آیین‌نامه اجرایی ارزیابی و رتبه‌بندی سالانه امنیت رایانیکی (سایبری) دستگاه‌های اجرایی

آیین‌نامه اجرایی بند پ تبصره ۶ ماده واحده قانون بودجه سال ۱۴۰۴ کل کشور موضوع ارزیابی و رتبه‌بندی سالانه امنیت رایانیکی (سایبری) دستگاه‌های اجرایی توسط معاون اول رئیس‌جمهور ابلاغ شد.

هیئت وزیران در جلسه ۱۴۰۴/۳/۲۱ به پیشنهاد شماره ۱/۲۰۶۰۴۴ مورخ ۱۴۰۳/۱۲/۲۳ وزارت ارتباطات و فناوری اطلاعات و به استناد بند (پ) تبصره (۶) ماده واحده قانون بودجه سال ۱۴۰۴ کل کشور آیین‌نامه اجرایی بند مذکور را به شرح زیر تصویب کرد:

آیین‌نامه اجرایی بند (پ) تبصره (۶) ماده واحده قانون بودجه سال ۱۴۰۴ کل کشور

(موضوع ارزیابی و رتبه‌بندی سالانه امنیت رایانیکی (سایبری) دستگاه‌های اجرایی)

ماده ۱- در این آیین‌نامه، اصطلاحات زیر در معانی مشروح به کار می‌روند:

۱- قانون: بند (پ) تبصره (۶) ماده واحده قانون بودجه سال ۱۴۰۴ کل کشور.

۲- مرکز: مرکز ملی فضای مجازی کشور.

۳- وزارت: وزارت ارتباطات و فناوری اطلاعات.

۴- افتا: مرکز مدیریت راهبردی افتا.

۵- سازمان: برنامه سازمان برنامه و بودجه کشور.

۶- دستگاه اجرایی: دستگاه‌های اجرایی موضوع ماده (۵) قانون مدیریت خدمات ۱۳۸۶ که براساس تشریفات مقرر در قانون دارای ضعف در امنیت رایانیکی کشوری مصوب (سایبری) می‌باشند.

۷- دستگاه هماهنگ کننده: دستگاه‌های هماهنگ کننده موضوع ماده (۳) مصوبه جلسه (۴۴) شورای عالی فضای مجازی مصوب ۱۳۹۶ در حوزه دستگاه‌های اجرایی و مصوبات تقسیم کار مرکز شامل، وزارت افتا و سازمان پدافند غیرعامل کشور با رعایت مفاد بند (الف) ماده (۱۰۳) قانون برنامه هفتم پیشرفت مصوب ۱۴۰۳.

۸- چهارچوب برنامه عملیاتی: چهارچوبی که توسط دستگاه هماهنگ‌کننده برای ارائه برنامه عملیاتی توسط دستگاه‌های اجرایی تهیه و ابلاغ می‌شود.

۹- برنامه عملیاتی: برنامه‌ای که به منظور تضمین و ارتقای سطح امنیت شبکه امنیت زیر ساخت‌ها و امنیت سامانه‌های دستگاه اجرایی و پیشگیری موثر از وقوع حوادث امنیت سایبری بر اساس چهارچوب برنامه عملیاتی و متناسب با اعتبارات مصوب مربوط توسط هر یک از دستگاه‌های اجرایی تهیه و به دستگاه هماهنگ‌کننده مربوط ارائه می‌شود.

۱۰- چهارچوب رتبه‌بندی: شاخص‌های ارزیابی وضعیت امنیت رایانیکی (سایبری) و رتبه‌بندی سالیانه دستگاه‌های اجرایی که توسط دستگاه هماهنگ کننده مربوط بر اساس بند (الف) ماده (۱۰۳) قانون برنامه پنجساله هفتم پیشرفت مصوب ۱۴۰۳ به دستگاه‌های اجرایی حوزه مأموریت خود ابلاغ می‌شود.

۱۱- رتبه‌بندی: تعیین جایگاه دستگاه‌های اجرایی از نظر وضعیت امنیت رایانیکی (سایبری) در سطح کشور مبتنی بر چهارچوب رتبه‌بندی توسط دستگاه هماهنگ کننده.

ماده ۲- دستگاه‌های هماهنگ‌کننده مربوط موظفند حداکثر ظرف دو هفته پس از ابلاغ این آیین‌نامه نسبت به ابلاغ چهارچوب‌های برنامه عملیاتی و رتبه‌بندی برای دستگاه‌های اجرایی حوزه مأموریت خود اقدام نمایند.

ماده ۳- دستگاه اجرایی موظف است حداکثر ظرف دو هفته پس از ابلاغ چهارچوب برنامه عملیاتی، برنامه عملیاتی مصوب «کمیته راهبری امنیت اطلاعات» دستگاه مزبور که به ریاست بالاترین مقام دستگاه اجرایی و یا معاون وی بالاترین مسئول امنیت اطلاعات و امنیت فضای مجازی و بالاترین مقام مسئول حراست تشکیل می‌شود به دستگاه هماهنگ‌کننده مربوط ارسال نماید. تخصیص اعتبار قانون توسط سازمان برنامه منوط به ارسال برنامه عملیاتی دستگاه اجرایی به دستگاه هماهنگ‌کننده مربوط با رعایت ماده (۳۰) قانون برنامه و بودجه کشور مصوب ۱۳۵۰ است. 

تبصره ۱- دستگاه هماهنگ کننده موظف است حداکثر ظرف دو هفته پس از وصول برنامه عملیاتی دستگاه اجرایی نسبت به بررسی و اعلام نتیجه آن اقدام نماید.

تبصره ۲- در صورتی که پس از ارائه برنامه عملیاتی دستگاه هماهنگ کننده مربوطه مغایرتی نسبت به آن اعلام نماید دستگاه اجرایی موظف است نسبت به رفع مغایرت اعلامی اقدام نماید.

تبصره ۳- هرگونه تخصیص و هزینه کرد اعتبارات بخش «حداقل یک درصد (۱%) از اعتبارات هزینه‌ای (به استثنای فصول (۱) (۵) و (۷)) و تملک دارایی‌های سرمایه‌ای» موضوع قانون در غیر از برنامه عملیاتی تائید شده، ممنوع است. 

ماده ۴- دستگاه هماهنگ کننده مربوط موظف است نسبت به ارزیابی امنیت رایانیکی (سایبری) دستگاه اجرایی حوزه مأموریت خود با بهره گیری از شرکت‌های دارای مجوز ممیزی امنیت و ارزیابی امنیتی با رعایت بند (الف) ماده (۱۰۳) قانون برنامه هفتم پیشرفت از سازمان فناوری اطلاعات، ایران اقدام نموده و نتایج ارزیابی و رتبه دستگاه اجرایی را بر مبنای چهارچوب رتبه بندی به وزارت ارسال نماید وزارت موظف است نتایج ارزیابی و رتبه بندی سالانه امنیت رایانیکی (سایبری) دستگاه‌های اجرایی را به مرکز اعلام نماید.

تبصره - وزارت موظف است گزارش موضوع این آیین نامه را به سازمان اداری و استخدامی کشور اعلام و سازمان مذکور نیز موظف است این نتایج را در ارزیابی سالیانه عملکرد دستگاه‌ها لحاظ نماید.

ماده ۵- دستگاه‌های اجرایی مجازند در صورت نیاز به استفاده از ظرفیت شرکت‌های غیردولتی در اجرای برنامه عملیاتی تأیید شده صرفاً از شرکت‌های دارای پروانه ارائه خدمات امنیتی از سازمان فناوری اطلاعات استفاده نمایند.

ماده ۶- دستگاه‌های اجرایی موظفند گزارش پیشرفت اجرای برنامه عملیاتی خود را به صورت سه ماهه به دستگاه هماهنگ کننده مربوطه ارائه و دستگاه‌های هماهنگ‌کننده نیز موظفند گزارش‌های مورد تأیید را به سازمان برنامه ارسال نمایند.

ماده ۷- در صورت اعلام دستگاه هماهنگ کننده مبنی بر انحراف در کیفیت اجرای برنامه تأیید شده ذی‌حساب دستگاه اجرایی موظف است نسبت به توقف هزینه کرد اعتبار در موارد دارای انحراف اقدام نماید هزینه کرد اعتبار در این موارد پس از رفع انحراف خواهد بود. 

ماده ۸- سازمان اداری و استخدامی کشور موظف است بر اساس اولویت‌های دستگاه‌های هماهنگ کننده و با همکاری دستگاه‌های اجرایی نسبت به، آموزش مهارت آموزی و سطح بندی متخصصین مورد نیاز موضوع این آیین‌نامه اقدام نمایند.

ماده ۹- به منظور ارتقای توانمندی‌های تولیدی و فناورانه کشور در حوزه‌های مرتبط با اجرای قانون دستگاه‌های هماهنگ کننده موظفند اقلام راهبردی مورد نیاز کشور برای اجرای برنامه‌های عملیاتی را به معاونت، علمی فناوری و اقتصاد دانش‌بنیان رئیس‌جمهور اعلام نمایند.

تبصره - معاونت علمی فناوری و اقتصاد دانش بنیان رئیس‌جمهور موظف است با همکاری دستگاه‌های اجرایی ذی‌ربط نسبت به حمایت از داخلی سازی و توسعه توانمندی فناورانه موضوع این ماده با استفاده از ظرفیت بخش‌های غیر دولتی اقدام نماید. 

ماده ۱۰- دستگاه‌های اجرایی متولی (۲۰) پروژه پیشران دولت هوشمند، موضوع مصوبه شماره ۱۴۳۲۲۲ مورخ ۱۴۰۳/۸/۱۳ جلسه بیست و ششم شورای اجرایی فناوری اطلاعات پس از اخذ تاییدیه برنامه از کارگروه موضوع ماده (۲) آیین‌نامه بند (ج) ماده (۱۰۷) قانون برنامه هفتم پیشرفت (موضوع تصویب‌نامه شماره ۱۵۱۷۷۳ ت ۶۳۲۵۶ه مورخ ۱۴۰۳/۱۰/۸) و با رعایت چهارچوب برنامه عملیاتی می‌توانند از اعتبار منابع نیم درصد (۰/۵) موضوع قانون استفاده کنند تخصیص اعتبار قانون توسط سازمان، برنامه پس از تأیید کارگروه مزبور است.

انتهای پیام/