Theo Khoản 3 Điều 3 của Luật An toàn thông tin mạng năm 2015, Hệ thống thông tin được hiểu là tập hợp phần cứng, phần mềm và cơ sở dữ liệu được thiết lập phục vụ mục đích tạo lập, cung cấp, truyền đưa, thu thập, xử lý, lưu trữ và trao đổi thông tin trên mạng.

An toàn hệ thống thông tin mạng là sự bảo vệ hệ thống thông tin trên mạng tránh bị truy nhập, sử dụng, tiết lộ, gián đoạn, sửa đổi hoặc phá hoại trái phép nhằm bảo đảm tính nguyên vẹn, tính bảo mật và tính khả dụng của thông tin.

Căn cứ theo Điều 21 của Luật An toàn thông tin mạng số 86/2015/QH13 ngày 19 tháng 11 năm 2015, Luật quy định phân loại cấp độ an toàn hệ thống thông tin là việc xác định cấp độ an toàn thông tin của hệ thống thông tin theo cấp độ tăng dần từ 1 đến 5 để áp dụng biện pháp quản lý và kỹ thuật nhằm bảo vệ hệ thống thông tin phù hợp theo cấp độ.

a) Cấp độ 1 là cấp độ mà khi bị phá hoại sẽ làm tổn hại tới quyền và lợi ích hợp pháp của tổ chức, cá nhân nhưng không làm tổn hại tới lợi ích công cộng, trật tự, an toàn xã hội, quốc phòng, an ninh quốc gia;

b) Cấp độ 2 là cấp độ mà khi bị phá hoại sẽ làm tổn hại nghiêm trọng tới quyền và lợi ích hợp pháp của tổ chức, cá nhân hoặc làm tổn hại tới lợi ích công cộng nhưng không làm tổn hại tới trật tự, an toàn xã hội, quốc phòng, an ninh quốc gia;

Theo Khoản 1 Điều 9 của Thông tư số 03/2017/TT-BTTTT ngày 24 tháng 4 năm 2017 quy định chi tiết và hướng dẫn một số điều của Nghị định số 85/2016/NĐ-CP ngày 01 tháng 7 năm 2016 về bảo đảm an toàn hệ thống thông tin theo cấp độ, Bộ trưởng Bộ Thông tin và Truyền thông quy định, Phương án bảo đảm an toàn hệ thống thông tin cấp độ 1 phải đáp ứng yêu cầu quy định chi tiết tại Phụ lục 1 ban hành kèm theo Thông tư 03/2017/TT-BTTTT như sau:

1. Yêu cầu kỹ thuật:

a) An toàn máy chủ:

- Có xác thực bằng cơ chế mật khẩu và ghi nhật ký hệ thống đối với hoạt động truy cập, quản trị máy chủ;

- Không sử dụng kết nối không được mã hóa trong việc quản trị máy chủ từ xa;

b) An toàn ứng dụng:

Có xác thực bằng cơ chế mật khẩu và ghi nhật ký đối với hoạt động truy cập ứng dụng và đăng nhập chức năng quản trị;

c) An toàn dữ liệu:

Có sao lưu dự phòng định kỳ dữ liệu trên hệ thống tùy theo yêu cầu, mục đích sử dụng.

2. Yêu cầu quản lý:

a) Chính sách chung: Có chính sách an toàn thông tin cho đối tượng quản trị, vận hành hệ thống;

b) Tổ chức, nhân sự: Có đầu mối liên hệ để thông báo, trao đổi, xử lý vấn đề phát sinh hoặc sự cố mất an toàn thông tin xảy ra với hệ thống thông tin.

Theo Khoản 2 Điều 9 của Thông tư số 03/2017/TT-BTTTT ngày 24 tháng 4 năm 2017 quy định chi tiết và hướng dẫn một số điều của Nghị định số 85/2016/NĐ-CP ngày 01 tháng 7 năm 2016 về bảo đảm an toàn hệ thống thông tin theo cấp độ, Bộ trưởng Bộ Thông tin và Truyền thông quy định, Phương án bảo đảm an toàn hệ thống thông tin cấp độ 2 phải đáp ứng yêu cầu như đối với cấp độ 1 và bổ sung yêu cầu quy định chi tiết tại Phụ lục 2 ban hành kèm theo Thông tư 03/2017/TT-BTTTT như sau:

1. Yêu cầu kỹ thuật:

a) An toàn hạ tầng mạng:

- Có phân vùng hạ tầng mạng thành các vùng mạng khác nhau tùy theo yêu cầu, mục đích sử dụng;

- Có phương án sử dụng thiết bị có chức năng tường lửa để ngăn chặn truy cập trái phép giữa các vùng mạng với mạng Internet;

- Có cơ chế xác thực và mã hóa khi sử dụng mạng không dây (nếu có);

- Có phương án xác thực tài khoản quản trị trên các thiết bị mạng quan trọng;

- Có phương án quản trị các thiết bị từ xa (nếu có) thông qua các giao thức hỗ trợ mã hóa;

b) An toàn máy chủ:

- Có sử dụng phần mềm phòng, chống mã độc trên máy chủ và có cơ chế tự động cập nhật phiên bản mới hoặc dấu hiệu nhận dạng mã độc mới cho phần mềm này;

- Có cơ chế xác thực bằng mật khẩu bảo đảm độ phức tạp cần thiết, yêu cầu thay đổi mật khẩu định kỳ theo quy định của tổ chức và có cơ chế phòng chống dò quét mật khẩu; Các thông tin xác thực phải được lưu trữ trên hệ thống dưới dạng mã hóa;

- Có phương án vô hiệu hóa các tài khoản mặc định hoặc không hoạt động trên hệ thống; vô hiệu hóa các dịch vụ, phần mềm không sử dụng trên máy chủ;

- Có ghi nhật ký hệ thống đối với hoạt động truy cập, quản trị máy chủ;

- Có thiết lập cơ chế cập nhật bản vá điểm yếu an toàn thông tin cho hệ điều hành và các dịch vụ hệ thống trên máy chủ;

c) An toàn ứng dụng:

- Có thiết lập yêu cầu bảo đảm mật khẩu trên ứng dụng đủ độ phức tạp cần thiết để hạn chế tấn công dò quét mật khẩu; các thông tin xác thực phải được lưu trữ dưới dạng mã hóa;

- Có thiết lập yêu cầu ghi nhật ký truy cập, lỗi phát sinh;

- Không sử dụng kết nối mạng không mã hóa trong việc quản trị ứng dụng từ xa.

d) An toàn dữ liệu: Có phương án sử dụng hệ thống hoặc phương tiện lưu trữ độc lập để sao lưu dự phòng các dữ liệu quan trọng trên máy chủ. Việc sao lưu được thực hiện định kỳ theo quy định của tổ chức.

2. Yêu cầu quản lý:

a) Chính sách chung:

- Có chính sách an toàn thông tin cho người sử dụng bao gồm các nội dung: chính sách truy cập và sử dụng mạng và tài nguyên trên Internet; truy cập và sử dụng ứng dụng;

- Có chính sách an toàn thông tin cho người quản trị, vận hành hệ thống bao gồm nhưng không giới hạn bởi chính sách quản lý an toàn hạ tầng mạng, an toàn máy chủ, an toàn ứng dụng và an toàn dữ liệu;

b) Tổ chức, nhân sự:

Có quy trình, thủ tục để cấp phát, loại bỏ tài khoản, quyền truy cập của cán bộ mới tham gia sử dụng hệ thống, cán bộ thay đổi nhiệm vụ hoặc cán bộ ngừng sử dụng hệ thống;

c) Quản lý thiết kế, xây dựng:

- Có tài liệu thiết kế, mô tả về các phương án bảo đảm an toàn hệ thống thông tin;

- Có phương án kiểm tra, xác minh hệ thống được triển khai tuân thủ theo đúng tài liệu thiết kế và yêu cầu bảo đảm an toàn thông tin trước khi nghiệm thu, bàn giao;

- Có hồ sơ cấp độ được thẩm định, phê duyệt bởi đơn vị chuyên trách về an toàn thông tin của chủ quản hệ thống thông tin;

d) Quản lý vận hành:

- Có quy trình quản lý, vận hành hệ thống phù hợp yêu cầu kỹ thuật cơ bản; quản lý sự thay đổi, di chuyển hệ thống; kết thúc vận hành, khai thác, thanh lý, hủy bỏ hệ thống;

- Có phương án ứng cứu sự cố trong tình huống xảy ra sự cố an toàn thông tin;

đ) Kiểm tra, đánh giá và quản lý rủi ro:

- Có phương án định kỳ 02 năm hoặc đột xuất khi cần thiết thực hiện kiểm tra, đánh giá an toàn thông tin và quản lý rủi ro an toàn thông tin theo quy định của pháp luật;

- Việc kiểm tra, đánh giá an toàn thông tin và đánh giá rủi ro phải do đơn vị chuyên trách về an toàn thông tin của chủ quản hệ thống thông tin thực hiện hoặc thuê ngoài thực hiện theo quy định của pháp luật.

Luật Hoàng Anh

Luật sư NGUYỄN ĐÌNH HIỆP - Những con số biết nói

Với 20 năm kinh nghiệm trong lĩnh vực tư vấn pháp lý, Luật sư Nguyễn Đình Hiệp có sự am hiểu sâu sắc hệ thống pháp luật Việt Nam và triển khai thành công rất nhiều các vụ việc như:

Tư vấn mở chuỗi kinh doanh nhượng quyền thương mại

Tư vấn cấp Giấy phép viễn thông cho doanh nghiệp Việt Nam

Tư vấn pháp lý thường xuyên cho các doanh nghiệp Việt Nam, Trung Quốc, Hàn Quốc. Tiêu biểu như Công ty CP Tập đoàn Bình Minh, Công ty CP DV Viễn thông Hải Phòng

Tư vấn, xử lý thu hồi công nợ và khởi kiện/khởi tố các đối tượng có nợ khó đòi

Tư vấn pháp lý đầu tư, giấy phép, chuyển nhượng các dự án khoáng sản. Tiêu biểu như Dự án khai thác Khoáng sản của Công ty khoáng sản An Vượng tại huyện Đà Bắc tỉnh Hoà Bình (50ha).

Tư vấn pháp lý dự án đầu tư mở rộng sản xuất. Tiêu biểu như Dự án sản xuất 50 triệu sản phẩm điện tử thanh toán Công ty TNHH ST Vina (Hàn Quốc); Dự án mở rộng quy mô sản xuất của Công ty TNHH RFTech Việt Nam lên 20 triệu đô la Mỹ;

Tư vấn hợp đồng chuyển giao công nghệ và thực hiện thủ tục đăng ký hợp đồng chuyển giao công nghệ (hầu hết là doanh nghiệp có vốn đầu tư nước ngoài)

Tư vấn pháp lý dự án đầu tư bất động sản. Tiêu biểu như Dự án khu nghỉ dưỡng tại Vịnh Lan Hạ, thành phố Hải Phòng (30ha); Khu du lịch sinh thái và nghỉ dưỡng Avana Mai Chau Hideway, tỉnh Hòa Bình (32ha)

Tư vấn, thành lập các doanh nghiệp 100% vốn đầu tư nước ngoài tại Việt Nam trong các lĩnh vực. Tiêu biểu như Dự án nhà máy sản xuất của Công ty Mass Well Limited, Công ty Modern Shine Limited tại Trung tâm công nghiệp GNP Yên Bình

300

Tư vấn hồ sơ công bố sản phẩm, hồ sơ phòng cháy chữa cháy, hồ sơ an toàn vệ sinh thực phẩm, đăng ký mã số mã vạch, đăng ký/thông báo website…

500

Tư vấn bảo hộ nhãn hiệu (thương hiệu), quyền tác giả, sáng chế

700

Tư vấn, thực hiện các thủ tục, giấy phép con như: Giấy phép lao động cho người nước ngoài, cấp phép tạm trú cho người nước ngoài, Giấy phép trung tâm ngoại ngữ, Giấy phép ngành dược, Giấy phép quảng cáo…

2000

Tư vấn, thành lập các doanh nghiệp mới, chi nhánh, văn phòng đại diện trên cả nước; các thủ tục thay đổi đăng ký doanh nghiệp trên cả nước

3000

Tư vấn các vụ việc ly hôn, chia tài sản, quyền nuôi con; chia thừa kế; tranh chấp đất đai; tố tụng dân sự, tố tụng hình sự và tố tụng hành chính.

Chat ngay Gọi ngay Hồ sơ năng lực

Yêu cầu cơ bản trong việc bảo đảm an toàn hệ thống thông tin theo cấp độ 1 và 2 quy định như thế nào ?

Bài viết trình bày về Yêu cầu cơ bản trong việc bảo đảm an toàn hệ thống thông tin theo cấp độ 1 và 2

Yêu cầu cơ bản đối với cấp độ 1

Yêu cầu cơ bản đối với cấp độ 2