An toàn thông tin

Checklist đạt chuẩn cấp độ 2 (chi tiết từng hạng mục)

Posted on by Đoàn Trình Dục
04
Th4

Nhiều doanh nghiệp nghe câu “hệ thống này cần đạt cấp độ 2” và phản ứng đầu tiên thường là: vậy cụ thể phải làm những gì?

Đây mới là điểm khó thật sự.

Không phải doanh nghiệp ngại làm. Mà là không ai muốn bước vào một dự án mà ngay từ đầu đã mơ hồ: thiếu hạng mục nào, làm đến đâu là đủ, cái gì là bắt buộc, cái gì là nên có. Trong khi khung pháp lý hiện hành về bảo đảm an toàn hệ thống thông tin theo cấp độ vẫn đang xoay quanh Nghị định 85/2016/NĐ-CP và Thông tư 12/2022/TT-BTTTT; đồng thời Chỉ thị 09/CT-TTg năm 2024 tiếp tục nhấn mạnh việc tuân thủ và tăng cường bảo đảm an toàn hệ thống thông tin theo cấp độ. (Van Ban Chinh Phu)

Bài viết này không đi theo kiểu “nói luật cho nhiều”. Mục tiêu là biến toàn bộ câu chuyện cấp độ 2 thành một checklist rõ việc, để doanh nghiệp có thể tự nhìn vào hệ thống của mình và biết ngay: đang có gì, thiếu gì, cần làm gì trước.

Hướng dẫn khác:

  1. Checklist bảo mật cho website có cổng web công
  2. Hồ sơ đề xuất cấp độ có bắt buộc không? Doanh nghiệp nào cần làm?
  3. Tiêu chuẩn kiến trúc bảo mật cho hệ thống thông tin cấp độ 2
  4. Khi bị thanh tra an toàn thông tin, doanh nghiệp cần chuẩn bị hồ sơ gì?
  5. Hệ thống chưa có hồ sơ cấp độ: cách rà soát và xử lý cho doanh nghiệp
  6. Hướng dẫn phân loại hệ thống thông tin cấp độ 1, 2, 3, 4, 5

Hiểu đúng trước khi dùng checklist này

“Đạt chuẩn cấp độ 2” không có nghĩa là chỉ cần một bộ hồ sơ đẹp.

Hiểu đúng hơn, đó là trạng thái mà hệ thống của doanh nghiệp đã được xác định đúng phạm vi, có hồ sơ đề xuất cấp độ và phương án bảo đảm an toàn thông tin tương ứng, đồng thời có đủ các lớp quản lý, kỹ thuật, kiểm tra đánh giá và vận hành thực tế ở mức phù hợp. Nghị định 85/2016/NĐ-CP quy định về tiêu chí, trình tự, thủ tục xác định cấp độ và trách nhiệm bảo đảm an toàn hệ thống thông tin; còn Thông tư 12/2022/TT-BTTTT hướng dẫn chi tiết các yêu cầu quản lý, kỹ thuật, kiểm tra và đánh giá. (Van Ban Chinh Phu)

Checklist này phù hợp nhất với 3 nhóm:

  • doanh nghiệp đang chuẩn bị làm hồ sơ cấp độ 2;
  • doanh nghiệp muốn tự rà hệ thống trước khi thuê dịch vụ;
  • doanh nghiệp sắp audit, nghiệm thu hoặc làm việc với đối tác/cơ quan kiểm tra.

Cách dùng đúng không phải là tick cho đủ. Mà là dùng checklist để nhìn ra khoảng trống và chốt thứ tự ưu tiên xử lý.

Câu chuyện rất quen thuộc: hệ thống đang chạy nhưng không ai dám nói “đã đủ cấp độ 2”

Có một kiểu tình huống rất phổ biến.

Doanh nghiệp có website, có server, có cơ sở dữ liệu, có tài khoản quản trị, có backup, thậm chí có cả tường lửa hoặc phần mềm bảo mật nào đó. Nhìn bề ngoài, mọi thứ đều “có vẻ ổn”.

Nhưng khi ngồi xuống rà thật kỹ, hàng loạt câu hỏi bắt đầu lộ ra:

  • Hồ sơ đề xuất cấp độ đã có chưa?
  • Sơ đồ hệ thống có đúng với hiện trạng không?
  • Tài khoản admin có đang dùng chung không?
  • Backup có từng restore thử chưa?
  • Có log nhưng có ai theo dõi không?
  • Có quy trình ứng cứu sự cố chưa?
  • Có báo cáo đánh giá định kỳ không?

Và đó là lúc doanh nghiệp nhận ra: mình không hẳn là “chưa làm gì”, nhưng những gì đang có chưa chắc đã ghép thành một hệ thống đạt chuẩn.

Nhóm 1: Checklist xác định hệ thống và phạm vi

Đây là lớp đầu tiên và cũng là lớp rất nhiều doanh nghiệp làm thiếu.

Trước hết, bạn phải xác định rõ hệ thống nào đang được áp dụng cấp độ 2. Đó là website, app, API, máy chủ, cơ sở dữ liệu, hệ thống nội bộ hay một tổ hợp của chúng? Nghị định 85/2016/NĐ-CP đặt việc xác định hệ thống thông tin và xác định cấp độ ở vị trí nền tảng của toàn bộ quá trình bảo đảm an toàn hệ thống thông tin. (Van Ban Chinh Phu)

Doanh nghiệp nên tự kiểm tra các điểm sau:

  • Hệ thống đã được khoanh đúng phạm vi chưa?
  • Có đang gộp nhiều hệ thống khác nhau vào một bộ hồ sơ không?
  • Đã có mô tả tổng quan hệ thống chưa, bao gồm chức năng chính, đối tượng sử dụng, thành phần kỹ thuật và phạm vi dữ liệu xử lý chưa?
  • Đã kiểm kê tài sản số chưa, gồm máy chủ, ứng dụng, cơ sở dữ liệu, tài khoản quản trị và thiết bị mạng chưa?

Nếu nhóm này còn mơ hồ, gần như các nhóm sau sẽ rất dễ lệch.

Nhóm 2: Checklist hồ sơ cấp độ

Đây là lớp hồ sơ nền mà rất nhiều doanh nghiệp hoặc thiếu hoàn toàn, hoặc có nhưng không khớp hiện trạng.

Nghị định 85/2016/NĐ-CP quy định hồ sơ đề xuất cấp độ gồm 4 phần cốt lõi: mô tả tổng quan hệ thống thông tin, tài liệu thiết kế hoặc tài liệu tương đương, tài liệu thuyết minh đề xuất cấp độ và tài liệu thuyết minh phương án bảo đảm an toàn thông tin theo cấp độ tương ứng. (Van Ban Chinh Phu)

Doanh nghiệp nên rà từng câu sau:

  • Đã có hồ sơ đề xuất cấp độ chưa?
  • Nếu có, hồ sơ đã đủ 4 phần cốt lõi chưa?
  • Tên hệ thống trong hồ sơ có khớp với hệ thống thực tế không?
  • Phạm vi, thành phần, chức năng và dữ liệu mô tả trong hồ sơ có đúng với hiện trạng vận hành không?

Nếu chỉ có “một số file kỹ thuật” nhưng chưa thành bộ hồ sơ logic, thì vẫn nên xem là chưa đủ.

Nhóm 3: Checklist quy chế, chính sách và quy trình

Đây là chỗ nhiều doanh nghiệp hay nghĩ là “toàn giấy tờ”, nhưng thực tế lại là phần phân biệt giữa hệ thống phụ thuộc vào cá nhân và hệ thống có thể vận hành bền.

Thông tư 12/2022/TT-BTTTT quy định rõ các nhóm yêu cầu quản lý, bao gồm chính sách an toàn thông tin, tổ chức bảo đảm an toàn thông tin và quản lý vận hành hệ thống. (Van Ban Chinh Phu)

Bạn nên rà ít nhất các mục sau:

  • Đã có quy chế bảo đảm an toàn thông tin chưa?
  • Quy chế đó đã được ban hành chính thức chưa?
  • Đã có quy trình quản lý tài khoản chưa?
  • Đã có quy trình phân quyền chưa?
  • Đã có quy trình backup và restore chưa?
  • Đã có quy trình quản lý thay đổi chưa?
  • Đã có quy trình ứng cứu sự cố chưa?
  • Đã có phân công rõ ai chịu trách nhiệm quản trị, ai xử lý sự cố, ai phê duyệt thay đổi chưa?

Nếu nhóm này còn trống, doanh nghiệp có thể có công cụ nhưng vẫn chưa có nền quản trị để gọi là đạt chuẩn.

Nhóm 4: Checklist kiểm soát tài khoản và truy cập

Đây là nhóm rất hay bị xem nhẹ vì “bên IT vẫn đang quản lý mà”. Nhưng chính vì quản lý theo thói quen nên mới dễ phát sinh rủi ro.

Doanh nghiệp nên kiểm tra:

  • Đã tách tài khoản người dùng và tài khoản quản trị chưa?
  • Đã phân quyền theo vai trò chưa?
  • Có rà soát định kỳ tài khoản còn hiệu lực không?
  • Có thu hồi tài khoản của người không còn liên quan không?
  • Có kiểm soát truy cập từ xa không?
  • Có cơ chế quản lý mật khẩu hoặc xác thực đủ an toàn không?

Nhiều doanh nghiệp chỉ đến lúc rà kỹ mới phát hiện tài khoản admin đang dùng chung, hoặc người đã nghỉ vẫn còn quyền truy cập ở đâu đó.

Nhóm 5: Checklist bảo vệ máy chủ, ứng dụng và dữ liệu

Đây là lớp kỹ thuật mà doanh nghiệp thường nghĩ tới đầu tiên khi nói về bảo mật.

Thông tư 12/2022/TT-BTTTT quy định các yêu cầu kỹ thuật tối thiểu theo cấp độ, bao gồm các lớp bảo vệ liên quan đến mạng, máy chủ, ứng dụng và dữ liệu. (Van Ban Chinh Phu)

Checklist nên rà gồm:

  • Máy chủ đã được hardening chưa?
  • Đã tắt các dịch vụ không cần thiết chưa?
  • Đã giới hạn quyền hệ điều hành và dịch vụ ở mức phù hợp chưa?
  • Ứng dụng đã được rà soát lỗi cấu hình và lỗ hổng cơ bản chưa?
  • Dữ liệu quan trọng đã được giới hạn quyền truy cập chưa?
  • Đã có backup chưa?
  • Đã test restore chưa?
  • Hệ điều hành, ứng dụng và thành phần phụ trợ đã được cập nhật bản vá định kỳ chưa?

Đây là nhóm mà nhiều doanh nghiệp “có làm”, nhưng làm tới đâu, đủ đến mức nào, và có bằng chứng hay không mới là vấn đề quyết định.

Nhóm 6: Checklist mạng, giám sát và nhật ký

Có không ít doanh nghiệp có firewall nhưng vẫn không thật sự kiểm soát được luồng kết nối quan trọng. Có log nhưng không ai nhìn. Có cảnh báo nhưng không ai nhận.

Checklist ở nhóm này nên bao gồm:

  • Đã có cấu hình firewall hoặc giải pháp kiểm soát mạng chưa?
  • Đã phân vùng mạng hoặc giới hạn kết nối quan trọng chưa?
  • Đã bật log cho các thành phần chính chưa?
  • Có cơ chế giám sát cảnh báo không?
  • Có lưu giữ nhật ký để phục vụ rà soát sự cố không?

Nếu nhóm này yếu, doanh nghiệp thường ở thế rất bất lợi khi có sự cố: không biết chuyện gì đã xảy ra, bắt đầu từ đâu, ai truy cập, truy cập lúc nào.

Nhóm 7: Checklist backup, phục hồi và ứng cứu sự cố

Đây là nhóm cực kỳ quan trọng nhưng lại hay bị làm hình thức.

Nghị định 85/2016/NĐ-CP và Thông tư 12/2022/TT-BTTTT đều đi theo logic không chỉ phòng ngừa mà còn phải có khả năng ứng phó, khôi phục và duy trì hoạt động. (Van Ban Chinh Phu)

Doanh nghiệp nên tự hỏi:

  • Đã có kế hoạch backup chưa?
  • Backup theo lịch nào?
  • Đã từng test restore thử chưa?
  • Có quy trình ứng cứu sự cố chưa?
  • Có danh sách liên hệ khi xảy ra sự cố không?
  • Có phân vai rõ ai làm gì khi sự cố xảy ra không?

Một hệ thống có backup nhưng chưa từng restore thử, trên thực tế vẫn là một hệ thống chưa biết chắc mình có phục hồi được hay không.

Nhóm 8: Checklist kiểm tra, đánh giá và bằng chứng thực thi

Đây là nhóm nhiều doanh nghiệp thiếu nhất, vì họ thường dừng ở mức “đã có quy trình” mà quên mất phải chứng minh là quy trình đó đang được thực hiện.

Thông tư 12/2022/TT-BTTTT có riêng nội dung về kiểm tra và đánh giá an toàn thông tin. (Van Ban Chinh Phu)

Doanh nghiệp nên kiểm tra:

  • Đã có hoạt động kiểm tra, đánh giá ATTT chưa?
  • Có báo cáo rà soát hoặc đánh giá định kỳ không?
  • Có ghi nhận tồn tại và kế hoạch khắc phục không?
  • Có bằng chứng đã thực hiện backup, cập nhật bản vá, phân quyền, giám sát không?

Đây là chỗ rất dễ “mất điểm” khi audit hoặc kiểm tra, vì có tài liệu chưa đủ; còn phải có dấu vết thực thi.

Checklist nhanh 20 câu để tự rà hệ thống cấp độ 2

Bạn có thể dùng ngay 20 câu này để tự kiểm tra nội bộ.

  • Hệ thống đã xác định rõ phạm vi chưa?
  • Đã có hồ sơ đề xuất cấp độ chưa?
  • Hồ sơ có khớp hiện trạng không?
  • Đã có quy chế ATTT chưa?
  • Đã có quy trình phân quyền chưa?
  • Đã có quy trình backup và restore chưa?
  • Đã có quy trình ứng cứu sự cố chưa?
  • Đã phân công đầu mối rõ chưa?
  • Đã kiểm kê tài sản số chưa?
  • Đã phân loại dữ liệu chưa?
  • Đã rà soát tài khoản quản trị chưa?
  • Đã có backup và test restore chưa?
  • Đã có log và giám sát chưa?
  • Đã cấu hình bảo vệ mạng chưa?
  • Đã rà lỗ hổng ứng dụng chưa?
  • Đã cập nhật bản vá chưa?
  • Đã có báo cáo rà soát định kỳ chưa?
  • Đã có bằng chứng thực thi chưa?
  • Đã biết phần nào đang thiếu chưa?
  • Đã có kế hoạch xử lý theo ưu tiên chưa?

Nếu bạn trả lời “chưa” từ 5 câu trở lên, hệ thống thường đang thiếu đáng kể. Nếu “chưa” rơi vào các nhóm hồ sơ, quy chế, backup, kiểm tra đánh giá, thì nên ưu tiên xử lý sớm.

Những lỗi khiến doanh nghiệp tưởng đã đạt cấp độ 2 nhưng thực ra chưa

  • Lỗi đầu tiên là có hồ sơ nhưng hồ sơ không khớp hiện trạng.
  • Lỗi thứ hai là có kỹ thuật nhưng thiếu quy chế và quy trình.
  • Lỗi thứ ba là có backup nhưng chưa từng test restore.
  • Lỗi thứ tư là có log nhưng không giám sát.
  • Lỗi thứ năm là có tài liệu nhưng không có bằng chứng thực thi.

Lỗi cuối cùng là chỉ bắt đầu làm khi sắp thanh tra, audit hoặc có sự cố. Chỉ thị 09/CT-TTg năm 2024 cho thấy định hướng hiện nay là tuân thủ thực chất, không dừng ở hồ sơ hình thức. (Van Ban Chinh Phu)

Khi nào doanh nghiệp nên thuê đơn vị rà checklist cấp độ 2?

Doanh nghiệp nên cân nhắc thuê hỗ trợ khi:

  • không chắc hệ thống mình đang thiếu gì;
  • đã có hồ sơ nhưng sợ không khớp thực tế;
  • sắp nghiệm thu, audit hoặc thanh tra;
  • muốn tiết kiệm thời gian thử-sai;
  • cần kết hợp cả hồ sơ, quy trình và kỹ thuật.

Điểm quan trọng không phải là “thuê cho nhanh”, mà là tránh sai ngay từ bước xác định khoảng trống và thứ tự ưu tiên xử lý.

Kết luận

Checklist đạt chuẩn cấp độ 2 không nên là một file để đọc cho biết.

Nó nên là công cụ giúp doanh nghiệp tự trả lời ba câu hỏi rất thực tế:

Mình đang có gì?
Mình đang thiếu gì?
Mình cần xử lý gì trước?

Về bản chất, đạt chuẩn cấp độ 2 là kết quả của việc đồng bộ giữa phạm vi hệ thống, hồ sơ, quy chế, tài khoản, kỹ thuật bảo vệ, backup, giám sát và kiểm tra đánh giá. Và đó cũng là logic nhất quán mà Nghị định 85/2016/NĐ-CP và Thông tư 12/2022/TT-BTTTT đang áp dụng. (Van Ban Chinh Phu)

FAQ

Cấp độ 2 cần những hạng mục bắt buộc nào?

Về logic triển khai, doanh nghiệp cần tối thiểu các nhóm: xác định phạm vi hệ thống, hồ sơ đề xuất cấp độ, quy chế/quy trình ATTT, kiểm soát tài khoản, bảo vệ máy chủ/ứng dụng/dữ liệu, backup/restore, giám sát/log và kiểm tra đánh giá. Các yêu cầu này bám theo Nghị định 85/2016/NĐ-CP và Thông tư 12/2022/TT-BTTTT. (Van Ban Chinh Phu)

Có hồ sơ cấp độ rồi thì đã đủ chưa?

Chưa chắc. Nếu hồ sơ không khớp hiện trạng, thiếu quy trình, thiếu bằng chứng thực thi hoặc thiếu lớp kỹ thuật tương ứng, doanh nghiệp vẫn chưa thể xem là đã đạt chuẩn thực chất. (Van Ban Chinh Phu)

Doanh nghiệp nhỏ có cần đủ checklist như doanh nghiệp lớn không?

Nguyên tắc cốt lõi vẫn giống nhau, nhưng phạm vi và mức độ triển khai sẽ khác theo loại hệ thống, dữ liệu và mức độ ảnh hưởng. Không phải doanh nghiệp nhỏ là có thể bỏ qua hoàn toàn các lớp nền như phân quyền, backup hay quy chế cơ bản. (Van Ban Chinh Phu)

Có thể tự rà checklist cấp độ 2 nội bộ không?

Có thể, nếu doanh nghiệp có đầu mối hiểu hệ thống và đủ thời gian gom tài liệu, đối chiếu hiện trạng. Nhưng nếu hệ thống phức tạp hoặc đang có deadline, việc có đơn vị hỗ trợ thường giúp nhìn khoảng trống rõ hơn.

Bao lâu nên rà lại checklist một lần?

Nên rà định kỳ và rà lại ngay khi có thay đổi đáng kể về hệ thống, dữ liệu, kiến trúc hoặc vận hành. Đây cũng phù hợp với tinh thần kiểm tra, đánh giá định kỳ trong Thông tư 12/2022/TT-BTTTT. (Van Ban Chinh Phu)

💬 Chat Zalo ☎️ Hotline: 0346 844 259