Tìm kiếm
Chương II Bảo đảm an toàn thông tin mạng: Bảo đảm an toàn thông tin mạng
| Số hiệu: | 86/2015/QH13 | Loại văn bản: | Luật |
| Nơi ban hành: | Quốc hội | Người ký: | Nguyễn Sinh Hùng |
| Ngày ban hành: | 19/11/2015 | Ngày hiệu lực: | 01/07/2016 |
| Ngày công báo: | 28/12/2015 | Số công báo: | Từ số 1239 đến số 1240 |
| Lĩnh vực: | Công nghệ thông tin | Tình trạng: | Còn hiệu lực |
TÓM TẮT VĂN BẢN
Luật an toàn thông tin mạng 2015 với nhiều quy định về hoạt động an toàn thông tin mạng, quyền, trách nhiệm trong việc bảo đảm an toàn thông tin mạng; mật mã dân sự; kinh doanh trong lĩnh vực an toàn thông tin mạng; phát triển nguồn nhân lực an toàn thông tin mạng;... vừa được ban hành ngày 19/11/2015.
Luật an toàn thông tin mạng năm 2015 gồm 8 Chương, 54 Điều, được tổ chức theo các Chương sau:
- Những quy định chung
- Bảo đảm an toàn thông tin mạng
- Mật mã dân sự
- Tiêu chuẩn, quy chuẩn kỹ thuật an toàn thông tin mạng
- Kinh doanh trong lĩnh vực an toàn thông tin mạng
- Phát triển nguồn nhân lực an toàn thông tin mạng
- Quản lý nhà nước về an toàn thông tin mạng
- Điều khoản thi hành
Luật 86/2015/QH13 có những điểm nổi bật sau:
- Điều 10 Luật an toàn thông tin 2015 quy định việc quản lý gửi thông tin
+ Việc gửi thông tin trên mạng phải bảo đảm các yêu cầu sau: Không giả mạo nguồn gốc gửi thông tin; Tuân thủ Luật ATTT mạng 2015 và quy định liên quan.
+ Tổ chức, cá nhân không được gửi thông tin mang tính thương mại vào địa chỉ điện tử của người tiếp nhận khi chưa được người tiếp nhận đồng ý hoặc khi người tiếp nhận đã từ chối, trừ trường hợp người tiếp nhận có nghĩa vụ phải tiếp nhận thông tin.
- Sản phẩm, dịch vụ mật mã dân sự tại Điều 30 Luật số 86/2015/QH13
+ Sản phẩm mật mã dân sự là các tài liệu, trang thiết bị kỹ thuật và nghiệp vụ mật mã để bảo vệ thông tin không thuộc phạm vi bí mật nhà nước.
+ Dịch vụ mật mã dân sự gồm dịch vụ bảo vệ thông tin sử dụng sản phẩm mật mã dân sự; kiểm định, đánh giá sản phẩm mật mã dân sự; tư vấn bảo mật, an toàn thông tin mạng sử dụng sản phẩm mật mã dân sự.
- Điều 37 Luật ATTT 2015 về tiêu chuẩn, quy chuẩn kỹ thuật an toàn thông tin mạng
+ Tiêu chuẩn an toàn thông tin mạng gồm tiêu chuẩn quốc tế, tiêu chuẩn khu vực, tiêu chuẩn nước ngoài, tiêu chuẩn quốc gia và tiêu chuẩn cơ sở đối với hệ thống thông tin, phần cứng, phần mềm, hệ thống quản lý, vận hành an toàn thông tin mạng được công bố, thừa nhận áp dụng tại Việt Nam.
+ Quy chuẩn kỹ thuật an toàn thông tin mạng gồm quy chuẩn kỹ thuật quốc gia và quy chuẩn kỹ thuật địa phương đối với hệ thống thông tin, phần cứng, phần mềm, hệ thống quản lý, vận hành an toàn thông tin mạng được xây dựng, ban hành và áp dụng tại Việt Nam.
- Quy định việc kinh doanh trong lĩnh vực an toàn thông tin mạng tại Điều 40 Luật an toàn thông tin mạng năm 2015
+ Kinh doanh trong lĩnh vực an toàn thông tin mạng là ngành, nghề kinh doanh có điều kiện. Kinh doanh trong lĩnh vực an toàn thông tin mạng gồm kinh doanh sản phẩm an toàn thông tin mạng và kinh doanh dịch vụ an toàn thông tin mạng.
+ Doanh nghiệp kinh doanh sản phẩm, dịch vụ an toàn thông tin mạng Điều 41 Luật 86 năm 2015 phải có Giấy phép kinh doanh sản phẩm, dịch vụ an toàn thông tin mạng. Thời hạn của Giấy phép kinh doanh sản phẩm, dịch vụ an toàn thông tin mạng là 10 năm.
Luật an toàn thông tin mạng 2015 có hiệu lực từ ngày 01/07/2016.
Văn bản tiếng việt
Luật an toàn thông tin mạng 2015 (Bản Pdf)
Luật an toàn thông tin mạng 2015 (Bản Word)
Văn bản tiếng anh
Điều 9. Phân loại thông tin
1. Cơ quan, tổ chức sở hữu thông tin phân loại thông tin theo thuộc tính bí mật để có biện pháp bảo vệ phù hợp.
2. Thông tin thuộc phạm vi bí mật nhà nước được phân loại và bảo vệ theo quy định của pháp luật về bảo vệ bí mật nhà nước.
Cơ quan, tổ chức sử dụng thông tin đã phân loại và chưa phân loại trong hoạt động thuộc lĩnh vực của mình phải có trách nhiệm xây dựng quy định, thủ tục để xử lý thông tin; xác định nội dung và phương pháp ghi truy nhập được phép vào thông tin đã được phân loại.
Điều 10. Quản lý gửi thông tin1. Việc gửi thông tin trên mạng phải bảo đảm các yêu cầu sau đây:
a) Không giả mạo nguồn gốc gửi thông tin;
b) Tuân thủ quy định của Luật này và quy định khác của pháp luật có liên quan.
2. Tổ chức, cá nhân không được gửi thông tin mang tính thương mại vào địa chỉ điện tử của người tiếp nhận khi chưa được người tiếp nhận đồng ý hoặc khi người tiếp nhận đã từ chối, trừ trường hợp người tiếp nhận có nghĩa vụ phải tiếp nhận thông tin theo quy định của pháp luật.
3. Doanh nghiệp viễn thông, doanh nghiệp cung cấp dịch vụ ứng dụng viễn thông và doanh nghiệp cung cấp dịch vụ công nghệ thông tin gửi thông tin có trách nhiệm sau đây:
a) Tuân thủ quy định của pháp luật về lưu trữ thông tin, bảo vệ thông tin cá nhân, thông tin riêng của tổ chức, cá nhân;
b) Áp dụng biện pháp ngăn chặn, xử lý khi nhận được thông báo của tổ chức, cá nhân về việc gửi thông tin vi phạm quy định của pháp luật;
c) Có phương thức để người tiếp nhận thông tin có khả năng từ chối việc tiếp nhận thông tin;
d) Cung cấp điều kiện kỹ thuật và nghiệp vụ cần thiết để cơ quan nhà nước có thẩm quyền thực hiện nhiệm vụ quản lý, bảo đảm an toàn thông tin mạng khi có yêu cầu.
Điều 11. Phòng ngừa, phát hiện, ngăn chặn và xử lý phần mềm độc hại1. Cơ quan, tổ chức, cá nhân có trách nhiệm thực hiện phòng ngừa, ngăn chặn phần mềm độc hại theo hướng dẫn, yêu cầu của cơ quan nhà nước có thẩm quyền.
2. Chủ quản hệ thống thông tin quan trọng quốc gia triển khai hệ thống kỹ thuật nghiệp vụ nhằm phòng ngừa, phát hiện, ngăn chặn và xử lý kịp thời phần mềm độc hại.
3. Doanh nghiệp cung cấp dịch vụ thư điện tử, truyền đưa, lưu trữ thông tin phải có hệ thống lọc phần mềm độc hại trong quá trình gửi, nhận, lưu trữ thông tin trên hệ thống của mình và báo cáo cơ quan nhà nước có thẩm quyền theo quy định của pháp luật.
4. Doanh nghiệp cung cấp dịch vụ Internet có biện pháp quản lý, phòng ngừa, phát hiện, ngăn chặn phát tán phần mềm độc hại và xử lý theo yêu cầu của cơ quan nhà nước có thẩm quyền.
5. Bộ Thông tin và Truyền thông chủ trì, phối hợp với Bộ Quốc phòng, Bộ Công an và bộ, ngành có liên quan tổ chức phòng ngừa, phát hiện, ngăn chặn và xử lý phần mềm độc hại gây ảnh hưởng đến quốc phòng, an ninh quốc gia.
Điều 12. Bảo đảm an toàn tài nguyên viễn thông1. Cơ quan, tổ chức, cá nhân sử dụng tài nguyên viễn thông có trách nhiệm sau đây:
a) Áp dụng biện pháp quản lý và kỹ thuật để ngăn chặn mất an toàn thông tin mạng xuất phát từ tần số, kho số, tên miền và địa chỉ Internet của mình;
b) Phối hợp, cung cấp thông tin liên quan đến an toàn tài nguyên viễn thông theo yêu cầu của cơ quan nhà nước có thẩm quyền.
2. Doanh nghiệp cung cấp dịch vụ trên Internet có trách nhiệm quản lý, phối hợp ngăn chặn mất an toàn thông tin mạng xuất phát từ tài nguyên Internet, từ khách hàng của mình; cung cấp đầy đủ thông tin theo yêu cầu của cơ quan nhà nước có thẩm quyền; phối hợp kết nối, định tuyến để bảo đảm hệ thống máy chủ tên miền quốc gia Việt Nam hoạt động an toàn, ổn định.
3. Bộ Thông tin và Truyền thông có trách nhiệm thực hiện bảo đảm an toàn thông tin mạng cho hệ thống máy chủ tên miền quốc gia Việt Nam.
Điều 13. Ứng cứu sự cố an toàn thông tin mạng1. Ứng cứu sự cố an toàn thông tin mạng là hoạt động nhằm xử lý, khắc phục sự cố gây mất an toàn thông tin mạng.
2. Ứng cứu sự cố an toàn thông tin mạng phải tuân thủ các nguyên tắc sau đây:
a) Kịp thời, nhanh chóng, chính xác, đồng bộ và hiệu quả;
b) Tuân thủ quy định của pháp luật về điều phối ứng cứu sự cố an toàn thông tin mạng;
c) Có sự phối hợp giữa cơ quan, tổ chức, doanh nghiệp trong nước và nước ngoài.
3. Bộ, cơ quan ngang bộ, cơ quan thuộc Chính phủ, Ủy ban nhân dân cấp tỉnh, doanh nghiệp viễn thông, chủ quản hệ thống thông tin quan trọng quốc gia phải thành lập hoặc chỉ định bộ phận chuyên trách ứng cứu sự cố an toàn thông tin mạng.
4. Bộ Thông tin và Truyền thông có trách nhiệm điều phối ứng cứu sự cố an toàn thông tin mạng trên toàn quốc; quy định chi tiết về điều phối ứng cứu sự cố an toàn thông tin mạng.
Điều 14. Ứng cứu khẩn cấp bảo đảm an toàn thông tin mạng quốc gia1. Ứng cứu khẩn cấp bảo đảm an toàn thông tin mạng quốc gia là hoạt động ứng cứu sự cố trong tình huống thảm họa hoặc theo yêu cầu của cơ quan nhà nước có thẩm quyền nhằm bảo đảm an toàn thông tin mạng quốc gia.
2. Ứng cứu khẩn cấp bảo đảm an toàn thông tin mạng quốc gia phải tuân thủ các nguyên tắc sau đây:
a) Tổ chức thực hiện theo phân cấp;
b) Thực hiện tại chỗ, nhanh chóng, nghiêm ngặt, phối hợp chặt chẽ;
c) Áp dụng các biện pháp kỹ thuật, bảo đảm hiệu quả, khả thi.
3. Hệ thống phương án ứng cứu khẩn cấp bảo đảm an toàn thông tin mạng quốc gia gồm:
a) Phương án ứng cứu khẩn cấp bảo đảm an toàn thông tin mạng quốc gia;
b) Phương án ứng cứu khẩn cấp bảo đảm an toàn thông tin mạng của cơ quan nhà nước, tổ chức chính trị, tổ chức chính trị - xã hội;
c) Phương án ứng cứu khẩn cấp bảo đảm an toàn thông tin mạng của địa phương;
d) Phương án ứng cứu khẩn cấp bảo đảm an toàn thông tin mạng của doanh nghiệp viễn thông.
4. Trách nhiệm bảo đảm an toàn thông tin mạng quốc gia được quy định như sau:
a) Thủ tướng Chính phủ quyết định hệ thống phương án ứng cứu khẩn cấp bảo đảm an toàn thông tin mạng quốc gia;
b) Bộ Thông tin và Truyền thông có trách nhiệm chủ trì điều phối công tác ứng cứu khẩn cấp bảo đảm an toàn thông tin mạng quốc gia;
c) Bộ, ngành, Ủy ban nhân dân các cấp và cơ quan, tổ chức có liên quan trong phạm vi nhiệm vụ, quyền hạn của mình có trách nhiệm phối hợp, chỉ đạo ứng cứu khẩn cấp bảo đảm an toàn thông tin mạng quốc gia;
d) Doanh nghiệp viễn thông có trách nhiệm thực hiện biện pháp ứng cứu khẩn cấp, phối hợp với Bộ Thông tin và Truyền thông, bộ, ngành, Ủy ban nhân dân các cấp có liên quan để bảo đảm an toàn thông tin mạng quốc gia.
Điều 15. Trách nhiệm của cơ quan, tổ chức, cá nhân trong bảo đảm an toàn thông tin mạng1. Cơ quan, tổ chức, cá nhân tham gia hoạt động an toàn thông tin mạng có trách nhiệm phối hợp với cơ quan nhà nước có thẩm quyền và tổ chức, cá nhân khác trong việc bảo đảm an toàn thông tin mạng.
2. Cơ quan, tổ chức, cá nhân sử dụng dịch vụ trên mạng có trách nhiệm thông báo kịp thời cho doanh nghiệp cung cấp dịch vụ hoặc bộ phận chuyên trách ứng cứu sự cố khi phát hiện các hành vi phá hoại hoặc sự cố an toàn thông tin mạng.
Mục 2. BẢO VỆ THÔNG TIN CÁ NHÂNĐiều 16. Nguyên tắc bảo vệ thông tin cá nhân trên mạng
1. Cá nhân tự bảo vệ thông tin cá nhân của mình và tuân thủ quy định của pháp luật về cung cấp thông tin cá nhân khi sử dụng dịch vụ trên mạng.
2. Cơ quan, tổ chức, cá nhân xử lý thông tin cá nhân có trách nhiệm bảo đảm an toàn thông tin mạng đối với thông tin do mình xử lý.
3. Tổ chức, cá nhân xử lý thông tin cá nhân phải xây dựng và công bố công khai biện pháp xử lý, bảo vệ thông tin cá nhân của tổ chức, cá nhân mình.
4. Việc bảo vệ thông tin cá nhân thực hiện theo quy định của Luật này và quy định khác của pháp luật có liên quan.
5. Việc xử lý thông tin cá nhân phục vụ mục đích bảo đảm quốc phòng, an ninh quốc gia, trật tự, an toàn xã hội hoặc không nhằm mục đích thương mại được thực hiện theo quy định khác của pháp luật có liên quan.
Điều 17. Thu thập và sử dụng thông tin cá nhân1. Tổ chức, cá nhân xử lý thông tin cá nhân có trách nhiệm sau đây:
a) Tiến hành thu thập thông tin cá nhân sau khi có sự đồng ý của chủ thể thông tin cá nhân về phạm vi, mục đích của việc thu thập và sử dụng thông tin đó;
b) Chỉ sử dụng thông tin cá nhân đã thu thập vào mục đích khác mục đích ban đầu sau khi có sự đồng ý của chủ thể thông tin cá nhân;
c) Không được cung cấp, chia sẻ, phát tán thông tin cá nhân mà mình đã thu thập, tiếp cận, kiểm soát cho bên thứ ba, trừ trường hợp có sự đồng ý của chủ thể thông tin cá nhân đó hoặc theo yêu cầu của cơ quan nhà nước có thẩm quyền.
2. Cơ quan nhà nước chịu trách nhiệm bảo mật, lưu trữ thông tin cá nhân do mình thu thập.
3. Chủ thể thông tin cá nhân có quyền yêu cầu tổ chức, cá nhân xử lý thông tin cá nhân cung cấp thông tin cá nhân của mình mà tổ chức, cá nhân đó đã thu thập, lưu trữ.
Điều 18. Cập nhật, sửa đổi và hủy bỏ thông tin cá nhân1. Chủ thể thông tin cá nhân có quyền yêu cầu tổ chức, cá nhân xử lý thông tin cá nhân cập nhật, sửa đổi, hủy bỏ thông tin cá nhân của mình mà tổ chức, cá nhân đó đã thu thập, lưu trữ hoặc ngừng cung cấp thông tin cá nhân của mình cho bên thứ ba.
2. Ngay khi nhận được yêu cầu của chủ thể thông tin cá nhân về việc cập nhật, sửa đổi, hủy bỏ thông tin cá nhân hoặc đề nghị ngừng cung cấp thông tin cá nhân cho bên thứ ba, tổ chức, cá nhân xử lý thông tin cá nhân có trách nhiệm sau đây:
a) Thực hiện yêu cầu và thông báo cho chủ thể thông tin cá nhân hoặc cung cấp cho chủ thể thông tin cá nhân quyền tiếp cận để tự cập nhật, sửa đổi, hủy bỏ thông tin cá nhân của mình;
b) Áp dụng biện pháp phù hợp để bảo vệ thông tin cá nhân; thông báo cho chủ thể thông tin cá nhân đó trong trường hợp chưa thực hiện được yêu cầu do yếu tố kỹ thuật hoặc yếu tố khác.
3. Tổ chức, cá nhân xử lý thông tin cá nhân phải hủy bỏ thông tin cá nhân đã được lưu trữ khi đã hoàn thành mục đích sử dụng hoặc hết thời hạn lưu trữ và thông báo cho chủ thể thông tin cá nhân biết, trừ trường hợp pháp luật có quy định khác.
Điều 19. Bảo đảm an toàn thông tin cá nhân trên mạng1. Tổ chức, cá nhân xử lý thông tin cá nhân phải áp dụng biện pháp quản lý, kỹ thuật phù hợp để bảo vệ thông tin cá nhân do mình thu thập, lưu trữ; tuân thủ các tiêu chuẩn, quy chuẩn kỹ thuật về bảo đảm an toàn thông tin mạng.
2. Khi xảy ra hoặc có nguy cơ xảy ra sự cố an toàn thông tin mạng, tổ chức, cá nhân xử lý thông tin cá nhân cần áp dụng biện pháp khắc phục, ngăn chặn trong thời gian sớm nhất.
Điều 20. Trách nhiệm của cơ quan quản lý nhà nước trong bảo vệ thông tin cá nhân trên mạng1. Thiết lập kênh thông tin trực tuyến để tiếp nhận kiến nghị, phản ánh của tổ chức, cá nhân liên quan đến bảo đảm an toàn thông tin cá nhân trên mạng.
2. Định kỳ hằng năm tổ chức thanh tra, kiểm tra đối với tổ chức, cá nhân xử lý thông tin cá nhân; tổ chức thanh tra, kiểm tra đột xuất trong trường hợp cần thiết.
Mục 3. BẢO VỆ HỆ THỐNG THÔNG TINĐiều 21. Phân loại cấp độ an toàn hệ thống thông tin
1. Phân loại cấp độ an toàn hệ thống thông tin là việc xác định cấp độ an toàn thông tin của hệ thống thông tin theo cấp độ tăng dần từ 1 đến 5 để áp dụng biện pháp quản lý và kỹ thuật nhằm bảo vệ hệ thống thông tin phù hợp theo cấp độ.
2. Hệ thống thông tin được phân loại theo cấp độ an toàn như sau:
a) Cấp độ 1 là cấp độ mà khi bị phá hoại sẽ làm tổn hại tới quyền và lợi ích hợp pháp của tổ chức, cá nhân nhưng không làm tổn hại tới lợi ích công cộng, trật tự, an toàn xã hội, quốc phòng, an ninh quốc gia;
b) Cấp độ 2 là cấp độ mà khi bị phá hoại sẽ làm tổn hại nghiêm trọng tới quyền và lợi ích hợp pháp của tổ chức, cá nhân hoặc làm tổn hại tới lợi ích công cộng nhưng không làm tổn hại tới trật tự, an toàn xã hội, quốc phòng, an ninh quốc gia;
c) Cấp độ 3 là cấp độ mà khi bị phá hoại sẽ làm tổn hại nghiêm trọng tới sản xuất, lợi ích công cộng và trật tự, an toàn xã hội hoặc làm tổn hại tới quốc phòng, an ninh quốc gia;
d) Cấp độ 4 là cấp độ mà khi bị phá hoại sẽ làm tổn hại đặc biệt nghiêm trọng tới lợi ích công cộng và trật tự, an toàn xã hội hoặc làm tổn hại nghiêm trọng tới quốc phòng, an ninh quốc gia;
đ) Cấp độ 5 là cấp độ mà khi bị phá hoại sẽ làm tổn hại đặc biệt nghiêm trọng tới quốc phòng, an ninh quốc gia.
3. Chính phủ quy định chi tiết về tiêu chí, thẩm quyền, trình tự, thủ tục xác định cấp độ an toàn hệ thống thông tin và trách nhiệm bảo đảm an toàn hệ thống thông tin theo từng cấp độ.
Điều 22. Nhiệm vụ bảo vệ hệ thống thông tin1. Xác định cấp độ an toàn thông tin của hệ thống thông tin.
2. Đánh giá và quản lý rủi ro an toàn hệ thống thông tin.
3. Đôn đốc, giám sát, kiểm tra công tác bảo vệ hệ thống thông tin.
4. Tổ chức triển khai các biện pháp bảo vệ hệ thống thông tin.
5. Thực hiện chế độ báo cáo theo quy định.
6. Tổ chức tuyên truyền, nâng cao nhận thức về an toàn thông tin mạng.
Điều 23. Biện pháp bảo vệ hệ thống thông tin1. Ban hành quy định về bảo đảm an toàn thông tin mạng trong thiết kế, xây dựng, quản lý, vận hành, sử dụng, nâng cấp, hủy bỏ hệ thống thông tin.
2. Áp dụng biện pháp quản lý, kỹ thuật theo tiêu chuẩn, quy chuẩn kỹ thuật an toàn thông tin mạng để phòng, chống nguy cơ, khắc phục sự cố an toàn thông tin mạng.
3. Kiểm tra, giám sát việc tuân thủ quy định và đánh giá hiệu quả của các biện pháp quản lý và kỹ thuật được áp dụng.
4. Giám sát an toàn hệ thống thông tin.
Điều 24. Giám sát an toàn hệ thống thông tin1. Giám sát an toàn hệ thống thông tin là hoạt động lựa chọn đối tượng giám sát, thu thập, phân tích trạng thái thông tin của đối tượng giám sát nhằm xác định những nhân tố ảnh hưởng đến an toàn hệ thống thông tin; báo cáo, cảnh báo hành vi xâm phạm an toàn thông tin mạng hoặc hành vi có khả năng gây ra sự cố an toàn thông tin mạng đối với hệ thống thông tin; tiến hành phân tích yếu tố then chốt ảnh hưởng tới trạng thái an toàn thông tin mạng; đề xuất thay đổi biện pháp kỹ thuật.
2. Đối tượng giám sát an toàn hệ thống thông tin gồm tường lửa, kiểm soát truy nhập, tuyến thông tin chủ yếu, máy chủ quan trọng, thiết bị quan trọng hoặc thiết bị đầu cuối quan trọng.
3. Doanh nghiệp viễn thông, doanh nghiệp cung cấp dịch vụ công nghệ thông tin, doanh nghiệp cung cấp dịch vụ an toàn thông tin mạng có trách nhiệm phối hợp với chủ quản hệ thống thông tin trong việc giám sát an toàn hệ thống thông tin theo yêu cầu của cơ quan nhà nước có thẩm quyền.
Điều 25. Trách nhiệm của chủ quản hệ thống thông tin1. Chủ quản hệ thống thông tin có trách nhiệm thực hiện bảo vệ hệ thống thông tin theo quy định tại các điều 22, 23 và 24 của Luật này.
2. Chủ quản hệ thống thông tin sử dụng ngân sách nhà nước thực hiện trách nhiệm quy định tại khoản 1 Điều này và có trách nhiệm sau đây:
a) Có phương án bảo đảm an toàn thông tin mạng được cơ quan nhà nước có thẩm quyền thẩm định khi thiết lập, mở rộng hoặc nâng cấp hệ thống thông tin;
b) Chỉ định cá nhân, bộ phận phụ trách về an toàn thông tin mạng.
Điều 26. Hệ thống thông tin quan trọng quốc gia1. Khi thiết lập, mở rộng và nâng cấp hệ thống thông tin quan trọng quốc gia phải thực hiện kiểm định an toàn thông tin trước khi đưa vào vận hành, khai thác.
2. Bộ Thông tin và Truyền thông chủ trì, phối hợp với Bộ Quốc phòng, Bộ Công an và bộ, ngành có liên quan xây dựng Danh mục hệ thống thông tin quan trọng quốc gia trình Thủ tướng Chính phủ ban hành.
Điều 27. Trách nhiệm bảo đảm an toàn thông tin mạng cho hệ thống thông tin quan trọng quốc gia1. Chủ quản hệ thống thông tin quan trọng quốc gia có trách nhiệm sau đây:
a) Thực hiện quy định tại khoản 2 Điều 25 của Luật này;
b) Định kỳ đánh giá rủi ro an toàn thông tin mạng. Việc đánh giá rủi ro an toàn thông tin mạng phải do tổ chức chuyên môn được cơ quan nhà nước có thẩm quyền chỉ định thực hiện;
c) Triển khai biện pháp dự phòng cho hệ thống thông tin;
d) Lập kế hoạch bảo vệ, lập phương án và diễn tập phương án bảo vệ hệ thống thông tin quan trọng quốc gia.
2. Bộ Thông tin và Truyền thông có trách nhiệm sau đây:
a) Chủ trì, phối hợp với chủ quản hệ thống thông tin quan trọng quốc gia, Bộ Công an và bộ, ngành có liên quan hướng dẫn, đôn đốc, thanh tra, kiểm tra công tác bảo vệ an toàn thông tin mạng đối với hệ thống thông tin quan trọng quốc gia, trừ hệ thống thông tin quy định tại khoản 3 và khoản 4 Điều này;
b) Yêu cầu doanh nghiệp viễn thông, doanh nghiệp cung cấp dịch vụ công nghệ thông tin, doanh nghiệp cung cấp dịch vụ an toàn thông tin mạng tham gia tư vấn, hỗ trợ kỹ thuật, ứng cứu sự cố an toàn thông tin mạng cho hệ thống thông tin quan trọng quốc gia.
3. Bộ Công an chủ trì hướng dẫn, đôn đốc, thanh tra, kiểm tra công tác bảo vệ an toàn thông tin mạng đối với hệ thống thông tin quan trọng quốc gia do Bộ Công an quản lý; phối hợp với Bộ Thông tin và Truyền thông, chủ quản hệ thống thông tin quan trọng quốc gia, bộ, ngành, Ủy ban nhân dân các cấp có liên quan trong việc bảo vệ hệ thống thông tin quan trọng quốc gia khác khi có yêu cầu của cơ quan nhà nước có thẩm quyền.
4. Bộ Quốc phòng chủ trì hướng dẫn, đôn đốc, thanh tra, kiểm tra công tác bảo vệ an toàn thông tin mạng đối với hệ thống thông tin quan trọng quốc gia do Bộ Quốc phòng quản lý.
5. Ban Cơ yếu Chính phủ chủ trì tổ chức triển khai giải pháp dùng mật mã để bảo vệ thông tin trong hệ thống thông tin quan trọng quốc gia của cơ quan nhà nước, tổ chức chính trị, tổ chức chính trị - xã hội; phối hợp với chủ quản hệ thống thông tin quan trọng quốc gia trong việc giám sát an toàn thông tin mạng theo quy định của pháp luật.
Mục 4. NGĂN CHẶN XUNG ĐỘT THÔNG TIN TRÊN MẠNGĐiều 28. Trách nhiệm của tổ chức, cá nhân trong việc ngăn chặn xung đột thông tin trên mạng
1. Tổ chức, cá nhân trong phạm vi nhiệm vụ, quyền hạn của mình có trách nhiệm sau đây:
a) Ngăn chặn thông tin phá hoại xuất phát từ hệ thống thông tin của mình; hợp tác xác định nguồn, đẩy lùi, khắc phục hậu quả tấn công mạng được thực hiện thông qua hệ thống thông tin của tổ chức, cá nhân trong nước và nước ngoài;
b) Ngăn chặn hành động của tổ chức, cá nhân trong nước và nước ngoài có mục đích phá hoại tính nguyên vẹn của mạng;
c) Loại trừ việc tổ chức thực hiện hoạt động trái pháp luật trên mạng có ảnh hưởng nghiêm trọng đến quốc phòng, an ninh quốc gia, trật tự, an toàn xã hội của tổ chức, cá nhân trong nước và nước ngoài.
2. Chính phủ quy định chi tiết về ngăn chặn xung đột thông tin trên mạng.
Điều 29. Ngăn chặn hoạt động sử dụng mạng để khủng bố1. Các biện pháp ngăn chặn hoạt động sử dụng mạng để khủng bố gồm:
a) Vô hiệu hóa nguồn Internet sử dụng để thực hiện hành vi khủng bố;
b) Ngăn chặn việc thiết lập và mở rộng trao đổi thông tin về các tín hiệu, nhân tố, phương pháp và cách sử dụng Internet để thực hiện hành vi khủng bố, về mục tiêu và hoạt động của các tổ chức khủng bố trên mạng;
c) Trao đổi kinh nghiệm và thực tiễn kiểm soát các nguồn Internet, tìm và kiểm soát nội dung của trang tin điện tử có mục đích khủng bố.
2. Chính phủ quy định chi tiết về trách nhiệm thực hiện và các biện pháp ngăn chặn hoạt động sử dụng mạng để khủng bố quy định tại khoản 1 Điều này.
ASSURANCE OF CYBERINFORMATION SECURITY
Section 1. CYBERINFORMATION PROTECTION
Article 9. Classification of information
1. Information-owning agencies and organizations shall classify information based on its secrecy in order to take appropriate protection measures.
2. Information regarded as state secret shall be classified and protected in accordance with the law on protection of state secrets.
Agencies and organizations that use classified and unclassified information in activities within their fields shall develop regulations and procedures for processing information; determine contents and methods of recording authorized accesses to classified information.
Article 10. Management of sending of information
1. The sending of information in cyberspace must meet the following requirements:
a/ Not forging the information sender source;
b/ Complying with this Law and other relevant laws.
2. Commercial information may not be sent to electronic addresses of recipients when the latter has not yet consented or has refused to receive, unless the recipients are obliged to receive information under law.
3. Telecommunications enterprises, enterprises providing telecommunications application services and enterprises providing information technology services that send information shall:
a/ Comply with the law on storage of information and protection of personal information and private information of organizations and individuals;
b/ Take blocking and handling measures upon receiving notices of organizations or individuals that the sending of information is illegal;
c/ Offer recipients to refuse to receive information;
d/ Provide necessary technical and professional conditions upon request for competent state agencies to manage and ensure cyberinformation security.
Article 11. Prevention, detection, stoppage and handling of malware
1. Agencies, organizations and individuals shall prevent and stop malware as guided or requested by competent state agencies.
2. The managing body of a national important information system shall put into operation technical and professional systems for preventing, detecting, stopping and promptly handling malware.
3. Enterprises providing email services or transmitting and storing information must have malware filtering systems in the course of sending, receiving and storing information via their systems and shall send reports to competent state agencies in accordance with law.
4. Internet service-providing enterprises shall take measures to manage, prevent, detect, and stop the spread of, malware and handle it at the request of competent state agencies.
5. The Ministry of Information and Communications shall assume the prime responsibility for, and coordinate with the Ministry of National Defense, the Ministry of Public Security and related ministries and sectors in, preventing, detecting, stopping and handling malware that affects national defense and security.
Article 12. Security assurance for telecommunications resources
1. Users of telecommunications resources shall:
a/ Apply managerial and technical measures to prevent cyberinformation insecurity arising from their frequencies, number stores, domain names and internet addresses;
b/ Coordinate with, and provide information relating to telecommunications resource security for, competent state agencies upon request.
2. Enterprises providing services on the internet shall manage, and coordinate in preventing cyberinformation insecurity arising from, internet resources and their clients; provide adequate information at the request of competent state agencies; coordinate in connection and routing to ensure secure and stable operation of Vietnam’s system of national domain name servers.
3. The Ministry of Information and Communications shall ensure cyberinformation security for Vietnam’s system of national domain name servers.
Article 13. Response to cyberinformation security incidents
1. Response to a cyberinformation security incident means activities aiming to handle and remedy an incident that causes cyberinformation insecurity.
2. Response to cyberinformation security incidents must adhere to the following principles:
a/ Being prompt, rapid, accurate, synchronous and effective;
b/ Complying with the law on coordination of response to cyberinformation security incidents;
c/ Ensuring coordination among domestic and foreign agencies, organizations and enterprises.
3. Ministries, ministerial-level agencies, government-attached agencies, provincial- level People’s Committees, telecommunications enterprises and managing bodies of national important information systems shall establish or appoint a specialized division to respond to cyberinformation security incidents.
4. The Ministry of Information and Communications shall coordinate response to cyberinformation security incidents nationwide, and prescribe in detail coordination of response to cyberinformation security incidents.
Article 14. Emergency response to ensure national cyberinformation security
1. Emergency response to ensure national cyberinformation security means incident response activities in catastrophic circumstances or at the request of competent state agencies with a view to ensuring national cyberinformation security.
2. Emergency response to ensure national cyberinformation security must adhere to the following principles:
a/ Organizing response according to decentralized competence;
b/ Conducting response on the spot, rapidly, strictly and with close coordination;
c/ Applying effective and feasible technical measures.
3. Emergency response plans to ensure national cyberinformation security include:
a/ Emergency response plan to ensure national cyberinformation security;
b/ Emergency response plan to ensure cyberinformation security for state agencies, political organizations and socio-political organizations;
c/ Emergency response plan to ensure cyberinformation security for localities;
d/ Emergency response plan to ensure cyberinformation security for telecommunications enterprises.
4. Responsibilities to ensure national cyberinformation security are prescribed as follows:
a/ The Prime Minister shall decide on emergency response plans to ensure national cyberinformation security;
b/ The Ministry of Information and Communications shall coordinate emergency response to ensure national cyberinformation security;
c/ Ministries, sectors, People’s Committees at all levels, and related agencies and organizations shall, within the ambit of their tasks and powers, coordinate and direct emergency response to ensure national cyberinformation security;
d/ Telecommunications enterprises shall take emergency response measures and coordinate with the Ministry of Information and Communications and related ministries, sectors and People’s Committees at all levels in ensuring national cyberinformation security.
Article 15. Responsibilities of agencies, organizations and individuals in ensuring cyberinformation security
1. Agencies, organizations and individuals engaged in cyberinformation security activities shall coordinate with competent state agencies and other organizations and individuals in ensuring cyberinformation security.
2. Agencies, organizations and individuals using services in cyberspace shall promptly notify service-providing enterprises or specialized incident response units of cyberinformation security sabotaging acts or incidents.
Section 2. PROTECTION OF PERSONAL INFORMATION
Article 16. Principles of protecting personal information in cyberspace
1. Individuals shall themselves protect their personal information and comply with the law on provision of personal information when using services in cyberspace.
2. Agencies, organizations and individuals that process personal information shall ensure cyberinformation security for the information they process.
3. Organizations and individuals that process personal information shall develop and publicize their own measures to process and protect personal information.
4. The protection of personal information must comply with this Law and other relevant laws.
5. The processing of personal information for the purpose of ensuring national defense and security and social order and safety or for non-commercial purposes must comply with other relevant laws.
Article 17. Collection and use of personal information
1. Organizations and individuals that process personal information shall:
a/ Collect personal information only after obtaining the consent of its owners regarding the scope and purpose of collection and use of such information;
b/ Use the collected personal information for purposes other than the initial one only after obtaining the consent of its owners;
c/ Refrain from providing, sharing or spreading to a third party personal information they have collected, accessed or controlled, unless they obtain the consent of the owners of such personal information or at the request of competent state agencies.
2. State agencies shall secure and store personal information they have collected.
3. Owners of personal information may request personal information-processing organizations and individuals to provide their personal information collected and stored by the latter.
Article 18. Updating, alteration and cancellation of personal information
1. Owners of personal information may request personal information-processing organizations and individuals to update, alter or cancel their personal information collected or stored by the latter or to stop providing such personal information to a third party.
2. Upon receiving the request of an owner of personal information for update, alteration or cancellation of personal information or for stoppage of the provision of personal information to a third party, a personal information-processing organization or individual shall:
a/ Comply with the request and notify such owner or grant him/her/it the right to access information for the latter to update, alter or delete his/her/its personal information;
b/ Take appropriate measures to protect personal information; and notify such owner if it/he/she fails to comply with the request for technical or other reasons.
3. Personal information-processing organizations and individuals shall delete the stored personal information when they have accomplished their use purposes or the storage time has expired and notify such to the owners of such personal information, unless otherwise prescribed by law.
Article 19. Security assurance for personal information in cyberspace
1. Personal information-processing organizations and individuals shall take appropriate management and technical measures to protect personal information they have collected and stored; and comply with standards and technical regulations on assurance of cyberinformation security.
2. When a cyberinformation security incident occurs or threatens to occur, personal information-processing organizations and individuals shall take remedy and stoppage measures as soon as possible.
Article 20. Responsibilities of state management agencies in protecting personal information in cyberspace
1. To establish online information channels for receiving petitions and reports from the public which are related to security assurance for personal information in cyberspace.
2. To annually inspect and examine personal information-processing organizations and individuals; to conduct extraordinary inspection and examination when necessary.
Section 3. PROTECTION OF INFORMATION SYSTEMS
Article 21. Classification of security grades of information systems
1. Classification of information systems by security grade means the determination of information security grades of information systems in an ascending order from 1 to 5 for taking appropriate management and technical measures to properly protect information systems of each grade.
2. Information systems shall be classified by security grade as follows:
a/ Grade 1 means that when an information system is sabotaged, it will harm lawful rights and interests of organizations or individuals but will not harm public interests, social order and safety or national defense and security;
b/ Grade 2 means that when an information system is sabotaged, it will seriously harm lawful rights and interests of organizations or individuals or will harm public interests but will not harm social order and safety or national defense and security;
c/ Grade 3 means that when an information system is sabotaged, it will seriously harm production, public interests and social order and safety or will harm national defense and security;
d/ Grade 4 means that when an information system is sabotaged, it will cause extremely serious harms to public interests and social order and safety or will seriously harm national defense and security;
dd/ Grade 5 means that when an information system is sabotaged, it will cause exứemely serious harms to national defense and security.
3. The Government shall prescribe in detail criteria, competence, order and procedures for determining security grades of information systems and responsibility for ensuring security for information systems of each grade.
Article 22. Tasks of protecting information systems
1. To determine security grades of information systems.
2. To assess and manage security risks to information systems.
3. To urge, supervise and examine the protection of information systems.
4. To take measures to protect information systems.
5. To comply with the reporting regime.
6. To conduct public information for raising awareness about cyberinformation security.
Article 23. Measures to protect information systems
1. To promulgate regulations on cyberinformation security assurance in designing, developing, managing, operating, using, updating or abolishing information systems.
2. To apply management and technical measures according to standards and technical regulations on cyberinformation security for preventing and combating risks and remedying incidents to cyberinformation security.
3. To examine and supervise the observance of regulations and assess the effectiveness of applied management and technical measures.
4. To supervise security of information systems.
Article 24. Security supervision of information systems
1. Security supervision of an information system means activities of choosing a to-be- supervised object, and collecting, and analyzing the status of, information of this object with a view to identifying factors that affect the security of such information system; reporting on and warning acts of infringing upon cyberinformation security or acts threatening to cause cyberinformation security incidents to such information system; analyzing key factors that affect the status of cyberinformation security; and proposing change of technical measures.
2. Subject to security supervision of an information system are firewall, access control, major routes of information, important servers, important equipment and important terminal equipment.
3. Telecommunications enterprises, enterprises providing information technology services and enterprises providing cyberinformation security services shall coordinate with managing bodies of information systems in supervising the security of information systems at the request of competent state agencies.
Article 25. Responsibilities of managing bodies of information systems
1. Managing bodies of information systems shall protect information systems in accordance with Articles 22, 23 and 24 of this Law.
2. State-funded managing bodies of information systems shall perform the responsibilities defined in Clause 1 of this Article and shall:
a/ Make plans to ensure cyberinformation security appraised by competent state agencies when establishing, expanding or upgrading their information systems;
b/ Appoint individuals or units to take charge of cyberinformation security.
Article 26. National important information systems
1. When establishing, expanding or upgrading a national important information system, information security shall be inspected before putting this system into operation and exploitation.
2. The Ministry of Information and Communications shall assume the prime responsibility for, and coordinate with the Ministry of National Defense, the Ministry of Public Security and related ministries and sectors in, making a list of national important information systems for submission to the Prime Minister for promulgation.
Article 27. Responsibility to ensure cyberinformation security for national important information systems
1. The managing body of a national important information system shall:
a/ Comply with the provisions of Clause 2, Article 25 of this Law;
b/ Periodically have cyberinformation security risks assessed by a specialized organization designated by a competent state agency;
c/ Take standby measures for information systems;
d/ Plan and conduct drills in the protection of national important information systems.
2. The Ministry of Information and Communications shall:
a/ Assume the prime responsibility for, and coordinate with managing bodies of national important information systems, the Ministry of Public Security and related ministries and sectors in, guiding, urging, inspecting and examining the protection of cyberinformation security for national important information systems, except those specified in Clauses 3 and 4 of this Article;
b/ Request telecommunications enterprises, enterprises providing information technology services and enterprises providing cyberinformation security services to provide technical advice and assistance and respond to cyberinformation security incidents for national important information systems.
3. The Ministry of Public Security shall guide, urge, inspect and examine the protection of cyberinformation security for national important information systems under its management; and coordinate with the Ministry of Information and Communications, managing bodies of national important information systems and related ministries, sectors and People’s Committees at all levels in protecting other national important information systems at the request of competent state agencies.
4. The Ministry of National Defense shall guide, urge, inspect and examine the protection of cyberinformation security for national important information systems under its management.
5. The Government Cipher Committee shall organize the use of ciphers for protecting information in national important information systems of state agencies, political organizations and socio-political organizations; and coordinate with managing bodies of national important information systems in supervising cyberinformation security in accordance with law.
Section 4. STOPPAGE OF INFORMATION-RELATED CONFLICTS IN CYBERSPACE
Article 28. Responsibilities of organizations and individuals for stopping information- related conflicts in cyberspace
1. Within the ambit of their tasks and powers, organizations and individuals shall:
a/ Stop sabotaging information originating from their information systems; collaborate with one another in identifying sources, and repulsing, and remedying consequences of, cyber-attacks carried out via information systems of domestic and foreign organizations and individuals;
b/ Stop acts of domestic and foreign organizations and individuals that aim to sabotage the integrity of information networks;
c/ Preclude the organization of illegal cyberspace activities of domestic and foreign organizations and individuals that seriously affect national defense and security or social order and safety.
2. The Government shall prescribe in detail the stoppage of information-related conflicts in cyberspace.
Article 29. Stoppage of use of cyberspace for terrorist purposes
1. Measures to stop the use of cyberspace for terrorist purposes include:
a/ Nullifying internet sources used to commit terrorist acts;
b/ Stopping the establishment and expansion of the exchange of information on signals, factors, methods and ways to use the internet for committing terrorist acts, and on objectives and operation of cyber-terrorism organizations;
c/ Exchanging experiences and practices in controlling internet sources, and seeking and controlling contents of websites for teưorist purpose.
2. The Government shall prescribe in detail responsibilities and measures to stop the use of cyberspace for terrorist purposes prescribed in Clause 1 of this Article.
Tình trạng hiệu lực: Còn hiệu lực