1. Sản phẩm, dịch vụ an toàn thông tin mạng là gì?

Luật an toàn thông tin mạng 2015 giải thích về các thuật ngữ này như sau:

Sản phẩm an toàn thông tin mạng là phần cứng, phần mềm có chức năng bảo vệ thông tin, hệ thống thông tin.

Dịch vụ an toàn thông tin mạng là dịch vụ bảo vệ thông tin, hệ thống thông tin.

2. Các sản phẩm, dịch vụ trong lĩnh vực an toàn thông tin mạng

Căn cứ quy định tại Điều 41 Luật an toàn thông tin mạng và hướng dẫn tại Nghị định 108/2016/NĐ-CP, các sản phẩm, dịch vụ trong lĩnh vực an toàn thông tin mạng cụ thể gồm:

Thứ nhất, sản phẩm an toàn thông tin mạng gồm:

- Sản phẩm mật mã dân sự;

- Sản phẩm kiểm tra, đánh giá an toàn thông tin mạng;

- Sản phẩm giám sát an toàn thông tin mạng;

- Sản phẩm chống tấn công, xâm nhập;

- Sản phẩm an toàn thông tin mạng khác.

Trong đó:

Sản phẩm kiểm tra, đánh giá an toàn thông tin mạng là các thiết bị phần cứng, phần mềm có các chức năng cơ bản sau: Rà quét, kiểm tra, phân tích cấu hình, hiện trạng, dữ liệu nhật ký của hệ thống thông tin; phát hiện lỗ hổng, Điểm yếu; đưa ra đánh giá rủi ro an toàn thông tin;

Sản phẩm giám sát an toàn thông tin mạng là các thiết bị phần cứng, phần mềm có các chức năng cơ bản sau: Giám sát, phân tích dữ liệu truyền trên hệ thống thông tin; thu thập, phân tích dữ liệu nhật ký theo thời gian thực; phát hiện và đưa ra cảnh báo sự kiện bất thường, có nguy cơ gây mất an toàn thông tin;

Sản phẩm chống tấn công, xâm nhập là các thiết bị phần cứng, phần mềm có chức năng cơ bản ngăn chặn tấn công, xâm nhập vào hệ thống thông tin.

Thứ hai, dịch vụ an toàn thông tin mạng gồm:

- Dịch vụ kiểm tra, đánh giá an toàn thông tin mạng;

- Dịch vụ bảo mật thông tin không sử dụng mật mã dân sự;

- Dịch vụ mật mã dân sự;

- Dịch vụ chứng thực chữ ký điện tử;

- Dịch vụ tư vấn an toàn thông tin mạng;

- Dịch vụ giám sát an toàn thông tin mạng;

- Dịch vụ ứng cứu sự cố an toàn thông tin mạng;

- Dịch vụ khôi phục dữ liệu;

- Dịch vụ phòng ngừa, chống tấn công mạng;

- Dịch vụ an toàn thông tin mạng khác.

Trong đó:

Dịch vụ giám sát an toàn thông tin mạng là dịch vụ giám sát, phân tích lưu lượng dữ liệu truyền trên hệ thống thông tin; thu thập, phân tích dữ liệu nhật ký theo thời gian thực; phát hiện và đưa ra cảnh báo sự kiện bất thường, có nguy cơ gây mất an toàn thông tin;

Dịch vụ phòng ngừa, chống tấn công mạng là dịch vụ ngăn chặn các hành vi tấn công, xâm nhập vào hệ thống thông tin thông qua việc giám sát, thu thập, phân tích các sự kiện đang xảy ra trên hệ thống thông tin;

Dịch vụ tư vấn an toàn thông tin mạng là dịch vụ hỗ trợ tư vấn, kiểm tra, đánh giá, triển khai, thiết kế, xây dựng các giải pháp bảo đảm an toàn thông tin;

Dịch vụ ứng cứu sự cố an toàn thông tin mạng là dịch vụ xử lý, khắc phục kịp thời sự cố gây mất an toàn thông tin đối với hệ thống thông tin;

Dịch vụ khôi phục dữ liệu là dịch vụ khôi phục dữ liệu trong hệ thống thông tin đã bị xóa hoặc hư hỏng;

Dịch vụ kiểm tra, đánh giá an toàn thông tin mạng là dịch vụ rà quét, kiểm tra, phân tích cấu hình, hiện trạng, dữ liệu nhật ký của hệ thống thông tin; phát hiện lỗ hổng, Điểm yếu; đưa ra đánh giá rủi ro mất an toàn thông tin;

Dịch vụ bảo mật thông tin không sử dụng mật mã dân sự là dịch vụ hỗ trợ người sử dụng bảo đảm tính bí mật của thông tin, hệ thống thông tin mà không sử dụng hệ thống mật mã dân sự.

3. Điều kiện kinh doanh sản phẩm, dịch vụ an toàn thông tin mạng

Kinh doanh trong lĩnh vực an toàn thông tin mạng là ngành, nghề kinh doanh có điều kiện. Kinh doanh trong lĩnh vực an toàn thông tin mạng gồm kinh doanh sản phẩm an toàn thông tin mạng và kinh doanh dịch vụ an toàn thông tin mạng.

Doanh nghiệp kinh doanh sản phẩm, dịch vụ an toàn thông tin mạng phải có Giấy phép kinh doanh sản phẩm, dịch vụ an toàn thông tin mạng do cơ quan nhà nước có thẩm quyền cấp. Thời hạn của Giấy phép kinh doanh sản phẩm, dịch vụ an toàn thông tin mạng là 10 năm.

Việc kinh doanh sản phẩm, dịch vụ an toàn thông tin mạng phải tuân thủ quy định của Luật an toàn thông tin mạng và quy định khác của pháp luật có liên quan.

(i) Doanh nghiệp được cấp Giấy phép kinh doanh sản phẩm, dịch vụ an toàn thông tin mạng, trừ sản phẩm, dịch vụ quy định tại các điểm a, b, c, d khoản 1 và điểm a khoản 2 Điều 41 của Luật an toàn thông tin mạng, khi đáp ứng đủ các điều kiện sau đây:

- Phù hợp với chiến lược, kế hoạch phát triển an toàn thông tin mạng quốc gia;

- Có hệ thống trang thiết bị, cơ sở vật chất phù hợp với quy mô cung cấp sản phẩm, dịch vụ an toàn thông tin mạng;

- Có đội ngũ quản lý, điều hành, kỹ thuật đáp ứng được yêu cầu chuyên môn về an toàn thông tin;

- Có phương án kinh doanh phù hợp.

(ii)Doanh nghiệp được cấp Giấy phép kinh doanh dịch vụ kiểm tra, đánh giá an toàn thông tin mạng khi đáp ứng đủ các điều kiện sau đây:

- Các điều kiện nêu tại mục (i);

- Là doanh nghiệp được thành lập và hoạt động hợp pháp trên lãnh thổ Việt Nam, trừ doanh nghiệp có vốn đầu tư nước ngoài;

- Người đại diện theo pháp luật, đội ngũ quản lý, điều hành, kỹ thuật là công dân Việt Nam thường trú tại Việt Nam;

- Có phương án kỹ thuật phù hợp với tiêu chuẩn, quy chuẩn kỹ thuật;

- Có phương án bảo mật thông tin khách hàng trong quá trình cung cấp dịch vụ;

- Đội ngũ quản lý, điều hành, kỹ thuật có văn bằng hoặc chứng chỉ chuyên môn về kiểm tra, đánh giá an toàn thông tin.

(iii) Doanh nghiệp được cấp Giấy phép kinh doanh dịch vụ bảo mật thông tin không sử dụng mật mã dân sự khi đáp ứng đủ các điều kiện sau đây:

- Các điều kiện nêu tại mục (i);

- Là doanh nghiệp được thành lập và hoạt động hợp pháp trên lãnh thổ Việt Nam, trừ doanh nghiệp có vốn đầu tư nước ngoài;

- Người đại diện theo pháp luật, đội ngũ quản lý, điều hành, kỹ thuật là công dân Việt Nam thường trú tại Việt Nam;

- Có phương án kỹ thuật phù hợp với tiêu chuẩn, quy chuẩn kỹ thuật;

- Có phương án bảo mật thông tin khách hàng trong quá trình cung cấp dịch vụ;

- Đội ngũ quản lý điều hành, kỹ thuật có văn bằng hoặc chứng chỉ chuyên môn về bảo mật thông tin.

4. Thủ tục đề nghị cấp Giấy phép kinh doanh sản phẩm, dịch vụ an toàn thông tin mạng

4.1. Hồ sơ đề nghị

Hồ sơ đề nghị cấp Giấy phép kinh doanh sản phẩm, dịch vụ an toàn thông tin mạng được lập thành năm bộ, gồm:

- Đơn đề nghị cấp Giấy phép kinh doanh sản phẩm, dịch vụ an toàn thông tin mạng, trong đó nêu rõ loại hình sản phẩm, dịch vụ an toàn thông tin mạng sẽ kinh doanh;

- Bản sao Giấy chứng nhận đăng ký doanh nghiệp, Giấy chứng nhận đăng ký đầu tư hoặc giấy tờ khác có giá trị tương đương;

- Bản thuyết minh hệ thống thiết bị kỹ thuật bảo đảm phù hợp với quy định của pháp luật;

- Phương án kinh doanh gồm phạm vi, đối tượng cung cấp sản phẩm, dịch vụ, tiêu chuẩn, chất lượng sản phẩm, dịch vụ;

- Bản sao văn bằng hoặc chứng chỉ chuyên môn về an toàn thông tin của đội ngũ quản lý, điều hành, kỹ thuật.

Ngoài giấy tờ, tài liệu trên, hồ sơ đề nghị cấp Giấy phép kinh doanh dịch vụ kiểm tra, đánh giá an toàn thông tin hoặc dịch vụ bảo mật thông tin không sử dụng mật mã dân sự còn phải có:

- Phiếu lý lịch tư pháp của người đại diện theo pháp luật và đội ngũ quản lý, điều hành, kỹ thuật;

- Phương án kỹ thuật;

- Phương án bảo mật thông tin khách hàng trong quá trình cung cấp dịch vụ.

Doanh nghiệp nộp hồ sơ đề nghị cấp Giấy phép kinh doanh sản phẩm, dịch vụ an toàn thông tin mạng đến Bộ Thông tin và Truyền thông bằng một trong các hình thức sau:

+ Nộp trực tiếp đến đơn vị tiếp nhận hồ sơ;

+ Nộp bằng cách sử dụng dịch vụ bưu chính;

+ Nộp trực tuyến trên Cổng thông tin điện tử của Bộ Thông tin và Truyền thông.

Đơn vị tiếp nhận hồ sơ có trách nhiệm xác nhận bằng văn bản hoặc qua thư điện tử về việc đã nhận hồ sơ của doanh nghiệp trong vòng 01 ngày làm việc kể từ khi nhận được hồ sơ.

Đối với hình thức nộp trực tiếp, ngày nhận hồ sơ là ngày đơn vị tiếp nhận hồ sơ nhận được hồ sơ do doanh nghiệp nộp.

Đối với hình thức nộp bằng cách sử dụng dịch vụ bưu chính, ngày nhận hồ sơ là ngày đơn vị tiếp nhận hồ sơ nhận được hồ sơ do doanh nghiệp cung cấp dịch vụ bưu chính chuyển đến.

Đối với hình thức nộp trực tuyến, Bộ Thông tin và Truyền thông triển khai cấp Giấy phép kinh doanh sản phẩm, dịch vụ an toàn thông tin mạng theo lộ trình cung cấp dịch vụ công trực tuyến của Chính phủ.

4.2. Kiểm tra tính hợp lệ của hồ sơ đề nghị

Hồ sơ đề nghị cấp Giấy phép kinh doanh sản phẩm, dịch vụ an toàn thông tin mạng phải làm bằng tiếng Việt, gồm 01 bộ hồ sơ gốc và 04 bộ bản sao hồ sơ hợp lệ đối với trường hợp đề nghị cấp Giấy phép, 01 bộ hồ sơ gốc và 01 bộ bản sao hồ sơ hợp lệ đối với các trường hợp đề nghị sửa đổi, bổ sung và gia hạn Giấy phép. Bộ hồ sơ gốc phải có đủ chữ ký, dấu xác nhận của doanh nghiệp, các tài liệu do doanh nghiệp lập nếu có từ 02 tờ văn bản trở lên phải có dấu giáp lai. Các bộ bản sao hồ sơ hợp lệ không yêu cầu phải có dấu xác nhận, dấu chứng thực bản sao nhưng phải có dấu giáp lai của doanh nghiệp nộp hồ sơ.

Mẫu hồ sơ về Đơn đề nghị cấp/cấp lại/gia hạn/sửa đổi, bổ sung Giấy phép kinh doanh sản phẩm, dịch vụ an toàn thông tin mạng quy định tại mẫu số 02; Phương án kinh doanh quy định tại mẫu số 03; Phương án kỹ thuật quy định tại mẫu số 04; Báo cáo tình hình thực hiện Giấy phép kinh doanh sản phẩm, dịch vụ an toàn thông tin mạng quy định tại mẫu số 05 tại Phụ lục ban hành kèm theo Nghị định 108/2016/NĐ-CP.

Bộ Thông tin và Truyền thông kiểm tra và thông báo cho doanh nghiệp nộp hồ sơ biết về tính hợp lệ của hồ sơ sau 03 ngày làm việc kể từ khi nhận được hồ sơ.

Việc kiểm tra tính hợp lệ của hồ sơ được thực hiện dựa trên các tiêu chí sau:

- Hồ sơ được lập theo đúng quy định;

- Đủ tài liệu quy định tương ứng đối với từng loại hồ sơ đề nghị cấp phép;

- Các tài liệu cung cấp đủ đầu Mục thông tin theo yêu cầu và tuân theo mẫu hồ sơ tương ứng.

Đối với hồ sơ không hợp lệ, Bộ Thông tin và Truyền thông có văn bản thông báo cho doanh nghiệp nộp hồ sơ và nêu rõ yếu tố không hợp lệ. Doanh nghiệp có quyền nộp lại hồ sơ bổ sung hoặc văn bản giải trình tính hợp lệ. 

4.3. Thẩm định hồ sơ và cấp Giấy phép kinh doanh sản phẩm, dịch vụ an toàn thông tin mạng

Trong thời hạn 40 ngày kể từ ngày nhận đủ hồ sơ, Bộ Thông tin và Truyền thông chủ trì, phối hợp với bộ, ngành có liên quan thẩm định và cấp Giấy phép kinh doanh sản phẩm, dịch vụ an toàn thông tin mạng, trừ kinh doanh sản phẩm, dịch vụ quy định tại điểm c, điểm d khoản 1 và điểm a khoản 2 Điều 41 của Luật an toàn thông tin mạng; trường hợp từ chối cấp thì phải thông báo bằng văn bản và nêu rõ lý do.

Trong thời hạn thẩm định hồ sơ, Bộ Thông tin và Truyền thông có quyền gửi thông báo yêu cầu doanh nghiệp bổ sung hồ sơ, giải trình bằng văn bản hoặc giải trình trực tiếp nếu hồ sơ đề nghị cấp phép tương ứng không cung cấp đủ thông tin, không đáp ứng đủ Điều kiện theo quy định nhưng không quá 01 lần.

Doanh nghiệp có trách nhiệm nộp hồ sơ bổ sung, giải trình bằng văn bản hoặc giải trình trực tiếp cho Bộ Thông tin và Truyền thông theo nội dung yêu cầu và trong thời hạn tối đa là 10 ngày làm việc kể từ ngày doanh nghiệp nhận được thông báo quy định tại Khoản 1 Điều này. Thời hạn thẩm định được tính tiếp kể từ thời Điểm đơn vị tiếp nhận hồ sơ nhận được hồ sơ bổ sung hoặc văn bản giải trình của doanh nghiệp hoặc ngày ký biên bản cuộc họp giải trình.

Nếu kết thúc thời hạn nộp hồ sơ bổ sung, giải trình, doanh nghiệp không nộp hồ sơ bổ sung hoặc không giải trình và không có văn bản đề nghị được lùi thời hạn nộp bổ sung thì xem như doanh nghiệp từ bỏ việc nộp hồ sơ. Việc tiếp nhận hồ sơ nộp sau khi hết hạn nộp bổ sung, giải trình hoặc sau ngày doanh nghiệp đề nghị được lùi thời hạn được xét như tiếp nhận hồ sơ nộp mới.

Thời gian thẩm định hồ sơ ban đầu và hồ sơ bổ sung, ý kiến giải trình và cấp Giấy phép hoặc ra thông báo không cấp Giấy phép:

+ Không vượt quá 15 ngày làm việc kể từ ngày nhận được hồ sơ hợp lệ đối với hồ sơ đề nghị cấp Giấy phép;

+ Không vượt quá 10 ngày làm việc kể từ ngày nhận được hồ sơ hợp lệ đối với hồ sơ đề nghị gia hạn Giấy phép và hồ sơ đề nghị sửa đổi, bổ sung Giấy phép;

+ Không vượt quá 05 ngày làm việc kể từ ngày nhận được hồ sơ hợp lệ đối với hồ sơ đề nghị cấp lại Giấy phép.

Giấy phép kinh doanh sản phẩm, dịch vụ an toàn thông tin mạng có nội dung chính sau đây:

- Tên doanh nghiệp, tên giao dịch của doanh nghiệp bằng tiếng Việt và tiếng nước ngoài (nếu có); địa chỉ trụ sở chính tại Việt Nam;

- Tên của người đại diện theo pháp luật;

- Số giấy phép, ngày cấp giấy phép, ngày hết hạn giấy phép;

- Sản phẩm, dịch vụ an toàn thông tin mạng được phép kinh doanh.

Doanh nghiệp được cấp Giấy phép kinh doanh sản phẩm, dịch vụ an toàn thông tin mạng phải nộp phí theo quy định của pháp luật về phí và lệ phí.

Trên đây là tư vấn của chúng tôi.  Nếu còn vướng mắc, chưa rõ hoặc cần hỗ trợ pháp lý khác bạn vui lòng liên hệ bộ phận tư vấn pháp luật trực tuyến qua tổng đài điện thoại số: 1900 6162 để được giải đáp.

Rất mong nhận được sự hợp tác!

Trân trọng./.

Bộ phận tư vấn pháp luật Dân sự - Công ty luật Minh Khuê