به گزارش ایرنا، هیات وزیران ۲۱ خرداد ماه به پیشنهاد وزارت ارتباطات و فناوری اطلاعات و به استناد بند پ تبصره ۶ ماده واحده قانون بودجه سال ۱۴۰۴ کل کشور، آیین نامه اجرایی این بند از قانون را به شرح زیر تصویب کرد:

ماده۱ـ در این آیین نامه، اصطلاحات زیر در معانی مشروح به کار می روند:

۱ـ قانون: بند پ تبصره ۶ ماده واحده قانون بودجه سال ۱۴۰۴ کل کشور.

۲ـ مرکز: مرکز ملی فضای مجازی کشور.

۳ـ وزارت: وزارت ارتباطات و فناوری اطلاعات.

۴ـ افتا: مرکز مدیریت راهبردی افتا.

۵ ـ سازمان برنامه: سازمان برنامه و بودجه کشور.

۶ ـ دستگاه اجرایی: دستگاه های اجرایی موضوع ماده ۵ قانون مدیریت خدمات کشوری مصوب ۱۳۸۶ که براساس تشریفات مقرر در قانون دارای ضعف در امنیت رایانیکی (سایبری) می باشند.

۷ـ دستگاه هماهنگ کننده: دستگاه های هماهنگ کننده موضوع ماده ۳ مصوبه جلسه ۴۴ شورای عالی فضای مجازی مصوب ۱۳۹۶ در حوزه دستگاه های اجرایی و مصوبات تقسیم کار مرکز شامل وزارت، افتا و سازمان پدافند غیر عامل کشور با رعایت مفاد بند الف ماده ۱۰۳ قانون برنامه هفتم پیشرفت مصوب ۱۴۰۳.

۸ ـ چهارچوب برنامه عملیاتی: چهارچوبی که توسط دستگاه هماهنگ کننده برای ارائه برنامه عملیاتی توسط دستگاه های اجرایی، تهیه و ابلاغ می شود.

۹ـ برنامه عملیاتی: برنامه ای که به منظور تضمین و ارتقای سطح امنیت شبکه، امنیت زیرساخت ها و امنیت سامانه های دستگاه اجرایی و پیشگیری موثر از وقوع حوادث امنیت سایبری بر اساس چهارچوب برنامه عملیاتی و متناسب با اعتبارات مصوب مربوط، توسط هریک از دستگاه های اجرایی تهیه و به دستگاه هماهنگ کننده مربوط ارائه می شود.

۱۰ـ چهارچوب رتبه بندی: شاخص های ارزیابی وضعیت امنیت رایانیکی (سایبری)
و رتبه بندی سالیانه دستگاه های اجرایی که توسط دستگاه هماهنگ کننده مربوط بر اساس
بند (الف) ماده (۱۰۳) قانون برنامه پنجساله هفتم پیشرفت مصوب ۱۴۰۳ به دستگاه های اجرایی حوزه مأموریت خود ابلاغ می شود.

۱۱ـ رتبه بندی: تعیین جایگاه دستگاه های اجرایی از نظر وضعیت امنیت رایانیکی (سایبری) در سطح کشور مبتنی بر چهارچوب رتبه بندی توسط دستگاه هماهنگ کننده.

ماده۲ـ دستگاه های هماهنگ کننده مربوط موظفند حداکثر ظرف دو هفته پس از ابلاغ این آیین نامه نسبت به ابلاغ چهارچوب های برنامه عملیاتی و رتبه بندی برای دستگاه های اجرایی حوزه مأموریت خود اقدام نمایند.

ماده۳ـ دستگاه اجرایی موظف است حداکثر ظرف دو هفته پس از ابلاغ چهارچوب برنامه عملیاتی، برنامه عملیاتی مصوب “کمیته راهبری امنیت اطلاعات” دستگاه مزبور که به ریاست بالاترین مقام دستگاه اجرایی و یا معاون وی، بالاترین مسئول امنیت اطلاعات و امنیت فضای مجازی و بالاترین مقام مسئول حراست تشکیل می شود، به دستگاه هماهنگ کننده مربوط ارسال نماید. تخصیص اعتبار قانون توسط سازمان برنامه منوط به ارسال برنامه عملیاتی دستگاه اجرایی به دستگاه هماهنگ کننده مربوط با رعایت ماده (۳۰) قانون برنامه و بودجه کشور مصوب ۱۳۵۰ است.

تبصره۱ـ دستگاه هماهنگ کننده موظف است حداکثر ظرف دو هفته پس از وصول برنامه عملیاتی دستگاه اجرایی، نسبت به بررسی و اعلام نتیجه آن اقدام نماید.

تبصره۲ـ در صورتی که پس از ارائه برنامه عملیاتی، دستگاه هماهنگ کننده مربوطه مغایرتی نسبت به آن اعلام نماید، دستگاه اجرایی موظف است نسبت به رفع مغایرت اعلامی اقدام نماید.

تبصره۳ـ هرگونه تخصیص و هزینه کرد اعتبارات بخش “حداقل یک درصد از اعتبارات هزینه ای (به استثنای فصول ۱، ۵ و ۷) و تملک دارایی های سرمایه ای” موضوع قانون، در غیر از برنامه عملیاتی تائید شده، ممنوع است.

ماده۴ـ دستگاه هماهنگ کننده مربوط موظف است نسبت به ارزیابی امنیت رایانیکی (سایبری) دستگاه اجرایی حوزه مأموریت خود، با بهره گیری از شرکت های دارای مجوز ممیزی امنیت و ارزیابی امنیتی با رعایت بند الف ماده ۱۰۳ قانون برنامه هفتم پیشرفت از سازمان فناوری اطلاعات ایران، اقدام نموده و نتایج ارزیابی و رتبه دستگاه اجرایی را بر مبنای چهارچوب رتبه بندی به وزارت ارسال نماید. وزارت موظف است نتایج ارزیابی و رتبه بندی سالانه امنیت رایانیکی (سایبری) دستگاه های اجرایی را به مرکز اعلام نماید.

تبصره ـ وزارت موظف است گزارش موضوع این آیین نامه را به سازمان اداری و استخدامی کشور اعلام و سازمان مذکور نیز موظف است این نتایج را در ارزیابی سالیانه عملکرد دستگاه ها لحاظ نماید.

ماده۵ ـ دستگاه های اجرایی مجازند در صورت نیاز به استفاده از ظرفیت شرکت های غیردولتی در اجرای برنامه عملیاتی تأیید شده، صرفاً از شرکت های دارای پروانه ارائه خدمات امنیتی از سازمان فناوری اطلاعات استفاده نمایند.

ماده۶ ـ دستگاه های اجرایی موظفند گزارش پیشرفت اجرای برنامه عملیاتی خود را به صورت سه ماهه به دستگاه هماهنگ کننده مربوطه ارائه و دستگاه های هماهنگ کننده نیز موظفند گزارش های مورد تأیید را به سازمان برنامه ارسال نمایند.

ماده۷ـ در صورت اعلام دستگاه هماهنگ کننده مبنی بر انحراف در کیفیت اجرای برنامه تأییدشده، ذی حساب دستگاه اجرایی موظف است نسبت به توقف هزینه کرد اعتبار در موارد دارای انحراف اقدام نماید. هزینه کرد اعتبار در این موارد، پس از رفع انحراف خواهد بود.

ماده۸ ـ سازمان اداری و استخدامی کشور موظف است بر اساس اولویت های دستگاه های هماهنگ کننده و با همکاری دستگاه های اجرایی نسبت به آموزش، مهارت آموزی و سطح بندی متخصصین مورد نیاز موضوع این آیین نامه اقدام نمایند.

ماده۹ـ به منظور ارتقای توانمندی های تولیدی و فناورانه کشور در حوزه های مرتبط با اجرای قانون، دستگاه های هماهنگ کننده موظفند اقلام راهبردی مورد نیاز کشور برای اجرای برنامه های عملیاتی را به معاونت علمی، فناوری و اقتصاد دانش بنیان رئیس جمهور اعلام نمایند.

تبصره ـ معاونت علمی، فناوری و اقتصاد دانش بنیان رئیس جمهور موظف است با همکاری دستگاه های اجرایی ذی ربط نسبت به حمایت از داخلی سازی و توسعه توانمندی فناورانه موضوع این ماده، با استفاده از ظرفیت بخش های غیردولتی اقدام نماید.

ماده۱۰ـ دستگاه های اجرایی متولی ۲۰ پروژه پیشران دولت هوشمند، پس از اخذ تاییدیه برنامه از کارگروه موضوع ماده (۲) آیین نامه بند (ج) ماده ۱۰۷ قانون برنامه هفتم پیشرفت و با رعایت چهارچوب برنامه عملیاتی، می توانند از اعتبار منابع نیم درصد موضوع قانون استفاده کنند. تخصیص اعتبار قانون توسط سازمان برنامه، پس از تأیید کارگروه مزبور است.