– Căn cứ theo Luật An toàn Thông tin mạng số 86/2015/QH13 và Nghị Định số 108/2016/NĐ-CP, các công ty nhập khẩu, kinh doanh sản phẩm hoặc cung cấp dịch vụ liên quan đến kiểm tra, đánh giá, giám sát an toàn thông tin mạng hoặc chống tấn công, xâm nhập phải tiến hành các thủ tục xin cấp các giấy phép sau:
(1) Giấy phép kinh doanh sản phẩm, dịch vụ an toàn thông tin mạng (Giấy phép này đôi khi còn bị gọi nhầm thành “giấy phép an ninh mạng”)
(2) Giấy phép nhập khẩu sản phẩm an toàn thông tin mạng (áp dụng đối với sản phẩm liệt kê tại Thông tư số 13/2018/TT-BTTTTT của Bộ Thông tin và Truyền thông)
Vậy giấy phép kinh doanh sản phẩm, dịch vụ an toàn thông tin mạng (ATTTM) là gì? Các văn bản pháp quy điều chỉnh hoạt động kinh doanh như thế nào? Bộ hồ sơ và trình tự thủ tục xin giấy phép?
Xin vui lòng xem các hướng dẫn của Maxway Vina cùng các diễn giải, lưu ý trong thực tế nhập khẩu và xin giấy phép như dưới đây:
1. Các văn bản pháp quy và văn bản hướng dẫn thực hiện điều chỉnh hoạt động kinh doanh sản phẩm, dịch vụ an toàn thông tin mạng
Giấy phép kinh doanh sản phẩm, dịch vụ an toàn thông tin mạng là một loại giấy phép kinh doanh có điều kiện áp dụng đối với các sản phẩm, dịch vụ thuộc nhóm có khả năng gây mất an toàn ở mức độ cao tương tự như giấy phép kinh doanh sản phẩm, dịch vụ mật mã dân sự hoặc giấy phép nhập khẩu thiết bị bay không người lái drone.
a/ Văn bản pháp quy (văn bản quy phạm pháp luật) điều chỉnh hoạt động kinh doanh
Luật An toàn thông tin mạng số 86/2015/QH13 do Quốc Hội ban hành ngày 19/11/2015, có hiệu lực từ ngày 01/07/2016
Nghị định số 108/2018/NĐ-CP do Chính phủ ban hành ngày 23/08/2018, có hiệu lực kể từ ngày 10/10/2018
Thông tư số 13/2018/TT-BTTTT do Bộ Thông tin và Truyền thông ban hành ngày 15/10/2018, có hiệu lực từ ngày 01/12/2018, quy định Danh mục sản phẩm an toàn thông tin mạng nhập khẩu theo giấy phép và trình tự, thủ tục, hồ sơ cấp Giấy phép nhập khẩu sản phẩm an toàn thông tin mạng
b/ Văn bản hướng dẫn thực hiện có liên quan
Công văn số 518/CATTT-CP của Cục An toàn thông tin – Bộ TT & TT gửi Tổng cục Hải quan về hướng dẫn quy định về Giấy phép nhập khẩu sản phẩm ATTTM
Công văn số 3508/GSQL-GQ1 ngày 05/01/2018 của Cục GSQL về Hải quan – Tổng cục Hải quan gửi Cục Hải quan các tỉnh, thành phố về Giấy phép nhập khẩu sản phẩm ATTTM
Công văn số 1027/2019/BTTTT-ATTT của Bộ TT & TT gửi Tổng cục Hải Quan đề nghị phối hợp triển khai thực hiện Thông tư số 13/2018/TT-BTTTT
2. Sản phẩm an toàn thông tin mạng là gì? Bao gồm những loại sản phẩm nào?
Theo Nghị Định số 108/2016/NĐ-CP thì các sản phẩm an toàn thông tin được chia thành 03 nhóm chính sau:
a. Sản phẩm kiểm tra, đánh giá an toàn thông tin mạng là các thiết bị phần cứng, phần mềm có các chức năng cơ bản sau: Rà quét, kiểm tra, phân tích cấu hình, hiện trạn, dữ liệu nhật ký của hệ thống thông tin; phát hiện lỗ hổng, điểm yếu; đưa ra đánh giá rủi ro an toàn thông tin.
b. Sản phẩm giám sát an toàn thông tin mạng là các thiết bị phần cứng, phần mềm có các chức năng cơ bản sau: Giám sát, phân tích dữ liệu nhật ký theo thời gian thực; phát hiện và đưa ra sự kiện cảnh báo sự kiện bất thường, có nguy cơ gây mất an toàn thông tin
c. Sản phẩm chống tấn công, xâm nhập là các thiết bị phần cứng, phần mềm có chức năng cơ bản ngăn chặn tấn công, xâm nhập vào hệ thống thông tin.
Các sản phẩm có tính năng an toàn thông tin mạng thường gặp trên thực tế:
– Các appliance (máy xử lý dữ liệu tự động) được thiết kế cho chức năng kiểm tra, đánh giá ATTTM. QRadar Incedent Forensic G3 Appliance của hãng IBM là một ví dụ cho sản phẩm kiểm tra, đánh giá ATTTM.
– Các appliance (máy xử lý dữ liệu tự động) được thiết kế cho chức năng giám sát ATTTM. Các sản phẩm QRadar Network Insight Appliance và QRadar Event Collector Appliance của hãng IBM là các ví dụ do loại sản phẩm này.
– Các appliance được thiết kế cho chức năng chống tấn công xâm nhập mà dòng sản phẩm NX series của hãng FireEye Inc. là một ví dụ điển hình.
– Các Appliances (thiết bị xử lý dữ liệu tự động) sử dụng trong lĩnh vực Ngân Hàng hoặc chuyên dùng với mục đích an toàn thông tin. Việc phân loại được đánh giá theo chức năng chính của sản phẩm.
– Các thiết bị mạng LAN có chức năng chống tấn công xâm nhập là chức năng chính.
3. Dịch vụ an toàn thông tin mạng là gì? Bao gồm những loại dịch vụ nào?
Dịch vụ an toàn thông tin mạng được chia thành 7 nhóm dịch vụ như sau:
a) Dịch vụ giám sát an toàn thông tin mạng là dịch vụ giám sát, phân tích lưu lượng dữ liệu truyền trên hệ thống thông tin; thu thập, phân tích dữ liệu nhật ký theo thời gian thực; phát hiện và đưa ra cảnh báo sự kiện bất thường, có nguy cơ gây mất an toàn thông tin;
b) Dịch vụ phòng ngừa, chống tấn công mạng là dịch vụ ngăn chặn các hành vi tấn công, xâm nhập vào hệ thống thông tin thông qua việc giám sát, thu thập, phân tích các sự kiện đang xảy ra trên hệ thống thông tin;
c) Dịch vụ tư vấn an toàn thông tin mạng là dịch vụ hỗ trợ tư vấn, kiểm tra, đánh giá, triển khai, thiết kế, xây dựng các giải pháp bảo đảm an toàn thông tin;
d) Dịch vụ ứng cứu sự cố an toàn thông tin mạng là dịch vụ xử lý, khắc phục kịp thời sự cố gây mất an toàn thông tin đối với hệ thống thông tin;
đ) Dịch vụ khôi phục dữ liệu là dịch vụ khôi phục dữ liệu trong hệ thống thông tin đã bị xóa hoặc hư hỏng;
e) Dịch vụ kiểm tra, đánh giá an toàn thông tin mạng là dịch vụ rà quét, kiểm tra, phân tích cấu hình, hiện trạng, dữ liệu nhật ký của hệ thống thông tin; phát hiện lỗ hổng, Điểm yếu; đưa ra đánh giá rủi ro mất an toàn thông tin;
g) Dịch vụ bảo mật thông tin không sử dụng mật mã dân sự là dịch vụ hỗ trợ người sử dụng bảo đảm tính bí mật của thông tin, hệ thống thông tin mà không sử dụng hệ thống mật mã dân sự.
LƯU Ý QUAN TRỌNG:
(1) Sản phẩm ATTTM bao gồm cả loại sản phẩm phần cứng và loại sản phẩm là phần mềm. Thông thường phần mềm do có thể được kinh doanh theo cách tải từ điện toán đám mây cloud nên nhiều doanh nghiệp sơ sót, không biết loại sản phẩm này thuộc phạm vi điều chỉnh của giấy phép.
(2) Nếu một thiết bị có cả tính năng mật mã dân sự và tính năng ATTTM thì doanh nghiệp chỉ phải xin một loại giấy phép kinh doanh, giấy phép nhập khẩu cho thiết bị mật mã dân sự. Hai loại giấy phép này không áp dụng đồng thời đối với cùng một sản phẩm. Căn cứ pháp lý như sau:
– Căn cứ theo Điểm c, Khoản 6, Điều 38 của Luật An toàn thông tin mạng số 86/2015/QH13 thì sản phẩm mật mã dân sự không thuộc phạm vi trách nhiệm của Bộ Thông tin và Truyền thông
– Căn cứ theo Khoản 1, Điều 42 của Luật An toàn thông tin mạng số 86/2015/QH13 thì sản phẩm mật mã dân sự không nằm trong phạm vi cấp giấy phép kinh doanh sản phẩm, dịch vụ an toàn thông tin mạng
Trên thực tế đã có nhiều trường hợp doanh nghiệp được yêu cầu cung cấp cả giấy phép nhập khẩu sản phẩm mật mã dân sự và giấy phép nhập khẩu an toàn thông tin mạng đối với cùng một sản phẩm, theo quan điểm của Maxway Vina thì đây là một sự nhầm lẫn. Các sản phẩm đã được xác định là sản phẩm mật mã dân sự, đã được cấp giấy phép mật mã dân sự thì không thuộc diện phải xin giấy phép an toàn thông tin mạng.
(3) Thiết bị tường lửa có chức năng mô tả là sản phẩm chống tấn công xâm nhập, điều này hoàn toàn đúng song 100% thiết bị tường lửa cung có chức năng mã hoá mật mã dân sự bảo mật luồng kênh và bảo mật luồng IP. Gần đây Ban Cơ Yếu Chính phủ cũng đang soạn thảo Quy chuẩn kỹ thuật quốc gia đối với sản phẩm bảo mật luồng kênh (QCVN cho sản phẩm mật mã dân sự). Do đó, loại giấy phép cần thiết để nhập khẩu thiết bị tường lửa là giấy phép kinh doanh, nhập khẩu sản phẩm mật mã dân sự chứ không phải giấy phép kinh doanh, nhập khẩu sản phẩm ATTTM. Trên thực tế, không chỉ các công ty nhập khẩu mà còn có nhiều cơ quan chức năng, công ty tư vấn nhầm lẫn điều này và đã tốn thời gian xin không đúng loại giấy phép cần thiết.
(4) Dịch vụ an toàn thông tin mạng trong phạm cấp phép của Bộ Thông tin và Truyền thông không bao gồm 03 loại dịch vụ mật mã dân sự do Ban Cơ yếu Chính phủ quản lý
(5) Sản phẩm, dịch vụ ATTTM là các sản phẩm, dịch vụ có liên quan đến an ninh quốc gia, chỉ các doanh nghiệp đủ điều kiện mới được cấp phép và Bộ Thông tin Truyền thông, Cục An toàn thông tin có quy hoạch cho việc cấp phép theo từng thời kỳ. Tính đến thời điểm hiện tại mới chỉ có 84 doanh nghiệp đã được cấp giấy phép kinh doanh sản phẩm, dịch vụ an toàn thông tin mạng. Trong danh sách này có nhiều doanh nghiệp là các khách hàng của Maxway Vina, do Maxway Vina tư vấn thủ tục và thực hiện nộp hồ sơ xin cấp phép cho khách hàng.
4. Điều kiện xin Giấy phép kinh doanh sản phẩm, dịch vụ an toàn thông tin mạng
Các doanh nghiệp phải đạt được các điều kiện sau đây để được cấp giấy phép:
Yêu cầu đối đối với nhân sự (cán bộ quản lý và cán bộ kỹ thuật):
– Có tối thiểu 02 kỹ sư tốt nghiệp một trong các ngành sau: điện tử – viễn thông, công nghệ thông tin, toán học, an toàn thông tin.
– Cán bộ quản lý điều hành tốt nghiệp một trong các ngành sau: điện tử – viễn thông, công nghệ thông tin, toán học, an toàn thông tin, hoặc có chứng chỉ đào tạo về an toàn thông tin.
Yêu cầu về con người, chứng chỉ đào tạo đối với doanh nghiệp kinh doanh sản phẩm an toàn thông tin là thấp hơn yêu cầu đối với doanh nghiệp kinh doanh dịch vụ an toàn thông tin.
– Có cơ sở vật chất, trang thiết bị phù hợp với quy mô kinh doanh (doanh nghiệp cần liệt kê chi tiết về cơ sở vật chất phục vụ kinh doanh).
– Có phương án kỹ thuật phù hợp với tiêu chuẩn, quy chuẩn kỹ thuật áp dụng đối với sản phẩm, dịch vụ an toàn thông tin.
– Có phương án kinh doanh sản phẩm, dịch vụ an toàn thông tin phù hợp.
– Phù hợp với quy hoạch của Bộ Thông tin và Truyền thông theo từng thời kỳ. Hiện tại đã có tương đối nhiều doanh nghiệp được cấp giấy phép kinh doanh sản phẩm ATTTM nên việc cấp phép cho các doanh nghiệp mới được xiết chặt, việc cấp phép cho các doanh nghiệp không chuyên về sản phẩm, dịch vụ ATTTM hoặc có quy mô nhỏ được hạn chế.
– Doanh nghiệp có yếu tố nước ngoài (có vốn đầu tư nước ngoài hoặc có người đại diện theo pháp luật, đội ngũ kỹ thuật, quản lý điều hành là công dân nước ngoài) sẽ có hạn chế khi xin giấy phép đối với một số hạng mục dịch vụ an toàn thông tin mạng quan trọng.
– Trong trường hợp doanh nghiệp xin giấy phép kinh doanh đối với dịch vụ ATTTM thì người dại diện theo pháp luật và đội ngũ quản lý phải có lý lịch tư pháp trong sạch.
5. Bộ hồ sơ xin Giấy phép kinh doanh sản phẩm, dịch vụ an toàn thông tin mạng
(1) Đơn đề nghị cấp phép theo mẫu.
(2) Bản sao giấy Chứng nhận đăng ký doanh nghiệp hoặc giấy chứng nhận pháp nhân có giá trị tương đương
(3) Bản sao văn bằng chứng chỉ liên quan đến bảo mật, ATTTM của đội ngũ kỹ thuật và cán bộ quản lý.
(4) Bản thuyết minh về trang thiết bị và cơ sở vật chất, kỹ thuật phục vụ kinh doanh.
(5) Phương án kinh doanh sản phẩm, dịch vụ an toàn thông tin mạng.
(6) Phương án kỹ thuật phù hợp với tiêu chuẩn, quy chuẩn kỹ thuật áp dụng cho sản phẩm ATTTM (áp dụng đối với kinh doanh dịch vụ).
(7) Phương án bảo mật thông tin khách hàng trong quá trình cung cấp sản phẩm, dịch vụ an toàn thông tin mạng (áp dụng đối với kinh doanh dịch vụ).
(8) Phiếu lý lịch tư pháp của người đại diện theo pháp luật và đội ngũ quản lý điều hành có liên quan (áp dụng đối với kinh doanh dịch vụ).
Bộ hồ sơ liệt kê trên cần được chuẩn bị thành 5 bộ, bao gồm một bộ gốc và 04 bộ bản sao. Các văn bằng tốt nghiệp đại học cần phải chuẩn bị bản sao công chứng hoặc chứng thực, các chứng chỉ khác có thể sử dụng bản sao do doanh nghiệp xác thực (đóng dấu sao y hoặc dấu treo).
(9) Hiện tại Bộ Thông tin và Truyền thông chưa áp dụng chứng nhận hợp quy theo quy chuẩn áp dụng đối với tính năng an toàn thông tin mạng nhưng việc chứng nhận hợp quy này đã được lên kế hoạch triển khai và có thể sớm được áp dụng vào nửa đầu 2021. Khi việc triển khai chứng nhận hợp quy theo quy chuẩn áp dụng đối với tính năng an toàn thông tin mạng thì doanh nghiệp còn phải chuẩn bị thêm giấy chứng nhận hợp quy để bổ sung vào hồ sơ
6. Cơ quan tiếp nhận và thụ lý hồ sơ xin Giấy phép kinh doanh sản phẩm, dịch vụ an toàn thông tin mạng
Sau khi chuẩn bị đầy đủ bộ hồ sơ, doanh nghiệp nộp hồ sơ tại Cục An toàn Thông tin – Bộ Thông tin và Truyền thông (AIS). Quy trình thẩm định điều kiện và đánh giá hồ sơ thông thường sẽ từ 1 – 2 tháng tùy theo việc chuẩn bị các hồ sơ xin cấp phép đã đầy đủ và chi tiết hay chưa.
Hồ sơ xin cấp giấy phép kinh doanh sản phẩm, dịch vụ ATTTM sẽ do Cục An toàn Thông tin xử lý và Thẩm định, sau đó đệ trình lên Bộ Thông tin và Truyền thông duyệt. Giấy phép kinh doanh sản phẩm, dịch vụ an toàn thông tin mạng trực tiếp do Bộ Thông tin và Truyền thông ký ban hành.
Giấy phép kinh doanh sản phẩm, dịch vụ ATTTM có thời hạn hiệu lực 10 năm, phí cấp phép sẽ phụ thuộc vào số loại sản phẩm, dịch vụ xin cấp phép. Trong quá trình kinh doanh, nếu doanh nghiệp có nhu cầu mở rộng loại hình sản phẩm, dịch vụ hoặc thay đổi liên quan đến giấy phép, doanh nghiệp làm bộ hồ sơ bổ sung, sửa đổi giấy phép kinh doanh theo quy định tại Luật An toàn Thông tin mạng số 86/2015/QH13 và Nghị Định số 108/2016/NĐ-CP.
Khác với giấy phép cho sản phẩm mật mã dân sự, giấy phép kinh doanh sản phẩm ATTTM được cấp cho các nhóm sản phẩm, không liệt kê sản phẩm cụ thể. Doanh nghiệp có thể sử dụng giấy phép kinh doanh để xin giấy phép nhập khẩu cho nhiều sản phẩm khác nhau trong cùng nhóm sản phẩm đã được cấp phép kinh doanh.
7. Điều kiện và thủ tục xin giấy phép nhập khẩu (xuất khẩu) sản phẩm an toàn thông tin mạng
Đối với các sản phẩm ATTTM được liệt kê chi tiết tại Phụ lục 1 của Thông tư số 13/2018/TT-BTTTTT, doanh nghiệp phải có giấy phép nhập khẩu mới đủ điều kiện để được thông quan. Sau khi đã có được Giấy phép kinh doanh sản phẩm ATTTM, doanh nghiệp chuẩn bị bộ hồ sơ xin Giấy phép nhập khẩu sản phẩm ATTTM cho các sản phẩm này bao gồm:
– Đơn đề nghị cấp giấy phép nhập khẩu theo mẫu quy định tại Thông tư số 13/2018/TT-BTTTTT
– Bản sao Giấy phép kinh doanh sản phẩm (và dịch vụ) an toàn thông tin mạng
– Bản sao giấy chứng nhận hợp quy cấp cho thiết bị ATTTM theo quy chuẩn kỹ thuật về an toàn thông tin của Bộ Thông tin và Truyền thông (hiện tại chưa có quy chuẩn, dự kiến Bộ Thông tin và Truyền thông sẽ sớm ban hành để áp dụng vào cuối năm 2020 hoặc năm 2021).
– Bản sao hợp đồng mua hàng (nhập khẩu) để làm căn cứ cho số lượng xin cấp phép. Trong trường hợp doanh nghiệp chưa có hợp đồng nhập khẩu cụ thể thì chỉ được cấp phép nhập khẩu 1 -2 sản phẩm đối với mỗi model để làm demo, giới thiệu sản phẩm
Giấy phép nhập khẩu sản phẩm ATTTM được cấp cho một danh sách sản phẩm cụ thể với thời hạn hiệu lực 02 năm hoặc không vượt quá thời hạn hiệu lực còn lại của Giấy phép kinh doanh. Sau khi giấy phép nhập khẩu hết hiệu lực, doanh nghiệp nhập khẩu phải xin cấp phép lại với điều kiện là giấy phép kinh doanh vẫn còn hiệu lực.
8. Thông tin liên hệ để được tư vấn về thủ tục xin giấy phép kinh doanh, giấy phép nhập khẩu An toàn thông tin mạng của Maxway Vina
CÔNG TY CỔ PHẨN MAXWAY VINA
Email: info@maxway.vn
Hotline chuyên gia tư vấn: Mr Chiến 0987784545
Hotline: 0913 704 586 | 0911.452.191 l 0911.926.799 l 0911.594.191
Trụ sở chính:Phòng T03 – VP03 tòa nhà Stellar Garden 35 Lê Văn Thiêm, Phường Thanh Xuân Trung, Quận Thanh Xuân, Thành phố Hà Nội, Việt Nam
Bên cạnh việc xin giấy phép nhập khẩu sản phẩm an toàn thông tin mạng, sản phẩm còn có thể thuộc danh mục hàng hoá nhóm 2 của Bộ thông tin và Truyền thông, cần thực hiện thủ tục đăng ký kiểm tra chất lượng, chứng nhận hợp quy (theo quy chuẩn kỹ thuật) và công bố hợp quy khi nhập khẩu
