An toàn thông tin

Hồ sơ đề xuất cấp độ có bắt buộc không? Doanh nghiệp nào cần làm?

Posted on by Đoàn Trình Dục
28
Th3

Có một kiểu “vướng” mà nhiều chủ doanh nghiệp chỉ phát hiện khi hồ sơ gần nộp xong: đã đầu tư website, phần mềm, cổng dịch vụ, thậm chí đã chạy thử nội bộ, nhưng đến bước rà soát pháp lý mới biết còn thiếu hồ sơ đề xuất cấp độ.

Nghe tên thì có vẻ là một thủ tục kỹ thuật. Nhưng trên thực tế, đây lại là loại giấy tờ có thể quyết định doanh nghiệp của bạn được thông qua hồ sơ, được vận hành hệ thống hay bị yêu cầu làm lại từ đầu.

Bài viết này được viết theo góc nhìn thực chiến từ các tình huống doanh nghiệp thường gặp khi làm hồ sơ hệ thống thông tin, kết hợp đối chiếu quy định hiện hành để giúp bạn trả lời đúng 2 câu hỏi quan trọng: có bắt buộc khôngdoanh nghiệp nào thực sự cần làm. Các quy định nền tảng hiện nay yêu cầu xác định cấp độ an toàn hệ thống thông tin từ cấp 1 đến cấp 5 và triển khai biện pháp bảo vệ tương ứng. (vbpl)

Hướng dẫn khác:

  1. Quy trình 5 bước xây dựng và thẩm định hồ sơ đề xuất cấp độ
  2. Mẫu hồ sơ đề xuất cấp độ an toàn thông tin theo Thông tư 12/2022
  3. Dịch vụ tư vấn lập hồ sơ đề xuất cấp độ an toàn thông tin trọn gói
  4. Hướng dẫn phân loại hệ thống thông tin cấp độ 1, 2, 3, 4, 5
  5. Báo giá dịch vụ lập hồ sơ đề xuất cấp độ và triển khai bảo mật
  6. Chỉ thị 09/CT-TTg: Tại sao phải phê duyệt cấp độ trước khi vận hành?

Tóm tắt nội dung

Hồ sơ đề xuất cấp độ là gì?

Nói đơn giản, đây là bộ hồ sơ dùng để xác định hệ thống thông tin của bạn thuộc cấp độ an toàn nào và doanh nghiệp phải áp dụng biện pháp bảo đảm an toàn thông tin tương ứng.

Theo Điều 15 Nghị định 85/2016/NĐ-CP, hồ sơ đề xuất cấp độ thường gồm 4 nhóm tài liệu chính: mô tả tổng quan hệ thống; tài liệu thiết kế thi công hoặc tài liệu tương đương; tài liệu thuyết minh việc đề xuất cấp độ theo tiêu chí pháp luật; và tài liệu thuyết minh phương án bảo đảm an toàn thông tin theo cấp độ tương ứng. (THƯ VIỆN PHÁP LUẬT)

Hiểu theo ngôn ngữ của chủ doanh nghiệp, bộ hồ sơ này trả lời 3 việc:

  • Hệ thống của bạn là hệ thống gì, phục vụ ai, chứa dữ liệu nào.
  • Nếu hệ thống gặp sự cố hoặc bị tấn công, mức độ ảnh hưởng sẽ ra sao.
  • Với mức độ ảnh hưởng đó, doanh nghiệp phải bảo vệ hệ thống ở mức nào cho đúng luật.

Đây không phải giấy tờ “cho đủ bộ”, mà là nền tảng để cơ quan có thẩm quyền hoặc đơn vị thẩm định xem hệ thống của bạn có đang được phân loại và bảo vệ đúng mức hay không. Tài liệu hướng dẫn của cơ quan chuyên môn cũng coi hồ sơ đề xuất cấp độ là nền tảng để triển khai các biện pháp bảo đảm an toàn thông tin cho hệ thống. (Cổng thông tin điện tử tỉnh Thái Nguyên)

Hồ sơ đề xuất cấp độ có bắt buộc không?

Câu trả lời đúng là: không phải mọi doanh nghiệp đều bắt buộc trong mọi tình huống, nhưng một khi doanh nghiệp đang vận hành hoặc chuẩn bị đưa vào vận hành hệ thống thông tin thuộc diện áp dụng thì việc xác định cấp độ và lập hồ sơ đề xuất cấp độ là nghĩa vụ pháp lý, không phải lựa chọn. Luật An toàn thông tin mạng quy định một trong các nhiệm vụ bảo vệ hệ thống thông tin là xác định cấp độ an toàn thông tin của hệ thống; Nghị định 85/2016/NĐ-CP quy định rõ trình tự, thủ tục và hồ sơ cho việc đó. (vbpl)

Điểm rất hay bị hiểu sai là nhiều doanh nghiệp nghe người khác nói “cái này chỉ áp cho cơ quan nhà nước”. Nói vậy là đúng một nửa.

Nghị định 85/2016/NĐ-CP áp dụng với cơ quan, tổ chức, cá nhân tham gia hoặc liên quan đến việc xây dựng, thiết lập, quản lý, vận hành, nâng cấp, mở rộng hệ thống thông tin tại Việt Nam phục vụ ứng dụng CNTT trong hoạt động của cơ quan, tổ chức nhà nước và trong việc cung cấp dịch vụ trực tuyến phục vụ người dân, doanh nghiệp; đồng thời văn bản cũng khuyến khích các tổ chức, cá nhân liên quan khác áp dụng để bảo vệ hệ thống thông tin. Điều này có nghĩa là trong thực tế, mức độ “bắt buộc” phụ thuộc rất lớn vào loại hệ thống, mục đích sử dụng, đối tượng phục vụyêu cầu chuyên ngành mà doanh nghiệp đang tham gia. (THƯ VIỆN PHÁP LUẬT)

Nói ngắn gọn:

  • Nếu doanh nghiệp chỉ vận hành website giới thiệu đơn giản, không có hệ thống thông tin quan trọng, không kết nối dịch vụ công, không phục vụ yêu cầu chuyên ngành, thì chưa chắc đã rơi ngay vào tình huống phải làm hồ sơ đề xuất cấp độ.
  • Nhưng nếu doanh nghiệp vận hành hệ thống xử lý dữ liệu, cổng cung cấp dịch vụ, nền tảng phục vụ người dân/doanh nghiệp, hệ thống tham gia dự án công, hoặc bị ràng buộc bởi yêu cầu của cơ quan quản lý/chủ đầu tư, thì khả năng phải làm là rất cao. (THƯ VIỆN PHÁP LUẬT)

Vì sao nhiều doanh nghiệp nghĩ mình “không bắt buộc” nhưng cuối cùng vẫn phải làm?

Vì doanh nghiệp thường nhìn vấn đề theo tên gọi của sản phẩm: website, app, phần mềm nội bộ, CRM, cổng đăng ký, nền tảng SaaS.

Trong khi cơ quan thẩm định lại nhìn theo bản chất: đó có phải hệ thống thông tin không, dữ liệu gì đang được xử lý, quy mô ảnh hưởng ra sao, ai là đối tượng sử dụng và nếu sự cố xảy ra thì hậu quả đến đâu. Luật An toàn thông tin mạng quy định việc phân loại cấp độ dựa trên mức độ ảnh hưởng khi hệ thống bị phá hoại, theo thang từ cấp 1 đến cấp 5. (vbpl)

Chính ở chỗ này nhiều doanh nghiệp “trượt ngay từ vòng gửi xe”: họ nghĩ mình chỉ có một website, nhưng thực tế website đó có:

  • tài khoản người dùng;
  • dữ liệu khách hàng;
  • biểu mẫu đăng ký;
  • luồng thanh toán hoặc tích hợp hệ thống khác;
  • dữ liệu nội bộ, báo cáo, hồ sơ;
  • phân quyền quản trị và API kết nối.

Lúc đó, nó không còn chỉ là “website marketing” nữa.

Doanh nghiệp nào cần làm hồ sơ đề xuất cấp độ?

Đây là phần chủ doanh nghiệp quan tâm nhất. Thay vì trả lời kiểu chung chung, mình chia theo nhóm dễ kiểm tra.

Doanh nghiệp có hệ thống thông tin phục vụ cung cấp dịch vụ trực tuyến

Nếu doanh nghiệp của bạn đang vận hành hệ thống cho người dùng bên ngoài truy cập, đăng ký, gửi dữ liệu, tra cứu, nộp hồ sơ, nhận kết quả, mua dịch vụ hoặc tương tác trực tuyến, bạn nên kiểm tra rất kỹ nghĩa vụ xác định cấp độ.

Lý do là Nghị định 85/2016/NĐ-CP đặt trọng tâm vào các hệ thống thông tin phục vụ ứng dụng CNTT và cung cấp dịch vụ trực tuyến cho người dân, doanh nghiệp. Đây là nhóm dễ phát sinh yêu cầu hồ sơ cấp độ nhất trong thực tế. (THƯ VIỆN PHÁP LUẬT)

Ví dụ phổ biến:

  • cổng đăng ký dịch vụ;
  • hệ thống tiếp nhận hồ sơ online;
  • nền tảng giáo dục, y tế, tài chính có tài khoản người dùng;
  • app hoặc web app xử lý dữ liệu khách hàng;
  • cổng thông tin tích hợp nhiều quy trình nghiệp vụ.

Doanh nghiệp tham gia dự án nhà nước, đấu thầu hoặc cung cấp giải pháp cho khu vực công

Đây là nhóm gần như luôn phải rà soát hồ sơ đề xuất cấp độ từ sớm.

Không phải vì mọi doanh nghiệp tư nhân đều mặc nhiên phải làm, mà vì khi bạn tham gia một hệ sinh thái dự án công hoặc cung cấp giải pháp công nghệ cho cơ quan nhà nước, hồ sơ cấp độ thường trở thành yêu cầu tiền đề hoặc yêu cầu đi kèm trong quá trình thẩm định, nghiệm thu, vận hành. Chỉ thị 09/CT-TTg ngày 23/2/2024 còn yêu cầu tăng cường tuân thủ pháp luật và bảo đảm an toàn hệ thống thông tin theo cấp độ, cho thấy xu hướng siết chặt việc thực thi chứ không còn là chuyện “có cũng được, không có cũng xong”. (Văn Bản Chính Phủ)

Nếu doanh nghiệp bạn đang:

  • làm phần mềm cho cơ quan nhà nước;
  • triển khai cổng dịch vụ, cổng tiếp nhận hồ sơ;
  • cung cấp hạ tầng hoặc nền tảng xử lý dữ liệu cho đơn vị công;
  • tham gia gói thầu có yêu cầu an toàn thông tin,

thì nên xem hồ sơ đề xuất cấp độ là việc phải chuẩn bị ngay từ đầu.

Doanh nghiệp có hệ thống chứa dữ liệu quan trọng hoặc dữ liệu nhạy cảm

Nhiều chủ doanh nghiệp không làm việc với Nhà nước nhưng vẫn nên nghiêm túc xem xét hồ sơ cấp độ vì bản thân hệ thống đang chứa dữ liệu quan trọng.

Ví dụ:

  • dữ liệu khách hàng quy mô lớn;
  • dữ liệu giao dịch;
  • dữ liệu tài chính;
  • hồ sơ y tế, giáo dục;
  • tài liệu nội bộ nhạy cảm;
  • hệ thống điều hành, ERP, CRM, HRM có phân quyền sâu.

Về mặt pháp lý, cấp độ an toàn thông tin của hệ thống được xác định dựa trên mức độ ảnh hưởng khi hệ thống bị xâm phạm. Hệ thống càng quan trọng, rủi ro càng lớn, yêu cầu bảo vệ càng cao. (vbpl)

Doanh nghiệp vận hành hệ thống chuyên ngành hoặc bị yêu cầu bởi quy định chuyên ngành

Trong một số lĩnh vực, quy định chuyên ngành còn nói rõ hơn. Chẳng hạn, với Hệ thống thông tin giải quyết thủ tục hành chính cấp bộ, cấp tỉnh, văn bản chuyên ngành yêu cầu hệ thống phải được phê duyệt cấp độ an toàn hệ thống thông tin, ban hành quy chế bảo đảm an toàn thông tin cho hệ thống và triển khai đầy đủ phương án bảo đảm an toàn thông tin được phê duyệt trước khi đưa vào vận hành, khai thác. Văn bản này có hiệu lực từ ngày 05/4/2024. (vbpl)

Điều này cho thấy xu hướng rất rõ: với các hệ thống có vai trò phục vụ thủ tục, giao dịch, tiếp nhận và xử lý thông tin công, hồ sơ cấp độ không còn là thủ tục mang tính hình thức.

Trường hợp nào chưa chắc bắt buộc ngay?

Đây là chỗ cần nói thật, không hù dọa.

Nếu doanh nghiệp của bạn chỉ có:

  • website giới thiệu đơn thuần;
  • landing page không có chức năng xử lý dữ liệu đáng kể;
  • hệ thống nội bộ rất đơn giản, quy mô nhỏ, ít rủi ro;
  • chưa tham gia dự án công, chưa có yêu cầu từ chủ đầu tư hay cơ quan quản lý,

thì chưa nên vội kết luận “bắt buộc 100%”.

Nhưng cũng đừng vì thế mà bỏ qua. Vì chỉ cần doanh nghiệp mở rộng tính năng, tích hợp tài khoản, xử lý dữ liệu, kết nối quy trình nghiệp vụ hoặc tham gia một gói thầu có điều kiện an toàn thông tin, bài toán sẽ khác ngay.

Nói cách khác, có những doanh nghiệp chưa phải làm ngay hôm nay, nhưng gần như sẽ phải làm trong tương lai gần nếu tiếp tục số hóa sâu hơn.

Câu chuyện thực tế: một hồ sơ tưởng chỉ “thiếu phụ lục” nhưng phải làm lại gần như từ đầu

Một tình huống điển hình mà đội ngũ làm hồ sơ thường gặp là thế này.

Một doanh nghiệp công nghệ triển khai hệ thống web cho một đơn vị có tiếp nhận dữ liệu người dùng, có tài khoản quản trị, có phân hệ báo cáo và có kết nối với các quy trình nghiệp vụ bên trong. Ban đầu phía doanh nghiệp nghĩ đây chỉ là “cổng thông tin có thêm form đăng ký”, nên tập trung viết tính năng, nghiệm thu giao diện và chuẩn bị bộ tài liệu vận hành.

Đến bước rà soát điều kiện pháp lý trước khi đưa hệ thống vào sử dụng, đơn vị thẩm tra đặt lại câu hỏi: hệ thống này đã xác định cấp độ chưa, đã có hồ sơ đề xuất cấp độ chưa, phương án bảo đảm an toàn thông tin theo cấp độ đâu, quy chế bảo đảm an toàn thông tin đã được ban hành chưa.

Kết quả là hồ sơ bị nghẽn không phải vì sản phẩm không chạy được, mà vì tài liệu nền tảng để chứng minh hệ thống được phân loại và bảo vệ đúng quy định chưa đầy đủ.

Tình huống này không phải “case giật gân”, mà là kiểu lỗi rất đời thường: doanh nghiệp nghĩ phần pháp lý có thể bổ sung sau, trong khi quy định chuyên ngành và hướng dẫn hiện hành cho thấy có những hệ thống phải hoàn tất việc phê duyệt cấp độ, quy chế và phương án an toàn thông tin trước khi vận hành. (vbpl)

Bài học rút ra rất rõ: sai không nằm ở công nghệ trước tiên, mà nằm ở việc xác định sai bản chất hệ thống và chuẩn bị hồ sơ quá muộn.

Nếu không làm hồ sơ đề xuất cấp độ, doanh nghiệp có thể gặp rủi ro gì?

Rủi ro đầu tiên là bị chậm tiến độ. Với chủ doanh nghiệp, đây thường là cái đau nhất. Dự án đã chốt timeline, nhân sự đã lên kế hoạch, marketing đã chuẩn bị launch, nhưng hệ thống lại chưa đủ điều kiện pháp lý để chạy thật.

Rủi ro thứ hai là bị yêu cầu rà soát, bổ sung hoặc làm lại bộ tài liệu kỹ thuật và an toàn thông tin. Theo Nghị định 85/2016/NĐ-CP, nội dung thẩm định hồ sơ đề xuất cấp độ bao gồm sự phù hợp của việc đề xuất cấp độ và sự phù hợp của phương án bảo đảm an toàn thông tin theo cấp độ tương ứng. Sai ở bước xác định cấp độ thường kéo theo sai ở cả phần phương án bảo vệ. (THƯ VIỆN PHÁP LUẬT)

Rủi ro thứ ba là ảnh hưởng cơ hội kinh doanh. Trong môi trường đấu thầu, cung cấp giải pháp hay làm việc với đối tác lớn, thiếu một loại hồ sơ nền tảng có thể khiến doanh nghiệp mất điểm rất nhanh, dù năng lực triển khai thực tế không yếu.

Rủi ro cuối cùng là rủi ro vận hành và rủi ro tuân thủ. Chỉ thị 09/CT-TTg năm 2024 cho thấy Nhà nước đang yêu cầu đẩy mạnh kiểm tra, giám sát việc tuân thủ quy định về an toàn hệ thống thông tin theo cấp độ. Nghĩa là câu chuyện này đang đi theo hướng thực thi mạnh hơn, không lỏng như trước. (Văn Bản Chính Phủ)

Checklist nhanh: doanh nghiệp bạn có nên làm hồ sơ đề xuất cấp độ không?

Hãy tự kiểm tra 7 câu sau:

Bạn có hệ thống cho người dùng đăng ký, đăng nhập hoặc gửi dữ liệu không?

Bạn có lưu trữ dữ liệu khách hàng, hồ sơ, giao dịch, báo cáo hay dữ liệu nội bộ nhạy cảm không?

Hệ thống của bạn có phân quyền quản trị, tích hợp API, kết nối nhiều phân hệ hoặc nhiều đơn vị cùng dùng không?

Bạn có đang cung cấp dịch vụ trực tuyến cho người dân, doanh nghiệp hoặc đối tác không?

Bạn có tham gia dự án công, gói thầu, hoặc làm giải pháp cho cơ quan/đơn vị có yêu cầu tuân thủ an toàn thông tin không?

Bạn có văn bản, hợp đồng, hồ sơ mời thầu hoặc yêu cầu chuyên ngành đòi hỏi hệ thống phải có phê duyệt cấp độ không?

Bạn có kế hoạch mở rộng hệ thống trong 6–12 tháng tới không?

Nếu trả lời từ 2–3 câu trở lên, doanh nghiệp nên rà soát ngay khả năng phải xác định cấp độ và lập hồ sơ đề xuất cấp độ. Nếu trả lời ở các câu liên quan đến dự án công, dịch vụ trực tuyến hoặc yêu cầu chuyên ngành, thì mức độ ưu tiên nên là rất cao.

Hồ sơ đề xuất cấp độ gồm những gì?

Theo Nghị định 85/2016/NĐ-CP, bộ hồ sơ cơ bản gồm:

  • tài liệu mô tả, thuyết minh tổng quan về hệ thống thông tin;
  • tài liệu thiết kế thi công đã được phê duyệt hoặc tài liệu có giá trị tương đương;
  • tài liệu thuyết minh việc đề xuất cấp độ theo các tiêu chí pháp luật;
  • tài liệu thuyết minh phương án bảo đảm an toàn thông tin theo cấp độ tương ứng. (THƯ VIỆN PHÁP LUẬT)

Khi đi vào thực tế, khó nhất không phải là “đủ 4 mục” mà là viết đúng logic giữa 4 mục. Nhiều bộ hồ sơ bị yếu ở chỗ:

  • mô tả hệ thống một đằng, đề xuất cấp độ một nẻo;
  • tài liệu thiết kế không khớp với hiện trạng;
  • phương án an toàn thông tin viết chung chung, không bám cấp độ;
  • thiếu quy chế quản lý hoặc quy chế ban hành chưa đúng thời điểm.

Hướng dẫn chuyên môn hiện hành cũng lưu ý quy chế bảo đảm an toàn thông tin cho hệ thống cần được xây dựng đáp ứng yêu cầu quản lý theo cấp độ tương ứng, và phải được cấp có thẩm quyền phê duyệt, ban hành trước khi hồ sơ đề xuất cấp độ được phê duyệt. (Cổng thông tin điện tử tỉnh Thái Nguyên)

Quy trình làm hồ sơ đề xuất cấp độ, hiểu đơn giản cho chủ doanh nghiệp

Xác định đúng hệ thống

Việc đầu tiên là khoanh đúng phạm vi hệ thống: gồm thành phần nào, chức năng gì, ai sử dụng, dữ liệu nào đi vào và đi ra.

Sai ngay bước này là sai cả bài.

Phân tích mức độ ảnh hưởng để đề xuất cấp độ

Luật An toàn thông tin mạng quy định phân loại cấp độ từ 1 đến 5 dựa trên mức độ ảnh hưởng khi hệ thống bị phá hoại. Vì vậy, việc xác định cấp độ không phải đoán mò, càng không phải “chọn đại cho an toàn”. (vbpl)

Xây phương án bảo đảm an toàn thông tin theo cấp độ tương ứng

Phần này phải bám các yêu cầu quản lý và kỹ thuật tối thiểu theo Thông tư 12/2022/TT-BTTTT và TCVN 11930:2017 được văn bản này viện dẫn. (vbpl)

Hoàn thiện bộ hồ sơ, quy chế và tài liệu liên quan

Đây là bước nhiều doanh nghiệp tưởng chỉ là “biên tập lại giấy tờ”, nhưng thực tế là khâu đòi hỏi kinh nghiệm nhất.

Nộp thẩm định và phê duyệt theo thẩm quyền

Thẩm quyền thẩm định, phê duyệt phụ thuộc vào cấp độ và tính chất hệ thống. Ví dụ, với hệ thống được đề xuất là cấp độ 3, nguồn tra cứu pháp lý tổng hợp từ Nghị định 85 cho biết đơn vị chuyên trách về an toàn thông tin của chủ quản hệ thống thông tin thực hiện thẩm định hồ sơ đề xuất cấp độ và chủ quản hệ thống thông tin phê duyệt hồ sơ. (THƯ VIỆN PHÁP LUẬT)

Có nên tự làm hay nên thuê dịch vụ?

Nếu hệ thống rất đơn giản, đội ngũ nội bộ có sẵn người hiểu pháp lý, kiến trúc hệ thống, an toàn thông tin và có thời gian bám hồ sơ, doanh nghiệp có thể tự làm.

Nhưng trong phần lớn trường hợp, chủ doanh nghiệp nên cân nhắc thuê dịch vụ khi rơi vào một trong các tình huống sau:

  • hệ thống có nhiều phân hệ, dữ liệu và kết nối;
  • cần nộp hồ sơ trong thời gian ngắn;
  • chưa rõ mình thuộc cấp độ nào;
  • đã từng bị yêu cầu sửa hồ sơ;
  • cần đồng bộ giữa tài liệu kỹ thuật, pháp lý và phương án ATTT;
  • không muốn đội IT vừa làm hệ thống vừa “đoán luật”.

Lý do rất thực tế: làm hồ sơ đề xuất cấp độ không chỉ là viết tài liệu đẹp. Nó là công việc giao nhau giữa pháp lý, kỹ thuật, quản trị rủi ro và logic thẩm định. Làm sai cấp độ, sai phạm vi hệ thống hoặc sai phương án bảo vệ có thể khiến bạn mất nhiều thời gian hơn chi phí thuê dịch vụ.

Kết luận: không phải doanh nghiệp nào cũng bắt buộc, nhưng doanh nghiệp cần thì không nên chậm

Nếu bạn đang hỏi “hồ sơ đề xuất cấp độ có bắt buộc không?”, câu trả lời chuẩn nhất là:

Không phải mọi doanh nghiệp đều bắt buộc trong mọi hoàn cảnh. Nhưng với doanh nghiệp có hệ thống thông tin phục vụ dịch vụ trực tuyến, xử lý dữ liệu quan trọng, tham gia dự án công hoặc chịu yêu cầu chuyên ngành, việc xác định cấp độ và lập hồ sơ đề xuất cấp độ là việc cần được làm sớm, nghiêm túc và đúng quy định. (THƯ VIỆN PHÁP LUẬT)

Chủ doanh nghiệp thường không mất tiền vì “thiếu một tờ giấy”. Họ mất tiền vì phát hiện thiếu tờ giấy đó quá muộn.

CTA mềm

Nếu doanh nghiệp của bạn đang phân vân hệ thống hiện tại có cần làm hồ sơ đề xuất cấp độ hay không, bên mình có thể hỗ trợ:

  • rà soát nhanh phạm vi hệ thống;
  • đánh giá sơ bộ khả năng phải xác định cấp độ;
  • định hướng bộ hồ sơ cần chuẩn bị;
  • hỗ trợ xây dựng hồ sơ đề xuất cấp độ theo hướng đúng logic thẩm định, dễ triển khai thực tế.

Liên hệ dichvuvietcontent.com để nhận checklist rà soát hồ sơ đề xuất cấp độ hoặc tư vấn nhanh theo trường hợp cụ thể của doanh nghiệp bạn.

FAQ

Hồ sơ đề xuất cấp độ có phải doanh nghiệp nào cũng bắt buộc làm không?

Không. Nhưng nếu doanh nghiệp vận hành hệ thống thông tin thuộc diện áp dụng, đặc biệt là hệ thống cung cấp dịch vụ trực tuyến, xử lý dữ liệu quan trọng hoặc chịu yêu cầu chuyên ngành, thì phải rà soát rất kỹ và nhiều trường hợp là bắt buộc. (THƯ VIỆN PHÁP LUẬT)

Hồ sơ đề xuất cấp độ gồm những tài liệu gì?

Về cơ bản gồm mô tả tổng quan hệ thống, tài liệu thiết kế hoặc tương đương, tài liệu thuyết minh đề xuất cấp độ và tài liệu thuyết minh phương án bảo đảm an toàn thông tin theo cấp độ tương ứng. (THƯ VIỆN PHÁP LUẬT)

Hệ thống có phải được phê duyệt cấp độ trước khi vận hành không?

Với một số hệ thống chuyên ngành, câu trả lời là có. Ví dụ, Hệ thống thông tin giải quyết thủ tục hành chính cấp bộ, cấp tỉnh phải được phê duyệt cấp độ, ban hành quy chế bảo đảm ATTT và triển khai đầy đủ phương án được phê duyệt trước khi đưa vào vận hành khai thác. (vbpl)

Doanh nghiệp nhỏ có nên làm hồ sơ đề xuất cấp độ không?

Nếu chỉ là website giới thiệu đơn giản thì chưa chắc cần ngay. Nhưng nếu có tài khoản, dữ liệu người dùng, quy trình xử lý hồ sơ hoặc kế hoạch mở rộng hệ thống, doanh nghiệp nên kiểm tra sớm để tránh bị động.

Tự làm hồ sơ đề xuất cấp độ có được không?

Có thể, nếu đội ngũ nội bộ đủ năng lực pháp lý và kỹ thuật. Tuy nhiên, doanh nghiệp thường thuê dịch vụ khi hệ thống phức tạp hoặc cần đảm bảo tiến độ, hạn chế sửa đi sửa lại.

💬 Chat Zalo ☎️ Hotline: 0346 844 259