Trong bối cảnh công nghệ thông tin phát triển mạnh mẽ, việc đảm bảo an toàn thông tin và dữ liệu cá nhân trở nên vô cùng cấp thiết. Sở Tư pháp tỉnh Tuyên Quang biên soạn tài liệu hỏi - đáp: tiêu chuẩn kỹ thuật và kiểm định trong lĩnh vực an toàn thông tin và dữ liệu nhằm cung cấp cái nhìn tổng quan và những kiến thức cốt lõi về các quy định pháp luật hiện hành của Việt Nam trong lĩnh vực này, bao gồm Luật An toàn thông tin mạng, Luật An ninh mạng, Luật Dữ liệu và các văn bản hướng dẫn liên quan. Với cấu trúc hỏi - đáp rõ ràng, dễ hiểu, chúng tôi hy vọng tài liệu sẽ là cẩm nang hữu ích, giúp các cơ quan, tổ chức, doanh nghiệp và cá nhân trên địa bàn tỉnh Tuyên Quang nâng cao nhận thức, tuân thủ đúng các quy định về tiêu chuẩn kỹ thuật và kiểm định, góp phần xây dựng không gian mạng an toàn, lành mạnh.

HỎI: Tiêu chuẩn kỹ thuật an toàn thông tin mạng là gì?

TRẢ LỜI: Tiêu chuẩn kỹ thuật an toàn thông tin mạng là các quy định về đặc tính kỹ thuật và yêu cầu quản lý tối thiểu cần phải đáp ứng để bảo đảm an toàn thông tin mạng. (Khoản 8, Điều 3, Luật An toàn thông tin mạng 2015)

HỎI: Kiểm định an toàn thông tin mạng là gì?

TRẢ LỜI: Kiểm định an toàn thông tin mạng là hoạt động đánh giá, xác nhận sự phù hợp về an toàn thông tin mạng của hệ thống thông tin, sản phẩm, dịch vụ công nghệ thông tin theo tiêu chuẩn, quy chuẩn kỹ thuật. (Khoản 11, Điều 3, Luật An toàn thông tin mạng 2015)

HỎI: Quy chuẩn kỹ thuật an toàn thông tin mạng là gì?

TRẢ LỜI: Quy chuẩn kỹ thuật an toàn thông tin mạng là quy định về đặc tính kỹ thuật và yêu cầu quản lý tối thiểu cần phải đáp ứng để bảo đảm an toàn thông tin mạng mà tổ chức, cá nhân phải tuân thủ. (Khoản 9, Điều 3, Luật An toàn thông tin mạng 2015)

HỎI: Cơ quan nào có trách nhiệm ban hành hoặc công bố tiêu chuẩn quốc gia về an toàn thông tin mạng?

TRẢ LỜI: Bộ Khoa học và Công nghệ có trách nhiệm chủ trì tổ chức xây dựng, thẩm định, công bố tiêu chuẩn quốc gia về an toàn thông tin mạng theo quy định của pháp luật về tiêu chuẩn, quy chuẩn kỹ thuật. (Điểm b, Khoản 2, Điều 43, Luật An toàn thông tin mạng 2015)

HỎI: Cơ quan nào có trách nhiệm xây dựng và ban hành quy chuẩn kỹ thuật quốc gia về an toàn thông tin mạng?

TRẢ LỜI: Bộ Thông tin và Truyền thông (nay là Bộ Khoa học và Công nghệ) chủ trì tổ chức xây dựng, ban hành quy chuẩn kỹ thuật quốc gia về an toàn thông tin mạng. (Điểm a, Khoản 2, Điều 43, Luật An toàn thông tin mạng 2015)

HỎI: Việc xây dựng, thẩm định, công bố tiêu chuẩn và quy chuẩn kỹ thuật về an toàn thông tin mạng phải tuân thủ nguyên tắc nào?

TRẢ LỜI: Việc xây dựng, thẩm định, công bố tiêu chuẩn và quy chuẩn kỹ thuật về an toàn thông tin mạng được thực hiện theo quy định của pháp luật về tiêu chuẩn, quy chuẩn kỹ thuật. (Khoản 1, Điều 43, Luật An toàn thông tin mạng 2015)

HỎI: Các hệ thống thông tin quan trọng quốc gia có cần tuân thủ quy chuẩn kỹ thuật về an toàn thông tin không?

TRẢ LỜI: Có. Hệ thống thông tin quan trọng quốc gia phải được kiểm tra, đánh giá định kỳ về an toàn thông tin mạng theo quy chuẩn kỹ thuật, tiêu chuẩn an toàn thông tin mạng. (Khoản 3, Điều 20, Luật An toàn thông tin mạng 2015)

HỎI: Hệ thống thông tin cần phải đáp ứng những yêu cầu cơ bản nào về an toàn thông tin mạng?

TRẢ LỜI: Hệ thống thông tin phải được thiết kế, xây dựng, vận hành, duy trì, nâng cấp, hủy bỏ phải tuân thủ tiêu chuẩn, quy chuẩn kỹ thuật về an toàn thông tin mạng. (Khoản 1, Điều 20, Luật An toàn thông tin mạng 2015)

HỎI: Đối với hệ thống thông tin cấp độ 1, yêu cầu về an toàn thông tin là gì?

TRẢ LỜI: Hệ thống thông tin cấp độ 1 là hệ thống thông tin phục vụ hoạt động nội bộ của cơ quan, tổ chức, doanh nghiệp và không có yêu cầu đặc biệt về bảo mật, tính toàn vẹn và tính sẵn sàng. Yêu cầu về an toàn thông tin đối với hệ thống thông tin cấp độ 1 là bảo đảm tính bảo mật, tính toàn vẹn và tính sẵn sàng ở mức cơ bản, tuân thủ các quy định chung về an toàn thông tin mạng. (Nghị định số 85/2016/NĐ-CP về bảo đảm an toàn hệ thống thông tin theo cấp độ)

HỎI: Đối với hệ thống thông tin cấp độ 3, yêu cầu về an toàn thông tin là gì?

TRẢ LỜI: Hệ thống thông tin cấp độ 3 là hệ thống thông tin xử lý thông tin quan trọng của cơ quan nhà nước, tổ chức chính trị, tổ chức chính trị - xã hội, tổ chức sự nghiệp công lập, doanh nghiệp nhà nước, hoặc thông tin bí mật nhà nước ở mức độ Mật. Yêu cầu về an toàn thông tin đối với hệ thống thông tin cấp độ 3 là bảo đảm tính bảo mật, tính toàn vẹn và tính sẵn sàng ở mức độ cao, áp dụng các biện pháp kỹ thuật và nghiệp vụ chặt chẽ theo tiêu chuẩn, quy chuẩn kỹ thuật quốc gia về an toàn thông tin mạng, đồng thời phải có phương án dự phòng, phục hồi hệ thống khi có sự cố. (Nghị định số 85/2016/NĐ-CP về bảo đảm an toàn hệ thống thông tin theo cấp độ)

HỎI: Ai là người có quyền kiểm tra, đánh giá an toàn thông tin mạng đối với hệ thống thông tin quan trọng quốc gia?

TRẢ LỜI: Bộ Thông tin và Truyền thông (nay là Bộ Khoa học và Công nghệ)chủ trì, phối hợp với Bộ Công an, Bộ Quốc phòng và các bộ, ngành liên quan tổ chức kiểm tra, đánh giá định kỳ về an toàn thông tin mạng đối với hệ thống thông tin quan trọng quốc gia.

(Khoản 3, Điều 20, Luật An toàn thông tin mạng 2015)

HỎI: Hoạt động kiểm định an toàn thông tin mạng được thực hiện theo nguyên tắc nào?

TRẢ LỜI: Hoạt động kiểm định an toàn thông tin mạng phải tuân thủ tiêu chuẩn, quy chuẩn kỹ thuật về an toàn thông tin mạng, bảo đảm khách quan, công khai, minh bạch, không phân biệt đối xử. (Khoản 2, Điều 44, Luật An toàn thông tin mạng 2015)

HỎI: Những loại sản phẩm, dịch vụ công nghệ thông tin nào cần phải được kiểm định an toàn thông tin mạng trước khi đưa vào sử dụng?

TRẢ LỜI: Sản phẩm, dịch vụ công nghệ thông tin quan trọng, sản phẩm, dịch vụ công nghệ thông tin sử dụng cho hệ thống thông tin quan trọng quốc gia, sản phẩm, dịch vụ công nghệ thông tin có chức năng bảo mật thông tin, bảo vệ dữ liệu cá nhân phải được kiểm định về an toàn thông tin mạng trước khi đưa vào sử dụng. (Khoản 1, Điều 44, Luật An toàn thông tin mạng 2015)

HỎI: Cơ quan nào có thẩm quyền cấp giấy chứng nhận kiểm định an toàn thông tin mạng?

TRẢ LỜI: Bộ Thông tin và Truyền thông (nay là Bộ Khoa học và Công nghệ) quy định chi tiết về việc kiểm định an toàn thông tin mạng và có thẩm quyền cấp giấy chứng nhận kiểm định an toàn thông tin mạng. (Khoản 3, Điều 44, Luật An toàn thông tin mạng 2015 và các văn bản hướng dẫn chi tiết)

HỎI: Kiểm tra, đánh giá an ninh mạng đối với hệ thống thông tin quan trọng về an ninh quốc gia được thực hiện bởi cơ quan nào?

TRẢ LỜI: Lực lượng chuyên trách bảo vệ an ninh mạng thuộc Bộ Công an, Bộ Quốc phòng chủ trì, phối hợp với các cơ quan, tổ chức liên quan thực hiện kiểm tra, đánh giá an ninh mạng đối với hệ thống thông tin quan trọng về an ninh quốc gia. (Khoản 2, Điều 25, Luật An ninh mạng 2018)

HỎI: Việc kiểm tra, đánh giá an ninh mạng cần phải tuân thủ những yêu cầu nào?

TRẢ LỜI: Việc kiểm tra, đánh giá an ninh mạng phải tuân thủ quy định của pháp luật về an ninh mạng, bảo đảm bí mật nhà nước, bí mật công tác và các quy định pháp luật có liên quan. (Khoản 3, Điều 25, Luật An ninh mạng 2018)

HỎI: Tổ chức, cá nhân xử lý dữ liệu cá nhân có cần áp dụng các biện pháp kỹ thuật và biện pháp an ninh mạng để bảo vệ dữ liệu không?

TRẢ LỜI: Có. Tổ chức, cá nhân xử lý dữ liệu cá nhân phải áp dụng các biện pháp kỹ thuật và biện pháp an ninh mạng để bảo vệ dữ liệu cá nhân, bao gồm các biện pháp phòng ngừa, phát hiện, ngăn chặn, xử lý hành vi vi phạm pháp luật về bảo vệ dữ liệu cá nhân. (Khoản 1, Điều 26, Luật Dữ liệu 2024)

HỎI: Các biện pháp kỹ thuật để bảo vệ dữ liệu cá nhân bao gồm những gì?

TRẢ LỜI: Các biện pháp kỹ thuật bao gồm: mã hóa dữ liệu, che dấu dữ liệu, kiểm soát truy cập, sao lưu, phục hồi dữ liệu, kiểm tra, đánh giá định kỳ về an toàn dữ liệu. (Trích dẫn từ Khoản 2, Điều 26, Luật Dữ liệu 2024)

HỎI: Các biện pháp an ninh mạng để bảo vệ dữ liệu cá nhân bao gồm những gì?

TRẢ LỜI: Các biện pháp an ninh mạng bao gồm: phòng, chống mã độc, tấn công mạng, giám sát, phát hiện, cảnh báo, xử lý sự cố an ninh mạng. (Trích dẫn từ Khoản 3, Điều 26, Luật Dữ liệu 2024)

HỎI: Tổ chức, cá nhân xử lý dữ liệu cá nhân cần phải tuân thủ tiêu chuẩn, quy chuẩn kỹ thuật nào về bảo vệ dữ liệu cá nhân?

TRẢ LỜI: Tổ chức, cá nhân xử lý dữ liệu cá nhân phải tuân thủ tiêu chuẩn, quy chuẩn kỹ thuật về bảo vệ dữ liệu cá nhân do cơ quan có thẩm quyền ban hành. (Khoản 4, Điều 26, Luật Dữ liệu 2024)

HỎI: Trách nhiệm của chủ quản hệ thống thông tin trong việc áp dụng tiêu chuẩn, quy chuẩn kỹ thuật an toàn thông tin mạng là gì?

TRẢ LỜI: Chủ quản hệ thống thông tin có trách nhiệm áp dụng tiêu chuẩn, quy chuẩn kỹ thuật an toàn thông tin mạng đối với hệ thống thông tin thuộc phạm vi quản lý; kiểm tra, đánh giá định kỳ về an toàn thông tin mạng; khắc phục kịp thời lỗ hổng bảo mật, điểm yếu của hệ thống. (Khoản 1, Điều 28, Luật An toàn thông tin mạng 2015)

HỎI: Trách nhiệm của doanh nghiệp cung cấp dịch vụ viễn thông, Internet trong việc bảo đảm an toàn thông tin mạng là gì?

TRẢ LỜI: Doanh nghiệp cung cấp dịch vụ viễn thông, Internet có trách nhiệm phối hợp với cơ quan nhà nước có thẩm quyền trong việc bảo đảm an toàn thông tin mạng, triển khai các biện pháp kỹ thuật cần thiết để bảo vệ hệ thống thông tin và thông tin cá nhân của người sử dụng. (Khoản 2, Điều 29, Luật An toàn thông tin mạng 2015)

HỎI: Cá nhân có trách nhiệm gì trong việc bảo đảm an toàn thông tin mạng?

TRẢ LỜI: Cá nhân có trách nhiệm tuân thủ quy định của pháp luật về an toàn thông tin mạng; bảo vệ thông tin cá nhân của mình; kịp thời thông báo cho cơ quan nhà nước có thẩm quyền khi phát hiện hành vi vi phạm pháp luật về an toàn thông tin mạng. (Điều 30, Luật An toàn thông tin mạng 2015)

HỎI: Hành vi vi phạm quy định về tiêu chuẩn, quy chuẩn kỹ thuật an toàn thông tin mạng sẽ bị xử lý như thế nào?

TRẢ LỜI: Hành vi vi phạm quy định về tiêu chuẩn, quy chuẩn kỹ thuật an toàn thông tin mạng, tùy theo tính chất, mức độ vi phạm mà bị xử lý kỷ luật, xử phạt vi phạm hành chính hoặc bị truy cứu trách nhiệm hình sự theo quy định của pháp luật. (Điều 57, Luật An toàn thông tin mạng 2015)

HỎI: Hành vi vi phạm quy định về kiểm định an toàn thông tin mạng sẽ bị xử lý như thế nào?

TRẢ LỜI: Hành vi vi phạm quy định về kiểm định an toàn thông tin mạng, tùy theo tính chất, mức độ vi phạm mà bị xử lý kỷ luật, xử phạt vi phạm hành chính hoặc bị truy cứu trách nhiệm hình sự theo quy định của pháp luật. (Điều 57, Luật An toàn thông tin mạng 2015)

HỎI: Việc quản lý, vận hành, khai thác hệ thống thông tin quan trọng về an ninh quốc gia phải tuân thủ quy định nào về tiêu chuẩn kỹ thuật?

TRẢ LỜI: Việc quản lý, vận hành, khai thác hệ thống thông tin quan trọng về an ninh quốc gia phải tuân thủ các quy định về tiêu chuẩn, quy chuẩn kỹ thuật do cơ quan có thẩm quyền ban hành nhằm bảo đảm an ninh mạng. (Khoản 1, Điều 24, Luật An ninh mạng 2018)

HỎI: Cơ quan nhà nước có thẩm quyền nào có trách nhiệm phối hợp trong việc xây dựng và áp dụng các tiêu chuẩn kỹ thuật về an ninh mạng?

TRẢ LỜI: Bộ Công an chủ trì, phối hợp với Bộ Quốc phòng, Bộ Thông tin và Truyền thông (nay là Bộ Khoa học và Công nghệ) và các bộ, ngành liên quan xây dựng và áp dụng các tiêu chuẩn, quy chuẩn kỹ thuật về an ninh mạng. (Khoản 2, Điều 30, Luật An ninh mạng 2018)

HỎI: Tổ chức, cá nhân tham gia vào hoạt động an ninh mạng có cần tuân thủ các quy định về tiêu chuẩn kỹ thuật không?

TRẢ LỜI: Có. Tổ chức, cá nhân tham gia vào hoạt động an ninh mạng phải tuân thủ các quy định về tiêu chuẩn, quy chuẩn kỹ thuật liên quan đến bảo vệ an ninh mạng. (Khoản 3, Điều 30, Luật An ninh mạng 2018)

HỎI: Để đảm bảo an toàn thông tin và dữ liệu, các hệ thống thông tin mới cần tuân thủ những nguyên tắc nào về thiết kế và xây dựng?

TRẢ LỜI: Các hệ thống thông tin mới khi thiết kế và xây dựng phải tuân thủ nguyên tắc "an toàn ngay từ khâu thiết kế" (security by design), nghĩa là tích hợp các yêu cầu về an toàn thông tin ngay từ giai đoạn đầu của vòng đời phát triển hệ thống, đồng thời đáp ứng các tiêu chuẩn, quy chuẩn kỹ thuật hiện hành về an toàn thông tin mạng và bảo vệ dữ liệu. (Khoản 1, Điều 20, Luật An toàn thông tin mạng 2015 và các quy định về bảo vệ dữ liệu cá nhân trong Luật Dữ liệu 2024)