Một số quy định về trình tự, thủ tục áp dụng một số biện pháp an ninh quốc gia
Nghị định số
53/2022/NĐ-CP ngày 15 tháng 8 năm 2022
của Chính phủ ban hành quy định chi tiết một số điều của Luật An ninh mạng. Nghị
định này có hiệu lực từ ngày 01 tháng 10 năm 2022. Trình tự, thủ tục áp dụng một số biện pháp an ninh quốc gia quy định
như sau:
Trình tự, thủ tục thẩm định an ninh mạng đối với hệ thống thông tin quan
trọng về an ninh quốc gia
Thẩm định an ninh mạng đối với hệ thống thông tin
thuộc Danh mục hệ thống thông tin quan trọng về an ninh quốc gia do lực lượng
chuyên trách bảo vệ an ninh mạng thực hiện theo quy định.
Trình tự thực
hiện thẩm định an ninh mạng đối với hệ thống thông tin quan trọng về an ninh
quốc gia. Chủ quản hệ thống thông tin quan trọng về an ninh quốc gia nộp hồ sơ
đề nghị thẩm định an ninh mạng cho lực lượng chuyên trách bảo vệ an ninh mạng
có thẩm quyền; Lực lượng chuyên trách bảo vệ an ninh mạng tiếp nhận, kiểm tra,
hướng dẫn hoàn thiện hồ sơ đề nghị thẩm định an ninh mạng và cấp giấy tiếp nhận
ngay sau khi nhận đủ hồ sơ hợp lệ trong thời gian 03 ngày làm việc; Lực lượng
chuyên trách bảo vệ an ninh mạng tiến hành thẩm định an ninh mạng theo nội dung
quy định tại khoản 3 Điều 11 Luật An ninh mạng và thông báo kết quả trong thời
hạn 30 ngày, kể từ ngày cấp giấy tiếp nhận hồ sơ cho chủ quản hệ thống thông
tin quan trọng về an ninh quốc gia.
Hồ sơ đề nghị thẩm định đối với hệ thống thông tin
quan trọng về an ninh quốc gia, bao gồm: Văn bản đề nghị thẩm định an ninh mạng
(Mẫu số 06 Phụ lục); Báo cáo nghiên cứu tiền khả thi, hồ sơ thiết kế thi công
dự án đầu tư xây dựng hệ thống thông tin trước khi phê duyệt; Đề án nâng cấp hệ
thống thông tin trước khi phê duyệt trong trường hợp nâng cấp hệ thống thông
tin quan trọng về an ninh quốc gia.
Trường hợp cần
xác định sự phù hợp giữa hiện trạng của hệ thống thông tin quan trọng về an
ninh quốc gia và hồ sơ đề nghị thẩm định, lực lượng chuyên trách bảo vệ an ninh
mạng tiến hành khảo sát, đánh giá hiện trạng thực tế của hệ thống thông tin
quan trọng về an ninh quốc gia để đối chiếu với hồ sơ đề nghị thẩm định. Việc
khảo sát, đánh giá thực tế bảo đảm không gây ảnh hưởng tới hoạt động bình
thường của chủ quản cũng như hệ thống thông tin quan trọng về an ninh quốc gia.
Thời gian khảo sát, đánh giá thực tế không quá 07 ngày làm việc.
Kết quả thẩm
định an ninh mạng được bảo vệ theo quy định của pháp luật.
Trình tự, thủ tục đánh giá điều kiện an ninh mạng đối
với hệ thống thông tin quan trọng về an ninh quốc gia
Đánh giá điều
kiện an ninh mạng đối với hệ thống thông tin thuộc Danh mục hệ thống thông tin
quan trọng về an ninh quốc gia do lực lượng chuyên trách bảo vệ an ninh mạng
thực hiện theo quy định.
Trình tự đánh giá điều kiện an ninh mạng đối với hệ
thống thông tin quan trọng về an ninh quốc gia: Chủ quản hệ thống thông tin
quan trọng về an ninh quốc gia nộp hồ sơ đề nghị đánh giá điều kiện an ninh
mạng đối với hệ thống thông tin quan trọng về an ninh quốc gia cho lực lượng
chuyên trách bảo vệ an ninh mạng có thẩm quyền đánh giá điều kiện an ninh mạng
theo quy định tại khoản 3 Điều 12 Luật An ninh mạng; Lực lượng chuyên trách bảo
vệ an ninh mạng tiếp nhận, kiểm tra, hướng dẫn hoàn thiện hồ sơ đề nghị đánh
giá điều kiện an ninh mạng và cấp giấy tiếp nhận ngay sau khi nhận đủ hồ sơ hợp
lệ; Sau khi tiếp nhận đủ hồ sơ hợp lệ, lực lượng chuyên trách bảo vệ an ninh
mạng tiến hành đánh giá điều kiện an ninh mạng và thông báo kết quả trong thời
hạn 30 ngày, kể từ ngày cấp giấy tiếp nhận đủ hồ sơ hợp lệ của chủ quản hệ
thống thông tin quan trọng về an ninh quốc gia; Trường hợp đủ điều kiện an ninh
mạng, Thủ trưởng cơ quan đánh giá điều kiện an ninh mạng cấp Giấy chứng nhận đủ
điều kiện an ninh mạng đối với hệ thống thông tin quan trọng về an ninh quốc
gia trong vòng 03 ngày làm việc kể từ khi kết thúc đánh giá điều kiện an ninh
mạng.
Hồ sơ đề nghị
chứng nhận đủ điều kiện an ninh mạng đối với hệ thống thông tin quan trọng về
an ninh quốc gia bao gồm: Văn bản đề nghị chứng nhận điều kiện an ninh mạng
(Mẫu số 07 Phụ lục); Báo cáo nghiên cứu tiền khả thi, hồ sơ thiết kế thi công
dự án đầu tư xây dựng hệ thống thông tin trước khi phê duyệt; Hồ sơ giải pháp
bảo đảm an ninh mạng đối với hệ thống thông tin quan trọng về an ninh quốc gia.
Trường hợp không bảo đảm điều kiện an ninh mạng, lực lượng chuyên trách bảo vệ
an ninh mạng yêu cầu chủ quản hệ thống thông tin quan trọng về an ninh quốc gia
bổ sung, nâng cấp hệ thống thông tin quan trọng về an ninh quốc gia đê bảo đảm
đủ điều kiện.
Trình tự giám sát an ninh mạng của lực lượng chuyên trách bảo vệ an ninh
mạng: Gửi thông báo bằng văn bản yêu cầu triển khai biện
pháp giám sát an ninh mạng tới chủ quản hệ thống thông tin; trong văn bản nêu
rõ lý do, thời gian, nội dung và phạm vi tiến hành giám sát an ninh mạng; Triển
khai biện pháp giám sát an ninh mạng; Định kỳ thống kê, báo cáo kết quả giám
sát an ninh mạng.
Trình tự, thủ tục kiểm tra an ninh mạng
Lực lượng
chuyên trách bảo vệ an ninh mạng tiến hành kiểm tra an ninh mạng đối với hệ
thống thông tin theo quy định tại khoản 5 Điều 13, khoản 1 Điều 24 Luật An ninh
mạng. Nội dung kiểm tra an ninh mạng, bao gồm: kiểm tra việc tuân thủ các quy
định của pháp luật về bảo đảm an ninh mạng, bảo vệ bí mật nhà nước trên không
gian mạng; kiểm tra, đánh giá hiệu quả các phương án, biện pháp bảo đảm an ninh
mạng, phương án, kế hoạch ứng phó, khắc phục sự cố an ninh mạng; kiểm tra, đánh
giá phát hiện lỗ hổng, điểm yếu bảo mật, mã độc và tấn công thử nghiệm xâm nhập
hệ thống; kiểm tra, đánh giá khác do chủ quản hệ thống thông tin quy định.
Trình tự, thủ
tục kiểm tra an ninh mạng của lực lượng chuyên trách bảo vệ an ninh mạng: Thông
báo về kế hoạch kiểm tra an ninh mạng theo quy định; Thành lập Đoàn kiểm tra
theo chức năng, nhiệm vụ được giao; Tiến hành kiểm tra an ninh mạng, phối hợp
chặt chẽ với chủ quản hệ thống thông tin trong quá trình kiểm tra; Lập biên bản
về quá trình, kết quả kiểm tra an ninh mạng và bảo quản theo quy định của pháp
luật; Thông báo kết quả kiểm tra an ninh mạng trong 03 ngày làm việc kể từ ngày
hoàn thành kiểm tra.
Trường hợp cần
giữ nguyên hiện trạng hệ thống thông tin, phục vụ điều tra, xử lý hành vi vi
phạm pháp luật, phát hiện điểm yếu, lỗ hổng bảo mật; hướng dẫn hoặc tham gia
khắc phục khi có đề nghị của chủ quản hệ thống thông tin, lực lượng chuyên
trách bảo vệ an ninh mạng gửi văn bản đề nghị chủ quản hệ thống thông tin tạm
ngừng tiến hành kiểm tra an ninh mạng. Nội dung văn bản phải ghi rõ lý do, mục
đích, thời gian tạm ngừng hoạt động kiểm tra an ninh mạng.
Đối với các hệ thống thông tin quan trọng về an ninh quốc gia khi gặp sự
cố an ninh mạng thì thực hiện trình tự, thủ tục ứng phó, khắc phục sự cố
như sau:
Lực lượng chuyên trách bảo vệ an ninh mạng thông báo
bằng văn bản và hướng dẫn biện pháp tạm thời để ngăn chặn, xử lý hoạt động tấn
công mạng, khắc phục hậu quả do tấn công mạng, sự cố an ninh mạng cho chủ quản
hệ thống thông tin quan trọng về an ninh quốc gia. Trường hợp khẩn cấp, thông
báo bằng điện thoại hoặc các hình thức khác trước khi thông báo bằng văn bản;
Chủ quản hệ thống thông tin quan trọng về an ninh quốc
gia có trách nhiệm thực hiện các biện pháp theo hướng dẫn và các biện pháp phù
hợp khác để ngăn chặn, xử lý, khắc phục hậu quả ngay sau khi nhận được thông
báo, trừ quy định tại điểm c khoản này. Trường hợp vượt quá khả năng xử lý, kịp
thời thông báo cho lực lượng chuyên trách bảo vệ an ninh mạng để điều phối, ứng
phó khắc phục sự cố an ninh mạng;
Trường hợp cần ứng phó ngay để ngăn chặn hậu quả xảy
ra có khả năng gây nguy hại cho an ninh quốc gia, lực lượng chuyên trách bảo vệ
an ninh mạng quyết định trực tiếp điều phối, ứng phó khắc phục sự cố an ninh
mạng.
Điều phối, ứng
phó khắc phục sự cố an ninh mạng của lực lượng chuyên trách bảo vệ an ninh
mạng: Đánh giá, quyết định phương án ứng phó, khắc phục sự cố an ninh mạng;
Điều hành công tác ứng phó, khắc phục sự cố an ninh mạng; Chủ trì tiếp nhận,
thu thập, xử lý, trao đổi thông tin về ứng phó, khắc phục sự cố an ninh mạng;
Huy động, phối hợp với các tổ chức, cá nhân trong và ngoài nước có liên quan
tham gia ứng phó, khắc phục sự cố an ninh mạng trong trường hợp cần thiết; Chỉ
định đơn vị đầu mối phối hợp với các đơn vị chức năng của các quốc gia khác
hoặc các tổ chức quốc tế trong hoạt động ứng phó, xử lý các sự cố liên quốc gia
trên cơ sở thỏa thuận quốc tế hoặc điều ước quốc tế mà Việt Nam là thành viên;
Kiểm tra, giám sát, đôn đốc việc thực hiện của các đơn vị liên quan ứng phó,
khắc phục sự cố an ninh mạng; Lập biên bản quá trình ứng cứu sự cố an ninh
mạng.
Tổ chức, cá nhân tham gia ứng phó, khắc phục sự cố an
ninh mạng có trách nhiệm thực hiện các biện pháp, hoạt động ứng phó, khắc phục
sự cố theo sự điều phối của lực lượng chuyên trách bảo vệ an ninh mạng.
Trường hợp bảo vệ an ninh quốc gia, trật tự an toàn xã
hội, doanh nghiệp viễn thông, doanh nghiệp cung cấp dịch vụ Internet bố trí mặt
bằng, cổng kết nối và các biện pháp kỹ thuật cần thiết để Cục An ninh mạng và
phòng, chống tội phạm sử dụng công nghệ cao thuộc Bộ Công an thực hiện nhiệm vụ
bảo đảm an ninh mạng. Thủ tục, quy trình cụ thể, doanh nghiệp viễn thông, doanh
nghiệp cung cấp dịch vụ Internet phối hợp với Cục An ninh mạng và phòng, chống
tội phạm sử dụng công nghệ cao thuộc Bộ Công an thực hiện.
Trình tự, thủ tục thực hiện biện pháp yêu cầu xóa bỏ
thông tin trái pháp luật hoặc thông tin sai sự thật trên không gian mạng xâm
phạm an ninh quốc gia, trật tự, an toàn xã hội, quyền và lợi ích hợp pháp của
cơ quan, tổ chức, cá nhân
Trường hợp áp dụng biện pháp:
Khi thông tin
trên không gian mạng được cơ quan có thẩm quyền xác định là có nội dung xâm
phạm an ninh quốc gia, tuyên truyền chống Nhà nước Cộng hòa xã hội chủ nghĩa
Việt Nam; kích động gây bạo loạn, phá rối an ninh, gây rối trật tự công cộng
theo quy định của pháp luật;
Khi có căn cứ
pháp luật xác định thông tin trên không gian mạng có nội dung làm nhục, vu
khống; xâm phạm trật tự quản lý kinh tế; bịa đặt, sai sự thật gây hoang mang
trong nhân dân, gây thiệt hại nghiêm trọng cho hoạt động kinh tế - xã hội đến
mức phải yêu cầu xóa bỏ thông tin;
Các thông tin
trên không gian mạng khác có nội dung được quy định tại điểm c, điểm đ, điểm e
khoản 1 Điều 8 Luật An ninh mạng theo quy định của pháp luật.
Cục trưởng Cục
An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao thuộc Bộ Công an,
Thủ trưởng cơ quan có thẩm quyền của Bộ Thông tin và Truyền thông:
Quyết định áp
dụng biện pháp yêu cầu xóa bỏ thông tin trái pháp luật hoặc thông tin sai sự
thật trên không gian mạng xâm phạm an ninh quốc gia, trật tự, an toàn xã hội,
quyền và lợi ích hợp pháp của cơ quan, tổ chức, cá nhân theo quy định tại khoản
1 Điều này;
Gửi văn bản yêu cầu các doanh nghiệp cung cấp dịch vụ
trên mạng viễn thông, dịch vụ trên mạng Internet, dịch vụ gia tăng trên không
gian mạng, chủ quản hệ thống thông tin xóa bỏ thông tin trái pháp luật hoặc
thông tin sai sự thật trên không gian mạng xâm phạm an ninh quốc gia, trật tự,
an toàn xã hội, quyền và lợi ích hợp pháp của cơ quan, tổ chức, cá nhân theo
quy định tại khoản 1 Điều này;
Kiểm tra việc chấp hành thực hiện biện pháp của các
chủ thể có liên quan được yêu cầu;
Trao đổi, chia sẻ thông tin về việc thực hiện biện
pháp này, trừ trường hợp nội dung thuộc phạm vi bí mật nhà nước hoặc yêu cầu
nghiệp vụ của Bộ Công an.
Lực
lượng chuyên trách bảo vệ an ninh mạng thuộc Bộ Quốc phòng quyết định
áp dụng biện pháp yêu cầu xóa bỏ thông tin trái pháp luật hoặc thông tin sai sự
thật trên không gian mạng xâm phạm an ninh quốc gia, an ninh quân đội theo quy
định tại khoản 1 Điều này đối với hệ thống thông tin quân sự.
Trình tự, thủ tục thực hiện biện pháp thu thập dữ liệu
điện tử liên quan đến hoạt động xâm phạm an ninh quốc gia, trật tự, an toàn xã
hội, quyền và lợi ích hợp pháp của cơ quan, tổ chức, cá nhân trên không gian
mạng
Dữ liệu điện tử là thông tin dưới dạng ký hiệu, chữ
viết, chữ số, hình ảnh, âm thanh hoặc dạng tương tự.
Cục trưởng Cục An ninh mạng và phòng, chống tội phạm
sử dụng công nghệ cao thuộc Bộ Công an quyết định tiến hành biện pháp thu thập
dữ liệu điện tử để phục vụ điều tra, xử lý các hành vi xâm phạm an ninh quốc
gia, trật tự, an toàn xã hội, quyền và lợi ích hợp pháp của cơ quan, tổ chức,
cá nhân trên không gian mạng.
Việc thu thập dữ liệu điện tử liên quan đến hoạt động
xâm phạm an ninh quốc gia, trật tự, an toàn xã hội, quyền và lợi ích hợp pháp
của cơ quan, tổ chức, cá nhân trên không gian mạng được thực hiện theo quy định
của pháp luật; đồng thời bảo đảm các yêu cầu sau: Giữ nguyên hiện trạng của
thiết bị số, dữ liệu điện tử; Việc sao ghi dữ liệu điện tử phải được thực hiện
đúng quy trình bằng các thiết bị, phần mềm được công nhận, có thể kiểm chứng
được, phải bảo vệ được tính nguyên vẹn của dữ liệu điện tử lưu trong thiết bị;
Quá trình khôi phục dữ liệu, tìm kiếm dữ liệu điện tử phải được ghi nhận lại
bằng biên bản, hình ảnh, video, khi cần thiết có thể lặp lại quá trình đi tới
kết quả tương tự để trình bày tại tòa án; Người thực hiện thu thập dữ liệu điện
tử phải là cán bộ chuyên trách được giao thực hiện nhiệm vụ thu thập dữ liệu
điện tử.
Nguyên tắc sao chép, phục hồi dữ liệu điện tử liên
quan đến hoạt động xâm phạm an ninh quốc gia, trật tự, an toàn xã hội, quyền và
lợi ích hợp pháp của cơ quan, tổ chức, cá nhân trên không gian mạng: Trường hợp
dữ liệu điện tử được cho là có giá trị chứng minh tội phạm mà cần phải sao
chép, phục hồi hoặc nếu muốn sao chép, phục hồi dữ liệu điện tử, người thực
hiện sao chép, phục hồi phải có thẩm quyền để sao chép, phục hồi và phải quyết
định của cấp có thẩm quyền theo quy định của pháp luật; Lập biên bản cho các
hoạt động sao chép, phục hồi chứng cứ điện tử, trường hợp cần thiết có thể mời
một bên thứ ba độc lập tham gia, chứng kiến, xác nhận quy trình này.
Thu giữ phương tiện lưu trữ, truyền đưa, xử lý dữ liệu
điện tử liên quan đến hoạt động xâm phạm an ninh quốc gia, trật tự, an toàn xã
hội, quyền và lợi ích hợp pháp của cơ quan, tổ chức, cá nhân trên không gian
mạng được thực hiện theo quy định pháp luật.
Lực lượng
chuyên trách bảo vệ an ninh mạng thuộc Bộ Quốc phòng quyết định áp dụng biện pháp
thu thập dữ liệu điện tử để phục vụ điều tra các vụ việc vi phạm, tội phạm gây
mất an ninh, an toàn thông tin, xâm phạm an ninh quốc gia, an ninh quân đội
trên không gian mạng.
Trách nhiệm của cơ quan, tổ chức, cá nhân trong triển
khai các biện pháp bảo vệ an ninh mạng
Lực lượng chuyên trách bảo vệ an ninh mạng có trách
nhiệm hướng dẫn cụ thể các cơ quan, tổ chức, cá nhân có liên quan thực hiện các
quy định về trình tự, thủ tục áp dụng một số biện pháp bảo vệ an ninh mạng.
Các cơ quan, tổ chức, cá nhân trong phạm vi trách
nhiệm, quyền hạn của mình, kịp thời phối hợp, hỗ trợ lực lượng chuyên trách bảo
vệ an ninh mạng thực hiện các quy định về trình tự, thủ tục áp dụng một số biện
pháp bảo vệ an ninh mạng.
Trường hợp
doanh nghiệp cung cấp dịch vụ qua biên giới bị cơ quan có thẩm quyền công bố vi
phạm pháp luật Việt Nam, tổ chức, doanh nghiệp Việt Nam có trách nhiệm phối hợp
với cơ quan chức năng có thẩm quyền trong ngăn chặn, phòng ngừa, xử lý hành vi
vi phạm pháp luật của các doanh nghiệp cung cấp dịch vụ qua biên giới.
Mọi hành vi lợi
dụng hoặc lạm dụng các biện pháp bảo vệ an ninh mạng để vi phạm pháp luật thì
tùy theo tính chất, mức độ vi phạm mà bị xử lý theo quy định của pháp luật;
trường hợp gây thiệt hại đến quyền và lợi ích hợp pháp của tổ chức, cá nhân thì
phải bồi thường theo quy định của pháp luật.
Đối với các hệ thống thông tin không nằm trong Danh
mục hệ thống thông tin quan trọng về an ninh quốc gia, Bộ Công an, Bộ Quốc
phòng, Bộ Thông tin và Truyền thông phối hợp đồng bộ bảo vệ an ninh mạng, bảo
đảm an toàn thông tin mạng theo chức năng, nhiệm vụ được giao:
Bộ Thông tin và Truyền thông là đầu mối chủ trì đối
với các hoạt động dân sự, trừ trường hợp quy định tại điểm b, c khoản này;
Bộ Công an là
đầu mối chủ trì đối với các hoạt động bảo vệ an ninh quốc gia, trật tự an toàn
xã hội, bảo vệ an ninh mạng, phòng, chống tội phạm mạng, khủng bố mạng, gián
điệp mạng;
Bộ Quốc phòng là đầu mối chủ trì đối với các hoạt động
bảo vệ tổ quốc trên không gian mạng.