Nghị định 85/2016/NĐ-CP bảo đảm an toàn hệ thống thông tin theo cấp độ

Tóm tắt

Nội dung

Tiếng Anh

Lược đồ

Tải về

thuộc tính Nghị định 85/2016/NĐ-CP

Nghị định 85/2016/NĐ-CP của Chính phủ về việc bảo đảm an toàn hệ thống thông tin theo cấp độ

Cơ quan ban hành:	Chính phủ
Số công báo:	Đã biết Vui lòng đăng nhập tài khoản gói Tiêu chuẩn hoặc Nâng cao để xem Số công báo. Nếu chưa có tài khoản Quý khách đăng ký tại đây!
Số hiệu:	85/2016/NĐ-CP
Ngày đăng công báo:	Đã biết Vui lòng đăng nhập tài khoản gói Tiêu chuẩn hoặc Nâng cao để xem Ngày đăng công báo. Nếu chưa có tài khoản Quý khách đăng ký tại đây!
Loại văn bản:	Nghị định
Người ký:	Nguyễn Xuân Phúc
Ngày ban hành:	01/07/2016
Ngày hết hiệu lực:	Đang cập nhật
Áp dụng:	Đã biết Vui lòng đăng nhập tài khoản để xem Ngày áp dụng. Nếu chưa có tài khoản Quý khách đăng ký tại đây!
Tình trạng hiệu lực:	Đã biết Vui lòng đăng nhập tài khoản gói Tiêu chuẩn hoặc Nâng cao để xem Tình trạng hiệu lực. Nếu chưa có tài khoản Quý khách đăng ký tại đây!
Lĩnh vực:	Thông tin-Truyền thông

TÓM TẮT VĂN BẢN

Nguyên tắc bảo đảm an toàn hệ thống thông tin theo cấp độ

Ngày 01/07/2016, Chính phủ đã ban hành Nghị định số 85/2016/NĐ-CP về bảo đảm an toàn hệ thống thông tin theo cấp độ; trong đó đáng chú ý là quy định về nguyên tắc bảo đảm an toàn hệ thống thông tin theo cấp độ.
Theo đó, việc bảo đảm an toàn hệ thống thông tin theo cấp độ trong hoạt động của cơ quan, tổ chức phải được thực hiện thường xuyên, liên tục từ khâu thiết kế, xây dựng, vận hành đến khi hủy bỏ; tuân thủ theo tiêu chuẩn, quy chuẩn kỹ thuật. Đồng thời, phải được thực hiện một cách tổng thể, đồng bộ, tập trung trong việc đầu tư các giải pháp bảo vệ, có sự dùng chung, chia sẻ tài nguyên để tối ưu hiệu năng, tránh đầu tư thừa, trùng lặp.
Thông tin xử lý thông qua hệ thống thông tin được phân loại theo thuộc tính bí mật; trong đó, thông tin công cộng là thông tin trên mạng của 01 tổ chức, cá nhân được công khai cho tất cả các đối tượng mà không cần xác định danh tính, địa chỉ cụ thể của các đối tượng đó; thông tin riêng là thông tin trên mạng của 01 tổ chức, cá nhân mà tổ chức, cá nhân đó không công khai hoặc chỉ công khai cho 01 hoặc một nhóm đối tượng đã được xác định danh tính, địa chỉ cụ thể; thông tin cá nhân là thông tin trên mạng gắn với việc xác định danh tính 01 người cụ thể và thông tin bí mật Nhà nước.
Nghị định này có hiệu lực thi hành kể từ ngày 01/07/2016.

Xem chi tiết Nghị định85/2016/NĐ-CP tại đây

tải Nghị định 85/2016/NĐ-CP

Nghị định 85/2016/NĐ-CP DOC (Bản Word)

Nghị định 85/2016/NĐ-CP PDF (Bản có dấu đỏ)

Nghị định 85/2016/NĐ-CP ZIP (Bản Word)

LuatVietnam.vn độc quyền cung cấp bản dịch chính thống Công báo tiếng Anh của Thông Tấn Xã Việt Nam.

Tình trạng hiệu lực: Đã biết

CHÍNH PHỦ
-------

Số: 85/2016/NĐ-CP

CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM
Độc lập - Tự do - Hạnh phúc
---------------

Hà Nội, ngày 01 tháng 07 năm 2016

NGHỊ ĐỊNH

VỀ BẢO ĐẢM AN TOÀN HỆ THỐNG THÔNG TIN THEO CẤP ĐỘ

Căn cứ Luật tổ chức Chính phủ ngày 19 tháng 6 năm 2015;

Căn cứ Luật an toàn thông tin mạng ngày 19 tháng 11 năm 2015;

Theo đề nghị của Bộ trưởng Bộ Thông tin và Truyền thông;

Chính phủ ban hành Nghị định về bảo đảm an toàn hệ thống thông tin theo cấp độ.

Chương I
NHỮNG QUY ĐỊNH CHUNG

Điều 1. Phạm vi điều chỉnh
Nghị định này quy định chi tiết về tiêu chí, thẩm quyền, trình tự, thủ tục xác định cấp độ an toàn hệ thống thông tin và trách nhiệm bảo đảm an toàn hệ thống thông tin theo từng cấp độ.

Điều 2. Đối tượng áp dụng
Nghị định này áp dụng đối với cơ quan, tổ chức, cá nhân tham gia hoặc có liên quan đến hoạt động xây dựng, thiết lập, quản lý, vận hành, nâng cấp, mở rộng hệ thống thông tin tại Việt Nam phục vụ ứng dụng công nghệ thông tin trong hoạt động của cơ quan, tổ chức nhà nước, ứng dụng công nghệ thông tin trong việc cung cấp dịch vụ trực tuyến phục vụ người dân và doanh nghiệp.
Khuyến khích tổ chức, cá nhân liên quan khác áp dụng các quy định tại Nghị định này để bảo vệ hệ thống thông tin.

Điều 3. Giải thích từ ngữ
Trong Nghị định này, các từ ngữ dưới đây được hiểu như sau:

1. Chủ quản hệ thống thông tin là cơ quan, tổ chức, cá nhân có thẩm quyền quản lý trực tiếp đối với hệ thống thông tin. Đối với cơ quan, tổ chức nhà nước, chủ quản hệ thống thông tin là các bộ, cơ quan ngang bộ, cơ quan thuộc Chính phủ, Ủy ban nhân dân các tỉnh, thành phố trực thuộc trung ương hoặc là cấp có thẩm quyền quyết định đầu tư dự án xây dựng, thiết lập, nâng cấp, mở rộng hệ thống thông tin đó.

2. Xử lý thông tin là việc thực hiện một hoặc một số thao tác tạo lập, cung cấp, thu thập, biên tập, sử dụng, lưu trữ, truyền đưa, chia sẻ, trao đổi thông tin trên mạng.

3. Đơn vị vận hành hệ thống thông tin là cơ quan, tổ chức được chủ quản hệ thống thông tin giao nhiệm vụ vận hành hệ thống thông tin. Trong trường hợp chủ quản hệ thống thông tin thuê ngoài dịch vụ công nghệ thông tin, đơn vị vận hành hệ thống thông tin là bên cung cấp dịch vụ.

4. Đơn vị chuyên trách về công nghệ thông tin là đơn vị chuyên trách về công nghệ thông tin của các bộ, cơ quan ngang bộ, cơ quan thuộc Chính phủ; Sở Thông tin và Truyền thông các tỉnh, thành phố trực thuộc trung ương hoặc đơn vị chuyên trách về công nghệ thông tin của chủ quản hệ thống thông tin do chủ quản hệ thống thông tin chỉ định.

5. Đơn vị chuyên trách về an toàn thông tin là đơn vị có chức năng, nhiệm vụ bảo đảm an toàn thông tin của chủ quản hệ thống thông tin.

6. Bộ phận chuyên trách về an toàn thông tin là bộ phận do chủ quản hệ thống thông tin thành lập hoặc chỉ định để thực thi nhiệm vụ bảo đảm an toàn thông tin và ứng cứu sự cố an toàn thông tin mạng.

7. Dịch vụ trực tuyến là dịch vụ do doanh nghiệp hoặc cơ quan nhà nước cung cấp trên môi trường mạng cho các tổ chức, cá nhân.

Điều 4. Nguyên tắc bảo đảm an toàn hệ thống thông tin theo cấp độ

1. Việc bảo đảm an toàn hệ thống thông tin theo cấp độ trong hoạt động của cơ quan, tổ chức được thực hiện thường xuyên, liên tục từ khâu thiết kế, xây dựng, vận hành đến khi hủy bỏ; tuân thủ theo tiêu chuẩn, quy chuẩn kỹ thuật.

2. Việc bảo đảm an toàn hệ thống thông tin theo cấp độ trong hoạt động của cơ quan, tổ chức được thực hiện một cách tổng thể, đồng bộ, tập trung trong việc đầu tư các giải pháp bảo vệ, có sự dùng chung, chia sẻ tài nguyên để tối ưu hiệu năng, tránh đầu tư thừa, trùng lặp.

3. Việc phân bổ, bố trí nguồn lực để bảo đảm an toàn hệ thống thông tin thực hiện theo thứ tự ưu tiên từ cấp độ cao xuống cấp độ thấp.

Điều 5. Nguyên tắc xác định cấp độ

1. Việc xác định hệ thống thông tin để xác định cấp độ căn cứ trên nguyên tắc như sau:

a) Hệ thống thông tin chỉ có một chủ quản hệ thống thông tin;

b) Hệ thống thông tin có thể hoạt động độc lập, được thiết lập nhằm trực tiếp phục vụ hoặc hỗ trợ hoạt động nghiệp vụ, sản xuất, kinh doanh cụ thể của cơ quan, tổ chức thuộc một trong các loại hình hệ thống thông tin quy định tại khoản 2 Điều 6 Nghị định này.

2. Trong trường hợp hệ thống thông tin bao gồm nhiều hệ thống thành phần, mỗi hệ thống thành phần lại tương ứng với một cấp độ khác nhau, thì cấp độ hệ thống thông tin được xác định là cấp độ cao nhất trong các cấp độ của các hệ thống thành phần cấu thành.

Chương II
TIÊU CHÍ XÁC ĐỊNH CẤP ĐỘ

Điều 6. Phân loại thông tin và hệ thống thông tin

1. Thông tin xử lý thông qua hệ thống thông tin được phân loại theo thuộc tính bí mật như sau:

a) Thông tin công cộng là thông tin trên mạng của một tổ chức, cá nhân được công khai cho tất cả các đối tượng mà không cần xác định danh tính, địa chỉ cụ thể của các đối tượng đó;

b) Thông tin riêng là thông tin trên mạng của một tổ chức, cá nhân mà tổ chức, cá nhân đó không công khai hoặc chỉ công khai cho một hoặc một nhóm đối tượng đã được xác định danh tính, địa chỉ cụ thể;

c) Thông tin cá nhân là thông tin trên mạng gắn với việc xác định danh tính một người cụ thể;

d) Thông tin bí mật nhà nước là thông tin ở mức Mật, Tối Mật, Tuyệt Mật theo quy định của pháp luật về bảo vệ bí mật nhà nước.

2. Hệ thống thông tin được phân loại theo chức năng phục vụ hoạt động nghiệp vụ như sau:

a) Hệ thống thông tin phục vụ hoạt động nội bộ là hệ thống chỉ phục vụ hoạt động quản trị, vận hành nội bộ của cơ quan, tổ chức;

b) Hệ thống thông tin phục vụ người dân, doanh nghiệp là hệ thống trực tiếp hoặc hỗ trợ cung cấp dịch vụ trực tuyến, bao gồm dịch vụ công trực tuyến và dịch vụ trực tuyến khác trong các lĩnh vực viễn thông, công nghệ thông tin, thương mại, tài chính, ngân hàng, y tế, giáo dục và các lĩnh vực chuyên ngành khác;

c) Hệ thống cơ sở hạ tầng thông tin là tập hợp trang thiết bị, đường truyền dẫn kết nối phục vụ chung hoạt động của nhiều cơ quan, tổ chức như mạng diện rộng, cơ sở dữ liệu, trung tâm dữ liệu, điện toán đám mây; xác thực điện tử, chứng thực điện tử, chữ ký số; kết nối liên thông các hệ thống thông tin;

d) Hệ thống thông tin điều khiển công nghiệp là hệ thống có chức năng giám sát, thu thập dữ liệu, quản lý và kiểm soát các hạng mục quan trọng phục vụ điều khiển, vận hành hoạt động bình thường của các công trình xây dựng;

đ) Hệ thống thông tin khác.

Điều 7. Tiêu chí xác định cấp độ 1
Hệ thống thông tin cấp độ 1 là hệ thống thông tin phục vụ hoạt động nội bộ của cơ quan, tổ chức và chỉ xử lý thông tin công cộng.

Điều 8. Tiêu chí xác định cấp độ 2
Hệ thống thông tin cấp độ 2 là hệ thống thông tin có một trong các tiêu chí cụ thể như sau:

1. Hệ thống thông tin phục vụ hoạt động nội bộ của cơ quan, tổ chức và có xử lý thông tin riêng, thông tin cá nhân của người sử dụng nhưng không xử lý thông tin bí mật nhà nước.

2. Hệ thống thông tin phục vụ người dân, doanh nghiệp thuộc một trong các loại hình như sau:

a) Cung cấp thông tin và dịch vụ công trực tuyến từ mức độ 2 trở xuống theo quy định của pháp luật;

b) Cung cấp dịch vụ trực tuyến không thuộc danh mục dịch vụ kinh doanh có điều kiện;

c) Cung cấp dịch vụ trực tuyến khác có xử lý thông tin riêng, thông tin cá nhân của dưới 10.000 người sử dụng.

3. Hệ thống cơ sở hạ tầng thông tin phục vụ hoạt động của một cơ quan, tổ chức.

Điều 9. Tiêu chí xác định cấp độ 3
Hệ thống thông tin cấp độ 3 là hệ thống thông tin có một trong các tiêu chí cụ thể như sau:

1. Hệ thống thông tin xử lý thông tin bí mật nhà nước hoặc hệ thống phục vụ quốc phòng, an ninh khi bị phá hoại sẽ làm tổn hại tới quốc phòng, an ninh quốc gia.

2. Hệ thống thông tin phục vụ người dân, doanh nghiệp thuộc một trong các loại hình như sau:

a) Cung cấp thông tin và dịch vụ công trực tuyến từ mức độ 3 trở lên theo quy định của pháp luật;

b) Cung cấp dịch vụ trực tuyến thuộc danh mục dịch vụ kinh doanh có điều kiện;

c) Cung cấp dịch vụ trực tuyến khác có xử lý thông tin riêng, thông tin cá nhân của từ 10.000 người sử dụng trở lên.

3. Hệ thống cơ sở hạ tầng thông tin dùng chung phục vụ hoạt động của các cơ quan, tổ chức trong phạm vi một ngành, một tỉnh hoặc một số tỉnh.

4. Hệ thống thông tin điều khiển công nghiệp trực tiếp phục vụ điều khiển, vận hành hoạt động bình thường của các công trình xây dựng cấp II, cấp III hoặc cấp IV theo phân cấp của pháp luật về xây dựng.

Điều 10. Tiêu chí xác định cấp độ 4
Hệ thống thông tin cấp độ 4 là hệ thống thông tin có một trong các tiêu chí cụ thể như sau:

1. Hệ thống thông tin xử lý thông tin bí mật nhà nước hoặc hệ thống phục vụ quốc phòng, an ninh, khi bị phá hoại sẽ làm tổn hại nghiêm trọng quốc phòng, an ninh quốc gia.

2. Hệ thống thông tin quốc gia phục vụ phát triển Chính phủ điện tử, yêu cầu vận hành 24/7 và không chấp nhận ngừng vận hành mà không có kế hoạch trước.

3. Hệ thống cơ sở hạ tầng thông tin dùng chung phục vụ hoạt động của các cơ quan, tổ chức trên phạm vi toàn quốc, yêu cầu vận hành 24/7 và không chấp nhận ngừng vận hành mà không có kế hoạch trước.

4. Hệ thống thông tin điều khiển công nghiệp trực tiếp phục vụ điều khiển, vận hành hoạt động bình thường của các công trình xây dựng cấp I theo phân cấp của pháp luật về xây dựng.

Điều 11. Tiêu chí xác định cấp độ 5
Hệ thống thông tin cấp độ 5 là hệ thống thông tin có một trong các tiêu chí cụ thể như sau:

1. Hệ thống thông tin xử lý thông tin bí mật nhà nước hoặc hệ thống phục vụ quốc phòng, an ninh, khi bị phá hoại sẽ làm tổn hại đặc biệt nghiêm trọng tới quốc phòng, an ninh quốc gia.

2. Hệ thống thông tin phục vụ lưu trữ dữ liệu tập trung đối với một số loại hình thông tin, dữ liệu đặc biệt quan trọng của quốc gia.

3. Hệ thống cơ sở hạ tầng thông tin quốc gia phục vụ kết nối liên thông hoạt động của Việt Nam với quốc tế.

4. Hệ thống thông tin điều khiển công nghiệp trực tiếp phục vụ điều khiển, vận hành hoạt động bình thường của công trình xây dựng cấp đặc biệt theo phân cấp của pháp luật về xây dựng hoặc công trình quan trọng liên quan đến an ninh quốc gia theo pháp luật về an ninh quốc gia.

5. Hệ thống thông tin khác theo quyết định của Thủ tướng Chính phủ.

Chương III
THẨM QUYỀN, TRÌNH TỰ, THỦ TỤC XÁC ĐỊNH CẤP ĐỘ

Điều 12. Thẩm quyền thẩm định và phê duyệt cấp độ

1. Đối với hệ thống thông tin được đề xuất là cấp độ 1 hoặc cấp độ 2:
Đơn vị chuyên trách về an toàn thông tin của chủ quản hệ thống thông tin thực hiện thẩm định, phê duyệt hồ sơ đề xuất cấp độ đối với hệ thống thông tin được đề xuất là cấp độ 1 hoặc cấp độ 2.

2. Đối với hệ thống thông tin được đề xuất là cấp độ 3:

a) Đơn vị chuyên trách về an toàn thông tin của chủ quản hệ thống thông tin thực hiện thẩm định hồ sơ đề xuất cấp độ;

b) Chủ quản hệ thống thông tin phê duyệt hồ sơ đề xuất cấp độ.

3. Đối với hệ thống thông tin được đề xuất là cấp độ 4 hoặc cấp độ 5:

a) Bộ Thông tin và Truyền thông chủ trì, phối hợp với Bộ Quốc phòng, Bộ Công an và các bộ, ngành liên quan thực hiện thẩm định hồ sơ đề xuất cấp độ, trừ trường hợp quy định tại điểm b và điểm c khoản 3 Điều này;

b) Bộ Quốc phòng chủ trì, phối hợp với Bộ Thông tin và Truyền thông và bộ, ngành liên quan thực hiện thẩm định hồ sơ đề xuất cấp độ đối với hệ thống thông tin do Bộ Quốc phòng quản lý;

c) Bộ Công an chủ trì, phối hợp với Bộ Thông tin và Truyền thông và bộ, ngành liên quan thực hiện thẩm định hồ sơ đề xuất cấp độ đối với hệ thống thông tin do Bộ Công an quản lý;

d) Chủ quản hệ thống thông tin phê duyệt hồ sơ đề xuất cấp độ đối với hệ thống thông tin cấp độ 4; phê duyệt phương án bảo đảm an toàn thông tin đối với hệ thống thông tin cấp độ 5;

đ) Thủ tướng Chính phủ phê duyệt Danh mục hệ thống thông tin cấp độ 5 (Danh mục hệ thống thông tin quan trọng quốc gia).

Điều 13. Trình tự, thủ tục xác định cấp độ đối với dự án đầu tư xây dựng mới hoặc mở rộng, nâng cấp hệ thống thông tin

1. Chủ đầu tư xây dựng thuyết minh đề xuất cấp độ, lồng ghép vào nội dung của báo cáo nghiên cứu khả thi, dự án khả thi ứng dụng công nghệ thông tin hoặc báo cáo đầu tư của dự án, gửi cơ quan chức năng thẩm định, trình cơ quan có thẩm quyền phê duyệt báo cáo nghiên cứu khả thi; dự án khả thi ứng dụng công nghệ thông tin hoặc báo cáo đầu tư theo quy định của pháp luật về đầu tư và quy định Nghị định này.

2. Trong trường hợp thuê dịch vụ công nghệ thông tin, đơn vị chủ trì thuê dịch vụ xây dựng thuyết minh đề xuất cấp độ, lồng ghép vào nội dung của kế hoạch, dự án thuê dịch vụ, gửi cơ quan chức năng thẩm định, trình cơ quan có thẩm quyền phê duyệt theo quy định của pháp luật về thuê dịch vụ công nghệ thông tin và quy định của Nghị định này.

3. Tài liệu thuyết minh đề xuất cấp độ theo quy định tại Điều 15 Nghị định này.

Điều 14. Trình tự, thủ tục xác định cấp độ đối với hệ thống thông tin đang vận hành

1. Lập hồ sơ đề xuất cấp độ:

a) Đơn vị vận hành hệ thống thông tin lập hồ sơ đề xuất cấp độ theo quy định tại Điều 15 Nghị định này;

b) Đối với hệ thống thông tin được đề xuất là cấp độ 1 hoặc cấp độ 2:
Đơn vị vận hành hệ thống thông tin gửi hồ sơ đề xuất cấp độ tới đơn vị thẩm định để thực hiện thẩm định theo quy định tại khoản 1 Điều 12 Nghị định này;

c) Đối với hệ thống thông tin được đề xuất là cấp độ 3:
Đơn vị vận hành hệ thống thông tin gửi hồ sơ đề xuất cấp độ tới đơn vị thẩm định để thực hiện thẩm định theo quy định tại điểm a khoản 2 Điều 12 Nghị định này;

d) Đối với hệ thống thông tin được đề xuất là cấp độ 4 hoặc cấp độ 5:
- Đơn vị vận hành hệ thống thông tin gửi hồ sơ đề xuất cấp độ tới đơn vị chuyên trách về an toàn thông tin của chủ quản hệ thống thông tin để xin ý kiến chuyên môn về sự phù hợp của đề xuất cấp độ và phương án bảo đảm an toàn hệ thống thông tin theo cấp độ;
- Đơn vị vận hành hệ thống thông tin trình chủ quản hệ thống thông tin hồ sơ đề xuất cấp độ gửi tới cơ quan thẩm định quy định tại điểm a, điểm b hoặc điểm c khoản 3 Điều 12 Nghị định này.

2. Thẩm định hồ sơ đề xuất cấp độ:
Cơ quan có thẩm quyền thực hiện thẩm định hồ sơ đề xuất cấp độ theo quy định tại Điều 16 Nghị định này.

3. Phê duyệt đề xuất cấp độ:

a) Đối với hệ thống thông tin được đề xuất là cấp độ 1 hoặc cấp độ 2:
Đơn vị chuyên trách về an toàn thông tin của chủ quản hệ thống thông tin phê duyệt đề xuất cấp độ, gửi báo cáo chủ quản hệ thống thông tin;

b) Đối với hệ thống thông tin được đề xuất là cấp độ 3 hoặc cấp độ 4:
Đơn vị vận hành hệ thống thông tin trình chủ quản hệ thống thông tin phê duyệt đề xuất cấp độ;

c) Đối với hệ thống thông tin được đề xuất là cấp độ 5:
- Trên cơ sở kết quả thẩm định hồ sơ đề xuất cấp độ, Bộ Thông tin và Truyền thông chủ trì, phối hợp với Bộ Quốc phòng, Bộ Công an và bộ, ngành có liên quan trình Thủ tướng Chính phủ phê duyệt Danh mục hệ thống thông tin cấp độ 5;
- Đơn vị vận hành hệ thống thông tin trình chủ quản hệ thống thông tin phê duyệt phương án bảo đảm an toàn thông tin.

Điều 15. Hồ sơ đề xuất cấp độ
Hồ sơ đề xuất cấp độ bao gồm:

1. Tài liệu mô tả, thuyết minh tổng quan về hệ thống thông tin.

2. Tài liệu thiết kế là một trong những tài liệu sau:

a) Đối với dự án đầu tư xây dựng mới hoặc mở rộng, nâng cấp hệ thống thông tin: Thiết kế sơ bộ hoặc tài liệu có giá trị tương đương;

b) Đối với hệ thống thông tin đang vận hành: Thiết kế thi công đã được cấp có thẩm quyền phê duyệt hoặc tài liệu có giá trị tương đương.

3. Tài liệu thuyết minh về việc đề xuất cấp độ căn cứ trên các tiêu chí theo quy định của pháp luật.

4. Tài liệu thuyết minh phương án bảo đảm an toàn thông tin theo cấp độ tương ứng.

5. Ý kiến về mặt chuyên môn của đơn vị chuyên trách về an toàn thông tin của chủ quản hệ thống thông tin đối với hệ thống thông tin đề xuất cấp độ 4 hoặc cấp độ 5.

Điều 16. Thẩm định hồ sơ đề xuất cấp độ

1. Nội dung thẩm định hồ sơ đề xuất cấp độ:

a) Sự phù hợp về việc đề xuất cấp độ;

b) Sự phù hợp của phương án bảo đảm an toàn hệ thống thông tin trong thiết kế sơ bộ, thiết kế thi công hoặc tài liệu có giá trị tương đương theo cấp độ tương ứng;

c) Sự phù hợp của phương án bảo đảm an toàn hệ thống thông tin trong quá trình vận hành hệ thống theo cấp độ tương ứng.

2. Thời gian thẩm định hồ sơ xác định cấp độ:

a) Đối với hệ thống thông tin đề xuất cấp độ 3, thời gian thẩm định tối đa là 15 ngày kể từ ngày nhận đủ hồ sơ hợp lệ;

b) Đối với hệ thống thông tin đề xuất cấp độ 4 hoặc cấp độ 5, thời gian thẩm định tối đa là 30 ngày kể từ ngày nhận đủ hồ sơ hợp lệ.

Điều 17. Hồ sơ phê duyệt đề xuất cấp độ

1. Hồ sơ phê duyệt đề xuất cấp độ bao gồm:

a) Hồ sơ đề xuất cấp độ;

b) Ý kiến thẩm định của cơ quan chủ trì thẩm định đối với hệ thống thông tin đề xuất từ cấp độ 3 trở lên.

2. Thời gian xử lý hồ sơ phê duyệt cấp độ:
Thời gian xử lý tối đa là 07 ngày làm việc kể từ ngày nhận đủ hồ sơ hợp lệ.

Điều 18. Trình tự, thủ tục xác định lại cấp độ đối với hệ thống thông tin đã được phê duyệt cấp độ
Đối với hệ thống thông tin đã được phê duyệt cấp độ, trong trường hợp phải xác định lại cấp độ cho phù hợp với tình hình thực tế thì thực hiện theo trình tự, thủ tục xác định lần đầu.

Chương IV
TRÁCH NHIỆM BẢO ĐẢM AN TOÀN HỆ THỐNG THÔNG TIN

Điều 19. Phương án bảo đảm an toàn hệ thống thông tin theo cấp độ

1. Phương án bảo đảm an toàn hệ thống thông tin phải đáp ứng yêu cầu cơ bản trong tiêu chuẩn, quy chuẩn kỹ thuật về bảo đảm an toàn hệ thống thông tin theo cấp độ.

2. Phương án bảo đảm an toàn hệ thống thông tin bao gồm các nội dung sau đây:

a) Bảo đảm an toàn hệ thống thông tin trong khâu thiết kế, xây dựng;

b) Bảo đảm an toàn hệ thống thông tin trong quá trình vận hành;

c) Kiểm tra, đánh giá an toàn thông tin;

d) Quản lý rủi ro an toàn thông tin;

đ) Giám sát an toàn thông tin;

e) Dự phòng, ứng cứu sự cố, khôi phục sau thảm họa;

g) Kết thúc vận hành, khai thác, thanh lý, hủy bỏ.

Điều 20. Trách nhiệm của chủ quản hệ thống thông tin

1. Người đứng đầu của cơ quan, tổ chức là chủ quản hệ thống thông tin có trách nhiệm:

a) Trực tiếp chỉ đạo và phụ trách công tác bảo đảm an toàn thông tin trong hoạt động của cơ quan, tổ chức mình;

b) Trong trường hợp chưa có đơn vị chuyên trách về an toàn thông tin độc lập:
- Chỉ định đơn vị chuyên trách về công nghệ thông tin làm nhiệm vụ đơn vị chuyên trách về an toàn thông tin;
- Thành lập hoặc chỉ định bộ phận chuyên trách về an toàn thông tin trực thuộc đơn vị chuyên trách về công nghệ thông tin.

2. Chủ quản hệ thống thông tin có trách nhiệm:

a) Chỉ đạo đơn vị vận hành hệ thống thông tin lập hồ sơ đề xuất cấp độ; tổ chức thẩm định, phê duyệt hồ sơ đề xuất cấp độ theo quy định Nghị định này;

b) Chỉ đạo, tổ chức thực hiện phương án bảo đảm an toàn hệ thống thông tin theo cấp độ đối với hệ thống thông tin thuộc phạm vi mình quản lý theo quy định tại Điều 25, 26 và 27 của Luật an toàn thông tin mạng, Nghị định này và quy định của pháp luật liên quan;

c) Chỉ đạo, tổ chức thực hiện kiểm tra, đánh giá an toàn thông tin và quản lý rủi ro an toàn thông tin trong phạm vi cơ quan, tổ chức mình, cụ thể như sau:
- Định kỳ 02 năm thực hiện kiểm tra, đánh giá an toàn thông tin và quản lý rủi ro an toàn thông tin tổng thể trong hoạt động của cơ quan, tổ chức mình;
- Định kỳ hàng năm thực hiện kiểm tra, đánh giá an toàn thông tin và quản lý rủi ro an toàn thông tin đối với các hệ thống cấp độ 3 và cấp độ 4;
- Định kỳ 06 tháng (hoặc đột xuất khi thấy cần thiết hoặc theo yêu cầu, cảnh báo của cơ quan chức năng) thực hiện kiểm tra, đánh giá an toàn thông tin và quản lý rủi ro an toàn thông tin đối với hệ thống cấp độ 5;
- Việc kiểm tra, đánh giá an toàn thông tin và đánh giá rủi ro an toàn thông tin đối với hệ thống từ cấp độ 3 trở lên phải do tổ chức chuyên môn được cơ quan có thẩm quyền cấp phép; tổ chức sự nghiệp nhà nước có chức năng, nhiệm vụ phù hợp hoặc do tổ chức chuyên môn được cấp có thẩm quyền chỉ định thực hiện.

d) Chỉ đạo, tổ chức thực hiện đào tạo ngắn hạn, tuyên truyền, phổ biến, nâng cao nhận thức và diễn tập về an toàn thông tin, cụ thể như sau:
- Đào tạo, bồi dưỡng theo các chương trình đào tạo ngắn hạn nâng cao kiến thức, kỹ năng về an toàn thông tin cho cán bộ, công chức, viên chức làm về an toàn thông tin trong cơ quan, tổ chức mình;
- Tuyên truyền, phổ biến nâng cao nhận thức về an toàn thông tin cho cán bộ, công chức, viên chức trong cơ quan, tổ chức mình;
- Diễn tập bảo đảm an toàn thông tin trong hoạt động của cơ quan, tổ chức mình; tham gia diễn tập quốc gia và diễn tập quốc tế do Bộ Thông tin và Truyền thông tổ chức.

đ) Chỉ đạo đơn vị vận hành hệ thống thông tin phối hợp với đơn vị chức năng liên quan của Bộ Thông tin và Truyền thông trong việc triển khai thiết bị, kết nối tới hệ thống kỹ thuật xử lý, giảm thiểu tấn công mạng, hỗ trợ giám sát an toàn thông tin cho hệ thống thông tin cung cấp dịch vụ công trực tuyến, phát triển chính phủ điện tử.

Điều 21. Trách nhiệm của đơn vị chuyên trách về an toàn thông tin của chủ quản hệ thống thông tin

1. Tham mưu, tổ chức thực thi, đôn đốc, kiểm tra, giám sát công tác bảo đảm an toàn thông tin.

2. Thẩm định, phê duyệt hoặc cho ý kiến về mặt chuyên môn đối với hồ sơ đề xuất cấp độ theo thẩm quyền quy định tại khoản 1, khoản 2 Điều 12 và khoản 5 Điều 15 Nghị định này.

Điều 22. Trách nhiệm của đơn vị vận hành hệ thống thông tin

Đơn vị vận hành hệ thống thông tin có trách nhiệm:

1. Thực hiện xác định cấp độ an toàn hệ thống thông tin theo quy định tại Điều 14 Nghị định này;

2. Thực hiện bảo vệ hệ thống thông tin theo quy định của pháp luật và hướng dẫn, tiêu chuẩn, quy chuẩn an toàn thông tin;

3. Định kỳ đánh giá hiệu quả của các biện pháp bảo đảm an toàn thông tin, báo cáo chủ quản hệ thống thông tin điều chỉnh nếu cần thiết;

4. Định kỳ hoặc đột xuất báo cáo công tác thực thi bảo đảm an toàn hệ thống thông tin theo yêu cầu của chủ quản hệ thống thông tin hoặc cơ quan quản lý nhà nước chuyên ngành có thẩm quyền;

5. Phối hợp, thực hiện theo yêu cầu của cơ quan chức năng liên quan của Bộ Thông tin và Truyền thông trong công tác bảo đảm an toàn thông tin.

Điều 23. Trách nhiệm của cơ quan quản lý nhà nước

1. Bộ Thông tin và Truyền thông có trách nhiệm:

a) Thực hiện thẩm định hồ sơ đề xuất cấp độ theo thẩm quyền quy định tại điểm a khoản 3 Điều 12 Nghị định này;

b) Xây dựng dự thảo tiêu chuẩn quốc gia, ban hành quy chuẩn kỹ thuật quốc gia về bảo đảm an toàn thông tin theo cấp độ;

c) Hướng dẫn chi tiết việc xác định hệ thống thông tin quy định tại khoản 2 Điều 6 Nghị định này;

d) Ban hành quy định, văn bản hướng dẫn về bảo đảm an toàn hệ thống thông tin theo cấp độ; quy định về đánh giá, chứng nhận hợp chuẩn, hợp quy về bảo đảm an toàn hệ thống thông tin theo cấp độ;

đ) Hướng dẫn các cơ quan, tổ chức thực hiện đào tạo ngắn hạn, tuyên truyền, phổ biến nâng cao nhận thức và diễn tập về an toàn thông tin;

e) Quy định chi tiết về kiểm tra, đánh giá an toàn thông tin và quản lý rủi ro an toàn thông tin trong hoạt động của cơ quan, tổ chức nhà nước, trừ trường hợp quy định tại điểm d khoản 2 và điểm d khoản 3 Điều này;

g) Triển khai các hệ thống hạ tầng kỹ thuật tập trung quy mô quốc gia để xử lý, giảm thiểu tấn công mạng, hỗ trợ giám sát an toàn thông tin cho hệ thống thông tin cung cấp dịch vụ công trực tuyến, phát triển Chính phủ điện tử.

2. Bộ Quốc phòng có trách nhiệm:

a) Thực hiện thẩm định phương án bảo đảm an toàn thông tin trong hồ sơ đề xuất cấp độ theo thẩm quyền quy định tại điểm b khoản 3 Điều 12 Nghị định này;

b) Xây dựng dự thảo tiêu chuẩn, ban hành quy chuẩn kỹ thuật, hướng dẫn về bảo đảm an toàn đối với hệ thống thông tin thuộc phạm vi quản lý;

c) Hướng dẫn về tiêu chí quy định tại khoản 1 Điều 9, khoản 1 Điều 10 và khoản 1 Điều 11 Nghị định này theo chức năng, nhiệm vụ được phân công;

d) Quy định chi tiết về kiểm tra, đánh giá an toàn thông tin và quản lý rủi ro an toàn thông tin trong hoạt động của Bộ Quốc phòng.

3. Bộ Công an có trách nhiệm:

a) Thực hiện thẩm định phương án bảo đảm an toàn thông tin trong hồ sơ đề xuất cấp độ theo thẩm quyền quy định tại điểm c khoản 3 Điều 12 Nghị định này;

b) Xây dựng dự thảo tiêu chuẩn, ban hành quy chuẩn kỹ thuật, hướng dẫn về bảo đảm an toàn đối với hệ thống thông tin thuộc phạm vi quản lý;

c) Hướng dẫn về tiêu chí quy định tại khoản 1 Điều 9, khoản 1 Điều 10 và khoản 1 Điều 11 Nghị định này theo chức năng, nhiệm vụ được phân công;

d) Quy định chi tiết về kiểm tra, đánh giá an toàn thông tin và quản lý rủi ro an toàn thông tin trong hoạt động của Bộ Công an.

Điều 24. Kinh phí bảo đảm an toàn thông tin

1. Kinh phí thực hiện yêu cầu về an toàn thông tin theo cấp độ trong hoạt động của cơ quan, tổ chức nhà nước do ngân sách nhà nước bảo đảm.

2. Kinh phí đầu tư cho an toàn thông tin sử dụng vốn đầu tư công thực hiện theo quy định của Luật đầu tư công. Đối với dự án đầu tư công để xây dựng mới hoặc mở rộng, nâng cấp hệ thống thông tin, kinh phí đầu tư cho an toàn thông tin theo cấp độ được bố trí trong vốn đầu tư của dự án tương ứng.

3. Kinh phí thực hiện giám sát, đánh giá, quản lý rủi ro an toàn thông tin; đào tạo ngắn hạn, tuyên truyền, phổ biến nâng cao nhận thức, diễn tập an toàn thông tin và ứng cứu sự cố của cơ quan, tổ chức nhà nước được cân đối bố trí trong dự toán ngân sách hàng năm của cơ quan, tổ chức nhà nước đó theo phân cấp của Luật ngân sách nhà nước.

4. Bộ Tài chính hướng dẫn mục chi cho công tác bảo đảm an toàn thông tin trong dự toán ngân sách, hướng dẫn quản lý và sử dụng kinh phí sự nghiệp chi cho công tác bảo đảm an toàn thông tin trong hoạt động của các cơ quan, tổ chức nhà nước.

5. Căn cứ nhiệm vụ được giao, cơ quan, tổ chức nhà nước thực hiện lập dự toán, quản lý, sử dụng và quyết toán kinh phí thực hiện nhiệm vụ bảo đảm an toàn thông tin theo quy định của Luật ngân sách nhà nước.

Chương V
ĐIỀU KHOẢN THI HÀNH

Điều 25. Hiệu lực thi hành
Nghị định này có hiệu lực thi hành từ ngày 01 tháng 7 năm 2016.

Điều 26. Tổ chức thực hiện

1. Bộ Thông tin và Truyền thông chịu trách nhiệm hướng dẫn, kiểm tra việc thực hiện Nghị định này.

2. Các Bộ trưởng, Thủ trưởng cơ quan ngang bộ, Thủ trưởng cơ quan thuộc Chính phủ, Chủ tịch Ủy ban nhân dân các tỉnh, thành phố trực thuộc trung ương và các tổ chức, cá nhân có liên quan chịu trách nhiệm thi hành Nghị định này./.

Nơi nhận:
- Ban Bí thư Trung ương Đảng;
- Thủ tướng, các Phó Thủ tướng Chính phủ;
- Các bộ, cơ quan ngang bộ, cơ quan thuộc Chính phủ;
- HĐND, UBND các tỉnh, thành phố trực thuộc trung ương;
- Văn phòng Trung ương và các Ban của Đảng;
- Văn phòng Tổng Bí thư;
- Văn phòng Chủ tịch nước;
- Hội đồng dân tộc và các Ủy ban của Quốc hội;
- Văn phòng Quốc hội;
- Tòa án nhân dân tối cao;
- Viện kiểm sát nhân dân tối cao;
- Ủy ban Giám sát tải chính Quốc gia;
- Kiểm toán nhà nước;
- Ngân hàng Chính sách xã hội;
- Ngân hàng Phát triển Việt Nam;
- Ủy ban trung ương Mặt trận Tổ quốc Việt Nam;
- Cơ quan trung ương của các đoàn thể;
- VPCP: BTCN, các PCN, Trợ lý TTg, TGĐ Cổng TTĐT, các Vụ, Cục, đơn vị trực thuộc, Công báo;
- Lưu: VT, KGVX (3).KN

TM. CHÍNH PHỦ
THỦ TƯỚNG

Nguyễn Xuân Phúc

PHỤ LỤC

MẪU VĂN BẢN XÁC ĐỊNH CẤP ĐỘ AN TOÀN HỆ THỐNG THÔNG TIN
(Kèm theo Nghị định số 85/2016/NĐ-CP ngày 01 tháng 7 năm 2016 của Chính phủ)

Mẫu số 01	Văn bản đề nghị thẩm định, phê duyệt hồ sơ đề xuất cấp độ
Mẫu số 02	Văn bản đề nghị thẩm định hồ sơ đề xuất cấp độ
Mẫu số 03	Văn bản xin ý kiến chuyên môn về hồ sơ đề xuất cấp độ
Mẫu số 04	Ý kiến thẩm định hồ sơ đề xuất cấp độ
Mẫu số 05	Tờ trình phê duyệt hồ sơ đề xuất cấp độ
Mẫu số 06	Quyết định phê duyệt cấp độ an toàn hệ thống thông tin
Mẫu số 07	Quyết định phê duyệt phương án bảo đảm an toàn thông tin

Mẫu số 01

(TÊN CƠ QUAN, TỔ CHỨC) -------	CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM Độc lập - Tự do - Hạnh phúc ---------------
Số: ……….. V/v đề nghị thẩm định, phê duyệt hồ sơ đề xuất cấp độ	….., ngày ... tháng ... năm ...

Kính gửi: (Đơn vị chuyên trách về an toàn thông tin).

Căn cứ Luật an toàn thông tin mạng ngày 19 tháng 11 năm 2015;

(Căn cứ các văn bản hướng dẫn thi hành Luật an toàn thông tin mạng và các văn bản liên quan);

(Tên cơ quan, tổ chức) đề nghị thẩm định, phê duyệt hồ sơ đề xuất cấp độ với các nội dung sau:

Phần 1. Thông tin chung

1. Tên hệ thống thông tin;

2. Đơn vị vận hành hệ thống thông tin:

3. Địa chỉ:

4. Cấp độ an toàn hệ thống thông tin đề xuất:

Phần 2. Hồ sơ kèm theo

1. Tài liệu mô tả, thuyết minh tổng quan về hệ thống thông tin.

2. Tài liệu thiết kế thi công đã được cấp có thẩm quyền phê duyệt hoặc tài liệu có giá trị tương đương.

3. Tài liệu thuyết minh về việc đề xuất cấp độ căn cứ trên các tiêu chí theo quy định của pháp luật.

4. Tài liệu thuyết minh phương án bảo đảm an toàn thông tin theo cấp độ tương ứng.

(Tên cơ quan, tổ chức) đề nghị (Đơn vị chuyên trách về an toàn thông tin) thẩm định và phê duyệt hồ sơ đề xuất cấp độ của hệ thống thông tin (Tên hệ thống thông tin)./.

Nơi nhận:
- Như trên;
- …………..

ĐẠI DIỆN CỦA CƠ QUAN, TỔ CHỨC
(Ký, ghi rõ họ tên, chức danh và đóng dấu)

Mẫu số 02

(TÊN CƠ QUAN, TỔ CHỨC) -------	CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM Độc lập - Tự do - Hạnh phúc ---------------
Số: ……….. V/v đề nghị thẩm định hồ sơ đề xuất cấp độ	….., ngày ... tháng ... năm ...

Kính gửi: (Đơn vị chuyên trách về an toàn thông tin)

Căn cứ Luật an toàn thông tin mạng ngày 19 tháng 11 năm 2015;

(Căn cứ các văn bản hướng dẫn thi hành Luật an toàn thông tin mạng và các văn bản liên quan);

(Tên cơ quan, tổ chức) đề nghị (Cơ quan thẩm định) thẩm định hồ sơ đề xuất cấp độ với các nội dung sau:

Phần 1. Thông tin chung

1. Tên hệ thống thông tin:

2. Đơn vị vận hành hệ thống thông tin:

3. Địa chỉ:

4. Cấp độ an toàn hệ thống thông tin đề xuất:

Phần 2. Hồ sơ kèm theo

1. Tài liệu mô tả, thuyết minh tổng quan về hệ thống thông tin.

2. Tài liệu thiết kế thi công đã được cấp có thẩm quyền phê duyệt hoặc tài liệu có giá trị tương đương.

3. Tài liệu thuyết minh về việc đề xuất cấp độ căn cứ trên các tiêu chí theo quy định của pháp luật.

4. Tài liệu thuyết minh phương án bảo đảm an toàn thông tin theo cấp độ tương ứng.

5. Ý kiến về mặt chuyên môn của đơn vị chuyên trách về an toàn thông tin của chủ quản hệ thống thông tin (đối với hệ thống thông tin đề xuất cấp độ 4 hoặc cấp độ 5).

(Tên cơ quan, tổ chức) đề nghị (Cơ quan thẩm định) cho ý kiến thẩm định hồ sơ đề xuất cấp độ an toàn hệ thống thông tin đối với (Tên hệ thống thông tin)./.

Nơi nhận:
- Như trên;
- …………..

ĐẠI DIỆN CỦA CƠ QUAN, TỔ CHỨC
(Ký, ghi rõ họ tên, chức danh và đóng dấu)

Mẫu số 03

(TÊN CƠ QUAN, TỔ CHỨC) -------	CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM Độc lập - Tự do - Hạnh phúc ---------------
Số: ……….. V/v xin ý kiến chuyên môn về hồ sơ đề xuất cấp độ	….., ngày ... tháng ... năm ...

Kính gửi: (Đơn vị chuyên trách về an toàn thông tin)

Căn cứ Luật an toàn thông tin mạng ngày 19 tháng 11 năm 2015;

(Căn cứ các văn bản hướng dẫn thi hành Luật an toàn thông tin mạng và các văn bản liên quan);

(Tên cơ quan, tổ chức) đề nghị (Đơn vị chuyên trách về an toàn thông tin) cho ý kiến chuyên môn về hồ sơ đề xuất cấp độ với các nội dung sau:

Phần 1. Thông tin chung

1. Tên hệ thống thông tin:

2. Đơn vị vận hành hệ thống thông tin:

3. Địa chỉ:

4. Cấp độ an toàn hệ thống thông tin đề xuất:

Phần 2. Hồ sơ kèm theo

1. Tài liệu mô tả, thuyết minh tổng quan về hệ thống thông tin.

2. Tài liệu thiết kế thi công đã được cấp có thẩm quyền phê duyệt hoặc tài liệu có giá trị tương đương.

3. Tài liệu thuyết minh về việc đề xuất cấp độ căn cứ trên các tiêu chí theo quy định của pháp luật.

4. Tài liệu thuyết minh phương án bảo đảm an toàn thông tin theo cấp độ tương ứng.

(Tên cơ quan, tổ chức) đề nghị (Đơn vị chuyên trách về an toàn thông tin) cho ý kiến về sự phù hợp của đề xuất cấp độ và phương án bảo đảm an toàn hệ thống thông tin theo cấp độ của hệ thống thông tin (Tên hệ thống thông tin)./.

Nơi nhận:
- Như trên;
- …………..

ĐẠI DIỆN CỦA CƠ QUAN, TỔ CHỨC
(Ký, ghi rõ họ tên, chức danh và đóng dấu)

Mẫu số 04

(TÊN CƠ QUAN, TỔ CHỨC) -------	CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM Độc lập - Tự do - Hạnh phúc ---------------
Số: ……….. V/v ý kiến thẩm định hồ sơ đề xuất cấp độ	….., ngày ... tháng ... năm ...

Kính gửi:

(Chủ quản hệ thống thông tin/
Đơn vị vận hành hệ thống thông tin).

(Tên cơ quan thẩm định) nhận được Công văn số ….. ngày ….. tháng ....... năm ….. của (Tên cơ quan đề nghị) về việc thẩm định hồ sơ đề xuất cấp độ của hệ thống thông tin đối với (Tên hệ thống thông tin). Sau khi xem xét, tổng hợp ý kiến và kết quả thẩm định của các cơ quan, tổ chức có liên quan, (Tên cơ quan thẩm định) có ý kiến thẩm định như sau:

Phần 1. Hồ sơ, tài liệu thẩm định

1. Tài liệu mô tả, thuyết minh tổng quan về hệ thống thông tin.

2. Tài liệu thiết kế thi công đã được cấp có thẩm quyền phê duyệt hoặc tài liệu có giá trị tương đương.

3. Tài liệu thuyết minh về việc đề xuất cấp độ căn cứ trên các tiêu chí theo quy định của pháp luật.

4. Tài liệu thuyết minh phương án bảo đảm an toàn thông tin theo cấp độ tương ứng.

Phần 2. Căn cứ pháp lý để thẩm định

1. Căn cứ Luật an toàn thông tin mạng ngày 19 tháng 11 năm 2015.

2. Căn cứ các văn bản hướng dẫn thi hành Luật an toàn thông tin mạng.

2. Các căn cứ pháp lý khác có liên quan.

Phần 3. Tổ chức thẩm định

1. Đơn vị chủ trì thẩm định:

2. Đơn vị phối hợp thẩm định:

3. Hình thức thẩm định: Tổ chức họp hoặc lấy ý kiến bằng văn bản hoặc áp dụng cả hai hình thức (nếu cần thiết).

Phần 4. ý kiến thẩm định

1. Tổng hợp ý kiến thẩm định của đơn vị phối hợp theo quy định tại khoản 3 Điều 12 Nghị định này.

2. Ý kiến thẩm định về sự phù hợp về việc đề xuất cấp độ theo quy định tại Điều 16 Nghị định này.

3. Ý kiến khác (nếu có).

Phần 5. Kết luận

Hồ sơ đề xuất cấp độ hệ thống thông tin là phù hợp/chưa phù hợp (nếu chưa phù hợp đề nghị chỉ rõ những nội dung chưa phù hợp) để theo cấp độ đề xuất.

Trên đây là ý kiến thẩm định của (Cơ quan thẩm định) cho hồ sơ đề xuất cấp độ của hệ thống thông tin (Tên hệ thống thông tin). Đề nghị cơ quan (Tên cơ quan đề nghị) xem xét báo cáo cấp có thẩm quyền điều chỉnh (nếu yêu cầu điều chỉnh) hoặc trình cơ quan có thẩm quyền phê duyệt (nếu chấp thuận đề xuất của cơ quan trình)./.

Nơi nhận:
- Như trên;
- …………..

ĐẠI DIỆN CỦA CƠ QUAN, TỔ CHỨC
(Ký, ghi rõ họ tên, chức danh và đóng dấu)

Mẫu số 05

(TÊN CƠ QUAN, TỔ CHỨC) -------	CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM Độc lập - Tự do - Hạnh phúc ---------------
Số: ………..	….., ngày ... tháng ... năm ...

TỜ TRÌNH

Về việc phê duyệt đề xuất cấp độ

Kính gửi: (Cơ quan liên quan có thẩm quyền).

Căn cứ Luật an toàn thông tin mạng ngày 19 tháng 11 năm 2015;

(Căn cứ các văn bản hướng dẫn thi hành Luật an toàn thông tin mạng và các văn bản liên quan);

Căn cứ ý kiến thẩm định của đơn vị chuyên trách về công nghệ thông tin/cơ quan thẩm định;

(Tên cơ quan, tổ chức) trình phê duyệt hồ sơ đề xuất cấp độ với các nội dung sau:

Phần 1. Thông tin chung

1. Tên hệ thống thông tin:

2. Đơn vị vận hành hệ thống thông tin:

3. Địa chỉ:

4. Cấp độ an toàn hệ thống thông tin đề xuất:

Phần 2. Hồ sơ kèm theo

1. Tài liệu mô tả, thuyết minh tổng quan về hệ thống thông tin.

2. Tài liệu thiết kế thi công đã được cấp có thẩm quyền phê duyệt hoặc tài liệu có giá trị tương đương.

3. Tài liệu thuyết minh về việc đề xuất cấp độ căn cứ trên các tiêu chí theo quy định của pháp luật.

4. Tài liệu thuyết minh phương án bảo đảm an toàn thông tin theo cấp độ tương ứng.

6. Ý kiến thẩm định của cơ quan chủ trì thẩm định đối với hệ thống thông tin đề xuất từ cấp độ 3 trở lên.

(Tên cơ quan) trình (Chủ quản hệ thống thông tin) xem xét, quyết định phê duyệt đề xuất cấp độ của hệ thống thông tin (Tên hệ thống thông tin)./.

Nơi nhận:
- Như trên;
- …………..

ĐẠI DIỆN CỦA CƠ QUAN, TỔ CHỨC
(Ký, ghi rõ họ tên, chức danh và đóng dấu)

Mẫu số 06

(CHỦ QUẢN HỆ THỐNG THÔNG TIN) -------	CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM Độc lập - Tự do - Hạnh phúc ---------------
Số: ………..	….., ngày ... tháng ... năm ...

QUYẾT ĐỊNH

Về việc phê duyệt cấp độ an toàn hệ thống thông tin

(THỦ TRƯỞNG CƠ QUAN TỔ CHỨC)

Căn cứ Luật an toàn thông tin mạng ngày 19 tháng 11 năm 2015;

(Căn cứ các văn bản hướng dẫn thi hành Luật an toàn thông tin mạng và các văn bản liên quan);

Xét đề nghị của cơ quan (Tên đơn vị đề nghị),

QUYẾT ĐỊNH:

Điều 1. Phê duyệt cấp độ an toàn hệ thống thông tin đối với (Tên hệ thống thông tin) cụ thể như sau:

1. Thông tin chung

a) Tên hệ thống thông tin:

b) Đơn vị vận hành hệ thống thông tin:

c) Địa chỉ:

2. Cấp độ an toàn hệ thống thông tin: (cấp độ)

3. Phương án bảo đảm an toàn thông tin:

a) Phương án bảo đảm an toàn thông tin trong thiết kế hệ thống thông tin tương ứng với cấp độ (cấp độ) là phù hợp với tiêu chuẩn quốc gia (Tên tiêu chuẩn), quy chuẩn kỹ thuật quốc gia (Tên quy chuẩn) về bảo đảm an toàn hệ thống thông tin theo cấp độ.

b) Phương án bảo đảm an toàn thông tin trong quá trình vận hành hệ thống tương ứng với cấp độ (cấp độ) là phù hợp với tiêu chuẩn quốc gia (Tên tiêu chuẩn), quy chuẩn kỹ thuật quốc gia (Tên quy chuẩn) về bảo đảm an toàn hệ thống thông tin theo cấp độ.

Điều 2. Tổ chức thực hiện

1. Cơ quan (Tên đơn vị đề nghị) chịu trách nhiệm:

a) Thực hiện trách nhiệm bảo đảm an toàn hệ thống thông tin mình quản lý theo các quy định tại Điều 22 Nghị định này.

b) Các nội dung khác (nếu có).

2. Trách nhiệm của các cơ quan liên quan khác (nếu có).

Điều 3. Điều khoản thi hành

1. Cơ quan (Tên đơn vị đề xuất) và các cơ quan liên quan khác chịu trách nhiệm thi hành Quyết định này.

2. Đơn vị chuyên trách về an toàn thông tin chịu trách nhiệm kiểm tra, giám sát việc thực hiện Quyết định này báo cáo cơ quan (Chủ quản hệ thống thông tin) theo quy định của pháp luật./.

Nơi nhận:
-…………..;
- …………..

ĐẠI DIỆN CỦA CƠ QUAN, TỔ CHỨC
(Ký, ghi rõ họ tên, chức danh và đóng dấu)

Mẫu số 07

(CHỦ QUẢN HỆ THỐNG THÔNG TIN) -------	CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM Độc lập - Tự do - Hạnh phúc ---------------
Số: ………..	….., ngày ... tháng ... năm ...

QUYẾT ĐỊNH

Về việc phê duyệt phương án bảo đảm an toàn thông tin

(THỦ TRƯỞNG CƠ QUAN TỔ CHỨC)

Căn cứ Luật an toàn thông tin mạng ngày 19 tháng 11 năm 2015;

(Căn cứ các văn bản hướng dẫn thi hành Luật an toàn thông tin mạng và các văn bản liên quan);

Xét đề nghị của cơ quan (Tên đơn vị đề nghị),

QUYẾT ĐỊNH:

Điều 1. Phê duyệt phương án bảo đảm an toàn thông tin đối với (Tên hệ thống thông tin) cụ thể như sau:

1. Thông tin chung

a) Tên hệ thống thông tin:

b) Đơn vị vận hành hệ thống thông tin:

c) Địa chỉ:

2. Phương án bảo đảm an toàn thông tin:

Điều 2. Tổ chức thực hiện

1. Cơ quan (Tên đơn vị đề nghị) chịu trách nhiệm:

a) Thực hiện trách nhiệm bảo đảm an toàn hệ thống thông tin mình quản lý theo các quy định tại Điều 22 Nghị định này.

b) Các nội dung khác (nếu có).

2. Trách nhiệm của các cơ quan liên quan khác (nếu có).

Điều 3. Điều khoản thi hành

1. Cơ quan (Tên đơn vị đề xuất) và các cơ quan liên quan khác chịu trách nhiệm thi hành Quyết định này.

Nơi nhận:
-…………..;
- …………..

ĐẠI DIỆN CỦA CƠ QUAN, TỔ CHỨC
(Ký, ghi rõ họ tên, chức danh và đóng dấu)

LuatVietnam.vn độc quyền cung cấp bản dịch chính thống Công báo tiếng Anh của Thông Tấn Xã Việt Nam.

Tình trạng hiệu lực: Đã biết

THE GOVERNMENT

Decree No.85/2016/ND-CP dated July 01, 2016 of the Government on the security of information systems by classification

Pursuant to the Law on Government Organization dated June 19, 2015;

Pursuant to the Law on security of information over network dated November 19, 2015;

At the request of the Minister of Information and Communication;

The government promulgates the Decree on the security of information systems by classification.

Chapter I

GENERALPROVISIONS

Article 1. Scopeof adjustment

This Decree defines criteria, authority, procedures and formalities to classify the safety of information systems and responsibilities for securing information systems by classification.

Article 2.Subject of application

This Decree applies to organizations and individuals participating or being involved in the construction, configuration, administration, operation, upgrade and expansion of Vietnam-based information systems that service the application of information technology in the activities of government bodies and agencies and in the provision of online services to the people and enterprises.

Relevant entities are encouraged to adopt this Decree for protecting their information systems.

Article 3. Terminology

In this Decree, the following words and phrases are construed as follows:

1.Administrators of an information system refer to authorities, organizations and individuals given authority to manage the information system directly. In government bodies and agencies, administrators of information systems refer to ministers, ministerial-level bodies, government agencies, provincial People s Committees or entities given discretion in investment projects for the construction, configuration, upgrade and expansion of such information systems.

2.Processing of information refers to the action(s) of generating, providing, collecting, editing, using, storing, transmitting, sharing and exchanging information online.

3.Operators of an information system refer to agencies and organizations that the administrators of the information system designate to operate such system. If the administrators of an information system outsource information technology services, the operators of the information system shall be providers of such services.

4.Specialized information technology units have a functional role in information technology in ministries, ministerial-level bodies, government agencies, provincial Departments of Information and Communications and in the administrators of information systems, which are designated by such administrators.

5.Specialized information security units bear functions and missions to secure the data for administrators of information systems.

6.Information security divisions are formed or designated by administrators of information systems to carry out missions of securing data and responding to network-related information issues.

7.Online services are provided by enterprises or government agencies over a network to organizations and individuals.

Article 4. Principles of security of information systems by classification

1.Information systems concerning operations of agencies and organizations shall be secured by classification into a routine and on the basis of continuity in design, construction, operation and termination in accordance with standards and technical regulations.

2.Information systems concerning operations of agencies and organizations shall be secured comprehensively, synchronously and centrally with regard to investing in protective solutions and sharing resources to optimize performance and preclude redundant and overlapping investments.

3.Resources to secure information systems shall be allocated in descending order of priority.

Article 5. Principles of classification

1.The identification of an information system for later classification is subject to these principles:

a) The information system is solely subjected to an administrator;

b) The information system can operate independently and takes shape to service or facilitate professional operations and specific business activities of organizations and agencies, as defined in Section 2, Article 6 of this Decree.

2.If an information system is comprised of various constituent systems classified differently, the entire system shall adopt the highest among classifications of constituent systems.

Chapter II

CRITERIA OF CLASSIFICATION

Article 6. Classification of information and information systems

1.The confidentiality level of the information processed by an information system is classified as follows:

a) Public information is the online data that an organization or individual owns and discloses to every entity without identifying and locating such entities;

b) Private information is the online data that an organization or individual owns and does not disclose or only provides to one or some entities identified and located;

c) Personal information is the online data related to the identification of a particular person;

d) Classified state information are the data classified as confidential, secret and top secret in conformity to the laws on protection of classified state information.

2.An information system shall be classified by professional function as follows:

a) An information system that services internal activities solely contributes to the internal management and operation of an agency or organization;

b) An information system that is of use to the people and enterprises provide directly or support the provision of online services, e.g. online public services and other online services regarding telecommunications, information technology, commerce, finance, banking, health, education and other specialties;

c) A system of information infrastructure is comprised of equipment and transmission lines that serve organizations and agencies en masse, e.g. wide area networks, database, data centers, cloud computing, electronic authentication, digital verification, digital signature, interconnection of information systems;

d) An industrial maneuver information system has the functional role in supervising and collecting data, managing and controlling vital sections for maneuvering and operating the ordinary activities of buildings;

dd) Other information systems.

Article 7. Criteria of first class

A 1st-class information system serves internal operations of an organization or agency and only processes public information.

Article 8. Criteria of second class

A 2nd-class information system shall meet one of these criteria:

1.An information system that serves internal operations of an organization or agency, processes private information and personal information of users but does not handle classified state information.

2.An information system that serves the people and enterprises in one of these manners:

a) Provide information and online public services at level 2 or lower as per the law;

b) Provide online services that are not stated in the list of conditional business services;

c) Provide other online services of processing private and personal information of less than 10,000 users.

3.A system of information infrastructure that is of use to an organization or agency.

Article 9. Criteria of third class

A 3rd-class information system shall meet one of these criteria:

1.An information system that processes classified state information or services the national defense and security and whose sabotage compromises the defense and security of the country.

2.An information system that serves the people and enterprises in one of these manners:

a) Provide information and online public services at level 3 or higher as per the law;

b) Provide online public services that are defined in the list of conditional business services;

c) Provide other online services of processing private and personal information of 10,000 or more users.

3.A system of shared information infrastructure that is of use to agencies and organizations in an industry, a province or some provinces.

4.An industrial maneuver information system that directly services the maneuver and operation of ordinary activities of buildings of grade II, III or IV as per the regulated gradation of construction.

Article 10. Criteria of fourth class

A 4th-class information system shall meet one of these criteria:

1.An information system that processes classified state information or services the national defense and security and whose sabotage gravely compromises the defense and security of the country.

2.A national information system that services the development of the electronic government, functions on round-the-clock basis and does not halt without prior schedule.

3.A system of shared information infrastructure that services agencies and organizations on nation-wide scale and round-the-clock basis and does not halt without prior schedule.

4.An industrial maneuver information system that directly services the maneuver and operation of ordinary activities of buildings of grade I as per the regulated gradation of construction.

Article 11. Criteria of fifth class

A 5th-class information system shall meet one of these criteria:

1.An information system that processes classified state information or services the national defense and security and whose sabotage causes excessively grave detriment to the defense and security of the country.

2.An information system that services the centralized storage of particularly vital information and data of the country.

3.A system of national information infrastructure that connects Vietnam with the world.

4.An industrial maneuver information system that directly services the maneuver and operation of ordinary activities of special-graded buildings as per the regulated gradation of construction or vital buildings concerning national security according to legal regulations on national security.

5.Other information systems at the discretion of the Prime Minister.

Chapter III

AUTHORITY, PROCEDURE AND FORMALITIES OF CLASSIFICATION

Article 12. Authority to verify and validate classifications

1.For an information system to be given class 1 or class 2:

The specialized information security unit of the administrator of the information system shall verify and validate the proposal for the classification of the information system at class 1 or class 2.

2.For an information system to be given class 3:

a) The specialized information security unit of the administrator of the information system shall verify the classification proposal;

b) The administrator of the information system shall validate the classification proposal.

3.For an information system to be given class 4 or class 5:

a) Ministry of Information and Communications shall lead and cooperate with the Ministry of National Defense and Ministry of Public Security in verifying the classification proposal, unless otherwise governed by Point b and Point c, Section 3 of this Article;

b) Ministry of National Defense shall lead and cooperate with the Ministry of Information and Communications, relevant ministries and bodies in verifying the proposal for classification of information systems under the management of the Ministry of National Defense;

c) Ministry of Public Security shall lead and cooperate with the Ministry of Information and Communications, relevant ministries and bodies in verifying the proposal for classification of information systems under the management of the Ministry of Public Security;

d) The administrator of such information systems shall validate the proposal for classification of the information systems at class 4 and validate the information security proposal of the information systems classified at class 5;

dd) Prime Minister shall validate the list of information systems classified at class 5 (List of national vital information systems).

Article 13. Procedure and formalities for classification upon new investment projects or expansion and upgrade of information systems

1.The investor shall provide and include explanations of the classification proposal in the feasibility study report, the scheme of the information technology application feasibility project or the investment report of the project. Such report shall be sent to functional agencies for verification and to the authorities competent to validate the feasibility study report, the scheme of the information technology application feasibility project or the investment report in accordance with the laws on investment and this Decree.

2.If outsourcing information technology services, the leading outsourcer shall formulate and include explanations of the classification in the plan and/or the scheme of the outsourcing project, which shall be delivered to functional agencies for verification and to competent authorities for validation as per the laws on outsourcing of information technology services and in accordance with this Decree.

3.Documents that explain the classification are defined in Article 15 of this Decree.

Article 14. Procedure and formalities for classification of information systems in operation

1.Proposal of classification:

a) The operator of the information system shall prepare the classification proposal as defined in Article 15 of this Decree;

b) For an information system to be given class 1 or class 2:

The operator of the information system shall submit the classification proposal to the verification body according to Section 1, Article 12 of this Decree;

c) For an information system to be given class 3:

The operator of the information system shall submit the classification proposal to the verification body according to Point a, Section 2, Article 12 of this Decree;

d) For an information system to be given class 4 or class 5:

-The operator of the information system shall submit the classification proposal to the specialized information security unit of the administrator of such system for professional advice on the pertinence of the proposal and on the solutions for securing the information system as classified;

-The operator of the information system shall provide the administrator of the information system with the classification proposal that is sent to the verification body as stated in Point a, Point b or Point c, Section 3, Article 12 of this Decree.

2.Verification of classification proposals:

The authorities competent to verify classification proposals are defined in Article 16 of this Decree.

3.Validation of classification proposals:

a) For an information system to be given class 1 or class 2:

The specialized information security unit of the administrator of the information system shall validate the classification proposal and report to the administrator;

b) For an information system to be given class 3 or class 4:

The operator of the information system shall present the classification proposal to the administrator of such system for validation;

c) For an information system to be given class 5:

-Ministry of Information and Communications shall base on the result of verification of the classification proposal to lead and cooperate with the Ministry of National Defense, Ministry of Public Security, relevant ministries and bodies in presenting the list of information systems classified at class 5 to the Prime Minister for validation;

-The operator of the information system shall present the information security scheme to the administrator of such system for validation;

Article 15. Documents in the classification proposal

A classification proposal includes:

1.Documents that describe and explain the information system in general.

2.Design documents comprised of:

a) For new investment projects or expansion and upgrade of information systems: The preliminary design or equivalent documents;

b) For information systems in operation: The construction design validated by a competent authority or equivalent documents.

3.Documents that explain the criteria-based classification in conformity to the law.

4.Documents that explain the scheme of information security by classification.

5.Professional opinion(s) of the specialized information security unit of the administrator of the information system to be classified at class 4 or class 5.

Article 16. Verification of classification proposals

1.The following details in the classification proposal shall be verified:

a) The compatibility of the classification;

b) The compatibility of the scheme for securing the information system by classification as indicated in the preliminary design, construction design or equivalent documents;

c) The pertinence of the scheme for securing the information system to the operation of the system by classification.

2.Time limit for verification of classification proposals:

a) A valid proposal for classification of an information system at class 3, when received in full, shall be verified in at most 15 days.

b) A valid proposal for classification of an information system at class 4 or class 5, when received in full, shall be verified in at most 30 days.

Article 17. Validation of classification proposals

1.The validation of a classification proposal shall include:

a) The classification proposal;

b) Opinion(s) of verification of the verification body for information systems classified at class 3 or higher.

2.Time limit for validation of classification proposals:

Valid documents, when received in full, shall be processed in at most 07 working days.

Article 18. Procedure and formalities for re-classification of information systems with a validated class

The re-classification of information systems with a validated class, if required according to actual circumstances, shall adhere to the procedure and formalities for initial classification.

Chapter IV

RESPONSIBILITIES FOR SECURING INFORMATION SYSTEMS

Article 19. Scheme for security of information systems by classification

1.Schemes for security of information systems must meet basic requirements as defined in technical standards and regulations on security of information systems by classification.

2.A scheme for security of an information system shall consist of:

a) Security of the information system during the phase of design and construction;

b) Securing of the information system during the process of operation;

c) Inspection and assessment of the information safety;

d) Management of information safety risks;

dd) Supervision of information safety;

e) Provisions, emergency response and disaster recovery;

g) Termination of operation, liquidation, disposal.

Article 20. Responsibilities of administrators of information systems

1. The head of an agency or organization administering an information system shall be responsible for:

a) Directing and undertaking the security of information in the activities of his agency or organization;

b) If there is no independent unit specialized in securing information:

-Designate the specialized information technology unit to specialize in information security;

-Establish or designate a specialized information security unit directly under the specialized information technology unit.

2. The administrator of an information system is responsible for:

a) Directing the operator of the information system to make classification proposal(s); verifying and validating classification proposal(s) as per this Decree;

b) Directing and organizing the implementation of scheme(s) for securing the information system under its management by classification as per Article 25, 26 and 27 of the Law on security of information over network, this Decree and relevant legal regulations;

c) Directing and organizing the inspection and assessment of information safety and the management of risks in information safety intra vires, as follows:

-Carry out the inspection and assessment of information safety and general information safety risk management in relation to the activities of the agency or organization on 2-year basis;

-Carry out the inspection and assessment of information safety and information safety risk management over information systems of class 3 and class 4 on annual basis;

-Carry out the inspection and assessment of information safety and information safety risk management over information systems of class 5 on 6-month basis (or when deemed necessary, requested or warned by a functional authority);

-The inspection and assessment of information safety and information safety risks over information systems of class 3 or higher shall be conducted by a professional organization licensed by competent authorities, a government agency given suitable functions and assignments or a specialist organization designated by competent authorities.

d) Directing and organizing the provision of short-term training and propagandas to propagate and heighten awareness and information security drills, as follows:

-Provide short-term training courses that enhance knowledge and skills of public officials and employees in securing information in their agency or organization;

-Propagandize and raise the awareness of public officials and employees in securing information in their agency or organization;

-Carry out information security drills during the activities of the agency or organization; participate in national and international drills that the Ministry of Information and Communications holds.

dd) Direct the operator of the information system(s) to cooperate with relevant functional agencies of the Ministry of Information and Communications in deploying the equipment, connecting technical processor systems, reducing network attacks, supporting the supervision of the information safety of the information system(s) providing online public services, and developing the electronic government.

Article 21. Responsibilities of specialized information security units under administrators of information systems

1. Provide counsels, organize, expedite, inspect and supervise the security of information.

2. Verify, validate or professionally remark on classification proposals within authority as per Section 1 and Section 2, Article 12 and Section 5, Article 15 of this Decree.

Article 22. Responsibilities of operators of information systems

The operator of an information system shall be responsible for:

1. Classifying the security class of the information system as per Article 14 of this Decree.

2. Securing information as per the law, guidelines, standards and regulations on information safety;

3. Assessing the efficiency of information security measures periodically and reporting to the administrator of the information system when necessary;

4. Reporting the security of the information system on periodic or ad hoc basis upon request(s) of the administrator of the information system or competent state management authorities;

5. Cooperating with other entities and actualize requests of functional agencies related to the Ministry of Information and Communications for the security of information.

Article 23. Responsibilities of state management authorities

1. Ministry of Information and Communications shall be responsible for:

a) Verifying the classification proposals intra vires as per Point a, Section 3, Article 12 of this Decree;

b) Drafting national standards and promulgating national technical regulations on security of information by classification;

c) Providing detailed guidelines on the classification of information systems as per Section 2, Article 6 of this Decree;

d) Promulgating regulations and guiding documents on the security of information systems by classification, on the evaluation and certification of compliance and conformity in relation to the security of information systems by classification;

dd) Guiding agencies and organizations providing short-term training and propagandas to propagate and heighten awareness and information security drills;

e) Regulating the inspection and assessment of information safety and information safety risk management within the operations of state agencies and governmental organizations, unless otherwise governed by Point d, Section 2 and Point d, Section 3 of this Article;

g) Deploying nation-wide centralized technical facilities to handle and reduce network attacks, support the supervision of the security of information systems providing online public services and to develop the electronic government.

2. Ministry of National Defense shall be responsible for:

a) Verifying information security schemes in the classification proposals intra vires as per Point b, Section 3, Article 12 of this Decree;

b) Drafting standards and promulgating technical regulations and guidelines for the security of information systems under its management;

c) Providing guidelines for criteria defined in Section 1 of Article 9, Section 1 of Article 10 and Section 1 of Article 11 in this Decree according to its functions and assignments;

d) Regulating the inspection and assessment of information safety and information safety risk management within the operations of the Ministry of National Defense.

3. Ministry of Public Security shall be responsible for:

a) Verifying information security schemes in the classification proposals intra vires as per Point c, Section 3, Article 12 of this Decree;

b) Drafting standards and promulgating technical regulations and guidelines for the security of information systems under its management;

c) Providing guidelines for criteria defined in Section 1 of Article 9, Section 1 of Article 10 and Section 1 of Article 11 in this Decree according to its functions and assignments;

d) Regulating the inspection and assessment of information safety and information safety risk management within the operations of the Ministry of Public Security.

Article 24. Expenditure for information security

1. State funds shall be allocated for the security of information by classification during activities of state agencies and government organizations.

2. Public fund(s) shall be invested in the security of information as per the Law on public investment. Public investment projects for construction or expansion and upgrade of information systems shall employ their investment capital to finance investments in the security of information by classification.

3. The annual budget estimate of state agencies and government organizations shall allot fund(s) for their supervision, assessment and management of information safety risks; provision of short-term training, propagandas, information safety drills and emergency response as per the Law on state budget.

4. Ministry of Finance shall provide guidelines for spending on the security of information from the budget estimate, for management and use of administrative expenditure for the security of information during the operations of state agencies and government organizations.

5. State agencies and government organizations shall base on their assignments to estimate the budget, manage, use and finalize the expenditure for the security of information as per the law on state budget.

Chapter V

IMPLEMENTATIONPROVISION

Article 25. Implementation effect

This Decree takes effect on July 01, 2016.

Article 26. Implementationorganization

1. Ministry of Information and Communications shall be responsible for guiding and inspecting the implementation of this Decree.

2. Ministers, Heads of ministerial-level agencies, Heads of governmental agencies, Chairpersons of provincial People’s Committees and relevant entities are responsible for implementing this Decree./.

For the Government

The Prime Minister

Nguyen Xuan Phuc

APPENDIX

THE FORMS FOR CLASIFICATION OF INFORMATION SYSTEMS
(Enclosed to the Government’s Decree No. 85/2016/ND-CP dated July 01, 2016)

Form No. 01	Request for verification and validation of the classification proposal
Form No. 02	Request for verification of the classification proposal
Form No. 03	Request for professional remarks on the classification proposal
Form No. 04	Verification of the classification proposal
Form No. 05	Request for validation of the classification proposal
Form No. 06	Decision to validate the security class of the information system
Form No. 07	Decision to validate the scheme for information security

Form No. 01

(NAME OF THE AGENCY / ORGANIZATION) --------	SOCIALISTREPUBLIC OF VIETNAM Independent - Freedom – Happiness ---------------
No. ………..Request for verification / validation of the classification proposal	…..… [place],… … … [date]

To: (The unit specialized in information security).

Pursuant to the Law on security of information over network dated November 19, 2015;

(Pursuant to documents guiding the implementation of the Law on security of information over network and relevant documents);

(Name of the agency / organization) requests the verification / validation of the classification proposal as follows:

Part 1. General information

1. Name of the information system:

2. The operator of the information system:

3. Address:

4. Security class of the information system recommended:

Part 2. Documents

1. Documents that describe and explain the information system in general.

2. The construction design approved by a competent authority or equivalent documents.

3. Documents that explain the criteria-based classification in conformity to the law.

4. Documents that explain the scheme of information security by classification.

(Name of the agency / organization) requests (The specialized information security unit) to verify and validate the proposal for classification of (name of the information system)./.

Recipient:
- As above:
- …………..

REPRESENTATIVE OF THE AGENCY / ORGANIZATION
(sign, seal, write full name and title)

Form No. 02

(NAME OF THE AGENCY / ORGANIZATION) --------	SOCIALISTREPUBLIC OF VIETNAM Independent - Freedom – Happiness ---------------
No. ………..Request for verification of the classification proposal	…..… [place],… … … [date]

To: (The unit specialized in information security).

Pursuant to the Law on security of information over network dated November 19, 2015;

(Pursuant to documents guiding the implementation of the Law on security of information over network and relevant documents);

(Name of the agency / organization) requests (name of the verification body) to verify the classification proposal as follows:

Part 1. General information

1. Name of the information system:

2. The operator of the information system:

3. Address:

4. Security class of the information system recommended:

Part 2. Documents

1. Documents that describe and explain the information system in general.

2. The construction design approved by a competent authority or equivalent documents.

3. Documents that explain the criteria-based classification in conformity to the law.

4. Documents that explain the scheme of information security by classification.

5. Professional opinion(s) of the specialized information security unit of the administrator of the information system (classified at class 4 or class 5).

(Name of the agency / organization) requests (the verification body) to verify the proposal for classification of the security class of (name of the information system)./.

Recipient:
- As above:
- …………..

REPRESENTATIVE OF THE AGENCY / ORGANIZATION
(sign, seal, write full name and title)

Form No. 03

(NAME OF THE AGENCY / ORGANIZATION) --------	SOCIALISTREPUBLIC OF VIETNAM Independent - Freedom – Happiness ---------------
No. ………..Request for professional remarks on the classification proposal	…..… [place],… … … [date]

To: (The unit specialized in information security).

Pursuant to the Law on security of information over network dated November 19, 2015;

(Pursuant to documents guiding the implementation of the Law on security of information over network and relevant documents);

(Name of the agency / organization) requests (the specialized information security unit) to given professional remarks on the classification proposal as follows:

Part 1. General information

1. Name of the information system:

2. The operator of the information system:

3. Address:

4. Security class of the information system recommended:

Part 2. Documents

1. Documents that describe and explain the information system in general.

2. The construction design approved by a competent authority or equivalent documents.

3. Documents that explain the criteria-based classification in conformity to the law.

4. Documents that explain the scheme of information security by classification.

(Name of the agency / organization) requests (the specialized information security unit) to remark on the suitability of the classification and the scheme for class-based security of (name of the information system)./.

Recipient:
- As above:
- …………..

REPRESENTATIVE OF THE AGENCY / ORGANIZATION
(sign, seal, write full name and title)

Form No. 04

(NAME OF THE AGENCY / ORGANIZATION)	SOCIALISTREPUBLIC OF VIETNAM Independent - Freedom - Happiness
No. ………..Verification of the classification proposal	…..… [place],… … … [date]

To:	(The administrator/ operator of the information system).

(Name of the verification body) has received the official dispatch no… dated … by (name of the requesting agency) on the verification of the proposal for classification of (name of the information system). After considering the proposal and soliciting remarks and findings of relevant agencies and organizations, (name of the verification body) provides the following opinions:

Part 1. Documents verified

1. Documents that describe and explain the information system in general.

2. The construction design approved by a competent authority or equivalent documents.

3. Documents that explain the criteria-based classification in conformity to the law.

4. Documents that explain the scheme of information security by classification.

5. Professional opinion(s) of the specialized information security unit of the administrator of the information system to be classified at class 4 or class 5.

Part 2. Legal grounds of verification

1. Pursuant to the Law on security of information over network dated November 19, 2015;

2. (Pursuant to documents guiding the implementation of the Law on security of information over network and relevant documents);

2. Other relevant legal grounds.

Part 3. The verification body

1. The leading agency:

2. The supportive agency:

3. Form of verification: Through a meeting or written inquiries or via both methods (if necessary).

Part 4. Remarks

1.Remarks of the supportive agency as per Section 3, Article 12 of this Decree.

2. Remarks on the suitability of the classification as per Article 16 of this Decree.

3. Other remarks (if any).

Part 5. Conclusion

The proposal for classification of the information system suits / does not suit (specify unfit details) the classification.

Such remark of verification is given by (name of the verification body) over the proposal for classification of (name of the information system). (Name of the requesting agency) is advised to report to the competent persons for amendment (if required) or to the competent authorities for validation (if the proposal is passed)./.

Recipient:
- As above:
- …………..

REPRESENTATIVE OF THE AGENCY / ORGANIZATION
(sign, seal, write full name and title)

Form No. 05

(NAME OF THE AGENCY / ORGANIZATION) --------	SOCIALISTREPUBLIC OF VIETNAM Independent - Freedom – Happiness ---------------
No. ………..	…..… [place],… … … [date]

OFFICIAL DISPATCH

On the validation of the classification proposal

To: (Relevant competent authorities)

Pursuant to the Law on security of information over network dated November 19, 2015;

(Pursuant to documents guiding the implementation of the Law on security of information over network and relevant documents);

Pursuant to remarks of the specialized information technology unit/ verification body;

(Name of the agency / organization) requests the validation of the classification proposal as follows:

Part 1. General information

1. Name of the information system:

2. The operator of the information system:

3. Address:

4. Security class of the information system recommended:

Part 2. Documents

1. Documents that describe and explain the information system in general.

2. The construction design approved by a competent authority or equivalent documents.

3. Documents that explain the criteria-based classification in conformity to the law.

4. Documents that explain the scheme of information security by classification.

5. Professional opinion(s) of the specialized information security unit of the administrator of the information system to be classified at class 4 or class 5.

6. Remark(s) of verification of the verification body for information systems classified at class 3 or higher.

(Name of the agency) requests (the administrator of the information system) to consider and validate the proposal for classification of (name of the information system)./.

Recipient:
- As above:
- …………..

REPRESENTATIVE OF THE AGENCY / ORGANIZATION
(sign, seal, write full name and title)

Form No. 06

(ADMINISTRATOR OF INFORMATION SYSTEM) --------	SOCIALISTREPUBLIC OF VIETNAM Independent - Freedom – Happiness ---------------
No. ………..	…..… [place],… … … [date]

DECISION

On validation of the security class of the information system

(HEAD OF THE AGENCY / ORGANIZATION)

Pursuant to the Law on security of information over network dated November 19, 2015;

(Pursuant to documents guiding the implementation of the Law on security of information over network and relevant documents);

At the request of (the requesting unit),

HEREBY DECIDES:

Article 1: The security class of (name of the information system) is validated as follows:

1. General information

a) Name of the information system:

b) The operator of the information system:

c) Address:

2. Security class of the information system: (class)

3. Scheme for security of information:

a) The scheme for security of information, as included in the design of the information system classified at (class) adheres to (name of national standards) and (name of national technical regulations) on security of information systems by classification.

b) The scheme for security of information during the operation of the information system classified at (class) adheres to (name of national standards) and (name of national technical regulations) on security of information systems by classification.

Article 2. Implementation

1. (Name of the requesting agency) is responsible for:

a) Performing the duties of securing the information system under its management as per Article 22 of this Decree.

b) Others (if any).

2. Responsibilities of other relevant agencies (if any).

Article 3. Implementation

1. (Name of the proposing agency) and relevant agencies shall be responsible for implementing this Decision.

2. The specialized information security unit shall be responsible for inspecting and supervising the implementation of this Decision and reporting to (the administrator of the information system) as per the law./.

Recipient:
-…………..;
- …………..

REPRESENTATIVE OF THE AGENCY / ORGANIZATION
(sign, seal, write full name and title)

Form No. 07

(ADMINISTRATOR OF INFORMATION SYSTEM) --------	SOCIALISTREPUBLIC OF VIETNAM Independent - Freedom – Happiness ---------------
No. ………..	…..… [place],… … … [date]