Skip Ribbon Commands
Skip to main content
Thứ bảy, ngày 02/07/2022

Lấy ý kiến nhân dân về dự thảo văn bản quy phạm pháp luật "Quy định về việc sử dụng các thiết bị, máy móc đối với các hệ thống thông tin Chính phủ điện tử để bảo đảm an toàn thông tin mạng"

Các ý kiến đóng góp

 

 THỦ TƯỚNG CHÍNH PHỦ
CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM
Độc lập - Tự do - Hạnh phúc
Số:        /2022/QĐ-TTg
Nội, ngày      tháng     năm       2022

Text Box: Dự thảo 4

QUYẾT ĐỊNH

Quy định về việc sử dụng các thiết bị, máy móc đối với các

hệ thống thông tin Chính phủ điện tử để bảo đảm an toàn thông tin mạng

THỦ TƯỚNG CHÍNH PHỦ

Căn cứ Luật Tổ chức Chính phủ ngày 19 tháng 6 năm 2015;

Căn cứ Luật Công nghệ thông tin ngày 29 tháng 6 năm 2006;

Căn cứ Luật An toàn thông tin mạng ngày 19 tháng 11 năm 2015;

Căn cứ Nghị định số 85/2016/NĐ-CP ngày 01 tháng 07 năm 2016 của Chính phủ về bảo đảm an toàn hệ thống thông tin theo cấp độ;

Căn cứ Nghị định 73/2019/NĐ-CP ngày 05 tháng 9năm2019 của Chính phủ quy định về quản lý đầu tư ứng dụng công nghệ thông tin sử dụng nguồn vốn ngân sách nhà nước;

Theo đề nghị của Bộ trưởng Bộ Thông tin và Truyền thông;

Thủ tướng Chính phủ ban hành Quyết định quy định về việc sử dụng các thiết bị, máy móc đối với các hệ thống thông tin Chính phủ điện tử để bảo đảm an toàn thông tin mạng.

 Chương I

 NHỮNG QUY ĐỊNH CHUNG

Điều 1. Phạm vi điều chỉnh

Quyết định này quy định về việc sử dụng thiết bị, máy móc đối với các hệ thống thông tin phục vụ Chính phủ điện tử để bảo đảm an toàn thông tin mạng.

Điều 2. Đối tượng áp dụng

1. Quyết định này áp dụng đối với cơ quan, tổ chức sử dụng kinh phí đầu tư, kinh phí thường xuyên từ nguồn vốn ngân sách nhà nước.

2. Khuyến khích các cơ quan, tổ chức khác áp dụng quy định tại văn bản này khi sử dụng thiết bị, máy móc để tăng cường bảo đảm an toàn thông tin cho hệ thống thông tin của mình.

Điều 3. Giải thích từ ngữ

Trong Quyết định này các từ, ngữ dưới đây được hiểu như sau:

1. Thiết bị, máy móc là sản phẩm phần cứng, phần mềm thực hiện các chức năng trao đổi thông tin, dữ liệu.

2. Hệ thống thông tin phục vụ Chính phủ điện tử là các hệ thống thông tin sử dụng kinh phí từ ngân sách nhà nước để đầu tư, thuê dịch vụ để phục vụ phát triển Chính phủ điện tử.

Điều 4. Nguyên tắc sử dụng thiết bị, máy móc để đảm bảo an toàn thông tin mạng

1. An toàn thông tin mạng là tiêu chí đặc biệt quan trọng đối với thiết bị, máy móc khi đầu tư, mua sắm, thuê dịch vụ, trước khi đưa vào sử dụng, trong quá trình sử dụng và sau khi sử dụng.

2. Thiết bị, máy móc phải được thực hiện kiểm tra, đánh giá và có xác nhận đáp ứng an toàn thông tin trước khi đưa vào sử dụng trong hệ thống thông tin phục vụ Chính phủ điện tử.

3. Thiết bị, máy móc phải tuân thủ các yêu cầu an toàn thông tin quy định tại Chương II Quyết định này.

4. Ưu tiên sử dụng máy móc, thiết bị được sản xuất trong nước theo quy định tại Điều 4 Nghị định 73/2019/NĐ-CP ngày 05/9/2019 của Chính phủ quy định về quản lý đầu tư ứng dụng công nghệ thông tin sử dụng nguồn vốn ngân sách nhà nước.

 Chương II

 YÊU CẦU AN TOÀN THÔNG TIN MẠNG CƠ BẢN

Điều 5. Yêu cầu an toàn cơ bản đối với thiết bị, máy móc

1. Thiết bị, máy móc không tồn tại lỗ hổng, điểm yếu an toàn thông tin bao gồm:

a) Lỗ hổng, điểm yếu được công bố bởi Bộ Thông tin và Truyền thông (Cục An toàn thông tin), công bố bởi các tổ chức quốc tế như Common Vulnerabilities and Exposures (cve.org), Data Security Threats Database, Japan Vulnerability Notes, National Vulnerability Database (nvd.nist.gov), cisa.gov. cvedetails.com hoặc các tổ chức trong nước, quốc tế khác do Bộ Thông tin và Truyền thông xác định.

b) Lỗ hổng, điểm yếu được phát hiện bởi hoạt động kiểm tra, đánh giá an toàn thông tin theo quy định tại Điều 6.

2. Thiết bị, máy móc phải được cài đặt, cấu hình các chức năng đúng theo tài liệu mô tả của thiết bị, máy móc hoặc theo yêu cầu của chủ quản hệ thống.  

Điều 6. Yêu cầu về kiểm tra, đánh giá an toàn thông tin trước khi mua sắm, đầu tư hoặc thuê dịch vụ

1. Thiết bị, máy móc trước khi mua sắm, đầu tư phải thực hiện:

a) Kiểm tra, đánh giá và khắc phục lỗ hổng, điểm yếu an toàn thông tin;

b) Kiểm tra, đánh giá và khắc phục lỗ hổng, điểm yếu an toàn thông tin đối với cả mã nguồn phần mềm nội bộ (phần mềm có thể lập trình thêm, sửa tính năng).

c) Được xác nhận đáp ứng các tiêu chí, yêu cầu kỹ thuật về đảm bảo an toàn thông tin.

2. Hoạt động kiểm tra, đánh giá và xác nhận đáp ứng các yêu cầu đảm bảo an toàn thông tin quy định tại khoản 1 Điều này phải được thực hiện bởi doanh nghiệp có giấy phép cung cấp dịch vụ kiểm tra, đánh giá an toàn thông tin hoặc tổ chức, đơn vị sự nghiệp nhà nước có chức năng, nhiệm vụ phù hợp được Bộ Thông tin và Truyền thông chỉ định.

Điều 7. Yêu cầu đối với thiết bị, máy móc trước khi đưa vào sử dụng

1. Cập nhật thông tin về hiện trạng thiết bị.

2. Cài đặt phần mềm bảo vệ hoặc thiết lập các biện pháp bảo vệ cần thiết cho thiết bị, máy móc; rà soát, thay đổi cấu hình mặc định để đảm bảo an toàn thông tin cho thiết bị, máy móc; thiết lập phân quyền ở mức độ tối thiểu cho người sử dụng; rà soát và tắt các chức năng không cần thiết.

3. Người được giao sử dụng thiết bị phải cam kết và ký thỏa thuận bảo đảm an toàn thông tin cho thiết bị theo yêu cầu của chủ quản hệ thống thông tin.

Điều 8. Yêu cầu đảm bảo an toàn thông tin mạng đối với thiết bị, máy móc trong quá trình vận hành, khai thác

1. Máy móc, thiết bị phải được cấu hình lưu giữ nhật ký, tối thiểu bao gồm nhật ký hệ điều hành, nhật ký phần mềm bảo vệ hệ thống. Nội dung nhật ký, thời gian lưu giữ nhật ký và tần suất kiểm tra, rà soát nhật ký được thực hiện theo quy định của chủ quản hệ thống thông tin.

2. Xử lý, khắc phục ngay các điểm yếu, lỗ hổng, rủi ro phát hiện được; cập nhật kịp thời các bản vá lỗi và qua các kênh chính thức, đáng tin cậy.

3. Sao lưu dữ liệu thường xuyên; dữ liệu sao lưu phải được quản lý chặt chẽ và lưu trữ trên các phương tiện an toàn, tin cậy theo quy định của chủ quản hệ thống thông tin.       

4. Rà soát, cập nhật tình trạng thiết bị, máy móc và thực hiện các biện pháp khắc phục, nâng cao khả năng đảm bảo an toàn thông tin cho thiết bị, máy móc khi có sự thay đổi.

5. Khi thiết bị, máy móc được mang đi bảo hành hoặc mang ra khỏi cơ quan thì phải thực hiện các biện pháp xử lý dữ liệu (sao lưu, xóa bỏ,..) đảm bảo dữ liệu được an toàn.

6. Quản lý cấu hình hệ điều hành, chia sẻ tài nguyên, cài đặt, sử dụng và gỡ bỏ các phần mềm, ứng dụng, tính năng trên thiết bị, máy móc để đảm bảo phù hợp với nhu cầu công việc.

7. Chủ quản hệ thống thông tin quy định chi tiết các nội dung về quản lý nhật ký; sao lưu dữ liệu; và quản lý cấu hình, tài nguyên và sử dụng phần mềm trên máy móc, thiết bị.

Điều 9. Yêu cầu bảo đảm an toàn và bảo mật dữ liệu khi thiết bị, máy móc không còn được sử dụng hoặc thay đổi mục đích sử dụng

1. Sao lưu, hủy bỏ theo quy trình thống nhất, tập trung để đảm bảo dữ liệu không để lộ lọt ra bên ngoài.

2. Tự thực hiện hoặc lựa chọn tổ chức, doanh nghiệp có đủ năng lực để thực hiện xóa bỏ toàn bộ, vĩnh viễn dữ liệu đã được lưu trên thiết bị, máy móc nhằm đảm bảo dữ liệu không thể được khôi phục sau khi xóa bỏ, hủy bỏ.

3. Gỡ bỏ các phần mềm hết hạn, không còn giá trị khỏi thiết bị, máy móc.

4. Khôi phục thiết bị, máy móc về trạng thái mặc định khi thay đổi người sử dụng.

Chương III

TRÁCH NHIỆM CỦA CƠ QUAN, TỔ CHỨC

Điều 10. Trách nhiệm của Bộ Thông tin và Truyền thông

1. Hướng dẫn quy trình kiểm tra, đánh giá và chứng nhận đáp ứng yêu cầu đảm bảo an toàn thông tin.

2. Chủ trì hướng dẫn và tổ chức thực hiện Quyết định này. Tổ chức phổ biến nội dung Quyết định đến tất cả các cơ quan, tổ chức, doanh nghiệp liên quan để quán triệt thực hiện.

3. Chỉ đạo, đôn đốc, kiểm tra, giám sát, thanh tra việc thực hiện các quy định tại Quyết định này đến tất cả các cơ quan, tổ chức, doanh nghiệp, cá nhân liên quan thuộc lĩnh vực quản lý.

4. Hàng năm tổng hợp tình hình thực hiện Quyết định này, lồng ghép trong báo cáo hoạt động bảo đảm an toàn thông tin mạng gửi Bộ Thông tin và Truyền thông để tổng hợp, báo cáo Thủ tướng Chính phủ.

5. Chỉ định đơn vị có chức năng, nhiệm vụ phù hợp thực hiện thực hiện đánh giá an toàn thông tin theo quy định tại khoản 2, Điều 6 Quyết định này.

Điều 11. Trách nhiệm của Bộ Quốc phòng, Bộ Công an.

1. Bộ Quốc phòng hướng dẫn, tổ chức kiểm tra, đánh giá để lựa chọn các máy móc, thiết bị sử dụng trong các hệ thống thông tin thuộc lĩnh vực Quốc phòng.

2. Bộ Công an hướng dẫn, tổ chức kiểm tra, đánh giá để lựa chọn các máy móc, thiết bị sử dụng trong các hệ thống thông tin thuộc ngành Công an.

Điều 12. Trách nhiệm của các Bộ, cơ quan ngang Bộ, cơ quan thuộc Chính phủ, Ủy ban nhân dân các tỉnh, thành phố trực thuộc trung ương

Các Bộ, cơ quan ngang Bộ, cơ quan thuộc Chính phủ, Ủy ban nhân dân các tỉnh, thành phố trực thuộc trung ương có trách nhiệm:

1. Tổ chức phổ biến, quán triệt thực hiện các quy định tại Quyết định này đến tất cả các cơ quan, tổ chức, doanh nghiệp liên quan thuộc địa bàn, lĩnh vực quản lý.

2. Chỉ đạo, đôn đốc, kiểm tra, giám sát, thanh tra việc thực hiện các quy định tại Quyết định này đến tất cả các cơ quan, tổ chức, doanh nghiệp, cá nhân liên quan thuộc địa bàn, lĩnh vực quản lý.

3. Tuân thủ việc kiểm tra, đánh giá an toàn thông tin mạng trước khi đưa vào sử dụng đối với tất cả các máy móc, thiết bị theo quy định tại Quyết định này và hướng dẫn của Bộ Thông tin và Truyền thông;

4. Lựa chọn, sử dụng các máy móc, thiết bị đáp ứng yêu cầu về an toàn thông tin mạng cho các hệ thống thông tin.

5. Hàng năm tổng hợp tình hình thực hiện Quyết định này, lồng ghép trong báo cáo hoạt động bảo đảm an toàn thông tin mạng gửi Bộ Thông tin và Truyền thông để tổng hợp, báo cáo Thủ tướng Chính phủ.

Điều 13. Trách nhiệm của cơ quan, tổ chức sử dụng thiết bị, máy móc

1. Đảm bảo các thiết bị, máy móc sử dụng trong hệ thống thông tin phục vụ Chính phủ điện tử đáp ứng các yêu cầu an toàn thông tin mạng cơ bản quy định tại Chương II của Quyết định này.

2. Quy định rõ về trách nhiệm người quản lý, người sử dụng, cán bộ chuyên trách trong việc đảm bản an toàn thông tin trong quá trình khai thác, sử dụng thiết bị.

3. Ban hành các quy định về việc cài đặt, cấu hình, thay đổi thông tin trên các thiết bị, máy móc; quy định về việc cập nhật các điểm yếu, bản vá lỗ hổng.

4. Giám sát và xử lý các trường hợp vi phạm quy định an toàn thông tin khi sử dụng thiết bị, máy móc.

Điều 14. Trách nhiệm của nhà cung cấp thiết bị, máy móc

1. Bảo đảm việc cung cấp thiết bị, máy móc sử dụng trong hệ thống thông tin phục vụ Chính phủ điện tử đáp ứng các yêu cầu an toàn thông tin mạng cơ bản quy định tại Điều 5, 6 Chương II của Quyết định này.

2. Thực hiện kiểm tra, đánh giá an toàn thông tin đáp ứng yêu cầu theo quy định tại Điều 6 Quyết định này.

3. Hỗ trợ kỹ thuật được bảo đảm trong suốt thời gian đã thoả thuận trong hợp đồng cung cấp.

4. Cung cấp hướng dẫn phiên bản cập nhật do nhà sản xuất thiết bị, máy móc đã nghiên cứu về các lỗ hổng tiềm ẩn để kịp thời xử lý và vá lỗi.

5. Xác minh, xử lý kịp thời và thông báo kết quả kiểm tra, xác minh, xử lý các lỗ hổng, điểm yếu cho các cơ quan tổ chức, cá nhân vận hành, sử dụng thiết bị, máy móc.

6. Cung cấp đầy đủ tài liệu hướng dẫn mô tả tổng quan chức năng và các nội dung khác liên quan để hướng dẫn người quản trị, người sử dụng quản lý, vận hành và khai thác, sử dụng thiết bị, máy móc

7. Cung cấp tài liệu về nguồn gốc, xuất xứ của thiết bị. Trường hợp máy móc thiết bị sử dụng trong hệ thống thông tin cấp độ 4, 5, yêu cầu bổ sung tài liệu cung cấp thông tin về các thành phần trong thiết bị có nguồn gốc, xuất xứ từ bên thứ ba theo hướng dẫn của Bộ Thông tin và Truyền thông.

  Chương IV

ĐIỀU KHOẢN THI HÀNH

Điều 15. Hiệu lực thi hành

Quyết định này có hiệu lực thi hành kể từ ngày …. tháng … năm 2021

Điều 16. Điều khoản thi hành

1. Các Bộ trưởng, Thủ trưởng cơ quan ngang Bộ, Thủ trưởng cơ quan thuộc Chính phủ, Chủ tịch Ủy ban nhân dân các tỉnh, thành phố trực thuộc Trung ương và các tổ chức, doanh nghiệp, cá nhân có liên quan chịu trách nhiệm thi hành Quyết định này.

2. Nếu có phát sinh khó khăn, vướng mắc trong quá trình thực hiện, các cơ quan, tổ chức phản ánh về Bộ Thông tin và Truyền thông để xử lý theo thẩm quyền hoặc tổng hợp, báo cáo Thủ tướng Chính phủ xem xét, quyết định./.

Nơi nhận:

- Ban Bí thư Trung ương Đảng;

- Thủ tướng Chính phủ;

- Các Phó Thủ tướng Chính phủ;

- Các Bộ, cơ quan ngang Bộ, cơ quan thuộc Chính phủ;

- HĐND, UBND tỉnh, thành phố trực thuộc Trung ương;

- Văn phòng Trung ương và các Ban của Đảng;

- Văn phòng Tổng Bí thư;

- Văn phòng Chủ tịch nước;

- Hội đồng Dân tộc và các Ủy ban của Quốc hội;

- Văn phòng Quốc hội;

- Tòa án nhân dân tối cao;

- Viện kiểm sát nhân dân tối cao;

- Kiểm toán nhà nước;

- Ủy ban Giám sát tài chính Quốc gia;

- Ngân hàng Chính sách xã hội;

- Ngân hàng Phát triển Việt Nam;

- Ủy ban Trung ương Mặt trận Tổ quốc Việt Nam;

- Cơ quan trung ương của các đoàn thể;

- VPCP: BTCN, các PCN, Trợ lý TTg, TGĐ Cổng TTĐT, các Vụ, Cục, đơn vị trực thuộc Công báo;

- Lưu: VT, TCCV (2).

THỦ TƯỚNG


 

 


Phạm Minh Chính