- 1. Mục đích phân loại cấp độ an toàn hệ thống thông tin
- 2. Căn cứ pháp lý xác định cấp độ an toàn hệ thống thông tin
- 3. Tiêu chí xác định cấp độ an toàn hệ thống thông tin
- 3.1. Mức độ ảnh hưởng khi bị phá hoại
- 3.2. Loại thông tin được xử lý
- 3.3. Tính chất của hệ thống thông tin
- 4. Quy trình xác định cấp độ an toàn hệ thống thông tin
1. Mục đích phân loại cấp độ an toàn hệ thống thông tin
Mục đích phân loại cấp độ an toàn hệ thống thông tin bao gồm:
- Áp dụng các biện pháp quản lý và kỹ thuật bảo vệ hệ thống thông tin phù hợp:
Phân loại cấp độ an toàn hệ thống thông tin giúp xác định mức độ quan trọng và nhạy cảm của hệ thống. Từ đó, cơ quan quản lý có thể đưa ra các yêu cầu cụ thể về biện pháp bảo vệ phù hợp với từng cấp độ, đảm bảo hiệu quả và tiết kiệm chi phí. Cụ thể, các biện pháp bảo vệ có thể bao gồm:
+ An ninh vật lý: Kiểm soát ra vào, giám sát camera, bảo vệ chống cháy nổ,...
+ An ninh mạng: Tường lửa, hệ thống phát hiện xâm nhập, mã hóa dữ liệu,...
+ Quản lý rủi ro: Xác định, đánh giá và xử lý rủi ro an ninh thông tin
+ Quản lý bản vá: Cập nhật phần mềm và hệ điều hành thường xuyên
+ Nâng cao nhận thức: Đào tạo và tập huấn cho cán bộ nhân viên về an ninh thông tin
- Đảm bảo an toàn hệ thống thông tin theo mức độ tăng dần từ 1 đến 5:
Nghị định 85/2016/NĐ-CP quy định 5 cấp độ an toàn hệ thống thông tin:
+ Cấp độ 1: Hệ thống thông tin thông thường, xử lý thông tin cá nhân hoặc thông tin bí mật nội bộ của tổ chức.
+ Cấp độ 2: Hệ thống thông tin quan trọng, xử lý thông tin có liên quan đến hoạt động sản xuất, kinh doanh hoặc quản lý nhà nước của tổ chức.
+ Cấp độ 3: Hệ thống thông tin trọng yếu, xử lý thông tin có liên quan đến an ninh, quốc phòng hoặc hoạt động đối ngoại của Nhà nước.
+ Cấp độ 4: Hệ thống thông tin rất quan trọng, xử lý thông tin bí mật nhà nước hoặc hệ thống phục vụ quốc phòng, an ninh, khi bị phá hoại sẽ làm tổn hại nghiêm trọng quốc phòng, an ninh quốc gia.
+ Cấp độ 5: Hệ thống thông tin đặc biệt quan trọng, xử lý thông tin bí mật nhà nước hoặc hệ thống phục vụ quốc phòng, an ninh, khi bị phá hoại sẽ làm tổn hại đặc biệt nghiêm trọng tới quốc phòng, an ninh quốc gia.
Mỗi cấp độ an toàn thông tin sẽ có những yêu cầu cụ thể về biện pháp bảo vệ, cao hơn so với cấp độ trước. Việc phân loại cấp độ giúp đảm bảo rằng các hệ thống thông tin quan trọng được bảo vệ một cách nghiêm ngặt và hiệu quả hơn.
- Ngoài ra, phân loại cấp độ an toàn hệ thống thông tin còn giúp:
+ Nâng cao nhận thức của lãnh đạo và cán bộ nhân viên về tầm quan trọng của an ninh thông tin.
+ Thu hút nguồn lực đầu tư cho công tác bảo vệ hệ thống thông tin.
+ Tăng cường phối hợp giữa các cơ quan trong việc bảo vệ an ninh thông tin quốc gia.
2. Căn cứ pháp lý xác định cấp độ an toàn hệ thống thông tin
Căn cứ pháp lý về phân loại cấp độ an toàn hệ thống thông tin tại Việt Nam bao gồm:
- Luật An toàn thông tin mạng 2015:
+ Điều 21: Phân loại cấp độ an toàn hệ thống thông tin.
+ Điều 22: Trách nhiệm phân loại cấp độ an toàn hệ thống thông tin.
+ Điều 23: Quy trình phân loại cấp độ an toàn hệ thống thông tin.
+ Điều 24: Biện pháp bảo vệ hệ thống thông tin theo cấp độ.
- Nghị định 85/2016/NĐ-CP quy định chi tiết về phân loại cấp độ an toàn hệ thống thông tin:
+ Điều 7. Tiêu chí xác định cấp độ 1
+ Điều 8. Tiêu chí xác định cấp độ 2
+ Điều 9. Tiêu chí xác định cấp độ 3
+ Điều 10. Tiêu chí xác định cấp độ 4
+ Điều 11. Tiêu chí xác định cấp độ 5
Luật An toàn thông tin mạng 2015 là văn bản pháp luật có tính chất nền tảng quy định về phân loại cấp độ an toàn hệ thống thông tin. Nghị định 85/2016/NĐ-CP quy định chi tiết về tiêu chí, quy trình và biện pháp bảo vệ hệ thống thông tin theo cấp độ. Các văn bản khác bổ sung quy định cụ thể về việc áp dụng các quy định về phân loại cấp độ an toàn hệ thống thông tin.
Việc phân loại cấp độ an toàn hệ thống thông tin là trách nhiệm của chủ sở hữu hệ thống thông tin. Chủ sở hữu hệ thống thông tin phải thực hiện phân loại cấp độ an toàn hệ thống thông tin theo đúng quy định của pháp luật. Cơ quan quản lý nhà nước về an ninh mạng có trách nhiệm kiểm tra, giám sát việc phân loại cấp độ an toàn hệ thống thông tin.
3. Tiêu chí xác định cấp độ an toàn hệ thống thông tin
3.1. Mức độ ảnh hưởng khi bị phá hoại
Theo quy định tại Điều 7, 8, 9, 10 và 11 Nghị định 85/2016/NĐ-CP thì mức độ ảnh hưởng khi hệ thống thông tin bị phá hoại theo từng cấp độ an toàn như sau:
- Cấp độ 1:
Tổn hại đến quyền và lợi ích hợp pháp của tổ chức, cá nhân: Có thể bao gồm:
+ Mất mát dữ liệu cá nhân, thông tin bí mật của tổ chức.
+ Gây thiệt hại về tài chính cho tổ chức, cá nhân.
+ Ảnh hưởng đến uy tín, danh tiếng của tổ chức.
+ Gây phiền hà, bức xúc cho cá nhân.
- Cấp độ 2:
Tổn hại đến hoạt động của tổ chức, cá nhân; ảnh hưởng đến trật tự, an toàn xã hội: Có thể bao gồm:
+ Gián đoạn hoạt động sản xuất, kinh doanh của tổ chức.
+ Gây khó khăn cho việc cung cấp dịch vụ công cho người dân.
+ Gây mất ổn định trật tự, an toàn xã hội.
+ Gây hoang mang, lo lắng cho người dân.
- Cấp độ 3:
Tổn hại đến lợi ích quốc gia; ảnh hưởng nghiêm trọng đến hoạt động của tổ chức, cá nhân: Có thể bao gồm:
+ Gây thiệt hại cho an ninh, quốc phòng quốc gia.
+ Gây ảnh hưởng đến hoạt động đối ngoại của quốc gia.
+ Gây thiệt hại nặng nề về kinh tế cho quốc gia.
+ Gây mất niềm tin của người dân vào chính quyền.
- Cấp độ 4:
Tổn hại nghiêm trọng đến lợi ích quốc gia; ảnh hưởng đặc biệt nghiêm trọng đến hoạt động của tổ chức, cá nhân: Có thể bao gồm:
+ Gây đe dọa đến an ninh, quốc phòng quốc gia.
+ Gây tổn hại nghiêm trọng đến uy tín quốc gia trên trường quốc tế.
+ Gây ra khủng hoảng kinh tế, xã hội.
+ Gây mất ổn định chính trị, xã hội.
- Cấp độ 5:
Tổn hại đặc biệt nghiêm trọng đến quốc phòng, an ninh quốc gia: Có thể bao gồm:
+ Gây chiến tranh, xâm lược.
+ Gây tổn hại nghiêm trọng đến lãnh thổ, chủ quyền quốc gia.
+ Gây ra thảm họa quốc gia.
+ Lật đổ chính quyền.
3.2. Loại thông tin được xử lý
Loại thông tin được xử lý theo từng cấp độ an toàn hệ thống thông tin bao gồm:
- Cấp độ 1: Thông tin công cộng: Là thông tin được công khai theo quy định của pháp luật, mọi người đều có quyền tiếp cận và sử dụng. Ví dụ: thông tin về hoạt động của cơ quan nhà nước, thông tin về giá cả hàng hóa, dịch vụ,...
- Cấp độ 2: Thông tin riêng, thông tin cá nhân của người sử dụng: Là thông tin về cá nhân được thu thập, lưu trữ, xử lý để phục vụ cho mục đích quản lý, cung cấp dịch vụ. Ví dụ: Họ tên, địa chỉ, số điện thoại, email,... của người sử dụng hệ thống thông tin.
- Cấp độ 3: Bí mật nhà nước: Là thông tin liên quan đến an ninh, quốc phòng, đối ngoại của quốc gia được pháp luật bảo vệ. Ví dụ: kế hoạch quân sự, bí mật ngoại giao, thông tin về tài nguyên quốc gia,...
- Cấp độ 4: Bí mật nhà nước hoặc thông tin phục vụ quốc phòng, an ninh: Là thông tin liên quan đến an ninh, quốc phòng, đối ngoại của quốc gia hoặc thông tin phục vụ cho hoạt động quốc phòng, an ninh được pháp luật bảo vệ. Ví dụ: thông tin về hoạt động chống khủng bố, thông tin về an ninh mạng, thông tin về hoạt động điều tra tội phạm,...
- Cấp độ 5: Bí mật nhà nước hoặc thông tin phục vụ quốc phòng, an ninh: Là thông tin liên quan đến an ninh, quốc phòng, đối ngoại của quốc gia hoặc thông tin phục vụ cho hoạt động quốc phòng, an ninh có tầm quan trọng đặc biệt được pháp luật bảo vệ. Ví dụ: thông tin về vũ khí hạt nhân, thông tin về an ninh mạng quốc gia, thông tin về hoạt động tình báo,...
3.3. Tính chất của hệ thống thông tin
Tính chất của hệ thống thông tin theo từng cấp độ an toàn bao gồm:
- Cấp độ 1: Hệ thống thông tin phục vụ hoạt động nội bộ của cơ quan, tổ chức: Là hệ thống thông tin được sử dụng để quản lý, điều hành hoạt động nội bộ của cơ quan, tổ chức. Ví dụ: hệ thống quản lý nhân sự, hệ thống quản lý tài chính, hệ thống quản lý văn bản,...
- Cấp độ 2: Hệ thống thông tin phục vụ hoạt động nội bộ, cung cấp thông tin và dịch vụ công trực tuyến, cung cấp dịch vụ trực tuyến khác: Là hệ thống thông tin được sử dụng để phục vụ hoạt động nội bộ của cơ quan, tổ chức, đồng thời cung cấp thông tin và dịch vụ công trực tuyến, cung cấp dịch vụ trực tuyến khác cho người dân và tổ chức. Ví dụ: hệ thống cổng thông tin điện tử quốc gia, hệ thống tra cứu hồ sơ hành chính, hệ thống thanh toán trực tuyến,...
- Cấp độ 3: Hệ thống thông tin phục vụ hoạt động của cơ quan nhà nước, tổ chức chính trị, tổ chức chính trị - xã hội, tổ chức xã hội, tổ chức phi chính phủ trong lĩnh vực quốc phòng, an ninh: Là hệ thống thông tin được sử dụng để phục vụ hoạt động của các cơ quan, tổ chức trong lĩnh vực quốc phòng, an ninh. Ví dụ: hệ thống quản lý biên giới quốc gia, hệ thống quản lý an ninh mạng, hệ thống quản lý hoạt động tình báo,...
- Cấp độ 4: Hệ thống thông tin phục vụ hoạt động của cơ quan nhà nước có liên quan đến quốc phòng, an ninh: Là hệ thống thông tin được sử dụng để phục vụ hoạt động của các cơ quan nhà nước có liên quan đến quốc phòng, an ninh. Ví dụ: hệ thống chỉ huy quân sự, hệ thống thông tin liên lạc quốc phòng, hệ thống an ninh mạng quốc gia,...
- Cấp độ 5: Hệ thống thông tin phục vụ hoạt động của cơ quan nhà nước có liên quan đến quốc phòng, an ninh quốc gia: Là hệ thống thông tin được sử dụng để phục vụ hoạt động của các cơ quan nhà nước có liên quan đến quốc phòng, an ninh quốc gia có tầm quan trọng đặc biệt. Ví dụ: hệ thống cảnh báo sớm, hệ thống phòng thủ tên lửa, hệ thống an ninh mạng quốc gia quan trọng,...
4. Quy trình xác định cấp độ an toàn hệ thống thông tin
Quy trình xác định cấp độ an toàn hệ thống thông tin theo Luật An toàn thông tin mạng 2015 và Nghị định 85/2016/NĐ-CP:
- Bước 1: Xác định loại hình hệ thống thông tin:
Căn cứ vào chức năng, nhiệm vụ, hoạt động của hệ thống thông tin để phân loại hệ thống thông tin theo các loại hình sau:
+ Hệ thống thông tin phục vụ hoạt động nội bộ của cơ quan, tổ chức.
+ Hệ thống thông tin phục vụ hoạt động nội bộ, cung cấp thông tin và dịch vụ công trực tuyến, cung cấp dịch vụ trực tuyến khác.
+ Hệ thống thông tin phục vụ hoạt động của cơ quan nhà nước, tổ chức chính trị, tổ chức chính trị - xã hội, tổ chức xã hội, tổ chức phi chính phủ trong lĩnh vực quốc phòng, an ninh.
+ Hệ thống thông tin phục vụ hoạt động của cơ quan nhà nước có liên quan đến quốc phòng, an ninh.
+ Hệ thống thông tin phục vụ hoạt động của cơ quan nhà nước có liên quan đến quốc phòng, an ninh quốc gia.
- Bước 2: Phân tích tác động của hệ thống thông tin:
Xác định mức độ ảnh hưởng của hệ thống thông tin khi bị phá hoại đến:
+ Quyền và lợi ích hợp pháp của tổ chức, cá nhân.
+ Hoạt động của tổ chức, cá nhân; ảnh hưởng đến trật tự, an toàn xã hội.
+ Lợi ích quốc gia; ảnh hưởng nghiêm trọng đến hoạt động của tổ chức, cá nhân.
+ Lợi ích quốc gia; ảnh hưởng đặc biệt nghiêm trọng đến hoạt động của tổ chức, cá nhân.
+ Quốc phòng, an ninh quốc gia.
- Bước 3: Đánh giá mức độ rủi ro của hệ thống thông tin:
+ Xác định các mối đe dọa, lỗ hổng bảo mật của hệ thống thông tin.
+ Đánh giá khả năng xảy ra và mức độ ảnh hưởng của các mối đe dọa, lỗ hổng bảo mật.
+ Phân loại mức độ rủi ro của hệ thống thông tin theo các cấp độ: thấp, trung bình, cao.
- Bước 4: Xác định cấp độ an toàn hệ thống thông tin: Căn cứ vào loại hình hệ thống thông tin, tác động của hệ thống thông tin và mức độ rủi ro của hệ thống thông tin để xác định cấp độ an toàn hệ thống thông tin theo thang điểm từ 1 đến 5.
- Lưu ý:
+ Việc xác định cấp độ an toàn hệ thống thông tin phải được thực hiện bởi đội ngũ cán bộ, nhân viên có chuyên môn, nghiệp vụ về an ninh mạng.
+ Kết quả xác định cấp độ an toàn hệ thống thông tin phải được lập thành văn bản và được cơ quan quản lý nhà nước về an ninh mạng thẩm định, phê duyệt.
+ Cấp độ an toàn hệ thống thông tin được xác định phải được công khai theo quy định của pháp luật.
Ngoài ra, theo hướng dẫn của Bộ Thông tin và Truyền thông, quy trình xác định cấp độ an toàn hệ thống thông tin có thể được áp dụng linh hoạt theo từng trường hợp cụ thể, đảm bảo phù hợp với thực tế hoạt động của hệ thống thông tin.
Ngoài ra, có thể tham khảo: Hệ thống thông tin quản lý ngân sách và kho bạc (TABMIS) là gì? Thuận lợi và khó khăn khi triển khai TABMIS. Còn khúc mắc, liên hệ 1900.6162 hoặc gửi email tới: lienhe@luatminhkhue.vn để được hỗ trợ. Xin cảm ơn.
