Đánh giá an toàn thông tin cấp độ thông tư năm 2024

https://binhphuoc.gov.vn/vi/syt/chuyen-doi-so/phe-duyet-cap-do-an-toan-thong-tin-cua-so-y-te-2964.html https://binhphuoc.gov.vn/uploads/binhphuoc/syt/2023_09/attt.jpg

Bình Phước : Cổng thông tin điện tử https://binhphuoc.gov.vn/uploads/binhphuoc/quochuy_1.png

QUYẾT ĐỊNH:

Điều 1. Phê duyệt cấp độ an toàn hệ thống thông tin đối với Sở Y tế, cụ thể như sau: 1. Thông tin chung

1. Tên hệ thống thông tin: Hệ thống thông tin Sở Y tế, bao gồm:

• Trang thông tin điện tử (website);
• Hệ thống mạng nội bộ (LAN) của cơ quan.
• Đơn vị vận hành:
• Trung tâm Công nghệ thông tin và Truyền thông, Sở Thông tin và Truyền thông vận hành Trang thông tin điện tử (website) Sở Y tế.
• Văn phòng Sở vận hành hệ thống mạng nội bộ (LAN) của Khối cơ quan Văn phòng Sở Y tế.
• Cấp độ an toàn hệ thống thông tin: Cấp độ 2.

3. Phương án bảo đảm an toàn thông tin trong quá trình vận hành hệ thống thông tin tương ứng với Cấp độ 2 là phù hợp với quy định tại Nghị định số 85/2016/NĐ-CP ngày 01/7/2016 của Chính phủ và Thông tư số 12/2022/TT-

BTTTT ngày 12/8/2022 của Bộ Thông tin và Truyền thông. Điều 2. Tổ chức thực hiện: 1. Sở Y tế phối hợp với Trung tâm Công nghệ thông tin và Truyền thông (Sở Thông tin và Truyền thông) tổ chức quản lý, vận hành, bảo đảm an toàn thông tin cho Trang thông tin điện tử Sở Y tế theo quy định. 2. Các phòng, đơn vị trực thuộc Sở có trách nhiệm: Thực hiện các phương án bảo đảm an toàn thông tin tương ứng với Cấp độ 2 theo quy định tại Nghị định số 85/2016/NĐ-CP ngày 01/7/2016 của Chính phủ và Thông tư 12/2022/TT-BTTTT, ngày 12/8/2022.

1. Văn phòng Sở có trách nhiệm:
2. Theo dõi, đôn đốc công chức, nhân viên Sở Y tế thực hiện theo các quy định nêu trên;
3. Kiểm tra, giám sát việc thực hiện Quyết định này, báo cáo Giám đốc Sở Y tế theo quy định.

Điều 3. Quyết định này có hiệu lực thi hành kể từ ngày ký. Điều 4. Chánh Văn phòng Sở, Trưởng phòng, đơn vị trực thuộc Sở chịu trách nhiệm bảo đảm an toàn hệ thống thông tin của Sở Y tế theo Quyết định này./.

* Cơ quan ban hành: Bộ Thông tin và Truyền thông.

* Ngày ban hành: 12/8/2022.

* Ngày có hiệu lực: 01/10/2022.

* Văn bản bị thay thế: Thông tư số 03/2017/TT-BTTTT ngày 24/4/2017 của Bộ Thông tin và Truyền thông Quy định chi tiết và hướng dẫn một số điều của Nghị định số 85/2016/NĐ-CP ngày 01/7/2016 của Chính phủ về bảo đảm an toàn hệ thống thông tin theo cấp độ.

* Nội dung chính:

Thông tư này quy định chi tiết và hướng dẫn bảo đảm an toàn hệ thống thông tin theo cấp độ, bao gồm: xác định hệ thống thông tin và thuyết minh cấp độ an toàn hệ thống thông tin; yêu cầu bảo đảm an toàn hệ thống thông tin theo cấp độ; kiểm tra, đánh giá an toàn thông tin; chế độ báo cáo.

Nội dung đánh giá hiệu quả biện pháp bảo đảm an toàn hệ thống thông tin

Theo Thông tư, nội dung kiểm tra, đánh giá hiệu quả của các biện pháp bảo đảm an toàn thông tin theo phương án bảo đảm an toàn thông tin được phê duyệt, bao gồm:

- Kiểm tra tính đầy đủ và phù hợp của Quy chế bảo đảm an toàn thông tin theo phương án bảo đảm an toàn thông tin vê quản lý được phê duyệt.

- Đánh giá việc tuân thủ các quy định, quy trình trong Quy chế bảo đảm an toàn thông tin trong quá trình vận hành, khai thác, kết thúc hoặc hủy bỏ hệ thống thông tin.

- Đánh giá việc thiết kế hệ thống theo phương án bảo đảm an toàn thông tin được phê duyệt.

- Đánh giá việc thiết lập, cấu hình hệ thống theo phương án bảo đảm an toàn thông tin được phê duyệt.

- Kiểm tra việc cấu hình, tăng cường bảo mật cho thiết bị hệ thống, hệ điều hành, ứng dụng, cơ sở dữ liệu và các thành phần khác liên quan trong hệ thống theo hướng dẫn của Bộ Thông tin và Truyền thông.

(Hiện hành, theo Thông tư 03/2017/TT-BTTTT, đánh giá hiệu quả của biện pháp bảo đảm an toàn thông tin là việc rà soát một cách tổng thể, xác minh mức độ hiệu quả của phương án bảo đảm an toàn thông tin theo từng tiêu chí, yêu cầu cơ bản cụ thể).

Như vậy so với hiện hành, Thông tư 12/2022/TT-BTTTT quy định cụ thể hơn nội dung đánh giá hiệu quả biện pháp bảo đảm an toàn hệ thống thông tin.

Yêu cầu bảo đảm an toàn hệ thống thông tin theo cấp độ

Theo Thông tư, việc bảo đảm an toàn hệ thống thông tin theo cấp độ thực hiện theo yêu cầu cơ bản và Tiêu chuẩn quốc gia TCVN 11930:2017 về Công nghệ thông tin – các kỹ thuật an toàn – yêu cầu cơ bản về an toàn hệ thống thông tin theo cấp độ, trong đó, yêu cầu cơ bản đối với từng cấp độ bao gồm yêu cầu cơ bản về quản lý, yêu cầu cơ bản về kỹ thuật và không bao gồm các yêu cầu bảo đảm an toàn vật lý.

Cụ thể, các yêu cầu cơ bản về quản lý bao gồm: thiết lập chính sách an toàn thông tin; tổ chức bảo đảm an toàn thông tin; bảo đảm nguồn nhân lực; quản lý thiết kế, xây dựng hệ thống; … Yêu cầu cơ bản về kỹ thuật bao gồm: bảo đảm an toàn mạng; bảo đảm an toàn máy chủ; bảo đảm an toàn ứng dụng; bảo đảm an toàn dữ liệu.

Ngoài ra, việc xây dựng phương án bảo đảm an toàn thông tin đáp ứng yêu cầu cơ bản theo từng cấp độ thực hiện theo nguyên tắc: Đối với hệ thống thông tin cấp độ 1, 2, 3: Phương án bảo đảm an toàn phải xem xét khả năng dùng chung giữa các hệ thống thông tin đối với các giải pháp bảo vệ, chia sẻ tài nguyên để tối ưu hiệu năng, tránh đầu tư thừa, trùng lặp, lãng phí. Đối với hệ thống thông tin cấp độ 4, 5: Phương án bảo đảm an toàn cần được thiết kế bảo đảm tính sẵn sàng, phân tách và hạn chế ảnh hưởng đến toàn bộ hệ thống khi một thành phần trong hệ thống hoặc có liên quan tới hệ thống bị mất an toàn thông tin.