Hỏi – đáp về an toàn thông tin mạng

An toàn thông tin mạng là một trong những yếu tố quan trọng giúp bảo vệ thông tin cá nhân, tổ chức và an ninh quốc gia trong thời đại công nghệ số. Với sự phát triển mạnh mẽ của công nghệ thông tin, việc bảo vệ an toàn thông tin mạng đã trở thành một nhiệm vụ cấp thiết đối với tất cả các cơ quan, tổ chức và cá nhân. Dưới đây là bộ 30 HỎIhỏi – đáp về các quy định của Luật An toàn thông tin mạng năm 2015, giúp giải đáp những thắc mắc và hiểu rõ hơn về các trách nhiệm, nghĩa vụ trong việc bảo vệ an toàn thông tin. Bộ tài liệu này được biên soạn bởi Sở Tư pháp tỉnh Tuyên Quang, nhằm cung cấp thông tin chi tiết và chính xác nhất về các quy định pháp lý trong lĩnh vực an toàn thông tin mạng. Tài liệu này sẽ giúp các cơ quan, tổ chức và cá nhân nâng cao ý thức và hiểu biết về các biện pháp bảo vệ thông tin, góp phần xây dựng môi trường mạng an toàn và bảo mật.
HỎI. Luật An toàn thông tin mạng năm 2015 áp dụng đối với đối tượng nào?
TRẢ LỜI: Theo Điều 2 Luật An toàn thông tin mạng năm 2015: "Luật này áp dụng đối với cơ quan, tổ chức, cá nhân Việt Nam, tổ chức, cá nhân nước ngoài trực tiếp tham gia hoặc có liên quan đến hoạt động an toàn thông tin mạng tại Việt Nam."

HỎI. An toàn thông tin mạng là gì theo Luật An toàn thông tin mạng năm 2015?
TRẢ LỜI: Theo khoản 1 Điều 3 Luật An toàn thông tin mạng năm 2015: "An toàn thông tin mạng là sự bảo vệ thông tin, hệ thống thông tin trên mạng tránh bị truy nhập, sử dụng, tiết lộ, gián đoạn, sửa đổi hoặc phá hoại trái phép nhằm bảo đảm tính nguyên vẹn, tính bảo mật và tính khả dụng của thông tin."

HỎI. Luật An toàn thông tin mạng năm 2015 có quy định về nguyên tắc bảo đảm an toàn thông tin mạng không?
TRẢ LỜI: Theo Điều 4 Luật An toàn thông tin mạng năm 2015: "Cơ quan, tổ chức, cá nhân có trách nhiệm bảo đảm an toàn thông tin mạng. Hoạt động an toàn thông tin mạng của cơ quan, tổ chức, cá nhân phải đúng quy định của pháp luật, bảo đảm quốc phòng, an ninh quốc gia, bí mật nhà nước, giữ vững ổn định chính trị, trật tự, an toàn xã hội và thúc đẩy phát triển kinh tế - xã hội."

HỎI. Theo Luật An toàn thông tin mạng, xâm phạm an toàn thông tin mạng là hành vi gì?
TRẢ LỜI: Theo Điều 3 Luật An toàn thông tin mạng năm 2015: "Xâm phạm an toàn thông tin mạng là hành vi truy nhập, sử dụng, tiết lộ, làm gián đoạn, sửa đổi, phá hoại trái phép thông tin, hệ thống thông tin."

HỎI. Các hành vi nào bị nghiêm cấm trong Luật An toàn thông tin mạng năm 2015?
TRẢ LỜI: Theo Điều 7 Luật An toàn thông tin mạng năm 2015: 

1. Ngăn chặn việc truyền tải thông tin trên mạng, can thiệp, truy nhập, gây nguy hại, xóa, thay đổi, sao chép và làm sai lệch thông tin trên mạng trái pháp luật. 

2. Gây ảnh hưởng, cản trở trái pháp luật tới hoạt động bình thường của hệ thống thông tin hoặc tới khả năng truy nhập hệ thống thông tin của người sử dụng. 

3. Tấn công, vô hiệu hóa trái pháp luật làm mất tác dụng của biện pháp bảo vệ an toàn thông tin mạng của hệ thống thông tin; tấn công, chiếm quyền điều khiển, phá hoại hệ thống thông tin. 

4. Phát tán thư rác, phần mềm độc hại, thiết lập hệ thống thông tin giả mạo, lừa đảo. 

5. Thu thập, sử dụng, phát tán, kinh doanh trái pháp luật thông tin cá nhân của người khác; lợi dụng sơ hở, điểm yếu của hệ thống thông tin để thu thập, khai thác thông tin cá nhân."

HỎI. Luật An toàn thông tin mạng năm 2015 có quy định về việc bảo vệ dữ liệu cá nhân không?
TRẢ LỜI: Theo Điều 19 Luật An toàn thông tin mạng năm 2015: "1. Tổ chức, cá nhân xử lý thông tin cá nhân có trách nhiệm bảo đảm an toàn thông tin mạng đối với thông tin do mình xử lý. 2. Tổ chức, cá nhân xử lý thông tin cá nhân phải xây dựng và công bố công khai biện pháp xử lý, bảo vệ thông tin cá nhân của tổ chức, cá nhân mình."

HỎI. Hợp tác quốc tế về an toàn thông tin mạng quốc gia?
TRẢ LỜI: Theo Điều 6 Luật An toàn thông tin mạng năm 2015: "Hợp tác quốc tế về an toàn thông tin mạng phải tuân thủ các nguyên tắc sau đây: 

a) Tôn trọng độc lập, chủ quyền và toàn vẹn lãnh thổ quốc gia, không can thiệp vào công việc nội bộ của nhau, bình đẳng và các bên cùng có lợi; 

b) Phù hợp với quy định của pháp luật Việt Nam, điều ước quốc tế mà Cộng hòa xã hội chủ nghĩa Việt Nam là thành viên."

HỎI. Khi xảy ra sự cố an toàn thông tin mạng, cơ quan nào có trách nhiệm ứng cứu?
TRẢ LỜI: Theo Điều 13 Luật An toàn thông tin mạng năm 2015: 

1. Ứng cứu sự cố an toàn thông tin mạng là hoạt động nhằm xử lý, khắc phục sự cố gây mất an toàn thông tin mạng. 

2. Ứng cứu sự cố an toàn thông tin mạng phải tuân thủ các nguyên tắc sau đây: 

a) Kịp thời, nhanh chóng, chính xác, đồng bộ và hiệu quả;

b) Tuân thủ quy định của pháp luật về điều phối ứng cứu sự cố an toàn thông tin mạng; 

c) Có sự phối hợp giữa cơ quan, tổ chức, doanh nghiệp trong nước và nước ngoài."

HỎI. Chính phủ có trách nhiệm gì về an toàn thông tin mạng?
TRẢ LỜI: Theo Điều 5 Luật An toàn thông tin mạng năm 2015: "1. Đẩy mạnh đào tạo, phát triển nguồn nhân lực và xây dựng cơ sở hạ tầng, kỹ thuật an toàn thông tin mạng đáp ứng yêu cầu ổn định chính trị, phát triển kinh tế - xã hội, bảo đảm quốc phòng, an ninh quốc gia, trật tự, an toàn xã hội."

HỎI. Luật An toàn thông tin mạng năm 2015 có quy định về việc xử lý vi phạm pháp luật liên quan đến an toàn thông tin mạng không?
TRẢ LỜI: Theo Điều 8 Luật An toàn thông tin mạng năm 2015: "Người nào có hành vi vi phạm quy định của Luật này thì tùy theo tính chất, mức độ vi phạm mà bị xử lý kỷ luật, xử phạt vi phạm hành chính hoặc bị truy cứu trách nhiệm hình sự; nếu gây thiệt hại thì phải bồi thường theo quy định của pháp luật."

HỎI. Có quy định nào về việc bảo vệ thông tin trong các hệ thống thông tin quan trọng quốc gia không?
TRẢ LỜI: Theo Điều 10 Luật An toàn thông tin mạng năm 2015: "Hệ thống thông tin quan trọng quốc gia phải được thẩm định về an ninh mạng trước khi đưa vào vận hành và phải có biện pháp bảo vệ an ninh mạng hiệu quả để ngăn ngừa tấn công, xâm nhập hoặc các sự cố an ninh."

HỎI. Các hành vi xâm phạm an ninh mạng quốc gia có bị xử lý không?
TRẢ LỜI: Theo Điều 8 Luật An toàn thông tin mạng năm 2015: "Các hành vi xâm phạm an ninh mạng quốc gia, như tấn công mạng, gián điệp mạng, khủng bố mạng, hoặc các hành vi gây tổn hại đặc biệt nghiêm trọng đến an ninh quốc gia sẽ bị xử lý nghiêm minh, bao gồm xử lý hình sự và yêu cầu bồi thường thiệt hại."

HỎI. Ai có trách nhiệm bảo vệ an toàn thông tin cá nhân trên mạng?
TRẢ LỜI: Theo Điều 19 Luật An toàn thông tin mạng năm 2015: "Tổ chức, cá nhân xử lý thông tin cá nhân có trách nhiệm bảo đảm an toàn thông tin mạng đối với thông tin do mình xử lý. Tổ chức, cá nhân xử lý thông tin cá nhân phải xây dựng và công bố công khai biện pháp xử lý, bảo vệ thông tin cá nhân của tổ chức, cá nhân mình."

HỎI. Việc thu thập, sử dụng thông tin cá nhân có bị kiểm soát không?
TRẢ LỜI: Theo Điều 17 Luật An toàn thông tin mạng năm 2015: "Tổ chức, cá nhân xử lý thông tin cá nhân có trách nhiệm: 

a) Tiến hành thu thập thông tin cá nhân sau khi có sự đồng ý của chủ thể thông tin cá nhân về phạm vi, mục đích của việc thu thập và sử dụng thông tin đó; 

b) Chỉ sử dụng thông tin cá nhân đã thu thập vào mục đích khác mục đích ban đầu sau khi có sự đồng ý của chủ thể thông tin cá nhân; 

c) Không được cung cấp, chia sẻ, phát tán thông tin cá nhân mà mình đã thu thập, tiếp cận, kiểm soát cho bên thứ ba, trừ trường hợp có sự đồng ý của chủ thể thông tin cá nhân đó hoặc theo yêu cầu của cơ quan nhà nước có thẩm quyền."

HỎI. Để bảo vệ an toàn thông tin mạng, cơ quan nhà nước cần thực hiện những biện pháp nào?
TRẢ LỜI: Theo Điều 13 Luật An toàn thông tin mạng năm 2015: "Cơ quan nhà nước phải tổ chức thực hiện các biện pháp bảo vệ an toàn thông tin mạng bao gồm: a) Thẩm định an ninh mạng trong hồ sơ thiết kế hệ thống thông tin; b) Giám sát, kiểm tra, đánh giá mức độ an toàn của hệ thống thông tin; c) Phát hiện và khắc phục các nguy cơ an ninh mạng."

HỎI. Luật An toàn thông tin mạng có quy định về hoạt động hợp tác quốc tế trong bảo vệ an ninh mạng không?
TRẢ LỜI: Theo Điều 6 Luật An toàn thông tin mạng năm 2015: "Hợp tác quốc tế về an toàn thông tin mạng phải tuân thủ các nguyên tắc sau đây: 

a) Tôn trọng độc lập, chủ quyền và toàn vẹn lãnh thổ quốc gia, không can thiệp vào công việc nội bộ của nhau, bình đẳng và các bên cùng có lợi; 

b) Phù hợp với quy định của pháp luật Việt Nam, điều ước quốc tế mà Cộng hòa xã hội chủ nghĩa Việt Nam là thành viên."

HỎI. Cơ quan nào có quyền yêu cầu các tổ chức, cá nhân cung cấp thông tin khi có sự cố an toàn thông tin mạng?
TRẢ LỜI: Theo Điều 13 Luật An toàn thông tin mạng năm 2015: "Cơ quan nhà nước có thẩm quyền được yêu cầu các tổ chức, cá nhân cung cấp thông tin liên quan đến sự cố an toàn thông tin mạng khi có yêu cầu, để hỗ trợ điều tra và ứng phó với sự cố."

HỎI. Công ty cung cấp dịch vụ trên mạng có trách nhiệm gì trong việc bảo vệ an toàn thông tin mạng?
TRẢ LỜI: Theo Điều 15 Luật An toàn thông tin mạng năm 2015: "Công ty cung cấp dịch vụ trên mạng có trách nhiệm: 

a) Thực hiện các biện pháp bảo vệ an toàn thông tin mạng cho hệ thống thông tin của mình; 

b) Cảnh báo người dùng về các nguy cơ an ninh mạng và cung cấp các biện pháp bảo vệ an toàn thông tin mạng; 

c) Phối hợp với các cơ quan chức năng khi có sự cố an toàn thông tin mạng."

HỎI. Việc bảo vệ an toàn hệ thống thông tin quan trọng quốc gia có yêu cầu gì?
TRẢ LỜI: Theo Điều 10 Luật An toàn thông tin mạng năm 2015: "Hệ thống thông tin quan trọng quốc gia phải được thẩm định về an ninh mạng trước khi đưa vào sử dụng, và phải có biện pháp bảo vệ an ninh mạng hiệu quả để ngăn ngừa các sự cố an ninh mạng."

HỎI. Có yêu cầu gì về bảo mật thông tin khi cung cấp dịch vụ trên không gian mạng?
TRẢ LỜI: Theo Điều 25 Luật An toàn thông tin mạng năm 2015: "Các tổ chức, cá nhân cung cấp dịch vụ trên không gian mạng phải áp dụng biện pháp bảo mật thông tin, bao gồm các giải pháp bảo vệ thông tin cá nhân của người dùng, bảo vệ các hệ thống thông tin khỏi tấn công mạng và rủi ro an ninh mạng."

HỎI. Các cơ quan nhà nước có trách nhiệm gì trong việc bảo vệ an toàn thông tin mạng quốc gia?
TRẢ LỜI: Theo Điều 51, Luật An toàn thông tin mạng năm 2015: "Cơ quan nhà nước có trách nhiệm xây dựng chiến lược, quy hoạch, kế hoạch và chính sách trong lĩnh vực an toàn thông tin mạng; xây dựng và chỉ đạo thực hiện chương trình quốc gia về an toàn thông tin mạng."

HỎI. Các hành vi nào được coi là tấn công mạng theo Luật An toàn thông tin mạng năm 2015?
TRẢ LỜI: Theo Điều 19, Luật An toàn thông tin mạng năm 2015: "Tấn công mạng là hành vi sử dụng không gian mạng, công nghệ thông tin hoặc phương tiện điện tử để phá hoại, gây gián đoạn hoạt động của mạng viễn thông, mạng Internet, mạng máy tính, hệ thống thông tin, hệ thống xử lý và điều khiển thông tin, cơ sở dữ liệu, phương tiện điện tử."

HỎI. Việc bảo vệ thông tin mật mã trong hệ thống thông tin quốc gia có những yêu cầu gì?
TRẢ LỜI: Theo Điều 27, Luật An toàn thông tin mạng năm 2015: "Các sản phẩm mật mã dân sự phải được kiểm định, chứng nhận hợp quy trước khi lưu thông trên thị trường. Doanh nghiệp cung cấp dịch vụ mật mã phải bảo đảm an toàn thông tin và áp dụng các tiêu chuẩn, quy chuẩn kỹ thuật an toàn thông tin mạng."

HỎI. Đối tượng nào có thể truy cập vào thông tin mật mã của cơ quan nhà nước?
TRẢ LỜI: Theo Điều 17, Luật An toàn thông tin mạng năm 2015: "Thông tin về mật mã dân sự chỉ được phép cung cấp cho tổ chức, cá nhân có thẩm quyền và các cơ quan chức năng khi có yêu cầu theo quy định của pháp luật."

HỎI. Các tổ chức, cá nhân có trách nhiệm gì trong việc bảo vệ an toàn thông tin mạng?
TRẢ LỜI: Theo Điều 15, Luật An toàn thông tin mạng năm 2015: "Tổ chức, cá nhân tham gia hoạt động an toàn thông tin mạng có trách nhiệm phối hợp với cơ quan nhà nước có thẩm quyền và tổ chức, cá nhân khác trong việc bảo đảm an toàn thông tin mạng."

HỎI. Luật An toàn thông tin mạng năm 2015 có quy định về xử lý hành vi xâm nhập trái phép vào hệ thống thông tin của tổ chức, cá nhân không?
TRẢ LỜI: Theo Điều 8, Luật An toàn thông tin mạng năm 2015: "Người nào có hành vi xâm nhập trái phép vào hệ thống thông tin, làm gián đoạn, chiếm quyền điều khiển hoặc phá hoại hệ thống thông tin sẽ bị xử lý kỷ luật, phạt vi phạm hành chính hoặc bị truy cứu trách nhiệm hình sự."

HỎI. Tổ chức, cá nhân nào chịu trách nhiệm về các sự cố an toàn thông tin mạng xảy ra trên hệ thống của mình?
TRẢ LỜI: Theo Điều 15, Luật An toàn thông tin mạng năm 2015: "Chủ quản hệ thống thông tin có trách nhiệm thực hiện các biện pháp bảo vệ an toàn thông tin mạng của mình, xử lý sự cố an toàn thông tin mạng và báo cáo kịp thời cho cơ quan nhà nước có thẩm quyền."

HỎI. Có quy định nào về việc đào tạo nhân lực an toàn thông tin mạng không?
TRẢ LỜI: Theo Điều 49, Luật An toàn thông tin mạng năm 2015: "Nhà nước khuyến khích tổ chức, cá nhân đầu tư, liên doanh, liên kết với tổ chức khác để đầu tư xây dựng cơ sở giáo dục đại học, cơ sở giáo dục nghề nghiệp nhằm đào tạo nhân lực trong lĩnh vực an toàn thông tin mạng."

HỎI. Luật An toàn thông tin mạng năm 2015 có yêu cầu gì về bảo mật dữ liệu đối với các doanh nghiệp cung cấp dịch vụ trên mạng?
TRẢ LỜI: Theo Điều 26, Luật An toàn thông tin mạng năm 2015: "Doanh nghiệp cung cấp dịch vụ trên mạng có trách nhiệm bảo mật thông tin của người dùng, ngừng cung cấp dịch vụ nếu phát hiện có nguy cơ mất an toàn thông tin hoặc lộ thông tin cá nhân của người sử dụng."