Đánh giá rủi ro an toàn thông tin mạng
“Tôi là anh Hùng, giám đốc một công ty công nghệ ở Quận 1, TP.HCM. Công ty tôi đang tham gia đấu thầu một dự án lớn của nhà nước liên quan đến xây dựng hệ thống phần mềm quản lý. Trong hồ sơ mời thầu có yêu cầu phải có kế hoạch đánh giá rủi ro an toàn thông tin mạng. Tôi không rõ việc này có bắt buộc theo luật không và liệu Luật Đấu thầu có quy định gì về việc này không, hay phải xem xét ở văn bản khác?”
Trả lời
Khái niệm và tầm quan trọng của Đánh giá rủi ro an toàn thông tin mạng
Kính chào Anh Hùng,
Đánh giá rủi ro an toàn thông tin mạng là một quy trình quan trọng, bao gồm việc phát hiện, phân tích, ước lượng mức độ tổn hại, mối đe dọa đối với thông tin, hệ thống thông tin. Trong bối cảnh công ty anh đang tham gia đấu thầu dự án xây dựng hệ thống phần mềm quản lý cho nhà nước, việc này càng trở nên cấp thiết. Một hệ thống phần mềm quản lý, đặc biệt là của nhà nước, thường chứa đựng nhiều thông tin nhạy cảm, dữ liệu quan trọng. Do đó, việc đánh giá rủi ro sẽ giúp xác định các lỗ hổng tiềm ẩn, các mối đe dọa có thể xảy ra và từ đó đưa ra các biện pháp phòng ngừa, khắc phục hiệu quả, đảm bảo an toàn cho toàn bộ hệ thống và dữ liệu.
Quy định về an toàn thông tin mạng và liên hệ với hoạt động đấu thầu
Mặc dù yêu cầu về đánh giá rủi ro an toàn thông tin mạng thường được quy định chi tiết trong các văn bản chuyên ngành về an toàn thông tin, nhưng việc này hoàn toàn có thể là một phần không thể thiếu trong các dự án đấu thầu, đặc biệt là các dự án công nghệ thông tin.
Cụ thể, Luật Đấu thầu năm 2013 quy định về phạm vi điều chỉnh các hoạt động đấu thầu để lựa chọn nhà thầu cung cấp dịch vụ tư vấn, mua sắm hàng hóa, xây lắp đối với gói thầu thuộc các dự án sử dụng vốn nhà nước
[1]. Một dự án xây dựng hệ thống phần mềm quản lý có thể được xem là dự án đầu tư để mua sắm tài sản hoặc dịch vụ tư vấn liên quan đến phát triển công nghệ. Do đó, nếu dự án của anh thuộc phạm vi điều chỉnh của Luật Đấu thầu, các yêu cầu trong hồ sơ mời thầu, bao gồm cả yêu cầu về đánh giá rủi ro an toàn thông tin mạng, là bắt buộc phải tuân thủ.Về mặt pháp lý chuyên sâu, Luật An toàn thông tin mạng (mà nội dung của Điều luật 3 trong văn bản anh cung cấp phản ánh) quy định về hoạt động an toàn thông tin mạng, quyền, trách nhiệm của cơ quan, tổ chức, cá nhân trong việc bảo đảm an toàn thông tin mạng
[2]. Điều này cho thấy việc đánh giá rủi ro an toàn thông tin mạng là một hoạt động được pháp luật Việt Nam quan tâm và quy định rõ ràng. Các cơ quan nhà nước khi triển khai dự án đều có trách nhiệm đảm bảo an toàn thông tin mạng, và việc yêu cầu nhà thầu thực hiện đánh giá rủi ro là một biện pháp để thực hiện trách nhiệm đó.Trách nhiệm và giải quyết vấn đề phát sinh
Việc tuân thủ các yêu cầu về an toàn thông tin mạng trong dự án đấu thầu không chỉ là nghĩa vụ mà còn là yếu tố quan trọng để đảm bảo uy tín và năng lực của công ty anh. Nếu trong quá trình thực hiện dự án hoặc đánh giá rủi ro an toàn thông tin mạng có bất kỳ hành vi vi phạm pháp luật nào, hoặc có các vấn đề phát sinh cần được làm rõ, các quy định về tố cáo và giải quyết tố cáo sẽ được áp dụng để bảo vệ quyền và lợi ích hợp pháp của các bên liên quan
[3]. Điều này nhấn mạnh tầm quan trọng của việc thực hiện đúng đắn và minh bạch các quy trình liên quan đến an toàn thông tin mạng trong các dự án công.Do đó, yêu cầu trong hồ sơ mời thầu về việc phải có kế hoạch đánh giá rủi ro an toàn thông tin mạng là hoàn toàn có cơ sở pháp lý và cần được công ty anh nghiêm túc thực hiện.