Doanh nghiệp có cần xin giấy phép nhập khẩu sản phẩm an toàn thông tin mạng khi nhập khẩu sản phẩm tường lửa hay không?

Nội dung chính

• Doanh nghiệp có cần xin giấy phép nhập khẩu sản phẩm an toàn thông tin mạng khi nhập khẩu sản phẩm tường lửa hay không?
• Doanh nghiệp muốn kinh doanh sản phẩm an toàn thông tin mạng thông qua hoạt động nhập khẩu cần đáp ứng những điều kiện gì?
• Cơ quan nào có thẩm quyền cấp giấy phép kinh doanh sản phẩm an toàn thông tin mạng?

Doanh nghiệp có cần xin giấy phép nhập khẩu sản phẩm an toàn thông tin mạng khi nhập khẩu sản phẩm tường lửa hay không?

Căn cứ Điều 3 Nghị định 108/2016/NĐ-CP quy định các sản phẩm, dịch vụ an toàn mạng bao gồm:

Sản phẩm, dịch vụ an toàn thông tin mạng

1. Sản phẩm an toàn thông tin mạng gồm:

a) Sản phẩm kiểm tra, đánh giá an toàn thông tin mạng là các thiết bị phần cứng, phần mềm có các chức năng cơ bản sau: Rà quét, kiểm tra, phân tích cấu hình, hiện trạng, dữ liệu nhật ký của hệ thống thông tin; phát hiện lỗ hổng, Điểm yếu; đưa ra đánh giá rủi ro an toàn thông tin;

b) Sản phẩm giám sát an toàn thông tin mạng là các thiết bị phần cứng, phần mềm có các chức năng cơ bản sau: Giám sát, phân tích dữ liệu truyền trên hệ thống thông tin; thu thập, phân tích dữ liệu nhật ký theo thời gian thực; phát hiện và đưa ra cảnh báo sự kiện bất thường, có nguy cơ gây mất an toàn thông tin;

c) Sản phẩm chống tấn công, xâm nhập là các thiết bị phần cứng, phần mềm có chức năng cơ bản ngăn chặn tấn công, xâm nhập vào hệ thống thông tin.

2. Dịch vụ an toàn thông tin mạng gồm:

a) Dịch vụ giám sát an toàn thông tin mạng là dịch vụ giám sát, phân tích lưu lượng dữ liệu truyền trên hệ thống thông tin; thu thập, phân tích dữ liệu nhật ký theo thời gian thực; phát hiện và đưa ra cảnh báo sự kiện bất thường, có nguy cơ gây mất an toàn thông tin;

b) Dịch vụ phòng ngừa, chống tấn công mạng là dịch vụ ngăn chặn các hành vi tấn công, xâm nhập vào hệ thống thông tin thông qua việc giám sát, thu thập, phân tích các sự kiện đang xảy ra trên hệ thống thông tin;

c) Dịch vụ tư vấn an toàn thông tin mạng là dịch vụ hỗ trợ tư vấn, kiểm tra, đánh giá, triển khai, thiết kế, xây dựng các giải pháp bảo đảm an toàn thông tin;

d) Dịch vụ ứng cứu sự cố an toàn thông tin mạng là dịch vụ xử lý, khắc phục kịp thời sự cố gây mất an toàn thông tin đối với hệ thống thông tin;

đ) Dịch vụ khôi phục dữ liệu là dịch vụ khôi phục dữ liệu trong hệ thống thông tin đã bị xóa hoặc hư hỏng;

e) Dịch vụ kiểm tra, đánh giá an toàn thông tin mạng là dịch vụ rà quét, kiểm tra, phân tích cấu hình, hiện trạng, dữ liệu nhật ký của hệ thống thông tin; phát hiện lỗ hổng, Điểm yếu; đưa ra đánh giá rủi ro mất an toàn thông tin;

g) Dịch vụ bảo mật thông tin không sử dụng mật mã dân sự là dịch vụ hỗ trợ người sử dụng bảo đảm tính bí mật của thông tin, hệ thống thông tin mà không sử dụng hệ thống mật mã dân sự.

Theo các thông tin hiện nay, có thể hiểu một cách đơn giản, tường lửa (Firewall) là một bức rào chắn giữa mạng nội bộ (local network) với một mạng khác (chẳng hạn như Internet), điều khiển lưu lượng ra vào giữa hai mạng này. Nếu như không có tường lửa thì lưu lượng ra vào mạng nội bộ sẽ không chịu bất kỳ sự điều tiết nào, còn một khi tường lửa được xây dựng thì lưu lượng ra vào sẽ do các thiết lập trên tường lửa quy định.

Theo đó, tại Điều 4 Nghị định 108/2016/NĐ-CP quy định về danh mục sản phẩm an toàn thông tin mạng nhập khẩu theo giấy phép cụ thể như sau:

Danh Mục sản phẩm an toàn thông tin mạng nhập khẩu theo giấy phép

1. Sản phẩm an toàn thông tin mạng nhập khẩu theo giấy phép bao gồm:

a) Sản phẩm kiểm tra, đánh giá an toàn thông tin mạng;

b) Sản phẩm giám sát an toàn thông tin mạng;

c) Sản phẩm chống tấn công, xâm nhập.

2. Bộ Thông tin và Truyền thông xây dựng Danh Mục chi Tiết các sản phẩm an toàn thông tin mạng nhập khẩu theo giấy phép quy định tại Khoản 1 Điều này.

3. Doanh nghiệp nhập khẩu sản phẩm an toàn thông tin mạng không thuộc quy định tại Khoản 1 Điều này thì không yêu cầu Giấy phép nhập khẩu sản phẩm an toàn thông tin mạng.

Dẫn chiếu đến Danh Mục chi tiết các sản phẩm an toàn thông tin mạng nhập khẩu theo giấy phép quy định tại Phụ lục I ban hành kèm theo Thông tư 13/2018/TT-BTTTT không có quy định chi tiết về sản phẩm này.

Tuy nhiên, theo quy định tại Phụ lục I ban hành kèm theo Thông tư 10/2022/TT-BTTTT thay thế Phụ lục I ban hành kèm theo Thông tư 13/2018/TT-BTTTT (có hiệu lực vào ngày 15/9/2022) lại có quy định như sau:

Như vậy, có thể thấy theo quy định hiện hành, việc xác định tường lửa có phải là sản phẩm an toàn thông tin mạng cần nhập khẩu theo giấy phép hay không sẽ do cơ quan, cá nhân có thẩm quyền xác định.

Sau này, khi Thông tư 10/2022/TT-BTTTT có hiệu lực thì có thể thấy tường lửa bảo vệ an toàn lớp mạng là một sản phẩm thuộc nhóm sản phẩm an toàn lớp mạng, thuộc Danh mục sản phẩm an toàn thông tin mạng nhập khẩu theo giấy phép.

Doanh nghiệp có cần xin giấy phép nhập khẩu sản phẩm an toàn thông tin mạng khi nhập khẩu sản phẩm tường lửa hay không?

Doanh nghiệp muốn kinh doanh sản phẩm an toàn thông tin mạng thông qua hoạt động nhập khẩu cần đáp ứng những điều kiện gì?

Căn cứ khoản 1 và khoản 2 Điều 6 Nghị định 108/2016/NĐ-CP quy định về điều kiện cấp giấy phép như sau:

Điều kiện cấp Giấy phép kinh doanh sản phẩm, dịch vụ an toàn thông tin mạng

1. Doanh nghiệp được cấp Giấy phép kinh doanh sản phẩm, dịch vụ an toàn thông tin mạng quy định tại Điều 3 Nghị định này khi đáp ứng đủ các Điều kiện quy định tại Điều 42 Luật an toàn thông tin mạng và các Điều kiện tại Nghị định này.

2. Đối với hoạt động nhập khẩu sản phẩm an toàn thông tin mạng quy định tại Khoản 1 Điều 3 Nghị định này, doanh nghiệp cần đáp ứng Điều kiện quy định tại Khoản 1 Điều này. Trong đó, chi Tiết các Điều kiện tại Điểm c, d Khoản 1 Điều 42 Luật an toàn thông tin mạng cụ thể như sau:

a) Có đội ngũ quản lý, Điều hành đáp ứng được yêu cầu chuyên môn về an toàn thông tin; có cán bộ kỹ thuật chịu trách nhiệm chính có bằng đại học chuyên ngành hoặc chứng chỉ an toàn thông tin hoặc công nghệ thông tin hoặc điện tử viễn thông với số lượng nhân sự đáp ứng được quy mô, yêu cầu của phương án kinh doanh;

b) Có phương án kinh doanh phù hợp và bao gồm các nội dung: Mục đích nhập khẩu; phạm vi, đối tượng cung cấp sản phẩm; sự đáp ứng tiêu chuẩn, quy chuẩn kỹ thuật liên quan đối với từng loại sản phẩm; chi Tiết các tính năng kỹ thuật cơ bản của sản phẩm.

Dẫn chiếu đến quy định tại Điều 42 Luật An toàn thông tin mạng 2015 quy định về điều kiện để được cấp giấy phép kinh doanh sản phẩm an toàn thông tin mạng cụ thể như sau:

Điều kiện cấp Giấy phép kinh doanh sản phẩm, dịch vụ an toàn thông tin mạng

1. Doanh nghiệp được cấp Giấy phép kinh doanh sản phẩm, dịch vụ an toàn thông tin mạng, trừ sản phẩm, dịch vụ quy định tại các điểm a, b, c, d khoản 1 và điểm a khoản 2 Điều 41 của Luật này, khi đáp ứng đủ các điều kiện sau đây:

a) Phù hợp với chiến lược, kế hoạch phát triển an toàn thông tin mạng quốc gia;

b) Có hệ thống trang thiết bị, cơ sở vật chất phù hợp với quy mô cung cấp sản phẩm, dịch vụ an toàn thông tin mạng;

c) Có đội ngũ quản lý, điều hành, kỹ thuật đáp ứng được yêu cầu chuyên môn về an toàn thông tin;

d) Có phương án kinh doanh phù hợp.

2. Doanh nghiệp được cấp Giấy phép kinh doanh dịch vụ kiểm tra, đánh giá an toàn thông tin mạng khi đáp ứng đủ các điều kiện sau đây:

a) Các điều kiện quy định tại khoản 1 Điều này;

b) Là doanh nghiệp được thành lập và hoạt động hợp pháp trên lãnh thổ Việt Nam, trừ doanh nghiệp có vốn đầu tư nước ngoài;

c) Người đại diện theo pháp luật, đội ngũ quản lý, điều hành, kỹ thuật là công dân Việt Nam thường trú tại Việt Nam;

d) Có phương án kỹ thuật phù hợp với tiêu chuẩn, quy chuẩn kỹ thuật;

đ) Có phương án bảo mật thông tin khách hàng trong quá trình cung cấp dịch vụ;

e) Đội ngũ quản lý, điều hành, kỹ thuật có văn bằng hoặc chứng chỉ chuyên môn về kiểm tra, đánh giá an toàn thông tin.

3. Doanh nghiệp được cấp Giấy phép kinh doanh dịch vụ bảo mật thông tin không sử dụng mật mã dân sự khi đáp ứng đủ các điều kiện sau đây:

a) Các điều kiện quy định tại các điểm a, b, c, d và đ khoản 2 Điều này;

b) Đội ngũ quản lý điều hành, kỹ thuật có văn bằng hoặc chứng chỉ chuyên môn về bảo mật thông tin.

4. Chính phủ quy định chi tiết Điều này.

Cơ quan nào có thẩm quyền cấp giấy phép kinh doanh sản phẩm an toàn thông tin mạng?

Căn cứ Điều 5 Nghị định 108/2016/NĐ-CP quy định cụ thể như sau:

Giấy phép kinh doanh sản phẩm, dịch vụ an toàn thông tin mạng

1. Bộ Thông tin và Truyền thông cấp Giấy phép kinh doanh sản phẩm, dịch vụ an toàn thông tin mạng.

2. Giấy phép kinh doanh sản phẩm, dịch vụ an toàn thông tin mạng được cấp cho doanh nghiệp có thời hạn là 10 năm theo Mẫu số 01 tại Phụ lục ban hành kèm theo Nghị định này.

Theo đó, Bộ Thông tin và Truyền thông là cơ quan có thẩm quyền cấp Giấy phép kinh doanh sản phẩm, dịch vụ an toàn thông tin mạng.