Chương I Nghị định 85/2016/NĐ-CP: Những quy định chung
Số hiệu: | 85/2016/NĐ-CP | Loại văn bản: | Nghị định |
Nơi ban hành: | Chính phủ | Người ký: | Nguyễn Xuân Phúc |
Ngày ban hành: | 01/07/2016 | Ngày hiệu lực: | 01/07/2016 |
Ngày công báo: | 02/08/2016 | Số công báo: | Từ số 805 đến số 806 |
Lĩnh vực: | Công nghệ thông tin | Tình trạng: | Còn hiệu lực |
TÓM TẮT VĂN BẢN
Nghị định 85/2016/NĐ-CP quy định chi tiết về tiêu chí, thẩm quyền, trình tự, thủ tục xác định cấp độ an toàn hệ thống thông tin và trách nhiệm bảo đảm an toàn hệ thống thông tin theo từng cấp độ đối với cơ quan, tổ chức, cá nhân tham gia hoặc có liên quan đến hoạt động thông tin tại Việt Nam.
1. Tiêu chí xác định cấp độ
2. Thẩm quyền, trình tự và thủ tục xác định cấp độ
3. Trách nhiệm bảo đảm hệ thống an toàn thông tin
Văn bản tiếng việt
Văn bản tiếng anh
Nghị định này áp dụng đối với cơ quan, tổ chức, cá nhân tham gia hoặc có liên quan đến hoạt động xây dựng, thiết lập, quản lý, vận hành, nâng cấp, mở rộng hệ thống thông tin tại Việt Nam phục vụ ứng dụng công nghệ thông tin trong hoạt động của cơ quan, tổ chức nhà nước, ứng dụng công nghệ thông tin trong việc cung cấp dịch vụ trực tuyến phục vụ người dân và doanh nghiệp.
Khuyến khích tổ chức, cá nhân liên quan khác áp dụng các quy định tại Nghị định này để bảo vệ hệ thống thông tin.
Trong Nghị định này, các từ ngữ dưới đây được hiểu như sau:
1. Chủ quản hệ thống thông tin là cơ quan, tổ chức, cá nhân có thẩm quyền quản lý trực tiếp đối với hệ thống thông tin. Đối với cơ quan, tổ chức nhà nước, chủ quản hệ thống thông tin là các bộ, cơ quan ngang bộ, cơ quan thuộc Chính phủ, Ủy ban nhân dân các tỉnh, thành phố trực thuộc trung ương hoặc là cấp có thẩm quyền quyết định đầu tư dự án xây dựng, thiết lập, nâng cấp, mở rộng hệ thống thông tin đó.
2. Xử lý thông tin là việc thực hiện một hoặc một số thao tác tạo lập, cung cấp, thu thập, biên tập, sử dụng, lưu trữ, truyền đưa, chia sẻ, trao đổi thông tin trên mạng.
3. Đơn vị vận hành hệ thống thông tin là cơ quan, tổ chức được chủ quản hệ thống thông tin giao nhiệm vụ vận hành hệ thống thông tin. Trong trường hợp chủ quản hệ thống thông tin thuê ngoài dịch vụ công nghệ thông tin, đơn vị vận hành hệ thống thông tin là bên cung cấp dịch vụ.
4. Đơn vị chuyên trách về công nghệ thông tin là đơn vị chuyên trách về công nghệ thông tin của các bộ, cơ quan ngang bộ, cơ quan thuộc Chính phủ; Sở Thông tin và Truyền thông các tỉnh, thành phố trực thuộc trung ương hoặc đơn vị chuyên trách về công nghệ thông tin của chủ quản hệ thống thông tin do chủ quản hệ thống thông tin chỉ định.
5. Đơn vị chuyên trách về an toàn thông tin là đơn vị có chức năng, nhiệm vụ bảo đảm an toàn thông tin của chủ quản hệ thống thông tin.
6. Bộ phận chuyên trách về an toàn thông tin là bộ phận do chủ quản hệ thống thông tin thành lập hoặc chỉ định để thực thi nhiệm vụ bảo đảm an toàn thông tin và ứng cứu sự cố an toàn thông tin mạng.
7. Dịch vụ trực tuyến là dịch vụ do doanh nghiệp hoặc cơ quan nhà nước cung cấp trên môi trường mạng cho các tổ chức, cá nhân.
1. Việc bảo đảm an toàn hệ thống thông tin theo cấp độ trong hoạt động của cơ quan, tổ chức được thực hiện thường xuyên, liên tục từ khâu thiết kế, xây dựng, vận hành đến khi hủy bỏ; tuân thủ theo tiêu chuẩn, quy chuẩn kỹ thuật.
2. Việc bảo đảm an toàn hệ thống thông tin theo cấp độ trong hoạt động của cơ quan, tổ chức được thực hiện một cách tổng thể, đồng bộ, tập trung trong việc đầu tư các giải pháp bảo vệ, có sự dùng chung, chia sẻ tài nguyên để tối ưu hiệu năng, tránh đầu tư thừa, trùng lặp.
3. Việc phân bổ, bố trí nguồn lực để bảo đảm an toàn hệ thống thông tin thực hiện theo thứ tự ưu tiên từ cấp độ cao xuống cấp độ thấp.
1. Việc xác định hệ thống thông tin để xác định cấp độ căn cứ trên nguyên tắc như sau:
a) Hệ thống thông tin chỉ có một chủ quản hệ thống thông tin;
b) Hệ thống thông tin có thể hoạt động độc lập, được thiết lập nhằm trực tiếp phục vụ hoặc hỗ trợ hoạt động nghiệp vụ, sản xuất, kinh doanh cụ thể của cơ quan, tổ chức thuộc một trong các loại hình hệ thống thông tin quy định tại Khoản 2 Điều 6 Nghị định này.
2. Trong trường hợp hệ thống thông tin bao gồm nhiều hệ thống thành phần, mỗi hệ thống thành phần lại tương ứng với một cấp độ khác nhau, thì cấp độ hệ thống thông tin được xác định là cấp độ cao nhất trong các cấp độ của các hệ thống thành phần cấu thành.
This Decree defines criteria, authority, procedures and formalities to classify the safety of information systems and responsibilities for securing information systems by classification.
This Decree applies to organizations and individuals participating or being involved in the construction, configuration, administration, operation, upgrade and expansion of Vietnam-based information systems that service the application of information technology in the activities of government bodies and agencies and in the provision of online services to the people and enterprises.
Relevant entities are encouraged to adopt this Decree for protecting their information systems.
In this Decree, the following words and phrases are construed as follows:
1. Administrators of an information system refer to authorities, organizations and individuals given authority to manage the information system directly. In government bodies and agencies, administrators of information systems refer to ministers, ministerial-level bodies, government agencies, provincial People's Committees or entities given discretion in investment projects for the construction, configuration, upgrade and expansion of such information systems.
2. Processing of information refers to the action(s) of generating, providing, collecting, editing, using, storing, transmitting, sharing and exchanging information online.
3. Operators of an information system refer to agencies and organizations that the administrators of the information system designate to operate such system. If the administrators of an information system outsource information technology services, the operators of the information system shall be providers of such services.
4. Specialized information technology units have a functional role in information technology in ministries, ministerial-level bodies, government agencies, provincial Departments of Information and Communications and in the administrators of information systems, which are designated by such administrators.
5. Specialized information security units bear functions and missions to secure the data for administrators of information systems.
6. Information security divisions are formed or designated by administrators of information systems to carry out missions of securing data and responding to network-related information issues.
7. Online services are provided by enterprises or government agencies over a network to organizations and individuals.
Article 4. Principles of security of information systems by classification
1. Information systems concerning operations of agencies and organizations shall be secured by classification into a routine and on the basis of continuity in design, construction, operation and termination in accordance with standards and technical regulations.
2. Information systems concerning operations of agencies and organizations shall be secured comprehensively, synchronously and centrally with regard to investing in protective solutions and sharing resources to optimize performance and preclude redundant and overlapping investments.
3. Resources to secure information systems shall be allocated in descending order of priority.
Article 5. Principles of classification
1. The identification of an information system for later classification is subject to these principles:
a) The information system is solely subjected to an administrator;
b) The information system can operate independently and takes shape to service or facilitate professional operations and specific business activities of organizations and agencies, as defined in Section 2, Article 6 of this Decree.
2. If an information system is comprised of various constituent systems classified differently, the entire system shall adopt the highest among classifications of constituent systems.