Quyết định 1668/QĐ-BHXH 2023 Quy chế bảo đảm an toàn hệ thống thông tin theo cấp độ

Chương I

QUY ĐỊNH CHUNG

Điều 1. Phạm vi điều chỉnh và đối tượng áp dụng

1. Phạm vi điều chỉnh

Quy chế này quy định chính sách quản lý và phương án nhằm bảo đảm an toàn hệ thống thông tin theo cấp độ ngành Bảo hiểm xã hội (BHXH) Việt Nam bao gồm: xác định cấp độ và yêu cầu bảo đảm an toàn hệ thống thông tin theo cấp độ, bảo đảm an toàn thông tin (ATTT) trong quản lý thiết kế, xây dựng hệ thống; bảo đảm ATTT trong quản lý vận hành hệ thống; phương án bảo đảm ứng cứu sự cố ATTT mạng.

2. Đối tượng áp dụng

a) Các đơn vị và công chức, viên chức, lao động hợp đồng (CCVC) thuộc BHXH Việt Nam, BHXH các tỉnh, thành phố tham gia quản lý, vận hành, duy trì, phát triển và bảo đảm ATTT phục vụ hoạt động của các hệ thống thông tin thuộc ngành BHXH Việt Nam;

b) Các tổ chức, cá nhân có kết nối, sử dụng hệ thống thông tin của ngành BHXH Việt Nam;

c) Các tổ chức, cá nhân cung cấp dịch vụ quản lý, vận hành, duy trì, phát triển và bảo đảm ATTT phục vụ hoạt động của các hệ thống thông tin thuộc ngành BHXH Việt Nam.

Điều 2. Giải thích từ ngữ

1. Chủ quản hệ thống thông tin là BHXH Việt Nam.

2. Ban Chỉ đạo ứng cứu khẩn cấp sự cố ATTT mạng là Ban chỉ đạo chuyển đổi số ngành BHXH Việt Nam đảm nhiệm chức năng chỉ đạo ứng cứu khẩn cấp sự cố ATTT mạng trong ngành BHXH (sau đây gọi là Ban Chỉ đạo ngành BHXH Việt Nam).

3. Đơn vị chuyên trách về ứng cứu sự cố ATTT mạng là Trung tâm Công nghệ thông tin trực thuộc BHXH Việt Nam, bộ phận chuyên trách về ứng cứu sự cố ATTT mạng tại Văn phòng BHXH Việt Nam, các đơn vị trực thuộc BHXH Việt Nam và BHXH các tỉnh, thành phố (sau đây gọi là Đơn vị chuyên trách ứng cứu sự cố).

4. Đội ứng cứu sự cố ATTT mạng do Trung tâm Công nghệ thông tin trình BHXH Việt Nam quyết định thành lập, bao gồm các cá nhân liên quan đến ATTT của các Đơn vị vận hành hệ thống thông tin tham gia (sau đây gọi là Đội ứng cứu sự cố).

5. Cơ quan thường trực về ứng cứu khẩn cấp bảo đảm ATTT mạng quốc gia là Bộ Thông tin và Truyền thông (sau đây gọi là Cơ quan thường trực quốc gia).

6. Cơ quan điều phối quốc gia là Trung tâm Ứng cứu khẩn cấp không gian mạng Việt Nam thuộc Bộ Thông tin và Truyền thông.

7. Ban Chỉ đạo quốc gia về ứng cứu khẩn cấp bảo đảm ATTT mạng là Ban Chỉ đạo ATTT quốc gia đảm nhiệm chức năng chỉ đạo ứng cứu khẩn cấp bảo đảm ATTT mạng (sau đây gọi là Ban Chỉ đạo quốc gia).

8. Đơn vị vận hành hệ thống thông tin là Trung tâm Công nghệ thông tin, Văn phòng BHXH Việt Nam, các đơn vị trực thuộc BHXH Việt Nam và BHXH các tỉnh, thành phố được giao nhiệm vụ vận hành hệ thống thông tin trong phạm vi quản lý.

9. Đơn vị chuyên trách về công nghệ thông tin là Trung tâm Công nghệ thông tin trực thuộc BHXH Việt Nam.

10. Đơn vị chuyên trách về ATTT là Trung tâm Công nghệ thông tin trực thuộc BHXH Việt Nam, bộ phận chuyên trách về ATTT tại Văn phòng BHXH Việt Nam, các đơn vị trực thuộc BHXH Việt Nam và BHXH các tỉnh, thành phố.

11. An toàn thông tin mạng là sự bảo vệ thông tin, hệ thống thông tin trên mạng tránh bị truy nhập, sử dụng, tiết lộ, gián đoạn, sửa đổi hoặc phá hoại trái phép nhằm bảo đảm tính nguyên vẹn, tính bảo mật và tính khả dụng của thông tin.

12. An toàn dữ liệu là tập hợp các biện pháp quản lý và kỹ thuật nhằm bảo đảm tính bí mật, tính nguyên vẹn và khả dụng của thông tin, dữ liệu trong quá trình lưu trữ, xử lý, truy cập và trao đổi dữ liệu qua môi trường mạng.

13. An toàn mạng là tập hợp các biện pháp quản lý và kỹ thuật nhằm bảo đảm an toàn hạ tầng mạng (bao gồm: đường truyền kết nối, thiết bị mạng, thiết bị bảo mật, thiết bị phụ trợ và các thành phần khác nếu có) trong quá trình thiết lập, quản lý, vận hành.

14. An toàn máy chủ là tập hợp các biện pháp quản lý và kỹ thuật nhằm bảo đảm an toàn cho máy chủ trong quá trình thiết lập, quản lý, vận hành và gỡ bỏ.

15. An toàn ứng dụng là tập hợp các biện pháp quản lý và kỹ thuật nhằm bảo đảm an toàn các ứng dụng, dịch vụ cung cấp bởi hệ thống trong quá trình thiết lập, quản lý, vận hành.

16. Chính sách ATTT là tập hợp các quy định, quy tắc, quy trình quản lý, khai thác, vận hành và sử dụng hệ thống thông tin nhằm bảo đảm ATTT.

17. Điểm yếu ATTT là lỗi tồn tại trên sản phẩm phần cứng, phần mềm, dịch vụ hoặc hệ thống trong quá trình phát triển, cài đặt và thiết lập, có thể gây ra nguy cơ mất an toàn cho hệ thống thông tin khi bị tin tặc khai thác.

18. Dữ liệu quan trọng là dữ liệu trong hệ thống, được cơ quan, tổ chức xác định là quan trọng, cần được ưu tiên bảo vệ. Dữ liệu quan trọng bao gồm: thông tin nghiệp vụ, thông tin bí mật nhà nước, thông tin riêng và các loại thông tin quan trọng khác (nếu có).

19. Giám sát an toàn hệ thống thông tin là hoạt động lựa chọn đối tượng, công cụ giám sát, thu thập, phân tích thông tin trạng thái của đối tượng giám sát, báo cáo, cảnh báo hành vi xâm phạm ATTT hoặc có khả năng gây ra sự cố ATTT đối với hệ thống thông tin.

20. Giám sát hệ thống thông tin là biện pháp giám sát, theo dõi trạng thái hoạt động của hệ thống để phát hiện, cảnh báo sớm các sự cố có thể gây gián đoạn hoạt động của hệ thống và làm mất tính khả dụng của hệ thống thông tin.

21. Hệ thống thông tin là tập hợp phần cứng, phần mềm và cơ sở dữ liệu được thiết lập phục vụ mục đích tạo lập, cung cấp, truyền đưa, thu thập, xử lý, lưu trữ và trao đổi thông tin trên mạng.

22. Xâm phạm ATTT mạng là hành vi truy nhập, sử dụng, tiết lộ, làm gián đoạn, sửa đổi, phá hoại trái phép thông tin, hệ thống thông tin.

23. Sự cố ATTT mạng là việc thông tin, hệ thống thông tin bị gây nguy hại, ảnh hưởng tới tính nguyên vẹn, tính bảo mật hoặc tính khả dụng.

24. Ứng cứu sự cố ATTT mạng là hoạt động nhằm xử lý, khắc phục sự cố gây mất ATTT mạng gồm: theo dõi, thu thập, phân tích, phát hiện, cảnh báo, điều tra, xác minh sự cố, ngăn chặn sự cố, khôi phục dữ liệu và khôi phục hoạt động bình thường của hệ thống thông tin.

25. Nguy cơ mất ATTT là những nhân tố bên trong hoặc bên ngoài có khả năng ảnh hưởng tới trạng thái ATTT.

26. Rủi ro ATTT mạng là những nhân tố chủ quan hoặc khách quan có khả năng ảnh hưởng tới trạng thái ATTT mạng.

27. Đánh giá rủi ro ATTT là việc xác định, phân tích nguy cơ mất ATTT có thể có và dự báo mức độ, phạm vi ảnh hưởng và khả năng gây thiệt hại khi xảy ra sự cố mất ATTT.

28. Quản lý rủi ro ATTT là việc thực hiện đánh giá rủi ro ATTT, xác định yêu cầu bảo vệ thông tin, hệ thống thông tin và áp dụng giải pháp phòng, chống, giảm thiểu thiệt hại khi có sự cố mất ATTT.

29. Dự phòng nóng là khả năng thay thế chức năng của thiết bị khi xảy ra sự cố mà không làm gián đoạn hoạt động của hệ thống.

30. Thiết bị mạng chính hoặc quan trọng là các thiết bị trong hệ thống khi bị ngừng hoạt động mà không có kế hoạch trước sẽ làm gián đoạn hoạt động của toàn bộ hệ thống thông tin. Thành phần thiết bị mạng chính được xác định theo cấp độ của hệ thống thông tin, bao gồm tối thiểu: thiết bị chuyển mạch trung tâm hoặc tương đương, thiết bị tường lửa trung tâm, tường lửa ứng dụng web, hệ thống lưu trữ tập trung, tường lửa cơ sở dữ liệu.

31. Phần mềm thuê khoán là phần mềm được phát triển, nâng cấp, chỉnh sửa theo các yêu cầu riêng của tổ chức hoặc người sử dụng nhằm đáp ứng yêu cầu đặc thù của tổ chức.

32. Nhật ký hệ thống (log) là hoạt động ghi lại liên tục các thông báo về hoạt động của cả hệ thống hoặc của các dịch vụ được triển khai trên hệ thống và file tương ứng, liên quan đến trạng thái hoạt động, thông báo, cảnh báo, sự cố, cuộc tấn công, thông tin về các mối đe doạ thu thập được và các thông tin khác liên quan đến hoạt động của hệ thống (nếu có).

Điều 3. Nguyên tắc bảo đảm an toàn thông tin

Bảo vệ thông tin, hệ thống thông tin trên mạng tránh bị truy nhập, sử dụng, tiết lộ, gián đoạn, sửa đổi hoặc phá hoại trái phép nhằm bảo đảm tính nguyên vẹn, tính bảo mật và tính khả dụng theo các nguyên tắc sau:

1. Các tổ chức, cá nhân thuộc đối tượng áp dụng Quy chế này có trách nhiệm bảo đảm ATTT và hệ thống thông tin trong phạm vi xử lý công việc của mình theo quy định của pháp luật, hướng dẫn của cơ quan, đơn vị có thẩm quyền và các quy định tại Quy chế này.

2. Bảo đảm ATTT là yêu cầu bắt buộc, phải được thực hiện thường xuyên, liên tục từ thiết kế, thiết lập, vận hành, nâng cấp đến hủy bỏ hệ thống thông tin và trong quá trình thu thập, tạo lập, xử lý, truyền tải, lưu trữ, sử dụng thông tin, dữ liệu.

3. Việc bảo đảm an toàn các hệ thống thông tin thuộc ngành BHXH Việt Nam được thực hiện một cách tổng thể, đồng bộ, tập trung trong việc đầu tư các giải pháp bảo vệ, có sự dùng chung, chia sẻ tài nguyên để tối ưu hiệu năng, tránh đầu tư thừa, trùng lặp.

4. Việc phân bổ, bố trí nguồn lực để bảo đảm an toàn hệ thống thông tin thực hiện theo thứ tự ưu tiên từ cấp độ cao xuống cấp độ thấp.

Điều 4. Các hành vi bị nghiêm cấm

Các hành vi bị nghiêm cấm quy định tại Điều 7 Luật An toàn thông tin mạng và Điều 8 Luật An ninh mạng, Điều 9 Quyết định số 2366/QĐ-BHXH ngày 28/11/2018 ban hành Quy chế quản lý, khai thác và sử dụng thông tin từ cơ sở dữ liệu tập trung ngành BHXH, Điều 12 Quyết định số 967/QĐ-BHXH ngày 20/06/2017 ban hành Quy chế bảo đảm ATTT trong ứng dụng công nghệ thông tin của ngành BHXH.

Điều 5. Phối hợp với cơ quan, tổ chức có thẩm quyền

1. Đầu mối liên hệ, phối hợp với cơ quan, tổ chức có thẩm quyền quản lý về ATTT

a) Chủ quản hệ thống thông tin giao Đơn vị chuyên trách về ATTT là đầu mối liên hệ, phối hợp với các cơ quan, tổ chức có thẩm quyền quản lý về ATTT phục vụ việc bảo đảm ATTT cho các hệ thống thông tin thuộc ngành BHXH Việt Nam;

b) Đơn vị chuyên trách về ATTT làm đầu mối, tổ chức thực hiện việc tiếp nhận và xử lý các sự cố về an toàn thông tin của các hệ thống thông tin thuộc ngành BHXH Việt Nam.

2. Phối hợp với cơ quan, tổ chức trong công tác hỗ trợ điều phối xử lý sự cố ATTT. Tùy theo mức độ sự cố, phối hợp với các đơn vị có liên quan hướng dẫn xử lý, ứng cứu các sự cố ATTT mạng.

3. Tham gia các hoạt động, công tác bảo đảm ATTT khi có yêu cầu của cơ quan, tổ chức có thẩm quyền.

Điều 6. Bảo đảm nguồn nhân lực

1. Tuyển dụng

a) CCVC được tuyển dụng vào vị trí việc làm về ATTT có trình độ, chuyên ngành về lĩnh vực công nghệ thông tin, ATTT, phù hợp với vị trí tuyển dụng;

b) Có quy định, quy trình tuyển dụng CCVC và điều kiện tuyển dụng CCVC;

c) Có chuyên gia trong lĩnh vực đánh giá, kiểm tra trình độ chuyên môn phù hợp với vị trí tuyển dụng.

2. Trong quá trình làm việc

a) Có quy định về việc thực hiện nội quy, quy chế bảo đảm ATTT cho người sử dụng, CCVC quản lý và vận hành hệ thống;

b) Có kế hoạch và định kỳ hàng năm tổ chức phổ biến, tuyên truyền nâng cao nhận thức về ATTT cho người sử dụng;

c) Có kế hoạch và định kỳ hằng năm tổ chức bồi dưỡng, tập huấn về ATTT cho ba nhóm đối tượng, bao gồm: CCVC quản lý, kỹ thuật và thành viên Đội ứng cứu sự cố.

3. Chấm dứt thay đổi công việc

a) CCVC chấm dứt hoặc thay đổi công việc phải thu hồi tài khoản truy cập hệ thống, các thông tin được lưu trên các phương tiện lưu trữ, các trang thiết bị máy móc, phần cứng, phần mềm và các tài sản khác (nếu có) thuộc sở hữu của tổ chức;

b) Có quy trình và thực hiện vô hiệu hóa tất cả các quyền ra, vào, truy cập tài nguyên, quản trị hệ thống sau khi CCVC thôi việc;

c) Có cam kết giữ bí mật thông tin liên quan đến tổ chức sau khi nghỉ việc.

Chương II

XÁC ĐỊNH CẤP ĐỘ HỆ THỐNG THÔNG TIN VÀ YÊU CẦU BẢO

ĐẢM AN TOÀN HỆ THỐNG THÔNG TIN THEO CẤP ĐỘ

Điều 7. Xác định cấp độ hệ thống thông tin

1. Hệ thống cơ sở hạ tầng thông tin phục vụ hoạt động của đơn vị trực thuộc BHXH Việt Nam, BHXH tỉnh, thành phố và BHXH cấp huyện là hệ thống thông tin cấp độ 2.

2. Hệ thống thông tin phục vụ người dân, doanh nghiệp; hệ thống thông tin phục vụ hoạt động nghiệp vụ, nội bộ; hệ thống cơ sở hạ tầng thông tin và hệ thống thông tin khác của Trung tâm dữ liệu ngành BHXH Việt Nam (bao gồm Trung tâm dữ liệu chính và Trung tâm dữ liệu dự phòng) là hệ thống thông tin cấp độ 3, cấp độ 4.

Điều 8. Lập hồ sơ đề xuất cấp độ, thẩm định hồ sơ đề xuất cấp độ và phê duyệt cấp độ

1. Lập hồ sơ đề xuất cấp độ

Đơn vị lập hồ sơ đề xuất cấp độ: Đơn vị vận hành hệ thống thông tin lập hồ sơ đề xuất cấp độ đối với hệ thống thông tin đang vận hành; Đơn vị chủ trì triển khai lập hồ sơ đề xuất cấp độ đối với các hệ thống thông tin đang trong giai đoạn triển khai; Đơn vị chủ trì thuê dịch vụ lập hồ sơ đề xuất cấp độ đối với các hệ thống thông tin thuê dịch vụ; Đơn vị lập dự án lập hồ sơ đề xuất cấp độ đối với các hệ thống thông tin thuộc các nhiệm vụ, dự án đang trong giai đoạn lập dự án.

2. Thẩm định hồ sơ đề xuất cấp độ

a) Đối với hệ thống thông tin được đề xuất là cấp độ 2: Đơn vị lập hồ sơ đề xuất cấp độ gửi hồ sơ đề xuất cấp độ tới Trung tâm Công nghệ thông tin để thực hiện thẩm định Hồ sơ đề xuất cấp độ;

b) Đối với hệ thống thông tin được đề xuất là cấp độ 3: Đơn vị lập hồ sơ đề xuất cấp độ gửi hồ sơ đề xuất cấp độ tới Hội đồng thẩm định thực hiện nhiệm vụ thẩm định Hồ sơ đề xuất cấp độ, Trung tâm Công nghệ thông tin trình BHXH Việt Nam thành lập Hội đồng thẩm định hồ sơ đề xuất cấp độ;

c) Đối với hệ thống thông tin được đề xuất là cấp độ 4: Đơn vị lập hồ sơ đề xuất cấp độ gửi hồ sơ đề xuất cấp độ tới Hội đồng thẩm định để xin ý kiến chuyên môn về sự phù hợp của đề xuất cấp độ và phương án bảo đảm an toàn hệ thống thông tin theo cấp độ, trình BHXH Việt Nam hồ sơ đề xuất cấp độ gửi tới Bộ Thông tin và Truyền thông thẩm định.

3. Phê duyệt hồ sơ đề xuất cấp độ

a) Đối với hệ thống thông tin được đề xuất là cấp độ 2: Trung tâm Công nghệ thông tin phê duyệt hồ sơ đề xuất cấp độ, gửi báo cáo Chủ quản hệ thống thông tin;

b) Đối với hệ thống thông tin được đề xuất là cấp độ 3 hoặc cấp độ 4: BHXH Việt Nam phê duyệt hồ sơ đề xuất cấp độ.

Điều 9. Yêu cầu bảo đảm an toàn hệ thống thông tin theo cấp độ

1. Việc bảo đảm an toàn hệ thống thông tin theo cấp độ phải đáp ứng yêu cầu cơ bản quy định tại Điều 10 Thông tư số 12/2022/TT-BTTTT, Tiêu chuẩn quốc gia TCVN 11930:2017 về Công nghệ thông tin - các kỹ thuật an toàn - yêu cầu cơ bản về an toàn hệ thống thông tin theo cấp độ và các tiêu chuẩn, quy chuẩn kỹ thuật, chính sách ATTT mạng của BHXH Việt Nam.

2. Yêu cầu cơ bản đối với từng cấp độ bao gồm:

a) Yêu cầu cơ bản về quản lý

- Thiết lập chính sách ATTT;

- Tổ chức bảo đảm ATTT;

- Bảo đảm nguồn nhân lực;

- Quản lý thiết kế, xây dựng hệ thống;

- Quản lý vận hành hệ thống;

- Phương án Quản lý rủi ro ATTT;

- Phương án Kết thúc vận hành, khai thác, thanh lý, hủy bỏ hệ thống thông tin.

b) Yêu cầu cơ bản về kỹ thuật

- Bảo đảm an toàn mạng;

- Bảo đảm an toàn máy chủ;

- Bảo đảm an toàn ứng dụng;

- Bảo đảm an toàn dữ liệu.

3. Phương án bảo đảm ATTT phải đáp ứng yêu cầu cơ bản theo từng cấp độ thực hiện theo nguyên tắc quy định tại khoản 2 Điều 4 Nghị định 85/2016/NĐ- CP, cụ thể như sau:

a) Đối với hệ thống thông tin cấp độ 2, 3: Phương án bảo đảm ATTT phải xem xét khả năng dùng chung giữa các hệ thống thông tin đối với các giải pháp bảo vệ, chia sẻ tài nguyên để tối ưu hiệu năng, tránh đầu tư thừa, trùng lặp, lãng phí;

b) Đối với hệ thống thông tin cấp độ 4, 5: Phương án bảo đảm ATTT cần được thiết kế bảo đảm tính sẵn sàng, phân tách và hạn chế ảnh hưởng đến toàn bộ hệ thống khi một thành phần trong hệ thống hoặc có liên quan tới hệ thống bị mất ATTT.

4. Hệ thống thông tin khi được đầu tư xây dựng mới hoặc mở rộng, nâng cấp phải triển khai đầy đủ phương án bảo đảm ATTT đã được phê duyệt tại Hồ sơ đề xuất cấp độ trước khi đưa vào vận hành, khai thác.

5. Yêu cầu bảo đảm ATTT đối với phần mềm nội bộ khi xây dựng mới hoặc mở rộng, nâng cấp:

a) Phần mềm nội bộ được xây dựng mới hoặc mở rộng, nâng cấp phải tuân thủ Khung phát triển phần mềm an toàn;

b) Đáp ứng yêu cầu an toàn cơ bản đối với Phần mềm nội bộ.

6. Trường hợp hệ thống thông tin cấp độ 3 được triển khai dưới hình thức thuê dịch vụ công nghệ thông tin tại Trung tâm dữ liệu hoặc Điện toán đám mây, thiết kế hệ thống phải đáp ứng các yêu cầu sau:

a) Phải được thiết kế tách riêng, độc lập với các hệ thống khác về lô-gic và có biện pháp quản lý truy cập giữa các hệ thống;

b) Các vùng mạng trong hệ thống phải được thiết kế tách riêng, độc lập với nhau về lô-gic và có biện pháp quản lý truy cập giữa các vùng mạng;

c) Có phân vùng lưu trữ được phân tách độc lập về lô-gic.

7. Trường hợp hệ thống thông tin cấp độ 4 hoặc cấp độ 5 được triển khai dưới hình thức thuê dịch vụ công nghệ thông tin tại Trung tâm dữ liệu hoặc Điện toán đám mây, thiết kế hệ thống phải đáp ứng các yêu cầu sau:

a) Phải được thiết kế tách riêng, độc lập với các hệ thống khác về vật lý và có biện pháp quản lý truy cập giữa các hệ thống;

b) Các vùng mạng trong hệ thống phải được thiết kế tách riêng, độc lập với nhau về lô-gic và có biện pháp quản lý truy cập giữa các vùng mạng;

c) Có phân vùng lưu trữ được phân tách độc lập về vật lý;

d) Các thiết bị mạng chính phải được phân tách độc lập về vật lý.

Điều 10. Kiểm tra, đánh giá an toàn thông tin

1. Chủ quản hệ thống thông tin có thẩm quyền yêu cầu kiểm tra, đánh giá đối với các hệ thống thông tin thuộc thẩm quyền quản lý. Đơn vị chuyên trách về ATTT của Chủ quản hệ thống thông tin có thẩm quyền yêu cầu kiểm tra, đánh giá đối với các hệ thống thông tin do mình phê duyệt hồ sơ đề xuất cấp độ.

2. Đơn vị chủ trì kiểm tra, đánh giá là đơn vị được cấp có thẩm quyền giao nhiệm vụ hoặc được lựa chọn để thực hiện việc kiểm tra, đánh giá. Đối tượng kiểm tra, đánh giá là Chủ quản hệ thống thông tin hoặc Đơn vị vận hành hệ thống thông tin và các hệ thống thông tin có liên quan.

3. Quy định về hoạt động kiểm tra, đánh giá và nội dung kiểm tra, đánh giá theo quy định tại Điều 11, Điều 12 Thông tư số 12/2022/TT-BTTTT.

4. Trung tâm Công nghệ thông tin thực hiện việc kiểm tra việc tuân thủ quy định của pháp luật về bảo đảm an toàn hệ thống thông tin theo cấp độ trong ngành BHXH Việt Nam theo quy định tại Điều 12 Thông tư số 12/2022/TT-BTTTT.

5. Trung tâm Công nghệ thông tin, Đơn vị chuyên trách về ATTT của các đơn vị trực thuộc BHXH Việt Nam thực hiện việc đánh giá hiệu quả của các biện pháp bảo đảm ATTT theo thẩm quyền. Nội dung đánh giá là cơ sở để điều chỉnh phương án bảo đảm ATTT cho phù hợp.

Điều 11. Giám sát an toàn thông tin mạng

1. Chủ quản hệ thống thông tin chỉ đạo Đơn vị vận hành hệ thống thông tin việc giám sát đối với các hệ thống thông tin thuộc phạm vi quản lý, phối hợp với Trung tâm Công nghệ thông tin và các đơn vị chức năng của Bộ Thông tin và Truyền thông giám sát theo quy định.

2. Nguyên tắc, yêu cầu, nội dung, phương thức, hệ thống kỹ thuật phục vụ công tác giám sát thực hiện theo quy định tại Thông tư số 31/2017/TT-BTTTT.

3. Đơn vị chuyên trách về ATTT của các đơn vị trực thuộc BHXH Việt Nam cử 01 lãnh đạo đơn vị và 01 viên chức (hoặc 01 đơn vị trực thuộc) làm đầu mối giám sát ATTT mạng để tiếp nhận cảnh báo, cung cấp, trao đổi, chia sẻ thông tin với Trung tâm Công nghệ thông tin trong các hoạt động giám sát ATTT tại đơn vị và tại BHXH Việt Nam.

Chương III

BẢO ĐẢM AN TOÀN THÔNG TIN

TRONG QUẢN LÝ THIẾT KẾ, XÂY DỰNG HỆ THỐNG

Điều 12. Quản lý thiết kế, xây dựng hệ thống

1. Có tài liệu mô tả quy mô, phạm vi và đối tượng sử dụng, khai thác, quản lý vận hành hệ thống thông tin.

2. Có tài liệu mô tả thiết kế và các thành phần của hệ thống thông tin.

3. Có tài liệu mô tả phương án bảo đảm ATTT theo cấp độ.

4. Có tài liệu mô tả phương án lựa chọn giải pháp công nghệ bảo đảm ATTT.

5. Khi có thay đổi thiết kế, đánh giá lại tính phù hợp của phương án thiết kế đối với các yêu cầu an toàn đặt ra đối với hệ thống.

6. Có phương án quản lý và bảo vệ hồ sơ thiết kế.

7. Có bộ phận chuyên môn, tổ chuyên gia đánh giá hồ sơ thiết kế hệ thống thông tin, các biện pháp bảo đảm ATTT trước khi triển khai thực hiện.

Điều 13. Phát triển phần mềm thuê khoán

1. Có biên bản, hợp đồng và các cam kết đối với bên thuê khoán các nội dung liên quan đến việc phát triển phần mềm thuê khoán.

2. Yêu cầu các nhà phát triển cung cấp mã nguồn phần mềm.

3. Kiểm thử phần mềm trên môi trường thử nghiệm trước khi đưa vào sử dụng.

4. Kiểm tra, đánh giá ATTT, trước khi đưa vào sử dụng.

5. Khi thay đổi mã nguồn, kiến trúc phần mềm thực hiện kiểm tra, đánh giá ATTT cho phần mềm.

6. Có cam kết của bên phát triển về bảo đảm tính bí mật và bản quyền của phần mềm phát triển.

Điều 14. Thử nghiệm và nghiệm thu hệ thống

1. Thực hiện thử nghiệm và nghiệm thu hệ thống trước khi bàn giao và đưa vào sử dụng.

2. Có nội dung, kế hoạch, quy trình thử nghiệm và nghiệm thu hệ thống.

3. Có bộ phận có trách nhiệm thực hiện thử nghiệm và nghiệm thu hệ thống.

4. Có đơn vị độc lập (bên thứ ba) hoặc bộ phận độc lập thuộc đơn vị thực hiện tư vấn và giám sát quá trình thử nghiệm và nghiệm thu hệ thống.

5. Có báo cáo nghiệm thu được xác nhận của bộ phận chuyên trách và phê duyệt của Chủ quản hệ thống thông tin trước khi đưa vào sử dụng.

Chương IV

BẢO ĐẢM AN TOÀN THÔNG TIN

TRONG QUẢN LÝ VẬN HÀNH HỆ THỐNG

Điều 15. Bảo đảm an toàn mạng

1. Quản lý, vận hành hoạt động bình thường của hệ thống

a) Bảo đảm cho hệ điều hành, phần mềm hệ thống cài đặt trên thiết bị mạng hoạt động liên tục, ổn định và an toàn;

b) Thường xuyên kiểm tra cấu hình, các file nhật ký hoạt động của hệ điều hành, phần mềm hệ thống trên thiết bị mạng nhằm kịp thời phát hiện và xử lý những sự cố nếu có;

c) Quản lý các thay đổi cấu hình kỹ thuật của hệ điều hành, phần mềm hệ thống trên thiết bị mạng;

d) Thường xuyên cập nhật các bản vá lỗi hệ điều hành, phần mềm hệ thống từ nhà cung cấp;

đ) Loại bỏ các thành phần của hệ điều hành, phần mềm hệ thống không cần thiết hoặc không còn nhu cầu sử dụng;

e) Các bản quyền phần cứng, phần mềm hệ thống, hỗ trợ kỹ thuật, bảo hành cần được thống kê, quản lý thời gian phục vụ cho việc gia hạn;

g) Triển khai hệ thống phát hiện phòng chống xâm nhập giữa các vùng mạng quan trọng;

h) Sử dụng thêm các phương pháp xác thực đa nhân tố đối với các thiết bị mạng quan trọng;

i) Triển khai phương án cảnh báo thời gian thực trực tiếp đến người quản trị hệ thống thông qua hệ thống giám sát khi phát hiện sự cố trên các thiết bị mạng;

k) Duy trì ít nhất 02 kết nối mạng Internet từ các ISP (Internet Service Provider - Nhà cung cấp dịch vụ Internet) sử dụng hạ tầng kết nối trong nước khác nhau (nếu hệ thống buộc phải có kết nối mạng Internet).

2. Cập nhật, sao lưu dự phòng và khôi phục sau khi xảy ra sự cố

a) Triển khai hệ thống, phương tiện lưu trữ để sao lưu dự phòng; phân loại và quản lý thông tin sao lưu theo từng loại, nhóm thông tin được gán nhãn khác nhau; thực hiện sao lưu, dự phòng các tập tin cấu hình hệ thống của thiết bị mạng;

b) Triển khai phương án dự phòng nóng cho các thiết bị mạng chính bảo đảm khả năng vận hành liên tục của hệ thống, năng lực của thiết bị dự phòng phải đáp ứng theo quy mô hoạt động của hệ thống;

c) Triển khai hệ thống, phương tiện lưu trữ nhật ký phù hợp với hoạt động của các thiết bị mạng. Dữ liệu nhật ký phải được lưu tối thiểu 06 tháng;

d) Triển khai hệ thống, phương tiện chống thất thoát dữ liệu trong hệ thống mạng.

3. Truy cập và quản lý cấu hình hệ thống mạng

a) CCVC quản lý, vận hành truy cập, khai thác thông tin trên hệ thống mạng theo trách nhiệm và phân quyền được quy định; việc khai thác thông tin phải bảo đảm nguyên tắc bảo mật, không được tự ý cung cấp thông tin ra bên ngoài;

b) CCVC quản lý, vận hành có trách nhiệm theo dõi và phát hiện các trường hợp truy cập hệ thống trái phép hoặc thao tác vượt quá giới hạn, báo cáo cho CCVC quản lý để tiến hành ngăn chặn, thu hồi, khóa quyền truy cập của các tài khoản vi phạm;

c) Cấu hình tối ưu, tăng cường bảo mật cho thiết bị hệ thống mạng trước khi đưa vào vận hành, khai thác.

Điều 16. Bảo đảm an toàn máy chủ và ứng dụng

1. Quản lý, vận hành hoạt động bình thường của hệ thống máy chủ và ứng dụng

a) Bảo đảm cho hệ điều hành, phần mềm cài đặt trên máy chủ hoạt động liên tục, ổn định và an toàn;

b) Thường xuyên kiểm tra cấu hình, các file nhật ký hoạt động của hệ điều hành, phần mềm nhằm kịp thời phát hiện và xử lý những sự cố nếu có;

c) Quản lý các thay đổi cấu hình kỹ thuật của hệ điều hành, phần mềm;

d) Thường xuyên cập nhật các bản vá lỗi hệ điều hành, phần mềm từ nhà cung cấp;

đ) Loại bỏ các thành phần của hệ điều hành, phần mềm không cần thiết hoặc không còn nhu cầu sử dụng;

e) Các bản quyền phần cứng, phần mềm hệ thống, hỗ trợ kỹ thuật, bảo hành cần được thống kê, quản lý thời gian hạn phục vụ cho việc gia hạn.

2. Truy cập mạng của máy chủ

Bảo đảm các kết nối mạng trên máy chủ hoạt động liên tục, ổn định và an toàn. Cấu hình, kiểm soát các kết nối, các cổng dịch vụ từ bên trong đi ra cũng nhưng bên ngoài vào hệ thống.

3. Truy cập và quản trị máy chủ và ứng dụng

a) Thay đổi các tài khoản, mật khẩu mặc định ngay khi đưa hệ điều hành, phần mềm vào sử dụng;

b) Cấp quyền quản lý truy cập của người sử dụng trên máy chủ cài đặt hệ điều hành;

c) Toàn bộ máy chủ và thiết bị công nghệ thông tin không phải máy tính ngoại trừ các hệ thống bắt buộc phải có giao tiếp với Internet (các hệ thống phục vụ truy cập Internet; cung cấp giao diện ra Internet của Cổng thông tin, trang tin điện tử; phục vụ cập nhật bản vá hệ điều hành, mẫu mã độc, mẫu điểm yếu, mẫu tấn công) không được kết nối Internet;

d) Sử dụng cơ chế xác thực đa nhân tố khi truy cập vào các máy chủ trong hệ thống, các tài khoản quản trị của ứng dụng; có cơ chế yêu cầu người sử dụng thay đổi thông tin xác thực định kỳ;

đ) Kiểm tra tính toàn vẹn của các tệp tin hệ thống và tính toàn vẹn của các quyền đã được cấp trên các tài khoản hệ thống;

e) Sử dụng cơ chế mã hóa thông tin xác thực của người sử dụng, bên sử dụng trước khi gửi đến ứng dụng qua môi trường mạng;

g) Xác thực thông tin, nguồn gửi khi trao đổi thông tin trong quá trình quản trị ứng dụng (không phải là thông tin, dữ liệu công khai) qua môi trường mạng.

4. Cập nhật, sao lưu dự phòng và khôi phục sau khi xảy ra sự cố.

5. Cài đặt, gỡ bỏ hệ điều hành, dịch vụ, phần mềm trên hệ thống máy chủ và ứng dụng.

6. Kết nối và gỡ bỏ hệ thống máy chủ và ứng dụng khỏi hệ thống.

7. Cấu hình tối ưu và tăng cường bảo mật cho hệ thống máy chủ trước khi đưa vào vận hành, khai thác.

Điều 17. Bảo đảm an toàn dữ liệu

1. Yêu cầu an toàn đối với phương pháp mã hóa

a) Đơn vị phải xây dựng và áp dụng quy định sử dụng các phương thức mã hóa thích hợp theo các chuẩn quốc gia hoặc quốc tế đã được công nhận để bảo vệ thông tin;

b) Phải có biện pháp quản lý khóa mã hóa thích hợp để hỗ trợ việc sử dụng các kỹ thuật mã hóa.

2. Phân loại, quản lý và sử dụng khóa bí mật và dữ liệu mã hóa.

3. Có cơ chế mã hóa và kiểm tra tính nguyên vẹn của dữ liệu.

4. Có quy định về việc trao đổi dữ liệu qua môi trường mạng và phương tiện lưu trữ.

5. Sao lưu dự phòng và khôi phục dữ liệu (quy định tần suất sao lưu dự phòng, phương tiện lưu trữ, thời gian lưu trữ; nơi lưu trữ, phương thức lưu trữ và phương thức lấy dữ liệu ra khỏi phương tiện lưu trữ).

6. Cập nhật đồng bộ thông tin, dữ liệu giữa hệ thống sao lưu dự phòng chính và hệ thống phụ.

7. Định kỳ hoặc khi có thay đổi cấu hình trên hệ thống thực hiện quy trình sao lưu dự phòng: tập tin cấu hình hệ thống, bản dự phòng cơ sở dữ liệu; dữ liệu, thông tin nghiệp vụ và các thông tin, dữ liệu quan trọng khác trên hệ thống (nếu có).

Điều 18. Quản lý an toàn thiết bị đầu cuối

1. Quản lý, vận hành hoạt động bình thường cho thiết bị đầu cuối.

2. Có cơ chế bảo đảm an toàn cho kết nối, truy cập và sử dụng thiết bị đầu cuối từ xa.

3. Có quy định cài đặt, kết nối và gỡ bỏ thiết bị đầu cuối trong hệ thống.

4. Cấu hình tối ưu và tăng cường bảo mật cho máy tính người sử dụng trước khi đưa vào sử dụng.

5. Kiểm tra, đánh giá, xử lý điểm yếu ATTT cho thiết bị đầu cuối trước khi đưa vào sử dụng.

Điều 19. Quản lý phòng chống phần mềm độc hại

1. Cài đặt, cập nhật, sử dụng phần mềm phòng chống mã độc; dò quét, kiểm tra phần mềm độc hại trên máy tính, máy chủ và thiết bị di động.

2. Kiểm tra, dò quét, xử lý phần mềm độc hại trước khi cài đặt, sử dụng phần mềm trên máy tính, thiết bị di động và kiểm soát việc truy cập các trang thông tin trên mạng, bảo đảm chặn lọc các địa chỉ độc hại.

3. Tập tin gửi, nhận qua môi trường mạng và các phương tiện lưu trữ di động phải được kiểm tra, dò quét phần mềm độc hại.

4. Định kỳ hàng năm thực hiện kiểm tra và dò quét phần mềm độc hại trên toàn bộ hệ thống; thực hiện kiểm tra và xử lý phần mềm độc hại khi phát hiện dấu hiệu hoặc cảnh báo về phần mềm độc hại xuất hiện trên hệ thống.

Điều 20. Quản lý giám sát an toàn hệ thống thông tin

1. Quản lý, vận hành hoạt động bình thường của hệ thống giám sát

a) Quy trình khởi động và tắt hệ thống giám sát;

b) Quy trình thay đổi cấu hình và các thành phần của hệ thống giám sát;

c) Quy trình xử lý các sự cố liên quan đến hoạt động của hệ thống giám sát;

d) Quy trình sao lưu, dự phòng cấu hình hệ thống và log của hệ thống;

đ) Quy trình bảo trì, nâng cấp hệ thống giám sát;

e) Quy trình khôi phục hệ thống sau sự cố.

2. Đối tượng giám sát

a) Các thiết bị mạng, thiết bị bảo mật: định tuyến (Router), chuyển mạch (Switch), tường lửa (Firewall), phát hiện xâm nhập (IPS/IDS), tường lửa ứng dụng (WAF), phòng chống tấn công có chủ đích (APT)...;

b) Các máy chủ hệ thống (cả máy chủ vật lý và ảo hóa) trên các nền tảng khác nhau: Windows, Linux, Unix...;

c) Các ứng dụng phục vụ hoạt động của hệ thống: cấp phát địa chỉ mạng (DHCP), phân giải tên miền (DNS), mạng riêng ảo (VPN), bộ lọc web (Proxy Server)...; ứng dụng cung cấp dịch vụ: Web, Mail, FTP và các hệ quản trị cơ sở dữ liệu Oracle, SQL, MySQL…;

d) Các thiết bị đầu cuối: Máy tính người sử dụng, Camera giám sát...;

đ) Điểm giám sát trên đường truyền: Điểm giám sát biên tại giao diện kết nối của thiết bị Router biên với các mạng bên ngoài; điểm giám sát tại mỗi vùng mạng của hệ thống.

3. Kết nối và gửi nhật ký hệ thống từ đối tượng giám sát về hệ thống giám sát

a) Quy định loại log mà hệ thống có thể tiếp nhận;

b) Quy định giao thức gửi nhận log hệ thống hỗ trợ;

c) Quy định về quy tắc xác định nguồn gửi log (đặt tên thiết bị theo quy tắc);

d) Quy định số lượng sự kiện tối đa từ một đối tượng giám sát có thể gửi;

đ) Chính sách hệ thống để quản lý các nguồn log gửi về;

e) Quy định về chuẩn mã hóa, nén dữ liệu.

4. Truy cập và quản trị hệ thống giám sát

a) Chính sách truy cập, quản trị hệ thống từ mạng bên trong hệ thống và từ xa;

b) Quản lý tài khoản và phân quyền truy cập, quản trị hệ thống;

c) Truy cập và quản lý tập tin cấu hình và log lưu trữ trên hệ thống;

d) Quyền thiết lập cấu hình và quản lý các đối tượng giám sát.

5. Loại thông tin cần được giám sát

a) Các thiết bị mạng, thiết bị bảo mật tối thiểu có các thông tin:

- Thông tin kết nối mạng (Router log, Switch log, Firewall log...);

- Thông tin đăng nhập vào thiết bị mạng, thiết bị bảo mật;

- Lỗi phát sinh trong quá trình hoạt động (nhật ký trạng thái hoạt động của thiết bị mạng, thiết bị bảo mật);

- Thông tin thay đổi cấu hình thiết bị mạng, thiết bị bảo mật.

b) Các máy chủ hệ thống tối thiểu có các thông tin:

- Thông tin kết nối mạng tới máy chủ (Firewall log);

- Thông tin đăng nhập vào máy chủ;

- Lỗi phát sinh trong quá trình hoạt động (nhật ký trạng thái hoạt động của máy chủ);

- Thông tin về các tiến trình hệ thống;

- Thông tin về sự thay đổi các tập tin, thư mục trên hệ thống;

- Thông tin thay đổi cấu hình máy chủ.

c) Các ứng dụng tối thiểu có các thông tin:

- Thông tin truy cập ứng dụng;

- Thông tin đăng nhập khi quản trị ứng dụng;

- Thông tin các lỗi phát sinh trong quá trình hoạt động;

- Thông tin thay đổi cấu hình ứng dụng.

6. Lưu trữ và bảo vệ thông tin giám sát (nhật ký hệ thống)

a) Quy định loại log và thông tin cấu hình hệ thống cần lưu trữ;

b) Quy định tần suất sao lưu, dự phòng tập tin cấu hình và log hệ thống;

c) Gán nhãn dữ liệu, mã hóa, nén dữ liệu log;

d) Khôi phục và bảo vệ log hệ thống khi xảy ra sự cố theo phương án và năng lực xử lý của cơ quan, tổ chức.

7. Đồng bộ thời gian giữa hệ thống giám sát và thiết bị được giám sát.

8. Theo dõi, giám sát và cảnh báo sự cố phát hiện được trên hệ thống thông tin

a) Quy định trách nhiệm của CCVC trong việc thực hiện theo dõi, giám sát, cảnh báo và xử lý tấn công mạng;

b) Quy trình thực hiện theo dõi, giám sát, cảnh báo và xử lý tấn công mạng;

c) Quy trình thu thập thông tin và quản lý, cập nhật xử lý các sự cố mới;

d) Quy định về các mức độ sự cố tấn công mạng và xây dựng quy trình xử lý tấn công mạng đối với các dạng tấn công cụ thể, tối thiểu:

- Tấn công dò, quét và khai thác thông tin hệ thống;

- Tấn công mã độc, tấn công có chủ đích;

- Tấn công khai thác điểm yếu, chiếm quyền điều khiển hệ thống;

- Tấn công thay đổi giao diện;

- Tấn công đánh cắp dữ liệu hoặc phá hoại dữ liệu;

- Tấn công từ chối dịch vụ.

đ) Quy định về việc định kỳ tổ chức thực hành, diễn tập xử lý sự cố tấn công mạng;

e) Quy định về chế độ báo cáo khi phát hiện và xử lý sự cố tấn công mạng.

9. Bảo đảm bố trí nguồn lực và tổ chức giám sát an toàn hệ thống thông tin 24/7 (bao gồm Đội Ứng cứu sự cố, chuyên gia thuê ngoài hoặc thuê dịch vụ bảo đảm ATTT mạng chuyên biệt theo Chỉ thị số 14/CT-TTg ngày 07/6/2019 của Thủ tướng Chính phủ về việc tăng cường bảo đảm an toàn, an ninh mạng nhằm cải thiện chỉ số xếp hạng của Việt Nam) được phân làm các nhóm công việc:

a) Nhóm quản lý vận hành hệ thống giám sát

- Yêu cầu: có kiến thức về mạng, nắm được thiết kế hệ thống, thiết lập cấu hình bảo mật trên các thiết bị, máy chủ.

- Nhiệm vụ:

+ Quản lý vận hành bảo đảm các hoạt động bình thường của hệ thống giám sát. Nhóm này có thể nằm trong nhóm quản lý vận hành chung cho toàn bộ hạ tầng của hệ thống;

+ Theo dõi thường xuyên, liên tục trạng thái hoạt động của hệ thống, tài nguyên, băng thông, trạng thái kết nối để bảo đảm hệ thống hoạt động bình thường, có tính sẵn sàng cao.

b) Nhóm theo dõi và cảnh báo

- Yêu cầu: có kiến thức về các lỗ hổng mới, mã độc mới, chiến dịch, hình thức tấn công mới; có thể phân loại và xác định mức độ của các sự cố và tìm kiếm, truy vấn thông tin từ các nguồn dữ liệu bên ngoài như hệ thống phân tích, xử lý các mối đe dọa ATTT (Threat Intelligence).

- Nhiệm vụ:

+ Theo dõi, giám sát các sự kiện, tấn công mạng ghi nhận được trên hệ thống. Xác định và phân loại mức độ sự cố và xác định hành động phù hợp tiếp theo hoặc cảnh báo cho nhóm xử lý sự cố thực hiện;

+ Thực hiện định kỳ phân tích bộ luật (policy), cảnh báo sai thực hiện rà soát, chỉnh sửa policy không cho những cảnh báo sai lập lại để tối ưu khả năng phát hiện tấn công, sự cố của hệ thống.

c) Nhóm xử lý sự cố

- Yêu cầu: có kiến thức nền tảng về phân tích log hệ thống, ứng dụng, thiết bị; có kiến thức nền tảng về điều tra số.

- Nhiệm vụ:

+ Tiếp nhận cảnh báo, xác minh và thực hiện các hành động để xử lý sự cố;

+ Xác định các hành động ứng cứu khẩn cấp: Phản ứng chặn kênh kết nối điều khiển, bổ sung policy ngăn chặn sớm tấn công hoặc cô lập hệ thống;

+ Xử lý các lỗ hổng, điểm yếu, cập nhật bản vá và bóc gỡ mã độc trên hệ thống;

+ Nâng cấp hoặc khôi phục hệ thống sau sự cố.

d) Nhóm điều tra, phân tích

- Yêu cầu: có kiến thức nền tảng về phân tích log hệ thống, ứng dụng, thiết bị; có kiến thức nền tảng về điều tra số.

- Nhiệm vụ:

+ Phân tích chuyên sâu các cảnh báo, các sự cố để tìm ra nguồn gốc, nguyên nhân và các dấu hiệu nhận biết tấn công;

+ Báo cáo các chứng cứ số, các dấu hiệu cho phép thiết lập các tập policy trên hệ thống để ngăn chặn các dạng tấn công tương tự tiếp theo đến hệ thống.

Điều 21. Quản lý điểm yếu an toàn thông tin

1. Quản lý thông tin các thành phần có trong hệ thống có khả năng tồn tại điểm yếu ATTT: thiết bị mạng, bảo mật, hệ điều hành, máy chủ, ứng dụng, dịch vụ và các thành phần khác (nếu có).

2. Quản lý, cập nhật nguồn cung cấp điểm yếu ATTT; phân nhóm và mức độ của điểm yếu cho các thành phần trong hệ thống đã xác định.

3. Cơ chế phối hợp với các nhóm chuyên gia, bên cung cấp dịch vụ hỗ trợ trong việc xử lý, khắc phục điểm yếu ATTT.

4. Kiểm tra, đánh giá và xử lý điểm yếu ATTT cho thiết bị mạng, bảo mật, hệ điều hành, máy chủ, ứng dụng, dịch vụ trước khi đưa vào sử dụng.

5. Định kỳ 1 năm kiểm tra, đánh giá điểm yếu ATTT cho toàn bộ hệ thống thông tin; thực hiện quy trình kiểm tra, đánh giá, xử lý điểm yếu ATTT khi có thông tin hoặc nhận được cảnh báo về điểm yếu ATTT đối với thành phần cụ thể trong hệ thống.

Điều 22. Quản lý sự cố an toàn thông tin mạng

1. Phân nhóm sự cố ATTT mạng được thực hiện theo quy định tại Điều 27 Quy chế này.

2. Phương án tiếp nhận, phát hiện, phân loại và xử lý ban đầu sự cố ATTT mạng được thực hiện theo quy định tại Điều 29 Quy chế này.

3. Kế hoạch ứng phó sự cố ATTT mạng được thực hiện theo quy định tại Kế hoạch số 3280/KH-BHXH ngày 29/08/2018 của BHXH Việt Nam.

4. Giám sát, phát hiện và cảnh báo sự cố ATTT mạng được thực hiện theo quy định tại Thông tư số 31/2017/TT-BTTTT ngày 15/11/2017 của Bộ Thông tin và Truyền thông và văn bản hướng dẫn, quy định của BHXH Việt Nam.

5. Quy trình ứng cứu sự cố ATTT mạng thông thường được thực hiện theo quy định tại Thông tư số 20/2017/TT-BTTTT ngày 12/9/2017 của Bộ Thông tin và Truyền thông và văn bản hướng dẫn, quy định của BHXH Việt Nam.

6. Quy trình ứng cứu sự cố ATTT mạng nghiêm trọng được thực hiện theo quy định tại Điều 14 Quyết định số 05/2017/QĐ-TTg ngày 16/3/2017 của Thủ tướng Chính phủ và văn bản hướng dẫn, quy định của BHXH Việt Nam.

7. Tổ chức diễn tập ứng cứu, xử lý sự cố ATTT định kỳ trong phạm vi toàn Ngành theo Kế hoạch số 3280/KH-BHXH ngày 29/08/2018 của BHXH Việt Nam; tham gia các cuộc diễn tập quốc gia, quốc tế do Cơ quan điều phối quốc gia tổ chức.

Điều 23. Quản lý an toàn người sử dụng đầu cuối

1. Quản lý truy cập, sử dụng tài nguyên nội bộ

- Thiết lập hệ thống chỉ cho phép sử dụng các kết nối mạng an toàn khi truy cập, sử dụng tài nguyên nội bộ;

- Thiết lập giới hạn thời gian chờ (timeout) để đóng phiên kết nối khi không nhận được yêu cầu từ người dùng;

- Không cho phép truy cập, sử dụng tài nguyên nội bộ trực tiếp từ các mạng bên ngoài, trường hợp bắt buộc phải truy cập, sử dụng tài nguyên nội bộ từ xa phải thực hiện gián tiếp thông qua các máy quản trị trong hệ thống và sử dụng kết nối mạng an toàn;

- Phân quyền truy cập, sử dụng tài nguyên khác nhau với người sử dụng hoặc nhóm người sử dụng có chức năng, yêu cầu nghiệp vụ khác nhau.

2. Quản lý truy cập mạng và tài nguyên trên Internet

a) Quản lý truy cập từ bên ngoài mạng

- Thiết lập hệ thống chỉ cho phép sử dụng các kết nối mạng an toàn khi truy cập thông tin nội bộ hoặc quản trị hệ thống từ các mạng bên ngoài và mạng Internet;

- Kiểm soát truy cập từ bên ngoài vào hệ thống theo từng dịch vụ, ứng dụng cụ thể; chặn tất cả truy cập tới các dịch vụ, ứng dụng mà hệ thống không cung cấp hoặc không cho phép truy cập từ bên ngoài;

- Thiết lập giới hạn thời gian chờ (timeout) để đóng phiên kết nối khi hệ thống không nhận được yêu cầu từ người dùng;

- Phân quyền và cấp quyền truy cập từ bên ngoài vào hệ thống theo từng người dùng hoặc nhóm người dùng căn cứ theo yêu cầu nghiệp vụ, yêu cầu quản lý;

- Giới hạn số lượng kết nối đồng thời từ một địa chỉ nguồn và tổng số lượng kết nối đồng thời cho từng ứng dụng, dịch vụ được hệ thống cung cấp theo năng lực thực tế của hệ thống.

b) Quản lý truy cập từ bên trong mạng

- Chỉ cho phép truy cập các ứng dụng, dịch vụ bên ngoài theo yêu cầu nghiệp vụ, chặn các dịch vụ khác không phục vụ hoạt động nghiệp vụ theo policy của tổ chức;

- Giới hạn truy cập các ứng dụng, dịch vụ bên ngoài theo thời gian;

- Có phương án kiểm soát truy cập của người dùng vào các dịch vụ, các máy chủ nội bộ theo chức năng và policy của tổ chức;

- Có phương án quản lý các thiết bị đầu cuối, máy tính người dùng kết nối vào hệ thống mạng (theo địa chỉ vật lý, địa chỉ logic), chỉ cho phép thiết bị đầu cuối, máy tính người sử dụng hợp lệ kết nối vào hệ thống.

3. Cài đặt và sử dụng máy tính an toàn

a) Phòng chống xâm nhập

- Loại bỏ các tài khoản không sử dụng, các tài khoản không còn hợp lệ;

- Sử dụng tường lửa của hệ điều hành và hệ thống để cấm các truy cập trái phép;

- Vô hiệu hóa các giao thức mạng không an toàn, các dịch vụ hệ thống không sử dụng;

- Có phương án cập nhật bản vá, xử lý điểm yếu ATTT cho hệ điều hành và các phần mềm bảo vệ.

b) Phòng chống phần mềm độc hại

- Cài đặt phần mềm phòng chống mã độc và thiết lập chế độ tự động cập nhật cơ sở dữ liệu cho phần mềm;

- Có phương án kiểm tra, dò quét, xử lý mã độc cho các phần mềm trước khi cài đặt;

- Quản lý tập trung (cập nhật, cảnh báo và quản lý) các phần mềm phòng chống mã độc cài đặt trên máy tính người sử dụng trong hệ thống.

c) Giám sát truy cập và kết nối cho thiết bị vào hệ thống mạng nội bộ

- Triển khai hệ thống Dịch vụ thư mục (Active Directory/LDAP) để quản lý máy tính người dùng;

- Kết hợp với giải pháp giám sát quản lý truy cập (NAC) để phát hiện máy tính người dùng vi phạm chính sách của hệ thống;

- Đồng bộ với việc cấp phát địa chỉ IP của máy chủ DHCP để có thể xác định máy tính người dùng vi phạm chính sách dựa vào địa chỉ vật lý của thiết bị (MAC).

Điều 24. Quản lý rủi ro an toàn thông tin

1. Phương pháp đánh giá rủi ro.

a) Xác định rủi ro

- Xác định bối cảnh nội bộ và bên ngoài đối với phạm vi áp dụng;

- Xác định mối đe dọa liên quan đến các tài sản thông tin;

- Xác định các mối đe dọa liên quan đến các hệ thống thông tin quan trọng;

- Xác định các điểm yếu của tài sản.

b) Phân tích rủi ro

- Đánh giá mức độ hiện tại đang áp dụng;

- Xác định khả năng xảy ra và tác động;

- So sánh tiêu chí chấp nhận rủi ro.

2. Xử lý rủi ro

- Biện pháp xử lý rủi ro;

- Xác định lại giá trị rủi ro;

- So sánh tiêu chí chấp nhận;

- Biện pháp xử lý rủi ro theo quy trình khắc phục.

Điều 25. Kết thúc vận hành, khai thác, thanh lý, hủy bỏ hệ thống thông tin

1. Quy định kết thúc vận hành, khai thác và hủy bỏ các thông tin, dữ liệu bảo mật

Việc hủy bỏ các thông tin, dữ liệu bảo mật được thực hiện theo quy định của pháp luật về quản lý, sử dụng thông tin, dữ liệu bảo mật và lĩnh vực có liên quan.

2. Quy định về xử lý và hủy bỏ phương tiện lưu trữ điện tử

a) Thiết bị công nghệ thông tin có chứa dữ liệu (máy tính, thiết bị lưu trữ...) khi bị hỏng phải được CCVC chuyên trách về công nghệ thông tin kiểm tra, xử lý, khắc phục. Đối với thiết bị công nghệ thông tin mang ra bên ngoài sửa chữa, bảo hành phải có biện pháp kiểm tra, giám sát đảm bảo không để lọt lộ thông tin hay lây nhiễm mã độc;

b) Thực hiện các biện pháp kỹ thuật xóa bỏ hoàn toàn dữ liệu, đảm bảo không có khả năng phục hồi nội dung thông tin, dữ liệu trên thiết bị công nghệ thông tin trước khi tiến hành hủy bỏ.

3. Quy định về xử lý thông tin trên các phương tiện và thiết bị công nghệ thông tin (Máy tính cá nhân, máy chủ, các thiết bị mạng, bảo mật, phương tiện lưu trữ như CD/DVD, thẻ nhớ, ổ cứng…)

a) Có phương án xóa sạch thông tin, dữ liệu người dùng đã tạo ra trên các máy tính cá nhân, máy chủ khi chuyển giao hoặc thay đổi mục đích sử dụng;

b) Thực hiện thu hồi địa chỉ mạng, xóa sạch cấu hình hệ thống trên thiết bị mạng, bảo mật;

c) Thực hiện các biện pháp tiêu hủy phương tiện lưu trữ như CD/DVD, thẻ nhớ, ổ cứng…;

d) Sao lưu dự phòng thông tin, dữ liệu trước khi thực hiện xóa dữ liệu;

đ) Có biện pháp kiểm tra, bảo đảm dữ liệu không thể khôi phục sau khi xóa.

Chương V

PHƯƠNG ÁN BẢO ĐẢM ỨNG CỨU SỰ CỐ

AN TOÀN THÔNG TIN MẠNG

Điều 26. Hoạt động ứng cứu sự cố an toàn thông tin mạng

1. Các tổ chức, cá nhân khi phát hiện dấu hiệu tấn công, nguy cơ mất ATTT mạng hoặc sự cố ATTT mạng cần kịp thời báo cho Đơn vị vận hành hệ thống thông tin, Chủ quản hệ thống thông tin, Trung tâm Công nghệ thông tin. Trung tâm Công nghệ thông tin có trách nhiệm cập nhật, tổng hợp và báo cáo đơn vị cơ quan quản lý nhà nước trong trường hợp cần thiết.

2. Đơn vị vận hành hệ thống thông tin phải chỉ đạo khắc phục để hạn chế thiệt hại, thực hiện báo cáo theo quy định tại Điều 28 Quy chế này, đồng thời báo cáo Trung tâm Công nghệ thông tin để tổng hợp, báo cáo Ban Chỉ đạo ngành BHXH Việt Nam.

Điều 27. Phân nhóm sự cố an toàn thông tin mạng

1. Sự cố ATTT mạng nghiêm trọng là sự cố đáp ứng đồng thời các tiêu chí sau:

a) Hệ thống thông tin bị sự cố là hệ thống thông tin cấp độ 4, cấp độ 5 hoặc thuộc Danh mục hệ thống thông tin quan trọng quốc gia và bị một trong số các sự cố sau:

- Hệ thống bị gián đoạn dịch vụ;

- Dữ liệu tuyệt mật hoặc bí mật nhà nước có khả năng bị tiết lộ;

- Dữ liệu quan trọng của hệ thống không bảo đảm tính toàn vẹn và không có khả năng khôi phục được;

- Hệ thống bị mất quyền điều khiển;

- Sự cố có khả năng xảy ra trên diện rộng hoặc gây ra các ảnh hưởng dây chuyền, làm tổn hại cho các hệ thống thông tin cấp độ 4 hoặc cấp độ 5 khác.

b) Chủ quản hệ thống thông tin không đủ khả năng tự kiểm soát, xử lý được sự cố.

2. Sự cố ATTT mạng thông thường là sự cố không đạt các tiêu chí quy định tại Khoản 1, Điều này.

Điều 28. Thông báo, báo cáo sự cố an toàn thông tin mạng

1. Báo cáo sự cố ATTT mạng

a) Đơn vị vận hành hệ thống thông tin có trách nhiệm báo cáo sự cố tới Chủ quản hệ thống thông tin, Đơn vị chuyên trách ứng cứu sự cố, Cơ quan điều phối quốc gia chậm nhất 05 ngày kể từ khi phát hiện sự cố theo nội dung tại Khoản 4 Điều này. Tại thời điểm báo cáo, nếu chưa hoàn thành việc xử lý sự cố, Đơn vị vận hành hệ thống thông tin phải cập nhật lại thông tin của sự cố cho các cơ quan, đơn vị đã nhận thông tin trước đó ngay khi kết thúc việc xử lý sự cố;

b) Trường hợp Đơn vị vận hành hệ thống thông tin xác định sự cố có thể vượt khả năng xử lý của mình, Đơn vị vận hành hệ thống thông tin phải xây dựng ngay Báo cáo ban đầu sự cố, thực hiện quy trình báo cáo khẩn cấp theo quy định tại khoản 2 đến khoản 5 Điều này báo cáo Chủ quản hệ thống thông tin, Đơn vị chuyên trách về ứng cứu sự cố và Cơ quan điều phối quốc gia ngay khi phát hiện sự cố hoặc xác định sự cố có thể vượt khả năng xử lý của mình; sau khi kết thúc ứng cứu sự cố, chậm nhất trong vòng 05 ngày phải hoàn thiện Báo cáo kết thúc ứng phó sự cố để báo cáo Chủ quản hệ thống thông tin và Cơ quan điều phối quốc gia;

c) Các tổ chức, cá nhân không phải là Đơn vị vận hành hệ thống thông tin khi phát hiện dấu hiệu tấn công hoặc sự cố ATTT mạng cần nhanh chóng thông báo thông tin của sự cố theo nội dung tại Khoản 4 Điều này cho Đơn vị vận hành hệ thống thông tin, cơ quan Chủ quản hệ thống thông tin, Cơ quan điều phối quốc gia và Đơn vị chuyên trách ứng cứu sự cố.

2. Các loại thông báo, báo cáo sự cố

Báo cáo sự cố phải được thực hiện ngay lập tức và được duy trì trong suốt quá trình ứng cứu sự cố gồm:

a) Báo cáo ban đầu sự cố;

b) Báo cáo diễn biến tình hình;

c) Báo cáo phương án ứng cứu cụ thể;

d) Báo cáo xin ý kiến chỉ đạo, chỉ huy;

đ) Báo cáo đề nghị hỗ trợ, phối hợp;

e) Báo cáo kết thúc ứng phó sự cố.

3. Các hình thức thông báo, báo cáo sự cố

a) Hình thức thông báo sự cố: Bằng công văn, fax, thư điện tử, nhắn tin đa phương tiện hoặc thông qua hệ thống báo cáo, cảnh báo sự cố an toàn mạng quốc gia, hệ thống kỹ thuật báo cáo sự cố ATTT mạng của Cơ quan điều phối quốc gia;

b) Hình thức báo cáo sự cố: Bằng văn bản giấy hoặc văn bản điện tử (có ký tên và đóng dấu hoặc chữ ký số của người có thẩm quyền) theo mẫu báo cáo về điều phối ứng cứu hoặc theo hướng dẫn của cơ quan điều phối quốc gia.

4. Nội dung báo cáo, thông báo sự cố

a) Tên, địa chỉ đơn vị, cá nhân thông báo sự cố;

b) Tên, địa chỉ Đơn vị vận hành hệ thống thông tin; Chủ quản hệ thống thông tin;

c) Tên, tên miền, địa chỉ IP của hệ thống thông tin bị sự cố; thời điểm phát hiện sự cố;

b) Đầu mối liên lạc về sự cố của Đơn vị vận hành hệ thống thông tin bị sự cố: Tên, chức vụ, điện thoại, thư điện tử;

c) Mô tả về sự cố: Loại sự cố, hiện tượng, đánh giá sơ bộ mức độ nguy hại, mức độ lây lan, tác động của sự cố đến hoạt động bình thường của tổ chức;

d) Đơn vị cung cấp dịch vụ hạ tầng công nghệ thông tin, viễn thông;

đ) Liệt kê các biện pháp đã triển khai hoặc dự kiến triển khai để xử lý khắc phục sự cố;

e) Các tổ chức, doanh nghiệp đang hỗ trợ ứng cứu, xử lý và kết quả xử lý sự cố tính đến thời điểm báo cáo;

g) Kết quả ứng cứu sự cố ban đầu, xử lý sự cố;

h) Kiến nghị, đề xuất hưởng ứng cứu xử lý sự cố và các thông tin liên quan khác (nếu có).

5. Nguyên tắc báo cáo, trao đổi thông tin trong ứng cứu sự cố

Trong quá trình ứng cứu sự cố, Đơn vị vận hành hệ thống thông tin phải chủ trì, phối hợp với các cơ quan, đơn vị liên quan xây dựng và duy trì thực hiện các báo cáo ứng cứu sự cố theo quy định và yêu cầu của cơ quan có thẩm quyền gồm:

a) Đơn vị vận hành hệ thống thông tin báo cáo Chủ quản hệ thống thông tin, Đơn vị chuyên trách ứng cứu sự cố, Cơ quan điều phối quốc gia;

b) Đơn vị chuyên trách ứng cứu sự cố báo cáo Chủ quản hệ thống thông tin, Ban Chỉ đạo ngành BHXH Việt Nam và Cơ quan điều phối quốc gia;

c) Ban Chỉ đạo ngành BHXH Việt Nam báo cáo Cơ quan thường trực quốc gia và Ban Chỉ đạo quốc gia.

Điều 29. Phương án tiếp nhận, phát hiện, phân loại và xử lý ban đầu sự cố an toàn thông tin mạng.

1. Đơn vị vận hành hệ thống thông tin

a) Khi phát hiện sự cố: Tổ chức theo dõi, ghi chép và tập hợp các thông tin liên quan đến sự cố và tổ chức thông báo hoặc báo cáo sự cố theo quy định tại Điều 28 của Quy chế này;

b) Khi tiếp nhận thông báo sự cố: Phản hồi ngay cho tổ chức, cá nhân gửi thông báo sự cố để xác nhận thông tin;

c) Xác minh sự cố và xử lý ban đầu: Chủ trì, phối hợp với đơn vị chuyên trách về ứng cứu sự cố để tiến hành phân tích, xác minh, đánh giá sự cố; thực hiện ngay các hoạt động ứng cứu sự cố ban đầu, triển khai quy trình ứng cứu sự cố theo kế hoạch ứng phó sự cố ATTT mạng tại Kế hoạch số 3280/KH-BHXH ngày 29/08/2018 của BHXH Việt Nam, quy trình tại Thông tư số 20/2017/TT-BTTTT ngày 12/9/2017 của Bộ Thông tin và Truyền thông và văn bản hướng dẫn, quy định của BHXH Việt Nam; trường hợp xác định sự cố có khả năng là sự cố nghiêm trọng, cần báo cáo ngay với Chủ quản hệ thống thông tin, Đơn vị chuyên trách ứng cứu sự cố để đề xuất nâng cấp sự cố nghiêm trọng, triển khai quy trình tại Quyết định số 05/2017/QĐ-TTg ngày 16/3/2017 của Thủ tướng Chính phủ và văn bản hướng dẫn, quy định của BHXH Việt Nam, đồng thời gửi Cơ quan điều phối quốc gia.

2. Đơn vị chuyên trách về ứng cứu sự cố

a) Khi phát hiện sự cố: Thông báo sự cố ngay đến Đơn vị vận hành hệ thống thông tin, Chủ quản hệ thống thông tin và Cơ quan điều phối quốc gia;

b) Khi tiếp nhận thông báo hoặc báo cáo sự cố: Ghi nhận, tiếp nhận thông báo, báo cáo sự cố ATTT mạng theo đúng quy trình; phản hồi cho tổ chức, cá nhân gửi thông báo, báo cáo ban đầu ngay sau khi nhận được để xác nhận về việc đã nhận được thông báo, báo cáo sự cố;

c) Tổ chức xác minh và xử lý sự cố: Phối hợp với Đơn vị vận hành hệ thống thông tin để thẩm tra, xác minh và xử lý sự cố trong khả năng và trách nhiệm của mình; trường hợp xác định sự cố có khả năng vượt qua khả năng xử lý của mình hoặc có khả năng là sự cố nghiêm trọng, cần thông báo ngay thông tin sự cố đến Chủ quản hệ thống thông tin và Cơ quan điều phối quốc gia;

d) Chủ động hỗ trợ Đơn vị vận hành hệ thống thông tin ứng cứu, xử lý sự cố trong khả năng và trách nhiệm của mình;

đ) Giám sát diễn biến tình hình ứng cứu sự cố và báo cáo hoặc đề xuất, xin ý kiến chỉ đạo của Chủ quản hệ thống thông tin và Ban Chỉ đạo ngành BHXH Việt Nam trong trường hợp vượt thẩm quyền, phạm vi trách nhiệm của mình hoặc vượt khả năng xử lý của mình;

e) Tổng hợp, báo cáo Cơ quan điều phối quốc gia về diễn biến sự cố, theo định kỳ 6 tháng một lần và báo cáo đột xuất khi được yêu cầu.

Chương VI

TỔ CHỨC THỰC HIỆN

Điều 30. Trách nhiệm của Trung tâm Công nghệ thông tin

1. Là đầu mối của BHXH Việt Nam tham gia Mạng lưới ứng cứu sự cố ATTT mạng quốc gia.

2. Phân định vai trò, trách nhiệm, cơ chế phối hợp của các bộ phận, CCVC trong đơn vị và là thường trực Đội ứng cứu sự cố để triển khai các nhiệm vụ bảo đảm ATTT.

3. Xây dựng các quy định, quy trình trình BHXH Việt Nam ban hành và tổ chức thực thi chính sách ATTT thống nhất trong toàn Ngành.

4. Thực hiện đề xuất cấp độ đối với các hệ thống thông tin theo quy định tại Quy chế này.

5. Kiểm tra, giám sát các hoạt động bảo đảm ATTT trong toàn Ngành.

6. Lưu hồ sơ, thông tin phản hồi của đối tượng áp dụng trong quá trình triển khai, áp dụng chính sách ATTT.

7. Định kỳ hàng năm hoặc khi có thay đổi chính sách ATTT, Trung tâm Công nghệ thông tin tổ chức kiểm tra lại tính phù hợp và thực hiện rà soát, trình BHXH Việt Nam sửa đổi, bổ sung Quy chế bảo đảm an toàn hệ thống thông tin theo cấp độ ngành BHXH Việt Nam.

8. Hàng năm xây dựng kế hoạch và triển khai các chương trình bồi dưỡng, tập huấn chuyên sâu về ATTT cho các nhóm đối tượng bảo đảm ATTT mạng của các đơn vị.

Điều 31. Trách nhiệm của Đơn vị vận hành hệ thống thông tin

1. Thực hiện trách nhiệm của Đơn vị vận hành hệ thống thông tin theo quy định tại Quy chế này và các nhiệm vụ do Chủ quản hệ thống thông tin phân công.

2. Chỉ đạo, phân công các bộ phận kỹ thuật thuộc đơn vị (quản lý ứng dụng; quản lý dữ liệu; vận hành hệ thống thông tin; triển khai và hỗ trợ kỹ thuật) triển khai công tác bảo đảm ATTT trong tất cả các công đoạn liên quan đến hệ thống thông tin.

3. Thực hiện đề xuất cấp độ đối với các hệ thống thông tin theo quy định tại Quy chế này

4. Bố trí, phân công bộ phận hoặc CCVC chuyên trách bảo đảm ATTT mạng cho hệ thống thông tin thuộc phạm vi quản lý của đơn vị; thực hiện cập nhật thông tin xử lý, lưu trữ tài liệu tuân thủ các quy định của Ngành.

5. Thực hiện các nội dung theo quy định tại Quy chế này.

Điều 32. Chế độ báo cáo

1. Phương thức gửi, nhận báo cáo: Gửi qua hệ thống quản lý văn bản và điều hành.

2. Tần suất thực hiện báo cáo:

a) Định kỳ hàng năm;

b) Đột xuất theo đề nghị của cơ quan có thẩm quyền.

3. Thời gian chốt số liệu báo cáo định kỳ hàng năm: Tính từ ngày 15 tháng 12 năm trước kỳ báo cáo đến ngày 14 tháng 12 của kỳ báo cáo.

4. Thời hạn gửi báo cáo đối với báo cáo định kỳ hàng năm: Đơn vị vận hành hệ thống thông tin gửi báo cáo tới BHXH Việt Nam trước ngày 17 tháng 12 hàng năm.

5. Nội dung báo cáo đáp ứng yêu cầu tại Điều 14 Thông tư 12/2022/TT-BTTTT ngày 12/8/2022 của Bộ Thông tin và Truyền thông.

Điều 33. Xử lý vi phạm

Các đơn vị, cá nhân vi phạm Quy chế này, tùy theo tính chất, mức độ của hành vi vi phạm sẽ bị xử lý hành chính, xử lý kỷ luật hoặc truy cứu trách nhiệm hình sự; nếu gây thiệt hại về tài sản thì phải bồi thường theo quy định của pháp luật.

Điều 34. Điều khoản thi hành

1. Các đơn vị trực thuộc BHXH Việt Nam, BHXH các tỉnh, thành phố chịu trách nhiệm tổ chức triển khai thực hiện Quy chế tại đơn vị mình.

2. Trong quá trình thực hiện Quy chế, nếu có khó khăn, vướng mắc, các đơn vị báo cáo về BHXH Việt Nam (qua Trung tâm CNTT) để được hỗ trợ, giải quyết./.