Sắp quy định người đứng đầu doanh nghiệp, tổ chức phải có chứng chỉ an ninh mạng?

Tại tọa đàm “Luật An ninh mạng 2025: Bước tiến bảo vệ an ninh dữ liệu” do Hiệp hội An ninh mạng Quốc gia tổ chức ngày 24/11, ông Vũ Ngọc Sơn, Trưởng Ban Nghiên cứu, Tư vấn, Phát triển công nghệ và Hợp tác quốc tế của Hiệp hội, cho biết Luật An ninh mạng 2025 sắp được thông qua, sẽ chuẩn hóa đội ngũ tham gia vận hành hệ thống thông tin, trong đó quy định rõ về chứng chỉ và kỹ năng an ninh mạng đối với từng vị trí. Đặc biệt, luật sẽ nhấn mạnh trách nhiệm, vai trò của người đứng đầu trong hệ thống an toàn thông tin. 

"Luật An ninh mạng 2025 sẽ quy định lãnh đạo các cơ quan, tổ chức bắt buộc phải có chứng chỉ liên quan đến quản lý và bảo đảm an ninh mạng. Các chứng chỉ này sẽ được quy định chi tiết trong các văn bản dưới luật do Bộ Công an ban hành", ông Sơn tiết lộ. 

Như vậy, điều này có nghĩa lần đầu tiên Việt Nam sẽ có quy định yêu cầu người đứng đầu phải có chứng chỉ an ninh mạng. Đây được xem như bước tiến rất lớn trong nỗ lực đảm bảo an ninh mạng toàn bộ hệ thống, đồng thời cũng sẽ hình thành một văn hóa mới trong đảm bảo an ninh mạng.

Ông Sơn nhấn mạnh nếu người đứng đầu không hiểu về an ninh mạng, mọi chiến lược, quy trình, đầu tư kỹ thuật và phân công nhân sự đều có nguy cơ chỉ mang tính hình thức hoặc triển khai thiếu trọng tâm.

Ngược lại, khi lãnh đạo có hiểu biết và kỹ năng đủ sâu, các quyết sách về bảo vệ hệ thống thông tin, về đầu tư công nghệ, về tổ chức nhân sự và vận hành dữ liệu sẽ đi đúng hướng, phát huy hiệu quả và bảo đảm tính bền vững. 

Đại diện Hiệp hội An ninh mạng Quốc gia cũng lưu ý đây không phải chứng chỉ chuyên môn như của các chuyên gia kỹ thuật, mà là chứng chỉ dành cho công tác quản lý, điều hành bảo đảm an ninh mạng. Cùng với đó, đội ngũ kỹ thuật, cán bộ vận hành trong tổ chức cũng sẽ có hệ thống chứng chỉ chuyên môn tương ứng cho từng vị trí.

ĐẶT DẤU CHẤM CHO TÌNH TRẠNG TỰ DO THU THẬP, XỬ LÝ DỮ LIỆU 

Đáng chú ý, Luật An ninh mạng 2025 cũng sẽ mở ra nhiều cơ hội cho những đơn vị đầu tư bài bản vào hệ thống an ninh mạng, “chứ không phải làm theo kiểu đối phó”. 

Trước đây, các tổ chức có thể thoải mái thu thập và sử dụng dữ liệu mà hầu như không đầu tư cho hạ tầng hay các biện pháp bảo đảm an ninh mạng. Nhưng khi Luật An ninh mạng 2025 được thông qua, các đơn vị không đáp ứng được yêu cầu về hạ tầng hay giải pháp an ninh mạng, sẽ phải chấm dứt thu thập, lưu trữ hay xử lý dữ liệu. 

Chỉ những đơn vị thực sự đầu tư cho an ninh mạng mới được phép thu thập và sử dụng dữ liệu.

Vậy những đơn vị không đủ khả năng đáp ứng điều kiện bảo đảm an ninh dữ liệu sẽ phải làm thế nào? 

Ông Sơn cho hay họ sẽ phải chuyển sang sử dụng các dịch vụ dữ liệu bên ngoài thay vì tự thu thập. 

Ví dụ, họ có thể mua và khai thác dữ liệu từ các sàn giao dịch dữ liệu đã có hệ thống bảo mật và quy trình bảo vệ dữ liệu chặt chẽ. Điều này cũng giúp giảm rủi ro rò rỉ dữ liệu, đồng thời giảm chi phí đầu tư cho hạ tầng an ninh mạng.

Còn với người dùng, quy định mới sẽ nâng cao uy tín và mức độ tin cậy của các dịch vụ. Người dân có thể yên tâm hơn vì các tổ chức thu thập dữ liệu buộc phải tuân thủ tiêu chuẩn và yêu cầu chặt chẽ của Luật. 

Cách tiếp cận này cũng hoàn toàn phù hợp với thông lệ quốc tế. Ủy ban châu Âu (EU) đã xác định an ninh dữ liệu là một trong những quyền cơ bản của con người. Các quốc gia trong khu vực như Singapore, Hàn Quốc, Nhật Bản đều coi dữ liệu là tài sản chiến lược quốc gia.

“Việt Nam đang bắt nhịp mạnh mẽ với xu hướng này. Chúng ta đã xây dựng Trung tâm Dữ liệu Quốc gia, ban hành Luật Bảo vệ Dữ liệu Cá nhân, hoàn thiện Luật Dữ liệu, và gần đây là đưa khái niệm an ninh dữ liệu vào Luật An ninh mạng. Có thể nói, chúng ta đang từng bước hoàn thiện hành lang pháp lý, tạo nền tảng vững chắc cho phát triển kinh tế số và chuyển đổi số quốc gia”, ông Sơn chỉ ra.

Ông Sơn cũng lưu ý: “Các doanh nghiệp không nên chờ văn bản quy định được thông qua mới triển khai các biện pháp bảo đảm an ninh, mà ngay lúc này, nên chủ động  phân loại dữ liệu, mã hóa, lưu trữ an toàn, giám sát và ứng cứu sự cố theo đúng nguyên tắc… Khi văn bản hướng dẫn được ban hành, các doanh nghiệp chỉ cần điều chỉnh, bổ sung những phần còn thiếu, tránh tình trạng chậm trễ”.