100% hệ thống thông tin vận hành phải được phê duyệt cấp độ an toàn

1. 100% hệ thống thông tin đang vận hành phải được phê duyệt cấp độ an toàn hệ thống thông tin?

Theo quy định tại Mục 1 Chỉ thị 09/CT-TTg 2024 thì để đảm bảo hiệu quả và an ninh cho hệ thống thông tin, cần tiến hành một quá trình rà soát, thống kê và cập nhật danh mục hệ thống thông tin trong phạm vi quản lý. Mục tiêu là đảm bảo rằng tất cả các thành phần của hệ thống thông tin, từ cấp độ 1 đến cấp độ 5 (nếu có), đang hoạt động ổn định và tuân thủ các tiêu chuẩn an toàn.

Để đạt được mục tiêu này, cần phê duyệt cấp độ an toàn cho hệ thống thông tin. Thời hạn cuối cùng để hoàn tất quá trình này là vào tháng 9 năm 2024. Quá trình phê duyệt này sẽ đảm bảo rằng mọi khía cạnh của hệ thống thông tin được kiểm tra và đánh giá đầy đủ, từ khía cạnh kỹ thuật đến các yếu tố an toàn và bảo mật. Điều này sẽ tăng cường khả năng chống lại các rủi ro và đảm bảo rằng hệ thống hoạt động một cách an toàn và ổn định trong môi trường nguy hiểm ngày nay.

Cần thực hiện việc triển khai một cách toàn diện phương án đảm bảo an toàn thông tin, như đã được đề xuất và được phê duyệt ở cấp độ tương ứng. Thời hạn cuối cùng cho quá trình triển khai này là trong tháng 12 năm 2024. Việc này đặt ra một cơ hội lớn để nâng cao khả năng ứng phó với các thách thức bảo mật và đảm bảo rằng hệ thống thông tin đang hoạt động trong một môi trường an toàn và tin cậy.

Trong quá trình triển khai, tập trung vào việc thực hiện các biện pháp an ninh cụ thể đã được xác định trong hồ sơ đề xuất. Điều này có thể bao gồm việc cập nhật và nâng cấp phần mềm, thực hiện các biện pháp kiểm soát truy cập, và đào tạo nhân viên về các nguy cơ an ninh thông tin. Bằng cách này, tạo ra một hệ thống thông tin mạnh mẽ và an toàn, đồng thời tăng cường khả năng ứng phó với các mối đe dọa ngày càng phức tạp trong lĩnh vực an ninh mạng.

Danh sách các đơn vị và cá nhân tham gia vào quá trình thực hiện là đa dạng và quan trọng, bao gồm những nhân vật đỉnh cao của Chính phủ và các tổ chức quan trọng trên cả nước. 

- Bộ trưởng, Thủ trưởng cơ quan ngang bộ, cơ quan thuộc Chính phủ: Những nhân vật hàng đầu này không chỉ đảm bảo quyết định và hỗ trợ chính sách mà còn chịu trách nhiệm cao cấp trong việc đưa ra các quyết định chiến lược.

- Chủ tịch Ủy ban nhân dân các tỉnh, thành phố trực thuộc trung ương: Vai trò của họ là quan trọng để địa phương có đóng góp và tham gia tích cực trong việc thực hiện chính sách quốc gia.

- Chủ tịch Hội đồng quản trị, Hội đồng thành viên, Tổng Giám đốc các tập đoàn, tổng công ty nhà nước, ngân hàng thương mại nhà nước, Ngân hàng Phát triển Việt Nam, Ngân hàng Chính sách xã hội, Ngân hàng Hợp tác xã Việt Nam và tổ chức tín dụng, tài chính nhà nước khác trên toàn quốc: Đây là những người lãnh đạo quyết đoán của các doanh nghiệp và tổ chức lớn, đóng vai trò quan trọng trong việc đảm bảo thực hiện các chính sách kinh tế và tài chính của quốc gia.

2. Quy định về hệ thống thông tin từ cấp độ 1 đến cấp độ 5

Theo quy định tại Điều 21 của Luật An toàn thông tin mạng 2015, quá trình phân loại cấp độ an toàn của hệ thống thông tin là quá trình quan trọng và chi tiết, nơi xác định cấp độ an toàn từ 1 đến 5 theo thứ tự tăng dần. Mục tiêu của quá trình này là để có thể áp dụng các biện pháp quản lý và kỹ thuật một cách hiệu quả, tối ưu hóa bảo vệ hệ thống thông tin tùy thuộc vào cấp độ xác định.

Quá trình phân loại này không chỉ là một bước quan trọng để đảm bảo tính toàn vẹn và an toàn của hệ thống thông tin mà còn giúp xác định được phương pháp quản lý và kỹ thuật phù hợp nhất cho từng cấp độ. Bằng cách này, có thể đối mặt với các thách thức bảo mật theo cách hiệu quả nhất và đồng thời đảm bảo sự linh hoạt để thích ứng với sự thay đổi của môi trường thông tin mạng ngày nay. Ngoài việc đảm bảo an toàn thông tin, quá trình này còn mang lại khả năng tối ưu hóa nguồn lực và chi phí, đồng thời thúc đẩy hiệu suất và khả năng đổi mới trong quản lý an toàn thông tin, đó chính là bước quan trọng hướng tới sự phát triển bền vững và an toàn trong lĩnh vực này.

Hệ thống thông tin được phân loại theo 5 cấp độ an toàn, mỗi cấp độ mang theo một đặc điểm và mức độ rủi ro cụ thể. Dưới đây là mô tả chi tiết về hai cấp độ đầu tiên theo quy định của Điều 21 Luật An toàn thông tin mạng 2015:

- Cấp độ 1: Đây là cấp độ mà sự phá hoại có thể gây tổn thất cho quyền và lợi ích hợp pháp của tổ chức, cá nhân, nhưng không gây ảnh hưởng đáng kể đến lợi ích công cộng, trật tự, an toàn xã hội, quốc phòng, và an ninh quốc gia. Các biện pháp quản lý và kỹ thuật cần được áp dụng để bảo vệ hệ thống thông tin ở cấp độ này, nhằm giảm thiểu rủi ro và đảm bảo an toàn thông tin phù hợp.

- Cấp độ 2: Tại cấp độ này, sự phá hoại có thể gây tổn thất nghiêm trọng cho quyền và lợi ích hợp pháp của tổ chức, cá nhân. Ngoài ra, có thể gây tổn thất cho lợi ích công cộng, nhưng không tác động đến trật tự, an toàn xã hội, quốc phòng, và an ninh quốc gia. Các biện pháp an ninh và kỹ thuật đặc biệt cần được triển khai để đảm bảo an toàn thông tin ở cấp độ này, với mục tiêu là giảm rủi ro đến mức tối thiểu và duy trì tính toàn vẹn của hệ thống.

- Cấp độ 3: Tại cấp độ này, khi bị phá hoại, hệ thống sẽ tạo ra tổn hại nghiêm trọng đối với sản xuất, lợi ích công cộng, và cả trật tự, an toàn xã hội. Có khả năng gây tổn hại tới quốc phòng, an ninh quốc gia.

- Cấp độ 4: Đây là cấp độ với hậu quả phá hoại đặc biệt nghiêm trọng đối với lợi ích công cộng và trật tự, an toàn xã hội. Nó cũng có khả năng tạo ra tổn hại nghiêm trọng đến quốc phòng, an ninh quốc gia.

- Cấp độ 5: Cấp độ cao nhất, khi bị phá hoại, có thể gây tổn hại đặc biệt nghiêm trọng đến quốc phòng và an ninh quốc gia, đặt ra những thách thức và hậu quả đáng kể. Đây là cấp độ yêu cầu biện pháp an toàn cực kỳ cao và cẩn trọng.

3. Nhiệm vụ chung để bảo vệ hệ thống thông tin

Theo quy định tại Điều 22 của Luật An toàn thông tin mạng 2015, nhiệm vụ quan trọng của việc bảo vệ hệ thống thông tin không chỉ là một sự cam kết mà còn bao gồm những công việc chi tiết và quan trọng nhằm đảm bảo tính an toàn và bền vững của hệ thống. 

- Xác định cấp độ an toàn thông tin: Nhiệm vụ này không chỉ đơn giản là việc xác định cấp độ an toàn thông tin của hệ thống, mà còn liên quan đến việc hiểu rõ các yếu tố đặc biệt và tầm quan trọng của từng cấp độ. Việc này đòi hỏi sự nhạy bén trong việc phân tích và đánh giá rủi ro để đưa ra quyết định đúng đắn.

- Đánh giá và quản lý rủi ro an toàn hệ thống thông tin: Nhiệm vụ này yêu cầu sự sâu sát trong việc đánh giá, định rõ và quản lý các rủi ro liên quan đến an toàn hệ thống thông tin. Việc phân loại và ưu tiên các rủi ro giúp tập trung nguồn lực vào những điểm chính và đảm bảo hiệu quả cao.

- Đôn đốc, giám sát, kiểm tra công tác bảo vệ hệ thống thông tin: Nhiệm vụ này không chỉ đơn thuần là áp dụng biện pháp bảo vệ mà còn bao gồm việc thúc đẩy sự nhận thức và tuân thủ an toàn thông tin trong tổ chức. Sự đôn đốc cần diễn ra liên tục, và giám sát cùng kiểm tra định kỳ giúp đảm bảo rằng mọi biện pháp đều đang hoạt động hiệu quả và đáp ứng nhanh chóng đối với các thay đổi và mối đe dọa mới.

- Triển khai các biện pháp bảo vệ hệ thống thông tin: Việc triển khai các biện pháp này đòi hỏi sự hiểu biết sâu sắc về các yếu tố kỹ thuật và quản lý. Các biện pháp này không chỉ bao gồm việc cập nhật phần mềm và phòng ngừa mã độc, mà còn liên quan đến việc thiết lập các hệ thống kiểm soát truy cập và giám sát đầy đủ.

- Thực hiện chế độ báo cáo theo quy định: Nhiệm vụ này không chỉ dừng lại ở việc báo cáo về tình trạng hiện tại mà còn đòi hỏi khả năng đánh giá và dự báo về các rủi ro tương lai. Báo cáo đầy đủ và chi tiết không chỉ là công cụ quản lý mà còn là cơ sở để đưa ra quyết định chính xác và hợp lý.

- Tổ chức tuyên truyền, nâng cao nhận thức về an toàn thông tin mạng: Việc tuyên truyền và nâng cao nhận thức không chỉ là việc thông báo mà còn là quá trình thay đổi văn hóa tổ chức. Sự thấu hiểu về an toàn thông tin mạng cần được tạo ra thông qua các chiến dịch tuyên truyền sáng tạo và hiệu quả, giúp mọi thành viên trong tổ chức đều nhận thức và đóng góp vào mục tiêu chung của bảo vệ hệ thống thông tin.

Ngoài ra, có thể tham khảo: Giám sát an toàn hệ thống thông tin là gì? Phương thức giám sát an toàn hệ thống thông tin. Còn khúc mắc, liên hệ 1900.6162 hoặc gửi email tới: lienhe@luatminhkhue.vn để được hỗ trợ. Xin cảm ơn.