Bộ Thông tin và Truyền thông đã ban hành Thông tư số 12/2022/TT-BTTTT ngày 12/8/2022 quy định chi tiết và hướng dẫn một số điều của Nghị định số 85/2016/NĐ-CP ngày 01/7/2016 của Chính phủ về bảo đảm an toàn hệ thống thông tin theo cấp độ (thay thế Thông tư số 03/2017/TT-BTTTT ngày 24/4/2017). Để triển khai các quy định, chỉ đạo, hướng dẫn mới về an toàn, an ninh mạng tại Bộ Tài chính, Cục Tin học và Thống kê tài chính đã xây dựng Quy chế An toàn thông tin mạng, an ninh mạng Bộ Tài chính (thay thế Quy chế An toàn thông tin mạng Bộ Tài chính ban hành theo Quyết định số 201/QĐ-BTC ngày 12/02/2018 của Bộ trưởng Bộ Tài chính). Dự thảo Quy chế đã được gửi lấy ý kiến lần 2, dự kiến được hoàn thiện và trình Bộ trưởng Bộ Tài chính ban hành trong tháng 4/2023.

Những quy định mới tại Thông tư số 12/2022/TT-BTTTT sẽ được Bộ Tài chính cụ thể hóa áp dụng tại quy chế an toàn thông tin mạng, an ninh mạng Bộ Tài chính cụ thể: Điểm mới thứ nhất là quy định về xác định đơn vị chủ quản hệ thống thông tin và đơn vị được ủy quyền thực hiện trách nhiệm của chủ quản hệ thống thông tin (Điều 4). Theo quy định tại Thông tư số 03/2017/TT-BTTTT, đối với các Bộ, chủ quản hệ thống thông tin là Bộ hoặc cấp có thẩm quyền quyết định đầu tư dự án xây dựng, thiết lập, nâng cấp, mở rộng hệ thống thông tin. Theo Thông tư 12/2022/TT-BTTTT, chỉ cấp có thẩm quyền quyết định đầu tư dự án xây dựng, thiết lập, nâng cấp, mở rộng hệ thống thông tin có đủ năng lực để thực thi đầy đủ các quy định tại Điều 20 Nghị định 85/2016/NĐ-CP mới được Bộ xem xét, quyết định giao làm chủ quản hệ thống thông tin. Tương tự, chỉ đơn vị có đủ năng lực để thay mặt Bộ thực hiện trách nhiệm của chủ quản hệ thống thông tin quy định tại khoản 2 Điều 20 Nghị định 85/2016/NĐ-CP mới có thể được Bộ xem xét ủy quyền thực hiện trách nhiệm của chủ quản hệ thống thông tin.

Điểm mới thứ hai là quy định về tổ chức thẩm định Hồ sơ đề xuất cấp độ đối với trường hợp đơn vị chuyên trách về an toàn thông tin, đồng thời được chủ quản hệ thống thông tin giao quản lý, vận hành hệ thống thông tin (Điều 6). Nội dung này không có trong Thông tư số 03/2017/TT-BTTTT.

Điểm mới thứ ba là một số quy định bổ sung về yêu cầu bảo đảm an toàn hệ thống thông tin theo cấp độ (Điều 9, 10 và các Phụ lục). Thông tư 12/2022/TT-BTTTT quy định áp dụng Tiêu chuẩn quốc gia TCVN 11930:2017 về Công nghệ thông tin – các kỹ thuật an toàn – yêu cầu cơ bản về an toàn hệ thống thông tin theo cấp độ (khoản 1 Điều 9). Quy định này tuy mới so với Thông tư 03/2017/TT-BTTTT, tuy nhiên không mới đối với các đơn vị của Bộ Tài chính, vì Bộ Tài chính đã quy định áp dụng Tiêu chuẩn TCVN 11930:2017 tại Bộ Tài chính theo Quy chế An toàn thông tin mạng Bộ Tài chính. Theo đó, các đơn vị thuộc Bộ đã triển khai Tiêu chuẩn này ngay khi bắt đầu triển khai công tác bảo đảm an toàn hệ thống thông tin theo cấp độ từ năm 2018.

Ngoài quy định về áp dụng Tiêu chuẩn TCVN 11930:2017, có một số quy định mới về yêu cầu bảo đảm an toàn hệ thống thông tin theo cấp độ tại khoản 6, 7, 8, 9, 10 Điều 9 và các Phụ lục của Thông tư 12/2022/TT-BTTTT: Hệ thống thông tin khi được đầu tư xây dựng mới hoặc mở rộng, nâng cấp phải triển khai đầy đủ phương án bảo đảm an toàn thông tin trước khi đưa vào vận hành, khai thác; Quy chế bảo đảm an toàn hệ thống thông tin phải được ban hành trước khi Hồ sơ đề xuất cấp độ được phê duyệt; Yêu cầu đối với phần mềm nội bộ khi xây dựng mới hoặc mở rộng, nâng cấp; Yêu cầu đối với trường hợp hệ thống thông tin được triển khai dưới hình thức thuê dịch vụ công nghệ thông tin tại Trung tâm dữ liệu hoặc Điện toán đám mây; Yêu cầu về phương án Quản lý rủi ro an toàn thông tin và phương án Kết thúc vận hành, khai thác, thanh lý, hủy bỏ; Một số yêu cầu bổ sung về giải pháp an ninh mạng.

Điểm mới thứ tư là quy định cụ thể hơn về nội dung kiểm tra, đánh giá về an toàn thông tin (Điều 12), bao gồm nội dung kiểm tra, đánh giá việc tuân thủ quy định của pháp luật về bảo đảm an toàn hệ thống thông tin theo cấp độ; kiểm tra, đánh giá hiệu quả của các biện pháp bảo đảm an toàn thông tin theo phương án bảo đảm an toàn thông tin được phê duyệt; kiểm tra, đánh giá phát hiện mã độc, lỗ hổng, điểm yếu, thử nghiệm xâm nhập hệ thống thông tin.

Điểm mới thứ năm là quy định cụ thể về nội dung báo cáo định kỳ hàng năm của chủ quản hệ thống thông tin gửi Bộ Thông tin và Truyền thông (Điều 14).

VVan. Nguồn: mof.gov.vn