An toàn thông tin

Quy trình triển khai bảo mật hệ thống từ A–Z cho doanh nghiệp

Posted on by Đoàn Trình Dục
04
Th4

Nhiều doanh nghiệp chỉ thật sự nghĩ nghiêm túc về bảo mật sau một sự cố. Có thể là website bị chèn mã lạ. Có thể là tài khoản quản trị bị dùng sai mục đích. Cũng có thể là đến lúc audit, thanh tra hoặc làm việc với đối tác lớn thì mới phát hiện hệ thống đang vận hành ổn bề ngoài, nhưng lớp bảo mật bên dưới lại rất rời rạc.

Điều đáng nói là phần lớn doanh nghiệp không thiếu công cụ. Họ có firewall, có antivirus, có backup, có tài khoản admin, có cả đơn vị kỹ thuật hỗ trợ. Nhưng mọi thứ vẫn chưa tạo thành một quy trình bảo mật hệ thống đúng nghĩa.

Đó là lý do nhiều nơi đầu tư không ít, nhưng cảm giác vẫn không yên tâm.

Bài viết này đi theo góc nhìn thực chiến: không bắt đầu từ chuyện mua thiết bị gì, cài phần mềm gì, mà bắt đầu từ câu hỏi quan trọng hơn: doanh nghiệp phải triển khai bảo mật theo trình tự nào để vừa đúng, vừa đỡ tốn tiền sửa sai về sau. Khung pháp lý hiện hành ở Việt Nam cũng đi theo logic đó: Nghị định 85/2016/NĐ-CP quy định từ việc xác định hệ thống, xác định cấp độ, đến trách nhiệm bảo đảm an toàn hệ thống thông tin; Thông tư 12/2022/TT-BTTTT hướng dẫn chi tiết cả nhóm yêu cầu quản lý lẫn nhóm yêu cầu kỹ thuật; và Chỉ thị 09/CT-TTg năm 2024 tiếp tục yêu cầu tăng cường tuân thủ và bảo đảm an toàn hệ thống thông tin theo cấp độ. (VBPL)

Hướng dẫn khác:

  1. Báo giá dịch vụ lập hồ sơ đề xuất cấp độ và triển khai bảo mật
  2. Tiêu chuẩn kiến trúc bảo mật cho hệ thống thông tin cấp độ 2
  3. Hệ thống chưa có hồ sơ cấp độ: cách rà soát và xử lý cho doanh nghiệp
  4. Giải pháp hạ tầng bảo mật toàn diện cho hệ thống máy chủ cấp độ 2 và 3
  5. Hướng dẫn phân loại hệ thống thông tin cấp độ 1, 2, 3, 4, 5
  6. Khi bị thanh tra an toàn thông tin, doanh nghiệp cần chuẩn bị hồ sơ gì?

Tóm tắt nội dung

Vì sao doanh nghiệp cần một quy trình bảo mật thay vì chỉ mua công cụ?

Một trong những hiểu lầm phổ biến nhất là nghĩ rằng bảo mật hệ thống bắt đầu bằng việc mua firewall, mua phần mềm bảo vệ đầu cuối hoặc thuê đơn vị quét lỗ hổng.

Những thứ đó cần. Nhưng chúng không tự tạo ra một hệ thống an toàn.

Nếu doanh nghiệp chưa biết mình đang có những tài sản số nào, dữ liệu nào đang quan trọng nhất, ai đang có quyền truy cập vào đâu, quy trình sao lưu ra sao, khi sự cố xảy ra ai là người xử lý đầu tiên, thì dù có thêm công cụ, hệ thống vẫn dễ hở theo cách rất cơ bản. Thông tư 12/2022/TT-BTTTT cũng không chỉ nói về kỹ thuật; văn bản này quy định chi tiết việc xác định hệ thống thông tin, thuyết minh cấp độ an toàn, yêu cầu quản lý, yêu cầu kỹ thuật, cũng như kiểm tra và đánh giá an toàn thông tin. (VBPL)

Nói dễ hiểu hơn, bảo mật hệ thống là bài toán của ba lớp đi cùng nhau:

  • lớp quản trị;
  • lớp kỹ thuật;
  • lớp vận hành thực tế.

Thiếu một trong ba lớp đó, doanh nghiệp thường rơi vào tình trạng “có làm bảo mật nhưng không thành hệ thống”.

Câu chuyện quen thuộc: hệ thống chạy ổn, nhưng bảo mật đang làm theo kiểu vá chỗ nào hở chỗ đó

Một doanh nghiệp SME có website bán hàng, máy chủ riêng, cơ sở dữ liệu khách hàng và vài tài khoản quản trị dùng chung giữa nhiều bộ phận. Họ vẫn nghĩ mình khá an toàn vì:

  • có backup;
  • có đổi mật khẩu định kỳ;
  • có cài phần mềm chống virus;
  • thỉnh thoảng có bên kỹ thuật vào cập nhật.

Cho đến khi họ cần làm việc với một đối tác lớn và bị hỏi rất thẳng:

  • Hệ thống này đã được rà soát tài sản số chưa?
  • Dữ liệu nào là dữ liệu quan trọng?
  • Ai đang giữ quyền quản trị cao nhất?
  • Có log giám sát không?
  • Có quy trình ứng cứu sự cố không?
  • Có kiểm tra khả năng phục hồi dữ liệu sau backup không?

Lúc đó doanh nghiệp mới nhận ra: mình không hẳn “không làm gì”, nhưng mọi thứ đang rời rạc. Và đó là khác biệt rất lớn giữa có vài biện pháp bảo mậtcó một quy trình triển khai bảo mật hệ thống.

Quy trình triển khai bảo mật hệ thống từ A–Z cho doanh nghiệp

Muốn làm bài bản, doanh nghiệp nên đi theo 10 bước dưới đây.

Bước 1: Xác định đúng hệ thống cần bảo vệ

Đây là bước đầu tiên, và là bước nhiều doanh nghiệp làm sai nhất.

Khi nói “bảo mật hệ thống”, bạn đang nói tới cái gì? Website? App? API? Máy chủ? Cơ sở dữ liệu? Hệ thống quản trị nội bộ? Hay là tất cả những thứ đó cộng lại?

Nếu không khoanh đúng phạm vi từ đầu, doanh nghiệp rất dễ làm bảo mật theo kiểu phần nào thấy rõ thì xử lý, còn phần nào nằm phía sau thì bỏ sót. Nghị định 85/2016/NĐ-CP đặt việc xác định hệ thống thông tin và xác định cấp độ an toàn hệ thống thông tin ở vị trí nền tảng của toàn bộ quá trình bảo đảm an toàn hệ thống thông tin. (VBPL)

Nói ngắn gọn: trước khi bảo vệ, phải biết chính xác mình đang bảo vệ cái gì.

Bước 2: Kiểm kê tài sản số và luồng dữ liệu

Sau khi khoanh hệ thống, việc tiếp theo là kiểm kê.

Doanh nghiệp cần biết tối thiểu:

  • có bao nhiêu máy chủ;
  • có những ứng dụng nào đang chạy;
  • cơ sở dữ liệu đặt ở đâu;
  • có bao nhiêu tài khoản quản trị;
  • dữ liệu đi từ đâu đến đâu;
  • thành phần nào đang kết nối với thành phần nào.

Bước này nghe có vẻ kỹ thuật, nhưng thực ra rất gần với quản trị. Vì nếu không có danh mục tài sản số và luồng dữ liệu, doanh nghiệp rất khó ưu tiên đúng chỗ cần bảo vệ trước.

Rất nhiều nơi mua thêm công cụ bảo mật trong khi vẫn chưa có bức tranh tổng thể về tài sản số của mình. Đó là lý do chi tiền nhưng không chắc đang bảo vệ đúng chỗ nguy hiểm nhất.

Bước 3: Phân loại dữ liệu và đánh giá rủi ro

Không phải dữ liệu nào cũng quan trọng như nhau.

Có dữ liệu marketing bị lộ thì phiền. Nhưng có dữ liệu khách hàng, dữ liệu giao dịch, dữ liệu hợp đồng, tài khoản quản trị hoặc dữ liệu vận hành nội bộ mà nếu lộ, bị sửa hoặc bị xóa thì hậu quả lớn hơn rất nhiều.

Ở bước này, doanh nghiệp nên trả lời ba câu hỏi:

Nếu dữ liệu này bị lộ, ai bị ảnh hưởng?
Nếu hệ thống này ngừng hoạt động, doanh nghiệp mất gì?
Nếu dữ liệu bị sửa sai hoặc xóa trái phép, mức độ thiệt hại là gì?

Chính tư duy “đánh giá mức độ ảnh hưởng” này là nền tảng để xác định cấp độ và biện pháp bảo vệ tương ứng theo Nghị định 85/2016/NĐ-CP. (VBPL)

Nói theo ngôn ngữ của chủ doanh nghiệp: đừng bảo vệ mọi thứ như nhau. Hãy xác định cái gì mất sẽ đau nhất trước.

Bước 4: Đánh giá hiện trạng bảo mật

Đây là bước giúp doanh nghiệp thoát khỏi cảm giác “hình như mình cũng đã làm rồi”.

Hãy kiểm tra lại một cách thẳng thắn:

  • đã có phân quyền tài khoản rõ ràng chưa;
  • có backup nhưng đã kiểm tra khả năng phục hồi chưa;
  • có firewall nhưng đã cấu hình phù hợp chưa;
  • có log nhưng có ai thực sự theo dõi không;
  • có quy trình xử lý sự cố không;
  • có quy chế an toàn thông tin nội bộ chưa.

Rất nhiều doanh nghiệp đến bước này mới phát hiện mình đang có “nhiều mảnh bảo mật”, chứ chưa có “một hệ thống bảo mật”.

Thông tư 12/2022/TT-BTTTT quy định yêu cầu cơ bản theo cấp độ gồm cả yêu cầu quản lý và yêu cầu kỹ thuật. Điều đó có nghĩa là chỉ có công cụ kỹ thuật mà thiếu lớp quản lý, vận hành và kiểm tra thì vẫn chưa đủ. (VBPL)

Bước 5: Xác định khoảng trống cần xử lý

Sau khi rà hiện trạng, doanh nghiệp sẽ nhìn thấy các khoảng trống. Thường chúng rơi vào 5 nhóm:

  • thiếu về quản trị;
  • thiếu về tài liệu;
  • thiếu về kỹ thuật;
  • thiếu về giám sát;
  • thiếu về nhân sự và phối hợp.

Đây là bước rất quan trọng vì nó quyết định thứ tự đầu tư.

Có khoảng trống phải xử lý ngay vì rủi ro cao. Có khoảng trống quan trọng nhưng có thể làm theo lộ trình. Có khoảng trống chỉ nên làm sau khi lớp nền đã ổn.

Nếu bỏ qua bước này, doanh nghiệp thường rơi vào hai cực đoan: hoặc làm quá ít, hoặc đầu tư quá nhiều nhưng sai thứ tự.

Bước 6: Thiết kế kiến trúc bảo mật phù hợp

Bảo mật hệ thống không phải lúc nào cũng đồng nghĩa với đầu tư lớn.

Điều quan trọng hơn là kiến trúc bảo mật phải phù hợp với hệ thống và mức độ rủi ro của doanh nghiệp.

Ở bước này, doanh nghiệp thường cần chốt các lớp như:

  • phân vùng hệ thống;
  • kiểm soát truy cập;
  • phân quyền tài khoản;
  • bảo vệ lớp mạng;
  • bảo vệ máy chủ;
  • bảo vệ ứng dụng;
  • bảo vệ dữ liệu;
  • sao lưu và phục hồi.

Thông tư 12/2022/TT-BTTTT cũng cho phép, với hệ thống cấp độ 1, 2, 3, có thể xem xét khả năng dùng chung giải pháp bảo vệ, chia sẻ tài nguyên để tối ưu và tránh đầu tư trùng lặp. (VBPL)

Điều này rất có ý nghĩa với SME. Không phải lúc nào doanh nghiệp cũng cần mua thêm thật nhiều. Nhiều khi cái cần hơn là sắp lại cho đúng.

Bước 7: Xây quy chế, chính sách và quy trình nội bộ

Đây là phần nhiều doanh nghiệp ngại nhất vì nghĩ rằng “toàn giấy tờ”.

Nhưng trên thực tế, nếu thiếu lớp này, hệ thống rất dễ phụ thuộc hoàn toàn vào một vài cá nhân kỹ thuật. Người còn thì hệ thống chạy. Người nghỉ thì không ai biết đang vận hành theo nguyên tắc nào.

Doanh nghiệp nên có tối thiểu:

  • quy chế an toàn thông tin;
  • quy trình quản lý tài khoản;
  • quy trình phân quyền;
  • quy trình backup và restore;
  • quy trình quản lý thay đổi;
  • quy trình ứng cứu sự cố.

Thông tư 12/2022/TT-BTTTT đặt ra rõ nhóm yêu cầu quản lý trong bảo đảm an toàn hệ thống thông tin theo cấp độ; đây không phải phần “thêm cho đẹp”, mà là phần cốt lõi của triển khai. (VBPL)

Nói đơn giản: bảo mật không thể chỉ nằm trong đầu người IT.

Bước 8: Triển khai các biện pháp kỹ thuật

Đây là bước mà nhiều doanh nghiệp hay gọi chung là “làm bảo mật”.

Đúng là ở bước này mới bắt đầu đi vào phần dễ nhìn thấy như:

  • cấu hình firewall;
  • hardening máy chủ;
  • cập nhật bản vá;
  • thiết lập backup;
  • rà quét lỗ hổng;
  • bảo vệ endpoint;
  • giám sát log cơ bản;
  • kiểm soát tài khoản quản trị.

Nhưng nếu đi thẳng vào bước 8 mà chưa làm các bước trước, doanh nghiệp rất dễ xử lý thiếu hệ thống. Khi đó kỹ thuật vẫn làm, nhưng làm xong rồi vẫn không chắc mình đã bảo vệ đúng nơi có rủi ro cao nhất.

Bước 9: Kiểm tra, đánh giá và hiệu chỉnh

Triển khai xong chưa phải là xong.

Doanh nghiệp vẫn cần kiểm tra lại:

  • cấu hình đang có khớp với chính sách không;
  • backup có phục hồi được không;
  • lỗ hổng đã được giảm chưa;
  • log có thực sự ghi nhận đủ không;
  • quyền truy cập có đang bị mở quá rộng không.

Thông tư 12/2022/TT-BTTTT có riêng phần quy định về kiểm tra và đánh giá an toàn thông tin, cho thấy việc rà soát sau triển khai là một phần bắt buộc của tư duy bảo đảm an toàn thông tin theo cấp độ. (VBPL)

Rất nhiều hệ thống nhìn ổn ở thời điểm triển khai, nhưng chỉ khi kiểm tra lại mới thấy còn những điểm lệch nhỏ mà nếu bỏ qua thì sau này thành lỗ hổng lớn.

Bước 10: Vận hành, giám sát và cải tiến liên tục

Đây là bước biến bảo mật từ “một dự án” thành “một năng lực vận hành”.

Vì hệ thống sẽ thay đổi. Người dùng sẽ thay đổi. Dữ liệu sẽ tăng lên. Tích hợp mới sẽ xuất hiện. Và mọi thay đổi đó đều kéo theo rủi ro mới.

Doanh nghiệp cần có nhịp vận hành tối thiểu cho bảo mật như:

  • theo dõi cảnh báo;
  • rà soát định kỳ;
  • cập nhật bản vá;
  • đào tạo nhận thức;
  • diễn tập ứng cứu sự cố;
  • rà lại khi hệ thống thay đổi.

Chỉ thị 09/CT-TTg năm 2024 cũng cho thấy xu hướng quản lý đang nhấn mạnh mạnh hơn vào tuân thủ thực chất, không chỉ hoàn thiện hồ sơ trên giấy. (Van Ban Chinh Phu)

Nếu nhìn theo timeline doanh nghiệp, quy trình này diễn ra như thế nào?

Để dễ hình dung, bạn có thể xem toàn bộ quy trình A–Z như 5 giai đoạn lớn.

  • Giai đoạn đầu là xác định phạm vi và rà hệ thống.
  • Giai đoạn tiếp theo là đánh giá rủi ro và hiện trạng.
  • Sau đó là thiết kế giải pháp, chính sách và quy trình.
  • Rồi đến triển khai kỹ thuật và quản trị.
  • Cuối cùng là kiểm tra, hiệu chỉnh và vận hành lâu dài.

Chủ doanh nghiệp không cần nhớ từng dòng cấu hình kỹ thuật. Nhưng rất nên biết hệ thống của mình đang đứng ở giai đoạn nào. Chỉ cần nắm được điều này, bạn sẽ kiểm soát quyết định tốt hơn rất nhiều.

Những lỗi khiến doanh nghiệp triển khai bảo mật mãi không xong

  • Lỗi đầu tiên là bắt đầu từ công cụ thay vì bắt đầu từ hệ thống.
  • Lỗi thứ hai là không kiểm kê tài sản số và dữ liệu, nên không biết đâu là ưu tiên thật.
  • Lỗi thứ ba là không có một đầu mối chịu trách nhiệm. Khi đó mọi bộ phận đều liên quan, nhưng không ai chốt.
  • Lỗi thứ tư là có kỹ thuật nhưng thiếu quy trình, khiến mọi thứ phụ thuộc vào con người.
  • Lỗi thứ năm là làm xong một lần rồi bỏ đó, trong khi hệ thống vẫn thay đổi liên tục.
  • Lỗi cuối cùng là chỉ bắt đầu làm khi sắp audit, sắp thanh tra hoặc vừa xảy ra sự cố. Chỉ thị 09/CT-TTg năm 2024 cho thấy định hướng quản lý là tăng cường tuân thủ chủ động, không chờ đến lúc phát sinh vấn đề mới xử lý. (Van Ban Chinh Phu)

Checklist rà nhanh: doanh nghiệp bạn đang ở đâu trong quy trình này?

Hãy tự hỏi 8 câu:

  • Doanh nghiệp đã xác định rõ hệ thống nào cần bảo vệ chưa?
  • Đã kiểm kê máy chủ, ứng dụng, dữ liệu và tài khoản quản trị chưa?
  • Đã biết dữ liệu nào là dữ liệu quan trọng nhất chưa?
  • Đã có quy chế và quy trình ATTT chưa?
  • Đã có backup, phân quyền, log và giám sát chưa?
  • Đã có quy trình ứng cứu sự cố chưa?
  • Đã kiểm tra, đánh giá định kỳ chưa?
  • Đã có đầu mối chịu trách nhiệm rõ ràng chưa?

Nếu trả lời “chưa rõ” ở nhiều câu, nghĩa là doanh nghiệp chưa thật sự ở giai đoạn triển khai bài bản, mà mới chỉ có các mảnh rời rạc của bảo mật.

Khi nào nên thuê đơn vị hỗ trợ triển khai?

Doanh nghiệp nên cân nhắc thuê hỗ trợ khi:

  • hệ thống đã chạy lâu nhưng bảo mật rời rạc;
  • không chắc nên bắt đầu từ đâu;
  • sắp audit, nghiệm thu hoặc bị đối tác hỏi sâu;
  • muốn giảm thời gian thử-sai;
  • cần làm đồng thời cả hồ sơ, quy trình và kỹ thuật.

Việc thuê hỗ trợ không chỉ để “làm hộ”, mà để tránh sai ngay từ bước xác định phạm vi và thứ tự triển khai. Sai ở bước đầu thường dẫn đến đầu tư dư chỗ này, thiếu chỗ kia.

Kết luận

Quy trình triển khai bảo mật hệ thống từ A–Z cho doanh nghiệp không bắt đầu từ việc mua thiết bị, cũng không bắt đầu từ việc viết thật nhiều quy trình.

Nó bắt đầu từ việc xác định đúng hệ thống, đúng dữ liệu, đúng rủi ro, rồi mới đi đến thiết kế giải pháp, xây quy chế, triển khai kỹ thuật, kiểm tra và vận hành lâu dài. Đó cũng chính là logic mà khung pháp lý hiện hành ở Việt Nam đang áp dụng cho bảo đảm an toàn hệ thống thông tin theo cấp độ. (VBPL)

Doanh nghiệp làm càng sớm, chi phí sửa sai càng thấp. Càng để lâu, hệ thống càng phức tạp và việc “vá bảo mật” càng đắt.

FAQ

Doanh nghiệp nhỏ có cần triển khai bảo mật bài bản không?

Có. Quy mô nhỏ không có nghĩa là rủi ro nhỏ. Nếu hệ thống có dữ liệu khách hàng, tài khoản quản trị hoặc dữ liệu vận hành quan trọng, doanh nghiệp vẫn cần một quy trình bảo mật tối thiểu.

Nên làm hồ sơ trước hay làm kỹ thuật trước?

Thực tế nên rà hệ thống và hiện trạng trước, rồi mới chốt hồ sơ, quy trình và kỹ thuật theo đúng thứ tự. Làm kỹ thuật hoặc làm hồ sơ trước một cách tách rời đều dễ gây lệch.

Bảo mật hệ thống có bắt buộc phải theo cấp độ không?

Khung pháp lý hiện hành về bảo đảm an toàn hệ thống thông tin theo cấp độ đang là nền tảng chính cho việc xác định và triển khai biện pháp bảo vệ đối với hệ thống thông tin thuộc phạm vi áp dụng. (VBPL)

Bao lâu nên rà soát lại hệ thống một lần?

Điều này phụ thuộc loại hệ thống và mức độ thay đổi, nhưng nguyên tắc chung là phải kiểm tra, đánh giá định kỳ và rà lại khi có thay đổi đáng kể về kiến trúc, dữ liệu hoặc vận hành. (VBPL)

Có thể tự triển khai bảo mật nội bộ không?

Có thể, nếu doanh nghiệp có đủ năng lực quản trị, kỹ thuật và đầu mối phối hợp. Nhưng với hệ thống phức tạp hoặc đang cần gấp, việc có đơn vị hỗ trợ thường giúp rút ngắn thời gian thử-sai.

  • Hồ sơ đề xuất cấp độ có bắt buộc không? Doanh nghiệp nào cần làm?
  • Hệ thống chưa có hồ sơ cấp độ: cách rà soát và xử lý cho doanh nghiệp
  • Khi bị thanh tra an toàn thông tin, doanh nghiệp cần chuẩn bị hồ sơ gì?
  • Chi phí làm hồ sơ cấp độ 2 là bao nhiêu?
  • Dịch vụ rà soát và triển khai an toàn thông tin tại dichvuvietcontent.com

Nếu bạn muốn, mình sẽ viết tiếp phiên bản ngắn hơn, đậm tính landing page hoặc thiết kế thumbnail headline cho bài này.

💬 Chat Zalo ☎️ Hotline: 0346 844 259