Doanh nghiệp cung cấp dịch vụ Internet (ISP) có phải xây dựng Kế hoạch ứng phó sự cố bảo đảm an toàn thông tin mạng không?

Doanh nghiệp cung cấp dịch vụ Internet (ISP) có phải xây dựng Kế hoạch ứng phó sự cố bảo đảm an toàn thông tin mạng không?

Tôi có thắc mắc muốn được giải đáp như sau doanh nghiệp cung cấp dịch vụ Internet (ISP) có phải xây dựng Kế hoạch ứng phó sự cố bảo đảm an toàn thông tin mạng không? Câu hỏi của anh X.L.Q đến từ Long An.

Doanh nghiệp cung cấp dịch vụ Internet (ISP) có phải xây dựng Kế hoạch ứng phó sự cố bảo đảm an toàn thông tin mạng không?

Căn cứ tại điểm d khoản 1 Điều 16 Quyết định 05/2017/QĐ-TTg năm 2017 xây dựng và triển khai kế hoạch ứng phó sự cố bảo đảm an toàn thông tin mạng:

Xây dựng và triển khai kế hoạch ứng phó sự cố bảo đảm an toàn thông tin mạng

1. Các cơ quan, đơn vị xây dựng và thực hiện kế hoạch ứng phó sự cố bảo đảm an toàn thông tin mạng (sau đây gọi tắt là kế hoạch ứng phó sự cố) để đảm bảo nhân lực, vật lực, tài lực và các điều kiện cần thiết để sẵn sàng triển khai kịp thời, hiệu quả phương án ứng cứu sự cố bảo đảm an toàn thông tin mạng, cụ thể như sau:

d) Các thành viên mạng lưới, tổ chức, doanh nghiệp có quản lý hệ thống thông tin thuộc Danh mục hệ thống thông tin quan trọng quốc gia, hệ thống thông tin lớn, hệ thống điều khiển công nghiệp (SCADA) xây dựng, phê duyệt và thực hiện kế hoạch ứng phó sự cố bảo đảm an toàn thông tin mạng trong tổ chức, doanh nghiệp mình.

Đồng thời, theo quy định tại điểm đ khoản 1 Điều 7 Quyết định 05/2017/QĐ-TTg năm 2017 mạng lưới ứng cứu sự cố an toàn thông tin mạng quốc gia:

Mạng lưới ứng cứu sự cố an toàn thông tin mạng quốc gia

1. Thành viên có nghĩa vụ phải tham gia mạng lưới ứng cứu sự cố an toàn thông tin mạng quốc gia (sau đây gọi tắt là mạng lưới ứng cứu sự cố) gồm:

đ) Các doanh nghiệp cung cấp dịch vụ hạ tầng viễn thông, Internet (ISP); các tổ chức, doanh nghiệp cung cấp dịch vụ trung tâm dữ liệu, cho thuê không gian lưu trữ thông tin số; đơn vị quản lý, vận hành cơ sở dữ liệu quốc gia; đơn vị chuyên trách về an toàn thông tin, công nghệ thông tin của các tổ chức ngân hàng, tài chính, kho bạc, thuế, hải quan;

Như vậy, doanh nghiệp cung cấp dịch vụ Internet (ISP) có trách nhiệm trong việc xây dựng, phê duyệt và thực hiện kế hoạch ứng phó sự cố bảo đảm an toàn thông tin mạng trong doanh nghiệp mình.

Doanh nghiệp cung cấp dịch vụ Internet (ISP) không xây dựng Kế hoạch ứng phó sự cố bảo đảm an toàn thông tin mạng thì bị phạt tối đa bao nhiêu tiền?

Căn cứ tại khoản 3 Điều 78 Nghị định 15/2020/NĐ- CP vi phạm các quy định về đảm bảo an toàn thông tin và ứng cứu sự cố an toàn thông tin mạng:

Vi phạm các quy định về đảm bảo an toàn thông tin và ứng cứu sự cố an toàn thông tin mạng

3. Phạt tiền từ 30.000.000 đồng đến 40.000.000 đồng đối với một trong các hành vi sau:

a) Không tổng hợp, báo cáo Cơ quan điều phối quốc gia về diễn biến sự cố khi được yêu cầu;

b) Không thành lập hoặc không chỉ định đơn vị chuyên trách ứng cứu sự cố an toàn thông tin mạng hoặc không thành lập Đội ứng cứu sự cố;

c) Không ghi nhận hoặc không tiếp nhận thông báo hoặc không báo cáo sự cố an toàn thông tin mạng theo đúng quy trình;

d) Không xây dựng Kế hoạch ứng phó sự cố bảo đảm an toàn thông tin mạng;

đ) Cung cấp không đầy đủ thông tin trong thời gian chưa khắc phục triệt để sự cố;

e) Không tổng hợp, xây dựng báo cáo định kỳ 06 tháng, 01 năm;

g) Thực hiện không đầy đủ các yêu cầu điều phối ứng cứu sự cố của Cơ quan điều phối quốc gia.

Như vậy, trong trường hợp doanh nghiệp cung cấp dịch vụ Internet (ISP) không xây dựng Kế hoạch ứng phó sự cố bảo đảm an toàn thông tin mạng thì bị có thể bị phạt từ 30.000.000 đồng đến 40.000.000 đồng.

Hay nói cách khác, doanh nghiệp cung cấp dịch vụ Internet (ISP) không xây dựng Kế hoạch ứng phó sự cố bảo đảm an toàn thông tin mạng thì có thể bị phạt tối đa 40.000.000 đồng.

Khi tham gia, thực hiện các hoạt động ứng cứu sự cố theo yêu cầu của Cơ quan điều phối quốc gia có phải bảo đảm bí mật thông tin không?

Căn cứ tại Điều 4  Thông tư 20/2017/TT- BTTTT về nguyên tắc điều phối, ứng cứu sự cố:

Nguyên tắc điều phối, ứng cứu sự cố

1. Tuân thủ các quy định pháp luật về điều phối, ứng cứu sự cố an toàn thông tin mạng.

2. Chủ động, kịp thời, nhanh chóng, chính xác, đồng bộ và hiệu quả.

3. Phối hợp chặt chẽ, chính xác, đồng bộ và hiệu quả giữa các cơ quan tổ chức, doanh nghiệp trong nước và nước ngoài.

4. Ứng cứu sự cố trước hết phải được thực hiện, xử lý bằng lực lượng tại chỗ và trách nhiệm chính của chủ quản hệ thống thông tin.

5. Tuân thủ các điều kiện, nguyên tắc ưu tiên về duy trì hoạt động của hệ thống thông tin đã được cấp thẩm quyền phê duyệt trong kế hoạch ứng phó sự cố.

6. Thông tin trao đổi trong mạng lưới phải được kiểm tra, xác thực đối tượng trước khi thực hiện các bước tác nghiệp tiếp theo.

7. Bảo đảm bí mật thông tin biết được khi tham gia, thực hiện các hoạt động ứng cứu sự cố theo yêu cầu của Cơ quan điều phối quốc gia hoặc cơ quan tổ chức, cá nhân gặp sự cố.

Như vậy, khi tham gia, thực hiện các hoạt động ứng cứu sự cố theo yêu cầu của Cơ quan điều phối quốc gia hoặc cơ quan tổ chức, cá nhân gặp sự cố thì phải có trách nhiệm và nghĩa vụ bảo đảm bí mật thông tin biết được.