- Số hóa dữ liệu hộ tịch - bước đi chiến lược trong hành trình chuyển đổi số quốc gia (Bài 1): “Điểm nhấn” trong xây dựng Chính phủ điện tử
- Mới: Được ghi âm, ghi hình, xử lý dữ liệu mà không cần cá nhân đồng ý khi nào?
- Nghiêm cấm mua bán, thu thập và chuyển giao dữ liệu cá nhân trái phép
Dự thảo Nghị định nêu rõ, các loại rủi ro phát sinh trong xử lý dữ liệu gồm: Rủi ro quyền riêng tư xảy ra do không tuân thủ quy định pháp luật về quyền riêng tư của dữ liệu trong quá trình xử lý và chuyển giao dữ liệu;
Rủi ro an ninh mạng xảy ra do không áp dụng những biện pháp phù hợp giúp bảo vệ những dữ liệu không công khai khỏi những truy cập trái phép từ các đối tượng bên ngoài hoặc thông tin bị rò rỉ ra bên ngoài;
Rủi ro nhận dạng và quản lý truy cập xảy ra do không bảo đảm việc bảo vệ những dữ liệu không được phép công khai khỏi những truy cập trái phép;
Rủi ro khác trong xử lý dữ liệu bao gồm: rủi ro vòng đời thông tin xảy ra do việc xử lý những bản ghi dữ liệu không tuân thủ pháp luật và tiêu chuẩn, quy chuẩn, khi vòng đời thay đổi, thì có thể thay đổi giá trị; rủi ro chia sẻ thông tin xảy ra khi không có khả năng duy trì quyền kiểm soát đối với dữ liệu sau khi dữ liệu được chia sẻ cho bên thứ ba; rủi ro quản lý dữ liệu: xảy ra do dữ liệu không chính xác, không đầy đủ, không được cập nhật hoặc thiếu những dữ liệu cần thiết phục vụ việc ra quyết định; gây ra gián đoạn trong quá trình khai thác và sử dụng.
Bên cạnh đó, dự thảo cũng quy định một số biện pháp phòng ngừa rủi ro phát sinh trong xử lý dữ liệu, như:
Thực hiện sao lưu dữ liệu thường xuyên để bảo đảm rằng dữ liệu có thể được khôi phục trong trường hợp mất mát hoặc hỏng hóc. Sao lưu cần được lưu trữ ở một vị trí an toàn và tách biệt với hệ thống chính;
Có kế hoạch bảo trì, bảo dưỡng, nâng cấp hệ thống và hệ điều hành nhằm bảo đảm duy trì và cải thiện hiệu suất, tính năng, tính bảo mật và tính nhất quán của hệ thống cơ sở dữ liệu; khi nâng cấp cần có kế hoạch và bảo đảm tính liên tục của dịch vụ; phải có biện pháp ứng phó khôi phục lại hệ thống trong quá trình tiến hành;
Thực hiện các biện pháp bảo vệ dữ liệu để không bị truy cập trái phép; Xây dựng, thiết lập các quy tắc chặt chẽ và hạn chế truy cập đối với từng loại dữ liệu, bảo đảm rằng chỉ những người dùng có nhiệm vụ liên quan đến dữ liệu đó hoặc được sự đồng ý của cơ quan chủ quản dữ liệu mới có thể truy cập được vào những dữ liệu có thông tin nhạy cảm;
Sử dụng các hệ thống giám sát và phát hiện xâm nhập để theo dõi hoạt động mạng và phát hiện các hành vi bất thường hoặc truy cập trái phép;
Cài đặt và duy trì các phần mềm bảo mật như tường lửa, phần mềm diệt virus, chống phần mềm độc hại để bảo vệ hệ thống khỏi các mối đe dọa;
Thực hiện đánh giá rủi ro định kỳ để xác định các điểm yếu trong hệ thống và áp dụng các biện pháp giảm thiểu rủi ro tương ứng;
Xây dựng phương án, kế hoạch xử lý sự cố dữ liệu để bảo đảm cơ quan, tổ chức có thể nhanh chóng ứng phó, khắc phục sự cố và hoạt động bình thường sau khi xảy ra các sự cố như tấn công mạng, mất dữ liệu hoặc hỏng hóc thiết bị;
Đào tạo nhân viên về các biện pháp bảo mật dữ liệu, cách nhận biết các mối đe dọa, cách xử lý khi phát hiện rủi ro bảo mật; huấn luyện, diễn tập, phòng ngừa sự cố, giám sát phát hiện, bảo đảm các điều kiện sẵn sàng khi có sự cố…
