Nghị định 85/2016/NĐ-CP quy định chi tiết về tiêu chí, thẩm quyền, trình tự, thủ tục xác định cấp độ an toàn hệ thống thông tin và trách nhiệm bảo đảm an toàn hệ thống thông tin theo từng cấp độ đối với cơ quan, tổ chức, cá nhân tham gia hoặc có liên quan đến hoạt động thông tin tại Việt Nam.
1. Tiêu chí xác định cấp độ
– Nghị định số 85 phân loại thông tin theo thuộc tính bí mật gồm: Thông tin công cộng, thông tin riêng, thông tin cá nhân và thông tin bí mật nhà nước. Còn hệ thống thông tin được phân loại theo chức năng phục vụ hoạt động nghiệp vụ gồm: Hệ thống thông tin phục vụ hoạt động nội bộ; hệ thống thông tin phục vụ người dân, doanh nghiệp; hệ thống cơ sở hạ tầng thông tin; hệ thống điều khiển công nghiệp và hệ thống thông tin khác.
Tiêu chí xác định cấp độ từ cấp độ 01 đến cấp độ 05 của thông tin được quy định cụ thể tại Nghị định 85/2016. Mỗi cấp độ có những tiêu chí riêng và từ cấp độ 01 đến cấp độ 05, thông tin sẽ theo hướng tăng dần về phạm vi sử dụng thông tin, tính quan trọng và bảo mật của thông tin. Đơn cử hệ thống thông tin cấp độ 1 là hệ thống thông tin phục vụ hoạt động nội bộ của cơ quan, tổ chức và chỉ xử lý thông tin công cộng.
2. Thẩm quyền, trình tự và thủ tục xác định cấp độ
Theo Nghị định số 85 năm 2016, thẩm quyền thẩm định và phê duyệt cấp độ như sau:
– Cấp độ 1 và 2 sẽ do đơn vị chuyên trách về an toàn thông tin của chủ quản hệ thống thông tin thẩm định, phê duyệt.
– Cấp độ 3 sẽ do đơn vị chuyên trách về an toàn thông tin thẩm định hồ sơ đề xuất cấp độ và chủ quản hệ thống thông tin sẽ phê duyệt đối với hồ sơ đó.
– Thẩm quyền đối với cấp độ 4 và 5 được quy định như sau: Bộ Công an, Bộ Quốc phòng chủ trì thẩm định hồ sơ trong phạm vi quản lý của mình; Bộ Thông tin và truyền thông chủ trì thẩm định hồ sơ trừ trường hợp thuộc thẩm quyền của Bộ Quốc phòng và Bộ Công an; chủ quản hệ thống phê duyệt hồ sơ cấp độ 4 và phương án bảo đảm an toàn thông tin cấp độ 5; thủ tướng Chính phủ phê duyệt Danh mục hệ thống thông tin cấp độ 5.
Ngoài ra, Nghị định 85/NĐ-CP còn hướng dẫn hồ sơ đề xuất cấp độ gồm: Tài liệu tổng quan về hệ thống thông tin; tài liệu thiết kế; tài liệu thuyết minh về việc đề xuất cấp độ; tài liệu thuyết minh phương án bảo đảm an toàn thông tin; ý kiến về mặt chuyên môn của cơ quan chuyên trách về an toàn thông tin đối với hệ thống thông tin đề xuất cấp độ 4 hoặc cấp độ 5.
Nội dung của việc thẩm định hồ sơ đề xuất cấp độ là: Sự phù hợp của đề xuất; sự phù hợp của phương án bảo đảm an toàn hệ thống thông tin trong thiết kế và sự phù hợp của phương án bảo đảm an toàn hệ thống thông tin trong quá trình vận hành. Nghị định số 85/CP quy đình thời gian phê duyệt hồ sơ xác định cấp độ là 07 ngày kể từ ngày nhận hồ sơ hợp lệ.
3. Trách nhiệm bảo đảm hệ thống an toàn thông tin
Phương án bảo đảm an toàn hệ thống thông tin phải đáp ứng yêu cầu cơ bản trong tiêu chuẩn, quy chuẩn kỹ thuật về bảo đảm an toàn hệ thống thông tin theo cấp độ, gồm các nội dung sau: Bảo đảm an toàn trong thiết kế, xây dựng, vận hành; kiểm tra đánh giá, giám sát, quản lý rủi ro an toàn thông tin; dự phòng, ứng cứu sự cố, khôi phục sau thảm họa; kết thúc vận hành, khai thác, thanh lý, hủy bỏ.