Quy chế mới về an toàn thông tin mạng và an ninh mạng Bộ Tài chính
Mới đây, Bộ Tài chính đã có Quyết định số 2405/QĐ-BTC ban hành Quy chế An toàn thông tin mạng và An ninh mạng Bộ Tài chính. Quyết định này thay thế Quyết định số 1013/QĐ-BTC ngày 19/5/2023 của Bộ trưởng Bộ Tài chính về việc ban hành Quy chế An toàn thông tin mạng và An ninh mạng Bộ Tài chính.
Bộ Tài chính đã có Quyết định số 2405/QĐ-BTC ban hành Quy chế An toàn thông tin mạng và An ninh mạng Bộ Tài chính.
Quy chế An toàn thông tin mạng và An ninh mạng Bộ Tài chính được xây dựng trên cơ sở 3 nguyên tắc:
Thứ nhất, tuân thủ quy định của pháp luật về an toàn thông tin mạng, an ninh mạng; bảo vệ bí mật nhà nước, bí mật công tác, dữ liệu cá nhân; giao dịch điện tử và các quy định khác có liên quan. Trường hợp có văn bản quy định cập nhật, thay thế hoặc quy định khác tại văn bản quy phạm pháp luật, quyết định của cấp có thẩm quyền cao hơn thì áp dụng quy định tại văn bản đó.
Thứ hai, an toàn an ninh mạng phải gắn liền và hỗ trợ các hoạt động ứng dụng công nghệ thông tin, giao dịch điện tử, chuyển đổi số của Bộ Tài chính; hỗ trợ việc sử dụng thiết bị xử lý thông tin để xử lý công việc của cán bộ, công chức, viên chức, người lao động thuộc Bộ Tài chính.
Thứ ba, mỗi cán bộ, công chức, viên chức, người lao động tại các đơn vị thuộc Bộ Tài chính nêu cao tinh thần chủ động, tự giác trong việc áp dụng các biện pháp an toàn an ninh mạng.
Các đơn vị vận hành hệ thống thông tin có trách nhiệm xây dựng, phê duyệt kế hoạch ứng phó sự cố bảo đảm an toàn thông tin mạng; phương án ứng phó, khắc phục sự cố an ninh mạng cho các hệ thống thông tin thuộc quản lý của đơn vị theo quy định của pháp luật; tổ chức triển khai kế hoạch, phương án sau khi phê duyệt.
Đối với nội dung (thuộc kế hoạch ứng phó sự cố bảo đảm an toàn thông tin mạng; phương án ứng phó, khắc phục sự cố an ninh mạng) vượt thẩm quyền quyết định của đơn vị, đơn vị lấy ý kiến của các đơn vị liên quan, báo cáo Lãnh đạo Bộ Tài chính xem xét, quyết định. Đối với hệ thống thông tin không phải hệ thống thông tin quan trọng về an ninh quốc gia, áp dụng quy trình ứng cứu sự cố thông thường theo quy định của pháp luật.
Đối với hệ thống thông tin quan trọng về an ninh quốc gia, áp dụng trình tự, thủ tục ứng phó, khắc phục sự cố an ninh mạng theo quy định của pháp luật về an ninh mạng. Trong quá trình ứng cứu, ứng phó sự cố đối với hệ thống thông tin cấp độ 4, 5 và hệ thống thông tin quan trọng về an ninh quốc gia, các cục có trách nhiệm báo cáo Lãnh đạo Bộ Tài chính, đồng thời cung cấp thông tin diễn biến tình hình cho Cục Công nghệ thông tin và chuyển đổi số để phối hợp xử lý.
Đối với đơn vị chuyên trách về an toàn thông tin của chủ quản hệ thống thông tin có trách nhiệm theo dõi, nắm bắt thông tin trên phương tiện thông tin đại chúng và mạng Internet về các sự kiện mất an toàn an ninh mạng có thể tác động tới đơn vị; chủ động kiểm tra, rà soát trong nội bộ đơn vị theo các văn bản cảnh báo, hướng dẫn của các cơ quan chức năng và các tổ chức về an toàn thông tin; thiết lập kênh trao đổi thông tin với các đối tác cung cấp thiết bị, phần mềm, giải pháp an toàn thông tin của đơn vị để nắm bắt kịp thời vấn đề, sự cố có khả năng tác động tới hệ thống thông tin của đơn vị.
Đơn vị chuyên trách về an toàn thông tin của chủ quản hệ thống thông tin cử 1 lãnh đạo chịu trách nhiệm triển khai công tác an toàn an ninh mạng và 1 cán bộ làm đầu mối tiếp nhận cảnh báo an toàn thông tin từ Cục Công nghệ thông tin và chuyển đổi số, các cơ quan, tổ chức có chức năng cảnh báo an toàn thông tin mạng, an ninh mạng (thông qua thư điện tử hoặc các kênh trao đổi thông tin khác).
Quy chế cũng nêu rõ, khi xảy ra sự cố thuộc loại hình tấn công mạng, đơn vị vận hành hệ thống thông tin thực hiện báo cáo theo quy định pháp luật về an ninh mạng và hướng dẫn của Bộ Công an, đồng thời gửi báo cáo cho Cục Công nghệ thông tin và chuyển đổi số để tổng hợp, báo cáo Lãnh đạo Bộ Tài chính.
Chủ quản hệ thống thông tin phải thông báo rộng rãi về đầu mối tiếp nhận thông tin để các cá nhân, tổ chức thuộc đơn vị liên lạc trong trường hợp: nghi ngờ, phát hiện dấu hiệu tấn công, sự cố an toàn thông tin mạng; dấu hiệu, hành vi khủng bố mạng; tình huống nguy hiểm về an ninh mạng; hành vi vi phạm pháp luật về an ninh mạng liên quan đến các hệ thống thông tin do đơn vị quản lý.
Định kỳ hàng năm, Cục Công nghệ thông tin và chuyển đổi số chủ trì tổ chức diễn tập thực chiến an toàn an ninh mạng cho Lực lượng bảo vệ an ninh mạng Bộ Tài chính và các đơn vị thuộc Bộ Tài chính, theo kế hoạch ứng phó sự cố bảo đảm an toàn thông tin mạng và phương án ứng phó, khắc phục sự cố an ninh mạng được phê duyệt, trong phạm vi các hệ thống thông tin do Bộ Tài chính làm chủ quản.
Tổ chức huấn luyện, diễn tập ứng cứu sự cố theo kế hoạch ứng phó sự cố bảo đảm an toàn thông tin mạng và phương án ứng phó, khắc phục sự cố an ninh mạng được phê duyệt, trong phạm vi các hệ thống thông tin do đơn vị làm chủ quản. Đơn vị là thành viên mạng lưới ứng cứu sự cố an toàn thông tin mạng quốc gia tham gia đầy đủ các cuộc diễn tập quốc gia, quốc tế do cơ quan chức năng tổ chức.
