Ngày 12/8/2022, Bộ Thông tin và Truyền thông đã ban hành Thông tư 12/2022/TT-BTTTT về việc quy định chi tiết và hướng dẫn một số điều của Nghị định số 85/2016/NĐ-CP ngày 01/7/2016 của Chính phủ về bảo đảm an toàn hệ thống thông tin theo cấp độ. Thông tư này được ban hành để thay thế cho Thông tư số 03/2017/TT-BTTTT ngày 24/4/2017 của Bộ Thông tin và Truyền thông Quy định chi tiết và hướng dẫn một số điều của Nghị định số 85/2016/NĐ-CP ngày 01/7/2016 của Chính phủ về bảo đảm an toàn hệ thống thông tin theo cấp độ.
Thông tư số 12/2022/TT-BTTTT có kết cấu gồm 6 Chương và 17 Điều, cụ thể Chương I về Quy định chung gồm 6 Điều (từ Điều 1 đến Điều 6), Chương II quy định về Hệ thống thông tin và thuyết minh cấp độ an toàn hệ thống thông tin gồm 02 Điều (Điều 7 và Điều 8), Chương III quy định về Yêu cầu bảo đảm an toàn hệ thống thông tin theo cấp độ gồm 02 Điều (Điều 9 và Điều 10), Chương IV quy định về Kiểm tra, đánh giá an toàn thông tin gồm 02 Điều (Điều 11 và Điều 12), Chương V quy định về Chế độ báo cáo gồm 02 Điều (Điều 13 và Điều 14) và Chương VI về Tổ chức thực hiện gồm 03 Điều (Điều 15, 16 và 17).
Thông tư 12/2022/TT-BTTTT quy định việc bảo đảm an toàn hệ thống thông tin theo cấp độ thực hiện theo yêu cầu cơ bản và Tiêu chuẩn quốc gia TCVN 11930:2017 về Công nghệ thông tin – các kỹ thuật an toàn – yêu cầu cơ bản về an toàn hệ thống thông tin theo cấp độ, trong đó, yêu cầu cơ bản đối với từng cấp độ bao gồm yêu cầu cơ bản về quản lý, yêu cầu cơ bản về kỹ thuật và không bao gồm các yêu cầu bảo đảm an toàn vật lý.
Cụ thể, các yêu cầu cơ bản về quản lý bao gồm: thiết lập chính sách an toàn thông tin; tổ chức bảo đảm an toàn thông tin; bảo đảm nguồn nhân lực; quản lý thiết kế, xây dựng hệ thống; … Yêu cầu cơ bản về kỹ thuật bao gồm: bảo đảm an toàn mạng; bảo đảm an toàn máy chủ; bảo đảm an toàn ứng dụng; bảo đảm an toàn dữ liệu.
Ngoài ra, việc xây dựng phương án bảo đảm an toàn thông tin đáp ứng yêu cầu cơ bản theo từng cấp độ thực hiện theo nguyên tắc: Đối với hệ thống thông tin cấp độ 1, 2, 3: Phương án bảo đảm an toàn phải xem xét khả năng dùng chung giữa các hệ thống thông tin đối với các giải pháp bảo vệ, chia sẻ tài nguyên để tối ưu hiệu năng, tránh đầu tư thừa, trùng lặp, lãng phí. Đối với hệ thống thông tin cấp độ 4, 5: Phương án bảo đảm an toàn cần được thiết kế bảo đảm tính sẵn sàng, phân tách và hạn chế ảnh hưởng đến toàn bộ hệ thống khi một thành phần trong hệ thống hoặc có liên quan tới hệ thống bị mất an toàn thông tin.
Liên quan đến quy định chuyển tiếp, Thông tư quy định đối với các hệ thống thông tin đang vận hành, khai thác, đã được phê duyệt cấp độ từ trước ngày Thông tư này có hiệu lực: Chủ quản hệ thống thông tin tiến hành rà soát Hồ sơ đề xuất cấp độ và Phương án đảm bảo an toàn thông tin đã được phê duyệt. Việc rà soát, điều chỉnh, phê duyệt lại Hồ sơ đề xuất cấp độ và Phương án bảo đảm an toàn thông tin (nếu cần) phải hoàn thành trước tháng 6 năm 2023;
Đối với các hệ thống thông tin đang vận hành, khai thác nhưng chưa được phê duyệt Hồ sơ đề xuất cấp độ: Thực hiện xây dựng, thẩm định, phê duyệt Hồ sơ đề xuất cấp độ và triển khai phương án bảo đảm an toàn thông tin theo phương án được phê duyệt trong Hồ sơ đề xuất cấp độ đáp ứng các yêu cầu theo quy định tại Thông tư số 03/2017/TT-BTTTT ngày 24/4/2017 của Bộ Thông tin và Truyền thông Quy định chi tiết và hướng dẫn một số điều của Nghị định số 85/2016/NĐ-CP ngày 01/7/2016 của Chính phủ về bảo đảm an toàn hệ thống thông tin theo cấp độ và đồng bộ với quy định tại Thông tư này, bảo đảm khi Thông tư này có hiệu lực, không phải thực hiện lại quy trình xây dựng, thẩm định, phê duyệt Hồ sơ đề xuất cấp độ.
Thông tư có hiệu lực thi hành kể từ ngày 01/10/2022.