Kiểm soát nhiệt độ và độ ẩm trong yêu cầu vật lý cho hệ thống thông tin cấp độ 3, cấp độ 4 phải tuân thủ là gì?

Nội dung chính

• Tổ chức bảo đảm an toàn thông tin trong hệ thống thông tin cấp độ 3 được quy định như thế nào?
• Quy định về tổ chức đảm bảo an toàn thông tin trong hệ thống thông tin cấp độ 4 ra sao?
• Kiểm soát nhiệt độ và độ ẩm trong yêu cầu vật lý cho hệ thống thông tin cấp độ 3, cấp độ 4 phải tuân thủ là gì?

Tổ chức bảo đảm an toàn thông tin trong hệ thống thông tin cấp độ 3 được quy định như thế nào?

An toàn thông tin (Hình từ Internet)

Tại Mục 7.1.2 Tiêu chuẩn quốc gia TCVN-11930-2017 quy định về tổ chức bảo đảm an toàn thông tin như sau:

Tổ chức bảo đảm an toàn thông tin

7.1.2.1 Đơn vị chuyên trách về an toàn thông tin

a) Thành lập hoặc chỉ định đơn vị/bộ phận chuyên trách về an toàn thông tin trong tổ chức;

b) Phân định vai trò, trách nhiệm, cơ chế phối hợp của các bộ phận, cán bộ trong đơn vị chuyên trách về an toàn thông tin.

7.1.2.2 Phối hợp với những cơ quan/tổ chức có thẩm quyền

a) Có đầu mối liên hệ, phối hợp với các cơ quan, tổ chức có thẩm quyền quản lý về an toàn thông tin;

b) Có đầu mối liên hệ, phối hợp với các cơ quan, tổ chức trong công tác hỗ trợ điều phối xử lý sự cố an toàn thông tin;

c) Tham gia các hoạt động, công tác bảo đảm an toàn thông tin khi có yêu cầu của tổ chức có thẩm quyền.

7.1.3 Bảo đảm nguồn nhân lực

7.1.3.1 Tuyển dụng

a) Cán bộ được tuyển dụng vào vị trí làm về an toàn thông tin có trình độ, chuyên ngành về lĩnh vực công nghệ thông tin, an toàn thông tin, phù hợp với vị trí tuyển dụng;

b) Có quy định, quy trình tuyển dụng cán bộ và điều kiện tuyển dụng cán bộ.

7.1.3.2 Trong quá trình làm việc

a) Có quy định về việc thực hiện nội quy, quy chế bảo đảm an toàn thông tin cho người sử dụng, cán bộ quản lý và vận hành hệ thống;

b) Có kế hoạch và định kỳ hàng năm tổ chức phổ biến, tuyên truyền nâng cao nhận thức về an toàn thông tin cho người sử dụng;

c) Định kỳ hàng năm, tổ chức đào tạo các kỹ năng cơ bản về an toàn thông tin cho người sử dụng.

7.1.3.3 Chấm dứt hoặc thay đổi công việc

a) Cán bộ chấm dứt hoặc thay đổi công việc phải thu hồi thẻ truy cập, thông tin được lưu trên các phương tiện lưu trữ, các trang thiết bị máy móc, phần cứng, phần mềm và các tài sản khác (nếu có) thuộc sở hữu của tổ chức;

b) Có quy trình và thực hiện vô hiệu hóa tất cả các quyền ra, vào, truy cập tài nguyên, quản trị hệ thống sau khi cán bộ thôi việc;

c) Có cam kết giữ bí mật thông tin liên quan đến tổ chức sau khi nghỉ việc.

Theo đó, về tổ chức bảo đảm an toàn thông tin trong hệ thống thông tin cấp độ 4 gồm các nội dung sau đây:

- Đơn vị chuyên trách về an toàn thông tin

- Phối hợp với những cơ quan/tổ chức có thẩm quyền

- Bảo đảm nguồn nhân lực.

Quy định về tổ chức đảm bảo an toàn thông tin trong hệ thống thông tin cấp độ 4 ra sao?

Về tổ chức bảo đảm an toàn thông tin được quy định tại Mục 8.1.2 Tiêu chuẩn quốc gia TCVN-11930-2017:

Tổ chức bảo đảm an toàn thông tin

8.1.2.1 Đơn vị chuyên trách về an toàn thông tin

a) Thành lập hoặc chỉ định đơn vị chuyên trách về an toàn thông tin trong tổ chức;

b) Phân định vai trò, trách nhiệm, cơ chế phối hợp của các bộ phận, cán bộ trong đơn vị chuyên trách về an toàn thông tin;

c) Chỉ định bộ phận chuyên trách trong đơn vị chuyên trách về an toàn thông tin có trách nhiệm xây dựng và thực thi chính sách an toàn thông tin.

8.1.2.2 Phối hợp với những cơ quan/tổ chức có thẩm quyền

a) Có đầu mối liên hệ, phối hợp với các cơ quan, tổ chức có thẩm quyền quản lý về an toàn thông tin;

b) Có đầu mối liên hệ, phối hợp với các cơ quan, tổ chức trong công tác hỗ trợ điều phối xử lý sự cố an toàn thông tin;

c) Tham gia các hoạt động, công tác bảo đảm an toàn thông tin khi có yêu cầu của tổ chức có thẩm quyền.

8.1.3 Bảo đảm nguồn nhân lực

8.1.3.1 Tuyển dụng

a) Cán bộ được tuyển dụng vào vị trí làm về an toàn thông tin có trình độ, chuyên ngành về lĩnh vực công nghệ thông tin, an toàn thông tin, phù hợp với vị trí tuyển dụng;

b) Có quy định, quy trình tuyển dụng cán bộ và điều kiện tuyển dụng cán bộ;

c) Có chuyên gia trong lĩnh vực đánh giá, kiểm tra trình độ chuyên môn phù hợp với vị trí tuyển dụng.

8.1.3.2 Trong quá trình làm việc

a) Có quy định về việc thực hiện nội quy, quy chế bảo đảm an toàn thông tin cho người sử dụng, cán bộ quản lý và vận hành hệ thống;

b) Có kế hoạch và định kỳ hàng năm tổ chức phổ biến, tuyên truyền nâng cao nhận thức về an toàn thông tin cho người sử dụng;

c) Có kế hoạch và định kỳ hàng năm tổ chức đào tạo về an toàn thông tin hàng năm cho 03 nhóm đối tượng bao gồm: cán bộ kỹ thuật, cán bộ quản lý và người sử dụng trong hệ thống.

8.1.3.2 Chấm dứt hoặc thay đổi công việc

a) Cán bộ chấm dứt hoặc thay đổi công việc phải thu hồi thẻ truy cập, thông tin được lưu trên các phương tiện lưu trữ, các trang thiết bị máy móc, phần cứng, phần mềm và các tài sản khác (nếu có) thuộc sở hữu của tổ chức;

b) Có quy trình và thực hiện vô hiệu hóa tất cả các quyền ra, vào, truy cập tài nguyên, quản trị hệ thống sau khi cán bộ thôi việc;

c) Có cam kết giữ bí mật thông tin liên quan đến tổ chức sau khi nghỉ việc.

Kiểm soát nhiệt độ và độ ẩm trong yêu cầu vật lý cho hệ thống thông tin cấp độ 3, cấp độ 4 phải tuân thủ là gì?

Căn cứ theo Mục A.3.8, Mục A.4.8 Phụ lục A Tiêu chuẩn quốc gia TCVN-11930-2017 quy định thì:

A.3 Yêu cầu vật lý cho hệ thống thông tin cấp độ 3

...

A.3.8 Kiểm soát nhiệt độ và độ ẩm

Có hệ thống điều hòa trung tâm, bảo đảm về nhiệt độ, độ ẩm ổn định trong phòng máy chủ.

...

A.4 Yêu cầu vật lý cho hệ thống thông tin cấp độ 4

...

A.4.8 Kiểm soát nhiệt độ và độ ẩm

a) Có hệ thống điều hòa trung tâm, bảo đảm về nhiệt độ, độ ẩm ổn định trong phòng máy chủ;

b) Hệ thống điều hòa không khí tại phòng máy phải riêng biệt hoàn toàn với các hệ thống điều hòa khác trong tòa nhà;

c) Có thiết bị đo độ ẩm và cảnh báo khi độ ẩm trong phòng máy chủ vượt mức cho phép;

d) Có thiết bị hút ẩm để ngăn chặn sự ngưng tụ hơi nước ở phòng máy chủ và thẩm thấu nước đã tích tụ ở sàn phòng máy chủ.

...