Chương III Nghị định 85/2016/NĐ-CP: Thẩm quyền, trình tự, thủ tục xác định cấp độ
Số hiệu: | 85/2016/NĐ-CP | Loại văn bản: | Nghị định |
Nơi ban hành: | Chính phủ | Người ký: | Nguyễn Xuân Phúc |
Ngày ban hành: | 01/07/2016 | Ngày hiệu lực: | 01/07/2016 |
Ngày công báo: | 02/08/2016 | Số công báo: | Từ số 805 đến số 806 |
Lĩnh vực: | Công nghệ thông tin | Tình trạng: | Còn hiệu lực |
TÓM TẮT VĂN BẢN
Nghị định 85/2016/NĐ-CP quy định chi tiết về tiêu chí, thẩm quyền, trình tự, thủ tục xác định cấp độ an toàn hệ thống thông tin và trách nhiệm bảo đảm an toàn hệ thống thông tin theo từng cấp độ đối với cơ quan, tổ chức, cá nhân tham gia hoặc có liên quan đến hoạt động thông tin tại Việt Nam.
1. Tiêu chí xác định cấp độ
2. Thẩm quyền, trình tự và thủ tục xác định cấp độ
3. Trách nhiệm bảo đảm hệ thống an toàn thông tin
Văn bản tiếng việt
Văn bản tiếng anh
1. Đối với hệ thống thông tin được đề xuất là cấp độ 1 hoặc cấp độ 2:
Đơn vị chuyên trách về an toàn thông tin của chủ quản hệ thống thông tin thực hiện thẩm định, phê duyệt hồ sơ đề xuất cấp độ đối với hệ thống thông tin được đề xuất là cấp độ 1 hoặc cấp độ 2.
2. Đối với hệ thống thông tin được đề xuất là cấp độ 3:
a) Đơn vị chuyên trách về an toàn thông tin của chủ quản hệ thống thông tin thực hiện thẩm định hồ sơ đề xuất cấp độ;
b) Chủ quản hệ thống thông tin phê duyệt hồ sơ đề xuất cấp độ.
3. Đối với hệ thống thông tin được đề xuất là cấp độ 4 hoặc cấp độ 5:
a) Bộ Thông tin và Truyền thông chủ trì, phối hợp với Bộ Quốc phòng, Bộ Công an và các bộ, ngành liên quan thực hiện thẩm định hồ sơ đề xuất cấp độ, trừ trường hợp quy định tại Điểm b và Điểm c Khoản 3 Điều này;
b) Bộ Quốc phòng chủ trì, phối hợp với Bộ Thông tin và Truyền thông và bộ, ngành liên quan thực hiện thẩm định hồ sơ đề xuất cấp độ đối với hệ thống thông tin do Bộ Quốc phòng quản lý;
c) Bộ Công an chủ trì, phối hợp với Bộ Thông tin và Truyền thông và bộ, ngành liên quan thực hiện thẩm định hồ sơ đề xuất cấp độ đối với hệ thống thông tin do Bộ Công an quản lý;
d) Chủ quản hệ thống thông tin phê duyệt hồ sơ đề xuất cấp độ đối với hệ thống thông tin cấp độ 4; phê duyệt phương án bảo đảm an toàn thông tin đối với hệ thống thông tin cấp độ 5;
đ) Thủ tướng Chính phủ phê duyệt Danh Mục hệ thống thông tin cấp độ 5 (Danh Mục hệ thống thông tin quan trọng quốc gia).
1. Chủ đầu tư xây dựng thuyết minh đề xuất cấp độ, lồng ghép vào nội dung của báo cáo nghiên cứu khả thi, dự án khả thi ứng dụng công nghệ thông tin hoặc báo cáo đầu tư của dự án, gửi cơ quan chức năng thẩm định, trình cơ quan có thẩm quyền phê duyệt báo cáo nghiên cứu khả thi; dự án khả thi ứng dụng công nghệ thông tin hoặc báo cáo đầu tư theo quy định của pháp luật về đầu tư và quy định Nghị định này.
2. Trong trường hợp thuê dịch vụ công nghệ thông tin, đơn vị chủ trì thuê dịch vụ xây dựng thuyết minh đề xuất cấp độ, lồng ghép vào nội dung của kế hoạch, dự án thuê dịch vụ, gửi cơ quan chức năng thẩm định, trình cơ quan có thẩm quyền phê duyệt theo quy định của pháp luật về thuê dịch vụ công nghệ thông tin và quy định của Nghị định này.
3. Tài liệu thuyết minh đề xuất cấp độ theo quy định tại Điều 15 Nghị định này.
1. Lập hồ sơ đề xuất cấp độ:
a) Đơn vị vận hành hệ thống thông tin lập hồ sơ đề xuất cấp độ theo quy định tại Điều 15 Nghị định này;
b) Đối với hệ thống thông tin được đề xuất là cấp độ 1 hoặc cấp độ 2:
Đơn vị vận hành hệ thống thông tin gửi hồ sơ đề xuất cấp độ tới đơn vị thẩm định để thực hiện thẩm định theo quy định tại Khoản 1 Điều 12 Nghị định này;
c) Đối với hệ thống thông tin được đề xuất là cấp độ 3:
Đơn vị vận hành hệ thống thông tin gửi hồ sơ đề xuất cấp độ tới đơn vị thẩm định để thực hiện thẩm định theo quy định tại Điểm a Khoản 2 Điều 12 Nghị định này;
d) Đối với hệ thống thông tin được đề xuất là cấp độ 4 hoặc cấp độ 5:
- Đơn vị vận hành hệ thống thông tin gửi hồ sơ đề xuất cấp độ tới đơn vị chuyên trách về an toàn thông tin của chủ quản hệ thống thông tin để xin ý kiến chuyên môn về sự phù hợp của đề xuất cấp độ và phương án bảo đảm an toàn hệ thống thông tin theo cấp độ;
- Đơn vị vận hành hệ thống thông tin trình chủ quản hệ thống thông tin hồ sơ đề xuất cấp độ gửi tới cơ quan thẩm định quy định tại Điểm a, Điểm b hoặc Điểm c Khoản 3 Điều 12 Nghị định này.
2. Thẩm định hồ sơ đề xuất cấp độ:
Cơ quan có thẩm quyền thực hiện thẩm định hồ sơ đề xuất cấp độ theo quy định tại Điều 16 Nghị định này.
3. Phê duyệt đề xuất cấp độ:
a) Đối với hệ thống thông tin được đề xuất là cấp độ 1 hoặc cấp độ 2:
Đơn vị chuyên trách về an toàn thông tin của chủ quản hệ thống thông tin phê duyệt đề xuất cấp độ, gửi báo cáo chủ quản hệ thống thông tin;
b) Đối với hệ thống thông tin được đề xuất là cấp độ 3 hoặc cấp độ 4:
Đơn vị vận hành hệ thống thông tin trình chủ quản hệ thống thông tin phê duyệt đề xuất cấp độ;
c) Đối với hệ thống thông tin được đề xuất là cấp độ 5:
- Trên cơ sở kết quả thẩm định hồ sơ đề xuất cấp độ, Bộ Thông tin và Truyền thông chủ trì, phối hợp với Bộ Quốc phòng, Bộ Công an và bộ, ngành có liên quan trình Thủ tướng Chính phủ phê duyệt Danh Mục hệ thống thông tin cấp độ 5;
- Đơn vị vận hành hệ thống thông tin trình chủ quản hệ thống thông tin phê duyệt phương án bảo đảm an toàn thông tin.
Hồ sơ đề xuất cấp độ bao gồm:
1. Tài liệu mô tả, thuyết minh tổng quan về hệ thống thông tin.
2. Tài liệu thiết kế là một trong những tài liệu sau:
a) Đối với dự án đầu tư xây dựng mới hoặc mở rộng, nâng cấp hệ thống thông tin: Thiết kế sơ bộ hoặc tài liệu có giá trị tương đương;
b) Đối với hệ thống thông tin đang vận hành: Thiết kế thi công đã được cấp có thẩm quyền phê duyệt hoặc tài liệu có giá trị tương đương.
3. Tài liệu thuyết minh về việc đề xuất cấp độ căn cứ trên các tiêu chí theo quy định của pháp luật.
4. Tài liệu thuyết minh phương án bảo đảm an toàn thông tin theo cấp độ tương ứng.
5. Ý kiến về mặt chuyên môn của đơn vị chuyên trách về an toàn thông tin của chủ quản hệ thống thông tin đối với hệ thống thông tin đề xuất cấp độ 4 hoặc cấp độ 5.
1. Nội dung thẩm định hồ sơ đề xuất cấp độ:
a) Sự phù hợp về việc đề xuất cấp độ;
b) Sự phù hợp của phương án bảo đảm an toàn hệ thống thông tin trong thiết kế sơ bộ, thiết kế thi công hoặc tài liệu có giá trị tương đương theo cấp độ tương ứng;
c) Sự phù hợp của phương án bảo đảm an toàn hệ thống thông tin trong quá trình vận hành hệ thống theo cấp độ tương ứng.
2. Thời gian thẩm định hồ sơ xác định cấp độ:
a) Đối với hệ thống thông tin đề xuất cấp độ 3, thời gian thẩm định tối đa là 15 ngày kể từ ngày nhận đủ hồ sơ hợp lệ;
b) Đối với hệ thống thông tin đề xuất cấp độ 4 hoặc cấp độ 5, thời gian thẩm định tối đa là 30 ngày kể từ ngày nhận đủ hồ sơ hợp lệ.
1. Hồ sơ phê duyệt đề xuất cấp độ bao gồm:
a) Hồ sơ đề xuất cấp độ;
b) Ý kiến thẩm định của cơ quan chủ trì thẩm định đối với hệ thống thông tin đề xuất từ cấp độ 3 trở lên.
2. Thời gian xử lý hồ sơ phê duyệt cấp độ:
Thời gian xử lý tối đa là 07 ngày làm việc kể từ ngày nhận đủ hồ sơ hợp lệ.
Đối với hệ thống thông tin đã được phê duyệt cấp độ, trong trường hợp phải xác định lại cấp độ cho phù hợp với tình hình thực tế thì thực hiện theo trình tự, thủ tục xác định lần đầu.
AUTHORITY, PROCEDURE AND FORMALITIES OF CLASSIFICATION
Article 12. Authority to verify and validate classifications
1. For an information system to be given class 1 or class 2:
The specialized information security unit of the administrator of the information system shall verify and validate the proposal for the classification of the information system at class 1 or class 2.
2. For an information system to be given class 3:
a) The specialized information security unit of the administrator of the information system shall verify the classification proposal;
b) The administrator of the information system shall validate the classification proposal.
3. For an information system to be given class 4 or class 5:
a) Ministry of Information and Communications shall lead and cooperate with the Ministry of National Defense and Ministry of Public Security in verifying the classification proposal, unless otherwise governed by Point b and Point c, Section 3 of this Article;
b) Ministry of National Defense shall lead and cooperate with the Ministry of Information and Communications, relevant ministries and bodies in verifying the proposal for classification of information systems under the management of the Ministry of National Defense;
c) Ministry of Public Security shall lead and cooperate with the Ministry of Information and Communications, relevant ministries and bodies in verifying the proposal for classification of information systems under the management of the Ministry of Public Security;
d) The administrator of such information systems shall validate the proposal for classification of the information systems at class 4 and validate the information security proposal of the information systems classified at class 5;
dd) Prime Minister shall validate the list of information systems classified at class 5 (List of national vital information systems).
Article 13. Procedure and formalities for classification upon new investment projects or expansion and upgrade of information systems
1. The investor shall provide and include explanations of the classification proposal in the feasibility study report, the scheme of the information technology application feasibility project or the investment report of the project. Such report shall be sent to functional agencies for verification and to the authorities competent to validate the feasibility study report, the scheme of the information technology application feasibility project or the investment report in accordance with the laws on investment and this Decree.
2. If outsourcing information technology services, the leading outsourcer shall formulate and include explanations of the classification in the plan and/or the scheme of the outsourcing project, which shall be delivered to functional agencies for verification and to competent authorities for validation as per the laws on outsourcing of information technology services and in accordance with this Decree.
3. Documents that explain the classification are defined in Article 15 of this Decree.
Article 14. Procedure and formalities for classification of information systems in operation
1. Proposal of classification:
a) The operator of the information system shall prepare the classification proposal as defined in Article 15 of this Decree;
b) For an information system to be given class 1 or class 2:
The operator of the information system shall submit the classification proposal to the verification body according to Section 1, Article 12 of this Decree;
c) For an information system to be given class 3:
The operator of the information system shall submit the classification proposal to the verification body according to Point a, Section 2, Article 12 of this Decree;
d) For an information system to be given class 4 or class 5:
- The operator of the information system shall submit the classification proposal to the specialized information security unit of the administrator of such system for professional advice on the pertinence of the proposal and on the solutions for securing the information system as classified;
- The operator of the information system shall provide the administrator of the information system with the classification proposal that is sent to the verification body as stated in Point a, Point b or Point c, Section 3, Article 12 of this Decree.
2. Verification of classification proposals:
The authorities competent to verify classification proposals are defined in Article 16 of this Decree.
3. Validation of classification proposals:
a) For an information system to be given class 1 or class 2:
The specialized information security unit of the administrator of the information system shall validate the classification proposal and report to the administrator;
b) For an information system to be given class 3 or class 4:
The operator of the information system shall present the classification proposal to the administrator of such system for validation;
c) For an information system to be given class 5:
- Ministry of Information and Communications shall base on the result of verification of the classification proposal to lead and cooperate with the Ministry of National Defense, Ministry of Public Security, relevant ministries and bodies in presenting the list of information systems classified at class 5 to the Prime Minister for validation;
- The operator of the information system shall present the information security scheme to the administrator of such system for validation;
Article 15. Documents in the classification proposal
A classification proposal includes:
1. Documents that describe and explain the information system in general.
2. Design documents comprised of:
a) For new investment projects or expansion and upgrade of information systems: The preliminary design or equivalent documents;
b) For information systems in operation: The construction design validated by a competent authority or equivalent documents.
3. Documents that explain the criteria-based classification in conformity to the law.
4. Documents that explain the scheme of information security by classification.
5. Professional opinion(s) of the specialized information security unit of the administrator of the information system to be classified at class 4 or class 5.
Article 16. Verification of classification proposals
1. The following details in the classification proposal shall be verified:
a) The compatibility of the classification;
b) The compatibility of the scheme for securing the information system by classification as indicated in the preliminary design, construction design or equivalent documents;
c) The pertinence of the scheme for securing the information system to the operation of the system by classification.
2. Time limit for verification of classification proposals:
a) A valid proposal for classification of an information system at class 3, when received in full, shall be verified in at most 15 days.
b) A valid proposal for classification of an information system at class 4 or class 5, when received in full, shall be verified in at most 30 days.
Article 17. Validation of classification proposals
1. The validation of a classification proposal shall include:
a) The classification proposal;
b) Opinion(s) of verification of the verification body for information systems classified at class 3 or higher.
2. Time limit for validation of classification proposals:
Valid documents, when received in full, shall be processed in at most 07 working days.
Article 18. Procedure and formalities for re-classification of information systems with a validated class
The re-classification of information systems with a validated class, if required according to actual circumstances, shall adhere to the procedure and formalities for initial classification.