5 cấp độ an toàn thông tin là gì: Định nghĩa và cách tuân thủ

Theo nghị định 85/2016/NĐ-CP, 5 cấp độ an toàn thông tin là khung phân loại giúp cơ quan. Từ đây, doanh nghiệp có thể xác định mức độ rủi ro và áp dụng biện pháp bảo vệ phù hợp cho từng hệ thống. Bài viết này, chúng ta sẽ tìm hiểu xem tiêu chí xác định cấp độ ATTT từ 1 đến 5, những yêu cầu quản lý – kỹ thuật cốt lõi, ví dụ hệ thống thường gặp, kèm bảng so sánh và FAQ để bạn triển khai thực tế trong bối cảnh an toàn thông tin mạng ngày càng phức tạp.

Trong kỷ nguyên số, dữ liệu là tài sản quý giá nhất của các tổ chức. Các hệ thống thông tin (HTTT) bị tấn công có thể làm rò rỉ dữ liệu, gây gián đoạn dịch vụ và thậm chí đe dọa an ninh quốc gia. Để chuẩn hoá việc bảo vệ và sử dụng nguồn lực hợp lý, Chính phủ Việt Nam đã ban hành Nghị định 85/2016/NĐ‑CP phân loại Hệ thống Thông tin theo 5 cấp độ an toàn thông tin. Theo đó, việc phân cấp giúp xác định mức độ rủi ro và áp dụng biện pháp bảo vệ phù hợp.

Ngoài tuân thủ pháp lý, phân loại cấp độ ATTT còn giúp doanh nghiệp tối ưu ngân sách bảo mật: chi cho các hệ thống quan trọng nhất trước, xây dựng lộ trình nâng cấp rõ ràng và nâng cao uy tín với khách hàng. Bài viết này sẽ phân tích sâu 5 cấp độ an toàn thông tin theo Nghị định 85 và thông tư hướng dẫn. Đồng thời cung cấp bảng so sánh, FAQ và quy trình tự đánh giá để độc giả có cái nhìn tổng quan và áp dụng thực tế.

Tổng quan 5 cấp độ an toàn thông tin

Theo Nghị định 85/2016/NĐ‑CP do Chính phủ ban hành, hệ thống thông tin tại Việt Nam được phân loại thành năm cấp độ, từ cấp độ 1 tới cấp độ 5. Tương ứng với đó là mức độ yêu cầu bảo vệ tăng dần. Mỗi cấp độ được xác định dựa trên phạm vi hoạt động, loại thông tin xử lý và hậu quả nếu hệ thống bị xâm hại. Theo đó:

• An toàn thông tin cấp độ 1 dành cho hệ thống thông tin thông thường, xử lý thông tin cá nhân hoặc bí mật nội bộ.
• An toàn thông tin cấp độ 2 dành cho hệ thống quan trọng liên quan đến sản xuất, kinh doanh hoặc quản lý nhà nước.
• An toàn thông tin cấp độ 3 dành cho hệ thống trọng yếu liên quan đến an ninh, quốc phòng
• An toàn thông tin cấp độ 4 dành cho hệ thống rất quan trọng, xử lý bí mật nhà nước, hệ thống phục vụ quốc phòng
• An toàn thông tin cấp độ 5 dành cho hệ thống đặc biệt quan trọng, xử lý thông tin bí mật nhà nước hoặc phục vụ quốc phòng. Những thông tin này khi bị phá hoại sẽ làm tổn hại đặc biệt nghiêm trọng đến an ninh, an toàn quốc gia.

Việc phân loại giúp áp dụng biện pháp quản lý và kỹ thuật phù hợp cho từng cấp độ. Các yêu cầu cụ thể về quản lý và kỹ thuật sẽ được trình bày ở phần sau. Dưới đây, chúng ta đi sâu vào từng cấp độ.

Chi tiết 5 cấp độ an toàn thông tin

Để thực thi được các luật liên quan đến cấp độ an toàn thông tin, doanh nghiệp cần hiểu rõ về định nghĩa, tiêu chí, ví dụ và biện pháp bảo vệ cho mỗi cấp độ. Trong phần nội dung này, chúng ta sẽ khám phá các cấp độ, định nghĩa, ví dụ thực tế và biện pháp bảo vệ cho từng cấp độ.

Cấp độ 1: Hệ thống thông tin thông thường

Nghị định đã định nghĩa hệ thống thông tin cấp độ 1 là những hệ thống phục vụ hoạt động nội bộ của cơ quan, tổ chức và chỉ xử lý thông tin công cộng. Đây là mức cơ bản nhất, không chứa dữ liệu bí mật; hậu quả khi bị tấn công chủ yếu ảnh hưởng tới quyền lợi tổ chức nhưng không đe dọa lợi ích công cộng.

Hệ thống thông tin này bao gồm: Trang web giới thiệu cơ quan, hệ thống quản lý lịch họp nội bộ, cổng thông tin truyền thông nội bộ hoặc hệ thống ghi chú không chứa dữ liệu người dùng. Các hệ thống này chủ yếu phục vụ thông tin và quản trị nội bộ nên yêu cầu bảo vệ cơ bản.

Phần lớn các doanh nghiệp, tổ chức sẽ sở hữu các hệ thống thông tin thông thường trong hệ thống công nghệ thông tin của mình. Các mục tiêu bảo vệ cũng đơn giản hơn, tập trung vào cách thực thi chính sách bảo mật như thiết lập chính sách mật khẩu mạnh, đào tạo nhân sự, cập nhật phần mềm định kỳ và cấu hình tường lửa cơ bản, trang bị hệ thống chống xâm nhập (IPS/IDS) và sao lưu định kỳ.

Để biết chi tiết hơn về cách bảo vệ hệ thống cấp 1, độc giả có thể tham khảo bài viết chuyên sâu: Hệ thống an toàn thông tin cấp độ 1

Cấp độ 2: Hệ thống quan trọng

Trong 5 cấp độ an toàn thông tin, cấp độ 2 áp dụng cho các hệ thống thông tin phục vụ hoạt động nội bộ có xử lý thông tin riêng hoặc thông tin cá nhân dưới 10.000 người sử dụng nhưng không xử lý thông tin bí mật nhà nước. Ngoài ra, các hệ thống phục vụ người dân, doanh nghiệp cung cấp dịch vụ công trực tuyến mức 2 trở xuống, dịch vụ trực tuyến không thuộc danh mục kinh doanh có điều kiện,…

Hệ thống cơ sở hạ tầng thông tin phục vụ hoạt động của một cơ quan, tổ chức cũng được xếp vào cấp 2. Ví dụ như cổng dịch vụ công trực tuyến cho phép nộp các giấy tờ như giấy phép lái xe, căn cước công dân. Hệ thống dữ liệu khách hàng, email nội bộ của SME có ít hơn 10.000 đầu dữ liệu cũng nằm trong diện này.

Mục tiêu bảo vệ nhắm vào việc tránh rò rỉ thông tin cá nhân, ngăn chặn gián đoạn hoạt động hoặc khai thác lỗ hổng đơn giản. Cần áp dụng các biện pháp như mã hóa dữ liệu cá nhân, xác thực hai yếu tố (2FA), kiểm soát truy cập dựa trên vai trò và kiểm tra thâm nhập định kỳ.

Bạn có thể tìm hiểu sâu hơn về các yêu cầu và giải pháp cho cấp độ 2 trong bài viết Hệ thống an toàn thông tin cấp độ 2

Cấp độ 3: Hệ thống trọng yếu

Được coi như là 1 trong 5 cấp độ an toàn thông tin chủ chốt, cấp độ 3 bao gồm các hệ thống xử lý thông tin bí mật nhà nước hoặc các hệ thống phục vụ quốc phòng, an ninh. Ngoài ra, các hệ thống phục vụ người dân bao gồm dịch vụ công mức độ 3 trở lên, dịch vụ kinh doanh có điều kiện hay xử lý thông tin cá nhân của 10,000 người dùng trở lên.

Hệ thống cơ sở hạ tầng thông tin dùng chung cho nhiều cơ quan trong phạm vi ngành hay tỉnh, điều khiển công nghiệp các công trình cấp 2 đến 4 cũng nằm trong nhóm này. Ví dụ có thể kể tới hệ thống phục vụ quản lý biên giới, trang đăng ký doanh nghiệp trực tuyến, các hệ thống thanh toán của ngân hàng lớn phục vụ hàng chục nghìn khách hàng.

An toàn hệ thống thông tin ở đây là bảo vệ bí mật quốc gia, dữ liệu nhạy cảm, cũng như đảm bảo hệ thống hoạt động ổn định. Các hệ thống này cần có trung tâm điều hành an ninh mạng (SOC) để giám sát 24/7, áp dụng tiêu chuẩn TCVN 11930:2017 để thiết kế an toàn và mã hoá dữ liệu.

Xem thêm: Hệ thống an toàn thông tin cấp độ 3

Cấp độ 4: Hệ thống rất quan trọng

Hệ thống an toàn thông tin cấp độ 4 là chuyên xử lý bí mật nhà nước hoặc phục vụ quốc phòng, an ninh. Khi bị phá hoại, an ninh quốc gia hay quốc phòng bị tổn hại nghiêm trọng. Đồng thời, hệ thống này còn phục vụ phát triển Chính phủ điện tử, vận hành 24/7 và không chấp nhận ngừng vận hành không kế hoạch.

Các cơ sở hạ tầng thông tin dùng chung toàn quốc hay hệ thống điều khiển công trình xây dựng cấp 1 cũng thuộc cấp này. Những hệ thống này bao gồm: cổng dữ liệu quốc gia, điều khiển trạm điện thế, thu phí tự động quốc gia, thanh toán liên ngân hàng.

Chính bởi vậy, các hệ thống này cần đảm bảo tính liên tục ở mức cao. bảo vệ dữ liệu tuyệt mật và ngăn chặn tấn công nâng cao (APT). Việc phát hiện và khắc phục nhanh chóng, sử dụng các nền tảng, với nhiều lớp dự phòng và tuân thủ tiêu chuẩn quốc tế như ISO/IEC 27001.

Xem thêm: Hệ thống an toàn thông tin cấp độ 4 

Cấp độ 5: Hệ thống đặc biệt quan trọng

Trong 5 cấp độ an toàn thông tin, cấp độ 5 là cấp cao nhất, áp dụng cho hệ thống xử lý bí mật nhà nước hoặc phục vụ quốc phòng, an ninh. Khi bị phá hoại, an toàn thông tin bị tổn hại đặc biệt nghiêm trọng, tạo ra mức độ thiệt hại cực rộng về mặt quốc phòng và an nịnh quốc gia.

Các hệ thống như lưu trữ dữ liệu tập trung có tính chất đặc biệt quan trọng (ví dụ như cơ sở dữ liệu dân cư quốc gia) cũng nằm trong diện này. Không chỉ vậy, cở sở hạ tầng thông tin quốc gia nhằm kết nối quốc tế cũng đóng vai trò đặc biệt quan trọng trong chiến lược chung.

Bởi vậy, an toàn thông tin, dữ liệu tuyệt mật cần được bảo vệ tối đa trước mọi hình thức tấn công, kể cả chiến tranh mạng. Đồng thời, hệ thống cần có kiến trúc phân vùng nghiêm ngặt, giám sát liên tục sử dụng các công nghệ tối tân.

Xem thêm: Hệ thống an toàn thông tin cấp độ 5 

Bảng so sánh 5 cấp độ An toàn thông tin

Nhằm tóm tắt cho người đọc hiểu được điểm khác giữa các cấp an toàn thông tin, dưới đây là bảng so sánh chi tiết các cấp độ an toàn thông tin khác nhau.

Vai trò của chính sách trong Hệ thống An toàn thông tin

Nghị định 85/2016/NĐ‑CP và Thông tư 12/2022/TT‑BTTTT là hai văn bản pháp lý quan trọng nhất về bảo đảm an toàn hệ thống thông tin theo cấp độ. Nghị định 85 quy định tiêu chí phân loại, thẩm quyền thẩm định, trình tự xác định cấp độ và trách nhiệm bảo đảm an toàn. Theo Nghị định, người đứng đầu cơ quan, tổ chức phải trực tiếp chỉ đạo công tác bảo đảm ATTT; nếu chưa có đơn vị chuyên trách, họ phải chỉ định bộ phận công nghệ thông tin đảm nhận nhiệm vụ này

Thông tư 12/2022/TT‑BTTTT hướng dẫn cụ thể việc xác định cấp độ, xây dựng hồ sơ đề xuất và yêu cầu kỹ thuật. Các cơ quan khi lập hồ sơ đề xuất cần mô tả phạm vi hệ thống, phân tích mức độ ảnh hưởng và đề xuất cấp độ phù hợp. Thông tư cũng đưa ra danh mục biện pháp kỹ thuật tối thiểu cho từng cấp độ để đảm bảo tính nhất quán và thống nhất trong triển khai.

Yêu cầu An toàn thông tin theo Thông tư 12

Thông tư 12 hướng dẫn chi tiết việc bảo đảm an toàn hệ thống thông tin theo cấp độ, bao gồm hai nhóm yêu cầu chính: yêu cầu quản lý và yêu cầu kỹ thuật. Theo hướng dẫn từ Bộ Thông tin và truyền thông, các doanh nghiệp tổ chức cần thiết lập chính sách, tổ chức bộ máy, quản lý thiết kế và xây dựng hệ thống. Ngoài ra, doanh nghiệp đảm bảo yêu cầu về kỹ thuật từ an toàn mạng, máy chủ, ứng dụng, dữ liệu,… cũng như quản lý rủi ro và phương án kết thúc vận hành.

Đối với mỗi cấp độ, thông tư 12 cũng nêu rõ các giải pháp kỹ thuật gợi ý. Điều này bao gồm phương án quản lý truy cập, quản trị hệ thống từ xa, IPS/Firewall, bảo vệ thiết bị đầu cuối (Endpoint Security). Riêng với hai cấp độ 4 và 5, các bộ ban ngành cũng cần có các giải pháp dự phòng về đường truyền mạng, quản lý tài khoản đặc quyền và dự phòng hệ thống với khoảng cách tối thiểu 30 cây số.

Quy trình tự đánh giá mức độ An toàn thông tin

Các tổ chức cần tự đánh giá định kỳ để biết hệ thống của mình thuộc cấp nào và cần nâng cấp ra sao. Sau đây là quy trình 5 bước tổng quát, được tham khảo từ nghị định 85, thông tư 12 cũng như từ kinh nghiệm chuyên môn của đội ngũ CyStack.

1. Xác định phạm vi hệ thống: Khoanh vùng rõ ràng các thành phần (phần mềm, cơ sở dữ liệu, thiết bị mạng) cần đánh giá.
2. Thu thập và kiểm tra cấu hình bảo mật hiện tại: Kiểm tra danh sách tài khoản và quyền truy cập, chính sách mật khẩu, cấu hình tường lửa, phiên bản hệ điều hành và bản vá bảo mật
3. Đánh giá rủi ro và điểm yếu: Phân tích mối đe dọa, mức độ tác động và khả năng bị tấn công. Sử dụng công cụ quét lỗ hổng, thử nghiệm xâm nhập
4. So sánh với tiêu chuẩn pháp lý: Đối chiếu cấu hình hiện tại với yêu cầu của Nghị định 85, Thông tư 12, TCVN 11930 và các chuẩn quốc tế như ISO/IEC 27001.

5. Báo cáo kết quả và đề xuất cải thiện: Xác định cấp độ hiện tại, nêu điểm mạnh – yếu và lập kế hoạch nâng cấp (ưu tiên xử lý rủi ro nghiêm trọng trước).

Tổng kết

Phân loại hệ thống thông tin thành 5 cấp độ an toàn thông tin giúp các tổ chức quản lý rủi ro mạng hiệu quả hơn, giảm rủi ro cho chính doanh nghiệp và các cơ quan ban ngành. Từ cấp độ 1 tới cấp độ 5, mỗi hệ thống cần có biện pháp quản lý, kỹ thuật và nguồn lực khác nhau.

Các tổ chức có thể tham khảo các bài viết liên quan đến từng cấp độ, đồng thời triển khai biện pháp bảo vệ tương ứng. Doanh nghiệp mong muốn được tư vấn thêm phương án đáp ứng các cấp độ này cũng có thể liên hệ CyStack để được chúng tôi tư vấn thêm tại đây.