngành BHXH Việt Nam).
3. Đơn vị chuyên trách về ứng cứu
sự cố ATTT mạng là Trung tâm Công nghệ thông tin trực thuộc BHXH Việt Nam, bộ
phận chuyên trách về ứng cứu sự cố ATTT mạng tại Văn phòng BHXH Việt Nam, các
đơn vị trực thuộc BHXH Việt Nam và BHXH các tỉnh, thành phố (sau đây gọi là Đơn
vị chuyên trách ứng cứu sự cố).
4. Đội ứng cứu sự cố ATTT mạng
do Trung tâm Công nghệ thông tin trình BHXH Việt Nam quyết định thành lập, bao
gồm các cá nhân liên quan đến ATTT của các Đơn vị vận hành hệ thống thông tin
tham gia (sau đây gọi là Đội ứng cứu sự cố).
5. Cơ quan thường trực về ứng cứu
khẩn cấp bảo đảm ATTT mạng quốc gia là Bộ Thông tin và Truyền thông (sau đây gọi
là Cơ quan thường trực quốc gia).
6. Cơ quan điều phối quốc gia
là Trung tâm Ứng cứu khẩn cấp không gian mạng Việt Nam thuộc Bộ Thông tin và
Truyền thông.
7. Ban Chỉ đạo quốc gia về ứng
cứu khẩn cấp bảo đảm ATTT mạng là Ban Chỉ đạo ATTT quốc gia đảm nhiệm chức năng
chỉ đạo ứng cứu khẩn cấp bảo đảm ATTT mạng (sau đây gọi là Ban Chỉ đạo quốc
gia).
8. Đơn vị vận hành hệ thống
thông tin là Trung tâm Công nghệ thông tin, Văn phòng BHXH Việt Nam, các đơn vị
trực thuộc BHXH Việt Nam và BHXH các tỉnh, thành phố được giao nhiệm vụ vận
hành hệ thống thông tin trong phạm vi quản lý.
9. Đơn vị chuyên trách về công
nghệ thông tin là Trung tâm Công nghệ thông tin trực thuộc BHXH Việt Nam.
10. Đơn vị chuyên trách về ATTT
là Trung tâm Công nghệ thông tin trực thuộc BHXH Việt Nam, bộ phận chuyên trách
về ATTT tại Văn phòng BHXH Việt Nam, các đơn vị trực thuộc BHXH Việt Nam và
BHXH các tỉnh, thành phố.
11. An toàn thông tin mạng là sự
bảo vệ thông tin, hệ thống thông tin trên mạng tránh bị truy nhập, sử dụng, tiết
lộ, gián đoạn, sửa đổi hoặc phá hoại trái phép nhằm bảo đảm tính nguyên vẹn,
tính bảo mật và tính khả dụng của thông tin.
12. An toàn dữ liệu là tập hợp
các biện pháp quản lý và kỹ thuật nhằm bảo đảm tính bí mật, tính nguyên vẹn và
khả dụng của thông tin, dữ liệu trong quá trình lưu trữ, xử lý, truy cập và
trao đổi dữ liệu qua môi trường mạng.
13. An toàn mạng là tập hợp các
biện pháp quản lý và kỹ thuật nhằm bảo đảm an toàn hạ tầng mạng (bao gồm: đường
truyền kết nối, thiết bị mạng, thiết bị bảo mật, thiết bị phụ trợ và các thành
phần khác nếu có) trong quá trình thiết lập, quản lý, vận hành.
14. An toàn máy chủ là tập hợp
các biện pháp quản lý và kỹ thuật nhằm bảo đảm an toàn cho máy chủ trong quá
trình thiết lập, quản lý, vận hành và gỡ bỏ.
15. An toàn ứng dụng là tập hợp
các biện pháp quản lý và kỹ thuật nhằm bảo đảm an toàn các ứng dụng, dịch vụ
cung cấp bởi hệ thống trong quá trình thiết lập, quản lý, vận hành.
16. Chính sách ATTT là tập hợp
các quy định, quy tắc, quy trình quản lý, khai thác, vận hành và sử dụng hệ thống
thông tin nhằm bảo đảm ATTT.
17. Điểm yếu ATTT là lỗi tồn tại
trên sản phẩm phần cứng, phần mềm, dịch vụ hoặc hệ thống trong quá trình phát
triển, cài đặt và thiết lập, có thể gây ra nguy cơ mất an toàn cho hệ thống
thông tin khi bị tin tặc khai thác.
18. Dữ liệu quan trọng là dữ liệu
trong hệ thống, được cơ quan, tổ chức xác định là quan trọng, cần được ưu tiên
bảo vệ. Dữ liệu quan trọng bao gồm: thông tin nghiệp vụ, thông tin bí mật nhà
nước, thông tin riêng và các loại thông tin quan trọng khác (nếu có).
19. Giám sát an toàn hệ thống
thông tin là hoạt động lựa chọn đối tượng, công cụ giám sát, thu thập, phân
tích thông tin trạng thái của đối tượng giám sát, báo cáo, cảnh báo hành vi xâm
phạm ATTT hoặc có khả năng gây ra sự cố ATTT đối với hệ thống thông tin.
20. Giám sát hệ thống thông tin
là biện pháp giám sát, theo dõi trạng thái hoạt động của hệ thống để phát hiện,
cảnh báo sớm các sự cố có thể gây gián đoạn hoạt động của hệ thống và làm mất
tính khả dụng của hệ thống thông tin.
21. Hệ thống thông tin là tập hợp
phần cứng, phần mềm và cơ sở dữ liệu được thiết lập phục vụ mục đích tạo lập,
cung cấp, truyền đưa, thu thập, xử lý, lưu trữ và trao đổi thông tin trên mạng.
22. Xâm phạm ATTT mạng là hành
vi truy nhập, sử dụng, tiết lộ, làm gián đoạn, sửa đổi, phá hoại trái phép
thông tin, hệ thống thông tin.
23. Sự cố ATTT mạng là việc
thông tin, hệ thống thông tin bị gây nguy hại, ảnh hưởng tới tính nguyên vẹn,
tính bảo mật hoặc tính khả dụng.
24. Ứng cứu sự cố ATTT mạng là
hoạt động nhằm xử lý, khắc phục sự cố gây mất ATTT mạng gồm: theo dõi, thu thập,
phân tích, phát hiện, cảnh báo, điều tra, xác minh sự cố, ngăn chặn sự cố, khôi
phục dữ liệu và khôi phục hoạt động bình thường của hệ thống thông tin.
25. Nguy cơ mất ATTT là những
nhân tố bên trong hoặc bên ngoài có khả năng ảnh hưởng tới trạng thái ATTT.
26. Rủi ro ATTT mạng là những
nhân tố chủ quan hoặc khách quan có khả năng ảnh hưởng tới trạng thái ATTT mạng.
27. Đánh giá rủi ro ATTT là việc
xác định, phân tích nguy cơ mất ATTT có thể có và dự báo mức độ, phạm vi ảnh hưởng
và khả năng gây thiệt hại khi xảy ra sự cố mất ATTT.
28. Quản lý rủi ro ATTT là việc
thực hiện đánh giá rủi ro ATTT, xác định yêu cầu bảo vệ thông tin, hệ thống
thông tin và áp dụng giải pháp phòng, chống, giảm thiểu thiệt hại khi có sự cố
mất ATTT.
29. Dự phòng nóng là khả năng
thay thế chức năng của thiết bị khi xảy ra sự cố mà không làm gián đoạn hoạt động
của hệ thống.
30. Thiết bị mạng chính hoặc quan
trọng là các thiết bị trong hệ thống khi bị ngừng hoạt động mà không có kế hoạch
trước sẽ làm gián đoạn hoạt động của toàn bộ hệ thống thông tin. Thành phần thiết
bị mạng chính được xác định theo cấp độ của hệ thống thông tin, bao gồm tối thiểu:
thiết bị chuyển mạch trung tâm hoặc tương đương, thiết bị tường lửa trung tâm,
tường lửa ứng dụng web, hệ thống lưu trữ tập trung, tường lửa cơ sở dữ liệu.
31. Phần mềm thuê khoán là phần
mềm được phát triển, nâng cấp, chỉnh sửa theo các yêu cầu riêng của tổ chức hoặc
người sử dụng nhằm đáp ứng yêu cầu đặc thù của tổ chức.
32. Nhật ký hệ thống (log) là
hoạt động ghi lại liên tục các thông báo về hoạt động của cả hệ thống hoặc của
các dịch vụ được triển khai trên hệ thống và file tương ứng, liên quan đến trạng
thái hoạt động, thông báo, cảnh báo, sự cố, cuộc tấn công, thông tin về các mối
đe doạ thu thập được và các thông tin khác liên quan đến hoạt động của hệ thống
(nếu có).
Điều 3.
Nguyên tắc bảo đảm an toàn thông tin
Bảo vệ thông tin, hệ thống
thông tin trên mạng tránh bị truy nhập, sử dụng, tiết lộ, gián đoạn, sửa đổi hoặc
phá hoại trái phép nhằm bảo đảm tính nguyên vẹn, tính bảo mật và tính khả dụng
theo các nguyên tắc sau:
1. Các tổ chức, cá nhân thuộc đối
tượng áp dụng Quy chế này có trách nhiệm bảo đảm ATTT và hệ thống thông tin
trong phạm vi xử lý công việc của mình theo quy định của pháp luật, hướng dẫn của
cơ quan, đơn vị có thẩm quyền và các quy định tại Quy chế này.
2. Bảo đảm ATTT là yêu cầu bắt
buộc, phải được thực hiện thường xuyên, liên tục từ thiết kế, thiết lập, vận
hành, nâng cấp đến hủy bỏ hệ thống thông tin và trong quá trình thu thập, tạo lập,
xử lý, truyền tải, lưu trữ, sử dụng thông tin, dữ liệu.
3. Việc bảo đảm an toàn các hệ
thống thông tin thuộc ngành BHXH Việt Nam được thực hiện một cách tổng thể, đồng
bộ, tập trung trong việc đầu tư các giải pháp bảo vệ, có sự dùng chung, chia sẻ
tài nguyên để tối ưu hiệu năng, tránh đầu tư thừa, trùng lặp.
4. Việc phân bổ, bố trí nguồn lực
để bảo đảm an toàn hệ thống thông tin thực hiện theo thứ tự ưu tiên từ cấp độ
cao xuống cấp độ thấp.
Điều 4. Các
hành vi bị nghiêm cấm
Các hành vi bị nghiêm cấm quy định
tại Điều 7 Luật An toàn thông tin mạng và Điều
8 Luật An ninh mạng, Điều 9 Quyết định số 2366/QĐ-BHXH ngày
28/11/2018 ban hành Quy chế quản lý, khai thác và sử dụng thông tin từ cơ sở
dữ liệu tập trung ngành BHXH, Điều 12 Quyết định số 967/QĐ-BHXH
ngày 20/06/2017 ban hành Quy chế bảo đảm ATTT trong ứng dụng công nghệ
thông tin của ngành BHXH.
Điều 5. Phối
hợp với cơ quan, tổ chức có thẩm quyền
1. Đầu mối liên hệ, phối hợp với
cơ quan, tổ chức có thẩm quyền quản lý về ATTT
a) Chủ quản hệ thống thông tin
giao Đơn vị chuyên trách về ATTT là đầu mối liên hệ, phối hợp với các cơ quan,
tổ chức có thẩm quyền quản lý về ATTT phục vụ việc bảo đảm ATTT cho các hệ thống
thông tin thuộc ngành BHXH Việt Nam;
b) Đơn vị chuyên trách về ATTT
làm đầu mối, tổ chức thực hiện việc tiếp nhận và xử lý các sự cố về an toàn
thông tin của các hệ thống thông tin thuộc ngành BHXH Việt Nam.
2. Phối hợp với cơ quan, tổ chức
trong công tác hỗ trợ điều phối xử lý sự cố ATTT. Tùy theo mức độ sự cố, phối hợp
với các đơn vị có liên quan hướng dẫn xử lý, ứng cứu các sự cố ATTT mạng.
3. Tham gia các hoạt động, công
tác bảo đảm ATTT khi có yêu cầu của cơ quan, tổ chức có thẩm quyền.
Điều 6. Bảo
đảm nguồn nhân lực
1. Tuyển dụng
a) CCVC được tuyển dụng vào vị
trí việc làm về ATTT có trình độ, chuyên ngành về lĩnh vực công nghệ thông tin,
ATTT, phù hợp với vị trí tuyển dụng;
b) Có quy định, quy trình tuyển
dụng CCVC và điều kiện tuyển dụng CCVC;
c) Có chuyên gia trong lĩnh vực
đánh giá, kiểm tra trình độ chuyên môn phù hợp với vị trí tuyển dụng.
2. Trong quá trình làm việc
a) Có quy định về việc thực hiện
nội quy, quy chế bảo đảm ATTT cho người sử dụng, CCVC quản lý và vận hành hệ thống;
b) Có kế hoạch và định kỳ hàng
năm tổ chức phổ biến, tuyên truyền nâng cao nhận thức về ATTT cho người sử dụng;
c) Có kế hoạch và định kỳ hằng
năm tổ chức bồi dưỡng, tập huấn về ATTT cho ba nhóm đối tượng, bao gồm: CCVC quản
lý, kỹ thuật và thành viên Đội ứng cứu sự cố.
3. Chấm dứt thay đổi công việc
a) CCVC chấm dứt hoặc thay đổi
công việc phải thu hồi tài khoản truy cập hệ thống, các thông tin được lưu trên
các phương tiện lưu trữ, các trang thiết bị máy móc, phần cứng, phần mềm và các
tài sản khác (nếu có) thuộc sở hữu của tổ chức;
b) Có quy trình và thực hiện vô
hiệu hóa tất cả các quyền ra, vào, truy cập tài nguyên, quản trị hệ thống sau
khi CCVC thôi việc;
c) Có cam kết giữ bí mật thông
tin liên quan đến tổ chức sau khi nghỉ việc.
Chương II
XÁC ĐỊNH CẤP ĐỘ HỆ THỐNG
THÔNG TIN VÀ YÊU CẦU BẢO ĐẢM AN TOÀN HỆ THỐNG THÔNG TIN THEO CẤP ĐỘ
Điều 7. Xác
định cấp độ hệ thống thông tin
1. Hệ thống cơ sở hạ tầng thông
tin phục vụ hoạt động của đơn vị trực thuộc BHXH Việt Nam, BHXH tỉnh, thành phố
và BHXH cấp huyện là hệ thống thông tin cấp độ 2.
2. Hệ thống thông tin phục vụ
người dân, doanh nghiệp; hệ thống thông tin phục vụ hoạt động nghiệp vụ, nội bộ;
hệ thống cơ sở hạ tầng thông tin và hệ thống thông tin khác của Trung tâm dữ liệu
ngành BHXH Việt Nam (bao gồm Trung tâm dữ liệu chính và Trung tâm dữ liệu dự
phòng) là hệ thống thông tin cấp độ 3, cấp độ 4.
Điều 8. Lập
hồ sơ đề xuất cấp độ, thẩm định hồ sơ đề xuất cấp độ và phê duyệt cấp độ
1. Lập hồ sơ đề xuất cấp độ
Đơn vị lập hồ sơ đề xuất cấp độ:
Đơn vị vận hành hệ thống thông tin lập hồ sơ đề xuất cấp độ đối với hệ thống
thông tin đang vận hành; Đơn vị chủ trì triển khai lập hồ sơ đề xuất cấp độ đối
với các hệ thống thông tin đang trong giai đoạn triển khai; Đơn vị chủ trì thuê
dịch vụ lập hồ sơ đề xuất cấp độ đối với các hệ thống thông tin thuê dịch vụ;
Đơn vị lập dự án lập hồ sơ đề xuất cấp độ đối với các hệ thống thông tin thuộc
các nhiệm vụ, dự án đang trong giai đoạn lập dự án.
2. Thẩm định hồ sơ đề xuất cấp
độ
a) Đối với hệ thống thông tin
được đề xuất là cấp độ 2: Đơn vị lập hồ sơ đề xuất cấp độ gửi hồ sơ đề xuất cấp
độ tới Trung tâm Công nghệ thông tin để thực hiện thẩm định Hồ sơ đề xuất cấp độ;
b) Đối với hệ thống thông tin
được đề xuất là cấp độ 3: Đơn vị lập hồ sơ đề xuất cấp độ gửi hồ sơ đề xuất cấp
độ tới Hội đồng thẩm định thực hiện nhiệm vụ thẩm định Hồ sơ đề xuất cấp độ,
Trung tâm Công nghệ thông tin trình BHXH Việt Nam thành lập Hội đồng thẩm định
hồ sơ đề xuất cấp độ;
c) Đối với hệ thống thông tin
được đề xuất là cấp độ 4: Đơn vị lập hồ sơ đề xuất cấp độ gửi hồ sơ đề xuất cấp
độ tới Hội đồng thẩm định để xin ý kiến chuyên môn về sự phù hợp của đề xuất cấp
độ và phương án bảo đảm an toàn hệ thống thông tin theo cấp độ, trình BHXH Việt
Nam hồ sơ đề xuất cấp độ gửi tới Bộ Thông tin và Truyền thông thẩm định.
3. Phê duyệt hồ sơ đề xuất cấp
độ
a) Đối với hệ thống thông tin
được đề xuất là cấp độ 2: Trung tâm Công nghệ thông tin phê duyệt hồ sơ đề xuất
cấp độ, gửi báo cáo Chủ quản hệ thống thông tin;
b) Đối với hệ thống thông tin
được đề xuất là cấp độ 3 hoặc cấp độ 4: BHXH Việt Nam phê duyệt hồ sơ đề xuất cấp
độ.
Điều 9. Yêu
cầu bảo đảm an toàn hệ thống thông tin theo cấp độ
1. Việc bảo đảm an toàn hệ thống
thông tin theo cấp độ phải đáp ứng yêu cầu cơ bản quy định tại Điều
10 Thông tư số 12/2022/TT-BTTTT, Tiêu chuẩn quốc gia TCVN 11930:2017 về
Công nghệ thông tin - các kỹ thuật an toàn - yêu cầu cơ bản về an toàn hệ thống
thông tin theo cấp độ và các tiêu chuẩn, quy chuẩn kỹ thuật, chính sách ATTT mạng
của BHXH Việt Nam.
2. Yêu cầu cơ bản đối với từng
cấp độ bao gồm:
a) Yêu cầu cơ bản về quản lý
- Thiết lập chính sách ATTT;
- Tổ chức bảo đảm ATTT;
- Bảo đảm nguồn nhân lực;
- Quản lý thiết kế, xây dựng hệ
thống;
- Quản lý vận hành hệ thống;
- Phương án Quản lý rủi ro
ATTT;
- Phương án Kết thúc vận hành,
khai thác, thanh lý, hủy bỏ hệ thống thông tin.
b) Yêu cầu cơ bản về kỹ thuật
- Bảo đảm an toàn mạng;
- Bảo đảm an toàn máy chủ;
- Bảo đảm an toàn ứng dụng;
- Bảo đảm an toàn dữ liệu.
3. Phương án bảo đảm ATTT phải
đáp ứng yêu cầu cơ bản theo từng cấp độ thực hiện theo nguyên tắc quy định tại khoản 2 Điều 4 Nghị định 85/2016/NĐ- CP, cụ thể như sau:
a) Đối với hệ thống thông tin cấp
độ 2, 3: Phương án bảo đảm ATTT phải xem xét khả năng dùng chung giữa các hệ thống
thông tin đối với các giải pháp bảo vệ, chia sẻ tài nguyên để tối ưu hiệu năng,
tránh đầu tư thừa, trùng lặp, lãng phí;
b) Đối với hệ thống thông tin cấp
độ 4, 5: Phương án bảo đảm ATTT cần được thiết kế bảo đảm tính sẵn sàng, phân
tách và hạn chế ảnh hưởng đến toàn bộ hệ thống khi một thành phần trong hệ thống
hoặc có liên quan tới hệ thống bị mất ATTT.
4. Hệ thống thông tin khi được
đầu tư xây dựng mới hoặc mở rộng, nâng cấp phải triển khai đầy đủ phương án bảo
đảm ATTT đã được phê duyệt tại Hồ sơ đề xuất cấp độ trước khi đưa vào vận hành,
khai thác.
5. Yêu cầu bảo đảm ATTT đối với
phần mềm nội bộ khi xây dựng mới hoặc mở rộng, nâng cấp:
a) Phần mềm nội bộ được xây dựng
mới hoặc mở rộng, nâng cấp phải tuân thủ Khung phát triển phần mềm an toàn;
b) Đáp ứng yêu cầu an toàn cơ bản
đối với Phần mềm nội bộ.
6. Trường hợp hệ thống thông
tin cấp độ 3 được triển khai dưới hình thức thuê dịch vụ công nghệ thông tin tại
Trung tâm dữ liệu hoặc Điện toán đám mây, thiết kế hệ thống phải đáp ứng các
yêu cầu sau:
a) Phải được thiết kế tách
riêng, độc lập với các hệ thống khác về lô-gic và có biện pháp quản lý truy cập
giữa các hệ thống;
b) Các vùng mạng trong hệ thống
phải được thiết kế tách riêng, độc lập với nhau về lô-gic và có biện pháp quản
lý truy cập giữa các vùng mạng;
c) Có phân vùng lưu trữ được
phân tách độc lập về lô-gic.
7. Trường hợp hệ thống thông
tin cấp độ 4 hoặc cấp độ 5 được triển khai dưới hình thức thuê dịch vụ công nghệ
thông tin tại Trung tâm dữ liệu hoặc Điện toán đám mây, thiết kế hệ thống phải
đáp ứng các yêu cầu sau:
a) Phải được thiết kế tách
riêng, độc lập với các hệ thống khác về vật lý và có biện pháp quản lý truy cập
giữa các hệ thống;
b) Các vùng mạng trong hệ thống
phải được thiết kế tách riêng, độc lập với nhau về lô-gic và có biện pháp quản
lý truy cập giữa các vùng mạng;
c) Có phân vùng lưu trữ được
phân tách độc lập về vật lý;
d) Các thiết bị mạng chính phải
được phân tách độc lập về vật lý.
Điều 10.
Kiểm tra, đánh giá an toàn thông tin
1. Chủ quản hệ thống thông tin
có thẩm quyền yêu cầu kiểm tra, đánh giá đối với các hệ thống thông tin thuộc
thẩm quyền quản lý. Đơn vị chuyên trách về ATTT của Chủ quản hệ thống thông tin
có thẩm quyền yêu cầu kiểm tra, đánh giá đối với các hệ thống thông tin do mình
phê duyệt hồ sơ đề xuất cấp độ.
2. Đơn vị chủ trì kiểm tra,
đánh giá là đơn vị được cấp có thẩm quyền giao nhiệm vụ hoặc được lựa chọn để
thực hiện việc kiểm tra, đánh giá. Đối tượng kiểm tra, đánh giá là Chủ quản hệ
thống thông tin hoặc Đơn vị vận hành hệ thống thông tin và các hệ thống thông
tin có liên quan.
3. Quy định về hoạt động kiểm
tra, đánh giá và nội dung kiểm tra, đánh giá theo quy định tại Điều
11, Điều 12 Thông tư số 12/2022/TT-BTTTT.
4. Trung tâm Công nghệ thông
tin thực hiện việc kiểm tra việc tuân thủ quy định của pháp luật về bảo đảm an
toàn hệ thống thông tin theo cấp độ trong ngành BHXH Việt Nam theo quy định tại
Điều 12 Thông tư số 12/2022/TT-BTTTT.
5. Trung tâm Công nghệ thông
tin, Đơn vị chuyên trách về ATTT của các đơn vị trực thuộc BHXH Việt Nam thực
hiện việc đánh giá hiệu quả của các biện pháp bảo đảm ATTT theo thẩm quyền. Nội
dung đánh giá là cơ sở để điều chỉnh phương án bảo đảm ATTT cho phù hợp.
Điều 11.
Giám sát an toàn thông tin mạng
1. Chủ quản hệ thống thông tin
chỉ đạo Đơn vị vận hành hệ thống thông tin việc giám sát đối với các hệ thống
thông tin thuộc phạm vi quản lý, phối hợp với Trung tâm Công nghệ thông tin và
các đơn vị chức năng của Bộ Thông tin và Truyền thông giám sát theo quy định.
2. Nguyên tắc, yêu cầu, nội
dung, phương thức, hệ thống kỹ thuật phục vụ công tác giám sát thực hiện theo
quy định tại Thông tư số 31/2017/TT-BTTTT .
3. Đơn vị chuyên trách về ATTT
của các đơn vị trực thuộc BHXH Việt Nam cử 01 lãnh đạo đơn vị và 01 viên chức
(hoặc 01 đơn vị trực thuộc) làm đầu mối giám sát ATTT mạng để tiếp nhận cảnh
báo, cung cấp, trao đổi, chia sẻ thông tin với Trung tâm Công nghệ thông tin
trong các hoạt động giám sát ATTT tại đơn vị và tại BHXH Việt Nam.
Chương
III
BẢO ĐẢM AN TOÀN THÔNG
TIN TRONG QUẢN LÝ THIẾT KẾ, XÂY DỰNG HỆ THỐNG
Điều 12. Quản
lý thiết kế, xây dựng hệ thống
1. Có tài liệu mô tả quy mô, phạm
vi và đối tượng sử dụng, khai thác, quản lý vận hành hệ thống thông tin.
2. Có tài liệu mô tả thiết kế
và các thành phần của hệ thống thông tin.
3. Có tài liệu mô tả phương án
bảo đảm ATTT theo cấp độ.
4. Có tài liệu mô tả phương án
lựa chọn giải pháp công nghệ bảo đảm ATTT.
5. Khi có thay đổi thiết kế,
đánh giá lại tính phù hợp của phương án thiết kế đối với các yêu cầu an toàn đặt
ra đối với hệ thống.
6. Có phương án quản lý và bảo
vệ hồ sơ thiết kế.
7. Có bộ phận chuyên môn, tổ
chuyên gia đánh giá hồ sơ thiết kế hệ thống thông tin, các biện pháp bảo đảm
ATTT trước khi triển khai thực hiện.
Điều 13.
Phát triển phần mềm thuê khoán
1. Có biên bản, hợp đồng và các
cam kết đối với bên thuê khoán các nội dung liên quan đến việc phát triển phần
mềm thuê khoán.
2. Yêu cầu các nhà phát triển
cung cấp mã nguồn phần mềm.
3. Kiểm thử phần mềm trên môi
trường thử nghiệm trước khi đưa vào sử dụng.
4. Kiểm tra, đánh giá ATTT, trước
khi đưa vào sử dụng.
5. Khi thay đổi mã nguồn, kiến
trúc phần mềm thực hiện kiểm tra, đánh giá ATTT cho phần mềm.
6. Có cam kết của bên phát triển
về bảo đảm tính bí mật và bản quyền của phần mềm phát triển.
Điều 14.
Thử nghiệm và nghiệm thu hệ thống
1. Thực hiện thử nghiệm và nghiệm
thu hệ thống trước khi bàn giao và đưa vào sử dụng.
2. Có nội dung, kế hoạch, quy
trình thử nghiệm và nghiệm thu hệ thống.
3. Có bộ phận có trách nhiệm thực
hiện thử nghiệm và nghiệm thu hệ thống.
4. Có đơn vị độc lập (bên thứ
ba) hoặc bộ phận độc lập thuộc đơn vị thực hiện tư vấn và giám sát quá trình thử
nghiệm và nghiệm thu hệ thống.
5. Có báo cáo nghiệm thu được
xác nhận của bộ phận chuyên trách và phê duyệt của Chủ quản hệ thống thông tin
trước khi đưa vào sử dụng.
Chương IV
BẢO ĐẢM AN TOÀN THÔNG
TIN TRONG QUẢN LÝ VẬN HÀNH HỆ THỐNG
Điều 15. Bảo
đảm an toàn mạng
1. Quản lý, vận hành hoạt động
bình thường của hệ thống
a) Bảo đảm cho hệ điều hành, phần
mềm hệ thống cài đặt trên thiết bị mạng hoạt động liên tục, ổn định và an toàn;
b) Thường xuyên kiểm tra cấu
hình, các file nhật ký hoạt động của hệ điều hành, phần mềm hệ thống trên thiết
bị mạng nhằm kịp thời phát hiện và xử lý những sự cố nếu có;
c) Quản lý các thay đổi cấu
hình kỹ thuật của hệ điều hành, phần mềm hệ thống trên thiết bị mạng;
d) Thường xuyên cập nhật các bản
vá lỗi hệ điều hành, phần mềm hệ thống từ nhà cung cấp;
đ) Loại bỏ các thành phần của hệ
điều hành, phần mềm hệ thống không cần thiết hoặc không còn nhu cầu sử dụng;
e) Các bản quyền phần cứng, phần
mềm hệ thống, hỗ trợ kỹ thuật, bảo hành cần được thống kê, quản lý thời gian phục
vụ cho việc gia hạn;
g) Triển khai hệ thống phát hiện
phòng chống xâm nhập giữa các vùng mạng quan trọng;
h) Sử dụng thêm các phương pháp
xác thực đa nhân tố đối với các thiết bị mạng quan trọng;
i) Triển khai phương án cảnh
báo thời gian thực trực tiếp đến người quản trị hệ thống thông qua hệ thống
giám sát khi phát hiện sự cố trên các thiết bị mạng;
k) Duy trì ít nhất 02 kết nối mạng
Internet từ các ISP (Internet Service Provider - Nhà cung cấp dịch vụ Internet)
sử dụng hạ tầng kết nối trong nước khác nhau (nếu hệ thống buộc phải có kết nối
mạng Internet).
2. Cập nhật, sao lưu dự phòng
và khôi phục sau khi xảy ra sự cố
a) Triển khai hệ thống, phương
tiện lưu trữ để sao lưu dự phòng; phân loại và quản lý thông tin sao lưu theo từng
loại, nhóm thông tin được gán nhãn khác nhau; thực hiện sao lưu, dự phòng các tập
tin cấu hình hệ thống của thiết bị mạng;
b) Triển khai phương án dự
phòng nóng cho các thiết bị mạng chính bảo đảm khả năng vận hành liên tục của hệ
thống, năng lực của thiết bị dự phòng phải đáp ứng theo quy mô hoạt động của hệ
thống;
c) Triển khai hệ thống, phương
tiện lưu trữ nhật ký phù hợp với hoạt động của các thiết bị mạng. Dữ liệu nhật
ký phải được lưu tối thiểu 06 tháng;
d) Triển khai hệ thống, phương
tiện chống thất thoát dữ liệu trong hệ thống mạng.
3. Truy cập và quản lý cấu hình
hệ thống mạng
a) CCVC quản lý, vận hành truy
cập, khai thác thông tin trên hệ thống mạng theo trách nhiệm và phân quyền được
quy định; việc khai thác thông tin phải bảo đảm nguyên tắc bảo mật, không được
tự ý cung cấp thông tin ra bên ngoài;
b) CCVC quản lý, vận hành có
trách nhiệm theo dõi và phát hiện các trường hợp truy cập hệ thống trái phép hoặc
thao tác vượt quá giới hạn, báo cáo cho CCVC quản lý để tiến hành ngăn chặn,
thu hồi, khóa quyền truy cập của các tài khoản vi phạm;
c) Cấu hình tối ưu, tăng cường
bảo mật cho thiết bị hệ thống mạng trước khi đưa vào vận hành, khai thác.
Điều 16. Bảo
đảm an toàn máy chủ và ứng dụng
1. Quản lý, vận hành hoạt động
bình thường của hệ thống máy chủ và ứng dụng
a) Bảo đảm cho hệ điều hành, phần
mềm cài đặt trên máy chủ hoạt động liên tục, ổn định và an toàn;
b) Thường xuyên kiểm tra cấu
hình, các file nhật ký hoạt động của hệ điều hành, phần mềm nhằm kịp thời phát
hiện và xử lý những sự cố nếu có;
c) Quản lý các thay đổi cấu
hình kỹ thuật của hệ điều hành, phần mềm;
d) Thường xuyên cập nhật các bản
vá lỗi hệ điều hành, phần mềm từ nhà cung cấp;
đ) Loại bỏ các thành phần của hệ
điều hành, phần mềm không cần thiết hoặc không còn nhu cầu sử dụng;
e) Các bản quyền phần cứng, phần
mềm hệ thống, hỗ trợ kỹ thuật, bảo hành cần được thống kê, quản lý thời gian hạn
phục vụ cho việc gia hạn.
2. Truy cập mạng của máy chủ
Bảo đảm các kết nối mạng trên
máy chủ hoạt động liên tục, ổn định và an toàn. Cấu hình, kiểm soát các kết nối,
các cổng dịch vụ từ bên trong đi ra cũng nhưng bên ngoài vào hệ thống.
3. Truy cập và quản trị máy chủ
và ứng dụng
a) Thay đổi các tài khoản, mật
khẩu mặc định ngay khi đưa hệ điều hành, phần mềm vào sử dụng;
b) Cấp quyền quản lý truy cập của
người sử dụng trên máy chủ cài đặt hệ điều hành;
c) Toàn bộ máy chủ và thiết bị
công nghệ thông tin không phải máy tính ngoại trừ các hệ thống bắt buộc phải có
giao tiếp với Internet (các hệ thống phục vụ truy cập Internet; cung cấp giao
diện ra Internet của Cổng thông tin, trang tin điện tử; phục vụ cập nhật bản vá
hệ điều hành, mẫu mã độc, mẫu điểm yếu, mẫu tấn công) không được kết nối
Internet;
d) Sử dụng cơ chế xác thực đa
nhân tố khi truy cập vào các máy chủ trong hệ thống, các tài khoản quản trị của
ứng dụng; có cơ chế yêu cầu người sử dụng thay đổi thông tin xác thực định kỳ;
đ) Kiểm tra tính toàn vẹn của
các tệp tin hệ thống và tính toàn vẹn của các quyền đã được cấp trên các tài
khoản hệ thống;
e) Sử dụng cơ chế mã hóa thông
tin xác thực của người sử dụng, bên sử dụng trước khi gửi đến ứng dụng qua môi
trường mạng;
g) Xác thực thông tin, nguồn gửi
khi trao đổi thông tin trong quá trình quản trị ứng dụng (không phải là thông
tin, dữ liệu công khai) qua môi trường mạng.
4. Cập nhật, sao lưu dự phòng
và khôi phục sau khi xảy ra sự cố.
5. Cài đặt, gỡ bỏ hệ điều hành,
dịch vụ, phần mềm trên hệ thống máy chủ và ứng dụng.
6. Kết nối và gỡ bỏ hệ thống
máy chủ và ứng dụng khỏi hệ thống.
7. Cấu hình tối ưu và tăng cường
bảo mật cho hệ thống máy chủ trước khi đưa vào vận hành, khai thác.
Điều 17. Bảo
đảm an toàn dữ liệu
1. Yêu cầu an toàn đối với
phương pháp mã hóa
a) Đơn vị phải xây dựng và áp dụng
quy định sử dụng các phương thức mã hóa thích hợp theo các chuẩn quốc gia hoặc
quốc tế đã được công nhận để bảo vệ thông tin;
b) Phải có biện pháp quản lý
khóa mã hóa thích hợp để hỗ trợ việc sử dụng các kỹ thuật mã hóa.
2. Phân loại, quản lý và sử dụng
khóa bí mật và dữ liệu mã hóa.
3. Có cơ chế mã hóa và kiểm tra
tính nguyên vẹn của dữ liệu.
4. Có quy định về việc trao đổi
dữ liệu qua môi trường mạng và phương tiện lưu trữ.
5. Sao lưu dự phòng và khôi phục
dữ liệu (quy định tần suất sao lưu dự phòng, phương tiện lưu trữ, thời gian lưu
trữ; nơi lưu trữ, phương thức lưu trữ và phương thức lấy dữ liệu ra khỏi phương
tiện lưu trữ).
6. Cập nhật đồng bộ thông tin,
dữ liệu giữa hệ thống sao lưu dự phòng chính và hệ thống phụ.
7. Định kỳ hoặc khi có thay đổi
cấu hình trên hệ thống thực hiện quy trình sao lưu dự phòng: tập tin cấu hình hệ
thống, bản dự phòng cơ sở dữ liệu; dữ liệu, thông tin nghiệp vụ và các thông
tin, dữ liệu quan trọng khác trên hệ thống (nếu có).
Điều 18.
Quản lý an toàn thiết bị đầu cuối
1. Quản lý, vận hành hoạt động
bình thường cho thiết bị đầu cuối.
2. Có cơ chế bảo đảm an toàn
cho kết nối, truy cập và sử dụng thiết bị đầu cuối từ xa.
3. Có quy định cài đặt, kết nối
và gỡ bỏ thiết bị đầu cuối trong hệ thống.
4. Cấu hình tối ưu và tăng cường
bảo mật cho máy tính người sử dụng trước khi đưa vào sử dụng.
5. Kiểm tra, đánh giá, xử lý điểm
yếu ATTT cho thiết bị đầu cuối trước khi đưa vào sử dụng.
Điều 19.
Quản lý phòng chống phần mềm độc hại
1. Cài đặt, cập nhật, sử dụng
phần mềm phòng chống mã độc; dò quét, kiểm tra phần mềm độc hại trên máy tính,
máy chủ và thiết bị di động.
2. Kiểm tra, dò quét, xử lý phần
mềm độc hại trước khi cài đặt, sử dụng phần mềm trên máy tính, thiết bị di động
và kiểm soát việc truy cập các trang thông tin trên mạng, bảo đảm chặn lọc các
địa chỉ độc hại.
3. Tập tin gửi, nhận qua môi
trường mạng và các phương tiện lưu trữ di động phải được kiểm tra, dò quét phần
mềm độc hại.
4. Định kỳ hàng năm thực hiện
kiểm tra và dò quét phần mềm độc hại trên toàn bộ hệ thống; thực hiện kiểm tra
và xử lý phần mềm độc hại khi phát hiện dấu hiệu hoặc cảnh báo về phần mềm độc
hại xuất hiện trên hệ thống.
Điều 20.
Quản lý giám sát an toàn hệ thống thông tin
1. Quản lý, vận hành hoạt động
bình thường của hệ thống giám sát
a) Quy trình khởi động và tắt hệ
thống giám sát;
b) Quy trình thay đổi cấu hình
và các thành phần của hệ thống giám sát;
c) Quy trình xử lý các sự cố
liên quan đến hoạt động của hệ thống giám sát;
d) Quy trình sao lưu, dự phòng
cấu hình hệ thống và log của hệ thống;
đ) Quy trình bảo trì, nâng cấp
hệ thống giám sát;
e) Quy trình khôi phục hệ thống
sau sự cố.
2. Đối tượng giám sát
a) Các thiết bị mạng, thiết bị
bảo mật: định tuyến (Router), chuyển mạch (Switch), tường lửa (Firewall), phát
hiện xâm nhập (IPS/IDS), tường lửa ứng dụng (WAF), phòng chống tấn công có chủ
đích (APT)...;
b) Các máy chủ hệ thống (cả máy
chủ vật lý và ảo hóa) trên các nền tảng khác nhau: Windows, Linux, Unix...;
c) Các ứng dụng phục vụ hoạt động
của hệ thống: cấp phát địa chỉ mạng (DHCP), phân giải tên miền (DNS), mạng
riêng ảo (VPN), bộ lọc web (Proxy Server)...; ứng dụng cung cấp dịch vụ: Web,
Mail, FTP và các hệ quản trị cơ sở dữ liệu Oracle, SQL, MySQL…;
d) Các thiết bị đầu cuối: Máy
tính người sử dụng, Camera giám sát...;
đ) Điểm giám sát trên đường
truyền: Điểm giám sát biên tại giao diện kết nối của thiết bị Router biên với
các mạng bên ngoài; điểm giám sát tại mỗi vùng mạng của hệ thống.
3. Kết nối và gửi nhật ký hệ thống
từ đối tượng giám sát về hệ thống giám sát
a) Quy định loại log mà hệ thống
có thể tiếp nhận;
b) Quy định giao thức gửi nhận
log hệ thống hỗ trợ;
c) Quy định về quy tắc xác định
nguồn gửi log (đặt tên thiết bị theo quy tắc);
d) Quy định số lượng sự kiện tối
đa từ một đối tượng giám sát có thể gửi;
đ) Chính sách hệ thống để quản
lý các nguồn log gửi về;
e) Quy định về chuẩn mã hóa,
nén dữ liệu.
4. Truy cập và quản trị hệ thống
giám sát
a) Chính sách truy cập, quản trị
hệ thống từ mạng bên trong hệ thống và từ xa;
b) Quản lý tài khoản và phân
quyền truy cập, quản trị hệ thống;
c) Truy cập và quản lý tập tin
cấu hình và log lưu trữ trên hệ thống;
d) Quyền thiết lập cấu hình và
quản lý các đối tượng giám sát.
5. Loại thông tin cần được giám
sát
a) Các thiết bị mạng, thiết bị
bảo mật tối thiểu có các thông tin:
- Thông tin kết nối mạng
(Router log, Switch log, Firewall log...);
- Thông tin đăng nhập vào thiết
bị mạng, thiết bị bảo mật;
- Lỗi phát sinh trong quá trình
hoạt động (nhật ký trạng thái hoạt động của thiết bị mạng, thiết bị bảo mật);
- Thông tin thay đổi cấu hình
thiết bị mạng, thiết bị bảo mật.
b) Các máy chủ hệ thống tối thiểu
có các thông tin:
- Thông tin kết nối mạng tới
máy chủ (Firewall log);
- Thông tin đăng nhập vào máy
chủ;
- Lỗi phát sinh trong quá trình
hoạt động (nhật ký trạng thái hoạt động của máy chủ);
- Thông tin về các tiến trình hệ
thống;
- Thông tin về sự thay đổi các
tập tin, thư mục trên hệ thống;
- Thông tin thay đổi cấu hình
máy chủ.
c) Các ứng dụng tối thiểu có
các thông tin:
- Thông tin truy cập ứng dụng;
- Thông tin đăng nhập khi quản
trị ứng dụng;
- Thông tin các lỗi phát sinh
trong quá trình hoạt động;
- Thông tin thay đổi cấu hình ứng
dụng.
6. Lưu trữ và bảo vệ thông tin
giám sát (nhật ký hệ thống)
a) Quy định loại log và thông
tin cấu hình hệ thống cần lưu trữ;
b) Quy định tần suất sao lưu, dự
phòng tập tin cấu hình và log hệ thống;
c) Gán nhãn dữ liệu, mã hóa,
nén dữ liệu log;
d) Khôi phục và bảo vệ log hệ
thống khi xảy ra sự cố theo phương án và năng lực xử lý của cơ quan, tổ chức.
7. Đồng bộ thời gian giữa hệ thống
giám sát và thiết bị được giám sát.
8. Theo dõi, giám sát và cảnh
báo sự cố phát hiện được trên hệ thống thông tin
a) Quy định trách nhiệm của
CCVC trong việc thực hiện theo dõi, giám sát, cảnh báo và xử lý tấn công mạng;
b) Quy trình thực hiện theo
dõi, giám sát, cảnh báo và xử lý tấn công mạng;
c) Quy trình thu thập thông tin
và quản lý, cập nhật xử lý các sự cố mới;
d) Quy định về các mức độ sự cố
tấn công mạng và xây dựng quy trình xử lý tấn công mạng đối với các dạng tấn
công cụ thể, tối thiểu:
- Tấn công dò, quét và khai
thác thông tin hệ thống;
- Tấn công mã độc, tấn công có
chủ đích;
- Tấn công khai thác điểm yếu,
chiếm quyền điều khiển hệ thống;
- Tấn công thay đổi giao diện;
- Tấn công đánh cắp dữ liệu hoặc
phá hoại dữ liệu;
- Tấn công từ chối dịch vụ.
đ) Quy định về việc định kỳ tổ
chức thực hành, diễn tập xử lý sự cố tấn công mạng;
e) Quy định về chế độ báo cáo
khi phát hiện và xử lý sự cố tấn công mạng.
9. Bảo đảm bố trí nguồn lực và
tổ chức giám sát an toàn hệ thống thông tin 24/7 (bao gồm Đội Ứng cứu sự cố,
chuyên gia thuê ngoài hoặc thuê dịch vụ bảo đảm ATTT mạng chuyên biệt theo Chỉ
thị số 14/CT-TTg ngày 07/6/2019 của Thủ tướng Chính phủ về việc tăng cường bảo
đảm an toàn, an ninh mạng nhằm cải thiện chỉ số xếp hạng của Việt Nam) được
phân làm các nhóm công việc:
a) Nhóm quản lý vận hành hệ thống
giám sát
- Yêu cầu: có kiến thức về mạng,
nắm được thiết kế hệ thống, thiết lập cấu hình bảo mật trên các thiết bị, máy
chủ.
- Nhiệm vụ:
+ Quản lý vận hành bảo đảm các
hoạt động bình thường của hệ thống giám sát. Nhóm này có thể nằm trong nhóm quản
lý vận hành chung cho toàn bộ hạ tầng của hệ thống;
+ Theo dõi thường xuyên, liên tục
trạng thái hoạt động của hệ thống, tài nguyên, băng thông, trạng thái kết nối để
bảo đảm hệ thống hoạt động bình thường, có tính sẵn sàng cao.
b) Nhóm theo dõi và cảnh báo
- Yêu cầu: có kiến thức về các
lỗ hổng mới, mã độc mới, chiến dịch, hình thức tấn công mới; có thể phân loại
và xác định mức độ của các sự cố và tìm kiếm, truy vấn thông tin từ các nguồn dữ
liệu bên ngoài như hệ thống phân tích, xử lý các mối đe dọa ATTT (Threat
Intelligence).
- Nhiệm vụ:
+ Theo dõi, giám sát các sự kiện,
tấn công mạng ghi nhận được trên hệ thống. Xác định và phân loại mức độ sự cố
và xác định hành động phù hợp tiếp theo hoặc cảnh báo cho nhóm xử lý sự cố thực
hiện;
+ Thực hiện định kỳ phân tích bộ
luật (policy), cảnh báo sai thực hiện rà soát, chỉnh sửa policy không cho những
cảnh báo sai lập lại để tối ưu khả năng phát hiện tấn công, sự cố của hệ thống.
c) Nhóm xử lý sự cố
- Yêu cầu: có kiến thức nền tảng
về phân tích log hệ thống, ứng dụng, thiết bị; có kiến thức nền tảng về điều
tra số.
- Nhiệm vụ:
+ Tiếp nhận cảnh báo, xác minh
và thực hiện các hành động để xử lý sự cố;
+ Xác định các hành động ứng cứu
khẩn cấp: Phản ứng chặn kênh kết nối điều khiển, bổ sung policy ngăn chặn sớm tấn
công hoặc cô lập hệ thống;
+ Xử lý các lỗ hổng, điểm yếu,
cập nhật bản vá và bóc gỡ mã độc trên hệ thống;
+ Nâng cấp hoặc khôi phục hệ thống
sau sự cố.
d) Nhóm điều tra, phân tích
- Yêu cầu: có kiến thức nền tảng
về phân tích log hệ thống, ứng dụng, thiết bị; có kiến thức nền tảng về điều
tra số.
- Nhiệm vụ:
+ Phân tích chuyên sâu các cảnh
báo, các sự cố để tìm ra nguồn gốc, nguyên nhân và các dấu hiệu nhận biết tấn
công;
+ Báo cáo các chứng cứ số, các
dấu hiệu cho phép thiết lập các tập policy trên hệ thống để ngăn chặn các dạng
tấn công tương tự tiếp theo đến hệ thống.
Điều 21.
Quản lý điểm yếu an toàn thông tin
1. Quản lý thông tin các thành
phần có trong hệ thống có khả năng tồn tại điểm yếu ATTT: thiết bị mạng, bảo mật,
hệ điều hành, máy chủ, ứng dụng, dịch vụ và các thành phần khác (nếu có).
2. Quản lý, cập nhật nguồn cung
cấp điểm yếu ATTT; phân nhóm và mức độ của điểm yếu cho các thành phần trong hệ
thống đã xác định.
3. Cơ chế phối hợp với các nhóm
chuyên gia, bên cung cấp dịch vụ hỗ trợ trong việc xử lý, khắc phục điểm yếu
ATTT.
4. Kiểm tra, đánh giá và xử lý
điểm yếu ATTT cho thiết bị mạng, bảo mật, hệ điều hành, máy chủ, ứng dụng, dịch
vụ trước khi đưa vào sử dụng.
5. Định kỳ 1 năm kiểm tra, đánh
giá điểm yếu ATTT cho toàn bộ hệ thống thông tin; thực hiện quy trình kiểm tra,
đánh giá, xử lý điểm yếu ATTT khi có thông tin hoặc nhận được cảnh báo về điểm
yếu ATTT đối với thành phần cụ thể trong hệ thống.
Điều 22.
Quản lý sự cố an toàn thông tin mạng
1. Phân nhóm sự cố ATTT mạng được
thực hiện theo quy định tại Điều 27 Quy chế này.
2. Phương án tiếp nhận, phát hiện,
phân loại và xử lý ban đầu sự cố ATTT mạng được thực hiện theo quy định tại Điều 29 Quy chế này.
3. Kế hoạch ứng phó sự cố ATTT
mạng được thực hiện theo quy định tại Kế hoạch số 3280/KH-BHXH ngày 29/08/2018
của BHXH Việt Nam.
4. Giám sát, phát hiện và cảnh
báo sự cố ATTT mạng được thực hiện theo quy định tại Thông tư số
31/2017/TT-BTTTT ngày 15/11/2017 của Bộ Thông tin và Truyền thông và văn bản hướng
dẫn, quy định của BHXH Việt Nam.
5. Quy trình ứng cứu sự cố ATTT
mạng thông thường được thực hiện theo quy định tại Thông tư số 20/2017/TT-BTTTT
ngày 12/9/2017 của Bộ Thông tin và Truyền thông và văn bản hướng dẫn, quy định
của BHXH Việt Nam.
6. Quy trình ứng cứu sự cố ATTT
mạng nghiêm trọng được thực hiện theo quy định tại Điều 14 Quyết
định số 05/2017/QĐ-TTg ngày 16/3/2017 của Thủ tướng Chính phủ và văn bản hướng
dẫn, quy định của BHXH Việt Nam.
7. Tổ chức diễn tập ứng cứu, xử
lý sự cố ATTT định kỳ trong phạm vi toàn Ngành theo Kế hoạch số 3280/KH-BHXH
ngày 29/08/2018 của BHXH Việt Nam; tham gia các cuộc diễn tập quốc gia, quốc tế
do Cơ quan điều phối quốc gia tổ chức.
Điều 23.
Quản lý an toàn người sử dụng đầu cuối
1. Quản lý truy cập, sử dụng
tài nguyên nội bộ
- Thiết lập hệ thống chỉ cho
phép sử dụng các kết nối mạng an toàn khi truy cập, sử dụng tài nguyên nội bộ;
- Thiết lập giới hạn thời gian
chờ (timeout) để đóng phiên kết nối khi không nhận được yêu cầu từ người dùng;
- Không cho phép truy cập, sử dụng
tài nguyên nội bộ trực tiếp từ các mạng bên ngoài, trường hợp bắt buộc phải
truy cập, sử dụng tài nguyên nội bộ từ xa phải thực hiện gián tiếp thông qua
các máy quản trị trong hệ thống và sử dụng kết nối mạng an toàn;
- Phân quyền truy cập, sử dụng
tài nguyên khác nhau với người sử dụng hoặc nhóm người sử dụng có chức năng,
yêu cầu nghiệp vụ khác nhau.
2. Quản lý truy cập mạng và tài
nguyên trên Internet
a) Quản lý truy cập từ bên
ngoài mạng
- Thiết lập hệ thống chỉ cho
phép sử dụng các kết nối mạng an toàn khi truy cập thông tin nội bộ hoặc quản
trị hệ thống từ các mạng bên ngoài và mạng Internet;
- Kiểm soát truy cập từ bên
ngoài vào hệ thống theo từng dịch vụ, ứng dụng cụ thể; chặn tất cả truy cập tới
các dịch vụ, ứng dụng mà hệ thống không cung cấp hoặc không cho phép truy cập từ
bên ngoài;
- Thiết lập giới hạn thời gian
chờ (timeout) để đóng phiên kết nối khi hệ thống không nhận được yêu cầu từ người
dùng;
- Phân quyền và cấp quyền truy
cập từ bên ngoài vào hệ thống theo từng người dùng hoặc nhóm người dùng căn cứ
theo yêu cầu nghiệp vụ, yêu cầu quản lý;
- Giới hạn số lượng kết nối đồng
thời từ một địa chỉ nguồn và tổng số lượng kết nối đồng thời cho từng ứng dụng,
dịch vụ được hệ thống cung cấp theo năng lực thực tế của hệ thống.
b) Quản lý truy cập từ bên
trong mạng
- Chỉ cho phép truy cập các ứng
dụng, dịch vụ bên ngoài theo yêu cầu nghiệp vụ, chặn các dịch vụ khác không phục
vụ hoạt động nghiệp vụ theo policy của tổ chức;
- Giới hạn truy cập các ứng dụng,
dịch vụ bên ngoài theo thời gian;
- Có phương án kiểm soát truy cập
của người dùng vào các dịch vụ, các máy chủ nội bộ theo chức năng và policy của
tổ chức;
- Có phương án quản lý các thiết
bị đầu cuối, máy tính người dùng kết nối vào hệ thống mạng (theo địa chỉ vật
lý, địa chỉ logic), chỉ cho phép thiết bị đầu cuối, máy tính người sử dụng hợp
lệ kết nối vào hệ thống.
3. Cài đặt và sử dụng máy tính
an toàn
a) Phòng chống xâm nhập
- Loại bỏ các tài khoản không sử
dụng, các tài khoản không còn hợp lệ;
- Sử dụng tường lửa của hệ điều
hành và hệ thống để cấm các truy cập trái phép;
- Vô hiệu hóa các giao thức mạng
không an toàn, các dịch vụ hệ thống không sử dụng;
- Có phương án cập nhật bản vá,
xử lý điểm yếu ATTT cho hệ điều hành và các phần mềm bảo vệ.
b) Phòng chống phần mềm độc hại
- Cài đặt phần mềm phòng chống
mã độc và thiết lập chế độ tự động cập nhật cơ sở dữ liệu cho phần mềm;
- Có phương án kiểm tra, dò
quét, xử lý mã độc cho các phần mềm trước khi cài đặt;
- Quản lý tập trung (cập nhật,
cảnh báo và quản lý) các phần mềm phòng chống mã độc cài đặt trên máy tính người
sử dụng trong hệ thống.
c) Giám sát truy cập và kết nối
cho thiết bị vào hệ thống mạng nội bộ
- Triển khai hệ thống Dịch vụ
thư mục (Active Directory/LDAP) để quản lý máy tính người dùng;
- Kết hợp với giải pháp giám
sát quản lý truy cập (NAC) để phát hiện máy tính người dùng vi phạm chính sách
của hệ thống;
- Đồng bộ với việc cấp phát địa
chỉ IP của máy chủ DHCP để có thể xác định máy tính người dùng vi phạm chính
sách dựa vào địa chỉ vật lý của thiết bị (MAC).
Điều 24.
Quản lý rủi ro an toàn thông tin
1. Phương pháp đánh giá rủi ro.
a) Xác định rủi ro
- Xác định bối cảnh nội bộ và
bên ngoài đối với phạm vi áp dụng;
- Xác định mối đe dọa liên quan
đến các tài sản thông tin;
- Xác định các mối đe dọa liên
quan đến các hệ thống thông tin quan trọng;
- Xác định các điểm yếu của tài
sản.
b) Phân tích rủi ro
- Đánh giá mức độ hiện tại đang
áp dụng;
- Xác định khả năng xảy ra và tác
động;
- So sánh tiêu chí chấp nhận rủi
ro.
2. Xử lý rủi ro
- Biện pháp xử lý rủi ro;
- Xác định lại giá trị rủi ro;
- So sánh tiêu chí chấp nhận;
- Biện pháp xử lý rủi ro theo
quy trình khắc phục.
Điều 25. Kết
thúc vận hành, khai thác, thanh lý, hủy bỏ hệ thống thông tin
1. Quy định kết thúc vận hành,
khai thác và hủy bỏ các thông tin, dữ liệu bảo mật
Việc hủy bỏ các thông tin, dữ
liệu bảo mật được thực hiện theo quy định của pháp luật về quản lý, sử dụng
thông tin, dữ liệu bảo mật và lĩnh vực có liên quan.
2. Quy định về xử lý và hủy bỏ
phương tiện lưu trữ điện tử
a) Thiết bị công nghệ thông tin
có chứa dữ liệu (máy tính, thiết bị lưu trữ...) khi bị hỏng phải được CCVC
chuyên trách về công nghệ thông tin kiểm tra, xử lý, khắc phục. Đối với thiết bị
công nghệ thông tin mang ra bên ngoài sửa chữa, bảo hành phải có biện pháp kiểm
tra, giám sát đảm bảo không để lọt lộ thông tin hay lây nhiễm mã độc;
b) Thực hiện các biện pháp kỹ
thuật xóa bỏ hoàn toàn dữ liệu, đảm bảo không có khả năng phục hồi nội dung
thông tin, dữ liệu trên thiết bị công nghệ thông tin trước khi tiến hành hủy bỏ.
3. Quy định về xử lý thông tin
trên các phương tiện và thiết bị công nghệ thông tin (Máy tính cá nhân, máy chủ,
các thiết bị mạng, bảo mật, phương tiện lưu trữ như CD/DVD, thẻ nhớ, ổ cứng…)
a) Có phương án xóa sạch thông
tin, dữ liệu người dùng đã tạo ra trên các máy tính cá nhân, máy chủ khi chuyển
giao hoặc thay đổi mục đích sử dụng;
b) Thực hiện thu hồi địa chỉ mạng,
xóa sạch cấu hình hệ thống trên thiết bị mạng, bảo mật;
c) Thực hiện các biện pháp tiêu
hủy phương tiện lưu trữ như CD/DVD, thẻ nhớ, ổ cứng…;
d) Sao lưu dự phòng thông tin,
dữ liệu trước khi thực hiện xóa dữ liệu;
đ) Có biện pháp kiểm tra, bảo đảm
dữ liệu không thể khôi phục sau khi xóa.
Chương V
PHƯƠNG ÁN BẢO ĐẢM ỨNG CỨU
SỰ CỐ AN TOÀN THÔNG TIN MẠNG
Điều 26.
Hoạt động ứng cứu sự cố an toàn thông tin mạng
1. Các tổ chức, cá nhân khi
phát hiện dấu hiệu tấn công, nguy cơ mất ATTT mạng hoặc sự cố ATTT mạng cần kịp
thời báo cho Đơn vị vận hành hệ thống thông tin, Chủ quản hệ thống thông tin,
Trung tâm Công nghệ thông tin. Trung tâm Công nghệ thông tin có trách nhiệm cập
nhật, tổng hợp và báo cáo đơn vị cơ quan quản lý nhà nước trong trường hợp cần
thiết.
2. Đơn vị vận hành hệ thống
thông tin phải chỉ đạo khắc phục để hạn chế thiệt hại, thực hiện báo cáo theo
quy định tại Điều 28 Quy chế này, đồng thời báo cáo Trung
tâm Công nghệ thông tin để tổng hợp, báo cáo Ban Chỉ đạo ngành BHXH Việt Nam.
Điều 27.
Phân nhóm sự cố an toàn thông tin mạng
1. Sự cố ATTT mạng nghiêm trọng
là sự cố đáp ứng đồng thời các tiêu chí sau:
a) Hệ thống thông tin bị sự cố
là hệ thống thông tin cấp độ 4, cấp độ 5 hoặc thuộc Danh mục hệ thống thông tin
quan trọng quốc gia và bị một trong số các sự cố sau:
- Hệ thống bị gián đoạn dịch vụ;
- Dữ liệu tuyệt mật hoặc bí mật
nhà nước có khả năng bị tiết lộ;
- Dữ liệu quan trọng của hệ thống
không bảo đảm tính toàn vẹn và không có khả năng khôi phục được;
- Hệ thống bị mất quyền điều
khiển;
- Sự cố có khả năng xảy ra trên
diện rộng hoặc gây ra các ảnh hưởng dây chuyền, làm tổn hại cho các hệ thống
thông tin cấp độ 4 hoặc cấp độ 5 khác.
b) Chủ quản hệ thống thông tin
không đủ khả năng tự kiểm soát, xử lý được sự cố.
2. Sự cố ATTT mạng thông thường
là sự cố không đạt các tiêu chí quy định tại Khoản 1, Điều này.
Điều 28.
Thông báo, báo cáo sự cố an toàn thông tin mạng
1. Báo cáo sự cố ATTT mạng
a) Đơn vị vận hành hệ thống
thông tin có trách nhiệm báo cáo sự cố tới Chủ quản hệ thống thông tin, Đơn vị
chuyên trách ứng cứu sự cố, Cơ quan điều phối quốc gia chậm nhất 05 ngày kể từ
khi phát hiện sự cố theo nội dung tại Khoản 4 Điều này. Tại thời điểm báo cáo,
nếu chưa hoàn thành việc xử lý sự cố, Đơn vị vận hành hệ thống thông tin phải cập
nhật lại thông tin của sự cố cho các cơ quan, đơn vị đã nhận thông tin trước đó
ngay khi kết thúc việc xử lý sự cố;
b) Trường hợp Đơn vị vận hành hệ
thống thông tin xác định sự cố có thể vượt khả năng xử lý của mình, Đơn vị vận
hành hệ thống thông tin phải xây dựng ngay Báo cáo ban đầu sự cố, thực hiện quy
trình báo cáo khẩn cấp theo quy định tại khoản 2 đến khoản 5 Điều này báo cáo
Chủ quản hệ thống thông tin, Đơn vị chuyên trách về ứng cứu sự cố và Cơ quan điều
phối quốc gia ngay khi phát hiện sự cố hoặc xác định sự cố có thể vượt khả năng
xử lý của mình; sau khi kết thúc ứng cứu sự cố, chậm nhất trong vòng 05 ngày phải
hoàn thiện Báo cáo kết thúc ứng phó sự cố để báo cáo Chủ quản hệ thống thông
tin và Cơ quan điều phối quốc gia;
c) Các tổ chức, cá nhân không
phải là Đơn vị vận hành hệ thống thông tin khi phát hiện dấu hiệu tấn công hoặc
sự cố ATTT mạng cần nhanh chóng thông báo thông tin của sự cố theo nội dung tại
Khoản 4 Điều này cho Đơn vị vận hành hệ thống thông tin, cơ quan Chủ quản hệ thống
thông tin, Cơ quan điều phối quốc gia và Đơn vị chuyên trách ứng cứu sự cố.
2. Các loại thông báo, báo cáo
sự cố
Báo cáo sự cố phải được thực hiện
ngay lập tức và được duy trì trong suốt quá trình ứng cứu sự cố gồm:
a) Báo cáo ban đầu sự cố;
b) Báo cáo diễn biến tình hình;
c) Báo cáo phương án ứng cứu cụ
thể;
d) Báo cáo xin ý kiến chỉ đạo,
chỉ huy;
đ) Báo cáo đề nghị hỗ trợ, phối
hợp;
e) Báo cáo kết thúc ứng phó sự
cố.
3. Các hình thức thông báo, báo
cáo sự cố
a) Hình thức thông báo sự cố: Bằng
công văn, fax, thư điện tử, nhắn tin đa phương tiện hoặc thông qua hệ thống báo
cáo, cảnh báo sự cố an toàn mạng quốc gia, hệ thống kỹ thuật báo cáo sự cố ATTT
mạng của Cơ quan điều phối quốc gia;
b) Hình thức báo cáo sự cố: Bằng
văn bản giấy hoặc văn bản điện tử (có ký tên và đóng dấu hoặc chữ ký số của người
có thẩm quyền) theo mẫu báo cáo về điều phối ứng cứu hoặc theo hướng dẫn của cơ
quan điều phối quốc gia.
4. Nội dung báo cáo, thông báo
sự cố
a) Tên, địa chỉ đơn vị, cá nhân
thông báo sự cố;
b) Tên, địa chỉ Đơn vị vận hành
hệ thống thông tin; Chủ quản hệ thống thông tin;
c) Tên, tên miền, địa chỉ IP của
hệ thống thông tin bị sự cố; thời điểm phát hiện sự cố;
b) Đầu mối liên lạc về sự cố của
Đơn vị vận hành hệ thống thông tin bị sự cố: Tên, chức vụ, điện thoại, thư điện
tử;
c) Mô tả về sự cố: Loại sự cố,
hiện tượng, đánh giá sơ bộ mức độ nguy hại, mức độ lây lan, tác động của sự cố
đến hoạt động bình thường của tổ chức;
d) Đơn vị cung cấp dịch vụ hạ tầng
công nghệ thông tin, viễn thông;
đ) Liệt kê các biện pháp đã triển
khai hoặc dự kiến triển khai để xử lý khắc phục sự cố;
e) Các tổ chức, doanh nghiệp
đang hỗ trợ ứng cứu, xử lý và kết quả xử lý sự cố tính đến thời điểm báo cáo;
g) Kết quả ứng cứu sự cố ban đầu,
xử lý sự cố;
h) Kiến nghị, đề xuất hưởng ứng
cứu xử lý sự cố và các thông tin liên quan khác (nếu có).
5. Nguyên tắc báo cáo, trao đổi
thông tin trong ứng cứu sự cố
Trong quá trình ứng cứu sự cố,
Đơn vị vận hành hệ thống thông tin phải chủ trì, phối hợp với các cơ quan, đơn
vị liên quan xây dựng và duy trì thực hiện các báo cáo ứng cứu sự cố theo quy định
và yêu cầu của cơ quan có thẩm quyền gồm:
a) Đơn vị vận hành hệ thống
thông tin báo cáo Chủ quản hệ thống thông tin, Đơn vị chuyên trách ứng cứu sự cố,
Cơ quan điều phối quốc gia;
b) Đơn vị chuyên trách ứng cứu
sự cố báo cáo Chủ quản hệ thống thông tin, Ban Chỉ đạo ngành BHXH Việt Nam và
Cơ quan điều phối quốc gia;
c) Ban Chỉ đạo ngành BHXH Việt
Nam báo cáo Cơ quan thường trực quốc gia và Ban Chỉ đạo quốc gia.
Điều 29.
Phương án tiếp nhận, phát hiện, phân loại và xử lý ban đầu sự cố an toàn thông
tin mạng.
1. Đơn vị vận hành hệ thống
thông tin
a) Khi phát hiện sự cố: Tổ chức
theo dõi, ghi chép và tập hợp các thông tin liên quan đến sự cố và tổ chức
thông báo hoặc báo cáo sự cố theo quy định tại Điều 28 của Quy
chế này;
b) Khi tiếp nhận thông báo sự cố:
Phản hồi ngay cho tổ chức, cá nhân gửi thông báo sự cố để xác nhận thông tin;
c) Xác minh sự cố và xử lý ban
đầu: Chủ trì, phối hợp với đơn vị chuyên trách về ứng cứu sự cố để tiến hành
phân tích, xác minh, đánh giá sự cố; thực hiện ngay các hoạt động ứng cứu sự cố
ban đầu, triển khai quy trình ứng cứu sự cố theo kế hoạch ứng phó sự cố ATTT mạng
tại Kế hoạch số 3280/KH-BHXH ngày 29/08/2018 của BHXH Việt Nam, quy trình tại
Thông tư số 20/2017/TT-BTTTT ngày 12/9/2017 của Bộ Thông tin và Truyền thông và
văn bản hướng dẫn, quy định của BHXH Việt Nam; trường hợp xác định sự cố có khả
năng là sự cố nghiêm trọng, cần báo cáo ngay với Chủ quản hệ thống thông tin,
Đơn vị chuyên trách ứng cứu sự cố để đề xuất nâng cấp sự cố nghiêm trọng, triển
khai quy trình tại Quyết định số 05/2017/QĐ-TTg ngày 16/3/2017 của Thủ tướng
Chính phủ và văn bản hướng dẫn, quy định của BHXH Việt Nam, đồng thời gửi Cơ
quan điều phối quốc gia.
2. Đơn vị chuyên trách về ứng cứu
sự cố
a) Khi phát hiện sự cố: Thông
báo sự cố ngay đến Đơn vị vận hành hệ thống thông tin, Chủ quản hệ thống thông
tin và Cơ quan điều phối quốc gia;
b) Khi tiếp nhận thông báo hoặc
báo cáo sự cố: Ghi nhận, tiếp nhận thông báo, báo cáo sự cố ATTT mạng theo đúng
quy trình; phản hồi cho tổ chức, cá nhân gửi thông báo, báo cáo ban đầu ngay
sau khi nhận được để xác nhận về việc đã nhận được thông báo, báo cáo sự cố;
c) Tổ chức xác minh và xử lý sự
cố: Phối hợp với Đơn vị vận hành hệ thống thông tin để thẩm tra, xác minh và xử
lý sự cố trong khả năng và trách nhiệm của mình; trường hợp xác định sự cố có
khả năng vượt qua khả năng xử lý của mình hoặc có khả năng là sự cố nghiêm trọng,
cần thông báo ngay thông tin sự cố đến Chủ quản hệ thống thông tin và Cơ quan
điều phối quốc gia;
d) Chủ động hỗ trợ Đơn vị vận
hành hệ thống thông tin ứng cứu, xử lý sự cố trong khả năng và trách nhiệm của
mình;
đ) Giám sát diễn biến tình hình
ứng cứu sự cố và báo cáo hoặc đề xuất, xin ý kiến chỉ đạo của Chủ quản hệ thống
thông tin và Ban Chỉ đạo ngành BHXH Việt Nam trong trường hợp vượt thẩm quyền,
phạm vi trách nhiệm của mình hoặc vượt khả năng xử lý của mình;
e) Tổng hợp, báo cáo Cơ quan điều
phối quốc gia về diễn biến sự cố, theo định kỳ 6 tháng một lần và báo cáo đột
xuất khi được yêu cầu.
Chương VI
TỔ CHỨC THỰC HIỆN
Điều 30.
Trách nhiệm của Trung tâm Công nghệ thông tin
1. Là đầu mối của BHXH Việt Nam
tham gia Mạng lưới ứng cứu sự cố ATTT mạng quốc gia.
2. Phân định vai trò, trách nhiệm,
cơ chế phối hợp của các bộ phận, CCVC trong đơn vị và là thường trực Đội ứng cứu
sự cố để triển khai các nhiệm vụ bảo đảm ATTT.
3. Xây dựng các quy định, quy
trình trình BHXH Việt Nam ban hành và tổ chức thực thi chính sách ATTT thống nhất
trong toàn Ngành.
4. Thực hiện đề xuất cấp độ đối
với các hệ thống thông tin theo quy định tại Quy chế này.
5. Kiểm tra, giám sát các hoạt
động bảo đảm ATTT trong toàn Ngành.
6. Lưu hồ sơ, thông tin phản hồi
của đối tượng áp dụng trong quá trình triển khai, áp dụng chính sách ATTT.
7. Định kỳ hàng năm hoặc khi có
thay đổi chính sách ATTT, Trung tâm Công nghệ thông tin tổ chức kiểm tra lại
tính phù hợp và thực hiện rà soát, trình BHXH Việt Nam sửa đổi, bổ sung Quy chế
bảo đảm an toàn hệ thống thông tin theo cấp độ ngành BHXH Việt Nam.
8. Hàng năm xây dựng kế hoạch
và triển khai các chương trình bồi dưỡng, tập huấn chuyên sâu về ATTT cho các
nhóm đối tượng bảo đảm ATTT mạng của các đơn vị.
Điều 31.
Trách nhiệm của Đơn vị vận hành hệ thống thông tin
1. Thực hiện trách nhiệm của
Đơn vị vận hành hệ thống thông tin theo quy định tại Quy chế này và các nhiệm vụ
do Chủ quản hệ thống thông tin phân công.
2. Chỉ đạo, phân công các bộ phận
kỹ thuật thuộc đơn vị (quản lý ứng dụng; quản lý dữ liệu; vận hành hệ thống
thông tin; triển khai và hỗ trợ kỹ thuật) triển khai công tác bảo đảm ATTT
trong tất cả các công đoạn liên quan đến hệ thống thông tin.
3. Thực hiện đề xuất cấp độ đối
với các hệ thống thông tin theo quy định tại Quy chế này
4. Bố trí, phân công bộ phận hoặc
CCVC chuyên trách bảo đảm ATTT mạng cho hệ thống thông tin thuộc phạm vi quản
lý của đơn vị; thực hiện cập nhật thông tin xử lý, lưu trữ tài liệu tuân thủ
các quy định của Ngành.
5. Thực hiện các nội dung theo
quy định tại Quy chế này.
Điều 32.
Chế độ báo cáo
1. Phương thức gửi, nhận báo
cáo: Gửi qua hệ thống quản lý văn bản và điều hành.
2. Tần suất thực hiện báo cáo:
a) Định kỳ hàng năm;
b) Đột xuất theo đề nghị của cơ
quan có thẩm quyền.
3. Thời gian chốt số liệu báo
cáo định kỳ hàng năm: Tính từ ngày 15 tháng 12 năm trước kỳ báo cáo đến ngày 14
tháng 12 của kỳ báo cáo.
4. Thời hạn gửi báo cáo đối với
báo cáo định kỳ hàng năm: Đơn vị vận hành hệ thống thông tin gửi báo cáo tới
BHXH Việt Nam trước ngày 17 tháng 12 hàng năm.
5. Nội dung báo cáo đáp ứng yêu
cầu tại Điều 14 Thông tư 12/2022/TT-BTTTT ngày 12/8/2022 của
Bộ Thông tin và Truyền thông.
Điều 33. Xử
lý vi phạm
Các đơn vị, cá nhân vi phạm Quy
chế này, tùy theo tính chất, mức độ của hành vi vi phạm sẽ bị xử lý hành chính,
xử lý kỷ luật hoặc truy cứu trách nhiệm hình sự; nếu gây thiệt hại về tài sản
thì phải bồi thường theo quy định của pháp luật.
Điều 34.
Điều khoản thi hành
1. Các đơn vị trực thuộc BHXH
Việt Nam, BHXH các tỉnh, thành phố chịu trách nhiệm tổ chức triển khai thực hiện
Quy chế tại đơn vị mình.
2. Trong quá trình thực hiện
Quy chế, nếu có khó khăn, vướng mắc, các đơn vị báo cáo về BHXH Việt Nam (qua
Trung tâm CNTT) để được hỗ trợ, giải quyết./.