Từ nhận diện rủi ro đến triển khai biện pháp bảo vệ, hướng dẫn chi tiết giúp doanh nghiệp chủ động đánh giá mức độ an toàn thông tin, tuân thủ quy định pháp luật và nâng cao uy tín trong mắt đối tác

1. Mở đầu và bối cảnh

Trong bối cảnh tấn công mạng ngày càng gia tăng, việc đảm bảo an toàn thông tin (ATTT) đã trở thành yêu cầu bắt buộc với mọi tổ chức. Không chỉ là bảo vệ dữ liệu nội bộ, ATTT còn gắn trực tiếp với tuân thủ pháp luật (Luật ATTT mạng 2015, Nghị định 85/2016/NĐ-CP, Thông tư 12/2022/TT-BTTTT).

Thực tế, nhiều doanh nghiệp Việt Nam vẫn chưa thực sự biết mình đang ở cấp độ an toàn thông tin nào. Họ lo ngại việc đánh giá sẽ phức tạp, tốn thời gian và chi phí. Nhưng tin tốt là: bạn hoàn toàn có thể bắt đầu với 5 bước đơn giản dưới đây để tự đánh giá tình trạng an toàn thông tin (ATTT) của doanh nghiệp mình.

Việc tự đánh giá ban đầu không chỉ giúp doanh nghiệp xác định mức độ hiện tại, mà còn là cơ sở để xây dựng hồ sơ đề xuất cấp độ hoặc làm việc với đơn vị tư vấn

2. Hiểu biết về các cấp độ an toàn thông tin

Trước khi đi vào 5 bước, chúng ta cần hiểu rõ “có bao nhiêu cấp độ an toàn thông tin”. Theo Nghị định 85/2016/NĐ-CP, hệ thống thông tin được phân thành 5 cấp độ. Điểm quan trọng là việc phân loại không chỉ dựa trên dữ liệu lưu trữ mà còn căn cứ vào tác động đến quyền lợi cá nhân, lợi ích công cộng, an ninh quốc gia nếu hệ thống bị xâm hại:

• Cấp độ 1: Ảnh hưởng rất thấp, thường áp dụng cho các hệ thống không chứa thông tin quan trọng, không ảnh hưởng đến an ninh, trật tự.
• Cấp độ 2: Ảnh hưởng thấp, nhưng có thể tác động đến hoạt động nội bộ của tổ chức. Bắt buộc với hệ thống xử lý dữ liệu cá nhân, dịch vụ công trực tuyến mức độ 2 trở xuống.
• Cấp độ 3: Ảnh hưởng trung bình, liên quan đến dữ liệu cá nhân hoặc dữ liệu nhạy cảm, cần tuân thủ chặt chẽ các yêu cầu bảo mật. Dữ liệu quy mô lớn (≥10.000 người dùng), dịch vụ công mức 3 trở lên, hoặc hệ thống ngành/tỉnh.
• Cấp độ 4: Ảnh hưởng cao, có khả năng tác động nghiêm trọng đến an ninh quốc gia, trật tự xã hội hoặc quyền lợi của nhiều cá nhân/tổ chức. Hệ thống trọng yếu cấp quốc gia, yêu cầu vận hành 24/7.
• Cấp độ 5: Ảnh hưởng đặc biệt nghiêm trọng, liên quan trực tiếp đến an ninh quốc gia và các hệ thống trọng yếu.

Tìm hiểu thêm về các cấp độ an toàn thông tin tại đây

Việc xác định đúng cấp độ giúp doanh nghiệp biết hồ sơ đề xuất cấp độ an toàn thông tin cần chuẩn bị ra sao, đồng thời tránh thiếu sót hoặc vượt quá yêu cầu, gây lãng phí nguồn lực. Ví dụ, một hệ thống chỉ cần hồ sơ an toàn thông tin cấp độ 3 nhưng lại triển khai giải pháp cho cấp độ 4 sẽ tốn kém không cần thiết.

3. 5 bước đầu tiên để tự đánh giá mức độ ATTT của doanh nghiệp

Bước 1: Xác định phạm vi hệ thống thông tin cần đánh giá

Trước khi bắt đầu, bạn cần trả lời câu hỏi: “Chúng ta đang đánh giá cái gì?”, công việc này yêu cầu 2 đầu việc cơ bản bao gồm liệt kê và phân loại hệ thống thông tin

Các đối tượng cần liệt kê bao gồm:

• Hệ thống máy chủ (server) và ứng dụng.
• Mạng nội bộ (LAN) và kết nối Internet.
• Thiết bị đầu cuối như máy tính, điện thoại, IoT.
• Hệ thống cơ sở dữ liệu và dịch vụ lưu trữ đám mây.

Phân loại tài sản theo TCVN 11930:2017: an toàn mạng, an toàn ứng dụng, an toàn máy chủ, an toàn dữ liệu

Ví dụ: Một công ty thương mại điện tử cần đưa vào phạm vi đánh giá website bán hàng, hệ thống CRM, hệ thống thanh toán, cơ sở dữ liệu khách hàng.

Lưu ý: Việc xác định phạm vi rõ ràng sẽ giúp tránh bỏ sót những thành phần quan trọng hoặc lãng phí thời gian vào các phần không liên quan.

Một số mẫu bảng khảo sát các đơn vị có thể tham khảo như:

Bảng khảo sát thông tin chung

Bảng khảo sát thông tin kỹ thuật

Bước 2: Thu thập và kiểm tra cấu hình bảo mật hiện tại

Sau khi biết phạm vi, bạn cần thu thập thông tin cấu hình bảo mật hiện đang áp dụng:

• Danh sách tài khoản và quyền truy cập.
• Chính sách mật khẩu và xác thực (2FA, OTP).
• Tường lửa (Firewall) và thiết bị chống xâm nhập (IPS/IDS).
• Cấu hình phần mềm, hệ điều hành, ứng dụng.
• Bản vá (patch) bảo mật mới nhất

Ví dụ: Khi kiểm tra máy chủ web, bạn phát hiện vẫn dùng HTTP thay vì HTTPS hoặc đang chạy phiên bản PHP đã ngừng hỗ trợ → đây là một lỗ hổng rõ ràng cần khắc phục.

Mẹo: Nên lập bảng Excel liệt kê từng hạng mục bảo mật, trạng thái hiện tại, và ghi chú nếu phát hiện bất thường. Điều này giúp bước đánh giá rủi ro sau đó trở nên dễ dàng hơn.

Bước 3: Đánh giá rủi ro và điểm yếu

Đây là bước quan trọng nhất để biết hệ thống đang đối mặt với những mối nguy nào. Bạn có thể áp dụng quy trình Risk Assessment gồm 3 phần:

1. Xác định mối đe dọa (threats): Tấn công DDoS, malware, rò rỉ dữ liệu, tấn công nội gián.
2. Phát hiện điểm yếu (vulnerabilities): Phần mềm lỗi thời, mật khẩu yếu, cấu hình sai.
3. Đánh giá tác động và khả năng xảy ra: Xếp hạng theo thang điểm (cao – trung bình – thấp).

Ví dụ:

• Mối đe dọa: Hacker tấn công website.
• Điểm yếu: Chưa có tường lửa ứng dụng web (WAF).
• Tác động: Website bị ngừng hoạt động, mất doanh thu → Rủi ro cao.

Công cụ hỗ trợ:

• Nessus, OpenVAS (quét lỗ hổng).
• OWASP ZAP (kiểm tra bảo mật ứng dụng web).

OpenVAS là một bộ công cụ và máy chủ đánh giá lỗ hổng bảo mật mã nguồn mở

OWASP ZAP kiểm tra lỗ hổng của ứng dụng web

Bước 4: So sánh với tiêu chuẩn & quy định pháp luật

Đối chiếu hiện trạng với:

•  ISO/IEC 27001, NIST CSF (quốc tế).
• Nghị định 85/2016/NĐ-CP, Thông tư 12/2022/TT-BTTTT, TCVN 11930:2017 (Việt Nam).

Kiểm tra doanh nghiệp đã có:

• Chính sách ATTT, quy trình xử lý sự cố.
• Giải pháp kỹ thuật cơ bản (firewall, antivirus, sao lưu).
• Đào tạo, diễn tập định kỳ (bắt buộc với cấp 2 trở lên)

Ví dụ: Nếu bạn đang chuẩn bị hồ sơ đề xuất cấp độ an toàn thông tin cấp độ 2, cần đảm bảo:

• Có kế hoạch quản lý rủi ro ATTT.
• Có biện pháp bảo vệ vật lý và logic.
• Đảm bảo sao lưu dữ liệu định kỳ.
• Có quy trình xử lý sự cố ATTT.

Lưu ý: Đây là lúc bạn biết doanh nghiệp mình đang thiếu những gì để đáp ứng yêu cầu pháp lý và hợp đồng.

Bước 5: Lập báo cáo kết quả và đề xuất cải thiện

Kết quả đánh giá cần được tổng hợp thành báo cáo rõ ràng, bao gồm:

• Phạm vi, danh sách lỗ hổng, mức độ rủi ro, đề xuất khắc phục.
• Khuyến nghị cải thiện chia thành ngắn hạn (vá lỗi, cài SSL, 2FA) và dài hạn (chính sách nội bộ, đào tạo Red Team/Blue Team, SOC/SIEM).
• Nếu thiếu năng lực nội bộ, có thể gửi báo cáo này cho đơn vị tư vấn hồ sơ cấp độ để hoàn thiện.

Ví dụ:

Mẹo:

• Nếu không có đội ngũ chuyên môn, bạn có thể gửi báo cáo này cho đơn vị tư vấn hồ sơ cấp độ an toàn thông tin để được hướng dẫn xử lý sâu hơn.

Tham khảo thêm bài viết về việc “Có nên thuê đơn vị ngoài để thực hiện hồ sơ cấp độ hay không?” tại đây

• Nên lưu trữ báo cáo để so sánh với kết quả đánh giá định kỳ sau này.

5. Lợi ích của việc tự đánh giá định kỳ

Phát hiện sớm lỗ hổng bảo mật

• Việc kiểm tra định kỳ giúp doanh nghiệp nhanh chóng nhận diện những điểm yếu trong hạ tầng CNTT, phần mềm, hoặc quy trình vận hành.
• Các lỗ hổng này có thể bao gồm cấu hình sai, phần mềm lỗi thời, hoặc quyền truy cập không phù hợp.
• Phát hiện sớm đồng nghĩa với việc có thể triển khai biện pháp khắc phục ngay, giảm nguy cơ bị hacker hoặc phần mềm độc hại khai thác.

Tiết kiệm chi phí xử lý sự cố

• Chi phí phòng ngừa (cập nhật bảo mật, huấn luyện nhân viên, nâng cấp hệ thống) thường thấp hơn rất nhiều so với chi phí khắc phục hậu quả sau một cuộc tấn công mạng.
• Một sự cố có thể kéo theo mất dữ liệu, gián đoạn kinh doanh, thậm chí mất uy tín lâu dài, gây thiệt hại hàng trăm triệu đến hàng tỷ đồng.
• Đánh giá định kỳ giúp giảm thiểu những khoản chi phí khẩn cấp không mong muốn.

Tăng khả năng đạt chứng nhận ATTT

• Doanh nghiệp duy trì hệ thống an toàn và tuân thủ tiêu chuẩn sẽ dễ dàng vượt qua các bước kiểm tra, thẩm định khi xin cấp chứng nhận ATTT từ cơ quan quản lý.
• Đây là lợi thế quan trọng khi tham gia đấu thầu các dự án CNTT hoặc hợp tác với các đối tác quốc tế vốn yêu cầu chứng chỉ bảo mật nghiêm ngặt.

Nâng cao nhận thức bảo mật trong nội bộ

• Khi thực hiện đánh giá định kỳ, nhân viên các phòng ban sẽ được tham gia, từ đó hiểu rõ hơn về tầm quan trọng của bảo mật thông tin.
• Điều này hình thành thói quen tuân thủ quy trình bảo mật, giảm thiểu nguy cơ rủi ro từ yếu tố con người – nguyên nhân chiếm tới 80% sự cố ATTT.

Tìm hiểu thêm về dịch vụ đánh giá hệ thống tại đây

6. Kết luận

An toàn thông tin không chỉ là vấn đề của bộ phận IT, mà là trách nhiệm chung của toàn doanh nghiệp. Bằng cách thực hiện 5 bước cơ bản trên, bạn đã đi được một chặng đường dài trong việc bảo vệ hệ thống và dữ liệu của mình. Hãy bắt đầu ngay từ hôm nay!