Trang Thông tin điện tử (TTĐT) và Cổng Thông tin điện tử của Cơ quan nhà nước phải tuân thủ nghiêm ngặt các quy định về bảo mật theo Nghị định số 42/2022/NĐ-CP và Thông tư 22/2023/TT-BTTTT. Bài viết sau đây sẽ hướng dẫn chi tiết các tiêu chuẩn về bảo mật cần thiết. 

Các nội dung liên quan đến bảo mật được quy định trong văn bản

1. Theo Nghị định số 42/2022/NĐ-CP ngày 24/6/2022 của Chính phủ quy định về bảo mật thông tin nêu rõ Cổng/Trang TTĐT cần có: 

• Áp dụng biện pháp bảo đảm an toàn thông tin theo cấp độ
• Mã hóa thông tin khi truyền tải qua môi trường mạng
• Xác thực người dùng khi truy cập vào hệ thống
• Phân quyền truy cập theo chức năng, nhiệm vụ

2.  Theo Thông tư số 22/2023/TT-BTTTT của Bộ Thông tin và Truyền thông: Thông tư Quy định cấu trúc, bố cục, yêu cầu kỹ thuật cho Cổng/Trang thông tin điện tử của Cơ quan nhà nước phải đảm bảo: 

2.1 Bảo mật đường truyền

• Bắt buộc sử dụng giao thức HTTPS
• Triển khai chứng chỉ SSL/TLS hợp lệ
• Thiết lập chính sách bảo mật truyền tải (Transport Security Policy)

2.2  Xác thực và phân quyền

• Áp dụng xác thực đa yếu tố cho tài khoản quản trị
• Thiết lập chính sách mật khẩu mạnh
• Kiểm soát phiên làm việc (Session Control)

2.3  Bảo vệ dữ liệu

• Mã hóa dữ liệu nhạy cảm trong cơ sở dữ liệu
• Sao lưu dữ liệu định kỳ theo quy định
• Kiểm soát truy cập cơ sở dữ liệu

3. Để đảm bảo được quy định về bảo mật và thực hiện quy trình đảm bảo an toàn cho Cổng/Trang TTĐT đơn vị nên:

3.1 Kiểm tra và giám sát định kỳ 

• Thực hiện kiểm tra, đánh giá an toàn thông tin định kỳ
• Ghi nhận và phân tích log hệ thống
• Giám sát truy cập bất thường

3.2. Ứng phó sự cố

• Xây dựng phương án ứng phó sự cố
• Thiết lập quy trình khôi phục hệ thống
• Báo cáo sự cố theo quy định

Hiện nay các đơn vị đang sở hữu Cổng/Trang thông tin điện tử theo hình thức lập trình hoặc thuê để sử dụng. Dù là phương án nào thì các đơn vị cần lưu ý yêu cầu nhà cung cấp dịch vụ đảm bảo đầy đủ các tiêu chuẩn về bảo mật. 

Myaloha Protal – Cung cấp giải pháp Thuê Cổng/Trang thông tin điện tử luôn thực hiện các yêu cầu dưới đây: 

Yêu cầu với nhà cung cấp

• Cam kết tuân thủ Nghị định 42/2022/NĐ-CP
• Đáp ứng các yêu cầu kỹ thuật của Thông tư 22/2023/TT-BTTTT
• Cung cấp phương án bảo mật chi tiết

Trong điều khoản hợp đồng ký kết giữa hai bên 

• Quy định rõ trách nhiệm bảo mật
• Cam kết thời gian khắc phục sự cố
• Chính sách bảo vệ dữ liệu

Để đảm bảo cho khâu vận hành Cổng/Trang TTĐT được xuyên suốt, Myaloha Protal sẽ: 

1. Kiểm tra hàng ngày

• Giám sát hoạt động hệ thống
• Kiểm tra log bảo mật
• Theo dõi cảnh báo

2. Kiểm tra hàng tháng

• Rà soát cấu hình bảo mật
• Cập nhật bản vá
• Kiểm tra sao lưu dữ liệu

3. Kiểm tra hàng quý

• Đánh giá rủi ro bảo mật
• Cập nhật quy trình ứng phó sự cố
• Diễn tập phương án khắc phục

Như vậy, việc tuân thủ các tiêu chuẩn bảo mật theo Nghị định 42/2022/NĐ-CP và Thông tư 22/2023/TT-BTTTT không chỉ là yêu cầu bắt buộc mà còn góp phần đảm bảo an toàn cho Cổng/Trang TTĐT. Các đơn vị khi xây dựng hoặc thuê dịch vụ cần đặc biệt chú trọng việc đáp ứng đầy đủ các yêu cầu này để đảm bảo tính pháp lý và an toàn bảo mật thông tin.

Trên đây là chia sẻ đến từ Myaloha Protal, hy vọng bài viết sẽ hữu ích đối với Quý đơn vị. Nếu có thắc mắc cần hỗ trợ thêm thông tin, vui lòng liên hệ với chung tôi qua số: 0918.06.01.01