Tìm kiếm
Chương II Nghị định 53/2022/NĐ-CP: Xác lập danh mục, cơ chế phối hợp, điều kiện an ninh mạng bảo vệ hệ thống thông tin quan trọng về an ninh quốc gia
| Số hiệu: | 53/2022/NĐ-CP | Loại văn bản: | Nghị định |
| Nơi ban hành: | Chính phủ | Người ký: | Vũ Đức Đam |
| Ngày ban hành: | 15/08/2022 | Ngày hiệu lực: | 01/10/2022 |
| Ngày công báo: | 08/05/2023 | Số công báo: | Từ số 691 đến số 692 |
| Lĩnh vực: | Công nghệ thông tin, Văn hóa - Xã hội | Tình trạng: | Còn hiệu lực |
TÓM TẮT VĂN BẢN
Ngày 15/8/2022, Chính phủ ban hành Nghị định 53/2022/NĐ-CP quy định chi tiết một số điều của Luật An ninh mạng.
Theo đó, doanh nghiệp trong nước và ngoài nước cung cấp dịch vụ trên mạng viễn thông, mạng Internet, các dịch vụ gia tăng trên không gian mạng tại Việt Nam phải thực hiện lưu trữ những dữ liệu sau tại Việt Nam (hình thức lưu trữ sẽ do doanh nghiệp quyết định):
- Dữ liệu về thông tin cá nhân của người sử dụng dịch vụ tại Việt Nam;
- Dữ liệu do người sử dụng dịch vụ tại Việt Nam tạo ra: tên tài khoản, thời gian sử dụng dịch vụ, thông tin thẻ tín dụng, địa chỉ thư điện tử, địa chỉ mạng (IP) đăng nhập, đăng xuất gần nhất, số điện thoại đăng ký được gắn với tài khoản hoặc dữ liệu;
- Dữ liệu về mối quan hệ của người sử dụng dịch vụ tại Việt Nam: bạn bè, nhóm mà người sử dụng dịch vụ kết nối hoặc tương tác.
Thời gian lưu trữ dữ liệu bắt đầu từ khi doanh nghiệp nhận được yêu cầu lưu trữ dữ liệu đến khi kết thúc yêu cầu; thời gian lưu trữ tối thiểu là 24 tháng.
Theo quy định tại khoản 3 Điều 26 Luật An ninh mạng 2018 thì các doanh nghiệp nêu trên khi có các hoạt động sau phải thực hiện lưu trữ dữ liệu theo quy định:
- Thu thập, khai thác, phân tích, xử lý dữ liệu về thông tin cá nhân;
- Dữ liệu về mối quan hệ của người sử dụng dịch vụ;
- Dữ liệu do người sử dụng dịch vụ tại Việt Nam tạo ra.
Nghị định 53/2022/NĐ-CP có hiệu lực thi hành từ ngày 01/10/2022.
Văn bản tiếng việt
Nghị định 53/2022/NĐ-CP (Bản Word)
Nghị định 53/2022/NĐ-CP (Bản Pdf)
Văn bản tiếng anh
Điều 3. Căn cứ xác lập hệ thống thông tin quan trọng về an ninh quốc gia
Hệ thống thông tin quan trọng về an ninh quốc gia là hệ thống thông tin của cơ quan nhà nước và tổ chức chính trị của nước Cộng hòa xã hội chủ nghĩa Việt Nam, bao gồm:
1. Hệ thống thông tin quan trọng quốc gia theo quy định của Luật An toàn thông tin mạng.
2. Hệ thống thông tin phục vụ chỉ đạo, điều hành của các công trình quan trọng liên quan đến an ninh quốc gia theo quy định của pháp luật.
3. Hệ thống thông tin phục vụ chỉ đạo, điều hành, điều khiển hoạt động của công trình viễn thông quan trọng liên quan đến an ninh quốc gia theo quy định của pháp luật.
4. Hệ thống thông tin thuộc các lĩnh vực được quy định tại khoản 2 Điều 10 Luật An ninh mạng khi bị sự cố, xâm nhập, chiếm quyền điều khiển, làm sai lệch, gián đoạn, ngưng trệ, tê liệt, tấn công hoặc phá hoại sẽ gây ra một trong các hậu quả sau đây:
a) Trực tiếp tác động đến độc lập, chủ quyền, thống nhất và toàn vẹn lãnh thổ của Tổ quốc, sự tồn tại của chế độ và Nhà nước Cộng hòa xã hội chủ nghĩa Việt Nam;
b) Gây hậu quả nghiêm trọng đến quốc phòng, an ninh quốc gia, đối ngoại làm suy yếu khả năng phòng thủ, bảo vệ Tổ quốc;
c) Gây hậu quả nghiêm trọng đến nền kinh tế quốc dân;
d) Gây thảm họa đối với đời sống con người, môi trường sinh thái;
đ) Gây hậu quả nghiêm trọng đến hoạt động của công trình xây dựng cấp đặc biệt theo phân cấp của pháp luật về xây dựng;
e) Gây hậu quả nghiêm trọng đến hoạt động hoạch định chủ trương, chính sách thuộc phạm vi bí mật nhà nước;
g) Ảnh hưởng nghiêm trọng đến sự chỉ đạo điều hành trực tiếp của các cơ quan Đảng, Nhà nước ở trung ương.
Điều 4. Lập hồ sơ đề nghị đưa hệ thống thông tin vào Danh mục hệ thống thông tin quan trọng về an ninh quốc gia1. Chủ quản hệ thống thông tin có trách nhiệm rà soát, đối chiếu với quy định tại khoản 4 Điều 3 Nghị định này, lập hồ sơ đề nghị đưa hệ thống thông tin thuộc thẩm quyền quản lý của mình vào Danh mục hệ thống thông tin quan trọng về an ninh quốc gia.
2. Đối với hệ thống thông tin thuộc Danh mục hệ thống thông tin quan trọng quốc gia:
a) Bộ Thông tin và Truyền thông có trách nhiệm gửi Bộ Công an hồ sơ hệ thống thông tin quan trọng quốc gia đã được Thủ tướng Chính phủ phê duyệt để xác lập Danh mục hệ thống thông tin quan trọng về an ninh quốc gia;
b) Trong trường hợp quy định tại điểm a khoản 2 Điều này, chủ quản hệ thống thông tin quan trọng quốc gia không phải lập hồ sơ đề nghị đưa hệ thống vào Danh mục hệ thống thông tin quan trọng về an ninh quốc gia;
c) Bộ Công an có trách nhiệm đưa những hệ thống thông tin quan trọng quốc gia vào Danh mục hệ thống thông tin quan trọng về an ninh quốc gia theo trình tự, thủ tục quy định; thông báo cho chủ quản các hệ thống thông tin này về việc hệ thống thông tin được đưa vào Danh mục hệ thống thông tin quan trọng về an ninh quốc gia và thực hiện các trách nhiệm tương ứng.
3. Trường hợp hệ thống thông tin trong quá trình thẩm định về cấp độ an toàn thông tin mà xét thấy có đủ căn cứ để đưa vào Danh mục hệ thống thông tin quan trọng về an ninh quốc gia, Bộ Thông tin và Truyền thông có trách nhiệm chuyển hồ sơ cho Bộ Công an để thẩm định hồ sơ đề nghị đưa hệ thống thông tin vào Danh mục hệ thống thông tin quan trọng về an ninh quốc gia.
4. Lực lượng chuyên trách bảo vệ an ninh mạng căn cứ chức năng, nhiệm vụ được giao rà soát các hệ thống thông tin có căn cứ phù hợp với quy định tại Điều 3 Nghị định này và yêu cầu chủ quản hệ thống thông tin lập hồ sơ đề nghị đưa hệ thống thông tin thuộc thẩm quyền quản lý của mình vào Danh mục hệ thống thông tin quan trọng về an ninh quốc gia.
5. Hồ sơ đề nghị đưa hệ thống thông tin vào Danh mục hệ thống thông tin quan trọng về an ninh quốc gia:
a) Văn bản đề nghị đưa hệ thống thông tin vào Danh mục hệ thống thông tin quan trọng về an ninh quốc gia (Mẫu số 01 Phụ lục);
b) Văn bản cung cấp danh mục toàn bộ hệ thống thông tin của cơ quan, tổ chức (Mẫu số 02 Phụ lục);
c) Tài liệu chứng minh kèm theo, gồm: Tài liệu mô tả, thuyết minh tổng quan về hệ thống thông tin; tài liệu thiết kế thi công đã được cấp có thẩm quyền phê duyệt hoặc tài liệu có giá trị tương đương; tài liệu chứng minh sự phù hợp với căn cứ đề xuất đưa hệ thống thông tin vào Danh mục hệ thống thông tin quan trọng về an ninh quốc gia; tài liệu thuyết minh phương án bảo vệ hệ thống thông tin (phương án bảo đảm an toàn hạ tầng mạng; an toàn máy chủ; an toàn ứng dụng; an toàn cơ sở dữ liệu; chính sách quản lý; tổ chức, nhân sự; quản lý thiết kế, xây dựng; quản lý vận hành; kiểm tra, đánh giá và quản lý rủi ro).
6. Hồ sơ đề nghị đưa hệ thống thông tin vào Danh mục hệ thống thông tin quan trọng về an ninh quốc gia được lập thành 01 bản chính, gửi về:
a) Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao thuộc Bộ Công an, trừ quy định tại điểm b và điểm c khoản này;
b) Bộ Tư lệnh Tác chiến không gian mạng thuộc Bộ Quốc phòng đối với các hệ thống thông tin quân sự.
c) Ban Cơ yếu Chính phủ đối với các hệ thống thông tin cơ yếu thuộc Ban Cơ yếu Chính phủ.
7. Cơ quan tiếp nhận hồ sơ tại khoản 6 Điều này có trách nhiệm phản hồi ý kiến bằng văn bản về hồ sơ đã tiếp nhận (Mẫu số 03 Phụ lục).
Điều 5. Thẩm định hồ sơ đề nghị đưa hệ thống thông tin vào Danh mục hệ thống thông tin quan trọng về an ninh quốc gia1. Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao thuộc Bộ Công an thẩm định hồ sơ đề nghị đưa hệ thống thông tin vào Danh mục hệ thống thông tin quan trọng về an ninh quốc gia theo quy định, trừ trường hợp quy định tại khoản 2 và khoản 3 Điều này.
2. Bộ Tư lệnh Tác chiến không gian mạng thuộc Bộ Quốc phòng hướng dẫn lập hồ sơ, tiếp nhận và thẩm định hồ sơ đề nghị đưa hệ thống thông tin quân sự vào Danh mục hệ thống thông tin quan trọng về an ninh quốc gia.
3. Ban Cơ yếu Chính phủ thẩm định hồ sơ đề nghị đưa hệ thống thông tin cơ yếu thuộc Ban Cơ yếu Chính phủ vào Danh mục hệ thống thông tin quan trọng về an ninh quốc gia.
4. Hội đồng thẩm định hồ sơ đề nghị đưa hệ thống thông tin vào Danh mục hệ thống thông tin quan trọng về an ninh quốc gia:
a) Đối với hệ thống thông tin quan trọng về an ninh quốc gia có liên quan tới nhiều ngành, lĩnh vực hoặc việc thẩm định cần có ý kiến của nhiều bộ, ngành chức năng;
b) Hội đồng thẩm định làm việc theo chế độ kiêm nhiệm, tự giải thể khi hoàn thành nhiệm vụ. Căn cứ tính chất, vai trò của hệ thống thông tin, thành viên Hội đồng thẩm định có thể bao gồm Bộ Công an, Bộ Quốc phòng, Bộ Thông tin và Truyền thông, Ban Cơ yếu Chính phủ và các cơ quan, đơn vị có liên quan. Tùy từng trường hợp cụ thể, Hội đồng thẩm định mời chủ quản hệ thống thông tin tham dự họp thẩm định;
c) Hội đồng thẩm định có trách nhiệm thẩm định cấp độ an toàn hệ thống thông tin và hồ sơ đề nghị đưa hệ thống thông tin vào Danh mục hệ thống thông tin quan trọng về an ninh quốc gia.
5. Kết quả họp Hội đồng thẩm định được sử dụng chung phục vụ công tác an ninh mạng, an toàn thông tin mạng.
6. Trường hợp cần xác thực thông tin trong hồ sơ và hiện trạng thực tế của hệ thống thông tin được nêu trong hồ sơ, cơ quan thẩm định quy định tại khoản 1, khoản 2, khoản 3 Điều này tổ chức khảo sát, kiểm tra thực tế để thẩm định đề nghị đưa hệ thống thông tin vào Danh mục hệ thống thông tin quan trọng về an ninh quốc gia. Thời gian khảo sát, kiểm tra thực tế không quá 20 ngày.
Kết quả khảo sát được lập thành biên bản có xác nhận của cơ quan thẩm định và chủ quản hệ thống thông tin.
7. Chủ quản hệ thống thông tin có trách nhiệm phối hợp, tạo điều kiện cho công tác thẩm định, khảo sát, kiểm tra và bổ sung hồ sơ theo đề nghị của cơ quan thẩm định.
8. Thời gian, trình tự thẩm định hồ sơ:
a) Thời gian thẩm định hồ sơ là 30 ngày kể từ ngày nhận đủ hồ sơ hợp lệ đề nghị đưa hệ thống thông tin vào Danh mục hệ thống thông tin quan trọng về an ninh quốc gia hoặc kết thúc quá trình khảo sát theo quy định tại khoản 6 Điều này;
b) Thời gian xác nhận hồ sơ hợp lệ là 03 ngày làm việc sau khi nhận đủ hồ sơ đề nghị đưa hệ thống thông tin vào Danh mục hệ thống thông tin quan trọng về an ninh quốc gia;
c) Kết thúc thời gian thẩm định, cơ quan thẩm định hoàn tất hồ sơ đề xuất Bộ trưởng Bộ Công an, Bộ trưởng Bộ Quốc phòng trình Thủ tướng Chính phủ ban hành, cập nhật quyết định theo chức năng, nhiệm vụ được giao. Đồng thời, có văn bản thông báo kết quả thẩm định cho chủ quản hệ thống thông tin (Mẫu số 04 Phụ lục);
d) Bộ trưởng Bộ Công an, Bộ trưởng Bộ Quốc phòng quyết định gia hạn thời gian thẩm định. Thời gian gia hạn không quá 20 ngày.
9. Bộ Công an chủ trì, phối hợp với Bộ Quốc phòng, Ban Cơ yếu Chính phủ thống nhất cơ chế trình Thủ tướng Chính phủ ban hành Quyết định xác lập, cập nhật Danh mục hệ thống thông tin quan trọng về an ninh quốc gia.
Điều 6. Đưa hệ thống thông tin ra khỏi danh mục hệ thống thông tin quan trọng về an ninh quốc gia1. Khi xét thấy hệ thống thông tin quan trọng về an ninh quốc gia do mình quản lý không còn đáp ứng căn cứ quy định tại Điều 3 Nghị định này, chủ quản hệ thống thông tin quan trọng về an ninh quốc gia lập hồ sơ đề nghị đưa hệ thống thông tin ra khỏi Danh mục hệ thống thông tin quan trọng về an ninh quốc gia.
2. Hằng năm, lực lượng chuyên trách bảo vệ an ninh mạng căn cứ chức năng, nhiệm vụ rà soát các hệ thống thông tin không còn tiêu chí phù hợp với quy định tại Điều 3 Nghị định này và yêu cầu chủ quản hệ thống thông tin lập hồ sơ đề nghị đưa hệ thống thông tin thuộc thẩm quyền quản lý ra khỏi Danh mục hệ thống thông tin quan trọng về an ninh quốc gia.
3. Hồ sơ đề nghị đưa hệ thống thông tin ra khỏi Danh mục hệ thống thông tin quan trọng về an ninh quốc gia, bao gồm:
a) Văn bản đề nghị đưa hệ thống thông tin ra khỏi Danh mục hệ thống thông tin quan trọng về an ninh quốc gia (Mẫu số 05 Phụ lục);
b) Văn bản, tài liệu cần thiết khác có liên quan trực tiếp đến việc đề nghị đưa hệ thống thông tin ra khỏi Danh mục hệ thống thông tin quan trọng về an ninh quốc gia.
4. Trình tự, thủ tục, thẩm quyền xem xét, quyết định đưa hệ thống thông tin ra khỏi Danh mục hệ thống thông tin quan trọng về an ninh quốc gia được áp dụng theo quy định về trình tự, thủ tục, thẩm quyền xem xét, quyết định đưa hệ thống thông tin vào Danh mục hệ thống thông tin quan trọng về an ninh quốc gia.
Điều 7. Phối hợp thẩm định, đánh giá, kiểm tra, giám sát, ứng phó, khắc phục sự cố đối với hệ thống thông tin quan trọng về an ninh quốc gia1. Việc bảo vệ an ninh mạng, an toàn thông tin mạng đối với hệ thống thông tin quan trọng về an ninh quốc gia được thực hiện theo quy định của pháp luật về an ninh mạng, an toàn thông tin mạng.
2. Nguyên tắc phối hợp
a) Áp dụng quy định của pháp luật về an ninh mạng, an toàn thông tin mạng đối với thẩm định, đánh giá, kiểm tra, giám sát, ứng phó, khắc phục sự cố đối với hệ thống thông tin quan trọng về an ninh quốc gia;
b) Trường hợp cần có sự phối hợp của nhiều bên liên quan, Bộ Công an, Bộ Quốc phòng, Ban Cơ yếu Chính phủ căn cứ Luật An ninh mạng chủ trì, phối hợp với Bộ Thông tin và Truyền thông, các bộ, ngành có liên quan tổ chức thẩm định, đánh giá, kiểm tra, giám sát, ứng phó, khắc phục sự cố an ninh mạng đối với hệ thống thông tin quan trọng về an ninh quốc gia theo chức năng, nhiệm vụ được giao;
c) Quá trình phối hợp bảo đảm tuân thủ quy định của các điều ước quốc tế và các quy định của tổ chức quốc tế mà Việt Nam tham gia, Luật An ninh mạng và pháp luật có liên quan, chủ động, thường xuyên, kịp thời và đúng chức năng, nhiệm vụ, quyền hạn được giao.
3. Phương thức phối hợp
a) Bộ Công an gửi văn bản đề nghị các bộ, ngành có liên quan cử thành viên tham gia thẩm định, đánh giá, kiểm tra, giám sát, ứng phó, khắc phục sự cố an ninh mạng đối với hệ thống thông tin quan trọng về an ninh quốc gia;
b) Các bộ, ngành có liên quan có trách nhiệm cử thành viên tham gia đầy đủ các hoạt động trong quá trình thẩm định, đánh giá, kiểm tra, giám sát, ứng phó, khắc phục sự cố an ninh mạng đối với hệ thống thông tin quan trọng về an ninh quốc gia theo nội dung đề nghị;
c) Hồ sơ, văn bản tài liệu phục vụ thẩm định, đánh giá, kiểm tra, giám sát, ứng phó, khắc phục sự cố an ninh mạng đối với hệ thống thông tin quan trọng về an ninh quốc gia được Bộ Công an sao gửi tới thành viên tham gia theo quy định.
4. Việc phối hợp giám sát đối với hệ thống thông tin quan trọng về an ninh quốc gia phục vụ công tác bảo vệ an ninh mạng, an toàn thông tin mạng:
a) Các lực lượng chuyên trách bảo vệ an ninh mạng có trách nhiệm chia sẻ với nhau và với Cục An toàn thông tin, Bộ Thông tin và Truyền thông về dữ liệu giám sát an ninh mạng, an toàn thông tin mạng phục vụ thực hiện chức năng, nhiệm vụ được giao;
b) Trường hợp đã thực hiện giám sát an toàn thông tin mạng đối với hệ thống thông tin quan trọng về an ninh quốc gia, dữ liệu giám sát được chia sẻ, dùng chung phục vụ công tác bảo vệ an ninh mạng, an toàn thông tin mạng;
c) Chủ quản hệ thống thông tin quan trọng về an ninh quốc gia có trách nhiệm bố trí mặt bằng, điều kiện kỹ thuật, thiết lập, kết nối hệ thống, thiết bị giám sát của lực lượng chuyên trách bảo vệ an ninh mạng vào hệ thống thông tin do mình quản lý nhằm phát hiện, cảnh báo sớm nguy cơ an ninh mạng.
Mục 2. ĐIỀU KIỆN AN NINH MẠNG ĐỐI VỚI HỆ THỐNG THÔNG TIN QUAN TRỌNG VỀ AN NINH QUỐC GIAĐiều 8. Điều kiện về quy định, quy trình, phương án bảo đảm an ninh mạng đối với hệ thống thông tin quan trọng về an ninh quốc gia
1. Căn cứ vào các quy định bảo vệ an ninh mạng, bảo vệ bí mật nhà nước, bí mật công tác, tiêu chuẩn, quy chuẩn kỹ thuật an toàn thông tin mạng và các tiêu chuẩn kỹ thuật chuyên ngành khác có liên quan, chủ quản hệ thống thông tin quan trọng về an ninh quốc gia xây dựng các quy định, quy trình, phương án bảo vệ an ninh mạng đối với hệ thống thông tin quan trọng về an ninh quốc gia do mình quản lý.
2. Nội dung các quy định, quy trình, phương án về bảo vệ an ninh mạng phải quy định rõ hệ thống thông tin và thông tin quan trọng cần ưu tiên bảo vệ; quy trình quản lý, kỹ thuật, nghiệp vụ trong sử dụng, bảo vệ an ninh mạng đối với dữ liệu, hạ tầng kỹ thuật; điều kiện về nhân sự làm công tác quản trị mạng, vận hành hệ thống, bảo đảm an ninh, an toàn thông tin mạng và hoạt động soạn thảo, lưu trữ, truyền đưa bí mật nhà nước qua hệ thống thông tin; trách nhiệm của từng bộ phận, cá nhân trong quản lý, vận hành, sử dụng; chế tài xử lý những hành vi vi phạm.
Điều 9. Điều kiện về nhân sự vận hành, quản trị hệ thống, bảo vệ an ninh mạng1. Có bộ phận phụ trách về vận hành, quản trị hệ thống và bảo vệ an ninh mạng.
2. Nhân sự phụ trách về vận hành, quản trị hệ thống và bảo vệ an ninh mạng phải có trình độ chuyên môn về an ninh mạng, an toàn thông tin mạng, công nghệ thông tin; có cam kết bảo mật thông tin liên quan đến hệ thống thông tin quan trọng về an ninh quốc gia trong quá trình làm việc và sau khi nghỉ việc.
3. Có cơ chế hoạt động độc lập về chuyên môn giữa các bộ phận vận hành, quản trị, bảo vệ an ninh mạng đối với hệ thống thông tin quan trọng về an ninh quốc gia.
Điều 10. Điều kiện bảo đảm an ninh mạng đối với thiết bị, phần cứng, phần mềm là thành phần hệ thống1. Các thiết bị phần cứng là thành phần hệ thống phải được kiểm tra an ninh mạng để phát hiện điểm yếu, lỗ hổng bảo mật, mã độc, thiết bị thu phát, phần cứng độc hại bảo đảm sự tương thích với các thành phần khác trong hệ thống thông tin quan trọng về an ninh quốc gia. Các thiết bị quản trị phải được cài đặt hệ điều hành, phần mềm sạch, có các lớp tường lửa bảo vệ. Hệ thống thông tin xử lý bí mật nhà nước không được kết nối với mạng Internet.
2. Sản phẩm đã được lực lượng chuyên trách bảo vệ an ninh mạng, an toàn thông tin mạng cảnh báo, thông báo nguy cơ gây mất an ninh mạng không được đưa vào sử dụng hoặc phải có biện pháp xử lý, khắc phục điểm yếu, lỗ hổng bảo mật, mã độc, phần cứng độc hại trước khi đưa vào sử dụng.
3. Dữ liệu, thông tin ở dạng số được xử lý, lưu trữ thông qua hệ thống thông tin thuộc bí mật nhà nước phải được mã hóa hoặc có biện pháp bảo vệ trong quá trình tạo lập, trao đổi, lưu trữ trên mạng Internet theo quy định của pháp luật về bảo vệ bí mật nhà nước.
4. Thiết bị công nghệ thông tin, phương tiện truyền thông, vật mang tin và các thiết bị phục vụ cho hoạt động của hệ thống thông tin phải được quản lý, tiêu hủy, sửa chữa theo quy định của pháp luật về bảo vệ bí mật nhà nước, quy định công tác của chủ quản hệ thống thông tin.
5. Phần mềm hệ thống, phần mềm tiện ích, phần mềm lớp giữa, cơ sở dữ liệu, chương trình ứng dụng, mã nguồn và công cụ phát triển định kỳ được rà soát và cập nhật các bản vá lỗi.
6. Thiết bị di động và các thiết bị có tính năng lưu trữ thông tin khi kết nối vào hệ thống mạng nội bộ của hệ thống thông tin quan trọng về an ninh quốc gia phải được kiểm tra, kiểm soát bảo đảm an toàn và chỉ được phép sử dụng tại hệ thống thông tin quan trọng về an ninh quốc gia.
7. Thiết bị, phương tiện lưu trữ thông tin khi kết nối, vận chuyển, lưu trữ phải:
a) Kiểm tra bảo mật trước khi kết nối với hệ thống thông tin quan trọng về an ninh quốc gia;
b) Kiểm soát việc đấu nối, gỡ bỏ đấu nối thiết bị thuộc hệ thống thông tin quan trọng về an ninh quốc gia;
c) Triển khai các biện pháp bảo đảm an toàn khi vận chuyển, lưu trữ và biện pháp bảo vệ đối với thông tin thuộc bí mật nhà nước được lưu trữ trong đó.
Điều 11. Điều kiện về biện pháp kỹ thuật để giám sát, bảo vệ an ninh mạng1. Môi trường vận hành của hệ thống thông tin quan trọng về an ninh quốc gia phải đáp ứng yêu cầu:
a) Tách biệt với các môi trường phát triển, kiểm tra và thử nghiệm;
b) Áp dụng các giải pháp bảo đảm an toàn thông tin;
c) Không cài đặt các công cụ, phương tiện phát triển ứng dụng;
d) Loại bỏ hoặc tắt các tính năng, phần mềm tiện ích không sử dụng, không cần thiết trên hệ thống thông tin.
2. Dữ liệu của hệ thống thông tin quan trọng về an ninh quốc gia phải có phương án tự động sao lưu dự phòng phù hợp ra phương tiện lưu trữ ngoài với tần suất thay đổi của dữ liệu và bảo đảm nguyên tắc dữ liệu phát sinh phải được sao lưu trong vòng 24 giờ. Dữ liệu sao lưu dự phòng phải được kiểm tra, bảo đảm khả năng khôi phục định kỳ 6 tháng một lần.
3. Hệ thống mạng phải đáp ứng yêu cầu sau:
a) Chia tách thành các vùng mạng khác nhau theo đối tượng sử dụng, mục đích sử dụng, tối thiểu: có phân vùng mạng riêng cho máy chủ của hệ thống thông tin; có phân vùng mạng trung gian (DMZ) để cung cấp dịch vụ trên mạng Internet; có phân vùng mạng riêng để cung cấp dịch vụ mạng không dây; có phân vùng mạng riêng đối với máy chủ cơ sở dữ liệu;
b) Có thiết bị, phần mềm thực hiện chức năng kiểm soát các kết nối, truy cập vào ra các vùng mạng quan trọng;
c) Có giải pháp kiểm soát, phát hiện và ngăn chặn kịp thời các kết nối, truy cập không tin cậy, xâm nhập trái phép;
d) Có phương án ứng phó tấn công từ chối dịch vụ và các hình thức tấn công khác phù hợp với quy mô, tính chất của hệ thống thông tin quan trọng về an ninh quốc gia.
4. Có biện pháp, giải pháp để dò tìm và phát hiện kịp thời các điểm yếu, lỗ hổng về mặt kỹ thuật của hệ thống mạng và những kết nối, thiết bị, phần mềm cài đặt bất hợp pháp vào mạng.
5. Ghi và lưu trữ nhật ký về hoạt động của hệ thống thông tin và người sử dụng, các lỗi phát sinh, các sự cố an toàn thông tin tối thiểu 3 tháng theo hình thức tập trung và sao lưu tối thiểu một năm một lần.
6. Kiểm soát truy cập đối với người sử dụng, nhóm người sử dụng thiết bị công cụ sử dụng:
a) Đăng ký, cấp phát, gia hạn và thu hồi quyền truy cập của thiết bị, người sử dụng;
b) Mỗi tài khoản truy cập hệ thống phải được gán cho một người sử dụng duy nhất; trường hợp chia sẻ tài khoản dùng chung để truy cập hệ thống thông tin quan trọng về an ninh quốc gia thì phải được phê duyệt bởi cấp có thẩm quyền và xác định được trách nhiệm cá nhân tại mỗi thời điểm sử dụng;
c) Giới hạn và kiểm soát các truy cập sử dụng tài khoản có quyền quản trị: (i) Thiết lập cơ chế kiểm soát việc tạo tài khoản có quyền quản trị để bảo đảm không một tài khoản nào sử dụng được khi chưa được cấp có thẩm quyền phê duyệt; (ii) Phải có biện pháp giám sát việc sử dụng tài khoản có quyền quản trị; (iii) Việc sử dụng tài khoản có quyền quản trị phải được giới hạn đảm bảo chỉ có 1 truy cập quyền quản trị duy nhất, tự động thoát khỏi phiên đăng nhập khi không có hoạt động trong khoảng thời gian nhất định;
d) Quản lý, cấp phát mã khóa bí mật truy cập hệ thống thông tin;
đ) Rà soát, kiểm tra, xét duyệt lại quyền truy cập của người sử dụng;
e) Yêu cầu, điều kiện an toàn thông tin đối với các thiết bị, công cụ sử dụng để truy cập.
Điều 12. Điều kiện về an ninh vật lý1. Hệ thống thông tin quan trọng về an ninh quốc gia được bố trí, lắp đặt tại các địa điểm an toàn và được bảo vệ để giảm thiểu những rủi ro trước các mối đe dọa, hiểm họa từ môi trường và xâm nhập trái phép.
2. Hệ thống thông tin quan trọng về an ninh quốc gia được bảo đảm về nguồn điện và các hệ thống hỗ trợ khi nguồn điện chính bị gián đoạn; có biện pháp chống quá tải hay sụt giảm điện áp, chống sét lan truyền; có hệ thống tiếp địa; có hệ thống máy phát điện dự phòng và hệ thống lưu điện bảo đảm thiết bị hoạt động liên tục.
3. Hệ thống thông tin quan trọng về an ninh quốc gia có phương án, biện pháp bảo vệ, chống sự xâm nhập thu thập thông tin của các thiết bị bay không người lái.
4. Trung tâm dữ liệu của hệ thống thông tin quan trọng về an ninh quốc gia được kiểm soát ra vào 24/7.
ESTABLISHMENT OF LISTS, COOPERATIVE MECHANISMS, AND CYBERSECURITY CRITERIA FOR THE PROTECTION OF MAJOR NATIONAL SECURITY INFORMATION SYSTEMS
Section 1. ESTABLISHMENT OF THE LIST OF MAJOR NATIONAL SECURITY INFORMATION SYSTEMS
Article 3. Bases for establishment of major national security information systems
Major national security information systems are information systems of state agencies and political organizations of the Socialist Republic of Vietnam, including:
1. Major national information systems according to regulations of the Law on Cybersecurity of Vietnam.
2. Information systems that serve the direction and operation of major works related to national security according to the law.
3. Information systems that serve the direction, operation, and control of activities of major telecommunications works related to national security according to the law.
4. Information systems of fields prescribed in Clause 2 Article 10 of the Law on Cybersecurity of Vietnam, when there is a breakdown, intrusion, hijacking, falsification, interruption, disruption, paralysis, attack, or sabotage, will cause one of the following consequences:
a) Direct impacts on the independence, sovereignty, unity, territorial integrity of the Vietnam Fatherland, and the existence of the regime and the State of the Socialist Republic of Vietnam;
b) Severe consequences to the national defense, security, and foreign affairs, weakening the capacity to defend and protect the Vietnam Fatherland;
c) Severe consequences to the national economy;
d) Severe disasters to the human life and ecological environment;
dd) Severe consequences to activities of construction works at special levels according to the decentralization of laws on construction;
e) Severe consequences to activities of the planning of guidelines and policies within the scope of state confidentiality;
g) Serious influence on the directive and direct operation of CPV agencies and agencies of the State at central levels.
Article 4. Application for inclusion of information systems in the List of major national security information systems
1. The governing body of an information system shall conduct the review and comparison with regulations prescribed in Clause 4 Article 3 of this Decree and apply for the inclusion of the information system under its management in the List of major national security information systems.
2. Regarding information systems included in the List of major national security information systems:
a) The Ministry of Information and Communications of Vietnam shall send the Ministry of Public Security of Vietnam documents on major national security information systems approved by the Prime Minister of Vietnam for the establishment of the List of major national security information systems;
b) In cases prescribed in Point a Clause 2 of this Article, the governing body of a major national security information system is not required to apply for the inclusion of such system in the List of major national security information systems;
c) The Ministry of Public Security of Vietnam shall include major national security information systems in the List of major national security information systems according to the prescribed order and procedures; notify governing bodies of such information systems of the information systems eligible for inclusion in the List of major national security information systems, and perform other equivalent responsibilities.
3. During the appraisal of information systems on their level of information safety, if such information systems are eligible for inclusion in the List of major national security information systems, the Ministry of Information and Communications of Vietnam shall transfer applications of such information systems for inclusion in the List of major national security information systems to the Ministry of Public Security for appraisal.
4. Cybersecurity protection forces shall, based on their functions and assigned tasks, review information systems with qualifications in accordance with regulations prescribed in Article 3 of this Decree and request governing bodies of such information systems to apply for inclusion of their information systems in the List of major national security information systems.
5. An application for inclusion of an information system in the List of major national security information systems includes:
a) A written request for inclusion of the information system in the List of major national security information systems (Form No. 1 of the Appendix);
b) A document on the provision of the list of the whole information system of the agency or organization (Form No. 2 of the Appendix);
c) Enclosed proving documents, including: documents describing and explaining the overview of the information system; construction design documents approved by competent authorities or equivalences; documents proving the suitability with the criteria for inclusion in the List of major national security information systems; documents explaining solutions to protect information systems (plans for assurance of network infrastructure safety; server security; application security; database security; management policies; organization, personnel; management of design, construction; management of operation; inspection, assessment, and management of risks).
6. The application for inclusion of the information system in the List of major national security information systems shall be made into 1 original copy and sent to:
a) The Department of Cyber Security and Hi-tech Crime Prevention of the Ministry of Public Security of Vietnam, excluding cases prescribed in Point b and Point c of this Clause;
b) The Cyber Command of the Ministry of National Defense of Vietnam regarding military information systems.
c) The Cipher Department of the Government of Vietnam regarding cipher information systems of the Cipher Department of the Government of Vietnam.
7. Agencies that receive applications prescribed in Clause 6 of this Article shall respond to suggestions on the received applications in writing (Form No. 3 of the Appendix).
Article 5. Appraisal of applications for inclusion of information systems in the List of major national security information systems
1. The Department of Cyber Security and Hi-tech Crime Prevention of the Ministry of Public Security of Vietnam shall appraise applications for inclusion of information systems in the List of major national security information systems as prescribed by regulations, excluding cases prescribed in Clause 2 and Clause 3 of this Article.
2. The Cyber Command of the Ministry of National Defense of Vietnam shall provide guidelines on the making, receipt, and appraisal of applications for inclusion of military information systems in the List of major national security information systems.
3. The Cipher Department of the Government of Vietnam shall appraise applications for inclusion of information systems of the Cipher Department of the Government of Vietnam in the List of major national security information systems.
4. An Appraisal Council of applications for inclusion of information systems in the List of major national security information systems:
a) The Appraisal Council is required for major national security information systems related to many fields or when the appraisal process needs suggestions from many Ministries and relevant authorities;
b) Members of an Appraisal Council shall work on a part-time basis and self-dissolve upon completion of tasks. According to the nature and role of the information system, members of the Appraisal Council may include the Ministry of Public Security of Vietnam, the Ministry of National Defense of Vietnam, the Ministry of Information and Communications of Vietnam, the Cipher Department of the Government of Vietnam, and relevant agencies and units. Depending on each specific case, the Appraisal Council shall invite the governing body of the corresponding information system to participate in the appraisal meeting;
c) The Appraisal Council shall appraise the safety level of an information system and the application for inclusion of such information system in the List of major national security information systems.
5. Meeting results of the Appraisal Council shall be generally used for work of cybersecurity and cyber information security.
6. In case of requirement for verification of information in applications and the actual state of the information systems mentioned in such applications, appraisal agencies prescribed in Clauses 1, 2, and 3 of this Article shall organize actual surveys and testing to appraise applications for inclusion of information systems in the List of major national security information systems. The actual survey and testing time shall not exceed 20 days.
Survey results shall be recorded in writing and certified by appraisal agencies and governing bodies of such information systems.
7. Governing bodies shall cooperate and facilitate the appraisal, survey, testing, and supplement of applications at the request of appraisal agencies.
8. Time and procedures for appraisal of applications:
a) The appraisal time of applications is 30 days from the receipt date of valid applications for inclusion of information systems in the List of major national security information systems or from the end date of the survey process prescribed in Clause 6 of this Article;
b) The time for confirmation of valid applications is 3 working days after receiving the adequate applications for inclusion of information system in the List of major national security information systems;
c) At the end of the appraisal time, appraisal agencies shall finalize documents and send them to the Minister of Public Security of Vietnam, Minister of National Defense of Vietnam for suggestions for presentation of such documents to the Prime Minister of Vietnam to request the promulgation and update of decisions according to their functions and assigned tasks. At the same time, notify the governing bodies of information systems of the appraisal results in writing (Form No. 4 of the Appendix);
d) The Minister of the Ministry of Public Security of Vietnam and the Minister of National Defense of Vietnam shall decide on the extension of appraisal time. The extended time shall not exceed 20 days.
9. The Ministry of Public Security of Vietnam shall take charge and cooperate with the Ministry of National Defense of Vietnam and the Cipher Department of the Government of Vietnam in agreeing on the mechanism for requesting the Prime Minister of Vietnam to promulgate Decisions on the establishment and update of the List of major national security information systems.
Article 6. Exclusion of information systems from the List of major national security information systems
1. The governing body of a major national security information system shall apply for exclusion of such information system from the List of major national security information systems if the governing body detects that such information system fails to satisfy the bases prescribed in Article 3 of this Decree.
2. Annually, cybersecurity protection forces shall, based on their functions and tasks, review and detect information systems that fail to comply with regulations prescribed in Article 3 of this Decree and request the related governing bodies to apply for exclusion of such information systems from the List of major national security information systems.
3. An application for exclusion of an information system from the List of major national security information systems includes:
a) A written request for exclusion of the information system from the List of major national security information systems (Form No. 5 of the Appendix);
b) Other necessary documents directly related to the application for exclusion of the information system from the List of major national security information systems.
4. Order, procedures, and competency to consider and decide on the exclusion of information systems from the List of major national security information systems shall comply with regulations on the order, procedures, and competency to consider and decide on the inclusion of information systems in the List of major national security information systems.
Article 7. Cooperation in appraising, assessing, inspecting, supervising, responding to, and remedying incidents of major national security information system
1. The protection of cybersecurity and cyber information security of major national security information systems shall be performed according to regulations of laws on cybersecurity and cyber information security.
2. Principles of cooperation
a) Application of regulations of laws on cybersecurity and cyber information security to the appraisal, assessment, inspection, supervision, response, and remedy for incidents of major national information systems;
b) In case cooperation between many relevant parties is required, the Ministry of Public Security of Vietnam, the Ministry of National Defense of Vietnam, and the Cipher Department of the Government of Vietnam shall, based on the Law on Cybersecurity, take charge and cooperate with the Ministry of Information and Communications and Ministries and central authorities related to the organization of the appraisal, assessment, inspection, supervision, response, and remedy for incidents of major national security information systems according to their functions and assigned tasks;
c) The cooperation process shall ensure compliance with treaties and regulations of international organizations to which Vietnam is a signatory, the Law on Cybersecurity, and relevant laws in a proactive, regular, and timely manner that is in line with assigned functions, tasks, and entitlements.
3. Methods of cooperation
a) The Ministry of Public Security shall request relevant Ministries and central authorities to appoint their members to participate in the appraisal, assessment, inspection, supervision, response, and remedy for incidents of major national security information systems in writing;
b) Relevant Ministries and central authorities shall appoint their members to adequately participate in activities during the process of the appraisal, assessment, inspection, supervision, response, and remedy for incidents of major national security information systems according to the content of the request;
c) Records and documents that serve the appraisal, assessment, inspection, supervision, response, and remedy for incidents of major national security information systems shall be sent to participants by the Ministry of Public Security according to regulations.
4. Regarding the cooperation in supervising major national security information systems for cybersecurity and cyber information security:
a) Cybersecurity protection forces shall share the data on the testing of cybersecurity and cyber information security serving functions and assigned tasks with the Authority of Information Security and the Ministry of Information and Communications of Vietnam;
b) In case the supervision of cyber information security for major national security information systems has been performed, the supervision data shall be shared and generally used for cybersecurity and cyber information security;
c) Governing bodies of major national security information systems shall arrange premises, technical conditions and establish and connect systems and supervision devices of cybersecurity protection forces to information systems under their management for early detection and warning of cybersecurity risks.
Section 2. CYBERSECURITY CRITERIA FOR MAJOR NATIONAL SECURITY INFORMATION SYSTEMS
Article 8. Criteria for regulations, procedures, and methods of ensuring cybersecurity for major national security information systems
1. Governing bodies of major national security information systems shall, based on regulations on cybersecurity, state confidentiality protection, confidential work, technical standards and regulations on cyber information security, and other relevant professional technical standards, develop regulations, procedures, and plans for the protection of cybersecurity of major national security information systems under their management.
2. Contents of regulations, procedures, and plans for the protection of cybersecurity shall elaborate on the major information system and major information prioritized for protection; management procedures, technical procedures, and professional procedures in using and protecting cybersecurity of the database and technical infrastructure; the criteria for personnel of cyber administration, system operation, assurance of cyber information security and safety, and activities of drafting, storing, and transmitting state confidentiality via information systems; responsibilities of each division and individual in managing, operating, and using; sanctions for violations.
Article 9. Criteria for personnel of system operation, administration, and cybersecurity protection
1. Divisions in charge of system operation and administration and cybersecurity protection are required.
2. Personnel in charge of system operation and administration and cybersecurity protection shall have professional qualifications in cybersecurity, cyber information security, and information technology; have commitments to protect the confidentiality of information on major national security information systems during the process of working and after leaving the job position.
3. Mechanisms of independent professional operations between divisions of operation, administration, and protection of cybersecurity for major national security information systems are required.
Article 10. Criteria for assurance of cybersecurity for devices, hardware, and software that are components of the system
1. Hardware devices that are components of the system shall be tested for cybersecurity to detect weaknesses and confidential vulnerabilities, malicious codes, transceivers, and malicious hardware for the assurance of compatibility with other components in the major national security information system. Administrative devices must be installed with operating systems and clean applications and have layers of firewall protection. Information systems that handle state confidentialities shall not be connected to the Internet.
2. Products that are warned or notified to have risks of cybersecurity disorder by cybersecurity protection forces shall not be put into use, or they shall have measures to handle and remedy weaknesses, confidential vulnerabilities, malicious codes, and malicious hardware before being put into use.
3. Digital data and information shall be handled and stored via information systems of state confidentiality shall be encrypted or have protection measures during the process of establishment, trade, and storage on the Internet according to regulations of laws on state confidentiality protection.
4. Information technology devices, communication means, data containers, and devices serving activities of information systems shall be managed, destroyed, or fixed according to laws on state confidentiality protection and working regulations of governing bodies of such information systems.
5. System software, feature software, middleware, database, application programs, source codes, and development tools shall be periodically reviewed and updated with patches.
6. Mobile devices and devices with information storage features when connecting to the internal network of a major national security information system shall be tested and controlled for safety assurance and may only be used in such information systems.
7. Devices and means that store information when connecting, transporting, and storing shall:
a) Test the confidentiality before connecting to major national security information systems;
b) Control the connection and disconnection of devices of major national security information systems;
c) Implement measures to ensure safety during transport and storage and protection measures regarding the stored information of state confidentiality.
Article 11. Criteria for technical measures to supervise and protect cybersecurity
1. The operational environment of a major national security information system shall:
a) Be separated from environments of development, testing, and experiment;
b) Apply measures to ensure information safety;
c) Not install tools and means for application development;
d) Eliminate or turn off unused or unnecessary features and feature software on the information system.
2. Data of the major national security information system shall have automatic backup plans suitable for external storage with data change frequency and ensure that arising data must be backed up within 24 hours. Backup data must be tested to ensure the restoration ability every 6 months.
3. A network system shall:
a) Be divided into different network zones according to users and using purposes and must at least have a separate network zone for the server of the information system; have a demilitarized zone (DMZ) to provide services on the Internet; have a separate network zone to provide wireless network services; have a separate network zone for the database server;
b) Have devices and software to control connections and access to major network zones;
c) Have measures to timely control, detect, and prevent unauthorized connections, access, and intrusion;
d) Have plans to respond to distributed denial-of-service attacks (DDoS) and other forms of attacks suitable with the scale and nature of the major national security information system.
4. Adoption of measures and solutions to find and timely detect technical weaknesses and vulnerabilities of the network system, illegal connections, and devices and software illegally installed in the network.
5. Logs of the information system and users’ activities, arising errors, and information safety incidents must be recorded and stored for at least 3 months in a centralized form and backed up at least once a year.
6. Regarding the control of access of users and groups of users using devices and tools:
a) Register, allocate, renew, and revoke access rights of devices and users;
b) Ensure that each account with access to the system is only associated with one user; in case of sharing the account for general access to the major national security information system, there must be approval from competent authorities and identification of the responsibility of each individual at each time of use;
c) Limit and control access to accounts with administrative rights: (i) establish mechanisms to control the creation of accounts with administrative rights to ensure that such accounts may only be used with the approval of competent authorities; (ii) adopt measures to supervise the use of accounts with administrative rights; (iii) ensure that there is only 1 access at a time to an account with administrative rights, and such account shall automatically log out if it is idle for a certain time;
d) Manage and allocate confidential passwords to access the information system;
dd) Review, inspect, and re-consider the approval of access rights of users;
e) Impose requirements and criteria for information safety for devices and tools used for access.
Article 12. Criteria for physical security
1. Major national security information systems shall be arranged and installed at safe locations and protected to reduce risks of threats and hazards from the environment and intrusion.
2. Major national security information systems shall be ensured regarding power sources and support systems when the main power source is disrupted; have measures to prevent overload, voltage drop, and lightning transmission; have grounding systems; have backup power generators and uninterruptible power supply systems (USP) to ensure the continuous operation of devices.
3. Major national security information systems shall have plans and measures to protect and combat intrusion for information collection of unmanned aerial devices.
4. Data centers of major national security information systems shall have their access controlled 24/7.
Tình trạng hiệu lực: Còn hiệu lực