Nguyên tắc bảo đảm an toàn thông tin trong hoạt động của cơ quan nhà nước trên môi trường mạng ?

An toàn thông tin: bao gồm các hoạt động quản lý, nghiệp vụ và kỹ thuật đối với hệ thống thông tin nhằm bảo vệ, khôi phục các hệ thống, các dịch vụ và nội dung thông tin đối với nguy cơ tự nhiên hoặc do con người gây ra. Việc bảo vệ thông tin, tài sản và con người trong hệ thống thông tin nhằm bảo đảm cho các hệ thống thực hiện đúng chức năng, phục vụ đúng đối tượng một cách sẵn sàng, chính xác và tin cậy. An toàn, thông tin bao hàm các nội dung bảo vệ và bảo mật thông tin, an toàn dữ liệu, an toàn máy tính và an toàn mạng.

Môi trường mạng là môi trường trong đó thông tin được cung cấp, truyền đưa, thu thập, xử lý, lưu trữ và trao đổi thông qua cơ sở hạ tầng thông tin.

Hoạt động của cơ quan nhà nước trên môi trường mạng bao gồm:

a) Cung cấp, trao đổi, thu thập thông tin với tổ chức, cá nhân;

b) Chia sẻ thông tin trong nội bộ và với cơ quan khác của Nhà nước;

c) Cung cấp các dịch vụ công;

d) Các hoạt động khác theo quy định của Chính phủ.

Vậy, nguyên tắc bảo đảm an toàn thông tin trong hoạt động của cơ quan nhà nước trên môi trường mạng được quy định như thế nào ?

Nguyên tắc bảo đảm an toàn thông tin

Căn cứ theo Điều 41 của Nghị định số 64/2007/NĐ-CP ngày 10 tháng 04 năm 2007 quy định về ứng dụng công nghệ thông tin trong hoạt động của cơ quan nhà nước, Chính phủ quy định các nguyên tắc bảo đảm an toàn thông tin như sau:

1. Việc bảo đảm thông tin là yêu cầu bắt buộc trong quá trình thiết kế, xây dựng, vận hành, nâng cấp và hủy bỏ các hạ tầng kỹ thuật của cơ quan nhà nước.

2. Thông tin số thuộc quy định danh mục bí mật nhà nước của các cơ quan nhà nước phải được phân loại, lưu trữ, bảo vệ trên cơ sở quy định của pháp luật về bảo vệ bí mật nhà nước.

3. Cơ quan nhà nước phải xây dựng nội quy bảo đảm an toàn thông tin; có cán bộ phụ trách quản lý an toàn thông; áp dụng, hướng dẫn và kiểm tra định kỳ việc thực hiện các biện pháp bảo đảm cho hệ thống thông tin trên mạng đáp ứng các tiêu chuẩn, quy chuẩn kỹ thuật về an toàn thông tin.

4. Áp dụng quy trình bảo đảm an toàn dữ liệu bao gồm:

a) Lưu trữ dự phòng;

b) Sử dụng mật mã để bảo đảm an toàn và bảo mật dữ liệu trong lưu trữ và giao dịch theo quy định của Nhà nước về mật mã;

c) Quản lý chặt chẽ việc di chuyển các trang thiết bị công nghệ thông tin lưu trữ các thông tin thuộc danh mục bí mật nhà nước;

d) Giám sát các khâu tạo lập, xử lý và hủy bỏ dữ liệu;

đ) Các quy trình bảo đảm an toàn dữ liệu khác.

5. Áp dụng quy trình quản lý an toàn hạ tầng kỹ thuật bao gồm:

a) Các giải pháp bảo vệ nhằm ngăn chặn và phát hiện sớm việc truy cập trái phép vào mạng máy tính hay thiết bị lưu trữ dữ liệu;

b) Áp dụng các công nghệ xác thực, cơ chế quản lý quyền truy cập và cơ chế ghi biên bản hoạt động của hệ thống để quản lý và kiểm tra việc truy cập mạng;

c) Kiểm soát chặt chẽ việc cài đặt các phần mềm mới lên máy chủ và máy trạm;

d) Theo dõi thường xuyên tình trạng lây nhiễm và thực hiện loại bỏ phần mềm độc hại khỏi hệ thống;

đ) Các quy trình quản lý an toàn hạ tầng kỹ thuật khác.

6. Điều kiện bảo đảm thực hiện an toàn thông tin:

a) Cán bộ, công chức, viên chức phải nắm vững các quy định của pháp luật và nội quy của cơ quan về an toàn thông tin;

b) Cán bộ kỹ thuật về an toàn thông tin phải được tuyển chọn, đào tạo, huấn luyện, thường xuyên bồi dưỡng nghiệp vụ phù hợp với nhiệm vụ được giao và được tạo điều kiện làm việc phù hợp;

c) Cơ quan nhà nước ưu tiên sử dụng lực lượng kỹ thuật về an toàn thông tin của mình; khi cần thiết có thể sử dụng dịch vụ của các tổ chức bảo đảm an toàn thông tin đủ năng lực được Nhà nước công nhận;

d) Hạ tầng kỹ thuật phải được định kỳ kiểm tra, đánh giá hoặc kiểm định về mặt an toàn thông tin phù hợp các tiêu chuẩn, quy chuẩn kỹ thuật quy định.

Bảo vệ thông tin cá nhân do cơ quan nhà nước nắm giữ trên môi trường mạng

Căn cứ theo Điều 5 của Nghị định số 64/2007/NĐ-CP ngày 10 tháng 04 năm 2007 quy định về ứng dụng công nghệ thông tin trong hoạt động của cơ quan nhà nước, Chính phủ quy định về việc bảo vệ thông tin cá nhân do cơ quan nhà nước nắm giữ trên môi trường mạng như sau:

1. Cơ quan nhà nước thu nhập, xử lý và sử dụng thông tin cá nhân trên môi trường mạng phải thực hiện theo quy định tại Điều 21 của Luật Công nghệ thông tin.

“ Điều 21. Thu thập, xử lý và sử dụng thông tin cá nhân trên môi trường mạng

1. Tổ chức, cá nhân thu thập, xử lý và sử dụng thông tin cá nhân của người khác trên môi trường mạng phải được người đó đồng ý, trừ trường hợp pháp luật có quy định khác.

2. Tổ chức, cá nhân thu thập, xử lý và sử dụng thông tin cá nhân của người khác có trách nhiệm sau đây:

a) Thông báo cho người đó biết về hình thức, phạm vi, địa điểm và mục đích của việc thu thập, xử lý và sử dụng thông tin cá nhân của người đó;

b) Sử dụng đúng mục đích thông tin cá nhân thu thập được và chỉ lưu trữ những thông tin đó trong một khoảng thời gian nhất định theo quy định của pháp luật hoặc theo thoả thuận giữa hai bên;

c) Tiến hành các biện pháp quản lý, kỹ thuật cần thiết để bảo đảm thông tin cá nhân không bị mất, đánh cắp, tiết lộ, thay đổi hoặc phá huỷ;

d) Tiến hành ngay các biện pháp cần thiết khi nhận được yêu cầu kiểm tra lại, đính chính hoặc hủy bỏ theo quy định tại khoản 1 Điều 22 của Luật này; không được cung cấp hoặc sử dụng thông tin cá nhân liên quan cho đến khi thông tin đó được đính chính lại.

3. Tổ chức, cá nhân có quyền thu thập, xử lý và sử dụng thông tin cá nhân của người khác mà không cần sự đồng ý của người đó trong trường hợp thông tin cá nhân đó được sử dụng cho mục đích sau đây:

a) Ký kết, sửa đổi hoặc thực hiện hợp đồng sử dụng thông tin, sản phẩm, dịch vụ trên môi trường mạng;

b) Tính giá, cước sử dụng thông tin, sản phẩm, dịch vụ trên môi trường mạng;

c) Thực hiện nghĩa vụ khác theo quy định của pháp luật.”

2. Các biện pháp bảo vệ thông tin cá nhân bao gồm: thông báo mục đích sử dụng thông tin cá nhân; giám sát quá trình xử lý thông tin cá nhân; ban hành thủ tục kiểm tra, đính chính hoặc hủy bỏ thông tin cá nhân; các biện pháp kỹ thuật khác.

3. Cơ quan nhà nước nắm giữ thông tin thuộc bí mật cá nhân phải có trách nhiệm bảo vệ những thông tin đó và chỉ được phép cung cấp, chia sẻ cho bên thứ ba có thẩm quyền trong những trường hợp nhất định theo quy định của pháp luật.

Như vậy, thông qua bài viết trên, Luật Hoàng Anh đã trình bày các nguyên tắc bảo đảm an toàn thông tin trong hoạt động của cơ quan nhà nước trên môi trường mạng.

Luật Hoàng Anh