Bộ TT&TT vừa ban hành Thông tư 12 quy định chi tiết và hướng dẫn một số điều của Nghị định 85 ngày 1/7/2016 về bảo đảm an toàn hệ thống thông tin theo cấp độ. Có hiệu lực thi hành từ ngày 1/10/2022, Thông tư này thay thế cho Thông tư 03 ngày 24/4/2017 của Bộ TT&TT.
Thông tin với ICTnews, Cục An toàn thông tin, Bộ TT&TT cho biết, Thông tư 12 cập nhật hướng dẫn chi tiết và điều chỉnh nội dung cho phù hợp với tình hình thực tế sau 5 triển khai Thông tư 03 của Bộ TT&TT.
Cùng với đó, Thông tư mới cũng đồng bộ quy định về đảm bảo an toàn thông tin theo cấp độ với Tiêu chuẩn quốc gia TCVN 11930:2007, điển hình như: việc xác định chủ quản hệ thống thông tin theo tiêu chí cấp có thẩm quyền quyết định đầu tư dự án xây dựng, thiết lập, nâng cấp, mở rộng hệ thống thông tin đối với các cơ quan, tổ chức nhà nước; về thuyết minh cấp độ an toàn hệ thống thông tin khi thực hiện được đầu tư xây dựng mới hoặc mở rộng, nâng cấp hệ thống thông tin và thời điểm phê duyệt Hồ sơ đề xuất cấp độ;
Hay việc xác định đơn vị vận hành khi hết thời gian thuê dịch vụ; xác định nguyên tắc việc bảo đảm an toàn hệ thống thông tin theo cấp độ thực hiện theo yêu cầu cơ bản quy định tại Thông tư này và Tiêu chuẩn quốc gia TCVN 11930:2017...
Cụ thể, theo Thông tư mới, trường hợp bộ, cơ quan ngang bộ, cơ quan thuộc Chính phủ, UBND các tỉnh, thành phố trực thuộc Trung ương quyết định chủ quản hệ thống thông tin là cấp có thẩm quyền quyết định đầu tư dự án xây dựng, thiết lập, nâng cấp, mở rộng hệ thống thông tin đối với các cơ quan, tổ chức nhà nước, thì phải bảo đảm điều kiện cơ quan, tổ chức được giao nhiệm vụ chủ quản hệ thống thông tin có đủ năng lực để thực thi đầy đủ các quy định tại Điều 20 của Nghị định 85.
Hệ thống thông tin khi được đầu tư xây dựng mới hoặc mở rộng, nâng cấp phải triển khai đầy đủ phương án bảo đảm an toàn thông tin đã được phê duyệt tại Hồ sơ đề xuất cấp độ và đáp ứng các yêu cầu an toàn hệ thống thông tin khi đưa vào vận hành, khai thác; quy chế bảo đảm an toàn thông tin phải được cấp có thẩm quyền ban hành trước khi Hồ sơ đề xuất cấp độ được phê duyệt…
Bên cạnh đó, Thông tư 12 cũng quy định, các nội dung kiểm tra đánh giá an toàn thông tin gồm kiểm tra, đánh giá việc tuân thủ quy định của pháp luật về bảo đảm an toàn hệ thống thông tin theo cấp độ; kiểm tra, đánh giá hiệu quả của các biện pháp bảo đảm an toàn thông tin theo phương án bảo đảm an toàn thông tin được phê duyệt; kiểm tra, đánh giá phát hiện mã độc, lỗ hổng, điểm yếu, thử nghiệm xâm nhập hệ thống thông tin.
Trong đó, kiểm tra, đánh giá phát hiện mã độc, lỗ hổng, điểm yếu, thử nghiệm xâm nhập hệ thống thông tin, gồm 3 hình thức gồm Black-Box, Gray-Box, White-box và phần mềm nội bộ cần đánh giá an toàn mã nguồn (code review)…
Theo thống kê của Cục An toàn thông tin, tính đến hết tháng 6/2022, đã có 922/3.022 hệ thống thông tin của cơ quan nhà nước được phê duyệt Hồ sơ đề xuất cấp độ an toàn thông tin, đạt 31%.
Tại Chỉ thị 02 ngày 24/2 về phát triển Chính phủ điện tử hướng tới Chính phủ số, Thủ tướng Chính phủ đã yêu cầu các bộ, ngành, địa phương hoàn thành việc phân loại, xác định và phê duyệt đề xuất cấp độ hệ thống thông tin vào tháng 12 năm nay và đến tháng 6/2023 triển khai đầy đủ phương án bảo đảm an toàn hệ thống thông tin theo cấp độ.
Cục An toàn thông tin nhận định, việc Thông tư 12 được ban hành và áp dụng trong thời gian tới, sẽ góp phần tạo thuận lợi các Bộ, ngành và địa phương trong việc triển khai công tác bảo đảm an toàn hệ thống thông tin theo cấp độ.