Quy trình 5 bước xây dựng và thẩm định hồ sơ đề xuất cấp độ

Nhiều đơn vị có đủ thiện chí làm hồ sơ cấp độ, có mẫu biểu, có đầu mối phối hợp, nhưng khi bắt tay vào làm lại rất dễ rơi vào tình trạng: hỏi thông tin vòng quanh, mô tả hệ thống không thống nhất, chưa chốt được phạm vi, chưa rõ nên làm phần nào trước. Kết quả là hồ sơ cứ kéo dài, càng làm càng rối, đến khi gần cần nộp hoặc cần trình thì lại phải làm gấp.

Về nền tảng pháp lý, việc bảo đảm an toàn hệ thống thông tin theo cấp độ được đặt trên Nghị định 85/2016/NĐ-CP; Thông tư 12/2022/TT-BTTTT quy định chi tiết và hướng dẫn một số điều của nghị định này; còn Chỉ thị 09/CT-TTg ngày 23/02/2024 tiếp tục nhấn mạnh việc tuân thủ và tăng cường bảo đảm an toàn hệ thống thông tin theo cấp độ. (Văn Bản Chính Phủ)

Tóm tắt nhanh:
Quy trình lập hồ sơ đề xuất cấp độ hiệu quả thường đi qua 5 bước: rà soát hiện trạng → xác định phạm vi và cấp độ sơ bộ → soạn hồ sơ → rà soát, hoàn thiện nội dung → hỗ trợ nộp và chỉnh sửa khi cần. Làm đúng thứ tự này sẽ giúp giảm đáng kể số vòng sửa về sau. (Văn Bản Chính Phủ)

Vì sao cần có một quy trình rõ khi làm hồ sơ đề xuất cấp độ?

Rất nhiều hồ sơ không chậm vì thiếu người làm, mà chậm vì thiếu thứ tự làm việc hợp lý.

Một số tình huống rất thường gặp:

• bắt đầu viết ngay khi chưa chốt phạm vi hệ thống
• xin thông tin kỹ thuật từ nhiều bộ phận nhưng không có người chuẩn hóa
• điền biểu mẫu trước rồi mới quay lại hỏi dữ liệu
• phần đầu hồ sơ viết một kiểu, phần sau viết một kiểu
• phần đề xuất cấp độ chưa khớp với mô tả hệ thống

Khi có quy trình rõ, đơn vị sẽ:

• biết nên hỏi thông tin gì trước
• tránh làm sai từ bước đầu
• giảm cảnh “viết đi viết lại”
• rút ngắn thời gian phối hợp nội bộ
• dễ đồng bộ hơn giữa hồ sơ và hiện trạng kỹ thuật

Quy trình lập hồ sơ đề xuất cấp độ gồm 5 bước nào?

Về mặt thực tế triển khai, có thể chia thành 5 bước chính.

Bước 1: Rà soát hiện trạng hệ thống và gom đầu vào

Đây là bước nền, nhưng cũng là bước hay bị làm qua loa nhất.

Mục tiêu của bước này là trả lời:

• hệ thống tên gì
• đang phục vụ nghiệp vụ gì
• ai đang quản lý, vận hành
• có những thành phần chính nào
• đang xử lý dữ liệu gì
• có kết nối với hệ thống khác không
• có website, app, API hoặc truy cập từ xa hay không

Nên gom những tài liệu gì ở bước này?

Ít nhất nên có:

• mô tả ngắn về hệ thống
• sơ đồ hệ thống hoặc sơ đồ kết nối
• danh sách thành phần chính: ứng dụng, máy chủ, cơ sở dữ liệu
• mô tả loại dữ liệu đang xử lý
• đầu mối kỹ thuật và đầu mối quản lý
• tài liệu vận hành hoặc tài liệu bàn giao hiện có

Vì sao bước 1 quan trọng nhất?

Vì nếu đầu vào sai hoặc thiếu, các bước sau gần như chắc chắn phải sửa lại.
Kinh nghiệm thực tế cho thấy, chỉ cần làm kỹ bước chuẩn hóa đầu vào, thời gian làm hồ sơ thường giảm đi khá nhiều.

Bước 2: Xác định phạm vi hệ thống và cấp độ sơ bộ

Sau khi đã có đầu vào cơ bản, bước tiếp theo là chốt:

• hệ thống nào đang được đưa vào hồ sơ
• phần nào thuộc phạm vi mô tả
• phần nào chỉ là thành phần liên quan
• mức độ ảnh hưởng của hệ thống ở đâu
• cấp độ sơ bộ nên được nhìn nhận thế nào

Nghị định 85/2016/NĐ-CP là văn bản nền quy định về bảo đảm an toàn hệ thống thông tin theo cấp độ; Thông tư 12/2022/TT-BTTTT hướng dẫn chi tiết thêm một số nội dung liên quan. (Văn Bản Chính Phủ)

Vì sao nhiều hồ sơ bị lệch ngay ở bước này?

Do đơn vị thường gặp một trong 3 lỗi:

• gộp phạm vi quá rộng
• tách phạm vi quá hẹp
• chưa nhìn đúng dữ liệu và mức độ ảnh hưởng của hệ thống

Nếu bước 2 chưa chắc, không nên vội viết sâu sang phần đề xuất cấp độ hay phương án bảo đảm an toàn thông tin.

Nếu anh/chị cần hiểu kỹ hơn góc này, nên đọc thêm bài xác định cấp độ an toàn thông tin.

Bước 3: Soạn hồ sơ theo cấu trúc và logic thống nhất

Khi đầu vào đã tương đối rõ, mới nên đi sang bước soạn hồ sơ.

Một bộ hồ sơ đề xuất cấp độ thường cần thể hiện được:

• thông tin chung về hệ thống
• phạm vi và thành phần hệ thống
• dữ liệu xử lý
• mức độ ảnh hưởng
• cấp độ đề xuất và căn cứ đề xuất
• phương án bảo đảm an toàn thông tin tương ứng

Ở bước này nên làm gì để tránh rối?

Có 3 nguyên tắc rất quan trọng:

Một là, dùng cùng một cách gọi cho toàn bộ hồ sơ.
Tên hệ thống, thành phần chính, đầu mối, dữ liệu phải được mô tả nhất quán.

Hai là, viết từ thực tế hệ thống chứ không viết từ văn mẫu.
Mẫu chỉ là khung. Nội dung phải bám đúng hiện trạng.

Ba là, đi từ logic nghiệp vụ → dữ liệu → ảnh hưởng → cấp độ → phương án.
Đây là trình tự giúp người đọc theo dõi hồ sơ dễ hơn nhiều.

Nếu anh/chị cần khung biểu mẫu trước, nên đọc thêm bài mẫu hồ sơ đề xuất cấp độ.

Bước 4: Rà soát nội bộ và hoàn thiện hồ sơ

Đây là bước rất hay bị xem nhẹ. Nhiều đơn vị soạn xong là nghĩ đã hoàn thành, nhưng thực tế phần rà soát mới là nơi giúp hồ sơ “đỡ hỏng”.

Bước rà soát cần kiểm tra những gì?

Ít nhất nên kiểm tra:

• tên hệ thống có thống nhất không
• phạm vi mô tả có rõ không
• dữ liệu xử lý có đúng không
• phần đề xuất cấp độ có logic không
• phương án bảo đảm an toàn thông tin có ăn khớp với cấp độ đề xuất không
• các bộ phận liên quan đã xác nhận nội dung chưa

Vì sao hồ sơ hay phải sửa nhiều vòng?

Thường vì một trong các lý do sau:

• IT mô tả một kiểu, quản lý mô tả một kiểu
• phần đầu hồ sơ nói quá chung, phần sau lại quá chi tiết
• mô tả kỹ thuật nhiều nhưng thiếu góc nhìn quản lý
• đề xuất cấp độ không được giải thích đủ rõ
• nội dung được ghép từ nhiều nguồn nhưng không có người rà cuối

Làm tốt bước 4 sẽ giúp giảm rất nhiều rủi ro phải chỉnh lớn ở giai đoạn sau.

Bước 5: Hỗ trợ nộp, giải trình và chỉnh sửa khi cần

Đây là bước nhiều đơn vị nghĩ là “chỉ còn thủ tục”, nhưng thực ra vẫn rất quan trọng.

Trong thực tế, hồ sơ có thể cần:

• rà lại diễn đạt
• bổ sung chi tiết còn thiếu
• làm rõ hơn phạm vi hệ thống
• chỉnh lập luận đề xuất cấp độ
• hoàn thiện phần phương án bảo đảm an toàn thông tin

Vì sao cần chuẩn bị tâm thế chỉnh sửa?

Vì hồ sơ cấp độ không nên được nhìn như một bài nộp xong là kết thúc ngay. Đây là tài liệu phản ánh hệ thống thực tế, nên nếu có điểm chưa rõ thì việc chỉnh lại cho logic hơn là chuyện bình thường.

Điều quan trọng là:

• phải có đầu mối theo dõi
• phải giữ logic hồ sơ nhất quán
• không chỉnh mỗi chỗ một kiểu rồi làm lệch toàn bộ tài liệu

Thời gian làm hồ sơ đề xuất cấp độ thường mất bao lâu?

Không có một mốc cố định cho mọi hệ thống.
Thời gian thực tế phụ thuộc vào:

• quy mô hệ thống
• mức độ sẵn sàng của tài liệu đầu vào
• số lượng đầu mối cần phối hợp
• mức độ rõ ràng của phạm vi hệ thống
• việc có cần làm song song với rà soát kỹ thuật hay không

Thông thường, thứ kéo dài thời gian nhất không phải là viết tài liệu, mà là:

• chờ xác nhận thông tin
• gom tài liệu từ nhiều bộ phận
• chỉnh lại các phần mô tả chưa thống nhất

Những điểm thường làm quy trình bị chậm

Chưa chốt được phạm vi hệ thống

Đây là lý do phổ biến nhất.

Thiếu đầu mối phối hợp rõ ràng

Khi không ai chịu trách nhiệm gom và xác nhận thông tin, mọi việc sẽ chậm đáng kể.

Tài liệu đầu vào phân tán

Sơ đồ ở một nơi, mô tả dữ liệu ở một nơi, vận hành nhớ một kiểu, IT nhớ một kiểu.

Viết hồ sơ trước khi rà soát kỹ

Làm nhanh bước đầu thường khiến chậm ở bước sau.

Chưa nhìn đồng thời cả hồ sơ và kỹ thuật

Có những hệ thống cần rà soát hồ sơ song song với hiện trạng kỹ thuật để nội dung không bị lệch.

8 đầu việc nên hoàn thành ở mỗi bước

Để anh/chị dễ theo dõi, có thể dùng checklist rút gọn sau:

Ở bước 1

• chốt tên hệ thống
• gom mô tả nghiệp vụ
• gom sơ đồ hệ thống
• xác định thành phần chính
• xác định dữ liệu xử lý
• chốt đầu mối phối hợp
• gom tài liệu vận hành
• rà các điểm public exposure

Ở bước 2

• chốt phạm vi hệ thống
• tách phần liên quan và phần chính
• đánh giá dữ liệu
• nhìn mức độ ảnh hưởng
• định hướng cấp độ sơ bộ
• rà logic với nghiệp vụ
• rà logic với dữ liệu
• rà logic với hiện trạng

Ở bước 3

• soạn khung hồ sơ
• điền nội dung từng phần
• thống nhất cách gọi
• mô tả hệ thống đủ rõ
• mô tả dữ liệu đủ đúng
• lập luận cấp độ
• gắn phương án bảo đảm an toàn thông tin
• rà lần đầu

Ở bước 4

• kiểm tra tính thống nhất
• kiểm tra logic phạm vi
• kiểm tra logic dữ liệu
• kiểm tra logic cấp độ
• kiểm tra logic phương án
• xin xác nhận nội bộ
• chỉnh câu chữ
• hoàn thiện bản làm việc

Ở bước 5

• chuẩn bị bản hoàn thiện
• theo dõi góp ý
• chỉnh phần cần bổ sung
• giữ thống nhất toàn bộ hồ sơ
• rà lại sau chỉnh sửa
• hoàn thiện bản cuối
• lưu bản chuẩn
• sẵn sàng cho bước triển khai tiếp theo

Khi nào nên thuê đơn vị hỗ trợ theo quy trình trọn gói?

Anh/chị nên cân nhắc thuê tư vấn nếu:

• nội bộ không có người hiểu cả pháp lý lẫn kỹ thuật
• hệ thống đã chạy lâu nhưng tài liệu rời rạc
• nhiều bộ phận cùng tham gia nên khó chốt nội dung
• cần làm nhanh nhưng vẫn phải bám hiện trạng
• muốn vừa làm hồ sơ vừa chuẩn bị lộ trình kỹ thuật

Nếu đang ở tình huống này, có thể xem thêm bài dịch vụ lập hồ sơ đề xuất cấp độ.

Câu hỏi thường gặp về quy trình lập hồ sơ đề xuất cấp độ

Quy trình lập hồ sơ đề xuất cấp độ gồm mấy bước?

Một cách tiếp cận thực tế và dễ triển khai là chia thành 5 bước: rà soát hiện trạng, xác định phạm vi và cấp độ sơ bộ, soạn hồ sơ, rà soát hoàn thiện, hỗ trợ nộp và chỉnh sửa khi cần.

Có cần làm đúng theo thứ tự này không?

Nên làm theo thứ tự tương đối như vậy để tránh viết hồ sơ khi đầu vào chưa rõ. Một số hệ thống có thể cần làm song song vài phần, nhưng không nên bỏ qua bước rà soát nền.

Bước nào thường khó nhất?

Thường khó nhất là bước 1 và bước 2, vì đây là lúc phải gom đầu vào và chốt phạm vi hệ thống.

Có mẫu hồ sơ rồi thì quy trình có nhanh hơn không?

Có nhanh hơn ở phần hình dung cấu trúc, nhưng không thay thế được việc chuẩn hóa đầu vào và lập luận cho cấp độ đề xuất.

Sau khi làm xong hồ sơ thì nên làm gì tiếp?

Thường nên rà lại mức độ sẵn sàng của hiện trạng kỹ thuật và lộ trình triển khai các lớp bảo vệ tương ứng.

Kết luận

Nếu anh/chị đang tìm quy trình lập hồ sơ đề xuất cấp độ, cách làm hiệu quả nhất không phải là viết ngay từ biểu mẫu, mà là đi theo một trình tự rõ ràng:

• gom đúng đầu vào
• chốt đúng phạm vi
• viết theo logic thống nhất
• rà kỹ trước khi hoàn thiện
• chuẩn bị cho bước chỉnh sửa nếu cần

Làm đúng quy trình sẽ giúp hồ sơ:

• đỡ rối hơn
• đỡ lệch hiện trạng hơn
• ít sửa chồng chéo hơn
• và quan trọng nhất là dễ đi tiếp sang phần kỹ thuật và vận hành hơn

FAQ

Quy trình lập hồ sơ đề xuất cấp độ gồm những bước nào?
Thường gồm rà soát hiện trạng, xác định phạm vi và cấp độ sơ bộ, soạn hồ sơ, rà soát hoàn thiện và hỗ trợ chỉnh sửa khi cần.

Bước nào quan trọng nhất?
Thường là bước rà soát đầu vào và chốt phạm vi hệ thống, vì nếu hai phần này lệch thì các bước sau rất dễ phải sửa lại.

Có cần làm hồ sơ xong mới rà kỹ thuật không?
Tùy hệ thống. Nhiều trường hợp nên rà soát song song để hồ sơ và hiện trạng kỹ thuật không lệch nhau.

Sau bài này nên đọc gì?
Nên xem thêm bài mẫu hồ sơ đề xuất cấp độ và dịch vụ lập hồ sơ đề xuất cấp độ.

Đoàn Trình Dục

Đoàn Trình Dục là Giảng viên Khoa Công nghệ Thông tin tại Đại học Công nghệ Sài Gòn (STU), với hơn 10 năm kinh nghiệm thực chiến trong các lĩnh vực Mạng máy tính, Marketing Online, SEO và Bảo mật hệ thống.
Với nền tảng sư phạm và kinh nghiệm tư vấn cho nhiều doanh nghiệp, thầy chuyên sâu vào việc xây dựng các giải pháp kỹ thuật số toàn diện và hiệu quả.