Quy định về dịch vụ công nghệ thông tin

Các hoạt động ứng dụng công nghệ thông tin thuộc phạm vi điều chỉnh của Nghị định số 73/2019/NĐ-CP ngày 05 tháng 9 năm 2019 quy định quản lý đầu tư ứng dụng công nghệ thông tin sử dụng nguồn vốn ngân sách nhà nước, phải ưu tiên đầu tư, thuê, mua sắm sản phẩm, dịch vụ công nghệ thông tin sản xuất trong nước.

Bộ Thông tin và Truyền thông ban hành tiêu chí chi tiết xác định và công bố danh mục các sản phẩm, dịch vụ công nghệ thông tin sản xuất trong nước được ưu tiên đầu tư, thuê, mua sắm; danh mục sản phẩm phần mềm nguồn mở dùng chung đáp ứng yêu cầu sử dụng trong cơ quan nhà nước; danh mục các doanh nghiệp có sản phẩm đáp ứng các tiêu chí ưu tiên đầu tư, thuê, mua sắm. Đối với sản phẩm phần mềm phục vụ chuyên ngành, Bộ Thông tin và Truyền thông có trách nhiệm phối hợp và thống nhất với Bộ quản lý chuyên ngành trước khi ban hành.

Vậy, Các tiêu chí xác định sản phẩm, dịch vụ công nghệ thông tin sản xuất trong nước được ưu tiên đầu tư, thuê, mua sắm được quy định như thế nào ?

Ở phần 1, Luật Hoàng Anh đã trình bày các quy định về Tiêu chí chung đối với sản phẩm, dịch vụ được ưu tiên; Tiêu chí cụ thể đối với sản phẩm phần cứng được ưu tiên; Tiêu chí cụ thể đối với sản phẩm phần mềm được ưu tiên; Tiêu chí cụ thể đối với sản phẩm nội dung thông tin số ưu tiên. Sau đây, Luật Hoàng Anh xin trình bày tiếp các quy định về tiêu chí xác định sản phẩm, dịch vụ công nghệ thông tin sản xuất trong nước được ưu tiên đầu tư, thuê, mua sắm.

Căn cứ theo Điều 9 của Thông tư số 40/2020/TT-BTTTT ngày 30 tháng 11 năm 2020 quy định tiêu chí xác định sản phẩm, dịch vụ công nghệ thông tin sản xuất trong nước được ưu tiên đầu tư, thuê, mua sắm, Bộ trưởng Bộ Thông tin và Truyền thông quy định dịch vụ phải đáp ứng đồng thời các tiêu chí:

1. Do tổ chức, doanh nghiệp, cá nhân Việt Nam thực hiện cung cấp dịch vụ.

2. Tiêu chí về tiêu chuẩn chất lượng, an toàn bảo mật của dịch vụ

a) Sản xuất bởi tổ chức, doanh nghiệp Việt Nam có Giấy chứng nhận phù hợp tiêu chuẩn về hệ thống quản lý ISO 9001 hoặc tiêu chuẩn ISO/IEC 27001 được cấp bởi tổ chức chứng nhận đã đăng ký hoặc tương đương;

b) Hệ thống máy chủ cung cấp dịch vụ (nếu có) đặt tại Việt Nam. Đối với dịch vụ điện toán đám mây phải đáp ứng bộ tiêu chí, chỉ tiêu kỹ thuật theo hướng dẫn của Bộ Thông tin và Truyền thông;

c) Có các biện pháp bảo đảm an toàn, bí mật thông tin, dữ liệu của khách hàng đối với các dịch vụ có liên quan đến lưu trữ, xử lý dữ liệu của khách hàng. Đối với các dịch vụ an toàn thông tin mạng thì thực hiện theo quy định của Luật An toàn thông tin mạng.

3. Đối với dịch vụ công nghệ thông tin sẵn có trên thị trường: dịch vụ đã được triển khai cung cấp tối thiểu cho 03 cơ quan, tổ chức.

4. Tỷ lệ chi phí cho nghiên cứu, phát triển dịch vụ trên tổng doanh thu dịch vụ đó của doanh nghiệp trong 03 năm gần nhất đạt từ 3% trở lên.

Căn cứ theo Điều 10 của Thông tư số 40/2020/TT-BTTTT ngày 30 tháng 11 năm 2020 quy định tiêu chí xác định sản phẩm, dịch vụ công nghệ thông tin sản xuất trong nước được ưu tiên đầu tư, thuê, mua sắm, Bộ trưởng Bộ Thông tin và Truyền thông quy định về việc thực hiện ưu tiên như sau:

1. Các cơ quan, tổ chức khi hoạt động ứng dụng công nghệ thông tin để đầu tư, thuê, mua sắm sản phẩm, dịch vụ công nghệ thông tin phải:

a) Đưa ra các tiêu chí chung và các tiêu chí riêng biệt cụ thể dối với từng sản phẩm, dịch vụ  vào các nội dung phù hợp trong các tài liệu như: Báo cáo nghiên cứu khả thi, Thiết kế cơ sở, Thiết kế chi tiết, Kế hoạch thuê;

b) Không đưa ra các yêu cầu, điều kiện, tính năng mang tính chỉ định cho sản phẩm, dịch vụ công nghệ thông tin nước ngoài, hoặc có thể dẫn tới việc loại bỏ các sản phẩm, dịch vụ được ưu tiên trong các tài liệu như: Báo cáo nghiên cứu khả thi, Thiết kế cơ sở, Thiết kế chi tiết, Kế hoạch thuê.

2. Trong trường hợp không lựa chọn đầu tư, thuê, mua sắm sản phẩm, dịch vụ được ưu tiên thì cơ quan, tổ chức phải giải trình, nêu rõ lý do. Các nội dung giải trình bao gồm: thuyết minh sự cần thiết và yêu cầu đặc thù mà sản phẩm, dịch vụ được ưu tiên không đáp ứng được.

Căn cứ theo Điều 11 của Thông tư số 40/2020/TT-BTTTT ngày 30 tháng 11 năm 2020 quy định tiêu chí xác định sản phẩm, dịch vụ công nghệ thông tin sản xuất trong nước được ưu tiên đầu tư, thuê, mua sắm, Bộ trưởng Bộ Thông tin và Truyền thông quy định về việc công bố sản phẩm, dịch vụ được ưu tiên như sau:

1. Tổ chức, doanh nghiệp, cá nhân có sản phẩm, dịch vụ được ưu tiên

a) Chủ động đánh giá, công bố, cập nhật thông tin về sản phẩm, dịch vụ được ưu tiên trên phương tiện thông tin đại chúng, trang thông tin điện tử của tổ chức, doanh nghiệp theo các thông tin quy định tại Phụ lục I kèm theo Thông tư 40/2020/TT-BTTTT;

b) Gửi thông báo tới Sở Thông tin và Truyền thông (sau đây gọi là Sở) trên địa bàn đăng ký kinh doanh của doanh nghiệp bằng văn bản hoặc thông qua Trang/Cổng thông tin điện tử của Sở;

c) Bảo đảm chất lượng sản phẩm, dịch vụ được ưu tiên như thông tin đã công bố trong suốt quá trình cung cấp sản phẩm, dịch vụ được ưu tiên; chịu hoàn toàn trách nhiệm về tính chính xác của các thông tin liên quan đến sản phẩm, dịch vụ được ưu tiên đã công bố.

2. Sở Thông tin và Truyền thông có trách nhiệm

a) Tiếp nhận, xem xét tính hợp lệ, đầy đủ các thông tin do doanh nghiệp đã công bố về sản phẩm, dịch vụ được ưu tiên và công bố thông tin về sản phẩm, dịch vụ được ưu tiên trên Cổng/Trang thông tin điện tử của Sở;

b) Trên cơ sở tiếp nhận đầy đủ thông tin từ doanh nghiệp, Sở thực hiện theo tình hình thực tế hoặc định kỳ 06 tháng tổng hợp, lập báo cáo và gửi thông tin sản phẩm, dịch vụ được ưu tiên của các doanh nghiệp về Bộ Thông tin và Truyền thông theo mẫu quy định tại Phụ lục II kèm theo Thông tư 40/2020/TT-BTTTT;

c) Tiến hành đánh giá, hậu kiểm, xử lý theo thẩm quyền đối với các sản phẩm, dịch vụ được ưu tiên do doanh nghiệp đã công bố không phù hợp với quy định.

3. Bộ Thông tin và Truyền thông có trách nhiệm

a) Trên cơ sở văn bản đề nghị của Sở, Bộ Thông tin và Truyền thông cập nhật và công bố Danh mục sản phẩm, dịch vụ được ưu tiên và các thông tin liên quan theo quy định tại Phụ lục III kèm theo Thông tư 40/2020/TT-BTTTT và đăng tải lên Cổng thông tin điện tử tại địa chỉ www.mic.gov.vn để áp dụng thực hiện trên toàn quốc;

b) Trong trường hợp cần thiết, Bộ Thông tin và Truyền thông tổ chức kiểm tra sự đáp ứng về tiêu chí của sản phẩm, dịch vụ được ưu tiên đã được các tổ chức, doanh nghiệp công bố; đăng tải kết quả kiểm tra lên Cổng thông tin điện tử tại địa chỉ www.mic.gov.vn. Trường hợp phát hiện sản phẩm, dịch vụ được ưu tiên đã công bố không đạt tiêu chí, Bộ Thông tin và Truyền thông xử lý theo quy định pháp luật.

Luật Hoàng Anh

Bản quyền © 2010-2020 bởi Liên đoàn Thương mại và Công nghiệp Việt Nam - VCCI 
Số 9 Đào Duy Anh, Đống Đa, Hà Nội, Việt Nam 

Quản lý và vận hành: Trung tâm Thông tin Kinh tế  Tổng đài - Lễ tân: Tel: +84-4-35742022; Fax: +84-4-35742020 

Phụ trách website: Tel: +84-4-35743084; Fax: +84-4-35742773; Email: ; Website: www.vcci.org.vn; www.vcci.com.vn; www.vcci.net.vn

Liên hệ quảng cáo: +84-4-35743084 DĐ: 090 99 33 557

Mục lục bài viết

• 1. Cơ sở pháp lý bảo đảm an toàn hoạt động ngân hàng
• 2. Bên thứ ba là những ai?
• 3. Các nguyên tắc chung về sử dụng dịch vụ của bên thứ ba
• 4. Các yêu cầu khi sử dụng dịch vụ của bên thứ ba
• 5. Tiêu chí lựa chọn bên thứ ba cung cấp dịch vụ điện toán đám mây
• 6. Hợp đồng sử dụng dịch vụ với bên thứ ba
• 7. Trách nhiệm của tổ chức trong quá trình sử dụng dịch vụ của bên thứ ba

1. Cơ sở pháp lý bảo đảm an toàn hoạt động ngân hàng

Luật Ngân hàng nhà nước Việt Nam;

Luật Các tổ chức tín dụng;

Nghị định 88/2019/NĐ-CP;

Thông tư 09/2020/TT-NHNN

2. Bên thứ ba là những ai?

Bên thứ ba là các cá nhân, doanh nghiệp (không bao gồm tổ chức tín dụng nước ngoài và các thành viên thuộc tổ chức tín dụng nước ngoài trong trường hợp tổ chức là đơn vị phụ thuộc, hiện diện thương mại tại Việt Nam của tổ chức tín dụng nước ngoài) có thỏa thuận bằng văn bản (gọi chung là hợp đồng sử dụng dịch vụ) với tổ chức nhằm cung cấp dịch vụ công nghệ thông tin.

3. Các nguyên tắc chung về sử dụng dịch vụ của bên thứ ba

Khi sử dụng dịch vụ công nghệ thông tin của bên thứ ba, tổ chức bảo đảm các nguyên tắc sau đây:

- Không làm suy giảm khả năng cung cấp dịch vụ liên tục của tổ chức cho khách hàng.

- Không làm suy giảm việc kiểm soát quy trình nghiệp vụ của tổ chức.

- Không làm thay đổi trách nhiệm của tổ chức trong việc bảo đảm an toàn thông tin.

- Dịch vụ công nghệ thông tin của bên thứ ba phải đáp ứng các quy định về bảo đảm an toàn thông tin của tổ chức.

4. Các yêu cầu khi sử dụng dịch vụ của bên thứ ba

Trước khi sử dụng dịch vụ của bên thứ ba triển khai cho các hệ thống thông tin từ cấp độ 3 trở lên và các hệ thống thông tin có xử lý thông tin cá nhân của khách hàng, tổ chức thực hiện:

- Đánh giá rủi ro công nghệ thông tin, rủi ro hoạt động tối thiểu bao gồm các nội dung sau:

a) Nhận diện rủi ro, phân tích, ước lượng cấp độ tổn hại, mối đe dọa đến an toàn thông tin;

b) Khả năng kiểm soát các quy trình nghiệp vụ, khả năng cung cấp dịch vụ liên tục, khả năng thực hiện nghĩa vụ cung cấp thông tin cho các cơ quan nhà nước;

c) Xác định rõ vai trò, trách nhiệm của các bên liên quan trong việc bảo đảm chất lượng dịch vụ;

d) Xây dựng các biện pháp nhằm giảm thiểu rủi ro, biện pháp phòng ngừa, ứng cứu, khắc phục sự cố;

đ) Rà soát và điều chỉnh chính sách quản lý rủi ro (nếu có).

- Trong trường hợp sử dụng dịch vụ điện toán đám mây, ngoài các yêu cầu tại khoản 1 Điều này, tổ chức thực hiện:

a) Phân loại hoạt động, nghiệp vụ dự kiến triển khai trên điện toán đám mây dựa trên đánh giá tác động của hoạt động, nghiệp vụ đó với hoạt động của tổ chức;

b) Xây dựng phương án dự phòng đối với các cấu phần của hệ thống thông tin từ cấp độ 3 trở lên. Phương án dự phòng phải được kiểm thử và đánh giá sẵn sàng thay thế cho các hoạt động, nghiệp vụ triển khai trên điện toán đám mây;

c) Xây dựng các tiêu chí lựa chọn bên thứ ba đáp ứng yêu cầu quy định tại Điều 34 Thông tư này;

d) Rà soát, bổ sung, áp dụng các biện pháp bảo đảm an toàn thông tin của tổ chức, giới hạn truy cập từ điện toán đám mây đến các hệ thống thông tin của tổ chức.

- Trường hợp thuê bên thứ ba thực hiện toàn bộ công việc quản trị hệ thống thông tin từ cấp độ 3 trở lên và các hệ thống thông tin xử lý thông tin khách hàng, tổ chức thực hiện đánh giá rủi ro theo quy định tại khoản 1 Điều này và gửi báo cáo đánh giá rủi ro cho Ngân hàng Nhà nước (Cục Công nghệ thông tin).

5. Tiêu chí lựa chọn bên thứ ba cung cấp dịch vụ điện toán đám mây

Tiêu chí lựa chọn bên thứ ba bao gồm các nội dung tối thiểu sau:

- Bên thứ ba phải là doanh nghiệp.

- Có hạ tầng công nghệ thông tin tương ứng với dịch vụ mà tổ chức sử dụng đáp ứng các yêu cầu sau:

a) Các quy định của pháp luật Việt Nam;

b) Có chứng nhận quốc tế còn hiệu lực về bảo đảm an toàn thông tin.

6. Hợp đồng sử dụng dịch vụ với bên thứ ba

Hợp đồng sử dụng dịch vụ ký kết với bên thứ ba triển khai cho các hệ thống thông tin từ cấp độ 3 trở lên và các hệ thống thông tin có xử lý thông tin cá nhân của khách hàng phải có tối thiểu những nội dung sau:

- Cam kết của bên thứ ba về bảo đảm an toàn thông tin bao gồm:

a) Không sao chép, thay đổi, sử dụng hay cung cấp dữ liệu của tổ chức sử dụng dịch vụ cho cá nhân, tổ chức khác, trừ trường hợp có yêu cầu của cơ quan nhà nước có thẩm quyền theo quy định của pháp luật; trong trường hợp này, bên thứ ba phải thông báo cho tổ chức sử dụng dịch vụ trước khi cung cấp dữ liệu, trừ khi việc thông báo sẽ vi phạm pháp luật Việt Nam;

b) Phổ biến cho nhân sự của bên thứ ba tham gia thực hiện hợp đồng các quy định về bảo đảm an toàn thông tin của tổ chức, thực hiện các biện pháp giám sát bảo đảm tuân thủ.

- Quy định cụ thể thời gian tối đa có thể gián đoạn dịch vụ và thời gian khắc phục sự cố, các yêu cầu liên quan đến bảo đảm hoạt động liên tục (dự phòng tại chỗ, sao lưu dữ liệu, dự phòng thảm họa), các yêu cầu liên quan đến năng lực xử lý, tính toán, lưu trữ, các biện pháp thực hiện khi chất lượng dịch vụ không được bảo đảm.

- Trường hợp bên thứ ba sử dụng nhà thầu phụ không làm thay đổi trách nhiệm của bên thứ ba đối với dịch vụ mà tổ chức sử dụng.

- Dữ liệu phát sinh trong quá trình sử dụng dịch vụ là tài sản của tổ chức. Khi chấm dứt sử dụng dịch vụ:

a) Bên thứ ba thực hiện trả lại hoặc hỗ trợ chuyển toàn bộ dữ liệu triển khai và dữ liệu phát sinh trong quá trình sử dụng dịch vụ về cho tổ chức;

b) Bên thứ ba cam kết hoàn thành việc xóa toàn bộ dữ liệu của tổ chức trong một khoảng thời gian xác định.

- Bên thứ ba phải thông báo cho tổ chức khi phát hiện nhân sự vi phạm quy định về an toàn thông tin đối với dịch vụ mà tổ chức sử dụng.

- Hợp đồng sử dụng dịch vụ điện toán đám mây, ngoài các nội dung quy định tại các khoản 1, 2, 3, 4, 5 Điều này, phải bổ sung thêm những nội dung sau:

a) Bên thứ ba phải cung cấp báo cáo kiểm toán tuân thủ công nghệ thông tin do tổ chức kiểm toán độc lập thực hiện hàng năm trong thời gian thực hiện hợp đồng;

b) Bên thứ ba phải cung cấp: công cụ kiểm soát chất lượng dịch vụ đám mây; quy trình giám sát, kiểm soát chất lượng dịch vụ đám mây;

c) Bên thứ ba phải minh bạch các vị trí (thành phố, quốc gia) đặt trung tâm dữ liệu bên ngoài lãnh thổ Việt Nam triển khai dịch vụ cho tổ chức;

d) Trách nhiệm bảo vệ dữ liệu, chống truy cập dữ liệu trái phép trên kênh phân phối dịch vụ từ bên thứ ba đến tổ chức;

đ) Bên thứ ba phải hỗ trợ, hợp tác điều tra trong trường hợp có yêu cầu từ các cơ quan nhà nước có thẩm quyền của Việt Nam theo quy định của pháp luật;

e) Dữ liệu của tổ chức phải được tách biệt với dữ liệu của khách hàng khác sử dụng trên cùng nền tảng kỹ thuật do bên thứ ba cung cấp.

7. Trách nhiệm của tổ chức trong quá trình sử dụng dịch vụ của bên thứ ba

Khi sử dụng dịch vụ của bên thứ ba, tổ chức có trách nhiệm sau:

- Cung cấp, thông báo và yêu cầu bên thứ ba thực hiện các quy định về an toàn thông tin của tổ chức.

- Có quy trình và bố trí nguồn lực để giám sát, kiểm soát các dịch vụ do bên thứ ba cung cấp bảo đảm chất lượng dịch vụ theo thỏa thuận đã ký kết. Đối với dịch vụ điện toán đám mây, phải giám sát, kiểm soát chất lượng dịch vụ.

- Áp dụng các quy định về an toàn thông tin của tổ chức đối với trang thiết bị, dịch vụ do bên thứ ba cung cấp được triển khai trên hạ tầng do tổ chức quản lý, sử dụng.

- Quản lý các thay đổi đối với dịch vụ do bên thứ ba cung cấp bao gồm: thay đổi nhà cung cấp, thay đổi giải pháp, thay đổi phiên bản, thay đổi các nội dung quy định tại Điều 41 Thông tư này; đánh giá đầy đủ tác động của việc thay đổi, bảo đảm an toàn khi được đưa vào sử dụng.

- Áp dụng các biện pháp giám sát chặt chẽ và giới hạn quyền truy cập của bên thứ ba khi cho phép bên thứ ba truy cập vào hệ thống thông tin của tổ chức.

- Giám sát nhân sự của bên thứ ba trong quá trình thực hiện hợp đồng. Trường hợp phát hiện nhân sự bên thứ ba vi phạm quy định về an toàn thông tin phải thông báo và phối hợp với bên thứ ba áp dụng biện pháp xử lý kịp thời.

- Thu hồi quyền truy cập hệ thống thông tin đã được cấp cho bên thứ ba, thay đổi các khóa, mã khóa bí mật nhận bàn giao từ bên thứ ba ngay sau khi hoàn thành công việc hoặc kết thúc hợp đồng.

- Đối với hệ thống thông tin từ cấp độ 3 trở lên, các hệ thống thông tin xử lý thông tin khách hàng hoặc hệ thống thông tin sử dụng dịch vụ điện toán đám mây, phải đánh giá sự tuân thủ các quy định về bảo đảm an toàn thông tin của bên thứ ba theo đúng thỏa thuận đã ký kết. Thực hiện đánh giá sự tuân thủ định kỳ hàng năm hoặc đột xuất khi có nhu cầu. Việc đánh giá tuân thủ có thể sử dụng kết quả kiểm toán công nghệ thông tin của tổ chức kiểm toán độc lập.

Mọi vướng mắc bạn vui lòng trao đổi trực tiếp với bộ phận luật sư tư vấn pháp luật ngân hàng trực tuyến qua tổng đài gọi số:1900.6162hoặc liên hệ văn phòng để nhận được sự tư vấn, hỗ trợ từ Luật Minh Khuê. Rất mong nhận được sự hợp tác!