Thời gian lưu trữ nhật ký hệ thống của doanh nghiệp phục vụ điều tra

1. Pháp luật quy định như nào về thời gian lưu trữ nhật ký hệ thống của doanh nghiệp phục vụ điều tra?

Theo quy định tại khoản 3 Điều 27 Nghị định 53/2022/NĐ-CP về thời gian lưu trữ dữ liệu của doanh nghiệp, chi nhánh hoặc văn phòng đại diện tại Việt Nam, có các điều sau:

- Thời gian lưu trữ dữ liệu: Thời gian bắt đầu tính từ khi doanh nghiệp nhận được yêu cầu lưu trữ dữ liệu. Kết thúc thời gian lưu trữ là khi yêu cầu lưu trữ dữ liệu kết thúc. Thời gian lưu trữ tối thiểu là 24 tháng.

- Thời gian đặt chi nhánh hoặc văn phòng đại diện tại Việt Nam: Thời gian bắt đầu tính từ khi doanh nghiệp nhận được yêu cầu đặt chi nhánh hoặc văn phòng đại diện tại Việt Nam. Kết thúc thời gian là khi doanh nghiệp không còn hoạt động tại Việt Nam hoặc dịch vụ được quy định không còn cung cấp tại Việt Nam.

- Lưu trữ nhật ký hệ thống: Nhật ký hệ thống dùng để phục vụ điều tra và xử lý hành vi vi phạm pháp luật về an ninh mạng. Thời gian lưu trữ tối thiểu là 12 tháng. Quy định này được áp dụng theo điểm b khoản 2 Điều 26 của Luật An ninh mạng năm 2018 .

Dẫn chiếu tới điểm b khoản 2 Điều 26 của Luật An ninh mạng 2018, về bảo đảm an ninh thông tin trên không gian mạng, các doanh nghiệp trong nước và ngoài nước cung cấp dịch vụ trên mạng viễn thông, mạng Internet, cũng như các dịch vụ gia tăng trên không gian mạng tại Việt Nam có những trách nhiệm cụ thể như sau:

- Ngăn chặn chia sẻ thông tin và xóa bỏ thông tin cụ thể: Doanh nghiệp phải ngăn chặn việc chia sẻ thông tin và xóa bỏ thông tin có nội dung quy định tại các khoản 1, 2, 3, 4 và 5 Điều 16 của Luật An ninh mạng 2018 trên dịch vụ hoặc hệ thống thông tin mà họ quản lý.

- Thời hạn xử lý yêu cầu: Cần thực hiện ngay và chậm nhất là trong thời hạn 24 giờ kể từ thời điểm có yêu cầu của lực lượng chuyên trách bảo vệ an ninh mạng thuộc Bộ Công an hoặc cơ quan có thẩm quyền của Bộ Thông tin và Truyền thông.

- Lưu nhật ký hệ thống: Đồng thời, doanh nghiệp phải lưu trữ nhật ký hệ thống trong thời gian được quy định bởi Chính phủ để phục vụ điều tra, xử lý hành vi vi phạm pháp luật về an ninh mạng.

- Chịu trách nhiệm về an ninh mạng: Doanh nghiệp có trách nhiệm đảm bảo an ninh thông tin trên không gian mạng và tuân thủ đầy đủ các quy định của Luật An ninh mạng 2018.

Trong bối cảnh ngày càng gia tăng về mức độ sử dụng và phụ thuộc vào công nghệ thông tin, việc bảo vệ an ninh mạng trở thành một ưu tiên hàng đầu đối với doanh nghiệp. Điều này đặt ra những yêu cầu và trách nhiệm rõ ràng đối với các doanh nghiệp trong nước và ngoài nước cung cấp dịch vụ trên mạng tại Việt Nam, như được quy định tại điểm b khoản 2 Điều 26 của Luật An ninh mạng 2018.

Một trong những yêu cầu quan trọng đó là việc lưu trữ nhật ký hệ thống, một phần quan trọng trong việc đảm bảo an ninh thông tin. Theo quy định chi tiết, nhật ký hệ thống của doanh nghiệp trong nước phải được lưu trữ trong khoảng thời gian tối thiểu là 12 tháng. Điều này không chỉ là một trách nhiệm pháp lý mà còn là một biện pháp quan trọng để hỗ trợ điều tra và xử lý hành vi vi phạm pháp luật về an ninh mạng.

Thời gian lưu trữ 12 tháng của nhật ký hệ thống không chỉ mang lại khả năng theo dõi và xác minh thông tin liên quan đến các sự kiện trên mạng, mà còn hỗ trợ chính quyền và các cơ quan chức năng trong việc đối mặt với những thách thức ngày càng phức tạp của môi trường an ninh mạng. Điều này làm tăng cường khả năng phản ứng nhanh chóng và hiệu quả trước mọi rủi ro có thể xảy ra trên không gian mạng.

Do đó, việc lưu trữ nhật ký hệ thống không chỉ đóng vai trò quan trọng trong việc tuân thủ pháp luật mà còn là một phần quan trọng của chiến lược an ninh mạng của doanh nghiệp, giúp họ tăng cường khả năng quản lý rủi ro và bảo vệ thông tin quan trọng của mình.

2. Những loại dữ liệu mà doanh nghiệp phải lưu trữ?

Theo quy định chi tiết tại khoản 2 Điều 26 Nghị định 53/2022/NĐ-CP, doanh nghiệp trong nước có trách nhiệm lưu trữ dữ liệu theo quy định tại khoản 1 Điều 26 Nghị định 53/2022/NĐ-CP tại Việt Nam, với những nội dung dữ liệu cụ thể dưới đây:

- Dữ liệu về Thông tin Cá nhân: Doanh nghiệp phải lưu trữ dữ liệu liên quan đến thông tin cá nhân của người sử dụng dịch vụ tại Việt Nam. Điều này bao gồm các thông tin như tên, địa chỉ, ngày tháng năm sinh và các thông tin cá nhân khác mà người sử dụng đã cung cấp khi sử dụng dịch vụ.

- Dữ liệu do người sử dụng tạo ra: Doanh nghiệp cũng cần lưu trữ các dữ liệu do người sử dụng tại Việt Nam tạo ra trong quá trình sử dụng dịch vụ. Các thông tin này bao gồm tên tài khoản sử dụng dịch vụ, thời gian sử dụng dịch vụ, thông tin thẻ tín dụng (nếu có), địa chỉ thư điện tử, địa chỉ mạng (IP) đăng nhập, đăng xuất gần nhất, số điện thoại đăng ký được gắn với tài khoản hoặc dữ liệu khác có liên quan.

- Dữ liệu về mối quan hệ của người sử dụng dịch vụ: Ngoài ra, doanh nghiệp cũng phải lưu trữ dữ liệu về mối quan hệ của người sử dụng dịch vụ tại Việt Nam, bao gồm thông tin về bạn bè, nhóm mà người sử dụng kết nối hoặc tương tác. Điều này giúp xây dựng hình ảnh toàn diện về các quan hệ mạng xã hội và tương tác của người sử dụng trên nền tảng dịch vụ cung cấp.

Những yêu cầu này không chỉ nhấn mạnh sự chăm sóc và bảo vệ thông tin cá nhân mà còn hỗ trợ quá trình quản lý và xử lý thông tin đúng đắn, đồng thời đáp ứng đầy đủ các yêu cầu pháp lý trong lĩnh vực an ninh mạng tại Việt Nam.

3. Báo cáo với lực lượng chuyên trách bảo vệ an ninh mạng khi doanh nghiệp cung cấp dịch vụ xảy ra sự cố?

Theo điều 41 Luật An ninh mạng 2018, doanh nghiệp cung cấp dịch vụ trên không gian mạng tại Việt Nam phải chịu trách nhiệm theo các quy định chi tiết sau đây:

- Cảnh báo và hướng dẫn: Doanh nghiệp phải có trách nhiệm cảnh báo về khả năng mất an ninh mạng trong quá trình sử dụng dịch vụ mà họ cung cấp, đồng thời hướng dẫn người sử dụng về biện pháp phòng ngừa cụ thể.

- Phương án và giải pháp: Doanh nghiệp cần xây dựng phương án và giải pháp phản ứng nhanh khi có sự cố an ninh mạng. Điều này bao gồm xử lý ngay điểm yếu, lỗ hổng bảo mật, mã độc, tấn công mạng, xâm nhập mạng và các rủi ro an ninh khác. Trong trường hợp xảy ra sự cố, doanh nghiệp phải triển khai phương án khẩn cấp và báo cáo ngay lập tức với lực lượng chuyên trách bảo vệ an ninh mạng theo quy định của Luật.

- Bảo đảm an ninh thông tin: Doanh nghiệp cần áp dụng các giải pháp kỹ thuật và các biện pháp khác để bảo đảm an ninh trong quá trình thu thập thông tin. Đồng thời, họ phải ngăn chặn nguy cơ lộ, lọt, tổn hại hoặc mất dữ liệu. Trong trường hợp sự cố liên quan đến thông tin người sử dụng xảy ra hoặc có nguy cơ xảy ra, doanh nghiệp cần lập tức đưa ra giải pháp ứng phó, thông báo cho người sử dụng và báo cáo với lực lượng chuyên trách bảo vệ an ninh mạng theo quy định của Luật.

- Phối hợp với Lực lượng chuyên trách: Doanh nghiệp phải phối hợp và tạo điều kiện cho lực lượng chuyên trách bảo vệ an ninh mạng trong quá trình thực hiện nhiệm vụ bảo vệ an ninh mạng, đảm bảo sự hiệu quả và toàn diện trong công tác bảo mật thông tin trên không gian mạng.

Doanh nghiệp cung cấp dịch vụ trên không gian mạng tại Việt Nam không chỉ đóng vai trò quan trọng trong việc cung cấp các tiện ích và dịch vụ cho người sử dụng mà còn phải chịu trách nhiệm lớn đối với bảo vệ an ninh mạng. Theo quy định tại điểm b khoản 1 Điều 41 của Luật An ninh mạng 2018, doanh nghiệp này phải chủ động và linh hoạt trong việc đối mặt với các tình huống sự cố an ninh mạng.

Đặc biệt, khi xảy ra sự cố an ninh mạng, doanh nghiệp cần ngay lập tức triển khai phương án khẩn cấp và thực hiện các biện pháp ứng phó thích hợp để giảm thiểu tổn thất và nguy cơ lan rộng của sự cố. Điều này bao gồm xử lý ngay các điểm yếu, lỗ hổng bảo mật, mã độc, tấn công mạng, hay xâm nhập mạng. Quan trọng hơn nữa, doanh nghiệp phải tức thì báo cáo với lực lượng chuyên trách bảo vệ an ninh mạng theo quy định cụ thể của Luật.

Thực hiện đúng và nhanh chóng những bước này không chỉ giúp doanh nghiệp giữ vững an ninh mạng nội bộ mà còn đóng góp vào việc duy trì an ninh toàn cầu của không gian mạng. Đồng thời, việc báo cáo kịp thời và chính xác giúp chính quyền và lực lượng chuyên trách có cơ hội phản ứng nhanh chóng và hiệu quả, đảm bảo an ninh thông tin và quản lý rủi ro một cách toàn diện. Như vậy, trách nhiệm của doanh nghiệp không chỉ là bảo vệ thông tin của bản thân mình mà còn đóng góp tích cực vào sự ổn định và an ninh của không gian mạng trên toàn quốc.

Xem thêm: Thời gian lưu trữ nhật ký hoạt động của hệ thống thông tin an ninh quốc gia

Liên hệ qua 1900.6162 hoặc lienhe@luatminhkhue.vn