Tổ chức rà quét lỗ hổng hệ thống thông tin tối thiểu 01 lần/6 tháng

Hiện nay thì việc an toàn thông tin mạng vẫn còn nhiều lỗ hổng và bảo mật chưa cao. Vậy cho tôi hỏi việc rà quét hệ thống thông tin để bảo vệ an toàn thông tin mạng được quy định ra sao? - Thế Huy (Bến Tre)

Tổ chức rà quét lỗ hổng hệ thống thông tin tối thiểu 01 lần/6 tháng

Tổ chức rà quét lỗ hổng hệ thống thông tin tối thiểu 01 lần/6 tháng (Hình từ Internet)

Ngày 13/10/2022, Thủ tướng Chính phủ ban hành Chỉ thị 18/CT-TTg về đẩy mạnh triển khai các hoạt động ứng cứu sự cố an toàn thông tin mạng Việt Nam.

1. Hệ thống thông tin là gì?

Theo khoản 3 Điều 3 Luật An toàn thông tin mạng 2015 thì hệ thống thông tin  là tập hợp phần cứng, phần mềm và cơ sở dữ liệu được thiết lập phục vụ mục đích tạo lập, cung cấp, truyền đưa, thu thập, xử lý, lưu trữ và trao đổi thông tin trên mạng.

2. Tổ chức rà quét lỗ hổng hệ thống thông tin tối thiểu 01 lần/6 tháng

Theo đó, trong hoạt động ứng cứu sự cố an toàn thông tin mạng phải chuyển từ bị động sang chủ động xác định nội dung về việc chủ động thực hiện săn lùng mối nguy hại và rà quét lỗ hổng trên các hệ thống thông tin trong phạm vi quản lý tối thiểu 01 lần/6 tháng.

Ngoài ra, quy định các nội dung khác về việc ứng cứu sự cố an toàn thông tin mạng như sau:

- Ban hành phương án, kịch bản ứng cứu sự cố cho hệ thống thông tin trước ngày 31/12/2022 và cập nhật kịp thời khi có thay đổi;

- Tổ chức diễn tập thực chiến tối thiểu 01 lần/năm đối với hệ thống thông tin cấp độ 3 trở lên nhằm đánh giá khả năng phòng ngừa xâm nhập và khả năng phát hiện kịp thời các điểm yếu về quy trình, công nghệ, con người. 

Trường hợp phát hiện điểm yếu, lỗ hổng bảo mật cho phép xâm nhập và kiểm soát hệ thống thì thực hiện đồng thời khắc phục điểm yếu, lỗ hổng và săn lùng mối nguy hại.

3. Một số nội dung khác với thành viên của Mạng lưới ứng cứu sự cố an toàn thông tin mạng quốc gia 

Thành viên (hoặc có đơn vị trực thuộc là thành viên) của Mạng lưới ứng cứu sự cố an toàn thông tin mạng quốc gia  bao gồm các bộ, cơ quan ngang bộ, cơ quan thuộc Chính phủ, UBND các tỉnh, thành phố trực thuộc trung ương, tập đoàn, tổng công ty nhà nước và các tổ chức, doanh nghiệp.

Cụ thể, ngoài việc ứng cứu sự cố an toàn thông tin mạng phải chuyển từ bị động sang chủ động thì cần khẩn trương thực hiện các nội dung sau:

- Thành viên (hoặc có đơn vị trực thuộc là thành viên) của Mạng lưới ứng cứu sự cố an toàn thông tin mạng quốc gia quán triệt tới tất cả các tổ chức, cá nhân thuộc phạm vi quản lý nguyên tắc “Ứng cứu sự cố an toàn thông tin mạng là hoạt động quan trọng nhằm phát hiện, ngăn chặn, xử lý và khắc phục kịp thời sự cố an toàn thông tin mạng”;

Chỉ đạo triển khai nghiêm túc các nội dung của Chỉ thị này và chịu trách nhiệm trước Thủ tướng Chính phủ nếu lơ là trong công tác ứng cứu sự cố an toàn thông tin mạng, để xảy ra hậu quả, thiệt hại nghiêm trọng tại cơ quan, đơn vị thuộc phạm vi quản lý.

- Tổ chức, kiện toàn lại các Đội ứng cứu sự cố trước ngày 31/12/2022 theo hướng chuyên nghiệp, cơ động, có tối thiểu 05 chuyên gia an toàn thông tin mạng (bao gồm cả chuyên gia thuê ngoài) đáp ứng chuẩn kỹ năng về an toàn thông tin do Bộ Thông tin và Truyền thông quy định.

- Cơ quan chủ trì 11 lĩnh vực quan trọng cần ưu tiên bảo đảm an toàn thông tin mạng (theo Quyết định 632/QĐ-TTg ngày 10/5/2017);

Trong đó chú trọng hoạt động chia sẻ thông tin về các nguy cơ, sự cố mất an toàn thông tin mạng cho các cơ quan, tổ chức, doanh nghiệp quản lý, vận hành hệ thống thông tin thuộc lĩnh vực và phục vụ kịp thời, hiệu quả cho Đội ứng cứu sự cố của lĩnh vực (CERT lĩnh vực).

- Giao Đội ứng cứu sự cố thực hiện các nhiệm vụ thường xuyên sau: 

+ Làm đầu mối tiếp nhận, quản lý sự cố; 

+ Ứng cứu, xử lý sự cố và săn lùng mối nguy hại;

+ Nghiên cứu, theo dõi các nguy cơ tấn công mạng, thông tin về lỗ hổng, điểm yếu;

+ Luyện tập các kỹ năng bảo vệ hệ thống thông tin và tham gia các chương trình huấn luyện, diễn tập do Cơ quan điều phối quốc gia chủ trì.

- Bố trí đủ kinh phí bảo đảm hoạt động của Đội ứng cứu sự cố; thu hút nhân lực chất lượng cao vào làm công tác ứng cứu sự cố an toàn thông tin mạng.

- Nghiêm túc thực hiện rà soát, phát hiện và khắc phục các lỗ hổng, điểm yếu theo cảnh báo của cơ quan chức năng; chủ động theo dõi, phát hiện sớm các nguy cơ mất an toàn thông tin mạng để kịp thời xử lý, khắc phục.

- Có biện pháp kiểm soát nguy cơ mất an toàn thông tin mạng gây ra bởi bên thứ ba và các chuỗi cung ứng công nghệ thông tin và truyền thông.

- Nghiêm túc thực hiện các quy định về báo cáo sự cố an toàn thông tin mạng; đẩy mạnh tuyên truyền cho người dân về việc báo cáo, cung cấp thông tin về sự cố.

- Khuyến khích triển khai các chiến dịch nâng cao ý thức cảnh giác của người dùng cuối đối với các cuộc tấn công mạng.

- Công bố thông tin đầu mối (số điện thoại, thư điện tử hoặc các kênh liên lạc khác) tiếp nhận thông báo sự cố trên cổng thông tin điện tử của cơ quan trước ngày 31/10/ 2022.

Chỉ thị 18/CT-TTg ban hành ngày 13/10/2022.

Quốc Đạt

>> XEM BẢN TIẾNG ANH CỦA BÀI VIẾT NÀY TẠI ĐÂY

Đây là nội dung tóm tắt, thông báo văn bản mới dành cho khách hàng của LawNet. Nếu quý khách còn vướng mắc vui lòng gửi về Email: info@lawnet.vn
887 lượt xem
Liên quan Văn bản
  • Địa chỉ: 19 Nguyễn Gia Thiều, Phường Võ Thị Sáu, Quận 3, TP Hồ Chí Minh
    Điện thoại: (028) 7302 2286
    E-mail: info@lawnet.vn
Đơn vị chủ quản: Công ty THƯ VIỆN PHÁP LUẬT.
Chịu trách nhiệm chính: Ông Bùi Tường Vũ - Số điện thoại liên hệ: 028 3935 2079
P.702A , Centre Point, 106 Nguyễn Văn Trỗi, P.8, Q. Phú Nhuận, TP. HCM;