5 Cấp độ An toàn thông tin là gì? Những điều doanh nghiệp cần tuân thủ

1. 5 Cấp độ An toàn thông tin là gì?

An toàn thông tin theo cấp độ là khung phân loại do Nhà nước ban hành nhằm xác định mức độ quan trọng của từng hệ thống thông tin và yêu cầu bảo vệ tương ứng. Hệ thống nào quan trọng hơn, xử lý dữ liệu nhạy cảm hơn thì phải đáp ứng tiêu chuẩn bảo mật cao hơn.

Được quy định chính thức tại hai văn bản cốt lõi: Nghị định 85/2016/NĐ-CP (ban hành ngày 01/7/2016) và Thông tư 12/2022/TT-BTTTT (có hiệu lực tháng 10/2022). Trong đó Nghị định 85 đặt ra tiêu chí xác định cấp độ, còn Thông tư 12 hướng dẫn chi tiết từng bước thực hiện và yêu cầu kỹ thuật cụ thể theo từng cấp. Đây cũng là một phần quan trọng trong hành trình chuyển đổi số đúng chuẩn pháp lý của doanh nghiệp Việt Nam.

5 cấp độ được phân chia theo nguyên tắc: càng lên cao, hệ thống càng quan trọng đối với hoạt động nhà nước, kinh tế hoặc an ninh quốc gia, và yêu cầu bảo vệ càng nghiêm ngặt hơn. Cấp 1 dành cho hệ thống nội bộ đơn giản nhất; Cấp 5 chỉ áp dụng cho các hệ thống tối quan trọng của quốc gia.

Bất kỳ tổ chức nào vận hành hệ thống thông tin tại Việt Nam, kể cả doanh nghiệp tư nhân cung cấp dịch vụ trực tuyến, đều thuộc phạm vi áp dụng. Không thực hiện đúng có thể dẫn đến xử phạt hành chính, yêu cầu khắc phục hoặc tạm dừng dịch vụ.

2. Phân loại chi tiết từng cấp độ

Cấp độ 1: Hệ thống nội bộ đơn giản

Theo Điều 7 Nghị định 85/2016, đây là cấp thấp nhất, áp dụng cho hệ thống chỉ phục vụ hoạt động nội bộ của cơ quan, tổ chức và chỉ xử lý thông tin công cộng, tức là thông tin không cần kiểm soát danh tính người xem.

Ví dụ thực tế: Website giới thiệu công ty không có tính năng đăng nhập, landing page quảng cáo, bảng tin nội bộ, phần mềm chấm công nội bộ không kết nối internet.

Cấp độ 2: Hệ thống có dữ liệu riêng tư quy mô nhỏ

Theo Điều 8 Nghị định 85/2016, cấp độ 2 áp dụng khi hệ thống có xử lý thông tin riêng tư hoặc dữ liệu cá nhân của người dùng nhưng quy mô còn nhỏ. Cụ thể là dịch vụ trực tuyến phục vụ dưới 10.000 người dùng, hoặc cung cấp dịch vụ trực tuyến không thuộc danh mục dịch vụ kinh doanh có điều kiện.

Ví dụ thực tế: Cửa hàng online mới ra mắt, app đặt bàn nhà hàng, website tuyển dụng có form đăng ký tài khoản, phần mềm CRM của doanh nghiệp SME.

Cấp độ 3: Ngưỡng quan trọng mà nhiều doanh nghiệp dễ bỏ qua

Theo Điều 9 Nghị định 85/2016, hệ thống thuộc cấp độ 3 khi thỏa mãn một trong các tiêu chí sau:

• Cung cấp dịch vụ trực tuyến có xử lý thông tin riêng, thông tin cá nhân của từ 10.000 người dùng trở lên.
• Cung cấp dịch vụ trực tuyến thuộc danh mục dịch vụ kinh doanh có điều kiện.
• Hạ tầng CNTT dùng chung phục vụ nhiều cơ quan, tổ chức trong phạm vi một ngành hoặc một tỉnh.
• Xử lý thông tin bí mật nhà nước hoặc phục vụ quốc phòng, an ninh khi bị phá hoại sẽ gây tổn hại đến quốc phòng, an ninh.

Ví dụ thực tế: Sàn thương mại điện tử quy mô lớn, ví điện tử, app ngân hàng số, bệnh viện tư có hệ thống quản lý bệnh nhân trực tuyến, nền tảng học trực tuyến quy mô lớn, công ty bảo hiểm có cổng khách hàng online, fintech cho vay ngang hàng.

Đây là cấp độ mà nhiều doanh nghiệp công nghệ, fintech, y tế số hay giáo dục trực tuyến dễ rơi vào mà không nhận ra, đặc biệt khi lượng người dùng tăng vượt ngưỡng 10.000 tài khoản.

Cấp độ 4: Hệ thống quốc gia quan trọng

Theo Điều 10 Nghị định 85/2016, cấp độ 4 dành cho các hệ thống có tầm ảnh hưởng lớn đến hoạt động của Chính phủ điện tử hoặc hạ tầng CNTT trọng yếu toàn quốc, với yêu cầu vận hành liên tục 24/7 và không được phép ngừng hoạt động không có kế hoạch.

Ví dụ thực tế: Cổng dịch vụ công quốc gia, hệ thống thanh toán liên ngân hàng, hạ tầng CNTT dùng chung toàn quốc. Đây thường là hệ thống do cơ quan nhà nước quản lý, nằm ngoài phạm vi hầu hết doanh nghiệp tư nhân.

Cấp độ 5: Hệ thống tối quan trọng của quốc gia

Theo Điều 11 Nghị định 85/2016, đây là cấp cao nhất, áp dụng cho các hệ thống mà khi bị tấn công hoặc gián đoạn sẽ gây ra thiệt hại đặc biệt nghiêm trọng đến an ninh quốc gia. Danh mục hệ thống cấp độ 5 do Thủ tướng Chính phủ phê duyệt.

Ví dụ thực tế: Hệ thống quốc phòng, an ninh quốc gia, hạ tầng kết nối internet quốc tế của Việt Nam. Cấp độ này hoàn toàn nằm ngoài phạm vi doanh nghiệp tư nhân.

3. Bảng so sánh 5 cấp độ an toàn thông tin

4. Cách xác định Cấp độ An toàn thông tin 

Để xác định đúng cấp độ theo các tiêu chí tại Điều 7-11 Nghị định 85/2016, chủ doanh nghiệp cần làm rõ 4 điểm sau:

Hệ thống xử lý loại thông tin nào?

Phân biệt rõ: thông tin công cộng (ai cũng xem được) hay thông tin riêng tư (cần xác thực danh tính)? Có xử lý dữ liệu cá nhân như họ tên, số điện thoại, địa chỉ, lịch sử giao dịch không? Nếu có dữ liệu cá nhân, hệ thống đã thoát khỏi cấp độ 1.

Hệ thống phục vụ bao nhiêu người dùng?

Đây là ngưỡng phân cấp quan trọng nhất với doanh nghiệp tư nhân theo Điều 8 và Điều 9 Nghị định 85/2016. Dưới 10.000 người dùng hoạt động thì thuộc cấp độ 2. Từ 10.000 trở lên thì rơi vào cấp độ 3 và phải tuân thủ yêu cầu cao hơn rõ rệt.

Dịch vụ có thuộc ngành kinh doanh có điều kiện không?

Tài chính, ngân hàng, bảo hiểm, y tế, dược phẩm, giáo dục trực tuyến đều là ngành kinh doanh có điều kiện. Nếu doanh nghiệp cung cấp dịch vụ trực tuyến trong các lĩnh vực này, hệ thống tối thiểu phải đạt cấp độ 3 theo Điều 9 Nghị định 85/2016, bất kể số lượng người dùng là bao nhiêu.

Hệ thống có yêu cầu vận hành liên tục không?

Nếu hệ thống phải hoạt động 24/7, không chấp nhận ngừng vận hành mà không có kế hoạch trước, đó là dấu hiệu của cấp độ 4 theo Điều 10 Nghị định 85/2016. Thông thường đây là các hệ thống thuộc Chính phủ điện tử hoặc hạ tầng CNTT trọng yếu quốc gia.

Lưu ý quan trọng (Điều 5 Nghị định 85/2016): Khi hệ thống bao gồm nhiều hệ thống thành phần có cấp độ khác nhau, cấp độ tổng thể được xác định theo cấp cao nhất trong các thành phần đó.

5. Yêu cầu kỹ thuật và quản lý theo từng cấp

Mỗi cấp độ đặt ra hai nhóm yêu cầu: quản lý và kỹ thuật. Các yêu cầu này được quy định chi tiết tại 5 phụ lục của Thông tư 12/2022 và tham chiếu theo tiêu chuẩn TCVN 11930:2017.

Yêu cầu quản lý (áp dụng từ cấp độ 1, tăng dần theo cấp)

Theo Phụ lục I-V Thông tư 12/2022, các yêu cầu quản lý được chia thành 7 nhóm, áp dụng tăng dần theo cấp độ:

• Thiết lập chính sách an toàn thông tin bằng văn bản, định kỳ rà soát và cập nhật (tất cả cấp độ).
• Thành lập hoặc chỉ định đơn vị chuyên trách về an toàn thông tin (tất cả cấp độ).
• Quản lý nhân sự an toàn thông tin trong toàn bộ vòng đời làm việc (tất cả cấp độ).
• Quản lý sự cố an toàn thông tin; quản lý an toàn người dùng đầu cuối (từ cấp độ 2 trở lên).
• Quản lý điểm yếu an toàn thông tin; quản lý giám sát an toàn hệ thống; quản lý phòng chống phần mềm độc hại có hệ thống (từ cấp độ 3 trở lên).
• Có phương án quản lý rủi ro và kế hoạch kết thúc vận hành, thanh lý hệ thống (tất cả cấp độ).

Yêu cầu kỹ thuật: Phân vùng mạng tối thiểu

Theo Phụ lục I-V Thông tư 12/2022, số lượng vùng mạng tối thiểu tăng dần theo cấp độ:

• Cấp độ 1: Vùng mạng nội bộ, vùng mạng biên, vùng DMZ.
• Cấp độ 2: Bổ sung thêm vùng máy chủ nội bộ; vùng mạng không dây (nếu có) tách riêng.
• Cấp độ 3: Bổ sung thêm vùng máy chủ cơ sở dữ liệu và vùng quản trị.
• Cấp độ 4 và 5: Bổ sung thêm vùng quản trị thiết bị hệ thống riêng biệt.

Yêu cầu kỹ thuật đặc thù theo cấp độ

Theo Phụ lục Thông tư 12/2022, một số yêu cầu kỹ thuật đặc thù theo cấp độ gồm:

• Cấp độ 1: Có phương án quản lý truy cập, quản trị hệ thống từ xa an toàn sử dụng mạng riêng ảo hoặc phương án tương đương; có phương án quản lý truy cập giữa các vùng mạng và phòng chống xâm nhập sử dụng sản phẩm tường lửa có tích hợp chức năng phòng chống xâm nhập; có phương án phòng chống mã độc cho máy chủ và máy trạm.
• Cấp độ 2 (bổ sung so với cấp 1): Có phương án phòng chống tấn công mạng cho ứng dụng web sử dụng sản phẩm tường lửa ứng dụng web (WAF) đối với hệ thống có ứng dụng web; có phương án bảo đảm an toàn cho hệ thống thư điện tử; có phương án dự phòng cho các thiết bị mạng chính bao gồm thiết bị chuyển mạch trung tâm, thiết bị tường lửa trung tâm.
• Cấp độ 3 (bổ sung so với cấp 2): Có phương án cân bằng tải, dự phòng nóng cho các thiết bị mạng chính; có phương án bảo đảm an toàn cho máy chủ cơ sở dữ liệu sử dụng sản phẩm tường lửa cơ sở dữ liệu; có phương án chặn lọc phần mềm độc hại trên môi trường mạng sử dụng tường lửa tích hợp chức năng phòng chống mã độc; có phương án phòng chống tấn công từ chối dịch vụ sử dụng dịch vụ của doanh nghiệp hoặc sản phẩm chuyên dụng; có phương án giám sát an toàn hệ thống thông tin tập trung sử dụng sản phẩm quản lý và phân tích sự kiện an toàn thông tin; có phương án quản lý truy cập lớp mạng; có phương án phòng chống thất thoát dữ liệu đối với hệ thống xử lý thông tin bí mật nhà nước.
• Cấp độ 4 (bổ sung so với cấp 3): Có phương án quản lý tài khoản đặc quyền sử dụng sản phẩm quản lý tài khoản đặc quyền; có phương án giám sát hệ thống thông tin tập trung sử dụng sản phẩm giám sát hệ thống thông tin tập trung.
• Cấp độ 5 (bổ sung so với cấp 4): Có phương án dự phòng hệ thống ở vị trí địa lý khác nhau, cách nhau tối thiểu 30 km; có phương án dự phòng cho kết nối mạng giữa các hệ thống chính và dự phòng.

6. Quy trình thực hiện - Từ hồ sơ đến phê duyệt

Sau khi xác định được cấp độ, doanh nghiệp thực hiện theo quy trình quy định tại Chương III Nghị định 85/2016 và Chương II Thông tư 12/2022:

Bước 1: Lập hồ sơ đề xuất cấp độ (Điều 15 Nghị định 85/2016)

Hồ sơ gồm 4 thành phần chính: tài liệu mô tả tổng quan hệ thống; tài liệu thiết kế thi công hoặc thiết kế sơ bộ; tài liệu thuyết minh căn cứ đề xuất cấp độ dựa trên tiêu chí pháp luật; và tài liệu thuyết minh phương án bảo đảm an toàn thông tin theo cấp độ tương ứng.

Bước 2: Thẩm định và phê duyệt (Điều 12, 16, 17 Nghị định 85/2016)

• Cấp độ 1 và 2: Đơn vị chuyên trách an toàn thông tin của chính tổ chức thẩm định và phê duyệt nội bộ.
• Cấp độ 3: Bộ TT&TT chủ trì thẩm định, thời gian tối đa 15 ngày làm việc.
• Cấp độ 4 và 5: Thời gian thẩm định tối đa 30 ngày làm việc, có sự phối hợp liên bộ.
• Thời gian xử lý hồ sơ phê duyệt: tối đa 7 ngày làm việc sau khi nhận đủ hồ sơ hợp lệ.

Bước 3: Triển khai phương án bảo đảm an toàn

Sau khi hồ sơ được phê duyệt, doanh nghiệp phải triển khai đầy đủ phương án đã được duyệt trước khi đưa hệ thống vào vận hành. Với hệ thống đang vận hành, cần rà soát và bổ sung các biện pháp còn thiếu. Từ cấp độ 3 trở lên, nhiều yêu cầu kỹ thuật đòi hỏi năng lực chuyên môn cao như triển khai WAF, chống DDoS, hệ thống giám sát tập trung và phòng chống ransomware.

Bước 4: Kiểm tra, đánh giá định kỳ (Điều 20 Nghị định 85/2016)

• Cấp độ 3 và 4: Kiểm tra, đánh giá an toàn thông tin định kỳ hàng năm.
• Cấp độ 5: Kiểm tra định kỳ 6 tháng một lần hoặc đột xuất khi cần thiết.
• Mọi cấp độ: Đánh giá tổng thể 2 năm một lần.
• Từ cấp độ 3 trở lên: Việc kiểm tra phải do tổ chức chuyên môn được cấp phép thực hiện.

Bước 5: Báo cáo định kỳ (Điều 13, 14 Thông tư 12/2022)

Mỗi năm, đơn vị vận hành gửi báo cáo cho chủ quản hệ thống trước ngày 20/12. Chủ quản hệ thống tổng hợp và gửi về Bộ TT&TT trước ngày 25/12 hàng năm.

7. Rủi ro pháp lý và hậu quả nếu không tuân thủ

Việc không phân loại đúng cấp độ hoặc không triển khai phương án bảo đảm an toàn tương ứng không chỉ là vi phạm hành chính mà còn để lại lỗ hổng bảo mật nghiêm trọng. Data breach từ một hệ thống không được bảo vệ đúng cấp có thể gây thiệt hại lớn hơn nhiều so với chi phí tuân thủ ban đầu.

Rủi ro pháp lý trực tiếp

• Xử phạt vi phạm hành chính theo pháp luật về an toàn thông tin mạng.
• Yêu cầu khắc phục toàn bộ trong thời hạn quy định.
• Bị kiểm tra đột xuất bởi cơ quan nhà nước có thẩm quyền.
• Trường hợp nghiêm trọng có thể bị yêu cầu tạm dừng cung cấp dịch vụ đến khi đáp ứng đủ yêu cầu.

Rủi ro bảo mật thực tế

• Không có tường lửa ứng dụng web khiến hệ thống dễ bị khai thác qua các lỗ hổng như SQL injection, XSS.
• Thiếu giải pháp chống DDoS khiến dịch vụ dễ bị làm tê liệt.
• Không có cơ chế sao lưu dự phòng dẫn đến mất dữ liệu hoàn toàn khi xảy ra sự cố ransomware hoặc lỗi phần cứng.
• Thiếu giám sát tập trung khiến doanh nghiệp không phát hiện được các cuộc tấn công tinh vi như zero-day cho đến khi quá muộn.

8. Kết luận

Hệ thống 5 cấp độ an toàn thông tin không phải gánh nặng hành chính mà là khung bảo vệ thực chất giúp doanh nghiệp vận hành an toàn hơn trong bối cảnh các mối đe dọa mạng ngày càng phức tạp. Bước đầu tiên cũng là bước quan trọng nhất: xác định đúng cấp độ của hệ thống mình đang vận hành. Từ đó mới biết cần làm gì, làm ở đâu và phối hợp với ai.

Đối với hệ thống từ cấp độ 3 trở lên, VNETWORK cung cấp đầy đủ các giải pháp kỹ thuật theo đúng yêu cầu của Thông tư 12/2022, bao gồm bảo mật ứng dụng web (VNIS), chống DDoS, bảo mật email (EG-Platform) và hạ tầng đám mây (VCLOUD). Liên hệ VNETWORK để được tư vấn xác định cấp độ và lộ trình triển khai phù hợp với quy mô doanh nghiệp.

9. Tuyên bố miễn trừ trách nhiệm và Nguồn tham khảo

Bài viết này được biên soạn nhằm mục đích cung cấp thông tin tổng quan về hệ thống an toàn thông tin theo cấp độ tại Việt Nam. Nội dung không cấu thành tư vấn pháp lý chính thức. Các quy định pháp luật có thể được sửa đổi, bổ sung theo thời gian. Để xác định cấp độ và triển khai phương án bảo đảm an toàn thông tin chính xác cho từng hệ thống cụ thể, tổ chức cần tham khảo trực tiếp văn bản pháp luật gốc và/hoặc đơn vị tư vấn chuyên môn được cơ quan có thẩm quyền cấp phép.

• Nghị định số 85/2016/NĐ-CP ngày 01 tháng 7 năm 2016 của Chính phủ về bảo đảm an toàn hệ thống thông tin theo cấp độ: Tại đây
• Thông tư số 12/2022/TT-BTTTT ngày 12 tháng 8 năm 2022 của Bộ trưởng Bộ Thông tin và Truyền thông quy định chi tiết và hướng dẫn một số điều của Nghị định số 85/2016/NĐ-CP: Tại đây
• Luật An toàn thông tin mạng số 86/2015/QH13 ngày 19 tháng 11 năm 2015: Tại đây
• Tiêu chuẩn quốc gia TCVN 11930:2017 về Công nghệ thông tin, các kỹ thuật an toàn, yêu cầu cơ bản về an toàn hệ thống thông tin theo cấp độ: Tại đây

FAQ - Câu hỏi thường gặp về an toàn hệ thống thông tin theo cấp độ

1. Doanh nghiệp tư nhân có phải tuân thủ quy định 5 cấp độ an toàn thông tin không?

Có. Theo Điều 2 Nghị định 85/2016/NĐ-CP, quy định này áp dụng cho mọi tổ chức, cá nhân tham gia xây dựng, vận hành, quản lý hệ thống thông tin tại Việt Nam, bao gồm doanh nghiệp tư nhân cung cấp dịch vụ trực tuyến, ứng dụng có xử lý dữ liệu cá nhân hoặc hạ tầng CNTT phục vụ nhiều đơn vị.

2. Cấp độ an toàn thông tin có cần cập nhật lại khi hệ thống thay đổi không?

Có. Theo Điều 18 Nghị định 85/2016, khi hệ thống được mở rộng, nâng cấp hoặc thay đổi đáng kể về phạm vi, quy mô hay loại dữ liệu xử lý, chủ quản phải rà soát lại hồ sơ đề xuất cấp độ và điều chỉnh phương án bảo đảm an toàn cho phù hợp. Quy trình xác định lại thực hiện theo trình tự như lần đầu.

3. Sự khác biệt chính giữa cấp độ 3 và cấp độ 4 là gì?

Cấp độ 3 (Điều 9 Nghị định 85/2016) áp dụng cho hệ thống xử lý thông tin bí mật nhà nước hoặc dịch vụ trực tuyến phục vụ từ 10.000 người dùng trở lên. Cấp độ 4 (Điều 10) dành cho hệ thống quốc gia quan trọng hơn, bổ sung yêu cầu vận hành 24/7 bắt buộc, dự phòng nóng cho thiết bị mạng chính, quản lý tài khoản đặc quyền và vùng quản trị thiết bị hệ thống riêng biệt.

4. Nếu chưa lập hồ sơ đề xuất cấp độ, doanh nghiệp có bị xử phạt không?

Có thể bị xử phạt vi phạm hành chính theo pháp luật về an toàn thông tin mạng. Ngoài xử phạt, doanh nghiệp còn đối mặt với nguy cơ bị yêu cầu tạm dừng cung cấp dịch vụ hoặc phải khắc phục toàn bộ trong thời hạn quy định.

5. Doanh nghiệp cần làm gì đầu tiên để bắt đầu thực hiện đúng quy định?

Bước đầu tiên là xác định đúng loại hệ thống thông tin đang vận hành theo Điều 6 Nghị định 85/2016, sau đó đối chiếu với tiêu chí tại Điều 7-11 để xác định cấp độ phù hợp. Tiếp theo là lập hồ sơ đề xuất cấp độ, tổ chức thẩm định và triển khai phương án bảo đảm an toàn tương ứng. Với hệ thống cấp độ 3 trở lên, nên phối hợp với đơn vị tư vấn chuyên môn được cấp phép.