Theo dự thảo Thông tư, có 7 hệ thống thông tin (HTTT) phục vụ lưu trữ dữ liệu tập trung đối với một số loại hình thông tin, dữ liệu đặc biệt quan trọng của quốc gia, bao gồm: hệ thống Cơ sở dữ liệu quốc gia về dân cư; hệ thống Cơ sở dữ liệu Đất đai quốc gia; hệ thống Cơ sở dữ liệu quốc gia về Đăng ký doanh nghiệp; hệ thống Cơ sở dữ liệu quốc gia về Thống kê tổng hợp về dân số; hệ thống Cơ sở dữ liệu quốc gia về Tài chính; hệ thống Cơ sở dữ liệu quốc gia về Bảo hiểm; hệ thống cơ sở dữ liệu quốc gia về Tài nguyên và Môi trường.
Bên cạnh đó, hệ thống cơ sở hạ tầng thông tin quốc gia phục vụ kết nối liên thông hoạt động của Việt Nam với quốc tế, bao gồm: hệ thống Quản lý, điều khiển, khai thác, vận hành vệ tinh viễn thông; hệ thống Quản lý chuyển mạch quốc tế; hệ thống Phục vụ kết nối, chuyển mạch giữa các hệ thống truyền dẫn và cáp quang biển quốc tế, cáp quang đất liền quốc tế; hệ thống Phục vụ cơ chế một cửa quốc gia giữa Việt Nam và các nước trên thế giới.
Dự thảo Thông tư nêu rõ yêu cầu bảo đảm an toàn HTTT. Theo đó, việc bảo đảm an toàn HTTT theo cấp độ thực hiện theo yêu cầu cơ bản quy định tại Thông tư này; tiêu chuẩn, quy chuẩn kỹ thuật về an toàn thông tin và tiêu chuẩn, quy chuẩn kỹ thuật chuyên ngành có liên quan khác. Yêu cầu cơ bản đối với từng cấp độ quy định tại Thông tư này là yêu cầu tối thiểu để bảo đảm an toàn HTTT và không bao gồm các yêu cầu bảo đảm an toàn vật lý.
Yêu cầu cơ bản bao gồm: yêu cầu kỹ thuật: an toàn hạ tầng mạng; an toàn máy chủ; an toàn ứng dụng và an toàn dữ liệu; yêu cầu quản lý: chính sách chung; tổ chức, nhân sự; quản lý thiết kế, xây dựng; quản lý vận hành; kiểm tra, đánh giá và quản lý rủi ro. Việc xây dựng phương án bảo đảm an toàn thông tin đáp ứng yêu cầu cơ bản theo từng cấp độ thực hiện theo nguyên tắc quy định tại khoản 2 Điều 4 Nghị định 85/2016/NĐ-CP, cụ thể như sau: đối với hệ thống thông tin cấp độ 1, 2, 3: phương án bảo đảm an toàn thông tin phải xem xét khả năng dùng chung giữa các HTTT đối với các giải pháp bảo vệ, chia sẻ tài nguyên để tối ưu hiệu năng, tránh đầu tư thừa, trùng lặp, lãng phí; đối với hệ thống thông tin cấp độ 4, 5: phương án bảo đảm an toàn thông tin cần được thiết kế bảo đảm tính sẵn sàng, phân tách và hạn chế ảnh hưởng đến toàn bộ hệ thống khi một thành phần trong hệ thống hoặc có liên quan tới hệ thống bị mất an toàn thông tin.
HTTT cấp độ 3 trở lên, được đầu tư xây dựng mới hoặc đầu tư mở rộng, nâng cấp phải triển khai phương án bảo đảm an toàn thông tin đáp ứng các yêu cầu an toàn trước khi đưa vào vận hành, khai thác. Việc đánh giá, xác nhận đáp ứng yêu cầu an toàn được thực hiện bởi doanh nghiệp có giấy phép cung cấp dịch vụ kiểm tra, đánh giá an toàn thông tin hoặc tổ chức, đơn vị sự nghiệp nhà nước có chức năng, nhiệm vụ phù hợp được Bộ TTTT chỉ định.
Trường hợp HTTT được triển khai dưới hình thức thuê dịch vụ trung tâm dữ liệu hoặc điện toán đám mây thì hệ thống phải được thiết kế bảo đảm các yêu cầu sau: đối với HTTT cấp độ 3, việc thiết kế, thiết lập HTTT của khách hàng phải đáp ứng các yêu cầu: hệ thống phải được thiết kế tách riêng, độc lập với các hệ thống khác về lô-gích (lớp 3) và có biện pháp quản lý truy cập giữa các hệ thống; các vùng mạng trong hệ thống phải được thiết kế tách riêng, độc lập với nhau về lô-gích (lớp 3) và có biện pháp quản lý truy cập giữa các vùng mạng; có phân vùng lưu trữ được phân tách độc lập về lô-gích; các thiết bị mạng chính phải được phân tách độc lập về lô-gích.
Đối với HTTT cấp độ 4 hoặc cấp độ 5, việc thiết kế, thiết lập HTTT của khách hàng phải đáp ứng các yêu cầu: hệ thống phải được thiết kế tách riêng, độc lập với các hệ thống khác về vật lý và có biện pháp quản lý truy cập giữa các hệ thống; các vùng mạng trong hệ thống phải được thiết kế tách riêng, độc lập với nhau về lô-gích (lớp 3) và có biện pháp quản lý truy cập giữa các vùng mạng; có phân vùng lưu trữ được phân tách độc lập về vật lý; các thiết bị mạng chính phải được phân tách độc lập về vật lý. HTTT cấp độ 3 trở lên phải thực hiện kiểm tra, đánh giá an toàn thông tin trước khi đưa vào sử dụng.
