Tìm kiếm

Chương III Nghị định 85/2016/NĐ-CP: Thẩm quyền, trình tự, thủ tục xác định cấp độ

NGHỊ ĐỊNH 85/2016/NĐ-CP BẢO ĐẢM AN TOÀN HỆ THỐNG THÔNG TIN THEO CẤP ĐỘ

Số hiệu:	85/2016/NĐ-CP	Loại văn bản:	Nghị định
Nơi ban hành:	Chính phủ	Người ký:	Nguyễn Xuân Phúc
Ngày ban hành:	01/07/2016	Ngày hiệu lực:	01/07/2016
Ngày công báo:	02/08/2016	Số công báo:	Từ số 805 đến số 806
Lĩnh vực:	Công nghệ thông tin	Tình trạng:	Còn hiệu lực

TÓM TẮT VĂN BẢN

Nghị định 85/2016/NĐ-CP quy định chi tiết về tiêu chí, thẩm quyền, trình tự, thủ tục xác định cấp độ an toàn hệ thống thông tin và trách nhiệm bảo đảm an toàn hệ thống thông tin theo từng cấp độ đối với cơ quan, tổ chức, cá nhân tham gia hoặc có liên quan đến hoạt động thông tin tại Việt Nam.

1. Tiêu chí xác định cấp độ

- Nghị định số 85 phân loại thông tin theo thuộc tính bí mật gồm: Thông tin công cộng, thông tin riêng, thông tin cá nhân và thông tin bí mật nhà nước. Còn hệ thống thông tin được phân loại theo chức năng phục vụ hoạt động nghiệp vụ gồm: Hệ thống thông tin phục vụ hoạt động nội bộ; hệ thống thông tin phục vụ người dân, doanh nghiệp; hệ thống cơ sở hạ tầng thông tin; hệ thống điều khiển công nghiệp và hệ thống thông tin khác.

Tiêu chí xác định cấp độ từ cấp độ 01 đến cấp độ 05 của thông tin được quy định cụ thể tại Nghị định 85/2016. Mỗi cấp độ có những tiêu chí riêng và từ cấp độ 01 đến cấp độ 05, thông tin sẽ theo hướng tăng dần về phạm vi sử dụng thông tin, tính quan trọng và bảo mật của thông tin. Đơn cử hệ thống thông tin cấp độ 1 là hệ thống thông tin phục vụ hoạt động nội bộ của cơ quan, tổ chức và chỉ xử lý thông tin công cộng.

2. Thẩm quyền, trình tự và thủ tục xác định cấp độ

Theo Nghị định số 85 năm 2016, thẩm quyền thẩm định và phê duyệt cấp độ như sau:

- Cấp độ 1 và 2 sẽ do đơn vị chuyên trách về an toàn thông tin của chủ quản hệ thống thông tin thẩm định, phê duyệt.

- Cấp độ 3 sẽ do đơn vị chuyên trách về an toàn thông tin thẩm định hồ sơ đề xuất cấp độ và chủ quản hệ thống thông tin sẽ phê duyệt đối với hồ sơ đó.

- Thẩm quyền đối với cấp độ 4 và 5 được quy định như sau: Bộ Công an, Bộ Quốc phòng chủ trì thẩm định hồ sơ trong phạm vi quản lý của mình; Bộ Thông tin và truyền thông chủ trì thẩm định hồ sơ trừ trường hợp thuộc thẩm quyền của Bộ Quốc phòng và Bộ Công an; chủ quản hệ thống phê duyệt hồ sơ cấp độ 4 và phương án bảo đảm an toàn thông tin cấp độ 5; thủ tướng Chính phủ phê duyệt Danh mục hệ thống thông tin cấp độ 5.

Ngoài ra, Nghị định 85/NĐ-CP còn hướng dẫn hồ sơ đề xuất cấp độ gồm: Tài liệu tổng quan về hệ thống thông tin; tài liệu thiết kế; tài liệu thuyết minh về việc đề xuất cấp độ; tài liệu thuyết minh phương án bảo đảm an toàn thông tin; ý kiến về mặt chuyên môn của cơ quan chuyên trách về an toàn thông tin đối với hệ thống thông tin đề xuất cấp độ 4 hoặc cấp độ 5.

Nội dung của việc thẩm định hồ sơ đề xuất cấp độ là: Sự phù hợp của đề xuất; sự phù hợp của phương án bảo đảm an toàn hệ thống thông tin trong thiết kế và sự phù hợp của phương án bảo đảm an toàn hệ thống thông tin trong quá trình vận hành. Nghị định số 85/CP quy đình thời gian phê duyệt hồ sơ xác định cấp độ là 07 ngày kể từ ngày nhận hồ sơ hợp lệ.

3. Trách nhiệm bảo đảm hệ thống an toàn thông tin

Phương án bảo đảm an toàn hệ thống thông tin phải đáp ứng yêu cầu cơ bản trong tiêu chuẩn, quy chuẩn kỹ thuật về bảo đảm an toàn hệ thống thông tin theo cấp độ, gồm các nội dung sau: Bảo đảm an toàn trong thiết kế, xây dựng, vận hành; kiểm tra đánh giá, giám sát, quản lý rủi ro an toàn thông tin; dự phòng, ứng cứu sự cố, khôi phục sau thảm họa; kết thúc vận hành, khai thác, thanh lý, hủy bỏ.

Nghị định 85/2016/NĐ-CP có hiệu lực ngày 01/7/2016.

Văn bản tiếng việt

Nghị định 85/2016/NĐ-CP (Bản Word)

Nghị định 85/2016/NĐ-CP (Bản Pdf)

Văn bản tiếng anh

* Lưu ý: Để đọc được văn bản tải trên vietjack.me, bạn cần cài phần mềm đọc file DOC, DOCX và phần mềm đọc file PDF.

Chương III

Thẩm quyền, trình tự, thủ tục xác định cấp độ

Điều 12. Thẩm quyền thẩm định và phê duyệt cấp độ

1. Đối với hệ thống thông tin được đề xuất là cấp độ 1 hoặc cấp độ 2:

Đơn vị chuyên trách về an toàn thông tin của chủ quản hệ thống thông tin thực hiện thẩm định, phê duyệt hồ sơ đề xuất cấp độ đối với hệ thống thông tin được đề xuất là cấp độ 1 hoặc cấp độ 2.

2. Đối với hệ thống thông tin được đề xuất là cấp độ 3:

a) Đơn vị chuyên trách về an toàn thông tin của chủ quản hệ thống thông tin thực hiện thẩm định hồ sơ đề xuất cấp độ;

b) Chủ quản hệ thống thông tin phê duyệt hồ sơ đề xuất cấp độ.

3. Đối với hệ thống thông tin được đề xuất là cấp độ 4 hoặc cấp độ 5:

a) Bộ Thông tin và Truyền thông chủ trì, phối hợp với Bộ Quốc phòng, Bộ Công an và các bộ, ngành liên quan thực hiện thẩm định hồ sơ đề xuất cấp độ, trừ trường hợp quy định tại Điểm b và Điểm c Khoản 3 Điều này;

b) Bộ Quốc phòng chủ trì, phối hợp với Bộ Thông tin và Truyền thông và bộ, ngành liên quan thực hiện thẩm định hồ sơ đề xuất cấp độ đối với hệ thống thông tin do Bộ Quốc phòng quản lý;

c) Bộ Công an chủ trì, phối hợp với Bộ Thông tin và Truyền thông và bộ, ngành liên quan thực hiện thẩm định hồ sơ đề xuất cấp độ đối với hệ thống thông tin do Bộ Công an quản lý;

d) Chủ quản hệ thống thông tin phê duyệt hồ sơ đề xuất cấp độ đối với hệ thống thông tin cấp độ 4; phê duyệt phương án bảo đảm an toàn thông tin đối với hệ thống thông tin cấp độ 5;

đ) Thủ tướng Chính phủ phê duyệt Danh Mục hệ thống thông tin cấp độ 5 (Danh Mục hệ thống thông tin quan trọng quốc gia).

Điều 13. Trình tự, thủ tục xác định cấp độ đối với dự án đầu tư xây dựng mới hoặc mở rộng, nâng cấp hệ thống thông tin

1. Chủ đầu tư xây dựng thuyết minh đề xuất cấp độ, lồng ghép vào nội dung của báo cáo nghiên cứu khả thi, dự án khả thi ứng dụng công nghệ thông tin hoặc báo cáo đầu tư của dự án, gửi cơ quan chức năng thẩm định, trình cơ quan có thẩm quyền phê duyệt báo cáo nghiên cứu khả thi; dự án khả thi ứng dụng công nghệ thông tin hoặc báo cáo đầu tư theo quy định của pháp luật về đầu tư và quy định Nghị định này.

2. Trong trường hợp thuê dịch vụ công nghệ thông tin, đơn vị chủ trì thuê dịch vụ xây dựng thuyết minh đề xuất cấp độ, lồng ghép vào nội dung của kế hoạch, dự án thuê dịch vụ, gửi cơ quan chức năng thẩm định, trình cơ quan có thẩm quyền phê duyệt theo quy định của pháp luật về thuê dịch vụ công nghệ thông tin và quy định của Nghị định này.

3. Tài liệu thuyết minh đề xuất cấp độ theo quy định tại Điều 15 Nghị định này.

Điều 14. Trình tự, thủ tục xác định cấp độ đối với hệ thống thông tin đang vận hành

1. Lập hồ sơ đề xuất cấp độ:

a) Đơn vị vận hành hệ thống thông tin lập hồ sơ đề xuất cấp độ theo quy định tại Điều 15 Nghị định này;

b) Đối với hệ thống thông tin được đề xuất là cấp độ 1 hoặc cấp độ 2:

Đơn vị vận hành hệ thống thông tin gửi hồ sơ đề xuất cấp độ tới đơn vị thẩm định để thực hiện thẩm định theo quy định tại Khoản 1 Điều 12 Nghị định này;

c) Đối với hệ thống thông tin được đề xuất là cấp độ 3:

Đơn vị vận hành hệ thống thông tin gửi hồ sơ đề xuất cấp độ tới đơn vị thẩm định để thực hiện thẩm định theo quy định tại Điểm a Khoản 2 Điều 12 Nghị định này;

d) Đối với hệ thống thông tin được đề xuất là cấp độ 4 hoặc cấp độ 5:

- Đơn vị vận hành hệ thống thông tin gửi hồ sơ đề xuất cấp độ tới đơn vị chuyên trách về an toàn thông tin của chủ quản hệ thống thông tin để xin ý kiến chuyên môn về sự phù hợp của đề xuất cấp độ và phương án bảo đảm an toàn hệ thống thông tin theo cấp độ;

- Đơn vị vận hành hệ thống thông tin trình chủ quản hệ thống thông tin hồ sơ đề xuất cấp độ gửi tới cơ quan thẩm định quy định tại Điểm a, Điểm b hoặc Điểm c Khoản 3 Điều 12 Nghị định này.

2. Thẩm định hồ sơ đề xuất cấp độ:

Cơ quan có thẩm quyền thực hiện thẩm định hồ sơ đề xuất cấp độ theo quy định tại Điều 16 Nghị định này.

3. Phê duyệt đề xuất cấp độ:

a) Đối với hệ thống thông tin được đề xuất là cấp độ 1 hoặc cấp độ 2:

Đơn vị chuyên trách về an toàn thông tin của chủ quản hệ thống thông tin phê duyệt đề xuất cấp độ, gửi báo cáo chủ quản hệ thống thông tin;

b) Đối với hệ thống thông tin được đề xuất là cấp độ 3 hoặc cấp độ 4:

Đơn vị vận hành hệ thống thông tin trình chủ quản hệ thống thông tin phê duyệt đề xuất cấp độ;

c) Đối với hệ thống thông tin được đề xuất là cấp độ 5:

- Trên cơ sở kết quả thẩm định hồ sơ đề xuất cấp độ, Bộ Thông tin và Truyền thông chủ trì, phối hợp với Bộ Quốc phòng, Bộ Công an và bộ, ngành có liên quan trình Thủ tướng Chính phủ phê duyệt Danh Mục hệ thống thông tin cấp độ 5;

- Đơn vị vận hành hệ thống thông tin trình chủ quản hệ thống thông tin phê duyệt phương án bảo đảm an toàn thông tin.

Điều 15. Hồ sơ đề xuất cấp độ

Hồ sơ đề xuất cấp độ bao gồm:

1. Tài liệu mô tả, thuyết minh tổng quan về hệ thống thông tin.

2. Tài liệu thiết kế là một trong những tài liệu sau:

a) Đối với dự án đầu tư xây dựng mới hoặc mở rộng, nâng cấp hệ thống thông tin: Thiết kế sơ bộ hoặc tài liệu có giá trị tương đương;

b) Đối với hệ thống thông tin đang vận hành: Thiết kế thi công đã được cấp có thẩm quyền phê duyệt hoặc tài liệu có giá trị tương đương.

3. Tài liệu thuyết minh về việc đề xuất cấp độ căn cứ trên các tiêu chí theo quy định của pháp luật.

4. Tài liệu thuyết minh phương án bảo đảm an toàn thông tin theo cấp độ tương ứng.

5. Ý kiến về mặt chuyên môn của đơn vị chuyên trách về an toàn thông tin của chủ quản hệ thống thông tin đối với hệ thống thông tin đề xuất cấp độ 4 hoặc cấp độ 5.

Điều 16. Thẩm định hồ sơ đề xuất cấp độ

1. Nội dung thẩm định hồ sơ đề xuất cấp độ:

a) Sự phù hợp về việc đề xuất cấp độ;

b) Sự phù hợp của phương án bảo đảm an toàn hệ thống thông tin trong thiết kế sơ bộ, thiết kế thi công hoặc tài liệu có giá trị tương đương theo cấp độ tương ứng;

c) Sự phù hợp của phương án bảo đảm an toàn hệ thống thông tin trong quá trình vận hành hệ thống theo cấp độ tương ứng.

2. Thời gian thẩm định hồ sơ xác định cấp độ:

a) Đối với hệ thống thông tin đề xuất cấp độ 3, thời gian thẩm định tối đa là 15 ngày kể từ ngày nhận đủ hồ sơ hợp lệ;

b) Đối với hệ thống thông tin đề xuất cấp độ 4 hoặc cấp độ 5, thời gian thẩm định tối đa là 30 ngày kể từ ngày nhận đủ hồ sơ hợp lệ.

Điều 17. Hồ sơ phê duyệt đề xuất cấp độ

1. Hồ sơ phê duyệt đề xuất cấp độ bao gồm:

a) Hồ sơ đề xuất cấp độ;

b) Ý kiến thẩm định của cơ quan chủ trì thẩm định đối với hệ thống thông tin đề xuất từ cấp độ 3 trở lên.

2. Thời gian xử lý hồ sơ phê duyệt cấp độ:

Thời gian xử lý tối đa là 07 ngày làm việc kể từ ngày nhận đủ hồ sơ hợp lệ.

Điều 18. Trình tự, thủ tục xác định lại cấp độ đối với hệ thống thông tin đã được phê duyệt cấp độ

Đối với hệ thống thông tin đã được phê duyệt cấp độ, trong trường hợp phải xác định lại cấp độ cho phù hợp với tình hình thực tế thì thực hiện theo trình tự, thủ tục xác định lần đầu.

Chapter III

AUTHORITY, PROCEDURE AND FORMALITIES OF CLASSIFICATION

Article 12. Authority to verify and validate classifications

1. For an information system to be given class 1 or class 2:

The specialized information security unit of the administrator of the information system shall verify and validate the proposal for the classification of the information system at class 1 or class 2.

2. For an information system to be given class 3:

a) The specialized information security unit of the administrator of the information system shall verify the classification proposal;

b) The administrator of the information system shall validate the classification proposal.

3. For an information system to be given class 4 or class 5:

a) Ministry of Information and Communications shall lead and cooperate with the Ministry of National Defense and Ministry of Public Security in verifying the classification proposal, unless otherwise governed by Point b and Point c, Section 3 of this Article;

b) Ministry of National Defense shall lead and cooperate with the Ministry of Information and Communications, relevant ministries and bodies in verifying the proposal for classification of information systems under the management of the Ministry of National Defense;

c) Ministry of Public Security shall lead and cooperate with the Ministry of Information and Communications, relevant ministries and bodies in verifying the proposal for classification of information systems under the management of the Ministry of Public Security;

d) The administrator of such information systems shall validate the proposal for classification of the information systems at class 4 and validate the information security proposal of the information systems classified at class 5;

dd) Prime Minister shall validate the list of information systems classified at class 5 (List of national vital information systems).

Article 13. Procedure and formalities for classification upon new investment projects or expansion and upgrade of information systems

1. The investor shall provide and include explanations of the classification proposal in the feasibility study report, the scheme of the information technology application feasibility project or the investment report of the project. Such report shall be sent to functional agencies for verification and to the authorities competent to validate the feasibility study report, the scheme of the information technology application feasibility project or the investment report in accordance with the laws on investment and this Decree.

2. If outsourcing information technology services, the leading outsourcer shall formulate and include explanations of the classification in the plan and/or the scheme of the outsourcing project, which shall be delivered to functional agencies for verification and to competent authorities for validation as per the laws on outsourcing of information technology services and in accordance with this Decree.

3. Documents that explain the classification are defined in Article 15 of this Decree.

Article 14. Procedure and formalities for classification of information systems in operation

1. Proposal of classification:

a) The operator of the information system shall prepare the classification proposal as defined in Article 15 of this Decree;

b) For an information system to be given class 1 or class 2:

The operator of the information system shall submit the classification proposal to the verification body according to Section 1, Article 12 of this Decree;

c) For an information system to be given class 3:

The operator of the information system shall submit the classification proposal to the verification body according to Point a, Section 2, Article 12 of this Decree;

d) For an information system to be given class 4 or class 5:

- The operator of the information system shall submit the classification proposal to the specialized information security unit of the administrator of such system for professional advice on the pertinence of the proposal and on the solutions for securing the information system as classified;

- The operator of the information system shall provide the administrator of the information system with the classification proposal that is sent to the verification body as stated in Point a, Point b or Point c, Section 3, Article 12 of this Decree.

2. Verification of classification proposals:

The authorities competent to verify classification proposals are defined in Article 16 of this Decree.

3. Validation of classification proposals:

a) For an information system to be given class 1 or class 2:

The specialized information security unit of the administrator of the information system shall validate the classification proposal and report to the administrator;

b) For an information system to be given class 3 or class 4:

The operator of the information system shall present the classification proposal to the administrator of such system for validation;

c) For an information system to be given class 5:

- Ministry of Information and Communications shall base on the result of verification of the classification proposal to lead and cooperate with the Ministry of National Defense, Ministry of Public Security, relevant ministries and bodies in presenting the list of information systems classified at class 5 to the Prime Minister for validation;

- The operator of the information system shall present the information security scheme to the administrator of such system for validation;

Article 15. Documents in the classification proposal

A classification proposal includes:

1. Documents that describe and explain the information system in general.

2. Design documents comprised of:

a) For new investment projects or expansion and upgrade of information systems: The preliminary design or equivalent documents;

b) For information systems in operation: The construction design validated by a competent authority or equivalent documents.

3. Documents that explain the criteria-based classification in conformity to the law.

4. Documents that explain the scheme of information security by classification.

5. Professional opinion(s) of the specialized information security unit of the administrator of the information system to be classified at class 4 or class 5.

Article 16. Verification of classification proposals

1. The following details in the classification proposal shall be verified:

a) The compatibility of the classification;

b) The compatibility of the scheme for securing the information system by classification as indicated in the preliminary design, construction design or equivalent documents;

c) The pertinence of the scheme for securing the information system to the operation of the system by classification.

2. Time limit for verification of classification proposals:

a) A valid proposal for classification of an information system at class 3, when received in full, shall be verified in at most 15 days.

b) A valid proposal for classification of an information system at class 4 or class 5, when received in full, shall be verified in at most 30 days.

Article 17. Validation of classification proposals

1. The validation of a classification proposal shall include:

a) The classification proposal;

b) Opinion(s) of verification of the verification body for information systems classified at class 3 or higher.

2. Time limit for validation of classification proposals:

Valid documents, when received in full, shall be processed in at most 07 working days.

Article 18. Procedure and formalities for re-classification of information systems with a validated class

The re-classification of information systems with a validated class, if required according to actual circumstances, shall adhere to the procedure and formalities for initial classification.

Tình trạng hiệu lực: Còn hiệu lực

Văn bản tiếng việt

Nghị định 85/2016/NĐ-CP (Bản Word)

Nghị định 85/2016/NĐ-CP (Bản Pdf)

Văn bản tiếng anh

* Lưu ý: Để đọc được văn bản tải trên vietjack.me, bạn cần cài phần mềm đọc file DOC, DOCX và phần mềm đọc file PDF.

1 40 lượt xem

Trang trước

Trang sau

Chương III Nghị định 85/2016/NĐ-CP: Thẩm quyền, trình tự, thủ tục xác định cấp độ

TÓM TẮT VĂN BẢN

1. Tiêu chí xác định cấp độ

2. Thẩm quyền, trình tự và thủ tục xác định cấp độ

3. Trách nhiệm bảo đảm hệ thống an toàn thông tin

Văn bản tiếng việt

Văn bản tiếng anh

Cập nhật

Văn bản tiếng việt

Văn bản tiếng anh

Giới thiệu

Liên kết

Kết nối

Bài viết mới nhất

Câu hỏi mới nhất