DN bưu chính đảm bảo ATTT theo cấp độ và dữ liệu khách hàng

ATTT là cái phanh để chuyển đổi số an toàn

Tại Hội nghị phổ biến chính sách pháp luật và định hướng phát triển bưu chính đến năm 2030 do Bộ TT&TT tổ chức mới đây, ông Phạm Tuấn An, Cục ATTT - Bộ Thông tin và Truyền thông (TT&TT) cho biết: từ năm 2015, Quốc hội đã ban hành Luật ATTT mạng, sau đó là Luật an ninh mạng vào năm 2018. Sau khi Luật ATTT được ban hành, năm 2016, Bộ TT&TT đã tham mưu trình Chính phủ ký ban hành 02 Nghị định là Nghị định số 85/2016/NĐ-CP ngày 01/7/2016 về bảo đảm an toàn hệ thống thông tin theo cấp độ và Nghị định số 108/2016/NĐ-CP quy định chi tiết điều kiện kinh doanh các sản phẩm, dịch vụ ATTT mạng.

Ngày 15/6/2021, Thủ tướng Chính phủ đã ký Quyết định số 942/QĐ-TTg phê duyệt Chiến lược phát triển chính phủ điện tử hướng tới chính phủ số, định hướng tới năm 2030, nêu rõ nguyên tắc đảm bảo ATTT, an ninh mạng là tiền đề thúc đẩy chuyển đổi số (CĐS) để triển khai chính phủ số nhanh và bền vững.

Theo đó, ông An cho hay: "hiện nay, CĐS đang được thúc đẩy mạnh mẽ. Để CĐS thì công tác bảo đảm an toàn an ninh mạng là không thể tách rời. ATTT thì luôn được ví như một cái phanh. CĐS là một chiếc xe đang chạy "phăm phăm" về đích thì ATTT giúp định hướng, an toàn, vững vàng hơn để về đích".

Cũng theo ông An, hiện nay các tập đoàn công nghệ trên thế giới đã thu thập, chuyển giao và độc quyền xử lý dữ liệu người dùng trên khắp thế giới, theo đó, có thể nói chủ quyền quốc gia bị ảnh hưởng. Khi hành vi của người dân trên các nền tảng số bị chi phối, các giải pháp đặt ra là dữ liệu phải thuộc quyền sở hữu của cộng đồng, quốc gia, nơi tạo ra dữ liệu. Nên các DN hiện nay hoạt động, kinh doanh nhiều cần phải lưu ý việc thu thập dữ liệu.

DN bưu chính xây dựng hệ thống thông tin đảm bảo cấp độ 3

Ngày 30/5/2022, Phó Thủ tướng Chính phủ Vũ Đức Đam đã ký Quyết định số 654/QĐ-TTg phê duyệt "Chiến lược phát triển bưu chính đến năm 2025 và định hướng đến năm 2030" và có hiệu lực ngay từ ngày ký. Trong Chiến lược có nêu các giải pháp, hoạt động, bảo đảm ATTT xuyên suốt quá trình xây dựng, phát triển vận hành, khai thác các hạ tầng mạng lưới, hạ tầng số và hạ tầng dữ liệu bưu chính; chú trọng bảo đảm ATTT, dữ liệu cá nhân của người dùng.

Trao đổi với các DN bưu chính để tăng cường ATTT cho các hệ thống thông tin của DN, ông Trần Nguyên Chung, Cục ATTT cho biết theo Nghị định số 85/2016/NĐ-CP ngày 01/7/2016 về bảo đảm an toàn hệ thống thông tin theo cấp độ, trong đó có quy định đối với những DN cung cấp dịch vụ trực tuyến thuộc danh mục ngành nghề có điều kiện thì phải đề xuất cấp độ bảo đảm ATTT cho hệ thống. Lĩnh vực bưu chính là lĩnh vực kinh doanh có điều kiện. Vậy, tất cả những DN bưu chính có hệ thống thông tin hoặc là sử dụng hệ thống CNTT thì phải xây dựng hồ sơ phê duyệt bảo đảm ATTT hệ thống thông tin theo cấp độ. Nếu DN bưu chính không thực hiện bảo đảm hệ thống ATTTT theo cấp độ khi thanh kiểm có thể bị xử phạt hành chính theo Nghị định số 15/2020/NĐ-CP ngày 03/02/2020 quy định xử phạt hành chính trong lĩnh vực bưu chính, viễn thông, tần số vô tuyến điện, CNTT và giao dịch điện tử.

Về cơ bản, ông Chung cho biết xác định cấp độ ATTT cho hệ thống trước tiên là bảo vệ chính DN, bảo vệ hệ thống của DN khi kinh doanh trên môi trường trực tuyến bởi nếu không thì hệ thống sẽ bị tấn công, bị lộ lọt thông tin và gián đoạn dịch vụ. Việc bảo đảm ATTT cũng giúp cho hệ thống, hoạt động kinh doanh của DN không bị vi phạm pháp luật.

Ông Chung cũng chia sẻ các hệ thống CNTT của DN bưu chính thường ở cấp độ 3. Nghị định số 85/2016/NĐ-CP đã quy định về hướng dẫn quy trình DN xây dựng hồ sơ đề xuất cấp độ ATTT cho hệ thống. Cụ thể, đối với hệ thống thông tin được đề xuất là cấp độ 3 thì đơn vị chuyên trách về ATTT của chủ quản hệ thống thông tin tức là DN bưu chính thực hiện thẩm định hồ sơ đề xuất cấp độ; Chủ quản hệ thống thông tin phê duyệt hồ sơ đề xuất cấp độ. Sau đó, DN bưu chính báo cáo Vụ Bưu chính để biết là DN đã tuân thủ cấp độ 3. DN cũng có thể gửi cho Cục ATTT hồ sơ cấp độ để Cục biết và hỗ trợ.

Cũng theo ông Chung, Cục ATTT đã có công văn gửi tất cả các tập đoàn, tổng công ty, DN cung cấp và có sử dụng thông tin cá nhân và thông tin khách hàng thì đều phải tuân thủ quy định. Trong Nghị định 85/2016/NĐ-CP, DN sở hữu hệ thống xử lý thông tin cá nhân trên 10.000 dữ liệu cá nhân là hệ thống thông tin cấp độ 3. Bên cạnh đó, DN có hệ thống không cung cấp dịch vụ trực tuyến nhưng lưu trữ trên 10.000 dữ liệu cá nhân thì cũng phải bảo đảm ATTT cho hệ thống thông tin mức độ 3.

Cục ATTT cũng đã có văn bản hướng dẫn các mẫu về hệ thống thông tin cấp độ 2, 3, theo đó, ông Chung cho biết các DN bưu chính có thể nghiên cứu, áp dụng và nếu có vướng mắc có thể liên hệ Vụ Bưu chính, Cục ATTT - Bộ TT&TT để nhận được sự hỗ trợ. DN khi bảo đảm ATTT cho hệ thống theo cấp độ cũng sẽ hiểu rõ hơn về hệ thống của DN mình vận hành kiểu gì và có những giải pháp cho hệ thống…

Ưu tiên bảo đảm ATTT của khách hàng

Một điểm nữa được ông Chung lưu ý các DN bưu chính là Luật ATTT có một quy định về bảo vệ thông tin cá nhân, theo đó, khi thu thập thông tin của khách hàng thì các DN phải thông báo rõ thông tin của khách hàng được sử dụng vào mục đích gì. Các DN có thông tin khách hàng thì phải cam kết có chính sách bảo vệ khi lưu trữ thông tin khách hàng phải, tránh trường hợp vô tình hay cố ý chia sẻ thông tin của khách hàng ra bên ngoài, bởi đó cũng là vi phạm thông tin cá nhân. Ngoài ra, nếu DN chia sẻ cho các hệ thống khác, DN khác thông tin mà DN, hệ thống được chia sẻ không đảm bảo ATTT thì việc chia sẻ cũng là vi phạm.

Ông Chung cũng nhấn mạnh CĐS đang được đẩy mạnh khi mọi hoạt động được đẩy lên mạng, do đó, khi xây dựng hệ thống thông tin DN phải lường trước quy mô khách hàng phát triển như thế nào và phải đầu tư ATTT tương ứng. Bên cạnh đó, nếu thuê một DN thực hiện bảo đảm ATTT thì DN phải đưa ra các yêu cầu đảm bảo ATTT cho hệ thống. DN bưu chính không thực hiện điều này sẽ bị xử phạt đầu tiên.

Về vấn đề bảo vệ dữ liệu cá nhân, ông Chu Đại Thông, Bộ Công an cho biết thêm Nghị định bảo vệ dữ liệu cá nhân sẽ được Chính phủ ban hành, trong đó mạng bưu chính cũng là một trong những mạng được các đơn vị, tổ chức, cá nhân thu thập dữ liệu về khách hàng nhiều và mong các DN, tổ chức, cá nhân làm trong lĩnh vực bưu chính cố gắng bảo toàn dữ liệu mà các đơn vị thu thập được, tránh chia sẻ thông tin khi chưa được sự đồng ý của cá nhân khách hàng, để tránh khi xảy ra vi phạm pháp luật./.