آیین‌نامه اجرایی بند (پ) تبصره (۶) ماده واحده قانون بودجه سال ۱۴۰۴ کل کشور

کلیه دستگاه‌های اجرایی؛

هیئت وزیران در جلسه ۱۴۰۴/۳/۲۱ به پیشنهاد شماره ۱/۲۰۶۰۴۴ مورخ ۱۴۰۳/۱۲/۲۳ وزارت ارتباطات و فناوری اطلاعات و به استناد بند (پ) تبصره (۶) واحده قانون بودجه سال ۱۴۰۴ کل کشور، آیین‌نامه اجرایی بند مذکور را به شرح زیر تصویب کرد:

آیین‌نامه اجرایی بند (پ) تبصره (۶) واحده قانون بودجه سال ۱۴۰۴ کل کشور

(موضوع ارزیابی و رتبه بندی سالانه امنیت رایانیکی (سایبری) دستگاه‌های اجرایی)

ماده ۱- در این آیین‌نامه، اصطلاحات زیر در معانی مشروح به کار می‌روند:

۱- قانون: بند (پ) تبصره (۶) واحده قانون بودجه سال ۱۴۰۴ کل کشور.

۲- مرکز: مرکز ملی فضای مجازی کشور.

۳- وزارت: وزارت ارتباطات و فناوری اطلاعات.

۴- افتا: مرکز مدیریت راهبردی افتا.

۵- سازمان برنامه: سازمان برنامه و بودجه کشور.

۶- دستگاه اجرایی: دستگاه‌های اجرایی موضوع (۵) قانون مدیریت خدمات کشوری مصوب ۱۳۸۶ که براساس تشریفات مقرر در قانون دارای ضعف در امنیت رایانیکی (سایبری) می‌باشند.

۷- دستگاه هماهنگ‌کننده: دستگاه‌های هماهنگ‌کننده موضوع (۳) مصوبه جلسه (۴۴) شورای عالی فضای مجازی مصوب ۱۳۹۶ در حوزه دستگاه‌های اجرایی و مصوبات تقسیم کار مرکز شامل وزارت، افتا و سازمان پدافند غیر عامل کشور با رعایت مفاد بند (الف) (۱۰۳) قانون برنامه هفتم پیشرفت مصوب ۱۴۰۳.

۸- چهارچوب برنامه عملیاتی: چهارچوبی که توسط دستگاه هماهنگ‌کننده برای ارائه برنامه عملیاتی توسط دستگاه‌های اجرایی، تهیه و ابلاغ می‌شود.

۹- برنامه عملیاتی: برنامه ای که به منظور تضمین و ارتقای سطح امنیت شبکه، امنیت زیرساخت‌ها و امنیت سامانه‌های دستگاه اجرایی و پیشگیری موثر از وقوع حوادث امنیت سایبری بر اساس چهارچوب برنامه عملیاتی و متناسب با اعتبارات مصوب مربوط، توسط هریک از دستگاه‌های اجرایی تهیه و به دستگاه هماهنگ‌کننده مربوط ارائه می‌شود.

۱۰- چهارچوب رتبه بندی: شاخص‌های ارزیابی وضعیت امنیت رایانیکی (سایبری) و رتبه بندی سالیانه دستگاه‌های اجرایی که توسط دستگاه هماهنگ‌کننده مربوط بر اساس بند (الف) (۱۰۳) قانون برنامه پنجساله هفتم پیشرفت مصوب ۱۴۰۳ به دستگاه‌های اجرایی حوزه مأموریت خود ابلاغ می‌شود.

۱۱- رتبه‌بندی: تعیین جایگاه دستگاه‌های اجرایی از نظر وضعیت امنیت رایانیکی (سایبری) در سطح کشور مبتنی بر چهارچوب رتبه بندی توسط دستگاه هماهنگ‌کننده.

ماده ۲- دستگاه‌های هماهنگ‌کننده مربوط موظفند حداکثر ظرف دو هفته پس از ابلاغ این آیین‌نامه نسبت به ابلاغ چهارچوب‌های برنامه عملیاتی و رتبه بندی برای دستگاه‌های اجرایی حوزه مأموریت خود اقدام نمایند.

ماده ۳- دستگاه اجرایی موظف است حداکثر ظرف دو هفته پس از ابلاغ چهارچوب برنامه عملیاتی، برنامه عملیاتی مصوب “کمیته راهبری امنیت اطلاعات” دستگاه مزبور که به ریاست بالاترین مقام دستگاه اجرایی و یا معاون وی، بالاترین مسئول امنیت اطلاعات و امنیت فضای مجازی و بالاترین مقام مسئول حراست تشکیل می‌شود، به دستگاه هماهنگ‌کننده مربوط ارسال نماید. تخصیص اعتبار قانون توسط سازمان برنامه منوط به ارسال برنامه عملیاتی دستگاه اجرایی به دستگاه هماهنگ‌کننده مربوط با رعایت (۳۰) قانون برنامه و بودجه کشور مصوب ۱۳۵۰ است.

تبصره ۱- دستگاه هماهنگ‌کننده موظف است حداکثر ظرف دو هفته پس از وصول برنامه عملیاتی دستگاه اجرایی، نسبت به بررسی و اعلام نتیجه آن اقدام نماید.

تبصره ۲- در صورتی که پس از ارائه برنامه عملیاتی، دستگاه هماهنگ‌کننده مربوطه مغایرتی نسبت به آن اعلام نماید، دستگاه اجرایی موظف است نسبت به رفع مغایرت اعلامی اقدام نماید.

تبصره ۳- هرگونه تخصیص و هزینه کرد اعتبارات بخش “حداقل یک درصد (۱%) از اعتبارات هزینه ای (به استثنای فصول (۱)، (۵) و (۷)) و تملک دارایی‌های سرمایه‌ای” موضوع قانون، در غیر از برنامه عملیاتی تائید شده، ممنوع است.

ماده ۴- دستگاه هماهنگ‌کننده مربوط موظف است نسبت به ارزیابی امنیت رایانیکی (سایبری) دستگاه اجرایی حوزه مأموریت خود، با بهره گیری از شرکت‌های دارای مجوز ممیزی امنیت و ارزیابی امنیتی با رعایت بند (الف) (۱۰۳) قانون برنامه هفتم پیشرفت از سازمان فناوری اطلاعات ایران، اقدام نموده و نتایج ارزیابی و رتبه دستگاه اجرایی را بر مبنای چهارچوب رتبه بندی به وزارت ارسال نماید. وزارت موظف است نتایج ارزیابی و رتبه بندی سالانه امنیت رایانیکی (سایبری) دستگاه‌های اجرایی را به مرکز اعلام نماید.

تبصره- وزارت موظف است گزارش موضوع این آیین‌نامه را به سازمان اداری و استخدامی کشور اعلام و سازمان مذکور نیز موظف است این نتایج را در ارزیابی سالیانه عملکرد دستگاه‌ها لحاظ نماید.

ماده ۵- دستگاه‌های اجرایی مجازند در صورت نیاز به استفاده از ظرفیت شرکت‌های غیردولتی در اجرای برنامه عملیاتی تأیید شده، صرفاً از شرکت‌های دارای پروانه ارائه خدمات امنیتی از سازمان فناوری اطلاعات استفاده نمایند.

ماده ۶- دستگاه‌های اجرایی موظفند گزارش پیشرفت اجرای برنامه عملیاتی خود را به صورت سه ماهه به دستگاه هماهنگ‌کننده مربوطه ارائه و دستگاه‌های هماهنگ‌کننده نیز موظفند گزارش‌های مورد تأیید را به سازمان برنامه ارسال نمایند.

ماده ۷- در صورت اعلام دستگاه هماهنگ‌کننده مبنی بر انحراف در کیفیت اجرای برنامه تأییدشده، ذی‌حساب دستگاه اجرایی موظف است نسبت به توقف هزینه کرد اعتبار در موارد دارای انحراف اقدام نماید. هزینه‌کرد اعتبار در این موارد، پس از رفع انحراف خواهد بود.

ماده ۸- سازمان اداری و استخدامی کشور موظف است بر اساس اولویت‌های دستگاه‌های هماهنگ‌کننده و با همکاری دستگاه‌های اجرایی نسبت به آموزش، مهارت آموزی و سطح بندی متخصصین مورد نیاز موضوع این آیین‌نامه اقدام نمایند.

ماده ۹- به منظور ارتقای توانمندی‌های تولیدی و فناورانه کشور در حوزه‌های مرتبط با اجرای قانون، دستگاه‌های هماهنگ‌کننده موظفند اقلام راهبردی مورد نیاز کشور برای اجرای برنامه‌های عملیاتی را به معاونت علمی، فناوری و اقتصاد دانش بنیان رئیس جمهور اعلام نمایند.

تبصره- معاونت علمی، فناوری و اقتصاد دانش بنیان رئیس جمهور موظف است با همکاری دستگاه‌های اجرایی ذی ربط نسبت به حمایت از داخلی سازی و توسعه توانمندی فناورانه موضوع این ماده ، با استفاده از ظرفیت بخش‌های غیردولتی اقدام نماید.

ماده ۱۰- دستگاه‌های اجرایی متولی (۲۰) پروژه پیشران دولت هوشمند، موضوع مصوبه شماره ۱۴۳۲۲۲ مورخ ۱۴۰۳/۸/۱۳ جلسه بیست و ششم شورای اجرایی فناوری اطلاعات، پس از اخذ تاییدیه برنامه از کارگروه موضوع (۲) آیین‌نامه بند (ج) (۱۰۷) قانون برنامه هفتم پیشرفت (موضوع تصویب‌نامه شماره ۱۵۱۷۷۳/ت۶۳۲۵۶ه- مورخ ۱۴۰۳/۱۰/۸) و با رعایت چهارچوب برنامه عملیاتی، می توانند از اعتبار منابع نیم درصد (۰/۵%) موضوع قانون استفاده کنند. تخصیص اعتبار قانون توسط سازمان برنامه، پس از تأیید کارگروه مزبور است.

معاون اول رئیس جمهور – محمدرضا عارف

بند (پ) تبصره (۶) ماده واحده قانون بودجه سال ۱۴۰۴ کل کشور

پ- در اجرای مواد (۱۰۳) و (۱۰۷) قانون برنامه هفتم پیشرفت با رعایت تبصره (۳) ماده واحده قانون تشکیل سازمان پدافند غیرعامل کشور مصوب ۲۹/۵/۱۴۰۲، وزارت ارتباطات و فناوری اطلاعات مکلف است نسبت به تکمیل ارزیابی و رتبه­بندی سالانه امنیت رایانیکی (سایبری) دستگاه‌های اجرائی مطابق معیارها (استانداردها) و ضوابط مصوب کارگروه (کمیته) دائمی پدافند غیر عامل کشور اقدام و دستگاه‌های اجرائی دارای ضعف در امنیت رایانیکی (سایبری) را به مرکز ملی فضای مجازی معرفی نماید. دستگاه‌های اجرائی دارای ضعف در حوزه امنیت رایانیکی مکلفند تا پایان سال ۱۴۰۴ حداقل یک درصد (۱٪) از اعتبارات هزینه‌ای (به استثنای فصول (۱)، (۵) و (۷)) و تملک دارایی ­های سرمایه‌ای خود را در راستای رفع نقاط ضعف و ارتقای امنیت رایانیکی خود اختصاص دهند. همچنین دستگاه‌های مذکور می‌توانند جهت تحقق دولت هوشمند و هوش مصنوعی علاوه بر اعتبارات مزبور، حداکثر نیم درصد (۵/۰٪) دیگر نیز برای این مهم تخصیص دهند. آیین­‌نامه اجرائی این بند توسط وزارت ارتباطات و فناوری اطلاعات ظرف سه ماه پس از لازم‌الاجراء شدن این قانون تهیه می‌­شود و به تصویب هیأت وزیران می­‌رسد.

سازمان برنامه و بودجه کشور مکلف است گزارش تفصیلی عملکرد این بند از جمله هزینه­ کرد و اقدامات صورت­گرفته در راستای تضمین و ارتقای سطح امنیت شبکه، امنیت زیرساخت ­ها و امنیت سامانه ­های خود و پیشگیری مؤثر از وقوع حوادث امنیتی رایانیکی (سایبری) و میزان تحقق دولت هوشمند و هوش مصنوعی را هر سه ماه یک­بار به کمیسیون­‌های امنیت ملی و سیاست خارجی و صنایع و معادن مجلس شورای اسلامی ارسال نماید.