Phương án bảo đảm an toàn hệ thống thông tin theo cấp độ phải đảm bảo những yêu cầu gì để đúng với quy định pháp luật?
Phương án bảo đảm an toàn hệ thống thông tin theo cấp độ phải đảm bảo theo những yêu cầu gì?
Tại Điều 19 Nghị định 85/2016/NĐ-CP quy định về phương án bảo đảm an toàn hệ thống thông tin theo cấp độ như sau:
Phương án bảo đảm an toàn hệ thống thông tin theo cấp độ
1. Phương án bảo đảm an toàn hệ thống thông tin phải đáp ứng yêu cầu cơ bản trong tiêu chuẩn, quy chuẩn kỹ thuật về bảo đảm an toàn hệ thống thông tin theo cấp độ.
2. Phương án bảo đảm an toàn hệ thống thông tin bao gồm các nội dung sau đây:
a) Bảo đảm an toàn hệ thống thông tin trong khâu thiết kế, xây dựng;
b) Bảo đảm an toàn hệ thống thông tin trong quá trình vận hành;
c) Kiểm tra, đánh giá an toàn thông tin;
d) Quản lý rủi ro an toàn thông tin;
đ) Giám sát an toàn thông tin;
e) Dự phòng, ứng cứu sự cố, khôi phục sau thảm họa;
g) Kết thúc vận hành, khai thác, thanh lý, hủy bỏ.
Căn cứ theo quy định trên thì phương án bảo đảm an toàn hệ thống thông tin phải đáp ứng yêu cầu cơ bản trong tiêu chuẩn, quy chuẩn kỹ thuật về bảo đảm an toàn hệ thống thông tin theo cấp độ.
Và nội dung của các phương án đảm bảo phải có đủ theo quy định tại khoản 2 Điều 19 nêu trên.
Phương án bảo đảm an toàn hệ thống thông tin (Hình từ Internet)
Người đứng đầu của cơ quan tổ chức là chủ quản hệ thống thông tin có trách nhiệm như thế nào?
Theo khoản 1 Điều 20 Nghị định 85/2016/NĐ-CP quy định như sau:
Trách nhiệm của chủ quản hệ thống thông tin
1. Người đứng đầu của cơ quan, tổ chức là chủ quản hệ thống thông tin có trách nhiệm:
a) Trực tiếp chỉ đạo và phụ trách công tác bảo đảm an toàn thông tin trong hoạt động của cơ quan, tổ chức mình;
b) Trong trường hợp chưa có đơn vị chuyên trách về an toàn thông tin độc lập:
- Chỉ định đơn vị chuyên trách về công nghệ thông tin làm nhiệm vụ đơn vị chuyên trách về an toàn thông tin;
- Thành lập hoặc chỉ định bộ phận chuyên trách về an toàn thông tin trực thuộc đơn vị chuyên trách về công nghệ thông tin.
2. Chủ quản hệ thống thông tin có trách nhiệm:
a) Chỉ đạo đơn vị vận hành hệ thống thông tin lập hồ sơ đề xuất cấp độ; tổ chức thẩm định, phê duyệt hồ sơ đề xuất cấp độ theo quy định Nghị định này;
b) Chỉ đạo, tổ chức thực hiện phương án bảo đảm an toàn hệ thống thông tin theo cấp độ đối với hệ thống thông tin thuộc phạm vi mình quản lý theo quy định tại Điều 25, 26 và 27 của Luật an toàn thông tin mạng, Nghị định này và quy định của pháp luật liên quan;
c) Chỉ đạo, tổ chức thực hiện kiểm tra, đánh giá an toàn thông tin và quản lý rủi ro an toàn thông tin trong phạm vi cơ quan, tổ chức mình, cụ thể như sau:
- Định kỳ 02 năm thực hiện kiểm tra, đánh giá an toàn thông tin và quản lý rủi ro an toàn thông tin tổng thể trong hoạt động của cơ quan, tổ chức mình;
- Định kỳ hàng năm thực hiện kiểm tra, đánh giá an toàn thông tin và quản lý rủi ro an toàn thông tin đối với các hệ thống cấp độ 3 và cấp độ 4;
- Định kỳ 06 tháng (hoặc đột xuất khi thấy cần thiết hoặc theo yêu cầu, cảnh báo của cơ quan chức năng) thực hiện kiểm tra, đánh giá an toàn thông tin và quản lý rủi ro an toàn thông tin đối với hệ thống cấp độ 5;
- Việc kiểm tra, đánh giá an toàn thông tin và đánh giá rủi ro an toàn thông tin đối với hệ thống từ cấp độ 3 trở lên phải do tổ chức chuyên môn được cơ quan có thẩm quyền cấp phép; tổ chức sự nghiệp nhà nước có chức năng, nhiệm vụ phù hợp hoặc do tổ chức chuyên môn được cấp có thẩm quyền chỉ định thực hiện.
d) Chỉ đạo, tổ chức thực hiện đào tạo ngắn hạn, tuyên truyền, phổ biến, nâng cao nhận thức và diễn tập về an toàn thông tin, cụ thể như sau:
- Đào tạo, bồi dưỡng theo các chương trình đào tạo ngắn hạn nâng cao kiến thức, kỹ năng về an toàn thông tin cho cán bộ, công chức, viên chức làm về an toàn thông tin trong cơ quan, tổ chức mình;
- Tuyên truyền, phổ biến nâng cao nhận thức về an toàn thông tin cho cán bộ, công chức, viên chức trong cơ quan, tổ chức mình;
- Diễn tập bảo đảm an toàn thông tin trong hoạt động của cơ quan, tổ chức mình; tham gia diễn tập quốc gia và diễn tập quốc tế do Bộ Thông tin và Truyền thông tổ chức.
đ) Chỉ đạo đơn vị vận hành hệ thống thông tin phối hợp với đơn vị chức năng liên quan của Bộ Thông tin và Truyền thông trong việc triển khai thiết bị, kết nối tới hệ thống kỹ thuật xử lý, giảm thiểu tấn công mạng, hỗ trợ giám sát an toàn thông tin cho hệ thống thông tin cung cấp dịch vụ công trực tuyến, phát triển chính phủ điện tử.
Theo đó, về trách nhiệm của người đứng đầu của cơ quan, tổ chức là chủ quản hệ thống thông tin thì:
- Phải trực tiếp chỉ đạo và phụ trách công tác bảo đảm an toàn thông tin trong hoạt động của cơ quan, tổ chức mình;
- Trong trường hợp chưa có đơn vị chuyên trách về an toàn thông tin độc lập:
+ Chỉ định đơn vị chuyên trách về công nghệ thông tin làm nhiệm vụ đơn vị chuyên trách về an toàn thông tin;
+ Thành lập hoặc chỉ định bộ phận chuyên trách về an toàn thông tin trực thuộc đơn vị chuyên trách về công nghệ thông tin.
Đơn vị vận hành hệ thống thông tin có trách nhiệm gì?
Về trách nhiệm của đơn vị vận hành hệ thống thông tin được quy định tại Điều 22 Nghị định 85/2016/NĐ-CP như sau:
Trách nhiệm của đơn vị vận hành hệ thống thông tin
Đơn vị vận hành hệ thống thông tin có trách nhiệm:
1. Thực hiện xác định cấp độ an toàn hệ thống thông tin theo quy định tại Điều 14 Nghị định này;
2. Thực hiện bảo vệ hệ thống thông tin theo quy định của pháp luật và hướng dẫn, tiêu chuẩn, quy chuẩn an toàn thông tin;
3. Định kỳ đánh giá hiệu quả của các biện pháp bảo đảm an toàn thông tin, báo cáo chủ quản hệ thống thông tin Điều chỉnh nếu cần thiết;
4. Định kỳ hoặc đột xuất báo cáo công tác thực thi bảo đảm an toàn hệ thống thông tin theo yêu cầu của chủ quản hệ thống thông tin hoặc cơ quan quản lý nhà nước chuyên ngành có thẩm quyền;
5. Phối hợp, thực hiện theo yêu cầu của cơ quan chức năng liên quan của Bộ Thông tin và Truyền thông trong công tác bảo đảm an toàn thông tin.
Quý khách cần hỏi thêm thông tin về có thể đặt câu hỏi tại đây.
- Tổ chức, cá nhân liên quan đến phương tiện vận tải xuất cảnh trong việc phòng chống buôn lậu có nghĩa vụ gì?
- Có được áp dụng hình thức kỷ luật tước danh hiệu Công an nhân dân đối với cán bộ sử dụng chất gây nghiện trái phép không?
- Việc xử lý bưu gửi không có người nhận được thực hiện như thế nào? Tổ chức xử lý không đúng quy định đối với bưu gửi bị xử phạt bao nhiêu?
- Loại hình giao dịch trái phiếu doanh nghiệp riêng lẻ là gì? VSDC thực hiện thanh toán giao dịch theo phương thức nào?
- 05 căn cứ tạm đình chỉ công tác đối với cán bộ trong trường hợp cần thiết? Chế độ chính sách của cán bộ bị tạm đình chỉ công tác được thực hiện thế nào?