Tải bản đầy đủ (.doc) (47 trang)
  1. Trang chủ
    2. >>
  2. Cao đẳng - Đại học
    3. >>
  3. Luật

Nghiên cứu, rà soát chính sách pháp luật hiện hành của Việt Nam về vấn đề an toàn thông tin và các thực tiễn mất an toàn thông tin tại Việt Nam do thiếu cơ sở pháp lý

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (603.96 KB, 47 trang )

BỘ THÔNG TIN VÀ TRUYỀN THÔNG
TỔ THƯỜNG TRỰC XÂY DỰNG LUẬT AN TOÀN THÔNG TIN

BÁO CÁO CHUYÊN ĐỀ
Nghiên cứu, rà soát chính sách pháp luật hiện hành của
Việt Nam về vấn đề an toàn thông tin và các thực tiễn
mất an toàn thông tin tại Việt Nam do thiếu cơ sở pháp lý

Hà Nội, tháng 3 năm 2014


MỤC LỤC
I. LỜI MỞ ĐẦU....................................................................................................2
II. ĐẶT VẤN ĐỀ..................................................................................................3
III. NỘI DUNG NGHIÊN CỨU...........................................................................5
III.1. Rà soát hệ thống văn bản pháp luật hiện hành tại Việt Nam về an toàn
thông tin............................................................................................................5
III.1.1. Chủ trương, đường lối, chính sách của Đảng và Nhà nước về an
toàn thông tin................................................................................................5
III.1.2. Nội dung cam kết trong các điều ước quốc tế..................................6
III.1.3. Văn bản mức luật và dưới luật về an toàn thông tin........................7
III.1.4. Những bất cập trong hệ thống văn bản pháp luật hiện hành về an
toàn thông tin................................................................................................9
III.2. Phân tích thực tiễn mất an toàn thông tin tại Việt Nam do thiếu cơ sở
pháp lý.............................................................................................................11
III.2.1. Do sự thiếu đồng bộ và bao quát trong các văn bản pháp luật liên
quan đến an toàn thông tin trong các lĩnh vực kinh tế, xã hội, an ninh,
quốc phòng..................................................................................................11
III.2.2. Do chế tài chưa đủ mạnh đối với hành vi gây mất an toàn thông tin
15
III.2.3. Do chưa quy định rõ quyền hạn, trách nhiệm pháp lý của các cá


nhân, tổ chức, doanh nghiệp, nhà nước trong việc áp dụng, thực thi các
biện pháp, chương trình đảm bảo an toàn thông tin..................................18
III.2.4. Do chưa có quy định về đảm bảo an toàn thông tin đối với các cơ
sở hạ tầng thông tin quan trọng của quốc gia, các tài nguyên và cơ sở dữ
liệu dùng chung..........................................................................................19
III.2.5. Chưa có định hướng, chính sách và cơ chế hỗ trợ phát triển rõ ràng
đối với doanh nghiệp và thị trường an toàn thông tin trong nước.............22
III.2.6. Quy định về đầu tư vào an toàn thông tin và kinh doanh trong lĩnh
vực an toàn thông tin chưa rõ ràng.............................................................23
IV. KẾT LUẬN VÀ KIẾN NGHỊ......................................................................23
Phụ lục 1: Rà soát hệ thống văn pháp pháp luật tại Việt Nam trong lĩnh vực
ATTT...................................................................................................................25

1


I.

LỜI MỞ ĐẦU

Sự ra đời và phát triển của mạng Internet đã và đang đóng góp rất nhiều giá trị
cho sự phát triển kinh tế, xã hội nhưng cũng có nhiều ảnh hưởng tiêu cực từ những mặt
trái của Internet. Xuất hiện nhiều hành vi lợi dụng mạng Internet để truyền đưa, lưu
trữ, phát tán thông tin sai trái, độc hại, xuyên tạc chống phá đường lối, chủ trương,
chính sách của Đảng, Nhà nước, đe dọa an ninh quốc gia. Các cá nhân, tổ chức luôn
phải đối mặt với nhiều loại hình tấn công trên mạng làm gián đoạn và phá rối hoạt
động của các hệ thống thông tin, phần mềm gián điệp, tấn công hệ thống ngân hàng và
mạng bán hàng trực tuyến, tin nhắn lừa đảo… Tình hình tấn công mạng đã diễn ra trên
phạm vi toàn cầu với mức độ ngày càng mãnh liệt, tập trung vào các cơ sở quốc
phòng, an ninh, tài chính, ngân hàng và các lĩnh vực quan trọng khác.

Trong khi đó, hiện nay, chưa có một văn bản luật thống nhất bao trùm để điều
chỉnh toàn diện hoạt động an toàn thông tin mạng. Công tác đảm bảo an toàn thông tin
được quy định ở từng phạm vi hẹp theo lĩnh vực chuyên ngành như Luật Công nghệ
thông tin, Luật Viễn thông, Luật Giao dịch điện tử, Luật Cơ yếu, Luật Công nghệ cao,
Luật Chuyển giao công nghệ ...và các quy định đó còn mang tính chung chung, chưa
đề cập cụ thể về các hành vi và đối tượng chịu sự điều chỉnh. Để giải quyết thực trạng
nêu trên, Nghị quyết Hội nghị lần thứ 4 BCH TW khóa XI số 13-NQ/TW ngày
16/01/2012 đã xác định việc chú trọng phát triển 10 lĩnh vực hạ tầng và bảo đảm an
toàn, an ninh thông tin cho các hệ thống hạ tầng là nhiệm vụ hết sức quan trọng và cấp
thiết nhằm tháo gỡ “điểm nghẽn” của quá trình phát triển. Chỉ thị số 28-CT/TW ngày
16/9/2013 của Ban Bí thư về tăng cường công tác bảo đảm an toàn thông tin mạng trong đó
có xác định nhiệm vụ: “Xây dựng và ban hành Luật an toàn thông tin và các văn bản
hướng dẫn theo hướng quy định về trách nhiệm bảo đảm an toàn thông tin đối với tổ chức,
cá nhân; các biện pháp bảo đảm an toàn thông tin; các chế tài xử lý vi phạm an toàn thông
tin”;
Từ những căn cứ nêu trên và đứng trước các yêu cầu khách quan của công tác
xây dựng pháp luật, thi hành pháp luật về an toàn thông tin và các yêu cầu khách quan
của thực tiễn đời sống kinh tế - xã hội Việt Nam đã cho thấy việc xây dựng và ban
hành dự thảo Luật An toàn thông tin là cần thiết.

2


II.

ĐẶT VẤN ĐỀ

Ngày nay, xã hội loài người ngày càng phụ thuộc nhiều vào mạng và hệ thống
thông tin. Trong xu thế hội nhập kinh tế thế giới và toàn cầu hóa, công nghệ thông tin
và truyền thông (CNTT&TT) đã trở thành một động lực quan trọng để thúc đẩy sự

phát triển của toàn bộ xã hội và đang làm biến đổi sâu sắc đời sống kinh tế, văn hóa,
xã hội của thế giới hiện đại. An toàn thông tin ngày càng trở thành một vấn đề nóng vì
có ảnh hưởng lớn đến sự phát triển của CNTT&TT và có tác động không nhỏ đến mọi
lĩnh vực. Đảm bảo an toàn thông tin là nhằm tạo môi trường thuận lợi cho ứng dụng và
phát triển CNTT&TT bền vững phục vụ sự nghiệp công nghiệp hóa, hiện đại hóa; bảo
vệ thành quả do CNTT&TT mang lại cho cộng đồng; tăng cường hiệu quả ứng dụng
CNTT&TT; giảm thiểu thiệt hại do sự cố mất an toàn thông tin gây ra; tạo môi trường
mạng an toàn cho cơ quan, tổ chức, doanh nghiệp và người dân.
Việt Nam đang trong thời kỳ đẩy mạnh công nghiệp hóa - hiện đại hóa với mục
tiêu đề ra tại Chiến lược Phát triển kinh tế xã hội giai đoạn 2011 - 2020 đã được Đại
hội Đại biểu toàn quốc lần thứ XI của Đảng Cộng Sản Việt Nam thông qua vào tháng
01/2011 là “Phấn đấu đến năm 2020 nước ta cơ bản trở thành nước công nghiệp theo
hướng hiện đại” nhờ “Phát triển mạnh mẽ lực lượng sản xuất với trình độ khoa học,
công nghệ ngày càng cao”. Trong suốt quá trình phát triển từ Đại hội Đảng VIII đến
nay, công nghệ thông tin (CNTT) luôn khẳng định vai trò là động lực đẩy nhanh tốc độ
công nghiệp hóa - hiện đại hóa, là công cụ hữu hiệu tạo ra những chuyển biến tích cực
trong tất cả các lĩnh vực, các ngành, góp phần quan trọng vào phát triển kinh tế - xã
hội, an ninh quốc phòng. Thực tế đã chứng minh, CNTT không chỉ đơn thuần là thúc
đẩy sử dụng, ứng dụng các công cụ công nghệ (thiết bị phần cứng, phần mềm) để đơn
giản hóa hoạt động nghiệp vụ mà còn là đảm bảo việc vận hành của hệ thống thông tin
được liên tục và thông suốt, từ đó nâng cao hiệu suất, hiệu quả hoạt động. Rất nhiều
chuyên gia quốc tế và trong nước đã nhận định “Sự sẵn sàng, tính toàn vẹn, tính xác
thực và tính bảo mật của dữ liệu trong không gian mạng là vấn đề sống còn của thập
kỷ XXI”.
Tuy nhiên, công nghệ thông tin và truyền thông (CNTT&TT) hàng năm luôn
phải đối mặt với nhiều loại hình tấn công trên mạng ngày càng thường xuyên hơn như
làm biến dạng trang tin, lừa đảo trên mạng, tấn công từ chối dịch vụ, phát tán mã độc
hại và virút máy tính, thư rác, đánh cắp thông tin, phá hoại dữ liệu, làm gián đoạn và
phá rối hoạt động của các hệ thống thông tin, phần mềm gián điệp, tấn công hệ thống
ngân hàng và mạng bán hàng trực tuyến, nhắn tin lừa đảo, đe dọa, tống tiền,…

Quá trình công nghiệp hóa, hiện đại hóa cùng với sự gia tăng phát triển
CNTT&TT càng làm tăng nguy cơ, hiểm họa mất an toàn thông tin. Mạng thông tin
3


càng phát triển mở rộng, số người sử dụng mạng càng nhiều, tốc độ truy nhập càng
cao thì nguy cơ mất an toàn thông tin và mức độ thiệt hại do các tấn công càng lớn. Do
thông tin được truyền lan tỏa nhanh chóng như hiện nay, bất cứ thông tin sai lệch nào
cũng sẽ gây ra các hậu quả nặng nề đối với xã hội và nhà nước. Ngày càng xuất hiện
xu hướng tin tặc chuyên nghiệp hoạt động có tổ chức, với nhiều hình thức và phương
tiện tinh vi hơn, diễn biến phức tạp hơn. Ngoài những tấn công đánh cắp thông tin, phá
hoại, gây rối, ngày càng có thêm nhiều tấn công mang tính vụ lợi. Các sự cố an toàn
thông tin đã tăng lên nhanh chóng trong thời gian qua, kéo theo những thiệt hại về vật
chất, tiền bạc và những thiệt hại vô hình khác, gây ra ảnh hưởng đến hoạt động của các
cơ quan nhà nước, thiệt hại cho doanh nghiệp và người dân, bức xúc cho xã hội.
Các sự cố mất an toàn thông tin ngăn cản sự phát triển của CNTT&TT, làm mất
lòng tin của đối tác đầu tư nước ngoài, ảnh hưởng không nhỏ đến giao dịch qua mạng,
gây thất thoát trong và ngoài nước. Nguy cơ, hiểm họa mất an toàn thông tin đã trở
thành thách thức lớn đối với mỗi quốc gia, trong đó có Việt Nam trong quá trình phát
triển bền vững. An toàn thông tin là lĩnh vực khá mới và ngày càng phức tạp đối với
Việt Nam, đòi hỏi cần tiếp tục có sự quan tâm chỉ đạo của Đảng và Nhà nước trong
lĩnh vực an toàn thông tin. Nhiệm vụ quản lý nhà nước và nhiệm vụ nâng cao ý thức
cộng đồng trong lĩnh vực này ngày càng trở nên cấp thiết.
Trong những năm gần đây, Chính phủ đã chỉ đạo các bộ, ngành và địa phương
tổ chức thực hiện nhiều chương trình, dự án tăng cường đảm bảo an toàn thông tin.
Việc đầu tư trang bị các hệ thống thiết bị bảo vệ, đưa ra các chính sách, tăng cường
các biện pháp quản lý, các chương trình nâng cao nhận thức đã góp phần quan trọng
nâng cao khả năng đảm bảo an toàn thông tin.
Tuy nhiên, công tác quản lý về an toàn thông tin vẫn còn những thách thức và
bất cập, chủ yếu đến từ việc thiếu căn cứ pháp lý và các công cụ quản lý hữu hiệu.

Công tác điều phối ứng cứu, hỗ trợ vẫn còn gặp nhiều khó khăn do thiếu cơ sở pháp lý.
Công tác quản lý đảm bảo an toàn thông tin còn chưa thống nhất từ Trung ương đến
địa phương, còn thiếu cơ chế phối hợp và tính đồng bộ. Trong khi đó, ở khía cạnh tài
chính, đầu tư cho an toàn thông tin còn chưa đủ mức cần thiết. Nhận thức cộng đồng
về an toàn thông tin còn nhiều hạn chế. Các biện pháp chế tài còn thiếu, một số biện
pháp đã có nhưng chưa cụ thể. An toàn thông tin là lĩnh vực mới, có tính xuyên suốt
mọi lĩnh vực đời sống xã hội, đòi hỏi có sự điều chỉnh mới của pháp luật. Những hạn
chế trên ảnh hưởng nhiều đến công tác quản lý an toàn thông tin, đặc biệt với sự tiến
triển phức tạp của tình hình an toàn thông tin hiện nay.
Những hạn chế trong công tác quản lý nhà nước đối với an toàn thông tin là
một trong những nguyên nhân chính khiến công tác đảm bảo an toàn thông tin gặp
nhiều khó khăn và thách thức, đặc biệt trong bối cảnh công nghệ ngày càng phát triển
4


và các loại tội phạm công nghệ cao ngày gia tăng với phương thức và thủ đoạn ngày
càng tinh vi. Chuyên đề này tập trung nghiên cứu, rà soát chính sách pháp luật hiện
hành của Việt Nam về vấn đề an toàn thông tin và phân tích thực tiễn mất an toàn
thông tin tại Việt Nam trên khía cạnh thiếu cơ sở pháp lý.

III.

NỘI DUNG NGHIÊN CỨU
III.1. Rà soát hệ thống văn bản pháp luật hiện hành tại Việt Nam về
an toàn thông tin.
III.1.1.
Chủ trương, đường lối, chính sách của Đảng và Nhà
nước về an toàn thông tin

Đảng và Nhà nước ta đã rất coi trọng công tác đảm bảo an toàn thông tin từ

nhiều năm qua, đặc biệt trong quá trình phát triển và ứng dụng công nghệ thông tin.
Chỉ thị 58-CT/TW ngày 17 tháng 10 năm 2000 của Ban Chấp hành Trung Ương Đảng
Cộng sản Việt Nam về đẩy mạnh ứng dụng và phát triển công nghệ thông tin phục vụ
sự nghiệp công nghiệp hóa, hiện đại hóa đã nhấn mạnh mục tiêu cần “có các biện pháp
chủ động và các quy định cụ thể về an toàn và an ninh thông tin” nhằm tạo môi trường
thuận lợi cho ứng dụng và phát triển công nghệ thông tin. “Phát triển, quản lý viễn
thông và Internet đồng thời phải có biện pháp toàn diện, đồng bộ để ngăn chặn những
hành vi lợi dụng gây ảnh hưởng đến an ninh quốc gia và việc giữ gìn bản sắc văn hóa
dân tộc”.
Nghị quyết số 08-NQ/TW ngày 05 tháng 02 năm 2007 của Ban Chấp hành
Trung ương Đảng Cộng sản Việt Nam tại Hội nghị Trung ương khóa X về một số chủ
trương, chính sách lớn để phát triển kinh tế cũng đã nêu: “…có đối sách đảm bảo an
ninh chính trị, an ninh tư tưởng, an ninh thông tin, an ninh kinh tế - xã hội. Đẩy mạnh
phòng chống tội phạm có tổ chức, các hành vi tham nhũng, buôn lậu, gian lận thương
mại… Xây dựng cơ chế xử lý các vấn đề xuyên biên giới và an ninh phi truyền thống”.
Nghị quyết của Đại hội đại biểu toàn quốc lần thứ XI Đảng Cộng sản Việt Nam
cũng đã nhấn mạnh nguy cơ tiếp tục gia tăng “các yếu tố đe dọa an ninh phi truyền
thống, tội phạm công nghệ cao trong các lĩnh vực tài chính - tiền tệ, điện tử - viễn
thông, sinh học, môi trường…” và đặt ra những nhiệm vụ chủ yếu về đảm bảo phát
triển bền vững, tăng cường tiềm lực ngăn chặn, đối phó.
Nghị quyết Hội nghị lần thứ 4 BCH TW khóa XI số 13-NQ/TW ngày
16/01/2012 đã xác định việc chú trọng phát triển 10 lĩnh vực hạ tầng và bảo đảm an
toàn, an ninh thông tin cho các hệ thống hạ tầng là nhiệm vụ hết sức quan trọng và cấp
thiết nhằm tháo gỡ “điểm nghẽn” của quá trình phát triển.
Chỉ thị số 28-CT/TW ngày 16/9/2013 của Ban Bí thư về tăng cường công tác bảo
đảm an toàn thông tin mạng trong đó có xác định nhiệm vụ: “Xây dựng và ban hành Luật
5


an toàn thông tin và các văn bản hướng dẫn theo hướng quy định về trách nhiệm bảo đảm

an toàn thông tin đối với tổ chức, cá nhân; các biện pháp bảo đảm an toàn thông tin; các
chế tài xử lý vi phạm an toàn thông tin”;
Ngày 13/01/2010, Thủ tướng Chính phủ đã phê duyệt Quy hoạch phát triển an
toàn thông tin số quốc gia đến năm 2020. Mục tiêu tổng quát của quy hoạch cho đến
năm 2020 được xác định bao gồm việc đảm bảo an toàn mạng và hạ tầng thông tin;
đảm bảo an toàn cho dữ liệu và ứng dụng công nghệ thông tin; phát triển nguồn nhân
lực và nâng cao nhận thức về an toàn thông tin; hoàn thiện môi trường pháp lý về an
toàn thông tin.
Quy hoạch cũng đề ra các mục tiêu phát triển cụ thể đến năm 2015 về việc đảm
bảo an toàn thông tin cho cơ sở hạ tầng thông tin quốc gia, đảm bảo an toàn dữ liệu và
ứng dụng công nghệ thông tin cho các cơ quan nhà nước ở Trung ương, địa phương và
toàn xã hội, đảm bảo an toàn cho giao dịch điện tử, phát triển nhân lực và nâng cao
nhận thức của xã hội về an toàn thông tin, hoàn thiện các cơ sở pháp lý và hệ thống
tiêu chuẩn quốc gia, khuyến khích nghiên cứu phát triển, khuyến khích và hỗ trợ xây
dựng các sản phẩm nội địa về an toàn thông tin.
Sự quan tâm chỉ đạo của Chính phủ về an toàn thông tin còn thể hiện qua các
cam kết về tăng cường an toàn thông tin trong khu vực ASEM tại Hội nghị cấp cao
ASEM 5; Chủ trương thành lập Cục An toàn thông tin; Chủ trương đầu tư cho các dự
án an toàn thông tin; Các cam kết quốc tế về đảm bảo an toàn thông tin.
III.1.2.

Nội dung cam kết trong các điều ước quốc tế

Kể từ khi mở cửa hội nhập, tham gia vào nhiều tổ chức quốc tế quan trọng, Việt
Nam đã rất tích cực tham gia xây dựng và đóng góp ý kiến, sáng kiến xây dựng các
Nghị quyết của các hội nghị quốc tế, trong đó có các nội dung về đảm bảo an toàn
thông tin. Các văn kiện điển hình gồm:
- Các Nghị quyết của Đại hội đồng Liên hợp quốc và các Nghị quyết của Hội
đồng Bảo an LHQ.
- Nghị quyết Hội nghị cấp cao 10 của các nước APEC ở Lốt Ca-bốt, Mê-hi-cô

năm 2002 thông qua tuyên bố chung về an toàn thông tin, trong đó có nêu các vấn đề
về xây dựng luật và các văn bản pháp luật, công ước quốc tế về an toàn thông tin.
- Nghị quyết Hội nghị Cấp cao ASEM 5 (2004 tại Hà Nội) thông qua 9 sáng
kiến hợp tác, trong đó có sáng kiến 6 là về tăng cường an toàn mạng trong khu vực
ASEM.
- Nghị quyết Hội nghị thượng đỉnh về Xã hội thông tin (WSIS) 2005 tại
Tunisia.
6


- Các cam kết trong Liên minh Viễn thông Quốc tế (ITU), Tổ chức Viễn thông
Châu Á - Thái Bình Dương (APT).
- Nghị quyết các Hội nghị quan chức cấp cao viễn thông (TELSOM) và Hội
nghị Bộ trưởng Viễn thông (TELMIN) của ASEAN tổ chức hàng năm đều có các
khuyến nghị cho các nước về lĩnh vực an toàn thông tin.
III.1.3.

Văn bản mức luật và dưới luật về an toàn thông tin

Ở mức luật, điển hình có:
Luật Giao dịch điện tử (51/2005/QH11 ngày 29/11/2005) Quy định về giao dịch
điện tử trong hoạt động của các cơ quan nhà nước; trong lĩnh vực dân sự, kinh doanh,
thương mại và các lĩnh vực khác do pháp luật quy định. Đây là luật đầu tiên được quốc
hội ban hành có nhấn mạnh đến khái niệm bảo đảm an ninh, an toàn và bảo mật thông
tin. Luật đưa ra các quy định chung nhất về trách nhiệm phải bảo vệ dữ liệu, bảo mật
thông tin của các tổ chức/cá nhân và xử phạt đối với những hành vi sử dụng, cung cấp,
tiết lộ thông tin bí mật nhà nước, thông tin cá nhân. Tuy nhiên phạm vi điều chỉnh giới
hạn ở các giao dịch điện tử, hình thức xử phạt cũng chưa rõ ràng.
Luật Viễn thông (số 41/2009/QH12 ngày 04/12/2009) quy định về hoạt động
viễn thông, bao gồm đầu tư, kinh doanh viễn thông; viễn thông công ích; quản lý viễn

thông; xây dựng công trình viễn thông; quyền và nghĩa vụ của tổ chức, cá nhân tham
gia hoạt động viễn thông. Quy định trách nhiệm chung của mọi tổ chức/cá nhân trong
việc đảm bảo an toàn cơ sở hạ tầng viễn thông và an ninh thông tin và đảm bảo bí mật
thông tin nhà nước, thông tin riêng, hợp pháp của các tổ chức, cá nhân. Phạm vi điều
chỉnh của Luật này là cơ sở hạ tầng viễn thông, thông tin được lưu, gửi, truyền trên
mạng viễn thông.
Luật công nghệ thông tin (67/2006/QH11 ngày 29/06/2006) quy định về hoạt
động ứng dụng và phát triển công nghệ thông tin, các biện pháp bảo đảm ứng dụng và
phát triển công nghệ thông tin, quyền và nghĩa vụ của cơ quan, tổ chức, cá nhân tham
gia hoạt động ứng dụng và phát triển công nghệ thông tin. Một lần nữa, Quốc hội
khẳng định quản lý an toàn, an ninh thông tin là một trong những nội dung quản lý nhà
nước về công nghệ thông tin và Bộ Thông tin và Truyền thông là đơn vị chủ trì thực
hiện quản lý nhà nước về Công nghệ thông tin. Luật đưa ra một số điều quy định trách
nhiệm bảo vệ cơ sở hạ tầng thông tin, bảo đảm thông tin riêng, hợp pháp khi lưu trữ,
trao đổi, truyền đưa trên môi trường mạng. Quy định cụ thể một số hành vi bị cấm do
gây hại đến thiết bị số của người khác, những hành vi xâm phạm thông tin riêng, hợp
pháp của các tổ chức, cá nhân.
Luật cơ yếu (05/2011/QH13) quy định về hoạt động cơ yếu; nhiệm vụ, quyền
hạn, nguyên tắc tổ chức và hoạt động của lực lượng cơ yếu; chế độ, chính sách đối với
7


người làm việc trong tổ chức cơ yếu; quyền, nghĩa vụ, trách nhiệm của cơ quan, tổ
chức, cá nhân liên quan đến hoạt động cơ yếu. Đưa ra một số quy định, chính sách mã
hóa chung áp dụng đối với thông tin bí mật nhà nước được lưu trữ, truyền trên các
phương tiện điện tử, tin học, mạng viễn thông…
Nhìn chung, các văn bản pháp luật trong lĩnh vực an toàn thông tin tới nay
thường được xây dựng tập trung vào nhiệm vụ quản lý của từng lĩnh vực đơn lẻ, chỉ đề
cập đến một số quy định về an toàn thông tin ở từng phạm vi hẹp, chưa đầy đủ, chưa
hoàn thiện. Tuy các văn bản luật nêu trên có nêu một số quy định về công tác đảm bảo

an toàn thông tin, song chưa đề cập đến đầy đủ và bao quát các lĩnh vực trong an toàn
thông tin.
Ở mức Nghị định và Thông tư điển hình có:
- Nghị định 64/2007/NĐ-CP quy định đảm bảo an toàn thông tin cho ứng dụng
công nghệ thông tin trong hoạt động của các cơ quan nhà nước với các Điều 41, 42,
43.
- Nghị định 63/2007/NĐ-CP về quy định xử phạt vi phạm hành chính trong lĩnh
vực công nghệ thông tin.
- Nghị định 97/2008/NĐ-CP về quản lý, cung cấp, sử dụng dịch vụ Internet và
thông tin điện tử nêu ra các điều khoản về an toàn thông tin tại Điều 4, Điều 7, Điều 8,
Điều 9, Điều 10.
- Nghị định 90/2008/NĐ-CP và Nghị định 77/2012/NĐ-CP sửa đổi, bổ sung
một số điều của Nghị định 90/2008/NĐ-CP quy định các nội dung cụ thể về chống thư
rác, bao gồm cả thư điện tử rác và tin nhắn rác.
Nghị định 73/2007/NĐ-CP ngày 08/5/2007 quy định về hoạt động nghiên cứu,
sản xuất, kinh doanh và sử dụng mật mã để bảo vệ thông tin không thuộc phạm vi bí
mật nhà nước.
Nghị định 72/2013/NĐ-CP ngày 15/7/2013 quy định về Quản lý, cung cấp, sử
dụng dịch vụ Internet và thông tin trên mạng.
- Thông tư 06/2008/TTLT-BTTTT-BCA về đảm đảm an toàn cơ sở hạ tầng và
an ninh thông internet trong hoạt động bưu chính, viễn thông và công nghệ thông tin.
Thông tư 27/2011/TT-BTTTT quy định về điều phối các hoạt động ứng cứu sự cố
mạng Internet Việt Nam.
- Quyết định số 1755/QĐ-TTg ngày 22/9/2010 của Thủ tướng Chính phủ phê
duyệt đề án “Đưa Việt Nam sớm trở thành nước mạnh về công nghệ thông tin và
truyền thông”, trong đó đã nêu các yêu cầu đảm bảo an toàn thông tin trong các nhiệm

8



vụ 3, nhiệm vụ 5, nhiệm vụ 6 đồng thời cũng đưa ra nhóm giải pháp 1 và nhóm giải
pháp 3 cho đảm bảo an toàn thông tin.
III.1.4.
Những bất cập trong hệ thống văn bản pháp luật hiện
hành về an toàn thông tin
Với nhiệm vụ được giao, hàng năm Bộ Thông tin và Truyền thông đều có báo
cáo tổng kết về kết quả quản lý, điều hành của Bộ, trong đó có kết quả thực hiện các
văn bản quy phạm pháp luật và công tác quản lý về an toàn thông tin. Việc thực hiện
các văn bản quy phạm pháp luật, bộ đều phối hợp với các Bộ, ngành, địa phương tổ
chức tổng kết việc thực hiện các văn bản quy phạm pháp luật, trên cơ sở đó trình
Chính phủ cho phép sửa đổi, bổ sung các văn bản quy phạm pháp luật hiện hành hoặc
xây dựng văn bản quy phạm pháp luật mới. Kết quả công tác quản lý, điều hành của
Bộ, kết quả rà soát các văn bản pháp luật hiện hành có liên quan và từ thực tiễn đòi hỏi
của quá trình phát triển kinh tế - xã hội đã cho thấy các văn bản pháp luật hiện hành có
liên quan đến công tác đảm bảo an toàn thông tin còn có những vấn đề bất cập nhất
định.
Thứ nhất, thiếu một văn bản luật thống nhất điều chỉnh toàn diện công tác đảm
bảo an toàn thông tin. Mặc dù Luật giao dịch điện tử, Luật viễn thông, Luật công nghệ
thông tin, Luật cơ yếu… đã được xây dựng và có ban hành một số quy định về an toàn
thông tin, song phạm vi điều chỉnh về khía cạnh đảm bảo an toàn thông tin còn tương
đối hẹp, ví dụ như: các giao dịch điện tử (luật giao dịch điện tử), cơ sở hạ tầng viễn
thông và thông tin lưu trữ, truyền tải trên mạng viễn thông (luật viễn thông), thông tin
bí mật quốc gia (luật cơ yếu)… Trong bối cảnh các nguy cơ thách thức không gian
mang ngày càng gia tăng với mức độ đe dọa ngày càng nghiêm trọng và sự phát triển
của xu hướng hội tụ viễn thông – internet - phát thanh truyền hình, rất nhiều vấn đề đặt
ra về việc làm thế nào bảo đảm được tính toàn vẹn, tính an toàn của thông tin trong
không gian mạng, hành lang pháp lý nào để thúc đẩy lưu trữ, trao đổi thông tin dưới
dạng số hóa (chính phủ điện tử, thương mại điện tử, kinh tế tri thức…), tính bảo mật
và riêng tư của thông tin, quyền sở hữu trí tuệ, an toàn, an ninh cơ sở hạ tầng trọng yếu
quốc gia và thông tin bí mật quốc gia khi lưu trữ, truyền dưới dạng điện tử. Chính vì

vậy, phạm vi điều chỉnh của luật về an toàn thông tin cần phải rộng hơn nữa (không
chỉ bó hẹp trong phạm vi các giao dịch điện tử, hạ tầng, thông tin viễn thông) và sâu
hơn nữa (không chỉ quy định chung về trách nhiệm bảo vệ cơ sở hạ tầng thông tin, bảo
đảm thông tin riêng, hợp pháp khi lưu trữ, trao đổi, truyền đưa trên môi trường mạng
như quy định của Luật công nghệ thông tin mà còn xem xét đến các quy định cụ thể
hơn về cơ chế điều phối, theo dõi giám sát tấn công mạng, quy trình quản lý, các vấn
đề về tài chính, đầu tư cho an toàn thông tin, xử phạt đối với các hành vi vi phạm…).
Nếu chỉ đơn thuần điều chỉnh, cập nhật, nâng cấp các quy định về đảm bảo an toàn
9


thông tin trong các văn bản đã được ban hành thì rất khó có thể giải quyết được một
cách toàn diện những bức xúc, khó khăn trong hiện tại, tương lai về các vấn đề mất an
toàn thông tin và chưa tạo ra được những chuyển biến về chất, cũng như không triển
khai được những giải pháp đồng bộ, có hệ thống về đảm bảo an toàn thông tin. Thêm
vào đó, nếu bổ sung thêm nhiều nội dung, nhiều chi tiết liên quan đến an toàn thông
tin trong những văn bản trên nhằm đáp ứng những yêu cầu đặt ra thì rõ ràng là bản
chất, nội dung, tên của những dự luật này bị thay đổi.
Thứ hai, các văn bản pháp luật đã có đề cập đến vấn đề đảm bảo an toàn thông
tin song các quy định còn rải rác, chưa đầy đủ, chưa bao quát được lĩnh vực an toàn
thông tin, có thể gây chồng chéo trong lĩnh vực quản lý điều hành trong lĩnh vực an
toàn thông tin, gây khó khăn nhất định khi áp dụng. Ví dụ, quy định về đảm bảo an
toàn, bí mật thông tin nằm rải rác ở các văn bản pháp luật ở các phạm vi và mức độ
khác nhau. Tương tự như vậy là các quy định về bảo đảm cơ sở hạ tầng thông tin.
Trong khi đó hệ thống văn bản vẫn còn những khoảng trống chưa được điều chỉnh;
Đặc biệt, trong trường hợp cùng một lúc xảy ra nhiều sự cố thì vẫn thiếu những quy
định quy định phối hợp thực thi tổng thể.
Thứ ba, quy định trong các lĩnh vực cụ thể của an toàn thông tin còn chung
chung, nhiều điểm chưa rõ ràng, khó tra cứu và vận dụng khi thực thi. Các quy định
pháp luật về các lĩnh vực trong quy trình phòng ngừa, khôi phục sự cố và điều phối các

hoạt động ứng cứu, huy động người, phương tiện cho công tác điều phối ứng cứu, mặc
dù đã được xây dựng, song đều nằm rải rác ở rất nhiều văn bản, khiến cho việc tra cứu,
vận dụng rất khó khăn.
Các quy định về khen thưởng, xử phạt về chế tài xử phạt đối với trường hợp
không thực hiện các mệnh lệnh, hướng dẫn của cơ quan có thẩm quyền khi xảy ra sự
cố đã được ban hành nhưng phạm vi áp dụng còn giới hạn và quy định còn chung
chung, khiến cho ý thức của người dân trong việc tuân thủ các biện pháp phòng chống
các nguy cơ gây mất an toàn thông tin là chưa cao. Hiện chính phủ đã ban hành một số
Nghị định về xử phạt vi phạm hành chính trong bảo đảm an toàn thông tin như Nghị
định số 28/2009/NĐ-CP Quy định xử phạt vi phạm hành chính trong quản lý, cung
cấp, sử dụng dịch vụ Internet và thông tin điện tử trên Internet; Nghị định số
63/2007/NĐ-CP Quy định xử phạt vi phạm hành chính trong lĩnh vực Công nghệ
thông tin,Nghị định số 83/2011/NĐ-CP Quy định xử phạt vi phạm hành chính trong
lĩnh vực Viễn thông. Các văn bản này đã tạo thuận lợi hơn cho việc triển khai các biện
pháp đảm bảo an toàn thông tin, do cơ quan thực hiện có chế tài để các cá nhân, tổ
chức phải tham gia và tuân thủ tích cực. Song, các văn bản về xử phạt vi phạm hành
chính này vẫn theo cách tiếp cận nhỏ lẻ, áp dụng với từng loại riêng biệt và cũng mới

10


chỉ giới hạn ở một số loại như can thiệp vào hệ thống, phát tán mã độc, nên mức độ tác
động còn hẹp.
Thứ tư, do sự phát triển nhanh của công nghệ và sự tăng trưởng đáng kể trong
việc sử dụng ứng dụng điện thoại thông minh và các thiết bị điện tử đang tạo ngày
càng gia tăng các lỗ hổng gây mất an toàn thông tin tuy các văn bản pháp luật đã cho
phép ngăn chặn và xử lý một số các hành vi gây mất an toàn thông tin, song việc ngăn
chặn, xử lý còn gặp nhiều khó khăn. Do đó cần xây dựng những giải pháp bảo vệ
mạng và hệ thống thông tin khỏi những nguy cơ bị tấn công, đồng thời có thể đáp ứng
nhu cầu ngày càng cao của xã hội. Đồng thời quy định các chế tài xử lý đối với các

loại tội phạm công nghệ cao.
Nhìn chung, các văn bản pháp luật trên phần lớn không chuyên biệt về an toàn
thông tin. Nội dung về an toàn thông tin chưa nhiều và còn nằm rải rác; chưa có tính
hệ thống; chưa bao quát được các lĩnh vực an toàn thông tin; chưa đáp ứng được tình
hình phát triển kinh tế - xã hội và công tác đảm bảo an toàn thông tin trong thực tiễn
hiện nay. Với các văn bản pháp luật hiện hành, vẫn chưa đủ cơ sở pháp lý để xây dựng
tiếp các chế tài xử lý đủ mức độ răn đe; chưa xác định rõ ràng, cụ thể trách nhiệm của
từng đối tượng liên quan trong hoạt động đảm bảo an toàn thông tin.
Như vậy có thể thấy, mặc dù các văn bản pháp lý đã tạo một hành lang pháp lý
cơ sở cho việc thực thi quản lý nhà nước về lĩnh vực an toàn thông tin; song như vậy là
chưa đầy đủ và chưa có tính hệ thống hóa, chưa toàn diện vẫn phải cần tiếp tục xây
dựng để hoàn thiện. Thiết nghĩ, an toàn thông tin có vị trí và tầm quan trọng đối với
đời sống - xã hội nói chung và đặc biệt đới với các cơ sở hạ tầng thông tin và hệ thống
thông tin trọng yếu quốc gia. Do đó, việc xây dựng Luật An toàn thông tin là cấp thiết
để hoàn thiện và tạo hành lang pháp lý toàn diện quy định các vấn đề trong lĩnh vực an
toàn thông tin.
III.2. Phân tích thực tiễn mất an toàn thông tin tại Việt Nam do
thiếu cơ sở pháp lý
III.2.1.
Do sự thiếu đồng bộ và bao quát trong các văn bản pháp
luật liên quan đến an toàn thông tin trong các lĩnh vực kinh tế, xã hội, an
ninh, quốc phòng
Các văn bản pháp luật tới nay thường được xây dựng tập trung vào nhiệm vụ
quản lý của từng lĩnh vực đơn lẻ, chỉ đề cập đến một số quy định về an toàn thông tin
ở từng phạm vi hẹp, chưa đầy đủ, chưa hoàn thiện.
Luật Giao dịch điện tử tạo ra khung pháp lý, công nhận hoạt động giao dịch
điện tử được thể hiện qua thông điệp dữ liệu, công nhận giá trị pháp lý của chữ ký điện
tử, tạo chỗ dựa pháp lý cho các bên giao dịch có sự tin cậy để ứng dụng giao dịch điện
11



tử. Luật cũng đề cập đến các vấn đề liên quan đến an ninh, an toàn giao dịch và cả vấn
đề bảo vệ thông tin cá nhân trong quá trình giao dịch, song các quy định chỉ nhằm vào
an ninh, an toàn trong giao dịch điện tử. Tuy nhiên, an toàn thông tin là một khái niệm
rộng bao hàm an toàn mạng và hạ tầng thông tin, an toàn máy tính, dữ liệu và ứng
dụng công nghệ thông tin. Luật Giao dịch điện tử chưa đề cập đến những vấn đề này.
Luật Viễn thông có Điều 5 và Điều 6 quy định một số nội dung về an toàn
thông tin. Điều 5 quy định về bảo đảm an toàn cơ sở hạ tầng viễn thông và an ninh
thông tin: Bảo đảm an toàn cơ sở hạ tầng viễn thông và an ninh thông tin là trách
nhiệm của mọi tổ chức, cá nhân. Điều 6 quy định về bảo đảm bí mật thông tin: Tổ
chức, cá nhân tham gia hoạt động viễn thông có trách nhiệm bảo vệ bí mật nhà nước
theo quy định của pháp luật về bảo vệ bí mật nhà nước. Luật Viễn thông chưa đề cập
đầy đủ đến các lĩnh vực trong an toàn thông tin.
Luật Công nghệ thông tin đã nêu ba nhóm hành vi phạm pháp liên quan đến an
toàn, an ninh thông tin trên mạng, bao gồm các nhóm hành vi nêu trong Điều 12:
Nhóm hành vi vi phạm pháp luật có tính chất chống lại con người; Về nhóm hành vi
xâm phạm tài sản của tổ chức, cá nhân; nhóm hành vi vi phạm pháp luật có tính chất
chống lại Chính phủ. Các nội dung liên quan đến an toàn thông tin có: Trách nhiệm
của tổ chức, cá nhân tham gia hoạt động ứng dụng và phát triển công nghệ thông tin
(Điều 9); Quản lý và sử dụng thông tin số (Điều 15); Truyền đưa thông tin số (Điều
16); Lưu trữ tạm thời thông tin số (Điều 17); Theo dõi, giám sát nội dung thông tin số
(Điều 20); Thu thập, xử lý và sử dụng thông tin cá nhân trên môi trường mạng(điều
21); Lưu trữ, cung cấp thông tin cá nhân trên môi trường mạng (Điều 22); Thiết lập
trang thông tin điện tử (Điều 23).
Tuy các văn bản luật nêu trên có nêu một số quy định về công tác đảm bảo an
toàn thông tin, song chưa đề cập đến đầy đủ và bao quát các lĩnh vực trong an toàn
thông tin. Do sự phát triển nhanh chóng của công nghệ thông tin, có nhiều vấn đề phát
sinh từ thực tiễn trong an toàn thông tin ở Việt nam còn chưa có cơ sở pháp lý điều
chỉnh. Đây là một trong những nguyên nhân khiến tổ chức, cá nhân chưa thực sự tin
tưởng tham gia hoạt động đảm bảo an toàn thông tin. Các cơ quan nhà nước chưa tạo

ra được hành lang pháp lý đồng bộ để triển khai các hoạt động tăng cường các biện
pháp đảm bảo an toàn thông tin, thu thập thông tin cảnh báo, điều phối công tác xử lý
ứng cứu…Các doanh nghiệp không mạnh dạn đầu tư phát triển các sản phẩm an toàn
thông tin và các ứng dụng thương mại qua mạng. Người dùng còn e ngại trong việc
chia sẻ thông tin qua mạng do lo sợ bị “lừa” hoặc bị “lợi dụng” trên môi trường mạng.
Đảm bảo an toàn thông tin trong cơ quan nhà nước vẫn chưa được thật sự chú trọng
đến như mong muốn. Kết quả rõ ràng nhất thể hiện qua các cuộc tấn công vào các
trang web của cơ quan nhà nước vẫn gia tăng.
12


Các quy định còn rải rác ở các văn bản pháp luật ở các phạm vi và mức độ khác
nhau, chưa đầy đủ, chưa bao quát được lĩnh vực an toàn thông tin, có thể gây chồng
chéo trong lĩnh vực quản lý điều hành trong lĩnh vực an toàn thông tin, gây khó khăn
nhất định khi áp dụng. Trong khi đó vẫn còn những khoảng trống chưa được điều
chỉnh, khi xảy ra sự cố thì vẫn thiếu các quy định phối hợp thực thi tổng thể. Số lượng
virút máy tính, phần mềm độc hại, tin nhắn lừa đảo… vẫn tiếp tục gia tăng song vẫn
chưa đủ các quy định pháp luật hỗ trợ công tác quản lý điều hành.

Hình 1 – Biểu đồ thống kê sự cố Phising, Deface, Malware năm 2012 (Nguồn: VNCERT)

Theo số liệu thống kê của VNCERT, chỉ riêng các tấn công lừa đảo qua mạng
điển hình được Trung tâm xử lý tính từ 01/01/2011 đến 30/12/2011 đã là 757 vụ, gấp 3
lần so với cả năm 2010. Tính đến cuối tháng 12/2012, số lượng các vụ tấn công lừa
đảo trên mạng là 2179 vụ, gấp 3 lần so với năm 2011. Lượng mã độc tăng với tốc độ
nhanh ở mức 45% trong vòng 3 năm qua (2010 - 2012). Hình thức tấn công từ chối
dịch vụ tăng mạnh, ở mức 8% năm 2010 và lên đến 16% năm 2012. Trong khi đó,
công tác quản lý về an toàn thông tin vẫn còn những thách thức và bất cập. Trên 40%
cơ quan, tổ chức còn chưa quan tâm đến an toàn thông tin. Gần 40% cơ quan, tổ chức
không báo cáo sự cố cho cơ quan quản lý do chưa nhận thức được tầm quan trọng

hoặc không nhận biết được tấn công. Gần 40% cơ quan tổ chức không có cán bộ
chuyên trách hoặc chỉ có cán bộ bán chuyên trách về an toàn thông tin.

13


Hình 2 - Tỷ lệ đơn vị có cán bộ chuyên trách về ATTT so với cán bộ bán chuyên trách và không
chuyên năm 2012 (Nguồn: VNCERT) – Tỷ lệ này không tăng trong 3 năm trở lại đây

Khảo sát của VNISA năm 2012 trên 100 website ngẫu nhiên thuộc khối nhà
nước thì có đến 80% không có các biện pháp bảo vệ tối thiểu chống lại dò quét IPS.
Khảo sát trên 300 doanh nghiệp của VNISA cho thấy có tới 73% doanh nghiệp hiện
không có chính sách an toàn thông tin, 45% doanh nghiệp không có quy trình xử lý sự
cố về an toàn thông tin, 23% không biết hệ thống mình có bị tấn công hay không. Bên
cạnh đó, công tác điều phối ứng cứu, hỗ trợ vẫn còn thiếu cơ sở pháp lý ở mức cao.
Công tác quản lý đảm bảo an toàn thông tin còn chưa thống nhất từ trung ương đến địa
phương, còn thiếu cơ chế phối hợp và tính đồng bộ. Đầu tư cho an toàn thông tin còn
chưa đủ mức cần thiết. Nhận thức cộng đồng về an toàn thông tin còn nhiều hạn chế.
Các biện pháp chế tài còn thiếu nhiều.

Hình 3 – Dự kiến tỷ lệ đầu tư cho CTTT tại các đơn vị GĐ 2011- 2015
(Nguồn: VNCERT – Tổng hợp từ kế hoạch CNTT và kế hoạch đầu tư cho Ứng dụng CNTT giai đoạn
2011 – 2015 của UBND các tỉnh, thành phố)

Ngoài ra, do thiếu văn bản pháp luật toàn diện và bao quát cho lĩnh vực an toàn
thông tin nên việc thực hiện các cam kết quốc tế sẽ gặp nhiều khó khăn. Nghị quyết
Hội nghị cấp cao 10 của các nước APEC ở Lốt Ca-bốt, Mê-hi-cô năm 2002 thông qua
tuyên bố chung về an toàn thông tin, trong đó có nêu các vấn đề về xây dựng luật và
các văn bản pháp luật, công ước quốc tế về an toàn thông tin. Các Nghị quyết của Đại
Hội đồng Liên hợp quốc, các Nghị quyết của Hội đồng Bảo an LHQ, Nghị quyết Hội

14


nghị Cấp cao ASEM 5 (2004 tại Hà Nội), các cam kết trong Liên minh Viễn thông
Quốc tế (ITU) đều thể hiện các nội dung cam kết quốc tế về tăng cường an toàn thông
tin trong khu vực và quốc tế. Thiếu một văn bản luật điều chỉnh toàn diện, đầy đủ về
an toàn thông tin sẽ gây khó khăn cho quá trình hội nhập kinh tế quốc tế, cản trở đầu
tư nước ngoài vào Việt Nam và gia công phần mềm cho nước ngoài, cản trở các giao
dịch thương mại trên mạng…
III.2.2.
toàn thông tin

Do chế tài chưa đủ mạnh đối với hành vi gây mất an

An toàn thông tin đang trở thành một lĩnh vực mới phát triển rất nhanh, trở
thành một trong những vấn đề nghiêm trọng nhất trong mối quan hệ pháp luật – xã hội
– con người mà các cơ quan, tổ chức, doanh nghiệp, cá nhân đều phải đối mặt.
Những vấn đề nổi cộm về an toàn thông tin phát sinh do công nghệ thông tin và
truyền thông đang ngày càng được ứng dụng rộng rãi trong mọi lĩnh vực chính trị-kinh
tế-xã hội-văn hóa-lịch sử-đời sống…đặc biệt trong các cơ sở hạ tầng thông tin trọng
yếu như: hoạt động của các cơ quan Chính phủ, Y tế, Dầu khí, Hệ thống cung cấp
nước, Năng lượng điện, Viễn thông, Tài chính Ngân hàng, Thương mại và Giao thông
vận tải. Hầu hết các hoạt động của các cơ quan, tổ chức, doanh nghiệp, cá nhân hàng
ngày đang ngày càng phụ thuộc vào công nghệ thông tin và truyền thông, vào kiến trúc
hạ tầng thông tin kết nối các hệ thống thông tin. Điều đó mang lại những lợi ích to lớn
cho cá nhân, cơ quan, tổ chức, doanh nghiệp; giảm thiểu chi phí và tăng năng suất lao
động; mang lại những hiệu quả kinh tế thiết thực.
Tuy nhiên, môi trường kết nối mạng toàn cầu làm phát sinh thêm nhiều nguy cơ
tiềm ẩn mới có thể gây ra nhiều hiểm họa lớn cho các cơ quan, tổ chức, doanh nghiệp,
và từng cá nhân trong xã hội. Theo thống kê của Công ty An ninh mạng BKAV, trong

tháng 3-2013 đã có 2.120 dòngvi-rút máy tính mới xuất hiện tại Việt Nam. Các vi-rút
này đã lây nhiễm hơn 3,7 triệu lượt máy tính. Cũng trong tháng 3, đã có 315 website
của các cơ quan, doanh nghiệp tạiViệt Nam bị tin tặc xâm nhập, trong đó có 10 trường
hợp gây ra bởi tin tặc trong nước, 305 trườnghợp do tin tặc nước ngoài. Cũng theo
BKAV, ước tính theo một cách đơn giản nhất, mức thiệt hại do vi-rút gây ra vào
khoảng 559 tỷ đồng mỗi tháng, tương ứng với 6.700 tỷ đồng mỗi năm. Con số thiệt hại
này được tính dựa trên mức thu nhập của người sử dụng máy tính và thời gianmà công
việc của họ bị gián đoạn do các trục trặc gây ra bởi vi-rút máy tính. Kết quả của
nghiêncứu cho thấy, mỗi người sử dụng máy tính tại Việt Nam đã bị thiệt hại trung
bình 1.342.000 đồng trong một năm.
Công nghệ phát triển rất nhanh đòi hỏi hệ thống luật pháp phải đi trước một
bước nhằm xác định rõ khung các hành vi, tạo nền tảng cơ sở để tiếp tục xây dựng các
chế tài xử lý vi phạm hành chính đầy đủ và cụ thể, đủ sức răn đe và định hướng hành
15


vi của xã hội hướng tới đảm bảo an toàn thông tin, lên án, tẩy chay các hành vi xâm
phạm an toàn thông tin.
Nhiều loại hình tấn công trên mạng ngày càng thường xuyên hơn như làm biến
dạng trang tin, lừa đảo trên mạng, tấn công từ chối dịch vụ, phát tán mã độc hại và
virút máy tính, thư rác, đánh cắp thông tin, phá hoại dữ liệu, làm gián đoạn và phá rối
hoạt động của các hệ thống thông tin, phần mềm gián điệp, tấn công hệ thống ngân
hàng và mạng bán hàng trực tuyến, nhắn tin lừa đảo, đe dọa, tống tiền, biến máy tính
của cá nhân, tổ chức thành nạn nhân, thành bàn đạp để tấn công các đối tượng khác,
thành mạng máy tính ma để tấn công trên diện rộng…

Hình 4 – Lỗi bảo mật ở cổng thông tin điện tử của Việt Nam năm 2010 (Nguồn: VNCERT)

Các vụ tấn công điển hình là thay đổi trang chủ của báo điện tử Vietnamnet
tháng 11/2010, đột nhập và thay đổi trang chủ của Bộ Giáo dục và đào tạo tháng

11/2006, thay đổi nội dung và mã truy cập của 38 hồ sơ trong trang chủ của Sở Kế
hoạch đầu tư TP Hồ Chí Minh tháng 7/2006, tấn công chiếm đoạt tên miền làm tê liệt
khoảng 10.000 trang chủ thuộc Công ty PAViệt Nam tháng 7/2008, tấn công chiếm
đoạt thẻ tín dụng và chuyển tiền trái phép qua mạng Internet, tấn công trang chủ của
Ngân hàng Techcombank tháng 7/ 2008, tấn công phá sập Cổng thông tin điện tử của
tỉnh Nam Định tháng 7/2008, tấn công vào website bộ Nông nghiệp đầu năm 2011…
Khi điều tra truy tìm được thủ phạm thì chưa đủ cơ sở pháp lý để xử phạt, mức xử phạt
còn chưa tương xứng, chưa đủ sức răn đe. Khi có sự cố mất an toàn thông tin do nhà
cung cấp dịch vụ mạng, khách hàng không biết căn cứ vào đâu để khiếu nại. Khi nhà
cung cấp dịch vụ gặp oan ức vì sự cố trên mạng cũng không biết kêu ai.
16


Nhiều dịch vụ và ứng dụng mạng mới ngày càng gia tăng theo sự phát triên của
công nghệ thông tin và truyền thông, điển hình là các dịch vụ trên nền tảng điện toán
đám mây, tính toán lưới, lưu trữ dữ liệu trên mạng, các dịch vụ trên nền mạng 3G,
mạng thế hệ mới…kéo theo nhiều hành vi vi phạm an toàn thông tin mới tinh vi hơn,
phức tạp hơn, có sự liên quan đến nhiều thành phần, đối tượng hơn, với phạm vi và
quy mô lớn hơn. Hệ thống giám sát vi-rút của BKAV phát hiện hàng loạt thư điện tử
đính kèm file văn bản có chứa phần mềm gián điệp được gửi tới các cơ quan, doanh
nghiệp trong cả nước. Các file văn bản từ trước đến nay vẫn được cho là an toàn nên
hầu hết người nhận đã mở file đính kèm và bị nhiễm vi-rút dạng spyware khai thác lỗ
hổng của phần mềmMicrosoft Office (bao gồm cả Word, Excel và PowerPoint). Sau
khi xâm nhập, vi-rút này âm thầm kiểmsoát toàn bộ máy tính của nạn nhân, mở cổng
hậu (backdoor), cho phép tin tặc điều khiển máy tính nạn nhân từ xa. Từ đó, tin tặc sẽ
tải các vi-rút khác về máy tính để ghi lại thao tác bàn phím, chụp màn hình, lấy cắp tài
liệu, tài khoản ngân hàng...
Các quy định trong các văn bản pháp luật hiện có chưa đủ để điều chỉnh những
hành vi, nguy cơ xâm phạm an toàn thông tin mới phát sinh trên thực tế. Ngày càng
xuất hiện xu hướng tin tặc chuyên nghiệp hoạt động có tổ chức, với nhiều hình thức và

phương tiện tinh vi hơn, diễn biến phức tạp hơn. Ngoài những tấn công đánh cắp
thông tin, phá hoại, gây rối, ngày càng có thêm nhiều tấn công mang tính vụ lợi. Các
sự cố an toàn thông tin đã tăng lên nhanh chóng trong thời gian qua, kéo theo những
thiệt hại về vật chất, tiền bạc và những thiệt hại vô hình khác, gây ra ảnh hưởng đến
hoạt động của các cơ quan nhà nước, thiệt hại cho doanh nghiệp và người dân, bức xúc
cho xã hội. Số trang web Việt Nam bị tấn công vẫn tiếp tục tăng rất nhanh với 300
website trong năm 2011 lên đến gần 2500 website trong năm 2012 (Theo ghi nhận của
Microsoft).
Thực tế nêu trên đã đưa ra một nhu cầu rất rõ ràng: Cần phải phân định rõ các
hành vi cần sự điều chỉnh và tuân thủ của pháp luật về an toàn thông tin, đáp ứng sự
phát triển nhanh chóng của công nghệ thông tin và truyền thông, đáp ứng xu thế hội tụ
công nghệ và xu thế hội nhập kinh tế quốc tế. Xác định rõ các hành vi vi phạm an toàn
thông tin, các nguy cơ rò rỉ, kẽ hở có thể dẫn đến vi phạm an toàn thông tin cấu thành
tội phạm máy tính. Tạo nền tảng cơ sở để tiếp tục xây dựng các chế tài xử lý vi phạm
hành chính đầy đủ và cụ thể, đủ sức răn đe và định hướng hành vi của xã hội hướng tới
đảm bảo an toàn thông tin, lên án, tẩy chay các hành vi xâm phạm an toàn thông tin.

17


III.2.3.
Do chưa quy định rõ quyền hạn, trách nhiệm pháp lý
của các cá nhân, tổ chức, doanh nghiệp, nhà nước trong việc áp dụng, thực
thi các biện pháp, chương trình đảm bảo an toàn thông tin
Phần lớn các văn bản pháp luật hiện hành thường chỉ nêu quyền hạn và trách
nhiệm pháp lý của các cá nhân, tổ chức, doanh nghiệp, nhà nước về đảm bảo an toàn
thông tin trong một số lĩnh vực chuyên biệt. Luật Công nghệ thông tin nêu quyền hạn
và trách nhiệm của các cá nhân, tổ chức trong: tham gia hoạt động ứng dụng và phát
triển công nghệ thông tin; quản lý và sử dụng thông tin số; truyền đưa thông tin số; lưu
trữ tạm thời thông tin số; theo dõi, giám sát nội dung thông tin số; thu thập, xử lý và sử

dụng thông tin cá nhân; lưu trữ, cung cấp thông tin cá nhân. Đây là luật có nhiều điều
khoản liên quan đến an toàn thông tin nhất.
Tuy nhiên, Luật Công nghệ thông tin và các luật khác còn chưa quy định rõ
trách nhiệm và quyền lợi của các cá nhân, tổ chức, doanh nghiệp tham gia vào cung
cấp các dịch vụ đảm bảo an toàn thông tin thiếu cơ sở pháp lý về trách nhiệm chủ quản
hệ thống. Các văn bản pháp luật hiện hành cũng chưa nêu trách nhiệm và quyền hạn
đối với việc đảm bảo an toàn hệ thống thiết bị, an toàn mạng, an toàn cơ sở dữ liệu…
Chính vì những bất cập đó, kể từ 2008 tới nay, mỗi năm vẫn có khoảng từ 35%
đến 45% cơ quan, doanh nghiệp trên toàn quốc bị tấn công. Tính đến tháng 11/2011,
vẫn còn tới trên 40% trang chủ và cổng thông tin điện tử của các cơ quan, doanh
nghiệp luôn tồn tại các lỗ hổng bảo mật nghiêm trọng có thể bị tin tặc lợi dụng tấn
công. Việc một số trang báo điện tử, trang chủ bị đánh sập, thay đổi nội dung là một
bài học về sự mất cảnh giác, xem nhẹ công tác đảm bảo an toàn thông tin cho các hệ
thống trang tin ở Việt Nam hiện nay.
Bên cạnh đó, quyền và lợi ích hợp pháp của các cá nhân, tổ chức, doanh nghiệp
tham gia vào cung cấp các dịch vụ đảm bảo an toàn thông tin chưa được đảm bảo nên
không khuyến khích được nguồn lực đầu tư của xã hội cho phát triển an toàn thông tin,
không thúc đẩy được các hoạt động công ích về an toàn thông tin.
Các dự án đầu tư trang bị hệ thống thông tin, phát triển mạng chưa quan tâm
đúng mức đến các biện pháp đảm bảo an toàn thông tin do thiếu quy định pháp lý và
do tư tưởng tiết kiệm chi phí nhỏ đầu tư cho an toàn thông tin, dẫn đến những thiệt hại
lớn khi mất toàn bộ dữ liệu hoặc ngưng trệ hoạt động hệ thống. Khi đó rất khó xử lý
do thiếu phân định rõ ràng về trách nhiệm và quyền hạn.
Kinh nghiệm các nước cho thấy, cần phải phân định rõ quyền hạn, trách nhiệm
pháp lý của các cá nhân, tổ chức, doanh nghiệp, nhà nước trong việc áp dụng, thực thi
các biện pháp, chương trình đảm bảo an toàn thông tin; phân định rõ trách nhiệm của
chủ quản hệ thống thông tin. Đảm bảo quyền lợi hợp pháp của các đối tượng trong
hoạt động đảm bảo an toàn thông tin.
18



III.2.4.
Do chưa có quy định về đảm bảo an toàn thông tin đối
với các cơ sở hạ tầng thông tin quan trọng của quốc gia, các tài nguyên và cơ
sở dữ liệu dùng chung
Hiện nay chưa có văn bản pháp luật nào đưa ra các quy định cụ thể nào về bảo
vệ các hệ thống thông tin quan trọng quốc gia, các hệ thống thông tin quan trọng của
các bộ ngành, địa phương, các hệ thống thông tin thuộc bí mật nhà nước. Trong các
văn bản pháp luật hiện hành, một số khái niệm còn được định nghĩa chưa nhất quán,
chưa bao quát, thậm chí chỉ áp dụng được trong một số lĩnh vực hạn chế, ví dụ các
khái niệm về cơ sở hạ tầng thông tin, cơ sở hạ tầng công nghệ thông tin, hệ thống
thông tin, hệ thống thông tin quan trọng (hay trọng yếu) quốc gia; hay khái niệm về
môi trường mạng, không gian mạng, môi trường số,....
Thực tế cho thấy, nhiều hệ thống thông tin đang dần trở thành hệ thống thông
tin quan trọng (trọng yếu) quốc gia và là một phần quan trọng trong đời sống xã hội.
Tại nhiều nước, cơ sở hạ tầng thông tin trọng yếu gồm các hệ thống thông tin phục vụ
cho các cơ quan Chính phủ, các lĩnh vực Y tế, Dầu khí, Cung cấp nước, Năng lượng
điện, Viễn thông, Tài chính Ngân hàng, Thương mại và Giao thông vận tải.
Mặt khác, việc bảo vệ thông tin chưa thực sự bao quát và rõ nét, ngoại trừ bảo
vệ thông tin cá nhân đã được nêu từng nội dung cụ thể trong một số văn bản pháp luật
như:
- Bộ Luật dân sự năm 2005 đã đưa ra một số quy định nguyên tắc tại Điều 31 Quyền của cá nhân đối với hình ảnh và Điều 38 - Quyền bí mật đời tư.
- Luật giao dịch điện tử năm 2005 quy định chung về bảo mật thông tin trong
giao dịch điện tử tại Điều 46. Trong các văn bản hướng dẫn thi hành Luật giao dịch
điện tử, chỉ có Thông tư số 09/2008/TT-BCT ngày 21/7/2008 của Bộ Công Thương
hướng dẫn về cung cấp thông tin và giao kết hợp đồng trên website thương mại điện tử
đưa ra một số quy định thêm về bảo vệ thông tin cá nhân của khách hàng tại Điều 21.
- Luật công nghệ thông tin năm 2006 đã có những quy định rõ ràng, cụ thể hơn
về trách nhiệm bảo vệ thông tin cá nhân tại các Điều 21,22 và 72.
- Luật viễn thông năm 2009 có Điều 6 và 16 quy định về bảo vệ thông tin riêng

của tổ chức, cá nhân tham gia hoạt động viễn thông.
- Luật bảo vệ người tiêu dùng năm 2010 cũng đã dành Điều 6 để quy định về
bảo vệ thông tin của người tiêu dùng.
- Luật sửa đổi, bổ sung một số điều của Bộ Luật Hình sự năm 2009 sửa đổi
Điều 226 quy định hình phạt từ 10 triệu đồng đến 100 triệu đồng, cải tạo không giam
giữ đến ba năm hoặc bị phạt tù từ sáu tháng đến ba năm cho hành vi: “Mua bán, trao
đổi, tặng cho, sửa chữa, thay đổi hoặc công khai hóa những thông tin riêng hợp pháp
19


của cơ quan, tổ chức, cá nhân khác trên mạng máy tính, mạng viễn thông, mang
Internet mà không được phép của chủ sở hữu thông tin đó” gây hậu quả nghiêm trọng.
- Nghị định số 63/2007/NĐ-CP ngày 10/4/2007 của Chính phủ có Điều 6 quy
định mức xử lý vi phạm hành chính từ 200.000 đồng đến 5.000.000 đồng cho các hành
vi vi phạm quy định về thông tin cá nhân
- Thông tư số 25/2010/TT-BTTTT ngày 15/11/2010 quy định về việc thu thập,
sử dụng, chia sẻ, bảo đảm an toàn và bảo vệ thông tin cá nhân trên trang thông tin điện
tử hoặc cổng thông tin điện tử của cơ quan nhà nước.
Ở khía cạnh khác, trong thời gian gần đây, các vấn đề liên quan đến bảo vệ cơ
sở hạ tầng thông tin chung và cơ sở hạ tầng thông tin trọng yếu nói riêng luôn được
các cấp lãnh đạo các cơ quan nhà nước cũng như doanh nghiệp quan tâm. Bởi sự phát
triển mạnh về viễn thông - công nghệ thông tin song song với việc phải có những
phương án ngăn chặn các cuộc tấn công vào hạ tầng viễn thông – công nghệ thông tin.
Tuy nhiên, đi cùng với sự phát triển mạnh mẽ này của Internet là nguy cơ ngày càng
tăng của các cuộc tấn công mạng, đặc biệt là nhắm vào các cơ quan nhà nước.

Hình 5 – Những nguy cơ mất an toàn thông tin nhắm vào các cơ quan nhà nước

Việc một quốc gia có nền công nghệ khá tiên tiến như Iran đã bị sâu Stuxnet
xâm nhập vào hạ tầng thông tin của một cơ sở an ninh trọng yếu suốt một thời gian dài

cho thấy ở một quốc gia như Việt Nam, việc mạng máy tính của các cơ quan nhà
nước, kể cả các cơ quan trọng yếu, bị tin tặc nước ngoài xâm nhập là một khả năng
không phải khó hình dung. Trong bối cảnh đó, việc bảo vệ cơ sở hạ tầng thông tin
trọng yếu trở thành một vấn đề hết sức quan trọng ở nước ta.
Đầu năm 2011, hàng trăm website của Việt Nam đã bị các hacker nước ngoài
tấn công chiếm quyền điều khiển, thay đổi giao diện, trong đó có các website của bộ
Nông nghiệp, Bộ Ngoại giao. Tháng 10/2011, hơn 150 website bị tấn công một ngày
do nhóm hacker Thổ Nhĩ Kỳ thực hiện đối với một số máy chủ tại TP.Hồ Chí Minh
20


của các công ty cung cấp dịch vụ hosting, domain khá phổ biến. Tháng 11 năm 2011.
Bộ TT&TT vừa thông báo về loại “siêu mã độc” có tên "Gauss", được coi là "siêu vũ
khí mạng" có khả năng nhằm chiếm quyền điều khiển hệ thống, đánh cắp nhiều thông
tin, đặc biệt là thông tin ngân hàng. Tháng 02/2012, website của trung tâm an ninh
mạng BKAV bị hacker tấn công. Nhóm hacker Anonymous đã liên tục tấn công và chỉ
ra nhiều lỗi bảo mật của website này.
Nguyên nhân chủ yếu là sự yếu kém trong quản trị website và không thường
xuyên phát hiện và khắc phục các lỗ hổng an toàn thông tin, ít quan tâm đến các cảnh
báo an ninh của cơ quan, tổ chức có chức năng đảm bảo an toàn an ninh thông tin quốc
gia cũng như sự thiếu hợp tác giữa các đơn vị có chức năng chuyên môn. Nhất là đối
với các cơ quan nhà nước, tình trạng “cha chung không ai khóc” trong việc phản ứng
đối với các sự cố liên quan đến CSDL và hạ tầng mạng dùng chung đang là một thực
trạng cần điều chỉnh.

Hình 6 – Chỉ số tỷ lệ áp dụng giải pháp ATTT năm 2010 (Nguồn: VNCERT)

Do vậy, cần thiết phải xác lập rõ các quy định về bảo vệ các hệ thống thông tin
quan trọng quốc gia, các hệ thống thông tin quan trọng của các bộ ngành, địa phương,
các hệ thống thông tin thuộc bí mật nhà nước, bảo vệ thông tin cá nhân và tổ chức trên

môi trường mạng, bảo vệ môi trường mạng an toàn cho xã hội. Đưa ra các quy định
bắt buộc đối với các đối tượng tham gia chia sẻ hạ tầng thông tin. Quản lý chặt hơn
việc đảm bảo an toàn thông tin trong sử dụng chung cơ sở hạ tầng thông tin, dùng
chung cơ sở dữ liệu và tài nguyên mạng. Quy định về phối hợp trong đảm bảo an toàn
thông tin.

21


III.2.5.
Chưa có định hướng, chính sách và cơ chế hỗ trợ phát
triển rõ ràng đối với doanh nghiệp và thị trường an toàn thông tin trong
nước.
Các văn bản pháp luật hiện hành đều chưa đề cập nhiều đến các dịch vụ, sản
phẩm an toàn thông tin. Điều đó khiến cho doanh nghiệp, thị trường an toàn thông tin
còn gặp nhiều lúng túng.
Pháp luật chưa có những quy định ràng buộc cụ thể về các dịch vụ, sản phẩm an
toàn thông tin nên chưa thúc đẩy được nghiên cứu, phát triển các sản phẩm nội địa. An
toàn thông tin và lĩnh vực đặc thù và nhạy cảm, liên quan nhiều đến xã hội, vấn đề
pháp lý, đạo đức và con người. Khó có thể tin cậy khi các hệ thống bảo vệ chỉ dựa vào
công nghệ bên ngoài. Quy định cụ thể của văn bản pháp luật sẽ góp phần thúc đẩy
năng lực, sức mạnh nội địa trong việc cung cấp các sản phẩm, dịch vụ an toàn thông
tin.
Mặt khác, một số sản phẩm có yêu cầu đặc thù về bảo đảm an toàn thông tin
cần được điều chỉnh bởi quy định của pháp luật về sản xuất, kinh doanh, nhập khẩu.
Hiện nay chưa có văn bản pháp luật nào đề cập cụ thể đến vấn đề này.
Một số loại hình kinh doanh dịch vụ an toàn thông tin nhạy cảm cần được nhà
nước quản lý dưới hình thức kinh doanh có điều kiện như: Dịch vụ bảo mật thông tin
sử dụng mật mã thương dụng, Dịch vụ chứng thực chữ ký số, chữ ký điện tử, Dịch vụ
hỗ trợ bảo đảm an toàn thông tin, bao gồm: tư vấn, thiết kế, phân tích, kiểm tra, đánh

giá, giám sát hệ thống, ngăn chặn, khắc phục sự cố.
An toàn thông tin có liên quan mật thiết đến yếu tố con người. Vấn đề giáo dục
kiến thức an toàn thông tin cho học sinh trong nhà trường dưới hình thức ngoại khóa
(không bắt buộc) nhằm nâng cao hiểu biết, tự bảo vệ, tránh khỏi những hành vi lợi
dụng trên mạng là điều cần thiết. Kiến thức an toàn thông tin cần được đưa vào
chương trình giảng dạy cho sinh viên các trường đại học, cao đẳng, dạy nghề phù hợp.
Việc đào tạo và sử dụng chuyên gia an toàn thông tin cần có những quy định về điều
kiện, đối tượng nhằm đạt được tính nhất quán cao trong xã hội, giảm chi phí đầu tư,
phát triển nguồn nhân lực một cách hiệu quả nhất. Tuy nhiên, những vấn đề này vẫn
còn được xem nhẹ trong xã hội.
An toàn thông tin là trách nhiệm của toàn xã hội, cần khuyến khích phát triển
theo hướng xã hội hóa. Điều chỉnh các quy định pháp luật sẽ giúp định hướng phát
triển cho doanh nghiệp và thị trường an toàn thông tin.

22


III.2.6.
Quy định về đầu tư vào an toàn thông tin và kinh doanh
trong lĩnh vực an toàn thông tin chưa rõ ràng.
Trong các văn bản pháp luật hiện hành đã có đề cập ít nhiều đến đầu tư cho an
toàn thông tin. Tuy nhiên, các quy định còn chưa cụ thể và đầy đủ. Chính vì vậy, nhiều
dự án đầu tư trang thiết bị công nghệ thông tin và truyền thông chưa có sự đầu tư thích
đáng về các biện pháp bảo vệ. Khi phát hiện có sự cố mất an toàn thông tin, các cơ
quan tổ chức thường bổ sung theo cách chắp vá. Trong khi đó, những thiệt hại do mất
an toàn thông tin mang lại gấp rất nhiều lần chi phí đầu tư cho an toàn thông tin phải
bỏ ra. Theo báo cáo của Bộ Công an cho thấy trong năm 2008 có tới khoảng 60 triệu
lượt máy tính bị nhiễm virút, 461 trang chủ bị tấn công với ước tính thiệt hại khoảng
30.000 tỷ đồng (tăng 10 lần so với năm 2007).
Các quy định pháp luật về đầu tư cho an toàn thông tin, kinh doanh trong lĩnh

vực an toàn thông tin, xác định rõ các yêu cầu đảm bảo an toàn thông tin trong công
tác đầu tư, phát triển mạng và các dịch vụ sẽ góp phần giảm được các rủi ro, thiệt hại
gây ra do các sự cố mất an toàn thông tin.
Ngoài ra, điều chỉnh luật pháp giúp xác lập cơ chế, chính sách trong các hoạt
động công ích về an toàn thông tin, phát huy mọi nguồn lực xã hội vào các hoạt động
công ích đảm bảo an toàn thông tin. Nhà nước sẽ đánh thuế và thu phí về việc đảm bảo
an toàn bảo mật công ích đối với các doanh nghiệp. Các doanh nghiệp có thể đăng ký
cung cấp các dịch vụ công ích đảm bảo an toàn thông tin.

IV.

KẾT LUẬN VÀ KIẾN NGHỊ

Như đã trình bảy ở trên về phân tích nguyên nhân gây ra thực trạng an toàn
thông tin ở Việt Nam hiện nay, nhóm chuyên đề đã tập trung rà soát hệ thống văn bản
pháp luật và làm rõ thực trạng mất an toàn thông tin do những bất cập trong công tác
quản lý nhà nước về an toàn thông tin.
Từ kết quả kết quả rà soát các văn bản pháp luật hiện hành có liên quan và từ
thực tiễn đòi hỏi của quá trình phát triển kinh tế - xã hội, nhóm chuyên đề nhận thấy
các văn bản pháp luật hiện hành có liên quan đến công tác đảm bảo an toàn thông tin
còn có sáu vấn đề bất cập còn tồn tại sau đây.


Cần có một văn bản luật điều chỉnh toàn diện và bao quát về an toàn thông tin;
đảm bảo sự thống nhất, tương thích, tham chiếu đồng bộ với các quy định nằm
rải rác trong các văn bản pháp luật liên quan đến an toàn thông tin trong các
lĩnh vực kinh tế, xã hội, an ninh, quốc phòng.




Phân định rõ các hành vi cần sự điều chỉnh và tuân thủ của pháp luật về an
toàn thông tin, đáp ứng sự phát triển nhanh chóng của công nghệ thông tin và
truyền thông, đáp ứng xu thế hội tụ công nghệ và xu thế hội nhập kinh tế quốc
tế. Xác định rõ các hành vi vi phạm an toàn thông tin, các nguy cơ rò rỉ, kẽ hở
23


có thể dẫn đến vi phạm an toàn thông tin cấu thành tội phạm máy tính. Tạo
nền tảng cơ sở để tiếp tục xây dựng các chế tài xử lý vi phạm hành chính đầy
đủ và cụ thể, đủ sức răn đe và định hướng hành vi của xã hội hướng tới đảm
bảo an toàn thông tin, lên án, tẩy chay các hành vi xâm phạm an toàn thông
tin.


Làm rõ quyền hạn, trách nhiệm pháp lý của các cá nhân, tổ chức, doanh
nghiệp, nhà nước trong việc áp dụng, thực thi các biện pháp, chương trình bảo
vệ thông tin và đảm bảo an toàn hệ thống thông tin; đảm bảo quyền lợi hợp
pháp của các đối tượng trong hoạt động đảm bảo an toàn thông tin.



Xác lập rõ các quy định về bảo vệ các hệ thống thông tin quan trọng quốc gia,
các hệ thống thông tin quan trọng của các bộ ngành, địa phương, các hệ thống
thông tin thuộc bí mật nhà nước, bảo vệ thông tin cá nhân và tổ chức trên môi
trường mạng, bảo vệ môi trường mạng an toàn cho xã hội. Đưa ra các quy
định bắt buộc đối với các đối tượng tham gia chia sẻ hạ tầng thông tin. Quản
lý chặt hơn việc đảm bảo an toàn thông tin trong sử dụng chung cơ sở hạ tầng
thông tin, dùng chung cơ sở dữ liệu và tài nguyên mạng. Quy định về phối hợp
trong đảm bảo an toàn thông tin.




Định hướng phát triển cho doanh nghiệp và thị trường an toàn thông tin. Tăng
cường thúc đẩy năng lực, sức mạnh nội địa do đặc thù của lĩnh vực an toàn
thông tin là nhạy cảm, liên quan nhiều đến con người và xã hội, không thể dựa
vào bên ngoài. An toàn thông tin là trách nhiệm của toàn xã hội, cần khuyến
khích phát triển theo hướng xã hội hóa.



Làm rõ các quy định về đầu tư vào an toàn thông tin và kinh doanh trong lĩnh
vực an toàn thông tin. Xác định rõ yêu cầu đảm bảo an toàn thông tin trong
công tác đầu tư, phát triển mạng và các dịch vụ. Xác lập cơ chế, chính sách
trong các hoạt động công ích về an toàn thông tin, phát huy mọi nguồn lực xã
hội vào các hoạt động công ích đảm bảo an toàn thông tin.

Trên cơ sở trình bày quan điểm khi xử lý các vấn đề cơ bản đã nêu, nhóm thực
hiện chuyên đề mong muốn cung cấp thông tin để các cơ quan liên quan có thể tham
khảo khi thảo luận, trình và biểu quyết những vấn đề liên quan đến công tác quản lý an
toàn thông tin./.

24


Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×