[Dự thảo] Luật An ninh mạng - Bộ Công an
(Dự thảo Luật trình Quốc hội cho ý kiến tại kỳ họp thứ 4, Quốc hội khóa XIV, tháng 10-11/2017)
Căn cứ Hiến pháp nước Cộng hòa xã hội chủ nghĩa Việt Nam;
Quốc hội ban hành Luật An ninh mạng.
1. Không gian mạng là mạng lưới kết nối toàn cầu của cơ sở hạ tầng công nghệ thông tin, bao gồm mạng internet, mạng viễn thông, hệ thống máy tính, hệ thống xử lý và điều khiển thông tin, là môi trường đặc biệt mà con người thực hiện các hành vi xã hội không bị giới hạn bởi không gian và thời gian.
2. Không gian mạng quốc gia là mạng lưới kết nối của cơ sở hạ tầng công nghệ thông tin, bao gồm mạng internet, mạng viễn thông, hệ thống máy tính, hệ thống xử lý và điều khiển thông tin, được xác định bằng phạm vi không gian mạng do Nhà nước quản lý, kiểm soát bằng chính sách, pháp luật và năng lực công nghệ.
3. An ninh mạng là sự bảo đảm hoạt động sử dụng không gian mạng không gây phương hại đến sự ổn định, phát triển bền vững của chế độ xã hội chủ nghĩa và Nhà nước Cộng hòa xã hội chủ nghĩa Việt Nam, độc lập, chủ quyền, thống nhất, toàn vẹn lãnh thổ của Tổ quốc, an ninh quốc gia, bí mật nhà nước, trật tự an toàn xã hội, quyền và lợi ích hợp pháp của tổ chức, cá nhân.
4. Bảo vệ an ninh mạng là phòng ngừa, phát hiện, ngăn chặn, đấu tranh, làm thất bại âm mưu, hoạt động sử dụng không gian mạng xâm phạm an ninh quốc gia.
5. Cơ sở hạ tầng không gian mạng quốc gia là hệ thống trang thiết bị phục vụ cho việc tạo lập, truyền đưa, thu thập, xử lý, lưu trữ và trao đổi thông tin, bao gồm:
a) Hệ thống truyền dẫn: hệ thống truyền dẫn quốc gia, hệ thống truyền dẫn kết nối quốc tế, hệ thống vệ tinh, hệ thống truyền dẫn của các doanh nghiệp cung cấp dịch vụ viễn thông, internet;
b) Hệ thống các dịch vụ lõi: hệ thống phân luồng và điều hướng thông tin quốc gia, hệ thống phân giải tên miền quốc gia (DNS), hệ thống chứng thực quốc gia (PKI/CA) và các hệ thống cung cấp dịch vụ kết nối, truy cập internet của các doanh nghiệp cung cấp dịch vụ viễn thông, internet;
c) Các dịch vụ, hệ thống ứng dụng công nghệ thông tin: dịch vụ trực tuyến (chính phủ điện tử, thương mại điện tử, báo điện tử, diễn đàn trực tuyến, mạng xã hội, blog…), hệ thống ứng dụng công nghệ thông tin có kết nối mạng phục vụ quản lý, điều hành của các cơ quan, tổ chức, tập đoàn kinh tế, tài chính quan trọng (bao gồm cả hệ thống điều khiển và giám sát tự động SCADA); cơ sở dữ liệu quốc gia.
6. Hệ thống thông tin quan trọng về an ninh quốc gia là hệ thống thông tin khi bị sự cố, tấn công, xâm nhập, chiếm quyền điều khiển, làm sai lệch, gián đoạn, ngưng trệ, tê liệt hoặc phá hủy sẽ gây phương hại đến chủ quyền, lợi ích, an ninh quốc gia và gây tổn hại nghiêm trọng tới trật tự an toàn xã hội.
7. Cổng kết nối mạng quốc tế là nơi diễn ra hoạt động chuyển nhận tín hiệu mạng qua lại giữa Việt Nam và quốc gia, vùng lãnh thổ khác.
8. Tội phạm mạng là hành vi sử dụng không gian mạng và công nghệ thông tin để thực hiện các hành vi nguy hiểm cho xã hội được quy định trong Bộ luật Hình sự.
9. Tấn công mạng là hành vi phá hoại, gây gián đoạn hoặc truy cập trái phép máy tính, hệ thống máy tính hoặc hệ thống thông tin.
10. Khủng bố mạng là hoạt động sử dụng không gian mạng để thực hiện hành vi khủng bố, tài trợ khủng bố.
11. Gián điệp mạng là hành vi cố ý vượt qua cảnh báo, mã truy cập, tường lửa, sử dụng quyền quản trị của người khác hoặc bằng phương thức khác xâm nhập vào mạng máy tính, mạng internet, mạng viễn thông hoặc phương tiện điện tử của cơ quan, tổ chức Nhà nước theo sự chỉ đạo của nước ngoài để chiếm đoạt bí mật nhà nước hoặc hoạt động tình báo, phá hoại chống nước Cộng hòa xã hội chủ nghĩa Việt Nam.
12. Chiến tranh mạng là trạng thái xã hội đặc biệt của đất nước khi lực lượng quân sự nước ngoài sử dụng không gian mạng cùng với hoạt động vũ trang nhằm gây chiến tranh xâm lược.
13. Tác chiến trên không gian mạng là hoạt động chủ động đấu tranh có tổ chức trên không gian mạng nằm trong thế trận an ninh nhân dân và nền quốc phòng toàn dân nhằm bảo vệ chủ quyền, lợi ích, an ninh quốc gia và trật tự an toàn xã hội.
14. Tài khoản số là thông tin dùng để chứng thực, phân quyền sử dụng các ứng dụng, dịch vụ bao gồm:
a) Tài khoản đăng nhập các trang web, blog, mạng xã hội;
b) Tài khoản tài chính (tài khoản ngân hàng trực tuyến, tài khoản tiền điện tử, tài khoản giao dịch tài chính trên mạng);
c) Tài khoản đăng nhập các hệ điều hành máy tính, thiết bị di động thông minh như điện thoại, máy tính bảng, đồng hồ thông minh;
d) Tài khoản thư điện tử, dịch vụ điện tử;
đ) Tài khoản trò chơi trực tuyến trên mạng;
e) Các tài khoản trực tuyến khác.
15. Thông tin định danh là thông tin để xác định chủ thể đăng ký tài khoản số.
16. Dịch vụ mạng là một chương trình ứng dụng thực hiện một tác vụ, nhiệm vụ về mạng.
17. Ứng dụng mạng là một ứng dụng cung cấp các dịch vụ trên không gian mạng.
18. Nguy cơ đe dọa an ninh mạng là tình trạng xảy ra trên không gian mạng có thể xâm phạm hoặc đe dọa xâm phạm tới chủ quyền, lợi ích, an ninh quốc gia, bí mật nhà nước, trật tự an toàn xã hội, quyền và lợi ích hợp pháp của tổ chức, cá nhân.
19. Phương thức phòng thủ mạng là hành động, biện pháp, thiết bị hoặc các phương thức khác được áp dụng cho hệ thống thông tin hoặc thông tin được lưu trữ, xử lý, truyền tải trong hệ thống thông tin nhằm phát hiện, phòng ngừa hoặc giảm thiểu các nguy cơ đe dọa an ninh mạng.
20. Kiểm tra, đánh giá an ninh mạng là hoạt động xác định thực trạng an ninh mạng của hệ thống thông tin, cơ sở hạ tầng không gian mạng hoặc thông tin được lưu trữ, xử lý, truyền tải trong hệ thống thông tin nhằm phòng ngừa, phát hiện, xử lý nguy cơ đe dọa an ninh mạng.
21. Dữ liệu mạng là thông tin dưới dạng ký hiệu, chữ viết, chữ số, hình ảnh, âm thanh hoặc dạng tương tự được tạo ra, thu thập, lưu trữ, truyền tải, xử lý trên không gian mạng.
22. Sự cố an ninh mạng là tình trạng sử dụng không gian mạng gây nguy hại đến hệ thống thông tin quan trọng về an ninh quốc gia.
23. Cơ quan chủ quản hệ thống thông tin là đơn vị có thẩm quyền quản lý trực tiếp đối với hệ thống thông tin.
2. Tạo điều kiện để tổ chức, cá nhân áp dụng biện pháp phòng, chống và xử lý các nguy cơ đe dọa an ninh mạng, bảo vệ chủ quyền, lợi ích, an ninh quốc gia, trật tự an toàn xã hội trước các cuộc tấn công, xâm nhập, phá hoại và các hoạt động bất hợp pháp khác theo quy định của pháp luật.
3. Xây dựng không gian mạng lành mạnh. Các hành vi trên không gian mạng được ứng xử theo quy tắc, chuẩn mực, khuyến khích các hoạt động trung thực và văn minh trên không gian mạng, xử lý nghiêm minh các hành vi vi phạm theo quy định của pháp luật.
4. Bảo vệ quyền và lợi ích hợp pháp của tổ chức, cá nhân khi tham gia hoạt động trên không gian mạng theo pháp luật.
5. Khuyến khích tổ chức, cá nhân tham gia bảo vệ an ninh mạng, nghiên cứu, phát triển thiết bị số, dịch vụ mạng, ứng dụng mạng và tăng cường phối hợp với cơ quan chức năng trong bảo vệ an ninh mạng.
6. Tăng cường hợp tác quốc tế về an ninh mạng, khuyến khích hợp tác với tổ chức, cá nhân Việt Nam ở nước ngoài trong bảo vệ an ninh mạng.
7. Ưu tiên bố trí kinh phí bảo đảm phục vụ công tác an ninh mạng.
2. Bảo vệ an ninh mạng là trách nhiệm của mọi tổ chức, cá nhân. Huy động sức mạnh tổng hợp của hệ thống chính trị và toàn dân tộc; phát huy vai trò nòng cốt của các lực lượng công an, quân đội, thông tin và truyền thông, tuyên giáo, cơ yếu.
3. Đề cao trách nhiệm của các doanh nghiệp cung cấp dịch vụ viễn thông, internet và cơ quan chủ quản hệ thống thông tin quan trọng về an ninh quốc gia.
4. Chủ động phòng ngừa, phát hiện, ngăn chặn, đấu tranh, làm thất bại mọi âm mưu và hoạt động sử dụng không gian mạng xâm phạm chủ quyền, lợi ích, an ninh quốc gia, trật tự an toàn xã hội; sẵn sàng ngăn chặn các mối đe dọa chủ quyền, lợi ích, an ninh quốc gia trên không gian mạng.
a) Thẩm định an ninh mạng đối với hệ thống thông tin quan trọng về an ninh quốc gia;
b) Kiểm tra, đánh giá an ninh mạng đối với hệ thống thông tin quan trọng về an ninh quốc gia;
c) Đánh giá, chứng nhận hợp chuẩn, hợp quy về an ninh mạng đối với hệ thống thông tin quan trọng về an ninh quốc gia;
d) Giám sát an ninh mạng đối với hệ thống thông tin quan trọng về an ninh quốc gia;
đ) Tác chiến trên không gian mạng;
e) Kiểm tra, phát hiện, yêu cầu cơ quan, tổ chức, cá nhân khắc phục điểm yếu, lỗ hổng bảo mật của hệ thống thông tin quan trọng về an ninh quốc gia;
g) Phòng, chống tấn công mạng, ứng phó, khắc phục sự cố an ninh mạng;
h) Ngăn chặn, ngừng cung cấp thông tin mạng trong một khu vực, thời gian nhất định khi có dấu hiệu gây nguy hại cho quốc phòng, an ninh;
i) Ngăn chặn việc truyền tải thông tin; truy cập, xóa, thay đổi thông tin trái pháp luật trên không gian mạng;
k) Thu thập dữ liệu điện tử liên quan tới hoạt động vi phạm pháp luật của tổ chức, cá nhân;
l) Phong tỏa, gây trở ngại cho hoạt động của hệ thống thông tin; ngăn chặn khả năng sử dụng không gian mạng thực hiện hành vi xâm phạm chủ quyền, lợi ích, an ninh quốc gia, trật tự an toàn xã hội; định vị vị trí trên không gian mạng của đối tượng thực hiện hành vi vi phạm pháp luật;
m) Đình chỉ hoạt động khi có căn cứ xác định hoạt động trên không gian mạng có dấu hiệu gây nguy hại cho an ninh quốc gia; tạm đình chỉ hoặc yêu cầu ngừng hoạt động, thu hồi tên miền đối với hệ thống thông tin theo quy định của pháp luật;
n) Tạm đình chỉ các hoạt động thiết lập, cung cấp và sử dụng mạng viễn thông công cộng, mạng viễn thông dùng riêng, mạng internet, việc sản xuất và sử dụng thiết bị phát, thu phát sóng vô tuyến theo quy định của pháp luật;
o) Khởi tố, điều tra, áp dụng các biện pháp ngăn chặn, biện pháp cưỡng chế, biện pháp thu thập chứng cứ theo quy định của pháp luật về tố tụng hình sự;
p) Các biện pháp khác theo quy định của Luật An ninh quốc gia;
2. Chính phủ quy định chi tiết về trình tự, thủ tục, thẩm quyền áp dụng biện pháp bảo vệ an ninh mạng.
2. Nội dung hợp tác quốc tế về an ninh mạng
a) Nghiên cứu, phân tích xu hướng an ninh mạng;
b) Cơ chế, chính sách đẩy mạnh hợp tác giữa tổ chức, cá nhân Việt Nam với tổ chức, cá nhân nước ngoài, tổ chức quốc tế hoạt động về an ninh mạng;
c) Chia sẻ thông tin, kinh nghiệm, hỗ trợ đào tạo, trang thiết bị, công nghệ bảo vệ an ninh mạng;
d) Phòng, chống tội phạm mạng, các hành vi xâm phạm an ninh mạng, ngăn ngừa các nguy cơ đe dọa an ninh mạng;
đ) Tư vấn, đào tạo và phát triển nguồn nhân lực an ninh mạng;
e) Tổ chức hội thảo, hội nghị và diễn đàn quốc tế về an ninh mạng;
g) Ký kết, gia nhập và thực hiện điều ước quốc tế song phương, đa phương và tham gia tổ chức khu vực, tổ chức quốc tế về an ninh mạng;
h) Thực hiện chương trình, dự án hợp tác quốc tế về an ninh mạng.
3. Bộ Công an giúp Chính phủ quản lý nhà nước trong hợp tác quốc tế về an ninh mạng. Các hoạt động hợp tác quốc tế về an ninh mạng của các bộ, ngành, địa phương phải có văn bản tham gia ý kiến của Bộ Công an trước khi triển khai.
2. Đăng tải, phát tán thông tin trên không gian mạng có nội dung bịa đặt, xuyên tạc, làm nhục, vu khống, xúc phạm uy tín của tổ chức, danh dự, nhân phẩm của cá nhân.
3. Sử dụng không gian mạng tuyên truyền, quảng cáo, mua bán hàng hóa, dịch vụ thuộc danh mục cấm theo quy định của pháp luật.
4. Xâm nhập hoặc tìm cách xâm nhập qua không gian mạng thực hiện hành vi chiếm đoạt thông tin, tài liệu, làm sai lệch nội dung hoặc chiếm quyền điều khiển hệ thống thông tin.
5. Soạn thảo, thu thập, lưu trữ, truyền đưa trái pháp luật thông tin, tài liệu có nội dung thuộc danh mục bí mật nhà nước trên máy tính kết nối internet, thiết bị lưu trữ hoặc các thiết bị khác có kết nối internet; đăng tải thông tin, tài liệu có nội dung thuộc danh mục bí mật nhà nước trên không gian mạng.
6. Thực hiện hành vi tấn công mạng, khủng bố mạng và các hành vi vi phạm pháp luật khác.
7. Lợi dụng hoạt động bảo vệ an ninh mạng để gây phương hại đến chủ quyền, lợi ích, an ninh quốc gia, trật tự, an toàn xã hội.
2. Hệ thống thông tin quan trọng về an ninh quốc gia, bao gồm:
a) Hệ thống thông tin phục vụ quốc phòng, an ninh;
b) Hệ thống thông tin lưu trữ, xử lý thông tin bí mật nhà nước;
c) Hệ thống thông tin quốc gia phục vụ phát triển Chính phủ điện tử;
d) Hệ thống thông tin của lĩnh vực năng lượng, tài chính quốc gia, ngân hàng, giao thông vận tải, hóa chất, y tế và tài nguyên môi trường;
đ) Hệ thống điều khiển và giám sát tự động tại các công trình quan trọng liên quan đến an ninh quốc gia, mục tiêu quan trọng về an ninh quốc gia;
e) Hệ thống thông tin phục vụ phát thanh, truyền hình, báo chí, xuất bản mà khi bị phá hoại hoặc bị lợi dụng sẽ trực tiếp tác động đến tư tưởng người dân, đến sự ổn định, phát triển bền vững của chế độ xã hội chủ nghĩa và nhà nước Cộng hòa xã hội chủ nghĩa Việt Nam, độc lập, chủ quyền, thống nhất, toàn vẹn lãnh thổ của Tổ quốc.
3. Trường hợp hệ thống thông tin được phân loại theo quy định của luật khác mà trùng với hệ thống thông tin thuộc Danh mục hệ thống thông tin quan trọng về an ninh quốc gia theo quy định của Luật này thì áp dụng quy định của Luật này.
4. Chính phủ quy định chi tiết Danh mục hệ thống thông tin quan trọng về an ninh quốc gia. Căn cứ điều kiện kinh tế xã hội và yêu cầu quản lý nhà nước trong từng thời kỳ, Chính phủ rà soát hệ thống thông tin trong nước, sửa đổi, bổ sung Danh mục hệ thống thông tin quan trọng về an ninh quốc gia.
2. Hệ thống thông tin quan trọng về an ninh quốc gia được bảo vệ an ninh mạng theo nguyên tắc kiểm tra, đánh giá trước, sử dụng sau và thường xuyên kiểm tra trong quá trình sử dụng.
3. Áp dụng các biện pháp bảo vệ an ninh mạng để bảo vệ hệ thống thông tin quan trọng về an ninh quốc gia theo quy định của pháp luật.
a) Trước khi đưa hệ thống thông tin quan trọng về an ninh quốc gia vào vận hành, sử dụng;
b) Trước khi thiết bị số được đưa vào sử dụng trong hệ thống thông tin quan trọng về an ninh quốc gia.
2. Nội dung thẩm định an ninh mạng
a) Sự phù hợp của phương án bảo vệ an ninh mạng trong thiết kế, thi công, vận hành hệ thống thông tin;
b) Sự phù hợp với phương án ứng phó, khắc phục sự cố an ninh mạng;
c) Nhân lực quản lý, vận hành hệ thống thông tin;
3. Bộ Công an thẩm định về năng lực, điều kiện đối với doanh nghiệp cung cấp dịch vụ an toàn thông tin mạng đối với hệ thống thông tin quan trọng về an ninh quốc gia.
4. Bộ Công an quy định chi tiết về thẩm định an ninh mạng đối với hệ thống thông tin quan trọng về an ninh quốc gia.
2. Cơ quan chủ quản hệ thống thông tin quan trọng về an ninh quốc gia kiểm tra, đánh giá an ninh mạng tối thiểu 01 năm/lần và kiểm tra khi có cảnh báo của cơ quan quản lý nhà nước có thẩm quyền hoặc khi xuất hiện nguy cơ an ninh mạng đối với hệ thống thông tin do mình quản lý.
3. Kiểm tra, đánh giá an ninh mạng đối với hệ thống thông tin quan trọng về an ninh quốc gia trên cơ sở dữ liệu thu được khi sử dụng các phương tiện kỹ thuật kiểm tra hệ thống thông tin, tài liệu thu được thông qua hoạt động quản lý nhà nước trong lĩnh vực an ninh mạng, thông tin khác phù hợp với pháp luật nước Cộng hòa xã hội chủ nghĩa Việt Nam.
4. Nội dung kiểm tra, đánh giá an ninh mạng đối với hệ thống thông tin quan trọng về an ninh quốc gia
a) Hệ thống phần cứng, phần mềm được sử dụng trong hệ thống thông tin;
b) Quy định, chính sách, biện pháp bảo vệ an ninh mạng;
c) Phương án ứng phó, khắc phục sự cố của cơ quan chủ quản hệ thống thông tin.
d) Các tiêu chuẩn bảo mật thông tin tránh rò rỉ qua các kênh kỹ thuật;
đ) Đội ngũ nhân lực bảo vệ an ninh mạng.
2. Cơ quan chủ quản hệ thống thông tin quan trọng về an ninh quốc gia có trách nhiệm xây dựng cơ chế tự cảnh báo và tiếp nhận cảnh báo về nguy cơ đe dọa an ninh mạng, đề ra phương án ứng phó, khắc phục khẩn cấp sự cố an ninh mạng xảy ra đối với hệ thống thông tin thuộc trách nhiệm quản lý.
3. Khi xảy ra sự cố an ninh mạng, cơ quan chủ quản hệ thống thông tin quan trọng về an ninh quốc gia phải kịp thời báo cáo cơ quan quản lý nhà nước có thẩm quyền và tổ chức ứng cứu, khắc phục sự cố an ninh mạng theo quy định của Điều 26 Luật này.
4. Bộ Công an có trách nhiệm triển khai các giải pháp kỹ thuật, nghiệp vụ tại các hệ thống thông tin quan trọng về an ninh quốc gia nhằm phòng ngừa, phát hiện, xử lý các nguy cơ đe dọa an ninh mạng.
2. Bộ Khoa học và Công nghệ chủ trì, phối hợp với cơ quan có liên quan tổ chức thẩm định và công bố tiêu chuẩn quốc gia về an ninh mạng, thẩm định dự thảo quy chuẩn kỹ thuật quốc gia về an ninh mạng đối với hệ thống thông tin quan trọng về an ninh quốc gia theo quy định của pháp luật.
Điều 15. Chứng nhận, công bố hợp chuẩn, hợp quy về an ninh mạng đối với hệ thống thông tin quan trọng về an ninh quốc gia
1. Chứng nhận, công bố hợp chuẩn về an ninh mạng đối với hệ thống thông tin quan trọng về an ninh quốc gia
a) Chứng nhận hợp chuẩn về an ninh mạng đối với hệ thống thông tin quan trọng về an ninh quốc gia là việc xác nhận sự phù hợp của hệ thống thông tin, phần cứng, phần mềm, hệ thống quản lý, vận hành hệ thống thông tin quan trọng về an ninh quốc gia phù hợp với tiêu chuẩn quốc gia về an ninh mạng tương ứng;
b) Công bố hợp chuẩn về an ninh mạng đối với hệ thống thông tin quan trọng về an ninh quốc gia là việc cơ quan chủ quản hệ thống thông tin quan trọng về an ninh quốc gia công bố sự phù hợp của hệ thống thông tin, phần cứng, phần mềm, hệ thống quản lý, vận hành hệ thống thông tin phù hợp với tiêu chuẩn quốc gia về an ninh mạng tương ứng.
2. Chứng nhận, công bố hợp quy về an ninh mạng đối với hệ thống thông tin quan trọng về an ninh quốc gia
a) Chứng nhận hợp quy về an ninh mạng đối với hệ thống thông tin quan trọng về an ninh quốc gia là việc xác nhận sự phù hợp của hệ thống thông tin, phần cứng, phần mềm, hệ thống quản lý, vận hành hệ thống thông tin phù hợp với quy chuẩn kỹ thuật quốc gia về an ninh mạng tương ứng;
b) Công bố hợp quy về an ninh mạng đối với hệ thống thông tin quan trọng về an ninh quốc gia là việc cơ quan chủ quản hệ thống thông tin quan trọng về an ninh quốc gia công bố sự phù hợp của hệ thống thông tin, phần cứng, phần mềm, hệ thống quản lý, vận hành an ninh mạng phù hợp với quy chuẩn kỹ thuật quốc gia về an ninh mạng tương ứng.
3. Bộ Công an có trách nhiệm:
a) Thông báo bằng văn bản tới cơ quan chủ quản hệ thống thông tin quan trọng quốc gia khi hệ thống thông tin quan trọng về an ninh quốc gia do cơ quan này quản lý, vận hành không đáp ứng được các quy chuẩn kỹ thuật về an ninh mạng;
b) Đề xuất hình thức xử lý đối với cá nhân có liên quan khi hệ thống thông tin quan trọng về an ninh quốc gia không đáp ứng được các quy chuẩn kỹ thuật về an ninh mạng để xảy ra sự cố an ninh mạng;
c) Trường hợp khẩn cấp, đề xuất Chính phủ ra Quyết định đình chỉ hoặc tạm đình chỉ hệ thống thông tin quan trọng về an ninh quốc gia để khắc phục, xử lý.
Điều 16. Đánh giá hợp chuẩn, hợp quy về an ninh mạng đối với hệ thống thông tin quan trọng về an ninh quốc gia
1. Thiết bị số, dịch vụ mạng, ứng dụng mạng được đánh giá chứng nhận hợp quy về an ninh mạng theo quy định trong quy chuẩn kỹ thuật quốc gia tương ứng trước khi đưa vào hệ thống thông tin quan trọng về an ninh quốc gia.
2. Việc chứng nhận hợp quy về an ninh mạng đối với hệ thống thông tin quan trọng về an ninh quốc gia do tổ chức chứng nhận đã đăng ký hoặc được chỉ định thực hiện theo quy định của pháp luật.
3. Cơ quan chủ quản hệ thống thông tin quan trọng về an ninh quốc gia có trách nhiệm phối hợp, chấp hành các yêu cầu của Bộ Công an trong đánh giá hợp quy về an ninh mạng.
4. Việc thừa nhận kết quả đánh giá hợp chuẩn, hợp quy về an ninh mạng giữa Việt Nam với quốc gia, vùng lãnh thổ khác, giữa tổ chức đánh giá sự phù hợp của Việt Nam với tổ chức đánh giá sự phù hợp của quốc gia, vùng lãnh thổ khác được thực hiện theo quy định của pháp luật về tiêu chuẩn, quy chuẩn kỹ thuật.
Mục 3
PHÒNG NGỪA, ỨNG PHÓ NGUY CƠ, SỰ CỐ AN NINH MẠNG
ĐỐI VỚI HỆ THỐNG THÔNG TIN QUAN TRỌNG
VỀ AN NINH QUỐC GIA
Điều 17. Phòng ngừa, ứng phó nguy cơ, sự cố an ninh mạng đối với hệ thống thông tin quan trọng về an ninh quốc gia
1. Phòng ngừa, ứng phó nguy cơ, sự cố an ninh mạng đối với hệ thống thông tin quan trọng về an ninh quốc gia là hoạt động của cơ quan quản lý nhà nước, cơ quan chủ quản hệ thống thông tin quan trọng về an ninh quốc gia và các tổ chức cá nhân có liên quan nhằm cảnh báo, chỉ đạo, chỉ huy, ứng phó và khắc phục hậu quả do các sự cố, nguy cơ và hành vi xâm phạm an ninh mạng.
2. Hoạt động phòng ngừa, ứng phó nguy cơ, sự cố an ninh mạng đối với hệ thống thông tin quan trọng về an ninh quốc gia:
a) Giám sát an ninh mạng;
b) Dự báo an ninh mạng;
c) Cảnh báo nguy cơ đe dọa an ninh mạng;
d) Xây dựng tiêu chuẩn, quy chuẩn kỹ thuật an ninh mạng;
đ) Diễn tập phòng, chống tấn công mạng;
e) Ứng cứu, khắc phục sự cố an ninh mạng
g) Ngừng cung cấp thông tin mạng.
3. Căn cứ vào tình hình an ninh mạng, Thủ tướng Chính phủ, Bộ trưởng Bộ Công an, Bộ trưởng Bộ Quốc phòng và các bộ, ngành có liên quan ban hành các văn bản chỉ đạo, chỉ huy triển khai thực hiện các biện pháp bảo vệ an ninh mạng theo quy định của pháp luật.
4. Bộ Công an giúp Chính phủ quản lý nhà nước về phòng ngừa, ứng phó nguy cơ, sự cố an ninh mạng.
Điều 18. Dự báo an ninh mạng đối với hệ thống thông tin quan trọng về an ninh quốc gia
1. Dự báo an ninh mạng đối với hệ thống thông tin quan trọng về an ninh quốc gia là hoạt động khoa học trên cơ sở phân tích, xử lý số liệu, dữ liệu mạng thu được để xác định xu hướng vận động của an ninh mạng.
2. Quy trình dự báo an ninh mạng
a) Xác định mục tiêu dự báo;
b) Xác định nội dung dự báo;
c) Thu thập số liệu và tiến hành dự báo;
d) Ứng dụng kết quả dự báo, lập kế hoạch phòng ngừa, ứng phó;
đ) Theo dõi, đánh giá kết quả dự báo.
3. Bộ Công an chủ trì, phối hợp với bộ, ngành liên quan nghiên cứu, phân tích tình hình, dự báo xu hướng an ninh mạng đối với hệ thống thông tin quan trọng về an ninh quốc gia và lập kế hoạch phòng ngừa, ứng phó với sự cố an ninh mạng.
4. Trong trường hợp cụ thể, cơ quan chuyên trách bảo vệ an ninh mạng thông báo dự báo của mình tới các tổ chức, cá nhân trong và ngoài nước.
Điều 19. Diễn tập phòng, chống tấn công mạng và ứng phó, khắc phục sự cố an ninh mạng đối với hệ thống thông tin quan trọng về an ninh quốc gia
1. Hằng năm, Bộ Công an chủ trì, phối hợp với các bộ, ngành chức năng, các cơ quan, tổ chức trong và ngoài nước diễn tập phòng, chống tấn công mạng và ứng phó, khắc phục sự cố an ninh mạng đối với hệ thống thông tin quan trọng về an ninh quốc gia.
2. Phương án diễn tập phòng, chống tấn công mạng và ứng phó, khắc phục sự cố an ninh mạng đối với hệ thống thông tin quan trọng về an ninh quốc gia bao gồm phương án tổng thể và phương án cụ thể áp dụng với từng hệ thống thông tin.
3. Kết quả công tác diễn tập phòng, chống tấn công mạng và ứng phó, khắc phục sự cố an ninh mạng đối với hệ thống thông tin quan trọng về an ninh quốc gia là căn cứ để đánh giá tình trạng nhân lực bảo vệ an ninh mạng, mức độ sẵn sàng và hiệu quả của phương án phòng, chống tấn công mạng và ứng phó, khắc phục sự cố an ninh mạng của hệ thống thông tin quan trọng về an ninh quốc gia.
Điều 20. Ứng phó, khắc phục sự cố an ninh mạng đối với hệ thống thông tin quan trọng về an ninh quốc gia
1. Hoạt động ứng phó, khắc phục sự cố an ninh mạng đối với hệ thống thông tin quan trọng về an ninh quốc gia bao gồm:
a) Phát hiện, xác định sự cố an ninh mạng;
b) Bảo vệ hiện trường, thu thập chứng cứ;
c) Xác minh, phân tích, đánh giá, phân loại sự cố an ninh mạng;
d) Xác định mục tiêu, đối tượng, phạm vi cần ứng cứu;
đ) Triển khai các phương án xử lý, khắc phục sự cố an ninh mạng;
e) Xác minh nguyên nhân và truy tìm nguồn gốc;
g) Điều tra, xử lý theo quy định của pháp luật.
2. Ứng cứu, khắc phục sự cố an ninh mạng đối với hệ thống thông tin quan trọng về an ninh quốc gia là trách nhiệm của cơ quan chủ quản hệ thống thông tin quan trọng về an ninh quốc gia.
3. Cơ quan chủ quản hệ thống thông tin quan trọng về an ninh quốc gia xây dựng các phương án ứng cứu, khắc phục sự cố an ninh mạng đối với hệ thống thông tin do mình quản lý.
4. Bộ Công an có trách nhiệm:
a) Chủ trì điều phối hoạt động ứng phó, khắc phục sự cố an ninh mạng xảy ra đối với hệ thống thông tin quan trọng về an ninh quốc gia hoặc khi xảy ra tình huống nguy hiểm về an ninh mạng, sự cố an ninh mạng xảy ra gây ảnh hưởng tới chủ quyền, lợi ích, an ninh quốc gia trên phạm vi cả nước;
b) Tham gia ứng phó, khắc phục sự cố an ninh mạng đối với hệ thống thông tin quan trọng về an ninh quốc gia khi có yêu cầu; chi phí ứng phó, khắc phục sự cố do cơ quan chủ quản hệ thống thông tin quan trọng về an ninh quốc gia chi trả;
c) Thông báo cho các cơ quan chủ quản hệ thống thông tin quan trọng về an ninh quốc gia khi phát hiện có tấn công mạng, sự cố mạng.
Điều 21. Ngừng cung cấp thông tin mạng
Trường hợp xảy ra tình huống nguy hiểm về an ninh mạng được quy định tại Khoản 1 Điều 29 Luật này hoặc vì lý do cần thiết về quốc phòng, an ninh, Bộ Công an, Bộ Quốc phòng báo cáo Thủ tướng Chính phủ quyết định ngừng cung cấp thông tin mạng tại các khu vực cụ thể.
Chương III
XỬ LÝ HÀNH VI SỬ DỤNG KHÔNG GIAN MẠNG
XÂM PHẠM CHỦ QUYỀN, AN NINH QUỐC GIA, TRẬT TỰ AN TOÀN XÃ HỘI
Điều 22. Xử lý thông tin trên không gian mạng có nội dung kích động gây bạo loạn, phá rối an ninh, gây rối trật tự công cộng; làm nhục, vu khống; tuyên truyền chống Nhà nước Cộng hòa xã hội chủ nghĩa Việt Nam
1. Nhà nước áp dụng các biện pháp kỹ thuật và các biện pháp cần thiết khác theo quy định của pháp luật để xử lý thông tin trên không gian mạng có nội dung kích động gây bạo loạn, phá rối an ninh, gây rối trật tự công cộng; làm nhục, vu khống; tuyên truyền chống Nhà nước Cộng hòa xã hội chủ nghĩa Việt Nam.
2. Thông tin trên không gian mạng có nội dung kích động gây bạo loạn, phá rối an ninh, gây rối trật tự công cộng:
a) Thông tin trên không gian mạng có nội dung kích động gây bạo loạn là thông tin tuyên truyền, kêu gọi, vận động, xúi giục, đe dọa, gây chia rẽ, tiến hành hoạt động vũ trang hoặc dùng bạo lực nhằm chống chính quyền nhân dân.
b) Thông tin trên không gian mạng có nội dung phá rối an ninh là thông tin tuyên truyền, kêu gọi, vận động, xúi giục, đe dọa, gây chia rẽ, lôi kéo tụ tập đông người gây rối an ninh, chống người thi hành công vụ, cản trở sự hoạt động của cơ quan nhà nước, tổ chức xã hội nhằm chống chính quyền nhân dân hoặc gây mất ổn định về an ninh trật tự.
c) Thông tin trên không gian mạng có nội dung gây rối trật tự công cộng là thông tin xâm phạm đến quyền hoặc lợi ích hợp pháp của tổ chức, cá nhân hoặc xâm phạm đến sở hữu mà địa điểm diễn ra, dự kiến diễn ra là nơi công cộng.
3. Thông tin trên không gian mạng có nội dung làm nhục, vu khống:
a) Thông tin trên không gian mạng có nội dung làm nhục là thông tin có nội dung xúc phạm nghiêm trọng nhân phẩm, danh dự của người khác;
b) Thông tin trên không gian mạng có nội dung vu khống là thông tin sai sự thật được soạn thảo, phát tán, đăng tải trên không gian mạng nhằm mục đích xúc phạm nghiêm trọng nhân phẩm, danh dự hoặc gây thiệt hại đến quyền, lợi ích hợp pháp của người khác.
4. Thông tin trên không gian mạng có nội dung tuyên truyền chống Nhà nước Cộng hòa xã hội chủ nghĩa Việt Nam:
a) Thông tin có nội dung tuyên truyền xuyên tạc, phỉ báng chính quyền nhân dân;
b) Thông tin có nội dung bịa đặt, gây hoang mang trong nhân dân;
c) Thông tin gây chiến tranh tâm lý, kích động chiến tranh xâm lược, gây thù hận giữa các dân tộc, tôn giáo và nhân dân các nước;
d) Xúc phạm dân tộc, quốc kỳ, quốc huy, quốc ca, vĩ nhân, lãnh tụ, danh nhân, anh hùng dân tộc.
5. Hành vi soạn thảo, đăng tải, phát tán hoặc tuyên truyền thông tin trên không gian mạng có nội dung kích động gây bạo loạn, phá rối an ninh, gây rối trật tự công cộng; làm nhục, vu khống; tuyên truyền chống Nhà nước Cộng hòa xã hội chủ nghĩa Việt Nam sẽ bị xử lý nghiêm theo quy định của pháp luật.
6. Áp dụng các biện pháp sau đây để xử lý thông tin trên không gian mạng có nội dung quy định tại Khoản 1, Khoản 2, Khoản 3 Điều 8 Luật này:
a) Yêu cầu tổ chức, cá nhân có liên quan gỡ bỏ, đính chính thông tin;
b) Ngăn chặn, xóa bỏ thông tin;
c) Tạm đình chỉ, đình chỉ, yêu cầu ngừng hoạt động hoặc thu hồi giấy phép hoạt động của dịch vụ đăng tải thông tin theo quy định của pháp luật;
d) Điều tra, xử lý tổ chức, cá nhân theo quy định của pháp luật.
7. Các doanh nghiệp cung cấp dịch vụ viễn thông, internet và cơ quan chủ quản hệ thống thông tin có trách nhiệm phối hợp chặt chẽ với cơ quan chức năng xử lý thông tin trên không gian mạng có nội dung kích động gây bạo loạn, phá rối an ninh, gây rối trật tự công cộng; làm nhục, vu khống; tuyên truyền chống Nhà nước Cộng hòa xã hội chủ nghĩa Việt Nam và các thông tin khác được quy định tại Khoản 1, Khoản 2, Khoản 3 Điều 8 Luật này.
Điều 23. Phòng, chống gián điệp mạng, bảo vệ thông tin, tài liệu có nội dung thuộc danh mục bí mật nhà nước, thông tin cá nhân trên không gian mạng
1. Người nào sử dụng không gian mạng để thực hiện một trong các hành vi sau đây thì sẽ bị xử lý theo quy định của pháp luật:
a) Chiếm đoạt thông tin thuộc bí mật nhà nước, thông tin thuộc sở hữu của người khác hoặc tiết lộ thông tin đã chiếm đoạt gây ảnh hưởng đến danh dự, uy tín, nhân phẩm, quyền và lợi ích hợp pháp của tổ chức, cá nhân.
b) Cố ý làm hư hỏng, thất lạc hoặc cố ý lấy, thay đổi các thông tin, nội dung của thông tin thuộc bí mật nhà nước, thông tin thuộc sở hữu của người khác được truyền đưa, lưu trữ trên không gian mạng;
c) Cố ý thay đổi, hủy bỏ hoặc làm vô hiệu hóa các biện pháp kỹ thuật được xây dựng, áp dụng để bảo vệ thông tin thuộc bí mật nhà nước, thông tin thuộc sở hữu của người khác;
d) Cố ý xóa, thay đổi thông tin thuộc bí mật nhà nước, thông tin thuộc sở hữu của người khác được lưu trữ, truyền đưa trên không gian mạng;
đ) Nghe, ghi âm cuộc đàm thoại trái pháp luật;
e) Thu giữ thông tin thuộc bí mật nhà nước, thông tin thuộc sở hữu của người khác trái pháp luật;
g) Hành vi khác xâm phạm bí mật nhà nước, thông tin thuộc sở hữu của người khác hoặc hình thức trao đổi thông tin riêng tư của người khác.
2. Cơ quan soạn thảo, lưu trữ thông tin, tài liệu bí mật nhà nước có trách nhiệm:
a) Không soạn thảo, lưu trữ, truyền đưa thông tin, tài liệu có nội dung thuộc danh mục bí mật nhà nước trên máy tính kết nối internet, thiết bị lưu trữ hoặc các thiết bị khác có kết nối internet;
b) Kiểm tra, đánh giá an ninh mạng nhằm phát hiện, loại bỏ mã độc, khắc phục lỗ hổng bảo mật hoặc phát hiện, ngăn chặn các hoạt động xâm nhập bất hợp pháp;
c) Tham gia các khóa đào tạo, tập huấn nâng cao nhận thức và kiến thức về bảo vệ bí mật nhà nước trên không gian mạng, phòng, chống tấn công mạng;
d) Phối hợp với Bộ Công an bảo vệ bí mật nhà nước trên không gian mạng và giám sát hệ thống thông tin nhằm phát hiện, xử lý hoạt động thu thập thông tin bí mật nhà nước;
đ) Phối hợp với Ban Cơ yếu Chính phủ bảo vệ bí mật nhà nước về cơ yếu.
3. Bộ Công an có trách nhiệm:
a) Kiểm tra, đánh giá an ninh mạng đối với hệ thống thông tin quan trọng về an ninh quốc gia nhằm phát hiện, loại bỏ mã độc, khắc phục điểm yếu bảo mật, ngăn chặn, xử lý các hoạt động xâm nhập bất hợp pháp;
b) Kiểm tra, đánh giá an ninh mạng đối với các thiết bị, sản phẩm, dịch vụ thông tin liên lạc, thiết bị kỹ thuật số, thiết bị điện tử trước khi đưa vào sử dụng tại hệ thống thông tin quan trọng về an ninh quốc gia;
c) Giám sát hệ thống thông tin quan trọng về an ninh quốc gia nhằm phát hiện, xử lý hoạt động thu thập thông tin bí mật nhà nước trái pháp luật;
d) Phát hiện, xử lý các hành vi đăng tải thông tin, tài liệu có nội dung bí mật nhà nước trên mạng viễn thông, internet;
đ) Tham gia nghiên cứu, sản xuất các sản phẩm lưu trữ, truyền đưa thông tin, tài liệu có nội dung thuộc danh mục bí mật nhà nước; các sản phẩm mã hóa bảo mật trên mạng viễn thông, internet theo chức năng, nhiệm vụ được giao;
e) Thanh tra, kiểm tra công tác bảo vệ bí mật nhà nước trên không gian mạng của cơ quan nhà nước và bảo vệ an ninh mạng của cơ quan chủ quản hệ thống thông tin quan trọng về an ninh quốc gia;
g) Tổ chức đào tạo, tập huấn nâng cao nhận thức và kiến thức về bảo vệ bí mật nhà nước trên không gian mạng, phòng, chống tấn công mạng, bảo vệ an ninh mạng đối với cán bộ, nhân viên phụ trách công nghệ thông tin tại các cơ quan nhà nước, hệ thống thông tin quan trọng về an ninh quốc gia.
4. Ban Cơ yếu Chính phủ có trách nhiệm:
a) Bảo vệ thông tin, bí mật nhà nước lưu trữ, trao đổi trên không gian mạng bằng mật mã;
b) Trình cấp có thẩm quyền ban hành văn bản quy phạm pháp luật về mật mã trong lưu trữ, trao đổi thông tin bí mật nhà nước bằng mật mã trên không gian mạng.
Điều 24. Phòng, chống tấn công mạng
1. Ngăn chặn, loại trừ hành vi tấn công mạng là trách nhiệm chung của toàn xã hội, lực lượng nòng cốt là lực lượng chuyên trách bảo vệ an ninh mạng thuộc Bộ Công an, Bộ Thông tin và Truyền thông, Bộ Quốc phòng.
2. Xác định nguồn gốc tấn công mạng là xác định các thông tin liên quan đến gói tin như địa chỉ nguồn, địa chỉ đích, cổng dịch vụ… và cách thức, thủ đoạn, chủ thể thực hiện tấn công mạng. Căn cứ chức năng, nhiệm vụ, quyền hạn, trách nhiệm của mình, cơ quan, tổ chức, cá nhân áp dụng các biện pháp xác định nguồn gốc tấn công mạng phù hợp với quy định của pháp luật.
3. Triển khai các biện pháp quản lý nhà nước, giám sát an ninh mạng, phương thức phòng thủ mạng để phòng ngừa, xử lý theo quy định của pháp luật đối với các hành vi:
a) Sản xuất, mua bán, trao đổi, tặng cho công cụ, thiết bị, phần mềm có tính năng tấn công mạng internet, mạng máy tính, mạng viễn thông, phương tiện điện tử để sử dụng vào mục đích trái pháp luật;
b) Phát tán các chương trình tin học gây hại cho mạng internet, mạng máy tính, mạng viễn thông, phương tiện điện tử;
c) Gây cản trở, làm tê liệt, gián đoạn, ngưng trệ hoạt động, ngăn chặn trái phép việc truyền tải dữ liệu của mạng internet, mạng máy tính, mạng viễn thông, phương tiện điện tử;
d) Xâm nhập, làm tổn hại, chiếm đoạt dữ liệu được lưu trữ, truyền tải qua mạng internet, mạng máy tính, mạng viễn thông, phương tiện điện tử;
đ) Xâm nhập, tạo các lỗ hổng bảo mật và dịch vụ hệ thống để chiếm đoạt thông tin, thu lợi bất chính;
e) Sử dụng mạng internet, mạng máy tính, mạng viễn thông, phương tiện điện tử để gây ảnh hưởng, thiệt hại về vật chất, tinh thần của tổ chức, cá nhân;
g) Các hành vi khác gây ảnh hưởng tới hoạt động bình thường của mạng internet, mạng máy tính, mạng viễn thông, phương tiện điện tử.
4. Cơ quan chủ quản hệ thống thông tin áp dụng các biện pháp được pháp luật cho phép nhằm phòng ngừa, loại trừ hành vi tấn công mạng vào hệ thống thông tin do mình quản lý, có trách nhiệm phối hợp với các cơ quan chuyên trách bảo vệ an ninh mạng để xác định chính xác nguồn gốc tấn công mạng.
5. Khi xuất hiện hoạt động tấn công mạng gây ảnh hưởng đến chủ quyền, lợi ích, an ninh quốc gia trên không gian mạng, cơ quan chuyên trách bảo vệ an ninh mạng yêu cầu các doanh nghiệp cung cấp dịch vụ viễn thông, internet chặn lọc thông tin nhằm ngăn chặn, loại trừ hành vi tấn công mạng và cung cấp đầy đủ, kịp thời thông tin, tài liệu liên quan.
6. Cơ quan chuyên trách bảo vệ an ninh mạng áp dụng các biện pháp loại trừ tấn công mạng theo quy định của pháp luật.
7. Bộ Công an chủ trì, phối hợp với bộ, ngành liên quan thực hiện công tác phòng ngừa, phát hiện, xử lý hành vi tấn công mạng trên phạm vi cả nước, trừ hệ thống thông tin quân sự do Bộ Quốc phòng quản lý; áp dụng các biện pháp bảo vệ an ninh mạng để phòng ngừa, phát hiện, xử lý hành vi tấn công mạng gây tổn hại đến chủ quyền, lợi ích, an ninh quốc gia, trật tự an toàn xã hội.
Điều 25. Phòng, chống khủng bố mạng
1. Nhà nước áp dụng tất cả các biện pháp được pháp luật quy định để phòng, chống khủng bố mạng.
2. Cơ quan, tổ chức, cá nhân thường xuyên rà soát, kiểm tra, đánh giá an ninh mạng nhằm loại trừ nguy cơ khủng bố mạng.
3. Khi phát hiện dấu hiệu, hành vi khủng bố mạng, cơ quan, tổ chức, cá nhân phải kịp thời báo cho cơ quan công an nơi gần nhất. Cơ quan tiếp nhận tin báo có trách nhiệm tiếp nhận đầy đủ tin báo về khủng bố mạng và trao đổi cơ quan chuyên trách bảo vệ an ninh mạng thuộc Bộ Công an.
4. Khi có căn cứ xác định xảy ra, đã hoặc đang xảy ra khủng bố mạng, Bộ Công an chủ trì, phối hợp với các bộ, ngành triển khai công tác phòng, chống khủng bố mạng, áp dụng biện pháp vô hiệu hóa nguồn khủng bố mạng, không để khủng bố mạng hoặc hạn chế đến mức thấp nhất hậu quả xảy ra.
5. Bộ Quốc phòng chủ trì, phối hợp với Bộ Công an xử lý hành vi khủng bố mạng xảy ra đối với hệ thống thông tin quân sự do Bộ Quốc phòng quản lý.
Điều 26. Phòng, chống chiến tranh mạng
1. Phòng, chống chiến tranh mạng là trách nhiệm của toàn xã hội, Nhà nước huy động mọi lực lượng tham gia phòng, chống chiến tranh mạng.
2. Bảo đảm tính sẵn sàng chiến đấu của hệ thống thông tin quân sự, chủ động đối phó với chiến tranh mạng và thách thức do chiến tranh mạng đặt ra, loại bỏ nguy cơ chiến tranh mạng.
3. Khi có khả năng xảy ra hoặc xảy ra chiến tranh mạng, cơ quan, tổ chức, cá nhân chủ động xây dựng các phương án ứng phó và áp dụng các biện pháp bảo vệ an ninh mạng, bảo vệ hệ thống thông tin do mình quản lý theo chức năng, nhiệm vụ, thẩm quyền, trách nhiệm được giao.
4. Bộ Quốc phòng chủ trì phòng, chống chiến tranh mạng; chủ trì, phối hợp với Bộ Công an và các bộ, ngành liên quan áp dụng biện pháp tương xứng, phù hợp.
Điều 27. Tình huống nguy hiểm về an ninh mạng
1. Khi xảy ra các tình huống sau đây, Thủ tướng Chính phủ xem xét, quyết định hoặc giao Bộ trưởng Bộ Công an xem xét, quyết định tình huống nguy hiểm về an ninh mạng trong cả nước hoặc từng địa phương hoặc đối với một mục tiêu cụ thể:
a) Khi xuất hiện thông tin có thể dẫn đến bạo loạn, phá rối an ninh, khủng bố;
b) Tấn công cục bộ hệ thống thông tin quan trọng về an ninh quốc gia;
c) Tấn công diện rộng hệ thống thông tin quan trọng về an ninh quốc gia;
d) Tấn công trên quy mô lớn, cường độ cao vào hệ thống thông tin quốc gia;
đ) Tấn công mạng nhằm phá hủy công trình quan trọng liên quan đến an ninh quốc gia, mục tiêu quan trọng về an ninh quốc gia hoặc nhằm gây thiệt hại về sinh mạng, tài sản;
e) Khi xảy ra tấn công mạng, xâm nhập hệ thống thông tin, phương tiện điện tử gây ảnh hưởng nghiêm trọng tới chủ quyền, lợi ích, an ninh quốc gia, quyền và lợi ích hợp pháp của nhiều tổ chức, cá nhân;
2. Cơ quan, tổ chức, cá nhân có trách nhiệm phối hợp với Bộ Công an thực hiện các biện pháp nhằm ngăn chặn, xử lý tình huống nguy hiểm về an ninh mạng.
3. Khi phát hiện tình huống nguy hiểm về an ninh mạng, cơ quan, tổ chức, cá nhân kịp thời thông báo cho Cơ quan chuyên trách bảo vệ an ninh mạng thuộc Bộ Công an hoặc thông báo cho cơ quan công an nơi gần nhất.
Cơ quan công an tiếp nhận thông báo có trách nhiệm ngay lập tức chuyển thông tin tới Cơ quan chuyên trách bảo vệ an ninh mạng thuộc Bộ Công an.
4. Bộ Công an chủ trì, phối hợp với các bộ, ngành liên quan xử lý tình huống nguy hiểm về an ninh mạng, áp dụng đồng bộ các biện pháp theo quy định của pháp luật để ngăn chặn, xử lý.
Điều 28. Các biện pháp áp dụng khi có nguy cơ sẽ xảy ra tình huống nguy hiểm về an ninh mạng
1. Khi có nguy cơ sẽ xảy ra tình huống nguy hiểm về an ninh mạng, Bộ Công an chủ trì, phối hợp với các bộ, ngành và ủy ban nhân dân các tỉnh, thành phố trực thuộc Trung ương thực hiện các biện pháp sau:
a) Yêu cầu các cơ quan, tổ chức và cá nhân liên quan kịp thời thu thập, báo cáo các thông tin liên quan, tăng cường giám sát đối với sự cố an ninh mạng;
b) Phân tích, đánh giá thông tin, dự báo khả năng, phạm vi ảnh hưởng và mức độ gây hại của sự cố an ninh mạng;
c) Thông báo tới cơ quan, tổ chức, cá nhân có liên quan;
d) Áp dụng phương án phòng ngừa, ứng phó khẩn cấp về an ninh mạng, ngăn chặn, loại trừ hoặc giảm nhẹ thiệt hại do sự cố an ninh mạng gây ra;
đ) Bảo đảm lực lượng, phương tiện tham gia ngăn chặn, loại bỏ nguy cơ xảy ra tình huống nguy hiểm về an ninh mạng.
2. Khi thực hiện chức năng quản lý nhà nước về viễn thông, internet, nếu phát hiện nguy cơ sẽ xảy ra tình huống nguy hiểm về an ninh mạng, các bộ, ngành, địa phương kịp thời thông báo về Bộ Công an và áp dụng các biện pháp được quy định tại Khoản 1 Điều này.
3. Các doanh nghiệp viễn thông, internet, công nghệ thông tin và tổ chức, cá nhân liên quan có trách nhiệm phối hợp với Bộ Công an trong phòng ngừa, xử lý tình huống nguy hiểm về an ninh mạng.
Chương IV
TRIỂN KHAI HOẠT ĐỘNG BẢO VỆ AN NINH MẠNG
Mục 1
TRIỂN KHAI HOẠT ĐỘNG BẢO VỆ AN NINH MẠNG
TRONG CƠ QUAN NHÀ NƯỚC
Điều 29. Nguyên tắc triển khai hoạt động bảo vệ an ninh mạng trong cơ quan nhà nước
1. Việc triển khai hoạt động bảo vệ an ninh mạng trong cơ quan nhà nước phải được ưu tiên, gắn liền với quá trình ứng dụng công nghệ thông tin, bảo đảm tính công khai, minh bạch nhằm nâng cao hiệu lực, hiệu quả hoạt động của cơ quan nhà nước.
2. Việc triển khai hoạt động bảo vệ an ninh mạng trong cơ quan nhà nước phải được thực hiện từ trung ương đến địa phương, thông qua phân công lực lượng thực hiện nhiệm vụ bảo vệ an ninh mạng, với sự hướng dẫn của cơ quan chuyên trách bảo vệ an ninh mạng thuộc Bộ Công an.
3. Các bộ, ngành và Ủy ban nhân dân các tỉnh, thành phố trực thuộc trung ương nghiên cứu, ứng dụng, triển khai các phương án, biện pháp, công nghệ bảo vệ an ninh mạng đối với hệ thống thông tin và thông tin, tài liệu được lưu trữ, soạn thảo, truyền đưa trên hệ thống thông tin do mình quản lý.
4. Việc thực hiện các biện pháp bảo vệ an ninh mạng của cơ quan chuyên trách, các hoạt động cung cấp, trao đổi thông tin phải bảo đảm chính xác và phù hợp với mục đích sử dụng.
5. Bảo đảm an ninh, an toàn, tiết kiệm và có hiệu quả.
6. Người đứng đầu cơ quan nhà nước phải chịu trách nhiệm về việc triển khai hoạt động bảo vệ an ninh mạng thuộc thẩm quyền quản lý của mình.
Điều 30. Điều kiện triển khai hoạt động bảo vệ an ninh mạng trong cơ quan nhà nước
1. Cơ quan nhà nước có trách nhiệm chuẩn bị các điều kiện để triển khai hoạt động bảo vệ an ninh mạng trong hoạt động của cơ quan mình.
2. Chính phủ quy định cụ thể các điều kiện bảo đảm triển khai hoạt động bảo vệ an ninh mạng trong hoạt động của cơ quan nhà nước; xây dựng và tổ chức thực hiện chương trình quốc gia về bảo vệ an ninh mạng trong hoạt động của cơ quan nhà nước với các nội dung chủ yếu sau đây:
a) Lộ trình thực hiện các hoạt động bảo vệ an ninh mạng của cơ quan nhà nước;
b) Các hệ thống thông tin của các ngành, lĩnh vực cần ưu tiên triển khai hoạt động bảo vệ an ninh mạng;
c) Công tác bảo mật thông tin, tài liệu có nội dung thuộc danh mục bí mật nhà nước;
d) Nội dung cần được ưu tiên, khuyến khích nghiên cứu - phát triển, hợp tác quốc tế, phát triển nguồn nhân lực và xây dựng cơ sở hạ tầng thông tin đáp ứng yêu cầu triển khai hoạt động bảo vệ an ninh mạng trong hoạt động của cơ quan nhà nước từng giai đoạn;
đ) Nguồn tài chính bảo đảm cho triển khai hoạt động bảo vệ an ninh mạng trong hoạt động của cơ quan nhà nước.
Điều 31. Nội dung triển khai hoạt động bảo vệ an ninh mạng trong cơ quan nhà nước
1. Đào tạo, bồi dưỡng, nâng cao ý thức, kiến thức về an ninh mạng cho cán bộ, nhân viên và trình độ bảo vệ an ninh mạng cho cán bộ, nhân viên phụ trách công tác bảo vệ an ninh mạng trong cơ quan nhà nước.
2. Xây dựng, hoàn thiện hệ thống văn bản quy định về bảo vệ an ninh mạng trong cơ quan nhà nước:
a) Quy định, quy chế sử dụng mạng máy tính nội bộ, mạng máy tính có kết nối internet;
b) Phương án bảo đảm an ninh mạng đối với hệ thống thông tin, trong đó có phương án, kế hoạch ứng cứu khẩn cấp sự cố an ninh mạng.
3. Quy hoạch, thiết kế, xây dựng mô hình mạng đảm bảo an ninh mạng.
4. Bảo vệ an ninh mạng trong các hoạt động:
a) Cung cấp dịch vụ công trên môi trường mạng;
b) Cung cấp, trao đổi, thu thập thông tin với tổ chức, cá nhân;
c) Chia sẻ thông tin trong nội bộ và với cơ quan khác của nhà nước;
d) Các hoạt động khác theo quy định của Chính phủ.
5. Đầu tư, xây dựng, bổ sung các thiết bị, phần cứng, phần mềm có bản quyền, hệ thống bảo mật, bảo vệ hệ thống mạng.
6. Các hoạt động kiểm tra, đánh giá an ninh mạng đối với hệ thống thông tin; phòng, chống tấn công mạng; ứng phó, khắc phục sự cố an ninh mạng.
7. Chính phủ quy định cụ thể về tổ chức, hoạt động của lực lượng An ninh mạng.
8. Bộ Công an quy định cụ thể về việc phân công lực lượng an ninh mạng chuyên trách tại Công an các tỉnh, thành phố trực thuộc Trung ương.
Điều 32. Kiểm tra, đánh giá an ninh mạng đối với hệ thống thông tin quan trọng về an ninh quốc gia
1. Việc kiểm tra, đánh giá an ninh mạng là trách nhiệm của cơ quan chủ quản hệ thống thông tin quan trọng về an ninh quốc gia. Cơ quan chuyên trách bảo vệ an ninh mạng tổ chức kiểm tra, đánh giá an ninh mạng đối với hệ thống mạng thông tin quan trọng về an ninh quốc gia khi thấy cần thiết.
2. Cơ quan kiểm tra, đánh giá an ninh mạng
a) Bộ Công an kiểm tra, đánh giá an ninh mạng đối với hệ thống thông tin quan trọng về an ninh quốc gia, hệ thống thông tin của các bộ, ban, ngành chức năng và Ủy ban nhân dân tỉnh, thành phố trực thuộc trung ương; phối hợp với Ban Cơ yếu Chính phủ kiểm tra, đánh giá an ninh mạng với hệ thống mạng liên lạc cơ yếu do Ban Cơ yếu Chính phủ quản lý;
b) Bộ Quốc phòng kiểm tra, đánh giá an ninh mạng đối với hệ thống thông tin quân sự do Bộ Quốc phòng quản lý;
3. Thời điểm kiểm tra, đánh giá an ninh mạng
a) Trước khi hệ thống thông tin quan trọng về an ninh quốc gia được đưa vào vận hành, sử dụng;
b) Trong quá trình vận hành, khai thác hệ thống thông tin quan trọng về an ninh quốc gia;
c) Khi có nâng cấp hoặc thay đổi hiện trạng hệ thống thông tin quan trọng về an ninh quốc gia;
d) Khi có yêu cầu quản lý nhà nước về an ninh mạng.
4. Nội dung kiểm tra, đánh giá an ninh mạng
a) Hệ thống phần cứng, phần mềm được sử dụng trong hệ thống thông tin quan trọng về an ninh quốc gia;
b) Quy định, chính sách, biện pháp bảo vệ an ninh mạng;
c) Phương án ứng phó, khắc phục sự cố của cơ quan chủ quản hệ thống thông tin quan trọng về an ninh quốc gia.
d) Các tiêu chuẩn bảo mật thông tin tránh rò rỉ qua các kênh kỹ thuật;
đ) Đội ngũ nhân lực bảo vệ an ninh mạng.
5. Quy trình kiểm tra, đánh giá an ninh mạng:
a) Cơ quan chủ quản hệ thống thông tin quan trọng về an ninh quốc gia tự tổ chức kiểm tra, đánh giá an ninh mạng đối với hệ thống thông tin do mình quản lý tối thiểu một năm một lần và định kỳ gửi báo cáo về cơ quan chuyên trách vào tháng 10 hằng năm.
b) Căn cứ kết quả kiểm tra, đánh giá an ninh mạng của cơ quan chủ quản hệ thống thông tin quan trọng về an ninh quốc gia, cơ quan chuyên trách căn cứ vào tiêu chuẩn quốc gia về an ninh mạng để kết luận, lựa chọn cơ quan chủ quản và lập kế hoạch, cử đoàn kiểm tra công tác bảo vệ an ninh mạng.
c) Cơ quan chuyên trách có trách nhiệm công bố danh sách những hệ thống thông tin quan trọng về an ninh quốc gia thuộc diện kiểm tra, đánh giá trên cổng thông tin điện tử của Bộ và có văn bản thông báo trước cho cơ quan chủ quản hệ thống thông tin quan trọng về an ninh quốc gia trước 01 tháng.
d) Sau khi tiến hành kiểm tra các hệ thống thông tin quan trọng về an ninh quốc gia, cơ quan chuyên trách đưa ra kết luận về tình trạng bảo vệ an ninh mạng của hệ thống và khuyến cáo để cải thiện tình trạng bảo mật an ninh mạng cho hệ thống đó. Kết quả gửi về cho cơ quan chủ quản hệ thống thông tin quan trọng về an ninh quốc gia trong thời hạn 30 ngày kể từ khi kết thúc hoạt động kiểm tra.
6. Cơ quan chuyên trách có quyền kiểm tra đột xuất đối với các trường hợp sau đây:
a) Hết thời hạn khắc phục điểm yếu, lỗ hổng bảo mật và các hành vi vi phạm quy định về công tác bảo vệ an ninh mạng theo khuyến cáo của cơ quan chuyên trách đưa ra dựa trên kết quả kiểm tra gần nhất mà những điểm yếu, lỗ hổng bảo mật và các hành vi vi phạm quy định về công tác bảo vệ an ninh mạng này có khả năng gây ra sự cố ảnh hưởng tới chủ quyền, lợi ích, an ninh quốc gia và trật tự an toàn xã hội;
b) Xảy ra sự cố đối với hệ thống thông tin quan trọng về an ninh quốc gia;
c) Quyết định của Thủ tướng Chính phủ hoặc Thủ trưởng cơ quan chuyên trách về việc kiểm tra đột xuất hệ thống thông tin quan trọng về an ninh quốc gia.
7. Kết quả kiểm tra, đánh giá an ninh mạng:
a) Là căn cứ để cơ quan chủ quản hệ thống thông tin quan trọng về an ninh quốc gia tổ chức công tác khắc phục tồn tại, hạn chế.
b) Là căn cứ để cấp chứng nhận hợp chuẩn, hợp quy về an ninh mạng đối với hệ thống thông tin quan trọng về an ninh quốc gia.
Mục 2
TRIỂN KHAI HOẠT ĐỘNG BẢO VỆ AN NINH MẠNG
TRONG MỘT SỐ LĨNH VỰC
Điều 33. Bảo vệ an ninh mạng đối với cơ sở hạ tầng không gian mạng quốc gia, cổng kết nối mạng quốc tế
1. Nhà nước có chính sách bảo vệ an ninh mạng đối với toàn bộ cơ sở hạ tầng không gian mạng quốc gia, cổng kết nối mạng quốc tế.
2. Kết hợp chặt chẽ giữa yêu cầu bảo vệ an ninh mạng với yêu cầu xây dựng, phát triển kinh tế - xã hội trong bảo vệ an ninh mạng đối với toàn bộ cơ sở hạ tầng không gian mạng quốc gia, cổng kết nối mạng quốc tế. Bảo đảm các cổng kết nối mạng quốc tế có thông lượng lớn, tốc độ và chất lượng cao, giá cước cạnh tranh so với các nước trong khu vực; khuyến khích tổ chức, cá nhân cùng đầu tư xây dựng cơ sở hạ tầng không gian mạng quốc gia.
3. Tổ chức, cá nhân có trách nhiệm bảo vệ an ninh mạng theo thẩm quyền quản lý; chịu sự quản lý, thanh tra, kiểm tra và thực hiện các yêu cầu về bảo vệ an ninh mạng của các cơ quan nhà nước có thẩm quyền.
4. Tổ chức, cá nhân quản lý, khai thác cơ sở hạ tầng không gian mạng quốc gia, cổng kết nối mạng quốc tế có trách nhiệm tạo điều kiện làm việc, thực hiện các biện pháp kỹ thuật, nghiệp vụ cần thiết để các cơ quan nhà nước có thẩm quyền thực hiện nhiệm vụ kiểm soát và bảo đảm an ninh mạng khi có yêu cầu.
Điều 34. Bảo đảm an ninh thông tin mạng
1. Nhà nước xây dựng, hoàn thiện hệ thống pháp luật về an ninh mạng. Tổ chức, cá nhân có trách nhiệm tôn trọng và thực thi nghiêm túc, ứng xử có quy tắc trên không gian mạng, xử lý nghiêm mọi hành vi sử dụng không gian mạng thực hiện hành vi vi phạm pháp luật.
2. Trang thông tin điện tử, cổng thông tin điện tử hoặc chuyên trang trên mạng xã hội của cơ quan, tổ chức, cá nhân phải đăng tải thông tin phù hợp với quy định của pháp luật, không cung cấp, đăng tải, truyền đưa những thông tin có nội dung xâm phạm chủ quyền, an ninh quốc gia.
3. Các doanh nghiệp dịch vụ viễn thông, internet, doanh nghiệp sở hữu hệ thống thông tin phải thiết lập cơ chế xác thực thông tin khi người dùng đăng ký tài khoản số để bảo đảm tính bảo mật và tính trung thực của thông tin đăng ký và phải cung cấp cho cơ quan chuyên trách bảo vệ an ninh mạng có thẩm quyền. Người đăng ký tài khoản số có trách nhiệm bảo vệ và sử dụng các tài khoản do mình tạo lập đúng quy định của pháp luật.
4. Các doanh nghiệp nước ngoài khi cung cấp dịch vụ viễn thông, internet tại Việt Nam phải tuân thủ pháp luật, tôn trọng chủ quyền, lợi ích, an ninh quốc gia Việt Nam, có giấy phép hoạt động, đặt cơ quan đại diện, máy chủ quản lý dữ liệu người sử dụng Việt Nam trên lãnh thổ nước Cộng hòa xã hội chủ nghĩa Việt Nam; bảo mật thông tin người dùng và thông tin tài khoản của người dùng; xử lý nghiêm các hành vi sai phạm theo quy định của pháp luật.
Mục 3
NGHIÊN CỨU, PHÁT TRIỂN AN NINH MẠNG
Điều 35. Nghiên cứu chiến lược phát triển và bảo vệ an ninh mạng
1. Nội dung nghiên cứu chiến lược phát triển và bảo vệ an ninh mạng:
a) Xây dựng hệ thống phần mềm, trang thiết bị bảo vệ an ninh mạng;
b) Phương pháp thẩm định phần mềm, trang thiết bị bảo vệ an ninh mạng đạt chuẩn, hạn chế tối đa việc tồn tại lỗ hổng bảo mật và phần mềm độc hại;
c) Phương pháp kiểm tra phần cứng, phần mềm được cung cấp thực hiện đúng chức năng được nêu và chỉ có chức năng đó;
d) Phương pháp bảo vệ bí mật nhà nước, quyền riêng tư cá nhân, khả năng truyền tải bảo mật của thông tin trên không gian mạng;
đ) Xác định nguồn gốc của thông tin được truyền tải trên không gian mạng;
e) Giải quyết nguy cơ đe dọa an ninh mạng;
g) Các sáng kiến kỹ thuật nâng cao nhận thức, kỹ năng về an ninh mạng.
2. Xây dựng thao trường mạng dựa trên đề xuất của Bộ Công an tạo môi trường thử nghiệm an ninh mạng đủ mạnh để mô hình quá hóa quy mô và độ phức tạp của các cuộc tấn công mạng thời gian thực và những phương thức phòng thủ trong môi trường và hệ thống mạng thế giới thực.
3. Việc nghiên cứu chiến lược phát triển và bảo vệ an ninh mạng được thực hiện bởi:
a) Bộ Công an, Bộ Quốc phòng, Bộ Thông tin và Truyền thông, Bộ Khoa học và công nghệ và các bộ, ngành chức năng;
b) Các Phòng thí nghiệm nghiên cứu của nhà nước và tư nhân;
c) Cơ sở đào tạo, tổ chức giáo dục;
d) Các tổ chức phi lợi nhuận có liên quan;
đ) Các đối tác quốc tế của Việt Nam;
e) Các tổ chức, cá nhân có liên quan.
4. Lĩnh vực được tài trợ trong nghiên cứu chiến lược phát triển và bảo vệ an ninh mạng:
a) Các giao thức cơ bản bảo mật cần thiết phục vụ trao đổi dữ liệu, liên lạc mạng;
b) Ngôn ngữ và hệ thống lập trình đối với các tính năng bảo mật;
c) Mã di động hoặc tái sử dụng trong các môi trường khác nhau;
d) Công nghệ kiểm chứng và xác thực;
đ) Mô hình thử nghiệm an ninh mạng;
e) Khắc phục lỗ hổng bảo mật;
g) Giải quyết nguy cơ đe dọa an ninh mạng;
h) Tăng cường an ninh mạng và bảo vệ quyền riêng tư;
i) Phương pháp phục hồi dữ liệu;
k) Bảo mật hệ thống mạng không dây và thiết bị di động;
l) Bảo mật dịch vụ và cơ sở hạ tầng điện toán đám mây;
m) Dịch ngược mã nguồn;
n) Điều tra số.
5. Bộ Công an chủ trì nghiên cứu, phát triển và đề xuất Chính phủ chiến lược phát triển và bảo vệ an ninh mạng 05 năm một lần dựa trên kết quả kiểm tra, đánh giá công tác an ninh mạng, sự phát triển của khoa học công nghệ và thực tế tình hình an ninh mạng.
6. Các bộ, ngành, cơ quan nhà nước, cơ quan chủ quản hệ thống thông tin quan trọng về an ninh quốc gia định kỳ tổng kết công tác bảo vệ an ninh mạng, xây dựng kế hoạch bảo vệ an ninh mạng, xác định rõ các mục tiêu ngắn hạn, trung hạn, dài hạn, trao đổi Bộ Công an định kỳ vào tháng 10 hằng năm.
Điều 36. Nghiên cứu, phát triển công nghệ, sản phẩm, dịch vụ, ứng dụng nhằm bảo vệ an ninh mạng
1. Nhà nước khuyến khích tổ chức, cá nhân tham gia nghiên cứu, phát triển công nghệ, sản phẩm, dịch vụ, ứng dụng nhằm bảo vệ an ninh mạng.
2. Nhà nước ưu tiên dành một khoản từ ngân sách nhà nước cho các chương trình, đề tài nghiên cứu, phát triển công nghệ, sản phẩm, dịch vụ, ứng dụng nhằm bảo vệ an ninh mạng; ưu tiên hoạt động công nghệ, sản phẩm, dịch vụ, ứng dụng nhằm bảo vệ an ninh mạng ở trường đại học, viện nghiên cứu; phát triển các mô hình gắn kết nghiên cứu, đào tạo với sản xuất sản phẩm, dịch vụ, ứng dụng nhằm bảo vệ an ninh mạng.
3. Tổ chức tuyển chọn cơ sở nghiên cứu, đào tạo, doanh nghiệp thực hiện nhiệm vụ nghiên cứu, phát triển công nghệ, sản phẩm, dịch vụ, ứng dụng nhằm bảo vệ an ninh mạng theo quy định của pháp luật.
Điều 37. Nâng cao năng lực tự chủ về an ninh mạng
1. Nhà nước khuyến khích và tạo mọi điều kiện để xây dựng nền công nghiệp an ninh mạng có khả năng sản xuất, kiểm tra, đánh giá và kiểm định thiết bị số, dịch vụ mạng, ứng dụng mạng đưa lĩnh vực an ninh mạng trở thành một ngành “công nghiệp tăng trưởng” có khả năng tạo các cơ hội việc làm.
2. Chính phủ triển khai các biện pháp cần thiết về an ninh mạng để nâng cao năng lực tự chủ về an ninh mạng bao gồm: thúc đẩy chuyển giao, nghiên cứu, làm chủ và phát triển các sản phẩm, dịch vụ an ninh mạng; thúc đẩy ứng dụng các công nghệ mới, công nghệ tiên tiến liên quan đến an ninh mạng; đào tạo, phát triển và tuyển dụng nhân lực an ninh mạng; tăng cường môi trường và hỗ trợ các doanh nghiệp an ninh mạng phát triển mới thông qua cải thiện các điều kiện cạnh tranh; tham gia các khuôn khổ quốc tế về an ninh mạng trên cơ sở công nhận lẫn nhau.
Chương V
PHÁT TRIỂN NGUỒN NHÂN LỰC AN NINH MẠNG
Điều 38. Chính sách đào tạo, phát triển nguồn nhân lực an ninh mạng
1. Nhà nước ưu tiên đào tạo, phát triển nguồn nhân lực an ninh mạng chất lượng cao, có phẩm chất đạo đức tốt, đáp ứng yêu cầu xây dựng và bảo vệ Tổ quốc.
2. Việc đào tạo, phát triển nguồn nhân lực an ninh mạng được thực hiện tại các cơ sở đào tạo, tổ chức giáo dục trong và ngoài nước.
3. Khuyến khích liên kết, tạo cơ hội hợp tác giữa khu vực nhà nước, tư nhân, các trường đại học, viện nghiên cứu nhằm nâng cao kiến thức, kỹ năng, kinh nghiệm thực tế của đội ngũ nhân lực an ninh mạng.
4. Bộ Giáo dục và Đào tạo chủ trì tuyển chọn, đào tạo nguồn nhân lực chất lượng cao cho công tác an ninh mạng; Bộ Công an chủ trì xây dựng kế hoạch phát triển nguồn nhân lực an ninh mạng.
Điều 39. Đào tạo, phát triển nguồn nhân lực an ninh mạng
1. Đào tạo về an ninh mạng là bộ phận của nền giáo dục quốc dân. Nội dung đào tạo về an ninh mạng là một bộ phận trong chương trình giáo dục đào tạo đại học, cao đẳng và tương đương.
2. Người làm công tác an ninh mạng trong cơ quan nhà nước được hưởng chế độ đãi ngộ phù hợp.
3. Bộ Nội vụ chủ trì, phối hợp với các cơ quan liên quan tổ chức bồi dưỡng kiến thức an ninh mạng cho cán bộ, công chức, viên chức.
4. Bộ Công an chủ trì, phối hợp với các bộ, ngành có liên quan tổ chức bồi dưỡng chuyên gia an ninh mạng phục vụ công tác bảo vệ chủ quyền, lợi ích, an ninh quốc gia, bảo đảm trật tự an toàn xã hội.
Điều 40. Văn bằng, chứng chỉ về an ninh mạng
Cơ sở đào tạo trong phạm vi, nhiệm vụ, quyền hạn của mình cấp văn bằng, chứng chỉ về an ninh mạng.
Điều 41. Phổ biến kiến thức và nâng cao nhận thức về an ninh mạng
1. Nhà nước có chính sách phổ biến kiến thức an ninh mạng trong phạm vi cả nước, khuyến khích cơ quan nhà nước phối hợp với các tổ chức tư nhân, cá nhân thực hiện các chương trình giáo dục và nâng cao nhận thức về an ninh mạng:
a) Tăng cường nhận thức của cơ quan nhà nước, tổ chức, cá nhân về an ninh mạng;
b) Phổ biến rộng rãi các tiêu chuẩn kỹ thuật và thực tiễn an ninh mạng;
c) Áp dụng những biện pháp bảo vệ an ninh mạng phù hợp;
d) Đào tạo nguồn nhân lực an ninh mạng chất lượng cao;
đ) Thúc đẩy các sáng kiến về đánh giá, dự báo an ninh mạng.
e) Hỗ trợ việc học tập, phổ biến kiến thức, nâng cao nhận thức về an ninh mạng đối với người tàn tật, người nghèo, người dân tộc thiểu số và các đối tượng ưu tiên khác phù hợp với yêu cầu phát triển trong từng thời kỳ theo quy định của Chính phủ.
2. Ủy ban nhân dân tỉnh, thành phố trực thuộc trung ương có trách nhiệm xây dựng và triển khai các hoạt động phổ biến kiến thức, nâng cao nhận thức về an ninh mạng cho tổ chức, cá nhân trong địa phương mình.
3. Bộ Công an chủ trì, phối hợp với Bộ Quốc phòng, Bộ Giáo dục và Đào tạo đưa kiến thức an ninh mạng vào chương trình giáo dục quốc phòng, an ninh.
4. Bộ Giáo dục và Đào tạo có trách nhiệm phối hợp với Bộ Công an xây dựng chương trình và tổ chức thực hiện phổ biến kiến thức an ninh mạng trong hệ thống giáo dục quốc dân.
5. Cơ quan chuyên trách bảo vệ an ninh mạng có trách nhiệm tổ chức phổ biến kiến thức, nâng cao nhận thức về an ninh mạng hằng năm theo chức năng, nhiệm vụ được giao.
Chương VI
BẢO ĐẢM ĐIỀU KIỆN TRIỂN KHAI
HOẠT ĐỘNG BẢO VỆ AN NINH MẠNG
Điều 42. Bảo đảm trang thiết bị, cơ sở vật chất phục vụ triển khai hoạt động bảo vệ an ninh mạng
Nhà nước bảo đảm trang thiết bị, cơ sở vật chất phục vụ triển khai hoạt động bảo vệ an ninh mạng phù hợp với yêu cầu phát triển kinh tế - xã hội và tình hình an ninh mạng; có biện pháp đồng bộ để ngăn chặn những hành vi vi phạm quy định tại Điều 8 Luật này.
Điều 43. Kinh phí bảo đảm hoạt động bảo vệ an ninh mạng
1. Kinh phí thực hiện hoạt động bảo vệ an ninh mạng của các cơ quan nhà nước do ngân sách nhà nước bảo đảm.
2. Bộ Tài chính có trách nhiệm ưu tiên bố trí kinh phí bảo đảm phục vụ hoạt động bảo vệ an ninh mạng theo quy định pháp luật.
Điều 44. Bảo đảm nguồn nhân lực bảo vệ chủ quyền, lợi ích, an ninh quốc gia trên không gian mạng
1. Công dân Việt Nam có kiến thức về công nghệ thông tin, an toàn thông tin mạng, an ninh mạng là nguồn lực cơ bản, chủ yếu bảo vệ chủ quyền, lợi ích, an ninh quốc gia trên không gian mạng.
2. Nhà nước có chính sách, kế hoạch xây dựng, bồi dưỡng, phát triển nguồn nhân lực bảo vệ chủ quyền, lợi ích, an ninh quốc gia trên không gian mạng.
3. Khi xảy ra tình huống nguy hiểm về an ninh mạng, Nhà nước quyết định huy động nhân lực, cơ sở hạ tầng không gian mạng thuộc bộ, ngành, địa phương, doanh nghiệp viễn thông, internet, công nghệ thông tin theo quy định của pháp luật.
Chương VII
TRÁCH NHIỆM CỦA CƠ QUAN, TỔ CHỨC, CÁ NHÂN
Điều 45. Trách nhiệm của tổ chức, cá nhân tham gia sử dụng không gian mạng
1. Tuân thủ quy định của pháp luật về bảo vệ an ninh mạng.
2. Phát hiện, cung cấp kịp thời những thông tin liên quan đến bảo vệ an ninh mạng, nguy cơ an ninh mạng, hành vi xâm phạm an ninh mạng cho cơ quan quản lý nhà nước có thẩm quyền, lực lượng chuyên trách bảo vệ an ninh mạng của Bộ Công an hoặc cơ quan Công an nơi gần nhất.
3. Thực hiện yêu cầu và hướng dẫn của cơ quan quản lý nhà nước có thẩm quyền trong bảo vệ an ninh mạng; giúp đỡ, tạo điều kiện cho cơ quan, tổ chức và người có trách nhiệm tiến hành các biện pháp bảo vệ an ninh mạng.
4. Tố cáo với cơ quan nhà nước có thẩm quyền về hành vi lợi dụng chức vụ, quyền hạn trong thực hiện nhiệm vụ bảo vệ an ninh mạng, xâm phạm quyền, lợi ích hợp pháp của tổ chức, cá nhân.
Điều 46. Trách nhiệm của chủ thể sản xuất, kinh doanh thiết bị số và cung cấp dịch vụ mạng, ứng dụng mạng
1. Tuân thủ các điều kiện bảo đảm chất lượng đối với sản phẩm trước khi đưa ra thị trường theo quy định của pháp luật và chịu trách nhiệm về chất lượng sản phẩm do mình sản xuất.
2. Thể hiện thông tin về chức năng, chất lượng, thành phần thiết bị số, dịch vụ mạng, ứng dụng mạng theo quy định của pháp luật.
3. Thông tin trung thực về chất lượng thiết bị số, dịch vụ mạng, ứng dụng mạng.
4. Cảnh báo về khả năng, tình huống có khả năng mất an ninh mạng của thiết bị số, dịch vụ mạng, ứng dụng mạng và cách phòng ngừa.
5. Cung cấp thông tin về việc bảo hành và thực hiện bảo hành thiết bị số, dịch vụ mạng, ứng dụng mạng.
6. Kịp thời ngừng sản xuất thiết bị số và ngừng cung cấp dịch vụ mạng, ứng dụng mạng, thông báo cho các bên liên quan và các biện pháp khắc phục hậu quả khi phát hiện thiết bị số, dịch vụ mạng, ứng dụng mạng gây mất an ninh mạng hoặc không phù hợp với tiêu chuẩn, quy chuẩn kỹ thuật áp dụng tương ứng.
7. Thu hồi, xử lý thiết bị số, dịch vụ mạng, ứng dụng mạng không bảo đảm chất lượng.
8. Tuân thủ các quy định về thanh tra, kiểm tra của cơ quan nhà nước có thẩm quyền.
9. Bảo mật thông tin khách hàng theo quy định của pháp luật.
10. Tạm ngừng hoặc ngừng cung cấp thiết bị số, dịch vụ mạng, ứng dụng mạng để bảo đảm quốc phòng, an ninh quốc gia, trật tự, an toàn xã hội theo yêu cầu của cơ quan nhà nước có thẩm quyền.
11. Phối hợp với cơ quan nhà nước có thẩm quyền thực hiện các biện pháp nhằm xác minh, xác định thông tin định danh của chủ thể sử dụng.
Điều 47. Trách nhiệm của các doanh nghiệp cung cấp dịch vụ viễn thông, internet
1. Trong triển khai hoạt động bảo vệ an ninh mạng
a) Yêu cầu chủ thể sử dụng cung cấp thông tin xác thực. Nếu chủ thể sử dụng không cung cấp thông tin xác thực, doanh nghiệp cung cấp dịch vụ có trách nhiệm từ chối cung cấp các dịch vụ liên quan cho chủ thể sử dụng đó.
b) Xây dựng các phương án, giải pháp phản ứng nhanh với sự cố an ninh mạng, xử lý ngay các rủi ro an ninh như lỗ hổng bảo mật, mã độc, tấn công mạng, xâm nhập mạng; khi xảy ra sự cố an ninh mạng, ngay lập tức triển khai phương án khẩn cấp, biện pháp ứng phó thích hợp, đồng thời báo cáo với cơ quan chủ quản theo quy định.
c) Hợp tác, cung cấp các biện pháp kỹ thuật, hỗ trợ cơ quan Công an trong quá trình điều tra tội phạm và bảo vệ an ninh quốc gia theo quy định của pháp luật.
d) Áp dụng các giải pháp kỹ thuật và các biện pháp cần thiết khác nhằm đảm bảo an toàn, an ninh cho quá trình thu thập thông tin, ngăn chặn nguy cơ lộ lọt, tổn hại hoặc mất dữ liệu. Nếu xảy ra hoặc có nguy cơ xảy ra sự cố lộ lọt, tổn hại hoặc mất dữ liệu thông tin người sử dụng, cần lập tức đưa ra giải pháp ứng phó, đồng thời thông báo tới người sử dụng và báo cáo tới cơ quan chủ quản theo quy định.
đ) Phối hợp với cơ quan chuyên trách bảo vệ an ninh mạng trong giám sát an ninh mạng nhằm bảo vệ chủ quyền, lợi ích, an ninh quốc gia, trật tự an toàn xã hội.
2. Trong bảo đảm an ninh thông tin mạng
a) Bảo mật, lưu trữ, sử dụng thông tin cá nhân chủ thể sử dụng theo quy định của pháp luật, đồng thời xây dựng, kiện toàn chính sách bảo vệ thông tin cá nhân;
b) Không tiết lộ, thay đổi, cung cấp thông tin cho bên thứ ba khi chưa được sự cho phép của chủ sở hữu thông tin;
c) Cập nhật, sửa đổi, xóa bỏ hoặc đính chính thông tin thu thập trái pháp luật theo yêu cầu chủ thể sử dụng;
d) Tiến hành ngăn chặn việc chia sẻ thông tin, xóa bỏ thông tin có nội dung chống Nhà nước Cộng hòa xã hội chủ nghĩa Việt Nam, thông tin sai sự thật, vu khống trên không gian mạng trong vòng 24 giờ theo yêu cầu của cơ quan quản lý nhà nước về an ninh mạng, đồng thời lưu lại các ghi chép liên quan để báo cáo với cơ quan chuyên trách bảo vệ an ninh mạng;
đ) Không cung cấp dịch vụ viễn thông, internet, hỗ trợ kỹ thuật, quảng cáo, hỗ trợ thanh toán cho các tổ chức, cá nhân đăng tải thông tin có nội dung chống Nhà nước Cộng hòa xã hội chủ nghĩa Việt Nam, thông tin sai sự thật, vu khống trên không gian mạng;
e) Xây dựng, kiện toàn quy trình bảo vệ và cơ chế hợp tác an ninh mạng, tăng cường đánh giá, phân tích các loại rủi ro an ninh mạng, định kỳ cảnh báo nguy cơ, đồng thời ủng hộ, giúp đỡ các thành viên nâng cao khả năng ứng phó với rủi ro an ninh mạng;
g) Xây dựng cơ chế phản hồi, khiếu nại về an ninh thông tin mạng; công bố thông tin về phương thức phản hồi, khiếu nại; kịp thời tiếp nhận và xử lý các phản hồi, khiếu nại liên quan an ninh thông tin mạng;
h) Thực hiện yêu cầu của cơ quan chức năng Bộ Công an, Bộ Quốc phòng, Bộ Thông tin và Truyền thông trong điều tra, xử lý hành vi vi phạm pháp luật trên không gian mạng.
3. Chính phủ quy định cụ thể về xử lý hành vi vi phạm các quy định về bảo vệ an ninh mạng của các doanh nghiệp cung cấp dịch vụ viễn thông, internet.
Điều 48. Trách nhiệm của cơ quan chủ quản hệ thống thông tin quan trọng về an ninh quốc gia
1. Phân công cá nhân phụ trách bảo vệ an ninh mạng.
2. Xây dựng quy chế vận hành, bảo vệ an ninh mạng, áp dụng các biện pháp tương ứng đối với hệ thống thông tin do mình quản lý; lập phương án phòng ngừa, ứng phó, khắc phục sự cố khi có sự cố an ninh mạng hoặc thảm họa xảy ra.
3. Bảo đảm hệ thống thông tin quan trọng về an ninh quốc gia đáp ứng tiêu chuẩn quốc gia về an ninh mạng, quy chuẩn kỹ thuật về an ninh mạng.
4. Khi thu thập, tạo ra thông tin cá nhân và dữ liệu quan trọng phải lưu trữ trong phạm vi quốc gia. Nếu bắt buộc phải cung cấp thông tin ra bên ngoài phạm vi quốc gia, phải đánh giá mức độ an ninh theo quy định của Bộ Công an, trong trường hợp có luật quy định thì căn cứ theo nội dung của luật đó để tiến hành.
5. Phối hợp với Bộ Công an hoặc tổ chức chuyên môn do Bộ Công an chỉ định kiểm tra an ninh mạng trước khi đưa vào vận hành, khai thác các thiết bị phục vụ hệ thống thông tin quan trọng về an ninh quốc gia; có phương án bảo vệ an ninh mạng trước khi thiết lập, mở rộng, nâng cấp hệ thống thông tin quan trọng về an ninh quốc gia.
6. Tiến hành hoặc ủy thác cho tổ chức cung cấp dịch vụ an ninh mạng tiến hành khảo sát, đánh giá mức độ an toàn và khả năng ứng phó rủi ro của cơ sở đó ít nhất 02 lần/năm, đồng thời gửi báo cáo tình hình kiểm tra, đánh giá, cải tiến biện pháp khắc phục tới cơ quan chuyên trách bảo vệ an ninh mạng thuộc Bộ Công an.
7. Định kỳ hoặc phối hợp với cơ quan chuyên trách bảo vệ an ninh mạng thuộc Bộ Công an tổ chức tập huấn, bồi dưỡng về kiến thức, kĩ thuật và đánh giá kĩ năng an ninh mạng cho các nhân viên phụ trách bảo vệ an ninh mạng của hệ thống thông tin quan trọng về an ninh quốc gia.
Điều 49. Trách nhiệm của Bộ Công an
1. Bộ Công an giúp Chính phủ quản lý nhà nước về an ninh mạng trên phạm vi toàn quốc.
a) Thực hiện quản lý nhà nước trong bảo vệ an ninh mạng đối với thiết bị số, dịch vụ mạng, ứng dụng mạng;
b) Thẩm định hoặc chỉ định tổ chức kiểm tra, đánh giá, thẩm định sự phù hợp về an ninh mạng đối với hệ thống thông tin quan trọng về an ninh quốc gia trước khi đưa vào sử dụng;
c) Tổ chức kiểm tra, đánh giá an ninh mạng đối với hệ thống thông tin của cơ quan nhà nước, hệ thống thông tin quan trọng về an ninh quốc gia; kiểm tra, đánh giá an ninh mạng đối với các thiết bị số, dịch vụ mạng, ứng dụng mạng trước khi đưa vào sử dụng trong các hệ thống thông tin quan trọng về an ninh quốc gia;
d) Quản lý về an ninh mạng đối với cơ sở hạ tầng không gian mạng quốc gia, cổng kết nối quốc tế; quản lý hoạt động bảo vệ an ninh mạng của các doanh nghiệp cung cấp dịch vụ viễn thông, internet;
đ) Quản lý nhà nước về giám sát an ninh mạng; cảnh báo, chia sẻ thông tin an ninh mạng, các nguy cơ đe dọa an ninh mạng;
e) Có văn bản cho ý kiến khi cơ quan chủ quản hệ thống thông tin quan trọng về an ninh quốc gia đề nghị được ký hợp đồng với doanh nghiệp cung cấp dịch vụ an toàn thông tin mạng;
g) Thực hiện giám sát an ninh mạng trên phạm vi cả nước, ngoại trừ hệ thống thông tin quân sự do Bộ Quốc phòng quản lý.
2. Xây dựng, đề xuất chiến lược, chủ trương, chính sách, kế hoạch và phương án bảo vệ an ninh mạng.
3. Ban hành hoặc trình cơ quan nhà nước có thẩm quyền ban hành và hướng dẫn thi hành các văn bản quy phạm pháp luật về an ninh mạng; tuyên truyền, phổ biến pháp luật về an ninh mạng.
4. Phòng ngừa, đấu tranh với hoạt động sử dụng không gian mạng xâm phạm chủ quyền, lợi ích, an ninh quốc gia, trật tự an toàn xã hội và phòng, chống tội phạm mạng. Bảo đảm an ninh thông tin mạng; ngăn chặn, xử lý thông tin có nội dung chống Nhà nước Cộng hòa xã hội chủ nghĩa Việt Nam, xâm phạm quyền, lợi ích hợp pháp của tổ chức, cá nhân, trái đạo đức, thuần phong mỹ tục trên không gian mạng.
5. Bảo vệ hệ thống thông tin quan trọng về an ninh quốc gia; giám sát an ninh mạng đối với hệ thống thông tin quan trọng về an ninh quốc gia, ngoại trừ hệ thống thông tin quân sự do Bộ Quốc phòng quản lý; chủ trì, phối hợp với Bộ Thông tin và Truyền thông, Bộ Quốc phòng trong huy động lực lượng, cơ sở vật chất kỹ thuật ứng phó, khắc phục sự cố an ninh mạng xảy ra đối với hệ thống thông tin quan trọng về an ninh quốc gia.
6. Bảo vệ bí mật nhà nước trên không gian mạng; bảo vệ thông tin, tài liệu có nội dung thuộc danh mục bí mật nhà nước, thông tin cá nhân trên không gian mạng; ứng phó, khắc phục sự cố an ninh mạng.
7. Phòng, chống tấn công mạng, khủng bố mạng, gián điệp mạng, chủ trì xử lý tình huống nguy hiểm về an ninh mạng; tham gia phòng, chống chiến tranh mạng.
8. Phối hợp với Bộ Khoa học và Công nghệ xây dựng, công bố tiêu chuẩn, quy chuẩn kỹ thuật về an ninh mạng; đăng ký, chỉ định, thanh tra, kiểm tra các hoạt động chứng nhận sự phù hợp của tổ chức đánh giá chứng nhận hợp chuẩn, hợp quy về an ninh mạng.
9. Phối hợp với các bộ, ngành liên quan trong đào tạo, phát triển nguồn nhân lực an ninh mạng.
10. Phân công lực lượng an ninh mạng chuyên trách trực thuộc và tại Công an các tỉnh, thành phố trực thuộc Trung ương.
11. Xử lý các hành vi vi phạm pháp luật về an ninh mạng;
12. Chủ trì hợp tác quốc tế về an ninh mạng.
Điều 50. Trách nhiệm của Bộ Quốc phòng
1. Xây dựng, đề xuất chiến lược, chủ trương, chính sách, kế hoạch và phương án bảo vệ an ninh mạng trong thực hiện nhiệm vụ quốc phòng trên không gian mạng.
2. Ban hành hoặc trình cơ quan nhà nước có thẩm quyền ban hành và hướng dẫn thi hành các văn bản quy phạm pháp luật về thực hiện nhiệm vụ quốc phòng trên không gian mạng.
3. Chủ trì, phối hợp với các bộ, ngành liên quan trong phòng, chống chiến tranh mạng theo chức năng, nhiệm vụ được giao.
4. Thẩm định an ninh mạng trong hồ sơ thiết kế, xây dựng, đầu tư mua sắm thiết bị cho hệ thống thông tin quân sự do Bộ Quốc phòng quản lý.
5. Kiểm tra, đánh giá an ninh mạng, ứng phó, khắc phục sự cố an ninh mạng đối với hệ thống thông tin quân sự do Bộ Quốc phòng quản lý.
6. Thực hiện công tác giám sát an ninh mạng đối với hệ thống thông tin quân sự do Bộ Quốc phòng quản lý.
7. Bảo vệ bí mật quân sự, bí mật nhà nước trên hệ thống thông tin quân sự do Bộ Quốc phòng quản lý theo chức năng, nhiệm vụ được giao; phòng ngừa, đấu tranh với các hoạt động sử dụng không gian mạng xâm phạm an ninh quân đội.
8. Phối hợp với Bộ Công an triển khai thực hiện công tác bảo vệ an ninh mạng, quản lý nhà nước về an ninh mạng theo chức năng, nhiệm vụ được giao; đưa kiến thức an ninh mạng vào chương trình giáo dục quốc phòng, an ninh.
9. Hợp tác quốc tế về an ninh mạng theo chức năng, nhiệm vụ được giao.
Điều 51. Trách nhiệm của Bộ Thông tin và Truyền thông
1. Trong quản lý nhà nước về an toàn thông tin mạng:
a) Ban hành hoặc trình cơ quan nhà nước có thẩm quyền ban hành và hướng dẫn thi hành các văn bản quy phạm pháp luật về an toàn thông tin mạng;
b) Kiểm tra, đánh giá an toàn thông tin mạng đối với hệ thống thông tin không nằm trong hệ thống thông tin quan trọng về an ninh quốc gia theo quy định của pháp luật;
c) Phối hợp với Bộ Công an trong triển khai thực hiện công tác bảo vệ an ninh mạng theo chức năng, nhiệm vụ được giao;
d) Thực hiện hợp tác quốc tế về an toàn thông tin mạng.
2. Trong ngăn chặn, xử lý thông tin có nội dung chống Nhà nước Cộng hòa xã hội chủ nghĩa Việt Nam, xâm phạm quyền, lợi ích hợp pháp của tổ chức, cá nhân, trái đạo đức, thuần phong mỹ tục trên không gian mạng:
a) Chủ động phối hợp với các cơ quan liên quan tổ chức tuyên truyền, phản bác thông tin có nội dung chống Nhà nước Cộng hòa xã hội chủ nghĩa Việt Nam, xâm phạm quyền, lợi ích hợp pháp của tổ chức, cá nhân, trái đạo đức, thuần phong mỹ tục trên không gian mạng;
b) Chỉ đạo các doanh nghiệp cung cấp dịch vụ viễn thông, internet, cơ quan chủ quản trang thông tin điện tử, cổng thông tin điện tử loại bỏ thông tin có nội dung chống Nhà nước Cộng hòa xã hội chủ nghĩa Việt Nam, xâm phạm quyền, lợi ích hợp pháp của tổ chức, cá nhân, trái đạo đức, thuần phong mỹ tục trên không gian mạng, xử lý nghiêm các trường hợp vi phạm;
c) Yêu cầu các doanh nghiệp cung cấp dịch vụ viễn thông, internet nước ngoài chấp hành nghiêm pháp luật Việt Nam, đăng ký kinh doanh và đặt máy chủ chứa dữ liệu người dùng Việt Nam trên lãnh thổ Việt Nam.
Điều 52. Trách nhiệm của các bộ, ngành liên quan
1. Bộ Khoa học và Công nghệ
a) Xác định và tổ chức thực hiện các nhiệm vụ khoa học và công nghệ cấp nhà nước liên quan đến hoạt động bảo vệ an ninh mạng;
b) Chủ trì, phối hợp với cơ quan có liên quan phê duyệt quy hoạch, kế hoạch xây dựng tiêu chuẩn quốc gia, quy chuẩn kỹ thuật quốc gia về an ninh mạng; tổ chức thẩm định và công bố tiêu chuẩn quốc gia về an ninh mạng; tổ chức thẩm định dự thảo quy chuẩn kỹ thuật quốc gia về an ninh mạng theo quy định của pháp luật.
c) Chủ trì, phối hợp với bộ, ngành liên quan trong nghiên cứu, ứng dụng và phát triển quản lý định danh đáp ứng các yêu cầu bảo vệ an ninh mạng.
2. Bộ Nội vụ
a) Phối hợp với Bộ Công an xây dựng chính sách, cơ chế phối hợp thu hút, trọng dụng, đãi ngộ người có tài năng, nguồn nhân lực chất lượng cao về công nghệ thông tin, chuyên gia an ninh mạng;
b) Chủ trì, phối hợp với Bộ Công an tổ chức hướng dẫn bồi dưỡng kiến thức an ninh mạng cho cán bộ, công chức, viên chức;
3. Bộ Giáo dục và Đào tạo
a) Chủ trì, phối hợp với Bộ Công an trong tuyển chọn, đào tạo, phát triển nguồn nhân lực an ninh mạng; phổ biến kiến thức an ninh mạng trong hệ thống giáo dục quốc dân;
b) Phối hợp với Bộ Công an, Bộ Quốc phòng xây dựng chương trình và đưa kiến thức an ninh mạng vào chương trình giáo dục quốc phòng, an ninh.
4. Bộ Lao động, Thương binh và Xã hội có trách nhiệm tổ chức đào tạo, bồi dưỡng, phổ biến kiến thức về an ninh mạng trong cơ sở giáo dục nghề nghiệp.
5. Bộ Tài chính có trách nhiệm hướng dẫn, bố trí kinh phí cho hoạt động bảo vệ an ninh mạng theo quy định của pháp luật.
6. Bộ Kế hoạch và Đầu tư
a) Quản lý nhà nước về đầu tư an ninh mạng;
b) Phối hợp với Bộ Công an, Bộ Quốc phòng, Bộ Thông tin và Truyền thông trong triển khai các dự án, đề án, chương trình, kế hoạch đầu tư cho hoạt động bảo vệ an ninh mạng.
7. Bộ Ngoại giao có trách nhiệm:
a) Chủ trì, phối hợp với Bộ Công an trong bảo vệ an ninh mạng đối với hệ thống thông tin, thông tin thuộc Bộ Ngoại giao và các cơ quan đại diện của Việt Nam ở nước ngoài;
b) Phối hợp với Bộ Công an xây dựng và triển khai chủ trương, chính sách an ninh mạng của Việt Nam;
c) Nghiên cứu, phối hợp với Bộ Công an trong tham gia các điều ước, thỏa thuận quốc tế về an ninh mạng.
8. Bộ Công thương có trách nhiệm phối hợp với Bộ Công an trong quản lý thiết bị số, dịch vụ mạng, ứng dụng mạng đáp ứng các tiêu chuẩn, quy chuẩn an ninh mạng tương ứng, phù hợp.
9. Ban Cơ yếu Chính phủ giúp Bộ trưởng Bộ Quốc phòng:
a) Quản lý nhà nước về cơ yếu;
b) Quản lý chuyên ngành cơ yếu, chỉ đạo các tổ chức cơ yếu bảo vệ thông tin bí mật nhà nước dùng mật mã; triển khai hệ thống chứng thực điện tử chuyên dùng chính phủ.
10. Bộ, ngành liên quan trong phạm vi nhiệm vụ, quyền hạn có trách nhiệm thực hiện công tác bảo vệ an ninh mạng của đối với thông tin, hệ thống thông tin do mình quản lý và phối hợp với Bộ Công an thực hiện quản lý nhà nước về an ninh mạng.
Điều 53. Trách nhiệm của ủy ban nhân dân cấp tỉnh
1. Xây dựng, ban hành quy chế quản lý, vận hành và đảm bảo an ninh mạng, áp dụng tiêu chuẩn, quy chuẩn kỹ thuật tương ứng đối với các hệ thống thông tin do mình quản lý.
2. Quản lý chất lượng thiết bị số, dịch vụ mạng, ứng dụng mạng trên địa bàn.
3. Trong phạm vi, nhiệm vụ, quyền hạn của mình phối hợp với Bộ Công an quản lý nhà nước về an ninh mạng ở địa phương.
Chương VIII
ĐIỀU KHOẢN THI HÀNH
Điều 54. Hiệu lực thi hành
Luật này có hiệu lực thi hành từ ngày tháng năm 2018.
Điều 55. Quy định chi tiết
Chính phủ, cơ quan nhà nước có thẩm quyền quy định chi tiết các điều khoản được giao trong Luật.
Luật này đã được Quốc hội nước Cộng hòa xã hội chủ nghĩa Việt Nam khóa XIV, kỳ họp thứ thông qua ngày tháng năm 2018.
Thông tin chung: http://duthaoonline.quochoi.vn/DuThao/Lists/DT_DUTHAO_LUAT/View_Detail.aspx?ItemID=1382&TabIndex=0
Căn cứ Hiến pháp nước Cộng hòa xã hội chủ nghĩa Việt Nam;
Quốc hội ban hành Luật An ninh mạng.
Chương I: NHỮNG QUY ĐỊNH CHUNG
Điều 1. Phạm vi điều chỉnh
Luật này quy định về nguyên tắc, biện pháp, nội dung, hoạt động, điều kiện bảo đảm triển khai hoạt động bảo vệ an ninh mạng; trách nhiệm của cơ quan, tổ chức, cá nhân tham gia không gian mạng và có liên quan tới hoạt động bảo vệ an ninh mạng của nước Cộng hòa xã hội chủ nghĩa Việt Nam.Điều 2. Đối tượng áp dụng
Luật này áp dụng đối với cơ quan, tổ chức, công dân Việt Nam, tổ chức, cá nhân nước ngoài trực tiếp tham gia hoặc có liên quan tới hoạt động trên không gian mạng và bảo vệ an ninh mạng của nước Cộng hòa xã hội chủ nghĩa Việt Nam.Điều 3. Giải thích từ ngữ
Trong Luật này, các từ ngữ dưới đây được hiểu như sau:1. Không gian mạng là mạng lưới kết nối toàn cầu của cơ sở hạ tầng công nghệ thông tin, bao gồm mạng internet, mạng viễn thông, hệ thống máy tính, hệ thống xử lý và điều khiển thông tin, là môi trường đặc biệt mà con người thực hiện các hành vi xã hội không bị giới hạn bởi không gian và thời gian.
2. Không gian mạng quốc gia là mạng lưới kết nối của cơ sở hạ tầng công nghệ thông tin, bao gồm mạng internet, mạng viễn thông, hệ thống máy tính, hệ thống xử lý và điều khiển thông tin, được xác định bằng phạm vi không gian mạng do Nhà nước quản lý, kiểm soát bằng chính sách, pháp luật và năng lực công nghệ.
3. An ninh mạng là sự bảo đảm hoạt động sử dụng không gian mạng không gây phương hại đến sự ổn định, phát triển bền vững của chế độ xã hội chủ nghĩa và Nhà nước Cộng hòa xã hội chủ nghĩa Việt Nam, độc lập, chủ quyền, thống nhất, toàn vẹn lãnh thổ của Tổ quốc, an ninh quốc gia, bí mật nhà nước, trật tự an toàn xã hội, quyền và lợi ích hợp pháp của tổ chức, cá nhân.
4. Bảo vệ an ninh mạng là phòng ngừa, phát hiện, ngăn chặn, đấu tranh, làm thất bại âm mưu, hoạt động sử dụng không gian mạng xâm phạm an ninh quốc gia.
5. Cơ sở hạ tầng không gian mạng quốc gia là hệ thống trang thiết bị phục vụ cho việc tạo lập, truyền đưa, thu thập, xử lý, lưu trữ và trao đổi thông tin, bao gồm:
a) Hệ thống truyền dẫn: hệ thống truyền dẫn quốc gia, hệ thống truyền dẫn kết nối quốc tế, hệ thống vệ tinh, hệ thống truyền dẫn của các doanh nghiệp cung cấp dịch vụ viễn thông, internet;
b) Hệ thống các dịch vụ lõi: hệ thống phân luồng và điều hướng thông tin quốc gia, hệ thống phân giải tên miền quốc gia (DNS), hệ thống chứng thực quốc gia (PKI/CA) và các hệ thống cung cấp dịch vụ kết nối, truy cập internet của các doanh nghiệp cung cấp dịch vụ viễn thông, internet;
c) Các dịch vụ, hệ thống ứng dụng công nghệ thông tin: dịch vụ trực tuyến (chính phủ điện tử, thương mại điện tử, báo điện tử, diễn đàn trực tuyến, mạng xã hội, blog…), hệ thống ứng dụng công nghệ thông tin có kết nối mạng phục vụ quản lý, điều hành của các cơ quan, tổ chức, tập đoàn kinh tế, tài chính quan trọng (bao gồm cả hệ thống điều khiển và giám sát tự động SCADA); cơ sở dữ liệu quốc gia.
6. Hệ thống thông tin quan trọng về an ninh quốc gia là hệ thống thông tin khi bị sự cố, tấn công, xâm nhập, chiếm quyền điều khiển, làm sai lệch, gián đoạn, ngưng trệ, tê liệt hoặc phá hủy sẽ gây phương hại đến chủ quyền, lợi ích, an ninh quốc gia và gây tổn hại nghiêm trọng tới trật tự an toàn xã hội.
7. Cổng kết nối mạng quốc tế là nơi diễn ra hoạt động chuyển nhận tín hiệu mạng qua lại giữa Việt Nam và quốc gia, vùng lãnh thổ khác.
8. Tội phạm mạng là hành vi sử dụng không gian mạng và công nghệ thông tin để thực hiện các hành vi nguy hiểm cho xã hội được quy định trong Bộ luật Hình sự.
9. Tấn công mạng là hành vi phá hoại, gây gián đoạn hoặc truy cập trái phép máy tính, hệ thống máy tính hoặc hệ thống thông tin.
10. Khủng bố mạng là hoạt động sử dụng không gian mạng để thực hiện hành vi khủng bố, tài trợ khủng bố.
11. Gián điệp mạng là hành vi cố ý vượt qua cảnh báo, mã truy cập, tường lửa, sử dụng quyền quản trị của người khác hoặc bằng phương thức khác xâm nhập vào mạng máy tính, mạng internet, mạng viễn thông hoặc phương tiện điện tử của cơ quan, tổ chức Nhà nước theo sự chỉ đạo của nước ngoài để chiếm đoạt bí mật nhà nước hoặc hoạt động tình báo, phá hoại chống nước Cộng hòa xã hội chủ nghĩa Việt Nam.
12. Chiến tranh mạng là trạng thái xã hội đặc biệt của đất nước khi lực lượng quân sự nước ngoài sử dụng không gian mạng cùng với hoạt động vũ trang nhằm gây chiến tranh xâm lược.
13. Tác chiến trên không gian mạng là hoạt động chủ động đấu tranh có tổ chức trên không gian mạng nằm trong thế trận an ninh nhân dân và nền quốc phòng toàn dân nhằm bảo vệ chủ quyền, lợi ích, an ninh quốc gia và trật tự an toàn xã hội.
14. Tài khoản số là thông tin dùng để chứng thực, phân quyền sử dụng các ứng dụng, dịch vụ bao gồm:
a) Tài khoản đăng nhập các trang web, blog, mạng xã hội;
b) Tài khoản tài chính (tài khoản ngân hàng trực tuyến, tài khoản tiền điện tử, tài khoản giao dịch tài chính trên mạng);
c) Tài khoản đăng nhập các hệ điều hành máy tính, thiết bị di động thông minh như điện thoại, máy tính bảng, đồng hồ thông minh;
d) Tài khoản thư điện tử, dịch vụ điện tử;
đ) Tài khoản trò chơi trực tuyến trên mạng;
e) Các tài khoản trực tuyến khác.
15. Thông tin định danh là thông tin để xác định chủ thể đăng ký tài khoản số.
16. Dịch vụ mạng là một chương trình ứng dụng thực hiện một tác vụ, nhiệm vụ về mạng.
17. Ứng dụng mạng là một ứng dụng cung cấp các dịch vụ trên không gian mạng.
18. Nguy cơ đe dọa an ninh mạng là tình trạng xảy ra trên không gian mạng có thể xâm phạm hoặc đe dọa xâm phạm tới chủ quyền, lợi ích, an ninh quốc gia, bí mật nhà nước, trật tự an toàn xã hội, quyền và lợi ích hợp pháp của tổ chức, cá nhân.
19. Phương thức phòng thủ mạng là hành động, biện pháp, thiết bị hoặc các phương thức khác được áp dụng cho hệ thống thông tin hoặc thông tin được lưu trữ, xử lý, truyền tải trong hệ thống thông tin nhằm phát hiện, phòng ngừa hoặc giảm thiểu các nguy cơ đe dọa an ninh mạng.
20. Kiểm tra, đánh giá an ninh mạng là hoạt động xác định thực trạng an ninh mạng của hệ thống thông tin, cơ sở hạ tầng không gian mạng hoặc thông tin được lưu trữ, xử lý, truyền tải trong hệ thống thông tin nhằm phòng ngừa, phát hiện, xử lý nguy cơ đe dọa an ninh mạng.
21. Dữ liệu mạng là thông tin dưới dạng ký hiệu, chữ viết, chữ số, hình ảnh, âm thanh hoặc dạng tương tự được tạo ra, thu thập, lưu trữ, truyền tải, xử lý trên không gian mạng.
22. Sự cố an ninh mạng là tình trạng sử dụng không gian mạng gây nguy hại đến hệ thống thông tin quan trọng về an ninh quốc gia.
23. Cơ quan chủ quản hệ thống thông tin là đơn vị có thẩm quyền quản lý trực tiếp đối với hệ thống thông tin.
Điều 4. Chính sách của Nhà nước về an ninh mạng
1. Ưu tiên bảo vệ an ninh mạng trong chiến lược phát triển kinh tế, xã hội, đối ngoại, khoa học kỹ thuật, nâng cao năng lực quốc phòng, an ninh của đất nước.2. Tạo điều kiện để tổ chức, cá nhân áp dụng biện pháp phòng, chống và xử lý các nguy cơ đe dọa an ninh mạng, bảo vệ chủ quyền, lợi ích, an ninh quốc gia, trật tự an toàn xã hội trước các cuộc tấn công, xâm nhập, phá hoại và các hoạt động bất hợp pháp khác theo quy định của pháp luật.
3. Xây dựng không gian mạng lành mạnh. Các hành vi trên không gian mạng được ứng xử theo quy tắc, chuẩn mực, khuyến khích các hoạt động trung thực và văn minh trên không gian mạng, xử lý nghiêm minh các hành vi vi phạm theo quy định của pháp luật.
4. Bảo vệ quyền và lợi ích hợp pháp của tổ chức, cá nhân khi tham gia hoạt động trên không gian mạng theo pháp luật.
5. Khuyến khích tổ chức, cá nhân tham gia bảo vệ an ninh mạng, nghiên cứu, phát triển thiết bị số, dịch vụ mạng, ứng dụng mạng và tăng cường phối hợp với cơ quan chức năng trong bảo vệ an ninh mạng.
6. Tăng cường hợp tác quốc tế về an ninh mạng, khuyến khích hợp tác với tổ chức, cá nhân Việt Nam ở nước ngoài trong bảo vệ an ninh mạng.
7. Ưu tiên bố trí kinh phí bảo đảm phục vụ công tác an ninh mạng.
Điều 5. Nguyên tắc bảo vệ an ninh mạng
1. Mọi hoạt động bảo vệ an ninh mạng phải tuân thủ Hiến pháp, pháp luật, bảo đảm lợi ích Nhà nước, quyền và lợi ích hợp pháp của tổ chức, cá nhân.2. Bảo vệ an ninh mạng là trách nhiệm của mọi tổ chức, cá nhân. Huy động sức mạnh tổng hợp của hệ thống chính trị và toàn dân tộc; phát huy vai trò nòng cốt của các lực lượng công an, quân đội, thông tin và truyền thông, tuyên giáo, cơ yếu.
3. Đề cao trách nhiệm của các doanh nghiệp cung cấp dịch vụ viễn thông, internet và cơ quan chủ quản hệ thống thông tin quan trọng về an ninh quốc gia.
4. Chủ động phòng ngừa, phát hiện, ngăn chặn, đấu tranh, làm thất bại mọi âm mưu và hoạt động sử dụng không gian mạng xâm phạm chủ quyền, lợi ích, an ninh quốc gia, trật tự an toàn xã hội; sẵn sàng ngăn chặn các mối đe dọa chủ quyền, lợi ích, an ninh quốc gia trên không gian mạng.
Điều 6. Biện pháp bảo vệ an ninh mạng
1. Biện pháp bảo vệ an ninh mạng gồm:a) Thẩm định an ninh mạng đối với hệ thống thông tin quan trọng về an ninh quốc gia;
b) Kiểm tra, đánh giá an ninh mạng đối với hệ thống thông tin quan trọng về an ninh quốc gia;
c) Đánh giá, chứng nhận hợp chuẩn, hợp quy về an ninh mạng đối với hệ thống thông tin quan trọng về an ninh quốc gia;
d) Giám sát an ninh mạng đối với hệ thống thông tin quan trọng về an ninh quốc gia;
đ) Tác chiến trên không gian mạng;
e) Kiểm tra, phát hiện, yêu cầu cơ quan, tổ chức, cá nhân khắc phục điểm yếu, lỗ hổng bảo mật của hệ thống thông tin quan trọng về an ninh quốc gia;
g) Phòng, chống tấn công mạng, ứng phó, khắc phục sự cố an ninh mạng;
h) Ngăn chặn, ngừng cung cấp thông tin mạng trong một khu vực, thời gian nhất định khi có dấu hiệu gây nguy hại cho quốc phòng, an ninh;
i) Ngăn chặn việc truyền tải thông tin; truy cập, xóa, thay đổi thông tin trái pháp luật trên không gian mạng;
k) Thu thập dữ liệu điện tử liên quan tới hoạt động vi phạm pháp luật của tổ chức, cá nhân;
l) Phong tỏa, gây trở ngại cho hoạt động của hệ thống thông tin; ngăn chặn khả năng sử dụng không gian mạng thực hiện hành vi xâm phạm chủ quyền, lợi ích, an ninh quốc gia, trật tự an toàn xã hội; định vị vị trí trên không gian mạng của đối tượng thực hiện hành vi vi phạm pháp luật;
m) Đình chỉ hoạt động khi có căn cứ xác định hoạt động trên không gian mạng có dấu hiệu gây nguy hại cho an ninh quốc gia; tạm đình chỉ hoặc yêu cầu ngừng hoạt động, thu hồi tên miền đối với hệ thống thông tin theo quy định của pháp luật;
n) Tạm đình chỉ các hoạt động thiết lập, cung cấp và sử dụng mạng viễn thông công cộng, mạng viễn thông dùng riêng, mạng internet, việc sản xuất và sử dụng thiết bị phát, thu phát sóng vô tuyến theo quy định của pháp luật;
o) Khởi tố, điều tra, áp dụng các biện pháp ngăn chặn, biện pháp cưỡng chế, biện pháp thu thập chứng cứ theo quy định của pháp luật về tố tụng hình sự;
p) Các biện pháp khác theo quy định của Luật An ninh quốc gia;
2. Chính phủ quy định chi tiết về trình tự, thủ tục, thẩm quyền áp dụng biện pháp bảo vệ an ninh mạng.
Điều 7. Hợp tác quốc tế về an ninh mạng
1. Tổ chức, cá nhân Việt Nam hợp tác về an ninh mạng với tổ chức, cá nhân nước ngoài, tổ chức quốc tế theo nguyên tắc tôn trọng độc lập, chủ quyền quốc gia, không can thiệp vào công việc nội bộ của nhau, bình đẳng và cùng có lợi.2. Nội dung hợp tác quốc tế về an ninh mạng
a) Nghiên cứu, phân tích xu hướng an ninh mạng;
b) Cơ chế, chính sách đẩy mạnh hợp tác giữa tổ chức, cá nhân Việt Nam với tổ chức, cá nhân nước ngoài, tổ chức quốc tế hoạt động về an ninh mạng;
c) Chia sẻ thông tin, kinh nghiệm, hỗ trợ đào tạo, trang thiết bị, công nghệ bảo vệ an ninh mạng;
d) Phòng, chống tội phạm mạng, các hành vi xâm phạm an ninh mạng, ngăn ngừa các nguy cơ đe dọa an ninh mạng;
đ) Tư vấn, đào tạo và phát triển nguồn nhân lực an ninh mạng;
e) Tổ chức hội thảo, hội nghị và diễn đàn quốc tế về an ninh mạng;
g) Ký kết, gia nhập và thực hiện điều ước quốc tế song phương, đa phương và tham gia tổ chức khu vực, tổ chức quốc tế về an ninh mạng;
h) Thực hiện chương trình, dự án hợp tác quốc tế về an ninh mạng.
3. Bộ Công an giúp Chính phủ quản lý nhà nước trong hợp tác quốc tế về an ninh mạng. Các hoạt động hợp tác quốc tế về an ninh mạng của các bộ, ngành, địa phương phải có văn bản tham gia ý kiến của Bộ Công an trước khi triển khai.
Điều 8. Các hành vi bị nghiêm cấm
1. Sử dụng không gian mạng chống Nhà nước Cộng hòa xã hội chủ nghĩa Việt Nam, xâm phạm an ninh quốc gia, trật tự, an toàn xã hội; phá hoại khối đại đoàn kết toàn dân; tuyên truyền chiến tranh xâm lược, khủng bố; gây thù hận, mâu thuẫn giữa các dân tộc, tôn giáo; kỳ thị giới tính, phân biệt chủng tộc; tuyên truyền, kích động bạo lực, gây bạo loạn, phá rối an ninh, gây rối trật tự công cộng; đăng tải thông tin làm nhục, vu khống, dâm ô, đồi trụy, tội ác; hoạt động mại dâm, tệ nạn xã hội, buôn bán người, phá hoại thuần phong, mỹ tục của dân tộc, đạo đức xã hội, sức khỏe cộng đồng.2. Đăng tải, phát tán thông tin trên không gian mạng có nội dung bịa đặt, xuyên tạc, làm nhục, vu khống, xúc phạm uy tín của tổ chức, danh dự, nhân phẩm của cá nhân.
3. Sử dụng không gian mạng tuyên truyền, quảng cáo, mua bán hàng hóa, dịch vụ thuộc danh mục cấm theo quy định của pháp luật.
4. Xâm nhập hoặc tìm cách xâm nhập qua không gian mạng thực hiện hành vi chiếm đoạt thông tin, tài liệu, làm sai lệch nội dung hoặc chiếm quyền điều khiển hệ thống thông tin.
5. Soạn thảo, thu thập, lưu trữ, truyền đưa trái pháp luật thông tin, tài liệu có nội dung thuộc danh mục bí mật nhà nước trên máy tính kết nối internet, thiết bị lưu trữ hoặc các thiết bị khác có kết nối internet; đăng tải thông tin, tài liệu có nội dung thuộc danh mục bí mật nhà nước trên không gian mạng.
6. Thực hiện hành vi tấn công mạng, khủng bố mạng và các hành vi vi phạm pháp luật khác.
7. Lợi dụng hoạt động bảo vệ an ninh mạng để gây phương hại đến chủ quyền, lợi ích, an ninh quốc gia, trật tự, an toàn xã hội.
Chương II: BẢO VỆ AN NINH MẠNG ĐỐI VỚI HỆ THỐNG THÔNG TIN QUAN TRỌNG VỀ AN NINH QUỐC GIA
Mục 1: HOẠT ĐỘNG BẢO VỆ AN NINH MẠNG ĐỐI VỚI HỆ THỐNG THÔNG TIN QUAN TRỌNG VỀ AN NINH QUỐC GIA
Điều 9. Hệ thống thông tin quan trọng về an ninh quốc gia
1. Hệ thống thông tin quan trọng về an ninh quốc gia được xác định theo tính chất quan trọng đối với an ninh quốc gia, trật tự an toàn xã hội của hệ thống thông tin và mức độ hậu quả, thiệt hại có thể xảy ra khi hệ thống thông tin bị xâm hại.2. Hệ thống thông tin quan trọng về an ninh quốc gia, bao gồm:
a) Hệ thống thông tin phục vụ quốc phòng, an ninh;
b) Hệ thống thông tin lưu trữ, xử lý thông tin bí mật nhà nước;
c) Hệ thống thông tin quốc gia phục vụ phát triển Chính phủ điện tử;
d) Hệ thống thông tin của lĩnh vực năng lượng, tài chính quốc gia, ngân hàng, giao thông vận tải, hóa chất, y tế và tài nguyên môi trường;
đ) Hệ thống điều khiển và giám sát tự động tại các công trình quan trọng liên quan đến an ninh quốc gia, mục tiêu quan trọng về an ninh quốc gia;
e) Hệ thống thông tin phục vụ phát thanh, truyền hình, báo chí, xuất bản mà khi bị phá hoại hoặc bị lợi dụng sẽ trực tiếp tác động đến tư tưởng người dân, đến sự ổn định, phát triển bền vững của chế độ xã hội chủ nghĩa và nhà nước Cộng hòa xã hội chủ nghĩa Việt Nam, độc lập, chủ quyền, thống nhất, toàn vẹn lãnh thổ của Tổ quốc.
3. Trường hợp hệ thống thông tin được phân loại theo quy định của luật khác mà trùng với hệ thống thông tin thuộc Danh mục hệ thống thông tin quan trọng về an ninh quốc gia theo quy định của Luật này thì áp dụng quy định của Luật này.
4. Chính phủ quy định chi tiết Danh mục hệ thống thông tin quan trọng về an ninh quốc gia. Căn cứ điều kiện kinh tế xã hội và yêu cầu quản lý nhà nước trong từng thời kỳ, Chính phủ rà soát hệ thống thông tin trong nước, sửa đổi, bổ sung Danh mục hệ thống thông tin quan trọng về an ninh quốc gia.
Điều 10. Bảo vệ an ninh mạng đối với hệ thống thông tin quan trọng về an ninh quốc gia
1. Bảo vệ an ninh mạng đối với hệ thống thông tin quan trọng về an ninh quốc gia là trách nhiệm của hệ thống chính trị và toàn xã hội, trước hết là trách nhiệm của cơ quan chủ quản.2. Hệ thống thông tin quan trọng về an ninh quốc gia được bảo vệ an ninh mạng theo nguyên tắc kiểm tra, đánh giá trước, sử dụng sau và thường xuyên kiểm tra trong quá trình sử dụng.
3. Áp dụng các biện pháp bảo vệ an ninh mạng để bảo vệ hệ thống thông tin quan trọng về an ninh quốc gia theo quy định của pháp luật.
Điều 11. Thẩm định an ninh mạng đối với hệ thống thông tin quan trọng về an ninh quốc gia
1. Thẩm định an ninh mạng đối với hệ thống thông tin quan trọng về an ninh quốc gia được cơ quan có thẩm quyền của Bộ Công an, Bộ Quốc phòng tiến hành trong trường hợp:a) Trước khi đưa hệ thống thông tin quan trọng về an ninh quốc gia vào vận hành, sử dụng;
b) Trước khi thiết bị số được đưa vào sử dụng trong hệ thống thông tin quan trọng về an ninh quốc gia.
2. Nội dung thẩm định an ninh mạng
a) Sự phù hợp của phương án bảo vệ an ninh mạng trong thiết kế, thi công, vận hành hệ thống thông tin;
b) Sự phù hợp với phương án ứng phó, khắc phục sự cố an ninh mạng;
c) Nhân lực quản lý, vận hành hệ thống thông tin;
3. Bộ Công an thẩm định về năng lực, điều kiện đối với doanh nghiệp cung cấp dịch vụ an toàn thông tin mạng đối với hệ thống thông tin quan trọng về an ninh quốc gia.
4. Bộ Công an quy định chi tiết về thẩm định an ninh mạng đối với hệ thống thông tin quan trọng về an ninh quốc gia.
Điều 12. Kiểm tra, đánh giá an ninh mạng đối với hệ thống thông tin quan trọng về an ninh quốc gia
1. Kiểm tra, đánh giá an ninh mạng đối với hệ thống thông tin quan trọng về an ninh quốc gia nhằm phòng ngừa, phát hiện, loại bỏ các mối đe dọa an ninh mạng vào các nguồn tài nguyên thông tin và đưa ra các phương án, biện pháp bảo đảm hoạt động bình thường của hệ thống thông tin quan trọng về an ninh quốc gia.2. Cơ quan chủ quản hệ thống thông tin quan trọng về an ninh quốc gia kiểm tra, đánh giá an ninh mạng tối thiểu 01 năm/lần và kiểm tra khi có cảnh báo của cơ quan quản lý nhà nước có thẩm quyền hoặc khi xuất hiện nguy cơ an ninh mạng đối với hệ thống thông tin do mình quản lý.
3. Kiểm tra, đánh giá an ninh mạng đối với hệ thống thông tin quan trọng về an ninh quốc gia trên cơ sở dữ liệu thu được khi sử dụng các phương tiện kỹ thuật kiểm tra hệ thống thông tin, tài liệu thu được thông qua hoạt động quản lý nhà nước trong lĩnh vực an ninh mạng, thông tin khác phù hợp với pháp luật nước Cộng hòa xã hội chủ nghĩa Việt Nam.
4. Nội dung kiểm tra, đánh giá an ninh mạng đối với hệ thống thông tin quan trọng về an ninh quốc gia
a) Hệ thống phần cứng, phần mềm được sử dụng trong hệ thống thông tin;
b) Quy định, chính sách, biện pháp bảo vệ an ninh mạng;
c) Phương án ứng phó, khắc phục sự cố của cơ quan chủ quản hệ thống thông tin.
d) Các tiêu chuẩn bảo mật thông tin tránh rò rỉ qua các kênh kỹ thuật;
đ) Đội ngũ nhân lực bảo vệ an ninh mạng.
Điều 13. Giám sát, cảnh báo, ứng phó, khắc phục sự cố an ninh mạng xảy ra đối với hệ thống thông tin quan trọng về an ninh quốc gia
1. Giám sát an ninh mạng đối với hệ thống thông tin quan trọng về an ninh quốc gia được thực hiện thường xuyên, liên tục bởi cơ quan chủ quản hệ thống thông tin, cơ quan quản lý nhà nước có thẩm quyền nhằm phòng ngừa, phát hiện các mối đe dọa an ninh mạng và khắc phục các điểm yếu, lỗ hổng bảo mật, loại bỏ mã độc tồn tại trong hệ thống thông tin.2. Cơ quan chủ quản hệ thống thông tin quan trọng về an ninh quốc gia có trách nhiệm xây dựng cơ chế tự cảnh báo và tiếp nhận cảnh báo về nguy cơ đe dọa an ninh mạng, đề ra phương án ứng phó, khắc phục khẩn cấp sự cố an ninh mạng xảy ra đối với hệ thống thông tin thuộc trách nhiệm quản lý.
3. Khi xảy ra sự cố an ninh mạng, cơ quan chủ quản hệ thống thông tin quan trọng về an ninh quốc gia phải kịp thời báo cáo cơ quan quản lý nhà nước có thẩm quyền và tổ chức ứng cứu, khắc phục sự cố an ninh mạng theo quy định của Điều 26 Luật này.
4. Bộ Công an có trách nhiệm triển khai các giải pháp kỹ thuật, nghiệp vụ tại các hệ thống thông tin quan trọng về an ninh quốc gia nhằm phòng ngừa, phát hiện, xử lý các nguy cơ đe dọa an ninh mạng.
Mục 2: TIÊU CHUẨN, QUY CHUẨN KỸ THUẬT AN NINH MẠNG ĐỐI VỚI HỆ THỐNG THÔNG TIN QUAN TRỌNG VỀ AN NINH QUỐC GIA
Điều 14. Xây dựng tiêu chuẩn, quy chuẩn kỹ thuật về an ninh mạng đối với hệ thống thông tin quan trọng về an ninh quốc gia
1. Bộ Công an chủ trì, phối hợp với cơ quan có liên quan xây dựng dự thảo tiêu chuẩn quốc gia về an ninh mạng, đề nghị thẩm định và công bố tiêu chuẩn quốc gia về an ninh mạng, chủ trì xây dựng và ban hành quy chuẩn kỹ thuật quốc gia về an ninh mạng đối với hệ thống thông tin quan trọng về an ninh quốc gia theo quy định của pháp luật.2. Bộ Khoa học và Công nghệ chủ trì, phối hợp với cơ quan có liên quan tổ chức thẩm định và công bố tiêu chuẩn quốc gia về an ninh mạng, thẩm định dự thảo quy chuẩn kỹ thuật quốc gia về an ninh mạng đối với hệ thống thông tin quan trọng về an ninh quốc gia theo quy định của pháp luật.
Điều 15. Chứng nhận, công bố hợp chuẩn, hợp quy về an ninh mạng đối với hệ thống thông tin quan trọng về an ninh quốc gia
1. Chứng nhận, công bố hợp chuẩn về an ninh mạng đối với hệ thống thông tin quan trọng về an ninh quốc gia
a) Chứng nhận hợp chuẩn về an ninh mạng đối với hệ thống thông tin quan trọng về an ninh quốc gia là việc xác nhận sự phù hợp của hệ thống thông tin, phần cứng, phần mềm, hệ thống quản lý, vận hành hệ thống thông tin quan trọng về an ninh quốc gia phù hợp với tiêu chuẩn quốc gia về an ninh mạng tương ứng;
b) Công bố hợp chuẩn về an ninh mạng đối với hệ thống thông tin quan trọng về an ninh quốc gia là việc cơ quan chủ quản hệ thống thông tin quan trọng về an ninh quốc gia công bố sự phù hợp của hệ thống thông tin, phần cứng, phần mềm, hệ thống quản lý, vận hành hệ thống thông tin phù hợp với tiêu chuẩn quốc gia về an ninh mạng tương ứng.
2. Chứng nhận, công bố hợp quy về an ninh mạng đối với hệ thống thông tin quan trọng về an ninh quốc gia
a) Chứng nhận hợp quy về an ninh mạng đối với hệ thống thông tin quan trọng về an ninh quốc gia là việc xác nhận sự phù hợp của hệ thống thông tin, phần cứng, phần mềm, hệ thống quản lý, vận hành hệ thống thông tin phù hợp với quy chuẩn kỹ thuật quốc gia về an ninh mạng tương ứng;
b) Công bố hợp quy về an ninh mạng đối với hệ thống thông tin quan trọng về an ninh quốc gia là việc cơ quan chủ quản hệ thống thông tin quan trọng về an ninh quốc gia công bố sự phù hợp của hệ thống thông tin, phần cứng, phần mềm, hệ thống quản lý, vận hành an ninh mạng phù hợp với quy chuẩn kỹ thuật quốc gia về an ninh mạng tương ứng.
3. Bộ Công an có trách nhiệm:
a) Thông báo bằng văn bản tới cơ quan chủ quản hệ thống thông tin quan trọng quốc gia khi hệ thống thông tin quan trọng về an ninh quốc gia do cơ quan này quản lý, vận hành không đáp ứng được các quy chuẩn kỹ thuật về an ninh mạng;
b) Đề xuất hình thức xử lý đối với cá nhân có liên quan khi hệ thống thông tin quan trọng về an ninh quốc gia không đáp ứng được các quy chuẩn kỹ thuật về an ninh mạng để xảy ra sự cố an ninh mạng;
c) Trường hợp khẩn cấp, đề xuất Chính phủ ra Quyết định đình chỉ hoặc tạm đình chỉ hệ thống thông tin quan trọng về an ninh quốc gia để khắc phục, xử lý.
Điều 16. Đánh giá hợp chuẩn, hợp quy về an ninh mạng đối với hệ thống thông tin quan trọng về an ninh quốc gia
1. Thiết bị số, dịch vụ mạng, ứng dụng mạng được đánh giá chứng nhận hợp quy về an ninh mạng theo quy định trong quy chuẩn kỹ thuật quốc gia tương ứng trước khi đưa vào hệ thống thông tin quan trọng về an ninh quốc gia.
2. Việc chứng nhận hợp quy về an ninh mạng đối với hệ thống thông tin quan trọng về an ninh quốc gia do tổ chức chứng nhận đã đăng ký hoặc được chỉ định thực hiện theo quy định của pháp luật.
3. Cơ quan chủ quản hệ thống thông tin quan trọng về an ninh quốc gia có trách nhiệm phối hợp, chấp hành các yêu cầu của Bộ Công an trong đánh giá hợp quy về an ninh mạng.
4. Việc thừa nhận kết quả đánh giá hợp chuẩn, hợp quy về an ninh mạng giữa Việt Nam với quốc gia, vùng lãnh thổ khác, giữa tổ chức đánh giá sự phù hợp của Việt Nam với tổ chức đánh giá sự phù hợp của quốc gia, vùng lãnh thổ khác được thực hiện theo quy định của pháp luật về tiêu chuẩn, quy chuẩn kỹ thuật.
Mục 3
PHÒNG NGỪA, ỨNG PHÓ NGUY CƠ, SỰ CỐ AN NINH MẠNG
ĐỐI VỚI HỆ THỐNG THÔNG TIN QUAN TRỌNG
VỀ AN NINH QUỐC GIA
Điều 17. Phòng ngừa, ứng phó nguy cơ, sự cố an ninh mạng đối với hệ thống thông tin quan trọng về an ninh quốc gia
1. Phòng ngừa, ứng phó nguy cơ, sự cố an ninh mạng đối với hệ thống thông tin quan trọng về an ninh quốc gia là hoạt động của cơ quan quản lý nhà nước, cơ quan chủ quản hệ thống thông tin quan trọng về an ninh quốc gia và các tổ chức cá nhân có liên quan nhằm cảnh báo, chỉ đạo, chỉ huy, ứng phó và khắc phục hậu quả do các sự cố, nguy cơ và hành vi xâm phạm an ninh mạng.
2. Hoạt động phòng ngừa, ứng phó nguy cơ, sự cố an ninh mạng đối với hệ thống thông tin quan trọng về an ninh quốc gia:
a) Giám sát an ninh mạng;
b) Dự báo an ninh mạng;
c) Cảnh báo nguy cơ đe dọa an ninh mạng;
d) Xây dựng tiêu chuẩn, quy chuẩn kỹ thuật an ninh mạng;
đ) Diễn tập phòng, chống tấn công mạng;
e) Ứng cứu, khắc phục sự cố an ninh mạng
g) Ngừng cung cấp thông tin mạng.
3. Căn cứ vào tình hình an ninh mạng, Thủ tướng Chính phủ, Bộ trưởng Bộ Công an, Bộ trưởng Bộ Quốc phòng và các bộ, ngành có liên quan ban hành các văn bản chỉ đạo, chỉ huy triển khai thực hiện các biện pháp bảo vệ an ninh mạng theo quy định của pháp luật.
4. Bộ Công an giúp Chính phủ quản lý nhà nước về phòng ngừa, ứng phó nguy cơ, sự cố an ninh mạng.
Điều 18. Dự báo an ninh mạng đối với hệ thống thông tin quan trọng về an ninh quốc gia
1. Dự báo an ninh mạng đối với hệ thống thông tin quan trọng về an ninh quốc gia là hoạt động khoa học trên cơ sở phân tích, xử lý số liệu, dữ liệu mạng thu được để xác định xu hướng vận động của an ninh mạng.
2. Quy trình dự báo an ninh mạng
a) Xác định mục tiêu dự báo;
b) Xác định nội dung dự báo;
c) Thu thập số liệu và tiến hành dự báo;
d) Ứng dụng kết quả dự báo, lập kế hoạch phòng ngừa, ứng phó;
đ) Theo dõi, đánh giá kết quả dự báo.
3. Bộ Công an chủ trì, phối hợp với bộ, ngành liên quan nghiên cứu, phân tích tình hình, dự báo xu hướng an ninh mạng đối với hệ thống thông tin quan trọng về an ninh quốc gia và lập kế hoạch phòng ngừa, ứng phó với sự cố an ninh mạng.
4. Trong trường hợp cụ thể, cơ quan chuyên trách bảo vệ an ninh mạng thông báo dự báo của mình tới các tổ chức, cá nhân trong và ngoài nước.
Điều 19. Diễn tập phòng, chống tấn công mạng và ứng phó, khắc phục sự cố an ninh mạng đối với hệ thống thông tin quan trọng về an ninh quốc gia
1. Hằng năm, Bộ Công an chủ trì, phối hợp với các bộ, ngành chức năng, các cơ quan, tổ chức trong và ngoài nước diễn tập phòng, chống tấn công mạng và ứng phó, khắc phục sự cố an ninh mạng đối với hệ thống thông tin quan trọng về an ninh quốc gia.
2. Phương án diễn tập phòng, chống tấn công mạng và ứng phó, khắc phục sự cố an ninh mạng đối với hệ thống thông tin quan trọng về an ninh quốc gia bao gồm phương án tổng thể và phương án cụ thể áp dụng với từng hệ thống thông tin.
3. Kết quả công tác diễn tập phòng, chống tấn công mạng và ứng phó, khắc phục sự cố an ninh mạng đối với hệ thống thông tin quan trọng về an ninh quốc gia là căn cứ để đánh giá tình trạng nhân lực bảo vệ an ninh mạng, mức độ sẵn sàng và hiệu quả của phương án phòng, chống tấn công mạng và ứng phó, khắc phục sự cố an ninh mạng của hệ thống thông tin quan trọng về an ninh quốc gia.
Điều 20. Ứng phó, khắc phục sự cố an ninh mạng đối với hệ thống thông tin quan trọng về an ninh quốc gia
1. Hoạt động ứng phó, khắc phục sự cố an ninh mạng đối với hệ thống thông tin quan trọng về an ninh quốc gia bao gồm:
a) Phát hiện, xác định sự cố an ninh mạng;
b) Bảo vệ hiện trường, thu thập chứng cứ;
c) Xác minh, phân tích, đánh giá, phân loại sự cố an ninh mạng;
d) Xác định mục tiêu, đối tượng, phạm vi cần ứng cứu;
đ) Triển khai các phương án xử lý, khắc phục sự cố an ninh mạng;
e) Xác minh nguyên nhân và truy tìm nguồn gốc;
g) Điều tra, xử lý theo quy định của pháp luật.
2. Ứng cứu, khắc phục sự cố an ninh mạng đối với hệ thống thông tin quan trọng về an ninh quốc gia là trách nhiệm của cơ quan chủ quản hệ thống thông tin quan trọng về an ninh quốc gia.
3. Cơ quan chủ quản hệ thống thông tin quan trọng về an ninh quốc gia xây dựng các phương án ứng cứu, khắc phục sự cố an ninh mạng đối với hệ thống thông tin do mình quản lý.
4. Bộ Công an có trách nhiệm:
a) Chủ trì điều phối hoạt động ứng phó, khắc phục sự cố an ninh mạng xảy ra đối với hệ thống thông tin quan trọng về an ninh quốc gia hoặc khi xảy ra tình huống nguy hiểm về an ninh mạng, sự cố an ninh mạng xảy ra gây ảnh hưởng tới chủ quyền, lợi ích, an ninh quốc gia trên phạm vi cả nước;
b) Tham gia ứng phó, khắc phục sự cố an ninh mạng đối với hệ thống thông tin quan trọng về an ninh quốc gia khi có yêu cầu; chi phí ứng phó, khắc phục sự cố do cơ quan chủ quản hệ thống thông tin quan trọng về an ninh quốc gia chi trả;
c) Thông báo cho các cơ quan chủ quản hệ thống thông tin quan trọng về an ninh quốc gia khi phát hiện có tấn công mạng, sự cố mạng.
Điều 21. Ngừng cung cấp thông tin mạng
Trường hợp xảy ra tình huống nguy hiểm về an ninh mạng được quy định tại Khoản 1 Điều 29 Luật này hoặc vì lý do cần thiết về quốc phòng, an ninh, Bộ Công an, Bộ Quốc phòng báo cáo Thủ tướng Chính phủ quyết định ngừng cung cấp thông tin mạng tại các khu vực cụ thể.
Chương III
XỬ LÝ HÀNH VI SỬ DỤNG KHÔNG GIAN MẠNG
XÂM PHẠM CHỦ QUYỀN, AN NINH QUỐC GIA, TRẬT TỰ AN TOÀN XÃ HỘI
Điều 22. Xử lý thông tin trên không gian mạng có nội dung kích động gây bạo loạn, phá rối an ninh, gây rối trật tự công cộng; làm nhục, vu khống; tuyên truyền chống Nhà nước Cộng hòa xã hội chủ nghĩa Việt Nam
1. Nhà nước áp dụng các biện pháp kỹ thuật và các biện pháp cần thiết khác theo quy định của pháp luật để xử lý thông tin trên không gian mạng có nội dung kích động gây bạo loạn, phá rối an ninh, gây rối trật tự công cộng; làm nhục, vu khống; tuyên truyền chống Nhà nước Cộng hòa xã hội chủ nghĩa Việt Nam.
2. Thông tin trên không gian mạng có nội dung kích động gây bạo loạn, phá rối an ninh, gây rối trật tự công cộng:
a) Thông tin trên không gian mạng có nội dung kích động gây bạo loạn là thông tin tuyên truyền, kêu gọi, vận động, xúi giục, đe dọa, gây chia rẽ, tiến hành hoạt động vũ trang hoặc dùng bạo lực nhằm chống chính quyền nhân dân.
b) Thông tin trên không gian mạng có nội dung phá rối an ninh là thông tin tuyên truyền, kêu gọi, vận động, xúi giục, đe dọa, gây chia rẽ, lôi kéo tụ tập đông người gây rối an ninh, chống người thi hành công vụ, cản trở sự hoạt động của cơ quan nhà nước, tổ chức xã hội nhằm chống chính quyền nhân dân hoặc gây mất ổn định về an ninh trật tự.
c) Thông tin trên không gian mạng có nội dung gây rối trật tự công cộng là thông tin xâm phạm đến quyền hoặc lợi ích hợp pháp của tổ chức, cá nhân hoặc xâm phạm đến sở hữu mà địa điểm diễn ra, dự kiến diễn ra là nơi công cộng.
3. Thông tin trên không gian mạng có nội dung làm nhục, vu khống:
a) Thông tin trên không gian mạng có nội dung làm nhục là thông tin có nội dung xúc phạm nghiêm trọng nhân phẩm, danh dự của người khác;
b) Thông tin trên không gian mạng có nội dung vu khống là thông tin sai sự thật được soạn thảo, phát tán, đăng tải trên không gian mạng nhằm mục đích xúc phạm nghiêm trọng nhân phẩm, danh dự hoặc gây thiệt hại đến quyền, lợi ích hợp pháp của người khác.
4. Thông tin trên không gian mạng có nội dung tuyên truyền chống Nhà nước Cộng hòa xã hội chủ nghĩa Việt Nam:
a) Thông tin có nội dung tuyên truyền xuyên tạc, phỉ báng chính quyền nhân dân;
b) Thông tin có nội dung bịa đặt, gây hoang mang trong nhân dân;
c) Thông tin gây chiến tranh tâm lý, kích động chiến tranh xâm lược, gây thù hận giữa các dân tộc, tôn giáo và nhân dân các nước;
d) Xúc phạm dân tộc, quốc kỳ, quốc huy, quốc ca, vĩ nhân, lãnh tụ, danh nhân, anh hùng dân tộc.
5. Hành vi soạn thảo, đăng tải, phát tán hoặc tuyên truyền thông tin trên không gian mạng có nội dung kích động gây bạo loạn, phá rối an ninh, gây rối trật tự công cộng; làm nhục, vu khống; tuyên truyền chống Nhà nước Cộng hòa xã hội chủ nghĩa Việt Nam sẽ bị xử lý nghiêm theo quy định của pháp luật.
6. Áp dụng các biện pháp sau đây để xử lý thông tin trên không gian mạng có nội dung quy định tại Khoản 1, Khoản 2, Khoản 3 Điều 8 Luật này:
a) Yêu cầu tổ chức, cá nhân có liên quan gỡ bỏ, đính chính thông tin;
b) Ngăn chặn, xóa bỏ thông tin;
c) Tạm đình chỉ, đình chỉ, yêu cầu ngừng hoạt động hoặc thu hồi giấy phép hoạt động của dịch vụ đăng tải thông tin theo quy định của pháp luật;
d) Điều tra, xử lý tổ chức, cá nhân theo quy định của pháp luật.
7. Các doanh nghiệp cung cấp dịch vụ viễn thông, internet và cơ quan chủ quản hệ thống thông tin có trách nhiệm phối hợp chặt chẽ với cơ quan chức năng xử lý thông tin trên không gian mạng có nội dung kích động gây bạo loạn, phá rối an ninh, gây rối trật tự công cộng; làm nhục, vu khống; tuyên truyền chống Nhà nước Cộng hòa xã hội chủ nghĩa Việt Nam và các thông tin khác được quy định tại Khoản 1, Khoản 2, Khoản 3 Điều 8 Luật này.
Điều 23. Phòng, chống gián điệp mạng, bảo vệ thông tin, tài liệu có nội dung thuộc danh mục bí mật nhà nước, thông tin cá nhân trên không gian mạng
1. Người nào sử dụng không gian mạng để thực hiện một trong các hành vi sau đây thì sẽ bị xử lý theo quy định của pháp luật:
a) Chiếm đoạt thông tin thuộc bí mật nhà nước, thông tin thuộc sở hữu của người khác hoặc tiết lộ thông tin đã chiếm đoạt gây ảnh hưởng đến danh dự, uy tín, nhân phẩm, quyền và lợi ích hợp pháp của tổ chức, cá nhân.
b) Cố ý làm hư hỏng, thất lạc hoặc cố ý lấy, thay đổi các thông tin, nội dung của thông tin thuộc bí mật nhà nước, thông tin thuộc sở hữu của người khác được truyền đưa, lưu trữ trên không gian mạng;
c) Cố ý thay đổi, hủy bỏ hoặc làm vô hiệu hóa các biện pháp kỹ thuật được xây dựng, áp dụng để bảo vệ thông tin thuộc bí mật nhà nước, thông tin thuộc sở hữu của người khác;
d) Cố ý xóa, thay đổi thông tin thuộc bí mật nhà nước, thông tin thuộc sở hữu của người khác được lưu trữ, truyền đưa trên không gian mạng;
đ) Nghe, ghi âm cuộc đàm thoại trái pháp luật;
e) Thu giữ thông tin thuộc bí mật nhà nước, thông tin thuộc sở hữu của người khác trái pháp luật;
g) Hành vi khác xâm phạm bí mật nhà nước, thông tin thuộc sở hữu của người khác hoặc hình thức trao đổi thông tin riêng tư của người khác.
2. Cơ quan soạn thảo, lưu trữ thông tin, tài liệu bí mật nhà nước có trách nhiệm:
a) Không soạn thảo, lưu trữ, truyền đưa thông tin, tài liệu có nội dung thuộc danh mục bí mật nhà nước trên máy tính kết nối internet, thiết bị lưu trữ hoặc các thiết bị khác có kết nối internet;
b) Kiểm tra, đánh giá an ninh mạng nhằm phát hiện, loại bỏ mã độc, khắc phục lỗ hổng bảo mật hoặc phát hiện, ngăn chặn các hoạt động xâm nhập bất hợp pháp;
c) Tham gia các khóa đào tạo, tập huấn nâng cao nhận thức và kiến thức về bảo vệ bí mật nhà nước trên không gian mạng, phòng, chống tấn công mạng;
d) Phối hợp với Bộ Công an bảo vệ bí mật nhà nước trên không gian mạng và giám sát hệ thống thông tin nhằm phát hiện, xử lý hoạt động thu thập thông tin bí mật nhà nước;
đ) Phối hợp với Ban Cơ yếu Chính phủ bảo vệ bí mật nhà nước về cơ yếu.
3. Bộ Công an có trách nhiệm:
a) Kiểm tra, đánh giá an ninh mạng đối với hệ thống thông tin quan trọng về an ninh quốc gia nhằm phát hiện, loại bỏ mã độc, khắc phục điểm yếu bảo mật, ngăn chặn, xử lý các hoạt động xâm nhập bất hợp pháp;
b) Kiểm tra, đánh giá an ninh mạng đối với các thiết bị, sản phẩm, dịch vụ thông tin liên lạc, thiết bị kỹ thuật số, thiết bị điện tử trước khi đưa vào sử dụng tại hệ thống thông tin quan trọng về an ninh quốc gia;
c) Giám sát hệ thống thông tin quan trọng về an ninh quốc gia nhằm phát hiện, xử lý hoạt động thu thập thông tin bí mật nhà nước trái pháp luật;
d) Phát hiện, xử lý các hành vi đăng tải thông tin, tài liệu có nội dung bí mật nhà nước trên mạng viễn thông, internet;
đ) Tham gia nghiên cứu, sản xuất các sản phẩm lưu trữ, truyền đưa thông tin, tài liệu có nội dung thuộc danh mục bí mật nhà nước; các sản phẩm mã hóa bảo mật trên mạng viễn thông, internet theo chức năng, nhiệm vụ được giao;
e) Thanh tra, kiểm tra công tác bảo vệ bí mật nhà nước trên không gian mạng của cơ quan nhà nước và bảo vệ an ninh mạng của cơ quan chủ quản hệ thống thông tin quan trọng về an ninh quốc gia;
g) Tổ chức đào tạo, tập huấn nâng cao nhận thức và kiến thức về bảo vệ bí mật nhà nước trên không gian mạng, phòng, chống tấn công mạng, bảo vệ an ninh mạng đối với cán bộ, nhân viên phụ trách công nghệ thông tin tại các cơ quan nhà nước, hệ thống thông tin quan trọng về an ninh quốc gia.
4. Ban Cơ yếu Chính phủ có trách nhiệm:
a) Bảo vệ thông tin, bí mật nhà nước lưu trữ, trao đổi trên không gian mạng bằng mật mã;
b) Trình cấp có thẩm quyền ban hành văn bản quy phạm pháp luật về mật mã trong lưu trữ, trao đổi thông tin bí mật nhà nước bằng mật mã trên không gian mạng.
Điều 24. Phòng, chống tấn công mạng
1. Ngăn chặn, loại trừ hành vi tấn công mạng là trách nhiệm chung của toàn xã hội, lực lượng nòng cốt là lực lượng chuyên trách bảo vệ an ninh mạng thuộc Bộ Công an, Bộ Thông tin và Truyền thông, Bộ Quốc phòng.
2. Xác định nguồn gốc tấn công mạng là xác định các thông tin liên quan đến gói tin như địa chỉ nguồn, địa chỉ đích, cổng dịch vụ… và cách thức, thủ đoạn, chủ thể thực hiện tấn công mạng. Căn cứ chức năng, nhiệm vụ, quyền hạn, trách nhiệm của mình, cơ quan, tổ chức, cá nhân áp dụng các biện pháp xác định nguồn gốc tấn công mạng phù hợp với quy định của pháp luật.
3. Triển khai các biện pháp quản lý nhà nước, giám sát an ninh mạng, phương thức phòng thủ mạng để phòng ngừa, xử lý theo quy định của pháp luật đối với các hành vi:
a) Sản xuất, mua bán, trao đổi, tặng cho công cụ, thiết bị, phần mềm có tính năng tấn công mạng internet, mạng máy tính, mạng viễn thông, phương tiện điện tử để sử dụng vào mục đích trái pháp luật;
b) Phát tán các chương trình tin học gây hại cho mạng internet, mạng máy tính, mạng viễn thông, phương tiện điện tử;
c) Gây cản trở, làm tê liệt, gián đoạn, ngưng trệ hoạt động, ngăn chặn trái phép việc truyền tải dữ liệu của mạng internet, mạng máy tính, mạng viễn thông, phương tiện điện tử;
d) Xâm nhập, làm tổn hại, chiếm đoạt dữ liệu được lưu trữ, truyền tải qua mạng internet, mạng máy tính, mạng viễn thông, phương tiện điện tử;
đ) Xâm nhập, tạo các lỗ hổng bảo mật và dịch vụ hệ thống để chiếm đoạt thông tin, thu lợi bất chính;
e) Sử dụng mạng internet, mạng máy tính, mạng viễn thông, phương tiện điện tử để gây ảnh hưởng, thiệt hại về vật chất, tinh thần của tổ chức, cá nhân;
g) Các hành vi khác gây ảnh hưởng tới hoạt động bình thường của mạng internet, mạng máy tính, mạng viễn thông, phương tiện điện tử.
4. Cơ quan chủ quản hệ thống thông tin áp dụng các biện pháp được pháp luật cho phép nhằm phòng ngừa, loại trừ hành vi tấn công mạng vào hệ thống thông tin do mình quản lý, có trách nhiệm phối hợp với các cơ quan chuyên trách bảo vệ an ninh mạng để xác định chính xác nguồn gốc tấn công mạng.
5. Khi xuất hiện hoạt động tấn công mạng gây ảnh hưởng đến chủ quyền, lợi ích, an ninh quốc gia trên không gian mạng, cơ quan chuyên trách bảo vệ an ninh mạng yêu cầu các doanh nghiệp cung cấp dịch vụ viễn thông, internet chặn lọc thông tin nhằm ngăn chặn, loại trừ hành vi tấn công mạng và cung cấp đầy đủ, kịp thời thông tin, tài liệu liên quan.
6. Cơ quan chuyên trách bảo vệ an ninh mạng áp dụng các biện pháp loại trừ tấn công mạng theo quy định của pháp luật.
7. Bộ Công an chủ trì, phối hợp với bộ, ngành liên quan thực hiện công tác phòng ngừa, phát hiện, xử lý hành vi tấn công mạng trên phạm vi cả nước, trừ hệ thống thông tin quân sự do Bộ Quốc phòng quản lý; áp dụng các biện pháp bảo vệ an ninh mạng để phòng ngừa, phát hiện, xử lý hành vi tấn công mạng gây tổn hại đến chủ quyền, lợi ích, an ninh quốc gia, trật tự an toàn xã hội.
Điều 25. Phòng, chống khủng bố mạng
1. Nhà nước áp dụng tất cả các biện pháp được pháp luật quy định để phòng, chống khủng bố mạng.
2. Cơ quan, tổ chức, cá nhân thường xuyên rà soát, kiểm tra, đánh giá an ninh mạng nhằm loại trừ nguy cơ khủng bố mạng.
3. Khi phát hiện dấu hiệu, hành vi khủng bố mạng, cơ quan, tổ chức, cá nhân phải kịp thời báo cho cơ quan công an nơi gần nhất. Cơ quan tiếp nhận tin báo có trách nhiệm tiếp nhận đầy đủ tin báo về khủng bố mạng và trao đổi cơ quan chuyên trách bảo vệ an ninh mạng thuộc Bộ Công an.
4. Khi có căn cứ xác định xảy ra, đã hoặc đang xảy ra khủng bố mạng, Bộ Công an chủ trì, phối hợp với các bộ, ngành triển khai công tác phòng, chống khủng bố mạng, áp dụng biện pháp vô hiệu hóa nguồn khủng bố mạng, không để khủng bố mạng hoặc hạn chế đến mức thấp nhất hậu quả xảy ra.
5. Bộ Quốc phòng chủ trì, phối hợp với Bộ Công an xử lý hành vi khủng bố mạng xảy ra đối với hệ thống thông tin quân sự do Bộ Quốc phòng quản lý.
Điều 26. Phòng, chống chiến tranh mạng
1. Phòng, chống chiến tranh mạng là trách nhiệm của toàn xã hội, Nhà nước huy động mọi lực lượng tham gia phòng, chống chiến tranh mạng.
2. Bảo đảm tính sẵn sàng chiến đấu của hệ thống thông tin quân sự, chủ động đối phó với chiến tranh mạng và thách thức do chiến tranh mạng đặt ra, loại bỏ nguy cơ chiến tranh mạng.
3. Khi có khả năng xảy ra hoặc xảy ra chiến tranh mạng, cơ quan, tổ chức, cá nhân chủ động xây dựng các phương án ứng phó và áp dụng các biện pháp bảo vệ an ninh mạng, bảo vệ hệ thống thông tin do mình quản lý theo chức năng, nhiệm vụ, thẩm quyền, trách nhiệm được giao.
4. Bộ Quốc phòng chủ trì phòng, chống chiến tranh mạng; chủ trì, phối hợp với Bộ Công an và các bộ, ngành liên quan áp dụng biện pháp tương xứng, phù hợp.
Điều 27. Tình huống nguy hiểm về an ninh mạng
1. Khi xảy ra các tình huống sau đây, Thủ tướng Chính phủ xem xét, quyết định hoặc giao Bộ trưởng Bộ Công an xem xét, quyết định tình huống nguy hiểm về an ninh mạng trong cả nước hoặc từng địa phương hoặc đối với một mục tiêu cụ thể:
a) Khi xuất hiện thông tin có thể dẫn đến bạo loạn, phá rối an ninh, khủng bố;
b) Tấn công cục bộ hệ thống thông tin quan trọng về an ninh quốc gia;
c) Tấn công diện rộng hệ thống thông tin quan trọng về an ninh quốc gia;
d) Tấn công trên quy mô lớn, cường độ cao vào hệ thống thông tin quốc gia;
đ) Tấn công mạng nhằm phá hủy công trình quan trọng liên quan đến an ninh quốc gia, mục tiêu quan trọng về an ninh quốc gia hoặc nhằm gây thiệt hại về sinh mạng, tài sản;
e) Khi xảy ra tấn công mạng, xâm nhập hệ thống thông tin, phương tiện điện tử gây ảnh hưởng nghiêm trọng tới chủ quyền, lợi ích, an ninh quốc gia, quyền và lợi ích hợp pháp của nhiều tổ chức, cá nhân;
2. Cơ quan, tổ chức, cá nhân có trách nhiệm phối hợp với Bộ Công an thực hiện các biện pháp nhằm ngăn chặn, xử lý tình huống nguy hiểm về an ninh mạng.
3. Khi phát hiện tình huống nguy hiểm về an ninh mạng, cơ quan, tổ chức, cá nhân kịp thời thông báo cho Cơ quan chuyên trách bảo vệ an ninh mạng thuộc Bộ Công an hoặc thông báo cho cơ quan công an nơi gần nhất.
Cơ quan công an tiếp nhận thông báo có trách nhiệm ngay lập tức chuyển thông tin tới Cơ quan chuyên trách bảo vệ an ninh mạng thuộc Bộ Công an.
4. Bộ Công an chủ trì, phối hợp với các bộ, ngành liên quan xử lý tình huống nguy hiểm về an ninh mạng, áp dụng đồng bộ các biện pháp theo quy định của pháp luật để ngăn chặn, xử lý.
Điều 28. Các biện pháp áp dụng khi có nguy cơ sẽ xảy ra tình huống nguy hiểm về an ninh mạng
1. Khi có nguy cơ sẽ xảy ra tình huống nguy hiểm về an ninh mạng, Bộ Công an chủ trì, phối hợp với các bộ, ngành và ủy ban nhân dân các tỉnh, thành phố trực thuộc Trung ương thực hiện các biện pháp sau:
a) Yêu cầu các cơ quan, tổ chức và cá nhân liên quan kịp thời thu thập, báo cáo các thông tin liên quan, tăng cường giám sát đối với sự cố an ninh mạng;
b) Phân tích, đánh giá thông tin, dự báo khả năng, phạm vi ảnh hưởng và mức độ gây hại của sự cố an ninh mạng;
c) Thông báo tới cơ quan, tổ chức, cá nhân có liên quan;
d) Áp dụng phương án phòng ngừa, ứng phó khẩn cấp về an ninh mạng, ngăn chặn, loại trừ hoặc giảm nhẹ thiệt hại do sự cố an ninh mạng gây ra;
đ) Bảo đảm lực lượng, phương tiện tham gia ngăn chặn, loại bỏ nguy cơ xảy ra tình huống nguy hiểm về an ninh mạng.
2. Khi thực hiện chức năng quản lý nhà nước về viễn thông, internet, nếu phát hiện nguy cơ sẽ xảy ra tình huống nguy hiểm về an ninh mạng, các bộ, ngành, địa phương kịp thời thông báo về Bộ Công an và áp dụng các biện pháp được quy định tại Khoản 1 Điều này.
3. Các doanh nghiệp viễn thông, internet, công nghệ thông tin và tổ chức, cá nhân liên quan có trách nhiệm phối hợp với Bộ Công an trong phòng ngừa, xử lý tình huống nguy hiểm về an ninh mạng.
Chương IV
TRIỂN KHAI HOẠT ĐỘNG BẢO VỆ AN NINH MẠNG
Mục 1
TRIỂN KHAI HOẠT ĐỘNG BẢO VỆ AN NINH MẠNG
TRONG CƠ QUAN NHÀ NƯỚC
Điều 29. Nguyên tắc triển khai hoạt động bảo vệ an ninh mạng trong cơ quan nhà nước
1. Việc triển khai hoạt động bảo vệ an ninh mạng trong cơ quan nhà nước phải được ưu tiên, gắn liền với quá trình ứng dụng công nghệ thông tin, bảo đảm tính công khai, minh bạch nhằm nâng cao hiệu lực, hiệu quả hoạt động của cơ quan nhà nước.
2. Việc triển khai hoạt động bảo vệ an ninh mạng trong cơ quan nhà nước phải được thực hiện từ trung ương đến địa phương, thông qua phân công lực lượng thực hiện nhiệm vụ bảo vệ an ninh mạng, với sự hướng dẫn của cơ quan chuyên trách bảo vệ an ninh mạng thuộc Bộ Công an.
3. Các bộ, ngành và Ủy ban nhân dân các tỉnh, thành phố trực thuộc trung ương nghiên cứu, ứng dụng, triển khai các phương án, biện pháp, công nghệ bảo vệ an ninh mạng đối với hệ thống thông tin và thông tin, tài liệu được lưu trữ, soạn thảo, truyền đưa trên hệ thống thông tin do mình quản lý.
4. Việc thực hiện các biện pháp bảo vệ an ninh mạng của cơ quan chuyên trách, các hoạt động cung cấp, trao đổi thông tin phải bảo đảm chính xác và phù hợp với mục đích sử dụng.
5. Bảo đảm an ninh, an toàn, tiết kiệm và có hiệu quả.
6. Người đứng đầu cơ quan nhà nước phải chịu trách nhiệm về việc triển khai hoạt động bảo vệ an ninh mạng thuộc thẩm quyền quản lý của mình.
Điều 30. Điều kiện triển khai hoạt động bảo vệ an ninh mạng trong cơ quan nhà nước
1. Cơ quan nhà nước có trách nhiệm chuẩn bị các điều kiện để triển khai hoạt động bảo vệ an ninh mạng trong hoạt động của cơ quan mình.
2. Chính phủ quy định cụ thể các điều kiện bảo đảm triển khai hoạt động bảo vệ an ninh mạng trong hoạt động của cơ quan nhà nước; xây dựng và tổ chức thực hiện chương trình quốc gia về bảo vệ an ninh mạng trong hoạt động của cơ quan nhà nước với các nội dung chủ yếu sau đây:
a) Lộ trình thực hiện các hoạt động bảo vệ an ninh mạng của cơ quan nhà nước;
b) Các hệ thống thông tin của các ngành, lĩnh vực cần ưu tiên triển khai hoạt động bảo vệ an ninh mạng;
c) Công tác bảo mật thông tin, tài liệu có nội dung thuộc danh mục bí mật nhà nước;
d) Nội dung cần được ưu tiên, khuyến khích nghiên cứu - phát triển, hợp tác quốc tế, phát triển nguồn nhân lực và xây dựng cơ sở hạ tầng thông tin đáp ứng yêu cầu triển khai hoạt động bảo vệ an ninh mạng trong hoạt động của cơ quan nhà nước từng giai đoạn;
đ) Nguồn tài chính bảo đảm cho triển khai hoạt động bảo vệ an ninh mạng trong hoạt động của cơ quan nhà nước.
Điều 31. Nội dung triển khai hoạt động bảo vệ an ninh mạng trong cơ quan nhà nước
1. Đào tạo, bồi dưỡng, nâng cao ý thức, kiến thức về an ninh mạng cho cán bộ, nhân viên và trình độ bảo vệ an ninh mạng cho cán bộ, nhân viên phụ trách công tác bảo vệ an ninh mạng trong cơ quan nhà nước.
2. Xây dựng, hoàn thiện hệ thống văn bản quy định về bảo vệ an ninh mạng trong cơ quan nhà nước:
a) Quy định, quy chế sử dụng mạng máy tính nội bộ, mạng máy tính có kết nối internet;
b) Phương án bảo đảm an ninh mạng đối với hệ thống thông tin, trong đó có phương án, kế hoạch ứng cứu khẩn cấp sự cố an ninh mạng.
3. Quy hoạch, thiết kế, xây dựng mô hình mạng đảm bảo an ninh mạng.
4. Bảo vệ an ninh mạng trong các hoạt động:
a) Cung cấp dịch vụ công trên môi trường mạng;
b) Cung cấp, trao đổi, thu thập thông tin với tổ chức, cá nhân;
c) Chia sẻ thông tin trong nội bộ và với cơ quan khác của nhà nước;
d) Các hoạt động khác theo quy định của Chính phủ.
5. Đầu tư, xây dựng, bổ sung các thiết bị, phần cứng, phần mềm có bản quyền, hệ thống bảo mật, bảo vệ hệ thống mạng.
6. Các hoạt động kiểm tra, đánh giá an ninh mạng đối với hệ thống thông tin; phòng, chống tấn công mạng; ứng phó, khắc phục sự cố an ninh mạng.
7. Chính phủ quy định cụ thể về tổ chức, hoạt động của lực lượng An ninh mạng.
8. Bộ Công an quy định cụ thể về việc phân công lực lượng an ninh mạng chuyên trách tại Công an các tỉnh, thành phố trực thuộc Trung ương.
Điều 32. Kiểm tra, đánh giá an ninh mạng đối với hệ thống thông tin quan trọng về an ninh quốc gia
1. Việc kiểm tra, đánh giá an ninh mạng là trách nhiệm của cơ quan chủ quản hệ thống thông tin quan trọng về an ninh quốc gia. Cơ quan chuyên trách bảo vệ an ninh mạng tổ chức kiểm tra, đánh giá an ninh mạng đối với hệ thống mạng thông tin quan trọng về an ninh quốc gia khi thấy cần thiết.
2. Cơ quan kiểm tra, đánh giá an ninh mạng
a) Bộ Công an kiểm tra, đánh giá an ninh mạng đối với hệ thống thông tin quan trọng về an ninh quốc gia, hệ thống thông tin của các bộ, ban, ngành chức năng và Ủy ban nhân dân tỉnh, thành phố trực thuộc trung ương; phối hợp với Ban Cơ yếu Chính phủ kiểm tra, đánh giá an ninh mạng với hệ thống mạng liên lạc cơ yếu do Ban Cơ yếu Chính phủ quản lý;
b) Bộ Quốc phòng kiểm tra, đánh giá an ninh mạng đối với hệ thống thông tin quân sự do Bộ Quốc phòng quản lý;
3. Thời điểm kiểm tra, đánh giá an ninh mạng
a) Trước khi hệ thống thông tin quan trọng về an ninh quốc gia được đưa vào vận hành, sử dụng;
b) Trong quá trình vận hành, khai thác hệ thống thông tin quan trọng về an ninh quốc gia;
c) Khi có nâng cấp hoặc thay đổi hiện trạng hệ thống thông tin quan trọng về an ninh quốc gia;
d) Khi có yêu cầu quản lý nhà nước về an ninh mạng.
4. Nội dung kiểm tra, đánh giá an ninh mạng
a) Hệ thống phần cứng, phần mềm được sử dụng trong hệ thống thông tin quan trọng về an ninh quốc gia;
b) Quy định, chính sách, biện pháp bảo vệ an ninh mạng;
c) Phương án ứng phó, khắc phục sự cố của cơ quan chủ quản hệ thống thông tin quan trọng về an ninh quốc gia.
d) Các tiêu chuẩn bảo mật thông tin tránh rò rỉ qua các kênh kỹ thuật;
đ) Đội ngũ nhân lực bảo vệ an ninh mạng.
5. Quy trình kiểm tra, đánh giá an ninh mạng:
a) Cơ quan chủ quản hệ thống thông tin quan trọng về an ninh quốc gia tự tổ chức kiểm tra, đánh giá an ninh mạng đối với hệ thống thông tin do mình quản lý tối thiểu một năm một lần và định kỳ gửi báo cáo về cơ quan chuyên trách vào tháng 10 hằng năm.
b) Căn cứ kết quả kiểm tra, đánh giá an ninh mạng của cơ quan chủ quản hệ thống thông tin quan trọng về an ninh quốc gia, cơ quan chuyên trách căn cứ vào tiêu chuẩn quốc gia về an ninh mạng để kết luận, lựa chọn cơ quan chủ quản và lập kế hoạch, cử đoàn kiểm tra công tác bảo vệ an ninh mạng.
c) Cơ quan chuyên trách có trách nhiệm công bố danh sách những hệ thống thông tin quan trọng về an ninh quốc gia thuộc diện kiểm tra, đánh giá trên cổng thông tin điện tử của Bộ và có văn bản thông báo trước cho cơ quan chủ quản hệ thống thông tin quan trọng về an ninh quốc gia trước 01 tháng.
d) Sau khi tiến hành kiểm tra các hệ thống thông tin quan trọng về an ninh quốc gia, cơ quan chuyên trách đưa ra kết luận về tình trạng bảo vệ an ninh mạng của hệ thống và khuyến cáo để cải thiện tình trạng bảo mật an ninh mạng cho hệ thống đó. Kết quả gửi về cho cơ quan chủ quản hệ thống thông tin quan trọng về an ninh quốc gia trong thời hạn 30 ngày kể từ khi kết thúc hoạt động kiểm tra.
6. Cơ quan chuyên trách có quyền kiểm tra đột xuất đối với các trường hợp sau đây:
a) Hết thời hạn khắc phục điểm yếu, lỗ hổng bảo mật và các hành vi vi phạm quy định về công tác bảo vệ an ninh mạng theo khuyến cáo của cơ quan chuyên trách đưa ra dựa trên kết quả kiểm tra gần nhất mà những điểm yếu, lỗ hổng bảo mật và các hành vi vi phạm quy định về công tác bảo vệ an ninh mạng này có khả năng gây ra sự cố ảnh hưởng tới chủ quyền, lợi ích, an ninh quốc gia và trật tự an toàn xã hội;
b) Xảy ra sự cố đối với hệ thống thông tin quan trọng về an ninh quốc gia;
c) Quyết định của Thủ tướng Chính phủ hoặc Thủ trưởng cơ quan chuyên trách về việc kiểm tra đột xuất hệ thống thông tin quan trọng về an ninh quốc gia.
7. Kết quả kiểm tra, đánh giá an ninh mạng:
a) Là căn cứ để cơ quan chủ quản hệ thống thông tin quan trọng về an ninh quốc gia tổ chức công tác khắc phục tồn tại, hạn chế.
b) Là căn cứ để cấp chứng nhận hợp chuẩn, hợp quy về an ninh mạng đối với hệ thống thông tin quan trọng về an ninh quốc gia.
Mục 2
TRIỂN KHAI HOẠT ĐỘNG BẢO VỆ AN NINH MẠNG
TRONG MỘT SỐ LĨNH VỰC
Điều 33. Bảo vệ an ninh mạng đối với cơ sở hạ tầng không gian mạng quốc gia, cổng kết nối mạng quốc tế
1. Nhà nước có chính sách bảo vệ an ninh mạng đối với toàn bộ cơ sở hạ tầng không gian mạng quốc gia, cổng kết nối mạng quốc tế.
2. Kết hợp chặt chẽ giữa yêu cầu bảo vệ an ninh mạng với yêu cầu xây dựng, phát triển kinh tế - xã hội trong bảo vệ an ninh mạng đối với toàn bộ cơ sở hạ tầng không gian mạng quốc gia, cổng kết nối mạng quốc tế. Bảo đảm các cổng kết nối mạng quốc tế có thông lượng lớn, tốc độ và chất lượng cao, giá cước cạnh tranh so với các nước trong khu vực; khuyến khích tổ chức, cá nhân cùng đầu tư xây dựng cơ sở hạ tầng không gian mạng quốc gia.
3. Tổ chức, cá nhân có trách nhiệm bảo vệ an ninh mạng theo thẩm quyền quản lý; chịu sự quản lý, thanh tra, kiểm tra và thực hiện các yêu cầu về bảo vệ an ninh mạng của các cơ quan nhà nước có thẩm quyền.
4. Tổ chức, cá nhân quản lý, khai thác cơ sở hạ tầng không gian mạng quốc gia, cổng kết nối mạng quốc tế có trách nhiệm tạo điều kiện làm việc, thực hiện các biện pháp kỹ thuật, nghiệp vụ cần thiết để các cơ quan nhà nước có thẩm quyền thực hiện nhiệm vụ kiểm soát và bảo đảm an ninh mạng khi có yêu cầu.
Điều 34. Bảo đảm an ninh thông tin mạng
1. Nhà nước xây dựng, hoàn thiện hệ thống pháp luật về an ninh mạng. Tổ chức, cá nhân có trách nhiệm tôn trọng và thực thi nghiêm túc, ứng xử có quy tắc trên không gian mạng, xử lý nghiêm mọi hành vi sử dụng không gian mạng thực hiện hành vi vi phạm pháp luật.
2. Trang thông tin điện tử, cổng thông tin điện tử hoặc chuyên trang trên mạng xã hội của cơ quan, tổ chức, cá nhân phải đăng tải thông tin phù hợp với quy định của pháp luật, không cung cấp, đăng tải, truyền đưa những thông tin có nội dung xâm phạm chủ quyền, an ninh quốc gia.
3. Các doanh nghiệp dịch vụ viễn thông, internet, doanh nghiệp sở hữu hệ thống thông tin phải thiết lập cơ chế xác thực thông tin khi người dùng đăng ký tài khoản số để bảo đảm tính bảo mật và tính trung thực của thông tin đăng ký và phải cung cấp cho cơ quan chuyên trách bảo vệ an ninh mạng có thẩm quyền. Người đăng ký tài khoản số có trách nhiệm bảo vệ và sử dụng các tài khoản do mình tạo lập đúng quy định của pháp luật.
4. Các doanh nghiệp nước ngoài khi cung cấp dịch vụ viễn thông, internet tại Việt Nam phải tuân thủ pháp luật, tôn trọng chủ quyền, lợi ích, an ninh quốc gia Việt Nam, có giấy phép hoạt động, đặt cơ quan đại diện, máy chủ quản lý dữ liệu người sử dụng Việt Nam trên lãnh thổ nước Cộng hòa xã hội chủ nghĩa Việt Nam; bảo mật thông tin người dùng và thông tin tài khoản của người dùng; xử lý nghiêm các hành vi sai phạm theo quy định của pháp luật.
Mục 3
NGHIÊN CỨU, PHÁT TRIỂN AN NINH MẠNG
Điều 35. Nghiên cứu chiến lược phát triển và bảo vệ an ninh mạng
1. Nội dung nghiên cứu chiến lược phát triển và bảo vệ an ninh mạng:
a) Xây dựng hệ thống phần mềm, trang thiết bị bảo vệ an ninh mạng;
b) Phương pháp thẩm định phần mềm, trang thiết bị bảo vệ an ninh mạng đạt chuẩn, hạn chế tối đa việc tồn tại lỗ hổng bảo mật và phần mềm độc hại;
c) Phương pháp kiểm tra phần cứng, phần mềm được cung cấp thực hiện đúng chức năng được nêu và chỉ có chức năng đó;
d) Phương pháp bảo vệ bí mật nhà nước, quyền riêng tư cá nhân, khả năng truyền tải bảo mật của thông tin trên không gian mạng;
đ) Xác định nguồn gốc của thông tin được truyền tải trên không gian mạng;
e) Giải quyết nguy cơ đe dọa an ninh mạng;
g) Các sáng kiến kỹ thuật nâng cao nhận thức, kỹ năng về an ninh mạng.
2. Xây dựng thao trường mạng dựa trên đề xuất của Bộ Công an tạo môi trường thử nghiệm an ninh mạng đủ mạnh để mô hình quá hóa quy mô và độ phức tạp của các cuộc tấn công mạng thời gian thực và những phương thức phòng thủ trong môi trường và hệ thống mạng thế giới thực.
3. Việc nghiên cứu chiến lược phát triển và bảo vệ an ninh mạng được thực hiện bởi:
a) Bộ Công an, Bộ Quốc phòng, Bộ Thông tin và Truyền thông, Bộ Khoa học và công nghệ và các bộ, ngành chức năng;
b) Các Phòng thí nghiệm nghiên cứu của nhà nước và tư nhân;
c) Cơ sở đào tạo, tổ chức giáo dục;
d) Các tổ chức phi lợi nhuận có liên quan;
đ) Các đối tác quốc tế của Việt Nam;
e) Các tổ chức, cá nhân có liên quan.
4. Lĩnh vực được tài trợ trong nghiên cứu chiến lược phát triển và bảo vệ an ninh mạng:
a) Các giao thức cơ bản bảo mật cần thiết phục vụ trao đổi dữ liệu, liên lạc mạng;
b) Ngôn ngữ và hệ thống lập trình đối với các tính năng bảo mật;
c) Mã di động hoặc tái sử dụng trong các môi trường khác nhau;
d) Công nghệ kiểm chứng và xác thực;
đ) Mô hình thử nghiệm an ninh mạng;
e) Khắc phục lỗ hổng bảo mật;
g) Giải quyết nguy cơ đe dọa an ninh mạng;
h) Tăng cường an ninh mạng và bảo vệ quyền riêng tư;
i) Phương pháp phục hồi dữ liệu;
k) Bảo mật hệ thống mạng không dây và thiết bị di động;
l) Bảo mật dịch vụ và cơ sở hạ tầng điện toán đám mây;
m) Dịch ngược mã nguồn;
n) Điều tra số.
5. Bộ Công an chủ trì nghiên cứu, phát triển và đề xuất Chính phủ chiến lược phát triển và bảo vệ an ninh mạng 05 năm một lần dựa trên kết quả kiểm tra, đánh giá công tác an ninh mạng, sự phát triển của khoa học công nghệ và thực tế tình hình an ninh mạng.
6. Các bộ, ngành, cơ quan nhà nước, cơ quan chủ quản hệ thống thông tin quan trọng về an ninh quốc gia định kỳ tổng kết công tác bảo vệ an ninh mạng, xây dựng kế hoạch bảo vệ an ninh mạng, xác định rõ các mục tiêu ngắn hạn, trung hạn, dài hạn, trao đổi Bộ Công an định kỳ vào tháng 10 hằng năm.
Điều 36. Nghiên cứu, phát triển công nghệ, sản phẩm, dịch vụ, ứng dụng nhằm bảo vệ an ninh mạng
1. Nhà nước khuyến khích tổ chức, cá nhân tham gia nghiên cứu, phát triển công nghệ, sản phẩm, dịch vụ, ứng dụng nhằm bảo vệ an ninh mạng.
2. Nhà nước ưu tiên dành một khoản từ ngân sách nhà nước cho các chương trình, đề tài nghiên cứu, phát triển công nghệ, sản phẩm, dịch vụ, ứng dụng nhằm bảo vệ an ninh mạng; ưu tiên hoạt động công nghệ, sản phẩm, dịch vụ, ứng dụng nhằm bảo vệ an ninh mạng ở trường đại học, viện nghiên cứu; phát triển các mô hình gắn kết nghiên cứu, đào tạo với sản xuất sản phẩm, dịch vụ, ứng dụng nhằm bảo vệ an ninh mạng.
3. Tổ chức tuyển chọn cơ sở nghiên cứu, đào tạo, doanh nghiệp thực hiện nhiệm vụ nghiên cứu, phát triển công nghệ, sản phẩm, dịch vụ, ứng dụng nhằm bảo vệ an ninh mạng theo quy định của pháp luật.
Điều 37. Nâng cao năng lực tự chủ về an ninh mạng
1. Nhà nước khuyến khích và tạo mọi điều kiện để xây dựng nền công nghiệp an ninh mạng có khả năng sản xuất, kiểm tra, đánh giá và kiểm định thiết bị số, dịch vụ mạng, ứng dụng mạng đưa lĩnh vực an ninh mạng trở thành một ngành “công nghiệp tăng trưởng” có khả năng tạo các cơ hội việc làm.
2. Chính phủ triển khai các biện pháp cần thiết về an ninh mạng để nâng cao năng lực tự chủ về an ninh mạng bao gồm: thúc đẩy chuyển giao, nghiên cứu, làm chủ và phát triển các sản phẩm, dịch vụ an ninh mạng; thúc đẩy ứng dụng các công nghệ mới, công nghệ tiên tiến liên quan đến an ninh mạng; đào tạo, phát triển và tuyển dụng nhân lực an ninh mạng; tăng cường môi trường và hỗ trợ các doanh nghiệp an ninh mạng phát triển mới thông qua cải thiện các điều kiện cạnh tranh; tham gia các khuôn khổ quốc tế về an ninh mạng trên cơ sở công nhận lẫn nhau.
Chương V
PHÁT TRIỂN NGUỒN NHÂN LỰC AN NINH MẠNG
Điều 38. Chính sách đào tạo, phát triển nguồn nhân lực an ninh mạng
1. Nhà nước ưu tiên đào tạo, phát triển nguồn nhân lực an ninh mạng chất lượng cao, có phẩm chất đạo đức tốt, đáp ứng yêu cầu xây dựng và bảo vệ Tổ quốc.
2. Việc đào tạo, phát triển nguồn nhân lực an ninh mạng được thực hiện tại các cơ sở đào tạo, tổ chức giáo dục trong và ngoài nước.
3. Khuyến khích liên kết, tạo cơ hội hợp tác giữa khu vực nhà nước, tư nhân, các trường đại học, viện nghiên cứu nhằm nâng cao kiến thức, kỹ năng, kinh nghiệm thực tế của đội ngũ nhân lực an ninh mạng.
4. Bộ Giáo dục và Đào tạo chủ trì tuyển chọn, đào tạo nguồn nhân lực chất lượng cao cho công tác an ninh mạng; Bộ Công an chủ trì xây dựng kế hoạch phát triển nguồn nhân lực an ninh mạng.
Điều 39. Đào tạo, phát triển nguồn nhân lực an ninh mạng
1. Đào tạo về an ninh mạng là bộ phận của nền giáo dục quốc dân. Nội dung đào tạo về an ninh mạng là một bộ phận trong chương trình giáo dục đào tạo đại học, cao đẳng và tương đương.
2. Người làm công tác an ninh mạng trong cơ quan nhà nước được hưởng chế độ đãi ngộ phù hợp.
3. Bộ Nội vụ chủ trì, phối hợp với các cơ quan liên quan tổ chức bồi dưỡng kiến thức an ninh mạng cho cán bộ, công chức, viên chức.
4. Bộ Công an chủ trì, phối hợp với các bộ, ngành có liên quan tổ chức bồi dưỡng chuyên gia an ninh mạng phục vụ công tác bảo vệ chủ quyền, lợi ích, an ninh quốc gia, bảo đảm trật tự an toàn xã hội.
Điều 40. Văn bằng, chứng chỉ về an ninh mạng
Cơ sở đào tạo trong phạm vi, nhiệm vụ, quyền hạn của mình cấp văn bằng, chứng chỉ về an ninh mạng.
Điều 41. Phổ biến kiến thức và nâng cao nhận thức về an ninh mạng
1. Nhà nước có chính sách phổ biến kiến thức an ninh mạng trong phạm vi cả nước, khuyến khích cơ quan nhà nước phối hợp với các tổ chức tư nhân, cá nhân thực hiện các chương trình giáo dục và nâng cao nhận thức về an ninh mạng:
a) Tăng cường nhận thức của cơ quan nhà nước, tổ chức, cá nhân về an ninh mạng;
b) Phổ biến rộng rãi các tiêu chuẩn kỹ thuật và thực tiễn an ninh mạng;
c) Áp dụng những biện pháp bảo vệ an ninh mạng phù hợp;
d) Đào tạo nguồn nhân lực an ninh mạng chất lượng cao;
đ) Thúc đẩy các sáng kiến về đánh giá, dự báo an ninh mạng.
e) Hỗ trợ việc học tập, phổ biến kiến thức, nâng cao nhận thức về an ninh mạng đối với người tàn tật, người nghèo, người dân tộc thiểu số và các đối tượng ưu tiên khác phù hợp với yêu cầu phát triển trong từng thời kỳ theo quy định của Chính phủ.
2. Ủy ban nhân dân tỉnh, thành phố trực thuộc trung ương có trách nhiệm xây dựng và triển khai các hoạt động phổ biến kiến thức, nâng cao nhận thức về an ninh mạng cho tổ chức, cá nhân trong địa phương mình.
3. Bộ Công an chủ trì, phối hợp với Bộ Quốc phòng, Bộ Giáo dục và Đào tạo đưa kiến thức an ninh mạng vào chương trình giáo dục quốc phòng, an ninh.
4. Bộ Giáo dục và Đào tạo có trách nhiệm phối hợp với Bộ Công an xây dựng chương trình và tổ chức thực hiện phổ biến kiến thức an ninh mạng trong hệ thống giáo dục quốc dân.
5. Cơ quan chuyên trách bảo vệ an ninh mạng có trách nhiệm tổ chức phổ biến kiến thức, nâng cao nhận thức về an ninh mạng hằng năm theo chức năng, nhiệm vụ được giao.
Chương VI
BẢO ĐẢM ĐIỀU KIỆN TRIỂN KHAI
HOẠT ĐỘNG BẢO VỆ AN NINH MẠNG
Điều 42. Bảo đảm trang thiết bị, cơ sở vật chất phục vụ triển khai hoạt động bảo vệ an ninh mạng
Nhà nước bảo đảm trang thiết bị, cơ sở vật chất phục vụ triển khai hoạt động bảo vệ an ninh mạng phù hợp với yêu cầu phát triển kinh tế - xã hội và tình hình an ninh mạng; có biện pháp đồng bộ để ngăn chặn những hành vi vi phạm quy định tại Điều 8 Luật này.
Điều 43. Kinh phí bảo đảm hoạt động bảo vệ an ninh mạng
1. Kinh phí thực hiện hoạt động bảo vệ an ninh mạng của các cơ quan nhà nước do ngân sách nhà nước bảo đảm.
2. Bộ Tài chính có trách nhiệm ưu tiên bố trí kinh phí bảo đảm phục vụ hoạt động bảo vệ an ninh mạng theo quy định pháp luật.
Điều 44. Bảo đảm nguồn nhân lực bảo vệ chủ quyền, lợi ích, an ninh quốc gia trên không gian mạng
1. Công dân Việt Nam có kiến thức về công nghệ thông tin, an toàn thông tin mạng, an ninh mạng là nguồn lực cơ bản, chủ yếu bảo vệ chủ quyền, lợi ích, an ninh quốc gia trên không gian mạng.
2. Nhà nước có chính sách, kế hoạch xây dựng, bồi dưỡng, phát triển nguồn nhân lực bảo vệ chủ quyền, lợi ích, an ninh quốc gia trên không gian mạng.
3. Khi xảy ra tình huống nguy hiểm về an ninh mạng, Nhà nước quyết định huy động nhân lực, cơ sở hạ tầng không gian mạng thuộc bộ, ngành, địa phương, doanh nghiệp viễn thông, internet, công nghệ thông tin theo quy định của pháp luật.
Chương VII
TRÁCH NHIỆM CỦA CƠ QUAN, TỔ CHỨC, CÁ NHÂN
Điều 45. Trách nhiệm của tổ chức, cá nhân tham gia sử dụng không gian mạng
1. Tuân thủ quy định của pháp luật về bảo vệ an ninh mạng.
2. Phát hiện, cung cấp kịp thời những thông tin liên quan đến bảo vệ an ninh mạng, nguy cơ an ninh mạng, hành vi xâm phạm an ninh mạng cho cơ quan quản lý nhà nước có thẩm quyền, lực lượng chuyên trách bảo vệ an ninh mạng của Bộ Công an hoặc cơ quan Công an nơi gần nhất.
3. Thực hiện yêu cầu và hướng dẫn của cơ quan quản lý nhà nước có thẩm quyền trong bảo vệ an ninh mạng; giúp đỡ, tạo điều kiện cho cơ quan, tổ chức và người có trách nhiệm tiến hành các biện pháp bảo vệ an ninh mạng.
4. Tố cáo với cơ quan nhà nước có thẩm quyền về hành vi lợi dụng chức vụ, quyền hạn trong thực hiện nhiệm vụ bảo vệ an ninh mạng, xâm phạm quyền, lợi ích hợp pháp của tổ chức, cá nhân.
Điều 46. Trách nhiệm của chủ thể sản xuất, kinh doanh thiết bị số và cung cấp dịch vụ mạng, ứng dụng mạng
1. Tuân thủ các điều kiện bảo đảm chất lượng đối với sản phẩm trước khi đưa ra thị trường theo quy định của pháp luật và chịu trách nhiệm về chất lượng sản phẩm do mình sản xuất.
2. Thể hiện thông tin về chức năng, chất lượng, thành phần thiết bị số, dịch vụ mạng, ứng dụng mạng theo quy định của pháp luật.
3. Thông tin trung thực về chất lượng thiết bị số, dịch vụ mạng, ứng dụng mạng.
4. Cảnh báo về khả năng, tình huống có khả năng mất an ninh mạng của thiết bị số, dịch vụ mạng, ứng dụng mạng và cách phòng ngừa.
5. Cung cấp thông tin về việc bảo hành và thực hiện bảo hành thiết bị số, dịch vụ mạng, ứng dụng mạng.
6. Kịp thời ngừng sản xuất thiết bị số và ngừng cung cấp dịch vụ mạng, ứng dụng mạng, thông báo cho các bên liên quan và các biện pháp khắc phục hậu quả khi phát hiện thiết bị số, dịch vụ mạng, ứng dụng mạng gây mất an ninh mạng hoặc không phù hợp với tiêu chuẩn, quy chuẩn kỹ thuật áp dụng tương ứng.
7. Thu hồi, xử lý thiết bị số, dịch vụ mạng, ứng dụng mạng không bảo đảm chất lượng.
8. Tuân thủ các quy định về thanh tra, kiểm tra của cơ quan nhà nước có thẩm quyền.
9. Bảo mật thông tin khách hàng theo quy định của pháp luật.
10. Tạm ngừng hoặc ngừng cung cấp thiết bị số, dịch vụ mạng, ứng dụng mạng để bảo đảm quốc phòng, an ninh quốc gia, trật tự, an toàn xã hội theo yêu cầu của cơ quan nhà nước có thẩm quyền.
11. Phối hợp với cơ quan nhà nước có thẩm quyền thực hiện các biện pháp nhằm xác minh, xác định thông tin định danh của chủ thể sử dụng.
Điều 47. Trách nhiệm của các doanh nghiệp cung cấp dịch vụ viễn thông, internet
1. Trong triển khai hoạt động bảo vệ an ninh mạng
a) Yêu cầu chủ thể sử dụng cung cấp thông tin xác thực. Nếu chủ thể sử dụng không cung cấp thông tin xác thực, doanh nghiệp cung cấp dịch vụ có trách nhiệm từ chối cung cấp các dịch vụ liên quan cho chủ thể sử dụng đó.
b) Xây dựng các phương án, giải pháp phản ứng nhanh với sự cố an ninh mạng, xử lý ngay các rủi ro an ninh như lỗ hổng bảo mật, mã độc, tấn công mạng, xâm nhập mạng; khi xảy ra sự cố an ninh mạng, ngay lập tức triển khai phương án khẩn cấp, biện pháp ứng phó thích hợp, đồng thời báo cáo với cơ quan chủ quản theo quy định.
c) Hợp tác, cung cấp các biện pháp kỹ thuật, hỗ trợ cơ quan Công an trong quá trình điều tra tội phạm và bảo vệ an ninh quốc gia theo quy định của pháp luật.
d) Áp dụng các giải pháp kỹ thuật và các biện pháp cần thiết khác nhằm đảm bảo an toàn, an ninh cho quá trình thu thập thông tin, ngăn chặn nguy cơ lộ lọt, tổn hại hoặc mất dữ liệu. Nếu xảy ra hoặc có nguy cơ xảy ra sự cố lộ lọt, tổn hại hoặc mất dữ liệu thông tin người sử dụng, cần lập tức đưa ra giải pháp ứng phó, đồng thời thông báo tới người sử dụng và báo cáo tới cơ quan chủ quản theo quy định.
đ) Phối hợp với cơ quan chuyên trách bảo vệ an ninh mạng trong giám sát an ninh mạng nhằm bảo vệ chủ quyền, lợi ích, an ninh quốc gia, trật tự an toàn xã hội.
2. Trong bảo đảm an ninh thông tin mạng
a) Bảo mật, lưu trữ, sử dụng thông tin cá nhân chủ thể sử dụng theo quy định của pháp luật, đồng thời xây dựng, kiện toàn chính sách bảo vệ thông tin cá nhân;
b) Không tiết lộ, thay đổi, cung cấp thông tin cho bên thứ ba khi chưa được sự cho phép của chủ sở hữu thông tin;
c) Cập nhật, sửa đổi, xóa bỏ hoặc đính chính thông tin thu thập trái pháp luật theo yêu cầu chủ thể sử dụng;
d) Tiến hành ngăn chặn việc chia sẻ thông tin, xóa bỏ thông tin có nội dung chống Nhà nước Cộng hòa xã hội chủ nghĩa Việt Nam, thông tin sai sự thật, vu khống trên không gian mạng trong vòng 24 giờ theo yêu cầu của cơ quan quản lý nhà nước về an ninh mạng, đồng thời lưu lại các ghi chép liên quan để báo cáo với cơ quan chuyên trách bảo vệ an ninh mạng;
đ) Không cung cấp dịch vụ viễn thông, internet, hỗ trợ kỹ thuật, quảng cáo, hỗ trợ thanh toán cho các tổ chức, cá nhân đăng tải thông tin có nội dung chống Nhà nước Cộng hòa xã hội chủ nghĩa Việt Nam, thông tin sai sự thật, vu khống trên không gian mạng;
e) Xây dựng, kiện toàn quy trình bảo vệ và cơ chế hợp tác an ninh mạng, tăng cường đánh giá, phân tích các loại rủi ro an ninh mạng, định kỳ cảnh báo nguy cơ, đồng thời ủng hộ, giúp đỡ các thành viên nâng cao khả năng ứng phó với rủi ro an ninh mạng;
g) Xây dựng cơ chế phản hồi, khiếu nại về an ninh thông tin mạng; công bố thông tin về phương thức phản hồi, khiếu nại; kịp thời tiếp nhận và xử lý các phản hồi, khiếu nại liên quan an ninh thông tin mạng;
h) Thực hiện yêu cầu của cơ quan chức năng Bộ Công an, Bộ Quốc phòng, Bộ Thông tin và Truyền thông trong điều tra, xử lý hành vi vi phạm pháp luật trên không gian mạng.
3. Chính phủ quy định cụ thể về xử lý hành vi vi phạm các quy định về bảo vệ an ninh mạng của các doanh nghiệp cung cấp dịch vụ viễn thông, internet.
Điều 48. Trách nhiệm của cơ quan chủ quản hệ thống thông tin quan trọng về an ninh quốc gia
1. Phân công cá nhân phụ trách bảo vệ an ninh mạng.
2. Xây dựng quy chế vận hành, bảo vệ an ninh mạng, áp dụng các biện pháp tương ứng đối với hệ thống thông tin do mình quản lý; lập phương án phòng ngừa, ứng phó, khắc phục sự cố khi có sự cố an ninh mạng hoặc thảm họa xảy ra.
3. Bảo đảm hệ thống thông tin quan trọng về an ninh quốc gia đáp ứng tiêu chuẩn quốc gia về an ninh mạng, quy chuẩn kỹ thuật về an ninh mạng.
4. Khi thu thập, tạo ra thông tin cá nhân và dữ liệu quan trọng phải lưu trữ trong phạm vi quốc gia. Nếu bắt buộc phải cung cấp thông tin ra bên ngoài phạm vi quốc gia, phải đánh giá mức độ an ninh theo quy định của Bộ Công an, trong trường hợp có luật quy định thì căn cứ theo nội dung của luật đó để tiến hành.
5. Phối hợp với Bộ Công an hoặc tổ chức chuyên môn do Bộ Công an chỉ định kiểm tra an ninh mạng trước khi đưa vào vận hành, khai thác các thiết bị phục vụ hệ thống thông tin quan trọng về an ninh quốc gia; có phương án bảo vệ an ninh mạng trước khi thiết lập, mở rộng, nâng cấp hệ thống thông tin quan trọng về an ninh quốc gia.
6. Tiến hành hoặc ủy thác cho tổ chức cung cấp dịch vụ an ninh mạng tiến hành khảo sát, đánh giá mức độ an toàn và khả năng ứng phó rủi ro của cơ sở đó ít nhất 02 lần/năm, đồng thời gửi báo cáo tình hình kiểm tra, đánh giá, cải tiến biện pháp khắc phục tới cơ quan chuyên trách bảo vệ an ninh mạng thuộc Bộ Công an.
7. Định kỳ hoặc phối hợp với cơ quan chuyên trách bảo vệ an ninh mạng thuộc Bộ Công an tổ chức tập huấn, bồi dưỡng về kiến thức, kĩ thuật và đánh giá kĩ năng an ninh mạng cho các nhân viên phụ trách bảo vệ an ninh mạng của hệ thống thông tin quan trọng về an ninh quốc gia.
Điều 49. Trách nhiệm của Bộ Công an
1. Bộ Công an giúp Chính phủ quản lý nhà nước về an ninh mạng trên phạm vi toàn quốc.
a) Thực hiện quản lý nhà nước trong bảo vệ an ninh mạng đối với thiết bị số, dịch vụ mạng, ứng dụng mạng;
b) Thẩm định hoặc chỉ định tổ chức kiểm tra, đánh giá, thẩm định sự phù hợp về an ninh mạng đối với hệ thống thông tin quan trọng về an ninh quốc gia trước khi đưa vào sử dụng;
c) Tổ chức kiểm tra, đánh giá an ninh mạng đối với hệ thống thông tin của cơ quan nhà nước, hệ thống thông tin quan trọng về an ninh quốc gia; kiểm tra, đánh giá an ninh mạng đối với các thiết bị số, dịch vụ mạng, ứng dụng mạng trước khi đưa vào sử dụng trong các hệ thống thông tin quan trọng về an ninh quốc gia;
d) Quản lý về an ninh mạng đối với cơ sở hạ tầng không gian mạng quốc gia, cổng kết nối quốc tế; quản lý hoạt động bảo vệ an ninh mạng của các doanh nghiệp cung cấp dịch vụ viễn thông, internet;
đ) Quản lý nhà nước về giám sát an ninh mạng; cảnh báo, chia sẻ thông tin an ninh mạng, các nguy cơ đe dọa an ninh mạng;
e) Có văn bản cho ý kiến khi cơ quan chủ quản hệ thống thông tin quan trọng về an ninh quốc gia đề nghị được ký hợp đồng với doanh nghiệp cung cấp dịch vụ an toàn thông tin mạng;
g) Thực hiện giám sát an ninh mạng trên phạm vi cả nước, ngoại trừ hệ thống thông tin quân sự do Bộ Quốc phòng quản lý.
2. Xây dựng, đề xuất chiến lược, chủ trương, chính sách, kế hoạch và phương án bảo vệ an ninh mạng.
3. Ban hành hoặc trình cơ quan nhà nước có thẩm quyền ban hành và hướng dẫn thi hành các văn bản quy phạm pháp luật về an ninh mạng; tuyên truyền, phổ biến pháp luật về an ninh mạng.
4. Phòng ngừa, đấu tranh với hoạt động sử dụng không gian mạng xâm phạm chủ quyền, lợi ích, an ninh quốc gia, trật tự an toàn xã hội và phòng, chống tội phạm mạng. Bảo đảm an ninh thông tin mạng; ngăn chặn, xử lý thông tin có nội dung chống Nhà nước Cộng hòa xã hội chủ nghĩa Việt Nam, xâm phạm quyền, lợi ích hợp pháp của tổ chức, cá nhân, trái đạo đức, thuần phong mỹ tục trên không gian mạng.
5. Bảo vệ hệ thống thông tin quan trọng về an ninh quốc gia; giám sát an ninh mạng đối với hệ thống thông tin quan trọng về an ninh quốc gia, ngoại trừ hệ thống thông tin quân sự do Bộ Quốc phòng quản lý; chủ trì, phối hợp với Bộ Thông tin và Truyền thông, Bộ Quốc phòng trong huy động lực lượng, cơ sở vật chất kỹ thuật ứng phó, khắc phục sự cố an ninh mạng xảy ra đối với hệ thống thông tin quan trọng về an ninh quốc gia.
6. Bảo vệ bí mật nhà nước trên không gian mạng; bảo vệ thông tin, tài liệu có nội dung thuộc danh mục bí mật nhà nước, thông tin cá nhân trên không gian mạng; ứng phó, khắc phục sự cố an ninh mạng.
7. Phòng, chống tấn công mạng, khủng bố mạng, gián điệp mạng, chủ trì xử lý tình huống nguy hiểm về an ninh mạng; tham gia phòng, chống chiến tranh mạng.
8. Phối hợp với Bộ Khoa học và Công nghệ xây dựng, công bố tiêu chuẩn, quy chuẩn kỹ thuật về an ninh mạng; đăng ký, chỉ định, thanh tra, kiểm tra các hoạt động chứng nhận sự phù hợp của tổ chức đánh giá chứng nhận hợp chuẩn, hợp quy về an ninh mạng.
9. Phối hợp với các bộ, ngành liên quan trong đào tạo, phát triển nguồn nhân lực an ninh mạng.
10. Phân công lực lượng an ninh mạng chuyên trách trực thuộc và tại Công an các tỉnh, thành phố trực thuộc Trung ương.
11. Xử lý các hành vi vi phạm pháp luật về an ninh mạng;
12. Chủ trì hợp tác quốc tế về an ninh mạng.
Điều 50. Trách nhiệm của Bộ Quốc phòng
1. Xây dựng, đề xuất chiến lược, chủ trương, chính sách, kế hoạch và phương án bảo vệ an ninh mạng trong thực hiện nhiệm vụ quốc phòng trên không gian mạng.
2. Ban hành hoặc trình cơ quan nhà nước có thẩm quyền ban hành và hướng dẫn thi hành các văn bản quy phạm pháp luật về thực hiện nhiệm vụ quốc phòng trên không gian mạng.
3. Chủ trì, phối hợp với các bộ, ngành liên quan trong phòng, chống chiến tranh mạng theo chức năng, nhiệm vụ được giao.
4. Thẩm định an ninh mạng trong hồ sơ thiết kế, xây dựng, đầu tư mua sắm thiết bị cho hệ thống thông tin quân sự do Bộ Quốc phòng quản lý.
5. Kiểm tra, đánh giá an ninh mạng, ứng phó, khắc phục sự cố an ninh mạng đối với hệ thống thông tin quân sự do Bộ Quốc phòng quản lý.
6. Thực hiện công tác giám sát an ninh mạng đối với hệ thống thông tin quân sự do Bộ Quốc phòng quản lý.
7. Bảo vệ bí mật quân sự, bí mật nhà nước trên hệ thống thông tin quân sự do Bộ Quốc phòng quản lý theo chức năng, nhiệm vụ được giao; phòng ngừa, đấu tranh với các hoạt động sử dụng không gian mạng xâm phạm an ninh quân đội.
8. Phối hợp với Bộ Công an triển khai thực hiện công tác bảo vệ an ninh mạng, quản lý nhà nước về an ninh mạng theo chức năng, nhiệm vụ được giao; đưa kiến thức an ninh mạng vào chương trình giáo dục quốc phòng, an ninh.
9. Hợp tác quốc tế về an ninh mạng theo chức năng, nhiệm vụ được giao.
Điều 51. Trách nhiệm của Bộ Thông tin và Truyền thông
1. Trong quản lý nhà nước về an toàn thông tin mạng:
a) Ban hành hoặc trình cơ quan nhà nước có thẩm quyền ban hành và hướng dẫn thi hành các văn bản quy phạm pháp luật về an toàn thông tin mạng;
b) Kiểm tra, đánh giá an toàn thông tin mạng đối với hệ thống thông tin không nằm trong hệ thống thông tin quan trọng về an ninh quốc gia theo quy định của pháp luật;
c) Phối hợp với Bộ Công an trong triển khai thực hiện công tác bảo vệ an ninh mạng theo chức năng, nhiệm vụ được giao;
d) Thực hiện hợp tác quốc tế về an toàn thông tin mạng.
2. Trong ngăn chặn, xử lý thông tin có nội dung chống Nhà nước Cộng hòa xã hội chủ nghĩa Việt Nam, xâm phạm quyền, lợi ích hợp pháp của tổ chức, cá nhân, trái đạo đức, thuần phong mỹ tục trên không gian mạng:
a) Chủ động phối hợp với các cơ quan liên quan tổ chức tuyên truyền, phản bác thông tin có nội dung chống Nhà nước Cộng hòa xã hội chủ nghĩa Việt Nam, xâm phạm quyền, lợi ích hợp pháp của tổ chức, cá nhân, trái đạo đức, thuần phong mỹ tục trên không gian mạng;
b) Chỉ đạo các doanh nghiệp cung cấp dịch vụ viễn thông, internet, cơ quan chủ quản trang thông tin điện tử, cổng thông tin điện tử loại bỏ thông tin có nội dung chống Nhà nước Cộng hòa xã hội chủ nghĩa Việt Nam, xâm phạm quyền, lợi ích hợp pháp của tổ chức, cá nhân, trái đạo đức, thuần phong mỹ tục trên không gian mạng, xử lý nghiêm các trường hợp vi phạm;
c) Yêu cầu các doanh nghiệp cung cấp dịch vụ viễn thông, internet nước ngoài chấp hành nghiêm pháp luật Việt Nam, đăng ký kinh doanh và đặt máy chủ chứa dữ liệu người dùng Việt Nam trên lãnh thổ Việt Nam.
Điều 52. Trách nhiệm của các bộ, ngành liên quan
1. Bộ Khoa học và Công nghệ
a) Xác định và tổ chức thực hiện các nhiệm vụ khoa học và công nghệ cấp nhà nước liên quan đến hoạt động bảo vệ an ninh mạng;
b) Chủ trì, phối hợp với cơ quan có liên quan phê duyệt quy hoạch, kế hoạch xây dựng tiêu chuẩn quốc gia, quy chuẩn kỹ thuật quốc gia về an ninh mạng; tổ chức thẩm định và công bố tiêu chuẩn quốc gia về an ninh mạng; tổ chức thẩm định dự thảo quy chuẩn kỹ thuật quốc gia về an ninh mạng theo quy định của pháp luật.
c) Chủ trì, phối hợp với bộ, ngành liên quan trong nghiên cứu, ứng dụng và phát triển quản lý định danh đáp ứng các yêu cầu bảo vệ an ninh mạng.
2. Bộ Nội vụ
a) Phối hợp với Bộ Công an xây dựng chính sách, cơ chế phối hợp thu hút, trọng dụng, đãi ngộ người có tài năng, nguồn nhân lực chất lượng cao về công nghệ thông tin, chuyên gia an ninh mạng;
b) Chủ trì, phối hợp với Bộ Công an tổ chức hướng dẫn bồi dưỡng kiến thức an ninh mạng cho cán bộ, công chức, viên chức;
3. Bộ Giáo dục và Đào tạo
a) Chủ trì, phối hợp với Bộ Công an trong tuyển chọn, đào tạo, phát triển nguồn nhân lực an ninh mạng; phổ biến kiến thức an ninh mạng trong hệ thống giáo dục quốc dân;
b) Phối hợp với Bộ Công an, Bộ Quốc phòng xây dựng chương trình và đưa kiến thức an ninh mạng vào chương trình giáo dục quốc phòng, an ninh.
4. Bộ Lao động, Thương binh và Xã hội có trách nhiệm tổ chức đào tạo, bồi dưỡng, phổ biến kiến thức về an ninh mạng trong cơ sở giáo dục nghề nghiệp.
5. Bộ Tài chính có trách nhiệm hướng dẫn, bố trí kinh phí cho hoạt động bảo vệ an ninh mạng theo quy định của pháp luật.
6. Bộ Kế hoạch và Đầu tư
a) Quản lý nhà nước về đầu tư an ninh mạng;
b) Phối hợp với Bộ Công an, Bộ Quốc phòng, Bộ Thông tin và Truyền thông trong triển khai các dự án, đề án, chương trình, kế hoạch đầu tư cho hoạt động bảo vệ an ninh mạng.
7. Bộ Ngoại giao có trách nhiệm:
a) Chủ trì, phối hợp với Bộ Công an trong bảo vệ an ninh mạng đối với hệ thống thông tin, thông tin thuộc Bộ Ngoại giao và các cơ quan đại diện của Việt Nam ở nước ngoài;
b) Phối hợp với Bộ Công an xây dựng và triển khai chủ trương, chính sách an ninh mạng của Việt Nam;
c) Nghiên cứu, phối hợp với Bộ Công an trong tham gia các điều ước, thỏa thuận quốc tế về an ninh mạng.
8. Bộ Công thương có trách nhiệm phối hợp với Bộ Công an trong quản lý thiết bị số, dịch vụ mạng, ứng dụng mạng đáp ứng các tiêu chuẩn, quy chuẩn an ninh mạng tương ứng, phù hợp.
9. Ban Cơ yếu Chính phủ giúp Bộ trưởng Bộ Quốc phòng:
a) Quản lý nhà nước về cơ yếu;
b) Quản lý chuyên ngành cơ yếu, chỉ đạo các tổ chức cơ yếu bảo vệ thông tin bí mật nhà nước dùng mật mã; triển khai hệ thống chứng thực điện tử chuyên dùng chính phủ.
10. Bộ, ngành liên quan trong phạm vi nhiệm vụ, quyền hạn có trách nhiệm thực hiện công tác bảo vệ an ninh mạng của đối với thông tin, hệ thống thông tin do mình quản lý và phối hợp với Bộ Công an thực hiện quản lý nhà nước về an ninh mạng.
Điều 53. Trách nhiệm của ủy ban nhân dân cấp tỉnh
1. Xây dựng, ban hành quy chế quản lý, vận hành và đảm bảo an ninh mạng, áp dụng tiêu chuẩn, quy chuẩn kỹ thuật tương ứng đối với các hệ thống thông tin do mình quản lý.
2. Quản lý chất lượng thiết bị số, dịch vụ mạng, ứng dụng mạng trên địa bàn.
3. Trong phạm vi, nhiệm vụ, quyền hạn của mình phối hợp với Bộ Công an quản lý nhà nước về an ninh mạng ở địa phương.
Chương VIII
ĐIỀU KHOẢN THI HÀNH
Điều 54. Hiệu lực thi hành
Luật này có hiệu lực thi hành từ ngày tháng năm 2018.
Điều 55. Quy định chi tiết
Chính phủ, cơ quan nhà nước có thẩm quyền quy định chi tiết các điều khoản được giao trong Luật.
Luật này đã được Quốc hội nước Cộng hòa xã hội chủ nghĩa Việt Nam khóa XIV, kỳ họp thứ thông qua ngày tháng năm 2018.
Thông tin chung: http://duthaoonline.quochoi.vn/DuThao/Lists/DT_DUTHAO_LUAT/View_Detail.aspx?ItemID=1382&TabIndex=0
- Lĩnh vực: Quốc phòng & An ninh
- Cơ quan trình dự thảo: Chính phủ
- Cơ quan chủ trì soạn thảo: Bộ Công an
- Ủy ban thẩm tra: Ủy ban Quốc phòng & An ninh
- Dự kiến thảo luận tại: Kỳ họp thứ 4 - Khóa XIV
- Dự kiến thông qua tại: Kỳ họp thứ 5 - Khóa XIV
- Trạng thái: Chưa thông qua
Comments
Post a Comment
Để lại góp ý của bạn để blog của mình hoàn thiện hơn :))