Công văn 1337/BTTTT-CATTT năm 2024 hướng dẫn rà soát, đánh giá tình hình bảo đảm an toàn thông tin mạng đối với các hệ thống thông tin thuộc phạm vi quản lý do Bộ Thông tin và Truyền thông ban hành

Số hiệu 1337/BTTTT-CATTT
Ngày ban hành 12/04/2024
Ngày có hiệu lực 12/04/2024
Loại văn bản Công văn
Cơ quan ban hành Bộ Thông tin và Truyền thông
Người ký Phạm Đức Long
Lĩnh vực Công nghệ thông tin

BỘ THÔNG TIN VÀ
TRUYỀN THÔNG
-------

CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM
Độc lập - Tự do - Hạnh phúc
---------------

Số: 1337/BTTTT-CATTT
V/v Hướng dẫn rà soát, đánh giá tình hình bảo đảm an toàn thông tin mạng đối với các hệ thống thông tin thuộc phạm vi quản lý

Hà Nội, ngày 12 tháng 04 năm 2024

 

Kính gửi:

- Các Bộ, cơ quan ngang Bộ, cơ quan thuộc Chính phủ;
- Ủy ban nhân dân các tỉnh, thành phố trực thuộc Trung ương.

Ngày 07 tháng 4 năm 2024, Thủ tướng Chính phủ ban hành Công điện số 33/CĐ-TTg về tăng cường bảo đảm an toàn thông tin mạng, trong đó giao Bộ Thông tin và Truyền thông hướng dẫn bộ, ngành, địa phương rà soát, đánh giá tình hình bảo đảm an toàn thông tin mạng cho hệ thống thông tin của cơ quan, tổ chức, doanh nghiệp nhà nước trước ngày 11 tháng 4 năm 2024; tổng hợp kết quả, báo cáo Thủ tướng Chính phủ trước ngày 30 tháng 4 năm 2024.

Thực hiện chỉ đạo của Thủ tướng Chính phủ, Bộ Thông tin và Truyền thông trân trọng đề nghị các Bộ, cơ quan ngang Bộ, cơ quan thuộc Chính phủ và Ủy ban nhân dân các tỉnh, thành phố trực thuộc Trung ương chỉ đạo và tổ chức rà soát, đánh giá tình hình bảo đảm an toàn thông tin mạng cho hệ thống thông tin của cơ quan, tổ chức, doanh nghiệp nhà nước thuộc phạm vi quản lý như sau:

1. Mục đích

- Rà soát, đánh giá tình hình bảo đảm an toàn thông tin các hệ thống thông tin thuộc phạm vi quản lý để kịp thời khắc phục các tồn tại, lỗ hổng, điểm yếu nhằm phòng ngừa các sự cố tấn công mạng;

- Bảo đảm triển khai đầy đủ quy định pháp luật về bảo đảm an toàn thông tin mạng, trọng tâm là bảo đảm an toàn hệ thống thông tin theo cấp độ;

- Tăng cường kỷ luật, kỷ cương và thực hiện nghiêm, bảo đảm tiến độ các nhiệm vụ trong các văn bản chỉ đạo của Thủ tướng Chính phủ trong công tác bảo đảm an toàn thông tin mạng.

2. Nội dung rà soát, đánh giá công tác phê duyệt hồ sơ đề xuất cấp độ và phương án bảo đảm an toàn thông tin theo cấp độ tương ứng

a) Rà soát, đánh giá công tác phê duyệt hồ sơ đề xuất cấp độ và triển khai phương án bảo đảm an toàn thông tin theo cấp độ tương ứng

- Thống kê, rà soát các hệ thống thông tin thuộc phạm vi quản lý và đánh giá thực trạng phê duyệt hồ sơ đề xuất cấp độ và phương án bảo đảm an toàn thông tin theo cấp độ tương ứng;

- Xây dựng Kế hoạch hoàn thiện và có lộ trình cụ thể đối với các hệ thống thông tin chưa thực hiện phê duyệt hồ sơ đề xuất cấp độ và triển khai đầy đủ phương án bảo đảm an toàn thông tin theo cấp độ được phê duyệt. Bảo đảm đúng thời hạn theo chỉ đạo của Thủ tướng Chính phủ tại Chỉ thị số 09/CT-TTg ngày 23 tháng 2 năm 2024 về tuân thủ quy định pháp luật và tăng cường bảo đảm an toàn hệ thống thông tin theo cấp độ;

- Sử dụng Nền tảng hỗ trợ quản lý bảo đảm an toàn hệ thống thông tin theo cấp độ (gọi tắt là Nền tảng quản lý cấp độ) do Bộ Thông tin và Truyền thông cung cấp để xây dựng, quản lý các hệ thống thông tin thuộc phạm vi quản lý tại đường dẫn: https://capdo.ais.gov.vn (thông tin trên nền tảng là cơ sở để Bộ Thông tin và Truyền thông tham khảo, đánh giá).

b) Rà soát, đánh giá tình hình thực hiện kiểm tra, đánh giá an toàn thông tin và quản lý rủi ro an toàn thông tin trong phạm vi quản lý

- Thống kê, rà soát việc tổ chức thực hiện kiểm tra, đánh giá an toàn thông tin và quản lý rủi ro an toàn thông tin đối với các hệ thống thông tin thuộc phạm vi quản lý theo quy định tại khoản 2, Điều 20 Nghị định số 85/2016/NĐ-CP ngày 01 tháng 7 năm 2016 của Chính phủ về bảo đảm an toàn hệ thống thông tin theo cấp độ và Điều 12 Thông tư số 12/2022/TT-BTTTT ngày 12 tháng 8 năm 2022 của Bộ Thông tin và Truyền thông;

- Xây dựng kế hoạch, bố trí nguồn lực để tổ chức kiểm tra, đánh giá an toàn thông tin và quản lý rủi ro an toàn thông tin đối với các hệ thống thông tin chưa thực hiện kiểm tra, đánh giá định kỳ (tối thiểu 01 lần/02 năm đối với hệ thống cấp độ 1, cấp độ 2; 01 lần/năm đối với hệ thống thông tin cấp độ 3, cấp độ 4; 01 lần/06 tháng đối với hệ thống thông tin cấp độ 5). Kịp thời khắc phục các tồn tại, lỗ hổng, điểm yếu nhằm phòng ngừa các sự cố tấn công mạng, đặc biệt là các hệ thống cung cấp dịch vụ trực tuyến cho người dân và doanh nghiệp.

c) Rà soát, đánh giá công tác xây dựng kế hoạch ứng phó sự cố an toàn thông tin mạng, tổ chức diễn tập an toàn thông tin mạng

- Thống kê, đánh giá về công tác xây dựng kế hoạch ứng phó sự cố đối với các hệ thống thông tin thuộc phạm vi quản lý. Kịp thời cập nhật phương án xử lý sự cố tương ứng với loại sự cố/hình thức tấn công mạng, đặc biệt là các phương án ứng phó sự cố đối với nguy cơ tấn công mã độc/mã hóa tống tiền (ransomware), tấn công chiếm quyền điều khiển, thay đổi giao diện,…;

- Đánh giá tình hình thực hiện và tổ chức diễn tập thực chiến an toàn thông tin đối với các hệ thống thông tin thuộc phạm vi quản lý theo chỉ đạo tại Chỉ thị số 18/CT-TTg ngày 13 tháng 8 năm 2022 về đẩy mạnh triển khai các hoạt động ứng cứu sự cố an toàn thông tin mạng Việt Nam;

- Xây dựng, cập nhật kế hoạch để đảm bảo triển khai tổ chức diễn tập, ứng phó các sự cố có thể xảy ra đối với các hệ thống thông tin thuộc phạm vi quản lý, đặc biệt là các hệ thống thông tin quan trọng, hệ thống thông tin cung cấp dịch vụ trực tuyến cho người dân và doanh nghiệp.

c) Đánh giá về tình hình bố trí hạng mục về an toàn thông tin khi xây dựng, triển khai kế hoạch ứng dụng công nghệ thông tin hàng năm, giai đoạn 5 năm và các dự án công nghệ thông tin.

3. Về thời hạn báo cáo kết quả rà soát

Báo cáo kết quả rà soát, đánh giá tình hình bảo đảm an toàn thông tin mạng đối với các hệ thống thông tin thuộc phạm vi quản lý gửi về Bộ Thông tin và Truyền thông (qua Cục An toàn thông tin), như sau:

a) Báo cáo lần đầu:

Trước ngày 22 tháng 4 năm 2024 để tổng hợp, báo cáo Thủ tướng Chính phủ trước ngày 30 tháng 4 năm 2024 theo chỉ đạo tại Công điện số 33/CĐ-TTg ngày 07 tháng 4 năm 2024.

b) Báo cáo các lần tiếp theo (hàng Quý):

Trước ngày 20 của tháng cuối Quý (tháng 3, tháng 6, tháng 9, tháng 12 năm báo cáo).

(Chi tiết ti Phụ lục IPhụ lục II gi kèm theo).

Trong quá trình triển khai thực hiện nếu có khó khăn, vướng mắc, đề nghị Quý Cơ quan phản ánh về Bộ Thông tin và Truyền thông (Cục An toàn thông tin) để được hướng dẫn giải quyết.

[...]