Thông tư quy định rõ các yêu cầu bảo đảm an toàn hệ thống thông tin theo cấp độ. Theo đó, việc bảo đảm an toàn hệ thống thông tin theo cấp độ phải tuân thủ các yêu cầu cơ bản quy định tại Thông tư này và Tiêu chuẩn quốc gia TCVN 11930: 2017 về Công nghệ thông tin – kỹ thuật bảo mật – yêu cầu. các yêu cầu cơ bản về bảo mật hệ thống thông tin theo cấp độ.
Các yêu cầu cơ bản đối với mỗi cấp là các yêu cầu tối thiểu để đảm bảo an toàn hệ thống thông tin, bao gồm các yêu cầu cơ bản về quản lý, các yêu cầu kỹ thuật cơ bản và không bao gồm các yêu cầu về bảo mật. an toàn thể chất.
Trong đó, các yêu cầu cơ bản đối với công tác quản lý, bao gồm: Thiết lập chính sách an toàn thông tin; tổ chức bảo đảm an toàn thông tin; đảm bảo nguồn nhân lực; thiết kế hệ thống và quản lý xây dựng; quản lý vận hành hệ thống; kế hoạch quản lý rủi ro an toàn thông tin; phương án chấm dứt vận hành, khai thác, thanh lý, tiêu hủy hệ thống thông tin.
Các yêu cầu kỹ thuật cơ bản, bao gồm: Đảm bảo an toàn mạng; máy chủ bảo mật ảo; bảo mật ứng dụng; đảm bảo an toàn dữ liệu.
Việc xây dựng phương án bảo đảm an toàn thông tin đáp ứng yêu cầu cơ bản ở từng cấp độ thực hiện theo nguyên tắc quy định tại Khoản 2 Điều 4 Nghị định số 85/2016 / NĐ-CP, cụ thể như sau:
Đối với hệ thống thông tin cấp độ 1, 2, 3, phương án đảm bảo an toàn thông tin phải xem xét khả năng chia sẻ giữa các hệ thống thông tin để có giải pháp bảo vệ, chia sẻ tài nguyên nhằm tối ưu hóa. hiệu quả hoạt động, tránh đầu tư thừa, trùng lặp, lãng phí.
Đối với hệ thống thông tin cấp độ 4, 5: Phương án đảm bảo an toàn thông tin cần được thiết kế để đảm bảo tính sẵn sàng, tách biệt và hạn chế ảnh hưởng đến toàn bộ hệ thống khi một thành phần trong hệ thống hoặc liên quan đến hệ thống mất an toàn thông tin.
Ngoài ra, Thông tư cũng quy định cụ thể các yêu cầu bảo đảm an toàn thông tin đối với phần mềm nội bộ khi xây dựng mới, mở rộng, nâng cấp: Phần mềm nội bộ xây dựng mới, mở rộng, nâng cấp phải tuân thủ Khung phát triển phần mềm an toàn; đáp ứng các yêu cầu bảo mật cơ bản cho Phần mềm nội bộ.
Trường hợp hệ thống thông tin cấp độ 3 được triển khai dưới hình thức cho thuê dịch vụ công nghệ thông tin tại Trung tâm dữ liệu hoặc Điện toán đám mây thì thiết kế hệ thống phải đáp ứng các yêu cầu sau: Phải được thiết kế riêng biệt, độc lập với các hệ thống khác về mặt logic và có các biện pháp quản lý truy cập giữa các hệ thống; các vùng mạng trong hệ thống phải được thiết kế riêng biệt, độc lập logic với nhau và có biện pháp quản lý truy cập giữa các vùng mạng; có phân vùng lưu trữ riêng biệt độc lập về mặt logic.
Trường hợp hệ thống thông tin cấp 4, cấp 5 được triển khai theo hình thức thuê dịch vụ công nghệ thông tin tại Trung tâm dữ liệu hoặc Điện toán đám mây thì thiết kế hệ thống phải đáp ứng các yêu cầu sau: thiết kế riêng biệt, độc lập về mặt vật lý với các hệ thống khác và có biện pháp quản lý. truy cập giữa các hệ thống; các vùng mạng trong hệ thống phải được thiết kế riêng biệt, độc lập logic với nhau và có biện pháp quản lý truy cập giữa các vùng mạng; có các phân vùng lưu trữ được tách biệt về mặt vật lý; các thiết bị mạng chính phải được tách biệt về mặt vật lý.
Thông tư này có hiệu lực thi hành kể từ ngày 01/10/2022.
