Tìm kiếm

Chương II Luật An ninh mạng 2018: Bảo vệ an ninh mạng đối với hệ thống thông tin quan trọng về an ninh quốc gia

Chương II
Bảo vệ an ninh mạng đối với hệ thống thông tin quan trọng về an ninh quốc gia
Điều 10. Hệ thống thông tin quan trọng về an ninh quốc gia

1. Hệ thống thông tin quan trọng về an ninh quốc gia là hệ thống thông tin khi bị sự cố, xâm nhập, chiếm quyền điều khiển, làm sai lệch, gián đoạn, ngưng trệ, tê liệt, tấn công hoặc phá hoại sẽ xâm phạm nghiêm trọng an ninh mạng.

2. Hệ thống thông tin quan trọng về an ninh quốc gia bao gồm:

a) Hệ thống thông tin quân sự, an ninh, ngoại giao, cơ yếu;

b) Hệ thống thông tin lưu trữ, xử lý thông tin thuộc bí mật nhà nước;

c) Hệ thống thông tin phục vụ lưu giữ, bảo quản hiện vật, tài liệu có giá trị đặc biệt quan trọng;

d) Hệ thống thông tin phục vụ bảo quản vật liệu, chất đặc biệt nguy hiểm đối với con người, môi trường sinh thái;

đ) Hệ thống thông tin phục vụ bảo quản, chế tạo, quản lý cơ sở vật chất đặc biệt quan trọng khác liên quan đến an ninh quốc gia;

e) Hệ thống thông tin quan trọng phục vụ hoạt động của cơ quan, tổ chức ở trung ương;

g) Hệ thống thông tin quốc gia thuộc lĩnh vực năng lượng, tài chính, ngân hàng, viễn thông, giao thông vận tải, tài nguyên và môi trường, hóa chất, y tế, văn hóa, báo chí;

h) Hệ thống điều khiển và giám sát tự động tại công trình quan trọng liên quan đến an ninh quốc gia, mục tiêu quan trọng về an ninh quốc gia.

3. Thủ tướng Chính phủ ban hành và sửa đổi, bổ sung Danh mục hệ thống thông tin quan trọng về an ninh quốc gia.

4. Chính phủ quy định việc phối hợp giữa Bộ Công an, Bộ Quốc phòng, Bộ Thông tin và Truyền thông, Ban Cơ yếu Chính phủ, các Bộ, ngành chức năng trong việc thẩm định, đánh giá, kiểm tra, giám sát, ứng phó, khắc phục sự cố đối với hệ thống thông tin quan trọng về an ninh quốc gia.

Điều 11. Thẩm định an ninh mạng đối với hệ thống thông tin quan trọng về an ninh quốc gia

1. Thẩm định an ninh mạng là hoạt động xem xét, đánh giá những nội dung về an ninh mạng để làm cơ sở cho việc quyết định xây dựng hoặc nâng cấp hệ thống thông tin.

2. Đối tượng thẩm định an ninh mạng đối với hệ thống thông tin quan trọng về an ninh quốc gia bao gồm:

a) Báo cáo nghiên cứu tiền khả thi, hồ sơ thiết kế thi công dự án đầu tư xây dựng hệ thống thông tin trước khi phê duyệt;

b) Đề án nâng cấp hệ thống thông tin trước khi phê duyệt.

3. Nội dung thẩm định an ninh mạng đối với hệ thống thông tin quan trọng về an ninh quốc gia bao gồm:

a) Việc tuân thủ quy định, điều kiện an ninh mạng trong thiết kế;

b) Sự phù hợp với phương án bảo vệ, ứng phó, khắc phục sự cố và bố trí nhân lực bảo vệ an ninh mạng.

4. Thẩm quyền thẩm định an ninh mạng đối với hệ thống thông tin quan trọng về an ninh quốc gia được quy định như sau:

a) Lực lượng chuyên trách bảo vệ an ninh mạng thuộc Bộ Công an thẩm định an ninh mạng đối với hệ thống thông tin quan trọng về an ninh quốc gia, trừ trường hợp quy định tại điểm b và điểm c khoản này;

b) Lực lượng chuyên trách bảo vệ an ninh mạng thuộc Bộ Quốc phòng thẩm định an ninh mạng đối với hệ thống thông tin quân sự;

c) Ban Cơ yếu Chính phủ thẩm định an ninh mạng đối với hệ thống thông tin cơ yếu thuộc Ban Cơ yếu Chính phủ.

Điều 12. Đánh giá điều kiện an ninh mạng đối với hệ thống thông tin quan trọng về an ninh quốc gia

1. Đánh giá điều kiện về an ninh mạng là hoạt động xem xét sự đáp ứng về an ninh mạng của hệ thống thông tin trước khi đưa vào vận hành, sử dụng.

2. Hệ thống thông tin quan trọng về an ninh quốc gia phải đáp ứng các điều kiện sau đây về:

a) Quy định, quy trình và phương án bảo đảm an ninh mạng; nhân sự vận hành, quản trị hệ thống;

b) Bảo đảm an ninh mạng đối với trang thiết bị, phần cứng, phần mềm là thành phần hệ thống;

c) Biện pháp kỹ thuật để giám sát, bảo vệ an ninh mạng; biện pháp bảo vệ hệ thống điều khiển và giám sát tự động, Internet vạn vật, hệ thống phức hợp thực - ảo, điện toán đám mây, hệ thống dữ liệu lớn, hệ thống dữ liệu nhanh, hệ thống trí tuệ nhân tạo;

d) Biện pháp bảo đảm an ninh vật lý bao gồm cách ly cô lập đặc biệt, chống rò rỉ dữ liệu, chống thu tin, kiểm soát ra vào.

3. Thẩm quyền đánh giá điều kiện an ninh mạng đối với hệ thống thông tin quan trọng về an ninh quốc gia được quy định như sau:

a) Lực lượng chuyên trách bảo vệ an ninh mạng thuộc Bộ Công an đánh giá, chứng nhận đủ điều kiện an ninh mạng đối với hệ thống thông tin quan trọng về an ninh quốc gia, trừ trường hợp quy định tại điểm b và điểm c khoản này;

b) Lực lượng chuyên trách bảo vệ an ninh mạng thuộc Bộ Quốc phòng đánh giá, chứng nhận đủ điều kiện an ninh mạng đối với hệ thống thông tin quân sự;

c) Ban Cơ yếu Chính phủ đánh giá, chứng nhận đủ điều kiện an ninh mạng đối với hệ thống thông tin cơ yếu thuộc Ban Cơ yếu Chính phủ.

4. Hệ thống thông tin quan trọng về an ninh quốc gia được đưa vào vận hành, sử dụng sau khi được chứng nhận đủ điều kiện an ninh mạng.

5. Chính phủ quy định chi tiết khoản 2 Điều này.

Điều 13. Kiểm tra an ninh mạng đối với hệ thống thông tin quan trọng về an ninh quốc gia

1. Kiểm tra an ninh mạng là hoạt động xác định thực trạng an ninh mạng của hệ thống thông tin, cơ sở hạ tầng hệ thống thông tin hoặc thông tin được lưu trữ, xử lý, truyền đưa trong hệ thống thông tin nhằm phòng ngừa, phát hiện, xử lý nguy cơ đe dọa an ninh mạng và đưa ra các phương án, biện pháp bảo đảm hoạt động bình thường của hệ thống thông tin.

2. Kiểm tra an ninh mạng đối với hệ thống thông tin quan trọng về an ninh quốc gia được thực hiện trong trường hợp sau đây:

a) Khi đưa phương tiện điện tử, dịch vụ an toàn thông tin mạng vào sử dụng trong hệ thống thông tin;

b) Khi có thay đổi hiện trạng hệ thống thông tin;

c) Kiểm tra định kỳ hằng năm;

d) Kiểm tra đột xuất khi xảy ra sự cố an ninh mạng, hành vi xâm phạm an ninh mạng; khi có yêu cầu quản lý nhà nước về an ninh mạng; khi hết thời hạn khắc phục điểm yếu, lỗ hổng bảo mật theo khuyến cáo của lực lượng chuyên trách bảo vệ an ninh mạng.

3. Đối tượng kiểm tra an ninh mạng đối với hệ thống thông tin quan trọng về an ninh quốc gia bao gồm:

a) Hệ thống phần cứng, phần mềm, thiết bị số được sử dụng trong hệ thống thông tin;

b) Quy định, biện pháp bảo vệ an ninh mạng;

c) Thông tin được lưu trữ, xử lý, truyền đưa trong hệ thống thông tin;

d) Phương án ứng phó, khắc phục sự cố an ninh mạng của chủ quản hệ thống thông tin;

đ) Biện pháp bảo vệ bí mật nhà nước và phòng, chống lộ, mất bí mật nhà nước qua các kênh kỹ thuật;

e) Nhân lực bảo vệ an ninh mạng.

4. Chủ quản hệ thống thông tin quan trọng về an ninh quốc gia có trách nhiệm kiểm tra an ninh mạng đối với hệ thống thông tin thuộc phạm vi quản lý trong trường hợp quy định tại các điểm a, b và c khoản 2 Điều này; thông báo kết quả kiểm tra bằng văn bản trước tháng 10 hằng năm cho lực lượng chuyên trách bảo vệ an ninh mạng thuộc Bộ Công an hoặc lực lượng chuyên trách bảo vệ an ninh mạng thuộc Bộ Quốc phòng đối với hệ thống thông tin quân sự.

5. Kiểm tra an ninh mạng đột xuất đối với hệ thống thông tin quan trọng về an ninh quốc gia được quy định như sau:

a) Trước thời điểm tiến hành kiểm tra, lực lượng chuyên trách bảo vệ an ninh mạng có trách nhiệm thông báo bằng văn bản cho chủ quản hệ thống thông tin ít nhất là 12 giờ trong trường hợp xảy ra sự cố an ninh mạng, hành vi xâm phạm an ninh mạng; ít nhất là 72 giờ trong trường hợp có yêu cầu quản lý nhà nước về an ninh mạng hoặc hết thời hạn khắc phục điểm yếu, lỗ hổng bảo mật theo khuyến cáo của lực lượng chuyên trách bảo vệ an ninh mạng;

b) Trong thời hạn 30 ngày kể từ ngày kết thúc kiểm tra, lực lượng chuyên trách bảo vệ an ninh mạng thông báo kết quả kiểm tra và đưa ra yêu cầu đối với chủ quản hệ thống thông tin trong trường hợp phát hiện điểm yếu, lỗ hổng bảo mật; hướng dẫn hoặc tham gia khắc phục khi có đề nghị của chủ quản hệ thống thông tin;

c) Lực lượng chuyên trách bảo vệ an ninh mạng thuộc Bộ Công an kiểm tra an ninh mạng đột xuất đối với hệ thống thông tin quan trọng về an ninh quốc gia, trừ hệ thống thông tin quân sự do Bộ Quốc phòng quản lý, hệ thống thông tin cơ yếu thuộc Ban Cơ yếu Chính phủ và sản phẩm mật mã do Ban Cơ yếu Chính phủ cung cấp để bảo vệ thông tin thuộc bí mật nhà nước.

Lực lượng chuyên trách bảo vệ an ninh mạng thuộc Bộ Quốc phòng kiểm tra an ninh mạng đột xuất đối với hệ thống thông tin quân sự.

Ban Cơ yếu Chính phủ kiểm tra an ninh mạng đột xuất đối với hệ thống thông tin cơ yếu thuộc Ban Cơ yếu Chính phủ và sản phẩm mật mã do Ban Cơ yếu Chính phủ cung cấp để bảo vệ thông tin thuộc bí mật nhà nước;

d) Chủ quản hệ thống thông tin quan trọng về an ninh quốc gia có trách nhiệm phối hợp với lực lượng chuyên trách bảo vệ an ninh mạng tiến hành kiểm tra an ninh mạng đột xuất.

6. Kết quả kiểm tra an ninh mạng được bảo mật theo quy định của pháp luật.

Điều 14. Giám sát an ninh mạng đối với hệ thống thông tin quan trọng về an ninh quốc gia

1. Giám sát an ninh mạng là hoạt động thu thập, phân tích tình hình nhằm xác định nguy cơ đe dọa an ninh mạng, sự cố an ninh mạng, điểm yếu, lỗ hổng bảo mật, mã độc, phần cứng độc hại để cảnh báo, khắc phục, xử lý.

2. Chủ quản hệ thống thông tin quan trọng về an ninh quốc gia chủ trì, phối hợp với lực lượng chuyên trách bảo vệ an ninh mạng có thẩm quyền thường xuyên thực hiện giám sát an ninh mạng đối với hệ thống thông tin thuộc phạm vi quản lý; xây dựng cơ chế tự cảnh báo và tiếp nhận cảnh báo về nguy cơ đe dọa an ninh mạng, sự cố an ninh mạng, điểm yếu, lỗ hổng bảo mật, mã độc, phần cứng độc hại và đề ra phương án ứng phó, khắc phục khẩn cấp.

3. Lực lượng chuyên trách bảo vệ an ninh mạng thực hiện giám sát an ninh mạng đối với hệ thống thông tin quan trọng về an ninh quốc gia thuộc phạm vi quản lý; cảnh báo và phối hợp với chủ quản hệ thống thông tin trong khắc phục, xử lý các nguy cơ đe dọa an ninh mạng, sự cố an ninh mạng, điểm yếu, lỗ hổng bảo mật, mã độc, phần cứng độc hại xảy ra đối với hệ thống thông tin quan trọng về an ninh quốc gia.

Điều 15. Ứng phó, khắc phục sự cố an ninh mạng đối với hệ thống thông tin quan trọng về an ninh quốc gia

1. Hoạt động ứng phó, khắc phục sự cố an ninh mạng đối với hệ thống thông tin quan trọng về an ninh quốc gia bao gồm:

a) Phát hiện, xác định sự cố an ninh mạng;

b) Bảo vệ hiện trường, thu thập chứng cứ;

c) Phong tỏa, giới hạn phạm vi xảy ra sự cố an ninh mạng, hạn chế thiệt hại do sự cố an ninh mạng gây ra;

d) Xác định mục tiêu, đối tượng, phạm vi cần ứng cứu;

đ) Xác minh, phân tích, đánh giá, phân loại sự cố an ninh mạng;

e) Triển khai phương án ứng phó, khắc phục sự cố an ninh mạng;

g) Xác minh nguyên nhân và truy tìm nguồn gốc;

h) Điều tra, xử lý theo quy định của pháp luật.

2. Chủ quản hệ thống thông tin quan trọng về an ninh quốc gia xây dựng phương án ứng phó, khắc phục sự cố an ninh mạng đối với hệ thống thông tin thuộc phạm vi quản lý; triển khai phương án ứng phó, khắc phục khi sự cố an ninh mạng xảy ra và kịp thời báo cáo với lực lượng chuyên trách bảo vệ an ninh mạng có thẩm quyền.

3. Điều phối hoạt động ứng phó, khắc phục sự cố an ninh mạng đối với hệ thống thông tin quan trọng về an ninh quốc gia được quy định như sau:

a) Lực lượng chuyên trách bảo vệ an ninh mạng thuộc Bộ Công an chủ trì điều phối hoạt động ứng phó, khắc phục sự cố an ninh mạng xảy ra đối với hệ thống thông tin quan trọng về an ninh quốc gia, trừ trường hợp quy định tại điểm b và điểm c khoản này; tham gia ứng phó, khắc phục sự cố an ninh mạng đối với hệ thống thông tin quan trọng về an ninh quốc gia khi có yêu cầu; thông báo cho chủ quản hệ thống thông tin khi phát hiện có tấn công mạng, sự cố an ninh mạng;

b) Lực lượng chuyên trách bảo vệ an ninh mạng thuộc Bộ Quốc phòng chủ trì điều phối hoạt động ứng phó, khắc phục sự cố an ninh mạng xảy ra đối với hệ thống thông tin quân sự;

c) Ban Cơ yếu Chính phủ chủ trì điều phối hoạt động ứng phó, khắc phục sự cố an ninh mạng xảy ra đối với hệ thống thông tin cơ yếu thuộc Ban Cơ yếu Chính phủ.

4. Cơ quan, tổ chức, cá nhân có trách nhiệm tham gia ứng phó, khắc phục sự cố an ninh mạng xảy ra đối với hệ thống thông tin quan trọng về an ninh quốc gia khi có yêu cầu của lực lượng chủ trì điều phối.

Chapter II

CYBERSECURITY OF NATIONAL SECURITY INFORMATION SYSTEMS

Article 10. National security information systems

1. A national security information system is an information system which will cause serious cybersecurity issues if is broken down, infiltrated, overridden, interfered with, disrupted, paralyzed, attacked or sabotaged.

2. National security information systems include:

a) Military, security, diplomacy and cryptography information systems;

b) Systems for archiving and processing state-secret information;

c) Information systems serving storage of particularly important items and documents;

d) Information systems serving storage of materials or substances that are particularly harmful to humans or the environment;

dd) Information systems serving storage, manufacturing and management of other facilities relevant to national security;

e) Important information systems serving operation of central organizations;

g) National information systems serving energy, finance, banking, telecommunications, transport, resources and environment, chemical, health, culture and press authorities;

h) Automatic monitoring and control systems at important works relevant to national security or national security targets.

3. The Prime Minister shall promulgate and revise the list of national security information systems.

4. The Government shall provide for cooperation between the Ministry of Public Security, the Ministry of National Defense, the Ministry of Information and Communications, Vietnam Government Certificate Authority (VGCA) and other ministries in appraisal, assessment, inspection, supervision of national security information systems and responses to incidents occurring thereto.

Article 11. Appraisal of cybersecurity of national security information systems

1. Cybersecurity security means assessment of cybersecurity contents as the basis for deciding development or upgrade of the information system.

2. Cybersecurity appraisal shall be carried out for:

a) Pre-feasibility study report and design documents of the information system;

b) Information system upgrade scheme.

3. Cybersecurity appraisal contents:

a) Conformity of the design with cybersecurity regulations and conditions;

b) Conformity with the cybersecurity protection and incident response plan, cybersecurity personnel.

4. The power to appraise cybersecurity of national security information systems:

a) The professional cybersecurity force of the Ministry of Public Security shall appraise cybersecurity of national security information systems, except for those mentioned in Point b and Point c of this Clause;

b) The professional cybersecurity force of the Ministry of National Defense shall appraise cybersecurity of military information systems;

c) VGCA shall appraise cybersecurity of information systems thereof.

Article 12. Assessment of cybersecurity of national security information systems

1. Assessment of cybersecurity means considering the cybersecurity capacity of the information system before such system is put into operation.

2. A national security information system shall have:

a) Regulations, procedures and plans for assurance of cybersecurity; system operators and administrators;

b) Assurance of cybersecurity of equipment, hardware and software that are system components;

c) Technical measures for monitoring and protecting cybersecurity; measures for protecting the automatic monitoring and control system. the Internet of things (IoT), mixed reality systems, cloud computing, big data, rapid data and artificial intelligence systems;

d) Physical protection measures, including isolation, prevention of data leak, information transmission control.

3. The power to assess cybersecurity of national security information systems:

a) The professional cybersecurity force of the Ministry of Public Security shall assess and certify cybersecurity of national security information systems, except for those mentioned in Point b and Point c of this Clause;

b) The professional cybersecurity force of the Ministry of National Defense shall assess and certify cybersecurity of military information systems;

c) VGCA shall assess and certify cybersecurity of information systems thereof.

4. A national security information systems will be put into operation after its cybersecurity is certified.

5. The Government shall elaborate Clause 2 of this Article.

Article 13. Inspection of cybersecurity of national security information systems

1. Inspection of cybersecurity means determination of cybersecurity status of an information system, information system infrastructure or information stored, processed or transmitted within the information system in order to prevent, discover and handle cybersecurity threats; implement plans and measures for ensuring normal operation of the information system.

2. A national security information system shall undergo cybersecurity inspection in the following cases:

a) An or network information security service or electronic device is put into use in the information system;

b) There are changes to status of the information system;

c) Annual inspection;

d) Ad hoc inspection in case of cybersecurity incidents or cybersecurity violations; at the request of a cybersecurity authority; expiration of the deadline for remediating vulnerabilities recommended by a professional cybersecurity force.

3. Cybersecurity inspection shall be carried out for:

a) Hardware systems, software systems, digital devices in information systems;

b) Cybersecurity regulations and measures;

c) Information stored, processed and transmitted within the information system;

d) Cybersecurity incident response and remediation plans of the information system admin;

dd) Measures for protection of state secrets; prevention of leak of state secrets through technical channels;

e) Cybersecurity protection.

4. The administrator of a national security information system shall carry out cybersecurity inspection in the cases mentioned in Point a through c Clause 2 of this Article and send the annual inspection report to the professional cybersecurity force of the Ministry of Public Security (or the Ministry of National Defense for military information systems) before October.

5. Ad hoc inspection of cybersecurity:

a) The cybersecurity force shall send a written notification to the system’s administrator at least 12 hours before the inspection in case of a cybersecurity incident or cybersecurity violation; at least 72 hours if the inspection is meant to serve state management of cybersecurity or the deadline for remediation of vulnerabilities has expired;

b) Within 30 days from the end of the inspection, the cybersecurity force shall send a notification and requests to the administrator in case weaknesses or vulnerabilities are found; provide instructions if requested by the admin;

c) The cybersecurity force of the Ministry of Public Security shall carry out ad hoc inspection of national security information systems other than those under the management of the Ministry of National Defense, cryptography systems of VGCA and cryptography products provided by VGCA for protection of state-secret information.

The professional cybersecurity force of the Ministry of National Defense shall carry out ad hoc cybersecurity inspection of military information systems.

VGCA shall carry out ad hoc cybersecurity inspection of its cryptography systems and cryptography products it provides for protection of state-secret information.

d) Administrators of national security information systems shall cooperate with professional cybersecurity forces in the ad hoc cybersecurity inspections.

6. The cybersecurity inspection results shall be kept confidential as prescribed by law.

Article 14. Supervision of cybersecurity of national security information systems

1. Cybersecurity supervision means collection and analysis of information in order to identify cybersecurity threats, cybersecurity incidents, weaknesses and vulnerabilities, malicious codes and hardware, based on which warnings and solutions will be made.

2. d) Administrators of national security information systems shall cooperate with professional cybersecurity forces in supervision of the systems; establish a mechanism to give warnings and receive warnings about cybersecurity threats, cybersecurity incidents, vulnerabilities, malicious codes, malicious hardware and develop emergency response plans.

3. Professional cybersecurity forces shall supervise national security information systems under their management; give warnings and cooperate with their administrators in responding to cybersecurity threats, cybersecurity incidents, vulnerabilities, malicious codes and malicious hardware.

Article 15. Response and remediation of cybersecurity incidents occurring to National security information systems

1. Response and remediation of cybersecurity incidents occurring to National security information systems include the following activities:

a) Discovery and identification of cybersecurity incidents;

b) Scene protection and evidence collection;

c) Limiting the scope of and damage caused by the incident;

d) Determination of the scope of response and subjects that need assistance;

dd) Verification, analysis, assessment and classification of the cybersecurity incident;

e) Execution of the response and remediation plan;

g) Identifying causes and origins of the incident;

h) Investigation and handling;

2. Administrators of national security information systems shall devise plans for responding to and remediating cybersecurity incidents that occur to their systems; implement such plans in case a cybersecurity incident occurs and promptly inform the competent cybersecurity force.

3. Coordinating response and remediation of cybersecurity incidents occurring to national security information systems:

a) Professional cybersecurity forces of the Ministry of Public Security shall coordinate response and remediation of cybersecurity incidents that occur to national security information systems other than those mentioned in Point b and Point c of this Clause; participate in cybersecurity incident response and remediation activities on request; inform the system administrators whenever a cyberattack or cybersecurity incident is discovered;

b) The professional cybersecurity force of the Ministry of National Defense shall coordinate response and remediation of cybersecurity incidents that occur to military information systems;

c) VGCA shall coordinate response and remediation of cybersecurity incidents that occur to their cryptography systems.

4. Other organizations and individuals are responsible for participating in response and remediation of cybersecurity incidents that occur to national security information systems at the request of the coordinating authority.

1 9 lượt xem
Trang trước
Chia sẻ
Trang sau