Dự thảo Luật An Ninh Mạng 2018 - Việt Nam

QUỐC HỘI



Luật số: /2018/QH14







Căn cứ Hiến pháp nước Cộng hòa xã hội chủ nghĩa Việt Nam;

Quốc hội ban hành Luật An ninh mạng.


Chương I
NHỮNG QUY ĐỊNH CHUNG


Điều 1. Phạm vi điều chỉnh
Luật này quy định về nguyên tắc, biện pháp, nội dung, hoạt động, điều kiện bảo đảm triển khai công tác an ninh mạng; trách nhiệm của cơ quan, tổ chức, cá nhân tham gia không gian mạng và có liên quan tới hoạt động bảo vệ an ninh mạng của nước Cộng hòa xã hội chủ nghĩa Việt Nam.

Điều 2. Đối tượng áp dụng
Luật này áp dụng đối với cơ quan, tổ chức, công dân Việt Nam, tổ chức, công dân nước ngoài trực tiếp tham gia hoặc có liên quan tới hoạt động trên không gian mạng và bảo vệ an ninh mạng của nước Cộng hòa xã hội chủ nghĩa Việt Nam.

Điều 3. Giải thích từ ngữ
Trong Luật này, các từ ngữ dưới đây được hiểu như sau:

1. Không gian mạng là mạng lưới kết nối toàn cầu của cơ sở hạ tầng công nghệ thông tin, bao gồm mạng internet, mạng viễn thông, hệ thống máy tính, hệ thống xử lý và điều khiển thông tin, là môi trường đặc biệt mà con người thực hiện các hành vi xã hội không bị giới hạn bởi không gian và thời gian.

2. Không gian mạng quốc gia là mạng lưới kết nối của cơ sở hạ tầng công nghệ thông tin, bao gồm mạng internet, mạng viễn thông, hệ thống máy tính, hệ thống xử lý và điều khiển thông tin, được xác định bằng phạm vi không gian mạng do Nhà nước quản lý, kiểm soát bằng chính sách, pháp luật và năng lực công nghệ.

3. An ninh mạng là khả năng bảo đảm thông tin, hệ thống thông tin và hoạt động của con người trên không gian mạng không gây phương hại đến chủ quyền, lợi ích, an ninh quốc gia, trật tự an toàn xã hội, bí mật nhà nước, quyền và lợi ích hợp pháp của tổ chức, cá nhân.

4. Bảo vệ an ninh mạng là phòng ngừa, phát hiện, ngăn chặn, đấu tranh, làm thất bại âm mưu, hoạt động sử dụng không gian mạng xâm phạm chủ quyền, lợi ích, an ninh quốc gia, trật tự an toàn xã hội.

5. Thông tin trên không gian mạng là thông tin được tạo lập, cung cấp, lưu trữ, truyền đưa, thu thập và xử lý thông qua không gian mạng.

6. Cơ sở hạ tầng không gian mạng quốc gia là hệ thống trang thiết bị phục vụ cho việc tạo lập, truyền đưa, thu thập, xử lý, lưu trữ và trao đổi thông tin, bao gồm:

a) Hệ thống truyền dẫn: hệ thống truyền dẫn quốc gia, hệ thống truyền dẫn kết nối quốc tế, hệ thống vệ tinh, hệ thống truyền dẫn của các doanh nghiệp cung cấp dịch vụ viễn thông, internet;

b) Hệ thống các dịch vụ lõi: hệ thống phân luồng và điều hướng thông tin quốc gia, hệ thống phân giải tên miền quốc gia (DNS), hệ thống chứng thực quốc gia (PKI/CA) và các hệ thống cung cấp dịch vụ kết nối, truy cập internet của các doanh nghiệp cung cấp dịch vụ viễn thông, internet;

c) Các dịch vụ, hệ thống ứng dụng công nghệ thông tin: dịch vụ trực tuyến (chính phủ điện tử, thương mại điện tử, báo điện tử, diễn đàn trực tuyến, mạng xã hội, blog…), hệ thống ứng dụng công nghệ thông tin có kết nối mạng phục vụ điều hành, quản lý, khai thác, vận hành của các cơ quan, tổ chức, tập đoàn kinh tế, tài chính quan trọng (bao gồm cả hệ thống điều khiển và giám sát tự động SCADA); cơ sở dữ liệu quốc gia.

7. Hệ thống thông tin quan trọng về an ninh quốc gia là hệ thống thông tin khi bị sự cố, phá hoại sẽ gây ảnh hưởng đến chủ quyền, lợi ích, an ninh quốc gia và tác động nghiêm trọng tới trật tự, an toàn xã hội.

8. Cổng kết nối mạng quốc tế là nơi diễn ra hoạt động chuyển nhận tín hiệu mạng qua lại giữa Việt Nam và quốc gia, vùng lãnh thổ khác.

9. Tội phạm mạng là hành vi sử dụng không gian mạng và công nghệ thông tin để thực hiện các hành vi nguy hiểm cho xã hội được quy định trong Bộ luật Hình sự.

10. Tấn công mạng là hoạt động sử dụng không gian mạng tấn công có chủ đích nhằm phá vỡ tính nguyên vẹn, tính bảo mật và tính khả dụng của thông tin và hệ thống thông tin.

11. Khủng bố mạng là hoạt động sử dụng không gian mạng để thực hiện hành vi khủng bố, tài trợ khủng bố.

12. Gián điệp mạng là hành vi bí mật thu thập hoặc tìm cách thu thập thông tin trên không gian mạng vì lợi ích của thực thể nhà nước hoặc phi nhà nước.

13. Chiến tranh mạng là trạng thái xã hội đặc biệt của đất nước khi lực lượng quân sự nước ngoài sử dụng không gian mạng cùng với hoạt động vũ trang nhằm gây chiến tranh xâm lược.

14. Tác chiến trên không gian mạng là hoạt động chủ động đấu tranh có tổ chức trên không gian mạng nằm trong thế trận an ninh nhân dân và nền quốc phòng toàn dân nhằm bảo vệ chủ quyền, lợi ích, an ninh quốc gia và trật tự an toàn xã hội.

15. Tài khoản số là thông tin dùng để chứng thực, phân quyền sử dụng các ứng dụng, dịch vụ bao gồm:

a) Tài khoản đăng nhập các trang web, blog, mạng xã hội;

b) Tài khoản tài chính (tài khoản ngân hàng trực tuyến, tài khoản tiền ảo, tài khoản giao dịch tài chính trên mạng);

c) Tài khoản đăng nhập các hệ điều hành máy tính, thiết bị di động thông minh như điện thoại, máy tính bảng, đồng hồ thông minh;

d) Tài khoản thư điện tử, dịch vụ điện tử;

đ) Tài khoản trò chơi trực tuyến trên mạng;

e) Các tài khoản trực tuyến khác.

16. Sản phẩm, dịch vụ mạng là phần cứng, thiết bị, phần mềm phục vụ hoạt động của không gian mạng hoặc được tạo lập, lưu trữ, truyền đưa trên không gian mạng.

17. Dịch vụ bảo đảm an ninh mạng là dịch vụ bảo đảm khả năng hoạt động bình thường của hệ thống thông tin, thông tin và hoạt động của con người trên không gian mạng; phòng ngừa, xử lý các hành vi vi phạm pháp luật trên không gian mạng.

18. Nguy cơ đe dọa an ninh mạng là mối đe dọa trên không gian mạng có thể xâm phạm hoặc đe dọa xâm phạm tới chủ quyền, lợi ích, an ninh quốc gia, trật tự an toàn xã hội, thông tin và hệ thống thông tin.

19. Phương thức phòng thủ mạng là hành động, biện pháp, thiết bị hoặc các phương thức khác được áp dụng cho hệ thống thông tin hoặc thông tin được lưu trữ, xử lý, truyền tải trong hệ thống thông tin nhằm phát hiện, phòng ngừa hoặc giảm thiểu các nguy cơ đe dọa an ninh mạng.

20. Kiểm tra, đánh giá an ninh mạng là hoạt động xác định thực trạng an ninh mạng của hệ thống thông tin, cơ sở hạ tầng không gian mạng hoặc thông tin được lưu trữ, xử lý, truyền tải trong hệ thống thông tin nhằm phòng ngừa, phát hiện, xử lý nguy cơ đe dọa an ninh mạng.

21. Dữ liệu mạng là thông tin dưới dạng ký hiệu, chữ viết, chữ số, hình ảnh, âm thanh hoặc dạng tương tự được tạo ra, thu thập, lưu trữ, truyền tải, xử lý thông qua không gian mạng.

22. Sự cố an ninh mạng là việc thông tin, hệ thống thông tin bị gây nguy hại, ảnh hưởng tới chủ quyền, lợi ích, an ninh quốc gia, trật tự an toàn xã hội, quyền và lợi ích hợp pháp của tổ chức, cá nhân.

23. Cơ quan chủ quản hệ thống thông tin là đơn vị có thẩm quyền quản lý trực tiếp đối với hệ thống thông tin.

Điều 4. Chính sách an ninh mạng
1. Bảo vệ an ninh mạng thúc đẩy phát triển kinh tế, xã hội, đối ngoại, khoa học kỹ thuật, nâng cao năng lực quốc phòng, an ninh của đất nước.

2. Áp dụng mọi biện pháp phòng chống và xử lý các nguy cơ đe dọa an ninh mạng, bảo vệ chủ quyền, lợi ích, an ninh quốc gia, trật tự an toàn xã hội trước các cuộc tấn công, xâm nhập, phá hoại và các hoạt động bất hợp pháp khác theo quy định của pháp luật.

3. Xây dựng không gian mạng lành mạnh. Các hành vi trên không gian mạng được ứng xử theo quy tắc, khuyến khích các hoạt động trung thực và văn minh trên không gian mạng, xử lý nghiêm minh các hành vi vi phạm theo quy định của pháp luật.

4. Bảo vệ quyền và lợi ích hợp pháp của tổ chức, cá nhân khi tham gia hoạt động trên không gian mạng theo pháp luật.

5. Khuyến khích tổ chức, cá nhân tham gia bảo đảm an ninh mạng và phối hợp với cơ quan chức năng bảo đảm an ninh mạng.

6. Thực hiện hợp tác quốc tế về an ninh mạng, góp phần bảo vệ không gian mạng hòa bình và minh bạch.

7. Ưu tiên bố trí kinh phí bảo đảm phục vụ công tác an ninh mạng.

Điều 5. Nguyên tắc bảo vệ an ninh mạng
1. Mọi hoạt động bảo vệ an ninh mạng phải tuân thủ Hiến pháp, pháp luật, bảo đảm lợi ích Nhà nước, quyền và lợi ích hợp pháp của tổ chức, cá nhân.

2. Bảo vệ an ninh mạng là trách nhiệm của mọi tổ chức, cá nhân. Huy động sức mạnh tổng hợp của hệ thống chính trị và toàn dân tộc; phát huy vai trò nòng cốt của các lực lượng công an, quân đội, thông tin và truyền thông, tuyên giáo, cơ yếu.

3. Đề cao trách nhiệm của các doanh nghiệp cung cấp dịch vụ viễn thông, internet và cơ quan chủ quản hệ thống thông tin quan trọng về an ninh quốc gia.

4. Chủ động phòng ngừa, phát hiện, ngăn chặn, đấu tranh, làm thất bại mọi âm mưu và hoạt động sử dụng không gian mạng xâm phạm chủ quyền, lợi ích, an ninh quốc gia, trật tự an toàn xã hội; sẵn sàng đáp trả các mối đe dọa chủ quyền, lợi ích, an ninh quốc gia trên không gian mạng.

Điều 6. Lực lượng chuyên trách bảo vệ an ninh mạng
1. Lực lượng An ninh mạng.

2. Lực lượng Tác chiến Không gian mạng.

3. Lực lượng An toàn thông tin mạng.

4. Lực lượng Cơ yếu.

Điều 7. Vị trí, chức năng của lực lượng chuyên trách bảo vệ an ninh mạng
1. Lực lượng An ninh mạng có trách nhiệm bảo vệ chủ quyền, lợi ích, an ninh quốc gia trên không gian mạng, phòng chống tấn công mạng, gián điệp mạng, khủng bố mạng; bảo đảm an ninh thông tin mạng; an ninh hệ thống mạng thông tin quan trọng về an ninh quốc gia; giám sát, dự báo, ứng phó và diễn tập ứng phó sự cố an ninh mạng; triển khai công tác bảo vệ an ninh mạng trên phạm vi toàn quốc; tham gia phòng chống chiến tranh mạng.

2. Lực lượng Tác chiến Không gian mạng có trách nhiệm phòng chống chiến tranh mạng, chiến tranh thông tin, chiến tranh điện tử do đối phương tiến hành; bảo vệ hệ thống mạng thông tin quân sự.

3. Lực lượng An toàn thông tin mạng có trách nhiệm bảo đảm an toàn thông tin mạng trên phạm vi toàn quốc.

4. Lực lượng Cơ yếu có trách nhiệm bảo vệ hệ thống mạng liên lạc cơ yếu; bảo vệ bí mật nhà nước bằng cơ yếu.

Điều 8. Biện pháp bảo vệ an ninh mạng
1. Các biện pháp bảo vệ an ninh mạng

a) Các biện pháp bảo vệ an ninh quốc gia;

b) Các biện pháp nghiệp vụ an ninh mạng;

c) Các biện pháp tác chiến trên không gian mạng;

d) Các biện pháp bảo vệ an toàn thông tin mạng;

đ) Các biện pháp khác theo quy định của pháp luật.

2. Chính phủ quy định chi tiết nội dung, điều kiện, thẩm quyền, trình tự, thủ tục và trách nhiệm áp dụng các biện pháp quy định tại điểm b, điểm c khoản 1 Điều này.

Điều 9. Hợp tác quốc tế về an ninh mạng
1. Tổ chức, cá nhân Việt Nam hợp tác về an ninh mạng với tổ chức, cá nhân nước ngoài, tổ chức quốc tế theo nguyên tắc tôn trọng độc lập, chủ quyền quốc gia, không can thiệp vào công việc nội bộ của nhau, bình đẳng và cùng có lợi.

2. Nội dung hợp tác quốc tế về an ninh mạng

a) Nghiên cứu, phân tích xu hướng an ninh mạng;

b) Cơ chế, chính sách đẩy mạnh hợp tác giữa tổ chức, cá nhân Việt Nam với tổ chức, cá nhân nước ngoài, tổ chức quốc tế hoạt động về an ninh mạng;

c) Chia sẻ thông tin, kinh nghiệm, hỗ trợ đào tạo, trang thiết bị, công nghệ bảo đảm an ninh mạng;

d) Phòng, chống tội phạm mạng, các hành vi xâm phạm an ninh mạng, ngăn ngừa các nguy cơ đe dọa an ninh mạng;

đ) Đào tạo, phát triển nguồn nhân lực an ninh mạng;

e) Tổ chức hội thảo, hội nghị và diễn đàn quốc tế về an ninh mạng;

g) Ký kết, gia nhập và thực hiện điều ước quốc tế song phương, đa phương và tham gia tổ chức khu vực, tổ chức quốc tế về an ninh mạng;

h) Thực hiện chương trình, dự án hợp tác quốc tế về an ninh mạng.

3. Bộ Công an giúp Chính phủ quản lý nhà nước trong hợp tác quốc tế về an ninh mạng. Các hoạt động hợp tác quốc tế về an ninh mạng của các bộ, ngành, địa phương phải có văn bản tham gia ý kiến của Bộ Công an trước khi triển khai.

Điều 10. Các hành vi bị nghiêm cấm
1. Sử dụng không gian mạng xâm phạm chủ quyền, lợi ích, an ninh quốc gia, trật tự an toàn xã hội.

2. Đăng tải, soạn thảo, tán phát thông tin xâm phạm quyền, lợi ích hợp pháp của tổ chức, cá nhân, trái đạo đức, thuần phong mỹ tục, chống nhà nước Cộng hòa xã hội chủ nghĩa Việt Nam trên không gian mạng.

3. Xâm nhập hoặc tìm cách xâm nhập qua không gian mạng thực hiện hành vi chiếm đoạt thông tin, tài liệu.

4. Soạn thảo, thu thập, lưu trữ, truyền đưa thông tin, tài liệu có nội dung thuộc danh mục bí mật nhà nước trên máy tính kết nối internet, thiết bị lưu trữ hoặc các thiết bị khác có kết nối internet; đăng tải thông tin, tài liệu có nội dung thuộc danh mục bí mật nhà nước trên không gian mạng.

5. Thực hiện, chuẩn bị thực hiện hành vi tấn công mạng, khủng bố mạng và các hành vi vi phạm pháp luật khác.

Điều 11. Khen thưởng
1. Cán bộ, chiến sỹ thuộc lực lượng chuyên trách bảo vệ an ninh mạng có thành tích trong chiến đấu, công tác thì được xét tặng thưởng huân chương, huy chương, danh hiệu vinh dự nhà nước và các hình thức khen thưởng khác theo quy định của pháp luật.

2. Cơ quan, tổ chức, cá nhân tham gia, phối hợp thực hiện công tác bảo vệ an ninh mạng khi có thành tích thì được khen thưởng theo quy định của pháp luật.

Điều 12. Xử lý vi phạm
1. Cá nhân có hành vi vi phạm pháp luật về an ninh mạng thì tùy theo tính chất, mức độ vi phạm mà bị xử lý kỷ luật, xử phạt hành chính hoặc bị truy cứu trách nhiệm hình sự, nếu gây thiệt hại thì phải bồi thường theo quy định của pháp luật.

2. Tổ chức có hành vi vi phạm pháp luật về an ninh mạng thì tùy theo tính chất, mức độ vi phạm mà bị xử phạt hành chính, đình chỉ hoạt động, nếu gây thiệt hại thì phải bồi thường theo quy định của pháp luật.


Chương II
BẢO VỆ AN NINH MẠNG

Mục 1
BẢO VỆ HỆ THỐNG THÔNG TIN QUAN TRỌNG
VỀ AN NINH QUỐC GIA

Điều 13. Hệ thống thông tin quan trọng về an ninh quốc gia
1. Tiêu chí xác định hệ thống thông tin quan trọng về an ninh quốc gia

Hệ thống thông tin quan trọng về an ninh quốc gia được xác định theo tính chất quan trọng đối với an ninh quốc gia, trật tự an toàn xã hội của hệ thống thông tin và mức độ hậu quả, thiệt hại có thể xảy ra khi hệ thống thông tin bị xâm hại:

a) Gây ảnh hưởng đến chủ quyền, lợi ích, an ninh quốc gia.

b) Gây ảnh hưởng nghiêm trọng đến trật tự an toàn xã hội.

2. Hệ thống thông tin quan trọng về an ninh quốc gia

a) Hệ thống thông tin phục vụ bảo vệ an ninh quốc gia;

b) Hệ thống thông tin xử lý thông tin bí mật nhà nước;

c) Hệ thống thông tin quốc gia phục vụ phát triển Chính phủ điện tử;

d) Hệ thống thông tin của lĩnh vực năng lượng, tài chính, giao thông vận tải, hóa chất;

đ) Hệ thống điều khiển và giám sát tự động tại các công trình trọng yếu quốc gia, mục tiêu quan trọng về an ninh quốc gia;

e) Hệ thống thông tin phục vụ phát thanh, truyền hình, báo chí, xuất bản;

g) Hệ thống thông tin phục vụ lưu trữ dữ liệu tập trung đối với một loại hình thông tin, dữ liệu đặc biệt quan trọng quốc gia;

h) Hệ thống cơ sở hạ tầng thông tin quốc gia phục vụ kết nối liên thông hoạt động của Việt Nam với quốc tế.

3. Hệ thống thông tin quan trọng về an ninh quốc gia theo quy định tại khoản 2 Điều này được phân loại theo các tiêu chí cụ thể và thể hiện tại Danh mục hệ thống thông tin quan trọng về an ninh quốc gia. Chính phủ quy định chi tiết về Danh mục hệ thống thông tin quan trọng về an ninh quốc gia.

Điều 14. Bảo đảm an ninh mạng đối với hệ thống thông tin quan trọng về an ninh quốc gia
1. Bảo đảm an ninh mạng đối với hệ thống thông tin quan trọng về an ninh quốc gia là trách nhiệm của hệ thống chính trị và toàn xã hội, trước hết là trách nhiệm của cơ quan chủ quản.

2. Nội dung bảo đảm an ninh mạng đối với hệ thống thông tin quan trọng về an ninh quốc gia

a) Xác định cấp độ bảo vệ an ninh mạng và áp dụng các tiêu chuẩn, quy chuẩn kỹ thuật về an ninh mạng tương xứng;

b) Phối hợp với cơ quan chuyên trách bảo vệ an ninh mạng thuộc Bộ Công an thẩm định về an ninh mạng trước khi hệ thống thông tin quan trọng về an ninh quốc gia được đưa vào vận hành, sử dụng;

c) Kiểm tra, đánh giá an ninh mạng;

d) Giám sát an ninh mạng đối với hệ thống thông tin do mình quản lý;

đ) Phòng, chống tấn công mạng, ứng phó, khắc phục sự cố an ninh mạng;

g) Đào tạo, nâng cao năng lực bảo vệ an ninh mạng;

h) Phối hợp với cơ quan chuyên trách bảo vệ an ninh mạng thuộc Bộ Công an áp dụng các biện pháp kỹ thuật, nghiệp vụ để bảo đảm an ninh mạng đối với hệ thống thông tin quan trọng về an ninh quốc gia.

3. Cơ quan chủ quản hệ thống thông tin quan trọng về an ninh quốc gia tuân thủ nghiêm các quy định của pháp luật, áp dụng các tiêu chuẩn, biện pháp cần thiết để bảo vệ hệ thống thông tin quan trọng về an ninh quốc gia theo nguyên tắc kiểm tra, đánh giá trước, sử dụng sau và thường xuyên kiểm tra trong quá trình sử dụng.

Điều 15. Quản lý nhà nước về an ninh mạng đối với hệ thống thông tin quan trọng về an ninh quốc gia
1. Nội dung quản lý nhà nước về an ninh mạng đối với hệ thống thông tin quan trọng về an ninh quốc gia

a) Xây dựng các tiêu chuẩn, quy chuẩn kỹ thuật về an ninh mạng;

b) Thẩm định về an ninh mạng;

c) Kiểm tra, đánh giá an ninh mạng;

d) Đánh giá, chứng nhận hợp chuẩn, hợp quy về an ninh mạng;

đ) Giám sát an ninh mạng;

e) Phòng, chống tấn công mạng, ứng phó, khắc phục sự cố an ninh mạng;

g) Đào tạo, nâng cao năng lực bảo vệ an ninh mạng;

h) Chia sẻ thông tin an ninh mạng giữa các cơ quan nhà nước, các tổ chức, doanh nghiệp, cá nhân.

2. Bộ Công an chủ trì, phối hợp với Bộ Quốc phòng, Bộ Thông tin và Truyền thông, Ban Cơ yếu Chính phủ thực hiện nhiệm vụ quản lý nhà nước về an ninh mạng đối với hệ thống thông tin quan trọng về an ninh quốc gia.

Điều 16. Thẩm định an ninh mạng đối với hệ thống thông tin quan trọng về an ninh quốc gia
1. Trước khi hệ thống thông tin quan trọng về an ninh quốc gia được đưa vào vận hành, sử dụng phải được Bộ Công an thẩm định về an ninh mạng.

2. Nội dung thẩm định về an ninh mạng

a) Sự phù hợp của hệ thống thông tin với cấp độ bảo vệ an ninh mạng;

b) Sự phù hợp của phương án bảo đảm an ninh mạng trong thiết kế, thi công, vận hành hệ thống thông tin;

c) Khả năng bảo mật và phòng, chống tấn công mạng;

d) Sự phù hợp với phương án ứng phó, khắc phục sự cố an ninh mạng;

đ) Nhân lực quản lý, vận hành hệ thống thông tin.

3. Khi mua các sản phẩm, dịch vụ mạng để đưa vào sử dụng trong hệ thống thông tin quan trọng về an ninh quốc gia, cơ quan chủ quản hệ thống thông tin phải yêu cầu doanh nghiệp cung cấp cam kết về nguồn gốc và mức độ bảo mật.

4. Đối với các sản phẩm, dịch vụ mạng được tổ chức, cá nhân tặng hoặc được hỗ trợ trang bị, cơ quan chủ quản hệ thống thông tin phải đề nghị Bộ Công an kiểm tra, đánh giá về mức độ bảo đảm an ninh mạng trước khi đưa vào sử dụng tại hệ thống thông tin quan trọng về an ninh quốc gia.

5. Bộ Công an chủ trì, phối hợp với Ban Cơ yếu Chính phủ thẩm định an ninh mạng đối với hệ thống mạng liên lạc cơ yếu.

Điều 17. Kiểm tra, đánh giá an ninh mạng đối với hệ thống thông tin quan trọng về an ninh quốc gia
1. Kiểm tra, đánh giá an ninh mạng đối với hệ thống thông tin quan trọng về an ninh quốc gia nhằm phòng ngừa, phát hiện, loại bỏ các mối đe dọa an ninh mạng vào các nguồn tài nguyên thông tin và đưa ra các phương án, biện pháp bảo đảm hoạt động bình thường của hệ thống thông tin quan trọng về an ninh quốc gia.

2. Kiểm tra, đánh giá an ninh mạng đối với hệ thống thông tin quan trọng về an ninh quốc gia trên cơ sở:

a) Phân tích dữ liệu thu được khi sử dụng các phương tiện kỹ thuật kiểm tra hệ thống thông tin, bao gồm cả thông tin về các dấu hiệu tấn công vào hệ thống thông tin.

b) Các tài liệu thu được thông qua hoạt động quản lý nhà nước trong lĩnh vực an ninh mạng;

c) Các thông tin khác phù hợp với pháp luật nước Cộng hòa xã hội chủ nghĩa Việt Nam.

3. Nội dung kiểm tra, đánh giá an ninh mạng đối với hệ thống thông tin quan trọng về an ninh quốc gia

a) Hệ thống phần cứng, phần mềm được sử dụng trong hệ thống thông tin;

b) Quy định, chính sách, biện pháp bảo vệ an ninh mạng;

c) Phương án ứng phó, khắc phục sự cố của cơ quan chủ quản hệ thống thông tin.

d) Các tiêu chuẩn bảo mật thông tin tránh rò rỉ qua các kênh kỹ thuật;

đ) Đội ngũ nhân lực bảo vệ an ninh mạng.

4. Cơ quan chủ quản hệ thống thông tin quan trọng về an ninh quốc gia kiểm tra, đánh giá an ninh mạng tối thiểu 01 năm/lần và kiểm tra thường xuyên khi tình hình an ninh mạng có khả năng tác động tới hệ thống thông tin do mình quản lý.

5. Bộ Công an chủ trì, phối hợp với Ban Cơ yếu Chính phủ kiểm tra, đánh giá an ninh mạng đối với hệ thống mạng liên lạc cơ yếu.

Điều 18. Giám sát, cảnh báo, ứng phó, khắc phục sự cố an ninh mạng xảy ra đối với hệ thống thông tin quan trọng về an ninh quốc gia
1. Giám sát an ninh mạng đối với hệ thống thông tin quan trọng về an ninh quốc gia được thực hiện thường xuyên, liên tục nhằm phòng ngừa, phát hiện các mối đe dọa an ninh mạng và khắc phục các điểm yếu, lỗ hổng bảo mật, loại bỏ mã độc tồn tại trong hệ thống thông tin.

2. Cơ quan chủ quản hệ thống thông tin quan trọng về an ninh quốc gia có trách nhiệm xây dựng cơ chế cảnh báo các mối đe dọa an ninh mạng, đề ra phương án ứng phó, khắc phục khẩn cấp sự cố an ninh mạng xảy ra đối với hệ thống thông tin của đơn vị mình.

3. Khi xảy ra sự cố an ninh mạng, cơ quan chủ quản hệ thống thông tin quan trọng về an ninh quốc gia phải kịp thời thông báo và phối hợp với Bộ Công an:

a) Thu thập, báo cáo thông tin liên quan, tăng cường giám sát tình hình sự cố;

b) Phân tích, đánh giá, dự đoán khả năng phát sinh, phạm vi ảnh hưởng, mức độ nguy hại;

c) Tổ chức ứng phó, khắc phục.

4. Bộ trưởng Bộ Công an thông báo tình hình liên quan đến sự cố an ninh mạng; tạm thời hạn chế hoạt động của hệ thống thông tin tại một số khu vực khi thấy cần thiết.

5. Bộ Công an có trách nhiệm:

a) Giám sát an ninh mạng đối với hệ thống thông tin quan trọng về an ninh quốc gia, ngoại trừ hệ thống thông tin quân sự do Bộ Quốc phòng quản lý;

b) Chủ trì, phối hợp với Bộ Thông tin và Truyền thông, Bộ Quốc phòng trong huy động lực lượng, cơ sở vật chất kỹ thuật ứng phó, khắc phục sự cố an ninh mạng xảy ra đối với hệ thống thông tin quan trọng về an ninh quốc gia;

c) Phối hợp với Ban Cơ yếu Chính phủ giám sát an ninh mạng với hệ thống mạng liên lạc cơ yếu do Ban Cơ yếu Chính phủ quản lý;

d) Triển khai các giải pháp kỹ thuật, nghiệp vụ tại các hệ thống thông tin quan trọng về an ninh quốc gia nhằm phòng ngừa, phát hiện, xử lý các nguy cơ đe dọa an ninh mạng.


Mục 2
GIÁM SÁT, DỰ BÁO, ỨNG PHÓ VÀ DIỄN TẬP PHÒNG,
CHỐNG TẤN CÔNG MẠNG, KHẮC PHỤC SỰ CỐ AN NINH MẠNG


Điều 19. Giám sát an ninh mạng
1. Giám sát an ninh mạng là hoạt động thu thập, nhận biết, rà quét, xử lý thông tin một cách có hệ thống nhằm xác định những nhân tố gây ảnh hưởng đến an ninh mạng hoặc có khả năng gây ra sự cố an ninh mạng.

2. Đối tượng giám sát an ninh mạng gồm hệ thống tường lửa, kiểm soát truy nhập, truyền thông tin chủ yếu, kiểm soát lưu lượng mạng, máy chủ quan trọng, thiết bị quan trọng hoặc thiết bị đầu cuối.

3. Thông tin thu thập được qua biện pháp giám sát an ninh mạng chỉ được cơ quan nhà nước có thẩm quyền sử dụng để bảo vệ an ninh quốc gia, trật tự an toàn xã hội, tuyệt đối không được sử dụng cho mục đích khác.

4. Bộ Công an thực hiện giám sát an ninh mạng trên phạm vi cả nước, ngoại trừ hệ thống thông tin quân sự do Bộ Quốc phòng quản lý; phối hợp với Ban Cơ yếu Chính phủ giám sát an ninh mạng với hệ thống mạng liên lạc cơ yếu do Ban Cơ yếu Chính phủ quản lý.

5. Bộ Quốc phòng thực hiện giám sát an ninh mạng đối với hệ thống thông tin quân sự theo chức năng, nhiệm vụ được giao.

6. Doanh nghiệp cung cấp dịch vụ viễn thông, internet, công nghệ thông tin, an ninh mạng có trách nhiệm phối hợp với cơ quan chuyên trách bảo vệ an ninh mạng trong giám sát an ninh mạng nhằm bảo vệ an ninh quốc gia, trật tự an toàn xã hội.

Điều 20. Dự báo an ninh mạng
1. Dự báo an ninh mạng là hoạt động khoa học trên cơ sở phân tích, xử lý số liệu, dữ liệu mạng thu được để xác định xu hướng vận động của an ninh mạng.

2. Quy trình dự báo an ninh mạng

a) Xác định mục tiêu dự báo;

b) Xác định nội dung dự báo an ninh mạng;

c) Thu thập số liệu và tiến hành dự báo;

d) Ứng dụng kết quả dự báo, lập kế hoạch phòng ngừa, ứng phó;

đ) Theo dõi, đánh giá kết quả dự báo.

3. Bộ Công an chủ trì, phối hợp với bộ, ngành liên quan nghiên cứu, phân tích tình hình, dự báo xu hướng an ninh mạng và lập kế hoạch phòng ngừa, ứng phó với sự cố an ninh mạng.

4. Tùy từng trường hợp cụ thể, cơ quan chuyên trách bảo vệ an ninh mạng gửi dự báo của mình tới các tổ chức, cá nhân trong và ngoài nước.

Điều 21. Diễn tập phòng, chống tấn công mạng
1. Hằng năm, Bộ Công an chủ trì, phối hợp với các bộ, ngành chức năng, các cơ quan, tổ chức trong và ngoài nước diễn tập phòng, chống tấn công mạng.

2. Phương án diễn tập phòng, chống tấn công mạng đối với hệ thống thông tin quan trọng về an ninh quốc gia bao gồm phương án tổng thể và phương án cụ thể áp dụng với từng hệ thống thông tin.

3. Kết quả công tác diễn tập phòng, chống tấn công mạng là căn cứ để đánh giá tình trạng nhân lực bảo vệ an ninh mạng, mức độ sẵn sàng và hiệu quả của phương án phòng, chống tấn công mạng.

Điều 22. Ứng phó, khắc phục sự cố an ninh mạng
1. Ứng phó, khắc phục sự cố an ninh mạng là trách nhiệm của cơ quan chủ quản hệ thống thông tin.

2. Cơ quan, tổ chức, cá nhân xây dựng các phương án ứng phó, khắc phục sự cố an ninh mạng đối với hệ thống thông tin do mình quản lý.

3. Các bộ, ngành, địa phương, cơ quan nhà nước chỉ định bộ phận chuyên trách ứng phó, khắc phục sự cố an ninh mạng.

4. Bộ Công an có trách nhiệm:

a) Điều phối hoạt động ứng phó, khắc phục sự cố an ninh mạng xảy ra đối với hệ thống thông tin quan trọng về an ninh quốc gia, khi xảy ra tình huống khẩn cấp về an ninh mạng, sự cố an ninh mạng xảy ra gây ảnh hưởng tới chủ quyền, lợi ích, an ninh quốc gia trên phạm vi cả nước;

b) Tham gia ứng phó, khắc phục sự cố an ninh mạng đối với hệ thống thông tin quan trọng về an ninh quốc gia khi có yêu cầu; chi phí ứng phó, khắc phục sự cố do cơ quan chủ quản hệ thống thông tin quan trọng về an ninh quốc gia chi trả;

c) Tổ chức diễn tập ứng phó, khắc phục sự cố an ninh mạng.

d) Thông báo cho các cơ quan chủ quản hệ thống thông tin quan trọng về an ninh quốc gia khi phát hiện có tấn công mạng, sự cố mạng.

Điều 23. Ngừng cung cấp thông tin mạng
Trường hợp cần thiết, Bộ Công an đề xuất Chính phủ ngừng cung cấp thông tin mạng tại các khu vực cụ thể để ứng phó, khắc phục sự cố an ninh mạng, bảo vệ chủ quyền, lợi ích, an ninh quốc gia, bảo đảm trật tự, an toàn xã hội.


Mục 3
TIÊU CHUẨN, QUY CHUẨN KỸ THUẬT AN NINH MẠNG

Điều 24. Xây dựng tiêu chuẩn, quy chuẩn kỹ thuật an ninh mạng
1. Nhà nước khuyến khích cơ quan, tổ chức, cá nhân xây dựng tiêu chuẩn, quy chuẩn kỹ thuật về an ninh mạng, tham gia bảo vệ an ninh mạng phù hợp với quy định của pháp luật

2. Bộ Công an chủ trì, phối hợp với cơ quan có liên quan xây dựng dự thảo tiêu chuẩn quốc gia về an ninh mạng, đề nghị thẩm định và công bố tiêu chuẩn quốc gia về an ninh mạng; chủ trì xây dựng và ban hành quy chuẩn kỹ thuật quốc gia về an ninh mạng theo quy định của pháp luật.

3. Bộ Khoa học và Công nghệ chủ trì, phối hợp với cơ quan có liên quan tổ chức thẩm định và công bố tiêu chuẩn quốc gia về an ninh mạng; thẩm định dự thảo quy chuẩn kỹ thuật quốc gia về an ninh mạng theo quy định của pháp luật.

Điều 25. Chứng nhận, công bố hợp chuẩn, hợp quy về an ninh mạng
1. Chứng nhận, công bố hợp chuẩn về an ninh mạng

a) Chứng nhận hợp chuẩn về an ninh mạng là việc xác nhận sự phù hợp của hệ thống thông tin, phần cứng, phần mềm, hệ thống quản lý, vận hành hệ thống thông tin phù hợp với tiêu chuẩn quốc gia về an ninh mạng tương ứng;

b) Công bố hợp chuẩn về an ninh mạng là việc tổ chức, doanh nghiệp công bố sự phù hợp của hệ thống thông tin, phần cứng, phần mềm, hệ thống quản lý, vận hành hệ thống thông tin phù hợp với tiêu chuẩn quốc gia về an ninh mạng tương ứng

2. Chứng nhận, công bố hợp quy về an ninh mạng

a) Chứng nhận hợp quy về an ninh mạng là việc xác nhận sự phù hợp của hệ thống thông tin, phần cứng, phần mềm, hệ thống quản lý, vận hành hệ thống thông tin phù hợp với quy chuẩn kỹ thuật quốc gia về an ninh mạng tương ứng;

b) Công bố hợp quy về an ninh mạng là việc tổ chức, doanh nghiệp công bố sự phù hợp của hệ thống thông tin, phần cứng, phần mềm, hệ thống quản lý, vận hành an ninh mạng phù hợp với quy chuẩn kỹ thuật quốc gia về an ninh mạng tương ứng;

3. Bộ Công an có trách nhiệm:

a) Thông báo bằng văn bản tới cơ quan chủ quản hệ thống thông tin quan trọng quốc gia khi hệ thống thông tin quan trọng về an ninh quốc gia do cơ quan này quản lý, vận hành không đáp ứng được các quy chuẩn kỹ thuật về an ninh mạng;

b) Đề xuất hình thức xử lý đối với cá nhân có liên quan khi hệ thống thông tin quan trọng về an ninh quốc gia không đáp ứng được các quy chuẩn kỹ thuật về an ninh mạng để xảy ra sự cố an ninh mạng;

c) Trường hợp khẩn cấp, đề xuất Chính phủ ra Quyết định đình chỉ hoặc tạm đình chỉ hệ thống thông tin quan trọng về an ninh quốc gia để khắc phục, xử lý.

Điều 26. Đánh giá hợp chuẩn, hợp quy về an ninh mạng
1. Việc chứng nhận hợp chuẩn về an ninh mạng được thực hiện đối với các sản phẩm, hàng hóa không lệ thuộc hệ thống thông tin quan trọng về an ninh quốc gia theo quy định của pháp luật về điều kiện kinh doanh dịch vụ đánh giá sự phù hợp.

2. Việc chứng nhận hợp quy về an ninh mạng được thực hiện đối với các sản phẩm, hàng hóa có khả năng gây mất an ninh mạng đối với hệ thống thông tin quan trọng về an ninh quốc gia theo quy định trong các quy chuẩn kỹ thuật quốc gia tương ứng trước khi đưa ra lưu thông trên thị trường, trước khi đưa vào hệ thống thông tin quan trọng về an ninh quốc gia, trước khi đưa hệ thống thông tin quan trọng về an ninh quốc gia vào hoạt động.

3. Việc chứng nhận hợp quy về an ninh mạng đối với hệ thống thông tin quan trọng về an ninh quốc gia và phục vụ hoạt động quản lý nhà nước về an ninh mạng do tổ chức chứng nhận đã đăng ký hoặc được chỉ định thực hiện theo quy định của pháp luật.

4. Cơ quan chủ quản hệ thống thông tin quan trọng về an ninh quốc gia có trách nhiệm phối hợp, chấp hành các yêu cầu của Bộ Công an trong đánh giá hợp quy về an ninh mạng.

5. Việc thừa nhận kết quả đánh giá hợp chuẩn, hợp quy về an ninh mạng giữa Việt Nam với quốc gia, vùng lãnh thổ khác, giữa tổ chức đánh giá sự phù hợp của Việt Nam với tổ chức đánh giá sự phù hợp của quốc gia, vùng lãnh thổ khác được thực hiện theo quy định của pháp luật về tiêu chuẩn, quy chuẩn kỹ thuật.

Điều 27. Yêu cầu bảo đảm an ninh mạng trong sản xuất, kinh doanh sản phẩm, dịch vụ mạng
1. Tổ chức, cá nhân sản xuất, kinh doanh sản phẩm, dịch vụ mạng phải bảo đảm các yêu cầu sau:

a) Bảo đảm các sản phẩm, dịch vụ mạng không cài đặt chương trình độc hại;

b) Kiểm tra chất lượng trước khi cung cấp ra thị trường, trước khi sử dụng nhằm xác định, loại bỏ những nội dung, yếu tố không bảo đảm an ninh mạng;

c) Chất lượng sản phẩm, dịch vụ mạng phù hợp với tiêu chuẩn, quy chuẩn kỹ thuật an ninh mạng công bố áp dụng tương ứng;

d) Áp dụng các biện pháp khắc phục hậu quả, kịp thời thông báo đến người dùng và báo cáo cơ quan quản lý nhà nước liên quan khi phát hiện sản phẩm, dịch vụ mạng tồn tại lỗi, lỗ hổng bảo mật;

đ) Sản phẩm, dịch vụ mạng có chức năng thu thập thông tin người dùng phải thể hiện, thông báo rõ để người dùng biết và phải được sự đồng ý của người dùng.

2. Sản phẩm, dịch vụ mạng sử dụng trong cơ quan, tổ chức có bí mật nhà nước, hệ thống thông tin quan trọng về an ninh quốc gia, phục vụ lãnh đạo Nhà nước phải phù hợp với yêu cầu, tiêu chuẩn quốc gia, quy chuẩn kỹ thuật về an ninh mạng đối với sản phẩm, dịch vụ mạng và chỉ được bán, cung cấp, sử dụng sau khi bảo đảm yêu cầu và đáp ứng tiêu chuẩn chứng nhận hợp chuẩn, hợp quy về an ninh mạng của cơ quan có thẩm quyền.


Mục 4
CẤP PHÉP KINH DOANH DỊCH VỤ BẢO ĐẢM AN NINH MẠNG

Điều 28. Dịch vụ bảo đảm an ninh mạng
1. Dịch vụ kiểm tra, đánh giá an ninh mạng.

2. Dịch vụ tư vấn an ninh mạng.

3. Dịch vụ giám sát an ninh mạng.

4. Dịch vụ ứng phó, khắc phục sự cố an ninh mạng.

5. Dịch vụ phòng, chống tấn công mạng.

6. Dịch vụ kiểm thử an ninh mạng.

Điều 29. Cấp phép kinh doanh dịch vụ bảo đảm an ninh mạng
1. Doanh nghiệp chỉ được cung cấp dịch vụ bảo đảm an ninh mạng cho hệ thống thông tin quan trọng về an ninh quốc gia, hệ thống thông tin của cơ quan, doanh nghiệp nhà nước khi có Giấy phép của Bộ Công an.

2. Bộ công an có trách nhiệm:

a) Cấp Giấy phép kinh doanh dịch vụ bảo đảm an ninh mạng cho doanh nghiệp cung cấp dịch vụ bảo đảm an ninh mạng cho hệ thống thông tin quan trọng về an ninh quốc gia, hệ thống thông tin của cơ quan, doanh nghiệp nhà nước;

b) Ban hành danh mục biểu mẫu thủ tục hành chính bằng văn bản quy phạm pháp luật về cấp Giấy phép kinh doanh dịch vụ bảo đảm an ninh mạng;

c) Kiểm tra, đánh giá chất lượng cung cấp dịch vụ bảo đảm an ninh mạng cho hệ thống thông tin quan trọng về an ninh quốc gia, hệ thống thông tin của cơ quan, doanh nghiệp nhà nước của doanh nghiệp được cấp giấy phép.

Điều 30. Điều kiện cấp Giấy phép kinh doanh dịch vụ bảo đảm an ninh mạng
1. Doanh nghiệp đăng ký kinh doanh dịch vụ bảo đảm an ninh mạng cần bảo đảm các điều kiện sau:

a) Là doanh nghiệp được thành lập và hoạt động hợp pháp trên lãnh thổ Việt Nam;

b) Người đại diện theo pháp luật là công dân Việt Nam, thường trú tại Việt Nam;

c) Đáp ứng tiêu chuẩn số lượng về đội ngũ nhân viên kỹ thuật có bằng đại học chuyên ngành hoặc chứng chỉ an ninh mạng, công nghệ thông tin, viễn thông;

d) Có mô tả về phương án kinh doanh dịch vụ bảo đảm an ninh mạng;

đ) Có hệ thống trang thiết bị, cơ sở vật chất và công nghệ phù hợp với mô tả về phương án kinh doanh dịch vụ an ninh mạng.

2. Doanh nghiệp có vốn đầu tư nước ngoài được cấp Giấy phép kinh doanh dịch vụ bảo đảm an ninh mạng với quy định áp dụng với doanh nghiệp Việt Nam, trừ trường hợp kinh doanh dịch vụ bảo đảm an ninh mạng với hệ thống thống thông tin quan trọng về an ninh quốc gia được quy định tại điểm a, b, đ, g Khoản 2 Điều 13 Luật này.

Điều 31. Hồ sơ đề nghị cấp Giấy phép kinh doanh dịch vụ bảo đảm an ninh mạng
1. Cơ sở đề nghị cấp Giấy phép kinh doanh dịch vụ bảo đảm an ninh mạng nộp hồ sơ đề nghị cấp Giấy phép tại Bộ Công an hoặc nộp hồ sơ trực tuyến trên Hệ thống cung cấp dịch vụ công trực tuyến do Bộ Công an quản lý, vận hành.

2. Hồ sơ đề nghị cấp Giấy phép kinh doanh dịch vụ bảo đảm an ninh mạng, gồm:

a) Đơn đề nghị cấp Giấy phép kinh doanh dịch vụ bảo đảm an ninh mạng;

b) Bản sao Giấy chứng nhận đăng ký doanh nghiệp, Giấy chứng nhận đăng ký đầu tư hoặc giấy tờ khác có giá trị tương đương;

c) Bản thuyết minh hệ thống thiết bị kỹ thuật bảo đảm phù hợp với quy định của pháp luật;

d) Bản mô tả phương án kinh doanh gồm phạm vi, đối tượng cung cấp dịch vụ, tiêu chuẩn, chất lượng dịch vụ;

đ) Bản sao văn bằng hoặc chứng chỉ chuyên môn về an ninh mạng, công nghệ thông tin, viễn thông của đội ngũ quản lý, điều hành, kỹ thuật bảo đảm theo tiêu chuẩn số lượng tương ứng.

Điều 32. Thẩm định hồ sơ và cấp Giấy phép kinh doanh dịch vụ bảo đảm an ninh mạng
1. Trong thời hạn 20 ngày kể từ ngày nhận đủ hồ sơ, Bộ Công an chủ trì, phối hợp với bộ, ngành có liên quan thẩm định và cấp Giấy phép kinh doanh dịch vụ bảo đảm an ninh mạng; trường hợp từ chối cấp thì phải thông báo bằng văn bản và nêu rõ lý do.

2. Giấy phép kinh doanh dịch vụ bảo đảm an ninh mạng có nội dung chính sau đây:

a) Tên doanh nghiệp, tên giao dịch của doanh nghiệp bằng tiếng Việt và tiếng nước ngoài (nếu có); địa chỉ trụ sở chính tại Việt Nam;

b) Tên của người đại diện theo pháp luật;

c) Số giấy phép, ngày cấp giấy phép, ngày hết hạn giấy phép;

d) Dịch vụ an ninh mạng được phép kinh doanh.

3. Doanh nghiệp được cấp Giấy phép kinh doanh dịch vụ bảo đảm an ninh mạng phải nộp lệ phí theo quy định của pháp luật.

Điều 33. Sửa đổi, bổ sung, gia hạn, tạm đình chỉ, thu hồi và cấp lại Giấy phép kinh doanh dịch vụ bảo đảm an ninh mạng
1. Việc sửa đổi, bổ sung Giấy phép kinh doanh dịch vụ bảo đảm an ninh mạng được thực hiện trong trường hợp doanh nghiệp đã được cấp Giấy phép thay đổi tên, thay đổi người đại diện theo pháp luật hoặc thay đổi, bổ sung dịch vụ bảo đảm an ninh mạng mà mình cung cấp.

Doanh nghiệp kinh doanh dịch vụ bảo đảm an ninh mạng có trách nhiệm nộp hồ sơ đề nghị sửa đổi, bổ sung nội dung Giấy phép tại Bộ Công an. Hồ sơ được lập thành hai bộ, gồm đơn đề nghị sửa đổi, bổ sung nội dung Giấy phép, báo cáo mô tả chi tiết nội dung đề nghị sửa đổi, bổ sung và các tài liệu khác có liên quan.

Trong thời hạn 10 ngày làm việc kể từ ngày nhận đủ hồ sơ, Bộ Công an thẩm định, sửa đổi, bổ sung và cấp lại Giấy phép cho doanh nghiệp; trường hợp từ chối cấp thì phải thông báo bằng văn bản và nêu rõ lý do.

2. Trường hợp Giấy phép kinh doanh dịch vụ an ninh mạng bị mất hoặc bị hư hỏng, doanh nghiệp gửi đơn đề nghị cấp lại Giấy phép tới Bộ Công an, trong đơn nêu rõ lý do. Trong thời hạn 05 ngày làm việc kể từ ngày nhận được đơn đề nghị, Bộ Công an xem xét và cấp lại Giấy phép cho doanh nghiệp.

3. Doanh nghiệp bị tạm đình chỉ hoạt động kinh doanh dịch vụ bảo đảm an ninh mạng có thời hạn không quá 06 tháng trong các trường hợp sau đây:

a) Cung cấp dịch vụ không đúng với nội dung ghi trên Giấy phép;

b) Không đáp ứng được một trong các điều kiện quy định tại Điều 42 của Luật này;

c) Các trường hợp khác theo quy định của pháp luật.

4. Doanh nghiệp bị thu hồi Giấy phép kinh doanh dịch vụ bảo đảm an ninh mạng trong các trường hợp sau đây:

a) Không triển khai cung cấp dịch vụ trong thời hạn 01 năm kể từ ngày được cấp Giấy phép mà không có lý do chính đáng;

b) Giấy phép đã hết hạn;

c) Hết thời hạn tạm đình chỉ mà doanh nghiệp không khắc phục được các lý do quy định tại khoản 4 Điều này.


Mục 5
PHÒNG NGỪA, ĐẤU TRANH VỚI HOẠT ĐỘNG
SỬ DỤNG KHÔNG GIAN MẠNG XÂM PHẠM AN NINH QUỐC GIA

Điều 34. Xử lý thông tin có nội dung kích động tụ tập đông người gây rối an ninh, trật tự trên không gian mạng
1. Kích động tụ tập đông người gây rối an ninh, trật tự trên không gian mạng là hành vi sử dụng không gian mạng đăng tải, tán phát thông tin, vận động, kêu gọi người khác tham gia tụ tập đông người gây rối an ninh, trật tự.

2. Các biện pháp xử lý thông tin có nội dung kích động tụ tập đông người gây rối an ninh, trật tự trên không gian mạng:

a) Yêu cầu tổ chức, cá nhân có liên quan gỡ bỏ, đính chính thông tin;

b) Ngăn chặn, xóa bỏ thông tin;

c) Tạm đình chỉ, đình chỉ hoặc thu hồi giấy phép hoạt động của dịch vụ đăng tải thông tin;

d) Điều tra, xử lý theo quy định của pháp luật.

3. Các doanh nghiệp cung cấp dịch vụ viễn thông, internet và cơ quan chủ quản hệ thống thông tin có trách nhiệm phối hợp chặt chẽ với cơ quan chức năng xử lý thông tin có nội dung kích động tụ tập đông người gây rối an ninh, trật tự trên không gian mạng.

4. Bộ Công an chủ trì, phối hợp với các bộ, ngành liên quan xử lý thông tin có nội dung kích động tụ tập đông người gây rối an ninh, trật tự trên không gian mạng.

Điều 35. Xử lý thông tin có nội dung xâm phạm quyền, lợi ích hợp pháp của tổ chức, cá nhân, trái đạo đức, thuần phong mỹ tục, chống nhà nước Cộng hòa xã hội chủ nghĩa Việt Nam trên không gian mạng
1. Nhà nước thực thi chính sách quản lý, ngăn chặn đăng tải, hiển thị, gỡ bỏ và xử lý trách nhiệm của chủ thể đăng tải thông tin có nội dung xâm phạm quyền, lợi ích hợp pháp của tổ chức, cá nhân, làm nhục, vu khống, trái đạo đức, thuần phong mỹ tục, chống Nhà nước trên không gian mạng theo quy định của pháp luật nhằm xây dựng không gian mạng lành mạnh.

2. Nội dung thông tin xâm phạm quyền, lợi ích hợp pháp của tổ chức, cá nhân, trái đạo đức, thuần phong mỹ tục, chống nhà nước Cộng hòa xã hội chủ nghĩa Việt Nam trên không gian mạng:

a) Xuyên tạc sự thật lịch sử, phủ nhận thành tựu cách mạng, phá hoại khối đại đoàn kết dân tộc;

b) Xuyên tạc, phỉ báng chính quyền nhân dân;

c) Bịa đặt, gây hoang mang trong nhân dân;

d) Gây chiến tranh tâm lý, kích động chiến tranh xâm lược, gây thù hận giữa các dân tộc, tôn giáo và nhân dân các nước;

đ) Truyền bá tư tưởng chống nhà nước Cộng hòa xã hội chủ nghĩa Việt Nam;

e) Xúc phạm dân tộc, quốc kỳ, quốc huy, quốc ca, vĩ nhân, lãnh tụ, danh nhân, anh hùng dân tộc;

g) Bịa đặt hoặc lan truyền, tán phát những điều biết rõ là sai sự thật nhằm xúc phạm nhân phẩm, danh dự hoặc làm nhục, vu khống tổ chức, cá nhân;

h) Hướng dẫn, xúi giục thực hiện các hành vi vi phạm pháp luật;

i) Thông tin xâm phạm quyền, lợi ích hợp pháp của tổ chức, cá nhân, trái đạo đức, thuần phong mỹ tục.

3. Căn cứ vào tính chất, mức độ của hành vi đăng tải thông tin có nội dung xâm phạm quyền, lợi ích hợp pháp của tổ chức, cá nhân, trái đạo đức, thuần phong mỹ tục, chống nhà nước Cộng hòa xã hội chủ nghĩa Việt Nam trên không gian mạng, cơ quan nhà nước có thẩm quyền có thể áp dụng một hoặc một số biện pháp xử lý sau:

a) Yêu cầu tổ chức, cá nhân có liên quan gỡ bỏ, đính chính thông tin;

b) Ngăn chặn, xóa bỏ thông tin có nội dung tại khoản 2 Điều này;

c) Tạm đình chỉ, đình chỉ hoặc thu hồi giấy phép hoạt động của dịch vụ đăng tải thông tin;

d) Điều tra, xử lý tổ chức, cá nhân theo quy định của pháp luật.

4. Cơ quan chủ quản hệ thống thông tin, các doanh nghiệp cung cấp dịch vụ viễn thông, internet có trách nhiệm áp dụng biện pháp kỹ thuật để ngăn chặn hiển thị và xóa bỏ thông tin có nội dung xâm phạm quyền, lợi ích hợp pháp của tổ chức, cá nhân, trái đạo đức, thuần phong mỹ tục, chống nhà nước Cộng hòa xã hội chủ nghĩa Việt Nam trên không gian mạng.

5. Bộ Công an chủ trì, phối hợp với Bộ Thông tin và Truyền thông áp dụng các biện pháp kỹ thuật và các biện pháp cần thiết khác để ngăn chặn việc lan truyền thông tin có nội dung xâm phạm quyền, lợi ích hợp pháp của tổ chức, cá nhân, trái đạo đức, thuần phong mỹ tục, chống nhà nước Cộng hòa xã hội chủ nghĩa Việt Nam trên không gian mạng.

Điều 36. Phòng, chống gián điệp mạng, bảo vệ thông tin, tài liệu có nội dung thuộc danh mục bí mật nhà nước trên không gian mạng
1. Mọi hành vi cố ý xâm nhập vào hệ thống mạng thông tin hoặc phương tiện điện tử của tổ chức, cá nhân để thu thập thông tin, thành tựu khoa học công nghệ, sở hữu trí tuệ, chiếm đoạt bí mật nhà nước hoặc hoạt động tình báo, phá hoại nhằm chống Nhà nước Cộng hòa xã hội chủ nghĩa Việt Nam đều bị xử lý theo quy định của pháp luật.

2. Cơ quan soạn thảo, lưu trữ thông tin, tài liệu bí mật nhà nước có trách nhiệm:

a) Không soạn thảo, lưu trữ, truyền đưa thông tin, tài liệu có nội dung thuộc danh mục bí mật nhà nước trên máy tính kết nối internet, thiết bị lưu trữ hoặc các thiết bị khác có kết nối internet;

b) Kiểm tra, đánh giá an ninh mạng nhằm phát hiện, loại bỏ mã độc, khắc phục lỗ hổng bảo mật hoặc phát hiện, ngăn chặn các hoạt động xâm nhập bất hợp pháp;

c) Tham gia các khóa đào tạo, tập huấn nâng cao nhận thức và kiến thức về bảo vệ bí mật nhà nước trên không gian mạng, phòng, chống tấn công mạng;

d) Phối hợp với Bộ Công an bảo vệ bí mật nhà nước trên không gian mạng và giám sát hệ thống thông tin nhằm phát hiện, xử lý hoạt động thu thập thông tin bí mật nhà nước;

đ) Phối hợp với Ban Cơ yếu Chính phủ bảo vệ bí mật nhà nước về cơ yếu.

3. Bộ Công an có trách nhiệm:

a) Kiểm tra, đánh giá an ninh mạng đối với các thiết bị, sản phẩm, dịch vụ thông tin liên lạc, thiết bị kỹ thuật số, thiết bị điện tử trước khi đưa vào sử dụng tại cơ quan nhà nước;

b) Kiểm tra, đánh giá an ninh mạng đối với hệ thống thông tin quan trọng về an ninh quốc gia nhằm phát hiện, loại bỏ mã độc, khắc phục điểm yếu bảo mật, ngăn chặn, xử lý các hoạt động xâm nhập bất hợp pháp;

c) Giám sát hệ thống thông tin quan trọng về an ninh quốc gia nhằm phát hiện, xử lý hoạt động thu thập thông tin bí mật nhà nước trái pháp luật;

d) Phát hiện, xử lý các hành vi đăng tải thông tin, tài liệu có nội dung bí mật nhà nước trên mạng viễn thông, internet;

đ) Tham gia nghiên cứu, sản xuất các sản phẩm lưu trữ, truyền đưa thông tin, tài liệu có nội dung thuộc danh mục bí mật nhà nước; các sản phẩm mã hóa bảo mật trên mạng viễn thông, internet theo chức năng, nhiệm vụ được giao;

e) Thanh tra, kiểm tra công tác bảo vệ bí mật nhà nước trên không gian mạng của cơ quan nhà nước và bảo vệ an ninh mạng của cơ quan chủ quản hệ thống thông tin quan trọng về an ninh quốc gia;

g) Tổ chức đào tạo, tập huấn nâng cao nhận thức và kiến thức về bảo vệ bí mật nhà nước trên không gian mạng, phòng, chống tấn công mạng, bảo đảm an ninh mạng đối với cán bộ, nhân viên phụ trách công nghệ thông tin tại các cơ quan nhà nước, hệ thống thông tin quan trọng về an ninh quốc gia.

4. Ban Cơ yếu Chính phủ có trách nhiệm:

a) Bảo vệ thông tin, bí mật nhà nước lưu trữ, trao đổi trên không gian mạng bằng mật mã;

b) Trình cấp có thẩm quyền ban hành văn bản quy phạm pháp luật về mật mã trong lưu trữ, trao đổi thông tin bí mật nhà nước bằng mật mã trên không gian mạng.

Điều 37. Phòng, chống tấn công mạng
1. Ngăn chặn, loại trừ hành vi tấn công mạng là trách nhiệm chung của toàn xã hội.

2. Xác định nguồn gốc tấn công mạng là xác định các thông tin liên quan đến gói tin như địa chỉ nguồn, địa chỉ đích, cổng dịch vụ… và cách thức, thủ đoạn, chủ thể thực hiện tấn công mạng. Căn cứ chức năng, nhiệm vụ, quyền hạn, trách nhiệm của mình, cơ quan, tổ chức, cá nhân áp dụng các biện pháp xác định nguồn gốc tấn công mạng phù hợp với quy định của pháp luật.

3. Triển khai các biện pháp giám sát an ninh mạng, phương thức phòng thủ mạng để phát hiện các hành vi:

a) Gây cản trở, làm tê liệt, gián đoạn, ngưng trệ hoạt động, ngăn chặn trái phép việc truyền tải dữ liệu của mạng máy tính, mạng viễn thông, internet, phương tiện điện tử;

b) Xâm nhập, làm tổn hại, chiếm đoạt dữ liệu được lưu trữ, truyền tải qua mạng máy tính, mạng viễn thông, internet, phương tiện điện tử;

c) Tạo các lỗ hổng bảo mật và dịch vụ hệ thống để chiếm đoạt thông tin của cơ quan, tổ chức, cá nhân;

d) Sử dụng mạng máy tính, mạng internet, mạng viễn thông, phương tiện điện tử để gây ảnh hưởng, thiệt hại về vật chất, tinh thần của cơ quan, tổ chức, cá nhân;

đ) Các hành vi khác gây ảnh hưởng tới hoạt động bình thường của mạng máy tính, mạng internet, mạng viễn thông, phương tiện điện tử.

4. Cơ quan chủ quản hệ thống thông tin áp dụng các biện pháp được pháp luật cho phép nhằm phòng ngừa, loại trừ hành vi tấn công mạng vào hệ thống thông tin do mình quản lý, có trách nhiệm phối hợp với các cơ quan chuyên trách bảo vệ an ninh mạng để xác định chính xác nguồn gốc tấn công mạng.

5. Khi xuất hiện hoạt động tấn công mạng gây ảnh hưởng đến chủ quyền, lợi ích, an ninh quốc gia trên không gian mạng, cơ quan chuyên trách bảo vệ an ninh mạng yêu cầu các doanh nghiệp cung cấp dịch vụ viễn thông, internet chặn lọc thông tin nhằm ngăn chặn, loại trừ hành vi tấn công mạng và cung cấp đầy đủ, kịp thời thông tin, tài liệu liên quan.

6. Cơ quan chuyên trách bảo vệ an ninh mạng áp dụng các biện pháp loại trừ tấn công mạng theo quy định của pháp luật.

7. Bộ Công an chủ trì, phối hợp với bộ, ngành liên quan thực hiện công tác phòng ngừa, phát hiện, xử lý hành vi tấn công mạng trên phạm vi cả nước; áp dụng các biện pháp bảo vệ an ninh mạng để phòng ngừa, phát hiện, xử lý hành vi tấn công mạng gây tổn hại đến chủ quyền, lợi ích, an ninh quốc gia, trật tự an toàn xã hội.

8. Bộ Quốc phòng chủ trì, phối hợp với bộ, ngành liên quan ngăn chặn, loại trừ các hành vi tấn công mạng của lực lượng quân sự nước ngoài gắn với chiến tranh xâm lược và các hành vi tấn công mạng gây tổn hại đến hệ thống thông tin quân sự, quốc phòng theo chức năng, nhiệm vụ được giao.

9. Bộ Thông tin và Truyền thông chủ trì, phối hợp với các bộ, ngành liên quan ngăn chặn hoạt động tấn công mạng gây mất an toàn thông tin mạng theo chức năng, nhiệm vụ được giao.

10. Ban cơ yếu Chính phủ chủ trì, phối hợp với các bộ, ngành liên quan phòng ngừa, đấu tranh với hành vi tấn công mạng vào hệ thống liên lạc cơ yếu.

Điều 38. Phòng, chống khủng bố mạng
1. Nhà nước áp dụng tất cả các biện pháp được pháp luật quy định để phòng, chống khủng bố mạng.

2. Cơ quan, tổ chức, cá nhân thường xuyên rà soát, kiểm tra, đánh giá an ninh mạng nhằm loại trừ nguy cơ khủng bố mạng.

3. Khi phát hiện dấu hiệu, hành vi khủng bố mạng, cơ quan, tổ chức, cá nhân phải kịp thời báo cho cơ quan công an nơi gần nhất. Cơ quan tiếp nhận tin báo có trách nhiệm tiếp nhận đầy đủ tin báo về khủng bố mạng và trao đổi cơ quan chuyên trách bảo vệ an ninh mạng thuộc Bộ Công an.

4. Khi có căn cứ xác định xảy ra, đã hoặc đang xảy ra khủng bố mạng, Bộ Công an chủ trì, phối hợp với các bộ, ngành triển khai công tác phòng, chống khủng bố mạng, áp dụng biện pháp vô hiệu hóa nguồn khủng bố mạng, không để khủng bố mạng hoặc hạn chế đến mức thấp nhất hậu quả xảy ra.

5. Bộ Quốc phòng chủ trì, phối hợp với Bộ Công an xử lý hành vi khủng bố mạng xảy ra đối với hệ thống thông tin quân sự do Bộ Quốc phòng quản lý.

Điều 39. Phòng, chống chiến tranh mạng
1. Phòng, chống chiến tranh mạng là trách nhiệm của toàn xã hội, Nhà nước huy động mọi lực lượng tham gia phòng, chống chiến tranh mạng.

2. Bảo đảm tính sẵn sàng chiến đấu của hệ thống thông tin quân sự, chủ động đối phó với chiến tranh mạng và thách thức do chiến tranh mạng đặt ra, loại bỏ nguy cơ chiến tranh mạng.

3. Khi có khả năng xảy ra hoặc xảy ra chiến tranh mạng, cơ quan, tổ chức, cá nhân chủ động áp dụng các biện pháp bảo vệ an ninh mạng, bảo vệ hệ thống thông tin do mình quản lý theo chức năng, nhiệm vụ, thẩm quyền, trách nhiệm được giao.

4. Bộ Quốc phòng chủ trì phòng, chống chiến tranh mạng; chủ trì, phối hợp với Bộ Công an và các bộ, ngành liên quan áp dụng biện pháp tương xứng, phù hợp.

Điều 40. Tình huống khẩn cấp về an ninh mạng
1. Khi xảy ra các tình huống sau đây, Thủ tướng Chính phủ xem xét, quyết định hoặc giao Bộ trưởng Bộ Công an xem xét, quyết định tình huống khẩn cấp về an ninh mạng trong cả nước hoặc từng địa phương hoặc đối với một mục tiêu cụ thể:

a) Tấn công cục bộ hệ thống thông tin quan trọng về an ninh quốc gia;

b) Tấn công diện rộng hệ thống thông tin quan trọng về an ninh quốc gia;

c) Tấn công trên quy mô lớn, cường độ cao vào hệ thống thông tin quốc gia;

d) Tấn công mạng nhằm phá hủy công trình trọng yếu quốc gia, mục tiêu quan trọng về an ninh quốc gia hoặc nhằm gây thiệt hại về sinh mạng, tài sản;

đ) Khi xảy ra tấn công mạng, xâm nhập hệ thống thông tin, phương tiện điện tử gây ảnh hưởng nghiêm trọng tới chủ quyền, lợi ích, an ninh quốc gia, quyền và lợi ích hợp pháp của nhiều tổ chức, cá nhân;

e) Khi có yêu cầu đột xuất, cấp bách vì lý do bảo vệ chủ quyền, lợi ích, an ninh quốc gia trên không gian mạng.

2. Cơ quan, tổ chức, cá nhân có trách nhiệm phối hợp với Bộ Công an thực hiện các biện pháp nhằm ngăn chặn, xử lý tình huống khẩn cấp về an ninh mạng.

3. Khi phát hiện tình huống khẩn cấp về an ninh mạng, cơ quan, tổ chức, cá nhân kịp thời thông báo cho Cơ quan chuyên trách bảo vệ an ninh mạng thuộc Bộ Công an hoặc thông báo cho cơ quan công an nơi gần nhất.

Cơ quan công an tiếp nhận thông báo có trách nhiệm ngay lập tức chuyển thông tin tới Cơ quan chuyên trách bảo vệ an ninh mạng thuộc Bộ Công an.

4. Bộ Công an chủ trì, phối hợp với các bộ, ngành liên quan xử lý tình huống khẩn cấp về an ninh mạng, áp dụng đồng bộ các biện pháp theo quy định của pháp luật để ngăn chặn, xử lý.

Điều 41. Các biện pháp áp dụng khi gia tăng nguy cơ xảy ra tình huống khẩn cấp về an ninh mạng
1. Khi gia tăng nguy cơ xảy ra tình huống khẩn cấp về an ninh mạng, Bộ Công an chủ trì, phối hợp với các bộ, ngành và ủy ban nhân dân các tỉnh, thành phố trực thuộc Trung ương thực hiện các biện pháp sau:

a) Yêu cầu các cơ quan, tổ chức và cá nhân liên quan kịp thời thu thập, báo cáo các thông tin liên quan, tăng cường giám sát đối với sự cố an ninh mạng;

b) Phân tích, đánh giá thông tin, dự báo khả năng, phạm vi ảnh hưởng và mức độ gây hại của sự cố an ninh mạng;

c) Thông báo tới cơ quan, tổ chức, cá nhân có liên quan;

d) Áp dụng phương án phòng ngừa, ứng phó khẩn cấp về an ninh mạng, ngăn chặn, loại trừ hoặc giảm nhẹ thiệt hại do sự cố an ninh mạng gây ra;

đ) Bảo đảm lực lượng, phương tiện tham gia ngăn chặn, loại bỏ nguy cơ xảy ra tình huống khẩn cấp về an ninh mạng.

2. Khi thực hiện chức năng quản lý nhà nước về viễn thông, internet, nếu phát hiện các nguy cơ đe dọa an ninh mạng có khả năng xảy ra hậu quả, thiệt hại nghiêm trọng hoặc nguy cơ xảy ra tình huống khẩn cấp về an ninh mạng, các bộ, ngành, địa phương kịp thời thông báo về Bộ Công an và áp dụng các biện pháp được quy định tại Khoản 1 Điều này.

3. Các doanh nghiệp viễn thông, internet, công nghệ thông tin và tổ chức, cá nhân liên quan có trách nhiệm phối hợp với Bộ Công an trong phòng ngừa, xử lý tình huống khẩn cấp về an ninh mạng.

Chương III
TRIỂN KHAI HOẠT ĐỘNG BẢO ĐẢM AN NINH MẠNG

Mục 1
TRIỂN KHAI HOẠT ĐỘNG BẢO ĐẢM AN NINH MẠNG
TRONG CƠ QUAN NHÀ NƯỚC

Điều 42. Nguyên tắc triển khai hoạt động bảo đảm an ninh mạng trong cơ quan nhà nước
1. Việc triển khai hoạt động bảo đảm an ninh mạng trong cơ quan nhà nước phải được ưu tiên, gắn liền với quá trình ứng dụng công nghệ thông tin, bảo đảm tính công khai, minh bạch nhằm nâng cao hiệu lực, hiệu quả hoạt động của cơ quan nhà nước.

2. Việc triển khai hoạt động bảo đảm an ninh mạng trong cơ quan nhà nước phải được thực hiện từ trung ương đến địa phương, thông qua phân công lực lượng thực hiện nhiệm vụ bảo đảm an ninh mạng, với sự hướng dẫn của cơ quan chuyên trách bảo vệ an ninh mạng thuộc Bộ Công an.

3. Các bộ, ngành và Ủy ban nhân dân các tỉnh, thành phố trực thuộc trung ương nghiên cứu, ứng dụng, triển khai các phương án, biện pháp, công nghệ bảo vệ an ninh mạng đối với hệ thống thông tin và thông tin, tài liệu được lưu trữ, soạn thảo, truyền đưa trên hệ thống thông tin đó tương ứng với cấp độ bảo vệ an ninh mạng.

4. Việc thực hiện các biện pháp bảo vệ an ninh mạng của cơ quan chuyên trách, các hoạt động cung cấp, trao đổi thông tin phải bảo đảm chính xác và phù hợp với mục đích sử dụng.

5. Bảo đảm an ninh, an toàn, tiết kiệm và có hiệu quả.

6. Người đứng đầu cơ quan nhà nước phải chịu trách nhiệm về việc triển khai hoạt động bảo đảm an ninh mạng thuộc thẩm quyền quản lý của mình.

Điều 43. Điều kiện triển khai hoạt động bảo đảm an ninh mạng trong cơ quan nhà nước
1. Cơ quan nhà nước có trách nhiệm chuẩn bị các điều kiện để triển khai hoạt động bảo đảm an ninh mạng trong hoạt động của cơ quan mình.

2. Chính phủ quy định cụ thể các điều kiện bảo đảm triển khai hoạt động bảo đảm an ninh mạng trong hoạt động của cơ quan nhà nước; xây dựng và tổ chức thực hiện chương trình quốc gia về bảo đảm an ninh mạng trong hoạt động của cơ quan nhà nước với các nội dung chủ yếu sau đây:

a) Lộ trình thực hiện các hoạt động bảo đảm an ninh mạng của cơ quan nhà nước;

b) Các hệ thống thông tin của các ngành, lĩnh vực cần ưu tiên triển khai hoạt động bảo đảm an ninh mạng;

c) Công tác bảo mật thông tin, tài liệu có nội dung thuộc danh mục bí mật nhà nước;

d) Nội dung cần được ưu tiên, khuyến khích nghiên cứu - phát triển, hợp tác quốc tế, phát triển nguồn nhân lực và xây dựng cơ sở hạ tầng thông tin đáp ứng yêu cầu triển khai hoạt động bảo đảm an ninh mạng trong hoạt động của cơ quan nhà nước từng giai đoạn;

đ) Nguồn tài chính bảo đảm cho triển khai hoạt động bảo đảm an ninh mạng trong hoạt động của cơ quan nhà nước.

Điều 44. Nội dung triển khai hoạt động bảo đảm an ninh mạng trong cơ quan nhà nước
1. Đào tạo, bồi dưỡng, nâng cao ý thức, kiến thức về an ninh mạng cho cán bộ, nhân viên và trình độ bảo đảm an ninh mạng cho cán bộ, nhân viên phụ trách công tác bảo đảm an ninh mạng trong cơ quan nhà nước.

2. Xây dựng, hoàn thiện hệ thống văn bản quy định về bảo đảm an ninh mạng trong cơ quan nhà nước:

a) Quy định, quy chế sử dụng mạng máy tính nội bộ, mạng máy tính có kết nối internet;

b) Phương án bảo đảm an ninh hệ thống mạng thông tin.

3. Quy hoạch, thiết kế, xây dựng mô hình mạng đảm bảo an ninh mạng.

4. Bảo đảm an ninh mạng trong các hoạt động:

a) Cung cấp dịch vụ công trên môi trường mạng;

b) Cung cấp, trao đổi, thu thập thông tin với tổ chức, cá nhân;

c) Chia sẻ thông tin trong nội bộ và với cơ quan khác của nhà nước;

d) Các hoạt động khác theo quy định của Chính phủ.

5. Đầu tư, xây dựng, bổ sung các thiết bị, hệ thống bảo mật, bảo vệ hệ thống mạng.

6. Các hoạt động kiểm tra, đánh giá an ninh mạng đối với hệ thống thông tin; phòng, chống tấn công mạng; ứng phó, khắc phục sự cố an ninh mạng.

7. Chính phủ quy định cụ thể về tổ chức, hoạt động của lực lượng An ninh mạng.

8. Bộ Công an quy định cụ thể về việc phân công lực lượng an ninh mạng chuyên trách tại Công an các tỉnh, thành phố trực thuộc Trung ương.

Điều 45. Kiểm tra, đánh giá an ninh mạng đối với hệ thống thông tin thuộc cơ quan, tổ chức, doanh nghiệp nhà nước
1. Chính phủ kiểm tra, đánh giá an ninh mạng đối với hệ thống mạng thông tin thuộc cơ quan, tổ chức, doanh nghiệp nhà nước.

2. Việc kiểm tra, đánh giá an ninh mạng là trách nhiệm của cơ quan chủ quản hệ thống thông tin. Cơ quan chuyên trách bảo vệ an ninh mạng tổ chức kiểm tra, đánh giá an ninh mạng đối với hệ thống mạng thông tin của các cơ quan, tổ chức, doanh nghiệp nhà nước khi thấy cần thiết.

3. Cơ quan chuyên trách kiểm tra, đánh giá an ninh mạng

a) Bộ Công an kiểm tra, đánh giá an ninh mạng đối với hệ thống thông tin quan trọng về an ninh quốc gia, hệ thống thông tin của các bộ, ban, ngành chức năng và Ủy ban nhân dân tỉnh, thành phố trực thuộc trung ương; phối hợp với Ban Cơ yếu Chính phủ kiểm tra, đánh giá an ninh mạng với hệ thống mạng liên lạc cơ yếu do Ban Cơ yếu Chính phủ quản lý;

b) Bộ Quốc phòng kiểm tra, đánh giá an ninh mạng đối với hệ thống thông tin quân sự do Bộ Quốc phòng quản lý;

c) Bộ Thông tin và Truyền thông kiểm tra, đánh giá an ninh mạng đối với hệ thông thông tin thuộc khối cơ quan, tổ chức, doanh nghiệp nhà nước không thuộc quy định tại Điểm a, Điểm b, Khoản 3 Điều này.

4. Thời điểm kiểm tra, đánh giá an ninh mạng

a) Trước khi hệ thống thông tin được đưa vào vận hành, sử dụng;

b) Trong quá trình vận hành, khai thác hệ thống thông tin.

c) Khi có yêu cầu quản lý nhà nước về an ninh mạng.

5. Nội dung kiểm tra, đánh giá an ninh mạng

a) Hệ thống phần cứng, phần mềm được sử dụng trong hệ thống thông tin;

b) Quy định, chính sách, biện pháp bảo vệ an ninh mạng;

c) Phương án ứng phó, khắc phục sự cố của cơ quan chủ quản hệ thống thông tin.

d) Các tiêu chuẩn bảo mật thông tin tránh rò rỉ qua các kênh kỹ thuật;

đ) Đội ngũ nhân lực bảo vệ an ninh mạng.

6. Quy trình kiểm tra, đánh giá an ninh mạng:

a) Cơ quan chủ quản hệ thống thông tin tự tổ chức kiểm tra, đánh giá an ninh mạng đối với hệ thống thông tin do mình quản lý tối thiểu một năm một lần và định kỳ gửi báo cáo về cơ quan chuyên trách vào tháng 10 hằng năm.

b) Căn cứ kết quả kiểm tra, đánh giá an ninh mạng của cơ quan chủ quản hệ thống thông tin, cơ quan chuyên trách căn cứ vào tiêu chuẩn quốc gia về an ninh mạng để kết luận, lựa chọn cơ quan chủ quản và lập kế hoạch, cử đoàn kiểm tra công tác bảo đảm an ninh mạng.

c) Cơ quan chuyên trách có trách nhiệm công bố danh sách những hệ thống thông tin thuộc diện kiểm tra, đánh giá trên cổng thông tin điện tử của Bộ và có văn bản thông báo trước cho cơ quan chủ quản hệ thống thông tin trước 01 tháng.

d) Cơ quan chuyên trách có quyền kiểm tra đột xuất đối với các trường hợp sau đây:

- Hết thời hạn khắc phục điểm yếu, lỗ hổng bảo mật và các hành vi vi phạm quy định về công tác bảo vệ an ninh mạng theo khuyến cáo của cơ quan chuyên trách đưa ra dựa trên kết quả kiểm tra gần nhất mà những điểm yếu, lỗ hổng bảo mật và các hành vi vi phạm quy định về công tác bảo vệ an ninh mạng này có khả năng gây ra sự cố ảnh hưởng tới chủ quyền, lợi ích, an ninh quốc gia và trật tự an toàn xã hội;

- Xảy ra sự cố đối với hệ thống thông tin quan trọng về an ninh quốc gia;

- Quyết định của Thủ tướng Chính phủ hoặc Thủ trưởng cơ quan chuyên trách về việc kiểm tra đột xuất hệ thống hạ tầng thông tin.

đ) Sau khi tiến hành kiểm tra các hệ thống thông tin, cơ quan chuyên trách đưa ra kết luận về tình trạng bảo vệ an ninh mạng của hệ thống và khuyến cáo để cải thiện tình trạng bảo mật an ninh mạng cho hệ thống đó. Kết quả gửi về cho cơ quan chủ quản hệ thống thông tin trong thời hạn 30 ngày kể từ khi kết thúc hoạt động kiểm tra.

7. Kết quả kiểm tra, đánh giá an ninh mạng:

a) Là căn cứ để cơ quan chủ quản hệ thống thông tin tổ chức công tác khắc phục tồn tại, hạn chế.

b) Là căn cứ để cấp chứng nhận hợp chuẩn, hợp quy về an ninh mạng đối với hệ thống thông tin quan trọng về an ninh quốc gia.

8. Hằng năm, cơ quan, tổ chức, doanh nghiệp nhà nước kiểm tra, đánh giá an ninh mạng đối với hệ thống thông tin do mình quản lý.

Điều 46. Bảo vệ an ninh mạng theo cấp độ
1. Nhà nước thực hiện chế độ bảo vệ an ninh mạng theo cấp độ.

2. Tiêu chí phân định cấp độ bảo vệ an ninh mạng:

a) Tính chất quan trọng của thông tin và hệ thống thông tin;

b) Phạm vi ảnh hưởng;

c) Khả năng gây thiệt hại của hành vi vi phạm pháp luật trên không gian mạng.

3. Doanh nghiệp cung cấp dịch vụ viễn thông, internet phải căn cứ vào yêu cầu của cấp độ bảo vệ an ninh mạng để thực hiện nghĩa vụ an ninh mạng sau đây nhằm bảo vệ mạng khỏi sự can thiệp, phá hoại hoặc truy cập trái phép, ngăn chặn rò rỉ, lộ lọt, chiếm đoạt, giả mạo dữ liệu mạng:

a) Xây dựng chế độ quản lý, quy trình thao tác bảo đảm an ninh mạng trong nội bộ, xác định người phụ trách về an ninh mạng;

b) Áp dụng biện pháp kỹ thuật ngăn chặn các đe dọa an ninh mạng như: virut máy tính, tấn công mạng, xâm nhập mạng;

c) Áp dụng biện pháp kỹ thuật kiểm tra, giám sát, ghi lại hoạt động mạng và sự cố an ninh mạng, lưu giữ bản ghi ít nhất 12 tháng;

d) Áp dụng các biện pháp phân loại dữ liệu, sao lưu và mã hóa dữ liệu quan trọng;

đ) Các nghĩa vụ khác theo pháp luật.

4. Chính phủ quy định chi tiết về cấp độ bảo vệ an ninh mạng.

5. Bộ Công an chủ trì, phối hợp với Bộ Thông tin và Truyền thông kiểm tra, giám sát nghĩa vụ bảo vệ an ninh mạng theo cấp độ của cơ quan chủ quản hệ thống thông tin quan trọng về an ninh quốc gia và các doanh nghiệp cung cấp dịch vụ viễn thông, internet.


Mục 2
TRIỂN KHAI HOẠT ĐỘNG BẢO ĐẢM AN NINH MẠNG
TRONG MỘT SỐ LĨNH VỰC

Điều 47. Bảo đảm an ninh mạng trong ứng dụng, quản lý, vận hành điện toán đám mây
1. Nghiên cứu, triển khai ứng dụng, vận hành, quản lý điện toán đám mây an toàn, bảo mật trong cơ quan hành chính nhà nước và tổ chức, cá nhân.

2. Thúc đẩy sự phát triển của điện toán đám mây thông qua sự phối hợp với khu vực tư nhân để tiêu chuẩn hóa điện toán đám mây trong cơ quan hành chính nhà nước.

3. Bộ Công an chủ trì, phối hợp với các bộ, ngành và tổ chức liên quan:

a) Bảo đảm an ninh vật lý đối với trung tâm dữ liệu điện toán đám mây và bảo đảm an ninh mạng đối với các dữ liệu được lưu giữ trong trung tâm dữ liệu điện toán đám mây do Việt Nam quản lý;

b) Phối hợp với tổ chức, cá nhân có liên quan trong bảo đảm an ninh mạng đối với các dữ liệu của người dùng Việt Nam được lưu giữ trong trung tâm dữ liệu điện toán đám mây do tổ chức, cá nhân nước ngoài quản lý;

c) Bảo đảm sự tiếp cận an toàn đối với các dữ liệu được lưu trữ trong trung tâm điện toán đám mây;

d) Phát triển các tiêu chuẩn bảo mật điện toán đám mây;

đ) Hỗ trợ phát triển quá trình tự động hóa các hệ thống giám sát liên tục bảo đảm an ninh mạng đối với trung tâm dữ liệu điện toán đám mây.

Điều 48. Bảo đảm an ninh mạng đối với hệ thống liên kết thế giới thực và ảo
1. Nhà nước xác định bảo đảm an ninh mạng đối với hệ thống liên kết thế giới thực và ảo là nhiệm vụ trọng tâm trong chiến lược nghiên cứu phát triển và bảo vệ an ninh mạng.

2. Xây dựng phương án bảo đảm an ninh mạng đối với các hệ thống liên kết thế giới thực và ảo trước xu thế ứng dụng công nghệ thông tin, tự động hóa, hội nhập quốc tế ngày càng sâu rộng.

3. Đánh giá, dự báo khả năng phát triển và ảnh hưởng xã hội của các hệ thống liên kết thế giới thực và ảo.

Điều 49. Bảo đảm an ninh mạng đối với cơ sở hạ tầng không gian mạng quốc gia, cổng kết nối mạng quốc tế
1. Chính phủ ban hành quy định quản lý bảo đảm an ninh mạng đối với cơ sở hạ tầng không gian mạng quốc gia, cổng kết nối mạng quốc tế, xác lập quyền quản lý, kiểm soát hoạt động kết nối mạng quốc tế.

2. Quản lý nhà nước về an ninh mạng đối với hoạt động cung cấp dịch vụ viễn thông, internet và thông tin qua biên giới.

3. Bộ Công an triển khai các biện pháp bảo đảm an ninh mạng đối với cơ sở hạ tầng không gian mạng quốc gia, cổng kết nối mạng quốc tế và phối hợp với Bộ Thông tin và Truyền thông thực hiện nhiệm vụ được nêu tại Khoản 2 Điều này.

Điều 50. Nghiên cứu, ứng dụng và phát triển quản lý định danh
1. Quản lý định danh là hoạt động quản lý và kiểm soát truy cập hệ thống thông tin.

2. Nghiên cứu, ứng dụng và phát triển quản lý định danh với các công nghệ quản trị mới, tính bảo mật cao, theo kịp sự phát triển của khoa học công nghệ.

3. Thực thi chính sách xác thực tài khoản số, nghiên cứu, ứng dụng và phát triển kỹ thuật xác thực tài khoản số an toàn và thuận tiện.

4. Nghiên cứu, xây dựng các tiêu chuẩn kỹ thuật đối với các công nghệ, hệ thống quản lý định danh nhằm:

a) Tăng cường khả năng tương tác giữa công nghệ quản lý định danh;

b) Tăng cường các phương pháp xác thực của hệ thống quản lý định danh;

c) Tăng cường bảo vệ quyền riêng tư trong các hệ thống quản lý định danh, bao gồm các hệ thống thông tin liên quan tới sức khỏe;

d) Phát triển các giao thức bảo mật và xác thực;

đ) Tăng cường khả năng sử dụng các hệ thống quản lý định danh.

5. Bộ Khoa học và Công nghệ chủ trì, phối hợp với Bộ Công an, Ban Cơ yếu Chính phủ, Bộ Thông tin và Truyền thông trong nghiên cứu, ứng dụng và phát triển quản lý định danh đáp ứng các yêu cầu bảo đảm an ninh mạng.

Điều 51. Bảo đảm an ninh thông tin mạng
1. Nhà nước xây dựng không gian mạng lành mạnh, hệ thống pháp luật về an ninh mạng được hoàn thiện, tôn trọng và thực thi nghiêm túc, người dân ứng xử có quy tắc trên không gian mạng, tham gia không gian mạng an toàn và được bảo vệ, xử lý nghiêm mọi hành vi vi phạm quy định của pháp luật.

2. Huy động sức mạnh của hệ thống chính trị và toàn dân trong đấu tranh phản bác, vô hiệu hóa các thông tin chống nhà nước Cộng hòa xã hội chủ nghĩa Việt Nam, xâm phạm quyền, lợi ích hợp pháp của tổ chức, cá nhân, trái đạo đức, thuần phong mỹ tục trên không gian mạng.

3. Trang thông tin điện tử, cổng thông tin điện tử hoặc chuyên trang trên mạng xã hội của cơ quan, tổ chức, cá nhân phải đăng tải thông tin phù hợp với quy định của pháp luật, không cung cấp, đăng tải, truyền đưa những thông tin có nội dung không phù hợp với lợi ích đất nước.

4. Các doanh nghiệp dịch vụ viễn thông, internet, doanh nghiệp sở hữu hệ thống thông tin phải thiết lập cơ chế xác thực thông tin khi người dùng đăng ký tài khoản số để bảo đảm tính bảo mật và tính trung thực của thông tin đăng ký. Người đăng ký tài khoản số có trách nhiệm bảo vệ và sử dụng các tài khoản do mình tạo lập đúng quy định của pháp luật.

5. Các doanh nghiệp nước ngoài khi cung cấp dịch vụ viễn thông, internet tại Việt Nam phải tuân thủ pháp luật, tôn trọng chủ quyền, lợi ích, an ninh quốc gia Việt Nam và lợi ích của người sử dụng, có giấy phép hoạt động, đặt cơ quan đại diện và máy chủ quản lý dữ liệu người sử dụng Việt Nam trên lãnh thổ nước Cộng hòa xã hội chủ nghĩa Việt Nam; bảo mật thông tin người dùng và thông tin tài khoản của người dùng; xử lý nghiêm các hành vi sai phạm theo quy định của pháp luật.

6. Bộ Công an chủ trì, phối hợp với các bộ, ngành liên quan xây dựng, trình Chính phủ ban hành Bộ Quy tắc ứng xử trên không gian mạng, khuyến khích hành vi chuẩn mực, phù hợp với đạo đức, thuần phong mỹ tục trên không gian mạng.


Mục 3
NGHIÊN CỨU, PHÁT TRIỂN AN NINH MẠNG

Điều 52. Nghiên cứu chiến lược phát triển và bảo vệ an ninh mạng
1. Nội dung nghiên cứu chiến lược phát triển và bảo vệ an ninh mạng:

a) Xây dựng hệ thống phần mềm, trang thiết bị bảo vệ an ninh mạng;

b) Phương pháp thẩm định phần mềm, trang thiết bị bảo vệ an ninh mạng đạt chuẩn, không tồn tại lỗ hổng bảo mật và phần mềm độc hại;

c) Phương pháp kiểm tra phần cứng, phần mềm được cung cấp thực hiện đúng chức năng được nêu và chỉ có chức năng đó;

d) Phương pháp bảo vệ bí mật nhà nước, quyền riêng tư cá nhân, khả năng truyền tải bảo mật của thông tin trên không gian mạng;

đ) Xác định nguồn gốc của thông tin được truyền tải trên không gian mạng;

e) Giải quyết nguy cơ đe dọa an ninh mạng;

g) Các sáng kiến kỹ thuật nâng cao nhận thức, kỹ năng về an ninh mạng.

2. Xây dựng thao trường mạng dựa trên đề xuất của Bộ Công an tạo môi trường thử nghiệm an ninh mạng đủ mạnh để mô hình quá hóa quy mô và độ phức tạp của các cuộc tấn công mạng thời gian thực và những phương thức phòng thủ trong môi trường và hệ thống mạng thế giới thực.

3. Việc nghiên cứu chiến lược phát triển và bảo vệ an ninh mạng được thực hiện bởi:

a) Bộ Công an, Bộ Quốc phòng, Bộ Thông tin và Truyền thông, Bộ Khoa học và công nghệ và các bộ, ngành chức năng;

b) Các Phòng thí nghiệm nghiên cứu của nhà nước và tư nhân;

c) Cơ sở đào tạo, tổ chức giáo dục;

d) Các tổ chức phi lợi nhuận có liên quan;

đ) Các đối tác quốc tế của Việt Nam;

e) Các tổ chức, cá nhân có liên quan.

4. Lĩnh vực được tài trợ trong nghiên cứu chiến lược phát triển và bảo vệ an ninh mạng:

a) Các giao thức cơ bản bảo mật cần thiết phục vụ trao đổi dữ liệu, liên lạc mạng;

b) Ngôn ngữ và hệ thống lập trình đối với các tính năng bảo mật;

c) Mã di động hoặc tái sử dụng trong các môi trường khác nhau;

d) Công nghệ kiểm chứng và xác thực;

đ) Mô hình thử nghiệm an ninh mạng;

e) Khắc phục lỗ hổng bảo mật;

g) Giải quyết nguy cơ đe dọa an ninh mạng;

h) Tăng cường an ninh mạng và bảo vệ quyền riêng tư;

i) Phương pháp phục hồi dữ liệu;

k) Bảo mật hệ thống mạng không dây và thiết bị di động;

l) Bảo mật dịch vụ và cơ sở hạ tầng điện toán đám mây;

m) Dịch ngược mã nguồn;

n) Điều tra số.

5. Bộ Công an chủ trì nghiên cứu, phát triển và đề xuất Chính phủ chiến lược phát triển và bảo vệ an ninh mạng 05 năm một lần dựa trên kết quả kiểm tra, đánh giá công tác an ninh mạng, sự phát triển của khoa học công nghệ và thực tế tình hình an ninh mạng.

6. Các bộ, ngành, cơ quan nhà nước, cơ quan chủ quản hệ thống thông tin quan trọng về an ninh quốc gia định kỳ tổng kết công tác bảo vệ an ninh mạng, xây dựng kế hoạch bảo vệ an ninh mạng, xác định rõ các mục tiêu ngắn hạn, trung hạn, dài hạn, trao đổi Bộ Công an định kỳ vào tháng 10 hằng năm.

7. Bộ Công an chủ trì, phối hợp với Bộ Giáo dục và Đào tạo đánh giá, phổ biến, phát triển và đưa các khái niệm và thực tiễn an ninh mạng vào chương trình giảng dạy chính của các chương trình khoa học máy tính và chương trình khác để xây dựng chuyên ngành giáo dục an ninh mạng trong hệ thống các trường đại học, cao đẳng.

Điều 53. Nghiên cứu, phát triển công nghệ, sản phẩm, dịch vụ bảo đảm an ninh mạng
1. Nhà nước khuyến khích tổ chức, cá nhân tham gia nghiên cứu, phát triển công nghệ, sản phẩm, dịch vụ bảo đảm an ninh mạng.

2. Nhà nước ưu tiên dành một khoản từ ngân sách nhà nước cho các chương trình, đề tài nghiên cứu, phát triển công nghệ, sản phẩm, dịch vụ bảo đảm an ninh mạng; ưu tiên hoạt động công nghệ, sản phẩm, dịch vụ bảo đảm an ninh mạng ở trường đại học, viện nghiên cứu; phát triển các mô hình gắn kết nghiên cứu, đào tạo với sản xuất sản phẩm, dịch vụ bảo đảm an ninh mạng.

3. Bộ Công an chủ trì, phối hợp với Bộ Khoa học và Công nghệ tổ chức tuyển chọn cơ sở nghiên cứu, đào tạo, doanh nghiệp thực hiện nhiệm vụ nghiên cứu, phát triển công nghệ, sản phẩm, dịch vụ bảo đảm an ninh mạng.

Điều 54. Nâng cao năng lực tự chủ về an ninh mạng
1. Nhà nước khuyến khích và tạo mọi điều kiện để xây dựng nền công nghiệp an ninh mạng có khả năng sản xuất, kiểm tra, đánh giá và kiểm định sản phẩm, dịch vụ mạng, đưa lĩnh vực an ninh mạng trở thành một ngành “công nghiệp tăng trưởng” có khả năng tạo các cơ hội việc làm.

2. Chính phủ triển khai các biện pháp cần thiết về an ninh mạng để nâng cao năng lực tự chủ về an ninh mạng bao gồm: thúc đẩy chuyển giao, nghiên cứu, làm chủ và phát triển các sản phẩm, dịch vụ an ninh mạng; thúc đẩy ứng dụng các công nghệ mới, công nghệ tiên tiến liên quan đến an ninh mạng; đào tạo, phát triển và tuyển dụng nhân lực an ninh mạng; tăng cường môi trường và hỗ trợ các doanh nghiệp an ninh mạng phát triển mới thông qua cải thiện các điều kiện cạnh tranh; tham gia các khuôn khổ quốc tế về an ninh mạng trên cơ sở công nhận lẫn nhau.


Chương IV
PHÁT TRIỂN NGUỒN NHÂN LỰC AN NINH MẠNG

Điều 55. Chính sách đào tạo, phát triển nguồn nhân lực an ninh mạng
1. Nhà nước ưu tiên đào tạo, phát triển nguồn nhân lực an ninh mạng chất lượng cao, có phẩm chất đạo đức tốt, đáp ứng yêu cầu xây dựng và bảo vệ Tổ quốc.

2. Việc đào tạo, phát triển nguồn nhân lực an ninh mạng được thực hiện tại các cơ sở đào tạo, tổ chức giáo dục trong và ngoài nước.

3. Khuyến khích liên kết, tạo cơ hội hợp tác giữa khu vực nhà nước, tư nhân, các trường đại học, viện nghiên cứu nhằm nâng cao kiến thức, kỹ năng, kinh nghiệm thực tế của đội ngũ nhân lực an ninh mạng.

4. Bộ Công an chủ trì, phối hợp với Bộ Giáo dục và Đào tạo trong việc phát hiện, tuyển chọn, đào tạo nguồn nhân lực chất lượng cao cho công tác an ninh mạng.

Điều 56. Đạo tạo, phát triển nguồn nhân lực an ninh mạng
1. Nội dung đào tạo về an ninh mạng là một bộ phận trong chương trình giáo dục đào tạo đại học, cao đẳng và tương đương.

2. Người làm công tác an ninh mạng trong cơ quan nhà nước được hưởng chế độ đãi ngộ phù hợp.

3. Bộ Nội vụ chủ trì, phối hợp với các cơ quan liên quan tổ chức bồi dưỡng kiến thức an ninh mạng cho cán bộ, công chức, viên chức.

4. Bộ Công an chủ trì, phối hợp với các bộ, ngành có liên quan tổ chức bồi dưỡng chuyên gia an ninh mạng phục vụ công tác bảo vệ chủ quyền, lợi ích, an ninh quốc gia, bảo đảm trật tự an toàn xã hội.

Điều 57. Văn bằng, chứng chỉ về an ninh mạng
1. Cơ sở đào tạo trong phạm vi, nhiệm vụ, quyền hạn của mình cấp văn bằng, chứng chỉ về an ninh mạng.

2. Bộ Giáo dục và Đào tạo chủ trì, phối hợp với Bộ Công an công nhận văn bằng, chứng chỉ giáo dục đại học về an ninh mạng do tổ chức nước ngoài cấp.

3. Bộ Lao động, Thương binh và Xã hội chủ trì, phối hợp với Bộ Công an công nhận văn bằng, chứng chỉ giáo dục nghề nghiệp về an ninh mạng do tổ chức nước ngoài cấp.

Điều 58. Phổ biến kiến thức và nâng cao nhận thức về an ninh mạng
1. Nhà nước có chính sách phổ biến kiến thức an ninh mạng trong phạm vi cả nước, khuyến khích cơ quan nhà nước phối hợp với các tổ chức tư nhân, cá nhân thực hiện các chương trình giáo dục và nâng cao nhận thức về an ninh mạng:

a) Tăng cường nhận thức của cơ quan nhà nước, tổ chức, cá nhân về an ninh mạng;

b) Phổ biến rộng rãi các tiêu chuẩn kỹ thuật và thực tiễn an ninh mạng;

c) Áp dụng những biện pháp bảo vệ an ninh mạng phù hợp;

d) Đào tạo nguồn nhân lực an ninh mạng chất lượng cao;

đ) Thúc đẩy các sáng kiến về đánh giá, dự báo an ninh mạng.

2. Ủy ban nhân dân tỉnh, thành phố trực thuộc trung ương có trách nhiệm xây dựng và triển khai các hoạt động phổ biến kiến thức, nâng cao nhận thức về an ninh mạng cho tổ chức, cá nhân trong địa phương mình.

3. Bộ Công an chủ trì, phối hợp với Bộ Quốc phòng, Bộ Giáo dục và Đào tạo đưa kiến thức an ninh mạng vào chương trình giáo dục quốc phòng, an ninh.

4. Nhà nước có chính sách hỗ trợ việc học tập, phổ biến kiến thức, nâng cao nhận thức về an ninh mạng đối với người tàn tật, người nghèo, người dân tộc thiểu số và các đối tượng ưu tiên khác phù hợp với yêu cầu phát triển trong từng thời kỳ theo quy định của Chính phủ.

5. Cơ quan chuyên trách bảo vệ an ninh mạng có trách nhiệm tổ chức phổ biến kiến thức, nâng cao nhận thức về an ninh mạng hằng năm theo chức năng, nhiệm vụ được giao.


Chương V
BẢO ĐẢM ĐIỀU KIỆN TRIỂN KHAI CÔNG TÁC AN NINH MẠNG

Điều 59. Bảo đảm trang thiết bị, cơ sở vật chất phục vụ triển khai công tác an ninh mạng
1. Trang thiết bị, cơ sở vật chất phục vụ triển khai công tác an ninh mạng phải được đầu tư, trang bị nhằm đáp ứng yêu cầu nhiệm vụ bảo vệ chủ quyền, lợi ích, an ninh quốc gia và trật tự an toàn xã hội, bảo đảm triển khai, nghiên cứu, phát triển an ninh mạng.

2. Cơ quan nhà nước có thẩm quyền chịu trách nhiệm bảo đảm trang thiết bị, cơ sở vật chất phù hợp với yêu cầu phát triển kinh tế - xã hội và tình hình an ninh mạng; có biện pháp đồng bộ để ngăn chặn những hành vi lợi dụng, sử dụng trang thiết bị, cơ cở vật chất phục vụ triển khai công tác an ninh mạng vi phạm quy định tại Điều 7 Luật này.

Điều 60. Đầu tư của Nhà nước cho an ninh mạng
1. Đầu tư cho an ninh mạng là đầu tư phát triển.

2. Nhà nước ưu tiên bố trí ngân sách cho an ninh mạng, bảo đảm tỷ lệ tăng chi ngân sách cho an ninh mạng hằng năm cao hơn tỷ lệ tăng chi ngân sách nhà nước. Ngân sách cho an ninh mạng phải được quản lý, sử dụng có hiệu quả.

3. Quản lý nguồn ngân sách đầu tư cho an ninh mạng được thực hiện theo quy định của pháp luật.

4. Trong Mục lục ngân sách nhà nước có loại chi riêng về an ninh mạng.

Điều 61. Kinh phí bảo đảm công tác an ninh mạng
1. Kinh phí thực hiện công tác an ninh mạng của các cơ quan nhà nước do ngân sách nhà nước bảo đảm.

2. Bộ Tài chính có trách nhiệm ưu tiên bố trí kinh phí bảo đảm phục vụ công tác an ninh mạng theo quy định pháp luật.

Điều 62. Bảo đảm nguồn nhân lực bảo vệ chủ quyền, lợi ích, an ninh quốc gia trên không gian mạng
1. Công dân Việt Nam có kiến thức về công nghệ thông tin, an toàn thông tin mạng, an ninh mạng là nguồn lực cơ bản, chủ yếu bảo vệ chủ quyền, lợi ích, an ninh quốc gia trên không gian mạng.

2. Nhà nước có chính sách, kế hoạch xây dựng, bồi dưỡng, phát triển nguồn nhân lực bảo vệ chủ quyền, lợi ích, an ninh quốc gia trên không gian mạng.

3. Khi xảy ra tình huống khẩn cấp về an ninh mạng, Nhà nước quyết định huy động nhân lực, cơ sở hạ tầng không gian mạng thuộc bộ, ngành, địa phương, doanh nghiệp viễn thông, internet, công nghệ thông tin theo quy định của pháp luật.


Chương VI
TRÁCH NHIỆM CỦA CƠ QUAN, TỔ CHỨC, CÁ NHÂN


Điều 63. Quyền và trách nhiệm của tổ chức, cá nhân tham gia sử dụng không gian mạng
1. Tổ chức, cá nhân tham gia sử dụng không gian mạng được yêu cầu doanh nghiệp cung cấp dịch vụ viễn thông, internet sửa, xóa hoặc đính chính thông tin liên quan tới bản thân mình trên hệ thống, dịch vụ của các doanh nghiệp cung cấp dịch vụ viễn thông, internet nếu có căn cứ cho rằng, thông tin đó không đúng hoặc được thu thập, sử dụng trái quy định pháp luật và cam kết giữa hai bên.

2. Chịu trách nhiệm với hoạt động của mình trên không gian mạng.

3. Không sử dụng công nghệ, kỹ thuật, tạo ra mã độc nhằm mục đích thực hiện hành vi vi phạm pháp luật; không bán hoặc cung cấp thông tin cá nhân trái pháp luật hoặc chưa được sự đồng ý của người sở hữu thông tin.

4. Không cài đặt các chương trình độc hại hay có chứa các nội dung bị cấm đăng, tán phát theo quy định của pháp luật khi đăng tải các thông tin điện tử, cung cấp phần mềm, ứng dụng.

5. Đấu tranh với các hành vi xâm phạm chủ quyền, lợi ích, an ninh quốc gia, trật tự an toàn xã hội trên không gian mạng.

Điều 64. Trách nhiệm của chủ thể sản xuất, kinh doanh sản phẩm, dịch vụ mạng
1. Tuân thủ các điều kiện bảo đảm chất lượng đối với sản phẩm trước khi đưa ra thị trường theo quy định của pháp luật và chịu trách nhiệm về chất lượng sản phẩm do mình sản xuất.

2. Thể hiện thông tin về chất lượng, thành phần sản phẩm, dịch vụ mạng theo quy định của pháp luật.

3. Thông tin trung thực về chất lượng sản phẩm, dịch vụ mạng.

4. Cảnh báo về khả năng, tình huống có khả năng mất an ninh mạng của sản phẩm, dịch vụ mạng và cách phòng ngừa.

5. Cung cấp thông tin về việc bảo hành và thực hiện bảo hành sản phẩm, dịch vụ mạng.

6. Kịp thời ngừng sản xuất, thông báo cho các bên liên quan và các biện pháp khắc phục hậu quả khi phát hiện sản phẩm, dịch vụ mạng gây mất an ninh mạng hoặc không phù hợp với tiêu chuẩn, quy chuẩn kỹ thuật áp dụng tương ứng.

7. Thu hồi, xử lý sản phẩm, dịch vụ mạng không bảo đảm chất lượng.

8. Tuân thủ các quy định về thanh tra, kiểm tra của cơ quan nhà nước có thẩm quyền.

9. Bảo mật thông tin của khách hàng.

10. Tạm ngừng hoặc ngừng cung cấp sản phẩm, dịch vụ mạng để bảo đảm quốc phòng, an ninh quốc gia, trật tự, an toàn xã hội theo yêu cầu của cơ quan nhà nước có thẩm quyền.

Điều 65. Trách nhiệm của các doanh nghiệp cung cấp dịch vụ viễn thông, internet
1. Trong triển khai công tác bảo vệ an ninh mạng

a) Yêu cầu người dùng cung cấp thông tin cá nhân xác thực. Nếu người dùng không cung cấp thông tin cá nhân thực, nhà cung cấp dịch vụ có trách nhiệm từ chối cung cấp các dịch vụ liên quan cho người dùng đó.

b) Xây dựng các phương án, giải pháp phản ứng nhanh với sự cố an ninh mạng, xử lý ngay các rủi ro an ninh như lỗ hổng bảo mật, mã độc, tấn công mạng, xâm nhập mạng…; khi xảy ra sự cố an ninh mạng, ngay lập tức triển khai phương án khẩn cấp, biện pháp ứng phó thích hợp, đồng thời báo cáo với cơ quan chủ quản theo quy định.

c) Hợp tác, cung cấp các biện pháp kỹ thuật, hỗ trợ cơ quan Công an trong quá trình điều tra tội phạm và bảo vệ an ninh quốc gia theo quy định của pháp luật.

d) Áp dụng các giải pháp kỹ thuật và các biện pháp cần thiết khác nhằm đảm bảo an toàn, an ninh cho quá trình thu thập thông tin, ngăn chặn nguy cơ lộ lọt, tổn hại hoặc mất dữ liệu. Nếu xảy ra hoặc có nguy cơ xảy ra sự cố lộ lọt, tổn hại hoặc mất dữ liệu thông tin người sử dụng, cần lập tức đưa ra giải pháp ứng phó, đồng thời thông báo tới người sử dụng và báo cáo tới cơ quan chủ quản theo quy định.

2. Trong bảo đảm an ninh thông tin mạng

a) Bảo mật, lưu trữ, sử dụng thông tin cá nhân người dùng theo quy định của pháp luật, đồng thời xây dựng, kiện toàn chính sách bảo vệ thông tin cá nhân;

b) Không tiết lộ, thay đổi, cung cấp thông tin cho bên thứ ba khi chưa được sự cho phép của người sở hữu thông tin;

c) Cập nhật, sửa đổi, xóa bỏ hoặc đính chính thông tin thu thập trái pháp luật theo yêu cầu người dùng;

d) Tiến hành ngăn chặn việc chia sẻ thông tin, xóa bỏ thông tin có nội dung chống Nhà nước Cộng hòa xã hội chủ nghĩa Việt Nam, thông tin sai sự thật, vu khống trên không gian mạng trong vòng 24 giờ sau khi nhận được phản hồi, khiếu nại từ người dùng, đồng thời lưu lại các ghi chép liên quan để báo cáo với cơ quan chuyên trách;

đ) Không cung cấp dịch vụ viễn thông, internet, hỗ trợ kỹ thuật, quảng cáo, hỗ trợ thanh toán cho các tổ chức, cá nhân đăng tải thông tin có nội dung chống Nhà nước Cộng hòa xã hội chủ nghĩa Việt Nam, thông tin sai sự thật, vu khống trên không gian mạng.

e) Xây dựng, kiện toàn quy trình bảo vệ và cơ chế hợp tác an ninh mạng, tăng cường đánh giá, phân tích các loại rủi ro an ninh mạng, định kỳ cảnh báo nguy cơ, đồng thời ủng hộ, giúp đỡ các thành viên nâng cao khả năng ứng phó với rủi ro an ninh mạng.

g) Xây dựng cơ chế phản hồi, khiếu nại về an ninh thông tin mạng; công bố thông tin về phương thức phản hồi, khiếu nại; kịp thời tiếp nhận và xử lý các phản hồi, khiếu nại liên quan an ninh thông tin mạng.

h) Thực hiện yêu cầu của cơ quan chức năng Bộ Công an, Bộ Thông tin và Truyền thông trong ngăn chặn, xử lý thông tin có nội dung chống Nhà nước Cộng hòa xã hội chủ nghĩa Việt Nam, thông tin sai sự thật, vu khống trên không gian mạng.

Điều 66. Trách nhiệm của cơ quan chủ quản hệ thống thông tin quan trọng về an ninh quốc gia
1. Phân công cá nhân phụ trách bảo đảm an ninh mạng.

2. Xây dựng quy chế vận hành, bảo đảm an ninh mạng, xác định cấp độ cần bảo vệ an ninh mạng, áp dụng các biện pháp tương ứng đối với hệ thống thông tin do mình quản lý; lập phương án phòng ngừa, ứng phó, khắc phục sự cố khi có sự cố an ninh mạng hoặc thảm họa xảy ra.

3. Bảo đảm hệ thống thông tin quan trọng về an ninh quốc gia đáp ứng tiêu chuẩn quốc gia về an ninh mạng, quy chuẩn kỹ thuật về an ninh mạng.

4. Khi thu thập, tạo ra thông tin cá nhân và dữ liệu quan trọng phải lưu trữ trong phạm vi quốc gia. Nếu bắt buộc phải cung cấp thông tin ra bên ngoài phạm vi quốc gia, phải đánh giá mức độ an ninh theo quy định của Bộ Công an, trong trường hợp có luật quy định thì căn cứ theo nội dung của luật đó để tiến hành.

5. Phối hợp với Bộ Công an hoặc tổ chức chuyên môn do Bộ Công an chỉ định kiểm tra an ninh mạng trước khi đưa vào vận hành, khai thác các thiết bị phục vụ hệ thống thông tin quan trọng về an ninh quốc gia; có phương án bảo đảm an ninh mạng trước khi thiết lập, mở rộng, nâng cấp hệ thống thông tin quan trọng về an ninh quốc gia.

6. Tiến hành hoặc ủy thác cho tổ chức cung cấp dịch vụ an ninh mạng tiến hành khảo sát, đánh giá mức độ an toàn và khả năng ứng phó rủi ro của cơ sở đó ít nhất 02 lần/năm, đồng thời gửi báo cáo tình hình kiểm tra, đánh giá, cải tiến biện pháp khắc phục tới cơ quan chuyên trách bảo vệ an ninh mạng thuộc Bộ Công an.

7. Định kỳ hoặc phối hợp với cơ quan chuyên trách bảo vệ an ninh mạng thuộc Bộ Công an tổ chức tập huấn, bồi dưỡng về kiến thức, kĩ thuật và đánh giá kĩ năng an ninh mạng cho các nhân viên phụ trách bảo đảm an ninh mạng của hệ thống thông tin quan trọng về an ninh quốc gia.

Điều 67. Trách nhiệm của Bộ Công an
1. Bộ Công an giúp Chính phủ quản lý nhà nước về an ninh mạng trên phạm vi toàn quốc.

a) Thực hiện quản lý nhà nước trong bảo đảm an ninh mạng đối với các sản phẩm, dịch vụ mạng;

b) Thẩm định hoặc chỉ định tổ chức kiểm tra, đánh giá, thẩm định sự phù hợp về an ninh mạng đối với hệ thống thông tin quan trọng về an ninh quốc gia trước khi đưa vào sử dụng; các sản phẩm, dịch vụ mạng trước khi đưa vào sử dụng trong các hệ thống thông tin quan trọng về an ninh quốc gia, cơ quan chứa đựng bí mật nhà nước, công trình trọng yếu quốc gia.

c) Tổ chức kiểm tra, đánh giá an ninh mạng đối với hệ thống thông tin của cơ quan nhà nước, hệ thống thông tin quan trọng về an ninh quốc gia, hệ thống thông tin của các công trình trọng yếu quốc gia, mục tiêu quan trọng về an ninh quốc gia, cơ quan chứa đựng bí mật nhà nước.

d) Quản lý về an ninh mạng đối với cơ sở hạ tầng không gian mạng quốc gia, cổng kết nối quốc tế; quản lý hoạt động bảo đảm an ninh mạng của các doanh nghiệp cung cấp dịch vụ viễn thông, internet.

đ) Quản lý nhà nước về giám sát an ninh mạng; cảnh báo, chia sẻ thông tin an ninh mạng, các nguy cơ đe dọa an ninh mạng.

e) Cấp Giấy phép kinh doanh dịch vụ bảo đảm an ninh mạng.

2. Xây dựng, đề xuất chiến lược, chủ trương, chính sách, kế hoạch và phương án bảo đảm an ninh mạng.

3. Ban hành hoặc trình cơ quan nhà nước có thẩm quyền ban hành và hướng dẫn thi hành các văn bản quy phạm pháp luật về an ninh mạng; tuyên truyền, phổ biến pháp luật về an ninh mạng.

4. Phòng ngừa, đấu tranh với hoạt động sử dụng không gian mạng xâm phạm chủ quyền, lợi ích, an ninh quốc gia, trật tự an toàn xã hội và phòng, chống tội phạm mạng. Bảo đảm an ninh thông tin mạng; ngăn chặn, xử lý thông tin có nội dung chống Nhà nước Cộng hòa xã hội chủ nghĩa Việt Nam, xâm phạm quyền, lợi ích hợp pháp của tổ chức, cá nhân, trái đạo đức, thuần phong mỹ tục trên không gian mạng.

5. Bảo vệ hệ thống thông tin quan trọng về an ninh quốc gia.

6. Bảo vệ bí mật nhà nước trên không gian mạng.

7. Diễn tập phòng, chống tấn công mạng; điều phối, ứng phó, khắc phục sự cố an ninh mạng.

8. Phối hợp với Bộ Khoa học và Công nghệ xây dựng, công bố tiêu chuẩn, quy chuẩn kỹ thuật về an ninh mạng; đăng ký, chỉ định, thanh tra, kiểm tra các hoạt động chứng nhận sự phù hợp của tổ chức đánh giá chứng nhận hợp chuẩn, hợp quy về an ninh mạng.

9. Phối hợp với Bộ Giáo dục và Đào tạo trong đào tạo, phát triển nguồn nhân lực an ninh mạng.

10. Phân công lực lượng an ninh mạng chuyên trách trực thuộc và tại Công an các tỉnh, thành phố trực thuộc Trung ương.

11. Xử lý các hành vi vi phạm pháp luật về an ninh mạng;

12. Chủ trì hợp tác quốc tế về an ninh mạng.

Điều 68. Trách nhiệm của Bộ Quốc phòng
1. Xây dựng, đề xuất chiến lược, chủ trương, chính sách, kế hoạch và phương án bảo đảm an ninh mạng trong thực hiện nhiệm vụ quốc phòng trên không gian mạng.

2. Ban hành hoặc trình cơ quan nhà nước có thẩm quyền ban hành và hướng dẫn thi hành các văn bản quy phạm pháp luật về thực hiện nhiệm vụ quốc phòng trên không gian mạng.

3. Chủ trì, phối hợp với các bộ, ngành liên quan trong phòng, chống chiến tranh mạng theo chức năng, nhiệm vụ được giao.

4. Thẩm định về an ninh mạng trong hồ sơ thiết kế, xây dựng, đầu tư mua sắm thiết bị cho hệ thống thông tin quân sự do Bộ Quốc phòng quản lý.

5. Kiểm tra, đánh giá an ninh mạng, ứng phó, khắc phục sự cố an ninh mạng đối với hệ thống thông tin quân sự do Bộ Quốc phòng quản lý.

6. Thực hiện công tác giám sát an ninh mạng đối với hệ thống thông tin quân sự do Bộ Quốc phòng quản lý.

7. Bảo vệ bí mật quân sự, bí mật nhà nước trên hệ thống thông tin quan sự do Bộ Quốc phòng quản lý theo chức năng, nhiệm vụ được giao; phòng ngừa, đấu tranh với các hoạt động sử dụng không gian mạng xâm phạm an ninh quân đội.

8. Phối hợp với Bộ Công an triển khai thực hiện công tác bảo vệ an ninh mạng, quản lý nhà nước về an ninh mạng theo chức năng, nhiệm vụ được giao; đưa kiến thức an ninh mạng vào chương trình giáo dục quốc phòng, an ninh.

9. Hợp tác quốc tế về an ninh mạng theo chức năng, nhiệm vụ được giao.

Điều 69. Trách nhiệm của Bộ Thông tin và Truyền thông
1. Trong quản lý nhà nước về an toàn thông tin mạng:

a) Ban hành hoặc trình cơ quan nhà nước có thẩm quyền ban hành và hướng dẫn thi hành các văn bản quy phạm pháp luật về an toàn thông tin mạng;

b) Kiểm tra, đánh giá an toàn thông tin mạng đối với hệ thống thông tin không nằm trong hệ thống thông tin quan trọng về an ninh quốc gia theo quy định của pháp luật;

c) Phối hợp với Bộ Công an trong triển khai thực hiện công tác bảo vệ an ninh mạng theo chức năng, nhiệm vụ được giao;

d) Thực hiện hợp tác quốc tế về an toàn thông tin mạng.

2. Trong ngăn chặn, xử lý thông tin có nội dung chống Nhà nước Cộng hòa xã hội chủ nghĩa Việt Nam, xâm phạm quyền, lợi ích hợp pháp của tổ chức, cá nhân, trái đạo đức, thuần phong mỹ tục trên không gian mạng:

a) Chủ động phối hợp với các cơ quan liên quan tổ chức tuyên truyền, phản bác thông tin có nội dung chống Nhà nước Cộng hòa xã hội chủ nghĩa Việt Nam, xâm phạm quyền, lợi ích hợp pháp của tổ chức, cá nhân, trái đạo đức, thuần phong mỹ tục trên không gian mạng;

b) Chỉ đạo các nhà cung cấp dịch vụ viễn thông, internet, cơ quan chủ quản trang thông tin điện tử, cổng thông tin điện tử loại bỏ thông tin có nội dung chống Nhà nước Cộng hòa xã hội chủ nghĩa Việt Nam, xâm phạm quyền, lợi ích hợp pháp của tổ chức, cá nhân, trái đạo đức, thuần phong mỹ tục trên không gian mạng, xử lý nghiêm các trường hợp vi phạm;

c) Chỉ đạo cơ quan thông tấn, báo chí tăng cường tuyên truyền, định hướng dư luận, nghiêm cấm báo chí đăng lại thông tin chưa được kiểm chứng từ internet;

d) Yêu cầu các nhà cung cấp dịch vụ viễn thông, internet nước ngoài chấp hành nghiêm pháp luật Việt Nam, đăng ký kinh doanh và đặt máy chủ chứa dữ liệu người dùng Việt Nam trên lãnh thổ Việt Nam.

Điều 70. Trách nhiệm của các bộ, ngành liên quan
1. Bộ Khoa học và Công nghệ

a) Xác định và tổ chức thực hiện các nhiệm vụ khoa học và công nghệ liên quan đến công tác an ninh mạng; quản lý thống nhất về hoạt động đánh giá sự phù hợp về an ninh mạng.

b) Chủ trì, phối hợp với cơ quan có liên quan phê duyệt quy hoạch, kế hoạch xây dựng tiêu chuẩn quốc gia, quy chuẩn kỹ thuật quốc gia về an ninh mạng; tổ chức thẩm định và công bố tiêu chuẩn quốc gia về an ninh mạng; tổ chức thẩm định dự thảo quy chuẩn kỹ thuật quốc gia về an ninh mạng theo quy định của pháp luật.

c) Chủ trì, phối hợp với bộ, ngành liên quan trong nghiên cứu, ứng dụng và phát triển quản lý định danh đáp ứng các yêu cầu bảo đảm an ninh mạng.

2. Bộ Nội vụ

a) Phối hợp với Bộ Công an xây dựng chính sách, cơ chế phối hợp thu hút, trọng dụng, đãi ngộ người có tài năng, nguồn nhân lực chất lượng cao về công nghệ thông tin, chuyên gia an ninh mạng;

b) Chủ trì, phối hợp với Bộ Công an tổ chức hướng dẫn bồi dưỡng kiến thức an ninh mạng cho cán bộ, công chức, viên chức;

c) Phối hợp với Bộ Công an, Bộ Quốc phòng, Bộ Giáo dục và Đào tạo xây dựng chương trình và đưa kiến thức an ninh mạng vào chương trình giáo dục quốc phòng, an ninh;

d) Bảo đảm chế độ, chính sách cho lực lượng an ninh mạng.

3. Bộ Giáo dục và Đào tạo

a) Chủ trì, phối hợp với Bộ Công an trong đào tạo, phát triển nguồn nhân lực an ninh mạng; quy định cụ thể về việc mở ngành đào tạo về an ninh mạng.

b) Phối hợp với Bộ Công an đào tạo nguồn nhân lực an ninh mạng chất lượng cao, có phẩm chất đạo đức tốt; công nhận văn bằng, chứng chỉ giáo dục đại học về an ninh mạng do tổ chức nước ngoài cấp;

c) Phối hợp với Bộ Công an, Bộ Quốc phòng xây dựng chương trình và đưa kiến thức an ninh mạng vào chương trình giáo dục quốc phòng, an ninh.

4. Bộ Lao động, Thương binh và Xã hội có trách nhiệm tổ chức đào tạo, bồi dưỡng, phổ biến kiến thức về an ninh mạng trong cơ sở giáo dục nghề nghiệp.

5. Bộ Tài chính

a) Hướng dẫn, bảo đảm kinh phí duy trì hoạt động bảo vệ an ninh mạng;

b) Bảo đảm chế độ, chính sách cho lực lượng bảo vệ an ninh mạng.

6. Bộ Kế hoạch và Đầu tư

a) Quản lý nhà nước về đầu tư an ninh mạng;

b) Bảo đảm môi trường kinh doanh cho doanh nghiệp trong cấp phép kinh doanh dịch vụ bảo đảm an ninh mạng;

c) Phối hợp với Bộ Công an, Bộ Quốc phòng, Bộ Thông tin và Truyền thông trong triển khai các dự án, đề án, chương trình, kế hoạch đầu tư cho hoạt động bảo vệ an ninh mạng.

7. Bộ Ngoại giao

a) Chủ trì, phối hợp với Bộ Công an trong bảo đảm an ninh mạng đối với hệ thống thông tin, thông tin thuộc Bộ Ngoại giao và các cơ quan đại diện của Việt Nam ở nước ngoài;

b) Phối hợp với Bộ Công an xây dựng và triển khai chủ trương, chính sách an ninh mạng của Việt Nam;

c) Nghiên cứu, phối hợp với Bộ Công an trong tham gia các điều ước, thỏa thuận quốc tế về an ninh mạng.

8. Bộ Công thương:

a) Phối hợp với Bộ Công an trong quản lý sản phẩm, dịch vụ mạng và cấp phép kinh doanh dịch vụ bảo đảm an ninh mạng.

b) Phối hợp với Bộ Công an bổ sung kinh doanh dịch vụ bảo đảm an ninh mạng vào Phụ lục: Danh mục ngành, nghề kinh doanh có điều kiện theo quy định của pháp luật về đầu tư.

9. Ban Cơ yếu Chính phủ giúp Bộ trưởng Bộ Quốc phòng:

a) Quản lý nhà nước về mật mã quốc gia để bảo mật thông tin thuộc phạm vi bí mật nhà nước trên hệ thống mạng liên lạc cơ yếu.

b) Quản lý nhà nước về mật mã dân sự.

c) Chủ trì bảo vệ hệ thống mạng liên lạc cơ yếu do Ban Cơ yếu Chính phủ quản lý, bảo vệ bí mật nhà nước bằng cơ yếu.

10. Bộ, ngành liên quan trong phạm vi nhiệm vụ, quyền hạn có trách nhiệm thực hiện công tác bảo đảm an ninh mạng của đối với thông tin, hệ thống thông tin do mình quản lý và phối hợp với Bộ Công an thực hiện quản lý nhà nước về an ninh mạng.

Điều 71. Trách nhiệm của ủy ban nhân dân cấp tỉnh
1. Xây dựng, ban hành quy chế quản lý, vận hành và đảm bảo an ninh mạng, áp dụng tiêu chuẩn, quy chuẩn kỹ thuật tương ứng đối với các hệ thống thông tin do mình quản lý.

2. Quản lý chất lượng sản phẩm, dịch vụ mạng trên địa bàn.

3. Trong phạm vi, nhiệm vụ, quyền hạn của mình phối hợp với Bộ Công an quản lý nhà nước về an ninh mạng ở địa phương.


Chương VII
ĐIỀU KHOẢN THI HÀNH

Điều 72. Áp dụng pháp luật
Trường hợp có sự khác nhau giữa quy định của Luật này với quy định của luật khác về cùng một vấn đề liên quan đến an ninh mạng thì áp dụng quy định của Luật này.

Điều 73. Hiệu lực thi hành
Luật này có hiệu lực thi hành từ ngày tháng năm 2018.

Điều 74. Quy định chi tiết
Chính phủ, cơ quan nhà nước có thẩm quyền quy định chi tiết các điều khoản được giao trong Luật.




Luật này đã được Quốc hội nước Cộng hòa xã hội chủ nghĩa Việt Nam khóa XIV, kỳ họp thứ thông qua ngày tháng năm 2018.

QUỐC HỘI

CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM

--------

Độc lập - Tự do - Hạnh phúc

Luật số: 24/2018/QH14


-------------------------------------------

LUẬT

AN NINH MẠNG



Căn cứ Hiến pháp nước Cộng hòa xã hội chủ nghĩa Việt Nam;

Quốc hội ban hành Luật An ninh mạng.


Chương I
NHỮNG QUY ĐỊNH CHUNG


Điều 1. Phạm vi điều chỉnh
Luật này quy định về hoạt động bảo vệ an ninh quốc gia và bảo đảm trật tự, an toàn xã hội trên không gian mạng; trách nhiệm của cơ quan, tổ chức, cá nhân có liên quan.

Điều 2. Giải thích từ ngữ
Trong Luật này, các từ ngữ dưới đây được hiểu như sau:

1. An ninh mạng là sự bảo đảm hoạt động trên không gian mạng không gây phương hại đến an ninh quốc gia, trật tự, an toàn xã hội, quyền và lợi ích hợp pháp của cơ quan, tổ chức, cá nhân.

2. Bảo vệ an ninh mạng là phòng ngừa, phát hiện, ngăn chặn, xử lý hành vi xâm phạm an ninh mạng.

3. Không gian mạng là mạng lưới kết nối của cơ sở hạ tầng công nghệ thông tin, bao gồm mạng viễn thông, mạng Internet, mạng máy tính, hệ thống thông tin, hệ thống xử lý và điều khiển thông tin, cơ sở dữ liệu; là nơi con người thực hiện các hành vi xã hội không bị giới hạn bởi không gian và thời gian.

4. Không gian mạng quốc gia là không gian mạng do Chính phủ xác lập, quản lý và kiểm soát.

5. Cơ sở hạ tầng không gian mạng quốc gia là hệ thống cơ sở vật chất, kỹ thuật để tạo lập, truyền đưa, thu thập, xử lý, lưu trữ và trao đổi thông tin trên không gian mạng quốc gia, bao gồm:

a) Hệ thống truyền dẫn bao gồm hệ thống truyền dẫn quốc gia, hệ thống truyền dẫn kết nối quốc tế, hệ thống vệ tinh, hệ thống truyền dẫn của doanh nghiệp cung cấp dịch vụ trên mạng viễn thông, mạng Internet, các dịch vụ gia tăng trên không gian mạng;

b) Hệ thống các dịch vụ lõi bao gồm hệ thống phân luồng và điều hướng thông tin quốc gia, hệ thống phân giải tên miền quốc gia (DNS), hệ thống chứng thực quốc gia (PKI/CA) và hệ thống cung cấp dịch vụ kết nối, truy cập Internet của doanh nghiệp cung cấp dịch vụ trên mạng viễn thông, mạng Internet, các dịch vụ gia tăng trên không gian mạng;

c) Dịch vụ, ứng dụng công nghệ thông tin bao gồm dịch vụ trực tuyến; ứng dụng công nghệ thông tin có kết nối mạng phục vụ quản lý, điều hành của cơ quan, tổ chức, tập đoàn kinh tế, tài chính quan trọng; cơ sở dữ liệu quốc gia.

Dịch vụ trực tuyến bao gồm chính phủ điện tử, thương mại điện tử, trang thông tin điện tử, diễn đàn trực tuyến, mạng xã hội, blog;

d) Cơ sở hạ tầng công nghệ thông tin của đô thị thông minh, Internet vạn vật, hệ thống phức hợp thực - ảo, điện toán đám mây, hệ thống dữ liệu lớn, hệ thống dữ liệu nhanh và hệ thống trí tuệ nhân tạo.

6. Cổng kết nối mạng quốc tế là nơi diễn ra hoạt động chuyển nhận tín hiệu mạng qua lại giữa Việt Nam và các quốc gia, vùng lãnh thổ khác.

7. Tội phạm mạng là hành vi sử dụng không gian mạng, công nghệ thông tin hoặc phương tiện điện tử để thực hiện tội phạm được quy định tại Bộ luật Hình sự.

8. Tấn công mạng là hành vi sử dụng không gian mạng, công nghệ thông tin hoặc phương tiện điện tử để phá hoại, gây gián đoạn hoạt động của mạng viễn thông, mạng Internet, mạng máy tính, hệ thống thông tin, hệ thống xử lý và điều khiển thông tin, cơ sở dữ liệu, phương tiện điện tử.

9. Khủng bố mạng là việc sử dụng không gian mạng, công nghệ thông tin hoặc phương tiện điện tử để thực hiện hành vi khủng bố, tài trợ khủng bố.

10. Gián điệp mạng là hành vi cố ý vượt qua cảnh báo, mã truy cập, mật mã, tường lửa, sử dụng quyền quản trị của người khác hoặc bằng phương thức khác để chiếm đoạt, thu thập trái phép thông tin, tài nguyên thông tin trên mạng viễn thông, mạng Internet, mạng máy tính, hệ thống thông tin, hệ thống xử lý và điều khiển thông tin, cơ sở dữ liệu, phương tiện điện tử của cơ quan, tổ chức, cá nhân.

11. Tài khoản số là thông tin dùng để chứng thực, xác thực, phân quyền sử dụng các ứng dụng, dịch vụ trên không gian mạng.

12. Nguy cơ đe dọa an ninh mạng là tình trạng không gian mạng xuất hiện dấu hiệu đe dọa xâm phạm an ninh quốc gia, gây tổn hại nghiêm trọng trật tự, an toàn xã hội, quyền và lợi ích hợp pháp của cơ quan, tổ chức, cá nhân.

13. Sự cố an ninh mạng là sự việc bất ngờ xảy ra trên không gian mạng xâm phạm an ninh quốc gia, trật tự, an toàn xã hội, quyền và lợi ích hợp pháp của cơ quan, tổ chức, cá nhân.

14. Tình huống nguy hiểm về an ninh mạng là sự việc xảy ra trên không gian mạng khi có hành vi xâm phạm nghiêm trọng an ninh quốc gia, gây tổn hại đặc biệt nghiêm trọng trật tự, an toàn xã hội, quyền và lợi ích hợp pháp của cơ quan, tổ chức, cá nhân.

Điều 3. Chính sách của Nhà nước về an ninh mạng
1. Ưu tiên bảo vệ an ninh mạng trong quốc phòng, an ninh, phát triển kinh tế - xã hội, khoa học, công nghệ và đối ngoại.

2. Xây dựng không gian mạng lành mạnh, không gây phương hại đến an ninh quốc gia, trật tự, an toàn xã hội, quyền và lợi ích hợp pháp của cơ quan, tổ chức, cá nhân.

3. Ưu tiên nguồn lực xây dựng lực lượng chuyên trách bảo vệ an ninh mạng; nâng cao năng lực cho lực lượng bảo vệ an ninh mạng và tổ chức, cá nhân tham gia bảo vệ an ninh mạng; ưu tiên đầu tư cho nghiên cứu, phát triển khoa học, công nghệ để bảo vệ an ninh mạng.

4. Khuyến khích, tạo điều kiện để tổ chức, cá nhân tham gia bảo vệ an ninh mạng, xử lý các nguy cơ đe dọa an ninh mạng; nghiên cứu, phát triển công nghệ, sản phẩm, dịch vụ, ứng dụng nhằm bảo vệ an ninh mạng; phối hợp với cơ quan chức năng trong bảo vệ an ninh mạng.

5. Tăng cường hợp tác quốc tế về an ninh mạng.

Điều 4. Nguyên tắc bảo vệ an ninh mạng
1. Tuân thủ Hiến pháp và pháp luật; bảo đảm lợi ích của Nhà nước, quyền và lợi ích hợp pháp của cơ quan, tổ chức, cá nhân.

2. Đặt dưới sự lãnh đạo của Đảng -censor- Việt Nam, sự quản lý thống nhất của Nhà nước; huy động sức mạnh tổng hợp của hệ thống chính trị và toàn dân tộc; phát huy vai trò nòng cốt của lực lượng chuyên trách bảo vệ an ninh mạng.

3. Kết hợp chặt chẽ giữa nhiệm vụ bảo vệ an ninh mạng, bảo vệ hệ thống thông tin quan trọng về an ninh quốc gia với nhiệm vụ phát triển kinh tế - xã hội, bảo đảm quyền con người, quyền công dân, tạo điều kiện cho cơ quan, tổ chức, cá nhân hoạt động trên không gian mạng.

4. Chủ động phòng ngừa, phát hiện, ngăn chặn, đấu tranh, làm thất bại mọi hoạt động sử dụng không gian mạng xâm phạm an ninh quốc gia, trật tự, an toàn xã hội, quyền và lợi ích hợp pháp của cơ quan, tổ chức, cá nhân; sẵn sàng ngăn chặn các nguy cơ đe dọa an ninh mạng.

5. Triển khai hoạt động bảo vệ an ninh mạng đối với cơ sở hạ tầng không gian mạng quốc gia; áp dụng các biện pháp bảo vệ hệ thống thông tin quan trọng về an ninh quốc gia.

6. Hệ thống thông tin quan trọng về an ninh quốc gia được thẩm định, chứng nhận đủ điều kiện về an ninh mạng trước khi đưa vào vận hành, sử dụng; thường xuyên kiểm tra, giám sát về an ninh mạng trong quá trình sử dụng và kịp thời ứng phó, khắc phục sự cố an ninh mạng.

7. Mọi hành vi vi phạm pháp luật về an ninh mạng phải được xử lý kịp thời, nghiêm minh.

Điều 5. Biện pháp bảo vệ an ninh mạng
1. Biện pháp bảo vệ an ninh mạng bao gồm:

a) Thẩm định an ninh mạng;

b) Đánh giá điều kiện an ninh mạng;

c) Kiểm tra an ninh mạng;

d) Giám sát an ninh mạng;

đ) Ứng phó, khắc phục sự cố an ninh mạng;

e) Đấu tranh bảo vệ an ninh mạng;

g) Sử dụng mật mã để bảo vệ thông tin mạng;

h) Ngăn chặn, yêu cầu tạm ngừng, ngừng cung cấp thông tin mạng; đình chỉ, tạm đình chỉ các hoạt động thiết lập, cung cấp và sử dụng mạng viễn thông, mạng Internet, sản xuất và sử dụng thiết bị phát, thu phát sóng vô tuyến theo quy định của pháp luật;

i) Yêu cầu xóa bỏ, truy cập xóa bỏ thông tin trái pháp luật hoặc thông tin sai sự thật trên không gian mạng xâm phạm an ninh quốc gia, trật tự, an toàn xã hội, quyền và lợi ích hợp pháp của cơ quan, tổ chức, cá nhân;

k) Thu thập dữ liệu điện tử liên quan đến hoạt động xâm phạm an ninh quốc gia, trật tự, an toàn xã hội, quyền và lợi ích hợp pháp của cơ quan, tổ chức, cá nhân trên không gian mạng;

l) Phong tỏa, hạn chế hoạt động của hệ thống thông tin; đình chỉ, tạm đình chỉ hoặc yêu cầu ngừng hoạt động của hệ thống thông tin, thu hồi tên miền theo quy định của pháp luật;

m) Khởi tố, điều tra, truy tố, xét xử theo quy định của Bộ luật Tố tụng hình sự;

n) Biện pháp khác theo quy định của pháp luật về an ninh quốc gia, pháp luật về xử lý vi phạm hành chính.

2. Chính phủ quy định trình tự, thủ tục áp dụng biện pháp bảo vệ an ninh mạng, trừ biện pháp quy định tại điểm m và điểm n khoản 1 Điều này.

Điều 6. Bảo vệ không gian mạng quốc gia
Nhà nước áp dụng các biện pháp để bảo vệ không gian mạng quốc gia; phòng ngừa, xử lý hành vi xâm phạm an ninh quốc gia, trật tự, an toàn xã hội, quyền và lợi ích hợp pháp của cơ quan, tổ chức, cá nhân trên không gian mạng.

Điều 7. Hợp tác quốc tế về an ninh mạng
1. Hợp tác quốc tế về an ninh mạng được thực hiện trên cơ sở tôn trọng độc lập, chủ quyền và toàn vẹn lãnh thổ, không can thiệp vào công việc nội bộ của nhau, bình đẳng và cùng có lợi.

2. Nội dung hợp tác quốc tế về an ninh mạng bao gồm:

a) Nghiên cứu, phân tích xu hướng an ninh mạng;

b) Xây dựng cơ chế, chính sách nhằm đẩy mạnh hợp tác giữa tổ chức, cá nhân Việt Nam với tổ chức, cá nhân nước ngoài, tổ chức quốc tế hoạt động về an ninh mạng;

c) Chia sẻ thông tin, kinh nghiệm; hỗ trợ đào tạo, trang thiết bị, công nghệ bảo vệ an ninh mạng;

d) Phòng, chống tội phạm mạng, hành vi xâm phạm an ninh mạng; ngăn ngừa các nguy cơ đe dọa an ninh mạng;

đ) Tư vấn, đào tạo và phát triển nguồn nhân lực an ninh mạng;

e) Tổ chức hội nghị, hội thảo và diễn đàn quốc tế về an ninh mạng;

g) Ký kết và thực hiện điều ước quốc tế, thỏa thuận quốc tế về an ninh mạng;

h) Thực hiện chương trình, dự án hợp tác quốc tế về an ninh mạng;

i) Hoạt động hợp tác quốc tế khác về an ninh mạng.

3. Bộ Công an chịu trách nhiệm trước Chính phủ chủ trì, phối hợp thực hiện hợp tác quốc tế về an ninh mạng, trừ hoạt động hợp tác quốc tế của Bộ Quốc phòng.

Bộ Quốc phòng chịu trách nhiệm trước Chính phủ thực hiện hợp tác quốc tế về an ninh mạng trong phạm vi quản lý.

Bộ Ngoại giao có trách nhiệm phối hợp với Bộ Công an, Bộ Quốc phòng trong hoạt động hợp tác quốc tế về an ninh mạng.

Trường hợp hợp tác quốc tế về an ninh mạng có liên quan đến trách nhiệm của nhiều Bộ, ngành do Chính phủ quyết định.

4. Hoạt động hợp tác quốc tế về an ninh mạng của Bộ, ngành khác, của địa phương phải có văn bản tham gia ý kiến của Bộ Công an trước khi triển khai, trừ hoạt động hợp tác quốc tế của Bộ Quốc phòng.

Điều 8. Các hành vi bị nghiêm cấm về an ninh mạng
1. Sử dụng không gian mạng để thực hiện hành vi sau đây:

a) Hành vi quy định tại khoản 1 Điều 18 của Luật này;

b) Tổ chức, hoạt động, câu kết, xúi giục, mua chuộc, lừa gạt, lôi kéo, đào tạo, huấn luyện người chống Nhà nước Cộng hòa xã hội chủ nghĩa Việt Nam;

c) Xuyên tạc lịch sử, phủ nhận thành tựu cách mạng, phá hoại khối đại đoàn kết toàn dân tộc, xúc phạm tôn giáo, phân biệt đối xử về giới, phân biệt chủng tộc;

d) Thông tin sai sự thật gây hoang mang trong Nhân dân, gây thiệt hại cho hoạt động kinh tế - xã hội, gây khó khăn cho hoạt động của cơ quan nhà nước hoặc người thi hành công vụ, xâm phạm quyền và lợi ích hợp pháp của cơ quan, tổ chức, cá nhân khác;

đ) Hoạt động mại dâm, tệ nạn xã hội, mua bán người; đăng tải thông tin dâm ô, đồi trụy, tội ác; phá hoại thuần phong, mỹ tục của dân tộc, đạo đức xã hội, sức khỏe của cộng đồng;

e) Xúi giục, lôi kéo, kích động người khác phạm tội.

2. Thực hiện tấn công mạng, khủng bố mạng, gián điệp mạng, tội phạm mạng; gây sự cố, tấn công, xâm nhập, chiếm quyền điều khiển, làm sai lệch, gián đoạn, ngưng trệ, tê liệt hoặc phá hoại hệ thống thông tin quan trọng về an ninh quốc gia.

3. Sản xuất, đưa vào sử dụng công cụ, phương tiện, phần mềm hoặc có hành vi cản trở, gây rối loạn hoạt động của mạng viễn thông, mạng Internet, mạng máy tính, hệ thống thông tin, hệ thống xử lý và điều khiển thông tin, phương tiện điện tử; phát tán chương trình tin học gây hại cho hoạt động của mạng viễn thông, mạng Internet, mạng máy tính, hệ thống thông tin, hệ thống xử lý và điều khiển thông tin, phương tiện điện tử; xâm nhập trái phép vào mạng viễn thông, mạng máy tính, hệ thống thông tin, hệ thống xử lý và điều khiển thông tin, cơ sở dữ liệu, phương tiện điện tử của người khác.

4. Chống lại hoặc cản trở hoạt động của lực lượng bảo vệ an ninh mạng; tấn công, vô hiệu hóa trái pháp luật làm mất tác dụng biện pháp bảo vệ an ninh mạng.

5. Lợi dụng hoặc lạm dụng hoạt động bảo vệ an ninh mạng để xâm phạm chủ quyền, lợi ích, an ninh quốc gia, trật tự, an toàn xã hội, quyền và lợi ích hợp pháp của cơ quan, tổ chức, cá nhân hoặc để trục lợi.

6. Hành vi khác vi phạm quy định của Luật này.

Điều 9. Xử lý vi phạm pháp luật về an ninh mạng

Người nào có hành vi vi phạm quy định của Luật này thì tùy theo tính chất, mức độ vi phạm mà bị xử lý kỷ luật, xử lý vi phạm hành chính hoặc bị truy cứu trách nhiệm hình sự, nếu gây thiệt hại thì phải bồi thường theo quy định của pháp luật.


Chương II
BẢO VỆ AN NINH MẠNG ĐỐI VỚI HỆ THỐNG THÔNG TIN
QUAN TRỌNG VỀ AN NINH QUỐC GIA

Điều 10. Hệ thống thông tin quan trọng về an ninh quốc gia
1. Hệ thống thông tin quan trọng về an ninh quốc gia là hệ thống thông tin khi bị sự cố, xâm nhập, chiếm quyền điều khiển, làm sai lệch, gián đoạn, ngưng trệ, tê liệt, tấn công hoặc phá hoại sẽ xâm phạm nghiêm trọng an ninh mạng.

2. Hệ thống thông tin quan trọng về an ninh quốc gia bao gồm:

a) Hệ thống thông tin quân sự, an ninh, ngoại giao, cơ yếu;

b) Hệ thống thông tin lưu trữ, xử lý thông tin thuộc bí mật nhà nước;

c) Hệ thống thông tin phục vụ lưu giữ, bảo quản hiện vật, tài liệu có giá trị đặc biệt quan trọng;

d) Hệ thống thông tin phục vụ bảo quản vật liệu, chất đặc biệt nguy hiểm đối với con người, môi trường sinh thái;

đ) Hệ thống thông tin phục vụ bảo quản, chế tạo, quản lý cơ sở vật chất đặc biệt quan trọng khác liên quan đến an ninh quốc gia;

e) Hệ thống thông tin quan trọng phục vụ hoạt động của cơ quan, tổ chức ở trung ương;

g) Hệ thống thông tin quốc gia thuộc lĩnh vực năng lượng, tài chính, ngân hàng, viễn thông, giao thông vận tải, tài nguyên và môi trường, hóa chất, y tế, văn hóa, báo chí;

h) Hệ thống điều khiển và giám sát tự động tại công trình quan trọng liên quan đến an ninh quốc gia, mục tiêu quan trọng về an ninh quốc gia.

3. Thủ tướng Chính phủ ban hành và sửa đổi, bổ sung Danh mục hệ thống thông tin quan trọng về an ninh quốc gia.

4. Chính phủ quy định việc phối hợp giữa Bộ Công an, Bộ Quốc phòng, Bộ Thông tin và Truyền thông, Ban Cơ yếu Chính phủ, các Bộ, ngành chức năng trong việc thẩm định, đánh giá, kiểm tra, giám sát, ứng phó, khắc phục sự cố đối với hệ thống thông tin quan trọng về an ninh quốc gia.

Điều 11. Thẩm định an ninh mạng đối với hệ thống thông tin quan trọng về an ninh quốc gia
1. Thẩm định an ninh mạng là hoạt động xem xét, đánh giá những nội dung về an ninh mạng để làm cơ sở cho việc quyết định xây dựng hoặc nâng cấp hệ thống thông tin.

2. Đối tượng thẩm định an ninh mạng đối với hệ thống thông tin quan trọng về an ninh quốc gia bao gồm:

a) Báo cáo nghiên cứu tiền khả thi, hồ sơ thiết kế thi công dự án đầu tư xây dựng hệ thống thông tin trước khi phê duyệt;

b) Đề án nâng cấp hệ thống thông tin trước khi phê duyệt.

3. Nội dung thẩm định an ninh mạng đối với hệ thống thông tin quan trọng về an ninh quốc gia bao gồm:

a) Việc tuân thủ quy định, điều kiện an ninh mạng trong thiết kế;

b) Sự phù hợp với phương án bảo vệ, ứng phó, khắc phục sự cố và bố trí nhân lực bảo vệ an ninh mạng.

4. Thẩm quyền thẩm định an ninh mạng đối với hệ thống thông tin quan trọng về an ninh quốc gia được quy định như sau:

a) Lực lượng chuyên trách bảo vệ an ninh mạng thuộc Bộ Công an thẩm định an ninh mạng đối với hệ thống thông tin quan trọng về an ninh quốc gia, trừ trường hợp quy định tại điểm b và điểm c khoản này;

b) Lực lượng chuyên trách bảo vệ an ninh mạng thuộc Bộ Quốc phòng thẩm định an ninh mạng đối với hệ thống thông tin quân sự;

c) Ban Cơ yếu Chính phủ thẩm định an ninh mạng đối với hệ thống thông tin cơ yếu thuộc Ban Cơ yếu Chính phủ.

Điều 12. Đánh giá điều kiện an ninh mạng đối với hệ thống thông tin quan trọng về an ninh quốc gia
1. Đánh giá điều kiện về an ninh mạng là hoạt động xem xét sự đáp ứng về an ninh mạng của hệ thống thông tin trước khi đưa vào vận hành, sử dụng.

2. Hệ thống thông tin quan trọng về an ninh quốc gia phải đáp ứng các điều kiện sau đây về:

a) Quy định, quy trình và phương án bảo đảm an ninh mạng; nhân sự vận hành, quản trị hệ thống;

b) Bảo đảm an ninh mạng đối với trang thiết bị, phần cứng, phần mềm là thành phần hệ thống;

c) Biện pháp kỹ thuật để giám sát, bảo vệ an ninh mạng; biện pháp bảo vệ hệ thống điều khiển và giám sát tự động, Internet vạn vật, hệ thống phức hợp thực - ảo, điện toán đám mây, hệ thống dữ liệu lớn, hệ thống dữ liệu nhanh, hệ thống trí tuệ nhân tạo;

d) Biện pháp bảo đảm an ninh vật lý bao gồm cách ly cô lập đặc biệt, chống rò rỉ dữ liệu, chống thu tin, kiểm soát ra vào.

3. Thẩm quyền đánh giá điều kiện an ninh mạng đối với hệ thống thông tin quan trọng về an ninh quốc gia được quy định như sau:

a) Lực lượng chuyên trách bảo vệ an ninh mạng thuộc Bộ Công an đánh giá, chứng nhận đủ điều kiện an ninh mạng đối với hệ thống thông tin quan trọng về an ninh quốc gia, trừ trường hợp quy định tại điểm b và điểm c khoản này;

b) Lực lượng chuyên trách bảo vệ an ninh mạng thuộc Bộ Quốc phòng đánh giá, chứng nhận đủ điều kiện an ninh mạng đối với hệ thống thông tin quân sự;

c) Ban Cơ yếu Chính phủ đánh giá, chứng nhận đủ điều kiện an ninh mạng đối với hệ thống thông tin cơ yếu thuộc Ban Cơ yếu Chính phủ.

4. Hệ thống thông tin quan trọng về an ninh quốc gia được đưa vào vận hành, sử dụng sau khi được chứng nhận đủ điều kiện an ninh mạng.

5. Chính phủ quy định chi tiết khoản 2 Điều này.

Điều 13. Kiểm tra an ninh mạng đối với hệ thống thông tin quan trọng về an ninh quốc gia
1. Kiểm tra an ninh mạng là hoạt động xác định thực trạng an ninh mạng của hệ thống thông tin, cơ sở hạ tầng hệ thống thông tin hoặc thông tin được lưu trữ, xử lý, truyền đưa trong hệ thống thông tin nhằm phòng ngừa, phát hiện, xử lý nguy cơ đe dọa an ninh mạng và đưa ra các phương án, biện pháp bảo đảm hoạt động bình thường của hệ thống thông tin.

2. Kiểm tra an ninh mạng đối với hệ thống thông tin quan trọng về an ninh quốc gia được thực hiện trong trường hợp sau đây:

a) Khi đưa phương tiện điện tử, dịch vụ an toàn thông tin mạng vào sử dụng trong hệ thống thông tin;

b) Khi có thay đổi hiện trạng hệ thống thông tin;

c) Kiểm tra định kỳ hằng năm;

d) Kiểm tra đột xuất khi xảy ra sự cố an ninh mạng, hành vi xâm phạm an ninh mạng; khi có yêu cầu quản lý nhà nước về an ninh mạng; khi hết thời hạn khắc phục điểm yếu, lỗ hổng bảo mật theo khuyến cáo của lực lượng chuyên trách bảo vệ an ninh mạng.

3. Đối tượng kiểm tra an ninh mạng đối với hệ thống thông tin quan trọng về an ninh quốc gia bao gồm:

a) Hệ thống phần cứng, phần mềm, thiết bị số được sử dụng trong hệ thống thông tin;

b) Quy định, biện pháp bảo vệ an ninh mạng;

c) Thông tin được lưu trữ, xử lý, truyền đưa trong hệ thống thông tin;

d) Phương án ứng phó, khắc phục sự cố an ninh mạng của chủ quản hệ thống thông tin;

đ) Biện pháp bảo vệ bí mật nhà nước và phòng, chống lộ, mất bí mật nhà nước qua các kênh kỹ thuật;

e) Nhân lực bảo vệ an ninh mạng.

4. Chủ quản hệ thống thông tin quan trọng về an ninh quốc gia có trách nhiệm kiểm tra an ninh mạng đối với hệ thống thông tin thuộc phạm vi quản lý trong trường hợp quy định tại các điểm a, b và c khoản 2 Điều này; thông báo kết quả kiểm tra bằng văn bản trước tháng 10 hằng năm cho lực lượng chuyên trách bảo vệ an ninh mạng thuộc Bộ Công an hoặc lực lượng chuyên trách bảo vệ an ninh mạng thuộc Bộ Quốc phòng đối với hệ thống thông tin quân sự.

5. Kiểm tra an ninh mạng đột xuất đối với hệ thống thông tin quan trọng về an ninh quốc gia được quy định như sau:

a) Trước thời điểm tiến hành kiểm tra, lực lượng chuyên trách bảo vệ an ninh mạng có trách nhiệm thông báo bằng văn bản cho chủ quản hệ thống thông tin ít nhất là 12 giờ trong trường hợp xảy ra sự cố an ninh mạng, hành vi xâm phạm an ninh mạng; ít nhất là 72 giờ trong trường hợp có yêu cầu quản lý nhà nước về an ninh mạng hoặc hết thời hạn khắc phục điểm yếu, lỗ hổng bảo mật theo khuyến cáo của lực lượng chuyên trách bảo vệ an ninh mạng;

b) Trong thời hạn 30 ngày kể từ ngày kết thúc kiểm tra, lực lượng chuyên trách bảo vệ an ninh mạng thông báo kết quả kiểm tra và đưa ra yêu cầu đối với chủ quản hệ thống thông tin trong trường hợp phát hiện điểm yếu, lỗ hổng bảo mật; hướng dẫn hoặc tham gia khắc phục khi có đề nghị của chủ quản hệ thống thông tin;

c) Lực lượng chuyên trách bảo vệ an ninh mạng thuộc Bộ Công an kiểm tra an ninh mạng đột xuất đối với hệ thống thông tin quan trọng về an ninh quốc gia, trừ hệ thống thông tin quân sự do Bộ Quốc phòng quản lý, hệ thống thông tin cơ yếu thuộc Ban Cơ yếu Chính phủ và sản phẩm mật mã do Ban Cơ yếu Chính phủ cung cấp để bảo vệ thông tin thuộc bí mật nhà nước.

Lực lượng chuyên trách bảo vệ an ninh mạng thuộc Bộ Quốc phòng kiểm tra an ninh mạng đột xuất đối với hệ thống thông tin quân sự.

Ban Cơ yếu Chính phủ kiểm tra an ninh mạng đột xuất đối với hệ thống thông tin cơ yếu thuộc Ban Cơ yếu Chính phủ và sản phẩm mật mã do Ban Cơ yếu Chính phủ cung cấp để bảo vệ thông tin thuộc bí mật nhà nước;

d) Chủ quản hệ thống thông tin quan trọng về an ninh quốc gia có trách nhiệm phối hợp với lực lượng chuyên trách bảo vệ an ninh mạng tiến hành kiểm tra an ninh mạng đột xuất.

6. Kết quả kiểm tra an ninh mạng được bảo mật theo quy định của pháp luật.

Điều 14. Giám sát an ninh mạng đối với hệ thống thông tin quan trọng về an ninh quốc gia
1. Giám sát an ninh mạng là hoạt động thu thập, phân tích tình hình nhằm xác định nguy cơ đe dọa an ninh mạng, sự cố an ninh mạng, điểm yếu, lỗ hổng bảo mật, mã độc, phần cứng độc hại để cảnh báo, khắc phục, xử lý.

2. Chủ quản hệ thống thông tin quan trọng về an ninh quốc gia chủ trì, phối hợp với lực lượng chuyên trách bảo vệ an ninh mạng có thẩm quyền thường xuyên thực hiện giám sát an ninh mạng đối với hệ thống thông tin thuộc phạm vi quản lý; xây dựng cơ chế tự cảnh báo và tiếp nhận cảnh báo về nguy cơ đe dọa an ninh mạng, sự cố an ninh mạng, điểm yếu, lỗ hổng bảo mật, mã độc, phần cứng độc hại và đề ra phương án ứng phó, khắc phục khẩn cấp.

3. Lực lượng chuyên trách bảo vệ an ninh mạng thực hiện giám sát an ninh mạng đối với hệ thống thông tin quan trọng về an ninh quốc gia thuộc phạm vi quản lý; cảnh báo và phối hợp với chủ quản hệ thống thông tin trong khắc phục, xử lý các nguy cơ đe dọa an ninh mạng, sự cố an ninh mạng, điểm yếu, lỗ hổng bảo mật, mã độc, phần cứng độc hại xảy ra đối với hệ thống thông tin quan trọng về an ninh quốc gia.

Điều 15. Ứng phó, khắc phục sự cố an ninh mạng đối với hệ thống thông tin quan trọng về an ninh quốc gia
1. Hoạt động ứng phó, khắc phục sự cố an ninh mạng đối với hệ thống thông tin quan trọng về an ninh quốc gia bao gồm:

a) Phát hiện, xác định sự cố an ninh mạng;

b) Bảo vệ hiện trường, thu thập chứng cứ;

c) Phong tỏa, giới hạn phạm vi xảy ra sự cố an ninh mạng, hạn chế thiệt hại do sự cố an ninh mạng gây ra;

d) Xác định mục tiêu, đối tượng, phạm vi cần ứng cứu;

đ) Xác minh, phân tích, đánh giá, phân loại sự cố an ninh mạng;

e) Triển khai phương án ứng phó, khắc phục sự cố an ninh mạng;

g) Xác minh nguyên nhân và truy tìm nguồn gốc;

h) Điều tra, xử lý theo quy định của pháp luật.

2. Chủ quản hệ thống thông tin quan trọng về an ninh quốc gia xây dựng phương án ứng phó, khắc phục sự cố an ninh mạng đối với hệ thống thông tin thuộc phạm vi quản lý; triển khai phương án ứng phó, khắc phục khi sự cố an ninh mạng xảy ra và kịp thời báo cáo với lực lượng chuyên trách bảo vệ an ninh mạng có thẩm quyền.

3. Điều phối hoạt động ứng phó, khắc phục sự cố an ninh mạng đối với hệ thống thông tin quan trọng về an ninh quốc gia được quy định như sau:

a) Lực lượng chuyên trách bảo vệ an ninh mạng thuộc Bộ Công an chủ trì điều phối hoạt động ứng phó, khắc phục sự cố an ninh mạng xảy ra đối với hệ thống thông tin quan trọng về an ninh quốc gia, trừ trường hợp quy định tại điểm b và điểm c khoản này; tham gia ứng phó, khắc phục sự cố an ninh mạng đối với hệ thống thông tin quan trọng về an ninh quốc gia khi có yêu cầu; thông báo cho chủ quản hệ thống thông tin khi phát hiện có tấn công mạng, sự cố an ninh mạng;

b) Lực lượng chuyên trách bảo vệ an ninh mạng thuộc Bộ Quốc phòng chủ trì điều phối hoạt động ứng phó, khắc phục sự cố an ninh mạng xảy ra đối với hệ thống thông tin quân sự;

c) Ban Cơ yếu Chính phủ chủ trì điều phối hoạt động ứng phó, khắc phục sự cố an ninh mạng xảy ra đối với hệ thống thông tin cơ yếu thuộc Ban Cơ yếu Chính phủ.

4. Cơ quan, tổ chức, cá nhân có trách nhiệm tham gia ứng phó, khắc phục sự cố an ninh mạng xảy ra đối với hệ thống thông tin quan trọng về an ninh quốc gia khi có yêu cầu của lực lượng chủ trì điều phối.

Chương III
PHÒNG NGỪA, XỬ LÝ HÀNH VI XÂM PHẠM AN NINH MẠNG

Điều 16. Phòng ngừa, xử lý thông tin trên không gian mạng có nội dung tuyên truyền chống Nhà nước Cộng hòa xã hội chủ nghĩa Việt Nam; kích động gây bạo loạn, phá rối an ninh, gây rối trật tự công cộng; làm nhục, vu khống; xâm phạm trật tự quản lý kinh tế
1. Thông tin trên không gian mạng có nội dung tuyên truyền chống Nhà nước Cộng hòa xã hội chủ nghĩa Việt Nam bao gồm:

a) Tuyên truyền xuyên tạc, phỉ báng chính quyền nhân dân;

b) Chiến tranh tâm lý, kích động chiến tranh xâm lược, chia rẽ, gây thù hận giữa các dân tộc, tôn giáo và nhân dân các nước;

c) Xúc phạm dân tộc, quốc kỳ, quốc huy, quốc ca, vĩ nhân, lãnh tụ, danh nhân, anh hùng dân tộc.

2. Thông tin trên không gian mạng có nội dung kích động gây bạo loạn, phá rối an ninh, gây rối trật tự công cộng bao gồm:

a) Kêu gọi, vận động, xúi giục, đe dọa, gây chia rẽ, tiến hành hoạt động vũ trang hoặc dùng bạo lực nhằm chống chính quyền nhân dân;

b) Kêu gọi, vận động, xúi giục, đe dọa, lôi kéo tụ tập đông người gây rối, chống người thi hành công vụ, cản trở hoạt động của cơ quan, tổ chức gây mất ổn định về an ninh, trật tự.

3. Thông tin trên không gian mạng có nội dung làm nhục, vu khống bao gồm:

a) Xúc phạm nghiêm trọng danh dự, uy tín, nhân phẩm của người khác;

b) Thông tin bịa đặt, sai sự thật xâm phạm danh dự, uy tín, nhân phẩm hoặc gây thiệt hại đến quyền và lợi ích hợp pháp của cơ quan, tổ chức, cá nhân khác.

4. Thông tin trên không gian mạng có nội dung xâm phạm trật tự quản lý kinh tế bao gồm:

a) Thông tin bịa đặt, sai sự thật về sản phẩm, hàng hóa, tiền, trái phiếu, tín phiếu, công trái, séc và các loại giấy tờ có giá khác;

b) Thông tin bịa đặt, sai sự thật trong lĩnh vực tài chính, ngân hàng, thương mại điện tử, thanh toán điện tử, kinh doanh tiền tệ, huy động vốn, kinh doanh đa cấp, chứng khoán.

5. Thông tin trên không gian mạng có nội dung bịa đặt, sai sự thật gây hoang mang trong Nhân dân, gây thiệt hại cho hoạt động kinh tế - xã hội, gây khó khăn cho hoạt động của cơ quan nhà nước hoặc người thi hành công vụ, xâm phạm quyền và lợi ích hợp pháp của cơ quan, tổ chức, cá nhân khác.

6. Chủ quản hệ thống thông tin có trách nhiệm triển khai biện pháp quản lý, kỹ thuật để phòng ngừa, phát hiện, ngăn chặn, gỡ bỏ thông tin có nội dung quy định tại các khoản 1, 2, 3, 4 và 5 Điều này trên hệ thống thông tin thuộc phạm vi quản lý khi có yêu cầu của lực lượng chuyên trách bảo vệ an ninh mạng.

7. Lực lượng chuyên trách bảo vệ an ninh mạng và cơ quan có thẩm quyền áp dụng biện pháp quy định tại các điểm h, i và l khoản 1 Điều 5 của Luật này để xử lý thông tin trên không gian mạng có nội dung quy định tại các khoản 1, 2, 3, 4 và 5 Điều này.

8. Doanh nghiệp cung cấp dịch vụ trên mạng viễn thông, mạng Internet, các dịch vụ gia tăng trên không gian mạng và chủ quản hệ thống thông tin có trách nhiệm phối hợp với cơ quan chức năng xử lý thông tin trên không gian mạng có nội dung quy định tại các khoản 1, 2, 3, 4 và 5 Điều này.

9. Tổ chức, cá nhân soạn thảo, đăng tải, phát tán thông tin trên không gian mạng có nội dung quy định tại các khoản 1, 2, 3, 4 và 5 Điều này phải gỡ bỏ thông tin khi có yêu cầu của lực lượng chuyên trách bảo vệ an ninh mạng và chịu trách nhiệm theo quy định của pháp luật.

Điều 17. Phòng, chống gián điệp mạng; bảo vệ thông tin thuộc bí mật nhà nước, bí mật công tác, bí mật kinh doanh, bí mật cá nhân, bí mật gia đình và đời sống riêng tư trên không gian mạng
1. Hành vi gián điệp mạng; xâm phạm bí mật nhà nước, bí mật công tác, bí mật kinh doanh, bí mật cá nhân, bí mật gia đình và đời sống riêng tư trên không gian mạng bao gồm:

a) Chiếm đoạt, mua bán, thu giữ, cố ý làm lộ thông tin thuộc bí mật nhà nước, bí mật công tác, bí mật kinh doanh, bí mật cá nhân, bí mật gia đình và đời sống riêng tư gây ảnh hưởng đến danh dự, uy tín, nhân phẩm, quyền và lợi ích hợp pháp của cơ quan, tổ chức, cá nhân;

b) Cố ý xóa, làm hư hỏng, thất lạc, thay đổi thông tin thuộc bí mật nhà nước, bí mật công tác, bí mật kinh doanh, bí mật cá nhân, bí mật gia đình và đời sống riêng tư được truyền đưa, lưu trữ trên không gian mạng;

c) Cố ý thay đổi, hủy bỏ hoặc làm vô hiệu hóa biện pháp kỹ thuật được xây dựng, áp dụng để bảo vệ thông tin thuộc bí mật nhà nước, bí mật công tác, bí mật kinh doanh, bí mật cá nhân, bí mật gia đình và đời sống riêng tư;

d) Đưa lên không gian mạng những thông tin thuộc bí mật nhà nước, bí mật công tác, bí mật kinh doanh, bí mật cá nhân, bí mật gia đình và đời sống riêng tư trái quy định của pháp luật;

đ) Cố ý nghe, ghi âm, ghi hình trái phép các cuộc đàm thoại;

e) Hành vi khác cố ý xâm phạm bí mật nhà nước, bí mật công tác, bí mật kinh doanh, bí mật cá nhân, bí mật gia đình và đời sống riêng tư.

2. Chủ quản hệ thống thông tin có trách nhiệm sau đây:

a) Kiểm tra an ninh mạng nhằm phát hiện, loại bỏ mã độc, phần cứng độc hại, khắc phục điểm yếu, lỗ hổng bảo mật; phát hiện, ngăn chặn và xử lý các hoạt động xâm nhập bất hợp pháp hoặc nguy cơ khác đe dọa an ninh mạng;

b) Triển khai biện pháp quản lý, kỹ thuật để phòng ngừa, phát hiện, ngăn chặn hành vi gián điệp mạng, xâm phạm bí mật nhà nước, bí mật công tác, bí mật kinh doanh, bí mật cá nhân, bí mật gia đình và đời sống riêng tư trên hệ thống thông tin và kịp thời gỡ bỏ thông tin liên quan đến hành vi này;

c) Phối hợp, thực hiện yêu cầu của lực lượng chuyên trách an ninh mạng về phòng, chống gián điệp mạng, bảo vệ thông tin thuộc bí mật nhà nước, bí mật công tác, bí mật kinh doanh, bí mật cá nhân, bí mật gia đình và đời sống riêng tư trên hệ thống thông tin.

3. Cơ quan soạn thảo, lưu trữ thông tin, tài liệu thuộc bí mật nhà nước có trách nhiệm bảo vệ bí mật nhà nước được soạn thảo, lưu giữ trên máy tính, thiết bị khác hoặc trao đổi trên không gian mạng theo quy định của pháp luật về bảo vệ bí mật nhà nước.

4. Bộ Công an có trách nhiệm sau đây, trừ quy định tại khoản 5 và khoản 6 Điều này:

a) Kiểm tra an ninh mạng đối với hệ thống thông tin quan trọng về an ninh quốc gia nhằm phát hiện, loại bỏ mã độc, phần cứng độc hại, khắc phục điểm yếu, lỗ hổng bảo mật; phát hiện, ngăn chặn, xử lý hoạt động xâm nhập bất hợp pháp;

b) Kiểm tra an ninh mạng đối với thiết bị, sản phẩm, dịch vụ thông tin liên lạc, thiết bị kỹ thuật số, thiết bị điện tử trước khi đưa vào sử dụng trong hệ thống thông tin quan trọng về an ninh quốc gia;

c) Giám sát an ninh mạng đối với hệ thống thông tin quan trọng về an ninh quốc gia nhằm phát hiện, xử lý hoạt động thu thập trái phép thông tin thuộc bí mật nhà nước;

d) Phát hiện, xử lý các hành vi đăng tải, lưu trữ, trao đổi trái phép thông tin, tài liệu có nội dung thuộc bí mật nhà nước trên không gian mạng;

đ) Tham gia nghiên cứu, sản xuất sản phẩm lưu trữ, truyền đưa thông tin, tài liệu có nội dung thuộc bí mật nhà nước; sản phẩm mã hóa thông tin trên không gian mạng theo chức năng, nhiệm vụ được giao;

e) Thanh tra, kiểm tra công tác bảo vệ bí mật nhà nước trên không gian mạng của cơ quan nhà nước và bảo vệ an ninh mạng của chủ quản hệ thống thông tin quan trọng về an ninh quốc gia;

g) Tổ chức đào tạo, tập huấn nâng cao nhận thức và kiến thức về bảo vệ bí mật nhà nước trên không gian mạng, phòng, chống tấn công mạng, bảo vệ an ninh mạng đối với lực lượng bảo vệ an ninh mạng quy định tại khoản 2 Điều 30 của Luật này.

5. Bộ Quốc phòng có trách nhiệm thực hiện các nội dung quy định tại các điểm a, b, c, d, đ và e khoản 4 Điều này đối với hệ thống thông tin quân sự.

6. Ban Cơ yếu Chính phủ có trách nhiệm tổ chức thực hiện các quy định của pháp luật trong việc sử dụng mật mã để bảo vệ thông tin thuộc bí mật nhà nước được lưu trữ, trao đổi trên không gian mạng.

Điều 18. Phòng, chống hành vi sử dụng không gian mạng, công nghệ thông tin, phương tiện điện tử để vi phạm pháp luật về an ninh quốc gia, trật tự, an toàn xã hội
1. Hành vi sử dụng không gian mạng, công nghệ thông tin, phương tiện điện tử để vi phạm pháp luật về an ninh quốc gia, trật tự, an toàn xã hội bao gồm:

a) Đăng tải, phát tán thông tin trên không gian mạng có nội dung quy định tại các khoản 1, 2, 3, 4 và 5 Điều 16 và hành vi quy định tại khoản 1 Điều 17 của Luật này;

b) Chiếm đoạt tài sản; tổ chức đánh bạc, đánh bạc qua mạng Internet; trộm cắp cước viễn thông quốc tế trên nền Internet; vi phạm bản quyền và sở hữu trí tuệ trên không gian mạng;

c) Giả mạo trang thông tin điện tử của cơ quan, tổ chức, cá nhân; làm giả, lưu hành, trộm cắp, mua bán, thu thập, trao đổi trái phép thông tin thẻ tín dụng, tài khoản ngân hàng của người khác; phát hành, cung cấp, sử dụng trái phép các phương tiện thanh toán;

d) Tuyên truyền, quảng cáo, mua bán hàng hóa, dịch vụ thuộc danh mục cấm theo quy định của pháp luật;

đ) Hướng dẫn người khác thực hiện hành vi vi phạm pháp luật;

e) Hành vi khác sử dụng không gian mạng, công nghệ thông tin, phương tiện điện tử để vi phạm pháp luật về an ninh quốc gia, trật tự, an toàn xã hội.

2. Lực lượng chuyên trách bảo vệ an ninh mạng có trách nhiệm phòng, chống hành vi sử dụng không gian mạng, công nghệ thông tin, phương tiện điện tử để vi phạm pháp luật về an ninh quốc gia, trật tự, an toàn xã hội.

Điều 19. Phòng, chống tấn công mạng
1. Hành vi tấn công mạng và hành vi có liên quan đến tấn công mạng bao gồm:

a) Phát tán chương trình tin học gây hại cho mạng viễn thông, mạng Internet, mạng máy tính, hệ thống thông tin, hệ thống xử lý và điều khiển thông tin, cơ sở dữ liệu, phương tiện điện tử;

b) Gây cản trở, rối loạn, làm tê liệt, gián đoạn, ngưng trệ hoạt động, ngăn chặn trái phép việc truyền đưa dữ liệu của mạng viễn thông, mạng Internet, mạng máy tính, hệ thống thông tin, hệ thống xử lý và điều khiển thông tin, phương tiện điện tử;

c) Xâm nhập, làm tổn hại, chiếm đoạt dữ liệu được lưu trữ, truyền đưa qua mạng viễn thông, mạng Internet, mạng máy tính, hệ thống thông tin, hệ thống xử lý và điều khiển thông tin, cơ sở dữ liệu, phương tiện điện tử;

d) Xâm nhập, tạo ra hoặc khai thác điểm yếu, lỗ hổng bảo mật và dịch vụ hệ thống để chiếm đoạt thông tin, thu lợi bất chính;

đ) Sản xuất, mua bán, trao đổi, tặng cho công cụ, thiết bị, phần mềm có tính năng tấn công mạng viễn thông, mạng Internet, mạng máy tính, hệ thống thông tin, hệ thống xử lý và điều khiển thông tin, cơ sở dữ liệu, phương tiện điện tử để sử dụng vào mục đích trái pháp luật;

e) Hành vi khác gây ảnh hưởng đến hoạt động bình thường của mạng viễn thông, mạng Internet, mạng máy tính, hệ thống thông tin, hệ thống xử lý và điều khiển thông tin, cơ sở dữ liệu, phương tiện điện tử.

2. Chủ quản hệ thống thông tin có trách nhiệm áp dụng biện pháp kỹ thuật để phòng ngừa, ngăn chặn hành vi quy định tại các điểm a, b, c, d và e khoản 1 Điều này đối với hệ thống thông tin thuộc phạm vi quản lý.

3. Khi xảy ra tấn công mạng xâm phạm hoặc đe dọa xâm phạm chủ quyền, lợi ích, an ninh quốc gia, gây tổn hại nghiêm trọng trật tự, an toàn xã hội, lực lượng chuyên trách bảo vệ an ninh mạng chủ trì, phối hợp với chủ quản hệ thống thông tin và tổ chức, cá nhân có liên quan áp dụng biện pháp xác định nguồn gốc tấn công mạng, thu thập chứng cứ; yêu cầu doanh nghiệp cung cấp dịch vụ trên mạng viễn thông, mạng Internet, các dịch vụ gia tăng trên không gian mạng chặn lọc thông tin để ngăn chặn, loại trừ hành vi tấn công mạng và cung cấp đầy đủ, kịp thời thông tin, tài liệu liên quan.

4. Trách nhiệm phòng, chống tấn công mạng được quy định như sau:

a) Bộ Công an chủ trì, phối hợp với Bộ, ngành có liên quan thực hiện công tác phòng ngừa, phát hiện, xử lý hành vi quy định tại khoản 1 Điều này xâm phạm hoặc đe dọa xâm phạm chủ quyền, lợi ích, an ninh quốc gia, gây tổn hại nghiêm trọng trật tự, an toàn xã hội trên phạm vi cả nước, trừ trường hợp quy định tại điểm b và điểm c khoản này;

b) Bộ Quốc phòng chủ trì, phối hợp với Bộ, ngành có liên quan thực hiện công tác phòng ngừa, phát hiện, xử lý hành vi quy định tại khoản 1 Điều này đối với hệ thống thông tin quân sự;

c) Ban Cơ yếu Chính phủ chủ trì, phối hợp với Bộ, ngành có liên quan thực hiện công tác phòng ngừa, phát hiện, xử lý hành vi quy định tại khoản 1 Điều này đối với hệ thống thông tin cơ yếu thuộc Ban Cơ yếu Chính phủ.

Điều 20. Phòng, chống khủng bố mạng
1. Cơ quan nhà nước có thẩm quyền có trách nhiệm áp dụng biện pháp theo quy định của Luật này, Điều 29 của Luật An toàn thông tin mạng và pháp luật về phòng, chống khủng bố để xử lý khủng bố mạng.

2. Chủ quản hệ thống thông tin thường xuyên rà soát, kiểm tra hệ thống thông tin thuộc phạm vi quản lý nhằm loại trừ nguy cơ khủng bố mạng.

3. Khi phát hiện dấu hiệu, hành vi khủng bố mạng, cơ quan, tổ chức, cá nhân phải kịp thời báo cho lực lượng bảo vệ an ninh mạng. Cơ quan tiếp nhận tin báo có trách nhiệm tiếp nhận đầy đủ tin báo về khủng bố mạng và kịp thời thông báo cho lực lượng chuyên trách bảo vệ an ninh mạng.

4. Bộ Công an chủ trì, phối hợp với Bộ, ngành có liên quan triển khai công tác phòng, chống khủng bố mạng, áp dụng biện pháp vô hiệu hóa nguồn khủng bố mạng, xử lý khủng bố mạng, hạn chế đến mức thấp nhất hậu quả xảy ra đối với hệ thống thông tin, trừ trường hợp quy định tại khoản 5 và khoản 6 Điều này.

5. Bộ Quốc phòng chủ trì, phối hợp với Bộ, ngành có liên quan triển khai công tác phòng, chống khủng bố mạng, áp dụng biện pháp xử lý khủng bố mạng xảy ra đối với hệ thống thông tin quân sự.

6. Ban Cơ yếu Chính phủ chủ trì, phối hợp với Bộ, ngành có liên quan triển khai công tác phòng, chống khủng bố mạng, áp dụng biện pháp xử lý khủng bố mạng xảy ra đối với hệ thống thông tin cơ yếu thuộc Ban Cơ yếu Chính phủ.

Điều 21. Phòng ngừa, xử lý tình huống nguy hiểm về an ninh mạng
1. Tình huống nguy hiểm về an ninh mạng bao gồm:

a) Xuất hiện thông tin kích động trên không gian mạng có nguy cơ xảy ra bạo loạn, phá rối an ninh, khủng bố;

b) Tấn công vào hệ thống thông tin quan trọng về an ninh quốc gia;

c) Tấn công nhiều hệ thống thông tin trên quy mô lớn, cường độ cao;

d) Tấn công mạng nhằm phá hủy công trình quan trọng về an ninh quốc gia, mục tiêu quan trọng về an ninh quốc gia;

đ) Tấn công mạng xâm phạm nghiêm trọng chủ quyền, lợi ích, an ninh quốc gia; gây tổn hại đặc biệt nghiêm trọng trật tự, an toàn xã hội, quyền và lợi ích hợp pháp của cơ quan, tổ chức, cá nhân.

2. Trách nhiệm phòng ngừa tình huống nguy hiểm về an ninh mạng được quy định như sau:

a) Lực lượng chuyên trách bảo vệ an ninh mạng phối hợp với chủ quản hệ thống thông tin quan trọng về an ninh quốc gia triển khai các giải pháp kỹ thuật, nghiệp vụ để phòng ngừa, phát hiện, xử lý tình huống nguy hiểm về an ninh mạng;

b) Doanh nghiệp viễn thông, Internet, công nghệ thông tin, doanh nghiệp cung cấp dịch vụ trên mạng viễn thông, mạng Internet, các dịch vụ gia tăng trên không gian mạng và cơ quan, tổ chức, cá nhân có liên quan có trách nhiệm phối hợp với lực lượng chuyên trách bảo vệ an ninh mạng thuộc Bộ Công an trong phòng ngừa, phát hiện, xử lý tình huống nguy hiểm về an ninh mạng.

3. Biện pháp xử lý tình huống nguy hiểm về an ninh mạng bao gồm:

a) Triển khai ngay phương án phòng ngừa, ứng phó khẩn cấp về an ninh mạng, ngăn chặn, loại trừ hoặc giảm nhẹ thiệt hại do tình huống nguy hiểm về an ninh mạng gây ra;

b) Thông báo đến cơ quan, tổ chức, cá nhân có liên quan;

c) Thu thập thông tin liên quan; theo dõi, giám sát liên tục đối với tình huống nguy hiểm về an ninh mạng;

d) Phân tích, đánh giá thông tin, dự báo khả năng, phạm vi ảnh hưởng và mức độ thiệt hại do tình huống nguy hiểm về an ninh mạng gây ra;

đ) Ngừng cung cấp thông tin mạng tại khu vực cụ thể hoặc ngắt cổng kết nối mạng quốc tế;

e) Bố trí lực lượng, phương tiện ngăn chặn, loại bỏ tình huống nguy hiểm về an ninh mạng;

g) Biện pháp khác theo quy định của Luật An ninh quốc gia.

4. Việc xử lý tình huống nguy hiểm về an ninh mạng được quy định như sau:

a) Khi phát hiện tình huống nguy hiểm về an ninh mạng, cơ quan, tổ chức, cá nhân kịp thời thông báo cho lực lượng chuyên trách bảo vệ an ninh mạng và áp dụng ngay các biện pháp quy định tại điểm a và điểm b khoản 3 Điều này;

b) Thủ tướng Chính phủ xem xét, quyết định hoặc ủy quyền cho Bộ trưởng Bộ Công an xem xét, quyết định, xử lý tình huống nguy hiểm về an ninh mạng trong phạm vi cả nước hoặc từng địa phương hoặc đối với một mục tiêu cụ thể.

Thủ tướng Chính phủ xem xét, quyết định hoặc ủy quyền cho Bộ trưởng Bộ Quốc phòng xem xét, quyết định, xử lý tình huống nguy hiểm về an ninh mạng đối với hệ thống thông tin quân sự và hệ thống thông tin cơ yếu thuộc Ban Cơ yếu Chính phủ;

c) Lực lượng chuyên trách bảo vệ an ninh mạng chủ trì, phối hợp với cơ quan, tổ chức, cá nhân có liên quan áp dụng các biện pháp quy định tại khoản 3 Điều này để xử lý tình huống nguy hiểm về an ninh mạng;

d) Cơ quan, tổ chức, cá nhân có liên quan có trách nhiệm phối hợp với lực lượng chuyên trách bảo vệ an ninh mạng thực hiện biện pháp nhằm ngăn chặn, xử lý tình huống nguy hiểm về an ninh mạng.

Điều 22. Đấu tranh bảo vệ an ninh mạng
1. Đấu tranh bảo vệ an ninh mạng là hoạt động có tổ chức do lực lượng chuyên trách bảo vệ an ninh mạng thực hiện trên không gian mạng nhằm bảo vệ an ninh quốc gia và bảo đảm trật tự, an toàn xã hội.

2. Nội dung đấu tranh bảo vệ an ninh mạng bao gồm:

a) Tổ chức nắm tình hình có liên quan đến hoạt động bảo vệ an ninh quốc gia;

b) Phòng, chống tấn công và bảo vệ hoạt động ổn định của hệ thống thông tin quan trọng về an ninh quốc gia;

c) Làm tê liệt hoặc hạn chế hoạt động sử dụng không gian mạng nhằm gây phương hại an ninh quốc gia hoặc gây tổn hại đặc biệt nghiêm trọng trật tự, an toàn xã hội;

d) Chủ động tấn công vô hiệu hóa mục tiêu trên không gian mạng nhằm bảo vệ an ninh quốc gia và bảo đảm trật tự, an toàn xã hội.

3. Bộ Công an chủ trì, phối hợp với Bộ, ngành có liên quan thực hiện đấu tranh bảo vệ an ninh mạng.


Chương IV
HOẠT ĐỘNG BẢO VỆ AN NINH MẠNG

Điều 23. Triển khai hoạt động bảo vệ an ninh mạng trong cơ quan nhà nước, tổ chức chính trị ở trung ương và địa phương
1. Nội dung triển khai hoạt động bảo vệ an ninh mạng bao gồm:

a) Xây dựng, hoàn thiện quy định, quy chế sử dụng mạng máy tính nội bộ, mạng máy tính có kết nối mạng Internet; phương án bảo đảm an ninh mạng đối với hệ thống thông tin; phương án ứng phó, khắc phục sự cố an ninh mạng;

b) Ứng dụng, triển khai phương án, biện pháp, công nghệ bảo vệ an ninh mạng đối với hệ thống thông tin và thông tin, tài liệu được lưu trữ, soạn thảo, truyền đưa trên hệ thống thông tin thuộc phạm vi quản lý;

c) Tổ chức bồi dưỡng kiến thức về an ninh mạng cho cán bộ, công chức, viên chức, người lao động; nâng cao năng lực bảo vệ an ninh mạng cho lực lượng bảo vệ an ninh mạng;

d) Bảo vệ an ninh mạng trong hoạt động cung cấp dịch vụ công trên không gian mạng, cung cấp, trao đổi, thu thập thông tin với cơ quan, tổ chức, cá nhân, chia sẻ thông tin trong nội bộ và với cơ quan khác hoặc trong hoạt động khác theo quy định của Chính phủ;

đ) Đầu tư, xây dựng hạ tầng cơ sở vật chất phù hợp với điều kiện bảo đảm triển khai hoạt động bảo vệ an ninh mạng đối với hệ thống thông tin;

e) Kiểm tra an ninh mạng đối với hệ thống thông tin; phòng, chống hành vi vi phạm pháp luật về an ninh mạng; ứng phó, khắc phục sự cố an ninh mạng.

2. Người đứng đầu cơ quan, tổ chức có trách nhiệm triển khai hoạt động bảo vệ an ninh mạng thuộc quyền quản lý.

Điều 24. Kiểm tra an ninh mạng đối với hệ thống thông tin của cơ quan, tổ chức không thuộc Danh mục hệ thống thông tin quan trọng về an ninh quốc gia
1. Kiểm tra an ninh mạng đối với hệ thống thông tin của cơ quan, tổ chức không thuộc Danh mục hệ thống thông tin quan trọng về an ninh quốc gia trong trường hợp sau đây:

a) Khi có hành vi vi phạm pháp luật về an ninh mạng xâm phạm an ninh quốc gia hoặc gây tổn hại nghiêm trọng trật tự, an toàn xã hội;

b) Khi có đề nghị của chủ quản hệ thống thông tin.

2. Đối tượng kiểm tra an ninh mạng bao gồm:

a) Hệ thống phần cứng, phần mềm, thiết bị số được sử dụng trong hệ thống thông tin;

b) Thông tin được lưu trữ, xử lý, truyền đưa trong hệ thống thông tin;

c) Biện pháp bảo vệ bí mật nhà nước và phòng, chống lộ, mất bí mật nhà nước qua các kênh kỹ thuật.

3. Chủ quản hệ thống thông tin có trách nhiệm thông báo cho lực lượng chuyên trách bảo vệ an ninh mạng thuộc Bộ Công an khi phát hiện hành vi vi phạm pháp luật về an ninh mạng trên hệ thống thông tin thuộc phạm vi quản lý.

4. Lực lượng chuyên trách bảo vệ an ninh mạng thuộc Bộ Công an tiến hành kiểm tra an ninh mạng đối với hệ thống thông tin của cơ quan, tổ chức trong các trường hợp quy định tại khoản 1 Điều này.

5. Trước thời điểm tiến hành kiểm tra, lực lượng chuyên trách bảo vệ an ninh mạng thông báo bằng văn bản cho chủ quản hệ thống thông tin ít nhất là 12 giờ.

Trong thời hạn 30 ngày kể từ ngày kết thúc kiểm tra, lực lượng chuyên trách bảo vệ an ninh mạng thông báo kết quả kiểm tra và đưa ra yêu cầu đối với chủ quản hệ thống thông tin trong trường hợp phát hiện điểm yếu, lỗ hổng bảo mật; hướng dẫn hoặc tham gia khắc phục khi có đề nghị của chủ quản hệ thống thông tin.

6. Kết quả kiểm tra an ninh mạng được bảo mật theo quy định của pháp luật.

7. Chính phủ quy định trình tự, thủ tục kiểm tra an ninh mạng quy định tại Điều này.

Điều 25. Bảo vệ an ninh mạng đối với cơ sở hạ tầng không gian mạng quốc gia, cổng kết nối mạng quốc tế
1. Bảo vệ an ninh mạng đối với cơ sở hạ tầng không gian mạng quốc gia, cổng kết nối mạng quốc tế phải bảo đảm kết hợp chặt chẽ giữa yêu cầu bảo vệ an ninh mạng với yêu cầu phát triển kinh tế - xã hội; khuyến khích cổng kết nối quốc tế đặt trên lãnh thổ Việt Nam; khuyến khích tổ chức, cá nhân tham gia đầu tư xây dựng cơ sở hạ tầng không gian mạng quốc gia.

2. Cơ quan, tổ chức, cá nhân quản lý, khai thác cơ sở hạ tầng không gian mạng quốc gia, cổng kết nối mạng quốc tế có trách nhiệm sau đây:

a) Bảo vệ an ninh mạng thuộc quyền quản lý; chịu sự quản lý, thanh tra, kiểm tra và thực hiện các yêu cầu về bảo vệ an ninh mạng của cơ quan nhà nước có thẩm quyền;

b) Tạo điều kiện, thực hiện các biện pháp kỹ thuật, nghiệp vụ cần thiết để cơ quan nhà nước có thẩm quyền thực hiện nhiệm vụ bảo vệ an ninh mạng khi có đề nghị.

Điều 26. Bảo đảm an ninh thông tin trên không gian mạng
1. Trang thông tin điện tử, cổng thông tin điện tử hoặc chuyên trang trên mạng xã hội của cơ quan, tổ chức, cá nhân không được cung cấp, đăng tải, truyền đưa thông tin có nội dung quy định tại các khoản 1, 2, 3, 4 và 5 Điều 16 của Luật này và thông tin khác có nội dung xâm phạm an ninh quốc gia.

2. Doanh nghiệp trong nước và ngoài nước cung cấp dịch vụ trên mạng viễn thông, mạng Internet, các dịch vụ gia tăng trên không gian mạng tại Việt Nam có trách nhiệm sau đây:

a) Xác thực thông tin khi người dùng đăng ký tài khoản số; bảo mật thông tin, tài khoản của người dùng; cung cấp thông tin người dùng cho lực lượng chuyên trách bảo vệ an ninh mạng thuộc Bộ Công an khi có yêu cầu bằng văn bản để phục vụ điều tra, xử lý hành vi vi phạm pháp luật về an ninh mạng;

b) Ngăn chặn việc chia sẻ thông tin, xóa bỏ thông tin có nội dung quy định tại các khoản 1, 2, 3, 4 và 5 Điều 16 của Luật này trên dịch vụ hoặc hệ thống thông tin do cơ quan, tổ chức trực tiếp quản lý chậm nhất là 24 giờ kể từ thời điểm có yêu cầu của lực lượng chuyên trách bảo vệ an ninh mạng thuộc Bộ Công an hoặc cơ quan có thẩm quyền của Bộ Thông tin và Truyền thông và lưu nhật ký hệ thống để phục vụ điều tra, xử lý hành vi vi phạm pháp luật về an ninh mạng trong thời gian theo quy định của Chính phủ;

c) Không cung cấp hoặc ngừng cung cấp dịch vụ trên mạng viễn thông, mạng Internet, các dịch vụ gia tăng cho tổ chức, cá nhân đăng tải trên không gian mạng thông tin có nội dung quy định tại các khoản 1, 2, 3, 4 và 5 Điều 16 của Luật này khi có yêu cầu của lực lượng chuyên trách bảo vệ an ninh mạng thuộc Bộ Công an hoặc cơ quan có thẩm quyền của Bộ Thông tin và Truyền thông.

3. Doanh nghiệp trong nước và ngoài nước cung cấp dịch vụ trên mạng viễn thông, mạng Internet, các dịch vụ gia tăng trên không gian mạng tại Việt Nam có hoạt động thu thập, khai thác, phân tích, xử lý dữ liệu về thông tin cá nhân, dữ liệu về mối quan hệ của người sử dụng dịch vụ, dữ liệu do người sử dụng dịch vụ tại Việt Nam tạo ra phải lưu trữ dữ liệu này tại Việt Nam trong thời gian theo quy định của Chính phủ.

Doanh nghiệp ngoài nước quy định tại khoản này phải đặt chi nhánh hoặc văn phòng đại diện tại Việt Nam.

4. Chính phủ quy định chi tiết khoản 3 Điều này.

Điều 27. Nghiên cứu, phát triển an ninh mạng
1. Nội dung nghiên cứu, phát triển an ninh mạng bao gồm:

a) Xây dựng hệ thống phần mềm, trang thiết bị bảo vệ an ninh mạng;

b) Phương pháp thẩm định phần mềm, trang thiết bị bảo vệ an ninh mạng đạt chuẩn và hạn chế tồn tại điểm yếu, lỗ hổng bảo mật, phần mềm độc hại;

c) Phương pháp kiểm tra phần cứng, phần mềm được cung cấp thực hiện đúng chức năng;

d) Phương pháp bảo vệ bí mật nhà nước, bí mật công tác, bí mật kinh doanh, bí mật cá nhân, bí mật gia đình và đời sống riêng tư; khả năng bảo mật khi truyền đưa thông tin trên không gian mạng;

đ) Xác định nguồn gốc của thông tin được truyền đưa trên không gian mạng;

e) Giải quyết nguy cơ đe dọa an ninh mạng;

g) Xây dựng thao trường mạng, môi trường thử nghiệm an ninh mạng;

h) Sáng kiến kỹ thuật nâng cao nhận thức, kỹ năng về an ninh mạng;

i) Dự báo an ninh mạng;

k) Nghiên cứu thực tiễn, phát triển lý luận an ninh mạng.

2. Cơ quan, tổ chức, cá nhân có liên quan có quyền nghiên cứu, phát triển an ninh mạng.

Điều 28. Nâng cao năng lực tự chủ về an ninh mạng
1. Nhà nước khuyến khích, tạo điều kiện để cơ quan, tổ chức, cá nhân nâng cao năng lực tự chủ về an ninh mạng và nâng cao khả năng sản xuất, kiểm tra, đánh giá, kiểm định thiết bị số, dịch vụ mạng, ứng dụng mạng.

2. Chính phủ thực hiện các biện pháp sau đây để nâng cao năng lực tự chủ về an ninh mạng cho cơ quan, tổ chức, cá nhân:

a) Thúc đẩy chuyển giao, nghiên cứu, làm chủ và phát triển công nghệ, sản phẩm, dịch vụ, ứng dụng để bảo vệ an ninh mạng;

b) Thúc đẩy ứng dụng công nghệ mới, công nghệ tiên tiến liên quan đến an ninh mạng;

c) Tổ chức đào tạo, phát triển và sử dụng nhân lực an ninh mạng;

d) Tăng cường môi trường kinh doanh, cải thiện điều kiện cạnh tranh hỗ trợ doanh nghiệp nghiên cứu, sản xuất sản phẩm, dịch vụ, ứng dụng để bảo vệ an ninh mạng.

Điều 29. Bảo vệ trẻ em trên không gian mạng
1. Trẻ em có quyền được bảo vệ, tiếp cận thông tin, tham gia hoạt động xã hội, vui chơi, giải trí, giữ bí mật cá nhân, đời sống riêng tư và các quyền khác khi tham gia trên không gian mạng.

2. Chủ quản hệ thống thông tin, doanh nghiệp cung cấp dịch vụ trên mạng viễn thông, mạng Internet, các dịch vụ gia tăng trên không gian mạng có trách nhiệm kiểm soát nội dung thông tin trên hệ thống thông tin hoặc trên dịch vụ do doanh nghiệp cung cấp để không gây nguy hại cho trẻ em, xâm phạm đến trẻ em, quyền trẻ em; ngăn chặn việc chia sẻ và xóa bỏ thông tin có nội dung gây nguy hại cho trẻ em, xâm phạm đến trẻ em, quyền trẻ em; kịp thời thông báo, phối hợp với lực lượng chuyên trách bảo vệ an ninh mạng thuộc Bộ Công an để xử lý.

3. Cơ quan, tổ chức, cá nhân tham gia hoạt động trên không gian mạng có trách nhiệm phối hợp với cơ quan có thẩm quyền trong bảo đảm quyền của trẻ em trên không gian mạng, ngăn chặn thông tin có nội dung gây nguy hại cho trẻ em theo quy định của Luật này và pháp luật về trẻ em.

4. Cơ quan, tổ chức, cha mẹ, giáo viên, người chăm sóc trẻ em và cá nhân khác liên quan có trách nhiệm bảo đảm quyền của trẻ em, bảo vệ trẻ em khi tham gia không gian mạng theo quy định của pháp luật về trẻ em.

5. Lực lượng chuyên trách bảo vệ an ninh mạng và các cơ quan chức năng có trách nhiệm áp dụng biện pháp để phòng ngừa, phát hiện, ngăn chặn, xử lý nghiêm hành vi sử dụng không gian mạng gây nguy hại cho trẻ em, xâm phạm đến trẻ em, quyền trẻ em.


Chương V
BẢO ĐẢM HOẠT ĐỘNG BẢO VỆ AN NINH MẠNG

Điều 30. Lực lượng bảo vệ an ninh mạng
1. Lực lượng chuyên trách bảo vệ an ninh mạng được bố trí tại Bộ Công an, Bộ Quốc phòng.

2. Lực lượng bảo vệ an ninh mạng được bố trí tại Bộ, ngành, Ủy ban nhân dân cấp tỉnh, cơ quan, tổ chức quản lý trực tiếp hệ thống thông tin quan trọng về an ninh quốc gia.

3. Tổ chức, cá nhân được huy động tham gia bảo vệ an ninh mạng.

Điều 31. Bảo đảm nguồn nhân lực bảo vệ an ninh mạng
1. Công dân Việt Nam có kiến thức về an ninh mạng, an toàn thông tin mạng, công nghệ thông tin là nguồn lực cơ bản, chủ yếu bảo vệ an ninh mạng.

2. Nhà nước có chương trình, kế hoạch xây dựng, phát triển nguồn nhân lực bảo vệ an ninh mạng.

3. Khi xảy ra tình huống nguy hiểm về an ninh mạng, khủng bố mạng, tấn công mạng, sự cố an ninh mạng hoặc nguy cơ đe dọa an ninh mạng, cơ quan nhà nước có thẩm quyền quyết định huy động nhân lực bảo vệ an ninh mạng.

Thẩm quyền, trách nhiệm, trình tự, thủ tục huy động nhân lực bảo vệ an ninh mạng được thực hiện theo quy định của Luật An ninh quốc gia, Luật Quốc phòng, Luật Công an nhân dân và quy định khác của pháp luật có liên quan.

Điều 32. Tuyển chọn, đào tạo, phát triển lực lượng bảo vệ an ninh mạng
1. Công dân Việt Nam có đủ tiêu chuẩn về phẩm chất đạo đức, sức khỏe, trình độ, kiến thức về an ninh mạng, an toàn thông tin mạng, công nghệ thông tin, có nguyện vọng thì có thể được tuyển chọn vào lực lượng bảo vệ an ninh mạng.

2. Ưu tiên đào tạo, phát triển lực lượng bảo vệ an ninh mạng có chất lượng cao.

3. Ưu tiên phát triển cơ sở đào tạo an ninh mạng đạt tiêu chuẩn quốc tế; khuyến khích liên kết, tạo cơ hội hợp tác về an ninh mạng giữa khu vực nhà nước và khu vực tư nhân, trong nước và ngoài nước.

Điều 33. Giáo dục, bồi dưỡng kiến thức, nghiệp vụ an ninh mạng
1. Nội dung giáo dục, bồi dưỡng kiến thức an ninh mạng được đưa vào môn học giáo dục quốc phòng và an ninh trong nhà trường, chương trình bồi dưỡng kiến thức quốc phòng và an ninh theo quy định của Luật Giáo dục quốc phòng và an ninh.

2. Bộ Công an chủ trì, phối hợp với Bộ, ngành có liên quan tổ chức bồi dưỡng nghiệp vụ an ninh mạng cho lực lượng bảo vệ an ninh mạng và công chức, viên chức, người lao động tham gia bảo vệ an ninh mạng.

Bộ Quốc phòng, Ban Cơ yếu Chính phủ tổ chức bồi dưỡng nghiệp vụ an ninh mạng cho đối tượng thuộc phạm vi quản lý.

Điều 34. Phổ biến kiến thức về an ninh mạng
1. Nhà nước có chính sách phổ biến kiến thức về an ninh mạng trong phạm vi cả nước, khuyến khích cơ quan nhà nước phối hợp với tổ chức tư nhân, cá nhân thực hiện chương trình giáo dục và nâng cao nhận thức về an ninh mạng.

2. Bộ, ngành, cơ quan, tổ chức có trách nhiệm xây dựng và triển khai hoạt động phổ biến kiến thức về an ninh mạng cho cán bộ, công chức, viên chức, người lao động trong Bộ, ngành, cơ quan, tổ chức.

3. Ủy ban nhân dân cấp tỉnh có trách nhiệm xây dựng và triển khai hoạt động phổ biến kiến thức, nâng cao nhận thức về an ninh mạng cho cơ quan, tổ chức, cá nhân của địa phương.

Điều 35. Kinh phí bảo vệ an ninh mạng
1. Kinh phí bảo vệ an ninh mạng của cơ quan nhà nước, tổ chức chính trị do ngân sách nhà nước bảo đảm, được bố trí trong dự toán ngân sách nhà nước hằng năm. Việc quản lý, sử dụng kinh phí từ ngân sách nhà nước thực hiện theo quy định của pháp luật về ngân sách nhà nước.

2. Kinh phí bảo vệ an ninh mạng cho hệ thống thông tin của cơ quan, tổ chức ngoài quy định tại khoản 1 Điều này do cơ quan, tổ chức tự bảo đảm.


Chương VI
TRÁCH NHIỆM CỦA CƠ QUAN, TỔ CHỨC, CÁ NHÂN


Điều 36. Trách nhiệm của Bộ Công an
Bộ Công an chịu trách nhiệm trước Chính phủ thực hiện quản lý nhà nước về an ninh mạng và có nhiệm vụ, quyền hạn sau đây, trừ nội dung thuộc trách nhiệm của Bộ Quốc phòng và Ban Cơ yếu Chính phủ:

1. Ban hành hoặc trình cơ quan nhà nước có thẩm quyền ban hành và hướng dẫn thi hành văn bản quy phạm pháp luật về an ninh mạng;

2. Xây dựng, đề xuất chiến lược, chủ trương, chính sách, kế hoạch và phương án bảo vệ an ninh mạng;

3. Phòng ngừa, đấu tranh với hoạt động sử dụng không gian mạng xâm phạm chủ quyền, lợi ích, an ninh quốc gia, trật tự, an toàn xã hội và phòng, chống tội phạm mạng;

4. Bảo đảm an ninh thông tin trên không gian mạng; xây dựng cơ chế xác thực thông tin đăng ký tài khoản số; cảnh báo, chia sẻ thông tin an ninh mạng, nguy cơ đe dọa an ninh mạng;

5. Tham mưu, đề xuất Chính phủ, Thủ tướng Chính phủ xem xét, quyết định việc phân công, phối hợp thực hiện các biện pháp bảo vệ an ninh mạng, phòng ngừa, xử lý hành vi xâm phạm an ninh mạng trong trường hợp nội dung quản lý nhà nước liên quan đến phạm vi quản lý của nhiều Bộ, ngành;

6. Tổ chức diễn tập phòng, chống tấn công mạng; diễn tập ứng phó, khắc phục sự cố an ninh mạng đối với hệ thống thông tin quan trọng về an ninh quốc gia;

7. Kiểm tra, thanh tra, giải quyết khiếu nại, tố cáo và xử lý vi phạm pháp luật về an ninh mạng.

Điều 37. Trách nhiệm của Bộ Quốc phòng
Bộ Quốc phòng chịu trách nhiệm trước Chính phủ thực hiện quản lý nhà nước về an ninh mạng trong phạm vi quản lý và có nhiệm vụ, quyền hạn sau đây:

1. Ban hành hoặc trình cơ quan nhà nước có thẩm quyền ban hành và hướng dẫn thi hành văn bản quy phạm pháp luật về an ninh mạng trong phạm vi quản lý;

2. Xây dựng, đề xuất chiến lược, chủ trương, chính sách, kế hoạch và phương án bảo vệ an ninh mạng trong phạm vi quản lý;

3. Phòng ngừa, đấu tranh với các hoạt động sử dụng không gian mạng xâm phạm an ninh quốc gia trong phạm vi quản lý;

4. Phối hợp với Bộ Công an tổ chức diễn tập phòng, chống tấn công mạng, diễn tập ứng phó, khắc phục sự cố an ninh mạng đối với hệ thống thông tin quan trọng về an ninh quốc gia, triển khai thực hiện công tác bảo vệ an ninh mạng;

5. Kiểm tra, thanh tra, giải quyết khiếu nại, tố cáo và xử lý vi phạm pháp luật về an ninh mạng trong phạm vi quản lý.

Điều 38. Trách nhiệm của Bộ Thông tin và Truyền thông
1. Phối hợp với Bộ Công an, Bộ Quốc phòng trong bảo vệ an ninh mạng.

2. Phối hợp với các cơ quan liên quan tổ chức tuyên truyền, phản bác thông tin có nội dung chống Nhà nước Cộng hòa xã hội chủ nghĩa Việt Nam quy định tại khoản 1 Điều 16 của Luật này.

3. Yêu cầu doanh nghiệp cung cấp dịch vụ trên mạng viễn thông, mạng Internet, các dịch vụ gia tăng trên không gian mạng, chủ quản hệ thống thông tin loại bỏ thông tin có nội dung vi phạm pháp luật về an ninh mạng trên dịch vụ, hệ thống thông tin do doanh nghiệp, cơ quan, tổ chức trực tiếp quản lý.

Điều 39. Trách nhiệm của Ban Cơ yếu Chính phủ
1. Tham mưu, đề xuất Bộ trưởng Bộ Quốc phòng ban hành hoặc trình cơ quan có thẩm quyền ban hành và tổ chức thực hiện văn bản quy phạm pháp luật, chương trình, kế hoạch về mật mã để bảo vệ an ninh mạng thuộc phạm vi Ban Cơ yếu Chính phủ quản lý.

2. Bảo vệ an ninh mạng đối với hệ thống thông tin cơ yếu thuộc Ban Cơ yếu Chính phủ và sản phẩm mật mã do Ban Cơ yếu Chính phủ cung cấp theo quy định của Luật này.

3. Thống nhất quản lý nghiên cứu khoa học, công nghệ mật mã; sản xuất, sử dụng, cung cấp sản phẩm mật mã để bảo vệ thông tin thuộc bí mật nhà nước được lưu trữ, trao đổi trên không gian mạng.

Điều 40. Trách nhiệm của Bộ, ngành, Ủy ban nhân dân cấp tỉnh
Trong phạm vi nhiệm vụ, quyền hạn của mình, Bộ, ngành, Ủy ban nhân dân cấp tỉnh có trách nhiệm thực hiện công tác bảo vệ an ninh mạng đối với thông tin, hệ thống thông tin thuộc phạm vi quản lý; phối hợp với Bộ Công an thực hiện quản lý nhà nước về an ninh mạng của Bộ, ngành, địa phương.

Điều 41. Trách nhiệm của doanh nghiệp cung cấp dịch vụ trên không gian mạng
1. Doanh nghiệp cung cấp dịch vụ trên không gian mạng tại Việt Nam có trách nhiệm sau đây:

a) Cảnh báo khả năng mất an ninh mạng trong việc sử dụng dịch vụ trên không gian mạng do mình cung cấp và hướng dẫn biện pháp phòng ngừa;

b) Xây dựng phương án, giải pháp phản ứng nhanh với sự cố an ninh mạng, xử lý ngay điểm yếu, lỗ hổng bảo mật, mã độc, tấn công mạng, xâm nhập mạng và rủi ro an ninh khác; khi xảy ra sự cố an ninh mạng, ngay lập tức triển khai phương án khẩn cấp, biện pháp ứng phó thích hợp, đồng thời báo cáo với lực lượng chuyên trách bảo vệ an ninh mạng theo quy định của Luật này;

c) Áp dụng các giải pháp kỹ thuật và các biện pháp cần thiết khác nhằm bảo đảm an ninh cho quá trình thu thập thông tin, ngăn chặn nguy cơ lộ, lọt, tổn hại hoặc mất dữ liệu; trường hợp xảy ra hoặc có nguy cơ xảy ra sự cố lộ, lọt, tổn hại hoặc mất dữ liệu thông tin người sử dụng, cần lập tức đưa ra giải pháp ứng phó, đồng thời thông báo đến người sử dụng và báo cáo với lực lượng chuyên trách bảo vệ an ninh mạng theo quy định của Luật này;

d) Phối hợp, tạo điều kiện cho lực lượng chuyên trách bảo vệ an ninh mạng trong bảo vệ an ninh mạng.

2. Doanh nghiệp cung cấp dịch vụ trên mạng viễn thông, mạng Internet, các dịch vụ gia tăng trên không gian mạng tại Việt Nam có trách nhiệm thực hiện quy định tại khoản 1 Điều này, khoản 2 và khoản 3 Điều 26 của Luật này.

Điều 42. Trách nhiệm của cơ quan, tổ chức, cá nhân sử dụng không gian mạng
1. Tuân thủ quy định của pháp luật về an ninh mạng.

2. Kịp thời cung cấp thông tin liên quan đến bảo vệ an ninh mạng, nguy cơ đe dọa an ninh mạng, hành vi xâm phạm an ninh mạng cho cơ quan có thẩm quyền, lực lượng bảo vệ an ninh mạng.

3. Thực hiện yêu cầu và hướng dẫn của cơ quan có thẩm quyền trong bảo vệ an ninh mạng; giúp đỡ, tạo điều kiện cho cơ quan, tổ chức và người có trách nhiệm tiến hành các biện pháp bảo vệ an ninh mạng.

Chương VII
ĐIỀU KHOẢN THI HÀNH

Điều 43. Hiệu lực thi hành
1. Luật này có hiệu lực thi hành từ ngày 01 tháng 01 năm 2019.

2. Hệ thống thông tin đang vận hành, sử dụng được đưa vào Danh mục hệ thống thông tin quan trọng về an ninh quốc gia thì trong thời hạn 12 tháng kể từ ngày Luật này có hiệu lực, chủ quản hệ thống thông tin có trách nhiệm bảo đảm đủ điều kiện an ninh mạng, lực lượng chuyên trách bảo vệ an ninh mạng đánh giá điều kiện an ninh mạng theo quy định tại Điều 12 của Luật này; trường hợp cần gia hạn do Thủ tướng Chính phủ quyết định nhưng không quá 12 tháng.

3. Hệ thống thông tin đang vận hành, sử dụng được bổ sung vào Danh mục hệ thống thông tin quan trọng về an ninh quốc gia thì trong thời hạn 12 tháng kể từ ngày được bổ sung, chủ quản hệ thống thông tin có trách nhiệm bảo đảm đủ điều kiện an ninh mạng, lực lượng chuyên trách bảo vệ an ninh mạng đánh giá điều kiện an ninh mạng theo quy định tại Điều 12 của Luật này; trường hợp cần gia hạn do Thủ tướng Chính phủ quyết định nhưng không quá 12 tháng.




Luật này được Quốc hội nước Cộng hòa xã hội chủ nghĩa Việt Nam khóa XIV, kỳ họp thứ 5 thông qua ngày 12 tháng 6 năm 2018.



CHỦ TỊCH QUỐC HỘI









Nguyễn Thị Kim Ngân