Thông tin

Xác định lần đầu cấp độ đối với hệ thống thông tin cấp độ 1, 2; xác định lại cấp độ đối với hệ thống thông tin đã được phê duyệt cấp độ 1, 2
Lĩnh vực: An toàn thông tin
Cơ quan ban hành: UBND Tỉnh Hải Dương
Cơ quan trực tiếp thực hiện: Sở Thông tin và Truyền thông
Cách thức thực hiện: Không quy định
Thời hạn giải quyết: Thời gian thẩm định hồ sơ đề xuất cấp độ: Không quy định - Thời gian phê duyệt hồ sơ cấp độ: Tối đa là 07 ngày làm việc kể từ ngày nhận đủ hồ sơ hợp lệ.
Lệ phí: Không
Đối tượng thực hiện: Đơn vị vận hành hệ thống thông tin
Kết quả thực hiện: Quyết định của cơ quan có thẩm quyền phê duyệt cấp độ an toàn hệ thống thông tin (Mẫu số 06 ban hành kèm theo Nghị định số 85/2016/NĐ-CP)

Các bước

Xác định lần đầu cấp độ đối với hệ thống thông tin cấp độ 1, 2; xác định lại cấp độ đối với hệ thống thông tin đã được phê duyệt cấp độ 1, 2
Trình tự thực hiện:
* Đối với hệ thống thông tin đang vận hành: 
Bước 1. Lập hồ sơ đề xuất cấp độ:
- Đơn vị vận hành hệ thống thông tin lập hồ sơ đề xuất cấp độ theo quy định tại Điều 15 Nghị định 85/2016/NĐ-CP ngày 01/7/2016 của Chính phủ và khoản 7 Điều 9 của Thông tư 12/2022/TT-BTTTT;
- Đơn vị vận hành hệ thống thông tin gửi hồ sơ đề xuất cấp độ tới đơn vị thẩm định để thực hiện thẩm định theo quy định tại Khoản 1 Điều 12 Nghị định 85/2016/NĐ-CP ngày 01/7/2016 của Chính phủ;
Bước 2. Thẩm định hồ sơ đề xuất cấp độ:
Cơ quan có thẩm quyền thực hiện thẩm định hồ sơ đề xuất cấp độ theo quy định tại Điều 16 Nghị định 85/2016/NĐ-CP ngày 01/7/2016 của Chính phủ
Bước 3. Phê duyệt đề xuất cấp độ:
Đơn vị chuyên trách về an toàn thông tin của chủ quản hệ thống thông tin phê duyệt đề xuất cấp độ, gửi báo cáo chủ quản hệ thống thông tin.
* Đối với dự án đầu tư xây dựng mới hoặc mở rộng, nâng cấp hệ thống thông tin:
Bước 1. Chủ đầu tư xây dựng thuyết minh đề xuất cấp độ, lồng ghép vào nội dung của báo cáo nghiên cứu khả thi, dự án khả thi ứng dụng công nghệ thông tin hoặc báo cáo đầu tư của dự án, gửi cơ quan chức năng thẩm định, trình cơ quan có thẩm quyền phê duyệt báo cáo nghiên cứu khả thi; dự án khả thi ứng dụng công nghệ thông tin hoặc báo cáo đầu tư theo quy định của pháp luật về đầu tư và quy định Nghị định số 85/2016/NĐ-CP.
Bước 2. Trong trường hợp thuê dịch vụ công nghệ thông tin, đơn vị chủ trì thuê dịch vụ xây dựng thuyết minh đề xuất cấp độ, lồng ghép vào nội dung của kế hoạch, dự án thuê dịch vụ, gửi cơ quan chức năng thẩm định, trình cơ quan có thẩm quyền phê duyệt theo quy định của pháp luật về thuê dịch vụ công nghệ thông tin và quy định của Nghị định số 85/2016/NĐ-CP.
* Xác định lại cấp độ đối với hệ thống thông tin đã được phê duyệt cấp độ:
Đối với hệ thống thông tin đã được phê duyệt cấp độ, trong trường hợp phải xác định lại cấp độ cho phù hợp với tình hình thực tế thì thực hiện theo trình tự, thủ tục xác định lần đầu.

Hồ sơ

Xác định lần đầu cấp độ đối với hệ thống thông tin cấp độ 1, 2; xác định lại cấp độ đối với hệ thống thông tin đã được phê duyệt cấp độ 1, 2
Thành phần hồ sơ bao gồm:
- Văn bản đề nghị thẩm định, phê duyệt hồ sơ đề xuất cấp độ theo Mẫu số 01 Nghị định số 85/2016/NĐ-CP kèm theo hồ sơ đề xuất cấp độ.
- Hồ sơ đề xuất cấp độ gồm:
+ Tài liệu mô tả, thuyết minh tổng quan về hệ thống thông tin.
+ Tài liệu thiết kế là một trong những tài liệu sau:
(1) Đối với dự án đầu tư xây dựng mới hoặc mở rộng, nâng cấp hệ thống thông tin: Thiết kế sơ bộ hoặc tài liệu có giá trị tương đương;
(2) Đối với hệ thống thông tin đang vận hành: Thiết kế thi công đã được cấp có thẩm quyền phê duyệt hoặc tài liệu có giá trị tương đương.
+ Tài liệu thuyết minh về việc đề xuất cấp độ căn cứ trên các tiêu chí theo quy định của pháp luật.
+ Tài liệu thuyết minh phương án bảo đảm an toàn thông tin theo cấp độ tương ứng.
+ Dự thảo Quy chế bảo đảm an toàn thông tin cho hệ thống thông tin hoặc Quy chế bảo đảm an toàn thông tin cho hệ thống thông tin đã được cấp có thẩm quyền ban hành.
 
* Số lượng hồ sơ: 01 bộ
 
Tên mẫu đơn, mẫu tờ khai:
Văn bản đề nghị thẩm định, phê duyệt hồ sơ đề xuất cấp độ (theo Mẫu số 01 ban hành kèm theo Nghị định số 85/2016/NĐ-CP)

Căn cứ pháp lý

Xác định lần đầu cấp độ đối với hệ thống thông tin cấp độ 1, 2; xác định lại cấp độ đối với hệ thống thông tin đã được phê duyệt cấp độ 1, 2
Nghị định số 85/2016/NĐ-CP ngày 01/7/2016 của Chính phủ về bảo đảm an toàn hệ thống thông tin theo cấp độ; 
- Thông tư số 12/2022/TT-BTTTT ngày 12/8/2022 của Bộ Thông tin và Truyền thông quy định chi tiết và hướng dẫn một số điều của Nghị định số 85/2016/NĐ CP ngày 01/7/2016 về bảo đảm an toàn hệ thống thông tin theo cấp độ; 
- Tiêu chuẩn quốc gia TCVN 11930:2017 về công nghệ thông tin - các kỹ thuật an toàn - yêu cầu cơ bản về an toàn hệ thống thông tin theo cấp độ.

Yêu cầu

Xác định lần đầu cấp độ đối với hệ thống thông tin cấp độ 1, 2; xác định lại cấp độ đối với hệ thống thông tin đã được phê duyệt cấp độ 1, 2
Yêu cầu, điều kiện thực hiện thủ tục hành chính: 
- Việc bảo đảm an toàn hệ thống thông tin theo cấp độ thực hiện theo yêu cầu cơ bản quy định tại Thông tư 12/2022/TT-BTTTT ngày 12/8/2022 và Tiêu chuẩn quốc gia TCVN 11930:2017 về Công nghệ thông tin - các kỹ thuật an toàn - yêu cầu cơ bản về an toàn hệ thống thông tin theo cấp độ.
- Yêu cầu cơ bản đối với từng cấp độ quy định tại Thông tư 12/2022/TT-BTTTT ngày 12/8/2022 là các yêu cầu tối thiểu để bảo đảm an toàn hệ thống thông tin, bao gồm yêu cầu cơ bản về quản lý, yêu cầu cơ bản về kỹ thuật và không bao gồm các yêu cầu bảo đảm an toàn vật lý.
- Yêu cầu cơ bản về quản lý, bao gồm:
+ Thiết lập chính sách an toàn thông tin;
+ Tổ chức bảo đảm an toàn thông tin;
+ Bảo đảm nguồn nhân lực;
+ Quản lý thiết kế, xây dựng hệ thống;
+ Quản lý vận hành hệ thống;
+ Phương án Quản lý rủi ro an toàn thông tin;
+ Phương án Kết thúc vận hành, khai thác, thanh lý, hủy bỏ hệ thống thông tin.
- Yêu cầu cơ bản về kỹ thuật, bao gồm:
+  Bảo đảm an toàn mạng;
+ Bảo đảm an toàn máy chủ;
+ Bảo đảm an toàn ứng dụng;
+ Bảo đảm an toàn dữ liệu.
- Việc xây dựng phương án bảo đảm an toàn thông tin đáp ứng yêu cầu cơ bản theo từng cấp độ thực hiện theo nguyên tắc quy định tại khoản 2 Điều 4 Nghị định 85/2016/NĐ-CP, cụ thể như sau:
+ Đối với hệ thống thông tin cấp độ 1, 2, 3: Phương án bảo đảm an toàn thông tin phải xem xét khả năng dùng chung giữa các hệ thống thông tin đối với các giải pháp bảo vệ, chia sẻ tài nguyên để tối ưu hiệu năng, tránh đầu tư thừa, trùng lặp, lãng phí.
- Hệ thống thông tin khi được đầu tư xây dựng mới hoặc mở rộng, nâng cấp phải triển khai đầy đủ phương án bảo đảm an toàn thông tin đã được phê duyệt tại Hồ sơ đề xuất cấp độ và đáp ứng các yêu cầu an toàn tại Điều 9 và Điều 10 Thông tư 12/2022/TT-BTTTT ngày 12/8/2022 trước khi đưa vào vận hành, khai thác.
- Quy chế bảo đảm an toàn hệ thống thông tin cho hệ thống phải được xây dựng, đáp ứng các yêu cầu an toàn về quản lý theo cấp độ an toàn hệ thống thông tin tương ứng và được cấp có thẩm quyền phê duyệt, ban hành trước khi Hồ sơ đề xuất cấp độ được phê duyệt.
- Yêu cầu bảo đảm an toàn thông tin đối với phần mềm nội bộ khi xây dựng mới hoặc mở rộng, nâng cấp:
+ Phần mềm nội bộ được xây dựng mới hoặc mở rộng, nâng cấp phải tuân thủ Khung phát triển phần mềm an toàn;
+ Đáp ứng yêu cầu an toàn cơ bản đối với Phần mềm nội bộ.
-  Phương án bảo đảm an toàn thông tin đối với từng cấp độ
+ Phương án bảo đảm an toàn hệ thống thông tin cấp độ 1 phải đáp ứng yêu cầu quy định chi tiết tại Phụ lục I ban hành kèm theo Thông tư 12/2022/TT-BTTTT ngày 12/8/2022.
+ Phương án bảo đảm an toàn hệ thống thông tin cấp độ 2 phải đáp ứng yêu cầu quy định chi tiết tại Phụ lục II ban hành kèm theo Thông tư 12/2022/TT-BTTTT ngày 12/8/2022.