Thực hiện Công văn số 2596/BTTTT-CATTT ngày 02/7/2024 của Bộ Thông tin và Truyền thông về việc hướng dẫn bảo đảm an toàn thông mạng cho các hệ thống thông tin thuộc phạm vi quản lý; để triển khai đồng bộ, hiệu quả công tác bảo đảm an toàn hệ thống thông tin trên địa bàn tỉnh, ngày 17/7/2024, Sở Thông tin và Truyền thông ban hành Công văn số 1254/STTTT-BCVT&CNTT hướng dẫn các cơ quan, đơn vị triển khai bảo đảm an toàn thông tin mạng cho các hệ thống thông tin thuộc phạm vi quản lý, gồm các nội dung chính:

1. Triển khai các biện pháp bảo vệ theo Hồ sơ đề xuất cấp độ được phê duyệt

- Hồ sơ đề xuất cấp độ đưa ra các phương án để đáp ứng các yêu cầu an toàn về quản lý và kỹ thuật theo quy định. Do đó, sau khi Hồ sơ đề xuất cấp độ được phê duyệt, các cơ quan, đơn vị cần triển khai đầy đủ các biện pháp bảo đảm an toàn thông tin theo quy định tại Điều 9, Điều 10 Thông tư số 12/2022/TT-BTTTT ngày 12/8/2022 của Bộ trưởng Bộ Thông tin và Truyền thông quy định chi tiết và hướng dẫn một số điều của Nghị định 85/2016/NĐ-CP ngày 01/7/2016 của Chính phủ về bảo đảm an toàn hệ thống thông tin theo cấp độ.

- Phương án bảo đảm an toàn thông tin về quản lý đưa ra các yêu cầu an toàn để bảo đảm an toàn hệ thống thông tin trong quá trình vận hành khai thác; Phương án bảo đảm an toàn thông tin về kỹ thuật đưa ra các yêu cầu về thiết kế, thiết lập hệ thống thông tin.

2. Tổ chức bảo đảm an toàn thông tin mạng theo mô hình 4 lớp

- Hệ thống thông tin sau khi được phê duyệt Hồ sơ đề xuất cấp độ, cần được triển khai đầy đủ phương án bảo đảm an toàn thông tin bao gồm: thiết kế, thiết lập hệ thống; quản lý, vận hành hệ thống theo Quy chế bảo đảm an toàn thông tin được ban hành cùng Hồ sơ đề xuất cấp độ.

- Để triển khai phương án bảo đảm an toàn hệ thống thông tin một cách tổng thể, đồng bộ và hiệu quả, các cơ quan, đơn vị tổ chức triển khai toàn diện, thực chất công tác bảo đảm an toàn thông tin theo mô hình 4 lớp.

- Tổ chức triển khai toàn diện, thực chất công tác bảo đảm an toàn thông tin theo mô hình 4 lớp là việc triển khai đầy đủ 4 lớp bảo vệ bao gồm: (1) Lực lượng tại chỗ; (2) Tổ chức hoặc doanh nghiệp giám sát, bảo vệ chuyên nghiệp; (3) Tổ chức hoặc doanh nghiệp độc lập kiểm tra, đánh giá định kỳ; (4) Kết nối, chia sẻ thông tin với hệ thống giám sát quốc gia.

- Việc tổ chức hoặc doanh nghiệp giám sát, bảo vệ chuyên nghiệp (Lớp 2) thực hiện đầy đủ bao gồm: (1) Lớp mạng, (2) Lớp Máy chủ, (3) Lớp ứng dụng, (4) Lớp thiết bị đầu cuối. Tổ chức hoặc doanh nghiệp độc lập kiểm tra, đánh giá định kỳ thực hiện đầy đủ (Lớp 3) thực hiện đầy đủ, bao gồm: Thiết bị hệ thống; Máy chủ và Ứng dụng.

3. Triển khai các nền tảng hỗ trợ bảo đảm an toàn thông tin mạng

- Nền tảng hỗ trợ quản lý bảo đảm an toàn hệ thống thông tin theo cấp độ

- Nền tảng điều phối xử lý sự cố an toàn thông tin mạng quốc gia (Nền tảng IRLab)

- Nền tảng hỗ trợ điều tra số (Nền tảng DFLab)

Ban biên tập Sở Tài chính./.