آیین نامه اجرایی بند (پ) تبصره (6) ماده واحده قانون بودجه سال 1404 كل كشور (موضوع ارزیابی و رتبه بندی سالانه امنیت رایانیكی (سایبری) دستگاه های اجرایی)

شماره 53288/ت63822هـ                                                              1404/4/7

کلیه دستگاه های اجرایی 

هیئت وزیران در جلسه 1404/3/21 به پیشنهاد شماره 206044/1 مورخ 1403/12/23 وزارت ارتباطات و فناوری اطلاعات و به استناد بند (پ) تبصره (6) ماده واحده قانون بودجه سال 1404 كل كشور، آیین نامه اجرایی بند مذکور را به شرح زیر تصویب كرد:

آیین نامه اجرایی بند (پ) تبصره (6) ماده واحده قانون بودجه سال 1404 کل کشور 

(موضوع ارزیابی و رتبه بندی سالانه امنیت رایانیکی (سایبری) دستگاه های اجرایی)

ماده1ـ در این آیین نامه، اصطلاحات زیر در معانی مشروح به کار می روند:

1ـ قانون: بند (پ) تبصره (6) ماده واحده قانون بودجه سال 1404 کل کشور. 

2ـ مرکز: مرکز ملی فضای مجازی کشور.

3ـ وزارت: وزارت ارتباطات و فناوری اطلاعات.

4ـ افتا: مرکز مدیریت راهبردی افتا.

5 ـ سازمان برنامه: سازمان برنامه و بودجه کشور.

6 ـ دستگاه اجرایی: دستگاه های اجرایی موضوع ماده (5) قانون مدیریت خدمات کشوری مصوب 1386 که براساس تشریفات مقرر در قانون دارای ضعف در امنیت رایانیکی (سایبری) می باشند.

7ـ دستگاه هماهنگ کننده: دستگاه های هماهنگ کننده موضوع ماده (3) مصوبه 
جلسه (44) شورای عالی فضای مجازی مصوب 1396 در حوزه دستگاه های اجرایی و مصوبات تقسیم کار مرکز شامل وزارت، افتا و سازمان پدافند غیر عامل کشور با رعایت مفاد بند (الف) ماده (103) قانون برنامه هفتم پیشرفت مصوب 1403.

8 ـ چهارچوب برنامه عملیاتی: چهارچوبی که توسط دستگاه هماهنگ کننده برای ارائه برنامه عملیاتی توسط دستگاه های اجرایی، تهیه و ابلاغ می شود. 

9ـ برنامه عملیاتی: برنامه ای که به منظور تضمین و ارتقای سطح امنیت شبکه، امنیت زیرساخت ها و امنیت سامانه های دستگاه اجرایی و پیشگیری موثر از وقوع حوادث امنیت سایبری بر اساس چهارچوب برنامه عملیاتی و متناسب با اعتبارات مصوب مربوط، توسط هریک از دستگاه های اجرایی تهیه و به دستگاه هماهنگ کننده مربوط ارائه می شود. 

10ـ چهارچوب رتبه بندی: شاخص های ارزیابی وضعیت امنیت رایانیکی (سایبری) 
و رتبه بندی سالیانه دستگاه های اجرایی که توسط دستگاه هماهنگ کننده مربوط بر اساس 
بند (الف) ماده (103) قانون برنامه پنجساله هفتم پیشرفت مصوب 1403 به دستگاه های اجرایی حوزه مأموریت خود ابلاغ می شود.

11ـ رتبه بندی: تعیین جایگاه دستگاه های اجرایی از نظر وضعیت امنیت رایانیکی (سایبری) در سطح کشور مبتنی بر چهارچوب رتبه بندی توسط دستگاه هماهنگ کننده.

ماده2ـ دستگاه های هماهنگ کننده مربوط موظفند حداکثر ظرف دو هفته پس از ابلاغ این آیین نامه نسبت به ابلاغ چهارچوب های برنامه عملیاتی و رتبه بندی برای دستگاه های اجرایی حوزه مأموریت خود اقدام نمایند. 

ماده3ـ دستگاه اجرایی موظف است حداکثر ظرف دو هفته پس از ابلاغ چهارچوب برنامه عملیاتی، برنامه عملیاتی مصوب "کمیته راهبری امنیت اطلاعات" دستگاه مزبور که به ریاست بالاترین مقام دستگاه اجرایی و یا معاون وی، بالاترین مسئول امنیت اطلاعات و امنیت فضای مجازی و بالاترین مقام مسئول حراست تشکیل می شود، به دستگاه هماهنگ کننده مربوط ارسال نماید. تخصیص اعتبار قانون توسط سازمان برنامه منوط به ارسال برنامه عملیاتی دستگاه اجرایی به دستگاه هماهنگ کننده مربوط با رعایت ماده (30) قانون برنامه و بودجه کشور مصوب 1350 است.

تبصره1ـ دستگاه هماهنگ کننده موظف است حداکثر ظرف دو هفته پس از وصول برنامه عملیاتی دستگاه اجرایی، نسبت به بررسی و اعلام نتیجه آن اقدام نماید. 

تبصره2ـ در صورتی که پس از ارائه برنامه عملیاتی، دستگاه هماهنگ کننده مربوطه مغایرتی نسبت به آن اعلام نماید، دستگاه اجرایی موظف است نسبت به رفع مغایرت اعلامی اقدام نماید. 

تبصره3ـ هرگونه تخصیص و هزینه کرد اعتبارات بخش "حداقل یک درصد (1%) از اعتبارات هزینه ای (به استثنای فصول (1)، (5) و (7)) و تملک دارایی های سرمایه ای" موضوع قانون، در غیر از برنامه عملیاتی تائید شده، ممنوع است.

ماده4ـ دستگاه هماهنگ کننده مربوط موظف است نسبت به ارزیابی امنیت رایانیکی (سایبری) دستگاه اجرایی حوزه مأموریت خود، با بهره گیری از شرکت های دارای مجوز ممیزی امنیت و ارزیابی امنیتی با رعایت بند (الف) ماده (103) قانون برنامه هفتم پیشرفت از سازمان فناوری اطلاعات ایران، اقدام نموده و نتایج ارزیابی و رتبه دستگاه اجرایی را بر مبنای چهارچوب رتبه بندی به وزارت ارسال نماید. وزارت موظف است نتایج ارزیابی و رتبه بندی سالانه امنیت رایانیکی (سایبری) دستگاه های اجرایی را به مرکز اعلام نماید. 

تبصره ـ وزارت موظف است گزارش موضوع این آیین نامه را به سازمان اداری و استخدامی کشور اعلام و سازمان مذکور نیز موظف است این نتایج را در ارزیابی سالیانه عملکرد دستگاه ها لحاظ نماید. 

ماده5 ـ دستگاه های اجرایی مجازند در صورت نیاز به استفاده از ظرفیت شرکت های غیردولتی در اجرای برنامه عملیاتی تأیید شده، صرفاً از شرکت های دارای پروانه ارائه خدمات امنیتی از سازمان فناوری اطلاعات استفاده نمایند. 

ماده6 ـ دستگاه های اجرایی موظفند گزارش پیشرفت اجرای برنامه عملیاتی خود را به صورت سه ماهه به دستگاه هماهنگ کننده مربوطه ارائه و دستگاه های هماهنگ کننده نیز موظفند گزارش های مورد تأیید را به سازمان برنامه ارسال نمایند. 

ماده7ـ در صورت اعلام دستگاه هماهنگ کننده مبنی بر انحراف در کیفیت اجرای برنامه تأییدشده، ذی حساب دستگاه اجرایی موظف است نسبت به توقف هزینه کرد اعتبار در موارد دارای انحراف اقدام نماید. هزینه کرد اعتبار در این موارد، پس از رفع انحراف خواهد بود.

ماده8 ـ سازمان اداری و استخدامی کشور موظف است بر اساس اولویت های دستگاه های هماهنگ کننده و با همکاری دستگاه های اجرایی نسبت به آموزش، مهارت آموزی و سطح بندی متخصصین مورد نیاز موضوع این آیین نامه اقدام نمایند. 

ماده9ـ به منظور ارتقای توانمندی های تولیدی و فناورانه کشور در حوزه های مرتبط با اجرای قانون، دستگاه های هماهنگ کننده موظفند اقلام راهبردی مورد نیاز کشور برای اجرای برنامه های عملیاتی را به معاونت علمی، فناوری و اقتصاد دانش بنیان رئیس جمهور اعلام نمایند. 

تبصره ـ معاونت علمی، فناوری و اقتصاد دانش بنیان رئیس جمهور موظف است با همکاری دستگاه های اجرایی ذی ربط نسبت به حمایت از داخلی سازی و توسعه توانمندی فناورانه موضوع این ماده، با استفاده از ظرفیت بخش های غیردولتی اقدام نماید.

ماده10ـ دستگاه های اجرایی متولی (20) پروژه پیشران دولت هوشمند، موضوع مصوبه شماره 143222 مورخ 1403/8/13 جلسه بیست و ششم شورای اجرایی فناوری اطلاعات، پس از اخذ تاییدیه برنامه از کارگروه موضوع ماده (2) آیین نامه بند (ج) ماده (107) قانون برنامه هفتم پیشرفت (موضوع تصویب نامه شماره 151773/ت63256هـ مورخ 1403/10/8) و با رعایت چهارچوب برنامه عملیاتی، می توانند از اعتبار منابع نیم درصد (5/0%) موضوع قانون استفاده کنند. تخصیص اعتبار قانون توسط سازمان برنامه، پس از تأیید کارگروه مزبور است.

معاون اول رئیس جمهور ـ محمدرضا عارف