BỘ THÔNG TIN VÀ
TRUYỀN THÔNG
-------

CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM
Độc lập - Tự do - Hạnh phúc
---------------

Số: 481/BTTTT-CATTT
V/v đánh giá mức độ bảo đảm an toàn thông tin mạng

Hà Nội, ngày 12 tháng 02 năm 2018

Kính gửi:

- Các bộ, cơ quan ngang bộ, cơ quan thuộc Chính phủ;
- UBND các tỉnh, thành phố trực thuộc Trung ương.

Nơi nhận:
- Như trên;
- Bộ trưởng (để b/c);
- Thứ trưởng Nguyễn Thành Hưng;
- Lưu: VT, CATTT.(130)

KT. BỘ TRƯỞNG
THỨ TRƯỞNG




Nguyễn Thành Hưng

Phân loại số lượng HTTT đo đơn vị quản lý trực tiếp

Chưa phân loại

Cấp độ 1

Cấp độ 2

cấp độ 3

Cấp độ 4

Cấp độ 5

Số HTTT nội bộ đơn vị (chỉ người trong đơn vị sử dụng)

Số HTTT nội bộ dùng chung (cho nhiều đơn vị trực thuộc cơ quan chủ quản)

Số HTTT công cộng (cung cấp dịch vụ cho cộng đồng vượt quá phạm vi nội bộ như trên)

3. Có bao nhiêu đơn vị (trực thuộc trực tiếp cơ quan) sử dụng các HTTT nội bộ dùng chung do cơ quan trực tiếp quản lý?

4. Quý cơ quan cung cấp bao nhiêu dịch vụ độc lập (trọn gói) sử dụng cho các đối tượng ngoài cơ quan trong cả nước hoặc phục vụ cộng đồng trên mạng Internet?

5. Cơ quan đã ban hành các chính sách ATTTM (thông tư, quy chế, quy định...) áp dụng cho các hệ thống thông tin của mình chưa? Nếu là có thì ghi số hiệu và năm ban hành các văn bản vào bảng sau và trả lời thêm câu hỏi 6 bên dưới:

Loai văn bản  chính sách ATTTM

Văn bản hiện hành

Văn bản cũ trước đây đã được thay thế bằng văn bản hiện hành (nếu có)

Năm

Số hiệu văn bản

Năm

Số hiệu văn bản

Thông tư

Quy chế, quy định

Chỉ thị

Khác

+ Đầy đủ, chặt chẽ, có thể sử dụng ổn trong Khoảng 2 năm trở lên

+ Tương đối đầy đủ, có thể cần hoàn thiện nhưng sử dụng ổn trong ít nhất 1 năm tới

+ Đã thấy có các điểm thiếu hoặc không phù hợp, cần sửa đổi hay bổ sung ngay

Quản lý thiết kế an toàn hệ thống thông tin

Quản lý phát triển Phần mềm thuê khoán

Quản lý thử nghiệm và nghiệm thu hệ thống

Quản lý vận hành an toàn mạng

Quản lý vận hành an toàn máy chủ và ứng dụng

Quản lý an toàn dữ liệu

Quản lý vận hành an toàn thiết bị đầu cuối

Quản lý phòng chống Phần mềm độc hại

Quản lý điểm yếu an toàn thông tin

Quản lý giám sát an toàn hệ thống thông tin

Quản lý sự cố an toàn thông tin

Quản lý an toàn người sử dụng đầu cuối

Quy trình đánh giá, quản lý và xử lý rủi ro về ATTT

Quy trình thao tác chuẩn để phản ứng khẩn cấp với các sự cố mất ATTTM

8. Đề nghị tự đánh giá thực tế hiện nay tại cơ quan về mức độ áp dụng thực hiện tốt các quy chế, quy định bảo đảm ATTTM đạt Khoảng độ bao nhiêu Phần Khoảng trăm theo thang điểm 100%

9. Tổng số cán bộ, công chức, viên chức, người lao động đang làm việc trong cơ quan

10. Tổng số cán bộ lãnh đạo quản lý (cấp cơ quan và cấp vụ/tương đương trực thuộc cơ quan) của cơ quan

11. Số người sử dụng máy tính hiện tại trong cơ quan

12. Cơ quan có phân công lãnh đạo (cấp cơ quan) phụ trách về ATTTM hay không?

13. Cơ quan có tổ chức/bộ phận chuyên trách về ATTTM hay không? (Nếu có trả lời thêm câu 16 dưới đây)

Là bộ phận con thuộc tổ chức phụ trách CNTT của đơn vị

Chịu sự chỉ đạo nghiệp vụ của bộ phận chuyên trách ATTTM của cơ quan chủ quản

Là thành viên thuộc mạng lưới chuyên trách bảo đảm ATTT của quốc gia

Có quy chế phối hợp xử lý sự cố ATTTM với doanh nghiệp cung cấp dịch vụ mạng

Có quy chế phối hợp xử lý sự cố ATTTM với các tổ chức ATTTM khác.

Ví dụ: .........................................................................................................................

15. Tổng số cán bộ làm việc chuyên trách về ATTTM

16. Tổng số cán bộ làm việc bán chuyên trách về ATTTM

Quản lý nhân sự về ATTT trong từng khâu

Tuyển dụng cán bộ ATTT

Quản lý quá trình làm việc

Chấm dứt, chuyển công việc

Chưa có quy định cụ thể

Có quy định, thực hiện chưa tốt thường xuyên

Có quy định, thực hiện tốt

18. Tổng số cán bộ nhân viên đã từng được qua lớp đào tạo, tập huấn về ATTTM

19. Tổng số cán bộ lãnh đạo quản lý (cấp cơ quan và cấp vụ/tương đương trực thuộc cơ quan) đã từng được đào tạo, tập huấn về quản lý ATTTM

20. Tổng số cán bộ kỹ thuật có trình độ tương đương đại học ngành ATTT trở lên

21. Tổng số cán bộ kỹ thuật có trình độ tương đương trung cấp về ATTT

22. Tổng số chuyên gia chuyên sâu về ATTTM

23. Cơ quan có kế hoạch đào tạo, tập huấn chung cho các đơn vị trực thuộc về ATTTM trong năm 2017 không?

Số người được đào tạo, tập huấn

Theo kế hoạch chung của cấp trên tổ chức

Theo kế hoạch riêng của đơn vị

Số cán bộ lãnh đạo

Số cán bộ, nhân viên chuyên trách ATTTM

Số cán bộ, nhân viên khác sử dụng máy tính

25. Cơ quan có kế hoạch định kỳ tuyên truyền, phổ biến nâng cao nhận thức của người sử dụng về ATTTM năm 2017 hay không?

26. Số đơn vị trực thuộc các cơ quan khác được thụ hưởng kế hoạch tuyên truyền, phổ biến nâng cao nhận thức về ATTTM mà đơn vị triển khai trong năm 2017

+ Không có chủ trương hay quy định thuê ngoài

+ Có chủ trương nhưng chưa có thuê ngoài

+ Đã thuê ngoài dịch vụ bảo đảm ATTTM

+ Không có chủ trương này

+ Có chủ trương nhưng chưa có thuê

+ Đã thuê dịch vụ của các công ty Việt Nam không có yếu tố nước ngoài

+ Không có chủ trương này

+ Có chủ trương nhưng chưa sử dụng dịch vụ này

+ Đã sử dụng dịch vụ này

+ Hoàn toàn sử dụng nội lực

+ Sử dụng toàn bộ thuê và hỗ trợ từ bên ngoài

+ Sử dụng một Phần nội lực, một Phần lực lượng bên ngoài

Chi cho CNTT

2015

2016

2017

Tổng chi (xTriệu đồng)

Chi cho ATTTM so với chi CNTT

2015

2016

2017

Tỷ lệ chi ATTTM/chi CNTT (%)

Chi ATTTM so với chi CNTT cho HTTT quan trọng quốc gia

2015

2016

2017

Tỷ lệ chi ATTTM/chi CNTT (%)

Mức đáp ứng nhu cầu chi hàng năm về ATTTM

2015

2016

2017

Tỷ lệ chi ATTTM/nhu cầu (%)

35. Cơ quan đã triển khai hệ thống quản lý ATTTM (hệ thống ISMS) theo tiêu chuẩn TCVN/ISO-IEC 27000 hoặc tiêu chuẩn TCVN 11930: 2017 hay tiêu chuẩn khác chưa?

(Ghi rõ tiêu chuẩn khác là:............................................................................... )

36. Cơ quan đã nhận chứng nhận hợp chuẩn quản lý ATTTM theo 1 trong những tiêu chuẩn trên chưa? Nếu có thì cho biết thời điểm chứng nhận đã cách thời điểm hiện tại bao nhiêu tháng theo bảng dưới đây:

Thời điểm hợp chuẩn

Lần đầu tiên

Lần gần đây nhất

Cách đây bao nhiêu tháng

HTTT đã được hợp chuẩn

Hệ thống cấp độ 5

Hệ thống cấp độ 4

Hệ thống quan trọng quốc gia khác

Số lượng HTTT đã hợp chuẩn

38. Cơ quan có thực hiện các biện pháp phân loại, xác định trách nhiệm về sở hữu tài sản thông tin hay không?

39. Việc quản lý cán bộ vận hành, khai thác, sử dụng hệ thống của cơ quan có tuân thủ các chính sách về ATTTM hay không?

40. Cơ quan có quy trình đánh giá, quản lý và xử lý rủi ro về ATTTM không?

41. Cơ quan có quy trình thao tác chuẩn (Standard operating procedures) để phản ứng với các sự cố mất ATTT hay không?

42. Trong quá trình triển khai dự án phát triển ứng dụng CNTT, cơ quan có thực hiện tư vấn, thẩm định, thẩm tra về ATTTM của hệ thống thông tin được xây dựng hay không?

43. Tổng số lần cơ quan đã thực hiện kiểm tra đánh giá ATTTM định kỳ cho hệ thống thông tin của mình trong năm 2017?

44. Tổng số lần cơ quan đã tổ chức hoặc trực tiếp tham gia diễn tập bảo đảm ATTTM cho hệ thống thông tin của mình trong năm 2017?

Các biện pháp kỹ thuật, công nghệ bảo đảm an toàn mạng được trang bị, cập nhật, nâng cấp hay làm mới gần đây nhất cách hiện nay bao nhiêu tháng

HTTT nội bộ

HTTT công cộng

+ Hệ thống thiết bị sensor ghi log-file phát hiện sự cố và mối đe dọa ATTT đối với mạng

+ Hệ thống giám sát và quản lý sự kiện an toàn thông tin (SOC- Security Operation Center/SIEM- Security Incident Management)

+ Giải pháp phân chia hệ thống mạng thành các vùng mạng chức năng với các chính sách quản lý và biện pháp kỹ thuật ATTTM phù hợp

+ Hệ thống phát hiện xâm nhập (IDS/IPS) trong mạng

+ Hệ thống phòng chống tấn công DoS/DDoS

+ Tường lửa cho toàn mạng (Network Firewall)

+ Phần mềm chống virus mức mạng (Anti-Virus)

+ Bảo vệ kênh truyền bằng công nghệ mã hóa và xác thực

+ Kiểm soát mọi kênh truy cập có bắt buộc định kỳ thay đổi mật khẩu người dùng

+ Kiểm soát mọi kênh truy cập có giải pháp hạn chế đăng nhập tự động (tấn công kiểu từ điển) và/hoặc có yêu cầu xác thực hai yếu tố người dùng

+ Bảo mật truy cập qua mạng không dây và các thiết bị đầu cuối

Các công nghệ, biện pháp kỹ thuật bảo vệ các hệ thống máy chủ được trang bị, cập nhật, nâng cấp hay làm mới gần đây nhất cách hiện nay bao nhiêu tháng

HTTT nội bộ

HTTT công cộng

+ Hệ thống quản lý thu thập và phân tích log-file phát hiện sự cố và mối đe dọa ATTT

+ Hệ thống phát hiện và chống tấn công xâm nhập máy chủ (IDS/IPS)

+ Tường lửa (Firewall) cho máy chủ

+ Phần mềm chống virus mã độc (Anti-Virus)

+ Quản lý phân chia người dùng theo đặc quyền và có theo dõi phát hiện tài Khoản người dùng lạ trong hệ thống

+ Quản lý truy cập và chống tấn công leo thang đặc quyền

+ Bảo mật thiết bị di động và thiết bị đầu cuối truy cập từ xa

+ Sử dụng hệ thống máy chủ dự phòng nóng (chạy song song, on-line)

+ Sử dụng hệ thống máy chủ dự trữ (dự phòng off-line)

Các công nghệ, biện pháp kỹ thuật phù hợp bảo vệ các ứng dụng được trang bị, cập nhật, nâng cấp hay làm mới gần đây nhất cách hiện nay bao nhiêu tháng

HTTT nội bộ

HTTT công cộng

+ Hệ thống ghi nhật ký (log-file) các ứng dụng

+ Hệ thống quản lý và phân tích log-file

+ Quản lý truy cập có xác thực nhiều bước

+ Phần mềm chống virus mã độc (Anti-Virus)

+ Tường lửa mức ứng dụng (ví dụ web-firewall,...)

+ Lọc nội dung Web

+ Bộ lọc chống thư rác (Anti-Spam)

+ Sử dụng hệ thống máy chủ dự phòng nóng (chạy song song, online)

+ Sử dụng hệ thống máy chủ dự trữ (dự phòng off-line)

Các biện pháp kỹ thuật, công nghệ phù hợp bảo vệ dữ liệu được trang bị, cập nhật, nâng cấp hay làm mới gần đây nhất cách hiện nay bao nhiêu tháng

HTTT nội bộ

HTTT công cộng

+ Hệ thống giám sát tính toàn vẹn CSDL

+ Hệ thống phát hiện xâm nhập CSDL

+ Bảo vệ dữ liệu quan trọng trong hệ thống bằng công nghệ mã hóa

+ Bảo vệ dữ liệu quan trọng trong hệ thống bằng công nghệ chữ ký số

+ Hệ thống quản lý chống thất thoát dữ liệu (Data Loss protection)

+ Sử dụng hệ thống sao lưu dữ liệu dự phòng nóng (on-line back-up)

+ Sử dụng hệ thống sao lưu dữ liệu dự phòng định kỳ (off -line back-up)

Các biện pháp kỹ thuật, công nghệ phù hợp bảo đảm an toàn HTTT HTTT vật lý được trang bị, cập nhật, nâng cấp hay làm mới gần đây nhất cách thời điểm hiện tại bao nhiêu tháng

HTTT nội bộ

HTTT công cộng

+ Giải pháp lựa chọn vị trí vật lý

+ Giải pháp kiểm soát truy cập vật lý

+ Giải pháp chống trộm, chống phá hoại

+ Giải pháp chống sét

+ Hệ thống chống cháy nổ

+ Giải pháp chống ẩm và chống thấm

+ Giải pháp chống bụi và tĩnh điện

+ Giải pháp kiểm soát nhiệt độ và độ ẩm

+ Hệ thống nguồn cung cấp điện dự phòng

+ Giải pháp bảo vệ điện từ trường

50. Cơ quan có khả năng ghi nhận các hành vi tấn công (kể cả chưa thành công) vào hệ thống của mình hay không?

Phản ứng

Loại sự cố,
nguy cơ ATTTM

Tự xử lý, không báo cáo

Mời DN, sử dụng dịch vụ ngoài

Báo cáo cấp trên, ngành dọc

Báo và hợp tác với nhà mạng

Báo và hợp tác với đơn vị Bộ Quốc phòng

Báo và hợp tác với đơn vị Bộ Công an

Báo và hợp tác với đơn vị Bộ TTTT

Đơn vị đủ khả năng phát hiện và xử lý

Đơn vị phát hiện được, chưa gây tác hại, nhưng khó xử lý

Loại mới hoặc tấn công gây tác hại lớn, chưa tự xử lý được

Số vụ tấn công mạng ít nghiêm trọng từ 01/01/2017 đến hết 31/12/2017

Số vụ tấn công web deface hay cài Phishing

Số lần tấn công từ chối dịch vụ (DDoS)

Số vụ tấn công bằng thư điện tử (spam)

Số máy tính trạm đã bị lây nhiễm mã độc

Số lần máy chủ bị tấn công bằng mã độc

Số vụ tấn công vào lỗ hổng ATTT của HTTT

Số sự cố khác (lỗi hạ tầng, vật lý, Phần mềm)

Số vụ xâm nhập mạng do ATP, lộ mật khẩu

Số vụ đã phát hiện và ngăn chặn sớm, chưa gây ra thiệt hại

Số vụ tấn công đã bị xâm nhập, lây nhiễm mã độc, nhưng chỉ gây ra thiệt hại nhỏ

Số vụ việc mất ATTTM nghiêm trọng xảy ra từ 01/01/2017 đến hết 31/12/2017

Số lần tấn công từ chối dịch vụ (DDoS) tấn công bằng mã độc

Số lần máy chủ bị lây nhiễm mã độc

Số máy tính trạm đã bị ATP, lộ mật khẩu

Số vụ xâm nhập mạng do ATTT của HTTT

Số vụ tấn công vào lỗ hổng Phishing

Số vụ tấn công web deface hay cài điện tử (spam -mail)

Số vụ tấn công bằng thư vật lý, Phần mềm)

Số sự cố khác (lỗi hạ tầng,

Tổng số vụ việc đã phát hiện, xử lý

Đơn vị tự xử lý, khắc phục hậu quả thành công trong vòng 24h

Được đơn vị khác hỗ trợ xử lý, khắc phục hậu quả thành công trong vòng 24h

Nhằm thể hiện kỹ năng tấn công

Phá hoại hệ thống có chủ đích

Nhằm chiếm dụng tài nguyên hệ thống đề dẫn tới những cuộc tấn công nặc danh

Thù hằn cá nhân (ví dụ: cán bộ hoặc người ngoài có thù hằn cá nhân)

Nhằm tạo lợi thế cạnh tranh thương mại (ví dụ: tình báo công nghiệp)

Chiếm đoạt tài nguyên hệ thống của cơ quan để sử dụng cho Mục đích cá nhân

Bị tấn công từ nước ngoài do các nguyên nhân liên quan đến chủ quyền

Tạo nguồn thu tài chính bất hợp pháp

Nhằm chiếm dụng tài nguyên hệ thống để dẫn tới những cuộc tấn công nặc danh

Thù hằn cá nhân (ví dụ: cán bộ hoặc người ngoài có thù hằn cá nhân)

- Cán bộ đang làm việc tại công ty

- Cán bộ đã nghỉ việc tại công ty

- Tội phạm máy tính như hacker bất hợp pháp

- Đối thủ cạnh tranh (gián điệp công nghiệp)

- Băng nhóm tội phạm máy tính có tổ chức (khủng bố mạng v.v...)

- Doanh nghiệp gia công bên ngoài (nhân viên) Outsourcing company (employees)

- Các thế lực đến từ nước ngoài

- Những mối đe dọa khác (vui lòng ghi rõ):

Lãnh đạo chưa hỗ trợ đúng mức cần thiết cho ATTTM

Sự thiếu hiểu biết về ATTTM trong đơn vị, thiếu cán bộ am hiểu kỹ thuật và quản lý ATTTM

Việc nâng cao nhận thức và mặt bằng kiến thức cho người sử dụng máy tính về ATTTM

Việc xác định chính xác mức độ ưu tiên của ATTTM trong tương quan chung với các vấn đề khác của đơn vị

Việc áp dụng các nguyên tắc quản lý rủi ro (Risk Management principles) cho hệ thống thông tin

Việc cập nhật kịp thời những cách thức tấn công hay những những điểm yếu mới xuất hiện

Việc giám sát phát hiện, cảnh báo sớm các cuộc tấn công mạng

Không đủ khả năng phản ứng nhanh và xử lý chính xác khi xảy ra những vụ tấn công qua mạng

Việc quản lý chặt chẽ cấu hình hệ thống mạng (Configuration Management)

Những hệ thống máy tính không được quản lý tốt

Kinh phí/ngân sách dành cho ATTTM quá thiếu so với mặt bằng chung

Các vấn đề khác (Nếu có thì vui lòng ghi rõ):

57. Số lần cơ quan đã rút kinh nghiệm bài học khắc phục sự cố dẫn đến việc thay đổi, bổ sung, hoàn thiện quy định, quy chế ứng cứu sự cố và bảo đảm ATTTM trong năm 2017

58. Cơ quan có sử dụng chữ ký số để bảo đảm an toàn cho các giao dịch điện tử hay không?

Lãnh đạo đơn vị
(Ký, ghi rõ họ tên và đóng dấu)

Người lập bản khảo sát

Họ tên:........................................................

Điện thoại: ..................................................

Email:   .......................................................

Phân loại số lượng HTTT do đơn vị quản lý trực tiếp

Chưa phân loại

Cấp độ 1

Cấp độ 2

Cấp độ 3

Cấp độ 4

Cấp đọ 5

Số HTTT nội bộ đơn vị (chỉ người trong đơn vị sử dụng)

Số HTTT nội bộ dùng chung (cho nhiều đơn vị trực thuộc cơ quan chủ quản)

Số HTTT công cộng (cung cấp dịch vụ cho cộng đồng vượt quá phạm vi nội bộ như trên)

3. Có bao nhiêu đơn vị (trực thuộc trực tiếp cơ quan chủ quản) sử dụng các HTTT nội bộ dùng chung do Quý đơn vị trực tiếp quản lý?

4. Quý đơn vị cung cấp bao nhiêu dịch vụ độc lập (trọn gói) sử dụng cho các đối tượng ngoài cơ quan chủ quản trong cả nước hoặc phục vụ cộng đồng trên mạng Internet?

5. Đơn vị có ban hành quy chế, quy định riêng hoặc có áp dụng quy chế, quy định chung của cơ quan chủ quản về bảo đảm ATTTM không? Nếu có thì điền nội dung phù hợp vào bảng sau và trả lời thêm câu 6 và câu 7 dưới đây (nếu không có thì để trống)

Loại văn bản chính sách ATTTM được đơn vị áp dụng

Văn bản hiện hành

Văn bản cũ trước đây đã được thay thế bằng văn bản hiện hành (nếu có)

Năm

Số hiệu văn bản

Năm

Số hiệu văn bản

Quy định riêng

Quy chế chung

Quản lý thiết kế an toàn hệ thống thông tin

Quản lý phát triển Phần mềm thuê khoán

Quản lý thử nghiệm và nghiệm thu hệ thống

Quản lý vận hành an toàn mạng

Quản lý vận hành an toàn máy chủ và ứng dụng

Quản lý an toàn dữ liệu

Quản lý vận hành an toàn thiết bị đầu cuối

Quản lý phòng chống Phần mềm độc hại

Quản lý điểm yếu an toàn thông tin

Quản lý giám sát an toàn hệ thống thông tin

Quản lý sự cố an toàn thông tin

Quản lý an toàn người sử dụng đầu cuối

Quy trình đánh giá, quản lý và xử lý rủi ro về ATTT

Quy trình thao tác chuẩn để phản ứng khẩn cấp với các sự cố mất ATTTM

+ Đầy đủ, chặt chẽ, có thể sử dụng ổn trong Khoảng 2 năm 1 trở lên

+ Tương đối đầy đủ, có thể cần hoàn thiện nhưng sử dụng ổn trong ít nhất năm tới

+ Đã thấy có các điểm thiếu hoặc không phù hợp, cần sửa đổi hay bổ sung ngay

8. Đề nghị tự đánh giá thực tế hiện nay tại đơn vị về mức độ áp dụng thực hiện tốt các quy chế, quy định bảo đảm ATTTM đạt Khoảng độ bao nhiêu Phần trăm theo thang điểm 100%

9. Tổng số cán bộ, công chức, viên chức, người lao động đang làm việc trong đơn vị

10. Tổng số cán bộ lãnh đạo quản lý (cấp đơn vị và cấp phòng/tương đương trực thuộc đơn vị) của đơn vị

11. Số người sử dụng máy tính hiện tại trong đơn vị

12. Đơn vị có phân công lãnh đạo (cấp đơn vị) phụ trách về ATTTM hay không?

13. Đơn vị có tổ chức/bộ phận chuyên trách về ATTTM hay không? (Nếu có trả lời thêm câu 16 dưới đây)

Là bộ phận con thuộc tổ chức phụ trách CNTT của đơn vị

Chịu sự chỉ đạo nghiệp vụ của bộ phận chuyên trách ATTTM của cơ quan chủ quản

Là thành viên thuộc mạng lưới chuyên trách bảo đảm ATTT của quốc gia

Có quy chế phối hợp xử lý sự cố ATTTM với doanh nghiệp cung cấp dịch vụ mạng

Có quy chế phối hợp xử lý sự cố ATTTM với các tổ chức ATTTM khác.

Ví dụ:...........................................................................................................................

15. Tổng số cán bộ làm việc chuyên trách về ATTTM

16. Tổng số cán bộ làm việc bán chuyên trách về ATTTM

Quản lý nhân sự về ATTT trong từng khâu

Tuyển dụng cán bộ ATTT

Quản lý quá trình làm việc

Chấm dứt, chuyển công việc

Chưa có quy định cụ thể

Có quy định, thực hiện chưa tốt thường xuyên

Có quy định, thực hiện tốt

18. Tổng số cán bộ nhân viên đã từng được qua lớp đào tạo, tập huấn về ATTTM

19. Tổng số cán bộ lãnh đạo quản lý (cấp đơn vị và cấp phòng/tương đương trực thuộc đơn vị) đã từng được đào tạo, tập huấn về quản lý ATTTM

20. Tổng số cán bộ kỹ thuật có trình độ tương đương đại học ngành ATTT trở lên

21. Tổng số cán bộ kỹ thuật có trình độ tương đương trung cấp về ATTT

22. Tổng số chuyên gia chuyên sâu về ATTTM

23. Đơn vị có kế hoạch đào tạo, tập huấn riêng về ATTTM trong năm 2017 hay không?

Số người được đào tạo tập huấn

Theo kế hoạch chung của cấp trên tổ chức

Theo kế hoạch riêng của đơn vị

Số cán bộ lãnh đạo

Số cán bộ, nhân viên chuyên trách ATTTM

Số cán bộ, nhân viên khác sử dụng máy tính

25. Đơn vị có được thụ hưởng kế hoạch tuyên truyền, phổ biến nâng cao nhận thức về ATTTM của cấp trên (cơ quan chủ quản, cơ quan quản lý nhà nước) trong năm 2017 hay không?

26. Quý đơn vị có thực hiện kế hoạch riêng tuyên truyền, phổ biến nâng cao nhận thức về ATTTM trong năm 2017 hay không?

27. Số đơn vị trực thuộc cùng cơ quan chủ quản được thụ hưởng kế hoạch tuyên truyền, phổ biến nâng cao nhận thức về ATTTM mà quý đơn vị triển khai trong năm 2017

28. Số đơn vị trực thuộc các cơ quan chủ quản khác được thụ hưởng kế hoạch tuyên truyền, phổ biến nâng cao nhận thức về ATTTM mà đơn vị triển khai trong năm 2017

+ Không có chủ trương này

+ Có chủ trương nhưng chưa có thuê

+ Đã thuê dịch vụ của các công ty Việt Nam không có yết tố nước ngoài

+ Không có chủ trương này

+ Có chủ trương nhưng chưa sử dụng dịch vụ này

+ Đã sử dụng dịch vụ này

+ Hoàn toàn sử dụng nội lực

+ Sử dụng toàn bộ thuê và hỗ trợ từ bên ngoài

+ Sử dụng một Phần nội lực, một Phần lực lượng bên ngoài

Chi cho CNTT

2015

2016

2017

Tổng chi (xTriệu đồng)

Chi cho ATTTM so với chi CNTT

2015

2016

2017

Tỷ lệ chi ATTTM/chi CNTT (%)

Chi ATTTM so với chi CNTT cho HTTT quan trọng quốc gia

2015

2016

2017

Tỷ lệ chi ATTTM/chi CNTT (%)

Mức đáp ứng nhu cầu chi hàng năm về ATTTM

2015

2016

2017

Tỷ lệ chi ATTTM/nhu cầu (%)

36. Đơn vị đã triển khai hệ thống quản lý ATTTM (hệ thống ISMS) theo tiêu chuẩn TCVN/ISO-IEC 27000 hoặc tiêu chuẩn TCVN 11930: 2017 hay tiêu chuẩn khác chưa?

(Ghi rõ tiêu chuẩn khác là: )

37. Đơn vị đã nhận chứng nhận hợp chuẩn quản lý ATTTM theo 1 trong những tiêu chuẩn trên chưa? Nếu có thì cho biết thời điểm chứng nhận đã cách thời điểm hiện tại bao nhiêu tháng theo bảng dưới đây:

Thời điểm hợp chuẩn

Lần đầu tiên

Lần gần đây nhất

Cách đây bao nhiêu tháng

HTTT đã được hợp chuẩn

Hệ thống cấp độ 5

Hệ thống cấp độ 4

Hệ thống quan trọng quốc gia khác

Số lượng HTTT đã hợp chuẩn

39. Đơn vị có thực hiện các biện pháp phân loại, xác định trách nhiệm về sở hữu tài sản thông tin hay không?

40. Việc quản lý cán bộ vận hành, khai thác, sử dụng hệ thống của đơn vị có tuân thủ các chính sách về ATTTM hay không?

41. Đơn vị có quy trình đánh giá, quản lý và xử lý rủi ro về ATTTM không?

42. Đơn vị có quy trình thao tác chuẩn (Standard operating procedures) để phản ứng với các sự cố mất ATTT hay không?

43. Trong quá trình triển khai dự án phát triển ứng dụng CNTT, đơn vị có thực hiện tư vấn, thẩm định, thẩm tra về ATTTM của hệ thống thông tin được xây dựng hay không?

44. Tổng số lần đơn vị đã thực hiện kiểm tra đánh giá ATTTM định kỳ cho hệ thống thông tin của mình trong năm 2017?

45. Tổng số lần đơn vị đã tổ chức hoặc trực tiếp tham gia diễn tập bảo đảm ATTTM cho hệ thống thông tin của mình trong năm 2017?

Các biện pháp kỹ thuật, công nghệ bảo đảm an toàn mạng được trang bị, cập nhật, nâng cấp hay làm mới gần đây nhất cách hiện nay bao nhiêu tháng

HTTT nội bộ

HTTT công cộng

+ Hệ thống thiết bị sensor ghi log-file phát hiện sự cố và mối đe dọa ATTT đối với mạng 

+ Hệ thống giám sát và quản lý sự kiện an toàn thông tin (SOC- Security Operation Center / SIEM- Security Incident & Event Management) 

+ Giải pháp phân chia hệ thống mạng thành các vùng mạng chức năng với các chính sách quản lý và biện pháp kỹ thuật ATTTM phù hợp 

+ Hệ thống phát hiện xâm nhập (IDS/IPS) trong mạng 

+ Hệ thống phòng chống tấn công DoS/DDoS

+ Tường lửa cho toàn mạng (Network Firewall)

+ Phần mềm chống virus mức mạng (Anti-Virus)

+ Bảo vệ kênh truyền bằng công nghệ mã hóa và xác thực

+ Kiểm soát mọi kênh truy cập có bắt buộc định kỳ thay đổi mật khẩu người dùng

+ Kiểm soát mọi kênh truy cập có giải pháp hạn chế đăng nhập tự động (tấn công kiểu từ điển) và/hoặc có yêu cầu xác thực hai yếu tố người dùng

+ Bảo mật truy cập qua mạng không dây và các thiết bị đầu cuối

Các công nghệ, biện pháp kỹ thuật bảo vệ các hệ thống máy chủ được trang bị, cập nhật, nâng cấp hay làm mới gần đây nhất cách hiện nay bao nhiêu tháng

HTTT nội bộ

HTTT công cộng

+ Hệ thống quản lý thu thập và phân tích log-file phát hiện sự cố và mối đe dọa ATTT

+ Hệ thống phát hiện và chống tấn công xâm nhập máy chủ (IDS/IPS)

+ Tường lửa (Firewall) cho máy chủ

+ Phần mềm chống virus mã độc (Anti-Virus)

+ Quản lý phân chia người dùng theo đặc quyền và có theo dõi phát hiện tài Khoản người dùng lạ trong hệ thống

+ Quản lý truy cập và chống tấn công leo thang đặc quyền

+ Bảo mật thiết bị di động và thiết bị đầu cuối truy cập từ xa

+ Sử dụng hệ thống máy chủ dự phòng nóng (chạy song song, online)

+ Sử dụng hệ thống máy chủ dự trữ (dự phòng off-line)

Các công nghệ, biện pháp kỹ thuật phù hợp bảo vệ các ứng dụng được trang bị, cập nhật, nâng cấp hay làm mới gần đây nhất cách hiện nay bao nhiêu tháng

HTTT nội bộ

HTTT công cộng

+ Hệ thống ghi nhật ký (log-file) các ứng dụng

+ Hệ thống quản lý và phân tích log-file

+ Quản lý truy cập có xác thực nhiều bước

+ Phần mềm chống virus mã độc (Anti-Virus)

+ Tường lửa mức ứng dụng (ví dụ web-firewall,...)

+ Lọc nội dung Web

+ Bộ lọc chống thư rác (Anti-Spam)

+ Sử dụng hệ thống máy chủ dự phòng nóng (chạy song song, online)

+ Sử dụng hệ thống máy chủ dự trữ (dự phòng off-line)

Các biện pháp kỹ thuật, công nghệ phù hợp bảo vệ dữ liệu được trang bị, cập nhật, nâng cấp hay làm mới gần đây nhất cách hiện nay bao nhiêu tháng

HTTT nội bộ

HTTT công cộng

+ Hệ thống giám sát tính toàn vẹn CSDL

+ Hệ thống phát hiện xâm nhập CSDL

+ Bảo vệ dữ liệu quan trọng trong hệ thống bằng công nghệ mã hóa

+ Bảo vệ dữ liệu quan trọng trong hệ thống bằng công nghệ chữ ký số

+ Hệ thống quản lý chống thất thoát dữ liệu (Data Loss protection)

+ Sử dụng hệ thống sao lưu dữ liệu dự phòng nóng (on-line back-up)

+ Sử dụng hệ thống sao lưu dữ liệu dự phòng định kỳ (off-line back-up)

Các biện pháp kỹ thuật, công nghệ phù hợp bảo đảm an toàn vật lý được trang bị, cập nhật, nâng cấp hay làm mới gần đây nhất cách thời điểm hiện tại bao nhiêu tháng

HTTT nội bộ

HTTT công cộng

+ Giải pháp lựa chọn vị trí vật lý

+ Giải pháp kiểm soát truy cập vật lý

+ Giải pháp chống trộm, chống phá hoại

+ Giải pháp chống sét

+ Hệ thống chống cháy nổ

+ Giải pháp chống ẩm và chống thấm

+ Giải pháp chống bụi và tĩnh điện

+ Giải pháp kiểm soát nhiệt độ và độ ẩm

+ Hệ thống nguồn cung cấp điện dự phòng

+ Giải pháp bảo vệ điện từ trường

51. Đơn vị có khả năng ghi nhận các hành vi tấn công (kể cả chưa thành công) vào hệ thống của mình hay không?

Phản ứng

Loại sự cố,
nguy cơ ATTTM

Tự xử lý, không báo cáo

Mời DN, sử dụng dịch vụ ngoài

Báo cáo cấp trên, ngành dọc

Báo và hợp tác với nhà mạng

Báo và hợp tác với đơn vị Bộ Quốc phòng

Báo và hợp tác với đơn vị Bộ Công an

Báo và hợp tác với đơn vị Bộ TTTT

Đơn vị đủ khả năng phát hiện và xử lý

Đơn vị phát hiện được, chưa gây tác hại, nhưng khó xử lý

Loại mới hoặc tấn công gây tác hại lớn, chưa tự xử lý được

Số vụ tấn công mạng ít nghiêm trọng từ 01/01/2017 đến hết 31/12/2017

Số vụ tấn công web deface hay cài Phishing

Số lần tấn công từ chối dịch vụ (DDoS)

Số vụ tấn công bằng thư điện tử (spam)

Số máy tính trạm đã bị lây nhiễm mã độc

Số lần máy chủ bị tấn công bằng mã độc

Số vụ tấn công vào lỗ hổng ATTT của HTTT

Số sự cố khác (lỗi hạ tầng, vật lý, Phần mềm)

Số vụ xâm nhập mạng do ATP, lộ mật khẩu

Số vụ đã phát hiện và ngăn chặn sớm, chưa gây ra thiệt hại

Số vụ tấn công đã bị xâm nhập, lây nhiễm mã độc, nhưng chỉ gây ra thiệt hại nhỏ

Số vụ việc mất ATTTM nghiêm trọng xảy ra từ 01/01/2017 đến hết 31/12/2017

Số lần tấn công từ chối dịch vụ (DDoS) tấn công bằng mã độc

Số lần máy chủ bị lây nhiễm mã độc

Số máy tính trạm đã bị ATP, lộ mật khẩu

Số vụ xâm nhập mạng do ATTT của HTTT

Số vụ tấn công vào lỗ hổng Phishing

Số vụ tấn công web deface hay cài điện tử (spam -mail)

Số vụ tấn công bằng thư vật lý, Phần mềm)

Số sự cố khác (lỗi hạ tầng,

Tổng số vụ việc đã phát hiện, xử lý

Đơn vị tự xử lý, khắc phục hậu quả thành công trong vòng 24h

Được đơn vị khác hỗ trợ xử lý, khắc phục hậu quả thành công trong vòng 24h

Nhằm thể hiện kỹ năng tấn công

Phá hoại hệ thống có chủ đích

Nhằm chiếm dụng tài nguyên hệ thống đề dẫn tới những cuộc tấn công nặc danh

Thù hằn cá nhân (ví dụ: cán bộ hoặc người ngoài có thù hằn cá nhân)

Nhằm tạo lợi thế cạnh tranh thương mại (ví dụ: tình báo công nghiệp)

Chiếm đoạt tài nguyên hệ thống của cơ quan để sử dụng cho Mục đích cá nhân

Bị tấn công từ nước ngoài do các nguyên nhân liên quan đến chủ quyền

Tạo nguồn thu tài chính bất hợp pháp

Nhằm chiếm dụng tài nguyên hệ thống để dẫn tới những cuộc tấn công nặc danh

Thù hằn cá nhân (ví dụ: cán bộ hoặc người ngoài có thù hằn cá nhân)

- Cán bộ đang làm việc tại công ty

- Cán bộ đã nghỉ việc tại công ty

- Tội phạm máy tính như hacker bất hợp pháp

- Đối thủ cạnh tranh (gián điệp công nghiệp)

- Băng nhóm tội phạm máy tính có tổ chức (khủng bố mạng v.v...)

- Doanh nghiệp gia công bên ngoài (nhân viên) Outsourcing company (employees)

- Các thế lực đến từ nước ngoài

- Những mối đe dọa khác (vui lòng ghi rõ):

Lãnh đạo chưa hỗ trợ đúng mức cần thiết cho ATTTM

Sự thiếu hiểu biết về ATTTM trong đơn vị, thiếu cán bộ am hiểu kỹ thuật và quản lý ATTTM

Việc nâng cao nhận thức và mặt bằng kiến thức cho người sử dụng máy tính về ATTTM

Việc xác định chính xác mức độ ưu tiên của ATTTM trong tương quan chung với các vấn đề khác của đơn vị

Việc áp dụng các nguyên tắc quản lý rủi ro (Risk Management principles) cho hệ thống thông tin

Việc cập nhật kịp thời những cách thức tấn công hay những những điểm yếu mới xuất hiện

Việc giám sát phát hiện, cảnh báo sớm các cuộc tấn công mạng

Không đủ khả năng phản ứng nhanh và xử lý chính xác khi xảy ra những vụ tấn công qua mạng

Việc quản lý chặt chẽ cấu hình hệ thống mạng (Configuration Management)

Những hệ thống máy tính không được quản lý tốt

Kinh phí/ngân sách dành cho ATTTM quá thiếu so với mặt bằng chung

Các vấn đề khác (Nếu có thì vui lòng ghi rõ):

Lãnh đạo đơn vị
(Ký, ghi rõ họ tên và đóng dấu)

Người lập bản khảo sát

Họ tên:........................................................

Điện thoại: ..................................................

Email:   .......................................................

Stt

Tên đơn vị

Tên file bản mềm

Ghi chú

1

Tên cơ quan

01

2

Cục A

02

3

Cục B

03

….

…………..............................................

…………………………………

Lãnh đạo đơn vị
(Ký, ghi rõ họ tên và đóng dấu)

Người lập

Họ tên:........................................................

Điện thoại: ..................................................

Email:   .......................................................