Doanh nghiệp viễn thông có bắt buộc phải chỉ định bộ phận chuyên trách ứng cứu sự cố mạng (CERT) không?

Căn cứ tại Điều 43 Nghị định 72/2013/NĐ-CP về ứng cứu sự cố mạng:

Ứng cứu sự cố mạng

3. Các Bộ, cơ quan ngang Bộ, cơ quan thuộc Chính phủ, các doanh nghiệp viễn thông, doanh nghiệp cung cấp dịch vụ Internet, các tổ chức quản lý, khai thác các hệ thống thông tin quan trọng của quốc gia có trách nhiệm thành lập hoặc chỉ định bộ phận chuyên trách ứng cứu sự cố mạng (CERT) để chủ động triển khai hoạt động trong phạm vi đơn vị mình và phối hợp với Trung tâm ứng cứu khẩn cấp máy tính Việt Nam (VNCERT).

4. Bộ Thông tin và Truyền thông ban hành và tổ chức thực hiện quy định Điều phối ứng cứu sự cố mạng.

Như vậy, doanh nghiệp viễn thông có trách nhiệm thành lập hoặc chỉ định bộ phận chuyên trách ứng cứu sự cố mạng (CERT) để chủ động triển khai hoạt động trong phạm vi đơn vị mình và phối hợp với Trung tâm ứng cứu khẩn cấp máy tính Việt Nam (VNCERT).

Hay nói cách khác, doanh nghiệp viễn thông có thể lựa chọn giữa việc:

Thành lập bộ phận chuyên trách ứng cứu sự cố mạng (CERT); hoặc

Chỉ định bộ phận chuyên trách ứng cứu sự cố mạng (CERT).

Trong đó, ứng cứu sự cố mạng là hoạt động nhằm xử lý, khắc phục sự cố gây mất an toàn thông tin trên mạng.

Việc ứng cứu sự cố mạng được thực hiện theo các nguyên tắc sau đây:

Nhanh chóng, chính xác, kịp thời, hiệu quả;

Tuân thủ quy định Điều phối của Bộ Thông tin và Truyền thông;

Phối hợp giữa các tổ chức, doanh nghiệp trong nước, quốc tế.

Doanh nghiệp viễn thông không thành lập hoặc không chỉ định đơn vị chuyên trách ứng cứu sự cố an toàn thông tin mạng thì bị phạt bao nhiêu tiền?

Căn cứ tại khoản 3 Điều 78 Nghị định 15/2020/NĐ-CP vi phạm các quy định về đảm bảo an toàn thông tin và ứng cứu sự cố an toàn thông tin mạng:

Vi phạm các quy định về đảm bảo an toàn thông tin và ứng cứu sự cố an toàn thông tin mạng

1. Phạt tiền từ 10.000.000 đồng đến 20.000.000 đồng đối với một trong các hành vi sau:

…

3. Phạt tiền từ 30.000.000 đồng đến 40.000.000 đồng đối với một trong các hành vi sau:

a) Không tổng hợp, báo cáo Cơ quan điều phối quốc gia về diễn biến sự cố khi được yêu cầu;

b) Không thành lập hoặc không chỉ định đơn vị chuyên trách ứng cứu sự cố an toàn thông tin mạng hoặc không thành lập Đội ứng cứu sự cố;

c) Không ghi nhận hoặc không tiếp nhận thông báo hoặc không báo cáo sự cố an toàn thông tin mạng theo đúng quy trình;

d) Không xây dựng Kế hoạch ứng phó sự cố bảo đảm an toàn thông tin mạng;

đ) Cung cấp không đầy đủ thông tin trong thời gian chưa khắc phục triệt để sự cố;

e) Không tổng hợp, xây dựng báo cáo định kỳ 06 tháng, 01 năm;

g) Thực hiện không đầy đủ các yêu cầu điều phối ứng cứu sự cố của Cơ quan điều phối quốc gia.

Như vậy, trong trường hợp doanh nghiệp viễn thông không thành lập hoặc không chỉ định đơn vị chuyên trách ứng cứu sự cố an toàn thông tin mạng thì có thể bị phạt tiền từ 30.000.000 đồng đến 40.000.000 đồng.

Nhà nước có những chính sách nào về an toàn thông tin mạng?

Đối chiếu với quy định tại Điều 5 Luật An toàn thông tin mạng 2015 thì Nhà nước có những chính sách sau về an toàn thông tin mạng:

Đẩy mạnh đào tạo, phát triển nguồn nhân lực và xây dựng cơ sở hạ tầng, kỹ thuật an toàn thông tin mạng đáp ứng yêu cầu ổn định chính trị, phát triển kinh tế – xã hội, bảo đảm quốc phòng, an ninh quốc gia, trật tự, an toàn xã hội.

Khuyến khích nghiên cứu, phát triển, áp dụng biện pháp kỹ thuật, công nghệ, hỗ trợ xuất khẩu, mở rộng thị trường cho sản phẩm, dịch vụ an toàn thông tin mạng do tổ chức, cá nhân trong nước sản xuất, cung cấp;

Tạo điều kiện nhập khẩu sản phẩm, công nghệ hiện đại mà tổ chức, cá nhân trong nước chưa có năng lực sản xuất, cung cấp.

Bảo đảm môi trường cạnh tranh lành mạnh trong hoạt động kinh doanh sản phẩm, dịch vụ an toàn thông tin mạng;

Khuyến khích, tạo điều kiện cho tổ chức, cá nhân tham gia đầu tư, nghiên cứu, phát triển và cung cấp sản phẩm, dịch vụ an toàn thông tin mạng.

Nhà nước bố trí kinh phí để bảo đảm an toàn thông tin mạng của cơ quan nhà nước và an toàn thông tin mạng cho hệ thống thông tin quan trọng quốc gia.

Trong đó, theo quy định tại khoản 1 Điều 3 Luật An toàn thông tin mạng 2015 thì an toàn thông tin mạng là sự bảo vệ thông tin, hệ thống thông tin trên mạng tránh bị truy nhập, sử dụng, tiết lộ, gián đoạn, sửa đổi hoặc phá hoại trái phép nhằm bảo đảm tính nguyên vẹn, tính bảo mật và tính khả dụng của thông tin.