An toàn thông tin

Hướng dẫn phân loại hệ thống thông tin cấp độ 1, 2, 3, 4, 5

Posted on by Đoàn Trình Dục
28
Th3

Nhiều đơn vị biết mình cần làm hồ sơ cấp độ, nhưng lại kẹt ngay ở câu hỏi đầu tiên: hệ thống của mình thuộc cấp độ mấy? Đây là bước quan trọng vì nếu xác định sai từ đầu, toàn bộ phần hồ sơ, lộ trình kỹ thuật và ngân sách về sau đều dễ lệch theo.

Tại Việt Nam, khung pháp lý nền cho bảo đảm an toàn hệ thống thông tin theo cấp độ được đặt tại Nghị định 85/2016/NĐ-CP; sau đó được hướng dẫn chi tiết thêm tại Thông tư 12/2022/TT-BTTTT. Đến ngày 23/02/2024, Chỉ thị 09/CT-TTg tiếp tục nhấn mạnh yêu cầu tuân thủ pháp luật và tăng cường bảo đảm an toàn hệ thống thông tin theo cấp độ. (Chinh Phu Document System)

Tóm tắt nhanh:
Xác định cấp độ an toàn thông tin không phải là đo xem hệ thống “to hay nhỏ”, mà là nhìn vào vai trò của hệ thống, loại dữ liệu xử lý và mức độ ảnh hưởng nếu xảy ra sự cố. (Chinh Phu Document System)

Hướng dẫn khác:

  1. Hồ sơ đề xuất cấp độ có bắt buộc không? Doanh nghiệp nào cần làm?
  2. Tiêu chuẩn kiến trúc bảo mật cho hệ thống thông tin cấp độ 2
  3. Mẫu hồ sơ đề xuất cấp độ an toàn thông tin theo Thông tư 12/2022
  4. Hệ thống chưa có hồ sơ cấp độ: cách rà soát và xử lý cho doanh nghiệp
  5. Khi bị thanh tra an toàn thông tin, doanh nghiệp cần chuẩn bị hồ sơ gì?
  6. Dịch vụ tư vấn lập hồ sơ đề xuất cấp độ an toàn thông tin trọn gói

Tóm tắt nội dung

Xác định cấp độ an toàn thông tin là gì?

Xác định cấp độ an toàn thông tin là bước đánh giá hệ thống thông tin theo mức độ quan trọng và mức độ ảnh hưởng nếu hệ thống bị mất an toàn, từ đó đề xuất hệ thống thuộc cấp độ 1, 2, 3, 4 hoặc 5 theo khung quy định hiện hành. Nghị định 85/2016/NĐ-CP là văn bản nền quy định về bảo đảm an toàn hệ thống thông tin theo cấp độ; Thông tư 12/2022/TT-BTTTT là văn bản hướng dẫn chi tiết một số nội dung của nghị định này. (Chinh Phu Document System)

Nói đơn giản hơn, đây là bước trả lời các câu hỏi:

  • hệ thống này quan trọng đến mức nào
  • nếu gặp sự cố thì ảnh hưởng đến đâu
  • dữ liệu nào đang được xử lý
  • mức bảo vệ nào là phù hợp với bản chất hệ thống

Điểm dễ nhầm là nhiều người cho rằng cứ hệ thống lớn thì cấp độ cao, hệ thống nhỏ thì cấp độ thấp. Cách nhìn đó chưa đủ. Có những hệ thống quy mô không quá lớn nhưng xử lý dữ liệu nhạy cảm hoặc đóng vai trò rất quan trọng trong vận hành, nên vẫn phải được nhìn ở mức nghiêm túc hơn.

Vì sao phải xác định đúng cấp độ ngay từ đầu?

Xác định đúng cấp độ là bước nền cho ít nhất 4 việc quan trọng:

  • xây dựng hồ sơ đề xuất cấp độ
  • định hướng phương án bảo đảm an toàn thông tin
  • lên ngân sách và lộ trình đầu tư
  • tránh làm hồ sơ và kỹ thuật lệch nhau

Nếu xác định sai cấp độ, đơn vị dễ rơi vào hai tình huống:

  • đề xuất thấp hơn thực tế, làm phương án bảo vệ không tương xứng
  • đề xuất cao hơn không cần thiết, khiến chi phí và phạm vi triển khai bị đội lên

Trong bối cảnh hiện nay, việc tuân thủ quy định pháp luật và bảo đảm an toàn hệ thống thông tin theo cấp độ tiếp tục được Chính phủ nhấn mạnh trong Chỉ thị 09/CT-TTg ban hành ngày 23/02/2024. (Chinh Phu Document System)

5 cấp độ an toàn thông tin là gì?

Khung quản lý hiện hành chia hệ thống thông tin theo 5 cấp độ. Bài này không thay thế văn bản pháp lý, nhưng anh/chị có thể hiểu theo hướng rất thực tế như sau:

Cấp độ 1

Thường là nhóm hệ thống có mức độ ảnh hưởng thấp nhất nếu xảy ra sự cố. Tác động có thể ở phạm vi hẹp, ít ảnh hưởng đến hoạt động trọng yếu.

Cấp độ 2

Thường là nhóm hệ thống đã có vai trò rõ ràng hơn trong vận hành, xử lý dữ liệu hoặc cung cấp dịch vụ ở mức cần được bảo vệ bài bản hơn cấp độ 1.

Cấp độ 3

Thường là nhóm hệ thống có mức độ quan trọng cao hơn, yêu cầu lớp bảo vệ chặt hơn, giám sát tốt hơn và kiểm soát nhiều lớp hơn trong vận hành.

Cấp độ 4

Thường gắn với hệ thống có mức độ ảnh hưởng rất lớn nếu xảy ra sự cố, tác động rộng hơn và đòi hỏi yêu cầu bảo vệ nghiêm ngặt hơn nữa.

Cấp độ 5

Là mức rất cao, áp dụng với các hệ thống có mức độ đặc biệt quan trọng, nếu bị xâm hại hoặc gián đoạn có thể gây ảnh hưởng đặc biệt nghiêm trọng.

Nghị định 85/2016/NĐ-CP là khung nền quy định việc bảo đảm an toàn hệ thống thông tin theo cấp độ 1 đến 5; Thông tư 12/2022/TT-BTTTT hướng dẫn chi tiết thêm việc triển khai theo nghị định này. (Chinh Phu Document System)

Khi xác định cấp độ, cần nhìn vào những yếu tố nào?

Đây là phần quan trọng nhất của bài. Trong thực tế, việc xác định cấp độ không nên bắt đầu bằng câu hỏi “muốn lên cấp mấy”, mà phải bắt đầu bằng câu hỏi “hệ thống đang đóng vai trò gì và nếu có sự cố thì ảnh hưởng thế nào”.

Vai trò của hệ thống trong hoạt động của đơn vị

Anh/chị nên nhìn xem hệ thống đang phục vụ việc gì:

  • chỉ hỗ trợ nội bộ đơn giản
  • phục vụ tác nghiệp hằng ngày
  • cung cấp dịch vụ cho người dùng bên ngoài
  • hỗ trợ hoạt động cốt lõi của tổ chức

Hệ thống càng gắn chặt với vận hành chính, mức độ quan trọng càng cao.

Loại dữ liệu hệ thống đang xử lý

Đây là yếu tố rất quan trọng. Anh/chị cần làm rõ:

  • hệ thống có lưu trữ dữ liệu cá nhân không
  • có dữ liệu nghiệp vụ trọng yếu không
  • có dữ liệu nhạy cảm không
  • có dữ liệu ảnh hưởng lớn nếu bị lộ, sửa hoặc mất không

Nhiều đơn vị đánh giá thấp hệ thống chỉ vì nhìn vào giao diện bề ngoài, trong khi dữ liệu bên trong lại quan trọng hơn rất nhiều.

Mức độ ảnh hưởng nếu xảy ra sự cố

Đây là góc nhìn rất thực tế:

  • nếu hệ thống dừng hoạt động thì ảnh hưởng đến đâu
  • nếu dữ liệu sai lệch thì ai bị ảnh hưởng
  • nếu bị truy cập trái phép thì hậu quả ở mức nào
  • nếu gián đoạn trong vài giờ hoặc vài ngày thì thiệt hại ra sao

Phần này thường quyết định chất lượng của việc đề xuất cấp độ.

Phạm vi sử dụng và đối tượng sử dụng

Hệ thống chỉ phục vụ một nhóm nhỏ nội bộ sẽ khác với hệ thống:

  • dùng cho toàn đơn vị
  • phục vụ người dân, khách hàng, học viên, bệnh nhân
  • có kết nối với nhiều hệ thống liên quan

Phạm vi ảnh hưởng càng rộng, cách nhìn về cấp độ càng phải cẩn trọng hơn.

Cách tự rà soát sơ bộ để biết hệ thống thuộc cấp độ nào

Nếu chưa đi sâu vào hồ sơ chính thức, anh/chị có thể tự rà soát sơ bộ theo 4 bước sau.

Bước 1: Xác định rõ hệ thống cần đánh giá là hệ thống nào

Nhiều đơn vị bị lẫn ngay từ đầu vì chưa chốt được phạm vi.
Cần làm rõ:

  • tên hệ thống
  • chức năng chính
  • thành phần nào nằm trong hệ thống
  • thành phần nào chỉ liên quan

Nếu phạm vi bị xác định sai, cấp độ đề xuất cũng dễ sai theo.

Bước 2: Liệt kê dữ liệu và dịch vụ quan trọng

Hãy ghi ra:

  • dữ liệu nào đang được xử lý
  • dịch vụ nào hệ thống đang cung cấp
  • người dùng nào phụ thuộc vào hệ thống này

Đây là phần giúp nhìn rõ hệ thống quan trọng ở mức nào.

Bước 3: Giả định các kịch bản sự cố

Ví dụ:

  • hệ thống dừng hoạt động
  • dữ liệu bị sửa sai
  • dữ liệu bị lộ
  • tài khoản quản trị bị xâm nhập
  • website hoặc cổng dịch vụ bị gián đoạn

Sau đó tự trả lời: mức độ ảnh hưởng sẽ ở đâu, ai bị tác động, hậu quả có lớn không.

Bước 4: Đối chiếu lại bằng góc nhìn quản lý, không chỉ góc nhìn kỹ thuật

Đây là điểm nhiều đội IT hay bỏ sót. Hệ thống có thể “không quá phức tạp” về kỹ thuật, nhưng lại rất quan trọng về nghiệp vụ hoặc dữ liệu. Khi xác định cấp độ, nên nhìn cả hai mặt:

  • mặt kỹ thuật
  • mặt quản lý, vận hành, ảnh hưởng nghiệp vụ

Ví dụ dễ hiểu theo từng nhóm hệ thống

Website giới thiệu doanh nghiệp

Nếu chỉ là website giới thiệu đơn giản, không có login, không xử lý dữ liệu quan trọng, mức độ ảnh hưởng khi gián đoạn thường thấp hơn.

Cổng khách hàng hoặc cổng tra cứu

Nếu có tài khoản, dữ liệu người dùng, lịch sử giao dịch hoặc thông tin nghiệp vụ, mức độ cần bảo vệ thường cao hơn hẳn website giới thiệu.

Phần mềm quản lý nội bộ

Nếu chỉ phục vụ một phần tác vụ nhỏ, phạm vi ảnh hưởng có thể hẹp. Nhưng nếu đây là hệ thống gắn với vận hành chính, tác động khi gián đoạn sẽ lớn hơn nhiều.

Hệ thống giáo dục, y tế, dữ liệu nhạy cảm

Những hệ thống này thường cần được nhìn cẩn trọng hơn vì liên quan đến dữ liệu cá nhân, dữ liệu học tập, dữ liệu bệnh án hoặc các dữ liệu có độ nhạy cao.

Những ví dụ này chỉ mang tính định hướng nhận diện ban đầu. Để xác định đúng cấp độ, vẫn cần đi vào bối cảnh hệ thống cụ thể.

Những lỗi phổ biến khiến doanh nghiệp xác định sai cấp độ

Nhìn theo quy mô phần cứng thay vì vai trò hệ thống

Máy chủ ít hay nhiều chưa nói lên hết mức độ quan trọng.

Chỉ nhìn theo kỹ thuật, bỏ qua dữ liệu và nghiệp vụ

Đây là lỗi khá phổ biến ở đội kỹ thuật.

Gộp quá rộng hoặc tách quá hẹp phạm vi hệ thống

Phạm vi không rõ sẽ kéo theo đánh giá sai.

Đánh giá thấp tác động của việc gián đoạn hoặc rò rỉ dữ liệu

Nhiều đơn vị chỉ nghĩ đến downtime, nhưng lại quên mất tác động của dữ liệu sai lệch hoặc bị lộ.

Tự chốt cấp độ quá sớm mà chưa rà soát đủ đầu vào

Điều này dễ khiến cả hồ sơ và lộ trình kỹ thuật bị lệch ngay từ đầu.

Khi nào nên nhờ đơn vị tư vấn hỗ trợ xác định cấp độ?

Anh/chị nên cân nhắc thuê tư vấn nếu:

  • hệ thống có nhiều thành phần và nhiều đầu mối cùng vận hành
  • dữ liệu xử lý khá nhạy cảm
  • chưa rõ phạm vi hệ thống
  • nội bộ chưa có người hiểu cả hồ sơ và kỹ thuật
  • cần làm nhanh nhưng vẫn phải bám hiện trạng

Nếu đang ở giai đoạn này, anh/chị có thể xem thêm bài dịch vụ lập hồ sơ đề xuất cấp độ.
Nếu đã xác định được sơ bộ và muốn đi sâu hơn, nên đọc tiếp bài quy trình lập hồ sơ đề xuất cấp độ.
Nếu muốn xem bộ khung mẫu, nên đọc bài mẫu hồ sơ đề xuất cấp độ.

8 câu hỏi nên tự trả lời trước khi chốt cấp độ

  1. Hệ thống này phục vụ nghiệp vụ gì?
  2. Nếu hệ thống dừng hoạt động, đơn vị bị ảnh hưởng ở mức nào?
  3. Hệ thống đang xử lý loại dữ liệu gì?
  4. Dữ liệu đó có nhạy cảm không?
  5. Có bao nhiêu nhóm người dùng phụ thuộc vào hệ thống?
  6. Hệ thống có public ra Internet không?
  7. Có kết nối với các hệ thống khác không?
  8. Nếu dữ liệu bị lộ hoặc sai lệch, hậu quả có lớn không?

Chỉ cần trả lời nghiêm túc 8 câu này, anh/chị đã có một nền khá tốt để bắt đầu xác định cấp độ.

Câu hỏi thường gặp về xác định cấp độ an toàn thông tin

Xác định cấp độ an toàn thông tin là gì?

Là bước đánh giá hệ thống theo mức độ quan trọng và mức độ ảnh hưởng nếu xảy ra sự cố để đề xuất hệ thống thuộc cấp độ 1, 2, 3, 4 hoặc 5 theo khung quản lý hiện hành. (Chinh Phu Document System)

Có phải hệ thống lớn mới là cấp độ cao?

Không hẳn. Cấp độ phụ thuộc vào vai trò của hệ thống, dữ liệu xử lý và mức độ ảnh hưởng khi có sự cố, không chỉ phụ thuộc quy mô bề ngoài.

Có thể tự xác định cấp độ sơ bộ không?

Có thể rà soát sơ bộ nội bộ để định hướng ban đầu, nhưng với hệ thống phức tạp hoặc dữ liệu nhạy cảm, nên có bước rà soát kỹ hơn.

Xác định sai cấp độ có sao không?

Có. Xác định sai có thể làm lệch hồ sơ, lệch phương án bảo vệ và lệch cả ngân sách triển khai.

Sau khi xác định sơ bộ cấp độ thì nên làm gì tiếp?

Thường nên đi tiếp sang bước chuẩn hóa đầu vào, lập hồ sơ và xây phương án bảo đảm an toàn thông tin phù hợp.

Kết luận

Nếu anh/chị đang tự hỏi hệ thống của mình thuộc cấp độ mấy, cách tiếp cận đúng là đừng nhìn hệ thống chỉ bằng mắt kỹ thuật. Hãy nhìn cả:

  • vai trò của hệ thống
  • dữ liệu mà hệ thống xử lý
  • phạm vi người dùng
  • mức độ ảnh hưởng nếu có sự cố

Xác định cấp độ đúng ngay từ đầu sẽ giúp đơn vị đi tiếp dễ hơn ở cả 3 việc:
hồ sơ – kỹ thuật – ngân sách.

Nhận checklist rà soát sơ bộ cấp độ

Nếu anh/chị đang cần:

  • rà soát hệ thống của mình thuộc nhóm nào
  • biết đang thiếu đầu vào gì để xác định cấp độ
  • chuẩn bị cho bước làm hồ sơ đề xuất cấp độ

hãy bắt đầu bằng một checklist sơ bộ về phạm vi hệ thống, dữ liệu và mức độ ảnh hưởng. Làm rõ phần này trước sẽ giúp các bước sau nhẹ hơn rất nhiều.

FAQ SEO ngắn

Xác định cấp độ an toàn thông tin dựa vào đâu?
Dựa vào vai trò của hệ thống, loại dữ liệu xử lý, phạm vi sử dụng và mức độ ảnh hưởng nếu xảy ra sự cố. (Chinh Phu Document System)

Có mấy cấp độ an toàn thông tin?
Khung hiện hành chia thành 5 cấp độ, từ cấp độ 1 đến cấp độ 5. (Chinh Phu Document System)

Có phải hệ thống ít máy chủ thì cấp độ thấp?
Không. Quy mô hạ tầng không phải yếu tố duy nhất; dữ liệu và mức độ ảnh hưởng mới là phần rất quan trọng.

Nên đọc gì tiếp sau bài này?
Nên xem thêm bài quy trình lập hồ sơ đề xuất cấp độdịch vụ lập hồ sơ đề xuất cấp độ

💬 Chat Zalo ☎️ Hotline: 0346 844 259