Tìm kiếm

Chương II Nghị định 108/2016/NĐ-CP quy định chi tiết điều kiện kinh doanh sản phẩm, dịch vụ an toàn thông tin mạng: Cấp giấy phép kinh doanh sản phẩm, dịch vụ an toàn thông tin mạng

Chương II
Cấp giấy phép kinh doanh sản phẩm, dịch vụ an toàn thông tin mạng
Điều 5. Giấy phép kinh doanh sản phẩm, dịch vụ an toàn thông tin mạng

1. Bộ Thông tin và Truyền thông cấp Giấy phép kinh doanh sản phẩm, dịch vụ an toàn thông tin mạng.

2. Giấy phép kinh doanh sản phẩm, dịch vụ an toàn thông tin mạng được cấp cho doanh nghiệp có thời hạn là 10 năm theo Mẫu số 01 tại Phụ lục ban hành kèm theo Nghị định này.

Điều 6. Điều kiện cấp Giấy phép kinh doanh sản phẩm, dịch vụ an toàn thông tin mạng

1. Doanh nghiệp được cấp Giấy phép kinh doanh sản phẩm, dịch vụ an toàn thông tin mạng quy định tại Điều 3 Nghị định này khi đáp ứng đủ các Điều kiện quy định tại Điều 42 Luật an toàn thông tin mạng và các Điều kiện tại Nghị định này.

2. Đối với hoạt động nhập khẩu sản phẩm an toàn thông tin mạng quy định tại Khoản 1 Điều 3 Nghị định này, doanh nghiệp cần đáp ứng Điều kiện quy định tại Khoản 1 Điều này. Trong đó, chi Tiết các Điều kiện tại Điểm c, d Khoản 1 Điều 42 Luật an toàn thông tin mạng cụ thể như sau:

a) Có đội ngũ quản lý, Điều hành đáp ứng được yêu cầu chuyên môn về an toàn thông tin; có cán bộ kỹ thuật chịu trách nhiệm chính có bằng đại học chuyên ngành hoặc chứng chỉ an toàn thông tin hoặc công nghệ thông tin hoặc điện tử viễn thông với số lượng nhân sự đáp ứng được quy mô, yêu cầu của phương án kinh doanh;

b) Có phương án kinh doanh phù hợp và bao gồm các nội dung: Mục đích nhập khẩu; phạm vi, đối tượng cung cấp sản phẩm; sự đáp ứng tiêu chuẩn, quy chuẩn kỹ thuật liên quan đối với từng loại sản phẩm; chi Tiết các tính năng kỹ thuật cơ bản của sản phẩm.

3. Đối với hoạt động sản xuất sản phẩm an toàn thông tin mạng quy định tại Khoản 1 Điều 3 Nghị định này, doanh nghiệp cần đáp ứng Điều kiện quy định tại Khoản 1 Điều này. Trong đó, chi Tiết các Điều kiện tại Điểm b, c, d Khoản 1 Điều 42 Luật an toàn thông tin mạng cụ thể như sau:

a) Có hệ thống trang thiết bị, cơ sở vật chất và công nghệ sản xuất phù hợp với phương án kinh doanh sản phẩm an toàn thông tin mạng;

b) Có đội ngũ quản lý, Điều hành đáp ứng được yêu cầu chuyên môn về an toàn thông tin; có đội ngũ kỹ thuật có bằng đại học chuyên ngành hoặc chứng chỉ an toàn thông tin hoặc công nghệ thông tin hoặc điện tử viễn thông với số lượng nhân sự đáp ứng được quy mô, yêu cầu của phương án kinh doanh;

c) Có phương án kinh doanh phù hợp và bao gồm các nội dung: Phạm vi đối tượng cung cấp sản phẩm; loại hình sản phẩm dự kiến sản xuất; sự đáp ứng tiêu chuẩn, quy chuẩn kỹ thuật liên quan đối với từng loại sản phẩm; các tính năng kỹ thuật cơ bản của sản phẩm.

4. Đối với hoạt động cung cấp dịch vụ an toàn thông tin mạng quy định tại Điểm a, b, c, d, đ Khoản 2 Điều 3 Nghị định này, doanh nghiệp cần đáp ứng Điều kiện quy định tại Khoản 1 Điều này. Trong đó, chi Tiết các Điều kiện tại Điểm b, c, d Khoản 1 Điều 42 Luật an toàn thông tin mạng cụ thể như sau:

a) Có hệ thống trang thiết bị, cơ sở vật chất phù hợp với quy mô cung cấp dịch vụ, phương án kinh doanh;

b) Có đội ngũ quản lý, Điều hành đáp ứng được yêu cầu chuyên môn về an toàn thông tin; có đội ngũ kỹ thuật có bằng đại học chuyên ngành hoặc chứng chỉ an toàn thông tin hoặc công nghệ thông tin hoặc điện tử viễn thông với số lượng nhân sự đáp ứng được quy mô, yêu cầu của phương án kinh doanh;

c) Có phương án kinh doanh phù hợp và bao gồm các nội dung: Phạm vi đối tượng cung cấp dịch vụ; loại hình dịch vụ dự kiến cung cấp; phương án bảo mật thông tin của khách hàng; phương án bảo đảm chất lượng dịch vụ.

5. Đối với hoạt động cung cấp dịch vụ kiểm tra đánh giá an toàn thông tin mạng cần đáp ứng Điều kiện quy định tại Khoản 2 Điều 42 Luật an toàn thông tin mạng. Đối với hoạt động cung cấp dịch vụ bảo mật thông tin không sử dụng mật mã dân sự cần đáp ứng Điều kiện quy định tại Khoản 3 Điều 42 Luật an toàn thông tin mạng. Chi Tiết các Điều kiện tại Điểm a, d Khoản 2 Điều 42 Luật an toàn thông tin mạng cụ thể như sau:

a) Các Điều kiện quy định tại Khoản 4 Điều này;

b) Có phương án kỹ thuật phù hợp và bao gồm các nội dung: Tổng thể hệ thống kỹ thuật; việc đáp ứng về chức năng của hệ thống tương ứng với loại hình dịch vụ dự kiến cung cấp; việc đáp ứng với các quy chuẩn kỹ thuật và tiêu chuẩn bắt buộc áp dụng tương ứng.

Điều 7. Hồ sơ, trình tự thủ tục cấp Giấy phép kinh doanh sản phẩm, dịch vụ an toàn thông tin mạng

Hồ sơ và trình tự thủ tục cấp, sửa đổi, bổ sung, gia hạn, tạm đình chỉ, thu hồi và cấp lại Giấy phép kinh doanh sản phẩm, dịch vụ an toàn thông tin mạng theo quy định tại Điều 43, 44, 45 Luật an toàn thông tin mạng.

Điều 8. Tiếp nhận hồ sơ đề nghị cấp Giấy phép kinh doanh sản phẩm, dịch vụ an toàn thông tin mạng

1. Doanh nghiệp nộp hồ sơ đề nghị cấp Giấy phép kinh doanh sản phẩm, dịch vụ an toàn thông tin mạng đến Bộ Thông tin và Truyền thông bằng một trong các hình thức sau:

a) Nộp trực tiếp đến đơn vị tiếp nhận hồ sơ;

b) Nộp bằng cách sử dụng dịch vụ bưu chính;

c) Nộp trực tuyến trên Cổng thông tin điện tử của Bộ Thông tin và Truyền thông.

2. Đơn vị tiếp nhận hồ sơ có trách nhiệm xác nhận bằng văn bản hoặc qua thư điện tử về việc đã nhận hồ sơ của doanh nghiệp trong vòng 01 ngày làm việc kể từ khi nhận được hồ sơ.

3. Đối với hình thức nộp trực tiếp, ngày nhận hồ sơ là ngày đơn vị tiếp nhận hồ sơ nhận được hồ sơ do doanh nghiệp nộp.

4. Đối với hình thức nộp bằng cách sử dụng dịch vụ bưu chính, ngày nhận hồ sơ là ngày đơn vị tiếp nhận hồ sơ nhận được hồ sơ do doanh nghiệp cung cấp dịch vụ bưu chính chuyển đến.

5. Đối với hình thức nộp trực tuyến, Bộ Thông tin và Truyền thông triển khai cấp Giấy phép kinh doanh sản phẩm, dịch vụ an toàn thông tin mạng theo lộ trình cung cấp dịch vụ công trực tuyến của Chính phủ.

Điều 9. Kiểm tra tính hợp lệ hồ sơ đề nghị cấp Giấy phép kinh doanh sản phẩm, dịch vụ an toàn thông tin mạng

1. Hồ sơ đề nghị cấp Giấy phép kinh doanh sản phẩm, dịch vụ an toàn thông tin mạng phải làm bằng tiếng Việt, gồm 01 bộ hồ sơ gốc và 04 bộ bản sao hồ sơ hợp lệ đối với trường hợp đề nghị cấp Giấy phép, 01 bộ hồ sơ gốc và 01 bộ bản sao hồ sơ hợp lệ đối với các trường hợp đề nghị sửa đổi, bổ sung và gia hạn Giấy phép. Bộ hồ sơ gốc phải có đủ chữ ký, dấu xác nhận của doanh nghiệp, các tài liệu do doanh nghiệp lập nếu có từ 02 tờ văn bản trở lên phải có dấu giáp lai. Các bộ bản sao hồ sơ hợp lệ không yêu cầu phải có dấu xác nhận, dấu chứng thực bản sao nhưng phải có dấu giáp lai của doanh nghiệp nộp hồ sơ.

2. Mẫu hồ sơ về Đơn đề nghị cấp/cấp lại/gia hạn/sửa đổi, bổ sung Giấy phép kinh doanh sản phẩm, dịch vụ an toàn thông tin mạng quy định tại Mẫu số 02; Phương án kinh doanh quy định tại Mẫu số 03; Phương án kỹ thuật quy định tại Mẫu số 04; Báo cáo tình hình thực hiện Giấy phép kinh doanh sản phẩm, dịch vụ an toàn thông tin mạng quy định tại Mẫu số 05 tại Phụ lục ban hành kèm theo Nghị định này.

3. Bộ Thông tin và Truyền thông kiểm tra và thông báo cho doanh nghiệp nộp hồ sơ biết về tính hợp lệ của hồ sơ sau 03 ngày làm việc kể từ khi nhận được hồ sơ.

4. Việc kiểm tra tính hợp lệ của hồ sơ được thực hiện dựa trên các tiêu chí sau:

a) Hồ sơ được lập theo đúng quy định tại Khoản 1 Điều này;

b) Đủ tài liệu quy định tương ứng đối với từng loại hồ sơ đề nghị cấp phép quy định tại Điều 43 Luật an toàn thông tin mạng;

c) Các tài liệu cung cấp đủ đầu Mục thông tin theo yêu cầu và tuân theo mẫu hồ sơ tương ứng đã được quy định tại Phụ lục của Nghị định này.

5. Đối với hồ sơ không hợp lệ, Bộ Thông tin và Truyền thông có văn bản thông báo cho doanh nghiệp nộp hồ sơ và nêu rõ yếu tố không hợp lệ. Doanh nghiệp có quyền nộp lại hồ sơ bổ sung hoặc văn bản giải trình tính hợp lệ. Việc kiểm tra tính hợp lệ của hồ sơ nộp lại được thực hiện theo quy định tại Khoản 4 Điều này.

Điều 10. Nộp, giải trình, bổ sung hồ sơ trong quá trình thẩm định

1. Trong thời hạn thẩm định hồ sơ, Bộ Thông tin và Truyền thông có quyền gửi thông báo yêu cầu doanh nghiệp bổ sung hồ sơ, giải trình bằng văn bản hoặc giải trình trực tiếp nếu hồ sơ đề nghị cấp phép tương ứng không cung cấp đủ thông tin, không đáp ứng đủ Điều kiện theo quy định nhưng không quá 01 lần.

2. Doanh nghiệp có trách nhiệm nộp hồ sơ bổ sung, giải trình bằng văn bản hoặc giải trình trực tiếp cho Bộ Thông tin và Truyền thông theo nội dung yêu cầu và trong thời hạn tối đa là 10 ngày làm việc kể từ ngày doanh nghiệp nhận được thông báo quy định tại Khoản 1 Điều này. Thời hạn thẩm định được tính tiếp kể từ thời Điểm đơn vị tiếp nhận hồ sơ nhận được hồ sơ bổ sung hoặc văn bản giải trình của doanh nghiệp hoặc ngày ký biên bản cuộc họp giải trình.

3. Nếu kết thúc thời hạn nộp hồ sơ bổ sung, giải trình quy định tại Khoản 2 Điều này, doanh nghiệp không nộp hồ sơ bổ sung hoặc không giải trình và không có văn bản đề nghị được lùi thời hạn nộp bổ sung thì xem như doanh nghiệp từ bỏ việc nộp hồ sơ. Việc tiếp nhận hồ sơ nộp sau khi hết hạn nộp bổ sung, giải trình hoặc sau ngày doanh nghiệp đề nghị được lùi thời hạn được xét như tiếp nhận hồ sơ nộp mới.

4. Thời gian thẩm định hồ sơ ban đầu và hồ sơ bổ sung, ý kiến giải trình và cấp Giấy phép hoặc ra thông báo không cấp Giấy phép;

a) Không vượt quá 15 ngày làm việc kể từ ngày nhận được hồ sơ hợp lệ đối với hồ sơ đề nghị cấp Giấy phép;

b) Không vượt quá 10 ngày làm việc kể từ ngày nhận được hồ sơ hợp lệ đối với hồ sơ đề nghị gia hạn Giấy phép và hồ sơ đề nghị sửa đổi, bổ sung Giấy phép;

c) Không vượt quá 05 ngày làm việc kể từ ngày nhận được hồ sơ hợp lệ đối với hồ sơ đề nghị cấp lại Giấy phép.

Điều 11. Chế độ báo cáo của doanh nghiệp kinh doanh sản phẩm, dịch vụ an toàn thông tin mạng

Doanh nghiệp được cấp Giấy phép kinh doanh sản phẩm, dịch vụ an toàn thông tin mạng có trách nhiệm báo cáo đột xuất theo yêu cầu và báo cáo định kỳ hằng năm (trước ngày 31 tháng 12) về tình hình kinh doanh sản phẩm, dịch vụ an toàn thông tin mạng đến Bộ Thông tin và Truyền thông theo Mẫu số 05 tại Phụ lục ban hành kèm theo Nghị định này.

Chapter II

REQUIREMENTS, PROCEDURES AND APPLICATION FOR THE LICENSE TO PROVIDE CYBER INFORMATION SECURITY SERVICES AND SOFTWARE

Article 5. Business Licenses

1. The Ministry of Information and Communications has the power to issue the Business License to provide information security products and services

2. The Business License shall be valid for 10 years and shall be made using the Form 01 in the Annex hereto.

Article 6. Requirements for grant of Business Licenses

1. In order to be granted the Business License prescribed in Article 3 hereof, the enterprise shall meet all requirements stipulated in Article 42 of the Law on Cyber-Information Security and those prescribed hereof.

2. Every importer of information security products prescribed in clause 1, Article 3 hereof shall satisfy requirements in clause 1 of this Article. Requirements in point c, and d, clause 1, Article 42 of the Law on Cyber-information Security are detailed as follows
Every importer shall:

a) Have a management team satisfying professional requirements for information security and technicians in-charge obtaining the bachelor degree in or certificate of information security or information technology or electronics and telecommunications at the appropriate quantity according to the business scale and business methods;

b) Have appropriate business methods available that cover the purposes of importation, scope and clients; the conformity with relevant technical standards and regulations by each product and basic specifications.

3. Every information security product producer prescribed in clause 1, Article 3 hereof shall satisfy requirements in clause 1 of this Article. Requirements in point b, c, and d, clause 1, Article 42 of the Law on Cyber-information Security are detailed as follows
Every producer shall:

a) Have facilities, equipment and production technology that are appropriate for the business method available;

b) Have a management team satisfying professional requirements for information security and technicians obtaining bachelor degrees in or certificates of information security of information technology or electronics and telecommunications at the appropriate quantity according to the business scale and business methods;

c) Have appropriate business methods available that cover the purposes of importation, scope and clients; expected products, the conformity with relevant technical standards and regulations by each products and basic specifications.

4. Every information security service provider providing services prescribed in point a, b, c, Article, and/or dd, clause 2 Article 3 hereof shall satisfy requirements in clause 1 of this Article. Requirements in point b, c, and d, clause 1, Article 42 of the Law on Cyber-information Security are detailed as follows:

Every service provider shall:

a) Have facilities, and equipment that are appropriate for the business scale and business methods available;

b) Have a management team satisfying professional requirements for information security and technicians obtaining bachelor degrees in or certificates of information security of information technology or electronics and telecommunications at the appropriate quantity according to the business scale and business methods;

Have appropriate business methods available that cover the purposes of importation, scope and clients; expected products, approaches to customers’ information protection and service quality assurance. 5. Information security risk evaluation service providers shall satisfy requirements in clause 2, Article 42 of the Law on Cyber Information Security. Entities providing information confidentiality services without civil cryptography shall satisfy requirements in clause 3, Article 42 of the Law on Cyber Information Security. Point a and d, clause 2, Article 42 of the Law on Cyber Information Security is detailed as follows
Every service provider shall:

a) Satisfy all requirements stipulated in clause 4 of this Article:

b) Have appropriate engineering methods which cover the general engineering, the compatibility of system with expected services, conformity with compulsory technical regulations and standards.

Article 7. Requirements, procedures and application for Business License

The applications and procedures for grant, adjustment, extension, suspension, revocation and re-issue of the Business License are stipulated in Articles 43, 44 and 45 of the Law on Cyber Information Security.

Article 8. Submission of applications for Business Licenses

1. Applicants shall submit their application for the Business License to the Ministry of Information and Communications

a) Directly;

b) By post; or

c) Electrically via the portal of the Ministry of Information and Communications.

2. The Ministry of Information and Communications shall send the applicant a notification to confirm the receipt of the application in writing or electrically within 01 working day from the date of receipt.

3. In case of direct submission, the date of receipt is the date on which the applicant submits his/her application.

4. The date of receipt of the application submitted by post is the date on which the application is delivered to the Ministry of Information and Communications by the postal service provider.

5. In case of electrical submission, the Ministry of Information and Communications shall consider issuing the Business License according to the Government’s roadmaps for electronically providing public services.

Article 9. Verification of applications for Business Licenses

1. The application shall be made in Vietnamese including 01 original and 04 valid copies in case of application for the Business License; or 01 original and 01 valid copy in case of adjustment and extension to the Business License. The original application shall be signed and sealed by the applicant, any document issued by the applicants with two pages or more shall be fan stamped. The valid copy may not be stamped with certification mark nor authentication mark but must be fan stamped.

2. The application form for grant/re-issue/adjustment/extension of the Business License shall be made using the form 02; business method, engineering method and status report on information security product and service provision shall be made using forms 3, 4 and 5, respectively, presented in the Annex hereto.

3. The Ministry of Information and Communications shall examine and notify the applicant of the validity of his/her application after 03 working days from the date of receipt of the application.

4. The application is verified valid if it:

a) Be made in accordance with clause 1 of this Article;

b) Include all required documents specified in Article 43 of the Law on Cyber Information Security;

c) Include all required information and be made using respective form stipulated in the Annex hereto.

5. In case of invalid applications, the Ministry of Information and Communications shall send the applicant a written notice which specifies unsatisfactory elements. The applicant shall be entitled to submit an additional application or written accountability for the validity of the application or adjustments to the application. The verification shall be carried out in accordance with clause 4 of this Article.

Article 10. Submission, accountability and supplementation to applications during the verification

1. In the verification period, the Ministry of Information and Communications has the right to request the applicant to supplement his/her application or submit accountability in writing or verbally if the application is unsatisfactory only once.

2. The applicant shall submit the additional application or written or verbal accountability which covered all required aspects to the Ministry of Information and Communications within 10 working days from the date of receipt of the notice stipulated in clause 1 of this Article. The verification period is counted from the date of receipt of the additional application or accountability or the date on which the minute of accountability meeting is signed.

3. If the applicant fails to submit the additional application or accountability or written request for deadline extension within the set forth time limit for submission prescribed in clause 2 of this Article, the applicant is deemed to waive his/her right to supplement the application or to make accountability. Any additional application or accountability submitted after the set forth time limit or extended deadline shall be considered as new application.

4. Time limits for verification of new applications and additional applications, accountability and issue of Business License or notification of rejection are as follows:

a) Not exceeding 15 working days from the date of receipt of the valid application for Business License;

b) Not exceeding 10 working days from the date of receipt of the valid application for extension of/adjustments to Business License;

c) Not exceeding 05 working days from the date of receipt of the valid application for re-issue of Business License;

Article 11. Reporting

Enterprises granted the Business License shall submit surprised reports (if it is requested) and annual status reports (by December 31st of every year) to the Ministry of Information and Telecommunications using form 05 enclosed herewith.

1 16 lượt xem
Trang trước
Chia sẻ
Trang sau