Thư mời báo giá dịch vụ gói thầu”Thuê dịch vụ bảo vệ dữ liệu cá nhân trên Hệ thống đảm bảo bảo mật thông tin theo Nghị định số 356/2025/NĐ-CP”

Kính gửi: Các nhà cung cấp dịch vụ bảo vệ dữ liệu cá nhân

Căn cứ Luật Bảo vệ dữ liệu cá nhân số 91/2025/QH15 ngày 26 tháng 06 năm 2025;

Căn cứ Nghị định số 356/2025/NĐ-CP ngày 31 tháng 12 năm 2025 Quy định chi tiết một số điều và biện pháp thi hành Luật Bảo vệ dữ liệu cá nhân;

Căn cứ nhu cầu đảm bảo bảo mật thông tin theo Nghị định số 356/2025/NĐ-CP về bảo vệ dữ liệu cá nhân của Trung tâm Hỗ trợ đấu thầu (Trung tâm);

Trung tâm Hỗ trợ đấu thầu trân trọng kính mời các đơn vị có đủ năng lực và kinh nghiệm gửi báo giá cho gói thầu: “Thuê dịch vụ bảo vệ dữ liệu cá nhân trên Hệ thống đảm bảo bảo mật thông tin theo Nghị định số 356/2025/NĐ-CP” với các nội dung cụ thể như sau:

  1. Nội dung công việc: Chi tiết theo Phụ lục I đính kèm.
  2. Yêu cầu năng lực, kinh nghiệm của nhà thầu: Chi tiết theo Phụ lục II đính kèm.
  3. Hồ sơ báo giá bao gồm:

– Báo giá chi tiết (đã bao gồm các loại thuế, phí theo quy định);

– Hiệu lực báo giá tối thiểu 30 ngày;

– Hồ sơ năng lực đáp ứng yêu cầu tại Phụ lục II. 

  1. Thông tin tiếp nhận báo giá:

– Cách thức nộp báo giá: Nhà thầu có thể nộp báo giá cung cấp dịch vụ theo một trong các cách thức sau:

+ Nộp trực tiếp tại địa chỉ: Trung tâm Hỗ trợ đấu thầu – Tòa nhà NIC, ngõ 7 Tôn Thất Thuyết, phường Cầu Giấy, thành phố Hà Nội.

+ Gửi qua email: chungchidauthau.mof@gmail.com.

– Thời hạn tiếp nhận báo giá gói thầu: Muộn nhất 11h ngày 10/07/2026.

Các hồ sơ, tài liệu nhận sau thời hạn trên sẽ không được xem xét.

  1. Thông tin liên hệ của người tiếp nhận báo giá:

– Họ và tên: Nguyễn Quang Minh;

– Chức vụ: Chuyên viên Phòng Đào tạo đấu thầu;

– Số điện thoại: 0967.722.385.

Trung tâm Hỗ trợ đấu thầu xin thông báo./.

Tải file đính kèm tại:  Thư mời báo giá dịch vụ-BVDLCN-CPS-07.07.2026

PHỤ LỤC I:

Nội dung công việc cần thực hiện gói thầu

Thuê dịch vụ bảo vệ dữ liệu cá nhân trên Hệ thống đảm bảo bảo mật thông tin theo Nghị định số 356/2025/NĐ-CP

I. Phạm vi công việc của nhà thầu

Thuê dịch vụ xây dựng hồ sơ tuân thủ bảo vệ dữ liệu cá nhân trên Hệ thống đảm bảo bảo mật thông tin theo Nghị định số 356/2025/NĐ-CP

II. Nhiệm vụ cụ thể của nhà thầu

Xây dựng hồ sơ tuân thủ theo các nội dung được quy định trong Nghị định số 356/2025/NĐ-CP với nội dung công việc cụ thể như sau:

1. Thực hiện khảo sát hiện trạng hoạt động xử lý DLCN tại Trung tâm theo Nghị định số 356/2025/NĐ-CP

a. Mục tiêu:

– Đánh giá đầy đủ hiện trạng hoạt động xử lý dữ liệu cá nhân tại Trung tâm.

– Xác định phạm vi xử lý dữ liệu cá nhân, các hệ thống thông tin, quy trình nghiệp vụ và các bên liên quan.

– Làm rõ luồng thu thập, lưu trữ, sử dụng, chia sẻ và hủy dữ liệu cá nhân trong toàn bộ vòng đời dữ liệu.

– Đánh giá hiện trạng các biện pháp quản trị, kỹ thuật và tổ chức đang áp dụng để bảo vệ dữ liệu cá nhân.

– Xác định các điểm chưa đáp ứng hoặc chưa phù hợp với các yêu cầu của Nghị định số 356/2025/NĐ-CP làm cơ sở xây dựng kế hoạch khắc phục và triển khai tuân thủ.

– Cung cấp cơ sở dữ liệu đầu vào phục vụ xây dựng hồ sơ

b. Công việc cụ thể:

– Khảo sát hệ thống, phỏng vấn, thu thập tài liệu:

+ Xây dựng kế hoạch khảo sát, thống nhất phạm vi, đối tượng và phương pháp khảo sát.

+ Khảo sát hệ thống, phỏng vấn các đơn vị nghiệp vụ và đơn vị CNTT, thu thập tài liệu liên quan: tài liệu về nghiệp vụ, quy trình, hệ thống CNTT, quy chế, quy định và tài liệu kỹ thuật

– Xác định hệ thống liên quan, chủ thể dữ liệu và các hoạt động xử lý dữ liệu:

+ Xác định các hệ thống thông tin có xử lý dữ liệu cá nhân.

+ Xác định các loại dữ liệu cá nhân đang được thu thập, lưu trữ, sử dụng, chia sẻ, truyền nhận và xóa bỏ.

+ Xác định các chủ thể dữ liệu, mục đích xử lý, căn cứ pháp lý và các bên tham gia xử lý dữ liệu.

Từ đó, thực hiện các nội dung để hiểu rõ và nắm chi tiết về hiện trạng bao gồm:

+ Khảo sát quy trình nghiệp vụ có liên quan đến xử lý dữ liệu cá nhân.

+ Khảo sát vòng đời dữ liệu cá nhân (thu thập, lưu trữ, sử dụng, chia sẻ, chỉnh sửa, hủy/xóa).

+ Khảo sát các biện pháp bảo vệ dữ liệu cá nhân hiện có:

  • Khảo sát cơ chế phân quyền người dùng, quản lý tài khoản, xác thực và kiểm soát truy cập.
  • Khảo sát việc ghi nhật ký (log), giám sát và kiểm soát truy cập dữ liệu.
  • Khảo sát các biện pháp bảo vệ dữ liệu hiện có (mã hóa, sao lưu, phòng chống mất dữ liệu, bảo mật mạng, bảo mật máy chủ, thiết bị đầu cuối…).
  • Khảo sát việc chia sẻ dữ liệu với các đơn vị, hệ thống hoặc bên thứ ba.

– Tạo sơ đồ luồng dữ liệu cá nhân

+ Thực hiện tạo lập sơ đồ luồng dữ liệu cá nhân

c. Sản phẩm đầu ra:

– Báo cáo khảo sát

– Sơ đồ luồng dữ liệu cá nhân

2. Thực hiện đánh giá GAP (Báo các xác định khoảng cách)

a. Mục tiêu:

– Xác định các điểm chưa đáp ứng hoặc chưa phù hợp với các yêu cầu của Nghị định số 356/2025/NĐ-CP làm cơ sở xây dựng kế hoạch khắc phục và triển khai tuân thủ.

– Xác định đầy đủ các điểm chưa đáp ứng, chưa phù hợp hoặc còn thiếu trong hoạt động xử lý và bảo vệ dữ liệu cá nhân.

– Phân tích nguyên nhân, mức độ ảnh hưởng và rủi ro của từng khoảng cách tuân thủ.

– Xác định các nội dung cần ưu tiên khắc phục nhằm giảm thiểu rủi ro và đáp ứng yêu cầu pháp luật.

– Làm cơ sở xây dựng kế hoạch triển khai các biện pháp khắc phục, hoàn thiện quy trình, tổ chức, kỹ thuật và hồ sơ quản lý dữ liệu cá nhân.

– Hỗ trợ Trung tâm xây dựng lộ trình tuân thủ Nghị định số 356/2025/NĐ-CP một cách hiệu quả và phù hợp với hiện trạng

b. Công việc cụ thể:

– Nghiên cứu, phân tích các yêu cầu của Nghị định số 356/2025/NĐ-CP và các văn bản pháp luật, tiêu chuẩn, hướng dẫn liên quan nhằm xây dựng bộ tiêu chí đánh giá mức độ tuân thủ theo các yêu cầu của Nghị định.

– Đối chiếu hiện trạng hoạt động xử lý dữ liệu cá nhân với các yêu cầu pháp lý và kỹ thuật.

– Đánh giá mức độ tuân thủ đối với từng hệ thống thông tin, quy trình nghiệp vụ và hoạt động xử lý dữ liệu cá nhân. Đánh giá việc thực hiện các yêu cầu về:

+ Cơ sở pháp lý và mục đích xử lý dữ liệu cá nhân.

+ Quản lý sự đồng ý của chủ thể dữ liệu (nếu áp dụng).

+ Thực hiện quyền của chủ thể dữ liệu.

+ Phân công trách nhiệm trong quản lý và bảo vệ dữ liệu cá nhân.

+ Quản lý bên thứ ba, đơn vị xử lý dữ liệu.

+ Kiểm soát truy cập, phân quyền và quản lý tài khoản.

+ Nhật ký, giám sát và truy vết hoạt động xử lý dữ liệu.

+ Các biện pháp bảo vệ dữ liệu về quản trị, kỹ thuật và tổ chức.

+ Quản lý rủi ro, ứng phó và xử lý sự cố liên quan đến dữ liệu cá nhân.

+ Hồ sơ, tài liệu và quy trình quản lý dữ liệu cá nhân.

– Phân tích nguyên nhân của các điểm chưa đáp ứng hoặc chưa tuân thủ.

– Đánh giá mức độ ảnh hưởng và rủi ro đối với từng khoảng cách (GAP), đồng thời xác định mức độ ưu tiên xử lý theo mức độ ảnh hưởng và khả năng triển khai.

– Đề xuất các giải pháp khắc phục, bổ sung hoặc hoàn thiện về quy trình, tổ chức, kỹ thuật và hồ sơ nhằm đáp ứng các yêu cầu của Nghị định.Việc xây dựng lộ trình và kế hoạch khắc phục theo mức độ ưu tiên và khả năng triển khai

c. Sản phẩm đầu ra:

– Báo cáo đánh giá GAP (Gap Assessment Report).

3. Đánh giá tác động xử lý DLCN (DPIA) và hỗ trợ xây dựng, hoàn thiện bộ hồ sơ tuân thủ về bảo vệ dữ liệu cá nhân theo Nghị định 356/NĐ-CP

a. Mục tiêu

– Xây dựng đầy đủ hệ thống chính sách, quy chế, quy trình và biểu mẫu phục vụ công tác quản lý, xử lý và bảo vệ dữ liệu cá nhân nhằm chuẩn hóa hoạt động xử lý dữ liệu cá nhân theo yêu cầu của Nghị định số 356/2025/NĐ-CP.

– Thiết lập cơ sở pháp lý và quy trình nội bộ thống nhất để các đơn vị thực hiện đúng trách nhiệm trong quá trình xử lý dữ liệu cá nhân.

– Nâng cao năng lực quản trị, giảm thiểu rủi ro và hỗ trợ Trung tâm duy trì việc tuân thủ các quy định về bảo vệ dữ liệu cá nhân.

– Lập hồ sơ đánh giá tác động (DPIA)

b. Công việc cụ thể:

– Từ kết quả khảo sát hiện trạng và báo cáo đánh giá GAP làm cơ sở thực hiện đánh giá tác động xử lý dữ liệu cá nhân:

+ Đánh giá tính cần thiết, tính phù hợp và tính tương xứng của các hoạt động xử lý dữ liệu.

+ Nhận diện, phân tích và đánh giá các rủi ro đối với quyền và lợi ích hợp pháp của chủ thể dữ liệu.

+ Đánh giá các biện pháp quản trị, kỹ thuật và tổ chức đang áp dụng để bảo vệ dữ liệu cá nhân.

+ Đề xuất các biện pháp kiểm soát, giảm thiểu rủi ro và kế hoạch xử lý các rủi ro còn tồn tại.

+ Lập và hoàn thiện Hồ sơ/Báo cáo đánh giá tác động xử lý dữ liệu cá nhân (DPIA) theo quy định.

– Đề xuất các văn bản cần ban hành/rà soát để tuân thủ đối với Nghị định 356/2025/NĐ-CP

– Hỗ trợ xây dựng, hoàn thiện bộ hồ sơ tuân thủ về bảo vệ dữ liệu cá nhân

+ Xây dựng và hoàn thiện Chính sách bảo vệ dữ liệu cá nhân.

+ Xây dựng Quy chế quản lý dữ liệu cá nhân.

+ Xây dựng Quy trình tiếp nhận, xử lý và phản hồi yêu cầu của chủ thể dữ liệu.

+ Xây dựng Quy trình quản lý, xử lý và thông báo vi phạm dữ liệu cá nhân.

+ Xây dựng các quy trình quản lý liên quan đến hoạt động xử lý dữ liệu cá nhân (quản lý vòng đời dữ liệu, phân quyền truy cập, chia sẻ dữ liệu, lưu trữ và hủy dữ liệu, quản lý bên xử lý dữ liệu…).

+ Xây dựng các biểu mẫu phục vụ công tác quản lý dữ liệu cá nhân theo quy định, bao gồm:

  • Biểu mẫu tiếp nhận và xử lý yêu cầu của chủ thể dữ liệu.
  • Biểu mẫu ghi nhận sự đồng ý của chủ thể dữ liệu (nếu áp dụng).
  • Biểu mẫu báo cáo, xử lý vi phạm dữ liệu cá nhân.
  • Biểu mẫu quản lý hoạt động xử lý dữ liệu cá nhân.
  • Biểu mẫu quản lý bên kiểm soát dữ liệu, bên xử lý dữ liệu và bên thứ ba.
  • Các biểu mẫu quản lý khác theo yêu cầu của Nghị định và của Trung tâm.

c. Sản phẩm đầu ra

– Báo cáo/Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân (DPIA)

– Bộ hồ sơ quản lý, thực hiện bảo vệ dữ liệu cá nhân:

+ Chính sách bảo vệ dữ liệu cá nhân.

+ Quy chế quản lý dữ liệu cá nhân.

+ Quy trình xử lý yêu cầu của chủ thể dữ liệu.

+ Quy trình xử lý vi phạm dữ liệu cá nhân.

+ Quy trình quản lý hoạt động xử lý dữ liệu cá nhân.

– Bộ biểu mẫu quản lý dữ liệu cá nhân theo Nghị định số 356/2025/NĐ-CP.

4.  Đào tạo, hướng dẫn triển khai và chuyển giao kết quả

a. Mục tiêu

– Tổ chức đào tạo, hướng dẫn cho cán bộ, viên chức, người lao động của Trung tâm có liên quan đến hoạt động quản lý, vận hành, khai thác Hệ thống về các yêu cầu cơ bản của pháp luật bảo vệ dữ liệu cá nhân, trách nhiệm của từng cá nhân, quy trình nội bộ cần thực hiện, cách thức tiếp nhận và xử lý yêu cầu của chủ thể dữ liệu, cách nhận diện và báo cáo sự cố dữ liệu cá nhân

b. Công việc cụ thể

Tổ chức 01 buổi đào tạo nâng cao nhận thức về bảo vệ dữ liệu cá nhân và áp dụng các quy trình xử lý bảo vệ dữ liệu cá nhân cho cán bộ, viên chức, người lao động tại Trung tâm Hỗ trợ đấu thầu.

c. Sản phẩm đầu ra

– Khóa đào tạo: 01 lớp

– Nội dung đào tạo:

+ Đào tạo về Luật bảo vệ dữ liệu cá nhân và các Thông tư, Nghị định liên quan.

+ Hướng dẫn áp dụng, triển khai quy trình, quy chế theo sản phẩm của gói thầu.

– Hình thức đào tạo: Trực tuyến hoặc trực tiếp tại Trung tâm

– Giảng viên: Là chuyên gia do nhà thầu cung cấp.

– Thời lượng đào tạo: 01 ngày.

PHỤ LỤC II: Yêu cầu về năng lực, kinh nghiệm

STT Danh mục Yêu cầu chi tiết Tài liệu chứng minh
1 Tư cách hợp lệ

– Nhà thầu được lựa chọn phải đáp ứng tư cách hợp lệ theo quy định tại các điểm a, b, c, d, e, g và i khoản 1 Điều 5 của Luật Đấu thầu.

– Cung cấp tài liệu chứng minh tư cách hợp lệ quy định tại các điểm a, b, c, d, e, g và i khoản 1 Điều 5 của Luật Đấu thầu

2 Hợp đồng tương tự – Nhà thầu đã có kinh nghiệm thực hiện tối thiểu 02 hợp đồng tương tự về dịch vụ bảo vệ dữ liệu cá nhân cho các đơn vị doanh nghiệp, cơ quan nhà nước.

– Ưu tiên các đơn vị đã từng triển khai các gói thầu có tính chất pháp lý và kỹ thuật tương đồng với Trung tâm hoặc các đơn vị cơ quan nhà nước.

– Bản chụp Hợp đồng tương tự và biên bản nghiệm thu hoặc thanh lý hợp đồng hoặc các tài liệu khác tương đương;
3 Nhân sự tham gia – Tốt nghiệp Đại học hoặc Thạc sĩ chuyên ngành Luật (bao gồm các ngành đào tạo về Luật và các ngành gần đào tạo về Luật trong nước hoặc nước ngoài)

– Có các chứng chỉ hoặc chứng nhận trong nước hoặc nước ngoài liên quan tới lĩnh vực Luật, CNTT, quản trị và phân tích dự liệu, an toàn an ninh mạng, xử lý dữ liệu (như CIPP/E, CIPM, CEH, CHFI hoặc tương đương)

– Kinh nghiệm tối thiểu 02 năm trong các lĩnh vực tư vấn bảo vệ dữ liệu cá nhân cho các đơn vị doanh nghiệp, cơ quan nhà nước. Ưu tiên các nhân sự đã tham gia xây dựng, triển khai bảo vệ cá nhân cho các đơn vị liên quan đến lĩnh vực đào tạo, tổ chức thi, cấp chứng chỉ.

– Bản sao (được công chứng, chứng thực hoặc cấp từ sổ gốc hoặc sao y bản chính của tổ chức phát hành văn bản theo quy định) của bằng tốt nghiệp.

– Bản sao chứng nhận, chứng chỉ (được công chứng, chứng thực) hoặc bản điện tử dạng PDF có ký số của tổ chức phát hành.

– Bản sao hợp đồng nhân sự tham gia vào dự án, gói thầu liên quan đến bảo vệ dữ liệu cá nhân

Trả lời

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *