Tìm kiếm

Chương 5 Nghị định 72/2013/NĐ-CP: Bảo đảm an toàn thông tin và an ninh thông tin trên mạng

Chương 5
Bảo đảm an toàn thông tin và an ninh thông tin trên mạng
Điều 38. Nguyên tắc bảo đảm an toàn thông tin và an ninh thông tin trên mạng

1. Tổ chức, cá nhân tham gia cung cấp và sử dụng dịch vụ Internet và thông tin trên mạng có trách nhiệm bảo đảm an toàn thông tin và an ninh thông tin trong phạm vi hệ thống thông tin của mình; phối hợp với cơ quan quản lý nhà nước có thẩm quyền và tổ chức, cá nhân khác trong việc bảo đảm an toàn thông tin và an ninh thông tin trên mạng.

2. Hoạt động bảo đảm an toàn thông tin và an ninh thông tin trên mạng phải được thực hiện thường xuyên, liên tục và hiệu quả trên cơ sở bảo đảm tuân thủ tiêu chuẩn, quy chuẩn kỹ thuật an toàn thông tin và quy định pháp Luật về chất lượng dịch vụ viễn thông, Internet.

Điều 39. Trách nhiệm quản lý nhà nước về an toàn thông tin và an ninh thông tin

1. Bộ Thông tin và Truyền thông có trách nhiệm:

a) Ban hành hoặc trình cơ quan quản lý nhà nước có thẩm quyền ban hành và tổ chức thực hiện văn bản quy phạm pháp Luật, chiến lược, quy hoạch, tiêu chuẩn, quy chuẩn kỹ thuật về an toàn thông tin;

b) Đào tạo, bồi dưỡng, phát triển nguồn nhân lực; nghiên cứu, ứng dụng khoa học và công nghệ trong hoạt động bảo đảm an toàn thông tin;

c) Hợp tác quốc tế về an toàn thông tin;

d) Thanh tra, kiểm tra, giải quyết tranh chấp, khiếu nại, tố cáo và xử lý vi phạm pháp Luật trong hoạt động bảo đảm an toàn thông tin;

đ) Chỉ đạo việc phối hợp hoạt động của các đơn vị thực hiện nhiệm vụ bảo đảm an toàn thông tin của các Bộ, ngành, địa phương và doanh nghiệp;

e) Chủ trì, phối hợp với Bộ Công an hướng dẫn các doanh nghiệp viễn thông, doanh nghiệp cung cấp dịch vụ Internet, tổ chức, doanh nghiệp cung cấp dịch vụ thông tin công cộng trên mạng bố trí mặt bằng, cổng kết nối và các biện pháp kỹ thuật cần thiết để thực hiện nhiệm vụ bảo đảm an toàn thông tin và an ninh thông tin;

g) Quy định việc đăng ký, lưu trữ, sử dụng thông tin cá nhân của người đưa thông tin công cộng lên mạng xã hội, người chơi trò chơi G1 và người sử dụng các dịch vụ khác trên Internet; việc xác thực thông tin cá nhân đó với cơ sở dữ liệu điện tử về chứng minh nhân dân của Bộ Công an.

2. Bộ Công an có trách nhiệm:

a) Ban hành hoặc trình cơ quan quản lý nhà nước có thẩm quyền ban hành và tổ chức thực hiện các văn bản quy phạm pháp Luật về an ninh thông tin;

b) Đào tạo, bồi dưỡng, phát triển nguồn nhân lực; nghiên cứu, ứng dụng khoa học và công nghệ trong hoạt động bảo đảm an ninh thông tin;

c) Hợp tác quốc tế về an ninh thông tin;

d) Thanh tra, kiểm tra, giải quyết tranh chấp, khiếu nại, tố cáo và xử lý vi phạm pháp Luật trong hoạt động bảo đảm an ninh thông tin;

đ) Tổ chức, chỉ đạo, hướng dẫn thực hiện việc thu thập, phát hiện, Điều tra, xử lý thông tin, tài liệu, hành vi liên quan đến hoạt động cung cấp, sử dụng dịch vụ Internet và thông tin trên mạng để xâm phạm an ninh quốc gia, trật tự an toàn xã hội, bí mật nhà nước và các hoạt động tội phạm khác;

e) Tổ chức thực hiện việc xây dựng, khai thác cơ sở dữ liệu điện tử về chứng minh nhân dân để kết nối với các doanh nghiệp cung cấp dịch vụ trên mạng nhằm xác thực thông tin cá nhân phục vụ cho việc quản lý, cung cấp, sử dụng dịch vụ và thông tin trên mạng.

3. Ban Cơ yếu Chính phủ - Bộ Quốc phòng có trách nhiệm:

a) Chủ trì xây dựng và đề xuất ban hành các văn bản quy phạm pháp Luật về cơ yếu trong việc bảo đảm an toàn thông tin;

b) Chủ trì thực hiện quản lý hoạt động nghiên cứu, sản xuất, kinh doanh, sử dụng mật mã bảo đảm an toàn thông tin;

c) Tổ chức thực hiện kiểm định, đánh giá và chứng nhận hợp chuẩn, chứng nhận hợp quy các sản phẩm sử dụng mật mã bảo đảm an toàn thông tin.

4. Bộ Giáo dục và Đào tạo có trách nhiệm:

a) Tổ chức tuyên truyền, hướng dẫn pháp Luật về Internet cho học sinh, sinh viên; hướng dẫn, tạo Điều kiện, định hướng học sinh, sinh viên sử dụng Internet vào các hoạt động có ích, thiết thực trong học tập, cuộc sống của bản thân và gia đình;

b) Triển khai các biện pháp cảnh báo, giám sát học sinh, sinh viên để tránh khỏi các tác động tiêu cực của nội dung thông tin, ứng dụng có hại trên Internet;

c) Tổ chức đào tạo về an toàn thông tin trong hệ thống các trường đại học, cao đẳng thuộc lĩnh vực công nghệ thông tin và truyền thông.

5. Bộ Lao động - Thương binh và Xã hội có trách nhiệm tổ chức thực hiện các biện pháp nhằm bảo vệ trẻ em, thanh thiếu niên tránh khỏi những nội dung thông tin, ứng dụng có hại trên Internet.

6. Các Bộ, cơ quan ngang Bộ, cơ quan thuộc Chính phủ trong phạm vi nhiệm vụ, quyền hạn của mình có trách nhiệm phối hợp với Bộ Thông tin và Truyền thông và Bộ Công an thực hiện quản lý nhà nước về an toàn thông tin và an ninh thông tin.

7. Ủy ban nhân dân các tỉnh, thành phố trực thuộc Trung ương trong phạm vi nhiệm vụ, quyền hạn của mình thực hiện quản lý nhà nước về an toàn thông tin và an ninh thông tin tại địa phương.

Điều 40. Quản lý tiêu chuẩn, quy chuẩn kỹ thuật về an toàn thông tin

1. Chứng nhận sự phù hợp của hệ thống thông tin với quy chuẩn kỹ thuật an toàn thông tin (chứng nhận hợp quy) là việc xác nhận hệ thống thông tin phù hợp với quy chuẩn kỹ thuật về an toàn thông tin do Bộ Thông tin và Truyền thông ban hành, tiêu chuẩn về an toàn thông tin do Bộ Thông tin và Truyền thông quy định bắt buộc áp dụng.

2. Công bố sự phù hợp của hệ thống thông tin với quy chuẩn kỹ thuật về an toàn thông tin (công bố hợp quy) là việc tổ chức, doanh nghiệp công bố về sự phù hợp của hệ thống thông tin với tiêu chuẩn, quy chuẩn kỹ thuật về an toàn thông tin.

3. Tổ chức, doanh nghiệp sở hữu hệ thống thông tin phải thực hiện việc chứng nhận hợp quy và công bố hợp quy theo quy định của Bộ Thông tin và Truyền thông.

4. Tổ chức chứng nhận hợp quy về an toàn thông tin là đơn vị sự nghiệp hoạt động dịch vụ kỹ thuật được Bộ Thông tin và Truyền thông thừa nhận hoặc chỉ định để thực hiện công tác chứng nhận hợp quy.

5. Bộ Thông tin và Truyền thông quy định cụ thể hoạt động chứng nhận hợp quy, công bố hợp quy về an toàn thông tin; ban hành danh mục các hệ thống thông tin bắt buộc phải chứng nhận hợp quy và công bố hợp quy; chỉ định, thừa nhận tổ chức chứng nhận hợp quy.

Điều 41. Cung cấp dịch vụ an toàn thông tin

1. Dịch vụ an toàn thông tin là dịch vụ bảo vệ thông tin và hệ thống thông tin cho tổ chức, cá nhân bao gồm dịch vụ tư vấn, kiểm tra, đánh giá, giám sát hệ thống thông tin và các dịch vụ khác có liên quan.

2. Bộ Thông tin và Truyền thông hướng dẫn cụ thể việc cung cấp dịch vụ an toàn thông tin.

Điều 42. Phân định cấp độ hệ thống thông tin

1. Phân định cấp độ hệ thống thông tin là việc đánh giá, xác định mức độ quan trọng của hệ thống thông tin đó đối với hoạt động của toàn bộ cơ sở hạ tầng thông tin và truyền thông quốc gia, việc phát triển kinh tế, xã hội và bảo đảm an ninh, quốc phòng của đất nước nhằm đưa ra các giải pháp bảo đảm an toàn thông tin và an ninh thông tin phù hợp.

2. Bộ Thông tin và Truyền thông chủ trì, phối hợp với Bộ Công an và các Bộ, ngành có liên quan xây dựng, ban hành và tổ chức thực hiện quy định về phân định cấp độ hệ thống thông tin, danh mục các hệ thống thông tin quan trọng của quốc gia, yêu cầu bảo đảm an toàn thông tin và an ninh thông tin đối với các hệ thống thông tin quan trọng của quốc gia.

Điều 43. Ứng cứu sự cố mạng

1. Ứng cứu sự cố mạng là hoạt động nhằm xử lý, khắc phục sự cố gây mất an toàn thông tin trên mạng.

2. Ứng cứu sự cố mạng được thực hiện theo các nguyên tắc sau đây:

a) Nhanh chóng, chính xác, kịp thời, hiệu quả;

b) Tuân thủ quy định Điều phối của Bộ Thông tin và Truyền thông;

c) Phối hợp giữa các tổ chức, doanh nghiệp trong nước, quốc tế.

3. Các Bộ, cơ quan ngang Bộ, cơ quan thuộc Chính phủ, các doanh nghiệp viễn thông, doanh nghiệp cung cấp dịch vụ Internet, các tổ chức quản lý, khai thác các hệ thống thông tin quan trọng của quốc gia có trách nhiệm thành lập hoặc chỉ định bộ phận chuyên trách ứng cứu sự cố mạng (CERT) để chủ động triển khai hoạt động trong phạm vi đơn vị mình và phối hợp với Trung tâm ứng cứu khẩn cấp máy tính Việt Nam (VNCERT).

4. Bộ Thông tin và Truyền thông ban hành và tổ chức thực hiện quy định Điều phối ứng cứu sự cố mạng.

Điều 44. Nghĩa vụ của tổ chức, doanh nghiệp đối với việc bảo đảm an toàn thông tin và an ninh thông tin

Các doanh nghiệp viễn thông, doanh nghiệp cung cấp dịch vụ Internet, tổ chức, doanh nghiệp cung cấp thông tin công cộng trên mạng, doanh nghiệp cung cấp dịch vụ trò chơi điện tử có nghĩa vụ sau đây:

1. Triển khai các hệ thống kỹ thuật, nghiệp vụ bảo đảm an toàn thông tin, an ninh thông tin.

2. Hướng dẫn các đại lý Internet, điểm truy nhập Internet công cộng, điểm cung cấp dịch vụ trò chơi điện tử công cộng của doanh nghiệp thực hiện các biện pháp bảo đảm an toàn thông tin và an ninh thông tin.

3. Bố trí mặt bằng, cổng kết nối và các Điều kiện kỹ thuật cần thiết để cơ quan quản lý nhà nước có thẩm quyền thực hiện nhiệm vụ bảo đảm an toàn thông tin và an ninh thông tin theo yêu cầu của Bộ Thông tin và Truyền thông và Bộ Công an.

4. Ban hành và thực hiện quy chế hoạt động nội bộ; quy trình vận hành, khai thác, cung cấp và sử dụng dịch vụ và quy chế phối hợp với Bộ Thông tin và Truyền thông và Bộ Công an trong việc bảo đảm an toàn thông tin và an ninh thông tin.

Điều 44. Nghĩa vụ của tổ chức, doanh nghiệp đối với việc bảo đảm an toàn thông tin và an ninh thông tin

Các doanh nghiệp viễn thông, doanh nghiệp cung cấp dịch vụ Internet, tổ chức, doanh nghiệp cung cấp thông tin công cộng trên mạng, doanh nghiệp cung cấp dịch vụ trò chơi điện tử có nghĩa vụ sau đây:

1. Triển khai các hệ thống kỹ thuật, nghiệp vụ bảo đảm an toàn thông tin, an ninh thông tin.

2. Hướng dẫn các đại lý Internet, điểm truy nhập Internet công cộng, điểm cung cấp dịch vụ trò chơi điện tử công cộng của doanh nghiệp thực hiện các biện pháp bảo đảm an toàn thông tin và an ninh thông tin.

3. Bố trí mặt bằng, cổng kết nối và các Điều kiện kỹ thuật cần thiết để cơ quan quản lý nhà nước có thẩm quyền thực hiện nhiệm vụ bảo đảm an toàn thông tin và an ninh thông tin theo yêu cầu của Bộ Thông tin và Truyền thông và Bộ Công an.

4. Ban hành và thực hiện quy chế hoạt động nội bộ; quy trình vận hành, khai thác, cung cấp và sử dụng dịch vụ và quy chế phối hợp với Bộ Thông tin và Truyền thông và Bộ Công an trong việc bảo đảm an toàn thông tin và an ninh thông tin.

Chapter 5.

ASSURANCE OF INFORMATION SAFETY AND INFORMATION SECURITY.

Article 38. Principles on assurance of information safety and information security

1. Providers and users of Internet services and online information are responsible for ensuring information safety and information security within their information system; cooperating with competent authorities, other organizations and individuals in ensuring online information safety and information security.

2. Measures for ensuring online information safety and information security must be regularly taken and comply with technical regulations and standards of information safety and the laws on telecommunications and Internet service quality.

Article 39. Responsibility of the State for information safety and information security.

1. The Ministry of Information and Communications shall:

a) Promulgate or request competent authorities to promulgate and organize the implementation of legislative documents, strategies, planning, technical regulations and standards on information safety;

b) Provide guidance, develop human resources; carry out scientific research and application to information safety assurance;

c) Seek international cooperation in information safety assurance;

d) Carry out inspections, settling disputes, complains, denunciations, and take action against violations of laws on information safety assurance;

dd) Coordinate the works of units to ensure information safety for the Ministries, agencies, local governments and enterprises;

e) Cooperate with the Ministry of Public Security in instructing telecommunication enterprise, Internet service providers, providers of public online information to prepare premises, connection ports, and necessary technical measures for ensuring information safety and information security;

g) Specify the registration, storage, and use of personal information of individuals that post information on social networking sites, G1 game players, and user of other services on the Internet; the comparison of such information with the identity database of the Ministry of Public Security.

2. The Ministry of Public Security shall:

a) Promulgate or request competent authorities to promulgate and organize the implementation of legislative documents on information security;

b) Provide guidance, develop human resources, carry out scientific research and application of technologies to information security assurance;

c) Seek international cooperation in information security assurance;

d) Carry out inspections, settling disputes, complains, denunciations, and take action against violations of laws on information security assurance;

dd) Organize and provide guidance on collecting, detecting, investigating, processing information and documents related to the provision and use of internet services and online information for threatening national security, social order and safety, state secrets, or committing other crimes;

e) Organize the development and use of identity database to connect with providers of online services to verify personal information serving the management, provision, and use of online information and services.

3. Government Cipher Agency - the Ministry of National Defense shall:

a) Formulate and request the promulgation of legislative documents on information security assurance;

b) Preside the management of research, production, trading, and use of information security codes;

c) Conduct inspections, assessments, and certification of conformity of products using information security codes.

4. The Ministry of Education and Training shall:

a) Propagate the laws on Internet among students; instruct and enable students to use Internet for beneficial and practice activities serving their study, their life, and their families;

b) Take measures for warning and supervising to prevent students from negative impacts of harmful information and applications on the Internet;

c) Provide training in information safety in universities and colleges that provide training in information technology and telecommunications.

5. The Ministry of Labor, War Invalids and Social Affairs shall take measures for protecting children, adolescents and young people from harmful info and application on the Internet.

6. Ministries, ministerial agencies, and Governmental agencies, within their competence, shall cooperate with the Ministry of Information and Communications and the Ministry of Public Security in state management of information safety and information security.

7. Provincial People’s Committees, within their competence, shall perform state management of information safety and information security.

Article 40. Management of technical regulations and standards on information safety

1. Certification of conformity of information system with information safety regulations (hereinafter referred to as conformity certification) is the certification that the information system is conformable with technical regulations promulgated by the Ministry of Information and Communications and mandatory information safety standards established by the Ministry of Information and Communications.

2. Declaration of conformity of information system with information safety regulations is the organization or enterprise declaring the conformity of the information system with the technical regulations and standards on information safety.

3. Owners of information systems shall carry out conformity certification and conformity declaration in accordance with regulations of the Ministry of Information and Communications.

4. Conformity certification bodies are the units accredited or assigned by the Ministry of Information and Communications to carry out conformity certification.

5. The Ministry of Information and Communications shall specify the certification and declaration of conformity with regulations on information safety; make a list of information systems that need conformity certification and declaration; appoint and accredit certification bodies.

Article 41. Providing information safety services

1. Information safety services are to protect information and information systems, including consultancy, inspection, assessment, supervision of information systems, and relevant services.

2. The Ministry of Information and Communications shall provide guidance on the provision of information safety services.

Article 42. Classification of information systems

1. Classification of information systems are the assessment and determination of importance of such information systems to the entire information and communication infrastructure, economic and social development, national defense and security for providing solutions for assurance of information safety and information security.

2. The Ministry of Information and Communications shall cooperate with the Ministry of Public Security, relevant Ministries and agencies in formulating and organizing the regulations on classification of information systems, making the list of information systems of national importance, requirements for information safety and information security of information systems of national importance.

Article 43. Network emergency response

1. Computer emergency response is to handle and resolve the accidents that threaten online information safety.

2. Computer emergency response must:

a) Be responsive, accurately, and efficient;

b) Comply with the direction of the Ministry of Information and Communications;

c) Seek cooperation with Vietnamese and international organizations and enterprises.

3. Ministries, ministerial agencies, Governmental agencies, telecommunication enterprise, Internet service providers, the organizations in charge of information systems of national importance shall form or appoint computer emergency response teams (CERT) to take actions within their competence and cooperate with Vietnam Computer Emergency Response Team (VNCERT)

4. The Ministry of Information and Communications shall formulate and organize the implementation of regulations on coordinating network emergency response.

Article 44. Responsibility of organizations and enterprises for information safety and information security

Vietnamese enterprises, Internet service providers, providers of online information, game service providers are responsible for:

1. Deploying technical systems and techniques to ensure information safety and information security.

2. Instructing Internet agents, public Internet access points, and gaming centers to take measures for ensuring information safety and information security.

3. Preparing premises, connection ports, and necessary technical conditions for competent authorities to ensure information safety and information security at the request of the Ministry of Information and Communications and the Ministry of Public Security.

4. Promulgating and implementing internal regulations, procedures for operating, providing, using services, and regulations on cooperation with the Ministry of Information and Communications and the Ministry of Public Security in assurance of information safety and information security.

1 28 lượt xem
Trang trước
Chia sẻ
Trang sau