Đơn vị vận hành hệ thống thông tin
“Chào luật sư, công ty tôi ở Hà Nội kinh doanh thương mại điện tử nhỏ, có thuê một bên thứ ba để quản lý và vận hành toàn bộ hệ thống website, máy chủ. Gần đây tôi nghe nói nhiều về các quy định an toàn thông tin. Vậy trong trường hợp của tôi, công ty tôi hay bên đối tác IT mới là đơn vị vận hành hệ thống thông tin theo quy định pháp luật? Nếu có vấn đề gì xảy ra thì ai sẽ chịu trách nhiệm chính?”
Trả lời
Xác định Đơn vị vận hành hệ thống thông tin trong trường hợp của bạn
Theo quy định pháp luật Việt Nam, đơn vị vận hành hệ thống thông tin được định nghĩa là cơ quan, tổ chức được chủ quản hệ thống thông tin giao nhiệm vụ vận hành hệ thống thông tin. Một điểm rất quan trọng là trong trường hợp chủ quản hệ thống thông tin thuê ngoài dịch vụ công nghệ thông tin, đơn vị vận hành hệ thống thông tin là bên cung cấp dịch vụ.
Với tình huống của công ty chị tại Hà Nội, khi chị thuê một bên thứ ba để quản lý và vận hành toàn bộ hệ thống website, máy chủ, thì chính bên đối tác IT đó mới được xác định là đơn vị vận hành hệ thống thông tin theo quy định. Công ty chị, với vai trò là chủ sở hữu và sử dụng hệ thống, sẽ là chủ quản hệ thống thông tin. Ví dụ điển hình cho việc xác định này là trong các quyết định phê duyệt cấp độ an toàn thông tin, nơi các đơn vị cụ thể được chỉ định là đơn vị vận hành hệ thống thông tin cho các hệ thống thuộc phạm vi quản lý của cơ quan chủ quản
[1].Trách nhiệm pháp lý của Đơn vị vận hành hệ thống thông tin
Việc xác định rõ ai là đơn vị vận hành hệ thống thông tin có ý nghĩa then chốt trong việc phân định trách nhiệm pháp lý. Theo quy định về xử phạt vi phạm hành chính, đơn vị vận hành hệ thống thông tin là một trong những đối tượng cụ thể có thể bị xử phạt khi thực hiện hành vi vi phạm hành chính trong các lĩnh vực như công nghệ thông tin, an toàn thông tin mạng
[2].Do đó, nếu có bất kỳ sự cố, vi phạm nào liên quan đến việc vận hành hoặc đảm bảo an toàn của hệ thống thông tin mà bên đối tác IT của chị đang quản lý, họ sẽ là bên chịu trách nhiệm trực tiếp và chính yếu trước pháp luật với tư cách là đơn vị vận hành hệ thống thông tin.
Nghĩa vụ của Chủ quản hệ thống thông tin
Mặc dù trách nhiệm vận hành trực tiếp thuộc về bên cung cấp dịch vụ, công ty chị, với tư cách là chủ quản, vẫn có những nghĩa vụ nhất định. Các quy định pháp luật áp dụng đối với cơ quan, tổ chức, cá nhân tham gia hoặc có liên quan đến hoạt động xây dựng, thiết lập, quản lý, vận hành, nâng cấp, mở rộng hệ thống thông tin tại Việt Nam
[3]. Điều này có nghĩa là công ty chị cần:* Thiết lập hợp đồng chặt chẽ: Đảm bảo hợp đồng dịch vụ với bên đối tác IT quy định rõ ràng về phạm vi công việc, các tiêu chuẩn an toàn thông tin cần tuân thủ, trách nhiệm của mỗi bên, và các điều khoản bồi thường nếu có sự cố. * Giám sát và đánh giá: Thường xuyên giám sát, đánh giá việc tuân thủ các quy định về an toàn thông tin và chất lượng dịch vụ của bên đối tác để đảm bảo hệ thống của mình được bảo vệ và hoạt động hiệu quả.