CHÍNH PHỦ

CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM

Số: 85/2016/NĐ-CP

Hà Nội, ngày 01 tháng 07 năm 2016

NGHỊ ĐỊNH

VỀ BẢO ĐẢM AN TOÀN HỆ THỐNG THÔNG TIN THEO CẤP ĐỘ

Căn cứ Luật tổ chức Chính phủ ngày19 tháng 6 năm 2015;

Căn cứ Luật an toàn thông tin mạngngày 19 11 năm 2015;

Theo đề nghị của Bộ trưởng BộThông tin và Truyền thông;

Chính phủ ban hành Nghị định về bảo đảm an toàn hệ thống thông tin theo cấp độ.

Chương I

NHỮNG QUY ĐỊNHCHUNG

Điều 1. Phạm viđiều chỉnh

Nghị định này quy định chi tiết vềtiêu chí, thẩm quyền, trình tự, thủ tục xác định cấp độ an toàn hệ thống thôngtin và trách nhiệm bảo đảm an toàn

Điều 2. Đối tượngáp dụng

Nghị định này áp dụng đối với cơquan, tổ chức, cá nhân tham gia hoặc có liên quan đến hoạtđộng xây dựng, thiết lập, quản lý, vận hành, nâng cấp, mở rộng

Khuyến khích tổ chức, cá nhân liênquan khác áp dụng các quy định tại Nghị định này để bảo vệ hệ thống thông tin.

Điều 3. Giảithích từ ngữ

Trong Nghị định này, các từ ngữ dướiđây được hiểu như sau:

1. Chủ quản hệ thống thông tin là cơquan, tổ chức, cá nhân có thẩm quyền quản lý trực tiếp đối với hệ thống thôngtin. Đối với cơ quan, tổ chức nhà nước, chủ quản hệ thống thông tin là các bộ,cơ quan ngang bộ, cơ quan thuộc Chính phủ,

2. Xử lý thông tin là việc thực hiệnmột hoặc một số thao tác tạo lập, cung ổi thông tin trên mạng.

3. Đơn vị vận hành hệ thống thông tinlà cơ quan, tổ chức được chủ quản ống thông tin. Trongtrường hợp chủ quản

4. Đơn vị chuyên trách về công ngở Thông tin và Truyền thông các tỉnh,

5. Đơn vị chuyên trách về an toànthông tin là đơn vị có chức năng, nhiệm vụ bảo đảm an toàn thông tin của chủ quảnhệ thống thông tin.

6. Bộ phận chuyên trách về an toànthông tin là bộ phận do chủ quản hệ thống thông tin thành lập hoặc chỉ định để thực thi nhiệm vụ bảo đảm an toàn thông tin và ứng cứu sự cố antoàn thông tin mạng.

7. Dịch vụ trực tuyến là dịch vụ dodoanh nghiệp hoặc cơ quan nhà nước cung cấp trên môi trường mạng cho các

Điều 4. Nguyên tắcbảo đảm an toàn hệ thống thông tin theo cấp độ

1. Việc bảo đảm an toàn hệ thốngthông tin theo cấp độ trong hoạt động của cơ quan, tổ chức được thực hiện thường xuyên, liên tục từ khâu thiết kế, xây dựng, vậnhành đến khi hủy bỏ; tuân thủ theo tiêu chuẩn, quy chuẩn kỹ thuật.

2. Việc bảo đảm an toàn hệ thống thôngtin theo cấp độ

3. Việc phân bổ, bố trí nguồn lực đểbảo đảm an toàn hệ thống thông tin thực hiện theo thứ tự ưu tiên từ cấp độ caoxuống cấp độ thấp.

Điều 5. Nguyên tắcxác định cấp độ

1. Việc xác

a) Hệ thống thông tin chỉ có một chủquản hệ thống thông tin;

b) Hệ thống thông tin có thể hoạt độngđộc lập, được thiết lập nhằm trực tiếpphục vụ hoặc hỗ trợ hoạt động nghiệp vụ, sản ể của cơ quan, tổ chứcthuộc một trong các loại hình hệ thống thông tin quy định tại khoản 2 Điều 6Nghị định này.

2. Trong trường hợp hệ thống thôngtin bao gồm nhiều ành phần, mỗi hệ thống thành phần lại tương ứng vớimột cấp độ khác nhau, thì cấp độ hệ thống thông tin được xác định là cấp độ cao nhất trong các cấp độ của các hệ thốngthành phần cấu thành.

Chương II

TIÊU CHÍ XÁC ĐỊNHCẤP ĐỘ

Điều 6. Phân loại thông tin và hệ thống thông tin

1. Thông tin xử lý thông qua hệ thốngthông tin được phân loại theo thuộc tính bí mật như sau:

a) Thông tin công cộng là thông tintrên mạng của một tổ chức, cá nhân được công khai cho tấtcả các đối tượng mà không cần xác định danh tính, địa chỉ cụ thể của các đối tượngđó;

b) Thông tin riêng là thông tin trênmạng của một tổ chức, cá nhân mà tổ chức, cá nhân đó không công khai hoặc chỉcông khai cho một hoặc một nhóm đối tượng đã được xác định danhtính, địa chỉ cụ thể;

c) Thông tin cá nhân là thông tintrên mạng gắn với việc xác định danh tính một người cụ thể;

d) Thông tin bí mật nhà nước là thôngtin ở mức Mật, Tối Mật, Tuyệt Mật theo quy định của phápluật về bảo vệ bí mật nhà nước.

2. Hệ thống thông tin được phân loạitheo chức năng phục vụ hoạt động nghiệp vụ như sau:

a) Hệ thống thông tin phục vụ hoạt độngnội bộ là hệ thống chỉ phục vụ hoạt động quản trị, vận hành nội bộ của cơ quan,tổ chức;

b) Hệ thống thông tin phục vụ ngườidân, doanh nghiệp là hệ thống trực tiếp hoặc hỗ trợ cung cấp dịch vụ trực tuyến,bao gồm dịch vụ công trực tuyến và dịch vụ trực tuyến khác trong các lĩnh vựcviễn thông, công ng

c) Hệ thống cơ sở hạ tầng thông tinlà tập hợp trang thiết bị, đường truyền dẫn kết nối phục vụ chung hoạt động củanhiều cơ quan, tổ chức như mạng diện rộng, cơ sở dữ liệu, trung tâm dữ liệu, điệntoán đám mây; xác thực điện tử, chứng thực điện tử, chữ ký số; kết nối liênthông các hệ thống thông tin;

d) Hệ thống thông tin điều khiển côngnghiệp là hệ thống có chức năng giám sát, thu thập dữ liệu, quản lý và kiểm soát các hạng mục quan trọng phục vụ điều khiển, vận hành hoạt động bình thường của các công trình xây dựng;

đ) Hệ thống thông tin khác.

Điều 7. Tiêu chíxác định cấp độ 1

Hệ thống thông tin cấp độ 1 là hệ thốngthông tin phục vụ hoạt động nội bộ của cơ quan,

Điều 8. Tiêu chíxác định cấp độ 2

Hệ thống thông tin cấp độ 2 là hệ thốngthông tin có một trong các tiêu chí cụ thể như sau:

1. Hệ thống thông tin phục vụ hoạt độngnội bộ của cơ quan, tổ chức và có xử lý thông tin riêng, thông tin cá nhân củangười sử dụng nhưng không xử lý thông tin bí mật nhà nước.

2. Hệ thống thông tin phục vụ ngườidân, doanh nghiệp thuộc một trong các loại hình như sau:

a) Cung cấp thông tin và dịch vụ côngtrực tuyến từ mức độ 2 trở xuống theo quy định của pháp luật;

b) Cung cấp dịch vụ trực tuyến khôngthuộc danh mục dịch vụ kinh doanh có điều kiện;

c) Cung cấp dịch vụ trực tuyến khác cóxử lý thông tin riêng, thông tin cá nhân của dưới 10.000 người sử dụng.

3. Hệ thống cơ sở hạ tầng thông tinphục vụ hoạt động của một cơ quan, tổ chức.

Điều 9. Tiêu chíxác định cấp độ 3

Hệ thống thông tin cấp độ 3 là hệ thốngthông tin có một

1. Hệ thống thông tin xử lý thông tinbí mật nhà nước hoặc hệ thống phục vụ ổn hại tới

2. Hệ thống thông tin phục vụ ngườidân, doanh nghiệp thuộc một

a) Cung cấp thông tin và dịch vụ côngtrực tuyến từ mức độ 3 trở lên theo quy định của pháp luật;

b) Cung cấp dịch vụ trực tuyến thuộcdanh mục dịch vụ kinh doanh có điều kiện;

c) Cung cấp dịch vụ trực tuyến kháccó xử lý thông tin riêng, thông tin cá nhân của từ 10.000 người sử dụng trởlên.

3. Hệ thống cơ sở hạ tầng thông tindùng chung phục vụ hoạt động của các cơ quan, tổ chức

4. Hệ thống thông tin điều khiển côngnghiệp trực tiếp phục vụ điều khiển, vận hành hoạt động bình thường của cáccông trình xây dựng cấp II, cấp III hoặc cấp IV theo phân cấp của pháp luật vềxây dựng.

Điều 10. Tiêuchí xác định cấp độ 4

Hệ thống thông tin cấp độ 4 là hệ thốngthông tin có một trong các tiêu chí cụ thể như sau:

1. Hệ thống thông tin xử lý thông tinbí mật nhà nước hoặc hệ thống phục vụ quốc phòng, an ninh, khi bị phá hoại sẽlàm tổn hại nghiêm trọng quốc phòng, an ninh quốc gia.

2. Hệ thống thông tin quốc gia phục vụphát triển Chính phủ điện tử, yêu cầu vận hành 24/7 và không chấp nhận ngừng vậnhành mà không có kế hoạch trước.

3. Hệ thống cơ sở hạ tầng thông tindùng chung phục vụ hoạt động của các cơ quan, ầu vận hành 24/7 và không chấp nhận ngừng vận hành mà không có kế hoạchtrước.

4. Hệ thống thông tin điều khiển côngnghiệp trực tiếp phục vụ điều khiển, vận hành hoạt động bình thường của cáccông trình xây dựng cấp I theo phân

Điều 11. Tiêuchí xác định cấp độ 5

Hệ thống thông tin cấp độ 5 là hệ thốngthông tin có một trong các tiêu chí cụ thể như sau:

1. Hệ thống thông tin xử lý thông tinbí mật nhà nước hoặc hệ thống phục vụ quốc phòng, an ninh, khi bị phá hoại sẽlàm tổn hại đặc biệt nghiêm trọng tới

2. Hệ thống thông tin phục vụ lưu trữdữ liệu tập trung đối với một số loại hình thông tin, dữ liệu đặc biệt quan trọngcủa quốc gia.

3. liên thông hoạt động của Việt Nam với quốc tế.

4. Hệ thống thông tin điều khiển côngnghiệp trực tiếp phục vụ điều khiển, vận hành hoạt động bình thường của côngtrình xây dựng cấp đặc biệt theo phân cấp của pháp luật về xây dựng hoặc công trình quan trọng liên quan đến an ninh quốc gia theo pháp luật về an ninhquốc gia.

5. Hệ thống thông tin khác theo quyếtđịnh của Thủ tướng Chính phủ.

Chương III

THẨM QUYỀN,TRÌNH TỰ, THỦ TỤC XÁC ĐỊNH CẤP ĐỘ

Điều 12. Thẩmquyền thẩm định và phê duyệt cấp độ

1. Đối với hệ thống thông tin được đềxuất là cấp độ 1 hoặc cấp độ 2:

Đơn vị chuyên trách về an toàn thôngtin của chủ quản hệ thống thông tin thực hiện thẩm định,phê duyệt hồ sơ đề xuất cấp độ đối với hệ thống thông tin được đề xuất là cấp độ 1 hoặc cấp độ 2.

2. Đối với hệ thống thông tin được đềxuất là cấp độ 3:

a)

b) Chủ quản hệ thống thông tin phêduyệt hồ sơ đề xuất cấp độ.

3. Đối với hệ thống thông tin được đềxuất là cấp độ 4 hoặc cấp độ 5:

a) Bộ Thông tin và Truyền thông chủtrì, phối hợp với Bộ Quốc phòng, Bộ Công an và các bộ, ngành liên quan thực hiệnthẩm định hồ sơ đề xuất cấp độ, trừ trường hợp quy định tại điểm b và điểm ckhoản 3 Điều này;

b) Bộ Quốc phòng chủ trì, phối hợp vớiBộ Thông tin và Truyền thông và bộ, ngành liên quan thực hiện thẩm định hồ sơ đềxuất cấp độ đối với hệ thống thông tin do Bộ Quốc phòng quản lý;

c) Bộ Công an chủ trì, phối hợp với BộThông tin và Truyền thông và bộ, ngành liên quan thực hiện thẩm định hồ sơ đềxuất cấp độ đối với hệ thống thông tin do Bộ Công an quản lý;

d) Chủ quản hệ thống thông tin phêduyệt hồ sơ đề xuất cấp độ đối với hệ thống thông tin cấp độ 4; phê duyệtphương án bảo đảm an toàn thông tin đối với hệ thống thông tin cấp độ 5;

đ) Thủ tướng Chính phủ phê duyệt Danhmục hệ thống thông tin cấp độ 5 (Danh mục hệ thống thông tin quan trọng quốcgia).

Điều 13. Trình tự,thủ tục xác định cấp độ đối với dự án đầu tư xây dựng mới hoặc mở rộng, nâng cấphệ thống thông tin

1. Chủ đầu tư xây dựng thuyết minh đềxuất cấp độ, lồng ghép vào nội dung của báo cáo nghiên cứu khả thi, dự án khảthi ứng dụng công ng

2. Trong trường hợp thuê dịch vụ côngng

3. Tài liệu thuyết minh đề xuất cấp độtheo quy định tại Điều 15 Nghị định này.

Điều 14. Trình tự,thủ tục xác định cấp độ đối với hệ thống thông tin đang vận hành

1. Lập hồ sơ đề xuất cấp độ:

a)

b) Đối với hệ thống thông tin được đềxuất là cấp độ 1 hoặc cấp độ 2:

Đơn vị vận hành hệ thống thông tin gửihồ sơ đề xuất cấp độ tới đơn vị thẩm định để thực hiện thẩm định theo quy địnhtại khoản 1 Điều 12 Nghị định này;

c) Đối với hệ thống thông tin được đềxuất là cấp độ 3:

Đơn vị vận hành hệ thống thông tin gửihồ sơ đề xuất cấp độ tới đơn vị thẩm định để thực hiện thẩm định theo quy địnhtại điểm a khoản 2 Điều 12 Nghị định này;

d) Đối với hệ thống thông tin được đềxuất là cấp độ 4 hoặc cấp độ 5:

- Đơn vị vận hành hệ thống thông tingửi hồ sơ đề xuất cấp độ tới ợp của đề xuất cấp độ và phương án bảođảm an toàn hệ thống thông tin theo cấp độ;

- Đơn vị vận hành hệ thống thông tintrình chủ quản hệ thống thông tin hồ sơ đề xuất cấp độ gửi tới cơ quan thẩm địnhquy định tại điểm a, điểm b hoặc điểm c khoản 3 Điều 12 Nghị định này.

2. Thẩm định hồ sơ đề xuất cấp độ:

Cơ quan có thẩm quyền thực hiện thẩmđịnh hồ sơ đề xuất cấp độ theo quy định tại Điều 16 Nghị định này.

3. Phê duyệt đề xuất cấp độ:

a) Đối với hệ thống thông tin được đềxuất là cấp độ 1 hoặc cấp độ 2:

Đơn vị chuyên trách về an toàn thôngtin của chủ quản hệ thống thông tin phê duyệt đề xuất cấp độ, gửi báo cáo chủquản hệ thống thông tin;

b) Đối với hệ thống thông tin được đềxuất là cấp độ 3 hoặc cấp độ 4:

Đơn vị vận hành hệ thống thông tin trìnhchủ quản hệ thống thông tin phê duyệt đề xuất cấp độ;

c) Đối với hệ thống thông tin được đềxuất là cấp độ 5:

- Trên cơ sở kết quả thẩm định hồ sơđề xuất cấp độ, Bộ Thông tin và Truyền thông chủ trì, phối hợp với Bộ Quốcphòng, Bộ Công an và bộ, ngành có liên quan trình Thủ tướng Chính phủ phê duyệtDanh mục

- Đơn vị vận hành hệ thống thông tintrình chủ quản hệ thống thông tin phê duyệt phương án bảođảm an toàn thông tin.

Điều 15. Hồ sơ đềxuất cấp độ

Hồ sơ đề xuất cấp độ bao gồm:

1. Tài liệu mô tả, thuyết minh tổngquan về hệ thống thông tin.

2. Tài liệu thiết kế là một trong nhữngtài liệu sau:

a) Đối với dự án đầu tư xây dựng mớihoặc mở rộng, nâng cấp hệ thống thông tin: Thiết kế sơ bộ hoặc tài liệu có giátrị tương đương;

b) Đối với hệ thống thông tin đang vậnhành: Thiết kế thi công đã được cấp có thẩm quyền phê duyệt hoặc tài liệu cógiá trị tương đương.

3. Tài liệu thuyết minh về việc đề xuấtcấp độ căn cứ trên các tiêu chí theo quy định của pháp luật.

4. Tài liệu thuyết minh phương án bảođảm an toàn thông tin theo cấp độ tương ứng.

5. Ý kiến về mặt chuyên môn của đơn vịchuyên trách về an toàn thông tin của chủ quản hệ thống thông tin đối với hệ thốngthông tin đề xuất cấp độ 4 hoặc cấp độ 5.

Điều 16. Thẩm địnhhồ sơ đề xuất cấp độ

1. Nội dung thẩm định hồ sơ đề xuất cấpđộ:

a) Sự phù hợp về việc đề xuất cấp độ;

b) Sự phù hợp của phương án bảo đảman toàn hệ thống thông tin trong thiết kế sơ bộ, thiết kế thi công hoặc tài liệucó giá trị tương đương theo cấp độ tương ứng;

c) Sự phù hợp của phương án bảo đảman toàn hệ thống thông tin trong quá trình vận hành hệ thống theo cấp độ tương ứng.

2. Thời gian thẩm định hồ sơ xác địnhcấp độ:

a) Đối với hệ thống thông tin đề xuấtcấp độ 3, thời gian thẩm định tối đa là 15 ngày kể từ ngày nhận đủ hồ sơ hợp lệ;

b) Đối với hệ thống thông tin đề xuấtcấp độ 4 hoặc cấp độ 5, thời gian thẩm định tối đa là 30 ngày kể từ ngày nhận đủhồ sơ hợp lệ.

Điều 17. Hồ sơphê duyệt đề xuất cấp độ

1. Hồ sơ phê duyệt đề xuất cấp độ baogồm:

a) Hồ sơ đề xuất cấp độ;

b) Ý kiến thẩm định của cơ quan chủtrì thẩm định đối với hệ thống thông tin đề xuất từ cấp độ 3 trở lên.

2. Thời gian xử lý hồ sơ phê duyệt cấpđộ:

Thời gian xử lý tối đa là 07 ngày làmviệc kể từ ngày nhận đủ hồ sơ hợp lệ.

Điều 18. Trình tự,thủ tục xác định lại cấp độ đối với hệ thống thông tin đã được phê duyệt cấp độ

Đối với hệ thống thông tin đã đượcphê duyệt cấp độ, trong

Chương IV

TRÁCH NHIỆM BẢOĐẢM AN TOÀN HỆ THỐNG THÔNG TIN

Điều 19. Phương án bảo đảm an toàn hệ thống thông tintheo cấp độ

1. Phương án bảo đảm an toàn hệ thốngthông tin phải đáp ứng yêu cầu cơ bản trong tiêu chuẩn, quy chuẩn kỹ thuật về bảođảm an toàn hệ thống thông tin theo cấp độ.

2. Phương án bảo đảm an toàn hệ thốngthông tin bao gồm các nội dung sau đây:

a) Bảo đảm an toàn hệ thống thông tintrong khâu thiết kế, xây dựng;

b) Bảo đảm an toàn hệ thống thông tintrong quá trình vận hành;

c) Kiểm tra, đánh giá an toàn thôngtin;

d) Quản lý rủi ro an toàn thông tin;

đ) Giám sát an toàn thông tin;

e) Dự phòng, ứng cứu sự cố, khôi phụcsau thảm họa;

g) Kết thúc vậnhành, khai thác, thanh lý, hủy bỏ.

Điều 20. Tráchnhiệm của chủ quản hệ thống thông tin

1. Người đứng đầu của cơ quan, tổ chứclà chủ quản hệ thống thông tin có trách nhiệm:

a) Trực tiếp

b) Trong trường hợp chưa có đơn vịchuyên trách về an toàn thông tin độc lập:

- Chỉ định đơn vị chuyên trách vềcông ng

- Thành lập hoặc chỉ định bộ phậnchuyên trách về an toàn thông tin trực thuộc đơn vị chuyên trách về công ng

2. Chủ quản hệ thống thông tin cótrách nhiệm:

a) Chỉ đạo đơn vị vận hành hệ thốngthông tin lập hồ sơ đề xuất cấp độ; tổ chức thẩm định, phê duyệt hồ sơ đề xuấtcấp độ theo quy định Nghị định này;

b) Chỉ đạo, tổ chức thực hiện phươngán bảo đảm an toàn hệ thống thông tin theo cấp độ đối với hệ thống thông tinthuộc phạm vi mình quản lý theo quy định tại Điều 25, 26và 27 của Luật an toàn thông tin mạng, Nghị định này và quy định của pháp luậtliên quan;

c) Chỉ đạo, tổ chức thực hiện kiểmtra, đánh giá an toàn thông tin và quản lý rủi ro an toàn thông tin trong phạmvi cơ quan, tổ chức mình, cụ thể như sau:

- Định kỳ 02 năm thực hiện kiểm tra, đánh giá an toàn thông tin và quản lý rủi ro an toàn thông tin tổngthể trong hoạt động của cơ quan, tổ chức mình;

- Định kỳ hàng năm thực hiện kiểmtra, đánh giá an toàn thông tin và quản lý rủi ro an toàn thông tin đối với cáchệ thống cấp độ 3 và cấp độ 4;

- Định kỳ 06 tháng (hoặc đột xuất khithấy cần thiết hoặc theo yêu cầu, cảnh báo của cơ quan chức năng) thực hiện kiểmtra, đánh giá an toàn thông tin và quản lý rủi ro an toàn thông tin đối với hệthống cấp độ 5;

- Việc kiểm tra, đánh giá an toànthông tin và đánh giá rủi ro an toàn thông tin đối với hệ thống từ cấp độ 3 trởlên phải do tổ chức chuyên môn được cơ quan có thẩm quyền cấp phép; tổ chức sựnghiệp nhà nước có chức năng, nhiệm vụ phù hợp hoặc do tổ chức chuyên môn đượccấp có thẩm quyền chỉ định thực hiện.

d) Chỉ đạo, tổ chức thực hiện đào tạongắn hạn, tuyên truyền, phổ biến, nâng cao nhận thức và diễn tập về an toànthông tin, cụ thể như sau:

- Đào tạo, bồi dưỡng theo các chươngtrình đào tạo ngắn hạn nâng cao kiến thức, kỹ năng về an toàn thông tin cho cánbộ, công chức, viên chức làm về an toàn thông tin trong cơ quan, tổ chức mình;

- Tuyên truyền, phổ biến nâng cao nhậnthức về an toàn thông tin cho cán bộ, công chức, viên chức trong cơ quan, tổ chứcmình;

- Diễn tập bảo đảm an toàn thông tintrong hoạt động của cơ quan, tổ chức mình; tham gia diễn tập quốc gia và diễn tậpquốc tế do Bộ Thông tin và Truyền thông tổ chức.

đ) Chỉ đạo đơn vị vận hành hệ thốngthông tin phối hợp với đơn vị chức năng liên quan của Bộ Thông tin và Truyềnthông trong việc triển khai thiết bị, kết nối tới hệ thống kỹ thuật xử lý, giảmthiểu tấn công mạng, hỗ trợ giám sát an toàn thông tin cho hệ thống thông tincung cấp dịch vụ công trực tuyến, phát triển chính phủ điện tử.

Điều 21. Trách nhiệm của đơn vị chuyên trách về antoàn thông tin của chủ quản hệ thống thông tin

1. Tham mưu,

2. Thẩm định, phê duyệt hoặc cho ý kiếnvề mặt chuyên môn đối với hồ sơ đề xuất cấp độ theo thẩm quyền quy định tại khoản1, khoản 2 Điều 12 và khoản 5 Điều 15 Nghị định này.

Điều 22. Tráchnhiệm của đơn vị vận hành hệ thống thông tin

Đơn vị vận hành hệ thống thông tin cótrách nhiệm:

1. Thực

2. Thực hiện bảo vệ hệ thống thôngtin theo quy định của pháp luật và hướng dẫn, tiêu chuẩn, quy chuẩn an toànthông tin;

3. Định kỳ đánh giá hiệu quả của các biệnpháp bảo đảm an toàn thông tin, báo cáo chủ quản hệ thống thông tin điều chỉnhnếu cần thiết;

4. Định kỳ hoặc đột xuất báo cáo côngtác thực thi bảo đảm an toàn hệ thống thông tin theo yêu cầu của chủ quản hệ thốngthông tin hoặc cơ quan quản lý nhà nước chuyên ngành có thẩm quyền;

5. Phối hợp, thực hiện theo yêu cầu củacơ quan chức năng liên quan của Bộ Thông tin và Truyền thông trong công tác bảođảm an toàn thông tin.

Điều 23. Tráchnhiệm của cơ quan quản lý nhà nước

1. Bộ Thông tin và Truyền thông cótrách nhiệm:

a) Thực hiện thẩm định hồ sơ đề xuấtcấp độ theo thẩm quyền quy định tại điểm a khoản 3 Điều 12 Nghị định này;

b) Xây dựng dự thảo tiêu chuẩn quốcgia, ban hành quy chuẩn kỹ thuật quốc gia về bảo đảm an toàn thông tin theo cấpđộ;

c) Hướng dẫn chi tiết việc xác định hệthống thông tin quy định tại khoản 2 Điều 6 Nghị định này;

d) Ban hành quy định, văn bản hướng dẫnvề bảo đảm an toàn hệ thống thông tin theo cấp độ; quy định về đánh giá, chứngnhận hợp chuẩn,

đ) Hướng dẫn các cơ quan, tổ chức thựchiện đào tạo ngắn hạn, tuyên truyền, phổ biến nâng cao nhận thức và diễn tập vềan toàn thông tin;

e) Quy định chi tiết về kiểm tra,đánh giá an toàn thông tin và quản lý rủi ro an toàn thông tin trong hoạt độngcủa cơ quan, tổ chức nhà nước, trừ trường hợp quy định tại điểm d khoản 2 và điểmd khoản 3 Điều này;

g) Triển khai các hệ thống hạ tầng kỹthuật tập trung quy mô quốc gia để xử lý, giảm thiểu tấn công mạng, hỗ trợ giámsát an toàn thông tin cho hệ thống thông tin cung cấp dịch vụ công trực tuyến,phát triển Chính phủ điện tử.

2. Bộ Quốc phòng có trách nhiệm:

a) Thực hiện thẩm định phương án bảođảm an toàn thông tin trong hồ sơ đề xuất cấp độ theo thẩm quyền quy định tạiđiểm b khoản 3 Điều 12 Nghị định này;

b) Xây dựng dự thảo tiêu chuẩn, banhành quy chuẩn kỹ thuật, hướng dẫn về bảo đảm an toàn đối với hệ thống thôngtin thuộc phạm vi quản lý;

c) Hướng dẫn về tiêu chí quy định tạikhoản 1 Điều 9, khoản 1 Điều 10 và khoản 1 Điều 11 Nghị định này theo chứcnăng, nhiệm vụ được phân công;

d) Quy định chi tiết về kiểm tra,đánh giá an toàn thông tin và quản lý rủi ro an toàn thông tin trong hoạt độngcủa Bộ Quốc phòng.

3. Bộ Công an có trách nhiệm:

a) Thực hiện thẩm định phương án bảođảm an toàn thông tin trong hồ sơ đề xuất cấp độ theo thẩm quyền quy định tạiđiểm c khoản 3 Điều 12 Nghị định này;

b) Xây dựng dự thảo tiêu chuẩn, banhành quy chuẩn kỹ thuật, hướng dẫn về bảo đảm an toàn đối với hệ thống thôngtin thuộc phạm vi quản lý;

c) Hướng dẫn về tiêu chí quy định tạikhoản 1 Điều 9, khoản 1 Điều 10 và khoản 1 Điều 11 Nghị định này theo chứcnăng, nhiệm vụ được phân công;

d) Quy định chi tiết về kiểm tra,đánh giá an toàn thông tin và quản lý rủi ro an toàn thông tin trong hoạt độngcủa Bộ Công an.

Điều 24. Kinh phí bảo đảm an toàn thông tin

1. Kinh phí thực hiện yêu cầu về antoàn thông tin theo cấp độ

2. Kinh phí đầu tư cho an toàn thông tinsử dụng vốn đầu tư công thực hiện theo quy định của Luật đầu tư công. Đối với dựán đầu tư công để xây dựng mới hoặc mở rộng, nâng cấp hệ thống thông tin, kinhphí đầu tư cho an toàn thông tin theo cấp độ được bố trí trong vốn đầu tư của dựán tương ứng.

3. Kinh phí thực hiện giám sát, đánhgiá, quản lý rủi ro an toàn thông tin; đào tạo ngắn hạn, tuyên truyền, phổ biếnnâng cao nhận thức, diễn tập an toàn thông tin và ứng cứu sự cố của cơ quan, tổchức nhà nước được cân đối bố trí

4. Bộ Tài chính hướng dẫn mục chi chocông tác bảo đảm an toàn thông tin trong dự toán ngân sách, hướng dẫn quản lývà sử dụng kinh phí sự nghiệp chi cho công tác bảo đảm an toàn thông tin tronghoạt động của các cơ quan, tổ chức nhà nước.

5. Căn cứ nhiệm vụ được giao, cơquan, tổ chức nhà nước thực hiện lập dự toán, quản lý, sử dụng và quyết toánkinh phí thực hiện nhiệm vụ bảo đảm an toàn thông tin theo quy định của Luậtngân sách nhà nước.

Chương V

ĐIỀU KHOẢN THIHÀNH

Điều 25. Hiệu lựcthi hành

Nghị định này có hiệu lực thi hành từngày 01 tháng 7 năm 2016.

Điều 26. Tổ chứcthực hiện

1. Bộ Thông tin và Truyền thông chịutrách nhiệm hướng dẫn, kiểm tra việc thực hiện Nghị định này.

2. Các Bộ trưởng, Thủ trưởng cơ quanngang bộ, Thủ trưởng cơ quan thuộc Chính phủ, Chủ tịch .


- Ban Bí thư Trung ương Đảng;nh, thành phố trực thuộc trung ương;Cổng TTĐT, các Vụ, Cục, đơn vị trực thuộc, Công báo;VT, KGVX (3).

TM. CHÍNH PHỦTHỦ TƯỚNG




N
guyễn Xuân Phúc

PHỤ LỤC

MẪU VĂN BẢN XÁC ĐỊNH CẤP ĐỘ AN TOÀN HỆ THỐNG THÔNGTIN
(Kèm theo Nghị định số 85/2016/NĐ-CP ngày 01tháng 7 năm 2016 của Chính phủ)

Mẫu số 01

Văn bản đề nghị thẩm định, phê duyệt hồ sơ đề xuất cấp độ

Mẫu số 02

Văn bản đề nghị thẩm định hồ sơ đề xuất cấp độ

Mẫu số 03

Văn bản xin ý kiến chuyên môn về hồ sơ đề xuất cấp độ

Mẫu số 04

Ý kiến thẩm định hồ sơ đề xuất cấp độ

Mẫu số 05

Tờ

Mẫu số 06

Quyết định phê duyệt cấp độ an toàn hệ thống thông tin

Mẫu số 07

Quyết định phê duyệt phương án bảo đảm an toàn thông tin

Mẫu số 01

(TÊN CƠ QUAN, TỔ CHỨC)

CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM

Số: ………..
V/v đề nghị thẩm định, phê duyệt hồ sơ đề xuất cấp độ

….., ngày ...

Kính gửi:(Đơn vị chuyên trách về an toàn thông tin).

Căn cứ Luật an toàn thông tin mạngngày 19 tháng 11 năm 2015;

(Căn cứ các văn bản hướng dẫn thi hành Luậtan toàn thông tin mạng và các văn bản liên quan);

(Tên cơ quan, tổ chức) đề nghị thẩm định,phê duyệt hồ sơ đề xuất cấp độ với các nội dung sau:

Phần 1. Thông tin chung

1. Tên hệ thống thông tin;

2. Đơn vị vận hành hệ thống thôngtin:

3. Địa chỉ:

4. Cấp độ an toàn hệ thống thông tinđề xuất:

Phần 2. Hồ sơ kèm theo

1. Tài liệu mô tả, thuyết minh tổngquan về hệ thống thông tin.

2. Tài liệu thiết kế thi công đã đượccấp có thẩm quyền phê duyệt hoặc tài liệu có giá trị tương đương.

3. Tài liệu thuyết minh về việc đề xuấtcấp độ căn cứ trên các tiêu chí theo quy định của pháp luật.

4. Tài liệu thuyết minh phương án bảođảm an toàn thông tin theo cấp độ tương ứng.

(Tên cơ quan, tổ chức) đề nghị (Đơn vịchuyên trách về an toàn thông tin) thẩm định và phê duyệt hồ sơ đề xuất cấp độcủa hệ thống thông tin (Tên hệ thống thông tin)./.


- Như trên;
- …………..

ĐẠI DIỆN CỦA CƠ QUAN, TỔ CHỨC(Ký, ghi rõ họ tên, chức danh và đóng dấu)

Mẫu số 02

(TÊN CƠ QUAN, TỔ CHỨC)

CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM

Số: ………..
V/v đề nghị thẩm định hồ sơ đề xuất cấp độ

….., ngày ...

Kính gửi:(Đơn vị chuyên trách về an toàn thông tin)

Căn cứ Luật an toàn thông tin mạngngày 19 tháng 11 năm 2015;

(Căn cứ các

(Tên cơ quan, tổ chức) đề nghị (Cơquan thẩm định) thẩm định hồ sơ đề xuất cấp độ với các nội dung sau:

Phần 1. Thông tin chung

1. Tên hệ thống thông tin:

2. Đơn vị vận hành hệ thống thôngtin:

3. Địa chỉ:

4. Cấp độ an toàn hệ thống thông tinđề xuất:

Phần 2. Hồ sơ kèm theo

1. Tài liệu mô tả, thuyết minh tổngquan về hệ thống thông tin.

2. Tài liệu thiết kế thi công đã đượccấp có thẩm quyền phê duyệt hoặc tài liệu có giá trị tương đương.

3. Tài liệu thuyết minh về việc đề xuấtcấp độ căn cứ trên các tiêu chí theo quy định của pháp luật.

4. Tài liệu thuyết minh phương án bảođảm an toàn thông tin theo cấp độ tương ứng.

5. Ý kiến về mặt chuyên môn của đơn vịchuyên trách về an toàn thông tin của chủ quản hệ thống thông tin (đối với hệthống thông tin đề xuất cấp độ 4 hoặc cấp độ 5).

(Tên cơ quan, tổ chức) đề nghị (Cơquan thẩm định) cho ý kiến thẩm định hồ sơ đề xuất cấp độan toàn hệ thống thông tin đối với (Tên hệ thống thông tin)./.


- Như trên;
- …………..

ĐẠI DIỆN CỦA CƠ QUAN, TỔ CHỨC(Ký, ghi rõ họ tên, chức danh và đóng dấu)

Mẫu số 03

(TÊN CƠ QUAN, TỔ CHỨC)

CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM

Số: ………..
V/v xin ý kiến chuyên môn về hồ sơ đề xuất cấp độ

….., ngày ...

Kính gửi:(Đơn vị chuyên trách về an toàn thông tin)

Căn cứ Luật an toàn thông tin mạngngày 19 tháng 11 năm 2015;

(Căn cứ các văn bản hướng dẫn thihành Luật an toàn thông tin mạng và các

(Tên cơ quan, tổ chức) đề nghị (

Phần 1. Thông tin chung

1. Tên hệ thống thông tin:

2. Đơn vị vận hành hệ thống thôngtin:

3. Địa chỉ:

4. Cấp độ an toàn hệ thống thông tinđề xuất:

Phần 2. Hồ sơ kèm theo

1. Tài liệu mô tả, thuyết minh tổngquan về hệ thống thông tin.

2. Tài liệu thiết kế thi công đã đượccấp có thẩm quyền phê duyệt hoặc tài liệu có giá trị tương đương.

3. Tài liệu thuyết minh về việc đề xuấtcấp độ căn cứ trên các tiêu chí theo quy định của pháp luật.

4. Tài liệu thuyết minh phương án bảođảm an toàn thông tin theo cấp độ tương ứng.

(Tên cơ quan, tổ chức) đề nghị (Đơn vịchuyên trách về an toàn thông tin) cho ý kiến về sự phù hợp của đề xuất cấp độvà phương án bảo đảm an toàn hệ thống thông tin theo cấp độ của hệ thống thôngtin (Tên hệ thống thông tin)./.


- Như trên;
- …………..

ĐẠI DIỆN CỦA CƠ QUAN, TỔ CHỨC(Ký, ghi rõ họ tên, chức danh và đóng dấu)

Mẫu số 04

(TÊN CƠ QUAN, TỔ CHỨC)

CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM

Số: ………..
V/v ý kiến thẩm định hồ sơ đề xuất cấp độ

….., ngày ...

Kính gửi:

(Chủ quản hệ thống thông tin/
Đơn vị vận hành hệ thống thông tin).

(Tên cơ quan thẩm định) nhận đượcCông văn số ….. ngày ….. tháng....... năm ….. của (Tên cơ quan đề nghị) về việc thẩm địnhhồ sơ đề xuất cấp độ của hệ thống thông tin đối với (Tên hệthống thông tin). Sau khi xem xét,

Phần 1. Hồ sơ, tài liệu thẩm định

1. Tài liệu mô tả, thuyết minh tổngquan về hệ thống thông tin.

2. Tài liệu thiết kế thi công đã đượccấp có thẩm quyền phê duyệt hoặc tài liệu có giá trị tương đương.

3. Tài liệu thuyết minh về việc đề xuấtcấp độ căn cứ trên các tiêu chí theo quy định của pháp luật.

4. Tài liệu thuyết minh phương án bảođảm an toàn thông tin theo cấp độ tương ứng.

5. Ý kiến về mặt chuyên môn của ccấp độ 5.

Phần 2. Căn cứ pháp lý để thẩm định

1. Căn cứ Luật an toàn thông tin mạngngày 19 tháng 11 năm 2015.

2. Căn cứ các văn bản hướng dẫn thi hành Luật an toàn thông tin mạng.

2. Các căn cứpháp lý khác có liên quan.

Phần 3. Tổ chức thẩm định

1. Đơn vị chủ trì thẩm định:

2. Đơn vị phối hợp thẩm định:

3. Hình thức thẩm định: Tổ chức họp hoặclấy ý kiến bằng văn bản hoặc áp dụng cả hai hình thức (nếucần thiết).

Phần 4. ý kiến thẩm định

1. Tổng hợp ý kiến thẩm địnhcủa đơn vị phối hợp theo quy định tại khoản 3 Điều 12 Nghịđịnh này.

2. Ý kiến thẩm định về sự phù hợp về việc đề xuất cấp độ theo quy định tại Điều 16Nghị định này.

3. Ý kiến khác (nếu có).

Phần 5. Kết luận

Hồ sơ đề xuất cấp độ hệ thống thôngtin là phù hợp/chưa phù hợp (nếu chưa phù hợp đề nghị chỉ rõ những nội dungchưa phù hợp) để theo cấp độ đề xuất.

Trên đây là ý kiếnthẩm định của (Cơ quan thẩm định) cho hồ sơ đề xuất cấp độ ông tin(Tên hệ thống thông tin). Đề nghị cơ quan (Tên cơquan đề nghị) xem xét báo cáo cấp có thẩm quyền điều chỉnh (nếu yêu cầu điều chỉnh)hoặc trình cơ quan có thẩm quyền phê duyệt (nếu chấp thuận đề xuất của cơ quantrình)./.


- Như trên;
- …………..

ĐẠI DIỆN CỦA CƠ QUAN, TỔ CHỨC(Ký, ghi rõ họ tên, chức danh và đóng dấu)

Mẫu số 05

(TÊN CƠ QUAN, TỔ CHỨC)

CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM

Số: ………..

….., ngày ...

TỜ TRÌNH

Về việc phê duyệt đề xuất cấp độ

Kính gửi:(Cơ quan liên quan có thẩm quyền).

Căn cứ Luật an toàn thông tin mạngngày 19 tháng 11 năm 2015;

(Căn cứ các ướng dẫn thi hành Luật an toànthông tin mạng và các văn bản liên quan);

Căn cứ ý kiến thẩm định của đơnvị chuyên trách về công ng

(Tên cơ quan, tổ chức) trình phê duyệthồ sơ đề xuất cấp độ

Phần 1. Thông tin chung

1. Tên hệ thống thông tin:

2. Đơn vị vận hành hệ thống thôngtin:

3. Địa chỉ:

4. Cấp độ an toàn hệ thống thông tinđề xuất:

Phần 2. Hồ sơ kèm theo

1. Tài liệu mô tả, thuyết minh tổngquan về hệ thống thông tin.

2. Tài liệu thiết kế thi công đã đượccấp có thẩm quyền phê duyệt hoặc tài liệu có giá trị tương đương.

3. Tài liệu thuyết minh về việc đề xuấtcấp độ căn cứ trên các tiêu chí theo quy định của pháp luật.

4. Tài liệu thuyết minh phương án bảođảm an toàn thông tin theo cấp độ tương ứng.

5. Ý kiến về mặt chuyên môn của đơn vịchuyên trách về an toàn thông tin của chủ quản hệ thống thông tin đối với hệ thốngthông tin đề xuất cấp độ 4 hoặc cấp độ 5.

6. Ý kiến thẩm định của cơ quan chủtrì thẩm định đối với hệ thống thông tin đề xuất từ cấp độ 3 trở lên.

(Tên cơ quan) trình (Chủ quản hệ thốngthông tin) xem xét, quyết định phê duyệt đề xuất cấp độ của hệ thống thông tin(Tên hệ thống thông tin)./.


- Như trên;
- …………..

ĐẠI DIỆN CỦA CƠ QUAN, TỔ CHỨC(Ký, ghi rõ họ tên, chức danh và đóng dấu)

Mẫu số 06

(CHỦ QUẢN HỆ THỐNG
THÔNG TIN
)

CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM

Số: ………..

….., ngày ...

QUYẾT ĐỊNH

Về việc phê duyệt cấp độ an toàn hệ thống thông tin

(THỦTRƯỞNG CƠ QUAN TỔ CHỨC)

Căn cứ Luật an toàn thông tin mạngngày 19 tháng 11 năm 2015;

(Căn cứ các văn bản hướng dẫn thihành Luật an toàn thông tin mạng và các văn bản liên quan);

Xét đề nghị của cơ quan (Tên

QUYẾT ĐỊNH:

Điều 1. Phê

1. Thông tin chung

a) Tên hệ thống thông tin:

b) Đơn vị vậnhành hệ thống thông tin:

c) Địa chỉ:

2. Cấp độ an toàn hệ thống thông tin:(cấp độ)

3. Phương án bảo đảm an toàn thôngtin:

a) Phương án bảo đảm an toàn thôngtin trong thiết kế hệ thống thông tin tương ứng với cấp độ (cấp độ) là phù hợpvới tiêu chuẩn quốc gia (Tên tiêu chuẩn), quy chuẩn kỹ thuật quốc gia (Tên quychuẩn) về bảo đảm an toàn hệ thống thông tin theo cấp độ.

b) Phương án bảo đảm an toàn thôngtin trong quá trình vận hành hệ thống tương ứng với cấp độ (cấp độ) là phù hợp vớitiêu chuẩn quốc gia (Tên tiêu chuẩn), quy chuẩn kỹ thuật quốc gia (Tên quy chuẩn)về bảo đảm an toàn hệ thống thông tin theo cấp độ.

Điều 2. Tổ chức thực hiện

1. Cơ quan (Tên đơn vị đề nghị) chịutrách nhiệm:

a) Thực hiện trách nhiệm bảo đảm antoàn hệ thống thông tin mình quản lý theo các quy định tại Điều 22 Nghị địnhnày.

b) Các nội dung khác (nếu có).

2. Trách nhiệm của các cơ quan liênquan khác (nếu có).

Điều 3. Điều khoản thi hành

1. Cơ quan (Tênđơn vị đề xuất) và các cơ quan liên quan khác chịu trách nhiệm thi hành

2. Đơn vị chuyên trách về an toànthông tin chịu trách nhiệm kiểm tra, giám sát việc thực hiện Quyết định này báocáo cơ quan (Chủ quản hệ thống thông tin) theo quy định của pháp luật./.


-…………..;
- …………..

ĐẠI DIỆN CỦA CƠ QUAN, TỔ CHỨC(Ký, ghi rõ họ tên, chức danh và đóng dấu)

Mẫu số 07

(CHỦ QUẢN HỆ THỐNG
THÔNG TIN
)

CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM

Số: ………..

….., ngày ...

QUYẾT ĐỊNH

Về việc phê duyệt phương án bảo đảm an toàn thôngtin

(THỦTRƯỞNG CƠ QUAN TỔ CHỨC)

Căn cứ Luật an toàn thông tin mạngngày 19 tháng 11 năm 2015;

(Căn cứ các văn bản hướng dẫn thi hànhLuật an toàn thông tin mạng và các văn bản liên quan);

Xét đề nghị của cơ quan (Tên

QUYẾT ĐỊNH:

Điều 1. Phê duyệt phương án bảo đảman toàn thông tin đối ệ thống thông tin) cụ thể như sau:

1. Thông tin chung

a) Tên hệ thống thông tin:

b) Đơn vị vận hành hệ thống thôngtin:

c) Địa chỉ:

2. Phương án bảo đảm an toàn thôngtin:

a) Phương án bảo đảm an toàn thôngtin trong thiết kế hệ thống thông tin tương ứng với cấp độ (cấp độ) là phù hợpvới tiêu chuẩn quốc gia (Tên tiêu chuẩn), quy chuẩn kỹ thuật quốc gia (Tên quychuẩn) về bảo đảm an toàn hệ thống thông tin theo cấp độ.

b) Phương án bảođảm an toàn thông tin trong quá trình vận hành hệ thống tương ứng với cấp độ (cấpđộ) là phù hợp với tiêu chuẩn quốc gia (Tên tiêu chuẩn), quy chuẩn kỹ thuật quốcgia (Tên quy chuẩn) về bảo đảm an toàn hệ thống thông tin theo cấp độ.

Điều 2. Tổ chức thực hiện

1. Cơ quan (Tên đơn vị đề nghị) chịutrách nhiệm:

a) Thực hiện trách nhiệm bảo đảm antoàn hệ thống thông tin mình quản lý theo các quy định tại Điều 22 Nghị địnhnày.

b) Các nội dung khác (nếu có).

2. Trách nhiệm của các cơ quan liênquan khác (nếu có).

Điều 3. Điều khoản thi hành

1. Cơ quan (Tên đơn vị đề xuất) vàcác cơ quan liên quan khác chịu trách nhiệm thi hành Quyết định này.

2. Đơn vị chuyên trách về an toànthông tin chịu trách nhiệm kiểm tra, giám sát việc thực hiệnQuyết định này báo cáo cơ quan (Chủ quản hệ thống thông tin) theo quy định củapháp luật./.


-…………..;
- …………..

ĐẠI DIỆN CỦA CƠ QUAN, TỔ CHỨC(Ký, ghi rõ họ tên, chức danh và đóng dấu)