Ngay sau khi Luật An toàn thông tin mạng được thông qua, Chính phủ đã lên kế hoạch xây dựng và ban hành các văn bản hướng dẫn dưới Luật trong năm 2016. Cho đến nay, 03 Nghị định đã được Chính phủ ban hành. Vậy mỗi nghị định quy định gì, có hiệu lực khi nào và nghị định nào đã hết hiệu lực, các nghị định điều chỉnh vấn đề gì? Sau đây, ACC muốn gửi tới quý bạn đọc bài viết "Nghị định hướng dẫn thi hành Luật an toàn thông tin mạng" và một vài vấn đề pháp lý liên quan:
1. Các Nghị định hướng dẫn thi hành Luật An toàn thông tin mạng
- Nghị định 58/2016/NĐ-CP ngày 01/7/2016 quy định chi tiết về kinh doanh sản phẩm, dịch vụ mật mã dân sự và xuất khẩu, nhập khẩu sản phẩm mật mã dân sự.
- Nghị định 108/2016/NĐ-CP, ngày 01/7/2016 quy định chi tiết điều kiện kinh doanh sản phẩm, dịch vụ an toàn thông tin mạng.
- Nghị định 85/2016/NĐ-CP, ngày 01/7/2016 quy định về bảo đảm an toàn hệ thống thông tin theo cấp độ.
Các nghị định này ra đời đã kịp thời cụ thể hóa các nội dung cơ bản trong Luật ATTTM, tạo điều kiện để cơ quan quản lý nhà nước thực thi công tác quản lý và các tổ chức thấy rõ trách nhiệm trong công tác đảm bảo an toàn các hệ thống thông tin của mình. Bên cạnh đó, các tổ chức, cá nhân hoạt động trong lĩnh vực ATTT có hành lang pháp lý cụ thể cho các hoạt động sản xuất, kinh doanh. Các nghị định này đều có hiệu lực thi hành từ ngày 1/7/2016.
2. Tóm tắt các Nghị định hướng dẫn thi hành Luật An toàn thông tin mạng
2.1 Nghị định 58/2016/NĐ-CP ngày 01/7/2016
Nghị định này quy định cụ thể một số nội dung trong Chương IV. Mật mã dân sự của Luật ATTTM, về điều kiện doanh nghiệp được cấp Giấy phép kinh doanh sản phẩm, dịch vụ mật mã dân sự. Trong đó, doanh nghiệp được cấp Giấy phép khi đáp ứng đủ các điều kiện: Có đội ngũ quản lý, điều hành, kỹ thuật đáp ứng yêu cầu chuyên môn về bảo mật và an toàn thông tin (BM&ATTT); có hệ thống trang thiết bị, cơ sở vật chất phù hợp với quy mô cung cấp sản phẩm, dịch vụ mật mã dân sự; có phương án kỹ thuật phù hợp với tiêu chuẩn, quy chuẩn kỹ thuật; có phương án bảo mật và ATTTM trong quá trình quản lý và cung cấp sản phẩm, dịch vụ mật mã dân sự; có phương án kinh doanh phù hợp.
Về điều kiện đội ngũ quản lý, điều hành, kỹ thuật đáp ứng yêu cầu chuyên môn về BM&ATTT, Nghị định nêu rõ, doanh nghiệp phải có ít nhất 2 cán bộ kỹ thuật có trình độ đại học trở lên thuộc một trong các ngành điện tử - viễn thông, công nghệ thông tin, toán học, ATTT; cán bộ quản lý, điều hành tốt nghiệp một trong các ngành điện tử - viễn thông, công nghệ thông tin, toán học, ATTT hoặc tốt nghiệp một ngành khác và có chứng chỉ đào tạo về ATTT.
Về điều kiện có phương án kinh doanh phù hợp, Nghị định quy định: Doanh nghiệp phải có hệ thống phục vụ khách hàng và đảm bảo kỹ thuật phù hợp với phạm vi, đối tượng cung cấp, quy mô số lượng sản phẩm.
Việc cấp mới, sửa đổi, bổ sung, cấp lại, gia hạn Giấy phép kinh doanh sản phẩm, dịch vụ mật mã dân sự được thực hiện theo quy định tại Điều 32, Điều 33 của Luật ATTTM. Doanh nghiệp thực hiện các thủ tục cấp mới, sửa đổi, bổ sung, cấp lại, gia hạn Giấy phép kinh doanh sản phẩm, dịch vụ mật mã dân sự nộp hồ sơ trực tiếp, hoặc qua hệ thống bưu chính, hoặc dịch vụ công trực tuyến đến Ban Cơ yếu Chính phủ thông qua Cục Quản lý mật mã dân sự và Kiểm định sản phẩm mật mã.
Để quản lý hoạt động kinh doanh, xuất nhập khẩu sản phẩm mật mã dân sự, tại Nghị định 58, Chính phủ đã ban hành Danh mục sản phẩm, dịch vụ mật mã dân sự và Danh mục sản phẩm mật mã dân sự xuất khẩu, nhập khẩu theo Giấy phép.
2.2 Nghị định 108/2016/NĐ-CP ngày 01/7/2016
Nghị định này quy định cụ thể một số nội dung trong Chương VI. Kinh doanh an toàn thông tin của Luật ATTTM, về điều kiện doanh nghiệp được cấp Giấy phép kinh doanh sản phẩm, dịch vụ ATTTM.
Theo đó, Bộ Thông tin và Truyền thông cấp Giấy phép kinh doanh sản phẩm, dịch vụ ATTTM. Loại giấy phép này có thời hạn là 10 năm.
Nghị định quy định dịch vụ ATTTM bao gồm: Dịch vụ giám sát ATTTM; dịch vụ phòng ngừa, chống tấn công mạng; dịch vụ tư vấn ATTTM; dịch vụ ứng cứu sự cố ATTTM; dịch vụ khôi phục dữ liệu; dịch vụ kiểm tra, đánh giá ATTTM; dịch vụ bảo mật thông tin không sử dụng mật mã dân sự.
Đối với các sản phẩm dịch vụ ATTTM, Nghị định quy định về sản phẩm kiểm tra, đánh giá ATTTM, trong đó gồm các thiết bị phần cứng, phần mềm có các chức năng rà quét, kiểm tra, phân tích cấu hình, hiện trạng, dữ liệu nhật ký của hệ thống thông tin; phát hiện lỗ hổng, điểm yếu; đưa ra đánh giá rủi ro ATTT.
Sản phẩm giám sát ATTTM là các thiết bị phần cứng, phần mềm có các chức năng giám sát, phân tích dữ liệu truyền trên hệ thống thông tin; thu thập, phân tích dữ liệu nhật ký theo thời gian thực; phát hiện và đưa ra cảnh báo sự kiện bất thường, có nguy cơ gây mất ATTT và các sản phẩm chống tấn công, xâm nhập vào hệ thống thông tin.
Bên cạnh đó, Nghị định cũng quy định các điều kiện cấp Giấy phép kinh doanh sản phẩm, dịch vụ ATTTM. Nghị định nêu rõ, doanh nghiệp được cấp Giấy phép kinh doanh sản phẩm, dịch vụ ATTTM khi đáp ứng đủ các điều kiện quy định tại Điều 42 của Luật ATTTM và các điều kiện tại Nghị định này.
Đối với hoạt động nhập khẩu sản phẩm ATTTM, doanh nghiệp cần đáp ứng điều kiện quy định tại Nghị định như: có đội ngũ quản lý, điều hành đáp ứng được yêu cầu chuyên môn về ATTT; có cán bộ kỹ thuật chịu trách nhiệm chính có bằng đại học chuyên ngành hoặc chứng chỉ ATTT, công nghệ thông tin hoặc điện tử viễn thông với số lượng nhân sự đáp ứng được quy mô, yêu cầu của phương án kinh doanh; có phương án kinh doanh phù hợp....
2.3 Nghị định 85/2016/NĐ-CP ngày 01/7/2016
Nghị định này quy định cụ thể một số nội dung trong Chương III. Bảo đảm an toàn thông tin mạng của Luật ATTTM về bảo vệ Hệ thống thông tin.
Theo đó, người đứng đầu của cơ quan, tổ chức là chủ quản hệ thống thông tin có trách nhiệm trực tiếp chỉ đạo và phụ trách công tác bảo đảm ATTT trong hoạt động của cơ quan, tổ chức mình. Trong trường hợp chưa có đơn vị chuyên trách về ATTT độc lập, người đứng đầu của cơ quan, tổ chức là chủ quản hệ thống thông tin có trách nhiệm chỉ định đơn vị chuyên trách về công nghệ thông tin làm nhiệm vụ chuyên trách về ATTT; thành lập hoặc chỉ định bộ phận chuyên trách về ATTT trực thuộc đơn vị chuyên trách về công nghệ thông tin.
Chủ quản hệ thống thông tin có trách nhiệm chỉ đạo, tổ chức thực hiện phương án bảo đảm an toàn hệ thống thông tin theo cấp độ đối với hệ thống thông tin thuộc phạm vi mình quản lý.
Đơn vị chuyên trách về ATTT của chủ quản hệ thống thông tin có trách nhiệm tham mưu, tổ chức thực thi, đôn đốc, kiểm tra, giám sát công tác bảo đảm ATTT. Nghị định áp dụng đối với cơ quan, tổ chức, cá nhân tham gia, hoặc có liên quan đến hoạt động xây dựng, thiết lập, quản lý, vận hành, nâng cấp, mở rộng hệ thống thông tin tại Việt Nam phục vụ ứng dụng công nghệ thông tin trong hoạt động của cơ quan, tổ chức nhà nước, ứng dụng công nghệ thông tin trong việc cung cấp dịch vụ trực tuyến phục vụ người dân và doanh nghiệp.
Nguyên tắc bảo đảm hệ thống thông tin theo cấp độ trong hoạt động của cơ quan, tổ chức là phải được thực hiện thường xuyên, liên tục từ khâu thiết kế, xây dựng, vận hành đến khi hủy bỏ, tuân thủ theo tiêu chuẩn, quy chuẩn kỹ thuật; thực hiện một cách tổng thể, đồng bộ, tập trung trong việc đầu tư các giải pháp bảo vệ, có sự dùng chung, chia sẻ tài nguyên để tối ưu hóa hiệu năng, tránh đầu tư thừa, trùng lặp; phân bố nguồn lực thực phải hiện theo thứ tự ưu tiên từ cấp độ cao xuống cấp độ thấp.
Trên đây là toàn bộ nội dung giới thiệu của chúng tôi về Nghị định hướng dẫn thi hành Luật an toàn thông tin mạng, cũng như các vấn đề pháp lý có liên quan. Trong quá trình tìm hiểu nếu như quý bạn đọc còn thắc mắc và có nhu cầu sử dụng dịch vụ tư vấn của ACC về thời hạn giấy ủy quyền nhận lương hưu vui lòng liên hệ với chúng tôi bằng cách để lại bình luận hoặc liên hệ qua các thông tin dưới đây để được tư vấn và giải đáp một cách cụ thể nhất.
Nội dung bài viết:
Bình luận