Chưa được phân loại, Tin Tổng Hợp

Hồ sơ đề xuất cấp độ An toàn Thông tin

Để có thể đam bảo an toàn thông tin cho hệ thống thông tin của mình hiện nay các tổ chức, doanh nghiệp thường chủ động xây dựng hồ sơ đề xuất cấp độ An toàn Thông tin. Đây là loại hồ sơ quan trọng giúp cho các tổ chức quản lý vận hành đánh giá mức độ quan trọng về rủi ro cho hệ thống thông tin đúng theo pháp luật Việt Nam. Bài viết này, cùng chuyên gia SQC Certification đi chia sẻ về Hồ sơ đề xuất cấp độ An toàn Thông tin và cách xây dựng bài bản nhất.

Hồ sơ đề xuất cấp độ An toàn Thông tin
Hồ sơ đề xuất cấp độ An toàn Thông tin

Mục lục

Hồ sơ cấp độ an toàn thông tin là gì?

Hồ sơ cấp độ an toàn thông tin là một tài liệu pháp lý mô tả chi tiết hệ thống thông tin của một tổ chức và đề xuất mức độ bảo vệ phù hợp theo quy định của pháp luật được lập theo mẫu của Bộ Thông tin & Truyền thông đặc biệt là theo Nghị định 85/2016/NĐ-CP của Chính phủ. Hồ sơ này không chỉ là một thủ tục hành chính mà còn là nền tảng để xây dựng và duy trì một môi trường số an toàn, bảo vệ dữ liệu khỏi các mối đe dọa tiềm tàng.

Mục đích của hồ sơ:

  • Xác định cấp độ an toàn thông tin phù hợp (từ cấp 1 đến cấp 5).
  • Chứng minh tuân thủ pháp luật và các tiêu chuẩn bảo mật.
  • Đề xuất phương án bảo vệ hệ thống khỏi các nguy cơ tấn công mạng.

Trong đó, hồ sơ an toàn thông tin cấp độ 2 và hồ sơ an toàn thông tin cấp độ 3 thường gặp nhất với doanh nghiệp tư nhân, đơn vị cung cấp dịch vụ công nghệ, hoặc các dự án đấu thầu CNTT.

hồ sơ cấp độ an toàn thông tin
hồ sơ cấp độ an toàn thông tin

Căn cứ pháp lý và văn bản luật có liên quan

  • Luật An toàn thông tin mạng số 86/2015/QH13
  • Nghị định số 85/2016/NĐ-CP ngày 01/07/2016 của Chính phủ về bảo đảm an toàn hệ thống thông tin theo cấp độ
  • Thông tư số 12/2022/TT-BTTTT ngày 12/08/2022 của Bộ Thông tin và Truyền thông về quy định chi tiết và hướng dẫn một số điều của Nghị định số 85/2016/NĐ-CP
  • Tiêu chuẩn quốc gia TCVN 11930:2017 về Công nghệ thông tin – các kỹ thuật an toàn – yêu cầu cơ bản về an toàn hệ thống thông tin theo cấp độ

Bối cảnh ra đời hồ sơ mô tả cấp độ an toàn thông tin

Trong kỷ nguyên số với sự bùng nổ của công nghệ thông tin, các tổ chức ngày càng phải đối diện với những nguy cơ và rủi ro phức tạp từ tấn công mạng. Do đó, bảo đảm an toàn thông tin đã trở thành yêu cầu mang tính sống còn. Việc xây dựng hồ sơ đề xuất cấp độ an toàn thông tin không chỉ giúp hệ thống thông tin vận hành an toàn, đáp ứng đầy đủ các quy định pháp luật, mà còn góp phần khẳng định năng lực, uy tín của tổ chức đối với khách hàng và đối tác. Theo “Chiến lược An toàn, An ninh mạng quốc gia, chủ động ứng phó với các thách thức từ không gian mạng đến năm 2025, tầm nhìn 2030”, các chủ quản hệ thống thông tin có trách nhiệm tuân thủ nghiêm các quy định về bảo vệ an ninh mạng, xác định rõ cấp độ an toàn và trách nhiệm tương ứng, đồng thời triển khai mô hình bảo vệ 4 lớp trước khi đưa hệ thống vào khai thác, sử dụng.

Với đội ngũ chuyên gia nhiều năm kinh nghiệm cùng quy trình tư vấn bài bản, SQC Certification tự hào cung cấp dịch vụ Xây dựng Hồ sơ Đề xuất Cấp độ An toàn Thông tin, đồng thời tư vấn các giải pháp và phương án triển khai phù hợp, đáp ứng đầy đủ yêu cầu bảo đảm an toàn thông tin theo Nghị định số 85/2016/NĐ-CP.

Mục đích của Hồ sơ đề xuất cấp độ An toàn Thông tin

Xác định cấp độ an toàn thông tin phù hợp cho hệ thống thông tin làm cơ sở để cho doanh nghiệp của bạn có thể:

  • Xây dựng phương án bảo đảm ATTT
  • Lập kế hoạch đầu tư, triển khai các biện pháp kỹ thuật – quản lý
  • Phục vụ thẩm định, phê duyệt của cơ quan có thẩm quyền
  • Đáp ứng yêu cầu tuân thủ pháp luật về ATTT

Hồ sơ đề xuất cấp độ An toàn Thông tin

5 cấp độ an toàn thông tin theo quy định của pháp luật Việt Nam

Theo quy định pháp luật hiện hành về bảo đảm an toàn thông tin mạng, hệ thống thông tin được phân loại theo 1 trong 5 cấp độ an toàn thông tin, dựa trên mức độ ảnh hưởng và thiệt hại có thể xảy ra khi hệ thống bị sự cố hoặc bị tấn công.

Cụ thể, 5 cấp độ an toàn thông tin bao gồm:

Cấp độ 1 – Mức ảnh hưởng thấp

Cấp độ đầu tiên này chuyên áp dụng cho các tổ chức, hệ thống thông tin có vai trò hạn chế. Một khi xảy ra sự cố ít ảnh hưởng đến hoạt động của cơ quan, tổ chức và không gây ra thiệt hại đáng kể đến quyền và lợi ích của người dùng.

Cấp độ 2 – Mức ảnh hưởng trung bình

Áp dụng cho hệ thống xử lý dữ liệu phục vụ hoạt động thường xuyên. Sự cố an toàn thông tin có thể ảnh hưởng đến một phần hoạt động, nhưng chưa gây hậu quả nghiêm trọng hoặc lan rộng.

Cấp độ 3 – Mức ảnh hưởng nghiêm trọng

Áp dụng cho các hệ thống quan trọng, khi xảy ra sự cố có thể gây gián đoạn lớn trong hoạt động, ảnh hưởng đến nhiều người dùng, tổ chức hoặc dịch vụ công.

Cấp độ 4 – Mức ảnh hưởng rất nghiêm trọng

Việc áp dụng tốt cho các hệ thống thông tin trọng yếu cũng như sự cố có thể gây thiệt hại nghiêm trọng về kinh tế, xã hội có ảnh hưởng lớn đến hoạt động của cơ quan, tổ chức hoặc lĩnh vực quản lý.

5 cấp độ an toàn thông tin
5 cấp độ an toàn thông tin

Cấp độ 5 – Mức ảnh hưởng đặc biệt nghiêm trọng

Đây là cấp độ cao nhất có áp dụng cho các hệ thống thông tin đặc biệt quan trọng. Với sự cố an toàn thông tin có thể đe dọa an ninh quốc gia, trật tự an toàn xã hội hoặc gây hậu quả đặc biệt nghiêm trọng trên diện rộng.

Các thành phần cấu thành hồ sơ đề xuất cấp độ

Một hồ sơ đề xuất cấp độ an toàn thông tin được xây dựng đúng chuẩn theo Thông tư 03/2017/TT-BTTTT thường bao gồm nhiều tài liệu bắt buộc. Việc chuẩn bị đầy đủ, đúng biểu mẫu cũng như tính chính xác của nội dung hiện nay không chỉ giúp cho các tổ chức, quá trình thẩm định này diễn ra được thuận lợi mà còn hạn chế được tối đa các nguy cơ bị hồ sơ trả lại do sai sót hình thức hoặc thiếu đi thành phần.

Văn bản đề nghị/đề xuất xác định cấp độ ATTT

Bộ tài liệu đào tạo này mang tính pháp lý khá quan trọng do đơn vị sở hữu hoặc quản lý Hệ thống thông tin tiến hành gửi tới cơ quan có thẩm quyền (thường là Cục An toàn thông tin – Bộ Thông tin và Truyền thông hoặc Sở TT&TT tại địa phương).

Nội dung văn bản cần thể hiện rõ:

  • Tên đầy đủ của hệ thống thông tin (ví dụ: Hệ thống quản lý dữ liệu khách hàng – CRM).
  • Thông tin đơn vị chủ quản, đơn vị vận hành và đầu mối liên hệ.
  • Cấp độ an toàn thông tin đề xuất (cấp 2, cấp 3 hoặc cao hơn).
  • Cơ sở pháp lý và lý do lựa chọn cấp độ, gắn với mức độ ảnh hưởng khi xảy ra sự cố.

Văn bản phải được lập đúng mẫu quy định cho từng cấp độ do Bộ TT&TT ban hành.

Lưu ý: Hồ sơ sử dụng sai biểu mẫu, thiếu chữ ký hoặc con dấu hợp lệ sẽ bị từ chối ngay từ bước tiếp nhận.

Tài liệu mô tả hệ thống thông tin

Tài liệu này cung cấp cái nhìn tổng thể và chi tiết về hệ thống, bao gồm:

  • Mô hình kiến trúc tổng thể (ba lớp, client–server, điện toán đám mây, v.v.).
  • Hạ tầng phần cứng: máy chủ, thiết bị mạng, tường lửa, hệ thống lưu trữ.
  • Thành phần phần mềm: hệ điều hành, ứng dụng, cơ sở dữ liệu, middleware.
  • Loại dữ liệu và quy mô dữ liệu xử lý (dữ liệu cá nhân, dữ liệu nhạy cảm, dữ liệu nghiệp vụ).
Tài liệu mô tả hệ thống thông tin
Tài liệu mô tả hệ thống thông tin

Ngoài ra, cần làm rõ vị trí đặt hệ thống, công nghệ sử dụng, cũng như quy trình vận hành và bảo trì. Đây là căn cứ quan trọng để cơ quan thẩm định đánh giá mức độ phức tạp và yêu cầu bảo vệ của hệ thống.

Báo cáo đánh giá hiện trạng an toàn thông tin

Báo cáo này phản ánh mức độ bảo mật hiện tại của hệ thống thông tin, thông qua:

  • Các biện pháp bảo vệ đã triển khai (mã hóa, phân quyền truy cập, sao lưu dữ liệu).
  • Những tồn tại, lỗ hổng hoặc hạn chế về kỹ thuật và quản lý.

Việc đánh giá tập trung vào ba trụ cột của an toàn thông tin:

  • Tính bí mật (Confidentiality): đảm bảo thông tin chỉ được truy cập bởi đối tượng được phép.
  • Tính toàn vẹn (Integrity): ngăn chặn việc sửa đổi dữ liệu trái phép.
  • Tính sẵn sàng (Availability): đảm bảo hệ thống hoạt động liên tục, ổn định.

Trong nhiều trường hợp, báo cáo có thể đính kèm kết quả quét lỗ hổng bảo mật hoặc kiểm thử xâm nhập (PenTest) để tăng độ tin cậy.

Phương án bảo đảm an toàn thông tin

Đây là kế hoạch tổng thể mô tả các biện pháp bảo vệ hệ thống, bao gồm:

  • Biện pháp kỹ thuật: tường lửa, IDS/IPS, mã hóa dữ liệu, phân tách mạng, xác thực đa yếu tố.
  • Biện pháp quản lý: ban hành quy định nội bộ, phân công trách nhiệm, giám sát định kỳ.
  • Biện pháp tổ chức: đào tạo nhân sự, quy trình xử lý sự cố, kế hoạch khôi phục sau thảm họa (DRP).

Các biện pháp được đề xuất phải phù hợp và tương xứng với cấp độ an toàn thông tin đã lựa chọn, tránh trường hợp mức bảo vệ không đáp ứng yêu cầu của cấp độ.

Tài liệu kỹ thuật và sơ đồ hệ thống

Nhóm tài liệu này bao gồm:

  • Sơ đồ mạng thể hiện các vùng mạng, kết nối nội bộ và kết nối Internet.
  • Lưu đồ xử lý dữ liệu từ khâu tiếp nhận, xử lý, lưu trữ đến tiêu hủy.
  • Mô hình phân quyền truy cập theo từng nhóm người dùng.
  • Danh mục thiết bị, phần mềm kèm theo thông tin cấu hình kỹ thuật và phiên bản.

Đây là cơ sở để hội đồng thẩm định xem xét tính hợp lý và hiệu quả của các giải pháp bảo mật đã đề xuất.

Tài liệu kỹ thuật và sơ đồ hệ thống
Tài liệu kỹ thuật và sơ đồ hệ thống

Tài liệu chứng minh tuân thủ pháp luật về ATTT

Doanh nghiệp cần tổng hợp các bằng chứng cho thấy hệ thống đã và đang tuân thủ quy định pháp luật và tiêu chuẩn về an toàn thông tin, như:

  • Giấy phép hoạt động CNTT (nếu có).
  • Các chứng chỉ, tiêu chuẩn bảo mật đã đạt được (ISO/IEC 27001, PCI DSS, SOC 2…).
  • Biên bản đánh giá nội bộ hoặc báo cáo kiểm toán bảo mật.
  • Hợp đồng với nhà cung cấp dịch vụ bảo mật, chứng nhận đào tạo nhân sự liên quan.

Quy trình 8 bước xây dựng hồ sơ đề xuất cấp độ An toàn Thông tin (ATTT)

Để giúp cho doanh nghiệp của bạn có thể xây dựng được hồ sơ đề xuất cấp độ an toàn thông tin đúng quy định và thuận lợi trong quá trình thẩm định, doanh nghiệp cũng như các cơ quan của bạn cần phải tuân thủ theo đúng những quy trình triển khai theo các bước khoa học và chặt chẽ dưới đây:

Bước 1: Khảo sát hiện trạng và thu thập thông tin hệ thống

Tổ chức tư vấn cần tiến hành rà soát, tổng hợp toàn bộ thông tin liên quan đến hệ thống thông tin của tổ chức, doanh nghiệp. Những thông tin này có bao gồm: kiến trúc hạ tầng CNTT, phần mềm đang sử dụng, loại dữ liệu xử lý, vị trí đặt máy chủ, cũng như các kết nối và tích hợp với hệ thống bên ngoài.

Bước 2: Phân loại và xác định cấp độ hệ thống thông tin

Dựa trên mục đích sử dụng, tính chất dữ liệu và mức độ ảnh hưởng khi xảy ra sự cố thì toàn hộ hệ thống của tổ chức cũng sẽ được phân loại thành 1 trong 5 cấp độ an toàn theo quy định của pháp luật hiện hành.

Bước 3: Phân tích rủi ro và đánh giá mức độ an toàn

Tổ chức của bạn cần tiến hành thực hiện việc phân tích tốt các mối đe dọa tiềm ẩn của việc tấn công mạng, mã độc cũng như các lỗi kỹ thuật và rủi ro đồng thời đánh giá lỗ hổng bảo mật và mức độ đáp ứng của hệ thống đối với các tiêu chuẩn, quy định về an toàn thông tin.

Phân tích rủi ro và đánh giá mức độ an toàn
Phân tích rủi ro và đánh giá mức độ an toàn

Bước 4: Lập báo cáo đề xuất cấp độ ATTT

Tổng hợp kết quả khảo sát, phân tích và đánh giá để xây dựng báo cáo đề xuất cấp độ an toàn thông tin. Báo cáo cần trình bày đầy đủ thông tin hệ thống, cấp độ ATTT đề xuất và cơ sở, lý do lựa chọn cấp độ tương ứng.

Bước 5: Xây dựng phương án bảo đảm an toàn thông tin

Đề xuất các giải pháp bảo vệ hệ thống một cách toàn diện, thông thường các phương án này sẽ thường bao gồm các biện pháp như:

  • Giải pháp kỹ thuật: tường lửa, mã hóa dữ liệu, phân tách mạng, xác thực đa yếu tố.
  • Giải pháp quản lý: xây dựng chính sách, quy chế và quy trình ATTT.
  • Giải pháp nhân sự: đào tạo, nâng cao nhận thức an toàn thông tin cho cán bộ, nhân viên.

Bước 6: Hoàn thiện bộ hồ sơ đề xuất cấp độ

Sau cùng các tổ chức sẽ tiến hành rà soát toàn bộ tài liệu liên quan như: đơn đề xuất cấp độ, báo cáo đánh giá hiện trạng, phương án bảo đảm ATTT và các phụ lục kỹ thuật để hình thành bộ hồ sơ cấp độ ATTT hoàn chỉnh.

Bước 7: Trình hồ sơ thẩm định và phê duyệt

Nộp hồ sơ đến cơ quan có thẩm quyền để tổ chức thẩm định và phê duyệt chính thức. Tùy theo từng cấp độ về an toàn thông tin hiện nay được đề xuất ra, thì các tổ chức hiện nay đều có những thẩm quyền được phê duyệt có thể thuộc Bộ Thông tin và Truyền thông hoặc cơ quan quản lý chuyên ngành.

Bước 8: Triển khai biện pháp bảo vệ và rà soát định kỳ

Sau khi tổ chức, doanh nghiệp của bạn được tiến hành phê duyệt thì đơn vị cần phải tiến hành triển khai cần phải đảm bảo tốt an toàn thông tin theo các phương án đã được chấp nhận. Đồng thời thì tổ chức cần phải tiến hành đánh giá cũng như rà soát định kỳ cấp độ ATTT để đảm bảo tốt hệ thống của bạn luôn được cập nhật và vận hành an toàn một cách phù hợp nhất với thực tế.

biện pháp bảo vệ và rà soát định kỳ
biện pháp bảo vệ và rà soát định kỳ

Có thể thấy được, hồ sơ đề xuất cấp độ An toàn Thông tin đóng vai trò then chốt trong việc xác định mức độ quan trọng của hệ thống thông tin và mức độ ảnh hưởng khi xảy ra sự cố. Thông qua việc xây dựng hồ sơ đầy đủ, rõ ràng và đúng quy định, cơ quan, tổ chức có cơ sở pháp lý để triển khai các biện pháp bảo vệ phù hợp, phân bổ nguồn lực hiệu quả và nâng cao năng lực bảo đảm an toàn thông tin. Đây cũng là nền tảng quan trọng giúp hệ thống vận hành ổn định, an toàn và bền vững trong môi trường số.

Bạn muốn Chuyên gia hỗ trợ

Đăng kí để kết nối trực tiếp với chuyên gia của chúng tôi !

    Request Expert Support

    Register to connect directly with our experts!