Dự thảo Thông tư quy định chi tiết và hướng dẫn một số điều của Nghị định 85 ngày 1/7/2016 của Chính phủ về bảo đảm an toàn hệ thống thông tin theo cấp độ đang được Bộ TT&TT lấy ý kiến đóng góp của các cơ quan, tổ chức, doanh nghiệp và người dân.
Theo Cục An toàn thông tin, Bộ TT&TT, việc xây dựng Thông tư mới thay thế Thông tư 03 ngày 24/4/2017 là nhằm đảm bảo tính đồng bộ, thống nhất giữa các văn bản và phù hợp với thực tế triển khai thời gian qua. Thông tư mới quy định chi tiết hơn một số nội dung cần hướng dẫn.
Cụ thể, dự thảo Thông tư mới bổ sung các quy định để làm rõ việc xác định đơn vị vận hành trong quá trình chuẩn bị thuê ngoài dịch vụ CNTT và trong quá trình chạy thử nghiệm hệ thống tại hạ tầng của các doanh nghiệp; xác định đơn vị vận hành đóng vai trò đơn vị chuyên trách, tổ chức thẩm định trong trường hợp đơn vị vận hành đóng vai trò đơn vị chuyên trách; xác định chủ quản hệ thống thông tin với trường hợp là cấp có thẩm quyền quyết định đầu tư dự án xây dựng, thiết lập, nâng cấp, mở rộng hệ thống thông tin.
Dự thảo Thông tư mới cũng hướng dẫn chi tiết thêm một số loại hình hệ thống thông tin. Đại diện Cục An toàn thông tin cho biết, việc xác định cấp độ an toàn hệ thống thông tin dựa vào loại thông tin mà hệ thống đó xử lý và loại hình hệ thống thông tin. Tuy nhiên, tại Điều 4 Thông tư 03 còn chưa quy định một số loại hình hệ thống thông tin, gây khó khăn cho cơ quan, tổ chức khi xác định cấp độ. Bên cạnh đó cần hướng dẫn chi tiết hơn việc xác định một số loại hình hệ thống thông tin.
Do đó, để giúp các cơ quan, tổ chức xác định cấp độ đối với một số loại hình hệ thống thông tin dễ dàng hơn, Cục An toàn thông tin đưa phương án bổ sung và hướng dẫn một số loại hình hệ thống thông tin: Quy định một số loại hình hệ thống thông tin, ví dụ như hệ thống phục vụ giám sát, bảo vệ các hệ thống thông tin khác (SOC) và một số loại hình hệ thống thông tin đặc thù khác.
Đồng thời, hướng dẫn chi tiết việc xác định một số loại hình hệ thống thông tin như: Hệ thống thông tin phục vụ lưu trữ dữ liệu tập trung đối với một số loại hình thông tin, dữ liệu đặc biệt quan trọng của quốc gia; Hệ thống cơ sở hạ tầng thông tin quốc gia phục vụ kết nối liên thông hoạt động của Việt Nam với quốc tế...
Bên cạnh đó, tại dự thảo Thông tư mới, Cục An toàn thông tin đã đề xuất bổ sung một số yêu cầu an toàn với hệ thống thông tin nhằm đảm bảo tính thống nhất, đồng bộ giữa Thông tư 03 và Tiêu chuẩn quốc gia TCVN 11930:2017.
Cụ thể, hướng dẫn chi tiết một số phương án bảo đảm an toàn thông tin quy định tại Điều 19 Nghị định 85 như phương án Quản lý rủi ro an toàn thông tin; Kết thúc vận hành, khai thác, thanh lý, hủy bỏ;
Đối với một số yêu cầu an toàn cơ bản theo cấp độ, để bảo đảm tính khả thi khi đưa TCVN:11930 vào áp dụng, các yêu cầu an toàn về kỹ thuật liên quan đến đầu tư sẽ được quy định cụ thể, phù hợp với từng cấp độ; các yêu cầu về thiết lập, cấu hình và về quản lý sẽ được tham chiếu tương ứng.
Cục An toàn thông tin cũng đề xuất sửa đổi, bổ sung một số quy định về kiểm tra, đánh giá an toàn thông tin gồm: Quy định chi tiết về phạm vi, yêu cầu và quy trình thực hiện kiểm tra, đánh giá an toàn thông tin; Kiểm tra việc tuân thủ quy định của pháp luật về bảo đảm an toàn hệ thống thông tin theo cấp độ; Kiểm tra, đánh giá và xử lý lỗ hổng, điểm yếu của hệ thống thông tin trước khi đưa vào sử dụng.
Bên cạnh việc hướng dẫn về quy trình xây dựng, thẩm định và phê duyệt Hồ sơ đề xuất cấp độ đối với một số trường hợp cụ thể, dự thảo Thông tư mới còn sửa đổi, bổ sung các quy định về báo cáo chia sẻ thông tin còn chưa phù hợp với tình hình thực tế. Theo đó, Cục An toàn thông tin đã đề xuất điều chỉnh quy định về nội dung báo cáo cho phù hợp với yêu cầu thực tế hiện tại, chi tiết, đầy đủ nội dung để phục vụ công tác quản lý nhà nước về an toàn thông tin.
Đồng thời, bổ sung các thông tin liên quan đến lây nhiễm mã độc, giám sát an toàn thông tin cho phù hợp với chỉ đạo của Thủ tướng Chính phủ tại Chỉ thị 14 ngày 25/5/2018 và Chỉ thị 14 ngày 07/6/2019.
Luật An toàn thông tin mạng có hiệu lực từ ngày 1/7/2016 quy định, để áp dụng biện pháp quản lý và kỹ thuật nhằm bảo vệ hệ thống thông tin phù hợp theo cấp độ, trước hết cần phân loại, xác định cấp độ an toàn thông tin của hệ thống thông tin, với 5 cấp độ tăng dần từ 1 đến 5. Để hướng dẫn thi hành Luật An toàn thông tin mạng, ngày 1/7/2016, Chính phủ đã ban hành Nghị định 85 quy định chi tiết về tiêu chí, thẩm quyền, trình tự, thủ tục xác định cấp độ an toàn hệ thống thông tin và trách nhiệm bảo đảm an toàn hệ thống thông tin theo từng cấp độ.