Quyết định 1728/QĐ-TCHQ 2019 Kiến trúc và khung tiêu chuẩn an toàn bảo mật
- Thuộc tính
- Nội dung
- VB gốc
- Tiếng Anh
- Hiệu lực
- VB liên quan
- Lược đồ
- Nội dung MIX
- Tổng hợp lại tất cả các quy định pháp luật còn hiệu lực áp dụng từ văn bản gốc và các văn bản sửa đổi, bổ sung, đính chính…
- Khách hàng chỉ cần xem Nội dung MIX, có thể nắm bắt toàn bộ quy định pháp luật hiện hành còn áp dụng, cho dù văn bản gốc đã qua nhiều lần chỉnh sửa, bổ sung.
- Tải về
Đây là tiện ích dành cho thành viên đăng ký phần mềm.
Quý khách vui lòng Đăng nhập tài khoản LuatVietnam và đăng ký sử dụng Phần mềm tra cứu văn bản.
thuộc tính Quyết định 1728/QĐ-TCHQ
Cơ quan ban hành: | Tổng cục Hải quan | Số công báo: Số công báo là mã số ấn phẩm được đăng chính thức trên ấn phẩm thông tin của Nhà nước. Mã số này do Chính phủ thống nhất quản lý. | Đang cập nhật |
Số hiệu: | 1728/QĐ-TCHQ | Ngày đăng công báo: | Đang cập nhật |
Loại văn bản: | Quyết định | Người ký: | Nguyễn Công Bình |
Ngày ban hành: Ngày ban hành là ngày, tháng, năm văn bản được thông qua hoặc ký ban hành. | 18/06/2019 | Ngày hết hiệu lực: Ngày hết hiệu lực là ngày, tháng, năm văn bản chính thức không còn hiệu lực (áp dụng). | Đang cập nhật |
Áp dụng: Ngày áp dụng là ngày, tháng, năm văn bản chính thức có hiệu lực (áp dụng). | Tình trạng hiệu lực: Cho biết trạng thái hiệu lực của văn bản đang tra cứu: Chưa áp dụng, Còn hiệu lực, Hết hiệu lực, Hết hiệu lực 1 phần; Đã sửa đổi, Đính chính hay Không còn phù hợp,... | Đã biết Vui lòng đăng nhập tài khoản gói Tiêu chuẩn hoặc Nâng cao để xem Tình trạng hiệu lực. Nếu chưa có tài khoản Quý khách đăng ký tại đây! | |
Lĩnh vực: | Xuất nhập khẩu |
TÓM TẮT VĂN BẢN
Nội dung tóm tắt đang được cập nhật, Quý khách vui lòng quay lại sau!
tải Quyết định 1728/QĐ-TCHQ
Nếu chưa có tài khoản, vui lòng Đăng ký tại đây!
Nếu chưa có tài khoản, vui lòng Đăng ký tại đây!
BỘ TÀI CHÍNH |
CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM |
Số: 1728/QĐ-TCHQ |
Hà Nội, ngày 18 tháng 6 năm 2019 |
QUYẾT ĐỊNH
Về việc ban hành “Kiến trúc và khung tiêu chuẩn an toàn bảo mật hệ thống công nghệ thông tin ngành Hải quan”
TỔNG CỤC TRƯỞNG TỔNG CỤC HẢI QUAN
Căn cứ Luật An toàn thông tin mạng năm 2015;
Căn cứ Nghị định số 85/2016/NĐ-CP ngày 01/7/2016 của Chính phủ về bảo đảm an toàn hệ thống thông tin theo cấp độ;
Căn cứ Quyết định số 65/2015/QĐ-TTg ngày 17/12/2015 của Thủ tướng Chính phủ quy định chức năng, nhiệm vụ, quyền hạn và cơ cấu tổ chức của Tổng cục Hải quan trực thuộc Bộ Tài chính;
Căn cứ Thông tư số 03/2017/TT-BTTTT ngày 24/4/2017 của Bộ Thông tin và Truyền thông quy định chi tiết và hướng dẫn một số điều của Nghị định số 85/2016/NĐ-CP ngày 01/7/2016 của Chính phủ về bảo đảm an toàn hệ thống thông tin theo cấp độ;
Căn cứ Quyết định số 2582/QĐ-BKHCN ngày 25/9/2017 của Bộ trưởng Bộ Khoa học và Công nghệ về việc công bố Tiêu chuẩn quốc gia TCVN 11930:2017 yêu cầu cơ bản về an toàn hệ thống thông tin theo cấp độ;
Căn cứ Quyết định 201/QĐ-BTC ngày 12/02/2018 của Bộ trưởng Bộ Tài chính ban hành Quy chế An toàn thông tin mạng Bộ Tài chính;
Căn cứ Quyết định 2445/QĐ-BTC ngày 28/12/2018 của Bộ trưởng Bộ Tài chính ban hành Kiến trúc Chính phủ điện tử ngành Tài chính;
Căn cứ Công văn 1178/BTTTT-THH ngày 21/4/2015 của Bộ Thông tin và Truyền thông ban hành Khung Kiến trúc chính phủ điện tử Việt Nam phiên bản 1.0;
Xét đề nghị của Cục trưởng Cục Công nghệ thông tin & Thống kê Hải quan,
QUYẾT ĐỊNH:
Điều 1. Ban hành kèm theo Quyết định này “Kiến trúc và khung tiêu chuẩn an toàn bảo mật hệ thống công nghệ thông tin ngành Hải quan”.
Điều 2. Kiến trúc và khung tiêu chuẩn an toàn bảo mật hệ thống công nghệ thông tin ngành Hải quan làm căn cứ để xây dựng, triển khai, tổ chức thực hiện các giải pháp nhằm đảm bảo an toàn thông tin cho hệ thống thông tin ngành Hải quan.
Điều 3. Quyết định này có hiệu lực kể từ ngày ký. Cục trưởng Cục CNTT&Thống kê Hải quan, Thủ trưởng các đơn vị thuộc, trực thuộc Tổng cục Hải quan chịu trách nhiệm thi hành Quyết định này./.
|
KT. TỔNG CỤC TRƯỞNG |
QUY ĐỊNH
Kiến trúc và khung tiêu chuẩn an toàn bảo mật hệ thống công nghệ thông tin ngành Hải quan
(Ban hành kèm Quyết định số 1728/QĐ-TCHQ ngày 18 tháng 6 năm 2019 của Tổng cục trưởng Tổng cục Hải quan)
1. Mục đích
Nâng cao mức độ an ninh an toàn thông tin cho hệ thống công nghệ thông tin ngành Hải quan;
Làm cơ sở để xây dựng, triển khai, quản lý các giải pháp đảm bảo an toàn thông tin cho các hệ thống Công nghệ thông tin (CNTT) trong ngành Hải quan theo một kiến trúc, tiêu chuẩn thống nhất.
2. Kiến trúc an toàn bảo mật hệ thống công nghệ thông tin ngành Hải quan
2.1. Mô hình kiến trúc:
Khung Kiến trúc an toàn bảo mật hệ thống công nghệ thông tin ngành Hải quan thực hiện: Xác định các đối tượng cần được bảo vệ và các giải pháp, hoạt động về an toàn thông tin (ATTT) phải thực hiện để bảo vệ đối tượng đó. Cụ thể:
- Chiều dọc: Xác định các đối tượng cần bảo vệ gồm: Thiết bị người dùng cuối (PC, Laptop), Thiết bị Phòng máy chủ, Trung tâm dữ liệu (Server, Appliance, Cloud), Hạ tầng mạng (Mạng nội bộ, WAN, Internet), Hệ thống ứng dụng & dịch vụ (Email, Database, Ứng dụng nội bộ, Ứng dụng cung cấp ra ngoài, Trang tin portal).
- Chiều ngang: Xác định các giải pháp, hoạt động để thực thi hiệu quả chiến lược ATTT nhằm bảo vệ các đối tượng trong hệ thống công nghệ thông tin ngành Hải quan; gồm 3 nhóm hành động chính:
o Phòng ngừa, bảo vệ;
o Giám sát, phát hiện, ứng cứu và xử lý sự cố;
o Quản lý nhân lực, mô hình tổ chức bộ phận ATTT.
KHUNG KIẾN TRÚC AN TOÀN BẢO MẬT |
||||||||||||||||||
Đối tượng
Giải pháp |
Thiết bị người dùng (PC, Laptop) |
Thiết bị Phòng máy chủ, Trung tâm dữ liệu (Servers, Appliance, Cloud) |
Hạ tầng mạng |
Ứng dụng và dịch vụ |
||||||||||||||
Mạng nội bộ (LAN) |
Mạng diện rộng (WAN) |
Mạng Internet |
Thư điện tử (Email) |
Cơ sở dữ liệu |
Ứng dụng nội bộ |
Ứng dụng cung cấp dịch vụ ra ngoài |
Trang tin (Portal) |
|||||||||||
Phòng ngừa, bảo vệ |
||||||||||||||||||
Giải pháp kỹ thuật |
An toàn vật lý (Physical Security) |
Chống Spam (AntiSpam) |
Tường lửa CSDL (DB Firewall) |
Tường lửa ứng dụng web (Web Application Firewall) |
||||||||||||||
Phần mềm diệt virus (AV) |
Tường lửa (Firewall) |
Phòng chống virus cho email (Mail AV) |
Bảo mật dữ liệu (Data Security) |
Chống tấn công DDOS lớp ứng dụng (Anti DDoS L7) |
||||||||||||||
Hệ thống quản lý người dùng tập trung (Domain Controller) |
(Phòng chống tấn công lớp máy chủ (Host IPS) |
Phòng chống tấn công lớp mạng (Network IPS) |
Chống tấn công APT cho email (Mail Anti-APT) |
|
||||||||||||||
Chống tấn công APT thiết bị người dùng (Enpoint Anti- APT) |
Chống tấn công APT máy chủ (Server Anti-APT) |
Chống tấn công APT lớp mạng (Network Anti APT) |
|
|||||||||||||||
Quản lý bản vá (Patch management) |
Quản lý, giám sát mạng (Network Management) |
|||||||||||||||||
Bảo mật dữ liệu (Data Security) |
Quản lý tài khoản đặc quyền (PIM) |
|
Mạng riêng ảo (VPN) |
|||||||||||||||
|
Proxy |
|||||||||||||||||
Chống tấn công DDOS tràn băng thông (Anti-DdoS Volume Based) |
||||||||||||||||||
Quy chế, quy định, tiêu chuẩn ATTT |
Hệ thống chính sách (Quy chế, quy trình, tiêu chuẩn ATTT) cho thiết bị người dùng, máy chủ, mạng, ứng dụng, dịch vụ (Áp dụng các tiêu chuẩn TCVN, ISO 27000, NIST,...) |
|||||||||||||||||
Thiết kế và triển khai chính sách ATTT |
Thiết kế mô hình mạng chuẩn và triển khai các tiêu chuẩn ATTT |
|||||||||||||||||
Sao lưu và phục hồi |
Sao lưu tự động hoặc định kỳ (Cấu hình, CSDL, mã nguồn, ...). |
|||||||||||||||||
Diễn tập khôi phục hệ thống từ bản sao lưu |
||||||||||||||||||
Rà soát, đánh giá bảo mật |
Rà soát đánh giá bảo mật cho: hạ tầng mạng, máy chủ, ứng dụng, thiết bị phòng máy chủ, máy tính người dùng, .... |
|||||||||||||||||
Đào tạo |
Đào tạo kiến thức bảo mật phù hợp với từng đối tượng: Nhân viên, lập trình viên, quản trị hệ thống, chuyên viên ATTT, lãnh đạo |
|||||||||||||||||
Giám sát phát hiện, ứng cứu, xử lý sự cố |
||||||||||||||||||
Triển khai các công cụ hỗ trợ quản lý, giám sát phát hiện vi phạm, nguy cơ ATTT |
Hệ thống quản lý các sự kiện ATTT SIEM (Security Information Event Management) |
|||||||||||||||||
Giám sát ATTT máy tính người dùng (Endpoint Security Baseline Monitoring) |
Giám sát ATTT máy chủ (Server Security Baseline Monitoring) |
Giám sát ATTT lớp mạng (Network Security Baseline Monitoring) |
Quản thông tin ứng dụng, dịch vụ, cấu hình, cài đặt (Application profilling) |
|||||||||||||||
Phát hiện bất thường trên máy tính người dùng (Endpoint Anomaly Detection) |
Phát hiện bất thường trên máy chủ (Server Anomaly Detection) |
Phát hiện bất thường lớp mạng (Network Anomaly Detection) |
|
Giám sát thư mục ứng dụng (Directory Monitoring) |
||||||||||||||
|
Điều khiển truy cập mạng (NAC) |
|
||||||||||||||||
Dự đoán, phát hiện sớm các nguy cơ ATTT |
Rà soát, truy vết phát hiện các nguy cơ ATTT (Threat Hunting) |
|||||||||||||||||
Cập nhật các thông tin nguy cơ ATTT (Threat Intelligence) |
Phân tích các sự kiện ATTT dựa trên phân tích dữ liệu lớn, khai phá dữ liệu (Security Event Datamining & Big data analytic) |
|||||||||||||||||
Giám sát ATTT 24/07 (Tier 1) |
Triển khai hệ thống công cụ, thiết bị hạ tầng, văn phòng hỗ trợ giám sát ATTT (Monitoring System) |
|||||||||||||||||
Triển khai giải pháp hỗ trợ quản lý cảnh báo, theo vết, xử lý toàn diện các cảnh báo ATTT (Security Management) |
||||||||||||||||||
Quy trình, hướng dẫn giám sát, xử lý cảnh báo ATTT (SOC processes & Reponse Guideline) |
||||||||||||||||||
Tổ chức nhân sự trực giám sát ATTT 24/7 (Tier 1 Security Monitoring 24/7) |
||||||||||||||||||
Xử lý sự cố (Tier 2) |
Hệ thống quản lý ticket xử lý sự cố (Incident Ticket Management System) |
|||||||||||||||||
Quy trình, hướng dẫn xử lý sự cố ATTT (SOC Processes & Escalation Guideline) |
||||||||||||||||||
Xử lý chấm dứt sự cố, khắc phục các nguyên nhân gây ra sự cố (Incident Resolve) |
||||||||||||||||||
Điều tra, xử lý sự cố mức chuyên gia (Tier 3) |
Điều tra, truy vết, xác định nguyên nhân, nguồn gốc, thủ phạm tấn công (Investigation) |
|||||||||||||||||
Xử lý các sự cố mới, sự cố diện rộng với chuyên gia mức cao (Processing Security Expert Level) |
||||||||||||||||||
Diễn tập xử lý sự cố |
Tổ chức diễn tập xử lý sự cố ATTT |
|||||||||||||||||
Quản lý nhân sự, mô hình tổ chức bộ phận ATTT |
||||||||||||||||||
Quản lý nhân sự ATTT |
Bộ máy, nhân sự ATTT Lãnh đạo cấp cao phụ trách ATTT (CIO) |
|||||||||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
2.2. Các thành phần thuộc kiến trúc:
a. Công tác phòng ngừa, bảo vệ:
- Triển khai các giải pháp bảo vệ:
o Thiết bị người dùng cuối (PC, Laptop): Phần mềm Antivirus, Hệ thống quản lý người dùng tập trung, Giải pháp chống tấn công APT máy tính người dùng, Hệ thống quản lý bản vá lỗ hổng, Giải pháp bảo mật dữ liệu trên máy tính người dùng.
o Phòng máy chủ, Trung tâm dữ liệu (Server, Appliance, Cloud, ...): Phần mềm diệt virus cho máy chủ, Phần mềm chống tấn công lớp máy chủ (Host IPS), Giải pháp chống tấn công APT máy chủ, Hệ thống quản lý bản vá, Hệ thống quản lý đặc quyền.
o Hạ tầng mạng (LAN, WAN, Internet): Thiết bị tường lửa, Thiết bị phát hiện tấn công lớp mạng, Giải pháp chống tấn công APT lớp mạng, Hệ thống giám sát, quản lý lớp mạng, Mạng riêng ảo VPN, Cổng kết nối Internet Proxy, Giải pháp chống tấn công DDOS tràn băng thông.
o Ứng dụng, dịch vụ (Email, Cơ sở dữ liệu, Ứng dụng nội bộ, Ứng dụng dịch vụ cung cấp bên ngoài, trang tin Portal): Antispam, Diệt virus cho mail, Chống tấn công APT cho email, Tường lửa CSDL, Giải pháp bảo mật dữ liệu, Tường lửa ứng dụng web, chống tấn công DDOS lớp ứng dụng;
- Xây dựng hệ thống quy định, chính sách về an toàn thông tin: Là cơ sở duy trì hoạt động, vận hành đảm bảo tính an toàn an ninh thông tin cho hệ thống CNTT diễn ra liên tục. Hệ thống chính sách ATTT được xây dựng dựa trên các chuẩn quốc tế như ISO 27000, NIST và các quy định của nhà nước.
- Thiết kế, quy hoạch, triển khai hệ thống đảm bảo an toàn thông tin: quy hoạch chuẩn hóa hệ thống mạng, cấu hình đảm bảo an toàn thông tin cho các hệ thống, ứng dụng, dịch vụ.
- Sao lưu và phục hồi: hoạt động phòng ngừa chuẩn bị khả năng phục hồi lại hệ thống khi có sự cố, bao gồm 2 hành động chính cần thực hiện:
o Tiến hành sao lưu tự động hoặc định kỳ tất cả các thông tin hỗ trợ khôi phục lại hệ thống như cấu hình, cơ sở dữ liệu, mã nguồn, ...
o Diễn tập khôi phục sự cố từ bản sao lưu: Đảm bảo hoạt động sao lưu diễn ra bình thường, dữ liệu sao lưu cập nhật, đủ khả năng khôi phục lại hệ thống thực sự, tránh bị động khi xảy ra sự cố.
- Đánh giá, phát hiện, khắc phục các lỗ hổng, nguy cơ của hệ thống: chủ động rà soát, đánh giá các hệ thống phát hiện các lỗ hổng, nguy cơ về an toàn thông tin để thực hiện khắc phục, đảm bảo ATTT cho hệ thống. Hoạt động đánh giá được áp dụng cho tất cả các đối tượng trong hệ thống CNTT. Thực hiện qua 2 hình thức: Tấn công khai thác thử nghiệm và Đánh giá rà soát toàn diện. Việc thực hiện đánh giá phải đảm bảo tính độc lập giữa hoạt động đánh giá và hoạt động vận hành khai thác, phát triển hệ thống để đảm bảo tính khách quan cũng như cung cấp nhiều góc nhìn về hệ thống.
- Đào tạo: Đảm bảo nhận thức đúng về nguy cơ, cách làm an toàn thông tin. Đồng thời, thường xuyên đào tạo lực lượng chuyên môn cập nhật các công nghệ, tiêu chuẩn ATTT.
b. Giám sát, phát hiện, ứng cứu, xử lý sự cố:
- Triển khai các công cụ hỗ trợ quản lý, giám sát phát hiện vi phạm, nguy cơ ATTT: triển khai các công cụ, giải pháp nhằm xác định các thông tin chuẩn hóa ở trạng thái bình thường của các hệ thống, đối tương, ứng dụng; là thông tin cơ sở để xác định bất thường. Việc thực hiện quản lý được thực hiện thông qua các công cụ như: Các giải pháp quản lý thông tin, trạng thái các thành phần trong hệ thống CNTT; Hệ thống quản lý các sự kiện - SIEM, Giải pháp giám sát tiêu chuẩn ATTT lớp người dùng, máy chủ, lớp mạng; Giải pháp quản lý thông tin ứng dụng, dịch vụ, cấu hình, cài đặt các hệ thống ứng dụng; Giải pháp phát hiện bất thường trên máy người dùng, máy chủ, lớp mạng; Giải pháp giám sát thư mục ứng dụng; Giải pháp quản lý điều khiển truy cập mạng NAC.
- Dự đoán, phát hiện sớm các mối đe dọa về an toàn thông tin: Dựa trên phân tích các thông tin về tình trạng tấn công mạng trên thế giới, ở Việt Nam nhằm phân tích các dấu hiệu, các nguồn dữ liệu, nhận dạng các chuỗi sự kiện bất thường phát hiện các dạng tấn công dai dẳng, ẩn náu trong hệ thống.
- Giám sát ATTT 24/7: Giám sát, phát hiện các dấu hiệu sự cố, tấn công, vi phạm các tiêu chuẩn cấu hình ATTT của hệ thống. Bao gồm các hành động chính sau:
o Triển khai các hệ thống công cụ, thiết bị hạ tầng, văn phòng, cơ sở vật chất hỗ trợ việc trực giám sát 24/7 như: máy tính, màn hình giám sát, điện thoại, văn phòng, chỗ làm việc đảm bảo hỗ trợ cho nhân viên trực 24/7.
o Triển khai giải pháp hỗ trợ quản lý cảnh báo, theo vết, xử lý toàn diện các cảnh báo ATTT: Hệ thống quản lý các cảnh báo ATTT tập trung, cho phép xử lý, tạo ticket, gán, chuyển công việc xử lý đến các bộ phận vận hành, phát triển các hệ thống Công nghệ thông tin.
o Xây dựng hệ thống quy trình, hướng dẫn giám sát, KPI xử lý cảnh báo ATTT.
o Tổ chức nhân sự trực giám sát ATTT 24/7 theo ca, kíp trực đảm bảo trực 24/7 tất cả các ngày trong năm.
- Xử lý sự cố (Tier 2): Để xử lý kịp thời, khép kín các sự cố ATTT, cần thực hiện các hành động chính sau:
o Triển khai hệ thống quản lý ticket sự cố ATTT: Hệ thống cho phép quản lý, luân chuyển, chia tách công việc thành các công việc chi tiết, đảm bảo sự cố được xử lý triệt để, với đầy đủ luồng, lưu vết lịch sử xử lý.
o Xây dựng hệ thống quy trình, hướng dẫn xử lý sự cố ATTT triệt để.
o Xử lý chấm dứt sự cố, khắc phục các nguyên nhân gốc gây ra sự cố.
- Điều tra, xử lý sự cố mức chuyên gia (Tier 3): bao gồm 2 hoạt động chính:
o Điều tra (Investigation): Điều tra, xác định nguyên nhân sự cố, phương thức, hành động tấn công, và cả thủ phạm tấn công vào hệ thống.
o Xử lý sự cố bởi chuyên gia: Với các sự cố ATTT phức tạp, xử lý mức chuyên gia là yêu cầu bắt buộc, bởi hành động, phương thức tấn công, kỹ thuật tấn công là yếu tố không xác định trước, rất khó xác định nếu thiếu kiến thức chuyên môn sâu.
- Diễn tập xử lý sự cố: Nhằm sẵn sàng cho mọi tình huống xảy ra khi sự cố với đầy đủ các kịch bản tấn công.
c. Quản lý nhân sự, mô hình tổ chức bộ phận ATTT:
- Định hình vị trí, vai trò chức danh CIO, CSO
- Các định hướng, chiến lược, tổ chức về nhân lực ATTT trong tổ chức.
3. Khung tiêu chuẩn an toàn bảo mật hệ thống công nghệ thông tin ngành Hải quan
3.1. Mô hình khung tiêu chuẩn:
Hệ thống CNTT phân theo cấp độ |
||||||||||||||
An toàn vật lý cho hệ thống CNTT |
An toàn hệ thống CNTT |
|||||||||||||
Yêu cầu quản lý |
Yêu cầu kỹ thuật |
|||||||||||||
Vị trí vật lý |
Kiểm soát truy cập vật lý, chống trộm |
Chống sét, chống tĩnh điện |
Chống cháy |
Kiểm soát nhiệt độ, độ ẩm |
Nguồn cấp, bảo vệ điện tử |
Thiết lập chính sách ATTT |
Tổ chức đảm bảo ATTT |
Đảm bảo nguồn nhân lực |
Quản lý thiết kế, xây dựng hệ thống |
Quản lý vận hành hệ thống |
Bảo đảm an toàn mạng |
Bảo đảm an toàn máy chủ |
Bảo đảm an toàn ứng dụng |
Bảo đảm an toàn dữ liệu |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
3.2. Nội dung khung tiêu chuẩn:
a. Hệ thống CNTT phân theo cấp độ:
Tiêu chí xác định cấp độ, thẩm quyền, trình tự, thủ tục xác định cấp độ thực hiện theo Nghị định 85/2016/NĐ-CP ngày 01/7/2016, Thông tư 03/2017/TT-BTTTT ngày 24/4/2017 và Quyết định số 201/QĐ-BTC ngày 12/02/2018;
b. Tiêu chuẩn An toàn vật lý cho hệ thống CNTT Hải quan:
Tiêu chuẩn An toàn vật lý cho hệ thống CNTT Hải quan thực hiện theo hướng dẫn tại Tiêu chuẩn quốc gia TCVN 11930:2017 - yêu cầu cơ bản về an toàn hệ thống thông tin theo cấp độ và Tiêu chuẩn hạ tầng kỹ thuật phòng máy chủ ngành Hải quan đã được ban hành;
c. Tiêu chuẩn An toàn cho hệ thống thông tin:
Tiêu chuẩn An toàn vật lý cho hệ thống CNTT Hải quan thực hiện theo hướng dẫn tại Tiêu chuẩn quốc gia TCVN 11930:2017 - yêu cầu cơ bản về an toàn hệ thống thông tin theo cấp độ;
4. Tổ chức thực hiện
4.1. Cục Công nghệ thông tin và Thống kê Hải quan:
- Chịu trách nhiệm chính trong việc cập nhật, duy trì và tổ chức triển khai “Kiến trúc và khung tiêu chuẩn an toàn bảo mật hệ thống công nghệ thông tin ngành Hải quan” trong ngành Hải quan;
- Hướng dẫn, kiểm tra tính tuân thủ của các đơn vị trong việc triển khai “Kiến trúc và khung tiêu chuẩn an toàn bảo mật hệ thống công nghệ thông tin ngành Hải quan”.
4.2. Các đơn vị thuộc, trực thuộc Tổng cục Hải quan:
- Xây dựng kế hoạch ứng dụng công nghệ thông tin hàng năm theo phân cấp đảm bảo tuân thủ “Kiến trúc và khung tiêu chuẩn an toàn bảo mật hệ thống công nghệ thông tin ngành Hải quan”;
- Phối hợp với Cục Công nghệ thông tin và Thống kê Hải quan xây dựng, triển khai các hệ thống công nghệ thông tin phù hợp với “Kiến trúc và khung tiêu chuẩn an toàn bảo mật hệ thống công nghệ thông tin ngành Hải quan”.
5. Lộ trình thực hiện
5.1. Giai đoạn tới năm 2020
- Từng bước hoàn thiện các giải pháp phòng ngừa bảo vệ bảo đảm an ninh an toàn cho hệ thống CNTT Hải quan: Bổ sung, hoàn thiện các giải pháp kỹ thuật bảo đảm an ninh an toàn cho các đối tượng cần bảo vệ tại Trung tâm dữ liệu Tổng cục Hải quan, phòng máy chủ các Cục Hải quan; Ban hành quy chế an toàn thông tin mạng Tổng cục Hải quan nhằm thay thế Quy chế đảm bảo an ninh, an toàn hệ thống công nghệ thông tin Hải quan ban hành tại Quyết định 2926/QĐ-TCHQ ngày 06/10/2014; Xác định cấp độ cho hệ thống thông tin đủ điều kiện; Rà soát, đánh giá bảo mật cho hệ thống công nghệ thông tin; Tiếp tục đào tạo nâng cao trình độ cho đội ngũ làm công tác quản trị, an ninh an toàn.
- Thuê dịch vụ triển khai trung tâm giám sát an toàn thông tin mạng (SOC) nhằm giám sát phát hiện, ứng cứu và xử lý các sự cố an toàn thông tin cho hệ thống thông tin Hải quan.
- Định kỳ tổ chức diễn tập xử lý sự cố An toàn thông tin.
5.2. Giai đoạn 2021 - 2025
- Tiếp tục hoàn thiện các giải pháp phòng ngừa bảo vệ bảo đảm an ninh an toàn cho hệ thống CNTT Hải quan: Hoàn thiện các giải pháp kỹ thuật bảo đảm an ninh an toàn; Hoàn thiện các quy chế, quy trình, tiêu chuẩn ATTT trong ngành Hải quan phù hợp với các quy định của pháp luật, của ngành; Xác định cấp độ cho hệ thống thông tin; Đào tạo xây dựng đội ngũ chuyên gia về ATTT, đào tạo nâng cao nhận thức về ATTT cho người sử dụng.
- Kết nối trung tâm giám sát an toàn thông tin mạng (SOC) ngành Hải quan với SOC ngành Tài chính.
- Định kỳ rà soát, đánh giá bảo mật cho hệ thống công nghệ thông tin; diễn tập xử lý sự cố An toàn thông tin.
- Kiện toàn bộ máy, nhân sự ATTT theo vị trí, chức danh công việc./.