Phân biệt Giấy phép ATTTM và Giấy phép Mật mã dân sự: Những nhầm lẫn cần loại bỏ

Giấy phép An toàn thông tin mạng (ATTTM) và Giấy phép Mật mã dân sự (MMDS) là hai loại giấy phép độc lập, quản lý các phạm vi khác nhau: (1) ATTTM quản lý an toàn hệ thống, mạng, dữ liệu và các dịch vụ bảo vệ (như giám sát, đánh giá ATTT); (2) MMDS quản lý các sản phẩm/dịch vụ có chức năng mã hóa dữ liệu, quản lý khóa mật mã thuộc Danh mục quy định (thường gắn với mã HS khi xuất nhập khẩu). Doanh nghiệp cần phân biệt dựa trên bản chất kỹ thuật của sản phẩm/dịch vụ thay vì chỉ dựa vào tên gọi “bảo mật” chung chung.

Nội dung bài viết:

1. Tại sao doanh nghiệp nhầm lẫn giữa ATTTM và MMDS?

Với nhiều sự thay đổi gần đây về nhu cầu quản trị từ nhà nước đến các doanh nghiệp tư nhân và chính sách số hóa kèm theo, đã tạo động lực thúc đẩy sự phát triển mạnh mẽ các hoạt động kinh doanh liên quan đến dịch vụ, thiết bị trong lĩnh vực công nghệ, đặc biệt là nhóm sản phẩm dịch vụ thuộc về bảo mật, an ninh mạng. Tuy nhiên quy định pháp lý hiện tại cho các nhóm dịch vụ, sản phẩm thuộc về bảo mật – an toàn thông tin mạng hiện tại chỉ là khung pháp lý chung mà chưa có tiêu chí hay hướng dẫn một cách chi tiết. Chính vì vậy, về phía doanh nghiệp kinh doanh trong lĩnh vực này sẽ buộc phải tự mình xác định nhóm sản phẩm dịch vụ mà doanh nghiệp cung cấp là thuộc nhóm có tính chất về An toàn thông tin mạng hay nhóm tính chất mật mã dân sự.

Thực tế sẽ có nhiều doanh nghiệp nhập khẩu thiết bị công nghệ, triển khai hạ tầng Cloud hay cung cấp giải pháp bảo mật thường xuyên gặp từ khóa “encryption” (mã hóa) hay “security” (an ninh), và mặc định có bảo mật là xin ATTTM, hoặc có mã hóa là xin MMDS. Tuy nhiên xác định này là chưa chính xác, đặc biệt là khi Nghị định 211/2025/NĐ-CP được ban hành đã loại trừ nhiều sản phẩm mặc dù có các tính năng mã hóa (AES / TLS) nhưng chỉ là cơ chế bảo vệ nội bộ, ví dụ Database có TLS encryption Storage hay có encryption at rest. Hoặc sản phẩm đó không thuộc trường hợp xin cấp phép MMDS khi chức năng mật mã không phải là mục đích/chức năng chính, không cung cấp dịch vụ mật mã độc lập cho người dùng …

Theo quy định, doanh nghiệp phải được cấp phép kinh doanh sản phẩm trước khi thực hiện xin cấp phép nhập khẩu, áp dụng cho cả ATTTM và MMDS, thời gian chuẩn bị nội bộ hồ sơ và thời gian cấp phép là khá dài, chính vì vậy doanh nghiệp phải xác định chính xác loại sản phẩm mà doanh nghiệp kinh doanh là thuộc nhóm ATTM hay MMDS để thực hiện đúng thủ tục cần thiết. Việc xác định chính xác từ giai đoạn ban đầu sẽ giúp doanh nghiệp không bị rơi vào tình trạng chậm trễ thực hiện các thủ tục có liên quan, lỡ mất cơ hội kinh doanh hoặc doanh nghiệp không đạt yêu cầu đấu thầu vì thiếu giấy phép tương ứng.

2. Bản chất khác biệt về tính năng của sản phẩm ATTTM và MMDS

ATTTM quản lý “An toàn hệ thống”

Hãy hiểu ATTTM là lớp bảo vệ bao quanh. Nó xoay quanh việc bảo đảm tính nguyên vẹn, tính khả dụng và tính bảo mật của mạng và hệ thống thông tin. Nếu bạn bán dịch vụ, sản phẩm có chức năng giám sát mạng (SOC) hay đánh giá lỗ hổng (Pentest), bạn đang cung cấp dịch vụ, sản phẩm thuộc nhóm ATTTM.

Sản phẩm an toàn thông tin mạng gồm:

Sản phẩm kiểm tra, đánh giá an toàn thông tin mạng là các thiết bị phần cứng, phần mềm có các chức năng cơ bản sau: Rà quét, kiểm tra, phân tích cấu hình, hiện trạng, dữ liệu nhật ký của hệ thống thông tin; phát hiện lỗ hổng, Điểm yếu; đưa ra đánh giá rủi ro an toàn thông tin;
Sản phẩm giám sát an toàn thông tin mạng là các thiết bị phần cứng, phần mềm có các chức năng cơ bản sau: Giám sát, phân tích dữ liệu truyền trên hệ thống thông tin; thu thập, phân tích dữ liệu nhật ký theo thời gian thực; phát hiện và đưa ra cảnh báo sự kiện bất thường, có nguy cơ gây mất an toàn thông tin;
Sản phẩm chống tấn công, xâm nhập là các thiết bị phần cứng, phần mềm có chức năng cơ bản ngăn chặn tấn công, xâm nhập vào hệ thống thông tin.

Dịch vụ an toàn thông tin mạng gồm:

Dịch vụ giám sát an toàn thông tin mạng là dịch vụ giám sát, phân tích lưu lượng dữ liệu truyền trên hệ thống thông tin; thu thập, phân tích dữ liệu nhật ký theo thời gian thực; phát hiện và đưa ra cảnh báo sự kiện bất thường, có nguy cơ gây mất an toàn thông tin;
Dịch vụ phòng ngừa, chống tấn công mạng là dịch vụ ngăn chặn các hành vi tấn công, xâm nhập vào hệ thống thông tin thông qua việc giám sát, thu thập, phân tích các sự kiện đang xảy ra trên hệ thống thông tin;
Dịch vụ tư vấn an toàn thông tin mạng là dịch vụ hỗ trợ tư vấn, kiểm tra, đánh giá, triển khai, thiết kế, xây dựng các giải pháp bảo đảm an toàn thông tin;
Dịch vụ ứng cứu sự cố an toàn thông tin mạng là dịch vụ xử lý, khắc phục kịp thời sự cố gây mất an toàn thông tin đối với hệ thống thông tin;
Dịch vụ khôi phục dữ liệu là dịch vụ khôi phục dữ liệu trong hệ thống thông tin đã bị xóa hoặc hư hỏng;
Dịch vụ kiểm tra, đánh giá an toàn thông tin mạng là dịch vụ rà quét, kiểm tra, phân tích cấu hình, hiện trạng, dữ liệu nhật ký của hệ thống thông tin; phát hiện lỗ hổng, Điểm yếu; đưa ra đánh giá rủi ro mất an toàn thông tin;
Dịch vụ bảo mật thông tin không sử dụng mật mã dân sự là dịch vụ hỗ trợ người sử dụng bảo đảm tính bí mật của thông tin, hệ thống thông tin mà không sử dụng hệ thống mật mã dân sự.

Mật mã dân sự quản lý “Công nghệ mã hóa”

Sản phẩm mật mã dân sự được mô tả là các hệ thống, thiết bị, các mô-đun và mạch tích hợp, các phần mềm được thiết kế chuyên dụng để bảo vệ thông tin bằng kỹ thuật mật mã sử dụng “thuật toán mật mã đối xứng” hoặc “thuật toán mật mã không đối xứng”, danh mục các nhóm sản phẩm có tính năng được xếp loại là mật mã dân sự bao gồm:

Sản phẩm sinh khóa mật mã, quản lý hoặc lưu trữ khóa mật mã.
Sản phẩm bảo mật dữ liệu lưu giữ.
Sản phẩm bảo mật dữ liệu trao đổi trên mạng.
Sản phẩm bảo mật luồng IP.
Sản phẩm bảo mật thoại tương tự và thoại số.
Sản phẩm bảo mật thông tin vô tuyến.
Sản phẩm bảo mật fax, điện báo.

3. Khung pháp lý hiện hành quản lý sản phẩm ATTTM và MMDS

Để xác định chính xác tính năng của sản phẩm mà doanh nghiệp kinh doanh, bộ phận kỹ thuật của công ty sẽ cần dựa vào các tính năng của sản phẩm thể hiện tại các tài liệu đi kèm như datasheet sản phẩm và các văn bản pháp lý hướng dẫn riêng cho từng nhóm sản phẩm. Đối với sản phẩm, dịch vụ ATTTM, doanh nghiệp sẽ cần căn cứ vào Luật An toàn thông tin mạng 2015 và Nghị định 108/2016/NĐ-CP, để phù hợp với hoạt động trên thực tế chúng tôi cho rằng trong thời gian tới quy định pháp luật điều chỉnh cho nhóm này sẽ có những điều chỉnh nhất định. Trước đây Cục an toàn thông tin mạng trực thuộc Bộ Thông tin truyền thông cấp phép, tuy nhiên từ đầu năm 2025 thủ tục này sẽ được cấp phép bởi Bộ Công an, chính vì vậy việc điều chỉnh quy định thực hiện sẽ là cần thiết để tương thích với các quy định về an ninh mạng hiện nay cũng như tương thích với cơ quan cấp phép mới.

Đối với sản phẩm Mật mã dân sự, doanh nghiệp sẽ cần dựa vào Nghị định 211/2025/NĐ-CP có hiệu lực từ 09/09/2025 để xác định và thực hiện các thủ tục cần thiết. Lưu ý từ từ CDLAF, với kinh nghiệm tư vấn và thực hiện các thủ tục liên quan đến các nhóm sản phẩm trên, hiện chúng tôi nhận thấy nhiều doanh nghiệp vẫn đang dùng checklist cũ theo Nghị định 58/2016/NĐ-CP khi chuẩn bị hồ sơ cũng như dựa vào quy định và thông lệ cũ để xác định phân loại sản phẩm. Để tránh xác định sai và hồ sơ chuẩn bị kh chính xác, bị trả về gây mất thời gian, doanh nghiệp cần dựa trên quy định mới để xác định cũng như chuẩn bị hồ sơ.

4. Khi nào doanh nghiệp cần xin cấp Giấy phép ATTTM, Giấy phép mật mã dân sự?

Chúng tôi thường khuyến nghị các khách hàng là doanh nghiệp hoạt động trong lĩnh vực liên quan đến công nghệ thông tin về việc cần có kế hoạch kinh doanh dự liệu dài hơi để doanh nghiệp có thời gian hoàn tất các thủ tục pháp lý cần thiết cho việc xin phép, tránh đặt doanh nghiệp vào các rủi ro về không đạt hồ sơ thầu, hay không thực hiện được việc nhập khẩu sản phẩm hay vi phạm tiến độ thực hiện hợp đồng với chính khách hàng.

Vậy khi nào doanh nghiệp cần thực hiện thủ tục xin cấp phép ATTTM? Đó là khi doanh nghiệp:

Kinh doanh dịch vụ ATTTM: Bạn ký hợp đồng cung cấp dịch vụ đánh giá an toàn thông tin, giám sát hệ thống (SOC), ứng cứu sự cố hoặc tư vấn bảo mật chuyên biệt.
Kinh doanh sản phẩm ATTTM: Bạn nhập khẩu hoặc sản xuất các thiết bị như tường lửa (Firewall), thiết bị phát hiện xâm nhập (IDS/IPS) mà không nhấn mạnh vào tính năng mật mã đặc thù thuộc danh mục MMDS.
Hồ sơ mời thầu: doanh nghiệp tham gia đấu thầu và doanh nghiệp phải chứng minh năng lực thực hiện dịch vụ an toàn hệ thống thông tin thông qua giấy phép tương ứng.

Khi nào doanh nghiệp thực sự cần Giấy phép Mật mã dân sự?

Doanh nghiệp sẽ cần làm việc với Ban Cơ yếu Chính phủ để xin cấp giấy phép cho phép kinh doanh sản phẩm MMDS khi doanh nghiệp cung cấp sản phẩm/dịch vụ có chức năng mật mã (mã hóa dữ liệu lưu giữ, mã hóa dữ liệu trao đổi, bảo mật luồng IP…). Tín hiệu thực tế như khi Catalogue/Datasheet sản phẩm xuất hiện các thông số: AES 256, RSA, Elliptic Curve, IPsec encryption, Key Management Module…, tuy nhiên như đã phân tích ở trên sẽ có một số trường hợp sản phẩm của doanh nghiệp có tính năng mã hóa nhưng không xếp vào nhóm MMDS.

Bảng tiêu chí về ATTTM vs MMDS

Tiêu chí	Giấy phép ATTTM	Giấy phép Mật mã dân sự
Mục tiêu quản lý	An toàn hệ thống & mạng thông tin.	Kiểm soát công nghệ/thuật toán mật mã.
Đối tượng quản lý	An toàn hệ thống & mạng thông tin.	Sản phẩm, dịch vụ có chức năng mã hóa.
Cơ quan cấp phép	Bộ Công An (từ năm 2025)	Ban Cơ yếu Chính phủ.
Căn cứ xác định	Mô tả dịch vụ, quy trình vận hành, datasheet	Datasheet kỹ thuật, Thuật toán, Mã HS.
Nhân sự trọng yếu	Chuyên gia an ninh mạng, ứng cứu sự cố, bảo mật, an toàn thông tin	Bảo mật, an toàn thông tin
Văn bản quản lý	Nghị định 108/2016/NĐ-CP.	Nghị định 211/2025/NĐ-CP.

5. Những nhầm lẫn thực tế được đúc kết từ kinh nghiệm CDLAF

Nhầm lẫn 1: “Cứ có mã hóa là phải xin MMDS”. Thực tế: Mã hóa là tính năng phổ biến. Pháp luật chỉ quản lý MMDS đối với các sản phẩm thuộc danh mục chuyên biệt. Ví dụ: HTTPS/TLS thông thường có thể không cần, nhưng thiết bị bảo mật kênh truyền chuyên dụng thì có.

Nhầm lẫn 2: “Có giấy phép ATTTM thì được miễn MMDS”, điều này không chính xác, giấy phép được cấp theo nhóm sản phẩm, dịch vụ công ty cung cấp, không cấp theo tên công ty, một công ty vừa kinh doanh cả sản phẩm ATTTM và MMDS thì sẽ cần song song cả 2 loại giấy phép cho các nhóm sản phẩm khác nhau.

Nhầm lẫn 3: “Tôi chỉ là bên triển khai nên không cần giấy phép”, doanh nghiệp nếu đứng tên trên hợp đồng cung cấp dịch vụ ATTT có điều kiện hoặc đứng tên nhập khẩu hàng MMDS, bạn bắt buộc phải có giấy phép.

CDLAF – Đơn vị chuyên cung cấp dịch vụ xin phép giấy phép kinh doanh sản phẩm, dịch vụ an toàn thông tin mạng và mật mã dân sự

Email tư vấn: info@cdlaf.vn
Hotline: (+84) 909 668 216

Thời gian viết bài: 02/01/2026

Bài viết ghi nhận thông tin chung có giá trị tham khảo, trường hợp bạn mong muốn nhận ý kiến pháp lý liên quan đến các vấn đề mà bạn đang vướng mắc, bạn vui lòng liên hệ với Luật sư của chúng tôi theo email info@cdlaf.vn

Vì sao chọn dịch vụ CDLAF

Chúng tôi cung cấp đến bạn giải pháp pháp lý hiệu quả và toàn diện, giúp bạn tiết kiệm ngân sách, duy trì sự tuân thủ trong doanh nghiệp;
Chúng tôi tiếp tục duy trì việc theo dõi vấn đề pháp lý của bạn ngay cả khi dịch vụ đã hoàn thành và cập nhật đến bạn khi có bất kỳ sự thay đổi nào từ hệ thống pháp luật Việt Nam;
Hệ thống biểu mẫu về doanh nghiệp, đầu tư được xây dựng và cập nhật liên tục sẽ cung cấp khi khách hàng yêu cầu, rút ngắn thời gian thực hiện thủ tục;
Doanh nghiệp cập nhật kịp thời các chính sách và phương thức làm việc tại các cơ quan nhà nước có thẩm quyền;
Đội ngũ Luật sư của CDLAF nhiều năm kinh nghiệm hoạt động tại lĩnh vực Lao động, Doanh nghiệp, Đầu tư cùng với các cố vấn nhân sự, tài chính;
Quy trình bảo mật thông tin nghiêm ngặt trong suốt quá trình thực hiện dịch vụ và ngay cả khi dịch vụ được hoàn thành sau đó;

Bạn có thể tham thảo thêm:

Doanh Nghiệp Quảng Cáo Cần Chuẩn Bị Gì Để Tuân Thủ Pháp Luật Về Dữ Liệu Cá Nhân?

Trách Nhiệm Của Doanh Nghiệp Khi Sử Dụng Lao Động Nước Ngoài

Doanh Nghiệp Có Bắt Buộc Có Nhân Sự Bảo Vệ Dữ Liệu Cá Nhân?

Dự Thảo Xử Phạt Vi phạm Về Dữ Liệu Cá Nhân Đã Quy Định Các Hành Vi Và Mức Phạt Như Thế Nào? (Phần 2)

Dự Thảo Xử Phạt Vi phạm Về Dữ Liệu Cá Nhân Đã Quy Định Các Hành Vi Và Mức Phạt Như Thế Nào? (Phần 1)

Hướng Dẫn Xây Dựng Chính Sách Bảo Vệ Dữ Liệu Cá Nhân Theo Luật Mới (Phần 1)