10 phút để đọc
Nếu Cấp độ 3 là mức độ bảo mật quan trọng, thì Hệ thống an toàn thông tin cấp độ 4 là ngưỡng dành cho các hệ thống mang tính chiến lược, ảnh hưởng trực tiếp đến sự ổn định và an ninh của quốc gia. Việc thực thi bảo mật ở cấp độ này không chỉ là yêu cầu kỹ thuật mà còn là nhiệm vụ bảo vệ lợi ích quốc phòng và an ninh. Hãy cùng tìm hiểu chi tiết về Hệ thống an toàn thông tin cấp độ 4 trong bài viết ngày hôm nay.
Hệ thống an toàn thông tin cấp độ 4 là gì?
Theo Điều 10 Nghị định 85/2016/NĐ-CP, một hệ thống thông tin được xác định là Cấp độ 4 nếu thỏa mãn một trong các tiêu chí sau:
-
An ninh quốc phòng: Hệ thống xử lý thông tin bí mật nhà nước hoặc phục vụ quốc phòng, an ninh mà khi bị phá hoại sẽ làm tổn hại nghiêm trọng tới quốc phòng, an ninh quốc gia.
-
Hệ thống quốc gia: Hệ thống phục vụ phát triển Chính phủ điện tử, yêu cầu vận hành 24/7 và không chấp nhận ngừng vận hành mà không có kế hoạch trước.
-
Hạ tầng dùng chung: Cơ sở hạ tầng thông tin phục vụ hoạt động của các cơ quan trên phạm vi toàn quốc, yêu cầu vận hành 24/7 và độ sẵn sàng cực cao.
-
Điều khiển công nghiệp (ICS): Hệ thống trực tiếp điều khiển, vận hành hoạt động của các công trình xây dựng cấp I.
Xem thêm:
-
- Hệ thống an toàn thông tin cấp độ 3 là gì? Checklist hướng dẫn tuân thủ an toàn thông tin cấp độ 3.
- Tìm hiểu 5 cấp độ bảo đảm an toàn hệ thống thông tin.
Quy định về bảo đảm Hệ thống an toàn thông tin cấp độ 4
Yêu cầu về quản lý
Theo thông tư 12/2022/TT-BTTTT, yêu cầu về quản lý của hệ thống an toàn thông tin cấp độ 4 như sau:
| STT | Yêu cầu | Tình trạng |
| 1.1 | Thiết lập chính sách an toàn thông tin | ▢ |
| 1.1.1 | Chính sách an toàn thông tin | ▢ |
| 1.1.2 | Xây dựng và công bố | ▢ |
| 1.1.3 | Rà soát, sửa đổi | ▢ |
| 1.2 | Tổ chức bảo đảm an toàn thông tin | ▢ |
| 1.2.1 | Đơn vị chuyên trách về an toàn thông tin | ▢ |
| 1.2.2 | Phối hợp với cơ quan/tổ chức có thẩm quyền | ▢ |
| 1.3 | Bảo đảm nguồn nhân lực | ▢ |
| 1.3.1 | Tuyển dụng | ▢ |
| 1.3.2 | Trong quá trình làm việc | ▢ |
| 1.3.3 | Chấm dứt hoặc thay đổi công việc | ▢ |
| 1.4 | Quản lý thiết kế, xây dựng hệ thống | ▢ |
| 1.4.1 | Thiết kế an toàn hệ thống thông tin | ▢ |
| 1.4.2 | Phát triển phần mềm thuê khoán | ▢ |
| 1.4.3 | Thử nghiệm và nghiệm thu hệ thống | ▢ |
| 1.5 | Quản lý vận hành hệ thống | ▢ |
| 1.5.1 | Quản lý an toàn mạng | ▢ |
| 1.5.2 | Quản lý an toàn máy chủ và ứng dụng | ▢ |
| 1.5.3 | Quản lý an toàn dữ liệu | ▢ |
| 1.5.4 | Quản lý an toàn thiết bị đầu cuối | ▢ |
| 1.5.5 | Quản lý phòng chống phần mềm độc hại | ▢ |
| 1.5.6 | Quản lý giám sát an toàn hệ thống thông tin | ▢ |
| 1.5.7 | Quản lý điểm yếu an toàn thông tin | ▢ |
| 1.5.8 | Quản lý sự cố an toàn thông tin | ▢ |
| 1.5.9 | Quản lý an toàn người sử dụng đầu cuối | ▢ |
| 1.6 | Phương án Quản lý rủi ro an toàn thông tin | ▢ |
| 1.7 | Phương án Kết thúc vận hành, khai thác, thanh lý, hủy bỏ | ▢ |
Yêu cầu về kỹ thuật
Yêu cầu về thiết kế hệ thống
Thiết kế các vùng mạng trong hệ thống theo chức năng, các vùng mạng tối thiểu bao gồm:
| STT | Yêu cầu | Tình trạng |
|---|---|---|
| 1 | Vùng mạng nội bộ | ▢ |
| 2 | Vùng mạng biên | ▢ |
| 3 | Vùng DMZ | ▢ |
| 4 | Vùng máy chủ nội bộ | ▢ |
| 5 | Vùng mạng không dây (nếu có) tách riêng, độc lập với các vùng mạng khác | ▢ |
| 6 | Vùng mạng máy chủ cơ sở dữ liệu | ▢ |
| 7 | Vùng quản trị | ▢ |
| 8 | Vùng quản trị thiết bị hệ thống | ▢ |
Bên cạnh đó, cần có phương án thiết kế bảo đảm các yêu cầu sau:
| STT | Nội dung phương án bảo đảm an toàn thông tin | Tình trạng |
| 1 | Có phương án quản lý truy cập, quản trị hệ thống từ xa an toàn sử dụng mạng riêng ảo hoặc phương án tương đương; sử dụng sản phẩm Mạng riêng ảo đối với hệ thống thông tin có xử lý thông tin bí mật nhà nước; | ▢ |
| 2 | Có phương án quản lý truy cập giữa các vùng mạng và phòng chống xâm nhập sử dụng sản phẩm Tường lửa có tích hợp chức năng phòng, chống xâm nhập hoặc sản phẩm Phòng, chống xâm nhập lớp mạng; | ▢ |
| 3 | Có phương án cân bằng tải, dự phòng nóng cho các thiết bị mạng chính, tối thiểu bao gồm thiết bị chuyển mạch trung tâm hoặc tương đương, thiết bị tường lửa trung tâm, tường lửa ứng dụng web, hệ thống lưu trữ tập trung, tường lửa cơ sở dữ liệu (nếu có); | ▢ |
| 4 | Có phương án bảo đảm an toàn cho máy chủ cơ sở dữ liệu; sử dụng sản phẩm Tường lửa cơ sở dữ liệu đối với hệ thống Cơ sở dữ liệu dùng chung đáp ứng tiêu chí quy định tại khoản 3 Điều 10 Nghị định 85/2016/NĐ-CP; | ▢ |
| 5 | Có phương án chặn lọc phần mềm độc hại trên môi trường mạng sử dụng Sản phẩm Tường lửa tích hợp chức năng phòng, chống mã độc trên môi trường mạng hoặc phương án tương đương; | ▢ |
| 6 | Có phương án phòng chống tấn công từ chối dịch vụ; sử dụng dịch vụ của doanh nghiệp hoặc sản phẩm Phòng, chống tấn công từ chối dịch vụ đối với các hệ thống thông tin được quy định tại khoản 2 Điều 10 Nghị định 85/2016/NĐ-CP hoặc Hệ thống Trung tâm dữ liệu, điện toán đám mây, Định danh, xác thực điện tử, chứng thực điện tử, chữ ký số, Kết nối tích hợp, chia sẻ dữ liệu đáp ứng tiêu chí quy định tại khoản 3 Điều 10 Nghị định 85/2016/NĐ-CP; | ▢ |
| 7 | Có phương án phòng chống tấn công mạng cho ứng dụng web; sử dụng sản phẩm Tường lửa ứng dụng web đối với các hệ thống thông tin được quy định tại khoản 2 Điều 10 Nghị định 85/2016/NĐ-CP hoặc Hệ thống Trung tâm dữ liệu, điện toán đám mây, Định danh, xác thực điện tử, chứng thực điện tử, chữ ký số, Kết nối tích hợp, chia sẻ dữ liệu đáp ứng tiêu chí quy định tại khoản 3 Điều 10 Nghị định 85/2016/NĐ-CP; | ▢ |
| 8 | Có phương án bảo đảm an toàn thông tin cho hệ thống thư điện tử; sử dụng sản phẩm Bảo đảm an toàn thông tin cho hệ thống thư điện tử; | ▢ |
| 9 | Có phương án quản lý truy cập lớp mạng; sử dụng sản phẩm Quản lý truy cập lớp mạng đối với hệ thống Mạng nội bộ, Trung tâm giám sát điều hành an toàn thông tin mạng, đáp ứng tiêu chí quy định tại khoản 3 Điều 10 Nghị định 85/2016/NĐ-CP; | ▢ |
| 10 | Có phương án giám sát hệ thống thông tin tập trung sử dụng sản phẩm Giám sát hệ thống thông tin tập trung; | ▢ |
| 11 | Có phương án giám sát an toàn hệ thống thông tin tập trung sử dụng sản phẩm Quản lý và phân tích sự kiện an toàn thông tin hoặc sản phẩm tương đương; | ▢ |
| 12 | Có phương án quản lý sao lưu dự phòng tập trung sử dụng hệ thống lưu trữ tập trung và sản phẩm quản lý lưu trữ tập trung; | ▢ |
| 13 | Có phương án quản lý phần mềm phòng chống mã độc trên máy chủ/máy tính người dùng, sử dụng sản phẩm Phòng, chống mã độc và/hoặc sản phẩm Phát hiện và phản ứng sự cố an toàn thông tin trên thiết bị đầu cuối, có chức năng quản lý tập trung; | ▢ |
| 14 | Có phương án phòng, chống thất thoát dữ liệu; sử dụng sản phẩm Phòng, chống thất thoát dữ liệu đối với hệ thống thông tin có xử lý thông tin bí mật nhà nước hoặc hệ thống Cơ sở dữ liệu dùng chung đáp ứng tiêu chí quy định tại khoản 3 Điều 10 Nghị định 85/2016/NĐ-CP; | ▢ |
| 15 | Có phương án dự phòng kết nối mạng Internet cho các máy chủ dịch vụ; | ▢ |
| 16 | Có phương án bảo đảm an toàn cho mạng không dây (nếu có); | ▢ |
| 17 | Có phương án quản lý tài khoản đặc quyền, sử dụng sản phẩm Quản lý tài khoản đặc quyền. | ▢ |
Yêu cầu về thiết lập, cấu hình hệ thống
| STT | Yêu cầu | Tình trạng |
| 1.1 | Bảo đảm an toàn mạng | ▢ |
| 1.1.1 | Kiểm soát truy cập từ bên ngoài mạng | ▢ |
| 1.1.2 | Kiểm soát truy cập từ bên trong mạng | ▢ |
| 1.1.3 | Nhật kí hệ thống | ▢ |
| 1.1.4 | Phòng chống xâm nhập | ▢ |
| 1.1.5 | Phòng chống phần mềm độc hại trên môi trường mạng | ▢ |
| 1.1.6 | Bảo vệ thiết bị hệ thống | ▢ |
| 1.2 | Bảo đảm an toàn máy chủ | ▢ |
| 1.2.1 | Xác thực | ▢ |
| 1.2.2 | Kiểm soát truy cập | ▢ |
| 1.2.3 | Nhật ký hệ thống | ▢ |
| 1.2.4 | Phòng chống xâm nhập | ▢ |
| 1.2.5 | Phòng chống phần mềm độc hại | ▢ |
| 1.2.6 | Xử lý máy chủ khi chuyển giao | ▢ |
| 1.3 | Bảo đảm an toàn ứng dụng | ▢ |
| 1.3.1 | Xác thực | ▢ |
| 1.3.2 | Kiểm soát truy cập | ▢ |
| 1.3.3 | Nhật kí hệ thống | ▢ |
| 1.3.4 | Bảo mật thông tin liên lạc | ▢ |
| 1.3.5 | Chống chối bỏ | ▢ |
| 1.3.6 | An toàn ứng dụng và mã nguồn | ▢ |
| 1.4 | Bảo đảm an toàn dữ liệu | ▢ |
| 1.4.1 | Nguyên vẹn dữ liệu | ▢ |
| 1.4.2 | Bảo mật dữ liệu | ▢ |
| 1.4.3 | Sao lưu dự phòng | ▢ |
Doanh nghiệp cần làm gì?
Việc đáp ứng đầy đủ các tiêu chí khắt khe của hệ thống thông tin Cấp độ 4 theo Thông tư 12/2022/TT-BTTTT không chỉ dừng lại ở việc tuân thủ quy trình, mà đòi hỏi một hệ sinh thái công nghệ đồng bộ và mạnh mẽ. Thay vì sử dụng các công cụ rời rạc khó quản lý, Nền tảng bảo mật CyStack (CyStack Platform) cung cấp một bộ giải pháp toàn diện—giúp Doanh nghiệp tối ưu chi phí và thời gian, sớm hoàn thành hồ sơ thẩm định để trình lên cơ quan nhà nước.
Yêu cầu về quản lý
| STT | Nội dung yêu cầu (Phụ lục 4) | Giải pháp CyStack tương ứng |
| 1 |
Chính sách an toàn thông tin – Xây dựng, ban hành, rà soát chính sách ATTT. – Phổ biến chính sách đến người liên quan. |
|
| 2 |
Tổ chức bảo đảm an toàn thông tin – Thiết lập đơn vị chuyên trách ATTT. – Phân công trách nhiệm rõ ràng. |
CyStack Security Consulting: Tư vấn mô hình tổ chức an toàn thông tin, vai trò và trách nhiệm (R&R) cho đội ngũ vận hành. |
| 3 |
Bảo đảm nguồn nhân lực – Tuyển dụng, đào tạo, kiểm tra kiến thức ATTT. – Quy định bảo mật khi thôi việc. |
CyStack Security Training: Đào tạo nhận thức ATTT cho nhân viên và đào tạo chuyên sâu cho đội ngũ kỹ thuật.
Locker Password Manager: Thu hồi quyền truy cập (mật khẩu/tài khoản) ngay lập tức khi nhân sự nghỉ việc. |
| 4 |
Quản lý thiết kế, xây dựng hệ thống – Đưa yêu cầu ATTT vào thiết kế từ đầu. – Rà quét lỗ hổng trước khi nghiệm thu. |
Pentest & VulnScan: – Thực hiện Penetration Testing (Kiểm thử xâm nhập) trước khi đưa hệ thống vào vận hành (Pre-deployment). – Tích hợp VulnScan vào quy trình CI/CD để phát hiện lỗi ngay trong giai đoạn phát triển (DevSecOps). |
| 5 |
Quản lý vận hành hệ thống – Quản lý thay đổi, sao lưu dự phòng. – Giám sát an toàn hệ thống liên tục (24/7). |
CyStack Security Operations (SOC): – Giám sát an ninh 24/7, phát hiện sự cố theo thời gian thực. – Incident Response: Dịch vụ ứng cứu sự cố, điều tra và khôi phục hoạt động khi có tấn công. |
| 6 |
Quản lý rủi ro & Kết thúc vận hành – Đánh giá rủi ro định kỳ (tối thiểu 1 năm/lần). – Quy trình hủy bỏ dữ liệu an toàn. |
Security Assessment: Dịch vụ đánh giá rủi ro định kỳ. |
Yêu cầu về kỹ thuật
Yêu cầu về Thiết lập & Cấu hình hệ thống
| Yêu cầu Bảo đảm an toàn mạng | Giải pháp CyStack |
| Kiểm soát truy cập: Chỉ cho phép truy cập từ các địa chỉ/thiết bị tin cậy; chặn các kết nối không cần thiết. | CyStack Endpoint: Quản lý danh sách thiết bị tin cậy (Whitelisting), kiểm soát truy cập mạng (Network Access Control) ngay tại máy trạm/máy chủ. |
| Phòng chống xâm nhập: Có hệ thống phát hiện/ngăn chặn xâm nhập (IDS/IPS). | CyStack Security Monitoring: Thu thập và phân tích log mạng để phát hiện hành vi xâm nhập trái phép (Network Intrusion Detection). |
| Bảo vệ kênh truyền: Mã hóa dữ liệu quản trị từ xa (SSH, VPN, HTTPS). | Locker Secrets Manager: Quản lý và bảo vệ các khóa SSH, chứng chỉ SSL/TLS dùng cho kênh truyền mã hóa. |
| Yêu cầu Bảo đảm an toàn máy chủ | Giải pháp CyStack |
| Xác thực mạnh: Yêu cầu xác thực đa yếu tố (MFA) với quản trị viên. | Locker Password Manager: Hỗ trợ lưu trữ mật khẩu an toàn và tích hợp trình tạo mã 2FA (TOTP) để bảo vệ tài khoản quản trị. |
| Phòng chống mã độc: Cài đặt phần mềm chống virus/malware trên máy chủ. | CyStack Endpoint (Malware Protection): Tính năng phát hiện và ngăn chặn mã độc, virus, ransomware trên thời gian thực cho máy chủ. |
| Quản lý lỗ hổng: Cập nhật bản vá hệ điều hành định kỳ. | CyStack VulnScan: Quét lỗ hổng hệ điều hành tự động, báo cáo các CVE chưa được vá trên Server. |
| Yêu cầu Bảo đảm an toàn ứng dụng | Giải pháp CyStack |
| Kiểm tra tính hợp lệ của dữ liệu đầu vào: Chống các lỗi SQL Injection, XSS… |
WhiteHub Bug Bounty: Cộng đồng hacker mũ trắng tìm kiếm các lỗi logic nghiệp vụ phức tạp. |
| Không lưu cứng khóa bí mật (Hard-coded keys): Loại bỏ thông tin nhạy cảm trong mã nguồn. | Locker Secrets Manager: Giúp lập trình viên lưu trữ API Key, Database Credential tách biệt khỏi mã nguồn (Codebase). |
| Yêu cầu Bảo đảm an toàn dữ liệu | Giải pháp CyStack |
| Mã hóa dữ liệu quan trọng: Dữ liệu cá nhân/bí mật phải được mã hóa khi lưu trữ. | |
| Chống rò rỉ dữ liệu (DLP): Ngăn chặn gửi dữ liệu ra bên thứ 3 trái phép. |
CyStack Endpoint (DLP): Thiết lập chính sách chặn gửi file qua USB, Email cá nhân hoặc upload lên Cloud không được phép. CyStack Data Leak Detection: Quét Dark Web để kiểm tra xem dữ liệu có bị lộ lọt ra ngoài hay không. |
Kết luận
Việc đáp ứng các tiêu chuẩn khắt khe của hệ thống thông tin Cấp độ 4 theo Thông tư 12/2022/TT-BTTTT là bước đi then chốt để đảm bảo sự hoạt động bền vững cho doanh nghiệp. Đừng để áp lực tuân thủ làm chậm đà phát triển của doanh nghiệp. Hãy liên hệ với chuyên gia CyStack ngay hôm nay để được tư vấn lộ trình triển khai giải pháp tối ưu nhất cho hệ thống Cấp độ 4.
