An toàn thông tin

Khi bị thanh tra an toàn thông tin, doanh nghiệp cần chuẩn bị hồ sơ gì?

Posted on by Đoàn Trình Dục
04
Th4

Nhiều doanh nghiệp không thật sự sợ “thanh tra an toàn thông tin”. Điều họ sợ là đến lúc bị kiểm tra mới phát hiện ra một chuyện khó xử hơn nhiều: hệ thống vẫn đang chạy, nhưng hồ sơ thì thiếu, lệch hoặc không khớp hiện trạng.

Đây là tình huống rất phổ biến. Doanh nghiệp thường ưu tiên làm hệ thống chạy trước, tối ưu vận hành trước, chốt tiến độ trước. Còn hồ sơ an toàn thông tin lại bị đẩy xuống sau. Trong khi khung pháp lý hiện hành về bảo đảm an toàn hệ thống thông tin theo cấp độ vẫn yêu cầu rõ việc xác định cấp độ, xây dựng hồ sơ đề xuất cấp độ, ban hành quy chế và triển khai các yêu cầu quản lý, kỹ thuật tương ứng. Chỉ thị 09/CT-TTg ngày 23/02/2024 cũng nhấn mạnh việc tuân thủ pháp luật và tăng cường bảo đảm an toàn hệ thống thông tin theo cấp độ. (Văn bản quy phạm pháp luật)

Bài viết này dựa trên logic rà soát thực tế mà doanh nghiệp thường phải làm khi chuẩn bị làm việc với đoàn thanh tra/kiểm tra, kết hợp với các yêu cầu nền tảng trong Nghị định 85/2016/NĐ-CP và Thông tư 12/2022/TT-BTTTT, để giúp bạn biết nên chuẩn bị hồ sơ theo thứ tự nào, hồ sơ nào là bắt buộc phải lôi ra trước, và nếu thiếu thì xử lý ra sao. (Văn bản quy phạm pháp luật)

Hướng dẫn khác:

  1. Hồ sơ đề xuất cấp độ có bắt buộc không? Doanh nghiệp nào cần làm?
  2. Tiêu chuẩn kiến trúc bảo mật cho hệ thống thông tin cấp độ 2
  3. Hướng dẫn phân loại hệ thống thông tin cấp độ 1, 2, 3, 4, 5
  4. Hệ thống chưa có hồ sơ cấp độ: cách rà soát và xử lý cho doanh nghiệp
  5. Mẫu hồ sơ đề xuất cấp độ an toàn thông tin theo Thông tư 12/2022
  6. Dịch vụ tư vấn lập hồ sơ đề xuất cấp độ an toàn thông tin trọn gói

Tóm tắt nội dung

Vì sao doanh nghiệp thường bị động khi bị thanh tra an toàn thông tin?

Lý do đầu tiên là hệ thống có rồi nhưng hồ sơ đi sau. Nhiều doanh nghiệp có phần mềm, website, app, cổng dịch vụ, CRM hoặc hệ thống nội bộ vận hành khá ổn, nhưng khi bị kiểm tra mới nhận ra rằng hồ sơ chứng minh việc phân loại, bảo vệ và quản trị an toàn thông tin chưa được chuẩn hóa thành bộ. Nghị định 85/2016/NĐ-CP quy định rõ trách nhiệm của đơn vị vận hành hệ thống thông tin trong việc xác định cấp độ an toàn hệ thống thông tin và thực hiện các yêu cầu bảo đảm an toàn tương ứng. (Văn bản quy phạm pháp luật)

Lý do thứ hai là doanh nghiệp nhầm giữa tài liệu kỹ thuật và hồ sơ tuân thủ. Có sơ đồ mạng, có tài liệu đặc tả, có quy trình nội bộ chưa đồng nghĩa với việc đã có đủ hồ sơ để chứng minh tuân thủ theo cấp độ. Thông tư 12/2022/TT-BTTTT đặt ra cả nhóm yêu cầu về quản lý, kỹ thuật, kiểm tra đánh giá và tổ chức thực hiện, nên hồ sơ phục vụ thanh tra không chỉ là “một bộ tài liệu IT”. (Văn bản quy phạm pháp luật)

Lý do thứ ba là hồ sơ có nhưng không khớp hiện trạng. Đây mới là lỗi nguy hiểm. Hệ thống đã nâng cấp, thêm chức năng, thêm người dùng, thêm API, thêm dữ liệu, nhưng bộ hồ sơ vẫn giữ nguyên như cũ. Khi đoàn kiểm tra đối chiếu giữa giấy tờ và thực tế vận hành, điểm lệch này lộ ra rất nhanh. (Văn bản quy phạm pháp luật)

Khi thanh tra an toàn thông tin, doanh nghiệp thường bị nhìn vào những nhóm nội dung nào?

Nếu bỏ qua cách gọi quá pháp lý, doanh nghiệp thường sẽ bị soi vào 4 nhóm lớn.

Hồ sơ cấp độ và hồ sơ pháp lý nền tảng

Đây là lớp hồ sơ đầu tiên. Cơ quan kiểm tra thường quan tâm hệ thống đã được xác định cấp độ hay chưa, đã có hồ sơ đề xuất cấp độ chưa, quy chế bảo đảm an toàn thông tin cho hệ thống đã được ban hành chưa, và phương án bảo đảm an toàn thông tin có được xây theo cấp độ tương ứng không. Nghị định 85/2016/NĐ-CP quy định rõ hồ sơ đề xuất cấp độ gồm mô tả tổng quan hệ thống, tài liệu thiết kế hoặc tương đương, tài liệu thuyết minh đề xuất cấp độ và tài liệu thuyết minh phương án bảo đảm an toàn thông tin theo cấp độ tương ứng. (Văn bản quy phạm pháp luật)

Tổ chức và quản trị an toàn thông tin

Không ít doanh nghiệp có tài liệu nhưng không có người chịu trách nhiệm rõ. Khi bị kiểm tra, câu hỏi rất thực tế sẽ xuất hiện: ai là đầu mối phụ trách ATTT, ai quản lý vận hành, ai quản lý tài khoản, ai xử lý sự cố, ai chịu trách nhiệm cập nhật và rà soát định kỳ. Thông tư 12/2022/TT-BTTTT có nhóm yêu cầu về tổ chức bảo đảm an toàn thông tin và nguồn nhân lực, cho thấy đây không phải phần phụ. (Văn bản quy phạm pháp luật)

Biện pháp kỹ thuật và chứng cứ vận hành

Đoàn kiểm tra không chỉ xem doanh nghiệp “có quy trình” mà còn xem doanh nghiệp có làm thật không. Những nội dung như quản lý tài khoản, phân quyền, sao lưu, phục hồi, giám sát, nhật ký, cập nhật bản vá, kiểm soát thay đổi, ứng cứu sự cố thường là nhóm nội dung phải có hồ sơ hoặc bằng chứng thực thi đi kèm. Nội dung yêu cầu quản lý và kỹ thuật tối thiểu theo cấp độ hiện được thực hiện theo Điều 9 và Điều 10 Thông tư 12/2022/TT-BTTTT. (Văn bản quy phạm pháp luật)

Kiểm tra, đánh giá và khắc phục

Nhiều doanh nghiệp có hồ sơ ban đầu nhưng thiếu hoàn toàn lớp tài liệu đánh giá sau đó. Trong khi Thông tư 12/2022/TT-BTTTT có riêng nội dung về kiểm tra, đánh giá an toàn thông tin. Điều này khiến các báo cáo rà soát, biên bản đánh giá, kết quả kiểm tra lỗ hổng, tài liệu khắc phục tồn tại trở thành nhóm hồ sơ rất đáng chú ý khi có thanh tra. (Văn bản quy phạm pháp luật)

Doanh nghiệp cần chuẩn bị những bộ hồ sơ nào trước tiên?

Nếu bạn đang cần một câu trả lời thực chiến, thì nên chia thành 5 bộ hồ sơ sau.

Bộ hồ sơ 1: Hồ sơ xác định cấp độ và tài liệu liên quan

Đây là bộ hồ sơ nền. Tối thiểu, doanh nghiệp nên rà lại:

  • hồ sơ đề xuất cấp độ;
  • tài liệu mô tả tổng quan hệ thống;
  • tài liệu thiết kế thi công hoặc tài liệu có giá trị tương đương;
  • tài liệu thuyết minh việc đề xuất cấp độ;
  • tài liệu thuyết minh phương án bảo đảm ATTT theo cấp độ tương ứng;
  • văn bản phê duyệt hoặc tài liệu thể hiện tình trạng thẩm định/phê duyệt, nếu hệ thống thuộc diện phải thực hiện. (Văn bản quy phạm pháp luật)

Điểm quan trọng ở đây không phải chỉ là “có đủ file”, mà là các file đó phải dùng cùng một logic. Tên hệ thống phải thống nhất. Phạm vi hệ thống phải thống nhất. Dữ liệu xử lý và mức độ ảnh hưởng phải thống nhất. Nếu mỗi tài liệu mô tả một kiểu, doanh nghiệp rất dễ bị hỏi ngược và rơi vào thế bị động.

Bộ hồ sơ 2: Quy chế, chính sách, quy trình an toàn thông tin

Đây là bộ mà nhiều doanh nghiệp thiếu nhất dù vẫn nghĩ mình đã làm tương đối ổn. Nên chuẩn bị tối thiểu:

  • quy chế bảo đảm an toàn thông tin cho hệ thống;
  • chính sách quản lý tài khoản và phân quyền;
  • quy trình sao lưu và phục hồi dữ liệu;
  • quy trình ứng cứu sự cố;
  • quy trình quản lý thay đổi, cập nhật, cấu hình;
  • quy trình quản lý truy cập, quản trị, giám sát. (Văn bản quy phạm pháp luật)

Thông tư 12/2022/TT-BTTTT nhấn mạnh các yêu cầu quản lý như thiết lập chính sách an toàn thông tin, tổ chức bảo đảm an toàn thông tin và quản lý vận hành hệ thống. Vì vậy, khi bị thanh tra, nếu doanh nghiệp chỉ có hệ thống chạy mà không có các quy chế, quy trình đi kèm, đó là lỗ hổng rất dễ bị nhìn thấy. (Văn bản quy phạm pháp luật)

Bộ hồ sơ 3: Hồ sơ vận hành và chứng cứ thực thi

Đây là lớp hồ sơ giúp doanh nghiệp chứng minh rằng mình không chỉ viết quy trình cho đẹp.

Những tài liệu nên có gồm:

  • danh sách tài khoản và phân quyền hiện tại;
  • nhật ký vận hành, nhật ký truy cập, nhật ký giám sát;
  • biên bản hoặc báo cáo sao lưu, phục hồi;
  • danh mục máy chủ, thiết bị, ứng dụng, thành phần hệ thống;
  • lịch sử cập nhật bản vá, thay đổi cấu hình;
  • hồ sơ phân công quản trị và vận hành. (Văn bản quy phạm pháp luật)

Nhiều doanh nghiệp mất điểm không phải vì không có quy trình, mà vì không chứng minh được quy trình đó đang được áp dụng ngoài thực tế.

Bộ hồ sơ 4: Hồ sơ kiểm tra, đánh giá an toàn thông tin

Đây là nhóm doanh nghiệp rất hay bỏ quên. Cần gom lại các tài liệu như:

  • báo cáo kiểm tra, đánh giá an toàn thông tin định kỳ;
  • kết quả rà quét, kiểm thử, đánh giá lỗ hổng;
  • biên bản ghi nhận tồn tại và kế hoạch khắc phục;
  • tài liệu chứng minh đã khắc phục hoặc đang theo dõi xử lý rủi ro. (Văn bản quy phạm pháp luật)

Với một số hệ thống chuyên ngành, yêu cầu còn chặt hơn. Có các quy định chuyên ngành yêu cầu hệ thống phải được phê duyệt cấp độ, ban hành quy chế bảo đảm ATTT và triển khai đầy đủ phương án an toàn thông tin trước khi vận hành; đồng thời phải tổ chức kiểm tra, đánh giá ATTT theo yêu cầu. Điều này cho thấy xu hướng thanh tra sẽ không chỉ dừng ở hỏi hồ sơ nền, mà còn nhìn vào chu kỳ kiểm tra và cải tiến sau đó. (Văn bản quy phạm pháp luật)

Bộ hồ sơ 5: Hồ sơ nhân sự và tổ chức phụ trách ATTT

Nghe có vẻ “hành chính”, nhưng đây là phần rất thực dụng. Doanh nghiệp nên có:

  • quyết định hoặc tài liệu phân công đầu mối phụ trách;
  • danh sách nhân sự liên quan đến quản trị, vận hành, ATTT;
  • tài liệu đào tạo, tập huấn, nâng cao nhận thức;
  • hồ sơ phân vai trò, trách nhiệm, cơ chế phối hợp nội bộ. (Văn bản quy phạm pháp luật)

Khi đoàn kiểm tra hỏi “ai chịu trách nhiệm phần này”, nếu doanh nghiệp trả lời mơ hồ kiểu “bên IT làm”, đó thường là tín hiệu cho thấy mô hình quản trị ATTT chưa rõ.

Storytelling: doanh nghiệp thường vướng ở đâu nhất khi bị kiểm tra?

Một tình huống rất hay gặp là thế này.

Doanh nghiệp có một hệ thống đã chạy nhiều tháng, có người dùng thật, có dữ liệu thật, đội ngũ nội bộ cũng có một số quy trình xử lý sự cố và sao lưu. Khi nhận thông tin sắp có đợt kiểm tra, mọi người bắt đầu gom hồ sơ. Lúc đó mới lộ ra 3 vấn đề:

  • hồ sơ cấp độ chưa đầy đủ;
  • quy chế và tài liệu kỹ thuật mô tả không cùng một phạm vi;
  • có làm sao lưu, có phân quyền, có cập nhật, nhưng chứng cứ lưu lại không nhất quán.

Đây là kiểu rủi ro “không thiếu việc làm, nhưng thiếu logic hồ sơ”. Và đó cũng là lý do nhiều doanh nghiệp đến khi bị kiểm tra mới cuống lên, dù thực tế hệ thống không phải là không được quản lý.

Checklist rà soát nhanh trước khi làm việc với đoàn thanh tra

Trước khi tiếp đoàn kiểm tra, doanh nghiệp nên tự hỏi nhanh 10 câu này:

  • Hệ thống đã có hồ sơ đề xuất cấp độ chưa?
  • Hồ sơ đó có còn khớp với hệ thống đang vận hành không?
  • Đã có quy chế bảo đảm an toàn thông tin cho hệ thống chưa?
  • Ai là đầu mối chính chịu trách nhiệm về ATTT?
  • Có danh sách tài khoản, phân quyền và nhật ký vận hành không?
  • Có tài liệu sao lưu, phục hồi và bằng chứng đã thực hiện không?
  • Có báo cáo rà soát, đánh giá, kiểm tra ATTT gần nhất không?
  • Có ghi nhận tồn tại và tài liệu khắc phục sau kiểm tra không?
  • Có tài liệu mô tả hệ thống, sơ đồ kiến trúc, danh mục thành phần không?
  • Có sự thống nhất giữa tên hệ thống, phạm vi hệ thống và dữ liệu được mô tả trong mọi hồ sơ không?
  • Nếu trả lời “chưa rõ” ở nhiều câu, doanh nghiệp nên xem đó là dấu hiệu phải rà soát ngay, không nên đợi đến sát ngày làm việc mới xử lý.

Ba tình huống doanh nghiệp thường gặp và cách xử lý

Tình huống 1: Chưa có hồ sơ cấp độ

Đây là tình huống căng nhất nhưng vẫn xử lý được. Cách đúng là không lao vào viết hồ sơ ngay, mà phải:

  • khoanh lại phạm vi hệ thống;
  • gom toàn bộ tài liệu kỹ thuật hiện có;
  • xác định dữ liệu, chức năng và mức độ ảnh hưởng;
  • lập danh mục hồ sơ còn thiếu;
  • ưu tiên hoàn thiện lớp hồ sơ nền trước. (Văn bản quy phạm pháp luật)

Chỉ thị 09/CT-TTg năm 2024 cho thấy xu hướng là siết tuân thủ theo cấp độ, nên việc thiếu hồ sơ nền không còn là chuyện có thể xem nhẹ. (Van Ban Chinh Phu)

Tình huống 2: Có hồ sơ nhưng rời rạc, không đồng bộ

Đây là ca phổ biến nhất. Doanh nghiệp đã có file nhưng chưa thành bộ. Cách xử lý là:

  • chuẩn hóa tên hệ thống và phạm vi;
  • đối chiếu giữa tài liệu kỹ thuật và tài liệu tuân thủ;
  • bổ sung phần thiếu;
  • sắp lại thành bộ hồ sơ có logic.

Thường không cần làm lại từ đầu, nhưng cần một người đủ hiểu để nối các mảnh tài liệu lại với nhau cho đúng.

Tình huống 3: Có hồ sơ cũ nhưng hệ thống đã thay đổi

Trường hợp này nguy hiểm ở chỗ nhìn qua tưởng đã đủ. Nhưng khi kiểm tra sâu, hồ sơ cũ lại không phản ánh hệ thống hiện tại. Cách xử lý là:

  • so hiện trạng với hồ sơ đang có;
  • cập nhật chức năng, thành phần, dữ liệu, kết nối;
  • rà lại cấp độ và phương án ATTT nếu phạm vi thay đổi đáng kể;
  • không dùng hồ sơ cũ để “đối phó”. (Văn bản quy phạm pháp luật)

Những lỗi khiến doanh nghiệp dễ mất điểm khi bị thanh tra

Lỗi thứ nhất là có quy chế nhưng không chứng minh được đang áp dụng.

Lỗi thứ hai là có hồ sơ cấp độ nhưng không khớp kiến trúc hệ thống hiện tại.

Lỗi thứ ba là không có hồ sơ kiểm tra, đánh giá định kỳ.

Lỗi thứ tư là không có đầu mối trách nhiệm rõ ràng.

Lỗi thứ năm là chỉ chuẩn bị giấy tờ mà không rà hiện trạng kỹ thuật.

Nhìn rộng ra, đây đều là các lỗi xuất phát từ việc coi ATTT là một bộ hồ sơ hành chính, thay vì một hệ thống vừa quản trị vừa vận hành vừa kiểm chứng thực tế. Các yêu cầu quản lý và kỹ thuật trong Thông tư 12/2022/TT-BTTTT là yêu cầu tối thiểu, nên chỉ có giấy tờ hình thức thường không đủ sức thuyết phục khi bị đối chiếu với thực trạng. (Văn bản quy phạm pháp luật)

Doanh nghiệp nên chuẩn bị theo thứ tự ưu tiên nào?

Nếu thời gian gấp, nên đi theo thứ tự này:

Trước hết là hồ sơ cấp độ và quy chế ATTT.

Sau đó là tài liệu mô tả hệ thống và phương án bảo đảm ATTT.

Tiếp theo là hồ sơ vận hành: phân quyền, sao lưu, giám sát, nhật ký.

Rồi đến báo cáo kiểm tra, đánh giá, khắc phục.

Cuối cùng là hồ sơ đào tạo, phân công nhân sự và cơ chế phối hợp.

Làm như vậy giúp doanh nghiệp xử lý đúng “nền móng” trước, thay vì sa đà vào việc chỉnh từng biểu mẫu nhỏ.

Khi nào nên thuê đơn vị hỗ trợ rà soát hồ sơ trước thanh tra?

Doanh nghiệp nên cân nhắc thuê hỗ trợ khi:

  • hệ thống đã chạy lâu nhưng hồ sơ rời rạc;
  • sắp có thanh tra, audit, nghiệm thu hoặc đấu thầu;
  • nội bộ không chắc hồ sơ nào là bắt buộc, hồ sơ nào là nên có;
  • đã có hồ sơ nhưng không chắc còn khớp hiện trạng;
  • cần rà nhanh khoảng trống và xử lý theo mức độ ưu tiên.

Thuê hỗ trợ ở đây không phải để “làm hộ giấy tờ”, mà để tránh sai ngay từ bước xác định phạm vi và logic hồ sơ.

Kết luận

Khi bị thanh tra an toàn thông tin, doanh nghiệp không nên hỏi “cần in bao nhiêu bộ hồ sơ”, mà nên hỏi đúng hơn: hồ sơ của mình có đúng, đủ và khớp hệ thống thực tế hay chưa.

Về bản chất, các nhóm hồ sơ doanh nghiệp cần chuẩn bị thường xoay quanh 5 mảng: hồ sơ cấp độ, quy chế/chính sách ATTT, hồ sơ vận hành, hồ sơ kiểm tra đánh giá và hồ sơ tổ chức nhân sự phụ trách. Đây cũng là các lớp nội dung bám khá sát khung bảo đảm an toàn hệ thống thông tin theo cấp độ trong Nghị định 85/2016/NĐ-CP và Thông tư 12/2022/TT-BTTTT. (Văn bản quy phạm pháp luật)

Chuẩn bị tốt không giúp doanh nghiệp “né” thanh tra. Nhưng nó giúp doanh nghiệp làm việc tự tin hơn, giảm bị động hơn và quan trọng nhất là tránh phát hiện lỗ hổng hồ sơ vào thời điểm muộn nhất.

FAQ

Khi bị thanh tra an toàn thông tin, doanh nghiệp có bắt buộc phải có hồ sơ cấp độ không?

Điều này phụ thuộc loại hệ thống và phạm vi áp dụng, nhưng với các hệ thống thuộc diện phải xác định cấp độ thì hồ sơ đề xuất cấp độ là lớp hồ sơ nền rất quan trọng và thường là nội dung bị rà soát đầu tiên. (Văn bản quy phạm pháp luật)

Hồ sơ an toàn thông tin có giống tài liệu kỹ thuật không?

Không. Tài liệu kỹ thuật chỉ là một phần đầu vào. Hồ sơ phục vụ tuân thủ còn bao gồm phần xác định cấp độ, phương án bảo đảm ATTT, quy chế, yêu cầu quản lý, kiểm tra đánh giá và nhiều chứng cứ thực thi khác. (Văn bản quy phạm pháp luật)

Có thể bổ sung hồ sơ sau khi hệ thống đã vận hành không?

Có thể phải bổ sung, và đây là tình huống thực tế khá phổ biến. Tuy nhiên, càng xử lý muộn thì càng dễ phát sinh chi phí rà soát và cập nhật nhiều lớp tài liệu hơn. (Văn bản quy phạm pháp luật)

Đoàn thanh tra thường chỉ kiểm tra giấy tờ hay có đối chiếu thực tế?

Thực tế thường không dừng ở giấy tờ. Các bằng chứng thực thi như phân quyền, nhật ký, sao lưu, báo cáo kiểm tra, khắc phục tồn tại là những nội dung rất dễ được đối chiếu với hiện trạng. Điều này cũng phù hợp với cách Thông tư 12/2022/TT-BTTTT xây khung yêu cầu quản lý, kỹ thuật và kiểm tra đánh giá. (Văn bản quy phạm pháp luật)

Doanh nghiệp nhỏ có cần chuẩn bị quy chế và hồ sơ ATTT không?

Quy mô nhỏ không đồng nghĩa với việc có thể bỏ qua hoàn toàn. Mức độ chuẩn bị phụ thuộc vào hệ thống đang vận hành, dữ liệu đang xử lý và yêu cầu tuân thủ mà doanh nghiệp đang tham gia. (Văn bản quy phạm pháp luật)

💬 Chat Zalo ☎️ Hotline: 0346 844 259