Chương IV Thông tư số 03/2017/TT-BTTTT: Kiểm tra, đánh giá an toàn thông tin
Số hiệu: | 03/2017/TT-BTTTT | Loại văn bản: | Thông tư |
Nơi ban hành: | Bộ Thông tin và Truyền thông | Người ký: | Trương Minh Tuấn |
Ngày ban hành: | 24/04/2017 | Ngày hiệu lực: | 01/07/2017 |
Ngày công báo: | 24/05/2017 | Số công báo: | Từ số 367 đến số 368 |
Lĩnh vực: | Công nghệ thông tin | Tình trạng: |
Hết hiệu lực
01/10/2022 |
TÓM TẮT VĂN BẢN
Văn bản tiếng việt
Văn bản tiếng anh
1. Nội dung kiểm tra, đánh giá:
a) Kiểm tra việc tuân thủ quy định của pháp luật về bảo đảm an toàn hệ thống thông tin theo cấp độ;
b) Đánh giá hiệu quả của biện pháp bảo đảm an toàn hệ thống thông tin;
c) Đánh giá phát hiện mã độc, lỗ hổng, điểm yếu, thử nghiệm xâm nhập hệ thống;
d) Kiểm tra, đánh giá khác do chủ quản hệ thống thông tin quy định.
2. Hình thức kiểm tra, đánh giá:
a) Kiểm tra, đánh giá định kỳ theo kế hoạch của chủ quản hệ thống thông tin;
b) Kiểm tra, đánh giá đột xuất theo yêu cầu của cấp có thẩm quyền.
3. Cấp có thẩm quyền yêu cầu kiểm tra, đánh giá:
a) Bộ trưởng Bộ Thông tin và Truyền thông;
b) Chủ quản hệ thống thông tin đối với hệ thống thông tin thuộc thẩm quyền quản lý;
c) Đơn vị chuyên trách về an toàn thông tin của chủ quản hệ thống thông tin đối với hệ thống thông tin do đơn vị này phê duyệt hồ sơ đề xuất cấp độ.
4. Đơn vị chủ trì kiểm tra, đánh giá là đơn vị được cấp có thẩm quyền giao nhiệm vụ hoặc được lựa chọn để thực hiện nhiệm vụ kiểm tra, đánh giá.
5. Đối tượng kiểm tra, đánh giá là chủ quản hệ thống thông tin hoặc đơn vị vận hành hệ thống thông tin và các hệ thống thông tin có liên quan.
1. Kiểm tra việc tuân thủ quy định của pháp luật về bảo đảm an toàn hệ thống thông tin theo cấp độ bao gồm:
a) Kiểm tra việc tuân thủ quy định của pháp luật về xác định cấp độ an toàn hệ thống thông tin;
b) Kiểm tra việc tuân thủ quy định của pháp luật về thực hiện phương án bảo đảm an toàn hệ thống thông tin theo cấp độ.
2. Đơn vị chủ trì kiểm tra là một trong những đơn vị sau đây:
a) Cục An toàn thông tin;
b) Đơn vị chuyên trách về an toàn thông tin.
3. Kế hoạch kiểm tra định kỳ bao gồm các nội dung sau:
a) Danh sách các đơn vị, hệ thống thông tin (nếu có) sẽ tiến hành kiểm tra;
b) Phạm vi và nội dung kiểm tra;
c) Thời gian tiến hành kiểm tra;
d) Đơn vị phối hợp kiểm tra (nếu có).
4. Quyết định kiểm tra được lập sau khi kế hoạch kiểm tra định kỳ được cấp có thẩm quyền phê duyệt hoặc khi có kiểm tra đột xuất của cấp có thẩm quyền.
5. Đối với kiểm tra định kỳ:
a) Đơn vị chủ trì kiểm tra lập kế hoạch kiểm tra định kỳ cho năm sau trình cấp có thẩm quyền phê duyệt để làm cơ sở triển khai thực hiện;
b) Trường hợp có thay đổi so với kế hoạch kiểm tra định kỳ đã được phê duyệt, đơn vị chủ trì kiểm tra lập kế hoạch kiểm tra định kỳ điều chỉnh trình cấp có thẩm quyền phê duyệt điều chỉnh;
c) Kế hoạch kiểm tra định kỳ được gửi cho đối tượng kiểm tra và cơ quan cấp trên của đối tượng kiểm tra trong thời hạn tối đa 10 ngày kể từ ngày được phê duyệt nhưng tối thiểu 10 ngày trước ngày tiến hành kiểm tra.
6. Đối với kiểm tra đột xuất:
Căn cứ yêu cầu kiểm tra đột xuất, quyết định kiểm tra, Trưởng đoàn kiểm tra quy định các nội dung kiểm tra cho phù hợp.
7. Sau khi kết thúc kiểm tra trực tiếp tại cơ sở, Đoàn kiểm tra có trách nhiệm thông báo cho đối tượng kiểm tra biết và bàn giao tài liệu, trang thiết bị sử dụng (nếu có) trong quá trình kiểm tra.
Đoàn kiểm tra có trách nhiệm dự thảo Báo cáo kiểm tra, gửi cho đối tượng kiểm tra để lấy ý kiến. Trong thời hạn 05 ngày kể từ ngày nhận được dự thảo Báo cáo kiểm tra, đối tượng kiểm tra có trách nhiệm có ý kiến đối với các nội dung dự thảo.
8. Trên cơ sở dự thảo Báo cáo kiểm tra, ý kiến tiếp thu giải trình của đối tượng kiểm tra, trong thời hạn 30 ngày kể từ ngày kết thúc kiểm tra tại cơ sở, Đoàn kiểm tra hoàn thiện Báo cáo kiểm tra và dự thảo kết luận kiểm tra trình cấp có thẩm quyền yêu cầu kiểm tra xem xét, phê duyệt.
Kết luận kiểm tra phải gửi cho đối tượng kiểm tra và cơ quan quản lý cấp trên của đối tượng kiểm tra (nếu có) và các đơn vị có liên quan (nếu cần thiết).
1. Đánh giá hiệu quả của biện pháp bảo đảm an toàn thông tin là việc rà soát một cách tổng thể, xác minh mức độ hiệu quả của phương án bảo đảm an toàn thông tin theo từng tiêu chí, yêu cầu cơ bản cụ thể.
Đánh giá hiệu quả của biện pháp bảo đảm an toàn thông tin đã được áp dụng là cơ sở để tiến hành điều chỉnh phương án bảo đảm an toàn thông tin cho phù hợp với yêu cầu thực tiễn.
2. Đơn vị chủ trì đánh giá là một trong những tổ chức sau đây:
a) Cục An toàn thông tin;
b) Đơn vị chuyên trách về an toàn thông tin;
c) Tổ chức sự nghiệp nhà nước có chức năng, nhiệm vụ phù hợp;
d) Doanh nghiệp đã được cấp phép cung cấp dịch vụ kiểm tra, đánh giá an toàn thông tin mạng.
3. Đơn vị vận hành hệ thống thông tin lập kế hoạch đánh giá định kỳ cho năm sau trình cấp có thẩm quyền phê duyệt để làm cơ sở triển khai thực hiện. Kế hoạch đánh giá bao gồm:
a) Danh sách các đơn vị, hệ thống thông tin sẽ tiến hành đánh giá;
b) Thời gian tiến hành đánh giá;
c) Đơn vị thực hiện: Tự thực hiện hoặc do đơn vị chuyên trách về an toàn thông tin thực hiện hoặc thuê ngoài theo quy định của pháp luật.
4. Trường hợp có thay đổi so với kế hoạch đánh giá đã được phê duyệt, đơn vị vận hành hệ thống thông tin lập kế hoạch đánh giá điều chỉnh trình cấp có thẩm quyền phê duyệt điều chỉnh.
5. Sau khi kết thúc kiểm tra trực tiếp tại cơ sở, đơn vị chủ trì đánh giá có trách nhiệm thông báo cho đơn vị vận hành hệ thống thông tin biết và bàn giao tài liệu, trang thiết bị sử dụng (nếu có) trong quá trình kiểm tra.
Đơn vị chủ trì đánh giá có trách nhiệm dự thảo Báo cáo đánh giá, gửi cho đơn vị vận hành hệ thống thông tin để lấy ý kiến. Trong thời hạn 05 ngày kể từ ngày nhận được dự thảo Báo cáo đánh giá, đơn vị vận hành hệ thống thông tin có trách nhiệm có ý kiến đối với các nội dung dự thảo.
6. Trên cơ sở dự thảo Báo cáo đánh giá, ý kiến của đơn vị vận hành hệ thống thông tin, đơn vị chủ trì đánh giá hoàn thiện Báo cáo đánh giá, gửi đơn vị vận hành và chủ quản hệ thống thông tin.
1. Đánh giá phát hiện mã độc, lỗ hổng, điểm yếu, thử nghiệm xâm nhập hệ thống là việc thực hiện dò quét, phát hiện lỗ hổng, điểm yếu của hệ thống, thử nghiệm tấn công xâm nhập hệ thống và đánh giá nguy cơ, thiệt hại có thể có của hệ thống thông tin khi bị đối tượng tấn công xâm nhập.
2. Đơn vị chủ trì đánh giá là một trong những tổ chức sau đây:
a) Cục An toàn thông tin;
b) Đơn vị chuyên trách về an toàn thông tin;
c) Tổ chức sự nghiệp nhà nước có chức năng, nhiệm vụ phù hợp;
d) Doanh nghiệp đã được cấp phép cung cấp dịch vụ kiểm tra, đánh giá an toàn thông tin mạng hoặc tổ chức khác được chủ quản hệ thống thông tin cho phép thực hiện đánh giá phát hiện mã độc, lỗ hổng, điểm yếu, thử nghiệm xâm nhập hệ thống.
3. Đơn vị chủ trì đánh giá phát hiện mã độc, lỗ hổng, điểm yếu, thử nghiệm xâm nhập hệ thống có trách nhiệm:
a) Thông báo cho chủ quản hệ thống thông tin về điểm yếu an toàn thông tin phát hiện ra nhằm khắc phục, phòng tránh các sự cố an toàn thông tin;
b) Thực hiện công tác bảo đảm an toàn cho dữ liệu liên quan đến hệ thống được đánh giá, không công bố dữ liệu liên quan khi chưa được sự đồng ý của chủ quản hệ thống thông tin;
c) Việc đánh giá phát hiện mã độc, lỗ hổng, điểm yếu, thử nghiệm xâm nhập hệ thống phải bảo đảm không ảnh hưởng đến hoạt động bình thường của hệ thống.
INSPECTION AND ASSESSMENT OF INFORMATION SECURITY
Article 10. Contents and forms of inspection and assessment
1. Contents of inspection and assessment:
a) Inspect the compliance with the laws on security of information systems by classification;
b) Assess the efficiency of information system security measures;
c) Assess the detection of malicious code, security holes and vulnerabilities, test the intrusion detection system;
d) Other inspection and assessment as regulated by the information system administrator.
2. Forms of inspection and assessment:
a) Inspect and assess periodically according to the plan of the information system administrator;
b) Inspect and assess irregularly at the request of competent authorities.
3. Competent authorities requesting the assessment and inspection:
a) Minister of Information and Communications;
b) Administrator of information system under the management;
c) Specialized information security units under administrators of information systems which classification proposals approved by such units.
4. Units in charge of inspection and assessment shall be assigned or selected by competent authorities.
5. The subject of inspection and assessment is the administrator of the information system or the operators of the information system and related information systems.
Article 11. Inspection of the compliance with the laws on security of information systems by classification
1. Inspection of the compliance with the laws on security of information systems by classification shall include:
a) Inspect the compliance with the laws on classification of security of information systems;
b) Inspect the compliance with the laws on the implementation of the proposal on security of information systems by classification;
2. The unit in charge of inspection is one of the following units:
a) The Authority of Information Security;
b) Specialized information security units.
3. Periodic inspection plans include the following contents:
a) A list of units, information systems (if any) being inspected;
b) Scope and contents of inspection;
c) Inspection duration;
d) Cooperating units (if any).
4. Decision on inspection shall be made after the plan on periodic inspection is approved by the competent authority or upon irregular inspection of the competent authority.
5. Regarding periodic inspection:
a) The unit in charge of inspection shall prepare the periodical inspection plan for the subsequent year and submit it to the competent authority for approval to serve as a basis for implementation;
b) In case of change compared to the approved periodic inspection plan, the unit in charge of inspection shall prepare the periodical inspection plan amendments and submit it to the competent authority for approval;
c) The periodic inspection plan shall be sent to the inspected subjects and superior agencies of the inspected subjects within 10 days from the approved date but at least 10 days before the inspection day.
6. Regarding irregular inspection:
Depend on the request for irregular inspection and decision on inspection, the head of the inspection unit shall prescribe the contents of the inspection where appropriate.
7. After the direct inspection at the establishment, the inspection unit shall notify the inspected subjects and hand over documents and equipment (if any) used in the inspection process.
The inspection team shall draft an inspection report and send it to the inspected subjects for comments. Within 5 working days after receiving the draft inspection report, the inspected subjects shall comment on the draft contents.
8. Based on the draft inspection report, opinions and explanations of inspected subjects, within 30 days from the inspection date at the establishment, the inspection unit shall complete the inspection report, draft inspection conclusion and send them to the competent authority for considering approval.
Inspection conclusion must be sent to the inspected subjects and superior agencies of such subjects (if any) and relevant units (if necessary).
Article 12. Assessment of the efficiency of information security measures
1. The assessment of the efficiency of information security measures refers to the overall review and verification of the efficiency of information security measures in accordance with each criterion and basic requirement.
The assessment of the efficiency of applied information security measures is the basis for adjusting the plan to ensure information security in accordance with practical requirements.
2. The unit in charge of assessment is one of the following units:
a) The Authority of Information Security;
b) Specialized information security units;
c) Government agencies given suitable functions and assignments;
d) Enterprises possessing licenses for provision of inspection and assessment of network information security;
3. The operators of the information system shall prepare the periodical assessment plan for the subsequent year and submit it to the competent authority for approval to serve as a basis for implementation. The assessment plan includes:
a) A list of units, information systems (if any) being assessed;
b) Assessment duration;
c) Operating unit: Self-operate or operated by a specialized information security unit or outsourced in accordance with the law.
4. b) In case of change compared to the approved assessment plan, the operators of the information system shall prepare the amendment of the assessment plan and submit it to the competent authority for approval;
5. After the direct inspection at the establishment, the assessment unit shall notify the operators of the information system and hand over documents and equipment (if any) used in the inspection process.
The assessment team shall draft an assessment report and send it to the operators of the information system for comments. Within 5 working days after receiving the draft assessment report, the operators of the information system shall comment on the draft contents.
6. Based on the draft assessment report, opinions and explanations of operators of the information system, the assessment unit shall complete the assessment report and send it to the operators and administrator of the information system.
Article 13. Assessment of the detection of malicious code, security holes and vulnerabilities, testing of the intrusion detection system
1. Assessment of the detection of malicious code, security holes and vulnerabilities, testing of the intrusion detection system refers to the detection of vulnerabilities and holes in the system and testing of intrusion detection systems, and assessment of risks and damages of information systems which may exists when the system is attacked by intruders.
2. The unit in charge of assessment is one of the following units:
a) The Authority of Information Security;
b) Specialized information security units;
c) Government agencies given suitable functions and assignments;
d) Enterprises possessing licenses for provision of inspection and assessment of network information security or other organizations allowed by the information system administrator to assess the detection of malicious code, security holes and vulnerabilities, testing of the intrusion detection system .
3. The unit in charge of assessing the detection of malicious code, security holes and vulnerabilities, test the intrusion detection system shall:
a) Inform the system administrator of discovered information security vulnerabilities to overcome and prevent information security incidents.
b) Ensure the data security related to the assessed system, do not release relevant data without the consent of the information system administrator;
c) Ensure that the assessment of the detection of malicious code, security holes and vulnerabilities, testing of the intrusion detection system do not affect normal operation of the system.