Tìm kiếm

Chương II Thông tư số 03/2017/TT-BTTTT: Hướng dẫn xác định hệ thống thông tin và cấp độ an toàn hệ thống thông tin

Thông tư 03/2017/TT-BTTTT hướng dẫn Nghị định 85/2016/NĐ-CP an toàn hệ thống thông tin

Số hiệu:	03/2017/TT-BTTTT	Loại văn bản:	Thông tư
Nơi ban hành:	Bộ Thông tin và Truyền thông	Người ký:	Trương Minh Tuấn
Ngày ban hành:	24/04/2017	Ngày hiệu lực:	01/07/2017
Ngày công báo:	24/05/2017	Số công báo:	Từ số 367 đến số 368
Lĩnh vực:	Công nghệ thông tin	Tình trạng:	Hết hiệu lực 01/10/2022

TÓM TẮT VĂN BẢN

Văn bản tiếng việt

Thông tư số 03/2017/TT-BTTTT (Bản Word)

Thông tư số 03/2017/TT-BTTTT (Bản Pdf)

Văn bản tiếng anh

Thông tư số 03/2017/TT-BTTTT (Bản Word)

* Lưu ý: Để đọc được văn bản tải trên vietjack.me, bạn cần cài phần mềm đọc file DOC, DOCX và phần mềm đọc file PDF.

Chương II

Hướng dẫn xác định hệ thống thông tin và cấp độ an toàn hệ thống thông tin

Điều 4. Hướng dẫn xác định hệ thống thông tin cụ thể

1. Việc xác định hệ thống thông tin để xác định cấp độ căn cứ trên nguyên tắc quy định tại khoản 1 Điều 5 Nghị định số 85/2016/NĐ-CP.

2. Hệ thống thông tin được thiết lập, hình thành thông qua một hoặc một số hình thức sau: Đầu tư xây dựng, thiết lập mới; nâng cấp, mở rộng, tích hợp với hệ thống đã có; thuê hoặc chuyển giao hệ thống.

3. Hệ thống thông tin phục vụ hoạt động nội bộ là hệ thống chỉ phục vụ hoạt động quản trị, vận hành nội bộ của cơ quan, tổ chức, bao gồm:

a) Hệ thống thư điện tử;

b) Hệ thống quản lý văn bản và điều hành;

c) Hệ thống họp, hội nghị truyền hình trực tuyến;

d) Hệ thống quản lý thông tin cụ thể (nhân sự, tài chính, tài sản hoặc lĩnh vực chuyên môn nghiệp vụ cụ thể khác) hoặc hệ thống quản lý thông tin tổng thể (tích hợp quản lý nhiều chức năng, nghiệp vụ khác nhau);

đ) Hệ thống xử lý thông tin nội bộ.

4. Hệ thống thông tin phục vụ người dân, doanh nghiệp là hệ thống trực tiếp hoặc hỗ trợ cung cấp dịch vụ trực tuyến, bao gồm dịch vụ công trực tuyến và dịch vụ trực tuyến khác trong các lĩnh vực viễn thông, công nghệ thông tin, thương mại, tài chính, ngân hàng, y tế, giáo dục và lĩnh vực chuyên ngành khác, bao gồm:

a) Hệ thống thư điện tử;

b) Hệ thống quản lý văn bản và điều hành;

c) Hệ thống một cửa điện tử;

d) Hệ thống trang, cổng thông tin điện tử;

đ) Hệ thống cung cấp hoặc hỗ trợ cung cấp dịch vụ trực tuyến;

e) Hệ thống chăm sóc khách hàng.

5. Hệ thống cơ sở hạ tầng thông tin là tập hợp trang thiết bị, đường truyền dẫn kết nối phục vụ chung hoạt động của nhiều cơ quan, tổ chức, bao gồm:

a) Mạng nội bộ, mạng diện rộng, mạng truyền số liệu chuyên dùng;

b) Hệ thống cơ sở dữ liệu, trung tâm dữ liệu, điện toán đám mây;

c) Hệ thống xác thực điện tử, chứng thực điện tử, chữ ký số;

d) Hệ thống kết nối liên thông, trục tích hợp các hệ thống thông tin.

6. Hệ thống thông tin điều khiển công nghiệp là hệ thống có chức năng giám sát, thu thập dữ liệu, quản lý và kiểm soát các hạng mục quan trọng phục vụ điều khiển, vận hành hoạt động bình thường của các công trình xây dựng, bao gồm:

a) Hệ thống điều khiển lập trình được (PLCs);

b) Hệ thống điều khiển phân tán (DCS);

c) Hệ thống giám sát và thu thập dữ liệu (SCADA).

7. Hệ thống thông tin khác là hệ thống thông tin không thuộc các loại hình trên, được sử dụng để trực tiếp phục vụ hoặc hỗ trợ hoạt động nghiệp vụ, sản xuất, kinh doanh cụ thể của cơ quan, tổ chức theo lĩnh vực chuyên ngành.

Điều 5. Chủ quản hệ thống thông tin

1. Đối với cơ quan, tổ chức nhà nước, chủ quản hệ thống thông tin là một trong các trường hợp sau:

a) Bộ, cơ quan ngang bộ, cơ quan thuộc Chính phủ;

b) Ủy ban nhân dân các tỉnh, thành phố trực thuộc Trung ương;

c) Cấp có thẩm quyền quyết định đầu tư dự án xây dựng, thiết lập, nâng cấp, mở rộng hệ thống thông tin.

2. Đối với doanh nghiệp và tổ chức khác, chủ quản hệ thống thông tin là cấp có thẩm quyền quyết định đầu tư dự án xây dựng, thiết lập, nâng cấp, mở rộng hệ thống thông tin.

3. Chủ quản hệ thống thông tin có thể ủy quyền cho một tổ chức thay mặt mình thực hiện quyền quản lý trực tiếp đối với hệ thống thông tin và trách nhiệm bảo đảm an toàn hệ thống thông tin theo quy định tại khoản 2 Điều 20 Nghị định số 85/2016/NĐ-CP.

Việc ủy quyền phải được thực hiện bằng văn bản, trong đó nêu rõ phạm vi và thời hạn ủy quyền. Tổ chức được ủy quyền phải trực tiếp thực hiện quyền và nghĩa vụ của chủ quản hệ thống thông tin mà không được ủy quyền lại cho bên thứ ba.

Điều 6. Đơn vị vận hành hệ thống thông tin

1. Đơn vị vận hành hệ thống thông tin là cơ quan, tổ chức được chủ quản hệ thống thông tin giao nhiệm vụ vận hành hệ thống thông tin.

2. Trong trường hợp hệ thống thông tin bao gồm nhiều hệ thống thành phần hoặc phân tán, có nhiều hơn một đơn vị vận hành hệ thống thông tin, chủ quản hệ thống thông tin phải có trách nhiệm chỉ định một đơn vị làm đầu mối để thực hiện quyền và nghĩa vụ của đơn vị vận hành hệ thống thông tin theo quy định của pháp luật.

3. Trong trường hợp chủ quản hệ thống thông tin thuê ngoài dịch vụ công nghệ thông tin, đơn vị vận hành hệ thống thông tin là bên cung cấp dịch vụ.

Điều 7. Hướng dẫn xác định và thuyết minh cấp độ an toàn hệ thống thông tin

Việc xác định cấp độ và thuyết minh cấp độ an toàn hệ thống thông tin thực hiện như sau:

1. Xác định và phân loại hệ thống thông tin; xác định chủ quản hệ thống thông tin, đơn vị vận hành hệ thống thông tin căn cứ theo quy định tại các Điều 5, 6 Nghị định số 85/2016/NĐ-CP và các Điều 4, 5, 6 Thông tư này.

2. Xác định loại thông tin được xử lý thông qua hệ thống thông tin căn cứ theo quy định tại khoản 1 Điều 6 Nghị định 85/2016/NĐ-CP.

3. Xác định cấp độ căn cứ theo quy định tại các điều từ Điều 7 đến Điều 11 Nghị định số 85/2016/NĐ-CP. Đối với hệ thống thông tin đề xuất là cấp độ 4 hoặc cấp độ 5, thuyết minh đề xuất cấp độ làm rõ các nội dung sau đây:

a) Xác định các hệ thống thông tin khác có liên quan hoặc có kết nối đến hoặc có ảnh hưởng quan trọng tới hoạt động bình thường của hệ thống thông tin được đề xuất; trong đó, xác định rõ mức độ ảnh hưởng đến hệ thống thông tin đang được đề xuất cấp độ khi các hệ thống này bị mất an toàn thông tin.

b) Danh mục đề xuất các thành phần, thiết bị mạng quan trọng, các loại thông tin quan trọng được xử lý trong hệ thống (nếu có);

c) Thuyết minh về mức độ quan trọng của các thành phần, thiết bị mạng quan trọng, các loại thông tin, dữ liệu được xử lý hoặc lưu trữ trên hệ thống (nếu có);

d) Thuyết minh về các nguy cơ tấn công mạng, mất an toàn thông tin đối với hệ thống, các thành phần hệ thống và các thiết bị mạng quan trọng; ảnh hưởng của các nguy cơ tấn công mạng, mất an toàn thông tin này đối với các tiêu chí xác định cấp độ theo Điều 10, 11 Nghị định số 85/2016/NĐ-CP;

đ) Đánh giá phạm vi và mức độ ảnh hưởng tới lợi ích công cộng, trật tự an toàn xã hội hoặc quốc phòng, an ninh quốc gia khi bị tấn công mạng gây mất an toàn thông tin hoặc gián đoạn hoạt động của từng hệ thống đã được xác định.

Đối với hệ thống thông tin cấp độ 4, thuyết minh yêu cầu cần phải vận hành 24/7 và không chấp nhận ngừng vận hành mà không có kế hoạch trước;

e) Thuyết minh khác (nếu có) trên cơ sở thực tế hoạt động của hệ thống thông tin.

Chapter II

GUIDELINE FOR THE DETERMINATION AND CLASSIFICATION OF INFORMATION SYSTEM

Article 4. Determination of specific information system

1. The determination of information system for classification is subject to the principles specified in Clause 1 Article 5 of Decree No. 85/2016/ND-CP.

2. The information system is established through one or several of the following forms: New construction investment; upgrading, expansion and integration with existing systems; rental or transfer of systems.

3. An information system that services internal activities solely contributes to the internal management and operation of an agency or organization, including:

a) Email system;

b) Document management and administration system;

c) Live conference and meeting system;

d) Specific information management system (personnel, finance, asset or other specific professional areas) or general information management system (integrated management of many different functions and operations);

dd) Internal information processing system.

4. An information system that is of use to the people and enterprises provide directly or support the provision of online services, e.g. online public services and other online services regarding telecommunications, information technology, commerce, finance, banking, health, education and other specialties, including:

a) Email system;

b) Document management and administration system;

c) Electronic single window system;

d) Website system;

dd) Directly or indirectly providing online service system;

e) Customer service system.

5. A system of information infrastructure is comprised of equipment and transmission lines that serve the operations of organizations and agencies, including:

a) Intranet, Wide area network, special data transmission network;

b) Database, data center and cloud computing network;

c) Electronic verification, electronic authentication and digital signature system;

c) Interconnection system, enterprise service bus.

6. An industrial maneuver information system has the functional role in supervising and collecting data, managing and controlling vital sections for maneuvering and operating ordinary activities of buildings, including:

a) Programmable logic controller (PLCs);

b) Distributed control system (DCS);

c) Supervisory control and data acquisition (SCADA).

7. Other information systems that do not belong to the abovementioned forms are used to directly serve or support professional operations, production and business of specific agencies or organizations in specialized operations.

Article 5. Administrators of information systems

1. Regarding state authorities and organizations, the administrator of the information system is one of the following cases:

a) Ministries, ministerial agencies, Governmental agencies;

b) Provincial People’s Committees;

c) Competent authorities given discretion in investment projects for the construction, configuration, upgrade and expansion of information systems

2. Regarding other businesses and organizations, administrators of information systems are competent authorities given discretion in investment projects for the construction, configuration, upgrade and expansion of information systems.

3. The information system administrator may authorize an organization to exercise direct management over the information system and be responsible for ensuring the security of the information system on its behalf as specified in Clause 2 Article 20 of Decree No. 85/2016/ND-CP.

The authorization must be made in writing, clearly identifying the authorization scope and time limit. The authorized organization must directly exercise the rights and obligations of the information system administrator without re-authorizing a third party.

Article 6. Operators of information systems

1. Operators of an information system refer to agencies and organizations that the administrators of the information system designate to operate such system.

2. If the information system consists of multiple components or distributed systems, or there is more than one operator, the information system administrator shall assign a unit to be the focal point in order to exercise the rights and obligations of operators of the information system in accordance with the provisions of law.

3. If the administrators of an information system outsource information technology services, the operators of the information system shall be providers of such services.

Article 7. Guideline for the determination and explanation of information system

The determination and explanation of information system consist of:

1. Determine and classify the information system; determine the information system administrator and operators in accordance with Article 5, 6 of Decree No. 85/2016/ND-CP and Article 4, 5 and 6 hereof.

2. Determine the information processed by an information system in accordance with Clause 1 Article 6 of Decree No. 85/2016/ND-CP.

3. The classification of information system level is subject to the principles specified in Article 7 to 11 of Decree No. 85/2016/ND-CP. If the information system is given class 4 or 5, the explanation of classification proposal shall specify the following contents:

a) The classification of other information systems that are related or have a connection to or have significant impact on the normal operation of the proposed information system; clearly determine the extent to which the proposing information systems are affected when these systems lose information security.

d) The list of proposal of important network components, equipment and important information processed in the system (if any);

c) The explanation on the importance of network components, equipment and the information, data processed or saved in the system (if any);

d) Explanation on the risks of network attacks, the loss of information security in the system, system components and network devices; the impact of such risks of network attacks and loss of information security on the criteria of classification according to Article 10 and 11 of Decree No. 85/2016/ND-CP;

dd) The assessment of the scope and scale of influence to public interest, social order or national defense and security when a network attack causes loss of information security or interruption in the operation of each classified system.

For information systems to be given class 4, the explanation must require them to function on round-the-clock basis and does not halt without prior schedule;

e) Other explanations (if any) based on practical operation of the information system.

Tình trạng hiệu lực: Hết hiệu lực

Văn bản tiếng việt

Thông tư số 03/2017/TT-BTTTT (Bản Word)

Thông tư số 03/2017/TT-BTTTT (Bản Pdf)

Văn bản tiếng anh

Thông tư số 03/2017/TT-BTTTT (Bản Word)

* Lưu ý: Để đọc được văn bản tải trên vietjack.me, bạn cần cài phần mềm đọc file DOC, DOCX và phần mềm đọc file PDF.

1 18 lượt xem

Trang trước

Trang sau

Chương II Thông tư số 03/2017/TT-BTTTT: Hướng dẫn xác định hệ thống thông tin và cấp độ an toàn hệ thống thông tin

TÓM TẮT VĂN BẢN

Văn bản tiếng việt

Văn bản tiếng anh

Cập nhật

Văn bản tiếng việt

Văn bản tiếng anh

Giới thiệu

Liên kết

Kết nối

Bài viết mới nhất

Câu hỏi mới nhất