7 phút để đọc
Nếu hệ thống của bạn không chỉ dừng lại ở thông tin công cộng mà bắt đầu xử lý dữ liệu cá nhân của người dùng, rất có thể bạn đã thuộc nhóm Hệ thống an toàn thông tin cấp độ 2. Bài viết này sẽ cung cấp trọn bộ kiến thức và lộ trình tuân thủ mới nhất theo Thông tư 12/2022/TT-BTTTT.
Hệ thống an toàn thông tin Cấp độ 2 là gì?
Khác với Cấp độ 1 chỉ xử lý thông tin công cộng, Hệ thống an toàn thông tin Cấp độ 2 là mức độ bảo mật dành cho các hệ thống có tính chất dữ liệu riêng tư hơn nhưng chưa đạt đến mức ảnh hưởng nghiêm trọng đến an ninh quốc gia.
Tiêu chí xác định Hệ thống an toàn thông tin Cấp độ 2
Theo Điều 8 Nghị định 85/2016/NĐ-CP, hệ thống của bạn được đánh giá là hệ thống an toàn thông tin cấp độ 2 nếu thỏa mãn một trong các tiêu chí sau:
- Hệ thống thông tin phục vụ hoạt động nội bộ của cơ quan, tổ chức và có xử lý thông tin riêng, thông tin cá nhân của người sử dụng nhưng không xử lý thông tin bí mật nhà nước.
- Hệ thống thông tin phục vụ người dân, doanh nghiệp thuộc một trong các loại hình như sau:
- Cung cấp thông tin và dịch vụ công trực tuyến từ mức độ 2 trở xuống theo quy định của pháp luật;
- Cung cấp dịch vụ trực tuyến không thuộc danh Mục dịch vụ kinh doanh có Điều kiện;
- Cung cấp dịch vụ trực tuyến khác có xử lý thông tin riêng, thông tin cá nhân của dưới 10.000 người sử dụng.
- Hệ thống cơ sở hạ tầng thông tin phục vụ hoạt động của một cơ quan, tổ chức.
Xem thêm:
- Hệ thống an toàn thông tin cấp độ 1 là gì? Checklist hướng dẫn tuân thủ an toàn thông tin cấp độ 1.
- Hệ thống an toàn thông tin cấp độ 3 là gì? Checklist hướng dẫn tuân thủ an toàn thông tin cấp độ 3.
Checklist yêu cầu bảo đảm an toàn thông tin cấp độ 2 (Theo Thông tư 12)
Tại Phụ lục II của Thông tư 12/2022/TT-BTTTT, các yêu cầu kỹ thuật và quản lý cho Hệ thống an toàn thông tin cấp độ 2 được quy định như sau:
Về Quản lý
| STT | Yêu cầu | Tình trạng |
|---|---|---|
| 1.1 | Thiết lập chính sách an toàn thông tin | ▢ |
| 1.1.1 | Chính sách an toàn thông tin | ▢ |
| 1.1.2 | Xây dựng và công bố | ▢ |
| 1.1.3 | Rà soát, sửa đổi | ▢ |
| 1.2 | Tổ chức bảo đảm an toàn thông tin | ▢ |
| 1.2.1 | Đơn vị chuyên trách về an toàn thông tin | ▢ |
| 1.2.2 | Phối hợp với cơ quan/tổ chức có thẩm quyền | ▢ |
| 1.3 | Bảo đảm nguồn nhân lực | ▢ |
| 1.3.1 | Tuyển dụng | ▢ |
| 1.3.2 | Trong quá trình làm việc | ▢ |
| 1.3.3 | Chấm dứt hoặc thay đổi công việc | ▢ |
| 1.4 | Quản lý thiết kế, xây dựng hệ thống | ▢ |
| 1.4.1 | Thiết kế an toàn hệ thống thông tin | ▢ |
| 1.4.2 | Phát triển phần mềm thuê khoán | ▢ |
| 1.4.3 | Thử nghiệm và nghiệm thu hệ thống | ▢ |
| 1.5 | Quản lý vận hành hệ thống | ▢ |
| 1.5.1 | Quản lý an toàn mạng | ▢ |
| 1.5.2 | Quản lý an toàn máy chủ và ứng dụng | ▢ |
| 1.5.3 | Quản lý an toàn dữ liệu | ▢ |
| 1.5.4 | Quản lý sự cố an toàn thông tin | ▢ |
| 1.5.5 | Quản lý an toàn người sử dụng đầu cuối | ▢ |
| 1.6 | Phương án Quản lý rủi ro an toàn thông tin | ▢ |
| 1.7 | Phương án Kết thúc vận hành, khai thác, thanh lý, hủy bỏ | ▢ |
Yêu cầu về kỹ thuật
Yêu cầu về thiết kế hệ thống an toàn thông tin cấp độ 2:
- Thiết kế mạng: Phải phân tách tối thiểu 5 vùng mạng: Nội bộ, Biên, DMZ, Máy chủ nội bộ và Mạng không dây (nếu có).
- Truy cập từ xa: Bắt buộc sử dụng VPN hoặc phương án tương đương để quản trị hệ thống an toàn.
- Phòng thủ đa lớp: Sử dụng Tường lửa (Firewall) tích hợp IPS giữa các vùng mạng và phần mềm phòng chống mã độc cho máy chủ/máy trạm.
- An toàn ứng dụng Web: Đối với một số hệ thống cụ thể, cần sử dụng Tường lửa ứng dụng web (WAF).
- Dự phòng: Phải có phương án dự phòng cho các thiết bị mạng chính như thiết bị chuyển mạch trung tâm và tường lửa trung tâm.
Yêu cầu về thiết lập, cấu hình hệ thống
| STT | Yêu cầu | Tình trạng |
|---|---|---|
| 1.1 | Bảo đảm an toàn mạng | ▢ |
| 1.1.1 | Kiểm soát truy cập từ bên ngoài mạng | ▢ |
| 1.1.2 | Kiểm soát truy cập từ bên trong mạng | ▢ |
| 1.1.3 | Nhật kí hệ thống | ▢ |
| 1.1.4 | Phòng chống xâm nhập | ▢ |
| 1.1.5 | Bảo vệ thiết bị hệ thống | ▢ |
| 1.2 | Bảo đảm an toàn máy chủ | ▢ |
| 1.2.1 | Xác thực | ▢ |
| 1.2.2 | Kiểm soát truy cập | ▢ |
| 1.2.3 | Nhật ký hệ thống | ▢ |
| 1.2.4 | Phòng chống xâm nhập | ▢ |
| 1.2.5 | Phòng chống phần mềm độc hại | ▢ |
| 1.2.6 | Xử lý máy chủ khi chuyển giao | ▢ |
| 1.3 | Bảo đảm an toàn ứng dụng | ▢ |
| 1.3.1 | Xác thực | ▢ |
| 1.3.2 | Kiểm soát truy cập | ▢ |
| 1.3.3 | Nhật kí hệ thống | ▢ |
| 1.3.4 | An toàn ứng dụng và mã nguồn | ▢ |
| 1.4 | Bảo đảm an toàn dữ liệu | ▢ |
| 1.4.1 | Bảo mật dữ liệu | ▢ |
| 1.4.2 | Sao lưu dự phòng | ▢ |
Hãy bắt đầu từ ngay hôm nay
Việc hoàn thiện checklist theo Thông tư 12/2022/TT-BTTTT và Nghị định 85/2016/NĐ-CP không chỉ đơn thuần là thực hiện các thủ tục hành chính, mà còn là lời khẳng định về tính thượng tôn pháp luật và sự cam kết bảo vệ dữ liệu khách hàng của doanh nghiệp. Tuy nhiên, để chuyển hóa những yêu cầu pháp lý khô khan thành lá chắn bảo mật thực thụ, doanh nghiệp cần một đối tác có khả năng “dịch” các quy định này sang ngôn ngữ của công nghệ và vận hành.
CyStack, với kinh nghiệm phục vụ hơn 600 khách hàng doanh nghiệp tại Việt Nam, luôn sẵn sàng đồng hành, giúp doanh nghiệp làm “ĐÚNG”, làm “ĐỦ” để tiết kiệm chi phí và thời gian của doanh nghiệp. Các giải pháp đề xuất của CyStack tương ứng với Checklist như sau:
| Nhóm yêu cầu (Thông tư 12/2022/TT-BTTTT) | Giải pháp đề xuất của CyStack |
|---|---|
| I. YÊU CẦU QUẢN LÝ | |
| 1.1. Thiết lập chính sách ATTT: Xây dựng, công bố và rà soát chính sách | |
| 1.2. Tổ chức bảo đảm ATTT: Thiết lập đơn vị chuyên trách và phối hợp cơ quan có thẩm quyền | Managed Security Service: dịch vụ quản lý bảo mật toàn diện đáp ứng mọi nhu cầu bảo mật của doanh nghiệp, giúp bạn tập trung vào việc phát triển doanh nghiệp của mình. |
| 1.3. Bảo đảm nguồn nhân lực: Quy trình tuyển dụng, làm việc và chấm dứt công việc an toàn | |
| 1.4. Quản lý thiết kế, xây dựng hệ thống: Thiết kế an toàn, phát triển phần mềm thuê khoán và nghiệm thu | Kiểm thử bảo mật cơ sở hạ tầng: đánh giá kỹ lưỡng để củng cố hệ thống CNTT của doanh nghiệp bạn, giúp bạn tự tin vượt qua các thách thức an ninh mạng, bảo vệ tài sản quan trọng của mình và đảm bảo hoạt động không bị gián đoạn. |
| 1.5. Quản lý vận hành: Quản lý an toàn mạng, máy chủ, ứng dụng, dữ liệu, sự cố và người dùng cuối | SOC & Quản lý lỗ hổng: Giám sát 24/7, phản ứng sự cố theo thời gian thực và quản lý lỗ hổng liên tục trên nền tảng tập trung. |
| 1.6. Phương án Quản lý rủi ro: Xây dựng phương án quản lý rủi ro định kỳ | Pentest & Red Teaming: Nhận diện chính xác các rủi ro thực tế mà hacker có thể khai thác. |
| II. YÊU CẦU KỸ THUẬT | |
| 1. Thiết kế vùng mạng: Phân tách tối thiểu các vùng: nội bộ, biên, DMZ, máy chủ nội bộ và mạng không dây | |
| 2. VPN / Quản trị từ xa: Có phương án quản trị từ xa an toàn qua mạng riêng ảo | CyStack Endpoint: Kiểm soát truy cập và bảo vệ dữ liệu trên máy tính, laptop cũng như các thiết bị di động. Tạo mạng Zero Trust, phân quyền truy cập chặt chẽ theo người dùng |
| 3. Tường lửa / IPS: Quản lý truy cập giữa các vùng mạng và phòng chống xâm nhập | CyStack Endpoint: Định danh và kiểm soát các thiết bị kết nối vào mạng nội bộ. Tắt hoặc giới hạn USB, ngăn sao chép dữ liệu và chặn các cổng nguy hiểm như RDP, SSH. |
| 4. Phòng chống mã độc: Sử dụng sản phẩm phòng chống mã độc cho máy chủ và máy trạm | CyStack Endpoint: Bảo vệ thiết bị cuối, chỉ cho phép cài đặt các phần mềm trong Whitelist. CyStack VulnScan: Dò quét lỗ hổng và quản lý bề mặt tấn công chuyên sâu. |
| 5. WAF: Sử dụng Tường lửa ứng dụng web cho các hệ thống theo quy định | |
| 6. Dự phòng thiết bị mạng chính: Có phương án dự phòng cho switch trung tâm và firewall trung tâm | Vận hành an toàn: Dịch vụ Quản lý lỗ hổng và giám sát SOC giúp đảm bảo tính sẵn sàng và vận hành liên tục 24/7 của hệ thống |
| 7. Xác thực & Kiểm soát truy cập: Thiết lập cấu hình xác thực và nhật ký hệ thống | Locker: Phần mềm quản lý mật khẩu, API key và dữ liệu bí mật với kho lưu trữ mã hóa và kiểm soát truy cập chi tiết. CyStack Endpoint: Theo dõi đầy đủ nhật ký hoạt động của người dùng (Log) trên giao diện tập trung. |
| 8. Bảo mật & Sao lưu dữ liệu: Có phương án bảo mật dữ liệu và sao lưu dự phòng | CyStack Endpoint: Tự động sao lưu dữ liệu về máy chủ hoặc cloud: NAS nội bộ, Google Drive, Amazon S3… & khôi phục dữ liệu khi có sự cố. Ngăn gửi file nhạy cảm qua email, ứng dụng chat, và website không được phép. Data Leak Detection: Bảo vệ thông tin khách hàng bằng cách phát hiện kịp thời những dữ liệu bị rò rỉ. Hạn chế tối đa tổn thất tài chính và danh tiếng của thương hiệu. |
Kết luận
Hi vọng những chia sẻ của CyStack đã giúp quý khách hàng có 1 cái nhìn tổng quát và dễ tiếp cận với quy định của nhà nước về Hệ thống an toàn thông tin Cấp độ 2. Hãy tham khảo chi tiết checklist và liên hệ với CyStack ngay hôm nay để nhận được tư vấn về các giải pháp & dịch vụ.
