Làm sao để tuân thủ Luật An ninh mạng Việt Nam cho SME?

Hướng dẫn chi tiết làm sao để tuân thủ Luật An ninh mạng cho doanh nghiệp vừa và nhỏ: Checklist 7 bước, hồ sơ cần chuẩn bị, sai lầm phổ biến cần tránh. 

Trong vài năm gần đây, Luật An ninh mạng Việt Nam và các nghị định hướng dẫn bắt đầu được áp dụng mạnh mẽ hơn với doanh nghiệp cung cấp dịch vụ, sản phẩm trên không gian mạng. Không chỉ các “ông lớn” mới bị nhắc tên, rất nhiều doanh nghiệp vừa và nhỏ (SME) cũng phải đối mặt với yêu cầu giải trình, lưu trữ dữ liệu, cung cấp log hệ thống hoặc chỉnh sửa quy trình bảo mật. Câu hỏi “Làm sao để tuân thủ Luật An ninh mạng khi nguồn lực hạn chế?” vì vậy trở nên rất thực tế. Bài viết này đóng vai trò như một bản hướng dẫn Luật An ninh mạng ở mức thực hành, tập trung vào checklist 7 bước đơn giản, có thể áp dụng cho SME đang vận hành sản phẩm, dịch vụ số tại Việt Nam. 

Luật An ninh mạng là gì và áp dụng cho những ai? 

Luật An ninh mạng Việt Nam là Luật số 24/2018/QH14, được Quốc hội thông qua ngày 12/06/2018 và có hiệu lực từ 01/01/2019. Luật gồm 7 chương, 43 điều, quy định về bảo vệ an ninh quốc gia, bảo đảm trật tự, an toàn xã hội trên không gian mạng và trách nhiệm của cơ quan, tổ chức, cá nhân có liên quan. 

Nói một cách dễ hiểu, đây là luật về an ninh mạng đặt ra khung nguyên tắc: 

• Những hành vi nào bị cấm trên không gian mạng. 
• Hệ thống thông tin nào được coi là quan trọng về an ninh quốc gia. 
• Cơ quan nhà nước có quyền gì trong việc yêu cầu doanh nghiệp cung cấp dữ liệu, log, hỗ trợ điều tra. 
• Trách nhiệm của doanh nghiệp khi vận hành hệ thống thông tin, dịch vụ trực tuyến tại Việt Nam. 

Bên cạnh Luật, Chính phủ còn ban hành Nghị định 53/2022/NĐ-CP quy định chi tiết một số điều của Luật An ninh mạng, trong đó có nội dung về lưu trữ dữ liệu tại Việt Nam, thời gian lưu log hệ thống tối thiểu và quy trình kiểm tra an ninh mạng. 

Vì vậy, dù bạn là SME, chỉ cần có hệ thống, website, ứng dụng hoặc nền tảng cung cấp dịch vụ trên mạng Internet cho người dùng tại Việt Nam, bạn vẫn chịu sự điều chỉnh của Luật An ninh mạng và các văn bản liên quan – không chỉ các “big tech”. 

Vì sao SME không thể bỏ qua Luật An ninh mạng? 

Nhiều doanh nghiệp nhỏ cho rằng chỉ cần quan tâm đến quy định bảo mật thông tin nội bộ hoặc các điều khoản bảo vệ dữ liệu trong hợp đồng với đối tác là đủ. Thực tế, Luật An ninh mạng và Nghị định 53 tác động đến ba nhóm vấn đề rất cụ thể: 

• Cách bạn thu thập, lưu trữ, xử lý dữ liệu người dùng trên không gian mạng. 
• Cách bạn bảo vệ hệ thống thông tin (ứng dụng, API, cơ sở dữ liệu, server) khỏi các hành vi tấn công, khai thác trái phép. 
• Cách bạn hợp tác với cơ quan chức năng khi có yêu cầu về điều tra, xử lý hành vi vi phạm trên hệ thống của mình. 

Nếu không chuẩn bị từ sớm, doanh nghiệp có thể gặp các rủi ro: 

• Bị yêu cầu khắc phục gấp trong khi chưa có quy trình, gây gián đoạn vận hành. 
• Bị xử phạt vi phạm hành chính nếu không đáp ứng đúng, đủ yêu cầu về log, lưu trữ dữ liệu, xóa bỏ nội dung vi phạm… 
• Khó chứng minh năng lực tuân thủ khi làm việc với đối tác lớn (ngân hàng, tổ chức tài chính, doanh nghiệp nước ngoài). 

Vậy Làm sao để tuân thủ Luật An ninh mạng trong bối cảnh nguồn lực hạn chế? Phần tiếp theo là checklist 7 bước theo đúng tinh thần “vừa sức” cho SME. 

Checklist 7 bước: Làm sao để tuân thủ Luật An ninh mạng cho SME 

Bước 1: Đọc Luật đúng cách – không cần thuộc từng điều 

Bạn không cần trở thành luật sư, nhưng nên nắm những “điểm chạm” chính: 

• Phạm vi điều chỉnh: Luật áp dụng cho hoạt động trên không gian mạng tại Việt Nam, bao gồm cả doanh nghiệp cung cấp dịch vụ trực tuyến cho người dùng tại Việt Nam. 
• Trách nhiệm của tổ chức: bảo vệ hệ thống thông tin, lưu trữ log, phối hợp khi có kiểm tra an ninh mạng. 
• Các hành vi bị cấm: lợi dụng không gian mạng để xâm phạm an ninh quốc gia, kích động bạo lực, lừa đảo, phát tán mã độc, tấn công hệ thống… 

Cách thực tế để bắt đầu: 

• Tải Luật An ninh mạng PDF từ cổng văn bản chính thức, in hoặc lưu bản số, đánh dấu Chương I, III, VI – là các phần SME cần quan tâm nhiều nhất. 
• Ghi chú những điều khoản liên quan đến loại hình dịch vụ và dữ liệu mà doanh nghiệp xử lý. 
• Dùng các từ khóa tìm kiếm như “luat an ninh mang”, “luật an ninh mạng pdf”, “quy định chi tiết một số điều của Luật An ninh mạng” để tra cứu nhanh bản cập nhật. 

Bước 2: Lập bản đồ hệ thống thông tin & dữ liệu 

Muốn tuân thủ, đầu tiên phải biết mình đang có gì. Bạn cần trả lời các câu hỏi: 

• Hệ thống nào đang chạy? Website, app, API, cổng thanh toán, CRM, ticket, kho dữ liệu logging… 
• Dữ liệu nào đang được thu thập, từ người dùng nào, lưu ở đâu (server trong nước, cloud nước ngoài, thiết bị nội bộ)? 
• Dữ liệu này gắn với nghĩa vụ nào của Luật An ninh mạng Việt Nam và các văn bản về bảo vệ dữ liệu cá nhân (như Nghị định 13/2023/NĐ-CP)? 

Đây là bước “mapping” nền tảng để sau đó bạn mới xác định được: phải log gì, lưu log bao lâu, dữ liệu nào cần bảo vệ ưu tiên, quyền truy cập ra sao. 

Bước 3: Xây dựng quy định & quy chế bảo mật thông tin nội bộ 

Luật là khung, nhưng quy định bảo mật thông tin và quy chế bảo mật thông tin trong doanh nghiệp mới là thứ được áp dụng hàng ngày. Tối thiểu SME nên có: 

• Chính sách phân loại thông tin: dữ liệu khách hàng, dữ liệu giao dịch, dữ liệu nội bộ, mã nguồn, thông tin tài chính… mỗi loại có mức độ nhạy cảm khác nhau. 
• Quy chế bảo mật thông tin công ty: quy định ai được truy cập dữ liệu gì, dùng tài khoản nào, quản lý mật khẩu ra sao, có được dùng thiết bị cá nhân không, xử lý khi nghỉ việc thế nào. 
• Quy định về bảo mật thông tin của công ty khi làm việc với bên thứ ba: nhà cung cấp dịch vụ cloud, đối tác tích hợp, đơn vị marketing, call center… 

Khi có quy chế rõ ràng, bạn dễ chứng minh với đối tác và cơ quan quản lý rằng doanh nghiệp đã chuyển yêu cầu của luật về an ninh mạng thành cơ chế vận hành cụ thể, không chỉ là khẩu hiệu. 

Bước 4: Thiết lập biện pháp kỹ thuật tối thiểu theo tinh thần Luật An ninh mạng 

Luật không liệt kê từng loại firewall hay phần mềm, nhưng yêu cầu tổ chức bảo đảm an ninh hệ thống thông tin, phòng ngừa, phát hiện, ngăn chặn, xử lý hành vi xâm phạm trên không gian mạng. 

Với SME, bạn có thể tập trung vào 5 nhóm kỹ thuật cơ bản: 

• Quản lý danh tính và truy cập (IAM): phân quyền theo vai trò, bắt buộc xác thực đa yếu tố (MFA) cho tài khoản quản trị, hạn chế dùng chung tài khoản. 
• Bảo vệ endpoint & server: cài giải pháp chống mã độc, EDR cơ bản, bật tường lửa, hạn chế cài phần mềm không rõ nguồn gốc. 
• Giám sát & lưu log: log đăng nhập, truy cập dữ liệu quan trọng, thay đổi cấu hình; đảm bảo log hệ thống chính được lưu đủ lâu (tham chiếu yêu cầu tối thiểu 12 tháng log hệ thống theo Nghị định 53). THƯ VIỆN PHÁP LUẬT+1 
• Sao lưu & khôi phục: backup định kỳ dữ liệu quan trọng, kiểm tra khả năng restore, lưu ít nhất một bản sao tách biệt. 
• Quy trình ứng cứu sự cố: định nghĩa ai chịu trách nhiệm, liên hệ với ai, ngắt hệ thống nào trước khi xử lý. 

Bạn không cần đạt chuẩn “enterprise” ngay, nhưng phải chứng minh rằng mình đã áp dụng biện pháp hợp lý so với quy mô và rủi ro của doanh nghiệp. 

Bước 5: Nắm rõ nghĩa vụ làm việc với cơ quan nhà nước 

Một phần quan trọng trong hướng dẫn Luật An ninh mạng là hiểu doanh nghiệp phải hợp tác thế nào khi có yêu cầu từ cơ quan chức năng: 

• Cung cấp log, dữ liệu liên quan đến hành vi vi phạm pháp luật trên hệ thống của mình. 
• Thực hiện yêu cầu gỡ bỏ nội dung vi phạm, chặn truy cập hoặc tạm ngừng hoạt động hệ thống trong trường hợp đặc biệt.
• Với một số loại hình dịch vụ trực tuyến, có thể phải lưu trữ dữ liệu người dùng tại Việt Nam trong thời gian tối thiểu theo hướng dẫn của Nghị định 53.

Checklist đơn giản: 

• Cập nhật thông tin đầu mối liên hệ với cơ quan chức năng (email, số điện thoại, người phụ trách). 
• Chuẩn bị sẵn quy trình nội bộ: ai nhận yêu cầu, ai duyệt, ai thực hiện trích xuất log/dữ liệu, thời gian phản hồi như thế nào. 
• Đảm bảo mọi thao tác trích xuất dữ liệu phục vụ yêu cầu đều được ghi nhận, bảo mật và chỉ dùng đúng mục đích. 

Bước 6: Đào tạo đội ngũ về an ninh mạng và trách nhiệm pháp lý 

Luật không thể được tuân thủ chỉ bằng văn bản trên giấy. Nhân viên cần hiểu: 

• Hành vi nào trên không gian mạng có thể khiến doanh nghiệp vi phạm Luật An ninh mạng (chia sẻ thông tin sai sự thật, phát tán phần mềm lậu, tùy tiện tiết lộ dữ liệu người dùng…). 
• Trách nhiệm của họ khi xử lý dữ liệu cá nhân, dữ liệu giao dịch, tài khoản nội bộ. 
• Cách nhận diện email, link, file độc hại tránh đưa mã độc vào hệ thống. 

Thay vì làm các buổi training dài, bạn có thể chia nhỏ thành các phiên 30–45 phút theo chủ đề: quy định bảo mật thông tin trong công ty, bảo mật khi làm việc từ xa, xử lý sự cố, v.v. Nhấn mạnh rằng đây không chỉ là “policy của công ty” mà còn gắn với nghĩa vụ bảo vệ dữ liệu của doanh nghiệp theo pháp luật Việt Nam. 

Bước 7: Kết nối Luật An ninh mạng với Nghị định 13 & ISO 27001 

Thực tế, tuân thủ pháp luật sẽ nhẹ hơn nếu bạn dựa trên một framework như ISO 27001: 

• ISO 27001 là tiêu chuẩn quốc tế về hệ thống quản lý an toàn thông tin (ISMS), bao phủ các chủ đề: chính sách bảo mật, quản lý tài sản, kiểm soát truy cập, mã hóa, vận hành an toàn, quản lý sự cố… 
• Nhiều điều khoản, kiểm soát trong ISO 27001 trùng hoặc gần với yêu cầu của Luật An ninh mạng Việt Nam và các quy định về bảo vệ dữ liệu cá nhân (Nghị định 13). 

Vì vậy, nếu bạn đang cân nhắc Hướng dẫn thực hiện ISO 27001 cho công ty nhỏ, hãy xem đây là cách “đóng gói” các nỗ lực tuân thủ Luật An ninh mạng, Nghị định 13 và Quy định về bảo mật thông tin ở Việt Nam vào một hệ thống nhất quán, dễ audit, dễ chứng minh với đối tác. 

Những sai lầm phổ biến khi SME tự tìm hiểu Luật An ninh mạng 

1. Chỉ đọc tiêu đề tin tức, không đọc văn bản gốc. 
   Dẫn đến việc hiểu sai phạm vi áp dụng, phóng đại hoặc đánh giá thấp rủi ro. 
2. Nghĩ rằng chỉ doanh nghiệp “đặt máy chủ ở nước ngoài” mới bị ảnh hưởng. 
   Thực tế, bất cứ ai cung cấp dịch vụ trên không gian mạng ở Việt Nam đều có nghĩa vụ nhất định. 
3. Tập trung quá nhiều vào giấy tờ, bỏ quên hệ thống kỹ thuật. 
   Có quy chế, chính sách nhưng không có log, không backup, không có kế hoạch ứng cứu sự cố thì vẫn khó chứng minh tuân thủ. 
4. Chỉ xem đây là vấn đề của phòng pháp chế hoặc IT. 
   Trong khi các quyết định sản phẩm, marketing, chăm sóc khách hàng, hợp tác đối tác đều liên quan tới dữ liệu và an ninh mạng. 

 FAQ – Hướng dẫn Luật An ninh mạng cho doanh nghiệp nhỏ 

1. Luật An ninh mạng chỉ áp dụng cho các “ông lớn” hay áp dụng cho tất cả doanh nghiệp? 

Luật An ninh mạng áp dụng cho mọi tổ chức, cá nhân hoạt động trên không gian mạng tại Việt Nam, bao gồm cả doanh nghiệp vừa và nhỏ. Điểm khác biệt là mức độ ràng buộc có thể khác nhau tùy loại hệ thống: hệ thống thông tin quan trọng về an ninh quốc gia chịu yêu cầu cao hơn, nhưng các hệ thống khác vẫn phải bảo đảm an ninh, lưu log, hợp tác với cơ quan chức năng khi có yêu cầu. 

2. Doanh nghiệp nhỏ có bắt buộc phải lưu trữ dữ liệu ở Việt Nam không? 

Nghị định 53 quy định cụ thể nhóm doanh nghiệp phải lưu trữ dữ liệu tại Việt Nam và thời gian lưu, chủ yếu là doanh nghiệp cung cấp một số dịch vụ trên mạng cho người dùng tại Việt Nam khi hội đủ điều kiện nhất định. Với mỗi mô hình kinh doanh cụ thể, bạn nên đối chiếu chi tiết hoặc tham khảo ý kiến chuyên gia pháp lý để xác định nghĩa vụ. 

3. “Làm sao để tuân thủ Luật An ninh mạng” khi không có phòng pháp chế riêng? 

Hãy bắt đầu từ ba việc: 

• Đọc, tóm tắt các phần chính của luật và Nghị định 53 liên quan tới mô hình kinh doanh. 
• Hoàn thiện quy định bảo mật thông tin trong công ty và tối thiểu hóa rủi ro kỹ thuật (log, backup, MFA, quản lý truy cập). 
• Định kỳ nhờ tư vấn bên ngoài rà soát lại, thay vì cố làm tất cả một mình. Bạn không cần hoàn hảo ngay, nhưng phải có lộ trình rõ ràng. 

4. Có cần đạt chứng nhận ISO 27001 mới được coi là tuân thủ Luật An ninh mạng không? 

Không bắt buộc. Luật không yêu cầu mọi doanh nghiệp phải có chứng chỉ ISO 27001. Tuy nhiên, ISO 27001 giúp bạn có một khung quản lý an toàn thông tin rõ ràng, đồng thời tái sử dụng được cho nhiều mục đích: tuân thủ Luật An ninh mạng, Nghị định 13, yêu cầu bảo mật của khách hàng và đối tác quốc tế. 

5. Tôi nên xem Luật An ninh mạng ở đâu là chính xác nhất? 

Bạn nên tải Luật An ninh mạng PDF và Nghị định 53 từ cổng thông tin văn bản quy phạm pháp luật của Chính phủ hoặc các nguồn chính thức để đảm bảo bản mới nhất, không bị cắt xén. Sau đó, bạn có thể dùng bản in hoặc bản số đã đánh dấu để làm tài liệu tham chiếu nội bộ, tránh dựa hoàn toàn vào các bài tóm tắt thứ cấp.  

Kết luận 

Tuân thủ Luật An ninh mạng không chỉ là “đáp ứng yêu cầu pháp lý” mà còn là cách doanh nghiệp bảo vệ quyền lợi của chính mình: giảm rủi ro bị tấn công, tránh gián đoạn dịch vụ, tăng niềm tin của khách hàng và đối tác. Với SME, câu hỏi “Làm sao để tuân thủ Luật An ninh mạng” có thể được trả lời bằng một lộ trình thực tế: hiểu đúng phạm vi luật, lập bản đồ hệ thống – dữ liệu, xây dựng quy chế bảo mật thông tin nội bộ, triển khai các biện pháp kỹ thuật tối thiểu, thiết lập quy trình làm việc với cơ quan nhà nước, đào tạo nhân viên và kết nối với các framework như ISO 27001. 

Khi bạn xem hướng dẫn Luật An ninh mạng như một phần trong chiến lược vận hành và tăng trưởng, chứ không chỉ là gánh nặng pháp lý, mọi quyết định về sản phẩm, dữ liệu và hạ tầng sẽ rõ ràng hơn, bền vững hơn. Đó chính là nền tảng để doanh nghiệp vừa và nhỏ phát triển an toàn trong môi trường số ngày càng phức tạp.