Quy định về hồ sơ đề xuất, hồ sơ phê duyệt và thẩm định, phê duyệt hồ sơ xác định cấp độ đối với hệ thống thông tin như thế nào ?

1. Tài liệu mô tả, thuyết minh tổng quan về hệ thống thông tin.
2. Hồ sơ thiết kế là một trong các tài liệu sau:

a) Đối với dự án đầu tư xây dựng mới hoặc mở rộng, nâng cấp hệ thống thông tin: Tiền dự án hoặc tài liệu có giá trị tương đương;

b) Đối với hệ thống thông tin đang vận hành: Thiết kế thi công đã được cấp có thẩm quyền phê duyệt hoặc tài liệu có giá trị tương đương.
3. Văn bản giải trình về mức độ đề nghị theo tiêu chí quy định của pháp luật.
Việc xác định cấp độ và giải trình cấp độ an toàn hệ thống thông tin được thực hiện như sau:

- Nhận dạng và phân loại hệ thống thông tin; xác định chủ sở hữu hệ thống thông tin, đơn vị vận hành hệ thống thông tin theo quy định tại Điều 5, Điều 6 Nghị định 85/2016/NĐ-CP và Điều 4,5,6 Thông tư 03/2017/TT-BTTTT.
- Xác định loại thông tin được xử lý qua hệ thống thông tin theo quy định tại Khoản 1 Điều 6 Nghị định số 85/2016/NĐ-CP.
- Xác định mức theo quy định từ Điều 7 đến Điều 11 Nghị định số 85/2016/NĐ-CP. Đối với hệ thống thông tin đề xuất ở mức độ 4 hoặc mức độ 5, phần thuyết minh về mức độ đề xuất nêu rõ các nội dung sau:

Xác định các hệ thống thông tin khác có liên quan hoặc có mối liên hệ hoặc có ảnh hưởng đáng kể đến hoạt động bình thường của hệ thống thông tin đề xuất; trong đó, xác định rõ mức độ ảnh hưởng đối với hệ thống thông tin đề xuất khi các hệ thống này bị mất an toàn thông tin. Danh sách đề xuất các thành phần, thiết bị mạng quan trọng, các loại thông tin quan trọng cần xử lý trong hệ thống (nếu có);

Giải trình về ý nghĩa của các thành phần, thiết bị mạng quan trọng, các loại thông tin, dữ liệu được xử lý, lưu trữ trên hệ thống (nếu có);

Giải trình về các nguy cơ bị tấn công mạng, mất an toàn thông tin hệ thống, các thành phần hệ thống và thiết bị mạng quan trọng; mức độ ảnh hưởng của các nguy cơ tấn công mạng, mất an toàn thông tin này đến các tiêu chí xác định cấp độ theo Điều 10, 11 Nghị định 85/2016/NĐ-CP;

Đánh giá phạm vi, mức độ ảnh hưởng đến lợi ích công cộng, trật tự, an toàn xã hội, quốc phòng, an ninh khi tấn công mạng gây mất an toàn thông tin hoặc làm gián đoạn hoạt động của từng hệ thống xác định.
Đối với hệ thống thông tin cấp độ 4 phải vận hành 24/7 và không đồng ý dừng vận hành khi chưa có kế hoạch;

Các giải trình khác (nếu có) căn cứ vào thực tế hoạt động của hệ thống thông tin.
4. Tài liệu thuyết minh phương án bảo đảm an toàn thông tin theo cấp độ tương ứng.
5. Ý kiến ​​chuyên môn của đơn vị đảm bảo an toàn thông tin của chủ sở hữu hệ thống thông tin đối với hệ thống thông tin cấp độ 4, cấp độ 5 được đề xuất.
Đơn vị chuyên trách an toàn thông tin là đơn vị có chức năng, nhiệm vụ nhằm bảo đảm an toàn thông tin của chủ sở hữu hệ thống thông tin.
Chủ sở hữu hệ thống thông tin là cơ quan, tổ chức, cá nhân có quyền quản lý trực tiếp hệ thống thông tin. Đối với cơ quan, tổ chức nhà nước, chủ sở hữu hệ thống thông tin là các Bộ, cơ quan ngang Bộ, cơ quan thuộc Chính phủ, Ủy ban nhân dân tỉnh, thành phố trực thuộc Trung ương hoặc cơ quan có liên quan quyết định đầu tư dự án xây dựng, triển khai, nâng cấp, phát triển hệ thống thông tin này. hệ thống.
Đánh giá đề xuất cấp độ
Đơn vị vận hành hệ thống thông tin có trách nhiệm phối hợp với đơn vị thẩm định đề xuất cấp độ để xác định sự phù hợp của đề xuất cấp độ đối với yêu cầu vận hành của hệ thống thông tin liên quan. Trường hợp cần thiết, đơn vị kiểm tra hồ sơ đề xuất cấp độ tiến hành kiểm soát thực tế, đánh giá các phương án bảo đảm an toàn hệ thống thông tin theo cấp độ đề xuất. Việc kiểm tra, đánh giá bảo đảm không ảnh hưởng đến hoạt động bình thường của hệ thống thông tin và thông báo cho chủ sở hữu, người vận hành hệ thống thông tin khi phát hiện điểm yếu an toàn thông tin phải khắc phục.
Căn cứ Điều 16 Nghị định số 85/2016/NĐ-CP ngày 01 tháng 7 năm 2016 về bảo đảm an toàn hệ thống thông tin theo cấp độ, Chính phủ quy định thẩm tra đề xuất cấp độ bao gồm:

1. Nội dung của Gói đánh giá Đề xuất cấp độ:

a) Tuân thủ mức đề xuất;

b) Sự phù hợp của phương án bảo đảm an toàn hệ thống thông tin trong thiết kế sơ bộ, thiết kế thi công sơ bộ hoặc tài liệu tương đương theo cấp độ tương ứng;

c) Tính đầy đủ của phương án bảo đảm an toàn hệ thống thông tin trong quá trình vận hành hệ thống theo cấp độ tương ứng.
2. Thời gian thẩm định hồ sơ xác định cấp độ:

a) Đối với hệ thống thông tin đề xuất cấp độ 3, thời gian thẩm định tối đa là 15 ngày kể từ ngày nhận đủ hồ sơ hợp lệ;

b) Đối với hệ thống thông tin đề xuất cấp độ 4 hoặc cấp độ 5, thời gian thẩm định tối đa là 30 ngày kể từ ngày nhận đủ hồ sơ hợp lệ.
Hồ sơ phê duyệt đề xuất cấp độ
Căn cứ theo Điều 17 của Nghị định số 85/2016/NĐ-CP ngày 01 tháng 07 năm 2016 về bảo đảm an toàn hệ thống thông tin theo cấp độ, Chính phủ quy định Hồ sơ phê duyệt đề xuất cấp độ bao gồm:

a) Hồ sơ đề xuất cấp độ;

b) Ý kiến thẩm định của cơ quan chủ trì thẩm định đối với hệ thống thông tin đề xuất từ cấp độ 3 trở lên.
Thời gian xử lý hồ sơ phê duyệt cấp độ: Thời gian xử lý tối đa là 07 ngày làm việc kể từ ngày nhận đủ hồ sơ hợp lệ.
Phê duyệt đề xuất cấp độ
a) Đối với hệ thống thông tin được đề xuất là cấp độ 1 hoặc cấp độ 2:

Đơn vị chuyên trách về an toàn thông tin của chủ quản hệ thống thông tin phê duyệt đề xuất cấp độ, gửi báo cáo chủ quản hệ thống thông tin;

b) Đối với hệ thống thông tin được đề xuất là cấp độ 3 hoặc cấp độ 4:

Đơn vị vận hành hệ thống thông tin trình chủ quản hệ thống thông tin phê duyệt đề xuất cấp độ;

c) Đối với hệ thống thông tin được đề xuất là cấp độ 5:

- Trên cơ sở kết quả thẩm định hồ sơ đề xuất cấp độ, Bộ Thông tin và Truyền thông chủ trì, phối hợp với Bộ Quốc phòng, Bộ Công an và bộ, ngành có liên quan trình Thủ tướng Chính phủ phê duyệt Danh Mục hệ thống thông tin cấp độ 5;

- Đơn vị vận hành hệ thống thông tin trình chủ quản hệ thống thông tin phê duyệt phương án bảo đảm an toàn thông tin.