Hướng dẫn bảo đảm an toàn thông tin đối với Trung tâm Tích hợp dữ liệu của tỉnh
Ngày 19/6/2020, Cục An toàn thông tin-Bộ Thông tin và Truyền thông ban hành Công văn số 486/CATTT-ATHTT hướng dẫn bảo đảm an toàn thông tin đối với Trung tâm Tích hợp dữ liệu của tỉnh. Tài liệu này đưa ra các yêu cầu cơ bản và hướng dẫn bảo đảm an toàn thông tin đối với Trung tâm Tích hợp dữ liệu phục vụ hoạt động thuê ngoài dịch vụ CNTT của cơ quan, tổ chức để triển khai ứng dụng công nghệ thông tin theo Khung kiến trúc Chính phủ điện tử Việt Nam, phiên bản 2.0.
Đối tượng áp dụng: Cơ quan, tổ chức vận hành Trung tâm Tích hợp dữ liệu phục vụ Chính phủ điện tử (trong trường hợp chủ quản hệ thống thông tin thuê ngoài dịch vụ công nghệ thông tin) theo quy định tại khoản 3, Điều 3 Nghị định số 85/2016/NĐ-CP ngày 01/7/2016 của Chính phủ về bảo đảm an toàn hệ thống thông tin theo cấp độ (Nghị định số 85/2016/NĐ-CP).
Cơ quan, tổ chức tự đầu tư, quản lý vận hành Trung tâm Tích hợp dữ liệu hoặc thuê chỗ đặt thiết bị tại Trung tâm Tích hợp dữ liệu của doanh nghiệp (dịch vụ Colocation) không thuộc đối tượng áp dụng của hướng dẫn này, việc thực thi bảo đảm an toàn thông tin cho Trung tâm Tích hợp dữ liệu này thực hiện theo quy định tại Nghị định số 85/2016/NĐ-CP và hướng dẫn chi tiết tại Công văn số 713/CATTT-TĐQLGS ngày 25/7/2019. Cơ quan, tổ chức khác được khuyến nghị tham khảo, áp dụng hướng dẫn này để bảo đảm an toàn thông tin cho Trung tâm Tích hợp dữ liệu thuộc phạm vi quản lý của mình.
Nguyên tắc bảo đảm an toàn thông tin cho Trung tâm Tích hợp dữ liệu phục vụ Chính phủ điện tử: Phải tuân thủ quy định tại Điều 4 và Điều 5 Nghị định số 85/2016/NĐ-CP; Phương án bảo đảm an toàn thông tin cho Trung tâm Tích hợp dữ liệu phục vụ CPĐT phải đáp ứng các yêu cầu an toàn cho hệ thống thông tin có cấp độ cao nhất được triển khai trên đó; Hệ thống thông tin hoặc thành phần hệ thống thông tin do bên nào (bên cung cấp hoặc bên sử dụng dịch vụ) quản lý vận hành thì bên đó có trách nhiệm bảo đảm an toàn thông tin cho hệ thống/thành phần đó; Hồ sơ đề xuất cấp độ và phương án bảo đảm an toàn thông tin cho Trung tâm Tích hợp dữ liệu phục vụ Chính phủ điện tử phải được thẩm định, phê duyệt và triển khai, trước khi cung cấp dịch vụ; Hệ thống thông tin khác nhau được triển khai trên Trung tâm Tích hợp dữ liệu phục vụ Chính phủ điện tử phải đảm bảo sự phân tách về lô-gíc hoặc vật lý, được mô tả rõ ràng theo mô hình, hồ sơ cung cấp dịch vụ với nhà cung cấp dịch vụ để không gây ra nguy cơ mất an toàn giữa các hệ thống với nhau.
Phương án bảo đảm an toàn thông tin gồm các yêu cầu cơ bản: Yêu cầu an toàn trong thiết kế, thiết lập bao gồm: (1) Bảo đảm an toàn mạng, (2) Bảo đảm an toàn máy chủ, (3) Bảo đảm an toàn ứng dụng, (4) Bảo đảm an toàn dữ liệu; Yêu cầu an toàn trong quản lý, vận hành bao gồm: (1) Thiết lập chính sách an toàn thông tin; (2) Tổ chức bảo đảm an toàn thông tin; (3) Quản lý thiết kế, xây dựng hệ thống; (4) Quản lý vận hành hệ thống.
Tài liệu này thực sự là cẩm nang cho các địa phương trong công tác thực hiện bảo đảm an toàn thông tin đối với Trung tâm Tích hợp dữ liệu của địa phương./.
File đính kèm: CV 486/CATTT-ATHTT
Nguồn:
.