03 nghị định hướng dẫn thi hành Luật An toàn thông tin mạng

hj anh, e đang tìm hiểu về cái nghị định 85/2016/NĐ-CP, ngày 01/7/2016 này mà chưa rõ thế nào,
Cụ thể :
1. chẳng hạn mình xác định được cấp độ rồi, làm hồ sơ đề xuất, phê duyêt rồi thì đã gọi là tuân theo quy định, còn không thì có vấn đề gì không ah ?
2. Giờ cơ quan đang có nhu cầu đầu tư mở rộng nâng cấp hạ tầng mạng, nếu theo quy định định này, việc xác định cấp độ ( 1, 2,3) có ảnh hưởng đến việc đầu tư các thiết bị phần cứng như Firewall, router tuân theo cấp độ nào không ah? ( ý e là nếu cấp độ 1 thì cần loại cấu hình này, cấp độ 2, 3 cần cao hơn chẳng hạn..)
Cảm ơn a đã giúp đỡ ah

Luật ANM là cái chung, nghị định 85 là để chi tiết và thông tư 03 là hướng dẫn cụ thể cái 85, diễn giải như sau:
- Các cơ quan chủ quản hệ thống thông tin cần phải đảm bảo ATTT cho hệ thống của mình theo luật ANM
- Để đảm bảo ATTT thì cần phải xác định cấp độ của hệ thống thông tin, như kiểu bạn có 1 ngôi nhà, bạn phải biết nhà mình hiện trạng là cấp mấy để còn bảo vệ, nhà to thì xây thêm tường thêm cổng, nhà bé thì làm cái cửa gỗ thôi.
- Để xác định được cấp độ, bạn dựa theo form khảo sát trong NĐ85.
- Trong phần xác định cấp độ, bạn sẽ phải lên luôn phương án đảm bảo ATTT (đây là phương án thôi nhé, kiểu chưa có Firewall thì lên phương án mua thiết bị hoặc thuê dịch vụ, chưa có AV thì mua AV hoặc thuê dịch vụ bảo vệ mã độc...)

1. Bạn xác định xong cấp độ thì cần phải triển khai các phương án giám sát, đảm bảo an toàn. Nếu chưa có kinh phí thì có thể nhờ Bộ hỗ trợ giám sát, cái này check ở Thông tư 31 năm 2017.

2. Dĩ nhiên khi nâng cấp, hệ thống thông tin thay đổi thì cấp độ thay đổi và phương án đảm bảo an toàn thông tin cũng thế. Ví dụ bây giờ bạn đầu tư thêm 1 trung tâm tích hợp dữ liệu cho các dịch vụ công trực tuyến sử dụng thì hệ thống cũ đang là mức 2 sẽ nâng lên mức 3, trước đây chưa có Firewall hoặc chịu tải thấp thì nâng cấp lên, các thiết bị mạng, giám sát cũng cần thêm.

Vài dòng mua rìu qua mắt các chuyên gia, mong các bác nhẹ tay.