Cũng trong Nghị quyết 131 về phiên họp Chính phủ thường kỳ tháng 11/2017 mới được ban hành, Chính phủ cũng đã chỉ đạo các bộ, cơ quan ngang bộ phải khẩn trương thực hiện việc kiện toàn cơ cấu, tổ chức, chức năng, nhiệm vụ của đơn vị chuyên trách CNTT theo quy định tại Nghị định 64 ngày 10/4/2017 của Chính phủ về ứng dụng CNTT trong các cơ quan nhà nước, theo hướng thống nhất giao cho đơn vị chuyên trách CNTT hiện có làm đầu mối tham mưu, quản lý về an toàn hệ thống thông tin, không để xảy ra tình trạng chồng chéo nhiệm vụ giữa các đơn vị thuộc bộ, cơ quan ngang bộ.

Luật An toàn thông tin mạng có hiệu lực thi hành từ tháng 7/2016 đã quy định, để áp dụng biện pháp quản lý và kỹ thuật nhằm bảo vệ hệ thống thông tin phù hợp theo cấp độ, trước hết cần phân loại, xác định cấp độ an toàn của hệ thống thông tin với 5 cấp độ tăng dần từ 1 đến 5, trong đó các hệ thống cấp độ 5 là hệ thống thông tin quan trọng quốc gia. Là Nghị định hướng dẫn thi hành Luật An toàn thông tin mạng, Nghị định 85 của Chính phủ quy định chi tiết về tiêu chí, thẩm quyền, trình tự, thủ tục xác định cấp độ an toàn hệ thống thông tin và trách nhiệm bảo đảm an toàn hệ thống thông tin theo từng cấp độ.

Nghị định 85 cũng đã quy định rõ trách nhiệm của chủ quản hệ thống thông tin, bao gồm: Chỉ đạo đơn vị vận hành hệ thống lập hồ sơ đề xuất cấp độ; tổ chức thẩm định, phê duyệt hồ sơ đề xuất cấp độ theo Nghị định này; Chỉ đạo, tổ chức thực hiện phương án bảo đảm an toàn hệ thống thông tin theo cấp độ với hệ thống thông tin thuộc phạm vi mình quản lý; Chỉ đạo, tổ chức thực hiện kiểm tra, đánh giá an toàn thông tin và quản lý rủi ro an toàn thông tin trong phạm vi cơ quan, tổ chức mình; Chỉ đạo, tổ chức thực hiện đào tạo ngắn hạn, tuyên truyền, phổ biến nâng cao nhận thức và diễn tập về an toàn thông tin; Chỉ đạo đơn vị vận hành hệ thống thông tin phối hợp với đơn vị chức năng liên quan của Bộ TT&TT trong việc triển khai thiết bị, kết nối tới hệ thống kỹ thuật xử lý, giảm thiểu tấn công mạng, hỗ tợ giám sát an toàn thông tin cho hệ thống thông tin cung cấp dịch vụ công trực tuyến, phát triển chính phủ điện tử.

Liên quan đến việc triển khai thực hiện Nghị định 85 của Chính phủ, ngày 24/4/2017, Bộ TT&TT đã ban hành Thông tư 03 quy định chi tiết và hướng dẫn một số điều của Nghị định 85. Thông tư này được ban hành đã góp phần hoàn thiện dần hành lang pháp lý lĩnh vực an toàn thông tin tại Việt Nam, bước đầu giải quyết các vấn đề cụ thể như: hướng dẫn xác định hệ thống thông tin và cấp độ an toàn hệ thống thông tin; hướng dẫn các yêu cầu bảo đảm an toàn hệ thống thông tin theo cấp độ; cũng như hướng dẫn kiểm tra, đánh giá an toàn thông tin và một số công tác liên quan đến việc bảo đảm an toàn thông tin.

Trung tuần tháng 5/2017, Thủ tướng Chính phủ ký Quyết định 632 ban hành Danh mục lĩnh vực quan trọng cần ưu tiên bảo đảm an toàn thông tin mạng và hệ thống thông tin quan trọng quốc gia. Theo Quyết định này, có 11 lĩnh vực quan trọng cần ưu tiên bảo đảm an toàn thông tin mạng, gồm: Giao thông; Năng lượng; Tài nguyên và môi trường; Thông tin; Y tế; Tài chính; Ngân hàng; Quốc phòng; An ninh, trật tự an toàn xã hội; Đô thị; Chỉ đạo, điều hành của Chính phủ. Bảy hệ thống thông tin quan trọng quốc gia thuộc lĩnh vực thông tin và lĩnh vực chỉ đạo, điều hành của Chính phủ, bao gồm: Hệ thống máy chủ tên miền quốc gia Việt Nam “.VN”; Hệ thống quản lý, điều khiển, khai thác, vận hành vệ tinh viễn thông; Hệ thống quản lý, điều khiển, khai thác, vận hành mạng đường trục băng rộng; Hệ thống quản lý chuyển mạch quốc tế; Hệ thống truyền dẫn và cáp quang biển quốc tế, cáp quang đất liền quốc tế; Mạng truyền số liệu chuyên dùng phục vụ các cơ quan Đảng, Nhà nước; Hệ thống quản lý văn bản 4 cấp chính quyền

Tiếp đó, vào cuối tháng 9/2017, Bộ KH&CN đã hoàn thành việc thẩm định, ra quyết định ban hành Tiêu chuẩn quốc gia TCVN 11930:2017 về CNTT - Các kỹ thuật an toàn - Yêu cầu cơ bản về an toàn hệ thống thông tin theo cấp độ. Với việc tiêu chuẩn quốc gia TCVN 11930:2017 được ban hành, công tác xây dựng yêu cầu bảo đảm an toàn thông tin mạng tối thiểu đối với hệ thống thông tin quan trọng quốc gia đã cơ bản hoàn thành.

5 cấp độ an toàn của hệ thống thông tin

Theo quy định của Luật An toàn thông tin mạng năm 2015, các hệ thống thông tin được phân loại theo 5 cấp độ tăng dần từ 1 đến 5, trong đó:

- Cấp độ 1 là cấp độ mà khi bị phá hoại sẽ làm tổn hại tới quyền và lợi ích hợp pháp của tổ chức, cá nhân nhưng không làm tổn hại tới lợi ích công cộng, trật tự, an toàn xã hội, quốc phòng, an ninh quốc gia.

- Cấp độ 2 là cấp độ mà khi bị phá hoại sẽ làm tổn hại nghiêm trọng tới quyền và lợi ích hợp pháp của tổ chức, cá nhân hoặc làm tổn hại tới lợi ích công cộng nhưng không làm tổn hại tới trật tự, an toàn xã hội, quốc phòng, an ninh quốc gia.

- Cấp độ 3 là cấp độ mà khi bị phá hoại sẽ làm tổn hại nghiêm trọng tới sản xuất, lợi ích công cộng và trật tự, an toàn xã hội hoặc làm tổn hại tới quốc phòng, an ninh quốc gia.

- Cấp độ 4 là cấp độ mà khi bị phá hoại sẽ làm tổn hại đặc biệt nghiêm trọng tới lợi ích công cộng và trật tự, an toàn xã hội hoặc làm tổn hại nghiêm trọng tới quốc phòng, an ninh quốc gia.

- Cấp độ 5 là cấp độ mà khi bị phá hoại sẽ làm tổn hại đặc biệt nghiêm trọng tới quốc phòng, an ninh quốc gia.