Tìm kiếm

Quyết định 05/2017/QĐ-TTg quy định về hệ thống phương án ứng cứu khẩn cấp bảo đảm an toàn thông tin mạng quốc gia do Thủ tướng Chính phủ ban hành

Lưu
Báo lỗi
In VB
Quyết định 05/2017/QĐ-TTg quy định về hệ thống phương án ứng cứu khẩn cấp bảo đảm an toàn thông tin mạng quốc gia do Thủ tướng Chính phủ ban hành Mục lục
Chương I Quy định chung 1-2
Điều 1 Phạm vi áp dụng
Điều 2 Đối tượng áp dụng
Chương II Phân cấp tổ chức thực hiện ứng cứu sự cố bảo đảm an toàn thông tin mạng quốc gia 3-8
Điều 3 Ban Chỉ đạo quốc gia về ứng cứu khẩn cấp bảo đảm an toàn thông tin mạng
Điều 4 Cơ quan thường trực về ứng cứu khẩn cấp bảo đảm an toàn thông tin mạng quốc gia
Điều 5 Ban Chỉ đạo ứng cứu khẩn cấp sự cố an toàn thông tin mạng của các bộ, cơ quan ngang bộ, cơ quan thuộc Chính phủ và Ủy ban nhân đân các tỉnh, thành phố trực thuộc trung ương
Điều 6 Đơn vị chuyên trách về ứng cứu sự cố an toàn thông tin mạng
Điều 7 Mạng lưới ứng cứu sự cố an toàn thông tin mạng quốc gia
Điều 8 Bộ phận tác nghiệp ứng cứu khẩn cấp bảo đảm an toàn thông tin mạng quốc gia
Chương III Phương án ứng cứu 9-14
Điều 9 Phân nhóm sự cố an toàn thông tin mạng
Điều 10 Hệ thống phương án ứng cứu khẩn cấp bảo đảm an toàn thông tin mạng quốc gia
Điều 11 Báo cáo sự cố an toàn thông tin mạng
Điều 12 Tiếp nhận, phát hiện, phân loại và xử lý ban đầu sự cố an toàn thông tin mạng
Điều 13 Quy trình ứng cứu sự cố an toàn thông tin mạng thông thường
Điều 14 Quy trình ứng cứu sự cố an toàn thông tin mạng nghiêm trọng
Chương IV Biện pháp bảo đảm thực hiện ứng cứu sự cố an toàn thông tin mạng quốc gia 15-17
Điều 15 Trưng dụng tài sản và đình chỉ phương tiện thông tin phục vụ ứng cứu khẩn cấp sự cố an toàn thông tin mạng quốc gia
Điều 16 Xây dựng và triển khai kế hoạch ứng phó sự cố bảo đảm an toàn thông tin mạng
Điều 17 Kinh phí
Chương V Điều khoản thi hành 18-19
Điều 18 Hiệu lực thi hành
Điều 19 Tổ chức thực hiện
Tình trạng hiệu lực: Còn hiệu lực

THỦ TƯỚNG CHÍNH PHỦ
-------

CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM
Độc lập - Tự do - Hạnh phúc
---------------

Số: 05/2017/QĐ-TTg

Hà Nội, ngày 16 tháng 3 năm 2017

 

QUYẾT ĐỊNH

BAN HÀNH QUY ĐỊNH VỀ HỆ THỐNG PHƯƠNG ÁN ỨNG CỨU KHẨN CẤP BẢO ĐẢM AN TOÀN THÔNG TIN MẠNG QUỐC GIA

Căn cứ Luật tổ chức Chính phủ ngày 19 tháng 6 năm 2015;

Căn cứ Luật an toàn thông tin mạng ngày 19 tháng 11 năm 2015;

Căn cứ Nghị định số 85/2016/NĐ-CP ngày 01 tháng 7 năm 2016 về bảo đảm an toàn hệ thống thông tin theo cấp độ;

Theo đề nghị của Bộ trưởng Bộ Thông tin và Truyền thông;

Thủ tướng Chính phủ ban hành quy định về hệ thống phương án ứng cứu khẩn cấp bảo đảm an toàn thông tin mạng quốc gia.

Chương I
Quy định chung
Điều 1. Phạm vi áp dụng

Quyết định này quy định về hệ thống phương án ứng cứu khẩn cấp bảo đảm an toàn thông tin mạng quốc gia.

Hệ thống thông tin do Bộ Quốc phòng, Bộ Công an quản lý không thuộc phạm vi điều chỉnh của Quyết định này.

Điều 2. Đối tượng áp dụng

Quyết định này áp dụng đối với các cơ quan, tổ chức, doanh nghiệp, cá nhân trực tiếp tham gia hoặc có liên quan đến hoạt động ứng cứu sự cố bảo đảm an toàn thông tin mạng tại Việt Nam.

Chương II
Phân cấp tổ chức thực hiện ứng cứu sự cố bảo đảm an toàn thông tin mạng quốc gia
Điều 3. Ban Chỉ đạo quốc gia về ứng cứu khẩn cấp bảo đảm an toàn thông tin mạng

1. Ban Chỉ đạo an toàn thông tin quốc gia đảm nhiệm chức năng Ban Chỉ đạo quốc gia về ứng cứu khẩn cấp bảo đảm an toàn thông tin mạng (sau đây gọi là Ban Chỉ đạo quốc gia).

2. Ban Chỉ đạo quốc gia có trách nhiệm chỉ đạo Bộ Thông tin và Truyền thông Bộ Công an, Bộ Quốc phòng và các bộ, ngành, địa phương liên quan trong công tác ứng cứu khẩn cấp bảo đảm an toàn thông tin mạng quốc gia.

Điều 4. Cơ quan thường trực về ứng cứu khẩn cấp bảo đảm an toàn thông tin mạng quốc gia

1. Bộ Thông tin và Truyền thông là cơ quan thường trực, giúp việc cho Ban Chỉ đạo quốc gia (sau đây gọi là Cơ quan thường trực) có nhiệm vụ, quyền hạn cụ thể sau:

a) Quyết định lựa chọn phương án ứng cứu và chủ trì, chỉ đạo công tác ứng cứu khẩn cấp bảo đảm an toàn thông tin mạng quốc gia;

b) Chỉ đạo Cơ quan điều phối quốc gia tiếp nhận, thu thập, xử lý thông tin, báo cáo về sự cố mất an toàn thông tin mạng quốc gia và đề xuất phương án ứng cứu;

c) Triệu tập, chỉ đạo Bộ phận tác nghiệp ứng cứu sự cố an toàn thông tin mạng quốc gia theo đề xuất của Cơ quan điều phối quốc gia; chỉ đạo, phân công nhiệm vụ cho các đơn vị chuyên trách về ứng cứu sự cố, các thành viên mạng lưới ứng cứu để triển khai phương án ứng cứu;

d) Làm đầu mối hoặc chỉ định Cơ quan điều phối làm đầu mối quốc gia phối hợp với các đơn vị chức năng của các quốc gia khác hoặc các tổ chức quốc tế trong hoạt động ứng cứu, xử lý các sự cố liên quốc gia;

đ) Kiểm tra, giám sát, đôn đốc việc chấp hành của các đơn vị liên quan, báo cáo Ban Chỉ đạo quốc gia về công tác ứng cứu khẩn cấp sự cố an toàn thông tin mạng quốc gia.

2. Trường hợp cần thiết, Bộ Thông tin và Truyền thông chủ trì thành lập Ban điều phối ứng cứu khẩn cấp bảo đảm an toàn thông tin mạng quốc gia (gọi tắt là Ban điều phối ứng cứu quốc gia), với thành phần gồm: 01 lãnh đạo Bộ Thông tin và Truyền thông làm Trưởng ban, Cơ quan điều phối quốc gia làm thường trực và thành viên là các lãnh đạo cấp Cục, Vụ của một số bộ ngành, tổ chức có liên quan.

Điều 5. Ban Chỉ đạo ứng cứu khẩn cấp sự cố an toàn thông tin mạng của các bộ, cơ quan ngang bộ, cơ quan thuộc Chính phủ và Ủy ban nhân đân các tỉnh, thành phố trực thuộc trung ương

1. Ban Chỉ đạo ứng dụng công nghệ thông tin của các bộ, cơ quan ngang bộ, cơ quan thuộc Chính phủ và Ủy ban nhân dân các tỉnh, thành phố trực thuộc trung ương đảm nhiệm chức năng Ban Chỉ đạo ứng cứu khẩn cấp sự cố an toàn thông tin mạng trong phạm vi địa bàn, lĩnh vực mình phụ trách (sau đây gọi là Ban Chỉ đạo cấp bộ, tỉnh).

Trong trường hợp chưa có Ban Chỉ đạo ứng dụng công nghệ thông tin hoặc điều kiện đặc thù cần thiết, bộ, cơ quan ngang bộ, cơ quan thuộc Chính phủ, Ủy ban nhân dân cấp tỉnh xem xét thành lập Ban Chỉ đạo ứng cứu khẩn cấp sự cố an toàn thông tin mạng trong phạm vi bộ, ngành, địa phương mình do 1 lãnh đạo bộ hoặc lãnh đạo Ủy ban nhân dân cấp tỉnh trực tiếp chỉ đạo.

2. Trách nhiệm, quyền hạn của Ban chỉ đạo cấp bộ, tỉnh:

a) Chỉ đạo công tác điều phối, ứng cứu sự cố trong phạm vi ngành, lĩnh vực, địa phương mình; chỉ đạo các cơ quan, đơn vị trực thuộc phối hợp, tuân thủ yêu cầu của Cơ quan điều phối quốc gia trong điều phối, ứng cứu sự cố;

b) Triệu tập, chỉ đạo Đội ứng cứu sự cố hoặc Bộ phận tác nghiệp ứng cứu sự cố an toàn thông tin mạng cùng cấp theo đề xuất của đơn vị chuyên trách ứng cứu sự cố;

c) Báo cáo tình hình và xin ý kiến của Ban Chỉ đạo quốc gia qua Cơ quan thường trực về các vấn đề phát sinh vượt thẩm quyền trong quá trình thực hiện nhiệm vụ; chịu sự chỉ đạo, điều hành của Ban Chỉ đạo quốc gia qua Cơ quan thường trực và Cơ quan điều phối quốc gia.

Điều 6. Đơn vị chuyên trách về ứng cứu sự cố an toàn thông tin mạng

1. Đơn vị chuyên trách về ứng cứu sự cố an toàn thông tin mạng là Cơ quan chuyên trách về an toàn thông tin hoặc cơ quan chuyên trách về công nghệ thông tin của các bộ, ngành, Ủy ban nhân dân cấp tỉnh (sau đây gọi tắt là Đơn vị chuyên trách ứng cứu sự cố).

Các doanh nghiệp viễn thông, Internet, các cơ quan, tổ chức, doanh nghiệp chủ quản hệ thống thông tin lớn thành lập hoặc chỉ định đơn vị chuyên trách ứng cứu sự cố an toàn thông tin mạng tại cơ quan, tổ chức mình.

2. Đơn vị chuyên trách ứng cứu sự cố có trách nhiệm trình thành lập Đội ứng cứu sự cố và tổ chức hoạt động ứng cứu sự cố trong lĩnh vực, địa bàn, phạm vi mình quản lý; tham gia hoạt động ứng cứu khẩn cấp bảo đảm an toàn thông tin mạng quốc gia khi có yêu cầu từ Cơ quan thường trực hoặc Cơ quan điều phối.

Điều 7. Mạng lưới ứng cứu sự cố an toàn thông tin mạng quốc gia

1. Thành viên có nghĩa vụ phải tham gia mạng lưới ứng cứu sự cố an toàn thông tin mạng quốc gia (sau đây gọi tắt là mạng lưới ứng cứu sự cố) gồm:

a) Đơn vị chuyên trách về ứng cứu sự cố, an toàn thông tin hoặc công nghệ thống tin của các bộ, cơ quan ngang bộ, cơ quan thuộc Chính phủ, cơ quan trung ương; Sở Thông tin và Truyền thông các tỉnh, thành phố trực thuộc trung ương;

b) Cơ quan, đơn vị có chức năng liên quan thuộc Bộ Thông tin và Truyền thông: Cục An toàn thông tin, Trung tâm Ứng cứu khẩn cấp máy tính Việt nam (VNCERT), Trung tâm Internet Việt Nam (VNNIC), Cục Bưu điện Trung ương;

c) Cơ quan, đơn vị có chức năng liên quan thuộc Bộ Công an: Cục An ninh mạng; Cục Cảnh sát phòng, chống tội phạm sử dụng công nghệ cao;

d) Cơ quan, đơn vị có chức năng liên quan thuộc Bộ Quốc phòng: Cục Công nghệ thông tin; Ban Cơ yếu Chính phủ;

đ) Các doanh nghiệp cung cấp dịch vụ hạ tầng viễn thông, Internet (ISP); các tổ chức, doanh nghiệp cung cấp dịch vụ trung tâm dữ liệu, cho thuê không gian lưu trữ thông tin số; đơn vị quản lý, vận hành cơ sở dữ liệu quốc gia; đơn vị chuyên trách về an toàn thông tin, công nghệ thông tin của các tổ chức ngân hàng, tài chính, kho bạc, thuế, hải quan;

e) Các tổ chức, doanh nghiệp quản lý, vận hành các hệ thống thông tin quan trọng, các hệ thống điều khiển công nghiệp (SCADA) thuộc các lĩnh vực: Năng lượng, công nghiệp, y tế, tài nguyên và môi trường, giáo dục và đào tạo, dân cư và đô thị.

2. Thành viên tự nguyện tham gia mạng lưới: Là các tổ chức, doanh nghiệp không thuộc danh sách quy định tại khoản 1 Điều này, có năng lực về an toàn thông tin hoặc công nghệ thông tin, có đăng ký và được Cơ quan điều phối quốc gia chấp thuận tham gia mạng lưới. Khuyến khích các tổ chức, doanh nghiệp hoạt động trong lĩnh vực an toàn thông tin, công nghệ thông tin; các tổ chức, doanh nghiệp quản lý, vận hành hệ thống thông tin quy mô lớn, hệ thống thông tin chuyên ngành ngân hàng, tài chính, hệ thống điều khiển công nghiệp (SCADA); và các đơn vị khác có năng lực về an toàn thông tin đăng ký tham gia mạng lưới.

3. Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam (Trung tâm VNCERT) là Cơ quan điều phối quốc gia về ứng cứu sự cố (gọi tắt là Cơ quan điều phối quốc gia hay Cơ quan điều phối), có trách nhiệm:

a) Thực hiện chức năng điều phối các hoạt động ứng cứu sự cố trên toàn quốc; có quyền huy động, điều phối các thành viên mạng lưới ứng cứu sự cố và các tổ chức, đơn vị liên quan phối hợp ngăn chặn, xử lý, khắc phục sự cố tại Việt Nam; có quyền quyết định hình thức điều phối các hoạt động ứng cứu sự cố và chịu trách nhiệm về các lệnh/yêu cầu điều phối;

b) Chủ trì xây dựng quy chế hoạt động của mạng lưới; tổ chức và điều hành hoạt động của mạng lưới; tổng hợp và chia sẻ thông tin, cảnh báo sự cố trong mạng lưới; đề xuất và tiếp nhận, quản lý các khoản đóng góp, tài trợ của các thành viên và các tổ chức, cá nhân và nguồn thu hợp pháp khác để chi cho các hoạt động của mạng lưới; là đầu mối quốc gia hợp tác với các tổ chức, doanh nghiệp nước ngoài trong công tác ứng cứu sự cố bảo đảm an toàn thông tin mạng.

c) Bộ Thông tin và Truyền thông thành lập Ban điều hành mạng lưới do lãnh đạo Cơ quan điều phối làm trưởng ban, thành viên là đại diện lãnh đạo một số thành viên mạng lưới để điều hành, phối hợp và tổ chức các hoạt động cho mạng lưới.

4. Các thành viên mạng lưới có trách nhiệm tuân thủ quy chế hoạt động của mạng lưới, tuân thủ các yêu cầu điều phối của cơ quan điều phối, tham gia, đóng góp tích cực cho hoạt động của mạng lưới. Doanh nghiệp viễn thông, nhà cung cấp dịch vụ Internet ISP có trách nhiệm lưu trữ và cung cấp thông tin liên quan đến các địa chỉ IP thuê bao, máy chủ, thiết bị IOT, các log file, nhật ký dịch vụ phân giải tên miền DNS trong phạm vi quản lý của doanh nghiệp; thiết lập môi trường để lắp đặt thiết bị quan trắc, lấy mẫu và cung cấp luồng dữ liệu mạng để phục vụ giám sát, phát hiện sự cố theo yêu cầu của cơ quan điều phối quốc gia; thiết lập đầu mối thường trực 24/7, bố trí nhân, vật lực sẵn sàng phối hợp, triển khai các giải pháp nhằm ứng cứu, khắc phục hậu quả sự cố trong trường hợp nguồn tấn công được xác định xuất phát từ thuê bao thuộc doanh nghiệp mình hoặc khi được yêu cầu từ cơ quan điều phối quốc gia.

Điều 8. Bộ phận tác nghiệp ứng cứu khẩn cấp bảo đảm an toàn thông tin mạng quốc gia

1. Bộ phận tác nghiệp ứng cứu khẩn cấp bảo đảm an toàn thông tin mạng quốc gia (sau đây gọi tắt là Bộ phận tác nghiệp ứng cứu khẩn cấp) do Cơ quan thường trực triệu tập và chịu sự điều hành của Cơ quan thường trực với sự tham gia của các đơn vị sau:

a) Cơ quan điều phối quốc gia (Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam VNCERT - thường trực);

b) Cục An toàn thông tin, Bộ Thông tin và Truyền thông;

c) Cục An ninh mạng, Cục Cảnh sát phòng, chống tội phạm sử dụng công nghệ cao - Bộ Công an;

d) Cục Công nghệ thông tin, Bộ Tổng tham mưu, Bộ Quốc phòng;

đ) Một số đơn vị chuyên trách về ứng cứu sự cố an toàn thông tin mạng của các bộ, cơ quan ngang bộ, cơ quan thuộc Chính phủ, Ủy ban nhân dân cấp tỉnh, doanh nghiệp viễn thông, Internet, chủ quản hệ thống thông tin quan trọng quốc gia.

2. Quyền hạn của Bộ phận tác nghiệp ứng cứu khẩn cấp

a) Sử dụng các biện pháp nghiệp vụ, trang thiết bị, phương tiện kỹ thuật và các biện pháp khác theo chức năng nhiệm vụ được giao và tuân thủ quy định của pháp luật;

b) Yêu cầu cơ quan, tổ chức, cá nhân cung cấp thông tin, tài liệu, thiết bị khi có căn cứ xác định liên quan đến sự cố nhằm phục vụ hoạt động ứng cứu;

c) Kiểm tra hệ thống thông tin của cơ quan, tổ chức, cá nhân khi có căn cứ xác định liên quan đến sự cố nhằm phục vụ hoạt động ứng cứu;

d) Yêu cầu cơ quan, tổ chức, doanh nghiệp viễn thông, Internet có liên quan phối hợp thực hiện các công việc cần thiết cho hoạt động ứng cứu, khắc phục sự cố.

3. Cơ chế phối hợp và chia sẻ thông tin giữa các đơn vị tham gia bộ phận tác nghiệp ứng cứu khẩn cấp bảo đảm an toàn thông tin mạng quốc gia theo quy định của pháp luật và quyết định của Thủ tướng Chính phủ.

Chương III
Phương án ứng cứu
Điều 9. Phân nhóm sự cố an toàn thông tin mạng

Sự cố an toàn thông tin mạng nghiêm trọng là sự cố đáp ứng đồng thời các tiêu chí sau:

1. Hệ thống thông tin bị sự cố là hệ thống thông tin cấp độ 4, cấp độ 5 hoặc thuộc Danh mục hệ thống thông tin quan trọng quốc gia và bị một trong số các sự cố sau:

a) Hệ thống bị gián đoạn dịch vụ;

b) Dữ liệu tuyệt mật hoặc bí mật nhà nước có khả năng bị tiết lộ;

c) Dữ liệu quan trọng của hệ thống không bảo đảm tính toàn vẹn và không có khả năng khôi phục được;

d) Hệ thống bị mất quyền điều khiển;

đ) Sự cố có khả năng xảy ra trên diện rộng hoặc gây ra các ảnh hưởng dây chuyền, làm tổn hại cho các hệ thống thông tin cấp độ 4 hoặc cấp độ 5 khác.

2. Chủ quản hệ thống thông tin không đủ khả năng tự kiểm soát, xử lý được sự cố.

Điều 10. Hệ thống phương án ứng cứu khẩn cấp bảo đảm an toàn thông tin mạng quốc gia

1. Phương án ứng cứu khẩn cấp bảo đảm an toàn thông tin mạng quốc gia là phương án ứng cứu cho sự cố an toàn thông tin mạng nghiêm trọng đáp ứng các tiêu chí tại Điều 9 và hệ thống thông tin bị sự cố là hệ thống thông tin cấp độ 5 hoặc, thuộc Danh mục Hệ thống thông tin quan trọng quốc gia.

2. Phương án ứng cứu khẩn cấp bảo đảm an toàn thông tin mạng của cơ quan nhà nước, tổ chức chính trị, tổ chức chính trị - xã hội là phương án ứng cứu cho sự cố an toàn thông tin mạng nghiêm trọng đáp ứng các tiêu chí tại Điều 9; hệ thống thông tin bị sự cố là hệ thống thông tin cấp độ 4 và chủ quản hệ thống thông tin thuộc các bộ, cơ quan ngang bộ, cơ quan thuộc Chính phủ và các cơ quan nhà nước, tổ chức chính trị, tổ chức chính trị - xã hội ở trung ương (gọi chung là cơ quan trung ương).

3. Phương án ứng cứu khẩn cấp bảo đảm an toàn thông tin mạng của địa phương là phương án ứng cứu cho sự cố an toàn thông tin mạng nghiêm trọng đáp ứng các tiêu chí tại Điều 9, hệ thống thông tin bị sự cố là hệ thống thông tin cấp độ 4 và chủ quản hệ thống thông tin thuộc Ủy ban nhân dân hoặc Tỉnh ủy, Thành ủy các tỉnh, thành phố trực thuộc trung ương quản lý (gọi chung là cơ quan địa phương).

4. Phương án ứng cứu khẩn cấp bảo đảm an toàn thông tin mạng của doanh nghiệp là phương án ứng cứu cho sự cố an toàn thông tin mạng nghiêm trọng đáp ứng các tiêu chí tại Điều 9, hệ thống thông tin bị sự cố là hệ thống thông tin cấp độ 4 và chủ quản hệ thống thông tin là doanh nghiệp viễn thông, doanh nghiệp nhà nước có quản lý các hệ thống thông tin từ cấp độ 4 trở lên, hoặc tổ chức, doanh nghiệp có quản lý hệ thống thông tin thuộc Danh mục Hệ thống thông tin quan trọng quốc gia (sau đây gọi chung là doanh nghiệp quản lý hạ tầng thông tin quan trọng).

Điều 11. Báo cáo sự cố an toàn thông tin mạng

1. Báo cáo sự cố an toàn thông tin mạng:

a) Đơn vị vận hành hệ thống thông tin có trách nhiệm báo cáo sự cố tới cơ quan chủ quản, đơn vị chuyên trách ứng cứu sự cố cùng cấp, Cơ quan điều phối quốc gia chậm nhất 5 ngày kể từ khi phát hiện sự cố; trường hợp xác định sự cố có thể vượt khả năng xử lý của mình, đơn vị vận hành hệ thống thông tin phải thực hiện quy trình báo cáo khẩn cấp theo quy định tại khoản 2 đến khoản 5 Điều này ngay khi phát hiện sự cố hoặc xác định sự cố có thể vượt khả năng xử lý của mình.

b) Các tổ chức, cá nhân khi phát hiện dấu hiệu tấn công hoặc sự cố an toàn thông tin mạng cần nhanh chóng thông báo cho đơn vị vận hành hệ thống thông tin, cơ quan chủ quản hệ thống thông tin liên quan, cơ quan điều phối quốc gia và đơn vị chuyên trách ứng cứu sự cố hoặc thành viên mạng lưới ứng cứu sự cố có trách nhiệm liên quan.

2. Báo cáo sự cố phải được thực hiện ngay lập tức và được duy trì trong suốt quá trình ứng cứu sự cố gồm: Báo cáo ban đầu; báo cáo diễn biến tình hình; báo cáo phương án ứng cứu cụ thể; báo cáo xin ý kiến chỉ đạo, chỉ huy; báo cáo đề nghị hỗ trợ, phối hợp; báo cáo kết thúc ứng phó.

3. Hình thức báo cáo bằng công văn, fax, thư điện tử, nhắn tin đa phương tiện hoặc thông qua hệ thống báo cáo, cảnh báo sự cố an toàn mạng quốc gia; mẫu báo cáo theo quy định về điều phối ứng cứu, hoặc theo hướng dẫn của cơ quan điều phối quốc gia.

4. Nội dung báo cáo ban đầu gồm:

a) Tên, địa chỉ Đơn vị vận hành hệ thống thông tin; cơ quan chủ quản hệ thống thông tin; hệ thống thông tin bị sự cố; thời điểm phát hiện sự cố;

b) Đầu mối liên lạc về sự cố của đơn vị vận hành hệ thống bị sự cố: Tên, chức vụ, điện thoại, thư điện tử;

c) Mô tả về sự cố: Loại sự cố, hiện tượng, đánh giá sơ bộ mức độ nguy hại, mức độ lây lan, tác động của sự cố đến hoạt động bình thường của tổ chức;

d) Đơn vị cung cấp dịch vụ hạ tầng công nghệ thông tin, viễn thông;

đ) Liệt kê các biện pháp đã triển khai hoặc dự kiến triển khai để xử lý khắc phục sự cố;

e) Các tổ chức, doanh nghiệp đang hỗ trợ ứng cứu, xử lý và kết quả xử lý sự cố tính đến thời điểm báo cáo;

g) Kết quả ứng cứu sự cố ban đầu;

h) Kiến nghị đề xuất hướng ứng cứu xử lý sự cố (nếu có).

5. Nguyên tắc báo cáo, trao đổi thông tin trong ứng cứu sự cố:

a) Đơn vị vận hành hệ thống thông tin báo cáo Chủ quản hệ thống thông tin, đơn vị chuyên trách ứng cứu sự cố cùng cấp, đồng gửi Cơ quan điều phối quốc gia;

b) Đơn vị chuyên trách ứng cứu sự cố báo cáo Chủ quản hệ thống thông tin, Ban Chỉ đạo cấp trên trực tiếp và Cơ quan điều phối quốc gia;

c) Ban Chỉ đạo cấp bộ, tỉnh và cơ quan điều phối quốc gia báo cáo Cơ quan thường trực và Ban Chỉ đạo quốc gia.

Điều 12. Tiếp nhận, phát hiện, phân loại và xử lý ban đầu sự cố an toàn thông tin mạng

1. Đơn vị chuyên trách về ứng cứu sự cố hoặc thành viên mạng lưới ứng cứu sự cố, khi phát hiện sự cố hoặc nhận được thông báo, báo cáo sự cố an toàn thông tin mạng trong phạm vi mình chịu trách nhiệm phải thực hiện:

a) Ghi nhận, tiếp nhận thông báo, báo cáo sự cố an toàn thông tin mạng theo đúng quy trình;

b) Thông báo ngay thông tin sự cố đến Cơ quan điều phối quốc gia, đơn vị vận hành hệ thống thông tin, cơ quan chủ quản hệ thống thông tin và các cơ quan chức năng liên quan;

c) Phản hồi cho tổ chức, cá nhân gửi thông báo, báo cáo ban đầu ngay sau khi nhận được để xác nhận về việc đã nhận được thông báo, báo cáo sự cố;

d) Thẩm tra, xác minh và phân loại sự cố an toàn thông tin mạng để lựa chọn phương án ứng cứu phù hợp hoặc đề xuất với Ban chỉ đạo cấp trên trực tiếp và cơ quan điều phối quốc gia trong trường hợp vượt thẩm quyền;

đ) Chủ động hỗ trợ đơn vị vận hành hệ thống thông tin ứng cứu, xử lý sự cố trong khả năng và trách nhiệm của mình;

e) Giám sát diễn biến tình hình ứng cứu sự cố và báo cáo Ban Chỉ đạo cấp trên trực tiếp và cơ quan điều phối quốc gia; đề xuất, xin ý kiến chỉ đạo trong trường hợp không thuộc thẩm quyền, phạm vi trách nhiệm của mình hoặc vượt khả năng xử lý của mình;

g) Tổng hợp báo cáo Cơ quan điều phối quốc gia theo định kỳ 6 tháng một lần và báo cáo đột xuất khi được yêu cầu.

2. Cơ quan điều phối quốc gia có trách nhiệm:

a) Công khai trên trang tin điện tử của mình số điện thoại, số fax và email đường dây nóng và bảo đảm nguồn lực để duy trì trực đường dây nóng liên tục để kịp thời tiếp nhận và xử lý sự cố;

b) Ghi nhận, tiếp nhận thông báo, báo cáo sự cố an toàn thông tin mạng theo đúng quy trình;

c) Phản hồi cho tổ chức, cá nhân gửi thông báo, báo cáo ban đầu ngay sau khi nhận được để xác nhận về việc đã nhận được thông báo, báo cáo sự cố;

d) Cung cấp đầu mối liên lạc riêng đối với sự cố nghiêm trọng;

đ) Thẩm tra, xác minh và phân loại sự cố để thực hiện các cảnh báo, điều phối lựa chọn phương án, tổ chức ứng cứu và báo cáo; đề xuất với Cơ quan thường trực quyết định sự cố nghiêm trọng và phương án ứng cứu khẩn cấp phù hợp; báo cáo, đề xuất với Cơ quan thường trực và Ban Chỉ đạo quốc gia các vấn đề vượt thẩm quyền;

e) Tổ chức hoạt động phối hợp với các tổ chức ứng cứu sự cố mạng quốc tế để tiếp nhận các cảnh báo sớm, thông tin về sự cố, nguy cơ về mất an toàn thông tin mạng và phối hợp ứng cứu sự cố, tấn công xuyên biên giới;

g) Thực hiện các trách nhiệm khác của Cơ quan điều phối quốc gia.

3. Đơn vị vận hành hệ thống thông tin khi phát hiện hoặc nhận được thông báo sự cố đối với hệ thống thông tin do mình quản lý, phải thực hiện:

a) Ghi nhận, tiếp nhận thông báo, báo cáo sự cố và tập hợp các thông tin liên quan theo đúng quy trình;

b) Phản hồi cho tổ chức, cá nhân gửi thông báo, báo cáo ban đầu ngay sau khi nhận được để xác nhận về việc đã nhận được thông báo, báo cáo sự cố;

c) Chủ trì, phối hợp cùng đơn vị cung cấp dịch vụ an toàn thông tin mạng (nếu có) và các đơn vị chức năng liên quan tiến hành phân tích, xác minh, đánh giá tình hình, sơ bộ phân loại sự cố và triển khai ngay các hoạt động ứng cứu sự cố và báo cáo theo quy định;

d) Báo cáo về sự cố, diễn biến tình hình ứng cứu sự cố, đề xuất hỗ trợ ứng cứu sự cố hoặc nâng cấp nghiêm trọng của sự cố (khi cần) cho chủ quản hệ thống thông tin, Cơ quan điều phối quốc gia và đơn vị chuyên trách ứng cứu sự cố cùng cấp.

Điều 13. Quy trình ứng cứu sự cố an toàn thông tin mạng thông thường

Quy trình ứng cứu sự cố an toàn thông tin mạng thông thường theo các văn bản hướng dẫn, quy định của Bộ Thông tin và Truyền thông và Cơ quan điều phối quốc gia.

Điều 14. Quy trình ứng cứu sự cố an toàn thông tin mạng nghiêm trọng

Quy trình ứng cứu khẩn cấp sự cố an toàn thông tin mạng nghiêm trọng sau đây được sử dụng chung cho cả bốn phương án ứng cứu khẩn cấp nêu trong Điều 10 Quyết định này, cụ thể bao gồm các bước sau:

1. Phát hiện hoặc tiếp nhận sự cố

Đơn vị chủ trì: Đơn vị vận hành hệ thống thông tin; Cơ quan điều phối quốc gia.

Đơn vị phối hợp: Đơn vị chuyên trách về ứng cứu sự cố; Chủ quản hệ thống thông tin.

Nội dung thực hiện: Đơn vị vận hành hệ thống thông tin chịu trách nhiệm liên tục theo dõi, phát hiện các tấn công, sự cố đối với hệ thống mình được giao quản lý, vận hành. Cơ quan điều phối quốc gia là đơn vị đầu mối tổ chức các hoạt động theo dõi, giám sát, phát hiện các sự cố và tiếp nhận thông báo về sự cố an toàn thông tin mạng từ các nguồn khác nhau.

2. Xác minh, phân tích, đánh giá và phân loại sự cố

Đơn vị chủ trì: Cơ quan điều phối quốc gia.

Đơn vị phối hợp: Chủ quản hệ thống thông tin; Đơn vị chuyên trách về ứng cứu sự cố; Đơn vị vận hành hệ thống thông tin.

Nội dung thực hiện:

a) Cơ quan điều phối quốc gia phối hợp cùng chủ quản hệ thống thông tin (hoặc đơn vị được ủy quyền như đơn vị chuyên trách về ứng cứu sự cố hoặc đơn vị vận hành hệ thống thông tin) xác minh sự cố bao gồm các thông tin sau: Tình trạng sự cố; mức độ sự cố; phạm vi ảnh hưởng của sự cố; đối tượng, địa điểm xảy ra sự cố.

b) Sau khi xác minh được sự cố, Cơ quan điều phối quốc gia có trách nhiệm phân loại sự cố và triển khai tiếp như sau:

- Trường hợp sự cố được phân loại thông thường (không đạt các tiêu chí quy định tại Điều 9 Quyết định này) thì Cơ quan điều phối quốc gia thông báo cho các bên liên quan để tiếp tục triển khai theo phương án ứng cứu sự cố an toàn thông tin mạng thông thường;

- Trường hợp sự cố được phân loại nghiêm trọng (đạt các tiêu chí quy định tại Điều 9 Quyết định này) thì Cơ quan điều phối quốc gia báo cáo Cơ quan thường trực về sự cố nghiêm trọng cùng với các đề xuất: Phương án ứng cứu; các đơn vị tham gia lực lượng ứng cứu; nguồn lực cần thiết để ứng cứu sự cố; dự kiến triệu tập bộ phận tác nghiệp ứng cứu khẩn cấp và thực hiện tiếp theo khoản 3 Điều này.

3. Cơ quan thường trực quyết định lựa chọn phương án và triệu tập các thành viên của bộ phận tác nghiệp ứng cứu khẩn cấp.

Đơn vị chủ trì: Cơ quan thường trực.

Nội dung thực hiện:

a) Cơ quan thường trực căn cứ theo báo cáo của Cơ quan điều phối quốc gia xem xét quyết định lựa chọn phương án ứng cứu khẩn cấp quốc gia và triệu tập bộ phạn tác nghiệp ứng cứu khẩn cấp để ứng cứu, xử lý sự cố. Tùy theo tình hình thực tế, bộ phận tác nghiệp ứng cứu khẩn cấp được huy động từ số các đơn vị theo quy định tại Điều 8 Quyết định này phù hợp với phương án ứng cứu được lựa chọn và đặc thú của sự cố.

b) Nguyên tắc phân công nhiệm vụ triển khai các biện pháp ứng cứu khẩn cấp bảo đảm an toàn thông tin mạng quốc gia như sau:

- Chỉ đạo điều hành hoạt động ứng cứu và giám sát cơ chế phối hợp, chia sẻ thông tin: Bộ Thông tin và Truyền thông, Ban điều phối ứng cứu quốc gia;

- Thu thập, tổng hợp thông tin và chia sẻ, báo cáo: Cơ quan điều phối quốc gia, chủ quản hệ thống thông tin (qua đơn vị vận hành hệ thống thông tin và đơn vị chuyên trách ứng cứu sự cố);

- Phân tích thông tin: Cơ quan điều phối quốc gia, đơn vị vận hành hệ thống thông tin, đơn vị chuyên trách ứng cứu sự cố và các đơn vị tham gia tác nghiệp ứng cứu khẩn cấp;

- Ngăn chặn, xử lý sự cố: Đơn vị vận hành hệ thống thông tin, đơn vị chuyên trách ứng cứu sự cố, Cơ quan điều phối quốc gia và các đơn vị tham gia tác nghiệp ứng cứu khẩn cấp;

- Khắc phục, gỡ bỏ, khôi phục dữ liệu và hoạt động bình thường: Chủ quản hệ thống thông tin, các đơn vị được chủ quản hệ thống thông tin lựa chọn;

- Xử lý hậu quả: Chủ quản hệ thống thông tin, các đơn vị tham gia tác nghiệp ứng cứu khẩn cấp;

- Công bố và xử lý khủng hoảng thông tin: Cơ quan thường trực, Cơ quan điều phối quốc gia.

4. Triển khai phương án ứng cứu ban đầu

Đơn vị chủ trì: Cơ quan điều phối quốc gia, Chủ quản hệ thống thông tin.

Nội dung thực hiện: Cơ quan điều phối quốc gia nhanh chóng phối hợp với chủ quản hệ thống thông tin tiến hành ngay các biện pháp ứng cứu ban đầu, bao gồm:

a) Xác định phạm vi, đối tượng, mục tiêu cần ứng cứu:

- Các sự cố liên quan đã xảy ra;

- Đối tượng đang bị ảnh hưởng;

- Phạm vi bị ảnh hưởng;

- Các mục tiêu ưu tiên trong khắc phục sự cố (khôi phục hoạt động, bảo đảm bí mật dữ liệu; bảo đảm tính toàn vẹn dữ liệu);

- Diễn biến tình hình và phương thức thủ đoạn tấn công;

- Dự đoán các diễn biến tiếp theo có thể xảy ra.

b) Điều phối các hoạt động ứng cứu ban đầu: Cơ quan thường trực chỉ đạo Cơ quan điều phối quốc gia thực hiện điều phối và chia sẻ thông tin, tài liệu liên quan đến tình huống ứng cứu cho các thành viên tham gia theo chức năng, nhiệm vụ được giao.

c) Cảnh báo sự cố trên mạng lưới ứng cứu quốc gia: Cơ quan điều phối quốc gia thực hiện cảnh báo cho các thành viên mạng lưới và các đối tượng có liên quan hoặc có khả năng xảy ra các sự cố tương tự.

d) Tiến hành các biện pháp khôi phục tạm thời:

Căn cứ vào mục tiêu được ưu tiên trong khắc phục sự cố, Chủ quản hệ thống thông tin phối hợp với Cơ quan điều phối quốc gia, các nhà cung cấp dịch vụ và các cơ quan chức năng khác tiến hành khôi phục một số hoạt động, dữ liệu hoặc kết nối cần thiết nhất để giảm thiểu thiệt hại đối với hệ thống thông tin, ảnh hưởng uy tín của cơ quan chủ quản, quản lý hệ thống hoặc gây ảnh hưởng xấu tới xã hội.

Chủ quản hệ thống thông tin phải phối hợp chặt chẽ, cung cấp đầy đủ thông tin để Cơ quan điều phối quốc gia thực hiện giám sát, theo dõi quá trình phục hồi và các tấn công, ảnh hưởng trong thời gian chưa khắc phục triệt để sự cố.

đ) Xử lý hậu quả ban đầu: Chủ quản hệ thống thông tin cần nhanh chóng tiến hành các biện pháp khắc phục khẩn cấp các hậu quả, thiệt hại do tấn công mạng gây ra làm ảnh hưởng đến người dân, xã hội, cơ quan, tổ chức khác theo yêu cầu của Cơ quan thường trực.

e) Ngăn chặn, xử lý các hành vi đã được phát hiện: Cơ quan thường trực điều phối hoặc chỉ đạo Cơ quan điều phối quốc gia thực hiện điều phối các cơ quan chức năng triển khai hỗ trợ phát hiện và xử lý các nguồn phát tán tấn công, ngăn chặn các tấn công từ bên ngoài vào hệ thống thông tin bị sự cố. Cơ quan thường trực cung cấp hoặc chỉ đạo cung cấp các thông tin, chứng cứ liên quan đến các hành vi vi phạm pháp luật có yếu tố cấu thành tội phạm (nếu có) để các cơ quan chức năng thuộc Bộ Công an tiến hành điều tra, xác minh và ngăn chặn tội phạm.

5. Triển khai phương án ứng cứu khẩn cấp

a) Chỉ đạo xử lý sự cố

Đơn vị chủ trì: Cơ quan thường trực, Ban Chỉ đạo ứng cứa sự cố cấp bộ, tỉnh.

Nội dung thực hiện: Căn cứ theo phương án ứng cứu được lựa chọn, Cơ quan thường trực chỉ đạo chủ quản hệ thống thông tin, Cơ quan điều phối quốc gia, bộ phận tác nghiệp ứng cứu sự cố triển khai công tác ứng cứu, xử lý sự cố. Trong quá trình ứng cứu, tùy thuộc vào diễn biến tình hình thực tế, Cơ quan thường trực có thể quyết định bổ sung thành phần tham gia tác nghiệp ứng cứu khẩn cấp.

b) Điều phối công tác ứng cứu

Đơn vị chủ trì: Ban điều phối ứng cứu quốc gia, Cơ quan điều phối quốc gia.

Nội dung thực hiện: Căn cứ theo phương án ứng cứu được lựa chọn, Ban Điều phối ứng cứu quốc gia hoặc Cơ quan điều phối quốc gia thực hiện công tác điều phối ứng cứu theo chức năng nhiệm vụ của mình và giám sát cơ chế phối hợp, chia sẻ thông tin.

c) Phát ngôn và công bố thông tin

Cơ quan thường trực chịu trách nhiệm chỉ định người phát ngôn, cung cấp thông tin; quyết định địa điểm, nội dung, thời điểm phát ngôn, cung cấp thông tin cho các cơ quan thông tin đại chúng, các cá nhân và tổ chức có liên quan đến sự cố.

d) Thu thập thông tin

Đơn vị chủ trì: Cơ quan điều phối quốc gia, chủ quản hệ thống thông tin.

Nội dung thực hiện: Căn cứ theo yêu cầu cung cấp thông tin cho các đơn vị thuộc thành phần tác nghiệp ứng cứu khẩn cấp, cơ quan điều phối quốc gia cùng chủ quản hệ thống thông tin phối hợp tiến hành thu thập, tổng hợp và chia sẻ, cung cấp thông tin.

đ) Phân tích, giám sát tình hình liên quan sự cố

Cơ quan điều phối quốc gia chủ trì, phối hợp với chủ quản hệ thống thông tin thực hiện giám sát liên tục diễn biến sự cố và thông báo, cập nhật đến các đơn vị trong bộ phận tác nghiệp ứng cứu khẩn cấp.

Các đơn vị thuộc bộ phận tác nghiệp ứng cứu khẩn cấp dựa trên các thông tin thu thập được, sử dụng các nguồn lực, phương tiện và các quy trình nghiệp vụ của mình để tiến hành phân tích sự cố. Kết quả phân tích sự cố được báo cáo Cơ quan thường trực, Cơ quan điều phối quốc gia và chia sẻ trong bộ phận tác nghiệp ứng cứu khẩn cấp để phục vụ ứng cứu, khắc phục sự cố.

e) Khắc phục sự cố, gỡ bỏ mã độc

Đơn vị chủ trì: Chủ quản hệ thống thông tin.

Đơn vị phối hợp: Cơ quan điều phối quốc gia, các đơn vị khác thuộc Bộ phận tác nghiệp ứng cứu khẩn cấp.

Nội dung thực hiện:

- Sao lưu hệ thống trước và sau khi xử lý sự cố;

- Tiêu diệt các mã độc, phần mềm độc hại;

- Khôi phục hệ thống, dữ liệu và kết nối;

- Cấu hình hệ thống an toàn;

- Kiểm tra thử toàn bộ hệ thống sau khi khắc phục sự cố;

- Khắc phục các điểm yếu an toàn thông tin;

- Bổ sung các thiết bị, phần cứng, phần mềm bảo đảm an toàn thông tin cho hệ thống;

- Triển khai theo dõi, giám sát, ngăn chặn khả năng lặp lại sự cố hoặc xảy ra các sự cố tương tự.

g) Ngăn chặn, xử lý hậu quả

Chủ quản hệ thống thông tin có trách nhiệm xử lý các hậu quả do sự cố hệ thống thông tin của mình gây ra ảnh hưởng đến người dân, cơ quan, tổ chức khác.

Các đơn vị thuộc thành phần tham gia tác nghiệp ứng cứu khẩn cấp, dựa trên các kết quả phân tích, điều tra, sử dụng các nguồn lực, phương tiện và nghiệp vụ của mình để tiến hành ngăn chặn các hành vi gây ra sự cố và hỗ trợ xử lý hậu quả.

h) Xác minh nguyên nhân và truy tìm nguồn gốc

Các đơn vị tham gia tác nghiệp ứng cứu khẩn cấp sau khi phân tích sự cố, tham khảo các kết quả phân tích sự cố của các đơn vị khác, sử dụng các nguồn tin và quy trình nghiệp vụ của mình, chủ động điều tra chi tiết nguyên nhân và truy tìm nguồn gốc, gửi Cơ quan thường trực, Cơ quan điều phối quốc gia để tổng hợp, xác minh, báo cáo Ban Chỉ đạo quốc gia các thông tin liên quan, cụ thể bao gồm:

- Đối tượng bị tấn công;

- Phương thức thủ đoạn tấn công (quy trình, kỹ thuật, mẫu mã đọc, phần mềm độc hại);

- Thời gian tấn công;

- Các thiệt hại đã xảy ra;

- Đối tượng tấn công;

- Dự đoán khả năng xảy ra các tấn công tương tự và thiệt hại.

6. Đánh giá kết quả triển khai phương án ứng cứu khẩn cấp bảo đảm an toàn thông tin mạng quốc gia

Đơn vị chủ trỉ: Ban Chỉ đạo quốc gia

Nội dung thực hiện: Cơ quan thường trực tổng hợp toàn bộ các báo cáo phân tích có liên quan đến triển khai phương án ứng cứu khẩn cấp bảo đảm an toàn thông tin mạng quốc gia để báo cáo với Ban Chỉ đạo quốc gia và họp phân tích nguyên nhân, rút kinh nghiệm trong hoạt động xử lý sự cố và đề xuất các biện pháp bổ sung cho các sự cố tương tự.

7. Kết thúc

Đơn vị chủ trì: Cơ quan điều phối quốc gia

Đơn vị phối hợp: Chủ quản hệ thống thông tin, các đơn vị thuộc Bộ phận tác nghiệp ứng cứu khẩn cấp.

Nội dung thực hiện: Cơ quan điều phối quốc gia căn cứ kết quả đánh giá của Ban Chỉ đạo quốc gia sẽ thực hiện hoàn tất các nhiệm vụ sau, kết thúc hoạt động ứng cứu sự cố khẩn cấp:

- Lưu hồ sơ, tài liệu lưu trữ;

- Xây dựng, đúc rút các bài học, kinh nghiệm;

- Đề xuất các kiến nghị về kỹ thuật, chính sách để hạn chế thiệt hại khi xảy ra các tấn công tương tự;

- Báo cáo cơ quan cấp trên, tổ chức họp báo hoặc gửi thông tin cho truyền thông nếu cần thiết.

Chương IV
Biện pháp bảo đảm thực hiện ứng cứu sự cố an toàn thông tin mạng quốc gia
Điều 15. Trưng dụng tài sản và đình chỉ phương tiện thông tin phục vụ ứng cứu khẩn cấp sự cố an toàn thông tin mạng quốc gia

Trong quá trình triển khai ứng cứu khẩn cấp bảo đảm an toàn thông tin mạng quốc gia, khi được Cơ quan thường trực yêu cầu, các cơ quan có chức năng thẩm quyền theo quy định của pháp luật thực hiện:

1. Tạm đình chỉ hoặc đình chỉ việc sử dụng phương tiện thông tin liên lạc hoặc các hoạt động khác từ hệ thống thông tin khi có căn cứ xác định các hoạt động này gây nguy hại đặc biệt nghiêm trọng đến lợi ích công cộng hoặc tổn hại nghiêm trọng, đặc biệt nghiêm trọng tới quốc phòng, an ninh.

2. Trưng dụng phương tiện thông tin, phương tiện, giao thông, phương tiện khác và người đang sử dụng, điều khiển phương tiện đó trong trường hợp cấp bách để thực hiện nhiệm vụ ứng cứu khẩn cấp hoặc để ngăn chặn hậu quả thiệt hại cho xã hội đang xảy ra hoặc có nguy cơ xảy ra.

3. Huy động các nguồn lực trong phạm vi ngành, lĩnh vực, địa phương mình quản lý để triển khai thực hiện ứng cứu sự cố.

Điều 16. Xây dựng và triển khai kế hoạch ứng phó sự cố bảo đảm an toàn thông tin mạng

1. Các cơ quan, đơn vị xây dựng và thực hiện kế hoạch ứng phó sự cố bảo đảm an toàn thông tin mạng (sau đây gọi tắt là kế hoạch ứng phó sự cố) để đảm bảo nhân lực, vật lực, tài lực và các điều kiện cần thiết để sẵn sàng triển khai kịp thời, hiệu quả phương án ứng cứu sự cố bảo đảm an toàn thông tin mạng, cụ thể như sau:

a) Cơ quan điều phối quốc gia xây dựng, trình Bộ Thông tin và Truyền thông phê duyệt để thực hiện kế hoạch ứng phó sự cố bảo đảm an toàn thông tin mạng quốc gia và kế hoạch hoạt động của mạng lưới ứng cứu sự cố.

b) Đơn vị chuyên trách về ứng cứu sự cố của các bộ, cơ quan trung ương xây dựng, trình thủ trưởng cơ quan chủ quản phê duyệt để thực hiện kế hoạch ứng phó sự cố bảo đảm an toàn thông tin mạng cho cơ quan nhà nước, tổ chức chính trị, tổ chức chính trị - xã hội trong phạm vi bộ, ngành mình quản lý.

c) Đơn vị chuyên trách về ứng cứu sự cố của các tỉnh, thành phố trực thuộc trung ương xây dựng, trình Chủ tịch Ủy ban nhân dân cấp tỉnh phê duyệt để thực hiện kế hoạch ứng phó sự cố bảo đảm an toàn thông tin mạng của địa phương;

d) Các thành viên mạng lưới, tổ chức, doanh nghiệp có quản lý hệ thống thông tin thuộc Danh mục hệ thống thông tin quan trọng quốc gia, hệ thống thông tin lớn, hệ thống điều khiển công nghiệp (SCADA) xây dựng, phê duyệt và thực hiện kế hoạch ứng phó sự cố bảo đảm an toàn thông tin mạng trong tổ chức, doanh nghiệp mình.

2. Các cơ quan, đơn vị xây dựng kế hoạch ứng phó sự cố bảo đảm an toàn thông tin mạng theo đề cương tại Phụ lục II của Quyết định này, trong đó chú trọng các nội dung: Các kịch bản tấn công, các nguy cơ, tình huống sự cố có khả năng xảy ra, các phương án ứng cứu theo các kịch bản, tình huống dự kiến và công tác huấn luyện, diễn tập. Trường hợp cần thiết, Bộ Thông tin và Truyền thông xem xét điều chỉnh một số điểm trong đề cương cho phù hợp với tình hình và yêu cầu sự cố an toàn thông tin mạng.

3. Cơ quan điều phối quốc gia hướng dẫn việc xây dựng, triển khai kế hoạch ứng phó sự cố, dự phòng ứng cứu, xử lý sự cố an toàn thông tin mạng; tổ chức hoạt động huấn luyện, diễn tập theo vùng, miền và quốc gia, quốc tế; định kỳ kiểm tra, đánh giá việc triển khai kế hoạch ứng phó sự cố an toàn thông tin mạng của các bộ, ngành, địa phương và của các tổ chức, doanh nghiệp.

Điều 17. Kinh phí

1. Kinh phí để thực hiện các phương án, kế hoạch, hoạt động điều phối, ứng cứu, khắc phục sự cố an toàn thông tin mạng được lấy từ các nguồn: Ngân sách trung ương; ngân sách địa phương; kinh phí của doanh nghiệp và các nguồn vốn hợp pháp khác theo quy định.

2. Kinh phí thực hiện các hoạt động ứng cứu sự cố an toàn thông tin mạng được bố trí trong dự toán chi ngân sách nhà nước của các bộ, cơ quan trung ương và các địa phương (bao gồm chi đầu tư phát triển và chi thường xuyên) và được quản lý, sử dụng, thanh quyết toán theo phân cấp ngân sách quy định tại Luật ngân sách nhà nước và các văn bản hướng dẫn thi hành. Việc bố trí kinh phí thực hiện theo nguyên tắc: Hoạt động, lực lượng thuộc cơ quan cấp nào thì bố trí kinh phí và sử dụng từ nguồn kinh phí của cơ quan cấp đó, cụ thể:

a) Ngân sách trung ương bảo đảm cho:

- Hoạt động chỉ đạo, điều hành, kiểm tra, giám sát ứng cứu sự cố của Ban Chỉ đạo quốc gia, Ban Điều phối ứng cứu quốc gia, Cơ quan thường trực ứng cứu sự cố quốc gia;

- Hoạt động của Cơ quan điều phối quốc gia gồm: Kinh phí triển khai các hoạt động liên quan thuộc trách nhiệm của cơ quan điều phối quốc gia quy định tại các Điều 7, Điều 11, Điều 12, Điều 13, Điều 14 và Điều 16 Quyết định này; kinh phí bảo đảm hoạt động thường xuyên; tổ chức giám sát phát hiện, cảnh báo; huấn luyện, diễn tập, đào tạo; mua sắm, nâng cấp, gia hạn bản quyền phần mềm, trang thiết bị, bảo dưỡng phương tiện, công cụ tham gia, phối hợp các hoạt động hợp tác quốc tế về an toàn mạng; kinh phí xây dựng và triển khai kế hoạch ứng phó sự cố, kinh phí dự phòng ứng cứu xử lý sự cố nghiêm trọng quốc gia; hỗ trợ các bộ, ngành, địa phương trong điều phối, ứng cứu sự cố; kinh phí thuê dịch vụ kỹ thuật, tổ chức và duy trì đội chuyên gia ứng cứu sự cố và bộ phận tác nghiệp ứng cứu sự cố; kinh phí điều hành và tổ chức các hoạt động của Mạng lưới ứng cứu sự cố, tuyên truyền, tập huấn, hội thảo, giao ban mạng lưới, nghiên cứu chuyên môn, duy trì bộ phận chuyên gia kỹ thuật, nâng cao năng lực và phát triển các đội ứng cứu sự cố; kinh phí kiểm tra, rà quét, đánh giá an toàn thông tin; tạo lập, thu thập, phân tích và chia sẻ thông tin về sự cố; hỗ trợ xây dựng, áp dụng chuẩn ISO 27xxx và các chuẩn quốc tế về an toàn thông tin mạng; triển khai các hoạt động nghiệp vụ đặc thù bảo đảm an toàn thông tin mạng cho các hệ thống thông tin quan trọng của Nhà nước;

- Các bộ, cơ quan trung ương căn cứ các nội dung quy định tại Quyết định này lập dự toán kinh phí hàng năm để triển khai các hoạt động liên quan thuộc trách nhiệm của bộ, ngành mình quy định tại các Điều 7, Điều 11, Điều 12, Điều 13, Điều 14 và Điều 16 Quyết định này; kinh phí xây dựng và triển khai kế hoạch ứng phó sự cố trong bộ, ngành mình; kinh phí dự phòng ứng cứu, xử lý sự cố cho các hệ thống thông tin do bộ, ngành mình quản lý; kinh phí tổ chức đào tạo, huấn luyện, diễn tập và hoạt động của Đội ứng cứu sự cố; kinh phí giám sát, kiểm tra, rà quét, đánh giá an toàn thông tin; hỗ trợ xây dựng, áp dụng chuẩn ISO 27xxx và triển khai các hoạt động nghiệp vụ đặc thù bảo đảm an toàn thông tin mạng cho các hệ thống thông tin thuộc phạm vi quản lý.

b) Ngân sách địa phương bảo đảm cho hoạt động của Ban Chỉ đạo, đơn vị chuyên trách ứng cứu sự cố, đội ứng cứu sự cố của địa phương, gồm: Kinh phí để triển khai các hoạt động liên quan thuộc trách nhiệm của địa phương quy định tại các Điều 7, Điều 11, Điều 12, Điều 13, Điều 14 và Điều 16 Quyết định này; kinh phí triển khai kế hoạch ứng phó sự cố của địa phương; kinh phí dự phòng ứng cứu, xử lý sự cố cho các hệ thống thông tin thuộc địa phương quản lý; kinh phí tổ chức đào tạo, huấn luyện, diễn tập và hoạt động của Đội ứng cứu sự cố; kinh phí giám sát, kiểm tra, rà quét, đánh giá an toàn thông tin; hỗ trợ xây dựng, áp dụng chuẩn ISO 27xxx và triển khai các hoạt động nghiệp vụ đặc thù bảo đảm an toàn thông tin mạng cho các hệ thống thông tin thuộc phạm vi quản lý.

c) Nguồn kinh phí của doanh nghiệp đảm bảo để triển khai các hoạt động liên quan thuộc trách nhiệm của doanh nghiệp quy định tại khoản 4 Điều 7, Điều 11 Điều 12, Điều 13, Điều 14 và Điều 16 Quyết định này; triển khai kế hoạch ứng phó sự cố của doanh nghiệp, dự phòng ứng cứu, xử lý sự cố cho các hệ thống thông tin do doanh nghiệp quản lý; phối hợp giám sát, cung cấp thông tin, tham gia ứng cứu sự cố; tổ chức đào tạo, huấn luyện, diễn tập, duy trì hoạt động của Đội ứng cứu sự cố và các nhiệm vụ khác do doanh nghiệp thực hiện và được hạch toán vào chi phí kinh doanh để thực hiện. Các doanh nghiệp viễn thông, Internet bảo đảm kinh phí để giám sát, ứng cứu sự cố bảo đảm an toàn thông tin mạng trên các kênh kết nối Internet của doanh nghiệp mình và được hạch toán vào chi phí kinh doanh để thực hiện.

d) Chủ quản hệ thống thông tin phải bố trí kinh phí để thực hiện kế hoạch, phương án ứng cứu sự cố, dự phòng kinh phí xử lý sự cố, khắc phục hậu quả, khôi phục dữ liệu và hoạt động bình thường của hệ thống thông tin của mình.

đ) Nguồn vốn từ Quỹ dịch vụ viễn thông công ích Việt Nam được bố trí cho một số hoạt động, nhiệm vụ về điều phối, ứng cứu sự cố bảo đảm an toàn thông tin mạng mà ngân sách nhà nước không chi hoặc chi không đủ của cơ quan điều phối quốc gia, bộ phận tác nghiệp ứng cứu sự cố do cơ quan thường trực triệu tập, hoạt động của mạng lưới ứng cứu sự cố quốc gia, thuê dịch vụ kỹ thuật, tổ chức và duy trì đội chuyên gia ứng cứu sự cố thuộc cơ quan điều phối quốc gia, chi trả cho hao tổn của các doanh nghiệp viễn thông, Internet do triển khai giải pháp ứng cứu, ngăn chặn, xử lý sự cố nghiêm trọng quốc gia, và các hoạt động khác liên quan mà ngân sách nhà nước không chi hoặc chi không đủ.

e) Bộ Tài chính chủ trì, phối hợp với Bộ Thông tin và Truyền thông hướng dẫn chi tiết kinh phí cho công tác điều phối, ứng cứu sự cố bảo đảm an toàn thông tin mạng quy định tại Điều này.

Chương V
Điều khoản thi hành
Điều 18. Hiệu lực thi hành

Quyết định này có hiệu lực thi hành kể từ ngày ký ban hành.

Điều 19. Tổ chức thực hiện

Bộ, cơ quan ngang bộ, cơ quan trung ương, Ủy ban nhân dân tỉnh, thành phố trực thuộc trung ương và các tổ chức liên quan triển khai thực hiện Quyết định này.

Trong quá trình thực hiện nếu phát sinh vướng mắc hoặc nhận thấy cần thiết phải thay đổi những nội dung quy định trong Quyết định này, các cơ quan, tổ chức có ý kiến bằng văn bản gửi Bộ Thông tin và Truyền thông tổng hợp, báo cáo Thủ tướng Chính phủ để xem xét sửa đổi, bổ sung./.

 

Nơi nhận:
- Ban Bí thư Trung ương Đảng;
- Thủ tướng, các Phó Thủ tướng Chính phủ;
- Các bộ, cơ quan ngang bộ, cơ quan thuộc Chính phủ;
- HĐND, UBND các tỉnh, thành phố trực thuộc trung ương;
- Văn phòng Trung ương và các Ban của Đảng;
- Văn phòng Tổng Bí thư;
- Văn phòng Chủ tịch nước;
- Hội đồng dân tộc và các Ủy ban của Quốc hội;
- Văn phòng Quốc hội;
- Tòa án nhân dân tối cao;
- Viện kiểm sát nhân dân tối cao;
- Kiểm toán nhà nước;
- Ủy ban Giám sát tài chính Quốc gia;
- Ngân hàng Chính sách xã hội;
- Ngân hàng Phát triển Việt Nam;
- Ủy ban trung ương Mặt trận Tổ quốc Việt Nam;
- Cơ quan trung ương của các đoàn thể;
- VPCP: BTCN, các PCN, Trợ lý TTg, TGĐ Cổng TTĐT, các Vụ, Cục, đơn vị trực thuộc, Công báo;
- Lưu: VT, KGVX (3). XH

THỦ TƯỚNG




Nguyễn Xuân Phúc

PHỤ LỤC I

QUY TRÌNH ĐIỀU PHỐI, ỨNG CỨU SỰ CỐ AN TOÀN THÔNG TIN MẠNG
(Kèm theo Quyết định số 05/2017/QĐ-TTg ngày 16 tháng 3 năm 2017 của Thủ tướng Chính phủ)

 

PHỤ LỤC II

ĐỀ CƯƠNG KẾ HOẠCH ỨNG PHÓ SỰ CỐ AN TOÀN THÔNG TIN MẠNG
(Kèm theo Quyết định số 05/2017/QĐ-TTg ngày 16 tháng 3 năm 2017 của Thủ tướng Chính phủ)

1. Các quy định chung

a) Phạm vi và đối tượng của kế hoạch.

b) Nguyên tắc, phương châm ứng phó sự cố.

c) Các lực lượng tham gia ứng phó sự cố.

d) Chức năng, nhiệm vụ, trách nhiệm và cơ chế, quy trình phối hợp giữa các cơ quan, đơn vị

- Đơn vị quản lý, vận hành hệ thống thông tin;

- Nhà thầu cung cấp dịch vụ an toàn thông tin mạng (nếu có);

- Đơn vị chuyên trách ứng cứu sự cố;

- Đội ứng cứu sự cố bảo đảm an toàn thông tin mạng;

- Bộ phận tác nghiệp ứng cứu khẩn cấp;

- Cơ quan điều phối quốc gia;

- Ban Chỉ đạo ứng cứu khẩn cấp sự cố;

- Cơ quan thường trực và Ban Chỉ đạo quốc gia;

- Các đơn vị liên quan khác.

2. Đánh giá các nguy cơ, sự cố an toàn thông tin mạng

a) Đánh giá hiện trạng và khả năng bảo đảm an toàn thông tin mạng của các hệ thống thông tin và các đối tượng cần bảo vệ thuộc phạm vi của kế hoạch;

b) Đánh giá, dự báo các nguy cơ, sự cố, tấn công mạng có thể xảy ra với các hệ thống thông tin và các đối tượng cần bảo vệ;

c) Đánh giá, dự báo các hậu quả, thiệt hại, tác động có thể có nếu xảy ra sự cố;

d) Đánh giá về hiện trạng phương tiện, trang thiết bị, công cụ hỗ trợ, nhân lực, vật lực phục vụ đối phó, ứng cứu, khắc phục sự cố (bao gồm của cả nhà thầu đã ký hợp đồng cung cấp dịch vụ nếu có).

3. Phương án đối phó, ứng cứu đối với một số tình huống sự cố cụ thể

Đối với mỗi hệ thống thông tin, chương trình, ứng dụng, cần xây dựng tình huống, kịch bản sự cố cụ thể và đưa ra phương án đối phó, ứng cứu sự cố tương ứng. Trong phương án đối phó, ứng cứu phải đặt ra được các tiêu chí để có thể nhanh chóng xác định được tính chất, mức độ nghiêm trọng của sự cố khi sự cố xảy ra. Việc xây dựng phương án đối phó, ứng cứu sự cố cần đảm bảo các nội dung sau:

a) Phương pháp, cách thức để xác định nhanh chóng, kịp thời nguyên nhân, nguồn gốc sự cố nhằm áp dụng phương án đối phó, ứng cứu, khắc phục sự cố phù hợp

- Sự cố do bị tấn công mạng;

- Sự cố do lỗi của hệ thống, thiết bị, phần mềm, hạ tầng kỹ thuật hoặc do lỗi đường điện, đường truyền, hosting...;

- Sự cố do lỗi của người quản trị, vận hành hệ thống;

- Sự cố liên quan đến các thảm họa tự nhiên như bão, lụt, động đất, hỏa hoạn v.v...

b) Phương án đối phó, ứng cứu, khắc phục sự cố đối với một hoặc nhiều tình huống sau:

- Tình huống sự cố do bị tấn công mạng:

+ Tấn công từ chối dịch vụ;

+ Tấn công giả mạo;

+ Tấn công sử dụng mã độc;

+ Tấn công truy cập trái phép, chiếm quyền điều khiển;

+ Tấn công thay đổi giao diện;

+ Tấn công mã hóa phần mềm, dữ liệu, thiết bị;

+ Tấn công phá hoại thông tin, dữ liệu, phần mềm;

+ Tấn công nghe trộm, gián điệp, lấy cắp thông tin, dữ liệu;

+ Tấn công tổng hợp sử dụng kết hợp nhiều hình thức;

+ Các hình thức tấn công mạng khác.

- Tình huống sự cố do lỗi của hệ thống, thiết bị, phần mềm, hạ tầng kỹ thuật:

+ Sự cố nguồn điện;

+ Sự cố đường kết nối Internet;

+ Sự cố do lỗi phần mềm, phần cứng, ứng dụng của hệ thống thông tin;

+ Sự cố liên quan đến quá tải hệ thống;

+ Sự cố khác do lỗi của hệ thống, thiết bị, phần mềm, hạ tầng kỹ thuật.

- Tình huống sự cố do lỗi của người quản trị, vận hành hệ thống:

+ Lỗi trong cập nhật, thay đổi, cấu hình phần cứng;

+ Lỗi trong cập nhật, thay đổi, cấu hình phần mềm;

+ Lỗi liên quan đến chính sách và thủ tục an toàn thông tin;

+ Lỗi liên quan đến việc dừng dịch vụ vì lý do bắt buộc;

+ Lỗi khác liên quan đến người quản trị, vận hành hệ thống.

- Tình huống sự cố liên quan đến các thảm họa tự nhiên như bão, lụt, động đất, hỏa hoạn v.v....

c) Công tác tổ chức, điều hành, phối hợp giữa các lực lượng, giữa các tổ chức trong đối phó, ngăn chặn, ứng cứu, khắc phục sự cố;

d) Phương án về nhân lực, trang thiết bị, phần mềm, phương tiện, công cụ, và dự kiến kinh phí để thực hiện, đối phó, ứng cứu, xử lý đối với từng tình huống sự cố cụ thể.

4. Triển khai hoạt động thường trực, điều phối, xử lý, ứng cứu sự cố

a) Triển khai các hoạt động thuộc trách nhiệm của các cơ quan, đơn vị liên quan theo quy định tại các Điều 11, Điều 12, Điều 13, Điều 14 và các nội dung liên quan khác của Quyết định này;

b) Dự phòng kinh phí, nhân lực, vật lực thường trực sẵn sàng ứng cứu sự cố; triển khai điều hành phối hợp tổ chức ứng cứu và thực hiện ứng cứu, xử lý, ngăn chặn, khắc phục sự cố khi có sự cố xảy ra.

5. Triển khai huấn luyện, diễn tập, phòng ngừa sự cố, giám sát phát hiện, bảo đảm các điều kiện sẵn sàng đối phó, ứng cứu, khắc phục sự cố

Xây dựng các nội dung, nhiệm vụ cụ thể cần triển khai nhằm phòng ngừa sự cố, giám sát phát hiện, huấn luyện, diễn tập, bảo đảm các điều kiện sẵn sàng đối phó, ứng cứu, khắc phục sự cố, cụ thể bao gồm:

a) Triển khai các chương trình huấn luyện, diễn tập:

- Huấn luyện, diễn tập các phương án đối phó, ứng cứu sự cố tương ứng với các kịch bản, tình huống sự cố cụ thể tại Mục 3 Phụ lục này;

- Huấn luyện, diễn tập nâng cao kỹ năng, nghiệp vụ phối hợp, ứng cứu, chống tấn công, xử lý mã độc, khắc phục sự cố;

- Tham gia huấn luyện, diễn tập vùng, miền, quốc gia, quốc tế.

b) Các nội dung, nhiệm vụ nhằm phòng ngừa sự cố và phát hiện sớm sự cố:

- Giám sát, phát hiện sớm nguy cơ, sự cố;

- Kiểm tra, đánh giá an toàn thông tin mạng và rà quét, bóc gỡ, phân tích, xử lý mã độc;

- Phòng ngừa sự cố, quản lý rủi ro; nghiên cứu, phân tích, xác minh, cảnh báo sự cố, rủi ro an toàn thông tin mạng, phần mềm độc hại;

- Xây dựng, áp dụng quy trình, quy định, tiêu chuẩn an toàn thông tin;

- Tuyên truyền, nâng cao nhận thức về nguy cơ, sự cố, tấn công mạng;

c) Các nội dung, nhiệm vụ nhằm bảo đảm các điều kiện sẵn sàng đối phó, ứng cứu, khắc phục sự cố:

- Mua sắm, nâng cấp, gia hạn bản quyền trang thiết bị, phần mềm, công cụ, phương tiện phục vụ ứng cứu, khắc phục sự cố;

- Chuẩn bị các điều, kiện bảo đảm, dự phòng nhân lực, vật lực, tài chính để sẵn sàng đối phó, ứng cứu, khắc phục khi sự cố xảy ra;

- Tổ chức hoạt động của đội ứng cứu sự cố, bộ phận tác nghiệp ứng cứu sự cố; thuê dịch vụ kỹ thuật và tổ chức, duy trì đội chuyên gia ứng cứu sự cố;

Tổ chức và tham gia các hoạt động của mạng lưới ứng cứu sự cố.

6. Các giải pháp đảm bảo, tổ chức triển khai kế hoạch và kinh phí

a) Các giải pháp để thực hiện kế hoạch.

b) Nguồn lực và điều kiện bảo đảm thực hiện kế hoạch.

c) Kinh phí và nguồn vốn triển khai thực hiện kế hoạch.

d) Phân công tổ chức thực hiện.

Các nội dung, nhiệm vụ trong kế hoạch này có thể triển khai theo hình thức tự thực hiện hoặc thuê nhà thầu cung cấp dịch vụ để triển khai, hoặc có thể kết hợp cả 2 hình thức./.

THE PRIME MINISTER
--------

THE SOCIALIST REPUBLIC OF VIETNAM
Independence – Freedom – Happiness
---------------------

No.: 05/2017/QD-TTg

Hanoi, March 16, 2017

 

DECISION

PROVIDING FOR EMERGENCY RESPONSE PLANS TO ENSURE NATIONAL CYBERINFORMATION SECURITY

Pursuant to the Law on Government Organization dated June 19, 2015;

Pursuant to the Law on Cyberinformation Security dated November 19, 2015;

Pursuant to the Government’s Decree No. 85/2016/ND-CP dated July 01, 2016 ensuring the security of information systems by security grades;

At the request of Minister of Information and Communications;

The Prime Minister promulgates regulations on emergency response plans to ensure national cyberinformation security.

Chapter I

GENERAL PROVISIONS

Article 1. Scope

This Decision provides for the emergency response plans to ensure national cyberinformation security.

Information systems which are under the management of Ministry of National Defence or Ministry of Public Security shall not be governed by regulations herein.

Article 2. Regulated entities

This Decision applies to agencies, organizations, enterprises and individuals directly involved in or related to emergency response activities to ensure the cyberinformation security in Vietnam.

Chapter II

ASSIGNMENT OF DUTIES TO IMLEMENT EMERGENCY RESPONSE PLANS TO ENSURE NATIONAL CYBERINFORMATION SECURITY

Article 3. National Steering Committee on emergency response to ensure cyberinformation security

1. The National Steering Committee on information security shall perform functions of the National Steering Committee on emergency response to ensure cyberinformation security (hereinafter referred to as the “NSC”).

2. The NSC shall instruct Ministry of Information and Communications, Ministry of Public Security, Ministry of National Defence and relevant ministries and local governments to conduct emergency response activities to ensure the national cyberinformation security.

Article 4. Standing Committee on emergency response to ensure national cyberinformation security

1. Ministry of Information and Communications shall be the Standing Committee of the NSC (hereinafter referred to as the “Standing Committee”) and have the following duties and rights:

a) Make decisions on selection of response plans and take charge of instructing emergency response activities to ensure the national cyberinformation security;

b) Instruct the National Coordination Center to receive, collect and process information and reports on incidents that cause national cyberinformation insecurity and propose response plans;

c) Convene and instruct the Operations Division for response to national cyberinformation security incidents at the request of the National Coordination Center; instruct and assign duties to units in charge of incident response and members of the Response Network to develop response plans;

d) Take charge or assign the National Coordination Center to act as the national agency for cooperation with regulatory authorities of foreign countries or international organizations in responding to or handling incidents related to such countries;

dd) Inspect the compliance by relevant units and send reports to the NSC on emergency response to national cyberinformation security incidents.

2. Where necessary, Ministry of Information and Communications may take charge of establishing the Coordinating Board for emergency response to ensure national cyberinformation security (hereinafter referred to as the “National Response Coordinating Board”) that is comprised of: the head of Ministry of Information and Communications, who shall act as the Head of the National Response Coordinating Board, the National Coordination Center acting as the standing member and other members who are heads of Departments of relevant ministries.

Article 5. Steering Committees on emergency response to cyberinformation security incidents of ministries, ministerial-level agencies, the Government's affiliates and People’s Committees of provinces or central-affiliated cities

1. Steering Committees on Information Technology of ministries, ministerial-level agencies, the Government's affiliates and People’s Committees of provinces or central-affiliated cities shall perform functions of the Steering Committees on emergency response to cyberinformation security incidents within the scope of their management (hereinafter referred to as “Ministerial/ Provincial-level Steering Committees”).

In case of unavailability of the Steering Committee on Information Technology or depending on specific conditions, the ministry, ministerial-level agency, the Government's affiliate or the Provincial-level People’s Committee may consider establishing the Ministerial- or Provincial-level Steering Committee on emergency response to cyberinformation security incidents which shall be under the management of the head of Ministry or of the Provincial-level People’s Committee.

2. Responsibilities and rights of a Ministerial- or Provincial-level Steering Committee:

a) Instruct coordinating or response activities within the scope of its management; instruct its affiliates to cooperate and comply with orders of the National Coordination Center for coordination and/or response to incidents;

b) Convene and instruct the Incident Response Team or the Operations Division for response to cyberinformation security incidents of same level at the request of the specialized incident response unit;

c) Submit report and ask for instructions from the NSC via the Standing Committee on matters that arise during the implementation of duties beyond its competence; work under the management of the NSC via the Standing Committee and the National Cooperation Office.

Article 6. Specialized cyberinformation incident response units

1. Specialized cyberinformation incident response units are agencies in charge of information security or information technology of ministries or Provincial-level People’s Committees (hereinafter referred to as the “Specialized incident response units”).

Telecommunications or Internet enterprises and managing bodies of large-scale information systems shall establish or appoint specialized units to respond to internal cyberinformation security incidents.

2. Specialized incident response units shall propose the establishment of incident response team and organize incident response activities within the scope of their management; participate in the emergency response activities to ensure the national cyberinformation security upon the request of the Standing Committee or the Coordination Center.

Article 7. National cyberinformation security incident response network

1. The national cyberinformation security incident response network (hereinafter referred to as the “Incident Response Network”) includes the following members:

a) Units in charge of incident response, information security or information technology of ministries, ministerial-level agencies, the Government's affiliates and central-level agencies; Departments of Information and Communications of provinces or central-affiliated cities;

b) Relevant agencies/ units affiliated to the Ministry of Information and Communications; The Authority of Information Security, Vietnam Computer Emergency Response Team (VNCERT), Vietnam Internet Network Information Center (VNNIC) and the Authority of Central Posts;

c) Relevant agencies/ units affiliated to the Ministry of Public Security: Authority of Cyber Security; Police Department for High-Tech Crime Prevention;

d) Relevant agencies/ units affiliated to the Ministry of National Defence: Department of Information Technology; Governmental Cipher Committee;
dd) Telecommunications infrastructure service providers, Internet service providers (ISP); data center service providers, lessors of digital data storage space; national database managing body; units in charge of information security or information technology of banks, financial institutions, state treasuries, tax agencies and customs agencies;

e) Organizations or enterprises managing or operating important information systems or SCADA systems (industrial control systems) in the following sectors: Energy, industry, healthcare, natural resources and environment, education and training, population and urban management.

2. Voluntary participants in the Incident Response Network are organizations or enterprises which are not specified in Clause 1 of this Article, are capable of information security or information technology and permitted to join the Incident Response Network by the National Coordination Center. Organizations or enterprises operating in information security or information technology; managing bodies of large-scale information systems, or banking or financial information systems, or SCADA systems; and other entities capable of information security are encouraged to join the Incident Response Network.

3. Vietnam Computer Emergency Response Team (VNCERT) that is the National Coordination Center for Incident Response (hereinafter referred to as the National Coordination Center or the Coordination Center) shall assume responsibility to:

a) Coordinate all incident response activities nationwide; have the rights to mobilize and coordinate members of the Incident Response Network and relevant organizations or units to cooperate in preventing, handling and remedying incidents in Vietnam; have the rights to decide the methods of coordinating incident response activities and assume responsibility for coordination orders/ requests;

b) Take charge of formulating operating regulations of the Incident Response Network; organize and manage the operation of the Incident Response Network; apply for and receive and manage contributions or financial aids from members of the Incident Response Network and other organizations or individuals and other legal funding sources in order to cover operating expenditures of the Incident Response Network; act as the national center for cooperation with foreign organizations or enterprises in response to cyberinformation security incidents.

c) Ministry of Information and Communications shall establish the Managing Board of the Incident Response Network, which is comprised of a head of the National Coordination Center who holds the position of the head of the Managing Board and other members being representatives of members of the Incident Response Network, to manage, cooperate and organize operations of the Incident Response Network.

4. Members of the Incident Response Network are responsible for complying with the operating regulations of the Network and coordination orders given by the National Coordination Center, and actively participating in operations of the Network. Telecommunications enterprises and Internet service providers (ISP) shall store and provide information concerning IP address of subscribers, servers, IOT equipment, log files and logs of domain name system (DNS) within the scope of their management; provide spaces for installing monitoring/ sampling equipment and provide data flows on the Internet to serve the supervision and detection of incidents upon request of the National Coordination Center; arrange 24/7 standing team and personnel and material resources to cooperate and develop solutions for responding to and remedying consequences of incidents in cases where the source of cyberattacks is originated from subscriber(s) under the enterprise’s management or at the request of the National Coordination Center.

Article 8. Operations Division for emergency response to ensure national cyberinformation security

1. The Operations Division for emergency response to ensure national cyberinformation security (hereinafter referred to as the "Emergency Response Operations Division") is convened and directed by the Standing Committee, and comprised of:

a) The National Coordination Center (Vietnam Computer Emergency Response Team (VNCERT) – standing member);

b) Authority of Information Security affiliated to Ministry of Information and Communications;

c) Authority of Cyber Security and the Police Department for High-Tech Crime Prevention affiliated to Ministry of Public Security;

d) Department of Information Technology and General Staff affiliated to Ministry of National Defence;

dd) Specialized cyberinformation incident response units of ministries, ministerial-level agencies, the Government's affiliates, Provincial-level People’s Committees, telecommunications enterprises, Internet service providers and the managing body of the national important information system.

2. The Emergency Response Operations Division shall have the rights to:

a) Implement operational measures, technical equipment and facilities as well as other appropriate measures within the ambit of assigned functions and duties in accordance with regulations of law;

b) Request relevant authorities, organizations and/or individuals to provide information, documents and/or equipment which are discovered relating to the incident in order to facilitate the incident response;

c) Inspect the information systems of authorities, organizations and/or individuals when there are well-grounded to determine that they are related to the incident in order to facilitate the incident response;

d) Request relevant telecommunications agencies/ enterprises and Internet service providers to cooperate in performing works necessary to respond to the incident.

3. The mechanism for cooperation and sharing of information between members of the Emergency Response Operations Division shall be performed in accordance with regulations of the law and decisions by the Prime Minister.

Chapter III

RESPONSE PLANS

Article 9. Classification of cyberinformation security incidents

Cyberinformation security incidents are considered as serious incidents when they meet all of the following criteria:

1. The compromised information system is the grade-4 or grade-5 information system or on the List of national important information systems and encounters one of the following problems:

a) The system is interrupted;

b) The top-secret data or the state secrets may be revealed;

c) The integrity of the important data of the information system is damaged and the recovery of such important data is impossible;

d) The right to control the information system is seized;

dd) The incident may occur on a large scale or cause a line of adverse impacts or harms to other grade-4 or grade-5 information systems.

2. The managing body of the information system is incapable of controlling or responding to the incident.

Article 10. Emergency response plans to ensure national cyberinformation security

1. A national emergency response plan to ensure cyberinformation security is a plan for response to a serious cyberinformation security incident that meets the criteria mentioned in Article 9 and the compromised information system is the grade-5 one or on the List of national important information systems.

2. Emergency response plans to ensure cyberinformation security of state agencies, political organizations or socio-political organizations are the plans for response to serious cyberinformation security incidents that meet the criteria stated in Article 9; the compromised information systems are the grade-4 ones and the managing bodies of the compromised information systems are affiliated to ministries, ministerial-level agencies, the Government's affiliates, state agencies, political organizations or socio-political organizations (hereinafter referred to as “central-level agencies”).

3. Provincial emergency response plans to ensure cyberinformation security are the plans for response to serious cyberinformation security incidents that meet the criteria stated in Article 9, in which, the compromised information systems are the grade-4 ones and the managing bodies of the compromised information systems are affiliated to People’s Committees or Provincial or City Committees of the Communist Party of provinces or central-affiliated cities (hereinafter referred to as “provincial agencies”).

4. Emergency response plans to ensure cyberinformation security of enterprises are the plans for response to serious cyberinformation security incidents that meet the criteria stated in Article 9, in which, the compromised information systems are the grade-4 ones and the managing bodies of the compromised information systems are telecommunications enterprises, state-owned enterprises managing information systems of grade 4 or higher, or any organizations or enterprises managing information systems on the List of national important information systems (hereinafter referred to as enterprises managing important information infrastructures).

Article 11. Cyberinformation security incident report

1. Reporting cyberinformation security incidents:

a) The information system operating unit shall be responsible for reporting the incident to the managing body, the specialized incident response unit of same level, and the National Coordination Center within 05 days from the detection of the incident; if the information system operating unit defines that the incident may be out of its control, it must carry out the emergency report procedures stated in Clause 2-5 of this Article immediately when the incident is detected or it determined that such incident is out of its control.

b) When detecting any signs of cyber attack or cyberinformation security incident, organizations or individuals should promptly report it to the information system operating unit, the managing bodies relevant information systems, the National Coordination Center and specialized incident response unit or relevant member(s) of the Incident Response Network.

2. Reports on the incident must be made immediately and maintained during the incident response, including: Incident initial report; incident follow-up reports; report on detailed response plan; report to ask for directions; report to ask for support or cooperation; incident final report.

3. Reports may be submitted in the form of official dispatch, by fax, email, MMS (multimedia messaging service) or via the national cyber security incident warning system; templates of reports shall follow regulations on response coordination or guidance by the National Coordination Center.

4. Contents of the incident initial report:

a) Name and address of the information system operating unit; the managing body of the information system; the compromised information system; time of detecting the incident;

b) Personnel in charge of the incident of the operating unit of the compromised information system: Name, position, phone number and email address;

c) Description of the incident: Type of incident, symptoms, preliminary assessment of the severity, spread and impacts of the incident on normal operations of the organization;

d) Provider of information technology/ telecommunications infrastructure services;

dd) List of response actions which have been taken or are being taken to handle the incident;

e) Organizations and/or enterprises supporting or cooperating in incident response, and handling results up to the reporting time;

g) Initial response results;

h) Recommendations for further incident response actions (if any).

5. Principles for reporting and exchanging information involving in incident response:

a) The information system operating unit shall send reports to the managing body of the compromised information system, the specialized incident response unit of the same level and the National Coordination Center;

b) The specialized incident response unit shall send reports to the managing body of the compromised information system, the Steering Committee of higher level and the National Coordination Center;

c) Ministerial- or Provincial-level Steering Committees and the National Coordination Center shall send reports to the Standing Committee and the NSC.

Article 12. Receipt, detection, classification and initial response to cyberinformation security incident

1. Upon the detection or receipt of notification/ report on a cyberinformation security incident within the scope of its management, the specialized incident response unit or the member of the Incident Response Network must:

a) Record or receive the notification or report on the cyberinformation security incident according to process;

b) Promptly notify the incident-related information to the National Coordination Center, the operating unit and the managing unit of the compromised information system and relevant regulatory authorities;

c) Respond to the sender of the incident notification or the incident initial report immediately when receiving it for confirmation purpose;

d) Verify and classify the cyberinformation security incident to select an appropriate response plan or propose the response plan to the Steering Committee of higher level and the National Coordination Center in case the incident occurs out of its control;

dd) Actively give assistance to the operating unit of the compromised information system in responding or handling the incident within the scope of its capacity and responsibility;

e) Supervise the incident response actions and send reports thereof to the Steering Committee of higher level and the National Coordination Center; propose or ask for instructions in case the incident is out of the scope of its competence and responsibility or out of its control;

g) Send periodic reports to the National Coordination Center every 6 months and irregular reports as requested.

2. The National Coordination Center shall assume responsibility to:

a) Publish its phone number, fax number, email address and hotline number on its website, and arrange sufficient staff to maintain the uninterrupted operation of hotline services to receive and respond to incidents;

b) Record or receive the notification or report on the cyberinformation security incident according to process;

c) Respond to the sender of the incident notification or the incident initial report immediately when receiving it for confirmation purpose;

d) Arrange specific staff in charge of communication works in serious incident;

dd) Verify and classify the incident to provide appropriate warnings, coordinate the selection of response plan, organize response activities and prepare reports; request the Standing Committee to make decision on the serious incident and appropriate emergency response plans; report the Standing Committee and the NSC on issues beyond its competence;

e) Organize the cooperation activities with international cyberinformation incident response organizations to receive warnings or information about the cyberinformation security incidents or risks, and cooperate in responding to cross-border incidents or attacks;

g) Fulfill other duties of the National Coordination Center.

3. The information system operating unit, when detecting or receiving the notification of the incident involved in its information system, must:

a) Record or receive the notification or report on the incident and collect information concerning the incident according to process;

b) Respond to the sender of the incident notification or the incident initial report immediately when receiving it for confirmation purpose;

c) Take charge and cooperate with cyberinformation security service providers (if any) and relevant regulatory authorities in performing analysis, verification, preliminary assessment and classification of the incident, conducting incident response actions and reporting in accordance with regulations;

d) Send reports on the incident and response actions, and requests for assistance in responding to the incident or re-assessment of the severity of the incident (where necessary) to the managing body of the compromised information system, the National Coordination Center and specialized incident response unit of the same level.

Article 13. Procedures for response to normal cyberinformation security incidents

Procedures for response to normal cyberinformation security incidents shall be performed in accordance with written guidance or regulations of Ministry of Information and Communications and the National Coordination Center.

Article 14. Procedures for response to serious cyberinformation security incidents

The following procedure for emergency response to serious cyberinformation security incidents shall be applied to the four emergency response plans stated in Article 10 herein. It includes the following steps:

1. Detection of the incident or receipt of incident report

Unit in charge: The information system operating unit; the National Coordination Center.

Coordinating units: The specialized incident response unit; the managing body of the compromised information system.

Working contents: The information system operating unit shall continuously monitor and detect sources of attacks and the incident occurring on the information system under its management. The National Coordination Center shall take charge of organizing activities of monitoring and detecting incidents, and receiving notifications of cyberinformation security incidents from various sources.

2. Verification, analysis, assessment and classification of the incident

Unit in charge: The National Coordination Center.

Coordinating units: The managing body of the compromised information system; specialized incident response units; the information system operating unit. Working contents:

a) The National Coordination Center shall cooperate with the managing body of the compromised information system (or its authorized unit such as the specialized incident response unit or the information system operating unit) to verify the incident in terms of: The incident status; the severity of incident; the extent of incident impact; target and location of the incident.

b) After the incident is verified, the National Coordination Center shall classify the incident and perform the following works:

- If the incident is classified as a normal incident (it fails to meet the criteria mentioned in Article 9 herein), the National Coordination Center shall notify the incident classification result to relevant parties so as to develop the procedure for response to a normal cyberinformation security incident;

- If the incident is classified as a serious incident (it meets the criteria mentioned in Article 9 herein), the National Coordination Center shall notify the incident classification result to the Standing Committee with the following recommendations: Response plan; units participating in the response plan; resources necessary to respond to the incident; plan for convening the Emergency Response Operations Division and performance of works stated in the following Clause 3 of this Article.

3. The Standing Committee’s decision on selection of response plan and members of the Emergency Response Operations Division.

Unit in charge: The Standing Committee.

Working contents:

a) The Standing Committee shall make decision on selection of the emergency response plan and members of the Emergency Response Operations Division according to the report made by the National Coordination Center. Based on the actual situation, the Emergency Response Operations Division is comprised of the units prescribed in Article 8 herein in conformity with the selected response plan and particulars of the incident.

b) Principles for assigning duties of the emergency response plan to ensure national cyberinformation security:

- Managing response actions and supervising cooperation and information sharing activities: Ministry of Information and Communications, the National Response Coordinating Board;

- Collecting information and sharing, reporting: The National Coordination Center, the managing body of the compromised information system (via the information system operating unit and the specialized incident response unit);

- Analyzing information: The National Coordination Center, the information system operating unit, the specialized incident response unit and members of the Emergency Response Operations Division;

- Preventing and handling incident: The information system operating unit, the specialized incident response unit, the National Coordination Center and members of the Emergency Response Operations Division;

- Remedying, removing and restoring data and normal activities: The managing body of the information system and its authorized units;

- Handling consequences: The managing body of the information system and members of the Emergency Response Operations Division;

- Publishing and handling information crisis: The Standing Committee and the National Coordination Center.

4. Implementation of initial response plan

Unit in charge: The National Coordination Center, the managing body of the compromised information system.

Working contents: The National Coordination Center shall cooperate with the managing body of the compromised information system to immediately perform initial response actions, consisting of:

a) Determination of the scope, objects and targets requiring response actions:

- Relevant incidents occurred;

- Affected objects;

- Scope of incident impact;

- Targets prioritized in the response plan (restore operation, ensure the data confidentiality; ensure the integrity);

- Developments and methods/ strategies of attack;

- Foreseen developments that may occur.

b) Coordination of initial response actions: The Standing Committee shall direct the National Coordination Center to coordinate and share information and documents related to the incident to members of the response plan according to their assigned functions and duties.

c) Warning of the incident on the incident response network: The National Coordination Center shall give warnings of the incident to members of the Incident Response Network and relevant entities or those may face similar incidents.

d) Implementation of temporary recovery measures:

Based on prioritized targets in incident response plan, the managing body of the compromised information system shall cooperate with the National Coordination Center, relevant service providers and other regulatory authorities to recover the most necessary functions, data or connections to minimize damage to the information system, or the prestige of the managing body of the information system as well as mitigate the adverse influence on the society, if any.

The managing body of the information system must closely cooperate with and provide sufficient information to the National Coordination Center in order to supervise and monitor the recovery process and attacks or effects while the incident is still not yet handled thoroughly.

dd) First steps for dealing with consequences: The managing body of the information system should promptly emergency measures to deal with consequences or damage of cyberattacks which cause adverse impacts on the people, society, other authorities and/or organizations at the request of the Standing Committee.

e) Prevention and control of detected attack attempts: The Standing Committee shall coordinate or instruct the National Coordination Center to coordinate relevant regulatory authorities to perform actions to detect and handle sources of attacks and prevent external attacks against the compromised information system. The Standing Committee shall provide or instruct the provision of information and/or evidence relating illegal acts having constituents of a crime (if any) to regulatory authorities affiliated to the Ministry of Public Security so that they can investigate, verify and prevent crimes.

5. Implementing the emergency response plan

a) Directing incident response actions

Unit in charge: The Standing Committee, the Ministerial- or Provincial-level Steering Committees on emergency response to cyberinformation security incidents.

Working contents: Based on the selected response plan, the Standing Committee shall direct the managing body of the compromised information system, the National Coordination Center and the Emergency Response Operations Division to perform duties of the response plan. During the implementation of the response plan, the Standing Committee may, depending on the actual developments of the incident, make decisions on selection of additional members to the Emergency Response Operations Division.

b) Coordinating response actions

Unit in charge: The National Response Coordinating Board, the National Coordination Center.

Working contents: Based on the selected response plan, the National Response Coordinating Board or the National Coordination Center shall coordinate response actions within the ambit of assigned functions and duties and supervise the cooperation and information sharing activities.

c) Statements and information disclosure

The Standing Committee shall assume responsibility to appoint spokespersons to declare statements and provide related information; make decision on location, contents and time of declaring statements and providing related information to mass media agencies, individuals and organizations involved in the incident.

d) Information collection

Unit in charge: The National Coordination Center, the managing body of the information system. Working contents: Based on requests for information submitted by members of the Emergency Response Operations Division, the National Coordination Center shall cooperate with the managing body of the information system to collect, gather and provide information as requested.

dd) Analysis and supervision of incident-related issues

The National Coordination Center shall take charge and cooperate with the managing body of the information system to conduct continuous supervision of incident developments and send notices thereof to the members of the Emergency Response Operations Division.

Members of the Emergency Response Operations Division shall base on obtained information, resources and facilities and adopt operational procedures to analyze the incident. Results of the analysis of incident shall be reported to the Standing Committee and the National Coordination Center, and shared among members of the Emergency Response Operations Division so as to effectively handle the incident.

e) Handling of incident and malware removal

Unit in charge: The managing body of the information system

Coordinating units: The National Coordination Center, other members of the Emergency Response Operations Division. Working contents:

- Back up the system prior to and after implementing actions to handle the incident;

- Delete malcode or malware;

- Restore the system, data and connections;

- Configure security systems;

- Test the entire system after completing incident response actions;

- Handle information security vulnerabilities;

- Supplement or replace equipment, hardware and software to ensure information security of the system;

- Monitor, supervise and prevent the incident or similar incidents from occurring in the future.

g) Prevention and handling of impacts

The managing body of the information system is responsible for handling the negative impacts of the incident on the people, and other authorities and organizations.

Based on results of analysis of the incident, members of the Emergency Response Operations Division shall use their available resources, facilities and operational techniques to prevent acts that may cause security incidents and assist in handling impacts of the incident.

h) Finding out and verifying the causes of incident

After completing the analysis of incident or consulting results of analysis of incident provided by other units, members of the Emergency Response Operations Division shall take advantage of available information and implement their operational procedures to find out the root causes of the incident, and send report thereof to the Standing Committee/ the National Coordination Center so as to verify and send consolidated report thereof to the NSC with the following contents:

- Targets of security attacks;

- Attack methods/ strategies (processes, techniques, malcode or malware);

- Time of attack;

- Damage suffered;

- Attackers;

- Predicted similar attack activities and potential damage.

6. Assessing results of the emergency response plan to ensure national cyberinformation security

Unit in charge: The National Steering Committee (NSC)

Working contents: The Standing Committee shall consolidate reports on analytical activities relating the emergency response plan to ensure national cyberinformation security so as to report to the NSC and organize a meeting for analyzing the causes of the incident and learning experience in incident response and propose appropriate measures for dealing with similar incidents.

7. Finalization of response actions

Unit in charge: The National Coordination Center

Coordinating units: The managing body of the information system, and members of the Emergency Response Operations Division. Working contents: The National Coordination Center shall base on the assessment results of the NSC to fulfill the following duties and finalize the emergency response actions:

- Store relevant documents and records;

- Prepare teachings of experience;

- Propose recommendations on techniques and/or policies to minimize damage caused by similar attack activities;

- Send reports to the authorities of higher level, organize press conferences or provide information to mass media agencies, where necessary.

Chapter IV

MEASURES TO ENSURE THE IMLEMENTATION OF RESPONSE ACTIONS AGAINST NATIONAL CYBERINFORMATION SECURITY INCIDENTS

Article 15. Requisition of property and suspension of operation of means of communication to serve emergency response to national cyberinformation security incidents

In course of implementation of the emergency response plan to ensure national cyberinformation security and at the request of the Standing Committee, regulatory authorities shall, within the competence prescribed by law, discharge the following duties:

1. Postpone or suspend the operation of electronic forms of contract or other activities originated from the information system when these activities are determined to cause extremely serious harms to the public interests or serious harms or extremely serious harms to the national defense and security.

2. Requisition means of communications, means of transport and other means as well as the users or operators of such means in emergency cases so as to fulfill emergency response tasks or prevent harms or potential harms to the society.

3. Mobilize resources within the scope of their management to conduct incident response actions.

Article 16. Formulation and implementation of response plans to cyberinformation security incidents

1. Agencies and units shall formulate and implement response plans to cyberinformation security incidents (hereinafter referred to as the “incident response plan”) to ensure human, material and financial resources and other necessary conditions to implement such incident response plans. To be specific:

a) The National Coordination Center shall formulate and submit the incident response plan to ensure national cyberinformation security and the operating plan of the Incident Response Network to the Ministry of Information and Communications for approval.

b) Specialized incident response units of ministries or central-level agencies shall formulate and submit incident response plans to ensure cyberinformation security for information systems of state agencies, political organizations or socio-political organizations within the scope of their management to the heads of managing bodies of such information systems for approval.

c) Specialized incident response units affiliated to People’s Committees of provinces or central-affiliated cities shall formulate and submit incident response plans to ensure local cyberinformation security to Chairpersons of Provincial-level People’s Committees for approval.

d) Members of the Incident Response Network, organizations or enterprises managing the information systems on the List of national information systems, large-scale information systems or SCADA systems shall formulate, approve and implement incident response plans to ensure cyberinformation security for their information systems.

2. Relevant agencies and units shall formulate incident response plans to ensure cyberinformation security according to the outlines provided in the Appendix II herein with paying special importance to the following contents: Attack scenarios, risks and incidents that might occur, response plans according to attack scenarios, estimated circumstances and training activities. Where necessary, Ministry of Information and Communications shall consider adjusting certain contents of the outlines in conformity with the actual situation and requirements for response to cyberinformation security incidents.

3. The National Coordination Center shall instruct the formulation and implementation of incident response plans and backup plans for responding or handling cyberinformation security incidents; organize training or drilling activities on the regional, national and international scale; conduct regular inspection and assessment of the implementation of incident response plans by ministries, local governments and organizations/ enterprises.

Article 17. Funding

1. Funding for implementing coordination, response and recovery plans against cyberinformation security incidents is provided by: The central-government budget, local-government budgets, budget of enterprises and other legal sources of funding as regulated by law.

2. Funding for conducting response actions against cyberinformation security incidents is included in the estimates of state budget expenditures of ministries, central-level agencies and local governments (including development investment expenditure and recurrent expenditure), managed, used and recorded into accounts according to state budget levels as prescribed in the Law on State Budget and its instructional documents. Funding shall be allocated according to the following principles: Regulatory authorities shall their own sources of funding to cover expenditures for their activities or personnel. To be specific:

a) The central-government budget shall allocating funding for:

- The activities of directing, managing and inspecting incident response actions of the NSC, the National Coordination Center and the National Standing Committee;

- Funding for activities of the National Coordination Center consists of: Funding for performing relevant activities within the scope of responsibility of the National Coordination Center as prescribed in Articles 7, 11, 12, 13, 14 and 16 herein; funding for ensuring regular operations; detecting and warning activities; training and drilling activities; purchasing, upgrading and extending software copyright, equipment, facilities and tools for performing international cooperation for cyber security; funding for formulating and implementing incident response plans; provisions for responding to national serious incidents; funding for assisting ministries and local governments in coordinating and handling incidents; funding for hiring technical services, organizing and maintaining operation of incident response specialists team and incident response operations division; funding for managing and organizing operation of the Incident Response Network; disseminating, training, organizing conferences of the network, doing specialized research and maintaining technical specialists team, improving and developing operation of incident response teams; funding for inspecting, scanning and assessing information security; collecting, analyzing and sharing incident-related information; assisting in formulation and application of ISO 27xxx standards and international standards on cyberinformation security; performing specific operations to ensure cyberinformation security for the important information systems of the Government;

- Ministries and central-level agencies shall, pursuant to regulations herein, prepare annual estimates of expenditures for performing relevant activities within the scope of their management as prescribed in Articles 7, 11, 12, 13, 14 and 16 herein; funding for formulating and implementing their incident response plans; provisions for responding or handling incidents occurring on the information systems under their management; funding for training and drilling activities, and operations of the incident response teams; funding for monitoring, supervising, scanning and assessing the information security; funding for assisting in formulation and application of ISO 27xxx standards and performing specific operations to ensure cyberinformation security for the information systems under their management.

b) Local-government budget shall provide funding for activities of the Steering Board, specialized incident response units and local incident response teams, consisting of: Funding for performing relevant activities under the management of local governments as prescribed in Articles 7, 11, 12, 13, 14 and 16 herein; funding for implementing local incident response plans; provisions for responding or handling incidents occurring on the information systems under the management of local governments; funding for training and drilling activities, and operations of the local incident response teams; funding for monitoring, supervising, scanning and assessing the information security; funding for assisting in formulation and application of ISO 27xxx standards and performing specific operations to ensure cyberinformation security for the information systems under their management.

c) Enterprises shall provide funding for performing relevant activities within the scope of their management as prescribed in Clause 4 Article 7, Articles 11, 12, 13, 14 and 16 herein; funding for implementing enterprises' incident response plans and backup plans for response to incidents attacking the information systems under their management; supervision activities, providing information and participating in incident response plans; organizing training and drilling activities and maintaining operations of incident response teams and other duties assigned to enterprises. These spending items may be accounted as the enterprises’ business expenses. Telecommunications enterprises and Internet Service Providers must arrange funding for monitoring and handling incidents to ensure cyberinformation security on their Internet connections and may aggregate this funding into their business expenses.

d) The managing bodies of information systems must arrange funding for implementing incident response plans as well as backup plans for handling incidents, remedying impacts, restoring data and continuing normal operations of their information systems.

dd) The Vietnam Public-utility Telecommunication Service Fund (VTF) shall provide funding for performing coordination or response actions to ensure cyberinformation security, which are not supported or partially supported by state budget, including operations of the National Coordination Center, incident response operations divisions convened by the Standing Committee, operations of the national incident response network, hiring technical services, organizing and maintaining incident response specialists teams affiliated to the National Coordination Center, covering losses of telecommunications enterprises or Internet Service Providers from the handling, prevention or response to national serious incidents, and other relevant activities which are not supported or partially supported by state budget.

e) Ministry of Finance shall take charge and cooperate with Ministry of Information and Communications in instructing allocation of funding for performing the activities of coordination and response to ensure cyberinformation security in accordance with regulations of this Article.

Chapter V

IMPLEMENTATION

Article 18. Entry into force

This Decision shall come into force as from the date on which it is signed.

Article 19. Organization of implementation

Ministries, ministerial-level agencies, central-level agencies, People’s Committees of provinces or central-affiliated cities, and relevant organizations shall implement this Decision.

Difficulties that arise during the implementation of this Decision and require amendments to this Decision should be reported to the Ministry of Information and Communications so as to submit a consolidated report to the Prime Minister for consideration./.

 

 

 

THE PRIME MINISTER




Nguyen Xuan Phuc

 

Bài viết liên quan

1 58 lượt xem