Quy trình xác định cấp độ An toàn thông tin mạng đề xuất cấp độ 1, 2, 3 của Bộ Tài chính
Ban biên tập có nhận được thắc mắc của bạn Hải Hậu, hiện bạn đang công tác tại một đơn vị cơ quan nhà nước trực thuộc Bộ Tài chính, có thắc mắc tôi mong nhận được phản hồi từ Ban biên tập, cụ thể: Quy trình xác định cấp độ An toàn thông tin mạng đề xuất cấp độ 1, 2, 3 của Bộ Tài chính được quy định ra sao?
Quy trình xác định cấp độ hệ thống đề xuất cấp độ 1, 2, 3 của Bộ Tài chính quy định tại Điều 9 Quyết định 201/QĐ-BTC năm 2018 về Quy chế An toàn thông tin mạng Bộ Tài chính, cụ thể như sau:
1. Đơn vị xây dựng phương án bảo đảm an toàn thông tin mạng cho phần dùng chung cho các hệ thống thông tin của đơn vị (quy định tại điểm a khoản 3 Điều 8 của Quy chế này) theo mẫu tại Phụ lục 2. Thực hiện thẩm định và phê duyệt phương án này.
2. Nội dung đề xuất cấp độ hệ thống thông tin:
a) Xác định và phân loại hệ thống thông tin theo khoản 2 Điều 6 Nghị định 85/2016/NĐ-CP và Điều 4 Thông tư 03/2017/TT-BTTTT.
b) Xác định chủ quản hệ thống thông tin, đơn vị vận hành hệ thống thông tin theo khoản 1, 2 Điều 5 của Quy chế.
c) Xác định loại thông tin được xử lý thông qua hệ thống thông tin theo khoản 1 Điều 6 Nghị định 85/2016/NĐ-CP.
d) Thuyết minh về việc đề xuất cấp độ theo Điều 7 của Quy chế.
đ) Thuyết minh phương án bảo đảm an toàn thông tin theo cấp độ tương ứng, gồm các phần sau:
- Tham chiếu phương án bảo đảm an toàn thông tin mạng dùng chung cho các hệ thống thông tin trong phạm vi đơn vị.
- Thuyết minh phương án bảo đảm an toàn thông tin áp dụng riêng cho hệ thống thông tin được đề xuất cấp độ.
3. Đối với dự án đầu tư xây dựng mới hoặc mở rộng, nâng cấp hệ thống thông tin:
a) Nội dung đề xuất cấp độ được lồng ghép (bổ sung chương, mục) vào thiết kế sơ bộ của báo cáo nghiên cứu khả thi, dự án khả thi ứng dụng công nghệ thông tin hoặc báo cáo đầu tư của dự án.
b) Thẩm định:
- Việc thẩm định đề xuất cấp độ được thực hiện đồng thời với quá trình thẩm định thiết kế sơ bộ.
- Đơn vị thẩm định đề xuất cấp độ gửi kết quả thẩm định cho đơn vị thẩm định dự án để tổng hợp, báo cáo cấp có thẩm quyền phê duyệt dự án.
4. Đối với hệ thống thông tin đang trong giai đoạn triển khai chưa xác định cấp độ
a) Nội dung đề xuất cấp độ được lồng ghép (bổ sung chương, mục) vào tài liệu thiết kế thi công đối với hệ thống thông tin lập dự án hoặc lập thành tài liệu độc lập đối với hệ thống thông tin không lập dự án.
b) Thẩm định:
- Việc thẩm định đề xuất cấp độ được thực hiện đồng thời với quá trình thiết kế thi công hoặc triển khai hệ thống.
- Đơn vị thẩm định đề xuất cấp độ gửi kết quả thẩm định cho đơn vị thẩm định thiết kế thi công để tổng hợp, báo cáo cấp có thẩm quyền phê duyệt thiết kế thi công.
5. Đối với hệ thống thông tin đang vận hành chưa xác định cấp độ
a) Hồ sơ đề xuất cấp độ cho một hệ thống thông tin theo mẫu tại Phụ lục 3. Hồ sơ đề xuất cấp độ cho nhiều hệ thống thông tin theo mẫu tại Phụ lục 4.
b) Hồ sơ đề xuất cấp độ có thể được lập và phê duyệt dưới dạng điện tử (có chữ ký số của lãnh đạo hoặc chữ ký số của đơn vị đề xuất và phê duyệt hồ sơ). Khuyến khích đơn vị áp dụng hồ sơ điện tử.
6. Tổ chức xác định cấp độ trong nội bộ đơn vị
a) Bộ phận được giao chủ trì đề xuất, xây dựng, triển khai hệ thống thông tin (thuộc chủ quản hệ thống thông tin hoặc đơn vị vận hành hệ thống thông tin) phối hợp với bộ phận chuyên trách về an toàn thông tin của đơn vị chuyên trách về an toàn thông tin xây dựng đề xuất cấp độ; xây dựng phương án bảo đảm an toàn thông tin cho hệ thống; lập hồ sơ đề xuất cấp độ cho hệ thống; đồng trình hồ sơ đề xuất cấp độ lên lãnh đạo đơn vị vận hành hệ thống thông tin (theo mẫu văn bản tờ trình áp dụng trong nội bộ đơn vị).
b) Bộ phận chuyên trách về an toàn thông tin chịu trách nhiệm quản lý toàn bộ các hồ sơ đề xuất cấp độ an toàn thông tin đã được phê duyệt.
Ban biên tập phản hồi thông tin đến bạn.
