Operations Security

6 lý do doanh nghiệp nên lựa chọn đơn vị bảo mật hỗ trợ tuân thủ Nghị định 13

CyStack Avatar

Thy Dang

Content Executive @ Marketing Team|November 15, 2023

Việc Chính phủ ban hành Nghị định 13/2023/NĐ-CP về Bảo mật dữ liệu cá nhân đã tạo nên một tác động đáng kể đối với nhiều doanh nghiệp tại Việt Nam. Tuân thủ và bảo vệ dữ liệu cá nhân không chỉ đòi hỏi nhiều thời gian và công sức lớn mà còn có thể tạo áp lực đáng kể cho nhân lực trong công ty. Tìm kiếm một đơn vị bảo mật hỗ trợ sẽ mang đến nhiều lợi ích quan trọng trong hành trình phát triển kinh doanh của doanh nghiệp. Hãy cùng chúng tôi tìm hiểu thêm vì sao lựa chọn đơn vị bảo mật hỗ trợ tuân thủ Nghị định 13 là hành động cần thiết trong bối cảnh hiện nay.

lý do lựa chọn đơn vị bảo mật thứ ba

Những thông tin mới về Nghị định 13 của Chính phủ

Trong chương trình làm việc Kỳ họp thứ 6, ngày làm việc thứ 11 của Quốc hội đã diễn ra tại Nhà Quốc hội dưới sự chủ trì và điều hành của Chủ tịch Quốc hội Vương Đình Huệ. Từ 14 giờ đến 15 giờ, đại biểu Quốc hội chất vấn các lĩnh vực: Tư pháp; Nội vụ; An ninh, trật tự, an toàn xã hội; Thanh tra; Toà án; Kiểm sát; Kiểm toán. [1]

Đặc biệt, đại biểu Đoàn Chí Nghĩa đoàn Cần Thơ đã có câu hỏi liên quan đến bảo vệ dữ liệu cá nhân tới Bộ trưởng Bộ Công an Tô Lâm. Theo đó, ông Nghĩa cho rằng, hiện nay tình hình thông tin cá nhân bị lộ lọt, số điện thoại, họ tên, địa chỉ, số căn cước công dân, số tài khoản cá nhân… đang rất phổ biến. Bên cạnh đó, người dân còn nhận các thông tin, tin nhắn lừa đảo, các đường link giả mạo, bị làm phiền vì các cuộc gọi mời chào, giới thiệu các loại hình dịch vụ khác nhau. [2] Và câu hỏi đưa ra là “Xin hỏi Bộ trưởng có giải pháp gì để giải quyết tình trạng vừa nêu?”

Trả lời chất vấn, Đại tướng Tô Lâm đồng tình “Chúng tôi cũng đánh giá tình trạng mua bán, lộ lọt dữ liệu hiện nay ở Việt Nam là rất nghiêm trọng.” Trong năm 2023, Bộ Công an đã cảnh báo, xử lý hàng chục triệu vụ liên quan đến việc xâm phạm cơ sở dữ liệu.

Đại tướng Tô Lâm đã chỉ ra hai nguyên nhân dẫn đến tình trạng này:

  • Số lượng tội phạm đánh cắp dữ liệu cá nhân ngày càng phát triển và gia tăng mạnh mẽ.
  • Ý thức bảo vệ dữ liệu cá nhân của người dân Việt Nam chưa cao. Cụ thể, người dân dễ dàng cung cấp dữ liệu của bản thân cho người khác, hoặc cho các doanh nghiệp khi thực hiện các giao dịch dân sự.
bộ trưởng tô lâm
Bộ trưởng Bộ Công an Tô Lâm trả lời chất vấn. Ảnh: Báo Nhân Dân.

Hiện nay, để xử lý các tội danh liên quan đến lộ lọt dữ liệu cá nhân, Việt Nam mới chỉ áp dụng Điều 288 của Bộ luật hình sự để xử lý tội đưa và sử dụng trái phép thông tin mạng máy tính, mạng viễn thông. Trong khi đó, các tội phạm mạng ngày càng có nhiều hình thức lách luật nhằm quấy rầy, làm phiền và lừa đảo người dân ngày một tinh vi và khó nhận biết hơn. Vì vậy, việc điều chỉnh và bổ sung các quy định trong các văn bản pháp luật với mức kỉ luật ở cấp Hình sự là cấp thiết trong bối cảnh hiện nay.

Để xử lý hiệu quả vấn đề này, Bộ trưởng Công an đã đề xuất năm giải pháp sau:

  1. Khẩn trương hoàn thiện hành lang pháp lý. Bộ Công an đã tham mưu với Chính phủ ban hành nghị định số 13 ngày 17/4/2023 về bảo vệ dữ liệu cá nhân. Theo lộ trình của Đề án 06, trong kế hoạch năm 2024, đề xuất xây dựng Luật Bảo vệ dữ liệu cá nhân để trình Quốc hội cho ý kiến. Đồng thời, Bộ trưởng Công an đề xuất bổ sung sửa đổi Bộ luật Hình sự 2015, thêm tội danh làm lộ lọt, mua bán dữ liệu cá nhân để xử lý nghiêm hành vi này.
  2. Nâng cao hiệu quả quản lý nhà nước về bảo vệ dữ liệu cá nhân. Trong đó, tập trung vào thực hiện có hiệu quả các quy định của Luật An ninh mạng và Nghị định 13 của Chính phủ về bảo vệ dữ liệu cá nhân, nhất là xác định và thực hiện nghiêm trách nhiệm của các chủ thể liên quan.
  3. Tuyên truyền, vận động nhân dân tăng cường bảo vệ dữ liệu cá nhân, không cung cấp thông tin liên quan nếu pháp luật không quy định bắt buộc.
  4. Tăng cường công tác nghiệp vụ, điều tra xử lý nghiêm các hành vi làm lộ lọt, mua bán dữ liệu cá nhân và các hành vi sai phạm khác. Nhắc đến Trung tâm Dữ liệu quốc gia về dân cư, Bộ trưởng Tô Lâm cam kết: “Chúng tôi bảo đảm tuyệt đối an toàn thông tin cho khối dữ liệu này”. Các kết nối với các bộ, ngành trong quản lý thủ tục hành chính, các kết nối với nhân dân chỉ được thực hiện hiện khi đủ các điều kiện an toàn. Hiện nay Trung tâm Dữ liệu quốc gia về dân cư, Bộ trưởng Tô Lâm cho biết, được bảo mật bởi hệ thống thông tin 4 lớp và chưa phát hiện ra một vụ việc nào lộ lọt.
  5. Thường xuyên phối hợp với các bộ, ngành, địa phương rà soát, khắc phục các lỗ hổng bảo mật trong hệ thống thông tin, cơ sở dữ liệu, nhất là cơ sở dữ liệu quốc gia về dân cư và căn cước công dân. [3]

Có thể thấy, Chính phủ Việt Nam đã có những hành động cụ thể liên quan tới Nghị định 13, đặt ra những yêu cầu chặt chẽ về bảo vệ thông tin cá nhân. Trong bối cảnh này, vai trò của doanh nghiệp trở nên quan trọng hơn bao giờ hết. Đối mặt với áp lực ngày càng tăng từ quy định pháp luật, doanh nghiệp cần xem xét kỹ lưỡng về cách tiếp cận an ninh thông tin.

Mặc dù việc “tự thân vận động” có thể là một lựa chọn, tuy nhiên điều đó cũng đặt ra nhiều thách thức cho các doanh nghiệp Việt Nam.

>> Tham khảo: Những thách thức của Nghị định 13 đối với doanh nghiệp vừa và nhỏ

Vì sao doanh nghiệp nên tìm kiếm đơn vị bảo mật thứ ba?

Đội ngũ chuyên gia trong lĩnh vực

Những chuyên gia bảo mật với nhiều năm kinh nghiệm cùng kiến thức sâu sắc trong lĩnh vực an ninh mạng sẽ giúp doanh nghiệp nhanh chóng giải quyết các bài toán khó liên quan đến tuân thủ Nghị định 13. Họ không chỉ có khả năng thực hiện các cuộc đánh giá an toàn bảo mật của hệ thống doanh nghiệp; mà còn hỗ trợ doanh nghiệp từ những bước cơ bản nhất như xây dựng chính sách về bảo vệ dữ liệu; và tư vấn, giải quyết các vấn đề an ninh phức tạp xảy đến bất ngờ trong quá trình hoạt động.

>> Tìm hiểu thêm: Vì sao doanh nghiệp cần minh bạch trong việc bảo mật thông tin khách hàng?

Mở rộng quy mô kiểm thử, tăng cường bảo mật tối đa

Đối với những công ty quy mô lớn và sở hữu khối lượng dữ liệu lớn của nhiều đối tượng, việc mở rộng quy mô kiểm thử bảo mật là điều cần thiết. Đó là chương trình “săn lỗi nhận thưởng”, hay còn được biết đến với tên gọi Bug Bounty.

Chương trình săn lỗi nhận thưởng là một loại hình bảo mật cộng đồng nhằm khuyến khích các cá nhân hoặc nhóm, được gọi là “hacker mũ trắng”, xác định và báo cáo các lỗ hổng bảo mật trong phần mềm hoặc hệ thống của công ty. Các công ty sẽ trao thưởng bằng tiền, quà tặng hoặc sự công nhận cho những hacker mũ trắng phát hiện và báo cáo những lỗ hổng này.

Mục đích của chương trình là xác định và giải quyết các lỗ hổng bảo mật một cách kịp thời và hiệu quả, đồng thời cung cấp một môi trường an toàn và bảo mật cho các hacker mũ trắng báo cáo các lỗ hổng, giúp các tổ chức cải thiện tình trạng bảo mật, giảm nguy cơ tấn công mạng và vi phạm dữ liệu.

Một trong những nền tảng thường xuyên triển khai các chương trình săn lỗi nhận thưởng là WhiteHub, nền tảng bảo mật cộng đồng đầu tiên và lớn nhất tại Việt Nam được phát triển bởi đội ngũ CyStack. WhiteHub hỗ trợ các doanh nghiệp khởi chạy chương trình săn lỗi nhận thưởng của riêng họ để tìm ra các lỗ hổng một cách hiệu quả, với sự tham gia của hơn 3000 chuyên gia bảo mật được xác nhận danh tính và ký NDA (Thoả thuận bảo mật thông tin).

bug bounty whitehub
Nền tảng bảo mật toàn diện WhiteHub giúp doanh nghiệp giải quyết các vấn đề an ninh mạng thông qua sự trợ giúp của đội ngũ chuyên gia đến từ khắp nơi trên thế giới.

Công cụ và phần mềm hỗ trợ chuyên nghiệp

Một số đơn vị bảo mật thứ ba đã phát triển và ra mắt các công cụ độc quyền và phần mềm chuyên nghiệp giải quyết nhiều khía cạnh khác nhau của bảo mật trong hệ thống doanh nghiệp. Việc kết hợp sử dụng những công cụ này không chỉ giúp doanh nghiệp quản lý bảo mật một cách dễ dàng và hiệu quả hơn, đó là một cách để nhân viên có cơ hội tiếp cận và làm quen với những cách thức bảo vệ dữ liệu cá nhân mới mẻ trên thị trường. Từ đó, giảm nguy cơ lộ lọt thông tin và bảo toàn dữ liệu của doanh nghiệp cũng như khách hàng.

Nhằm hỗ trợ giải quyết những vấn đề liên quan đến mật khẩu, ứng dụng Locker Password Manager giúp doanh nghiệp tận hưởng những tính năng đa dạng và hữu ích như:

  • Gợi ý mật khẩu tự động với chuỗi ký tự phức tạp
  • Chia sẻ mật khẩu giữa các thành viên trong đội nhóm, công ty
  • Kiểm tra và phát hiện rò rỉ dữ liệu.
locker password manager
Trình quản lý mật khẩu Locker mang đến trải nghiệm bảo mật dễ dàng và liền mạch cho cá nhân và doanh nghiệp.

Bên cạnh đó, việc quản lý truy cập của nhân viên cũng là điều quan trọng trong quá trình làm việc. Nhân viên vô tình ấn vào một đường link chứa mã độc trong email, hay phát tán những tài liệu bí mật của công ty là điều hoàn toàn có thể xảy ra.

Với WhiteHub Endpoint, doanh nghiệp có thể quản lý các tài nguyên số và thiết bị, đồng thời thiết lập chính sách dành riêng cho từng thành viên trong nội bộ. Điều này giúp doanh nghiệp có một cái nhìn toàn cảnh về rủi ro an ninh thông tin, từ đó có những biện pháp ứng phó kịp thời.

Giải quyết tình trạng quá tải của nhân viên

Nghị định 13 đã nêu rõ, doanh nghiệp cần có đủ ba bộ phận (Bên Kiểm soát dữ liệu, Bên Xử lý dữ liệu, Bên Kiểm soát và xử lý dữ liệu) thực hiện thu thập, lưu trữ, quản lý, xử lý dữ liệu của nhân viên trực thuộc công ty, khách hàng và công ty thứ ba (nếu có). Điều này đồng nghĩa với việc, doanh nghiệp sẽ cần tới rất nhiều nhân sự nội bộ cũng như thành lập các phòng ban bổ sung để đáp ứng đầy đủ các quy định.

Trong phần Phụ lục, Nghị định 13 yêu cầu doanh nghiệp cần cung cấp đầy đủ thông tin dựa trên hai mẫu:

  • Mẫu số 02: Phiếu yêu cầu cung cấp dữ liệu cá nhân (dành cho tổ chức, doanh nghiệp)
  • Mẫu số 04: Thông báo gửi hồ sơ đánh giá tác động xử lý dữ liệu cá nhân.

Trong trường hợp đặc biệt dưới đây, doanh nghiệp cũng cần phải khai báo:

  • Mẫu số 03: Thông báo vi phạm quy định về bảo vệ dữ liệu cá nhân
  • Mẫu số 05: Thông báo thay đổi nội dung hồ sơ
  • Mẫu số 06: Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài.

Bên cạnh các loại giấy tờ kể trên, những nhân viên được phân quyền cũng cần dành nhiều thời gian tìm hiểu, nghiên cứu và xây dựng bộ chính sách hoàn chỉnh theo đúng yêu cầu của Nghị định 13. Với khối lượng công việc dày đặc như vậy, các nhân viên sẽ phải phân chia bớt thời gian làm việc của mình để thực hiện các đầu việc liên quan tới Nghị định 13. Điều này có thể khiến họ trở nên quá tải, dẫn tới giảm hiệu suất làm việc và ảnh hưởng tới sự hài lòng của khách hàng.

Một đơn vị bảo mật bên ngoài sẽ giảm thiểu gánh nặng này rất nhiều, khi doanh nghiệp chỉ cần phân quyền cho một nhân viên trực tiếp làm việc và theo sát công việc. Điều này không chỉ tăng sự tập trung của họ vào công việc chính, mà còn giảm nguy cơ mắc phải các sai sót trong quá trình làm việc, giúp doanh nghiệp tăng hiệu quả kinh doanh.

Tối ưu hoá chi phí

Với những lý do kể trên, quyết định thuê một đơn vị bảo mật bên ngoài không chỉ mang lại lợi ích về chi phí mà còn là sự chọn lựa tối ưu nhất cho doanh nghiệp. Những đơn vị này có khả năng đưa ra các giải pháp linh hoạt và phù hợp với tình hình cụ thể của từng doanh nghiệp, cung cấp lời khuyên và tư vấn dựa trên kiến thức đúc kết từ nhiều năm kinh nghiệm thực tế.

Điều quan trọng là, họ giúp doanh nghiệp tránh được những chi phí không cần thiết mà doanh nghiệp có thể phải chi trả khi tự xây dựng và duy trì hệ thống an ninh cơ sở hạ tầng. Bằng cách này, doanh nghiệp không chỉ đảm bảo an toàn mà còn tối ưu hóa nguồn lực và tài chính cho những mục tiêu quan trọng khác.

Nhanh chóng thích ứng với sự thay đổi của các điều khoản

Cần đặc biệt lưu ý, Nghị định 13 vẫn đang trong quá trình sửa đổi và bổ sung để cung cấp một thông tư hướng dẫn thi hành hoàn chỉnh nhất trong thời gian tới. Việc theo dõi và cập nhật các thay đổi ấy đòi hỏi rất nhiều thời gian và công sức.

Với sự hỗ trợ của đơn vị bảo mật thứ ba, doanh nghiệp không chỉ giảm bớt gánh nặng về theo dõi và tuân thủ các quy định pháp luật mà còn đảm bảo khả năng thích ứng linh hoạt với những thay đổi này. Điều này giúp bảo vệ dữ liệu cá nhân một cách hiệu quả, đồng thời giữ cho doanh nghiệp luôn tuân thủ các nguyên tắc pháp luật liên quan.

Giải pháp dành cho doanh nghiệp

Trong bối cảnh kỹ thuật số Việt Nam đang ngày càng có nhiều thay đổi tích cực hướng đến sự phát triển bền vững, việc chấp hành cũng đặt ra nhiều khó khăn và thách thức cho các doanh nghiệp. Sự gia tăng về các quy định và quy tắc trong lĩnh vực này đòi hỏi các doanh nghiệp phải trở nên linh hoạt và nhanh chóng nắm bắt các quy chuẩn bảo mật liên quan.

Theo đó, việc tuân thủ Nghị định 13 và bảo vệ thông tin cá nhân không phải là một nhiệm vụ dễ dàng. Điều này đòi hỏi kiến thức chuyên môn, tài nguyên, và công nghệ phù hợp để đảm bảo an toàn cho dữ liệu và thông tin của doanh nghiệp. Vì vậy, việc tìm kiếm đơn vị bảo mật thứ ba có khả năng hỗ trợ tuân thủ Nghị định 13 là một hành động cần thiết và thiết thực.

CyStack tự hào là một đơn vị tiên phong trong việc cung cấp giải pháp toàn diện để hỗ trợ doanh nghiệp tuân thủ Nghị định 13. Với đội ngũ chuyên gia giàu kinh nghiệm cùng các sản phẩm bảo mật toàn diện, chúng tôi đã giúp hàng trăm khách hàng trong nhiều lĩnh vực khác nhau nâng cao tình trạng bảo mật và đạt được sự phát triển kinh doanh bền vững.

CyStack tập trung vào giải quyết ba vấn đề chính sau đây:

  • Xây dựng chính sách Bảo vệ dữ liệu: Xây dựng các quy trình, công bố chính sách thu thập, sử dụng, bảo vệ và xử lý vi phạm dữ liệu với chủ thể dữ liệu và giữa các bên liên quan.
  • Triển khai hoạt động Bảo vệ dữ liệu: Thực hiện đánh giá an ninh độc lập để đảm bảo dữ liệu được sử dụng đúng mục đích và không bị xâm phạm; triển khai các quy trình, biện pháp công nghệ để bảo vệ dữ liệu.
  • Giám sát và phản ứng trước nguy cơ Xâm phạm dữ liệu: Thực hiện giám sát an ninh để phát hiện các lỗ hổng bảo mật hậu đánh giá an ninh, nếu có; xử lý, khắc phục ngay khi phát hiện có dữ liệu bị xâm phạm.

Để được tư vấn chi tiết hơn về giải pháp tuân thủ Nghị định 13, hãy nhấn vào nút bên dưới và để lại thông tin liên lạc. Đội ngũ chuyên gia của CyStack sẽ nhanh chóng liên hệ lại để hỗ trợ và giải đáp mọi thắc mắc.

tư vấn nghị định 13

 

Kết luận

Trong bối cảnh Nghị định 13 ngày càng trở thành một phần quan trọng của hệ thống pháp luật Việt Nam, việc tìm kiếm sự hỗ trợ từ một đơn vị bảo mật thứ ba có thể xem là một chiến lược phù hợp và hiệu quả. Điều này không chỉ giúp doanh nghiệp tuân thủ các quy định một cách linh hoạt, mà còn mang lại nhiều lợi ích đáng kể về chất lượng dịch vụ, chi phí và quản lý an ninh mạng. Bằng cách này, doanh nghiệp có thể tập trung vào hoạt động chính mà không phải lo lắng về những thách thức của môi trường pháp luật đang thay đổi.

Tài liệu tham khảo

[1] Hải Thanh (2023), Hôm nay (7-11), Quốc hội chất vấn về giáo dục và đào tạo, nội vụ, văn hóa.

[2] Báo Công an thành phố Đà Nẵng (2023), Sẽ đề xuất xây dựng luật về bảo vệ dữ liệu cá nhân.

[3] Báo Thái Bình (2023), Bộ trưởng Công an: Đề xuất xây dựng Luật Bảo vệ dữ liệu cá nhân.

Bài viết liên quan

Những thách thức của Nghị định 13 đối với doanh nghiệp vừa và nhỏ
Những thách thức của Nghị định 13 đối với doanh nghiệp vừa và nhỏ
13/11/2023|Operations Security

Sự ra đời của Nghị định 13/2023/NĐ-CP có ý nghĩa quan trọng trong sự phát triển công nghệ thông tin nói chung và việc bảo vệ dữ liệu cá nhân nói riêng tại Việt Nam. Song, văn bản này cũng đặt ra những thách thức đáng kể cho các doanh nghiệp, đặc biệt là những …

Downtime là gì? Cách giảm tình trạng downtime của website
Downtime là gì? Cách giảm tình trạng downtime của website
21/09/2023|Operations Security

Bạn cần biết những gì về thời gian downtime của website? Mặc dù hầu hết các website và dịch vụ web đều cố gắng hạn chế thời gian downtime (thời gian chết của website), đó vẫn là điều không thể tránh khỏi.

Social Engineering là gì? Những điều bạn cần biết về  “Tấn công phi kỹ thuật”
Social Engineering là gì? Những điều bạn cần biết về “Tấn công phi kỹ thuật”
20/09/2023|Operations Security

Social Engineering (hay tấn công phi kỹ thuật) là thuật ngữ phổ biến trong lĩnh vực bảo mật thông tin, mô tả hình thức thao túng hành vi của con người thay vì tập trung khai thác các lỗ hổng bảo mật của máy móc, thiết bị. Qua đó, kẻ tấn công có thể đạt được …