Mẫu hồ sơ đề xuất cấp độ an toàn thông tin theo Thông tư 12/2022

Nhiều đơn vị khi bắt đầu làm hồ sơ cấp độ thường tìm ngay “mẫu hồ sơ đề xuất cấp độ” với mong muốn tải về rồi điền theo. Cách này giúp hình dung được khung tài liệu, nhưng trên thực tế, phần khó nhất không nằm ở việc có mẫu hay không, mà nằm ở chỗ điền sao cho đúng hệ thống, đúng phạm vi và đúng logic đề xuất.

Hiện nay, việc bảo đảm an toàn hệ thống thông tin theo cấp độ được đặt trên nền Nghị định 85/2016/NĐ-CP, còn Thông tư 12/2022/TT-BTTTT là văn bản quy định chi tiết và hướng dẫn một số điều của nghị định này. Thông tư này có hiệu lực từ 01/10/2022. (vanban.chinhphu.vn) (vanban.chinhphu.vn)

Tóm tắt nhanh:
Mẫu hồ sơ đề xuất cấp độ chỉ là phần khung. Điều quyết định chất lượng hồ sơ là cách anh/chị mô tả hệ thống, dữ liệu, mức độ ảnh hưởng và căn cứ đề xuất cấp độ sao cho bám đúng hiện trạng. (Chinh Phu Document System)

Mẫu hồ sơ đề xuất cấp độ là gì?

Mẫu hồ sơ đề xuất cấp độ là bộ khung biểu mẫu hoặc cấu trúc tài liệu dùng để trình bày các nội dung chính của hồ sơ đề xuất cấp độ an toàn hệ thống thông tin. Mẫu này giúp đơn vị:

• biết hồ sơ cần có những phần nào
• không bỏ sót các mục quan trọng
• trình bày nội dung theo một cấu trúc dễ rà soát hơn

Nhưng cần phân biệt rõ:

• mẫu hồ sơ là phần khung
• hồ sơ hoàn chỉnh là toàn bộ nội dung được điền dựa trên hệ thống thực tế

Nói dễ hiểu: tải được mẫu chưa có nghĩa là đã làm được hồ sơ.

Căn cứ pháp lý khi dùng mẫu hồ sơ đề xuất cấp độ

Khi làm hồ sơ, anh/chị nên bám tối thiểu 2 lớp văn bản chính:

• Nghị định 85/2016/NĐ-CP của Chính phủ về bảo đảm an toàn hệ thống thông tin theo cấp độ. (Chinh Phu Document System)
• Thông tư 12/2022/TT-BTTTT của Bộ Thông tin và Truyền thông, quy định chi tiết và hướng dẫn một số điều của Nghị định 85/2016/NĐ-CP; thông tư này có hiệu lực từ 01/10/2022. (Chinh Phu Document System)

Ngoài ra, Chỉ thị 09/CT-TTg ngày 23/02/2024 tiếp tục nhấn mạnh việc tuân thủ quy định pháp luật và tăng cường bảo đảm an toàn hệ thống thông tin theo cấp độ. (Chinh Phu Document System)

Điều này có nghĩa là: khi anh/chị tìm mẫu hồ sơ, nên ưu tiên mẫu bám khung hiện hành, không nên dùng các mẫu cũ lan truyền không rõ nguồn hoặc chỉ sao chép từ một bộ hồ sơ của hệ thống khác.

Khi nào cần tìm mẫu hồ sơ đề xuất cấp độ?

Thông thường, anh/chị sẽ tìm mẫu hồ sơ trong các tình huống sau:

• mới bắt đầu làm hồ sơ và cần hình dung cấu trúc tổng thể
• đã có thông tin hệ thống nhưng chưa biết nên trình bày theo bố cục nào
• cần rà soát xem hồ sơ hiện có đang thiếu phần nào
• muốn đối chiếu lại nội dung đã soạn với bộ khung hợp lý hơn
• cần hướng dẫn để đầu mối nội bộ điền từng phần

Đây là cách dùng mẫu đúng.
Sai lầm phổ biến là dùng mẫu như một tài liệu “copy – thay tên hệ thống – nộp luôn”.

Một bộ hồ sơ đề xuất cấp độ thường gồm những phần nào?

Bài này không thay thế mẫu chính thức trong hệ thống văn bản, nhưng về logic, một bộ hồ sơ đề xuất cấp độ thường phải thể hiện được các nhóm nội dung cốt lõi sau.

Thông tin chung về hệ thống

Phần này giúp xác định:

• tên hệ thống
• đơn vị quản lý, vận hành
• mục đích sử dụng
• vai trò nghiệp vụ chính

Đây là phần ngắn nhưng rất quan trọng, vì nếu mô tả quá mơ hồ ngay từ đầu, các phần sau cũng sẽ lệch theo.

Mô tả phạm vi và thành phần hệ thống

Phần này nên trả lời:

• hệ thống gồm những thành phần nào
• có ứng dụng, máy chủ, cơ sở dữ liệu, đường truyền, thiết bị liên quan nào
• có website, app, API hay cổng truy cập nào không
• có kết nối với hệ thống khác hay không

Nhiều hồ sơ bị yếu ngay ở đây vì mô tả quá chung chung.

Mô tả dữ liệu và đối tượng sử dụng

Đây là phần giúp làm rõ:

• hệ thống xử lý loại dữ liệu gì
• dữ liệu có nhạy cảm hay không
• ai là người dùng chính
• số lượng, phạm vi người dùng và cách truy cập ra sao

Phân tích mức độ ảnh hưởng và đề xuất cấp độ

Đây là phần cốt lõi nhất.
Hồ sơ cần thể hiện được:

• nếu hệ thống có sự cố thì ảnh hưởng gì
• ảnh hưởng đến đối tượng nào
• mức độ nghiêm trọng ở đâu
• từ đó đề xuất cấp độ phù hợp

Phương án bảo đảm an toàn thông tin

Sau khi đề xuất cấp độ, hồ sơ không nên dừng lại ở mức “chúng tôi đề xuất cấp độ X”, mà cần gắn với định hướng phương án bảo đảm an toàn thông tin tương ứng.

Cách điền từng phần quan trọng trong mẫu hồ sơ

Đây là phần anh/chị nên đọc kỹ nhất, vì đa số lỗi thường phát sinh từ cách điền nội dung chứ không phải do thiếu mẫu.

Cách điền phần thông tin chung

Khi điền phần này, nên viết:

• ngắn
• rõ
• đúng tên hệ thống
• đúng vai trò nghiệp vụ

Không nên viết kiểu quá chung như:

• “phục vụ hoạt động của đơn vị”
• “hỗ trợ công tác quản lý”
• “quản lý dữ liệu nội bộ”

Thay vào đó, nên nói rõ hơn:

• hệ thống phục vụ đối tượng nào
• hỗ trợ quy trình gì
• có cung cấp dịch vụ công khai hay không

Cách điền phần mô tả hệ thống

Đây là phần nhiều đơn vị viết thiếu nhất.

Nên mô tả:

• hệ thống có những thành phần nào
• thành phần nào là chính
• cách người dùng truy cập
• có cổng web, app, API hay truy cập từ xa không
• dữ liệu đi qua các lớp nào

Nếu có sơ đồ hệ thống, phần này sẽ dễ viết hơn rất nhiều.

Cách điền phần dữ liệu và phạm vi ảnh hưởng

Không nên chỉ viết “hệ thống lưu trữ dữ liệu”.
Nên mô tả rõ hơn:

• dữ liệu cá nhân
• dữ liệu nghiệp vụ
• dữ liệu quản trị
• dữ liệu nhạy cảm
• dữ liệu có thể gây ảnh hưởng lớn nếu lộ, sai hoặc mất

Sau đó gắn với câu hỏi:

• nếu dữ liệu này bị lộ thì sao
• nếu hệ thống dừng thì ai bị ảnh hưởng
• nếu dữ liệu sai lệch thì hậu quả ở đâu

Cách điền phần đề xuất cấp độ

Đây là phần không nên viết theo cảm tính.
Muốn điền tốt, anh/chị cần có lập luận:

• vai trò của hệ thống
• loại dữ liệu
• mức độ ảnh hưởng
• phạm vi người dùng
• tầm quan trọng trong vận hành

Phần này càng logic, hồ sơ càng dễ theo dõi hơn.

Cách điền phần phương án bảo đảm an toàn thông tin

Không cần biến phần này thành một đề án kỹ thuật quá dài, nhưng cũng không nên viết quá mỏng.

Nên thể hiện theo hướng:

• hệ thống cần các lớp bảo vệ nào
• kiểm soát truy cập ra sao
• bảo vệ dữ liệu ở mức nào
• có sao lưu, giám sát, bảo vệ ứng dụng hay không
• định hướng bảo mật có phù hợp với cấp độ đề xuất không

Những lỗi phổ biến khi dùng mẫu hồ sơ có sẵn

Sao chép nguyên mẫu từ đơn vị khác

Đây là lỗi rất nguy hiểm.
Dù cùng là “hồ sơ cấp độ”, nhưng:

• hệ thống khác nhau
• dữ liệu khác nhau
• nghiệp vụ khác nhau
• mức độ ảnh hưởng khác nhau

Nếu chỉ đổi tên đơn vị rồi giữ nguyên logic mô tả, hồ sơ rất dễ lệch thực tế.

Mô tả hệ thống quá sơ sài

Ví dụ chỉ viết:

• “hệ thống gồm máy chủ và phần mềm”
• “phục vụ hoạt động quản lý của đơn vị”

Kiểu mô tả này không đủ để người đọc hiểu bản chất hệ thống.

Mô tả quá kỹ thuật nhưng thiếu góc nhìn quản lý

Ngược lại, có hồ sơ viết rất nhiều về server, IP, port, nhưng lại không trả lời được:

• hệ thống phục vụ ai
• dữ liệu gì đang xử lý
• ảnh hưởng ra sao nếu xảy ra sự cố

Dùng một ngôn ngữ không thống nhất giữa các phần

Phần đầu nói một kiểu, phần sau nói một kiểu, tên hệ thống không đồng nhất, phạm vi mô tả thay đổi giữa các mục. Đây là lỗi rất thường gặp khi nhiều người cùng góp nội dung nhưng không có người rà cuối.

Checklist trước khi in, ký hoặc hoàn thiện hồ sơ

Trước khi chốt bản hồ sơ, anh/chị nên tự rà lại các điểm sau:

1. Tên hệ thống đã thống nhất ở toàn bộ tài liệu chưa
2. Phạm vi hệ thống đã mô tả đủ rõ chưa
3. Dữ liệu xử lý đã mô tả đúng bản chất chưa
4. Phần đề xuất cấp độ có lập luận rõ chưa
5. Phương án bảo đảm an toàn thông tin có ăn khớp với cấp độ đề xuất không
6. Các phần có dùng cùng một cách gọi, cùng một logic mô tả không
7. Có chỗ nào đang dùng văn mẫu quá chung chung không
8. Có chỗ nào mô tả khác với hiện trạng thực tế không

Chỉ cần check kỹ 8 điểm này, chất lượng hồ sơ thường đã khá hơn nhiều.

Khi nào nên nhờ đơn vị tư vấn rà soát lại mẫu và nội dung?

Anh/chị nên cân nhắc nhờ đơn vị có kinh nghiệm hỗ trợ nếu:

• có mẫu nhưng không chắc điền đã đúng
• nhiều đầu mối nội bộ cùng góp ý, nội dung bị rối
• hệ thống có nhiều thành phần hoặc nhiều kết nối
• cần làm nhanh nhưng vẫn phải bám hiện trạng
• muốn vừa hoàn thiện hồ sơ vừa chuẩn bị cho lộ trình kỹ thuật

Nếu đang ở giai đoạn này, anh/chị có thể xem thêm:

• dịch vụ lập hồ sơ đề xuất cấp độ
• hồ sơ đề xuất cấp độ là gì
• quy trình lập hồ sơ đề xuất cấp độ

7 tài liệu đầu vào nên có trước khi điền mẫu hồ sơ

1. Mô tả ngắn về hệ thống và mục đích sử dụng
2. Sơ đồ hệ thống hoặc sơ đồ kết nối hiện có
3. Danh sách thành phần chính: ứng dụng, máy chủ, CSDL
4. Mô tả loại dữ liệu đang xử lý
5. Danh sách nhóm người dùng chính
6. Tài liệu kỹ thuật hoặc vận hành hiện có
7. Đầu mối xác nhận nội dung giữa IT và bộ phận quản lý

Có đủ 7 đầu mục này, việc điền mẫu sẽ nhanh và chính xác hơn rất nhiều.

Câu hỏi thường gặp về mẫu hồ sơ đề xuất cấp độ

Mẫu hồ sơ đề xuất cấp độ là gì?

Là bộ khung biểu mẫu hoặc cấu trúc tài liệu dùng để trình bày hồ sơ đề xuất cấp độ an toàn hệ thống thông tin. Nó giúp đơn vị biết cần trình bày những phần nào trong bộ hồ sơ. (Chinh Phu Document System)

Có mẫu là làm được hồ sơ ngay không?

Không. Mẫu chỉ là phần khung. Phần khó là mô tả đúng hệ thống, dữ liệu, mức độ ảnh hưởng và căn cứ đề xuất cấp độ.

Có thể dùng hồ sơ của đơn vị khác làm mẫu không?

Chỉ nên tham khảo cách bố cục, không nên sao chép nội dung. Hồ sơ phải bám đúng hiện trạng và logic của hệ thống thực tế.

Phần nào khó nhất khi điền mẫu?

Thường khó nhất là:

• xác định đúng phạm vi hệ thống
• mô tả dữ liệu và ảnh hưởng
• lập luận cho cấp độ đề xuất
• viết phương án bảo đảm an toàn thông tin cho logic

Sau khi có mẫu thì nên làm gì tiếp?

Nên chuẩn hóa đầu vào, điền từng phần theo hiện trạng thực tế, rà lại tính thống nhất của nội dung rồi mới hoàn thiện hồ sơ.

Kết luận

Nếu anh/chị đang tìm mẫu hồ sơ đề xuất cấp độ, điều quan trọng không phải chỉ là có một file mẫu để điền, mà là hiểu rõ mỗi phần trong mẫu dùng để làm gì và nên điền như thế nào để phản ánh đúng hệ thống thực tế.

Một mẫu tốt giúp anh/chị:

• không bỏ sót cấu trúc
• dễ chia việc cho các đầu mối nội bộ
• dễ rà lại logic hồ sơ
• giảm bớt tình trạng viết lan man hoặc lệch trọng tâm

Nhưng để hồ sơ thực sự dùng được, vẫn cần bước quan trọng nhất: điền nội dung bằng dữ liệu thật của hệ thống, không phải bằng văn mẫu chung chung.

Nhận checklist điền mẫu hồ sơ đề xuất cấp độ

Nếu anh/chị đang cần:

• biết mẫu hồ sơ nên có những phần nào
• rà xem hồ sơ hiện tại đang thiếu gì
• muốn có checklist trước khi hoàn thiện bản cuối

hãy bắt đầu từ một checklist đầu vào và checklist rà lỗi trước khi nộp. Cách này giúp tiết kiệm rất nhiều thời gian sửa lại về sau.

FAQ

Mẫu hồ sơ đề xuất cấp độ có bắt buộc theo Thông tư 12/2022 không?
Khi làm hồ sơ, anh/chị nên bám khung quy định và hướng dẫn hiện hành tại Thông tư 12/2022/TT-BTTTT và Nghị định 85/2016/NĐ-CP. (Chinh Phu Document System)

Có thể tải mẫu về rồi điền luôn không?
Có thể dùng để tham khảo khung, nhưng nội dung phải bám đúng hiện trạng hệ thống chứ không nên sao chép máy móc.

Phần nào dễ sai nhất trong mẫu hồ sơ?
Thường là phần mô tả phạm vi hệ thống, dữ liệu xử lý, mức độ ảnh hưởng và căn cứ đề xuất cấp độ.

Nên đọc gì tiếp sau bài này?
Nên xem thêm bài quy trình lập hồ sơ đề xuất cấp độ và dịch vụ lập hồ sơ đề xuất cấp độ.

Đoàn Trình Dục

Đoàn Trình Dục là Giảng viên Khoa Công nghệ Thông tin tại Đại học Công nghệ Sài Gòn (STU), với hơn 10 năm kinh nghiệm thực chiến trong các lĩnh vực Mạng máy tính, Marketing Online, SEO và Bảo mật hệ thống.
Với nền tảng sư phạm và kinh nghiệm tư vấn cho nhiều doanh nghiệp, thầy chuyên sâu vào việc xây dựng các giải pháp kỹ thuật số toàn diện và hiệu quả.