NGHỊ ĐỊNH

QUY ĐỊNH CHI TIẾT ĐIỀU KIỆN KINH DOANH SẢN PHẨM, DỊCH VỤ AN TOÀN THÔNG TIN MẠNG

Căn cứ Luật an toàn thông tin mạng ngày 19 tháng 11 năm 2015;

Căn cứ Luật doanh nghiệp ngày 26 tháng 11 năm 2014;

Chính phủ ban hành Nghị định quy định chi Tiết Điều kiện kinh doanh sản phẩm, dịch vụ an toàn thông tin mạng.

NHỮNG QUY ĐỊNH CHUNG

1. Nghị định này quy định về:

b) Sản phẩm, dịch vụ an toàn thông tin mạng;

2. Nghị định này không Điều chỉnh hoạt động kinh doanh sản phẩm, dịch vụ mật mã dân sự và hoạt động kinh doanh dịch vụ chứng thực chữ ký điện tử.

Nghị định này áp dụng đối với tổ chức, doanh nghiệp trực tiếp tham gia hoặc có liên quan đến hoạt động sản xuất, nhập khẩu sản phẩm an toàn thông tin mạng và cung cấp dịch vụ an toàn thông tin mạng tại Việt Nam.

1. Sản phẩm an toàn thông tin mạng gồm:

b) Sản phẩm giám sát an toàn thông tin mạng là các thiết bị phần cứng, phần mềm có các chức năng cơ bản sau: Giám sát, phân tích dữ liệu truyền trên hệ thống thông tin; thu thập, phân tích dữ liệu nhật ký theo thời gian thực; phát hiện và đưa ra cảnh báo sự kiện bất thường, có nguy cơ gây mất an toàn thông tin;

2. Dịch vụ an toàn thông tin mạng gồm:

b) Dịch vụ phòng ngừa, chống tấn công mạng là dịch vụ ngăn chặn các hành vi tấn công, xâm nhập vào hệ thống thông tin thông qua việc giám sát, thu thập, phân tích các sự kiện đang xảy ra trên hệ thống thông tin;

d) Dịch vụ ứng cứu sự cố an toàn thông tin mạng là dịch vụ xử lý, khắc phục kịp thời sự cố gây mất an toàn thông tin đối với hệ thống thông tin;

e) Dịch vụ kiểm tra, đánh giá an toàn thông tin mạng là dịch vụ rà quét, kiểm tra, phân tích cấu hình, hiện trạng, dữ liệu nhật ký của hệ thống thông tin; phát hiện lỗ hổng, Điểm yếu; đưa ra đánh giá rủi ro mất an toàn thông tin;

Điều 4. Danh Mục sản phẩm an toàn thông tin mạng nhập khẩu theo giấy phép

a) Sản phẩm kiểm tra, đánh giá an toàn thông tin mạng;

c) Sản phẩm chống tấn công, xâm nhập.

2. Bộ Thông tin và Truyền thông xây dựng Danh Mục chi Tiết các sản phẩm an toàn thông tin mạng nhập khẩu theo giấy phép quy định tại Khoản 1 Điều này.

Chương II

CẤP GIẤY PHÉP KINH DOANH SẢN PHẨM, DỊCH VỤ AN TOÀN THÔNG TIN MẠNG

1. Bộ Thông tin và Truyền thông cấp Giấy phép kinh doanh sản phẩm, dịch vụ an toàn thông tin mạng.

Điều 6. Điều kiện cấp Giấy phép kinh doanh sản phẩm, dịch vụ an toàn thông tin mạng

Điều 42 Luật an toàn thông tin mạng và các Điều kiện tại Nghị định này.

Điểm c, d Khoản 1 Điều 42 Luật an toàn thông tin mạng cụ thể như sau:

b) Có phương án kinh doanh phù hợp và bao gồm các nội dung: Mục đích nhập khẩu; phạm vi, đối tượng cung cấp sản phẩm; sự đáp ứng tiêu chuẩn, quy chuẩn kỹ thuật liên quan đối với từng loại sản phẩm; chi Tiết các tính năng kỹ thuật cơ bản của sản phẩm.

Điểm b, c, d Khoản 1 Điều 42 Luật an toàn thông tin mạng cụ thể như sau:

b) Có đội ngũ quản lý, Điều hành đáp ứng được yêu cầu chuyên môn về an toàn thông tin; có đội ngũ kỹ thuật có bằng đại học chuyên ngành hoặc chứng chỉ an toàn thông tin hoặc công nghệ thông tin hoặc điện tử viễn thông với số lượng nhân sự đáp ứng được quy mô, yêu cầu của phương án kinh doanh;

4. Đối với hoạt động cung cấp dịch vụ an toàn thông tin mạng quy định tại Điểm a, b, c, d, đ Khoản 2 Điều 3 Nghị định này, doanh nghiệp cần đáp ứng Điều kiện quy định tại Khoản 1 Điều này. Trong đó, chi Tiết các Điều kiện tại Điểm b, c, d Khoản 1 Điều 42 Luật an toàn thông tin mạng cụ thể như sau:

b) Có đội ngũ quản lý, Điều hành đáp ứng được yêu cầu chuyên môn về an toàn thông tin; có đội ngũ kỹ thuật có bằng đại học chuyên ngành hoặc chứng chỉ an toàn thông tin hoặc công nghệ thông tin hoặc điện tử viễn thông với số lượng nhân sự đáp ứng được quy mô, yêu cầu của phương án kinh doanh;

5. Đối với hoạt động cung cấp dịch vụ kiểm tra đánh giá an toàn thông tin mạng cần đáp ứng Điều kiện quy định tại Khoản 2 Điều 42 Luật an toàn thông tin mạng. Đối với hoạt động cung cấp dịch vụ bảo mật thông tin không sử dụng mật mã dân sự cần đáp ứng Điều kiện quy định tại Khoản 3 Điều 42 Luật an toàn thông tin mạng. Chi Tiết các Điều kiện tại Điểm a, d Khoản 2 Điều 42 Luật an toàn thông tin mạng cụ thể như sau:

b) Có phương án kỹ thuật phù hợp và bao gồm các nội dung: Tổng thể hệ thống kỹ thuật; việc đáp ứng về chức năng của hệ thống tương ứng với loại hình dịch vụ dự kiến cung cấp; việc đáp ứng với các quy chuẩn kỹ thuật và tiêu chuẩn bắt buộc áp dụng tương ứng.

Hồ sơ và trình tự thủ tục cấp, sửa đổi, bổ sung, gia hạn, tạm đình chỉ, thu hồi và cấp lại Giấy phép kinh doanh sản phẩm, dịch vụ an toàn thông tin mạng theo quy định tại Điều 43, 44, 45 Luật an toàn thông tin mạng.

1. Doanh nghiệp nộp hồ sơ đề nghị cấp Giấy phép kinh doanh sản phẩm, dịch vụ an toàn thông tin mạng đến Bộ Thông tin và Truyền thông bằng một trong các hình thức sau:

b) Nộp bằng cách sử dụng dịch vụ bưu chính;

2. Đơn vị tiếp nhận hồ sơ có trách nhiệm xác nhận bằng văn bản hoặc qua thư điện tử về việc đã nhận hồ sơ của doanh nghiệp trong vòng 01 ngày làm việc kể từ khi nhận được hồ sơ.

4. Đối với hình thức nộp bằng cách sử dụng dịch vụ bưu chính, ngày nhận hồ sơ là ngày đơn vị tiếp nhận hồ sơ nhận được hồ sơ do doanh nghiệp cung cấp dịch vụ bưu chính chuyển đến.

Điều 9. Kiểm tra tính hợp lệ hồ sơ đề nghị cấp Giấy phép kinh doanh sản phẩm, dịch vụ an toàn thông tin mạng

2. Mẫu hồ sơ về Đơn đề nghị cấp/cấp lại/gia hạn/sửa đổi, bổ sung Giấy phép kinh doanh sản phẩm, dịch vụ an toàn thông tin mạng quy định tại Mẫu số 02; Phương án kinh doanh quy định tại Mẫu số 03; Phương án kỹ thuật quy định tại Mẫu số 04; Báo cáo tình hình thực hiện Giấy phép kinh doanh sản phẩm, dịch vụ an toàn thông tin mạng quy định tại Mẫu số 05 tại Phụ lục ban hành kèm theo Nghị định này.

4. Việc kiểm tra tính hợp lệ của hồ sơ được thực hiện dựa trên các tiêu chí sau:

b) Đủ tài liệu quy định tương ứng đối với từng loại hồ sơ đề nghị cấp phép quy định tại Điều 43 Luật an toàn thông tin mạng;

5. Đối với hồ sơ không hợp lệ, Bộ Thông tin và Truyền thông có văn bản thông báo cho doanh nghiệp nộp hồ sơ và nêu rõ yếu tố không hợp lệ. Doanh nghiệp có quyền nộp lại hồ sơ bổ sung hoặc văn bản giải trình tính hợp lệ. Việc kiểm tra tính hợp lệ của hồ sơ nộp lại được thực hiện theo quy định tại Khoản 4 Điều này.

1. Trong thời hạn thẩm định hồ sơ, Bộ Thông tin và Truyền thông có quyền gửi thông báo yêu cầu doanh nghiệp bổ sung hồ sơ, giải trình bằng văn bản hoặc giải trình trực tiếp nếu hồ sơ đề nghị cấp phép tương ứng không cung cấp đủ thông tin, không đáp ứng đủ Điều kiện theo quy định nhưng không quá 01 lần.

3. Nếu kết thúc thời hạn nộp hồ sơ bổ sung, giải trình quy định tại Khoản 2 Điều này, doanh nghiệp không nộp hồ sơ bổ sung hoặc không giải trình và không có văn bản đề nghị được lùi thời hạn nộp bổ sung thì xem như doanh nghiệp từ bỏ việc nộp hồ sơ. Việc tiếp nhận hồ sơ nộp sau khi hết hạn nộp bổ sung, giải trình hoặc sau ngày doanh nghiệp đề nghị được lùi thời hạn được xét như tiếp nhận hồ sơ nộp mới.

a) Không vượt quá 15 ngày làm việc kể từ ngày nhận được hồ sơ hợp lệ đối với hồ sơ đề nghị cấp Giấy phép;

c) Không vượt quá 05 ngày làm việc kể từ ngày nhận được hồ sơ hợp lệ đối với hồ sơ đề nghị cấp lại Giấy phép.

Doanh nghiệp được cấp Giấy phép kinh doanh sản phẩm, dịch vụ an toàn thông tin mạng có trách nhiệm báo cáo đột xuất theo yêu cầu và báo cáo định kỳ hằng năm (trước ngày 31 tháng 12) về tình hình kinh doanh sản phẩm, dịch vụ an toàn thông tin mạng đến Bộ Thông tin và Truyền thông theo Mẫu số 05 tại Phụ lục ban hành kèm theo Nghị định này.

ĐIỀU KHOẢN THI HÀNH

1. Doanh nghiệp đang kinh doanh sản phẩm, dịch vụ an toàn thông tin mạng quy định tại Điều 3 Nghị định này cần hoàn tất hồ sơ, thủ tục để được cấp Giấy phép kinh doanh sản phẩm, dịch vụ an toàn thông tin mạng tối đa 06 tháng kể từ ngày Nghị định này có hiệu lực.

Điều 13. Hiệu lực thi hành

Điều 14. Trách nhiệm thi hành

2. Các Bộ trưởng, Thủ trưởng cơ quan ngang bộ, Thủ trưởng cơ quan thuộc Chính phủ, Chủ tịch Ủy ban nhân dân tỉnh, thành phố trực thuộc trung ương và các tổ chức, cá nhân có liên quan chịu trách nhiệm thi hành Nghị định này./.

Nơi nhận:
- Ban Bí thư Trung ương Đảng;
- Thủ tướng, các Phó Thủ tướng Chính phủ;
- Các bộ, cơ quan ngang bộ, cơ quan thuộc Chính phủ;
- HĐND, UBND các tỉnh, thành phố trực thuộc trung ương;
- Văn phòng Trung ương và các Ban của Đảng;
- Văn phòng Tổng Bí thư;
- Văn phòng Chủ tịch nước;
- Hội đồng dân tộc và các Ủy ban của Quốc hội;
- Văn phòng Quốc hội;
- Tòa án nhân dân tối cao;
- Viện kiểm sát nhân dân tối cao;
- Ủy ban Giám sát tài chính Quốc gia;
- Kiểm toán nhà nước;
- Ngân hàng Chính sách xã hội;
- Ngân hàng Phát triển Việt Nam;
- Ủy ban trung ương Mặt trận Tổ quốc Việt Nam;
- Cơ quan Trung ương của các đoàn thể;
- Phòng Thương mại và Công nghiệp Việt Nam;
- VPCP: BTCN, các PCN, Trợ lý TTg, TGĐ Cổng TTĐT, các Vụ, Cục, đơn vị trực thuộc, Công báo;
- Lưu: VT, KGVX (3b).

TM. CHÍNH PHỦ
THỦ TƯỚNG




Nguyễn Xuân Phúc

PHỤ LỤC

(Kèm theo Nghị định số 108/2016/NĐ-CP ngày 01 tháng 7 năm 2016 của Chính phủ)

Mẫu số 03

PHƯƠNG ÁN KINH DOANH
(Kèm theo Đơn đề nghị số ... ngày ... tháng ... năm ...)

1. Cơ cấu tổ chức của doanh nghiệp.

3. Thuyết minh hệ thống trang thiết bị, cơ sở vật chất của doanh nghiệp.

Phần 2. Phạm vi, đối tượng kinh doanh sản phẩm, dịch vụ

2. Quy mô hoạt động kinh doanh sản phẩm, dịch vụ.

4. Kế hoạch triển khai hệ thống thiết bị cung cấp dịch vụ/sản xuất sản phẩm.

1. Tiêu chuẩn chất lượng sản phẩm, dịch vụ.

3. Phương án bảo mật thông tin khách hàng (trước, trong và sau khi cung cấp dịch vụ).

5. Thủ tục giải quyết khiếu nại về chất lượng dịch vụ của khách hàng.

Mẫu số 04

PHƯƠNG ÁN KỸ THUẬT
(Kèm theo Đơn đề nghị số ... ngày ... tháng ... năm ...)

Mô tả cấu hình, sơ đồ lắp đặt thiết bị, giải pháp kỹ thuật tổng thể.

3. Thuyết minh đáp ứng quy chuẩn kỹ thuật, tiêu chuẩn bắt buộc áp dụng về sản phẩm, dịch vụ an toàn thông tin mạng

Đối với các sản phẩm phần mềm cần mô tả, chứng minh nguồn gốc, có bản quyền hay tự phát triển.

Phụ lục các tài liệu đặc tả thiết bị kỹ thuật hệ thống, các chứng nhận, chứng chỉ tuân thủ tiêu chuẩn đã được cấp.

Mẫu số 05

BÁO CÁO TÌNH HÌNH THỰC HIỆN GIẤY PHÉP KINH DOANH SẢN PHẨM, DỊCH VỤ AN TOÀN THÔNG TIN MẠNG
(Từ tháng .../... đến tháng .../...)

1. Tên doanh nghiệp: ……………………………………………………………………………

3. Điện thoại: ……………………………. 4. Số Fax: ………………………………………….

Phần 2. Tình hình triển khai thực hiện Giấy phép

2. Số lượng, loại sản phẩm an toàn thông tin mạng nhập khẩu, sản xuất, tiêu thụ trong năm: …………………………………………………………………………….

4. Tổng doanh thu, lợi nhuận trong năm: …………………………………………………….

6. Nội dung khác: …………………………………………………………………………………

(Tên doanh nghiệp) xin cam kết chịu trách nhiệm trước pháp luật về tính chính xác của nội dung trong Báo cáo và các tài liệu kèm theo.

- Như trên;
- …………

NGƯỜI ĐẠI DIỆN THEO PHÁP LUẬT CỦA DOANH NGHIỆP
(Ký, ghi rõ họ tên, chức danh và đóng dấu)