Chương IV Nghị định 85/2016/NĐ-CP: Trách nhiệm bảo đảm an toàn hệ thống thông tin
Số hiệu: | 85/2016/NĐ-CP | Loại văn bản: | Nghị định |
Nơi ban hành: | Chính phủ | Người ký: | Nguyễn Xuân Phúc |
Ngày ban hành: | 01/07/2016 | Ngày hiệu lực: | 01/07/2016 |
Ngày công báo: | 02/08/2016 | Số công báo: | Từ số 805 đến số 806 |
Lĩnh vực: | Công nghệ thông tin | Tình trạng: | Còn hiệu lực |
TÓM TẮT VĂN BẢN
Nghị định 85/2016/NĐ-CP quy định chi tiết về tiêu chí, thẩm quyền, trình tự, thủ tục xác định cấp độ an toàn hệ thống thông tin và trách nhiệm bảo đảm an toàn hệ thống thông tin theo từng cấp độ đối với cơ quan, tổ chức, cá nhân tham gia hoặc có liên quan đến hoạt động thông tin tại Việt Nam.
1. Tiêu chí xác định cấp độ
2. Thẩm quyền, trình tự và thủ tục xác định cấp độ
3. Trách nhiệm bảo đảm hệ thống an toàn thông tin
Văn bản tiếng việt
Văn bản tiếng anh
1. Phương án bảo đảm an toàn hệ thống thông tin phải đáp ứng yêu cầu cơ bản trong tiêu chuẩn, quy chuẩn kỹ thuật về bảo đảm an toàn hệ thống thông tin theo cấp độ.
2. Phương án bảo đảm an toàn hệ thống thông tin bao gồm các nội dung sau đây:
a) Bảo đảm an toàn hệ thống thông tin trong khâu thiết kế, xây dựng;
b) Bảo đảm an toàn hệ thống thông tin trong quá trình vận hành;
c) Kiểm tra, đánh giá an toàn thông tin;
d) Quản lý rủi ro an toàn thông tin;
đ) Giám sát an toàn thông tin;
e) Dự phòng, ứng cứu sự cố, khôi phục sau thảm họa;
g) Kết thúc vận hành, khai thác, thanh lý, hủy bỏ.
1. Người đứng đầu của cơ quan, tổ chức là chủ quản hệ thống thông tin có trách nhiệm:
a) Trực tiếp chỉ đạo và phụ trách công tác bảo đảm an toàn thông tin trong hoạt động của cơ quan, tổ chức mình;
b) Trong trường hợp chưa có đơn vị chuyên trách về an toàn thông tin độc lập:
- Chỉ định đơn vị chuyên trách về công nghệ thông tin làm nhiệm vụ đơn vị chuyên trách về an toàn thông tin;
- Thành lập hoặc chỉ định bộ phận chuyên trách về an toàn thông tin trực thuộc đơn vị chuyên trách về công nghệ thông tin.
2. Chủ quản hệ thống thông tin có trách nhiệm:
a) Chỉ đạo đơn vị vận hành hệ thống thông tin lập hồ sơ đề xuất cấp độ; tổ chức thẩm định, phê duyệt hồ sơ đề xuất cấp độ theo quy định Nghị định này;
b) Chỉ đạo, tổ chức thực hiện phương án bảo đảm an toàn hệ thống thông tin theo cấp độ đối với hệ thống thông tin thuộc phạm vi mình quản lý theo quy định tại Điều 25, 26 và 27 của Luật an toàn thông tin mạng, Nghị định này và quy định của pháp luật liên quan;
c) Chỉ đạo, tổ chức thực hiện kiểm tra, đánh giá an toàn thông tin và quản lý rủi ro an toàn thông tin trong phạm vi cơ quan, tổ chức mình, cụ thể như sau:
- Định kỳ 02 năm thực hiện kiểm tra, đánh giá an toàn thông tin và quản lý rủi ro an toàn thông tin tổng thể trong hoạt động của cơ quan, tổ chức mình;
- Định kỳ hàng năm thực hiện kiểm tra, đánh giá an toàn thông tin và quản lý rủi ro an toàn thông tin đối với các hệ thống cấp độ 3 và cấp độ 4;
- Định kỳ 06 tháng (hoặc đột xuất khi thấy cần thiết hoặc theo yêu cầu, cảnh báo của cơ quan chức năng) thực hiện kiểm tra, đánh giá an toàn thông tin và quản lý rủi ro an toàn thông tin đối với hệ thống cấp độ 5;
- Việc kiểm tra, đánh giá an toàn thông tin và đánh giá rủi ro an toàn thông tin đối với hệ thống từ cấp độ 3 trở lên phải do tổ chức chuyên môn được cơ quan có thẩm quyền cấp phép; tổ chức sự nghiệp nhà nước có chức năng, nhiệm vụ phù hợp hoặc do tổ chức chuyên môn được cấp có thẩm quyền chỉ định thực hiện.
d) Chỉ đạo, tổ chức thực hiện đào tạo ngắn hạn, tuyên truyền, phổ biến, nâng cao nhận thức và diễn tập về an toàn thông tin, cụ thể như sau:
- Đào tạo, bồi dưỡng theo các chương trình đào tạo ngắn hạn nâng cao kiến thức, kỹ năng về an toàn thông tin cho cán bộ, công chức, viên chức làm về an toàn thông tin trong cơ quan, tổ chức mình;
- Tuyên truyền, phổ biến nâng cao nhận thức về an toàn thông tin cho cán bộ, công chức, viên chức trong cơ quan, tổ chức mình;
- Diễn tập bảo đảm an toàn thông tin trong hoạt động của cơ quan, tổ chức mình; tham gia diễn tập quốc gia và diễn tập quốc tế do Bộ Thông tin và Truyền thông tổ chức.
đ) Chỉ đạo đơn vị vận hành hệ thống thông tin phối hợp với đơn vị chức năng liên quan của Bộ Thông tin và Truyền thông trong việc triển khai thiết bị, kết nối tới hệ thống kỹ thuật xử lý, giảm thiểu tấn công mạng, hỗ trợ giám sát an toàn thông tin cho hệ thống thông tin cung cấp dịch vụ công trực tuyến, phát triển chính phủ điện tử.
Đơn vị vận hành hệ thống thông tin có trách nhiệm:
1. Thực hiện xác định cấp độ an toàn hệ thống thông tin theo quy định tại Điều 14 Nghị định này;
2. Thực hiện bảo vệ hệ thống thông tin theo quy định của pháp luật và hướng dẫn, tiêu chuẩn, quy chuẩn an toàn thông tin;
3. Định kỳ đánh giá hiệu quả của các biện pháp bảo đảm an toàn thông tin, báo cáo chủ quản hệ thống thông tin Điều chỉnh nếu cần thiết;
4. Định kỳ hoặc đột xuất báo cáo công tác thực thi bảo đảm an toàn hệ thống thông tin theo yêu cầu của chủ quản hệ thống thông tin hoặc cơ quan quản lý nhà nước chuyên ngành có thẩm quyền;
5. Phối hợp, thực hiện theo yêu cầu của cơ quan chức năng liên quan của Bộ Thông tin và Truyền thông trong công tác bảo đảm an toàn thông tin.
1. Bộ Thông tin và Truyền thông có trách nhiệm:
a) Thực hiện thẩm định hồ sơ đề xuất cấp độ theo thẩm quyền quy định tại Điểm a Khoản 3 Điều 12 Nghị định này;
b) Xây dựng dự thảo tiêu chuẩn quốc gia, ban hành quy chuẩn kỹ thuật quốc gia về bảo đảm an toàn thông tin theo cấp độ;
c) Hướng dẫn chi Tiết việc xác định hệ thống thông tin quy định tại Khoản 2 Điều 6 Nghị định này;
d) Ban hành quy định, văn bản hướng dẫn về bảo đảm an toàn hệ thống thông tin theo cấp độ; quy định về đánh giá, chứng nhận hợp chuẩn, hợp quy về bảo đảm an toàn hệ thống thông tin theo cấp độ;
đ) Hướng dẫn các cơ quan, tổ chức thực hiện đào tạo ngắn hạn, tuyên truyền, phổ biến nâng cao nhận thức và diễn tập về an toàn thông tin;
e) Quy định chi Tiết về kiểm tra, đánh giá an toàn thông tin và quản lý rủi ro an toàn thông tin trong hoạt động của cơ quan, tổ chức nhà nước, trừ trường hợp quy định tại Điểm d Khoản 2 và Điểm d Khoản 3 Điều này;
g) Triển khai các hệ thống hạ tầng kỹ thuật tập trung quy mô quốc gia để xử lý, giảm thiểu tấn công mạng, hỗ trợ giám sát an toàn thông tin cho hệ thống thông tin cung cấp dịch vụ công trực tuyến, phát triển Chính phủ điện tử.
2. Bộ Quốc phòng có trách nhiệm:
a) Thực hiện thẩm định phương án bảo đảm an toàn thông tin trong hồ sơ đề xuất cấp độ theo thẩm quyền quy định tại Điểm b Khoản 3 Điều 12 Nghị định này;
b) Xây dựng dự thảo tiêu chuẩn, ban hành quy chuẩn kỹ thuật, hướng dẫn về bảo đảm an toàn đối với hệ thống thông tin thuộc phạm vi quản lý;
c) Hướng dẫn về tiêu chí quy định tại Khoản 1 Điều 9, Khoản 1 Điều 10 và Khoản 1 Điều 11 Nghị định này theo chức năng, nhiệm vụ được phân công;
d) Quy định chi Tiết về kiểm tra, đánh giá an toàn thông tin và quản lý rủi ro an toàn thông tin trong hoạt động của Bộ Quốc phòng.
3. Bộ Công an có trách nhiệm:
a) Thực hiện thẩm định phương án bảo đảm an toàn thông tin trong hồ sơ đề xuất cấp độ theo thẩm quyền quy định tại Điểm c Khoản 3 Điều 12 Nghị định này;
b) Xây dựng dự thảo tiêu chuẩn, ban hành quy chuẩn kỹ thuật, hướng dẫn về bảo đảm an toàn đối với hệ thống thông tin thuộc phạm vi quản lý;
c) Hướng dẫn về tiêu chí quy định tại Khoản 1 Điều 9, Khoản 1 Điều 10 và Khoản 1 Điều 11 Nghị định này theo chức năng, nhiệm vụ được phân công;
d) Quy định chi Tiết về kiểm tra, đánh giá an toàn thông tin và quản lý rủi ro an toàn thông tin trong hoạt động của Bộ Công an.
1. Kinh phí thực hiện yêu cầu về an toàn thông tin theo cấp độ trong hoạt động của cơ quan, tổ chức nhà nước do ngân sách nhà nước bảo đảm.
2. Kinh phí đầu tư cho an toàn thông tin sử dụng vốn đầu tư công thực hiện theo quy định của Luật đầu tư công. Đối với dự án đầu tư công để xây dựng mới hoặc mở rộng, nâng cấp hệ thống thông tin, kinh phí đầu tư cho an toàn thông tin theo cấp độ được bố trí trong vốn đầu tư của dự án tương ứng.
3. Kinh phí thực hiện giám sát, đánh giá, quản lý rủi ro an toàn thông tin; đào tạo ngắn hạn, tuyên truyền, phổ biến nâng cao nhận thức, diễn tập an toàn thông tin và ứng cứu sự cố của cơ quan, tổ chức nhà nước được cân đối bố trí trong dự toán ngân sách hàng năm của cơ quan, tổ chức nhà nước đó theo phân cấp của Luật ngân sách nhà nước.
4. Bộ Tài chính hướng dẫn Mục chi cho công tác bảo đảm an toàn thông tin trong dự toán ngân sách, hướng dẫn quản lý và sử dụng kinh phí sự nghiệp chi cho công tác bảo đảm an toàn thông tin trong hoạt động của các cơ quan, tổ chức nhà nước.
5. Căn cứ nhiệm vụ được giao, cơ quan, tổ chức nhà nước thực hiện lập dự toán, quản lý, sử dụng và quyết toán kinh phí thực hiện nhiệm vụ bảo đảm an toàn thông tin theo quy định của Luật ngân sách nhà nước.
RESPONSIBILITIES FOR SECURING INFORMATION SYSTEMS
Article 19. Scheme for security of information systems by classification
1. Schemes for security of information systems must meet basic requirements as defined in technical standards and regulations on security of information systems by classification.
2. A scheme for security of an information system shall consist of:
a) Security of the information system during the phase of design and construction;
b) Securing of the information system during the process of operation;
c) Inspection and assessment of the information safety;
d) Management of information safety risks;
dd) Supervision of information safety;
e) Provisions, emergency response and disaster recovery;
g) Termination of operation, liquidation, disposal.
Article 20. Responsibilities of administrators of information systems
1. The head of an agency or organization administering an information system shall be responsible for:
a) Directing and undertaking the security of information in the activities of his agency or organization;
b) If there is no independent unit specialized in securing information:
- Designate the specialized information technology unit to specialize in information security;
- Establish or designate a specialized information security unit directly under the specialized information technology unit.
2. The administrator of an information system is responsible for:
a) Directing the operator of the information system to make classification proposal(s); verifying and validating classification proposal(s) as per this Decree;
b) Directing and organizing the implementation of scheme(s) for securing the information system under its management by classification as per Article 25, 26 and 27 of the Law on security of information over network, this Decree and relevant legal regulations;
c) Directing and organizing the inspection and assessment of information safety and the management of risks in information safety intra vires, as follows:
- Carry out the inspection and assessment of information safety and general information safety risk management in relation to the activities of the agency or organization on 2-year basis;
- Carry out the inspection and assessment of information safety and information safety risk management over information systems of class 3 and class 4 on annual basis;
- Carry out the inspection and assessment of information safety and information safety risk management over information systems of class 5 on 6-month basis (or when deemed necessary, requested or warned by a functional authority);
- The inspection and assessment of information safety and information safety risks over information systems of class 3 or higher shall be conducted by a professional organization licensed by competent authorities, a government agency given suitable functions and assignments or a specialist organization designated by competent authorities.
d) Directing and organizing the provision of short-term training and propagandas to propagate and heighten awareness and information security drills, as follows:
- Provide short-term training courses that enhance knowledge and skills of public officials and employees in securing information in their agency or organization;
- Propagandize and raise the awareness of public officials and employees in securing information in their agency or organization;
- Carry out information security drills during the activities of the agency or organization; participate in national and international drills that the Ministry of Information and Communications holds.
dd) Direct the operator of the information system(s) to cooperate with relevant functional agencies of the Ministry of Information and Communications in deploying the equipment, connecting technical processor systems, reducing network attacks, supporting the supervision of the information safety of the information system(s) providing online public services, and developing the electronic government.
Article 21. Responsibilities of specialized information security units under administrators of information systems
1. Provide counsels, organize, expedite, inspect and supervise the security of information.
2. Verify, validate or professionally remark on classification proposals within authority as per Section 1 and Section 2, Article 12 and Section 5, Article 15 of this Decree.
Article 22. Responsibilities of operators of information systems
The operator of an information system shall be responsible for:
1. Classifying the security class of the information system as per Article 14 of this Decree.
2. Securing information as per the law, guidelines, standards and regulations on information safety;
3. Assessing the efficiency of information security measures periodically and reporting to the administrator of the information system when necessary;
4. Reporting the security of the information system on periodic or ad hoc basis upon request(s) of the administrator of the information system or competent state management authorities;
5. Cooperating with other entities and actualize requests of functional agencies related to the Ministry of Information and Communications for the security of information.
Article 23. Responsibilities of state management authorities
1. Ministry of Information and Communications shall be responsible for:
a) Verifying the classification proposals intra vires as per Point a, Section 3, Article 12 of this Decree;
b) Drafting national standards and promulgating national technical regulations on security of information by classification;
c) Providing detailed guidelines on the classification of information systems as per Section 2, Article 6 of this Decree;
d) Promulgating regulations and guiding documents on the security of information systems by classification, on the evaluation and certification of compliance and conformity in relation to the security of information systems by classification;
dd) Guiding agencies and organizations providing short-term training and propagandas to propagate and heighten awareness and information security drills;
e) Regulating the inspection and assessment of information safety and information safety risk management within the operations of state agencies and governmental organizations, unless otherwise governed by Point d, Section 2 and Point d, Section 3 of this Article;
g) Deploying nation-wide centralized technical facilities to handle and reduce network attacks, support the supervision of the security of information systems providing online public services and to develop the electronic government.
2. Ministry of National Defense shall be responsible for:
a) Verifying information security schemes in the classification proposals intra vires as per Point b, Section 3, Article 12 of this Decree;
b) Drafting standards and promulgating technical regulations and guidelines for the security of information systems under its management;
c) Providing guidelines for criteria defined in Section 1 of Article 9, Section 1 of Article 10 and Section 1 of Article 11 in this Decree according to its functions and assignments;
d) Regulating the inspection and assessment of information safety and information safety risk management within the operations of the Ministry of National Defense.
3. Ministry of Public Security shall be responsible for:
a) Verifying information security schemes in the classification proposals intra vires as per Point c, Section 3, Article 12 of this Decree;
b) Drafting standards and promulgating technical regulations and guidelines for the security of information systems under its management;
c) Providing guidelines for criteria defined in Section 1 of Article 9, Section 1 of Article 10 and Section 1 of Article 11 in this Decree according to its functions and assignments;
d) Regulating the inspection and assessment of information safety and information safety risk management within the operations of the Ministry of Public Security.
Article 24. Expenditure for information security
1. State funds shall be allocated for the security of information by classification during activities of state agencies and government organizations.
2. Public fund(s) shall be invested in the security of information as per the Law on public investment. Public investment projects for construction or expansion and upgrade of information systems shall employ their investment capital to finance investments in the security of information by classification.
3. The annual budget estimate of state agencies and government organizations shall allot fund(s) for their supervision, assessment and management of information safety risks; provision of short-term training, propagandas, information safety drills and emergency response as per the Law on state budget.
4. Ministry of Finance shall provide guidelines for spending on the security of information from the budget estimate, for management and use of administrative expenditure for the security of information during the operations of state agencies and government organizations.
5. State agencies and government organizations shall base on their assignments to estimate the budget, manage, use and finalize the expenditure for the security of information as per the law on state budget.