Nghị định 108/2016/NĐ-CP quy định điều kiện kinh doanh sản phẩm, dịch vụ thông tin mạng

Nghị định 108/2016/NĐ-CP quy định điều kiện kinh doanh sản phẩm, dịch vụ thông tin mạng

Nghị định 108/2016/NĐ-CP quy định điều kiện kinh doanh sản phẩm, dịch vụ thông tin mạng là nghị định được Chính phủ ban hành vào ngày 01 tháng 07 năm 2016 quy định điều kiện về việc kinh doanh sản phẩm, dịch vụ an toàn thông tin mạng, từ việc xin cấp giấp phép kinh doanh cho tới sản phẩm an toàn thông tin mạng, mời các bạn cùng xem và tải về tại đây.

Thủ tục và lệ phí chuyển nhượng quyền sử dụng đất

Những Thông tư mới liên quan đến lao động, bảo hiểm xã hội

Thông tư 29/2016/TT-BNNPTNT Quy định tiêu chuẩn đối với nhân viên thú y xã, phường, thị trấn

NGHỊ ĐỊNH
QUY ĐỊNH CHI TIẾT ĐIỀU KIỆN KINH DOANH SẢN PHẨM, DỊCH VỤ AN TOÀN THÔNG TIN MẠNG

Căn cứ Luật tổ chức Chính phủ ngày 19 tháng 6 năm 2015;

Căn cứ Luật an toàn thông tin mạng ngày 19 tháng 11 năm 2015;

Căn cứ Luật đầu tư ngày 26 tháng 11 năm 2014;

Căn cứ Luật doanh nghiệp ngày 26 tháng 11 năm 2014;

Theo đề nghị của Bộ trưởng Bộ Thông tin và Truyền thông;

Chính phủ ban hành Nghị định quy định chi tiết điều kiện kinh doanh sản phẩm, dịch vụ an toàn thông tin mạng.

Chương I

NHỮNG QUY ĐỊNH CHUNG

Điều 1. Phạm vi điều chỉnh

1. Nghị định này quy định về:

a) Điều kiện, quy trình, thủ tục, hồ sơ cấp Giấy phép kinh doanh sản phẩm, dịch vụ an toàn thông tin mạng;

b) Sản phẩm, dịch vụ an toàn thông tin mạng;

c) Sản phẩm an toàn thông tin mạng nhập khẩu theo giấy phép.

2. Nghị định này không điều chỉnh hoạt động kinh doanh sản phẩm, dịch vụ mật mã dân sự và hoạt động kinh doanh dịch vụ chứng thực chữ ký điện tử.

Điều 2. Đối tượng áp dụng

Nghị định này áp dụng đối với tổ chức, doanh nghiệp trực tiếp tham gia hoặc có liên quan đến hoạt động sản xuất, nhập khẩu sản phẩm an toàn thông tin mạng và cung cấp dịch vụ an toàn thông tin mạng tại Việt Nam.

Điều 3. Sản phẩm, dịch vụ an toàn thông tin mạng

1. Sản phẩm an toàn thông tin mạng gồm:

a) Sản phẩm kiểm tra, đánh giá an toàn thông tin mạng là các thiết bị phần cứng, phần mềm có các chức năng cơ bản sau: Rà quét, kiểm tra, phân tích cấu hình, hiện trạng, dữ liệu nhật ký của hệ thống thông tin; phát hiện lỗ hổng, điểm yếu; đưa ra đánh giá rủi ro an toàn thông tin;

b) Sản phẩm giám sát an toàn thông tin mạng là các thiết bị phần cứng, phần mềm có các chức năng cơ bản sau: Giám sát, phân tích dữ liệu truyền trên hệ thống thông tin; thu thập, phân tích dữ liệu nhật ký theo thời gian thực; phát hiện và đưa ra cảnh báo sự kiện bất thường, có nguy cơ gây mất an toàn thông tin;

c) Sản phẩm chống tấn công, xâm nhập là các thiết bị phần cứng, phần mềm có chức năng cơ bản ngăn chặn tấn công, xâm nhập vào hệ thống thông tin.

2. Dịch vụ an toàn thông tin mạng gồm:

a) Dịch vụ giám sát an toàn thông tin mạng là dịch vụ giám sát, phân tích lưu lượng dữ liệu truyền trên hệ thống thông tin; thu thập, phân tích dữ liệu nhật ký theo thời gian thực; phát hiện và đưa ra cảnh báo sự kiện bất thường, có nguy cơ gây mất an toàn thông tin;

b) Dịch vụ phòng ngừa, chống tấn công mạng là dịch vụ ngăn chặn các hành vi tấn công, xâm nhập vào hệ thống thông tin thông qua việc giám sát, thu thập, phân tích các sự kiện đang xảy ra trên hệ thống thông tin;

c) Dịch vụ tư vấn an toàn thông tin mạng là dịch vụ hỗ trợ tư vấn, kiểm tra, đánh giá, triển khai, thiết kế, xây dựng các giải pháp bảo đảm an toàn thông tin;

d) Dịch vụ ứng cứu sự cố an toàn thông tin mạng là dịch vụ xử lý, khắc phục kịp thời sự cố gây mất an toàn thông tin đối với hệ thống thông tin;

đ) Dịch vụ khôi phục dữ liệu là dịch vụ khôi phục dữ liệu trong hệ thống thông tin đã bị xóa hoặc hư hỏng;

e) Dịch vụ kiểm tra, đánh giá an toàn thông tin mạng là dịch vụ rà quét, kiểm tra, phân tích cấu hình, hiện trạng, dữ liệu nhật ký của hệ thống thông tin; phát hiện lỗ hổng, điểm yếu; đưa ra đánh giá rủi ro mất an toàn thông tin;

g) Dịch vụ bảo mật thông tin không sử dụng mật mã dân sự là dịch vụ hỗ trợ người sử dụng bảo đảm tính bí mật của thông tin, hệ thống thông tin mà không sử dụng hệ thống mật mã dân sự.

Điều 4. Danh mục sản phẩm an toàn thông tin mạng nhập khẩu theo giấy phép

1. Sản phẩm an toàn thông tin mạng nhập khẩu theo giấy phép bao gồm:

a) Sản phẩm kiểm tra, đánh giá an toàn thông tin mạng;

b) Sản phẩm giám sát an toàn thông tin mạng;

c) Sản phẩm chống tấn công, xâm nhập.

2. Bộ Thông tin và Truyền thông xây dựng Danh mục chi tiết các sản phẩm an toàn thông tin mạng nhập khẩu theo giấy phép quy định tại khoản 1 Điều này.

3. Doanh nghiệp nhập khẩu sản phẩm an toàn thông tin mạng không thuộc quy định tại khoản 1 Điều này thì không yêu cầu Giấy phép nhập khẩu sản phẩm an toàn thông tin mạng.

Chương II

CẤP GIẤY PHÉP KINH DOANH SẢN PHẨM, DỊCH VỤ AN TOÀN THÔNG TIN MẠNG

Điều 5. Giấy phép kinh doanh sản phẩm, dịch vụ an toàn thông tin mạng

1. Bộ Thông tin và Truyền thông cấp Giấy phép kinh doanh sản phẩm, dịch vụ an toàn thông tin mạng.

2. Giấy phép kinh doanh sản phẩm, dịch vụ an toàn thông tin mạng được cấp cho doanh nghiệp có thời hạn là 10 năm theo Mẫu số 01 tại Phụ lục ban hành kèm theo Nghị định này.

Điều 6. Điều kiện cấp Giấy phép kinh doanh sản phẩm, dịch vụ an toàn thông tin mạng

1. Doanh nghiệp được cấp Giấy phép kinh doanh sản phẩm, dịch vụ an toàn thông tin mạng quy định tại Điều 3 Nghị định này khi đáp ứng đủ các điều kiện quy định tại Điều 42 Luật an toàn thông tin mạng và các điều kiện tại Nghị định này.

2. Đối với hoạt động nhập khẩu sản phẩm an toàn thông tin mạng quy định tại khoản 1 Điều 3 Nghị định này, doanh nghiệp cần đáp ứng điều kiện quy định tại khoản 1 Điều này. Trong đó, chi tiết các điều kiện tại điểm c, d khoản 1 Điều 42 Luật an toàn thông tin mạng cụ thể như sau:

a) Có đội ngũ quản lý, điều hành đáp ứng được yêu cầu chuyên môn về an toàn thông tin; có cán bộ kỹ thuật chịu trách nhiệm chính có bằng đại học chuyên ngành hoặc chứng chỉ an toàn thông tin hoặc công nghệ thông tin hoặc điện tử viễn thông với số lượng nhân sự đáp ứng được quy mô, yêu cầu của phương án kinh doanh;

b) Có phương án kinh doanh phù hợp và bao gồm các nội dung: Mục đích nhập khẩu; phạm vi, đối tượng cung cấp sản phẩm; sự đáp ứng tiêu chuẩn, quy chuẩn kỹ thuật liên quan đối với từng loại sản phẩm; chi tiết các tính năng kỹ thuật cơ bản của sản phẩm.

3. Đối với hoạt động sản xuất sản phẩm an toàn thông tin mạng quy định tại khoản 1 Điều 3 Nghị định này, doanh nghiệp cần đáp ứng điều kiện quy định tại khoản 1 Điều này. Trong đó, chi tiết các điều kiện tại điểm b, c, d khoản 1 Điều 42 Luật an toàn thông tin mạng cụ thể như sau:

a) Có hệ thống trang thiết bị, cơ sở vật chất và công nghệ sản xuất phù hợp với phương án kinh doanh sản phẩm an toàn thông tin mạng;

b) Có đội ngũ quản lý, điều hành đáp ứng được yêu cầu chuyên môn về an toàn thông tin; có đội ngũ kỹ thuật có bằng đại học chuyên ngành hoặc chứng chỉ an toàn thông tin hoặc công nghệ thông tin hoặc điện tử viễn thông với số lượng nhân sự đáp ứng được quy mô, yêu cầu của phương án kinh doanh;

c) Có phương án kinh doanh phù hợp và bao gồm các nội dung: Phạm vi đối tượng cung cấp sản phẩm; loại hình sản phẩm dự kiến sản xuất; sự đáp ứng tiêu chuẩn, quy chuẩn kỹ thuật liên quan đối với từng loại sản phẩm; các tính năng kỹ thuật cơ bản của sản phẩm.

4. Đối với hoạt động cung cấp dịch vụ an toàn thông tin mạng quy định tại điểm a, b, c, d, đ khoản 2 Điều 3 Nghị định này, doanh nghiệp cần đáp ứng điều kiện quy định tại khoản 1 Điều này. Trong đó, chi tiết các điều kiện tại điểm b, c, d khoản 1 Điều 42 Luật an toàn thông tin mạng cụ thể như sau:

a) Có hệ thống trang thiết bị, cơ sở vật chất phù hợp với quy mô cung cấp dịch vụ, phương án kinh doanh;

b) Có đội ngũ quản lý, điều hành đáp ứng được yêu cầu chuyên môn về an toàn thông tin; có đội ngũ kỹ thuật có bằng đại học chuyên ngành hoặc chứng chỉ an toàn thông tin hoặc công nghệ thông tin hoặc điện tử viễn thông với số lượng nhân sự đáp ứng được quy mô, yêu cầu của phương án kinh doanh;

c) Có phương án kinh doanh phù hợp và bao gồm các nội dung: Phạm vi đối tượng cung cấp dịch vụ; loại hình dịch vụ dự kiến cung cấp; phương án bảo mật thông tin của khách hàng; phương án bảo đảm chất lượng dịch vụ.

5. Đối với hoạt động cung cấp dịch vụ kiểm tra đánh giá an toàn thông tin mạng cần đáp ứng điều kiện quy định tại khoản 2 Điều 42 Luật an toàn thông tin mạng. Đối với hoạt động cung cấp dịch vụ bảo mật thông tin không sử dụng mật mã dân sự cần đáp ứng điều kiện quy định tại khoản 3 Điều 42 Luật an toàn thông tin mạng. Chi tiết các điều kiện tại điểm a, d khoản 2 Điều 42 Luật an toàn thông tin mạng cụ thể như sau:

a) Các điều kiện quy định tại khoản 4 Điều này;

b) Có phương án kỹ thuật phù hợp và bao gồm các nội dung: Tổng thể hệ thống kỹ thuật; việc đáp ứng về chức năng của hệ thống tương ứng với loại hình dịch vụ dự kiến cung cấp; việc đáp ứng với các quy chuẩn kỹ thuật và tiêu chuẩn bắt buộc áp dụng tương ứng.

Điều 7. Hồ sơ, trình tự thủ tục cấp Giấy phép kinh doanh sản phẩm, dịch vụ an toàn thông tin mạng

Hồ sơ và trình tự thủ tục cấp, sửa đổi, bổ sung, gia hạn, tạm đình chỉ, thu hồi và cấp lại Giấy phép kinh doanh sản phẩm, dịch vụ an toàn thông tin mạng theo quy định tại Điều 43, 44, 45 Luật an toàn thông tin mạng.

Điều 8. Tiếp nhận hồ sơ đề nghị cấp Giấy phép kinh doanh sản phẩm, dịch vụ an toàn thông tin mạng

1. Doanh nghiệp nộp hồ sơ đề nghị cấp Giấy phép kinh doanh sản phẩm, dịch vụ an toàn thông tin mạng đến Bộ Thông tin và Truyền thông bằng một trong các hình thức sau:

a) Nộp trực tiếp đến đơn vị tiếp nhận hồ sơ;

b) Nộp bằng cách sử dụng dịch vụ bưu chính;

c) Nộp trực tuyến trên Cổng thông tin điện tử của Bộ Thông tin và Truyền thông.

2. Đơn vị tiếp nhận hồ sơ có trách nhiệm xác nhận bằng văn bản hoặc qua thư điện tử về việc đã nhận hồ sơ của doanh nghiệp trong vòng 01 ngày làm việc kể từ khi nhận được hồ sơ.

3. Đối với hình thức nộp trực tiếp, ngày nhận hồ sơ là ngày đơn vị tiếp nhận hồ sơ nhận được hồ sơ do doanh nghiệp nộp.

4. Đối với hình thức nộp bằng cách sử dụng dịch vụ bưu chính, ngày nhận hồ sơ là ngày đơn vị tiếp nhận hồ sơ nhận được hồ sơ do doanh nghiệp cung cấp dịch vụ bưu chính chuyển đến.

5. Đối với hình thức nộp trực tuyến, Bộ Thông tin và Truyền thông triển khai cấp Giấy phép kinh doanh sản phẩm, dịch vụ an toàn thông tin mạng theo lộ trình cung cấp dịch vụ công trực tuyến của Chính phủ.

Điều 9. Kiểm tra tính hợp lệ hồ sơ đề nghị cấp Giấy phép kinh doanh sản phẩm, dịch vụ an toàn thông tin mạng

1. Hồ sơ đề nghị cấp Giấy phép kinh doanh sản phẩm, dịch vụ an toàn thông tin mạng phải làm bằng tiếng Việt, gồm 01 bộ hồ sơ gốc và 04 bộ bản sao hồ sơ hợp lệ đối với trường hợp đề nghị cấp Giấy phép, 01 bộ hồ sơ gốc và 01 bộ bản sao hồ sơ hợp lệ đối với các trường hợp đề nghị sửa đổi, bổ sung và gia hạn Giấy phép. Bộ hồ sơ gốc phải có đủ chữ ký, dấu xác nhận của doanh nghiệp, các tài liệu do doanh nghiệp lập nếu có từ 02 tờ văn bản trở lên phải có dấu giáp lai. Các bộ bản sao hồ sơ hợp lệ không yêu cầu phải có dấu xác nhận, dấu chứng thực bản sao nhưng phải có dấu giáp lai của doanh nghiệp nộp hồ sơ.

2. Mẫu hồ sơ về Đơn đề nghị cấp/cấp lại/gia hạn/sửa đổi, bổ sung Giấy phép kinh doanh sản phẩm, dịch vụ an toàn thông tin mạng quy định tại Mẫu số 02; Phương án kinh doanh quy định tại Mẫu số 03; Phương án kỹ thuật quy định tại Mẫu số 04; Báo cáo tình hình thực hiện Giấy phép kinh doanh sản phẩm, dịch vụ an toàn thông tin mạng quy định tại Mẫu số 05 tại Phụ lục ban hành kèm theo Nghị định này.

3. Bộ Thông tin và Truyền thông kiểm tra và thông báo cho doanh nghiệp nộp hồ sơ biết về tính hợp lệ của hồ sơ sau 03 ngày làm việc kể từ khi nhận được hồ sơ.

4. Việc kiểm tra tính hợp lệ của hồ sơ được thực hiện dựa trên các tiêu chí sau:

a) Hồ sơ được lập theo đúng quy định tại khoản 1 Điều này;

b) Đủ tài liệu quy định tương ứng đối với từng loại hồ sơ đề nghị cấp phép quy định tại Điều 43 Luật an toàn thông tin mạng;

c) Các tài liệu cung cấp đủ đầu mục thông tin theo yêu cầu và tuân theo mẫu hồ sơ tương ứng đã được quy định tại Phụ lục của Nghị định này.

5. Đối với hồ sơ không hợp lệ, Bộ Thông tin và Truyền thông có văn bản thông báo cho doanh nghiệp nộp hồ sơ và nêu rõ yếu tố không hợp lệ. Doanh nghiệp có quyền nộp lại hồ sơ bổ sung hoặc văn bản giải trình tính hợp lệ. Việc kiểm tra tính hợp lệ của hồ sơ nộp lại được thực hiện theo quy định tại khoản 4 Điều này.