Xây dựng pháp luật

Một số nguyên tắc về hoạt động an toàn thông tin mạng được ghi nhận trong pháp luật hiện hành

19/12/2022 14:04 CH

 Luật an toàn thông tin mạng có hiệu lực từ ngày 01/7/2016 đã đánh ghi nhận các quy định về về hoạt động an toàn thông tin mạng, quyền, trách nhiệm của cơ quan, tổ chức, cá nhân trong việc bảo đảm an toàn thông tin mạng; mật mã dân sự; tiêu chuẩn, quy chuẩn kỹ thuật về an toàn thông tin mạng; kinh doanh trong lĩnh vực an toàn thông tin mạng; phát triển nguồn nhân lực an toàn thông tin mạng; quản lý nhà nước về an toàn thông tin mạng.

Theo đó, các cơ quan, tổ chức, cá nhân Việt Nam, tổ chức, cá nhân nước ngoài trực tiếp tham gia hoặc có liên quan đến hoạt động an toàn thông tin mạng tại Việt Nam là đối tượng điều chỉnh của luật này.
Với đối tượng điều chỉnh rất rộng như quy định hiện hành, cần có những nguyên tắc để đảm bảo thực hiện trong thực tế, cụ thể:
Tại Điều 4 Luật an toàn thông tin mạng quy định:
“Điều 4. Nguyên tắc bảo đảm an toàn thông tin mạng
1. Cơ quan, tổ chức, cá nhân có trách nhiệm bảo đảm an toàn thông tin mạng. Hoạt động an toàn thông tin mạng của cơ quan, tổ chức, cá nhân phải đúng quy định của pháp luật, bảo đảm quốc phòng, an ninh quốc gia, bí mật nhà nước, giữ vững ổn định chính trị, trật tự, an toàn xã hội và thúc đẩy phát triển kinh tế - xã hội.
2. Tổ chức, cá nhân không được xâm phạm an toàn thông tin mạng của tổ chức, cá nhân khác.
3. Việc xử lý sự cố an toàn thông tin mạng phải bảo đảm quyền và lợi ích hợp pháp của tổ chức, cá nhân, không xâm phạm đến đời sống riêng tư, bí mật cá nhân, bí mật gia đình của cá nhân, thông tin riêng của tổ chức.
4. Hoạt động an toàn thông tin mạng phải được thực hiện thường xuyên, liên tục, kịp thời và hiệu quả.
Tiếp theo là việc ghi nhận nguyên tắc về tiêu chí, thẩm quyền, trình tự, thủ tục xác định cấp độ an toàn hệ thống thông tin và trách nhiệm bảo đảm an toàn hệ thống thông tin theo từng cấp độ tại Nghị định số 85/2016/NĐ-CP về bảo đảm an toàn hệ thống thông tin theo cấp độ
“Điều 3. Nguyên tắc bảo đảm an toàn hệ thống thông tin theo cấp độ
1. Việc bảo đảm an toàn hệ thống thông tin theo cấp độ trong hoạt động của cơ quan, tổ chức được thực hiện thường xuyên, liên tục từ khâu thiết kế, xây dựng, vận hành đến khi hủy bỏ; tuân thủ theo tiêu chuẩn, quy chuẩn kỹ thuật.
2. Việc bảo đảm an toàn hệ thống thông tin theo cấp độ trong hoạt động của cơ quan, tổ chức được thực hiện một cách tổng thể, đồng bộ, tập trung trong việc đầu tư các giải pháp bảo vệ, có sự dùng chung, chia sẻ tài nguyên để tối ưu hiệu năng, tránh đầu tư thừa, trùng lặp.
3. Việc phân bổ, bố trí nguồn lực để bảo đảm an toàn hệ thống thông tin thực hiện theo thứ tự ưu tiên từ cấp độ cao xuống cấp độ thấp.
“Điều 5. Nguyên tắc xác định cấp độ
1. Việc xác định hệ thống thông tin để xác định cấp độ căn cứ trên nguyên tắc như sau:
a) Hệ thống thông tin chỉ có một chủ quản hệ thống thông tin;
b) Hệ thống thông tin có thể hoạt động độc lập, được thiết lập nhằm trực tiếp phục vụ hoặc hỗ trợ hoạt động nghiệp vụ, sản xuất, kinh doanh cụ thể của cơ quan, tổ chức thuộc một trong các loại hình hệ thống thông tin quy định tại khoản 2 Điều 6 Nghị định này.
2. Trong trường hợp hệ thống thông tin bao gồm nhiều hệ thống thành phần, mỗi hệ thống thành phần lại tương ứng với một cấp độ khác nhau, thì cấp độ hệ thống thông tin được xác định là cấp độ cao nhất trong các cấp độ của các hệ thống thành phần cấu thành.”
Không chỉ cơ quan quản lý nhà nước chuyên ngành ban hành các hướng dẫn để áp dụng chung quy định về bảo đảm an toàn thông tin mạng, mà ngay trong các ngành, lĩnh vực có nhiều hoạt động ứng dụng công nghệ thông tin cũng cần có những nguyeent ắc riêng của ngành mình để bảo đảm an toàn hệ thống thông tin trong hoạt động ngân hàng. Cụ thể là với các tổ chức tín dụng (trừ quỹ tín dụng nhân dân, tổ chức tài chính vi mô), chi nhánh ngân hàng nước ngoài, các tổ chức cung ứng dịch vụ trung gian thanh toán.
Ngân hàng nhà nước có Thông tư số 18 /2018/TT-NHNN ngày 21/8/2018 về bảo đảm an toàn thông tin trong hoạt động ngân hàng với nguyên tắc chung:
“Điều 3.Nguyên tắc chung
1. Tổ chức có trách nhiệm bảo đảm an toàn thông tin theo nguyên tắc xác định rõ quyền hạn, trách nhiệm từng bộ phận và cá nhân trong tổ chức.
2. Phân loại hệ thống thông tin theo mức độ quan trọng và áp dụng chính sách an toàn thông tin phù hợp.
3. Nhận biết, phân loại, đánh giá kịp thời và xử lý có hiệu quả các rủi ro công nghệ thông tin có thể xảy ra trong tổ chức.
4. Xây dựng, triển khai quy chế an toàn thông tin trên cơ sở các quy định tại Thông tư này và hài hòa giữa lợi ích, chi phí và mức độ chấp nhận rủi ro của tổ chức.
Như vậy, theo rà soát có thể thấy rằng việc bảo đảm an toàn thông tin mạng là một lĩnh vực dành được nhiều sự quan tâm từ phía cơ quan nhà nước. Việc bảo đảm an toàn thông tin không chỉ giúp nhà nước quản lý tốt hơn mà chính là giúp cho việc bảo đảm an toàn các giao dịch dân sự được thông suốt, an toàn và bảo mật.

Hoàng Thu Hường - Vụ Pháp chế