Dự thảo Quyết định về hệ thống thông tin đảm bảo an toàn thông tin mạng

QUYẾT ĐỊNH

Quy định về việc lựa chọn, sử dụng máy móc, thiết bị, sản phẩm, giải pháp

trong các hệ thống thông tin để đảm bảo an toàn thông tin mạng

----------

THỦ TƯỚNG CHÍNH PHỦ

Căn cứ Luật Tổ chức Chính phủ ngày 19 tháng 6 năm 2015;

Căn cứ Luật An toàn thông tin mạng ngày 19 tháng 11 năm 2015;

Căn cứ Luật An ninh mạng ngày 12 tháng 6 năm 2018;

Căn cứ Nghị định 73/2019/NĐ-CP ngày 5/9/2019 quy định về quản lý đầu tư ứng dụng công nghệ thông tin sử dụng nguồn vốn ngân sách nhà nước.

Theo đề nghị của Bộ trưởng Bộ Thông tin và Truyền thông,

Thủ tướng Chính phủ ban hành Quyết định quy định về việc sử dụng máy móc, thiết bị, sản phẩm, giải pháp trong các hệ thống thông tin để đảm bảo an toàn thông tin mạng.

Chương I

NHỮNG QUY ĐỊNH CHUNG

Điều 1. Phạm vi điều chỉnh

Quyết định này quy định về việc đầu tư, thuê, mua và sử dụng, khai thác máy móc, thiết bị, sản phẩm, giải pháp trong các hệ thống thông tin phục vụ Chính phủ điện tử (CPĐT), đô thị thông minh (ĐTTM), hệ thống thông tin quan trọng quốc gia, hệ thống thông tin phục vụ công tác chỉ đạo, điều hành của Đảng, Nhà nước để đảm bảo an toàn thông tin mạng.

Điều 2. Đối tượng áp dụng

1. Quyết định này áp dụng đối với các cơ quan, tổ chức, cá nhân, doanh nghiệp là chủ quản, chủ đầu tư, nhà thầu tư vấn, xây dựng, giám sát, đơn vị cung cấp dịch vụ, đơn vị vận hành khai thác hệ thống thông tin phục vụ Chính phủ điện tử, đô thị thông minh, hệ thống thông tin quan trọng quốc gia, hệ thống thông tin phục vụ chỉ đạo, điều hành của Đảng, Nhà nước, được đầu tư, thuê mua, vận hành khai thác bằng nguồn vốn ngân sách nhà nước, vốn có nguồn gốc ngân sách nhà nước hoặc vốn vay ưu đãi tín dụng đầu tư và phát triển của Nhà nước (sau đây gọi chung là nguồn vốn ngân sách).

2. Khuyến khích các cơ quan, tổ chức có hệ thống thông tin không thuộc đối tượng quy định tại Khoản 1 Điều này áp dụng các quy định tại Quyết định này khi lựa chọn để đầu tư, thuê, mua và sử dụng, khai thác máy móc, thiết bị, sản phẩm, giải pháp cho hệ thống thông tin thuộc quyền quản lý để đảm bảo an toàn thông tin mạng.

Điều 3. Giải thích từ ngữ

Trong Quyết định này các từ, ngữ sau được hiểu như sau:

1. Máy móc, thiết bị, sản phẩm, giải pháp: là các máy móc, thiết bị điện tử, viễn thông, sản phẩm, giải pháp công nghệ thông tin, an toàn thông tin, bao gồm: các sản phẩm, thiết bị phần cứng máy tính; các sản phẩm, thiết bị điện tử chuyên dụng và dân dụng; các sản phẩm, thiết bị mạng, viễn thông; các sản phẩm phần mềm; các sản phẩm nội dung thông tin số; các giải pháp tích hợp; các dịch vụ công nghệ thông tin, an toàn thông tin và các sản phẩm, dịch vụ liên quan khác.

2. Hệ thống thông tin phục vụ Chính phủ điện tử: là hệ thống thông tin phục vụ cho các hoạt động, dịch vụ Chính phủ điện tử, thuộc Khung Kiến trúc CPĐT Việt Nam, Kiến trúc CPĐT cấp bộ, Kiến trúc CPĐT cấp tỉnh và các văn bản quy định, hướng dẫn về Chính phủ điện tử:

3. Hệ thống thông tin phục vụ đô thị thông minh: là hệ thống thông tin phục vụ cho các hoạt động, dịch vụ đô thị thông minh, thuộc Khung tham chiếu ICT phát triển ĐTTM, kiến trúc ICT phát triển ĐTTM và các văn bản quy định, hướng dẫn về đô thị thông minh;

4. Hệ thống thông tin quan trọng quốc gia: là hệ thống thông tin thuộc Danh mục hệ thống thông tin quan trọng quốc gia, hoặc hệ thống thông tin từ cấp độ 3 trở lên thuộc Danh mục lĩnh vực quan trọng cần ưu tiên bảo đảm an toàn thông tin mạng;

5. Hệ thống thông tin phục vụ công tác chỉ đạo, điều hành của Đảng, Nhà nước: là hệ thống thông tin phục vụ hoạt động nội bộ, công tác chỉ đạo, điều hành của các cơ quan Đảng, cơ quan hành chính nhà nước các cấp.

Điều 4. Quy định chung về sử dụng máy móc, thiết bị, sản phẩm, giải pháp để đảm bảo an toàn thông tin mạng

1. Cơ quan, tổ chức là chủ quản, chủ đầu tư, nhà thầu tư vấn, xây dựng, đơn vị cung cấp dịch vụ, đơn vị vận hành khai thác hệ thống thông tin phục vụ Chính phủ điện tử, đô thị thông minh, hệ thống thông tin quan trọng quốc gia, hệ thống thông tin phục vụ chỉ đạo, điều hành của Đảng, Nhà nước phải đảm bảo:

a) An toàn thông tin và an ninh mạng là tiêu chí quan trọng hàng đầu được xem xét kỹ lưỡng và đầu tư thỏa đáng khi quyết định đầu tư, mua sắm, thuê dịch vụ, vận hành khai thác hệ thống thông tin;

b) Máy móc, thiết bị, sản phẩm, giải pháp trước khi được đầu tư, thuê, mua, đưa vào sử dụng trong hệ thống thông tin phải đáp ứng các yêu cầu an toàn thông tin mạng theo quy định tại Điều 7, Quyết định này;

c) Ưu tiên sử dụng máy móc, thiết bị, sản phẩm, giải pháp được sản xuất trong nước theo quy định tại Nghị định 73/2019/NĐ-CP của Chính phủ, Quyết định số 169/2006/QĐ-TTg của Thủ tướng Chính phủ và các văn bản pháp luật liên quan.

d) Trong quá trình vận hành, khai thác máy móc, thiết bị, sản phẩm, giải pháp và hệ thống thông tin phải đáp ứng yêu cầu đảm bảo an toàn thông tin mạng theo quy định tại Điều 8, Quyết định này;

đ) Máy móc, thiết bị, sản phẩm, giải pháp đã từng được sử dụng trong hệ thống thông tin phục vụ Chính phủ điện tử, đô thị thông minh, hệ thống thông tin quan trọng quốc gia, hệ thống thông tin phục vụ chỉ đạo, điều hành của Đảng, Nhà nước khi không còn được sử dụng hoặc chuyển đổi mục đích sử dụng phải đảm bảo thực hiện đầy đủ các yêu cầu bảo đảm an toàn và bảo mật dữ liệu theo quy định tại Điều 9, Quyết định này;

 2. Người đứng đầu cơ quan, tổ chức phải chịu trách nhiệm đảm bảo các quy định tại Khoản 1 Điều này được thực hiện đầy đủ. Nếu phát hiện cơ quan, tổ chức chưa thực hiện đầy đủ một hoặc một số quy định tại Khoản 1 Điều này thì Người đứng đầu các cơ quan, tổ chức liên quan phải chịu trách nhiệm trước Thủ tướng Chính phủ và trước pháp luật về sự cố mất an toàn thông tin mạng và hậu quả xảy ra đối với hệ thống thông tin quộc quyền quản lý.

Chương II

YÊU CẦU AN TOÀN THÔNG TIN MẠNG ĐỐI VỚI MÁY MÓC, THIẾT BỊ, SẢN PHẨM, GIẢI PHÁP

Điều 5. Các loại máy móc, thiết bị, sản phẩm, giải pháp cần kiểm tra, đánh giá về an toàn thông tin mạng

1. Máy móc, thiết bị, sản phẩm, giải pháp cần kiểm tra, đánh giá về an toàn thông tin mạng là các máy móc, thiết bị, sản phẩm, giải pháp được sử dụng trong các hệ thống thông tin phục vụ Chính phủ điện tử, thành phố thông minh, hệ thống thông tin quan trọng quốc gia và hệ thống thông tin phục vụ chỉ đạo, điều hành của Đảng, Nhà nước, ở tất cả các lớp: kênh truy nhập; tầng dịch vụ; tầng ứng dụng; tầng dịch vụ tích hợp, chia sẻ; tầng dữ liệu; tầng kỹ thuật, công nghệ; lớp bảo vệ an toàn thông tin, an ninh mạng.

2. Bộ Thông tin và Truyền thông ban hành và định kỳ cập nhật Danh mục các loại máy móc, thiết bị, sản phẩm, giải pháp phục vụ Chính phủ điện tử, đô thị thông minh và các hệ thống thông tin quan trọng quốc gia cần kiểm tra, đánh giá an toàn thông tin mạng (gọi tắt là Danh mục các loại máy móc, thiết bị, sản phẩm, giải pháp cần kiểm tra, đánh giá an toàn thông tin mạng) làm căn cứ thực hiện Quyết định này và quy định của Nhà nước về ưu tiên lựa chọn, sử dụng sản phẩm, giải pháp công nghệ thông tin, an toàn thông tin được sản xuất trong nước.

Điều 6. Yêu cầu kiểm tra, đánh giá an toàn thông tin mạng đối với máy móc, thiết bị, sản phẩm, giải pháp trước khi đưa vào sử dụng

1. Máy móc, thiết bị, sản phẩm, giải pháp phục vụ Chính phủ điện tử, đô thị thông minh và các hệ thống thông tin quan trọng quốc gia trước khi đưa vào sử dụng cần được kiểm tra đánh giá an toàn thông tin mạng theo các nhóm yêu cầu chính sau:

a) Yêu cầu về chức năng, tính năng và chất lượng: đảm bảo các chức năng, tính năng chính tương ứng với chủng loại sản phẩm; chất lượng sản phẩm tốt; thuận tiện trong lắp đặt, sử dụng.

b) Yêu cầu về công nghệ, tiêu chuẩn kỹ thuật: được chứng nhận phù hợp tiêu chuẩn với Tiêu chuẩn Quốc gia (TCVN) hoặc tiêu chuẩn của các tổ chức tiêu chuẩn hoá quốc tế, hoặc được Bộ Thông tin và Truyền thông đánh giá đáp ứng yêu cầu về kỹ thuật an toàn thông tin mạng; không sử dụng các công nghệ, kỹ thuật bị cấm hoặc bị khuyến cáo có lỗ hổng, nguy cơ mất an toàn thông tin mạng;

c) Yêu cầu đối với năng lực của đơn vị cung cấp: đơn vị phân phối, cung cấp phải có đăng ký kinh doanh, giấy phép theo quy định của pháp luật; có đội ngũ nhân lực chuyên môn, kỹ thuật để triển khai, lắp đặt và hỗ trợ vận hành, khai thác; có chính sách, dịch vụ hỗ trợ sau bán hàng tốt; có quy trình hoạt động đạt tiêu chuẩn chất lượng theo quy định.

d) Yêu cầu về nguồn gốc sản phẩm, giải pháp và uy tín của hãng sản xuất: sản phẩm, giải pháp phải có nguồn gốc, xuất xứ rõ ràng; hãng sản xuất phải có uy tín, không bị các tổ chức, quốc gia trên thế giới hoặc các cơ quan chức năng của Việt Nam khuyến cáo có thể gây mất an toàn thông tin, an ninh mạng;

đ) Ưu tiên sử dụng các máy móc, thiết bị, sản phẩm, giải pháp sản xuất trong nước.

2. Bộ Thông tin và Truyền thông có trách nhiệm:

a) Căn cứ Khoản 1 Điều này, xây dựng các tiêu chí, chỉ tiêu cụ thể về an toàn thông tin mạng đối với máy móc, thiết bị, sản phẩm, giải pháp cho hệ thống thông tin phục vụ Chính phủ điện tử, thành phố thông minh, hệ thống thông tin quan trọng quốc gia và hệ thống thông tin phục vụ chỉ đạo, điều hành của Đảng, Nhà nước. Hướng dẫn thực hiện kiểm tra, đánh giá an toàn thông tin cho các hệ thống thông tin cấp độ 3 trở lên.

b) Tổ chức đánh giá, chứng nhận và công bố Danh mục máy móc, thiết bị, sản phẩm, giải pháp đáp ứng được yêu cầu về an toàn thông tin mạng cho các hệ thống thông tin cấp độ 3 trở lên làm căn cứ thực hiện Quyết định này cũng như thực hiện quy định của Nhà nước về ưu tiên lựa chọn, sử dụng sản phẩm, giải pháp công nghệ thông tin, an toàn thông tin được sản xuất trong nước. Theo đặc tính của loại máy móc, thiết bị, sản phẩm, giải pháp, dịch vụ, Cơ quan được Bộ Thông tin và Truyền thông giao đánh giá quyết định việc kiểm tra, đánh giá được thực hiện theo hình thức chọn mẫu hoặc kiểm tra từng sản phẩm, giải pháp, dịch vụ.

c) Tổ chức đánh giá, cấp phép, chứng nhận và công bố Danh mục các tổ chức, doanh nghiệp được cấp phép và đủ năng lực sản xuất, cung cấp sản phẩm, giải pháp, dịch vụ an toàn thông tin, an ninh mạng cho các hệ thống thông tin phục vụ Chính phủ điện tử, thành phố thông minh, hệ thống thông tin quan trọng quốc gia và hệ thống thông tin phục vụ chỉ đạo, điều hành của Đảng, Nhà nước để các cơ quan, tổ chức căn cứ lựa chọn, thuê, mua, sử dụng.

3. Bộ Quốc phòng có trách nhiệm:

a) Căn cứ Khoản 1 Điều này, xây dựng và ban hành các tiêu chí, chỉ tiêu cụ thể về an toàn thông tin mạng đối với máy móc, thiết bị, sản phẩm, giải pháp phục vụ các hệ thống thông tin thuộc quyền quản lý.

b) Tổ chức kiểm tra, đánh giá, lựa chọn các máy móc, thiết bị, sản phẩm, giải pháp sử dụng trong các hệ thống thông tin thuộc lĩnh vực Quốc phòng.

4. Bộ Công an có trách nhiệm:

a) Căn cứ Khoản 1 Điều này, xây dựng và ban hành các tiêu chí, chỉ tiêu cụ thể về an toàn thông tin mạng đối với máy móc, thiết bị, sản phẩm, giải pháp phục vụ các hệ thống thông tin thuộc quyền quản lý.

b) Tổ chức kiểm tra, đánh giá, lựa chọn các máy móc, thiết bị, sản phẩm, giải pháp sử dụng trong các hệ thống thông tin thuộc ngành Công an.

5. Các Bộ, Cơ quan trung ương, Tỉnh, Thành phố trực thuộc trung ương, chủ quản hệ thống thông tin, chủ đầu tư mua sắm, xây dựng hệ thống thông tin phục vụ Chính phủ điện tử, thành phố thông minh, hệ thống thông tin quan trọng quốc gia và hệ thống thông tin phục vụ chỉ đạo, điều hành của Đảng, Nhà nước có trách nhiệm:

a) Tuân thủ việc kiểm tra, đánh giá an toàn thông tin mạng trước khi đưa vào sử dụng đối với tất cả các máy móc, thiết bị, sản phẩm giải pháp thuộc loại phải kiểm tra, đánh giá theo quy định tại Quyết định này và hướng dẫn của Bộ Thông tin và Truyền thông;

b) Lựa chọn, sử dụng các máy móc, thiết bị, sản phẩm, giải pháp đã được Bộ Thông tin và Truyền thông chứng nhận, công bố đáp ứng yêu cầu về an toàn thông tin mạng cho các hệ thống thông tin từ cấp độ 3 trở lên. Tổ chức kiểm tra, đánh giá an toàn thông tin mạng để lựa chọn, sử dụng máy móc, thiết bị, sản phẩm, giải pháp cho các hệ thống thông tin dưới cấp độ 3. Ưu tiên lựa chọn, sử dụng các máy móc, thiết bị, sản phẩm, giải pháp sản xuất trong nước.

Điều 7. Yêu cầu đảm bảo an toàn thông tin mạng đối với máy móc, thiết bị, sản phẩm, giải pháp và hệ thống thông tin trong quá trình vận hành, khai thác

1. Yêu cầu kiểm tra, đánh giá an toàn thông tin mạng

Chủ quản hệ thống thông tin, đơn vị quản lý, vận hành hệ thống thông tin phục vụ Chính phủ điện tử, thành phố thông minh, hệ thống thông tin quan trọng quốc gia và hệ thống thông tin phục vụ chỉ đạo, điều hành của Đảng, Nhà nước có trách nhiệm:

a) Lựa chọn, thuê tổ chức, doanh nghiệp đủ điều kiện và độc lập với tổ chức, doanh nghiệp thực hiện gói thầu mua sắm, đầu tư xây dựng hệ thống thông tin hoặc tổ chức, doanh nghiệp giám sát, bảo vệ hệ thống thông tin để kiểm tra đánh giá lần đầu và định kỳ kiểm tra, đánh giá an toàn thông tin mạng đối với hệ thống thông tin cấp độ 3 trở lên thuộc quyền quản lý hoặc kiểm tra, đánh giá đột xuất khi có yêu cầu theo quy định của pháp luật;

b) Đối với các hệ thống thông tin cấp độ 3 và cấp độ 4, định kỳ hàng năm thực hiện kiểm tra, đánh giá tổng thể và báo cáo Bộ Thông tin và Truyền thông trước ngày 14 tháng 12 để tổng hợp, báo cáo Thủ tướng Chính phủ; Đối với hệ thống thông tin cấp độ 5 định kỳ 06 tháng một lần thực hiện kiểm tra, đánh giá và báo cáo Bộ Thông tin và Truyền thông trước ngày 14 tháng 6 và ngày 14 tháng 12 hàng năm để tổng hợp, báo cáo Thủ tướng Chính phủ;

c) Triển khai các giải pháp để liên tục theo dõi, giám sát, kiểm tra, phát hiện các điểm yếu, lỗ hổng, rủi ro an toàn thông tin mạng đối với máy móc, thiết bị, sản phẩm, giải pháp và hệ thống thông tin;

d) Thực hiện ngay việc xử lý các điểm yếu, lỗ hổng, rủi ro phát hiện được. Cập nhật kịp thời các bản vá lỗi, vá lỗ hổng đối với máy móc, thiết bị, sản phẩm, giải pháp.

2. Yêu cầu giám sát, ứng cứu sự cố, bảo vệ an toàn thông tin mạng đối với hệ thống thông tin.

Chủ quản hệ thống thông tin, đơn vị quản lý, vận hành hệ thống thông tin phục vụ Chính phủ điện tử, thành phố thông minh, hệ thống thông tin quan trọng quốc gia và hệ thống thông tin phục vụ chỉ đạo, điều hành của Đảng, Nhà nước có trách nhiệm:

a) Thuê tổ chức, doanh nghiệp có đủ điều kiện, năng lực hoặc tự thực hiện giám sát, ứng cứu sự cố an toàn thông tin mạng, bảo vệ hệ thống thông tin thuộc quyền quản lý; đảm bảo hệ thống đáp ứng các yêu cầu an toàn vật lý, an thông tin mạng; và được bảo vệ 24/7;

b) Thông báo, cập nhật khi có thay đổi thông tin đầu mối thực hiện giám sát, ứng cứu sự cố an toàn thông tin mạng về Bộ Thông tin và Truyền thông (cục An toàn thông tin) để phối hợp thực hiện;

c) Kết nối kỹ thuật, chia sẻ thông tin với các hệ thống liên quan của Cục An toàn thông tin, Bộ Thông tin và Truyền thông;

d) Thực hiện dự phòng rủi ro; chuẩn bị sẵn sàng nhân lực, vật lực và tài lực để kịp thời ứng cứu, xử lý sự cố an toàn thông tin mạng cả về quản lý, kỹ thuật và truyền thông, đảm bảo giảm thiểu ảnh hưởng, thiệt hại khi xảy ra sự cố.

Điều 8. Yêu cầu bảo đảm an toàn và bảo mật dữ liệu khi máy móc, thiết bị, sản phẩm, giải pháp không còn được sử dụng hoặc chuyển đổi mục đích sử dụng.

1. Máy móc, thiết bị, sản phẩm, giải pháp đã được sử dụng trong các hệ thống thông tin phục vụ Chính phủ điện tử, đô thị thông minh và các hệ thống thông tin quan trọng quốc gia khi không còn được sử dụng do hư hỏng, hết khấu hao, hao mòn hoặc chuyển đổi mục đích sử dụng thì Chủ quản hệ thống thông tin và đơn vị quản lý, vận hành phải thực hiện các biện pháp sau:

a) Sao lưu toàn bộ dữ liệu, cấu hình trên máy móc, thiết bị, sản phẩm, giải pháp để dự phòng phục vụ cho công tác thay thế, vận hành, sửa chữa, ứng cứu sự cố cho hệ thống thông tin;

b) Xóa bỏ toàn bộ dữ liệu đã được lưu trên máy móc, thiết bị, sản phẩm, giải pháp; Có biện pháp xóa vĩnh viễn hoặc hủy bỏ nếu cần đối với các thiết bị/cấu phần lưu trữ dữ liệu.

c) Kiểm tra, đánh giá đảm bảo không có khả năng dữ liệu bị khôi phục trái phép sau khi xóa bỏ, hủy bỏ.

d) Thực hiện các biện pháp khác để bảo mật dữ liệu theo quy định pháp luật hoặc yêu cầu của cơ quan có thẩm quyền.

2. Đơn vị quản lý, vận hành hệ thống thông tin tổ chức thực hiện và lập biên bản xác nhận thực hiện các nội dung yêu cầu tại Mục 1, Điều này. Chủ quản hệ thống thông tin có trách nhiệm chỉ đạo và kiểm soát quá trình thực hiện nghiêm túc, đúng quy định.

2. Việc hủy bỏ, thay đổi mục đích sử dụng thiết bị, máy móc thuộc hệ thống thông tin Chính phủ điện tử được lập thành biên bản và được lưu trữ tối thiểu 05 năm.

Điều 9. Xác định và khuyến cáo các máy móc, thiết bị, sản phẩm, giải pháp có nguy cơ gây mất an toàn thông tin, an ninh mạng

1. Máy móc, thiết bị, sản phẩm, giải pháp sẽ bị xem xét, thẩm định, xác minh để khuyến cáo có nguy cơ gây mất an toàn, an ninh mạng khi có dấu hiệu sau:

a) Có tổ chức, doanh nghiệp có thẩm quyền kiểm tra, đánh giá và xác định có lỗ hổng nghiêm trọng hoặc có cửa hậu, mã độc cài đặt sẵn có thể gây mất an toàn, an ninh mạng;

b) Có cơ quan chức năng có thẩm quyền của Việt Nam cảnh báo có nguy cơ gây mất an toàn, an ninh mạng;

c) Có tổ chức quốc tế hoặc quốc gia có uy tín trên thế giới khuyến cáo có nguy cơ gây mất an toàn, an ninh mạng.

2. Bộ Thông tin và Truyền thông chủ trì, phối hợp với bộ Quốc phòng, Bộ Công an thực hiện thẩm định, xác minh máy móc, thiết bị, sản phẩm, giải pháp có nguy cơ gây mất an toàn, an ninh mạng để khuyến cáo không sử dụng.

3. Việc khuyến cáo máy móc, thiết bị, sản phẩm, giải pháp có nguy cơ gây mất an toàn, an ninh mạng có thể thực hiện theo hình thức công khai hoặc bí mật tùy theo độ phức tạp, tính nhạy cảm và mức ảnh hưởng của vấn đề.  Bộ Thông tin và Truyền thông chủ trì, phối hợp với Bộ Quốc phòng, Bộ Công an xem xét, quyết định khuyến cáo theo hình thức công khai hay bí mật, trường hợp cần thiết báo cáo xin ý kiến của Thủ tướng Chính phủ.

4. Chủ quản hệ thống thông tin, chủ đầu tư mua sắm, xây dựng hệ thống thông tin phục vụ Chính phủ điện tử, thành phố thông minh, hệ thống thông tin quan trọng quốc gia và hệ thống thông tin phục vụ chỉ đạo, điều hành của Đảng, Nhà nước có trách nhiệm:

a) Không sử dụng máy móc, thiết bị, sản phẩm, giải pháp đã được cơ quan có thẩm quyền khuyến cáo có nguy cơ gây mất an toàn, an ninh mạng trong trong các gói thầu, dự án mua sắm, đầu tư hệ thống thông tin thuộc quyền quản lý;

b) Rà soát định kỳ và đột xuất ngay khi có khuyến cáo của cơ quan có thẩm quyền về máy móc, thiết bị, sản phẩm, giải pháp có nguy cơ gây mất an toàn, an ninh mạng để xác định trong hệ thống thông tin thuộc quyền quản lý có đang sử dụng máy móc, thiết bị, sản phẩm, giải pháp bị cơ quan có thẩm quyền khuyến cáo có nguy cơ gây mất an toàn, an ninh mạng. Lập phương án và thực hiện xử lý, khắc phục hoặc thay thế ngay nếu đang sử dụng máy móc, thiết bị, sản phẩm, giải pháp này để đảm bảo an toàn, an ninh mạng.

Chương III

QUY ĐỊNH VỀ VIỆC ĐẦU TƯ, THUÊ, MUA, SỬ DỤNG MÁY MÓC, THIẾT BỊ, SẢN PHẨM, GIẢI PHÁP BẰNG VỐN NGÂN SÁCH NHÀ NƯỚC

Cơ quan chủ quản hệ thống thông tin, cơ quan có thẩm quyền quyết định đầu tư, thuê, mua, đơn vị thẩm định, đơn vị chủ đầu tư, nhà thầu tư vấn, nhà thầu cung cấp, đơn vị giám sát cho các dự án, gói thầu đầu tư, thuê, mua máy móc, thiết bị, sản phẩm, giải pháp cho hệ thống thông tin phục vụ Chính phủ điện tử, đô thị thông minh, hệ thống thông tin quan trọng quốc gia và hệ thống thông tin phục vụ chỉ đạo, điều hành của Đảng, Nhà nước phải tuân thủ các quy định tại các Điều 11, 12, 13 dưới đây.

Điều 10. Quy định khi chuẩn bị đầu tư, thuê, mua máy móc, thiết bị, sản phẩm, giải pháp

Cơ quan, đơn vị có trách nhiệm liên quan phải đảm bảo:

1. Trong hồ sơ báo cáo nghiên cứu tiền khả thi, báo cáo đề xuất chủ trương đầu tư, báo cáo nghiên cứu khả thi, báo cáo kinh tế - kỹ thuật, thiết kế cơ sở:

a) Phải định hướng lựa chọn, sử dụng các máy móc, thiết bị, sản phẩm, giải pháp đáp ứng các yêu cầu an toàn thông tin mạng theo quy định tại Điều 7, Quyết định này;

b) Đưa ra yêu cầu không lựa chọn các máy móc, thiết bị, sản phẩm, giải pháp chưa được kiểm tra, đánh giá an toàn thông tin mạng; hoặc máy móc, thiết bị, sản phẩm, giải pháp bị khuyến cáo có nguy cơ gây mất an toàn thông tin, an ninh mạng theo quy định tại Điều 7, Quyết định này;

b) Ưu tiên sử dụng máy móc, thiết bị, sản phẩm, giải pháp được sản xuất trong nước theo quy định tại Nghị định 73/2019/NĐ-CP của Chính phủ, Quyết định số 169/2006/QĐ-TTg của Thủ tướng Chính phủ và các văn bản pháp luật liên quan.

2. Trong văn bản thẩm định đối với hồ sơ báo cáo nghiên cứu tiền khả thi, báo cáo đề xuất chủ trương đầu tư, báo cáo nghiên cứu khả thi, báo cáo kinh tế - kỹ thuật, thiết kế cơ sở đã có đánh giá, thẩm định đáp ứng các yêu cầu quy định tại các điểm a, b, c khoản 1, Điều này.

3. Người có thẩm quyền phê duyệt không thực hiện phê duyệt báo cáo nghiên cứu tiền khả thi, báo cáo đề xuất chủ trương đầu tư, báo cáo nghiên cứu khả thi, báo cáo kinh tế - kỹ thuật, thiết kế cơ sở nếu hồ sơ đề xuất hoặc văn bản thẩm định không đáp ứng các yêu cầu quy định tại các điểm a, b, c khoản 1, và khoản 2 Điều này.

Điều 11. Quy định khi thực hiện đầu tư, thuê, mua máy móc, thiết bị, sản phẩm, giải pháp

Cơ quan, đơn vị có trách nhiệm liên quan phải đảm bảo:

1. Trong hồ sơ báo cáo thiết kế chi tiết và dự toán, kế hoạch mua sắm, kế hoạch thuê dịch vụ, hồ sơ mời thầu, chào hàng, biên bản thương thảo hợp đồng và hợp đồng:

a) Phải lựa chọn, sử dụng các máy móc, thiết bị, sản phẩm, giải pháp đáp ứng các yêu cầu an toàn thông tin mạng theo quy định tại Điều 7, Quyết định này;

b) Không lựa chọn các máy móc, thiết bị, sản phẩm, giải pháp chưa được kiểm tra, đánh giá an toàn thông tin mạng; hoặc máy móc, thiết bị, sản phẩm, giải pháp bị khuyến cáo có nguy cơ gây mất an toàn thông tin, an ninh mạng theo quy định tại Điều 7, Quyết định này;

c) Ưu tiên sử dụng máy móc, thiết bị, sản phẩm, giải pháp được sản xuất trong nước theo quy định tại Nghị định 73/2019/NĐ-CP của Chính phủ, Quyết định số 169/2006/QĐ-TTg của Thủ tướng Chính phủ và các văn bản pháp luật liên quan.

d) Các cơ quan, tổ chức, doanh nghiệp được phép cộng chi phí thực hiện kiểm tra, đánh giá an toàn thông tin mạng vào giá của máy móc, thiết bị, sản phẩm, giải pháp khi lập dự toán, báo giá, hồ sơ dự thầu, hợp đồng và các tài liệu liên quan khác.

2. Trong văn bản thẩm định, thẩm tra đối với hồ sơ báo cáo thiết kế chi tiết và dự toán, kế hoạch mua sắm, kế hoạch thuê dịch vụ, hồ sơ mời thầu, chào hàng, biên bản thương thảo hợp đồng và hợp đồng đã có đánh giá, thẩm định đáp ứng các yêu cầu quy định tại các điểm a, b, c khoản 1, Điều này.

3. Người có thẩm quyền phê duyệt, ký kết không thực hiện phê duyệt, ký hồ sơ báo cáo thiết kế chi tiết và dự toán, kế hoạch mua sắm, kế hoạch thuê dịch vụ, hồ sơ mời thầu, chào hàng, biên bản thương thảo hợp đồng và hợp đồng nếu hồ sơ hoặc văn bản thẩm định, thẩm tra không đáp ứng các yêu cầu quy định tại các điểm a, b, c khoản 1, và khoản 2 Điều này.

4. Trong quá trình thực hiện hợp đồng, phải giám sát đảm bảo các máy móc, thiết bị, sản phẩm, giải pháp được bàn giao, lắp đặt trong gói thầu, dự án đáp ứng được các yêu cầu về an toàn thông tin mạng theo quy định tại Điều 7, Điều 10 Quyết định này. Trường hợp đặc biệt phải sử dụng máy móc, thiết bị, sản phẩm, giải pháp chưa được kiểm tra, đánh giá an toàn thông tin mạng thì phải xin ý kiến và được sự đồng thuận bằng văn bản của Bộ Thông tin và Truyền thông.

5. Khi tổ chức kiểm thử, vận hành thử toàn bộ hệ thống, phải tiến hành kiểm tra, đánh giá an toàn thông tin mạng lần đầu cho hệ thống thông tin trước khi đưa vào vận hành, khai thác theo quy định tại Điều 8, Quyết định này. Đảm bảo các máy móc, thiết bị, sản phẩm, giải pháp đã được thiết lập cấu hình bảo mật, xử lý điểm yếu, lỗ hổng an toàn thông tin trước khi đưa vào khai thác, sử dụng.

Điều 12. Quy định khi đưa máy móc, thiết bị, sản phẩm, giải pháp vào khai thác, sử dụng

1. Máy móc, thiết bị, sản phẩm, giải pháp chỉ được bàn giao, nghiệm thu để đưa vào khai thác, sử dụng sau khi đã đáp ứng các quy định tại khoản 4, 5 Điều 12 Quyết định này và các yêu cầu chất lượng theo quy định pháp luật.

2. Trong quá trình vận hành, khai thác phải tuân thủ các yêu cầu đảm bảo an toàn thông tin mạng theo quy định tại các Điều 8, 9 Quyết định này.

Chương IV

TỔ CHỨC THỰC HIỆN

Điều 13. Trách nhiệm của Bộ Thông tin và Truyền thông

1. Chủ trì hướng dẫn và tổ chức thực hiện Quyết định này. Tổ chức phổ biến nội dung Quyết định đến tất cả các cơ quan, tổ chức, doanh nghiệp liên quan để quán triệt thực hiện. Thường xuyên đốc thúc, kiểm tra, giám sát việc thực hiện nội dung Quyết định. Định kỳ hàng năm yêu cầu các bộ, ngành, địa phương, cơ quan, tổ chức, doanh nghiệp báo cáo kết quả triển khai Quyết định và tổng hợp, báo cáo Thủ tướng Chính phủ.

2. Căn cứ nội dung quy định tại Quyết định này, phối hợp với các bộ, ngành liên quan rà soát, sửa đổi các văn bản pháp luật có liên quan đảm bảo thống nhất, đồng bộ trong quy định pháp luật. Báo cáo Thủ tướng Chính phủ kết quả thực hiện.

3. Chủ trì phối hợp với các cơ quan liên quan triển khai các nhiệm vụ được giao theo quy định tại Khoản 2 Điều 7, Khoản 2 Điều 8 và các nội dung khác được giao tại Quyết định này và các văn bản pháp luật liên quan.

Điều 14. Trách nhiệm của các Bộ, cơ quan trung ương, các tỉnh, thành phố trực thuộc trung ương

1. Các bộ, cơ quan ngang bộ, Ủy ban nhân dân các tỉnh, thành phố trực thuộc Trung ương, Chủ quản hệ thống thông tin phục vụ Chính phủ điện tử, đô thị thông minh, hệ thống thông tin quan trọng quốc gia và hệ thống thông tin phục vụ chỉ đạo, điều hành của Đảng, Nhà nước:

a) Tổ chức phổ biến, quán triệt thực hiện các quy định tại Quyết định này đến tất cả các cơ quan, tổ chức, doanh nghiệp, cá nhân liên quan thuộc địa bàn, lĩnh vực quản lý.

b) Đốc thúc, giám sát cơ quan, tổ chức, cá nhân liên quan tuân thủ thực hiện nghiêm quy định tại Quyết định này hướng dẫn của Bộ Thông tin và Truyền thông; Hàng năm tổng hợp tình hình thực hiện Quyết định này gửi Bộ Thông tin và Truyền thông để tổng hợp, báo cáo Thủ tướng Chính phủ;

2. Bộ Quốc phòng chủ trì triển khai các nhiệm vụ được giao tại Khoản 3 Điều 7 Quyết định này; phối hợp với Bộ Thông tin và Truyền thông và các cơ quan liên quan thực hiện quy định tại Điều 10; Triển khai quy định tại Quyết định này đối với các hệ thống thông tin thuộc quyền quản lý; và thực hiện các nội dung liên quan khác theo quy định của pháp luật.

3. Bộ Công An chủ trì triển khai các nhiệm vụ được giao tại Khoản 4 Điều 7 Quyết định này; phối hợp với Bộ Thông tin và Truyền thông và các cơ quan liên quan thực hiện quy định tại Điều 10; Triển khai quy định tại Quyết định này đối với các hệ thống thông tin thuộc quyền quản lý; thực hiện các nội dung liên quan khác theo quy định của pháp luật.

4. Bộ Tài chính chủ trì phối hợp với Bộ Thông tin và Truyền thông rà soát, sửa đổi, hướng dẫn thực hiện các văn bản pháp luật liên quan đến việc thuê, mua sản phẩm, dịch vụ bằng nguồn vốn chi thường xuyên, sự nghiệp, đảm bảo thống nhất, đồng bộ trong quy định pháp luật; Triển khai quy định tại Quyết định này đối với các hệ thống thông tin thuộc quyền quản lý; thực hiện các nội dung liên quan khác theo quy định của pháp luật.

5. Bộ Kế hoạch và Đầu tư chủ trì phối hợp với Bộ Thông tin và Truyền thông rà soát, sửa đổi, hướng dẫn thực hiện các văn bản pháp luật liên quan đến quản lý dự án, đấu thầu, đầu tư, mua sắm sản phẩm, dịch vụ bằng nguồn vốn đầu tư phát triển, đảm bảo thống nhất, đồng bộ trong quy định pháp luật. Triển khai quy định tại Quyết định này đối với các hệ thống thông tin thuộc quyền quản lý; thực hiện các nội dung liên quan khác theo quy định của pháp luật.

Điều 15. Trách nhiệm của các tổ chức, doanh nghiệp

1. Cơ quan chủ quản hệ thống thông tin, cơ quan có thẩm quyền quyết định đầu tư, thuê, mua, đơn vị thẩm định, chủ đầu tư, nhà thầu tư vấn, nhà thầu cung cấp, đơn vị giám sát cho các dự án, gói thầu đầu tư, thuê, mua máy móc, thiết bị, sản phẩm, giải pháp cho hệ thống thông tin phục vụ Chính phủ điện tử, đô thị thông minh, hệ thống thông tin quan trọng quốc gia và hệ thống thông tin phục vụ chỉ đạo, điều hành của Đảng, Nhà nước quán triệt thực hiện nghiêm các quy định tại Quyết định này.

2. Các tổ chức, doanh nghiệp cung cấp các máy móc, thiết bị, sản phẩm, giải pháp thực hiện việc kiểm tra, đánh giá an toàn thông tin mạng cho sản phẩm của mình theo quy định tại Điều 7 Quyết định này trước khi cung cấp, chuyển giao để sử dụng trong các hệ thống thông tin phục vụ Chính phủ điện tử, đô thị thông minh, hệ thống thông tin quan trọng quốc gia và hệ thống thông tin phục vụ chỉ đạo, điều hành của Đảng, Nhà nước. Chi phí thực hiện kiểm tra, đánh giá an toàn thông tin mạng cộng chung vào giá máy móc, thiết bị, sản phẩm, giải pháp khi báo giá, chào hàng, chào thầu cho các cơ quan, tổ chức liên quan.

Điều 16. Điều khoản thi hành

1. Quyết định này có hiệu lực thi hành kể từ ngày ….

2. Nếu có phát sinh khó khăn, vướng mắc trong quá trình thực hiện, các cơ quan, tổ chức phản ánh về Bộ Thông tin và Truyền thông để xử lý theo thẩm quyền hoặc tổng hợp, báo cáo Thủ tướng Chính phủ xem xét, quyết định.

3. Các Bộ trưởng, Thủ trưởng cơ quan ngang Bộ, Thủ trưởng cơ quan thuộc Chính phủ, Chủ tịch Ủy ban nhân dann các tỉnh, thành phố trực thuộc Trung ương và các tổ chức, doanh nghiệp, cá nhân có liên quan chịu trách nhiệm thi hành Quyết định này./.