An toàn thông tin

Hệ thống chưa có hồ sơ cấp độ: cách rà soát và xử lý cho doanh nghiệp

Posted on by Đoàn Trình Dục
04
Th4

Nhiều doanh nghiệp chỉ phát hiện hệ thống của mình chưa có hồ sơ cấp độ vào đúng thời điểm không nên phát hiện nhất: trước nghiệm thu, trước đấu thầu, trước khi làm việc với đối tác lớn, hoặc khi chuẩn bị đưa hệ thống vào vận hành chính thức.

Vấn đề là ở chỗ, thiếu hồ sơ cấp độ không chỉ là “thiếu một bộ giấy tờ”. Nó có thể kéo theo việc phải rà soát lại phạm vi hệ thống, cập nhật tài liệu kỹ thuật, bổ sung phương án an toàn thông tin, thậm chí làm chậm cả kế hoạch vận hành hoặc triển khai dự án. Pháp luật hiện hành vẫn đang yêu cầu xác định, thẩm định và phê duyệt hồ sơ đề xuất cấp độ cho các hệ thống thuộc diện áp dụng; riêng với các hệ thống đang vận hành nhưng chưa được phê duyệt hồ sơ, Thông tư 12/2022/TT-BTTTT nêu rõ phải thực hiện xây dựng, thẩm định, phê duyệt hồ sơ và triển khai phương án bảo đảm an toàn thông tin theo hồ sơ được phê duyệt. (vbpl)

Bài viết này dựa trên góc nhìn rà soát thực tế các hệ thống đã vận hành nhưng thiếu hồ sơ nền tảng, kết hợp đối chiếu quy định hiện hành để giúp doanh nghiệp biết mình nên kiểm tra từ đâu, xử lý phần nào trước và tránh sai ở bước nào.

Hướng dẫn khác:

  1. Hồ sơ đề xuất cấp độ có bắt buộc không? Doanh nghiệp nào cần làm?
  2. Hướng dẫn phân loại hệ thống thông tin cấp độ 1, 2, 3, 4, 5
  3. Tiêu chuẩn kiến trúc bảo mật cho hệ thống thông tin cấp độ 2
  4. Khi bị thanh tra an toàn thông tin, doanh nghiệp cần chuẩn bị hồ sơ gì?
  5. Mẫu hồ sơ đề xuất cấp độ an toàn thông tin theo Thông tư 12/2022
  6. Quy trình triển khai bảo mật hệ thống từ A–Z cho doanh nghiệp

Tóm tắt nội dung

Hồ sơ cấp độ là gì, và vì sao thiếu hồ sơ này lại thành vấn đề?

Nói ngắn gọn, hồ sơ đề xuất cấp độ là bộ tài liệu dùng để xác định hệ thống thông tin của doanh nghiệp thuộc cấp độ an toàn nào và doanh nghiệp cần áp dụng biện pháp bảo đảm an toàn thông tin tương ứng. Theo Nghị định 85/2016/NĐ-CP, bộ hồ sơ này thường gồm phần mô tả tổng quan hệ thống, tài liệu thiết kế hoặc tương đương, phần thuyết minh đề xuất cấp độ và phần thuyết minh phương án bảo đảm an toàn thông tin theo cấp độ tương ứng. (vbpl)

Với chủ doanh nghiệp, có thể hiểu đơn giản thế này:

  • Hệ thống của bạn đang xử lý dữ liệu gì.
  • Nếu xảy ra sự cố, ảnh hưởng sẽ đến đâu.
  • Doanh nghiệp phải bảo vệ hệ thống ở mức nào cho phù hợp.

Thiếu hồ sơ này trở thành vấn đề vì cơ quan quản lý, bên thẩm định hoặc đối tác không chỉ nhìn vào việc hệ thống “có chạy được hay không”, mà còn nhìn vào việc hệ thống đã được xác định cấp độ và có phương án bảo vệ tương ứng hay chưa. Thông tư 12/2022/TT-BTTTT cũng quy định rõ yêu cầu quản lý và kỹ thuật tối thiểu theo từng cấp độ, đồng thời yêu cầu quy chế bảo đảm an toàn hệ thống thông tin phải được xây dựng và phê duyệt trước khi hồ sơ đề xuất cấp độ được phê duyệt. (vbpl)

Vì sao nhiều doanh nghiệp đang chạy hệ thống nhưng vẫn chưa có hồ sơ cấp độ?

Có 3 lý do rất phổ biến.

Lý do đầu tiên là doanh nghiệp phát triển hệ thống theo kiểu “chạy trước, bổ sung hồ sơ sau”. Giai đoạn đầu thường chỉ tập trung vào tính năng, tiến độ, vận hành và trải nghiệm người dùng. Đến lúc hệ thống đã có người dùng thật, có dữ liệu thật, mới bắt đầu rà lại khung pháp lý.

Lý do thứ hai là nhầm giữa tài liệu kỹ thuậthồ sơ cấp độ. Nhiều doanh nghiệp có sơ đồ hệ thống, tài liệu đặc tả, quy trình vận hành, nhưng vẫn thiếu phần thuyết minh cấp độ và phương án bảo đảm an toàn thông tin theo khung pháp lý tương ứng. Nghị định 85 và Thông tư 12 cho thấy đây là hai lớp tài liệu khác nhau, không thể thay thế hoàn toàn cho nhau. (vbpl)

Lý do thứ ba là doanh nghiệp nghĩ rằng chỉ cơ quan nhà nước mới cần. Thực tế, quy định tập trung mạnh vào các hệ thống thông tin thuộc phạm vi quản lý và các hệ thống phục vụ dịch vụ trực tuyến; đồng thời Chính phủ đã có Chỉ thị 09/CT-TTg ngày 23/02/2024 yêu cầu tăng cường tuân thủ pháp luật và bảo đảm an toàn hệ thống thông tin theo cấp độ. Điều này cho thấy xu hướng quản lý là chặt hơn, không lỏng hơn. (Văn Bản Chính Phủ)

Dấu hiệu cho thấy doanh nghiệp cần rà soát hồ sơ cấp độ ngay

Nếu hệ thống của bạn có một hoặc nhiều dấu hiệu dưới đây, đừng để việc rà soát kéo dài thêm:

Hệ thống có tài khoản người dùng và lưu dữ liệu

Chỉ cần hệ thống có đăng nhập, phân quyền, lưu hồ sơ khách hàng, dữ liệu giao dịch, báo cáo nội bộ hoặc dữ liệu nhạy cảm, doanh nghiệp đã nên kiểm tra lại ngay phạm vi và yêu cầu hồ sơ.

Hệ thống có nhiều phân hệ hoặc tích hợp với bên thứ ba

Khi hệ thống không còn là một website đơn giản mà đã có API, có dashboard quản trị, có nhiều module hoặc kết nối với nền tảng khác, việc xác định phạm vi hệ thống sẽ phức tạp hơn rất nhiều.

Hệ thống phục vụ dịch vụ trực tuyến

Các hệ thống phục vụ tiếp nhận thông tin, xử lý hồ sơ, tra cứu, giao dịch hoặc cung cấp dịch vụ trực tuyến là nhóm dễ phát sinh yêu cầu rà soát hồ sơ cấp độ. Một số hệ thống chuyên ngành còn yêu cầu phải phê duyệt cấp độ và triển khai đầy đủ phương án an toàn thông tin trước khi vận hành. (vbpl)

Doanh nghiệp sắp nghiệm thu, đấu thầu hoặc làm việc với đối tác lớn

Đây là lúc khoảng trống hồ sơ lộ ra rõ nhất. Hệ thống có thể chạy ổn, nhưng hồ sơ không đủ thì tiến độ vẫn bị treo.

Storytelling: một tình huống điển hình doanh nghiệp thường gặp

Một doanh nghiệp triển khai hệ thống web phục vụ khách hàng đăng ký thông tin, quản trị hồ sơ và theo dõi tiến độ xử lý. Trong nội bộ, mọi người quen gọi đó là “website có form”. Vì nghĩ là hệ thống không quá phức tạp, đội ngũ tập trung làm giao diện, tính năng và báo cáo vận hành trước.

Đến lúc chuẩn bị chốt bộ tài liệu để làm việc với đối tác, doanh nghiệp mới phát hiện 3 vấn đề:

  • không có bộ hồ sơ đề xuất cấp độ;
  • mô tả hiện trạng hệ thống không đồng nhất giữa đội IT và đội vận hành;
  • chưa có phương án bảo đảm an toàn thông tin bám theo cấp độ tương ứng.

Điểm đau không nằm ở việc “thiếu một file Word”, mà nằm ở chỗ doanh nghiệp phải quay lại rà soát toàn bộ: phạm vi hệ thống là gì, dữ liệu nào đang được xử lý, module nào thuộc cùng một hệ thống, trách nhiệm quản lý thuộc bộ phận nào, hiện trạng bảo mật đã đáp ứng được đến đâu.

Đây là tình huống rất đời thường. Và cũng là lý do vì sao các hệ thống đang vận hành nhưng chưa được phê duyệt hồ sơ đề xuất cấp độ phải nhanh chóng xây dựng, thẩm định, phê duyệt hồ sơ và đồng bộ phương án an toàn thông tin theo quy định hiện hành. (vbpl)

Rủi ro khi hệ thống chưa có hồ sơ cấp độ

Chậm tiến độ pháp lý và vận hành

Khi hồ sơ chưa đủ, doanh nghiệp rất dễ bị yêu cầu bổ sung hoặc rà soát lại trước khi đi tiếp các bước khác. Chỉ thị 09/CT-TTg năm 2024 cho thấy việc tuân thủ an toàn hệ thống thông tin theo cấp độ đang được nhấn mạnh ở cấp Chính phủ. (Văn Bản Chính Phủ)

Phải sửa lại tài liệu kỹ thuật

Nhiều doanh nghiệp tưởng rằng thiếu hồ sơ cấp độ thì chỉ cần “viết thêm”. Nhưng khi bắt đầu làm thật, mới thấy tài liệu thiết kế, sơ đồ hệ thống, mô tả luồng dữ liệu và hiện trạng vận hành không khớp nhau.

Mất cơ hội kinh doanh

Trong môi trường đấu thầu, nghiệm thu hoặc hợp tác với đối tác lớn, một hệ thống chưa rõ trạng thái hồ sơ an toàn thông tin thường bị đánh giá là rủi ro.

Tăng chi phí xử lý muộn

Càng để lâu, hệ thống càng thay đổi nhiều, dữ liệu càng phức tạp, nhân sự triển khai càng dễ thay đổi. Khi đó việc “gom lại hiện trạng” sẽ tốn thời gian hơn rất nhiều so với làm đúng ngay từ đầu.

Cách rà soát hệ thống chưa có hồ sơ cấp độ cho doanh nghiệp

Đây là phần quan trọng nhất. Nếu doanh nghiệp bạn đang ở trạng thái “hệ thống chạy rồi nhưng hồ sơ chưa rõ”, hãy đi theo 5 bước dưới đây.

Xác định đúng hệ thống cần rà soát

Đừng bắt đầu bằng câu hỏi “có phải làm hồ sơ không”. Hãy bắt đầu bằng câu hỏi: mình đang nói đến hệ thống nào.

Doanh nghiệp thường gom nhầm nhiều thứ vào một chỗ: website giới thiệu, cổng dịch vụ, app nội bộ, CRM, phần mềm vận hành, nền tảng SaaS. Trong khi muốn làm hồ sơ đúng, trước hết phải khoanh được phạm vi:

  • hệ thống có chức năng gì;
  • ai sử dụng;
  • dữ liệu nào đi vào và đi ra;
  • có những thành phần kỹ thuật nào;
  • có phụ thuộc vào hệ thống khác không.

Sai ở bước này là sai cả chuỗi sau.

Kiểm tra hiện trạng tài liệu đang có

Hãy gom tất cả tài liệu hiện doanh nghiệp đang nắm giữ, kể cả chưa hoàn chỉnh:

  • mô tả tổng quan hệ thống;
  • tài liệu thiết kế hoặc tài liệu tương đương;
  • sơ đồ kiến trúc;
  • danh sách chức năng;
  • quy trình vận hành;
  • quy chế, chính sách, phân quyền;
  • tài liệu về biện pháp bảo mật đang áp dụng.

Theo Nghị định 85/2016/NĐ-CP, hồ sơ đề xuất cấp độ không thể thiếu phần mô tả hệ thống, phần thiết kế hoặc tương đương, phần thuyết minh cấp độ và phần phương án bảo đảm an toàn thông tin. Vì vậy, việc rà tài liệu hiện có sẽ giúp doanh nghiệp biết mình đang thiếu hẳn phần nào, thay vì làm lại từ đầu một cách dàn trải. (vbpl)

Đối chiếu dữ liệu, chức năng và mức độ ảnh hưởng

Đây là bước nhiều doanh nghiệp bỏ qua, trong khi đây lại là lõi để xác định cấp độ.

Bạn cần trả lời rõ:

  • Hệ thống đang xử lý dữ liệu gì?
  • Nếu dừng hoạt động, ai bị ảnh hưởng?
  • Nếu rò rỉ dữ liệu, mức độ ảnh hưởng ra sao?
  • Có phục vụ quy trình quan trọng không?
  • Có liên quan đến khách hàng, đối tác, giao dịch hay cơ quan quản lý không?

Thông tư 12/2022/TT-BTTTT quy định việc xác định hệ thống thông tin và thuyết minh cấp độ an toàn là một phần trọng tâm của quy trình bảo đảm an toàn theo cấp độ. (vbpl)

Xác định khoảng trống hồ sơ

Sau khi rà xong, doanh nghiệp thường rơi vào một trong 3 trạng thái:

Thiếu hoàn toàn hồ sơ cấp độ.
Trường hợp này cần xây lại theo đúng cấu trúc quy định.

Có tài liệu rời rạc nhưng chưa thành bộ hồ sơ.
Đây là trường hợp phổ biến nhất. Doanh nghiệp có tài liệu kỹ thuật nhưng thiếu logic pháp lý và thiếu phần phương án ATTT theo cấp độ.

Có hồ sơ cũ nhưng không còn khớp thực tế.
Hệ thống đã nâng cấp, thêm module, thêm dữ liệu, đổi kiến trúc, nhưng hồ sơ không cập nhật theo. Trường hợp này nguy hiểm ở chỗ nhìn bề ngoài tưởng đã có đủ.

Đánh giá mức độ ưu tiên xử lý

Không phải hệ thống nào cũng phải xử lý theo cùng một tốc độ. Có hệ thống cần làm ngay vì sắp nghiệm thu, sắp đấu thầu hoặc đang bị đối tác rà soát. Có hệ thống có thể đi theo lộ trình, nhưng vẫn cần chốt đầu việc và người chịu trách nhiệm.

Nguyên tắc nên là: hệ thống nào rủi ro cao hơn, dữ liệu nhạy cảm hơn, thời hạn gấp hơn thì ưu tiên trước.

Ba tình huống phổ biến và hướng xử lý tương ứng

Tình huống 1: Chưa có hồ sơ gì, hệ thống đang chạy

Đây là ca khó nhưng không hiếm. Cách xử lý đúng không phải là viết hồ sơ ngay, mà là:

  • khoanh lại phạm vi hệ thống;
  • chốt hiện trạng kiến trúc;
  • gom tài liệu từ IT, vận hành, pháp chế;
  • xác định dữ liệu và mức độ ảnh hưởng;
  • sau đó mới xây cấu trúc hồ sơ.

Làm ngược thứ tự này rất dễ tạo ra bộ hồ sơ đẹp hình thức nhưng sai logic.

Tình huống 2: Có tài liệu kỹ thuật nhưng chưa thành hồ sơ cấp độ

Đây là ca xử lý nhanh nhất nếu có người điều phối tốt. Doanh nghiệp chỉ cần chuẩn hóa lại tài liệu hiện có, bổ sung phần thuyết minh cấp độ và xây phương án bảo đảm an toàn thông tin theo yêu cầu tương ứng của Thông tư 12/2022/TT-BTTTT. (vbpl)

Tình huống 3: Có hồ sơ cũ nhưng hệ thống đã thay đổi nhiều

Trường hợp này không nên “vá” theo kiểu bổ sung vài trang. Doanh nghiệp cần so sánh hồ sơ với hiện trạng mới:

  • chức năng có đổi không;
  • phạm vi có rộng hơn không;
  • dữ liệu xử lý có khác không;
  • biện pháp bảo vệ có còn phù hợp không.

Nếu hệ thống thay đổi đáng kể mà hồ sơ không cập nhật, rủi ro nằm ở chỗ hồ sơ nhìn có vẻ đầy đủ nhưng lại không phản ánh đúng thực tế.

Checklist rà soát nhanh cho doanh nghiệp

Hãy tự trả lời nhanh các câu dưới đây:

  • Hệ thống có đang vận hành thực tế không?
  • Có tài khoản người dùng hoặc nhiều nhóm người dùng không?
  • Có lưu dữ liệu khách hàng, giao dịch hoặc dữ liệu nội bộ quan trọng không?
  • Có tích hợp API, module quản trị hoặc kết nối với hệ thống khác không?
  • Có tài liệu mô tả hệ thống và sơ đồ kiến trúc không?
  • Có quy chế hoặc chính sách an toàn thông tin liên quan không?
  • Có biết rõ hệ thống đang thuộc phạm vi nào không?
  • Có deadline nghiệm thu, audit hoặc đấu thầu trong thời gian gần không?

Nếu doanh nghiệp trả lời “không rõ” ở nhiều câu, đó là dấu hiệu phải rà soát ngay. Nếu hệ thống đang vận hành nhưng chưa được phê duyệt hồ sơ đề xuất cấp độ, quy định hiện hành yêu cầu phải thực hiện xây dựng, thẩm định, phê duyệt hồ sơ và triển khai phương án bảo đảm an toàn thông tin theo hồ sơ được phê duyệt. (vbpl)

Lỗi doanh nghiệp hay gặp khi tự xử lý

Lỗi đầu tiên là nghĩ rằng chỉ cần một bản mô tả hệ thống là đủ. Không đủ. Hồ sơ cấp độ là bộ hồ sơ có cấu trúc rõ, không phải một tài liệu mô tả đơn lẻ. (vbpl)

Lỗi thứ hai là chọn cấp độ theo cảm tính. Đây là lỗi rất nguy hiểm vì kéo theo toàn bộ phần phương án bảo vệ đi sai hướng.

Lỗi thứ ba là gom nhiều hệ thống khác nhau vào một bộ hồ sơ để “cho gọn”. Cách làm này thường dẫn đến phạm vi mơ hồ, khó thuyết minh và khó đối chiếu hiện trạng.

Lỗi thứ tư là để riêng đội IT tự xoay toàn bộ. Hồ sơ cấp độ là giao điểm của kỹ thuật, vận hành và tuân thủ. Thiếu một đầu mối điều phối, hồ sơ rất dễ lệch.

Khi nào doanh nghiệp nên thuê đơn vị hỗ trợ rà soát và xử lý?

Doanh nghiệp nên cân nhắc thuê hỗ trợ khi:

  • hệ thống đã chạy lâu nhưng tài liệu rời rạc;
  • cần gấp cho nghiệm thu, audit hoặc đấu thầu;
  • nội bộ chưa chắc phạm vi hệ thống nằm ở đâu;
  • đã từng làm nhưng hồ sơ không khớp hiện trạng;
  • muốn giảm rủi ro sửa đi sửa lại.

Thuê dịch vụ không phải vì doanh nghiệp “không làm được”, mà vì làm sai ở bước đầu thường kéo theo chi phí sửa rất lớn ở bước sau.

Kết luận

Hệ thống chưa có hồ sơ cấp độ không có nghĩa là doanh nghiệp đã rơi vào thế bí. Nhưng càng để lâu, chi phí rà soát càng cao, rủi ro càng lớn và khả năng phải sửa nhiều lớp tài liệu càng tăng.

Cách xử lý đúng là không hoảng, không làm dàn trải, không viết hồ sơ theo cảm tính. Hãy bắt đầu từ việc khoanh đúng phạm vi hệ thống, gom đúng tài liệu, xác định đúng khoảng trống và lên đúng thứ tự ưu tiên. Với các hệ thống đang vận hành nhưng chưa được phê duyệt hồ sơ đề xuất cấp độ, quy định hiện hành đã nêu rõ hướng xử lý là phải xây dựng, thẩm định, phê duyệt hồ sơ và triển khai phương án an toàn thông tin tương ứng. (vbpl)

FAQ

Hệ thống đang chạy nhưng chưa có hồ sơ cấp độ có sao không?

Có thể có rủi ro về tiến độ, hồ sơ pháp lý và khả năng đáp ứng yêu cầu kiểm tra, nghiệm thu hoặc hợp tác. Với các hệ thống đang vận hành nhưng chưa được phê duyệt hồ sơ đề xuất cấp độ, Thông tư 12/2022/TT-BTTTT nêu rõ phải thực hiện xây dựng, thẩm định, phê duyệt hồ sơ và triển khai phương án an toàn thông tin theo hồ sơ được phê duyệt. (vbpl)

Doanh nghiệp tư nhân có cần rà soát hồ sơ cấp độ không?

Có, nếu doanh nghiệp đang vận hành hệ thống xử lý dữ liệu, cung cấp dịch vụ trực tuyến, tham gia dự án có yêu cầu tuân thủ hoặc thuộc nhóm hệ thống cần xác định cấp độ theo quy định và yêu cầu chuyên ngành. (Văn Bản Chính Phủ)

Có thể bổ sung hồ sơ cấp độ sau khi hệ thống đã vận hành không?

Có thể xử lý bổ sung, và văn bản hướng dẫn hiện hành đã nêu cách xử lý với các hệ thống đang vận hành nhưng chưa được phê duyệt hồ sơ. Tuy nhiên, làm càng muộn thì chi phí rà soát và cập nhật càng lớn. (vbpl)

Hồ sơ cấp độ có giống tài liệu kỹ thuật không?

Không. Tài liệu kỹ thuật là một phần đầu vào quan trọng, nhưng hồ sơ đề xuất cấp độ còn bao gồm phần thuyết minh cấp độ và phương án bảo đảm an toàn thông tin theo cấp độ tương ứng. (vbpl)

Khi nào nên thuê dịch vụ hỗ trợ?

Khi hệ thống phức tạp, hồ sơ thiếu hoặc rời rạc, cần xử lý gấp, hoặc nội bộ chưa chắc cách khoanh phạm vi và xây logic hồ sơ.

💬 Chat Zalo ☎️ Hotline: 0346 844 259