1. Nội dung kiểm tra, đánh giá việc tuân thủ pháp luật bảo đảm an toàn thông tin

Căn cứ theo quy định tại khoản 1 Điều 12 Thông tư 12/2022/TT-BTTTT, nội dung của việc kiểm tra và đánh giá tuân thủ quy định của pháp luật về bảo đảm an toàn hệ thống thông tin theo các cấp độ bao gồm:

- Kiểm tra và đánh giá tuân thủ của Chủ quản hệ thống thông tin theo quy định tại Điều 20 Nghị định 85/2016/NĐ-CP. Các nội dung kiểm tra này bao gồm: Thực hiện việc thành lập/chỉ định đơn vị chuyên trách/bộ phận chuyên trách về an toàn thông tin theo quy định; Lập hồ sơ đề xuất cấp độ, tổ chức thẩm định, phê duyệt Hồ sơ đề xuất cấp độ cho các hệ thống thông tin trong phạm vi quản lý; Triển khai phương án bảo đảm an toàn thông tin theo Hồ sơ đề xuất cấp độ được phê duyệt;  Tổ chức thực hiện kiểm tra, đánh giá an toàn thông tin và quản lý rủi ro an toàn thông tin theo quy định; Tổ chức đào tạo ngắn hạn, tuyên truyền, phổ biến và nâng cao nhận thức về an toàn thông tin.

- Kiểm tra và đánh giá tuân thủ của Đơn vị chuyên trách về an toàn thông tin theo quy định tại Điều 21 Nghị định 85/2016/NĐ-CP. Các nội dung kiểm tra bao gồm: Công tác tham mưu, tổ chức thực thi, đôn đốc, kiểm tra và giám sát công tác bảo đảm an toàn thông tin; Công tác thẩm định, phê duyệt hoặc cho ý kiến chuyên môn đối với Hồ sơ đề xuất cấp độ theo thẩm quyền quy định.

- Kiểm tra và đánh giá tuân thủ của Đơn vị vận hành theo quy định tại Điều 22 Nghị định 85/2016/NĐ-CP.

- Kiểm tra và đánh giá việc tổ chức thực thi các biện pháp bảo đảm an toàn thông tin theo phương án được phê duyệt.

2. Các nội dung đánh giá các biện pháp bảo đảm thông tin hiệu quả

Căn cứ theo quy định tại khoản 2 Điều 12 Thông tư 12/2022/TT-BTTTT, nội dung kiểm tra và đánh giá hiệu quả của các biện pháp bảo đảm an toàn thông tin theo phương án bảo đảm an toàn thông tin được phê duyệt bao gồm:

- Kiểm tra tính đầy đủ và phù hợp của Quy chế bảo đảm an toàn thông tin: Đảm bảo rằng Quy chế đã phê duyệt được triển khai đầy đủ và phù hợp với các yêu cầu về quản lý an toàn thông tin. Kiểm tra xem liệu Quy chế này có đáp ứng được các chuẩn mực, hướng dẫn, và các quy định pháp luật liên quan hay không. Sau khi hoàn thành các bước trên, bạn sẽ có cái nhìn tổng quan về tính đầy đủ và phù hợp của Quy chế bảo đảm an toàn thông tin và có thể đề xuất các điều chỉnh cần thiết nếu cần.

- Đánh giá việc tuân thủ các quy định, quy trình trong Quy chế: Đánh giá việc thực hiện các quy định và quy trình trong Quy chế bảo đảm an toàn thông tin trong quá trình vận hành, khai thác, kết thúc hoặc hủy bỏ hệ thống thông tin. Xác định và sửa chữa bất kỳ vi phạm nào đối với các quy định và quy trình này. Quan trọng nhất, cần thiết lập một quy trình hệ thống để xử lý các vi phạm một cách kịp thời và hiệu quả, đồng thời đảm bảo rằng các biện pháp sửa chữa được triển khai một cách toàn diện và ngăn chặn được tái phát các vi phạm tương tự trong tương lai.

- Đánh giá việc thiết kế hệ thống: Đảm bảo rằng hệ thống được thiết kế theo phương án đã được phê duyệt, đồng thời đáp ứng các yêu cầu về an toàn thông tin. Đánh giá tính an toàn của cấu trúc hệ thống, bao gồm cả khả năng phòng thủ trước các mối đe dọa tiềm ẩn. Dựa trên kết quả của đánh giá, đề xuất các biện pháp cải tiến để nâng cao tính an toàn của hệ thống. Điều này có thể bao gồm việc triển khai các biện pháp bảo mật bổ sung, cải thiện quy trình kiểm tra an toàn, hoặc cập nhật công nghệ để đáp ứng các mối đe dọa mới.

- Đánh giá việc thiết lập, cấu hình hệ thống: Kiểm tra việc thiết lập và cấu hình hệ thống để đảm bảo rằng chúng tuân thủ phương án đã được phê duyệt và các yêu cầu bảo mật. Đảm bảo rằng các cấu hình đã được thiết lập đều đáp ứng được các chuẩn mực và hướng dẫn về bảo mật. Quá trình kiểm tra và đánh giá này sẽ giúp đảm bảo rằng hệ thống được thiết lập và cấu hình đúng cách để đáp ứng các yêu cầu bảo mật và đảm bảo an toàn cho tổ chức.

- Kiểm tra việc cấu hình, tăng cường bảo mật cho thiết bị hệ thống: Kiểm tra và tăng cường bảo mật cho các thiết bị hệ thống, hệ điều hành, ứng dụng, cơ sở dữ liệu và các thành phần khác liên quan theo hướng dẫn của Bộ Thông tin và Truyền thông. Đảm bảo rằng tất cả các phần mềm và thiết bị đều được cập nhật bản vá bảo mật mới nhất và tuân thủ các hướng dẫn bảo mật liên quan. Quá trình kiểm tra và đánh giá này cần được thực hiện định kỳ và liên tục để đảm bảo rằng hệ thống thông tin luôn đáp ứng các yêu cầu về an toàn thông tin và ngăn chặn được các mối đe dọa tiềm ẩn.

3. Yêu cầu chung trong bảo đảm an toàn hệ thống thông tin theo cấp độ

Yêu cầu chung trong bảo đảm an toàn hệ thống thông tin theo cấp độ được tuân theo những quy định tại Điều 9 Thông tư 12/2022/ TT-BTTTT  như sau:

- Việc lập phương án bảo đảm an toàn thông tin để đáp ứng các yêu cầu cơ bản theo từng cấp độ thực hiện theo nguyên tắc quy định tại Điều 4 Khoản 2 của Nghị định 85/2016/NĐ-CP có các điều sau đây: Đối với hệ thống thông tin cấp độ 1, 2, 3: Phương án bảo đảm an toàn thông tin cần xem xét khả năng sử dụng chung giữa các hệ thống thông tin để tối ưu hiệu năng, tránh đầu tư thừa, trùng lặp, và lãng phí cho các giải pháp bảo vệ, chia sẻ tài nguyên; Đối với hệ thống thông tin cấp độ 4, 5: Phương án bảo đảm an toàn thông tin cần được thiết kế để đảm bảo tính sẵn sàng, phân tách và hạn chế ảnh hưởng đến toàn bộ hệ thống khi có thành phần hoặc liên quan đến hệ thống bị mất an toàn thông tin.

- Khi đầu tư xây dựng mới hoặc mở rộng, nâng cấp hệ thống thông tin, cần triển khai đầy đủ phương án bảo đảm an toàn thông tin đã được phê duyệt trong Hồ sơ đề xuất cấp độ và đáp ứng các yêu cầu an toàn tại Điều 9 và Điều 10 của Thông tư này trước khi hệ thống được đưa vào vận hành, khai thác. Quy chế bảo đảm an toàn hệ thống thông tin phải được xây dựng và đáp ứng các yêu cầu an toàn về quản lý theo cấp độ tương ứng

- Đối với phần mềm nội bộ khi xây dựng mới hoặc mở rộng, nâng cấp: Phần mềm nội bộ cần tuân thủ Khung phát triển phần mềm an toàn; Phải đáp ứng yêu cầu an toàn cơ bản đối với phần mềm nội bộ.

- Nếu hệ thống thông tin cấp độ 3 triển khai dưới hình thức thuê dịch vụ công nghệ thông tin tại Trung tâm dữ liệu hoặc Điện toán đám mây, thiết kế hệ thống phải: Được thiết kế tách riêng, độc lập về logic và có biện pháp quản lý truy cập giữa các hệ thống; Các vùng mạng trong hệ thống phải được thiết kế tách riêng, độc lập về logic và có biện pháp quản lý truy cập giữa chúng; Có phân vùng lưu trữ được phân tách độc lập về logic.

- Trong trường hợp hệ thống thông tin cấp độ 4 hoặc 5 triển khai dưới hình thức thuê dịch vụ công nghệ thông tin tại Trung tâm dữ liệu hoặc Điện toán đám mây, thiết kế hệ thống cần: Được thiết kế tách riêng, độc lập về vật lý và có biện pháp quản lý truy cập giữa các hệ thống; Các vùng mạng trong hệ thống phải được thiết kế tách riêng, độc lập về logic và có biện pháp quản lý truy cập giữa chúng; Có phân vùng lưu trữ được phân tách độc lập về vật lý; Các thiết bị mạng chính phải được phân tách độc lập về vật lý.

Ngoài ra, quý bạn đọc có thể tham khảo thêm bài viết: Sổ tay hướng dẫn bảo đảm an toàn hệ thống thông tin theo cấp độ?

Nếu có bất cứ vấn đề pháp lý nào cần hỗ trợ, vui lòng liên hệ tới bộ phận tư vấn pháp luật trực tuyến qua số điện thoại: 1900.6162 hoặc gửi yêu cầu tới địa chỉ email: lienhe@luatminhkhue.vn. Trân trọng!