Thông tin chung

Báo cáo chỉ số xếp hạng An toàn thông tin trong Bộ chỉ số đánh giá, xếp hạng mức độ chuyển đổi số của các sở, ban, ngành cấp tỉnh và UBND cấp huyện, cấp xã trên địa bàn tỉnh Thanh Hóa theo Quyết định số 3853/QĐ-UBND ngày 09/11/2022 của Chủ tịch UBND tỉnh Thanh Hóa ban hành. Trong đó:

1. Đối với các sở, ban, ngành cấp tỉnh

Nhóm chỉ số An toàn thông tin mạng: bao gồm 10 chỉ số thành phần với tổng điểm đánh giá: 100 điểm

2. Đối với UBND cấp huyện

Nhóm chỉ số An toàn thông tin mạng: bao gồm 11 chỉ số thành phần với tổng điểm đánh giá: 100 điểm

3. Đối với UBND cấp xã

Nhóm chỉ số An toàn thông tin mạng: bao gồm 04 chỉ số thành phần với tổng điểm đánh giá: 100 điểm

Phương pháp khảo sát

Để có thông tin khảo sát, Ban Thư ký ITU gửi thông báo đến tất cả các Quốc gia thành viên để yêu cầu họ cung cấp thông tin khảo sát theo mẫu của ITU. Với hình thức này, mỗi thành viên cần phải cử một đầu mối đại diện, có trách nhiệm cung cấp thông tin chính thức cho Ban Thư ký ITU. Việc cung cấp thông tin khảo sát có thể thực hiện trực tuyến theo hướng dẫn của ITU.

Phương pháp khảo sát thực hiện qua hình thức thu thập thông tin khảo sát từ nguồn chính thống và nguồn thứ cấp.

Nguồn chính thống được thu thập thông qua các quốc gia đã có đầu mối chính thức và chủ động cung cấp bản thông tin khảo sát theo yêu cầu của ITU. Dữ liệu từ nguồn này sẽ được ITU xác minh thông qua hình thức yêu cầu thành viên cung cấp thông tin liên quan hoặc tra cứu trên Internet.

Nguồn thứ cấp được là nguồn được sử dụng đối với các thành viên không gửi thông tin khảo sát theo yêu cầu của ITU. Theo cách này, ITU sẽ thu thập các thông tin từ các nguồn công khai hoặc từ các nhóm chuyên gia, các cơ quan, tổ chức tham gia đóng góp như: World Bank and Red Team Cyber, FIRST, Indiana University, INTERPOL, ITU-Arab Regional Cybersecurity Centre in Oman, Korea Internet & Security Agency, NTRA Egypt, The Potomac Institute of Policy Studies, UNICRI, University of Technology Jamaica and UNODC.

Sau khi có thông tin khảo sát, nhóm chuyên gia của ITU sẽ thực hiện đánh giá, xếp hạng dựa theo thông tin khảo sát và phương pháp xếp loại của ITU.

Trong năm 2016, ITU nhận được thông tin phản hồi chính thức từ 134 quốc gia trong 193 quốc gia thành viên (trong báo cáo không liệt kê thông tin chi tiết các quốc gia có thông tin phản hồi chính thức).

Tiêu chí đánh giá

Tiêu chí đánh giá chỉ số GCI được chia thành 05 nhóm, trong mỗi nhóm bao gồm các tiêu chí và các tiêu chí cụ thể của từng tiêu chí, cụ thể như sau:

Nhóm tiêu chí về pháp lý, bao gồm các tiêu chí liên quan đến:
- Pháp lý về an toàn thông tin
- Pháp lý về tội phạm mạng
- Tuyên truyền, phổ biến pháp luật về an toàn thông tin

Biên pháp kỹ thuật, bao gồm các tiêu chí liên quan đến:
- Tổ chức ứng cứu sự cố an toàn mạng quốc gia
- Tổ chức ứng cứu sự cố an toàn mạng cho cơ quan, tổ chức nhà nước
- Tổ chức ứng cứu sự cố an toàn mạng cho khối doanh nghiệp
- Hệ thống tiêu chuẩn về an toàn thông tin cho cơ quan, tổ chức
- Hệ thống tiêu chuẩn về an toàn thông tin cho chuyên gia
- Bảo vệ trẻ em trên mạng

Quy hoạch và tổ chức, bao gồm các tiêu chí liên quan đến:
- Chiến lược, quy hoạch, kế hoạch và tổ chức có trách nhiệm bảo đảm an toàn thông tin quốc gia
- Cơ quan, tổ chức có trách nhiệm quản lý nhà nước về an toàn thông tin
- Chỉ số đánh giá an toàn thông tin trong nước

Nâng cao năng lực về an toàn thông tin, bao gồm các tiêu chí liên quan đến:
- Cơ quan, tổ chức có trách nhiệm về tiêu chuẩn hóa hệ thống tiêu chuẩn về an toàn thông tin
- Các hướng dẫn cụ thể về bảo đảm an toàn thông tin
- Đầu tư nghiên cứu, phát triển trong lĩnh vực an toàn thông tin
- Nâng cao nhận thức về an toàn thông tin
- Đào tạo ngắn hạn về an toàn thông tin cho các nhóm chuyên gia
- Đào tạo dài hạn về an toàn thông tin trong các viện nghiên cứu, trường đại học
- Chương trình quốc gia về khuyến khích, thúc đẩy nâng cao năng lực về an toàn thông tin
- Phát triển thị trường nội địa về an toàn thông tin

Hợp tác trong lĩnh vực an toàn thông tin, bao gồm các tiêu chí liên quan đến:
- Thỏa thuận, hợp tác quốc tế song phương/đa phương về an toàn thông tin
- Thỏa thuận, hợp tác, tham gia các tổ chức quốc tế về an toàn thông tin
- Thỏa thuận, hợp tác giữa cơ quan, tổ chức nhà nước với các doanh nghiệp trong lĩnh vực an toàn thông tin
- Thỏa thuận, hợp tác gữa cơ quan, tổ chức nhà nước về an toàn thông tin

Mỗi tiêu chí trong 05 nhóm tiêu chí này được cụ thể thành các tiêu chí cụ thể dưới dạng câu nỏi có hay không. Mỗi nhóm tiêu chí được đánh giá theo thang điểm 100 và được chia làm 03 mức: mức màu Đỏ nếu kết quả khảo sát nhỏ hơn 33 điểm, mức màu Vàng nếu kết quả khảo nằm trong khoảng từ 33 đến 65, mức màu Xanh nếu kết quả khảo sát lớn hơn 65 điểm.

Tiêu chuẩn trong ATTT

I. Nhóm tiêu chuẩn cho hệ thống thông tin

1. Các tiêu chuẩn đã ban hành (16 tiêu chuẩn)
1) TCVN ISO/IEC 27001:2009 Công nghệ thông tin - Hệ thống quản lý an toàn thông tin – Các yêu cầu
2) TCVN ISO/IEC 27002:2011 Công nghệ thông tin-Các kỹ thuật an toàn- Quy tắc thực hành Quản lý an toàn thông tin
3) TCVN 8709-1:2011 ISO/IEC 15408-1:2009 Công nghệ thông tin- Các kỹ thuật an toàn- Các tiêu chí đánh giá an toàn CNTT- Phần 1: Giới thiệu và mô hình tổng quát
4) TCVN 8709-2:2011 ISO/IEC 15408-2:2008 Công nghệ thông tin- Các kỹ thuật an toàn- Các tiêu chí đánh giá an toàn CNTT- Phần 2: Các thành phần chức năng an toàn
5) TCVN 8709-3:2011 ISO/IEC 15408-3:2008 Công nghệ thông tin- Các kỹ thuật an toàn- Các tiêu chí đánh giá an toàn CNTT- Phần 3: Các thành phần đảm bảo an toàn
6) TCVN 10295:2014 ISO/IEC 27005:2011 Công nghệ thông tin-Các kỹ thuật an toàn-Quản lý rủi ro an toàn thông tin
7) TCVN 10541:2014 ISO/IEC 27003:2010 Công nghệ thông tin - Các kỹ thuật an toàn - Hướng dẫn triển khai hệ thống quản lý an toàn thông tin
8) TCVN 10543:2014 ISO/IEC 27010:2012 Công nghệ thông tin - Các kỹ thuật an toàn - Quản lý an toàn trao đổi thông tin liên tổ chức, liên ngành
9) TCVN 9801-3:2014 ISO/IEC 27033-3:2010 Công nghệ thông tin - Kỹ thuật an toàn - An toàn mạng - Phần 3: Các kịch bản kết nối mạng tham chiếu - Nguy cơ, kỹ thuật thiết kế và các vấn đề kiểm soát
10) TCVN 9801-2:2015 Công nghệ thông tin - Các kỹ thuật an toàn - An toàn mạng - Phần 2: Hướng dẫn thiết kế và triển khai an toàn mạng
11) TCVN 11238:2015 Công nghệ thông tin - Các kỹ thuật an toàn - Hệ thống quản lý an toàn thông tin - Tổng quan và từ vựng
12) TCVN 11239:2015 Công nghệ thông tin - Các kỹ thuật an toàn - Quản lý sự cố an toàn thông tin
13) TCVN 11386:2016 Công nghệ thông tin - Các kỹ thuật an toàn - Phương pháp đánh giá an toàn công nghệ thông tin
14) TCVN 11393-1:2016 ISO/IEC 13888-1:2009 Công nghệ thông tin - Các kỹ thuật an toàn - Chống chối bỏ - Phần 1: Tổng quan
15) TCVN 11393-2:2016 ISO/IEC 13888-2:2009 Công nghệ thông tin - Các kỹ thuật an toàn - Chống chối bỏ - Phần 2: Các cơ chế sử dụng kỹ thuật đối xứng
16) TCVN 11393-3:2016 ISO/IEC 13888-3:2009 Công nghệ thông tin - Các kỹ thuật an toàn - Chống chối bỏ - Phần 3: Các cơ chế sử dụng kỹ thuật bất đối xứng

2. Các tiêu chuẩn đã có bản dự thảo, đang lấy ý kiến
1) Công nghệ thông tin - Kỹ thuật an toàn - Hướng dẫn tạo các tập hồ sơ bảo vệ và đích an toàn
2) Công nghệ thông tin - Các kỹ thuật an toàn - Hướng dẫn đánh giá viên đánh giá biện pháp kiểm soát an toàn thông tin
3) Công nghệ thông tin - Kỹ thuật an toàn - Đánh giá an toàn hệ thống vận hành
4) Công nghệ thông tin - Kỹ thuật an toàn - Chọn lựa, triển khai và vận hành Hệ thống phát hiện và ngăn chặn xâm nhập
5) Công nghệ thông tin - Các kỹ thuật an toàn - Quy tắc thực hành quản lý an toàn thông tin
6) Khuôn dạng dữ liệu mô tả sự cố an toàn mạng
7) Công nghệ thông tin - Các kỹ thuật an toàn - Yêu cầu cơ bản về an toàn hệ thống thông tin theo cấp độ

II. Nhóm tiêu chuẩn cho sản phẩm an toàn thông tin

1. Các tiêu chuẩn đã ban hành (3 tiêu chuẩn)
1) TCVN 8709-1:2011 ISO/IEC 15408-1:2009 Công nghệ thông tin- Các kỹ thuật an toàn- Các tiêu chí đánh giá an toàn CNTT- Phần 1: Giới thiệu và mô hình tổng quát
2) TCVN 8709-2:2011 ISO/IEC 15408-2:2008 Công nghệ thông tin- Các kỹ thuật an toàn- Các tiêu chí đánh giá an toàn CNTT- Phần 2: Các thành phần chức năng an toàn
3) TCVN 8709-3:2011 ISO/IEC 15408-3:2008 Công nghệ thông tin- Các kỹ thuật an toàn- Các tiêu chí đánh giá an toàn CNTT- Phần 3: Các thành phần đảm bảo an toàn.

Thông tin bổ sung

1) Pháp lý:

- Luật An toàn thông tin mạng; Luật hình sự, Luật Trẻ em. - Bổ sung các VBQPPL sau khi ban hành Luật An toàn thông tin mạng:
+ Luật an toàn thông tin mạng số 86/2015/QH13 ngày 19/11/2015.
+ Nghị định 58/2016/NĐ-CP ngày 01/7/2016 quy định chi tiết về kinh doanh sản phẩm, dịch vụ mật mã dân sự và xuất khẩu, nhập khẩu sản phẩm mật mã dân sự.
+ Nghị định 142/2016/NĐ-CP ngày 14/10/2016 quy định về ngăn chặn xung đột thông tin trên mạng.
+ Nghị định 101/2016/NĐ-CP ngày 01/7/2016 quy định chi tiết trách nhiệm thực hiện và các biện pháp ngăn chặn hoạt động sử dụng không gian mạng để khủng bố.
+ Nghị định số 85/2016/NĐ-CP ngày 01/7/2016 của Chính phủ về bảo đảm an toàn hệ thống thông tin theo cấp độ.
+ Nghị định số 108/2016/NĐ-CP ngày 01/7/2016 của Chính phủ quy định chi tiết điều kiện kinh doanh sản phẩm, dịch vụ an toàn thông tin mạng.
+ Quyết định số 05/2017/NĐ-CP ngày 16/3/2017 quy định về hệ thống phương án ứng cứu khẩn cấp bảo đảm an toàn thông tin mạng quốc gia.
+ Thông tư số 03/2017/TT-BTTTT ngày 24/04/2017 quy định chi tiết và hướng dẫn một số điều của Nghị định 85/2016/NĐ-CP ngày 01 tháng 7 năm 2016 về bảo đảm an toàn hệ thống thông tin theo cấp độ.
+ Quyết định số 632/QĐ-TTg ngày 10/05/2017 Ban hành Danh mục lĩnh vực quan trọng cần ưu tiên bảo đảm an toàn thông tin mạng và hệ thống thông tin quan trọng quốc gia.

2) Biện pháp kỹ thuật:
- Bổ sung các hạ tầng kỹ thuật quy mô quốc gia
+ Hệ thống xử lý tấn công mạng Internet Việt Nam
+ Hệ thống giám sát an toàn mạng quốc gia
+ Hệ thống phòng, chống, ngăn chặn thư rác
+ Hệ thống chứng thực chữ ký số quốc gia
- Bổ sung danh sách gần 30 tiêu chuẩn quốc gia về ATTT đã ban hành.

3) Quy hoạch, tổ chức:
- Bổ sung thông tin về trách nhiệm bảo đảm an toàn thông tin trong đó có 03 Bộ Bộ Công an, Bộ Quốc phòng, Bộ TT&TT.
- Bổ sung thông tin các quy hoạch, kế hoạch sau:
+ Quyết định số 63/QĐ-TTg ngày 13/01/2010 của Thủ tướng Chính phủ phê duyệt Quy hoạch phát triển an toàn thông tin số quốc gia đến năm 2020
+ Quyết định số 99/QĐ-TTg ngày 14/01/2014 phê duyệt Đề án Đào tạo và phát triển nguồn nhân lực an toàn, an ninh thông tin đến năm 2020.
+ Quyết định số 893/QĐ-TTg ngày 19/6/2015 về việc phê duyệt Đề án Tuyên truyền, phổ biến, nâng cao nhận thức và trách nhiệm về an toàn thông tin đến năm 2020.
+ Quyết định số 898/QĐ-TTg ngày 27/5/2016 về phê duyệt phương hướng, mục tiêu, nhiệm vụ bảo đảm an toàn thông tin mạng giai đoạn 2016 – 2020.

4) Phát triển nguồn nhân lực và nâng cao nhận thức về ATTT:
- Thông tin Đề án Đào tạo và phát triển nguồn nhân lực an toàn, an ninh thông tin đến năm 2020 theo Quyết định số 99/QĐ-TTg ngày 14/01/2014 của Thủ tướng Chính phủ.
- Thông tin Đề án Tuyên truyền, phổ biến, nâng cao nhận thức và trách nhiệm về an toàn thông tin đến năm 2020 theo Quyết định số 893/QĐ-TTg ngày 19/6/2015 của Thủ tướng Chính phủ.

5) Hợp tác quốc tế:
- Các tổ chức quốc tế, các quốc gia phối hợp trong công tác bảo đảm ATTT: ASEAN, ASEAN-Nhật Bản, ASEAN-Trung Quốc, Hàn Quốc, Nga, Phần Lan…, APCERT, FIRST, ASEAN CERTs, các CERT quốc gia (JPCERT, Laos CERT…), GFCE, Meridian, KISA, CAMP.

Danh sách chi tiết

#	Mục	Đường dẫn
1	Gci Cert Fully Implemented National	Liên kết
2	Gci Cybersecurity Exercises Cyberdrills	Liên kết