An toàn thông tin

Chỉ thị 09/CT-TTg: Tại sao phải phê duyệt cấp độ trước khi vận hành?

Posted on by Đoàn Trình Dục
28
Th3

Nhiều đơn vị chỉ bắt đầu quan tâm đến hồ sơ cấp độ khi hệ thống đã chạy ổn định một thời gian, hoặc khi chuẩn bị kiểm tra, rà soát, đầu tư nâng cấp mới quay lại hỏi: “Giờ làm hồ sơ còn kịp không?” Vấn đề là cách làm này khiến đơn vị luôn ở thế bị động. Hồ sơ làm sau, kỹ thuật làm trước, tài liệu không đồng nhất, đến khi rà lại thì vừa tốn thời gian vừa khó chốt phạm vi.

Ngày 23/02/2024, Thủ tướng Chính phủ ban hành Chỉ thị số 09/CT-TTg về tuân thủ quy định pháp luật và tăng cường bảo đảm an toàn hệ thống thông tin theo cấp độ. Đây là văn bản nhấn mạnh lại yêu cầu phải làm nghiêm việc bảo đảm an toàn thông tin theo cấp độ, trong đó có việc hoàn thành phê duyệt hồ sơ đề xuất cấp độ và triển khai đầy đủ phương án bảo đảm an toàn thông tin tương ứng. (Chinh Phu Document System)

Tóm tắt nhanh:
Chỉ thị 09/CT-TTg không tạo ra một khái niệm mới, nhưng nó làm rõ mức độ cấp thiết của việc tuân thủ quy định pháp luật và thúc đẩy các cơ quan, tổ chức không để tình trạng hệ thống vận hành kéo dài mà chưa được phê duyệt cấp độ. (Chinh Phu Document System)

Hướng dẫn khác:

  1. Hồ sơ đề xuất cấp độ có bắt buộc không? Doanh nghiệp nào cần làm?
  2. Dịch vụ tư vấn lập hồ sơ đề xuất cấp độ an toàn thông tin trọn gói
  3. Hệ thống chưa có hồ sơ cấp độ: cách rà soát và xử lý cho doanh nghiệp
  4. Khi bị thanh tra an toàn thông tin, doanh nghiệp cần chuẩn bị hồ sơ gì?
  5. Hướng dẫn phân loại hệ thống thông tin cấp độ 1, 2, 3, 4, 5
  6. Tiêu chuẩn kiến trúc bảo mật cho hệ thống thông tin cấp độ 2

Tóm tắt nội dung

Chỉ thị 09/CT-TTg là gì?

Chỉ thị 09/CT-TTg là chỉ thị của Thủ tướng Chính phủ ban hành ngày 23/02/2024, trích yếu: “Về tuân thủ quy định pháp luật và tăng cường bảo đảm an toàn hệ thống thông tin theo cấp độ.” (Chinh Phu Document System)

Nói đơn giản, văn bản này được ban hành trong bối cảnh các rủi ro an toàn thông tin ngày càng rõ hơn, trong khi ở nhiều nơi vẫn còn tình trạng:

  • hệ thống đã vận hành nhưng chưa hoàn thiện hồ sơ cấp độ
  • chưa triển khai đầy đủ phương án bảo đảm an toàn thông tin theo cấp độ
  • chưa rà soát, đánh giá thường xuyên
  • còn bị động khi xảy ra sự cố

Chỉ thị này vì thế mang ý nghĩa như một cú nhấn mạnh: không thể xem việc bảo đảm an toàn hệ thống thông tin theo cấp độ là một việc để làm sau. (Chinh Phu Document System)

Vì sao Chỉ thị 09/CT-TTg được nhiều đơn vị quan tâm?

Lý do là vì văn bản này đánh trúng một vấn đề rất phổ biến trong thực tế:
nhiều hệ thống đã vận hành trước, còn hồ sơ và phương án bảo đảm an toàn thông tin lại làm sau.

Chỉ thị yêu cầu các bộ, ngành, địa phương:

  • trực tiếp chỉ đạo và phụ trách công tác bảo đảm an toàn thông tin mạng
  • tổng rà soát, đánh giá tình hình bảo đảm an toàn thông tin mạng đối với các hệ thống thông tin thuộc phạm vi quản lý
  • báo cáo kết quả theo mốc thời gian cụ thể
  • định kỳ báo cáo tình hình bảo đảm an toàn thông tin mạng hằng quý. (Cao Đẳng Cảnh Sát Nhân Dân I)

Trong một số bản tin, nội dung triển khai còn được nhấn mạnh với yêu cầu hoàn thành phê duyệt hồ sơ đề xuất cấp độ an toàn cho 100% hệ thống thông tin trong tháng 9/2024 và triển khai đầy đủ phương án bảo đảm an toàn thông tin tương ứng. (Bộ Công An)

Điều này làm nhiều đơn vị nhận ra rằng:

  • chuyện hồ sơ cấp độ không còn là việc “nội bộ muốn làm lúc nào thì làm”
  • hệ thống càng để lâu không rà soát, càng khó đồng bộ giữa hồ sơ và hiện trạng
  • nếu để đến lúc kiểm tra hoặc có sự cố mới quay lại xử lý thì sẽ rất bị động

Tại sao phải phê duyệt cấp độ trước khi vận hành?

Đây là câu hỏi cốt lõi của bài.

Vì phải xác định mức bảo vệ phù hợp trước khi hệ thống chạy thật

Nếu chưa xác định cấp độ, đơn vị rất dễ rơi vào một trong hai tình huống:

  • bảo vệ quá mỏng so với vai trò thật của hệ thống
  • đầu tư quá mức nhưng lại không đúng trọng tâm

Việc phê duyệt cấp độ trước khi vận hành giúp tạo một mốc rõ ràng:
hệ thống này được nhìn nhận ở mức nào, cần bảo vệ tương ứng ra sao.

Vì hồ sơ và kỹ thuật phải đi cùng nhau

Nhiều đơn vị nghĩ có thể triển khai hệ thống trước, hồ sơ làm sau. Trên thực tế, khi làm như vậy thường phát sinh:

  • mô tả hệ thống không khớp hiện trạng
  • khó chốt phạm vi hệ thống
  • tài liệu giữa các bộ phận không đồng nhất
  • phần phương án bảo đảm an toàn thông tin bị viết ngược theo những gì đã lắp đặt sẵn

Khi cấp độ được phê duyệt trước hoặc ít nhất được rà soát nghiêm túc trước khi vận hành ổn định, đơn vị sẽ dễ hơn trong việc:

  • xây đúng phương án bảo vệ
  • lên ngân sách
  • chia giai đoạn triển khai
  • đồng bộ giữa hồ sơ và kỹ thuật

Vì đây là yêu cầu tuân thủ pháp luật, không chỉ là khuyến nghị kỹ thuật

Nghị định 85/2016/NĐ-CP là văn bản nền về bảo đảm an toàn hệ thống thông tin theo cấp độ; Thông tư 12/2022/TT-BTTTT hướng dẫn chi tiết một số điều của nghị định này. Chỉ thị 09/CT-TTg tiếp tục nhấn mạnh yêu cầu tuân thủ các quy định này. (Chinh Phu Document System)

Nói cách khác, đây không còn là chuyện:

  • “thấy cần thì làm”
    mà là:
  • đã có khung pháp lý và đang được thúc đẩy thực hiện nghiêm hơn. (Chinh Phu Document System)

Chỉ thị 09/CT-TTg đang nhấn mạnh điều gì?

Nếu đọc dưới góc nhìn người triển khai, có 4 điểm rất đáng chú ý.

Nhấn mạnh trách nhiệm của người đứng đầu

Chỉ thị yêu cầu trực tiếp chỉ đạo và phụ trách công tác bảo đảm an toàn thông tin mạng; đồng thời chịu trách nhiệm nếu để hệ thống thuộc phạm vi quản lý không bảo đảm an toàn thông tin mạng, để xảy ra sự cố nghiêm trọng. (Cao Đẳng Cảnh Sát Nhân Dân I)

Điều này có nghĩa là bài toán cấp độ không còn chỉ là việc riêng của bộ phận IT.

Yêu cầu tổng rà soát và đánh giá lại toàn bộ hiện trạng

Chỉ thị yêu cầu rà soát, đánh giá tình hình bảo đảm an toàn thông tin mạng đối với các hệ thống thuộc phạm vi quản lý và gửi kết quả về Bộ Thông tin và Truyền thông theo mốc thời gian được nêu trong văn bản. (Cao Đẳng Cảnh Sát Nhân Dân I)

Đây là lý do nhiều đơn vị phải quay lại rà lại hồ sơ, hiện trạng kỹ thuật và phạm vi hệ thống.

Thúc đẩy hoàn thiện hồ sơ và phương án bảo đảm an toàn thông tin

Trong các bản tin triển khai Chỉ thị 09/CT-TTg, yêu cầu hoàn thành phê duyệt hồ sơ đề xuất cấp độ và triển khai đầy đủ phương án bảo đảm an toàn thông tin tương ứng được nhấn mạnh rất rõ. (Bộ Công An)

Tăng cường kiểm tra, đánh giá định kỳ

Nội dung triển khai cũng nhấn mạnh kiểm tra, đánh giá an toàn thông tin định kỳ với tần suất khác nhau tùy cấp độ hệ thống. (Cao Đẳng Cảnh Sát Nhân Dân I)

Điều này cho thấy bảo đảm an toàn thông tin theo cấp độ không phải việc “làm một lần rồi thôi”.

Nếu hệ thống đã vận hành mà chưa được phê duyệt cấp độ thì sao?

Đây là tình huống rất phổ biến.

Nhiều hệ thống hiện nay rơi vào trạng thái:

  • đã chạy nhiều tháng, nhiều năm
  • đã có dữ liệu thật
  • đã có người dùng thật
  • đã đầu tư một số lớp bảo mật
  • nhưng chưa có hồ sơ cấp độ hoặc chưa phê duyệt xong

Khi đó, rủi ro không chỉ nằm ở tính pháp lý, mà còn nằm ở sự lệch nhau giữa:

  • hiện trạng kỹ thuật
  • phạm vi hệ thống
  • tài liệu nội bộ
  • cách mô tả trong hồ sơ

Càng để lâu, việc rà soát lại càng khó vì:

  • hệ thống có thể đã mở rộng
  • nhiều thay đổi không được cập nhật vào tài liệu
  • đầu mối nội bộ thay đổi
  • khó truy ngược logic ban đầu

Đó là lý do Chỉ thị 09/CT-TTg khiến nhiều đơn vị phải chuyển từ tâm thế “để khi nào rảnh làm” sang “phải ưu tiên rà soát ngay”. (Chinh Phu Document System)

Rủi ro lớn nhất khi không phê duyệt cấp độ trước vận hành

Hệ thống chạy trước, bảo vệ đi sau

Đây là lỗi nền tảng. Khi bảo vệ đi sau, các lớp kỹ thuật thường bị vá víu theo hiện trạng thay vì được thiết kế đúng từ đầu.

Hồ sơ và hiện trạng không khớp nhau

Khi làm hồ sơ muộn, đơn vị rất dễ gặp cảnh:

  • tên hệ thống không thống nhất
  • phạm vi mô tả không rõ
  • dữ liệu xử lý không còn giống như ban đầu
  • phương án bảo đảm an toàn thông tin bị viết ngược theo cái đang có

Khó lập ngân sách đúng

Nếu chưa phê duyệt cấp độ, rất khó biết:

  • cần đầu tư lớp bảo vệ nào trước
  • phần nào là bắt buộc
  • phần nào là nên có
  • phần nào có thể làm theo giai đoạn

Tăng rủi ro pháp lý và vận hành

Trong bối cảnh Chỉ thị 09/CT-TTg nhấn mạnh việc tuân thủ và tăng cường bảo đảm an toàn hệ thống thông tin theo cấp độ, việc chậm hoàn thiện hồ sơ và phương án bảo vệ làm đơn vị bị động hơn rõ rệt. (Chinh Phu Document System)

Đơn vị nên bắt đầu từ đâu sau khi đọc Chỉ thị 09/CT-TTg?

Nếu anh/chị đang thấy hệ thống của mình thuộc nhóm “đã chạy nhưng chưa rõ hồ sơ cấp độ đến đâu”, có thể đi theo 4 bước sau:

Bước 1: Rà soát lại danh mục hệ thống đang vận hành

Xác định:

  • đang có những hệ thống nào
  • hệ thống nào đang public
  • hệ thống nào xử lý dữ liệu quan trọng
  • hệ thống nào chưa có hồ sơ hoặc hồ sơ chưa hoàn chỉnh

Bước 2: Chốt lại phạm vi từng hệ thống

Đây là bước quan trọng để tránh làm hồ sơ sai ngay từ đầu.

Bước 3: Kiểm tra trạng thái hồ sơ và phê duyệt

Hệ thống nào:

  • đã có hồ sơ
  • đang làm hồ sơ
  • chưa bắt đầu
  • đã có phương án bảo đảm an toàn thông tin tương ứng hay chưa

Bước 4: Lập lộ trình xử lý

Chia thành:

  • hệ thống cần ưu tiên gấp
  • hệ thống cần bổ sung đầu vào
  • hệ thống cần làm song song hồ sơ và kỹ thuật

Nếu cần xử lý theo hướng bài bản hơn, anh/chị nên xem thêm:

7 câu hỏi lãnh đạo và đầu mối phụ trách nên tự hỏi ngay

  1. Hệ thống nào đang vận hành nhưng chưa rõ trạng thái hồ sơ cấp độ?
  2. Hệ thống nào xử lý dữ liệu quan trọng hoặc dữ liệu nhạy cảm?
  3. Phạm vi mô tả hệ thống hiện nay đã rõ chưa?
  4. Hồ sơ và hiện trạng kỹ thuật có đang khớp nhau không?
  5. Phương án bảo đảm an toàn thông tin đã được triển khai đến đâu?
  6. Đơn vị đã có đầu mối chịu trách nhiệm rõ cho việc này chưa?
  7. Nếu bị yêu cầu rà soát ngay bây giờ, nội bộ đã đủ tài liệu chưa?

Chỉ cần trả lời nghiêm túc 7 câu này, đơn vị sẽ nhìn ra khá rõ mình đang ở đâu.

Câu hỏi thường gặp về Chỉ thị 09/CT-TTg

Chỉ thị 09/CT-TTg là gì?

Là chỉ thị của Thủ tướng Chính phủ ban hành ngày 23/02/2024, về tuân thủ quy định pháp luật và tăng cường bảo đảm an toàn hệ thống thông tin theo cấp độ. (Chinh Phu Document System)

Chỉ thị này có yêu cầu phê duyệt cấp độ trước khi vận hành không?

Tinh thần của Chỉ thị là thúc đẩy tuân thủ nghiêm quy định pháp luật về bảo đảm an toàn hệ thống thông tin theo cấp độ, trong đó việc hoàn thiện hồ sơ và triển khai phương án bảo đảm an toàn thông tin được nhấn mạnh rõ trong các nội dung triển khai. (Chinh Phu Document System)

Nếu hệ thống đã vận hành rồi mà chưa có hồ sơ cấp độ thì sao?

Vẫn cần rà soát và xử lý sớm. Càng để lâu, việc đồng bộ giữa hồ sơ, phạm vi hệ thống và hiện trạng kỹ thuật càng khó hơn.

Vì sao người đứng đầu cần quan tâm?

Vì Chỉ thị nhấn mạnh trách nhiệm trực tiếp chỉ đạo, phụ trách công tác bảo đảm an toàn thông tin mạng và trách nhiệm nếu để xảy ra sự cố nghiêm trọng trên hệ thống thuộc phạm vi quản lý. (Cao Đẳng Cảnh Sát Nhân Dân I)

Sau bài này nên đọc gì tiếp?

Nên đọc tiếp:

Kết luận

Nếu hỏi ngắn gọn vì sao phải phê duyệt cấp độ trước khi vận hành, câu trả lời là:

  • để biết hệ thống cần mức bảo vệ nào
  • để hồ sơ và kỹ thuật đi cùng nhau
  • để tránh làm bảo mật theo kiểu vá víu
  • và vì đây là yêu cầu tuân thủ pháp luật đang được nhấn mạnh mạnh hơn trong thực tế quản lý hiện nay. (Chinh Phu Document System)

Chỉ thị 09/CT-TTg không phải là văn bản để đọc cho biết. Với nhiều đơn vị, nó là tín hiệu rất rõ rằng không nên tiếp tục để hệ thống vận hành trong trạng thái hồ sơ đi sau, kỹ thuật đi trước.

💬 Chat Zalo ☎️ Hotline: 0346 844 259