Điều 17. Hiệu lực và trách nhiệm thi hành
1. Thông tư này có hiệu lực từ ngày 01 tháng 10 năm 2022 và thay thế cho Thông tư số 03/2017/TT-BTTTT ngày 24/4/2017 của Bộ Thông tin và Truyền thông Quy định chi tiết và hướng dẫn một số điều của Nghị định số 85/2016/NĐ-CP ngày 01/7/2016 của Chính phủ về bảo đảm an toàn hệ thống thông tin theo cấp độ.
2. Trong quá trình thực hiện Thông tư này, nếu có vướng mắc, các cơ quan, đơn vị liên hệ với Bộ Thông tin và Truyền thông (Cục An toàn thông tin) để phối hợp giải quyết./.
Nơi nhận: - Thủ tướng và các Phó Thủ tướng Chính phủ (để b/c); - Văn phòng Trung ương và các Ban của Đảng; - Văn phòng Tổng Bí thư; - Văn phòng Quốc hội; - Văn phòng Chủ tịch nước; - Các Bộ, cơ quan ngang Bộ, cơ quan thuộc Chính phủ; - Tòa án nhân dân tối cao; - Viện Kiểm sát nhân dân tối cao; - Kiểm toán Nhà nước; - Các cơ quan Trung ương của các đoàn thể; - UBND các tỉnh, thành phố trực thuộc Trung ương; - Cục Kiểm tra văn bản QPPL (Bộ Tư pháp); - Sở TTTT các tỉnh, thành phố trực thuộc Trung ương; - Công báo, Cổng thông tin điện tử Chính phủ; - Bộ TTTT: Bộ trưởng và các Thứ trưởng; các cơ quan, đơn vị thuộc Bộ; Cổng Thông tin điện tử; - Lưu: VT, CATTT (230). | BỘ TRƯỞNG Nguyễn Mạnh Hùng
PHỤ LỤC I
YÊU CẦU CƠ BẢN BẢO ĐẢM AN TOÀN HỆ THỐNG THÔNG TIN ĐỐI VỚI HỆ THỐNG THÔNG TIN CẤP ĐỘ 1 (Ban hành kèm theo Thông tư số 12/2022/TT-BTTTT ngày 12 tháng 8 năm 2022 của Bộ trưởng Bộ Thông tin và Truyền thông)
I. YÊU CẦU QUẢN LÝ
| STT | Yêu cầu | TCVN 11930:2017 |
||||
| 1.1 | Thiết lập chính sách an toàn thông tin | Mục 5.1.1 |
| 1.1.1 | Chính sách an toàn thông tin | Mục 5.1.1.1 |
| 1.1.2 | Xây dựng và công bố | Mục 5.1.1.2 |
| 1.1.3 | Rà soát, sửa đổi | Mục 5.1.1.3 |
| 1.2 | Tổ chức bảo đảm an toàn thông tin | Mục 5.1.2 |
| 1.2.1 | Đơn vị chuyên trách về an toàn thông tin | Mục 5.1.2.1 |
| 1.2.2 | Phối hợp với cơ quan/tổ chức có thẩm quyền | Mục 5.1.2.2 |
| 1.3 | Bảo đảm nguồn nhân lực | Mục 5.1.3 |
| 1.3.1 | Tuyển dụng | Mục 5.1.3.1 |
| 1.3.2 | Trong quá trình làm việc | Mục 5.1.3.2 |
| 1.3.3 | Chấm dứt hoặc thay đổi công việc | Mục 5.1.3.3 |
| 1.4 | Quản lý thiết kế, xây dựng hệ thống | Mục 5.1.4 |
| 1.4.1 | Thiết kế an toàn hệ thống thông tin | Mục 5.1.4.1 |
| 1.4.2 | Thử nghiệm và nghiệm thu hệ thống | Mục 5.1.4.2 |
| 1.5 | Quản lý vận hành hệ thống | Mục 5.1.5 |
| 1.5.1 | Quản lý an toàn mạng | Mục 5.1.5.1 |
| 1.5.2 | Quản lý an toàn máy chủ và ứng dụng | Mục 5.1.5.2 |
| 1.5.3 | Quản lý an toàn dữ liệu | Mục 5.1.5.3 |
| 1.6 | Phương án Quản lý rủi ro an toàn thông tin | |
| 1.7 | Phương án Kết thúc vận hành, khai thác, thanh lý, hủy bỏ | |
II. YÊU CẦU KỸ THUẬT
1. Yêu cầu về thiết kế hệ thống
a) Thiết kế các vùng mạng trong hệ thống theo chức năng, các vùng mạng tối thiểu bao gồm:
i. Vùng mạng nội bộ;
ii. Vùng mạng biên;
iii. Vùng DMZ.
b) Có phương án thiết kế bảo đảm các yêu cầu sau:
i. Có phương án quản lý truy cập, quản trị hệ thống từ xa an toàn sử dụng mạng riêng ảo hoặc phương án tương đương;
ii. Có phương án quản lý truy cập giữa các vùng mạng và phòng chống xâm nhập, sử dụng sản phẩm Tường lửa có tích hợp chức năng phòng, chống xâm nhập hoặc phương án tương đương;
iii. Có phương án phòng chống mã độc cho máy chủ và máy trạm sử dụng sản phẩm Phòng chống mã độc hoặc phương án tương đương.
2. Yêu cầu về thiết lập, cấu hình hệ thống
| STT | Yêu cầu | TCVN 11930:2017 |
||||
| 1.1 | Bảo đảm an toàn mạng | Mục 5.2.1 |
| 1.1.1 | Kiểm soát truy cập từ bên ngoài mạng | Mục 5.2.1.2 |
| 1.1.2 | Nhật kí hệ thống | Mục 5.2.1.3 |
| 1.1.3 | Phòng chống xâm nhập | Mục 5.2.1.4 |
| 1.1.4 | Bảo vệ thiết bị hệ thống | Mục 5.2.1.5 |
| 1.2 | Bảo đảm an toàn máy chủ | Mục 5.2.2 |
| 1.2.1 | Xác thực | Mục 5.2.2.1 |
| 1.2.2 | Kiểm soát truy cập | Mục 5.2.2.2 |
| 1.2.3 | Nhật ký hệ thống | Mục 5.2.2.3 |
| 1.2.4 | Phòng chống xâm nhập | Mục 5.2.2.4 |
| 1.2.5 | Phòng chống phần mềm độc hại | Mục 5.2.2.5 |
| 1.3 | Bảo đảm an toàn ứng dụng | Mục 5.2.3 |
| 1.3.1 | Xác thực | Mục 5.2.3.1 |
| 1.3.2 | Kiểm soát truy cập | Mục 5.2.3.2 |
| 1.3.3 | Nhật kí hệ thống | Mục 5.2.3.3 |
| 1.4 | Bảo đảm an toàn dữ liệu | Mục 5.2.4 |
| 1.4.1 | Sao lưu dự phòng | Mục 5.2.4.1 |
PHỤ LỤC II
YÊU CẦU CƠ BẢN BẢO ĐẢM AN TOÀN HỆ THỐNG THÔNG TIN ĐỐI VỚI HỆ THỐNG THÔNG TIN CẤP ĐỘ 2 (Ban hành kèm theo Thông tư số 12/2022/TT-BTTTT ngày 12 tháng 8 năm 2022 của Bộ trưởng Bộ Thông tin và Truyền thông)
I. YÊU CẦU QUẢN LÝ
| STT | Yêu cầu | TCVN 11930:2017 |
||||
| 1.1 | Thiết lập chính sách an toàn thông tin | Mục 6.1.1 |
| 1.1.1 | Chính sách an toàn thông tin | Mục 6.1.1.1 |
| 1.1.2 | Xây dựng và công bố | Mục 6.1.1.2 |
| 1.1.3 | Rà soát, sửa đổi | Mục 6.1.1.3 |
| 1.2 | Tổ chức bảo đảm an toàn thông tin | Mục 6.1.2 |
| 1.2.1 | Đơn vị chuyên trách về an toàn thông tin | Mục 6.1.2.1 |
| 1.2.2 | Phối hợp với cơ quan/tổ chức có thẩm quyền | Mục 6.1.2.2 |
| 1.3 | Bảo đảm nguồn nhân lực | Mục 6.1.3 |
| 1.3.1 | Tuyển dụng | Mục 6.1.3.1 |
| 1.3.2 | Trong quá trình làm việc | Mục 6.1.3.2 |
| 1.3.3 | Chấm dứt hoặc thay đổi công việc | Mục 6.1.3.3 |
| 1.4 | Quản lý thiết kế, xây dựng hệ thống | Mục 6.1.4 |
| 1.4.1 | Thiết kế an toàn hệ thống thông tin | Mục 6.1.4.1 |
| 1.4.2 | Phát triển phần mềm thuê khoán | Mục 6.1.4.2 |
| 1.4.3 | Thử nghiệm và nghiệm thu hệ thống | Mục 6.1.4.3 |
| 1.5 | Quản lý vận hành hệ thống | Mục 6.1.5 |
| 1.5.1 | Quản lý an toàn mạng | Mục 6.1.5.1 |
| 1.5.2 | Quản lý an toàn máy chủ và ứng dụng | Mục 6.1.5.2 |
| 1.5.3 | Quản lý an toàn dữ liệu | Mục 6.1.5.3 |
| 1.5.4 | Quản lý sự cố an toàn thông tin | Mục 6.1.5.4 |
| 1.5.5 | Quản lý an toàn người sử dụng đầu cuối | Mục 6.1.5.5 |
| 1.6 | Phương án Quản lý rủi ro an toàn thông tin | |
| 1.7 | Phương án Kết thúc vận hành, khai thác, thanh lý, hủy bỏ | |
II. YÊU CẦU KỸ THUẬT
1. Yêu cầu về thiết kế hệ thống
a) Thiết kế các vùng mạng trong hệ thống theo chức năng, các vùng mạng tối thiểu bao gồm:
i. Vùng mạng nội bộ;
ii. Vùng mạng biên;
iii. Vùng DMZ;
iv. Vùng máy chủ nội bộ;
v. Vùng mạng không dây (nếu có) tách riêng, độc lập với các vùng mạng khác.
b) Có phương án thiết kế bảo đảm các yêu cầu sau:
i. Có phương án quản lý truy cập, quản trị hệ thống từ xa an toàn sử dụng mạng riêng ảo hoặc phương án tương đương;
ii. Có phương án quản lý truy cập giữa các vùng mạng và phòng chống xâm nhập, sử dụng sản phẩm Tường lửa có tích hợp chức năng phòng, chống xâm nhập hoặc phương án tương đương;
iii. Có phương án phòng chống mã độc cho máy chủ và máy trạm sử dụng sản phẩm Phòng chống mã độc hoặc phương án tương đương;
iv. Có phương án phòng chống tấn công mạng cho ứng dụng web; sử dụng sản phẩm Tường lửa ứng dụng web đối với hệ thống thông tin theo quy định tại khoản 2 Điều 8 Nghị định 85/2016/NĐ-CP;
v. Có phương án bảo đảm an toàn thông tin cho hệ thống thư điện tử đối với hệ thống thư điện tử;
vi. Có phương án dự phòng cho các thiết bị mạng chính, bao gồm thiết bị chuyển mạch trung tâm hoặc tương đương, thiết bị tường lửa trung tâm.
2. Yêu cầu về thiết lập, cấu hình hệ thống
| STT | Yêu cầu | TCVN 11930:2017 |
||||
| 1.1 | Bảo đảm an toàn mạng | Mục 6.2.1 |
| 1.1.1 | Kiểm soát truy cập từ bên ngoài mạng | Mục 6.2.1.2 |
| 1.1.2 | Kiểm soát truy cập từ bên trong mạng | Mục 6.2.1.3 |
| 1.1.3 | Nhật kí hệ thống | Mục 6.2.1.4 |
| 1.1.4 | Phòng chống xâm nhập | Mục 6.2.1.5 |
| 1.1.5 | Bảo vệ thiết bị hệ thống | Mục 6.2.1.6 |
| 1.2 | Bảo đảm an toàn máy chủ | Mục 6.2.2 |
| 1.2.1 | Xác thực | Mục 6.2.2.1 |
| 1.2.2 | Kiểm soát truy cập | Mục 6.2.2.2 |
| 1.2.3 | Nhật ký hệ thống | Mục 6.2.2.3 |
| 1.2.4 | Phòng chống xâm nhập | Mục 6.2.2.4 |
| 1.2.5 | Phòng chống phần mềm độc hại | Mục 6.2.2.5 |
| 1.2.6 | Xử lý máy chủ khi chuyển giao | Mục 6.2.2.6 |
| 1.3 | Bảo đảm an toàn ứng dụng | Mục 6.2.3 |
| 1.3.1 | Xác thực | Mục 6.2.3.1 |
| 1.3.2 | Kiểm soát truy cập | Mục 6.2.3.2 |
| 1.3.3 | Nhật kí hệ thống | Mục 6.2.3.3 |
| 1.3.4 | An toàn ứng dụng và mã nguồn | Mục 6.2.3.4 |
| 1.4 | Bảo đảm an toàn dữ liệu | Mục 6.2.4 |
| 1.4.1 | Bảo mật dữ liệu | Mục 6.2.4.1 |
| 1.4.2 | Sao lưu dự phòng | Mục 6.2.4.2 |
PHỤ LỤC III
YÊU CẦU CƠ BẢN BẢO ĐẢM AN TOÀN HỆ THỐNG THÔNG TIN ĐỐI VỚI HỆ THỐNG THÔNG TIN CẤP ĐỘ 3 (Ban hành kèm theo Thông tư số /2022/TT-BTTTT ngày tháng năm 2022 của Bộ trưởng Bộ Thông tin và Truyền thông)
I. YÊU CẦU QUẢN LÝ
| STT | Yêu cầu | TCVN 11930:2017 |
||||
| 1.1 | Thiết lập chính sách an toàn thông tin | Mục 7.1.1 |
| 1.1.1 | Chính sách an toàn thông tin | Mục 7.1.1.1 |
| 1.1.2 | Xây dựng và công bố | Mục 7.1.1.2 |
| 1.1.3 | Rà soát, sửa đổi | Mục 7.1.1.3 |
| 1.2 | Tổ chức bảo đảm an toàn thông tin | Mục 7.1.2 |
| 1.2.1 | Đơn vị chuyên trách về an toàn thông tin | Mục 7.1.2.1 |
| 1.2.2 | Phối hợp với cơ quan/tổ chức có thẩm quyền | Mục 7.1.2.2 |
| 1.3 | Bảo đảm nguồn nhân lực | Mục 7.1.3 |
| 1.3.1 | Tuyển dụng | Mục 7.1.3.1 |
| 1.3.2 | Trong quá trình làm việc | Mục 7.1.3.2 |
| 1.3.3 | Chấm dứt hoặc thay đổi công việc | Mục 7.1.3.3 |
| 1.4 | Quản lý thiết kế, xây dựng hệ thống | Mục 7.1.4 |
| 1.4.1 | Thiết kế an toàn hệ thống thông tin | Mục 7.1.4.1 |
| 1.4.2 | Phát triển phần mềm thuê khoán | Mục 7.1.4.2 |
| 1.4.3 | Thử nghiệm và nghiệm thu hệ thống | Mục 7.1.4.3 |
| 1.5 | Quản lý vận hành hệ thống | Mục 7.1.5 |
| 1.5.1 | Quản lý an toàn mạng | Mục 7.1.5.1 |
| 1.5.2 | Quản lý an toàn máy chủ và ứng dụng | Mục 7.1.5.2 |
| 1.5.3 | Quản lý an toàn dữ liệu | Mục 7.1.5.3 |
| 1.5.4 | Quản lý an toàn thiết bị đầu cuối | Mục 7.1.5.4 |
| 1.5.5 | Quản lý phòng chống phần mềm độc hại | Mục 7.1.5.5 |
| 1.5.6 | Quản lý giám sát an toàn hệ thống thông tin | Mục 7.1.5.6 |
| 1.5.7 | Quản lý điểm yếu an toàn thông tin | Mục 7.1.5.7 |
| 1.5.8 | Quản lý sự cố an toàn thông tin | Mục 7.1.5.8 |
| 1.5.9 | Quản lý an toàn người sử dụng đầu cuối | Mục 7.1.5.9 |
| 1.6 | Phương án Quản lý rủi ro an toàn thông tin | |
| 1.7 | Phương án Kết thúc vận hành, khai thác, thanh lý, hủy bỏ | |
II. YÊU CẦU KỸ THUẬT
1. Yêu cầu về thiết kế hệ thống
a) Thiết kế các vùng mạng trong hệ thống theo chức năng, các vùng mạng tối thiểu bao gồm:
i. Vùng mạng nội bộ;
ii. Vùng mạng biên;
iii. Vùng DMZ;
iv. Vùng máy chủ nội bộ;
v. Vùng mạng không dây (nếu có) tách riêng, độc lập với các vùng mạng khác;
vi. Vùng mạng máy chủ cơ sở dữ liệu;
vii. Vùng quản trị.
b) Có phương án thiết kế bảo đảm các yêu cầu sau:
i. Có phương án quản lý truy cập, quản trị hệ thống từ xa an toàn sử dụng mạng riêng ảo hoặc phương án tương đương; sử dụng sản phẩm Mạng riêng ảo đối với hệ thống thông tin có xử lý thông tin bí mật nhà nước hoặc hệ thống thông tin quy định tại điểm c khoản 2 Điều 9 Nghị định 85/2016/NĐ-CP;
ii. Có phương án quản lý truy cập giữa các vùng mạng và phòng chống xâm nhập sử dụng sản phẩm Tường lửa có tích hợp chức năng phòng, chống xâm nhập hoặc sản phẩm Phòng, chống xâm nhập lớp mạng;
iii. Có phương án cân bằng tải, dự phòng nóng cho các thiết bị mạng chính, tối thiểu bao gồm thiết bị chuyển mạch trung tâm hoặc tương đương, thiết bị tường lửa trung tâm, tường lửa ứng dụng web, hệ thống lưu trữ tập trung, tường lửa cơ sở dữ liệu (nếu có);
iv. Có phương án bảo đảm an toàn cho máy chủ cơ sở dữ liệu; sử dụng sản phẩm Tường lửa cơ sở dữ liệu đối với hệ thống cơ sở dữ liệu tập trung, đáp ứng tiêu chí quy định tại khoản 3 Điều 9 Nghị định 85/2016/NĐ-CP;
v. Có phương án chặn lọc phần mềm độc hại trên môi trường mạng sử dụng Tường lửa tích hợp chức năng phòng, chống mã độc trên môi trường mạng hoặc phương án tương đương;
vi. Có phương án phòng chống tấn công từ chối dịch vụ; sử dụng dịch vụ của doanh nghiệp hoặc sản phẩm Phòng, chống tấn công từ chối dịch vụ đối với các hệ thống Trung tâm dữ liệu, điện toán đám mây, hệ thống Định danh, xác thực điện tử, chứng thực điện tử, chữ ký số và hệ thống Kết nối tích hợp, chia sẻ dữ liệu, đáp ứng tiêu chí quy định tại khoản 3 Điều 9 Nghị định 85/2016/NĐ-CP;
vii. Có phương án phòng chống tấn công mạng cho ứng dụng web; sử dụng sản phẩm Tường lửa ứng dụng web đối với các hệ thống thông tin được quy định tại khoản 2, Điều 9 Nghị định 85/2016/NĐ-CP;
viii. Có phương án bảo đảm an toàn thông tin cho hệ thống thư điện tử; sử dụng sản phẩm Bảo đảm an toàn thông tin cho hệ thống thư điện tử đối với hệ thống Thư điện tử, đáp ứng tiêu chí quy định tại khoản 2 Điều 9 Nghị định 85/2016/NĐ-CP;
ix. Có phương án quản lý truy cập lớp mạng; sử dụng sản phẩm Quản lý truy cập lớp mạng đối với hệ thống Mạng nội bộ, Trung tâm giám sát điều hành an toàn thông tin mạng, đáp ứng tiêu chí quy định tại khoản 3 Điều 9 Nghị định 85/2016/NĐ-CP;
x. Có phương án giám sát hệ thống thông tin tập trung;
xi. Có phương án giám sát an toàn hệ thống thông tin tập trung sử dụng sản phẩm Quản lý và phân tích sự kiện an toàn thông tin hoặc sản phẩm tương đương;
xii. Có phương án quản lý sao lưu dự phòng tập trung sử dụng hệ thống lưu trữ tập trung và sản phẩm quản lý lưu trữ tập trung;
xiii. Có phương án quản lý phần mềm phòng chống mã độc trên máy chủ/máy tính người dùng, sử dụng sản phẩm Phòng, chống mã độc và/hoặc sản phẩm Phát hiện và phản ứng sự cố an toàn thông tin trên thiết bị đầu cuối, có chức năng quản lý tập trung;
xiv. Có phương án phòng, chống thất thoát dữ liệu; sử dụng sản phẩm Phòng, chống thất thoát dữ liệu đối với hệ thống thông tin có xử lý thông tin bí mật nhà nước hoặc hệ thống thông tin quy định tại điểm c khoản 2 Điều 9 Nghị định 85/2016/NĐ-CP;
xv. Có phương án dự phòng kết nối mạng Internet cho các máy chủ dịch vụ;
xvi. Có phương án bảo đảm an toàn cho mạng không dây (nếu có).
2. Yêu cầu về thiết lập, cấu hình hệ thống
| STT | Yêu cầu | TCVN 11930:2017 |
||||
| 1.1 | Bảo đảm an toàn mạng | Mục 7.2.1 |
| 1.1.1 | Kiểm soát truy cập từ bên ngoài mạng | Mục 7.2.1.2 |
| 1.1.2 | Kiểm soát truy cập từ bên trong mạng | Mục 7.2.1.3 |
| 1.1.3 | Nhật kí hệ thống | Mục 7.2.1.4 |
| 1.1.4 | Phòng chống xâm nhập | Mục 7.2.1.5 |
| 1.1.5 | Phòng chống phần mềm độc hại trên môi trường mạng | Mục 7.2.1.6 |
| 1.1.6 | Bảo vệ thiết bị hệ thống | Mục 7.2.1.7 |
| 1.2 | Bảo đảm an toàn máy chủ | Mục 7.2.2 |
| 1.2.1 | Xác thực | Mục 7.2.2.1 |
| 1.2.2 | Kiểm soát truy cập | Mục 7.2.2.2 |
| 1.2.3 | Nhật ký hệ thống | Mục 7.2.2.3 |
| 1.2.4 | Phòng chống xâm nhập | Mục 7.2.2.4 |
| 1.2.5 | Phòng chống phần mềm độc hại | Mục 7.2.2.5 |
| 1.2.6 | Xử lý máy chủ khi chuyển giao | Mục 7.2.2.6 |
| 1.3 | Bảo đảm an toàn ứng dụng | Mục 7.2.3 |
| 1.3.1 | Xác thực | Mục 7.2.3.1 |
| 1.3.2 | Kiểm soát truy cập | Mục 7.2.3.2 |
| 1.3.3 | Nhật kí hệ thống | Mục 7.2.3.3 |
| 1.3.4 | Bảo mật thông tin liên lạc | Mục 7.2.3.4 |
| 1.3.5 | Chống chối bỏ | Mục 7.2.3.5 |
| 1.3.6 | An toàn ứng dụng và mã nguồn | Mục 7.2.3.6 |
| 1.4 | Bảo đảm an toàn dữ liệu | Mục 7.2.4 |
| 1.4.1 | Nguyên vẹn dữ liệu | Mục 7.2.4.1 |
| 1.4.2 | Bảo mật dữ liệu | Mục 7.2.4.2 |
| 1.4.3 | Sao lưu dự phòng | Mục 7.2.4.3 |
PHỤ LỤC IV
YÊU CẦU CƠ BẢN BẢO ĐẢM AN TOÀN HỆ THỐNG THÔNG TIN ĐỐI VỚI HỆ THỐNG THÔNG TIN CẤP ĐỘ 4 (Ban hành kèm theo Thông tư số /2022/TT-BTTTT ngày tháng năm 2022 của Bộ trưởng Bộ Thông tin và Truyền thông)
I. YÊU CẦU QUẢN LÝ
| STT | Yêu cầu | TCVN 11930:2017 |
||||
| 1.1 | Thiết lập chính sách an toàn thông tin | Mục 8.1.1 |
| 1.1.1 | Chính sách an toàn thông tin | Mục 8.1.1.1 |
| 1.1.2 | Xây dựng và công bố | Mục 8.1.1.2 |
| 1.1.3 | Rà soát, sửa đổi | Mục 8.1.1.3 |
| 1.2 | Tổ chức bảo đảm an toàn thông tin | Mục 8.1.2 |
| 1.2.1 | Đơn vị chuyên trách về an toàn thông tin | Mục 8.1.2.1 |
| 1.2.2 | Phối hợp với cơ quan/tổ chức có thẩm quyền | Mục 8.1.2.2 |
| 1.3 | Bảo đảm nguồn nhân lực | Mục 8.1.3 |
| 1.3.1 | Tuyển dụng | Mục 8.1.3.1 |
| 1.3.2 | Trong quá trình làm việc | Mục 8.1.3.2 |
| 1.3.3 | Chấm dứt hoặc thay đổi công việc | Mục 8.1.3.3 |
| 1.4 | Quản lý thiết kế, xây dựng hệ thống | Mục 8.1.4 |
| 1.4.1 | Thiết kế an toàn hệ thống thông tin | Mục 8.1.4.1 |
| 1.4.2 | Phát triển phần mềm thuê khoán | Mục 8.1.4.2 |
| 1.4.3 | Thử nghiệm và nghiệm thu hệ thống | Mục 8.1.4.3 |
| 1.5 | Quản lý vận hành hệ thống | Mục 8.1.5 |
| 1.5.1 | Quản lý an toàn mạng | Mục 8.1.5.1 |
| 1.5.2 | Quản lý an toàn máy chủ và ứng dụng | Mục 8.1.5.2 |
| 1.5.3 | Quản lý an toàn dữ liệu | Mục 8.1.5.3 |
| 1.5.4 | Quản lý an toàn thiết bị đầu cuối | Mục 8.1.5.4 |
| 1.5.5 | Quản lý phòng chống phần mềm độc hại | Mục 8.1.5.5 |
| 1.5.6 | Quản lý giám sát an toàn hệ thống thông tin | Mục 8.1.5.6 |
| 1.5.7 | Quản lý điểm yếu an toàn thông tin | Mục 8.1.5.7 |
| 1.5.8 | Quản lý sự cố an toàn thông tin | Mục 8.1.5.8 |
| 1.5.9 | Quản lý an toàn người sử dụng đầu cuối | Mục 8.1.5.9 |
| 1.6 | Phương án Quản lý rủi ro an toàn thông tin | |
| 1.7 | Phương án Kết thúc vận hành, khai thác, thanh lý, hủy bỏ | |
II. YÊU CẦU KỸ THUẬT
1. Yêu cầu về thiết kế hệ thống
a) Thiết kế các vùng mạng trong hệ thống theo chức năng, các vùng mạng tối thiểu bao gồm:
i. Vùng mạng nội bộ;
ii. Vùng mạng biên;
iii. Vùng DMZ;
iv. Vùng máy chủ nội bộ;
v. Vùng mạng không dây (nếu có) tách riêng, độc lập với các vùng mạng khác;
vi. Vùng mạng máy chủ cơ sở dữ liệu;
vii. Vùng quản trị;
viii. Vùng quản trị thiết bị hệ thống.
b) Có phương án thiết kế bảo đảm các yêu cầu sau:
i. Có phương án quản lý truy cập, quản trị hệ thống từ xa an toàn sử dụng mạng riêng ảo hoặc phương án tương đương; sử dụng sản phẩm Mạng riêng ảo đối với hệ thống thông tin có xử lý thông tin bí mật nhà nước;
ii. Có phương án quản lý truy cập giữa các vùng mạng và phòng chống xâm nhập sử dụng sản phẩm Tường lửa có tích hợp chức năng phòng, chống xâm nhập hoặc sản phẩm Phòng, chống xâm nhập lớp mạng;
iii. Có phương án cân bằng tải, dự phòng nóng cho các thiết bị mạng chính, tối thiểu bao gồm thiết bị chuyển mạch trung tâm hoặc tương đương, thiết bị tường lửa trung tâm, tường lửa ứng dụng web, hệ thống lưu trữ tập trung, tường lửa cơ sở dữ liệu (nếu có);
iv. Có phương án bảo đảm an toàn cho máy chủ cơ sở dữ liệu; sử dụng sản phẩm Tường lửa cơ sở dữ liệu đối với hệ thống Cơ sở dữ liệu dùng chung đáp ứng tiêu chí quy định tại khoản 3 Điều 10 Nghị định 85/2016/NĐ-CP;
v. Có phương án chặn lọc phần mềm độc hại trên môi trường mạng sử dụng Sản phẩm Tường lửa tích hợp chức năng phòng, chống mã độc trên môi trường mạng hoặc phương án tương đương;
vi. Có phương án phòng chống tấn công từ chối dịch vụ; sử dụng dịch vụ của doanh nghiệp hoặc sản phẩm Phòng, chống tấn công từ chối dịch vụ đối với các hệ thống thông tin được quy định tại khoản 2 Điều 10 Nghị định 85/2016/NĐ-CP hoặc Hệ thống Trung tâm dữ liệu, điện toán đám mây, Định danh, xác thực điện tử, chứng thực điện tử, chữ ký số, Kết nối tích hợp, chia sẻ dữ liệu đáp ứng tiêu chí quy định tại khoản 3 Điều 10 Nghị định 85/2016/NĐ-CP;
vii. Có phương án phòng chống tấn công mạng cho ứng dụng web; sử dụng sản phẩm Tường lửa ứng dụng web đối với các hệ thống thông tin được quy định tại khoản 2 Điều 10 Nghị định 85/2016/NĐ-CP hoặc Hệ thống Trung tâm dữ liệu, điện toán đám mây, Định danh, xác thực điện tử, chứng thực điện tử, chữ ký số, Kết nối tích hợp, chia sẻ dữ liệu đáp ứng tiêu chí quy định tại khoản 3 Điều 10 Nghị định 85/2016/NĐ-CP;
viii. Có phương án bảo đảm an toàn thông tin cho hệ thống thư điện tử; sử dụng sản phẩm Bảo đảm an toàn thông tin cho hệ thống thư điện tử;
ix. Có phương án quản lý truy cập lớp mạng; sử dụng sản phẩm Quản lý truy cập lớp mạng đối với hệ thống Mạng nội bộ, Trung tâm giám sát điều hành an toàn thông tin mạng, đáp ứng tiêu chí quy định tại khoản 3 Điều 10 Nghị định 85/2016/NĐ-CP;
x. Có phương án giám sát hệ thống thông tin tập trung sử dụng sản phẩm Giám sát hệ thống thông tin tập trung;
xi. Có phương án giám sát an toàn hệ thống thông tin tập trung sử dụng sản phẩm Quản lý và phân tích sự kiện an toàn thông tin hoặc sản phẩm tương đương;
xii. Có phương án quản lý sao lưu dự phòng tập trung sử dụng hệ thống lưu trữ tập trung và sản phẩm quản lý lưu trữ tập trung;
xiii. Có phương án quản lý phần mềm phòng chống mã độc trên máy chủ/máy tính người dùng, sử dụng sản phẩm Phòng, chống mã độc và/hoặc sản phẩm Phát hiện và phản ứng sự cố an toàn thông tin trên thiết bị đầu cuối, có chức năng quản lý tập trung;
xiv. Có phương án phòng, chống thất thoát dữ liệu; sử dụng sản phẩm Phòng, chống thất thoát dữ liệu đối với hệ thống thông tin có xử lý thông tin bí mật nhà nước hoặc hệ thống Cơ sở dữ liệu dùng chung đáp ứng tiêu chí quy định tại khoản 3 Điều 10 Nghị định 85/2016/NĐ-CP;
xv. Có phương án dự phòng kết nối mạng Internet cho các máy chủ dịch vụ;
xvi. Có phương án bảo đảm an toàn cho mạng không dây (nếu có);
xvii. Có phương án quản lý tài khoản đặc quyền, sử dụng sản phẩm Quản lý tài khoản đặc quyền.
2. Yêu cầu về thiết lập, cấu hình hệ thống
| STT | Yêu cầu | TCVN 11930:2017 |
||||
| 1.1 | Bảo đảm an toàn mạng | Mục 8.2.1 |
| 1.1.1 | Kiểm soát truy cập từ bên ngoài mạng | Mục 8.2.1.2 |
| 1.1.2 | Kiểm soát truy cập từ bên trong mạng | Mục 8.2.1.3 |
| 1.1.3 | Nhật kí hệ thống | Mục 8.2.1.4 |
| 1.1.4 | Phòng chống xâm nhập | Mục 8.2.1.5 |
| 1.1.5 | Phòng chống phần mềm độc hại trên môi trường mạng | Mục 8.2.1.6 |
| 1.1.6 | Bảo vệ thiết bị hệ thống | Mục 8.2.1.7 |
| 1.2 | Bảo đảm an toàn máy chủ | Mục 8.2.2 |
| 1.2.1 | Xác thực | Mục 8.2.2.1 |
| 1.2.2 | Kiểm soát truy cập | Mục 8.2.2.2 |
| 1.2.3 | Nhật ký hệ thống | Mục 8.2.2.3 |
| 1.2.4 | Phòng chống xâm nhập | Mục 8.2.2.4 |
| 1.2.5 | Phòng chống phần mềm độc hại | Mục 8.2.2.5 |
| 1.2.6 | Xử lý máy chủ khi chuyển giao | Mục 8.2.2.6 |
| 1.3 | Bảo đảm an toàn ứng dụng | Mục 8.2.3 |
| 1.3.1 | Xác thực | Mục 8.2.3.1 |
| 1.3.2 | Kiểm soát truy cập | Mục 8.2.3.2 |
| 1.3.3 | Nhật kí hệ thống | Mục 8.2.3.3 |
| 1.3.4 | Bảo mật thông tin liên lạc | Mục 8.2.3.4 |
| 1.3.5 | Chống chối bỏ | Mục 8.2.3.5 |
| 1.3.6 | An toàn ứng dụng và mã nguồn | Mục 8.2.3.6 |
| 1.4 | Bảo đảm an toàn dữ liệu | Mục 8.2.4 |
| 1.4.1 | Nguyên vẹn dữ liệu | Mục 8.2.4.1 |
| 1.4.2 | Bảo mật dữ liệu | Mục 8.2.4.2 |
| 1.4.3 | Sao lưu dự phòng | Mục 8.2.4.3 |
PHỤ LỤC V
YÊU CẦU CƠ BẢN BẢO ĐẢM AN TOÀN HỆ THỐNG THÔNG TIN ĐỐI VỚI HỆ THỐNG THÔNG TIN CẤP ĐỘ 5 (Ban hành kèm theo Thông tư số 12/2022/TT-BTTTT ngày 12 tháng 8 năm 2022 của Bộ trưởng Bộ Thông tin và Truyền thông)
I. YÊU CẦU QUẢN LÝ
| STT | Yêu cầu | TCVN 11930:2017 |
||||
| 1.1 | Thiết lập chính sách an toàn thông tin | Mục 9.1.1 |
| 1.1.1 | Chính sách an toàn thông tin | Mục 9.1.1.1 |
| 1.1.2 | Xây dựng và công bố | Mục 9.1.1.2 |
| 1.1.3 | Rà soát, sửa đổi | Mục 9.1.1.3 |
| 1.2 | Tổ chức bảo đảm an toàn thông tin | Mục 9.1.2 |
| 1.2.1 | Đơn vị chuyên trách về an toàn thông tin | Mục 9.1.2.1 |
| 1.2.2 | Phối hợp với cơ quan/tổ chức có thẩm quyền | Mục 9.1.2.2 |
| 1.3 | Bảo đảm nguồn nhân lực | Mục 9.1.3 |
| 1.3.1 | Tuyển dụng | Mục 9.1.3.1 |
| 1.3.2 | Trong quá trình làm việc | Mục 9.1.3.2 |
| 1.3.3 | Chấm dứt hoặc thay đổi công việc | Mục 9.1.3.3 |
| 1.4 | Quản lý thiết kế, xây dựng hệ thống | Mục 9.1.4 |
| 1.4.1 | Thiết kế an toàn hệ thống thông tin | Mục 9.1.4.1 |
| 1.4.2 | Phát triển phần mềm thuê khoán | Mục 9.1.4.2 |
| 1.4.3 | Thử nghiệm và nghiệm thu hệ thống | Mục 9.1.4.3 |
| 1.5 | Quản lý vận hành hệ thống | Mục 9.1.5 |
| 1.5.1 | Quản lý an toàn mạng | Mục 9.1.5.1 |
| 1.5.2 | Quản lý an toàn máy chủ và ứng dụng | Mục 9.1.5.2 |
| 1.5.3 | Quản lý an toàn dữ liệu | Mục 9.1.5.3 |
| 1.5.4 | Quản lý an toàn thiết bị đầu cuối | Mục 9.1.5.4 |
| 1.5.5 | Quản lý phòng chống phần mềm độc hại | Mục 9.1.5.5 |
| 1.5.6 | Quản lý giám sát an toàn hệ thống thông tin | Mục 9.1.5.6 |
| 1.5.7 | Quản lý điểm yếu an toàn thông tin | Mục 9.1.5.7 |
| 1.5.8 | Quản lý sự cố an toàn thông tin | Mục 9.1.5.8 |
| 1.5.9 | Quản lý an toàn người sử dụng đầu cuối | Mục 9.1.5.9 |
| 1.6 | Phương án Quản lý rủi ro an toàn thông tin | |
| 1.7 | Phương án Kết thúc vận hành, khai thác, thanh lý, hủy bỏ | |
II. YÊU CẦU KỸ THUẬT
1. Yêu cầu về thiết kế hệ thống
a) Thiết kế các vùng mạng trong hệ thống theo chức năng, các vùng mạng tối thiểu bao gồm:
i. Vùng mạng nội bộ;
ii. Vùng mạng biên;
iii. Vùng DMZ;
iv. Vùng máy chủ nội bộ;
v. Vùng mạng không dây (nếu có) tách riêng, độc lập với các vùng mạng khác;
vi. Vùng mạng máy chủ cơ sở dữ liệu;
vii. Vùng quản trị;
viii. Vùng quản trị thiết bị hệ thống.
b) Có phương án thiết kế bảo đảm các yêu cầu sau:
i. Có phương án quản lý truy cập, quản trị hệ thống từ xa an toàn sử dụng sản phẩm Mạng riêng ảo;
ii. Có phương án quản lý truy cập giữa các vùng mạng và phòng chống xâm nhập, sử dụng sản phẩm Phòng, chống xâm nhập lớp mạng;
iii. Có phương án cân bằng tải, dự phòng nóng cho các thiết bị mạng;
iv. Có phương án bảo đảm an toàn cho máy chủ cơ sở dữ liệu; sử dụng sản phẩm Tường lửa cơ sở dữ liệu đối với hệ thống thông tin được quy định tại khoản 2 Điều 11 Nghị định 85/2016/NĐ-CP;
v. Có phương án chặn lọc phần mềm độc hại trên môi trường mạng sử dụng sản phẩm Tường lửa tích hợp chức năng phòng, chống mã độc trên môi trường mạng hoặc phương án tương đương;
vi. Có phương án phòng chống tấn công từ chối dịch vụ; sử dụng dịch vụ của doanh nghiệp hoặc sản phẩm Phòng, chống tấn công từ chối dịch vụ đối với các hệ thống thông tin được quy định tại khoản 2, khoản 3 Điều 11 Nghị định 85/2016/NĐ-CP;
vii. Có phương án phòng chống tấn công mạng cho ứng dụng web; sử dụng sản phẩm Tường lửa ứng dụng web đối với hệ thống thông tin theo quy định tại khoản 2 Điều 11 Nghị định 85/2016/NĐ-CP;
viii. Có phương án bảo đảm an toàn thông tin cho hệ thống thư điện tử, sử dụng sản phẩm Bảo đảm an toàn thông tin cho hệ thống thư điện tử;
ix. Có phương án quản lý truy cập lớp mạng, sử dụng sản phẩm Quản lý truy cập lớp mạng;
x. Có phương án giám sát hệ thống thông tin tập trung sử dụng sản phẩm Giám sát hệ thống thông tin tập trung;
xi. Có phương án giám sát an toàn hệ thống thông tin tập trung sử dụng sản phẩm Quản lý và phân tích sự kiện an toàn thông tin hoặc sản phẩm tương đương;
xii. Có phương án quản lý sao lưu dự phòng tập trung sử dụng hệ thống lưu trữ tập trung và sản phẩm quản lý lưu trữ tập trung;
xiii. Có phương án quản lý phần mềm phòng chống mã độc trên máy chủ/máy tính người dùng, sử dụng sản phẩm Phòng, chống mã độc và/hoặc sản phẩm Phát hiện và phản ứng sự cố an toàn thông tin trên thiết bị đầu cuối, có chức năng quản lý tập trung;
xiv. Có phương án phòng, chống thất thoát dữ liệu; sử dụng sản phẩm Phòng, chống thất thoát dữ liệu đối với hệ thống thông tin có xử lý thông tin bí mật nhà nước hoặc hệ thống thông tin quy định tại khoản 2 Điều 11 Nghị định 85/2016/NĐ-CP;
xv. Có phương án dự phòng kết nối mạng Internet cho các máy chủ dịch vụ;
xvi. Có phương án bảo đảm an toàn cho mạng không dây (nếu có);
xvii. Có phương án quản lý tài khoản đặc quyền, sử dụng sản phẩm Quản lý tài khoản đặc quyền;
xviii. Có phương án dự phòng hệ thống ở vị trí địa lý khác nhau, cách nhau tối thiểu 30 km;
xix. Có phương án dự phòng cho kết nối mạng giữa các hệ thống chính và dự phòng.
2. Yêu cầu về thiết lập, cấu hình hệ thống
| STT | Yêu cầu | TCVN 11930:2017 |
||||
| 1.1 | Bảo đảm an toàn mạng | Mục 9.2.1 |
| 1.1.1 | Kiểm soát truy cập từ bên ngoài mạng | Mục 9.2.1.2 |
| 1.1.2 | Kiểm soát truy cập từ bên trong mạng | Mục 9.2.1.3 |
| 1.1.3 | Nhật kí hệ thống | Mục 9.2.1.4 |
| 1.1.4 | Phòng chống xâm nhập | Mục 9.2.1.5 |
| 1.1.5 | Phòng chống phần mềm độc hại trên môi trường mạng | Mục 9.2.1.6 |
| 1.1.6 | Bảo vệ thiết bị hệ thống | Mục 9.2.1.7 |
| 1.2 | Bảo đảm an toàn máy chủ | Mục 9.2.2 |
| 1.2.1 | Xác thực | Mục 9.2.2.1 |
| 1.2.2 | Kiểm soát truy cập | Mục 9.2.2.2 |
| 1.2.3 | Nhật ký hệ thống | Mục 9.2.2.3 |
| 1.2.4 | Phòng chống xâm nhập | Mục 9.2.2.4 |
| 1.2.5 | Phòng chống phần mềm độc hại | Mục 9.2.2.5 |
| 1.2.6 | Xử lý máy chủ khi chuyển giao | Mục 9.2.2.6 |
| 1.3 | Bảo đảm an toàn ứng dụng | Mục 9.2.3 |
| 1.3.1 | Xác thực | Mục 9.2.3.1 |
| 1.3.2 | Kiểm soát truy cập | Mục 9.2.3.2 |
| 1.3.3 | Nhật kí hệ thống | Mục 9.2.3.3 |
| 1.3.4 | Bảo mật thông tin liên lạc | Mục 9.2.3.4 |
| 1.3.5 | Chống chối bỏ | Mục 9.2.3.5 |
| 1.3.6 | An toàn ứng dụng và mã nguồn | Mục 9.2.3.6 |
| 1.4 | Bảo đảm an toàn dữ liệu | Mục 9.2.4 |
| 1.4.1 | Nguyên vẹn dữ liệu | Mục 9.2.4.1 |
| 1.4.2 | Bảo mật dữ liệu | Mục 9.2.4.2 |
| 1.4.3 | Sao lưu dự phòng | Mục 9.2.4.3 |