Chương 2 Thông tư 12/2022/TT-BTTTT hướng dẫn Nghị định 85/2016/NĐ-CP về bảo đảm an toàn hệ thống thông tin theo cấp độ do Bộ trưởng Bộ Thông tin và Truyền thông ban hành

4. Hệ thống cơ sở hạ tầng thông tin là tập hợp trang thiết bị, đường truyền dẫn kết nối phục vụ chung hoạt động của nhiều cơ quan, tổ chức như mạng diện rộng, cơ sở dữ liệu, trung tâm dữ liệu, điện toán đám mây; xác thực điện tử, chứng thực điện tử, chữ ký số; kết nối liên thông các hệ thống thông tin.

5. Hệ thống thông tin Điều khiển công nghiệp là hệ thống có chức năng giám sát, thu thập dữ liệu, quản lý và kiểm soát các hạng mục quan trọng phục vụ điều khiển, vận hành hoạt động bình thường của các công trình xây dựng.

6. Hệ thống thông tin khác là hệ thống thông tin không thuộc các loại hình được nêu tại các khoản 2, 3, 4, 5 Điều này, được sử dụng để trực tiếp phục vụ hoặc hỗ trợ hoạt động nghiệp vụ, sản xuất, kinh doanh cụ thể của cơ quan, tổ chức theo lĩnh vực chuyên ngành.

7. Định kỳ hàng quý (ngày đầu tiên của quý), Cục An toàn thông tin - Bộ Thông tin và Truyền thông có trách nhiệm cập nhật, bổ sung danh mục các hệ thống thông tin theo quy định tại các khoản 2, 3, 4, 5, 6 Điều này và công bố trên Cổng thông tin điện tử của Bộ Thông tin và Truyền thông.

Điều 8. Thuyết minh cấp độ an toàn hệ thống thông tin

1. Đối với hệ thống thông tin được đầu tư xây dựng mới hoặc mở rộng, nâng cấp, tùy thuộc vào hình thức đầu tư, phương án kỹ thuật trong Báo cáo kinh tế - kỹ thuật (trường hợp dự án đầu tư áp dụng phương án thiết kế 01 bước), trong Thiết kế cơ sở thuộc Báo cáo nghiên cứu khả thi (trường hợp dự án đầu tư áp dụng phương án thiết kế 02 bước), trong Kế hoạch thuê dịch vụ công nghệ thông tin (trong trường hợp thuê dịch vụ công nghệ thông tin) hoặc trong Đề cương và dự toán chi tiết (trong trường hợp đầu tư ứng dụng công nghệ thông tin không phải lập dự án) phải đáp ứng các yêu cầu của phương án bảo đảm an toàn thông tin theo cấp độ được đề xuất, được thuyết minh trong Hồ sơ đề xuất cấp độ.

2. Thuyết minh Hồ sơ đề xuất cấp độ, bao gồm các thành phần sau đây:

a) Thuyết minh tổng quan về hệ thống thông tin;

b) Thuyết minh về việc đề xuất cấp độ;

c) Thuyết minh phương án bảo đảm an toàn thông tin.

3. Thuyết minh tổng quan về hệ thống thông tin, bao gồm các nội dung:

a) Thông tin về chủ quản hệ thống thông tin, gồm: tên chủ quản hệ thống thông tin; quy định chức năng, nhiệm vụ và quyền hạn; người đại diện, chức vụ; địa chỉ; thông tin liên hệ (bao gồm số điện thoại, thư điện tử);

b) Thông tin về đơn vị vận hành hệ thống thông tin, gồm: tên đơn vị vận hành; quy định chức năng, nhiệm vụ và quyền hạn; người đại diện, chức vụ; địa chỉ; thông tin liên hệ (bao gồm số điện thoại, thư điện tử);

c) Mô tả phạm vi, quy mô của hệ thống thông tin, trong đó cần làm rõ phạm vi của hệ thống, quy mô của hệ thống và đối tượng phục vụ của hệ thống;

d) Mô tả hiện trạng kiến trúc hệ thống (đối với hệ thống đang vận hành) hoặc mô tả kiến trúc hệ thống (đối với hệ thống được xây dựng mới hoặc nâng cấp, mở rộng), trong đó mô tả cụ thể mô hình lô-gic, mô hình vật lý của hệ thống, danh mục thiết bị và thiết bị mạng chính trong hệ thống (bao gồm tên thiết bị/chủng loại, vị trí triển khai, mục đích sử dụng), danh mục ứng dụng/dịch vụ cung cấp bởi hệ thống (bao gồm tên dịch vụ, máy chủ triển khai/vị trí triển khai/hệ điều hành máy chủ, mục đích sử dụng dịch vụ), quy hoạch các vùng mạng và địa chỉ IP trong hệ thống (bao gồm vùng mạng, địa chỉ IP nội bộ (IP Private), địa chỉ IP công khai (IP Public)).

4. Thuyết minh về việc đề xuất cấp độ, bao gồm các nội dung:

a) Danh mục các hệ thống thông tin và cấp độ tương ứng, bao gồm: tên hệ thống thông tin, cấp độ đề xuất, căn cứ đề xuất đối với từng hệ thống thông tin;

b) Thuyết minh chi tiết đối với các hệ thống thông tin, trong đó cần làm rõ loại thông tin được xử lý, loại hệ thống thông tin, căn cứ đề xuất cấp độ đối với từng hệ thống thông tin.

5. Thuyết minh về việc đề xuất cấp độ đối với hệ thống thông tin được đề xuất cấp độ 4 hoặc cấp độ 5, ngoài các nội dung được quy định tại khoản 3 Điều này, cần làm rõ thêm các nội dung sau đây:

a) Xác định các hệ thống thông tin khác có liên quan hoặc có kết nối đến hoặc có ảnh hưởng quan trọng tới hoạt động bình thường của hệ thống thông tin được đề xuất cấp độ;

b) Thuyết minh về các nguy cơ tấn công mạng và mức độ ảnh hưởng đối với hệ thống thông tin được đề xuất cấp độ;

c) Đánh giá phạm vi và mức độ ảnh hưởng tới lợi ích công cộng, trật tự an toàn xã hội hoặc quốc phòng, an ninh quốc gia khi bị tấn công mạng gây mất an toàn thông tin hoặc gián đoạn hoạt động của hệ thống thông tin được đề xuất cấp độ;

d) Thuyết minh yêu cầu cần phải vận hành 24/7 và không chấp nhận ngừng vận hành mà không có kế hoạch trước đối với các hệ thống thông tin theo quy định tại khoản 2 và khoản 3 Điều 10 của Nghị định 85/2016/NĐ-CP.

6. Thuyết minh phương án bảo đảm an toàn thông tin, bao gồm các nội dung:

a) Thuyết minh phương án đáp ứng các yêu cầu về quản lý tương ứng với cấp độ đề xuất;

b) Thuyết minh phương án đáp ứng các yêu cầu về kỹ thuật tương ứng với cấp độ đề xuất.