|
CHÍNH
PHỦ
-------
|
CỘNG
HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM
Độc lập - Tự do - Hạnh phúc
---------------
|
|
Số: 85/2016/NĐ-CP
|
Hà
Nội, ngày 01 tháng 07
năm 2016
|
NGHỊ ĐỊNH
VỀ BẢO ĐẢM AN TOÀN HỆ THỐNG THÔNG TIN THEO CẤP ĐỘ
Căn cứ Luật tổ chức Chính phủ ngày
19 tháng 6 năm 2015;
Căn cứ Luật an toàn thông tin mạng
ngày 19 tháng 11 năm 2015;
Theo đề nghị của Bộ trưởng Bộ
Thông tin và Truyền thông;
Chính phủ ban hành Nghị định về bảo đảm an toàn hệ thống thông tin theo cấp độ.
Chương I
NHỮNG QUY ĐỊNH
CHUNG
Điều 1. Phạm vi
Điều chỉnh
Nghị định này quy định chi Tiết về
tiêu chí, thẩm quyền, trình tự, thủ tục xác định cấp độ an toàn hệ thống thông
tin và trách nhiệm bảo đảm an toàn hệ thống thông tin theo từng cấp
độ.
Điều 2. Đối tượng
áp dụng
Nghị định này áp dụng đối với cơ
quan, tổ chức, cá nhân tham gia hoặc có liên quan đến hoạt
động xây dựng, thiết lập, quản lý, vận hành, nâng cấp, mở rộng hệ thống thông tin tại Việt Nam phục vụ ứng dụng
công nghệ thông tin trong hoạt động của
cơ quan, tổ chức nhà nước, ứng dụng công
nghệ thông tin trong việc cung cấp dịch vụ
trực tuyến phục vụ người dân và doanh nghiệp.
Khuyến khích tổ chức, cá nhân liên
quan khác áp dụng các quy định tại Nghị định này để bảo vệ hệ thống thông tin.
Điều 3. Giải
thích từ ngữ
Trong Nghị định này, các từ ngữ dưới
đây được hiểu như sau:
1. Chủ quản hệ thống thông tin là cơ
quan, tổ chức, cá nhân có thẩm quyền quản lý trực tiếp đối với hệ thống thông
tin. Đối với cơ quan, tổ chức nhà nước, chủ quản hệ thống thông tin là các bộ,
cơ quan ngang bộ, cơ quan thuộc Chính phủ, Ủy
ban nhân dân các tỉnh, thành phố trực thuộc trung ương hoặc là cấp có thẩm
quyền quyết định đầu tư dự án xây dựng, thiết lập, nâng cấp, mở rộng hệ thống
thông tin đó.
2. Xử lý thông tin là việc thực hiện
một hoặc một số thao tác tạo lập, cung cấp,
thu thập, biên tập, sử dụng, lưu trữ, truyền đưa, chia sẻ, trao đổi thông tin trên mạng.
3. Đơn vị vận hành hệ thống thông tin
là cơ quan, tổ chức được chủ quản hệ thống
thông tin giao nhiệm vụ vận hành hệ thống thông tin. Trong
trường hợp chủ quản hệ thống thông tin
thuê ngoài dịch vụ công nghệ thông tin,
đơn vị vận hành hệ thống thông tin là bên
cung cấp dịch vụ.
4. Đơn vị chuyên trách về công nghệ thông tin là đơn vị chuyên trách về công nghệ thông tin của các bộ, cơ quan ngang bộ, cơ
quan thuộc Chính phủ; Sở Thông tin và Truyền thông các tỉnh,
thành phố trực thuộc trung ương hoặc đơn
vị chuyên trách về công nghệ thông tin của chủ quản hệ thống thông tin do chủ quản hệ thống thông
tin chỉ định.
5. Đơn vị chuyên trách về an toàn
thông tin là đơn vị có chức năng, nhiệm vụ bảo đảm an toàn thông tin của chủ quản
hệ thống thông tin.
6. Bộ phận chuyên trách về an toàn
thông tin là bộ phận do chủ quản hệ thống thông tin thành lập hoặc chỉ định để thực thi nhiệm vụ bảo đảm an toàn thông tin và ứng cứu sự cố an
toàn thông tin mạng.
7. Dịch vụ trực tuyến là dịch vụ do
doanh nghiệp hoặc cơ quan nhà nước cung cấp trên môi trường mạng cho các tổ chức, cá nhân.
Điều 4. Nguyên tắc
bảo đảm an toàn hệ thống thông tin theo cấp độ
1. Việc bảo đảm an toàn hệ thống
thông tin theo cấp độ trong hoạt động của cơ quan, tổ chức được thực hiện thường xuyên, liên tục từ khâu thiết kế, xây dựng, vận
hành đến khi hủy bỏ; tuân thủ theo tiêu chuẩn, quy chuẩn kỹ thuật.
2. Việc bảo đảm an toàn hệ thống thông
tin theo cấp độ trong hoạt động của cơ
quan, tổ chức được thực hiện một cách tổng thể, đồng bộ, tập trung trong việc đầu
tư các giải pháp bảo vệ, có sự dùng chung, chia sẻ tài nguyên để tối ưu hiệu
năng, tránh đầu tư thừa, trùng lặp.
3. Việc phân bổ, bố trí nguồn lực để
bảo đảm an toàn hệ thống thông tin thực hiện theo thứ tự ưu tiên từ cấp độ cao
xuống cấp độ thấp.
Điều 5. Nguyên tắc
xác định cấp độ
1. Việc xác định hệ thống thông tin để xác định cấp độ căn cứ trên nguyên tắc
như sau:
a) Hệ thống thông tin chỉ có một chủ
quản hệ thống thông tin;
b) Hệ thống thông tin có thể hoạt động
độc lập, được thiết lập nhằm trực tiếp
phục vụ hoặc hỗ trợ hoạt động nghiệp vụ, sản xuất,
kinh doanh cụ thể của cơ quan, tổ chức
thuộc một trong các loại hình hệ thống thông tin quy định tại Khoản 2 Điều 6
Nghị định này.
2. Trong trường hợp hệ thống thông
tin bao gồm nhiều hệ thống thành phần, mỗi hệ thống thành phần lại tương ứng với
một cấp độ khác nhau, thì cấp độ hệ thống thông tin được xác định là cấp độ cao nhất trong các cấp độ của các hệ thống
thành phần cấu thành.
Chương II
TIÊU CHÍ XÁC ĐỊNH
CẤP ĐỘ
Điều 6. Phân loại thông tin và hệ thống thông tin
1. Thông tin xử lý thông qua hệ thống
thông tin được phân loại theo thuộc tính bí mật như sau:
a) Thông tin công cộng là thông tin
trên mạng của một tổ chức, cá nhân được công khai cho tất
cả các đối tượng mà không cần xác định danh tính, địa chỉ cụ thể của các đối tượng
đó;
b) Thông tin riêng là thông tin trên
mạng của một tổ chức, cá nhân mà tổ chức, cá nhân đó không công khai hoặc chỉ
công khai cho một hoặc một nhóm đối tượng đã được xác định danh
tính, địa chỉ cụ thể;
c) Thông tin cá nhân là thông tin
trên mạng gắn với việc xác định danh tính một người cụ thể;
d) Thông tin bí mật nhà nước là thông
tin ở mức Mật, Tối Mật, Tuyệt Mật theo quy định của pháp
luật về bảo vệ bí mật nhà nước.
2. Hệ thống thông tin được phân loại
theo chức năng phục vụ hoạt động nghiệp vụ như sau:
a) Hệ thống thông tin phục vụ
hoạt động nội bộ là hệ thống chỉ phục vụ hoạt động quản trị, vận hành nội bộ của
cơ quan, tổ chức;
b) Hệ thống thông tin phục vụ
người dân, doanh nghiệp là hệ thống trực tiếp hoặc hỗ trợ cung cấp dịch vụ trực
tuyến, bao gồm dịch vụ công trực tuyến và dịch vụ trực tuyến khác trong các
lĩnh vực viễn thông, công nghệ thông tin, thương mại, tài chính, ngân hàng, y tế,
giáo dục và các lĩnh vực chuyên ngành khác;
c) Hệ thống cơ sở hạ tầng
thông tin là tập hợp trang thiết bị, đường truyền dẫn kết nối phục vụ chung hoạt
động của nhiều cơ quan, tổ chức như mạng diện rộng, cơ sở dữ liệu, trung tâm dữ
liệu, điện toán đám mây; xác thực điện tử, chứng thực điện tử, chữ ký số; kết nối
liên thông các hệ thống thông tin;
d) Hệ thống thông tin Điều khiển
công nghiệp là hệ thống có chức năng giám sát, thu thập dữ liệu, quản lý và kiểm
soát các hạng Mục quan trọng phục vụ Điều khiển, vận hành hoạt động bình thường
của các công trình xây dựng;
đ) Hệ thống thông tin khác.
Điều 7. Tiêu chí
xác định cấp độ 1
Hệ thống thông tin cấp độ 1 là hệ thống
thông tin phục vụ hoạt động nội bộ của cơ quan, tổ
chức và chỉ xử lý thông tin công cộng.
Điều 8. Tiêu chí
xác định cấp độ 2
Hệ thống thông tin cấp độ 2 là hệ thống
thông tin có một trong các tiêu chí cụ thể như sau:
1. Hệ thống thông tin phục vụ hoạt động
nội bộ của cơ quan, tổ chức và có xử lý thông tin riêng, thông tin cá nhân của
người sử dụng nhưng không xử lý thông tin bí mật nhà nước.
2. Hệ thống thông tin phục vụ người
dân, doanh nghiệp thuộc một trong các loại hình như sau:
a) Cung cấp thông tin và dịch vụ công
trực tuyến từ mức độ 2 trở xuống theo quy định của pháp luật;
b) Cung cấp dịch vụ trực tuyến không
thuộc danh Mục dịch vụ kinh doanh có Điều kiện;
c) Cung cấp dịch vụ trực tuyến khác
có xử lý thông tin riêng, thông tin cá nhân của dưới 10.000 người sử dụng.
3. Hệ thống cơ sở hạ tầng thông tin
phục vụ hoạt động của một cơ quan, tổ chức.
Điều 9. Tiêu chí
xác định cấp độ 3
Hệ thống thông tin cấp độ 3 là hệ thống
thông tin có một trong các tiêu chí cụ thể
như sau:
1. Hệ thống thông tin xử lý thông tin
bí mật nhà nước hoặc hệ thống phục vụ quốc
phòng, an ninh khi bị phá hoại sẽ làm tổn hại tới quốc phòng, an ninh quốc gia.
2. Hệ thống thông tin phục vụ người
dân, doanh nghiệp thuộc một trong các loại
hình như sau:
a) Cung cấp thông tin và dịch vụ công
trực tuyến từ mức độ 3 trở lên theo quy định của pháp luật;
b) Cung cấp dịch vụ trực tuyến thuộc
danh Mục dịch vụ kinh doanh có Điều kiện;
c) Cung cấp dịch vụ trực tuyến khác
có xử lý thông tin riêng, thông tin cá nhân của từ 10.000 người sử dụng trở
lên.
3. Hệ thống cơ sở hạ tầng thông tin
dùng chung phục vụ hoạt động của các cơ quan, tổ chức trong phạm vi một ngành, một tỉnh hoặc một số tỉnh.
4. Hệ thống thông tin Điều khiển công
nghiệp trực tiếp phục vụ Điều khiển, vận hành hoạt động bình thường của các công
trình xây dựng cấp II, cấp III hoặc cấp IV theo phân cấp của pháp luật về xây dựng.
Điều 10. Tiêu
chí xác định cấp độ 4
Hệ thống thông tin cấp độ 4 là hệ thống
thông tin có một trong các tiêu chí cụ thể như sau:
1. Hệ thống thông tin xử lý thông tin
bí mật nhà nước hoặc hệ thống phục vụ quốc phòng, an ninh, khi bị phá hoại sẽ
làm tổn hại nghiêm trọng quốc phòng, an ninh quốc gia.
2. Hệ thống thông tin quốc gia phục vụ
phát triển Chính phủ điện tử, yêu cầu vận hành 24/7 và không chấp nhận ngừng vận
hành mà không có kế hoạch trước.
3. Hệ thống cơ sở hạ tầng thông tin
dùng chung phục vụ hoạt động của các cơ quan, tổ
chức trên phạm vi toàn quốc, yêu cầu vận hành 24/7 và không chấp nhận ngừng vận hành mà không có kế hoạch
trước.
4. Hệ thống thông tin Điều khiển công
nghiệp trực tiếp phục vụ Điều khiển, vận hành hoạt động bình thường của các
công trình xây dựng cấp I theo phân cấp của
pháp luật về xây dựng.
Điều 11. Tiêu
chí xác định cấp độ 5
Hệ thống thông tin cấp độ 5 là hệ thống
thông tin có một trong các tiêu chí cụ thể như sau:
1. Hệ thống thông tin xử lý thông tin
bí mật nhà nước hoặc hệ thống phục vụ quốc phòng, an ninh, khi bị phá hoại sẽ
làm tổn hại đặc biệt nghiêm trọng tới quốc
phòng, an ninh quốc gia.
2. Hệ thống thông tin phục vụ lưu trữ
dữ liệu tập trung đối với một số loại hình thông tin, dữ liệu đặc biệt quan trọng
của quốc gia.
3. Hệ
thống cơ sở hạ tầng thông tin quốc gia phục vụ kết nối liên thông hoạt động của Việt Nam với quốc tế.
4. Hệ thống thông tin Điều khiển công
nghiệp trực tiếp phục vụ Điều khiển, vận hành hoạt động bình thường của công
trình xây dựng cấp đặc biệt theo phân cấp của pháp luật về xây dựng hoặc công trình quan trọng liên quan đến an ninh quốc gia theo pháp luật về an ninh
quốc gia.
5. Hệ thống thông tin khác theo quyết
định của Thủ tướng Chính phủ.
Chương III
THẨM QUYỀN,
TRÌNH TỰ, THỦ TỤC XÁC ĐỊNH CẤP ĐỘ
Điều 12. Thẩm
quyền thẩm định và phê duyệt cấp độ
1. Đối với hệ thống thông tin được đề
xuất là cấp độ 1 hoặc cấp độ 2:
Đơn vị chuyên trách về an toàn thông
tin của chủ quản hệ thống thông tin thực hiện thẩm định,
phê duyệt hồ sơ đề xuất cấp độ đối với hệ thống thông tin được đề xuất là cấp độ 1 hoặc cấp độ 2.
2. Đối với hệ thống thông tin được đề
xuất là cấp độ 3:
a) Đơn
vị chuyên trách về an toàn thông tin của
chủ quản hệ thống thông tin thực hiện thẩm định hồ sơ đề xuất cấp độ;
b) Chủ quản hệ thống thông tin phê
duyệt hồ sơ đề xuất cấp độ.
3. Đối với hệ thống thông tin được đề
xuất là cấp độ 4 hoặc cấp độ 5:
a) Bộ Thông tin và Truyền
thông chủ trì, phối hợp với Bộ Quốc phòng, Bộ Công an và các bộ, ngành liên
quan thực hiện thẩm định hồ sơ đề xuất cấp độ, trừ trường hợp quy định tại Điểm
b và Điểm c Khoản 3 Điều này;
b) Bộ Quốc phòng chủ trì, phối hợp với
Bộ Thông tin và Truyền thông và bộ, ngành liên quan thực hiện thẩm định hồ sơ đề
xuất cấp độ đối với hệ thống thông tin do Bộ Quốc phòng quản lý;
c) Bộ Công an chủ trì, phối hợp với Bộ
Thông tin và Truyền thông và bộ, ngành liên quan thực hiện thẩm định hồ sơ đề
xuất cấp độ đối với hệ thống thông tin do Bộ Công an quản lý;
d) Chủ quản hệ thống thông tin phê
duyệt hồ sơ đề xuất cấp độ đối với hệ thống thông tin cấp độ 4; phê duyệt
phương án bảo đảm an toàn thông tin đối với hệ thống thông tin cấp độ 5;
đ) Thủ tướng Chính phủ phê duyệt Danh
Mục hệ thống thông tin cấp độ 5 (Danh Mục hệ thống thông tin quan trọng quốc
gia).
Điều 13. Trình tự,
thủ tục xác định cấp độ đối với dự án đầu tư xây dựng mới hoặc mở rộng, nâng cấp
hệ thống thông tin
1. Chủ đầu tư xây dựng thuyết minh đề
xuất cấp độ, lồng ghép vào nội dung của báo cáo nghiên cứu khả thi, dự án khả
thi ứng dụng công nghệ thông tin hoặc báo
cáo đầu tư của dự án, gửi cơ quan chức năng thẩm định, trình cơ quan có thẩm
quyền phê duyệt báo cáo nghiên cứu khả thi; dự án khả thi ứng dụng công nghệ thông tin hoặc báo cáo đầu tư theo quy định
của pháp luật về đầu tư và quy định Nghị định này.
2. Trong trường hợp thuê dịch vụ công
nghệ thông tin, đơn vị chủ trì thuê dịch
vụ xây dựng thuyết minh đề xuất cấp độ, lồng ghép vào nội dung của kế hoạch, dự
án thuê dịch vụ, gửi cơ quan chức năng thẩm định, trình cơ quan có thẩm quyền phê duyệt theo quy định của pháp luật
về thuê dịch vụ công nghệ thông tin và
quy định của Nghị định này.
3. Tài liệu thuyết minh đề xuất cấp độ
theo quy định tại Điều 15 Nghị định này.
Điều 14. Trình tự,
thủ tục xác định cấp độ đối với hệ thống thông tin đang vận hành
1. Lập hồ sơ đề xuất cấp độ:
a) Đơn
vị vận hành hệ thống thông tin lập hồ sơ đề xuất cấp độ theo quy định tại
Điều 15 Nghị định này;
b) Đối với hệ thống thông tin được đề
xuất là cấp độ 1 hoặc cấp độ 2:
Đơn vị vận hành hệ thống thông tin gửi
hồ sơ đề xuất cấp độ tới đơn vị thẩm định để thực hiện thẩm định theo quy định
tại Khoản 1 Điều 12 Nghị định này;
c) Đối với hệ thống thông tin được đề
xuất là cấp độ 3:
Đơn vị vận hành hệ thống thông tin gửi
hồ sơ đề xuất cấp độ tới đơn vị thẩm định để thực hiện thẩm định theo quy định
tại Điểm a Khoản 2 Điều 12 Nghị định này;
d) Đối với hệ thống thông tin được đề
xuất là cấp độ 4 hoặc cấp độ 5:
- Đơn vị vận hành hệ thống thông tin
gửi hồ sơ đề xuất cấp độ tới đơn vị
chuyên trách về an toàn thông tin của chủ quản hệ thống thông tin để xin ý kiến
chuyên môn về sự phù hợp của đề xuất cấp độ và phương án bảo
đảm an toàn hệ thống thông tin theo cấp độ;
- Đơn vị vận hành hệ thống thông tin trình
chủ quản hệ thống thông tin hồ sơ đề xuất cấp độ gửi tới cơ quan thẩm định quy
định tại Điểm a, Điểm b hoặc Điểm c Khoản 3 Điều 12 Nghị định này.
2. Thẩm định hồ sơ đề xuất cấp độ:
Cơ quan có thẩm quyền thực hiện thẩm
định hồ sơ đề xuất cấp độ theo quy định tại Điều 16 Nghị định này.
3. Phê duyệt đề xuất cấp độ:
a) Đối với hệ thống thông tin được đề
xuất là cấp độ 1 hoặc cấp độ 2:
Đơn vị chuyên trách về an toàn thông
tin của chủ quản hệ thống thông tin phê duyệt đề xuất cấp độ, gửi báo cáo chủ
quản hệ thống thông tin;
b) Đối với hệ thống thông tin được đề
xuất là cấp độ 3 hoặc cấp độ 4:
Đơn vị vận hành hệ thống thông tin
trình chủ quản hệ thống thông tin phê duyệt đề xuất cấp độ;
c) Đối với hệ thống thông tin được đề
xuất là cấp độ 5:
- Trên cơ sở kết quả thẩm định hồ sơ
đề xuất cấp độ, Bộ Thông tin và Truyền thông chủ trì, phối hợp với Bộ Quốc
phòng, Bộ Công an và bộ, ngành có liên quan trình Thủ tướng Chính phủ phê duyệt
Danh Mục hệ thống thông tin cấp độ 5;
- Đơn vị vận hành hệ thống thông tin
trình chủ quản hệ thống thông tin phê duyệt phương án bảo
đảm an toàn thông tin.
Điều 15. Hồ sơ đề
xuất cấp độ
Hồ sơ đề xuất cấp độ bao gồm:
1. Tài liệu mô tả, thuyết minh tổng
quan về hệ thống thông tin.
2. Tài liệu thiết kế là một trong những
tài liệu sau:
a) Đối với dự án đầu tư xây dựng mới
hoặc mở rộng, nâng cấp hệ thống thông tin: Thiết kế sơ bộ hoặc tài liệu có giá
trị tương đương;
b) Đối với hệ thống thông tin đang vận
hành: Thiết kế thi công đã được cấp có thẩm quyền phê duyệt hoặc tài liệu có
giá trị tương đương.
3. Tài liệu thuyết
minh về việc đề xuất cấp độ căn cứ trên các tiêu chí theo quy định của pháp luật.
4. Tài liệu thuyết minh phương án bảo
đảm an toàn thông tin theo cấp độ tương ứng.
5. Ý kiến về mặt chuyên môn của đơn vị
chuyên trách về an toàn thông tin của chủ quản hệ thống thông tin đối với hệ thống
thông tin đề xuất cấp độ 4 hoặc cấp độ 5.
Điều 16. Thẩm định
hồ sơ đề xuất cấp độ
1. Nội dung thẩm định hồ sơ đề xuất cấp
độ:
a) Sự phù hợp về việc đề xuất cấp độ;
b) Sự phù hợp của phương án bảo đảm
an toàn hệ thống thông tin trong thiết kế sơ bộ, thiết kế thi công hoặc tài liệu
có giá trị tương đương theo cấp độ tương ứng;
c) Sự phù hợp của phương án bảo đảm
an toàn hệ thống thông tin trong quá trình vận hành hệ thống theo cấp độ tương ứng.
2. Thời gian thẩm định hồ sơ xác định
cấp độ:
a) Đối với hệ thống thông tin đề xuất
cấp độ 3, thời gian thẩm định tối đa là 15 ngày kể từ ngày nhận đủ hồ sơ hợp lệ;
b) Đối với hệ thống thông tin đề xuất
cấp độ 4 hoặc cấp độ 5, thời gian thẩm định tối đa là 30 ngày kể từ ngày nhận đủ
hồ sơ hợp lệ.
Điều 17. Hồ sơ
phê duyệt đề xuất cấp độ
1. Hồ sơ phê duyệt đề xuất cấp độ bao
gồm:
a) Hồ sơ đề xuất cấp độ;
b) Ý kiến thẩm định của cơ quan chủ
trì thẩm định đối với hệ thống thông tin đề xuất từ cấp độ 3 trở lên.
2. Thời gian xử lý hồ sơ phê duyệt cấp
độ:
Thời gian xử lý tối đa là 07 ngày làm
việc kể từ ngày nhận đủ hồ sơ hợp lệ.
Điều 18. Trình tự,
thủ tục xác định lại cấp độ đối với hệ thống thông tin đã được phê duyệt cấp độ
Đối với hệ thống thông tin đã được
phê duyệt cấp độ, trong trường hợp phải
xác định lại cấp độ cho phù hợp với tình hình thực tế thì thực hiện theo trình
tự, thủ tục xác định lần đầu.
Chương IV
TRÁCH NHIỆM BẢO
ĐẢM AN TOÀN HỆ THỐNG THÔNG TIN
Điều 19. Phương án bảo đảm an toàn hệ thống thông tin theo
cấp độ
1. Phương án bảo đảm an toàn hệ
thống thông tin phải đáp ứng yêu cầu cơ bản trong tiêu chuẩn, quy chuẩn kỹ thuật
về bảo đảm an toàn hệ thống thông tin theo cấp độ.
2. Phương án bảo đảm an toàn hệ
thống thông tin bao gồm các nội dung sau đây:
a) Bảo đảm an toàn hệ thống
thông tin trong khâu thiết kế, xây dựng;
b) Bảo đảm an toàn hệ thống
thông tin trong quá trình vận hành;
c) Kiểm tra, đánh giá an toàn thông
tin;
d) Quản lý rủi ro an toàn thông tin;
đ) Giám sát an toàn thông tin;
e) Dự phòng, ứng cứu sự cố, khôi phục
sau thảm họa;
g) Kết thúc vận
hành, khai thác, thanh lý, hủy bỏ.
Điều 20. Trách
nhiệm của chủ quản hệ thống thông tin
1. Người đứng đầu của cơ quan, tổ chức
là chủ quản hệ thống thông tin có trách nhiệm:
a) Trực tiếp chỉ đạo và phụ trách công tác bảo đảm an toàn thông tin trong hoạt
động của cơ quan, tổ chức mình;
b) Trong trường hợp chưa có đơn vị
chuyên trách về an toàn thông tin độc lập:
- Chỉ định đơn vị chuyên trách về
công nghệ thông tin làm nhiệm vụ đơn vị chuyên
trách về an toàn thông tin;
- Thành lập hoặc chỉ định bộ phận
chuyên trách về an toàn thông tin trực thuộc đơn vị chuyên trách về công nghệ thông tin.
2. Chủ quản hệ thống thông tin có
trách nhiệm:
a) Chỉ đạo đơn vị vận hành hệ thống
thông tin lập hồ sơ đề xuất cấp độ; tổ chức thẩm định, phê duyệt hồ sơ đề xuất
cấp độ theo quy định Nghị định này;
b) Chỉ đạo, tổ chức thực hiện phương
án bảo đảm an toàn hệ thống thông tin theo cấp độ đối với hệ thống thông tin
thuộc phạm vi mình quản lý theo quy định tại Điều
25, 26 và 27 của Luật an toàn thông tin mạng, Nghị định này và quy định của
pháp luật liên quan;
c) Chỉ đạo, tổ chức thực hiện kiểm
tra, đánh giá an toàn thông tin và quản lý rủi ro an toàn thông tin trong phạm
vi cơ quan, tổ chức mình, cụ thể như sau:
- Định kỳ 02 năm thực hiện kiểm tra, đánh giá an toàn thông tin và quản lý rủi ro an toàn thông tin tổng
thể trong hoạt động của cơ quan, tổ chức mình;
- Định kỳ hàng năm thực hiện kiểm
tra, đánh giá an toàn thông tin và quản lý rủi ro an toàn thông tin đối với các
hệ thống cấp độ 3 và cấp độ 4;
- Định kỳ 06 tháng (hoặc đột xuất khi
thấy cần thiết hoặc theo yêu cầu, cảnh báo của cơ quan chức năng) thực hiện kiểm
tra, đánh giá an toàn thông tin và quản lý rủi ro an toàn thông tin đối với hệ
thống cấp độ 5;
- Việc kiểm tra, đánh giá an toàn
thông tin và đánh giá rủi ro an toàn thông tin đối với hệ thống từ cấp độ 3 trở
lên phải do tổ chức chuyên môn được cơ quan có thẩm quyền cấp phép; tổ chức sự
nghiệp nhà nước có chức năng, nhiệm vụ phù hợp hoặc do tổ chức chuyên môn được
cấp có thẩm quyền chỉ định thực hiện.
d) Chỉ đạo, tổ chức thực hiện đào tạo
ngắn hạn, tuyên truyền, phổ biến, nâng cao nhận thức và diễn tập về an toàn
thông tin, cụ thể như sau:
- Đào tạo, bồi dưỡng theo các chương
trình đào tạo ngắn hạn nâng cao kiến thức, kỹ năng về an toàn thông tin cho cán
bộ, công chức, viên chức làm về an toàn thông tin trong cơ quan, tổ chức mình;
- Tuyên truyền, phổ biến nâng cao nhận
thức về an toàn thông tin cho cán bộ, công chức, viên chức trong cơ quan, tổ chức
mình;
- Diễn tập bảo đảm an toàn thông tin
trong hoạt động của cơ quan, tổ chức mình; tham gia diễn tập quốc gia và diễn tập
quốc tế do Bộ Thông tin và Truyền thông tổ chức.
đ) Chỉ đạo đơn vị vận hành hệ thống
thông tin phối hợp với đơn vị chức năng liên quan của Bộ Thông tin và Truyền
thông trong việc triển khai thiết bị, kết nối tới hệ thống kỹ thuật xử lý, giảm
thiểu tấn công mạng, hỗ trợ giám sát an toàn thông tin cho hệ thống thông tin
cung cấp dịch vụ công trực tuyến, phát triển chính phủ điện tử.
Điều 21. Trách nhiệm của đơn vị chuyên trách về an
toàn thông tin của chủ quản hệ thống thông tin
1. Tham mưu, tổ chức thực thi, đôn đốc, kiểm tra, giám sát công tác bảo đảm an
toàn thông tin.
2. Thẩm định, phê duyệt hoặc cho
ý kiến về mặt chuyên môn đối với hồ sơ đề xuất cấp độ theo thẩm quyền quy định
tại Khoản 1, Khoản 2 Điều 12 và Khoản 5 Điều 15 Nghị định này.
Điều 22. Trách
nhiệm của đơn vị vận hành hệ thống thông tin
Đơn vị vận hành hệ thống thông tin có
trách nhiệm:
1. Thực hiện xác định cấp độ
an toàn hệ thống thông tin theo quy định tại Điều 14 Nghị định này;
2. Thực hiện bảo vệ hệ thống thông
tin theo quy định của pháp luật và hướng dẫn, tiêu chuẩn, quy chuẩn an toàn
thông tin;
3. Định kỳ đánh giá hiệu quả của
các biện pháp bảo đảm an toàn thông tin, báo cáo chủ quản hệ thống thông tin Điều
chỉnh nếu cần thiết;
4. Định kỳ hoặc đột xuất báo cáo công
tác thực thi bảo đảm an toàn hệ thống thông tin theo yêu cầu của chủ quản hệ thống
thông tin hoặc cơ quan quản lý nhà nước chuyên ngành có thẩm quyền;
5. Phối hợp, thực hiện theo yêu cầu của
cơ quan chức năng liên quan của Bộ Thông tin và Truyền thông trong công tác bảo
đảm an toàn thông tin.
Điều 23. Trách
nhiệm của cơ quan quản lý nhà nước
1. Bộ Thông tin và Truyền thông có
trách nhiệm:
a) Thực hiện thẩm định hồ sơ
đề xuất cấp độ theo thẩm quyền quy định tại Điểm a Khoản 3 Điều 12 Nghị định
này;
b) Xây dựng dự thảo tiêu chuẩn quốc gia, ban hành
quy chuẩn kỹ thuật quốc gia về bảo đảm an toàn thông tin theo cấp độ;
c) Hướng dẫn chi Tiết việc
xác định hệ thống thông tin quy định tại Khoản 2 Điều 6 Nghị định này;
d) Ban hành quy định, văn bản
hướng dẫn về bảo đảm an toàn hệ thống thông tin theo cấp độ; quy định về đánh
giá, chứng nhận hợp chuẩn, hợp quy về bảo đảm an toàn hệ thống thông tin theo cấp
độ;
đ) Hướng dẫn các cơ quan, tổ chức thực hiện đào tạo
ngắn hạn, tuyên truyền, phổ biến nâng cao nhận thức và diễn tập về an toàn
thông tin;
e) Quy định chi Tiết về kiểm
tra, đánh giá an toàn thông tin và quản lý rủi ro an toàn thông tin trong hoạt
động của cơ quan, tổ chức nhà nước, trừ trường hợp quy định tại Điểm d Khoản 2
và Điểm d Khoản 3 Điều này;
g) Triển khai các hệ thống hạ tầng kỹ
thuật tập trung quy mô quốc gia để xử lý, giảm thiểu tấn công mạng, hỗ trợ giám
sát an toàn thông tin cho hệ thống thông tin cung cấp dịch vụ công trực tuyến,
phát triển Chính phủ điện tử.
2. Bộ Quốc phòng có trách nhiệm:
a) Thực hiện thẩm định phương án bảo
đảm an toàn thông tin trong hồ sơ đề xuất cấp độ theo thẩm quyền quy định tại
Điểm b Khoản 3 Điều 12 Nghị định này;
b) Xây dựng dự thảo tiêu chuẩn, ban
hành quy chuẩn kỹ thuật, hướng dẫn về bảo đảm an toàn đối với hệ thống thông
tin thuộc phạm vi quản lý;
c) Hướng dẫn về tiêu chí quy định tại
Khoản 1 Điều 9, Khoản 1 Điều 10 và Khoản 1 Điều 11 Nghị định này theo chức
năng, nhiệm vụ được phân công;
d) Quy định chi Tiết về kiểm tra,
đánh giá an toàn thông tin và quản lý rủi ro an toàn thông tin trong hoạt động
của Bộ Quốc phòng.
3. Bộ Công an có trách nhiệm:
a) Thực hiện thẩm định phương án bảo
đảm an toàn thông tin trong hồ sơ đề xuất cấp độ theo thẩm quyền quy định tại
Điểm c Khoản 3 Điều 12 Nghị định này;
b) Xây dựng dự thảo tiêu chuẩn, ban
hành quy chuẩn kỹ thuật, hướng dẫn về bảo đảm an toàn đối với hệ thống thông
tin thuộc phạm vi quản lý;
c) Hướng dẫn về tiêu chí quy định tại
Khoản 1 Điều 9, Khoản 1 Điều 10 và Khoản 1 Điều 11 Nghị định này theo chức
năng, nhiệm vụ được phân công;
d) Quy định chi Tiết về kiểm tra,
đánh giá an toàn thông tin và quản lý rủi ro an toàn thông tin trong hoạt động
của Bộ Công an.
Điều 24. Kinh phí bảo đảm an toàn thông tin
1. Kinh phí thực hiện yêu cầu về an
toàn thông tin theo cấp độ trong hoạt động
của cơ quan, tổ chức nhà nước do ngân sách nhà nước bảo đảm.
2. Kinh phí đầu tư cho an toàn thông tin
sử dụng vốn đầu tư công thực hiện theo quy định của Luật đầu tư công. Đối với dự
án đầu tư công để xây dựng mới hoặc mở rộng, nâng cấp hệ thống thông tin, kinh
phí đầu tư cho an toàn thông tin theo cấp độ được bố trí trong vốn đầu tư của dự
án tương ứng.
3. Kinh phí thực hiện giám sát, đánh
giá, quản lý rủi ro an toàn thông tin; đào tạo ngắn hạn, tuyên truyền, phổ biến
nâng cao nhận thức, diễn tập an toàn thông tin và ứng cứu sự cố của cơ quan, tổ
chức nhà nước được cân đối bố trí trong dự
toán ngân sách hàng năm của cơ quan, tổ chức nhà nước đó theo phân cấp của Luật
ngân sách nhà nước.
4. Bộ Tài chính hướng dẫn Mục
chi cho công tác bảo đảm an toàn thông tin trong dự toán ngân sách, hướng dẫn
quản lý và sử dụng kinh phí sự nghiệp chi cho công tác bảo đảm an toàn thông
tin trong hoạt động của các cơ quan, tổ chức nhà nước.
5. Căn cứ nhiệm vụ được giao, cơ
quan, tổ chức nhà nước thực hiện lập dự toán, quản lý, sử dụng và quyết toán
kinh phí thực hiện nhiệm vụ bảo đảm an toàn thông tin theo quy định của Luật
ngân sách nhà nước.
Chương V
ĐIỀU KHOẢN THI
HÀNH
Điều 25. Hiệu lực
thi hành
Nghị định này có hiệu lực thi hành từ
ngày 01 tháng 7 năm 2016.
Điều 26. Tổ chức
thực hiện
1. Bộ Thông tin và Truyền thông chịu
trách nhiệm hướng dẫn, kiểm tra việc thực hiện Nghị định này.
2. Các Bộ trưởng, Thủ trưởng cơ quan
ngang bộ, Thủ trưởng cơ quan thuộc Chính phủ, Chủ tịch Ủy ban nhân dân các tỉnh, thành phố
trực thuộc trung ương và các tổ chức, cá nhân có liên quan chịu trách nhiệm thi
hành Nghị định này./.
|
Nơi nhận:
- Ban Bí thư Trung ương
Đảng;
- Thủ tướng, các Phó Thủ tướng Chính phủ;
- Các bộ, cơ quan ngang bộ, cơ quan thuộc Chính phủ;
- HĐND, UBND các tỉnh, thành phố trực thuộc trung ương;
- Văn phòng Trung ương và các Ban của Đảng;
- Văn phòng Tổng Bí thư;
- Văn phòng Chủ tịch nước;
- Hội đồng dân tộc và các Ủy ban của Quốc
hội;
- Văn phòng Quốc hội;
- Tòa án nhân dân tối cao;
- Viện kiểm sát nhân dân tối cao;
- Ủy ban Giám sát tải chính Quốc gia;
- Kiểm toán nhà nước;
- Ngân hàng Chính sách xã hội;
- Ngân hàng Phát triển Việt Nam;
- Ủy ban trung ương Mặt trận Tổ quốc Việt
Nam;
- Cơ quan trung ương của các đoàn thể;
- VPCP: BTCN, các PCN, Trợ lý TTg, TGĐ Cổng TTĐT, các Vụ, Cục, đơn vị trực thuộc,
Công báo;
- Lưu: VT, KGVX (3).KN
|
TM.
CHÍNH PHỦ
THỦ TƯỚNG
Nguyễn Xuân Phúc
|
PHỤ LỤC
MẪU VĂN BẢN XÁC ĐỊNH CẤP ĐỘ AN TOÀN HỆ THỐNG THÔNG
TIN
(Kèm theo Nghị định số 85/2016/NĐ-CP ngày 01 tháng 7 năm 2016 của Chính phủ)
|
Mẫu
số 01
|
Văn bản đề nghị thẩm định, phê duyệt
hồ sơ đề xuất cấp độ
|
|
Mẫu
số 02
|
Văn bản đề nghị thẩm định hồ sơ đề
xuất cấp độ
|
|
Mẫu
số 03
|
Văn bản xin ý kiến chuyên môn về hồ
sơ đề xuất cấp độ
|
|
Mẫu
số 04
|
Ý kiến thẩm định hồ sơ đề xuất cấp
độ
|
|
Mẫu
số 05
|
Tờ trình
phê duyệt hồ sơ đề xuất cấp độ
|
|
Mẫu
số 06
|
Quyết định phê duyệt cấp độ an toàn
hệ thống thông tin
|
|
Mẫu
số 07
|
Quyết định phê duyệt phương án bảo
đảm an toàn thông tin
|
Mẫu số 01
Kính gửi:
(Đơn vị chuyên trách về an toàn thông tin).
Căn cứ Luật an toàn thông tin mạng
ngày 19 tháng 11 năm 2015;
(Căn cứ các văn bản hướng dẫn thi hành Luật
an toàn thông tin mạng và các văn bản liên quan);
(Tên cơ quan, tổ chức) đề nghị thẩm định,
phê duyệt hồ sơ đề xuất cấp độ với các nội dung sau:
Phần 1. Thông tin chung
1. Tên hệ thống thông tin;
2. Đơn vị vận hành hệ thống thông
tin:
3. Địa chỉ:
4. Cấp độ an toàn hệ thống thông tin
đề xuất:
Phần 2. Hồ sơ kèm theo
1. Tài liệu mô tả, thuyết minh tổng
quan về hệ thống thông tin.
2. Tài liệu thiết kế thi công đã được
cấp có thẩm quyền phê duyệt hoặc tài liệu có giá trị tương đương.
3. Tài liệu thuyết minh về việc đề xuất
cấp độ căn cứ trên các tiêu chí theo quy định của pháp luật.
4. Tài liệu thuyết minh phương án bảo
đảm an toàn thông tin theo cấp độ tương ứng.
(Tên cơ quan, tổ chức) đề nghị (Đơn vị
chuyên trách về an toàn thông tin) thẩm định và phê duyệt hồ sơ đề xuất cấp độ
của hệ thống thông tin (Tên hệ thống thông tin)./.
|
Nơi nhận:
- Như trên;
- …………..
|
ĐẠI DIỆN CỦA CƠ
QUAN, TỔ CHỨC
(Ký, ghi rõ họ tên, chức danh và đóng dấu)
|
Mẫu số 02
Kính gửi:
(Đơn vị chuyên trách về an toàn thông tin)
Căn cứ Luật an toàn thông tin mạng ngày
19 tháng 11 năm 2015;
(Căn cứ các văn bản hướng dẫn thi hành Luật an toàn thông tin mạng và các văn
bản liên quan);
(Tên cơ quan, tổ chức) đề nghị (Cơ
quan thẩm định) thẩm định hồ sơ đề xuất cấp độ với các nội dung sau:
Phần 1. Thông tin chung
1. Tên hệ thống thông tin:
2. Đơn vị vận hành hệ thống thông
tin:
3. Địa chỉ:
4. Cấp độ an toàn hệ thống thông tin
đề xuất:
Phần 2. Hồ sơ kèm theo
1. Tài liệu mô tả, thuyết minh tổng
quan về hệ thống thông tin.
2. Tài liệu thiết kế thi công đã được
cấp có thẩm quyền phê duyệt hoặc tài liệu có giá trị tương đương.
3. Tài liệu thuyết minh về việc đề xuất
cấp độ căn cứ trên các tiêu chí theo quy định của pháp luật.
4. Tài liệu thuyết minh phương án bảo
đảm an toàn thông tin theo cấp độ tương ứng.
5. Ý kiến về mặt chuyên môn của đơn vị
chuyên trách về an toàn thông tin của chủ quản hệ thống thông tin (đối với hệ
thống thông tin đề xuất cấp độ 4 hoặc cấp độ 5).
(Tên cơ quan, tổ chức) đề nghị (Cơ
quan thẩm định) cho ý kiến thẩm định hồ sơ đề xuất cấp độ an
toàn hệ thống thông tin đối với (Tên hệ thống thông tin)./.
|
Nơi nhận:
- Như trên;
- …………..
|
ĐẠI DIỆN CỦA CƠ
QUAN, TỔ CHỨC
(Ký, ghi rõ họ tên, chức danh và đóng dấu)
|
Mẫu số 03
Kính gửi:
(Đơn vị chuyên trách về an toàn thông tin)
Căn cứ Luật an toàn thông tin mạng
ngày 19 tháng 11 năm 2015;
(Căn cứ các văn bản hướng dẫn thi
hành Luật an toàn thông tin mạng và các văn
bản liên quan);
(Tên cơ quan, tổ chức) đề nghị (Đơn vị chuyên trách về an toàn thông tin) cho ý
kiến chuyên môn về hồ sơ đề xuất cấp độ với các nội dung sau:
Phần 1. Thông tin chung
1. Tên hệ thống thông tin:
2. Đơn vị vận hành hệ thống thông
tin:
3. Địa chỉ:
4. Cấp độ an toàn hệ thống thông tin
đề xuất:
Phần 2. Hồ sơ kèm theo
1. Tài liệu mô tả, thuyết minh tổng
quan về hệ thống thông tin.
2. Tài liệu thiết kế thi công đã được
cấp có thẩm quyền phê duyệt hoặc tài liệu có giá trị tương đương.
3. Tài liệu thuyết minh về việc đề xuất
cấp độ căn cứ trên các tiêu chí theo quy định của pháp luật.
4. Tài liệu thuyết minh phương án bảo
đảm an toàn thông tin theo cấp độ tương ứng.
(Tên cơ quan, tổ chức) đề nghị (Đơn vị
chuyên trách về an toàn thông tin) cho ý kiến về sự phù hợp của đề xuất cấp độ
và phương án bảo đảm an toàn hệ thống thông tin theo cấp độ của hệ thống thông
tin (Tên hệ thống thông tin)./.
|
Nơi nhận:
- Như trên;
- …………..
|
ĐẠI DIỆN CỦA CƠ
QUAN, TỔ CHỨC
(Ký, ghi rõ họ tên, chức danh và đóng dấu)
|
Mẫu số 04
|
Kính gửi:
|
(Chủ quản hệ thống thông tin/
Đơn vị vận hành hệ thống thông tin).
|
(Tên cơ quan thẩm định) nhận được Công
văn số ….. ngày ….. tháng ....... năm
….. của (Tên cơ quan đề nghị) về việc thẩm định hồ sơ đề xuất cấp độ của hệ thống thông tin đối với (Tên hệ thống thông tin). Sau
khi xem xét, tổng hợp ý kiến và kết quả
thẩm định của các cơ quan, tổ chức có liên quan, (Tên cơ quan thẩm định) có ý
kiến thẩm định như sau:
Phần 1. Hồ sơ, tài liệu thẩm định
1. Tài liệu mô tả, thuyết minh tổng
quan về hệ thống thông tin.
2. Tài liệu thiết kế thi công đã được
cấp có thẩm quyền phê duyệt hoặc tài liệu có giá trị tương đương.
3. Tài liệu thuyết minh về việc đề xuất
cấp độ căn cứ trên các tiêu chí theo quy định của pháp luật.
4. Tài liệu thuyết minh phương án bảo
đảm an toàn thông tin theo cấp độ tương ứng.
5. Ý kiến về mặt chuyên môn của đơn vị chuyên trách về an toàn thông tin của chủ
quản hệ thống thông tin đối với hệ thống thông tin đề xuất cấp độ 4 hoặc
cấp độ 5.
Phần 2. Căn cứ pháp lý để thẩm định
1. Căn cứ Luật an toàn thông tin mạng
ngày 19 tháng 11 năm 2015.
2. Căn cứ các văn bản hướng dẫn thi hành Luật an toàn thông tin mạng.
2. Các căn cứ
pháp lý khác có liên quan.
Phần 3. Tổ chức thẩm định
1. Đơn vị chủ trì thẩm định:
2. Đơn vị phối hợp thẩm định:
3. Hình thức thẩm định: Tổ chức họp
hoặc lấy ý kiến bằng văn bản hoặc áp dụng cả hai hình thức
(nếu cần thiết).
Phần 4. ý kiến thẩm định
1. Tổng hợp ý kiến thẩm định
của đơn vị phối hợp theo quy định tại Khoản 3 Điều 12 Nghị
định này.
2. Ý kiến thẩm định về sự phù hợp về việc đề xuất cấp độ theo quy định tại Điều 16 Nghị định này.
3. Ý kiến khác (nếu có).
Phần 5. Kết luận
Hồ sơ đề xuất cấp độ hệ thống thông
tin là phù hợp/chưa phù hợp (nếu chưa phù hợp đề nghị chỉ rõ những nội dung
chưa phù hợp) để theo cấp độ đề xuất.
Trên đây là ý kiến
thẩm định của (Cơ quan thẩm định) cho hồ sơ đề xuất cấp độ của hệ thống thông tin
(Tên hệ thống thông tin). Đề nghị cơ quan (Tên cơ
quan đề nghị) xem xét báo cáo cấp có thẩm quyền Điều chỉnh (nếu yêu cầu Điều chỉnh)
hoặc trình cơ quan có thẩm quyền phê duyệt (nếu chấp thuận đề xuất của cơ quan
trình)./.
|
Nơi nhận:
- Như trên;
- …………..
|
ĐẠI DIỆN CỦA CƠ
QUAN, TỔ CHỨC
(Ký, ghi rõ họ tên, chức danh và đóng dấu)
|
Mẫu số 05
|
(TÊN
CƠ QUAN, TỔ CHỨC)
-------
|
CỘNG
HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM
Độc lập - Tự do - Hạnh phúc
---------------
|
|
Số:
………..
|
….., ngày ... tháng ... năm ...
|
TỜ TRÌNH
Về việc phê duyệt đề xuất cấp độ
Kính gửi:
(Cơ quan liên quan có thẩm quyền).
Căn cứ Luật an toàn thông tin mạng
ngày 19 tháng 11 năm 2015;
(Căn cứ các văn bản hướng dẫn thi hành Luật an toàn
thông tin mạng và các văn bản liên quan);
Căn cứ ý kiến thẩm định của đơn
vị chuyên trách về công nghệ thông
tin/cơ quan thẩm định;
(Tên cơ quan, tổ chức) trình phê duyệt
hồ sơ đề xuất cấp độ với các nội dung
sau:
Phần 1. Thông tin chung
1. Tên hệ thống thông tin:
2. Đơn vị vận hành hệ thống thông
tin:
3. Địa chỉ:
4. Cấp độ an toàn hệ thống thông tin
đề xuất:
Phần 2. Hồ sơ kèm theo
1. Tài liệu mô tả, thuyết minh tổng
quan về hệ thống thông tin.
2. Tài liệu thiết kế thi công đã được
cấp có thẩm quyền phê duyệt hoặc tài liệu có giá trị tương đương.
3. Tài liệu thuyết minh về việc đề xuất
cấp độ căn cứ trên các tiêu chí theo quy định của pháp luật.
4. Tài liệu thuyết minh phương án bảo
đảm an toàn thông tin theo cấp độ tương ứng.
5. Ý kiến về mặt chuyên môn của đơn vị
chuyên trách về an toàn thông tin của chủ quản hệ thống thông tin đối với hệ thống
thông tin đề xuất cấp độ 4 hoặc cấp độ 5.
6. Ý kiến thẩm định của cơ quan chủ
trì thẩm định đối với hệ thống thông tin đề xuất từ cấp độ 3 trở lên.
(Tên cơ quan) trình (Chủ quản hệ thống
thông tin) xem xét, quyết định phê duyệt đề xuất cấp độ của hệ thống thông tin
(Tên hệ thống thông tin)./.
|
Nơi nhận:
- Như trên;
- …………..
|
ĐẠI DIỆN CỦA CƠ
QUAN, TỔ CHỨC
(Ký, ghi rõ họ tên, chức danh và đóng dấu)
|
Mẫu số 06
|
(CHỦ
QUẢN HỆ THỐNG
THÔNG TIN)
-------
|
CỘNG
HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM
Độc lập - Tự do - Hạnh phúc
---------------
|
|
Số:
………..
|
….., ngày ... tháng ... năm ...
|
QUYẾT ĐỊNH
Về việc phê duyệt cấp độ an toàn hệ thống thông tin
(THỦ
TRƯỞNG CƠ QUAN TỔ CHỨC)
Căn cứ Luật an toàn thông tin mạng
ngày 19 tháng 11 năm 2015;
(Căn cứ các văn bản hướng dẫn thi
hành Luật an toàn thông tin mạng và các văn bản liên quan);
Xét đề nghị của cơ quan (Tên đơn vị đề nghị),
QUYẾT ĐỊNH:
Điều 1. Phê duyệt cấp độ an toàn hệ thống thông tin đối với (Tên hệ thống thông tin) cụ thể như sau:
1. Thông tin chung
a) Tên hệ thống thông tin:
b) Đơn vị vận
hành hệ thống thông tin:
c) Địa chỉ:
2. Cấp độ an toàn hệ thống thông tin:
(cấp độ)
3. Phương án bảo đảm an toàn thông
tin:
a) Phương án bảo đảm an toàn thông
tin trong thiết kế hệ thống thông tin tương ứng với cấp độ (cấp độ) là phù hợp
với tiêu chuẩn quốc gia (Tên tiêu chuẩn), quy chuẩn kỹ thuật quốc gia (Tên quy
chuẩn) về bảo đảm an toàn hệ thống thông tin theo cấp độ.
b) Phương án bảo đảm an toàn thông
tin trong quá trình vận hành hệ thống tương ứng với cấp độ (cấp độ) là phù hợp
với tiêu chuẩn quốc gia (Tên tiêu chuẩn), quy chuẩn kỹ thuật quốc gia (Tên quy
chuẩn) về bảo đảm an toàn hệ thống thông tin theo cấp độ.
Điều 2. Tổ chức thực hiện
1. Cơ quan (Tên đơn vị đề nghị) chịu
trách nhiệm:
a) Thực hiện trách nhiệm bảo đảm an
toàn hệ thống thông tin mình quản lý theo các quy định tại Điều 22 Nghị định
này.
b) Các nội dung khác (nếu có).
2. Trách nhiệm của các cơ quan liên
quan khác (nếu có).
Điều 3. Điều Khoản thi hành
1. Cơ quan (Tên
đơn vị đề xuất) và các cơ quan liên quan khác chịu trách nhiệm thi hành Quyết định này.
2. Đơn vị chuyên trách về an toàn
thông tin chịu trách nhiệm kiểm tra, giám sát việc thực hiện Quyết định này báo
cáo cơ quan (Chủ quản hệ thống thông tin) theo quy định của pháp luật./.
|
Nơi nhận:
-…………..;
- …………..
|
ĐẠI DIỆN CỦA CƠ
QUAN, TỔ CHỨC
(Ký, ghi rõ họ tên, chức danh và đóng dấu)
|
Mẫu số 07
|
(CHỦ
QUẢN HỆ THỐNG
THÔNG TIN)
-------
|
CỘNG
HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM
Độc lập - Tự do - Hạnh phúc
---------------
|
|
Số:
………..
|
….., ngày ... tháng ... năm ...
|
QUYẾT ĐỊNH
Về việc phê duyệt phương án bảo đảm an toàn thông
tin
(THỦ
TRƯỞNG CƠ QUAN TỔ CHỨC)
Căn cứ Luật an toàn thông tin mạng
ngày 19 tháng 11 năm 2015;
(Căn cứ các văn bản hướng dẫn thi
hành Luật an toàn thông tin mạng và các văn bản liên quan);
Xét đề nghị của cơ quan (Tên đơn vị đề nghị),
QUYẾT ĐỊNH:
Điều 1. Phê duyệt phương án bảo đảm
an toàn thông tin đối với (Tên hệ thống thông tin) cụ thể như sau:
1. Thông tin chung
a) Tên hệ thống thông tin:
b) Đơn vị vận hành hệ thống thông
tin:
c) Địa chỉ:
2. Phương án bảo đảm an toàn thông
tin:
a) Phương án bảo đảm an toàn thông
tin trong thiết kế hệ thống thông tin tương ứng với cấp độ (cấp độ) là phù hợp
với tiêu chuẩn quốc gia (Tên tiêu chuẩn), quy chuẩn kỹ thuật quốc gia (Tên quy
chuẩn) về bảo đảm an toàn hệ thống thông tin theo cấp độ.
b) Phương án bảo
đảm an toàn thông tin trong quá trình vận hành hệ thống tương ứng với cấp độ (cấp
độ) là phù hợp với tiêu chuẩn quốc gia (Tên tiêu chuẩn), quy chuẩn kỹ thuật quốc
gia (Tên quy chuẩn) về bảo đảm an toàn hệ thống thông tin theo cấp độ.
Điều 2. Tổ chức thực hiện
1. Cơ quan (Tên đơn vị đề nghị) chịu
trách nhiệm:
a) Thực hiện trách nhiệm bảo đảm an
toàn hệ thống thông tin mình quản lý theo các quy định tại Điều 22 Nghị định
này.
b) Các nội dung khác (nếu có).
2. Trách nhiệm của các cơ quan liên
quan khác (nếu có).
Điều 3. Điều Khoản thi hành
1. Cơ quan (Tên đơn vị đề xuất) và
các cơ quan liên quan khác chịu trách nhiệm thi hành Quyết định này.
2. Đơn vị chuyên trách về an toàn
thông tin chịu trách nhiệm kiểm tra, giám sát việc thực hiện
Quyết định này báo cáo cơ quan (Chủ quản hệ thống thông tin) theo quy định của
pháp luật./.
|
Nơi nhận:
-…………..;
- …………..
|
ĐẠI DIỆN CỦA CƠ
QUAN, TỔ CHỨC
(Ký, ghi rõ họ tên, chức danh và đóng dấu)
|