5 cấp độ bảo đảm an toàn hệ thống thông tin theo Nghị định 85

Trong thời đại số hóa và chuyển đổi số toàn diện, 5 cấp độ bảo đảm an toàn hệ thống thông tin theo Nghị định 85/2016/NĐ‑CP đóng vai trò cực kỳ quan trọng. Việc hiểu rõ từng cấp độ không chỉ giúp các cơ quan, tổ chức triển khai đúng biện pháp kỹ thuật, mà còn đảm bảo an toàn cho thông tin từ mức nội bộ đến quốc gia. Bài viết này sẽ trình bày sâu và đầy đủ về 5 cấp độ bảo đảm an toàn hệ thống thông tin cùng phương pháp triển khai, giúp bạn đọc – đặc biệt là cán bộ CNTT và lãnh đạo – nâng cao hiệu quả, chuẩn hóa hoạt động bảo đảm an toàn hệ thống thông tin.

5 cấp độ bảo đảm an toàn hệ thống thông tin là gì?

Theo Nghị định 85/2016/NĐ‑CP, 5 cấp độ bảo đảm an toàn hệ thống thông tin được xác định dựa trên mức độ nghiêm trọng khi hệ thống bị xâm phạm, ảnh hưởng tới công tác nội bộ, thông tin cá nhân và bí mật nhà nước.

Tại sao phải phân cấp độ?

Phân cấp mang lại nhiều lợi ích:

Xác định rõ mức độ rủi ro, thiệt hại tiềm ẩn.
Định hướng biện pháp kỹ thuật – tổ chức – quản lý phù hợp.
Tránh lãng phí nguồn lực và nâng cao hiệu quả đầu tư.
Thuận lợi trong kiểm tra, giám sát và đánh giá từ cơ quan chuyên trách.

Chi tiết 5 cấp độ bảo đảm an toàn hệ thống thông tin

Trong lĩnh vực bảo mật thông tin, hệ thống thông tin tại Việt Nam được phân loại và đánh giá theo 5 cấp độ bảo đảm an toàn, từ cấp 1 đến cấp 5 – tương ứng với mức độ yêu cầu bảo vệ ngày càng nghiêm ngặt.

An toàn thông tin cấp độ 1: Bảo vệ cơ bản cho hệ thống thông tin công cộng

Định nghĩa:
Là các hệ thống thông tin chỉ phục vụ hoạt động nội bộ của cơ quan, tổ chức và chỉ xử lý thông tin công cộng (không liên quan đến dữ liệu cá nhân hay bí mật nhà nước).

Cấp độ 1 là cấp độ mà khi bị phá hoại sẽ làm tổn hại tới quyền và lợi ích hợp pháp của tổ chức, cá nhân mà không làm tổn hại tới lợi ích công cộng, trật tự, an toàn xã hội, quốc phòng, an ninh quốc gia;

Mục tiêu bảo đảm an toàn:
Ngăn chặn các rủi ro mất dữ liệu, tấn công gây gián đoạn nhẹ hoặc lợi dụng hệ thống để phát tán mã độc.

Ví dụ hệ thống:
Trang web giới thiệu cơ quan, hệ thống quản lý lịch họp nội bộ, cổng thông tin truyền thông không chứa dữ liệu người dùng.

An toàn thông tin cấp độ 2: Bảo vệ thông tin cá nhân và dữ liệu riêng lẻ

Định nghĩa:
Hệ thống an toàn thông tin cấp độ 2 thỏa mãn một trong những tiêu chí sau:

Phục vụ nội bộ, nhưng có xử lý thông tin cá nhân hoặc thông tin riêng của người dùng.
Cung cấp dịch vụ công trực tuyến mức độ từ 2 trở xuống.
Cung cấp dịch vụ trực tuyến không thuộc ngành nghề kinh doanh có điều kiện, phục vụ dưới 1.000 người dùng.
Là hạ tầng CNTT nội bộ phục vụ cho các hoạt động cơ bản của đơn vị.

Mục tiêu bảo đảm:
Tránh rò rỉ thông tin cá nhân, gián đoạn hoạt động, hoặc các hành vi khai thác lỗ hổng đơn giản.

Ví dụ hệ thống:

Website dịch vụ công cấp xã, huyện.
Hệ thống quản lý nhân sự có thông tin CMT/CCCD nhân viên.
Cổng hỗ trợ khách hàng chứa email, số điện thoại.

Biện pháp khuyến nghị:

Mã hóa dữ liệu ở mức cơ bản.
Kiểm soát truy cập phân quyền rõ ràng, dùng RBAC/ABAC.
Cài đặt IDS/IPS để phát hiện xâm nhập trái phép.
Thực hiện sao lưu dữ liệu có kiểm tra, xây dựng kế hoạch DRP (Disaster Recovery Plan).
Yêu cầu chính sách mật khẩu mạnh, thay đổi định kỳ.

An toàn thông tin cấp độ 3: Bảo vệ nâng cao cho hệ thống xử lý thông tin quan trọng

Định nghĩa:
Dù Nghị định không quy định cụ thể, nhưng trong thực tế, an toàn thông tin cấp độ 3 thường được áp dụng cho các hệ thống có quy mô lớn hơn so với cấp độ 2. Cụ thể, đó là những hệ thống cung cấp dịch vụ trực tuyến và có xử lý thông tin riêng, thông tin cá nhân của từ 10.000 người dùng trở lên. Điều này đòi hỏi mức độ bảo vệ cao hơn để đảm bảo an toàn dữ liệu và quyền riêng tư của người sử dụng.

Hệ thống thông tin cấp độ 3 là hệ thống thông tin có một trong các tiêu chí cụ thể như sau:

1. Hệ thống thông tin xử lý thông tin bí mật nhà nước hoặc hệ thống phục vụ quốc phòng, an ninh khi bị phá hoại sẽ làm tổn hại tới quốc phòng, an ninh quốc gia.

2. Hệ thống thông tin phục vụ người dân, doanh nghiệp thuộc một trong các loại hình như sau:

a) Cung cấp thông tin và dịch vụ công trực tuyến từ mức độ 3 trở lên theo quy định của pháp luật;

b) Cung cấp dịch vụ trực tuyến thuộc danh Mục dịch vụ kinh doanh có Điều kiện;

c) Cung cấp dịch vụ trực tuyến khác có xử lý thông tin riêng, thông tin cá nhân của từ 10.000 người sử dụng trở lên.

Cấp độ 3 là cấp độ mà khi bị phá hoại sẽ làm tổn hại nghiêm trọng tới sản xuất, lợi ích công cộng và trật tự, an toàn xã hội hoặc làm tổn hại tới quốc phòng, an ninh quốc gia;

Mục tiêu bảo đảm:
Giảm thiểu nguy cơ rò rỉ dữ liệu quy mô lớn, bị tấn công có chủ đích (APT), mất kiểm soát truy cập.

Ví dụ hệ thống:

Cổng thông tin ngành y tế tỉnh/thành phố.
Hệ thống thanh toán nội bộ giữa ngân hàng và cơ quan tài chính.
Dịch vụ lưu trữ dữ liệu người học trong hệ thống giáo dục.

Biện pháp khuyến nghị:

Mã hóa đầu cuối (end-to-end encryption).
Triển khai SIEM (Security Information and Event Management) để giám sát theo thời gian thực.
Kiểm thử xâm nhập định kỳ (pentest).
Chứng chỉ bảo mật: ISO/IEC 27001, 27017…
Giám sát hành vi người dùng, phát hiện bất thường.

Đọc thêm: Sunteco chinh phục 2 chứng chỉ khắt khe về an toàn thông tin theo chuẩn quốc tế ISO/IEC 27001:2022 và ISO/EIC 27017:2015

Cấp độ 4: Hệ thống thông tin mật hoặc có ảnh hưởng nghiêm trọngHệ thống thông tin:

Theo quy định tại Mục 8.1.4.1, Mục 8.1.5.6 Tiêu chuẩn quốc gia TCVN 11930:2017 có quy định về thiết kế an toàn, quản lý giám sát an toàn hệ thống thông tin đối với hệ thống tin cấp độ 4 như sau:

8.1.4.1 – Thiết kế an toàn hệ thống thông tin

a) Có tài liệu mô tả quy mô, phạm vi và đối tượng sử dụng, khai thác, quản lý vận hành hệ thống thông tin;

b) Có tài liệu mô tả thiết kế và các thành phần của hệ thống thông tin;

c) Có tài liệu mô tả phương án bảo đảm an toàn thông tin theo cấp độ;

d) Có tài liệu mô tả phương án lựa chọn giải pháp công nghệ bảo đảm an toàn thông tin;

đ) Khi có thay đổi thiết kế, đánh giá lại tính phù hợp của phương án thiết kế đối với các yêu cầu an toàn đặt ra đối với hệ thống;

e) Có phương án quản lý và bảo vệ hồ sơ thiết kế;

g) Có bộ phận chuyên môn, tổ chuyên gia đánh giá hồ sơ thiết kế hệ thống thông tin, các biện pháp bảo đảm an toàn thông tin trước khi triển khai thực hiện.

8.1.5.6 – Quản lý giám sát an toàn hệ thống thông tin

Chính sách, quy trình quản lý giám sát an toàn hệ thống thông tin bao gồm:

a) Quản lý, vận hành hoạt động bình thường của hệ thống giám sát;

b) Đối tượng giám sát bao gồm: thiết bị hệ thống, máy chủ, ứng dụng, dịch vụ và các thành phần khác trong hệ thống (nếu có);

c) Kết nối và gửi nhật ký hệ thống từ đối tượng giám sát về hệ thống giám sát;

d) Truy cập và quản trị hệ thống giám sát;

đ) Loại thông tin cần được giám sát;

e) Lưu trữ và bảo vệ thông tin giám sát (nhật ký hệ thống);

g) Đồng bộ thời gian giữa hệ thống giám sát và thiết bị được giám sát;

h) Theo dõi, giám sát và cảnh báo sự cố phát hiện được trên hệ thống thông tin;

i) Bố trí nguồn lực và tổ chức giám sát an toàn hệ thống thông tin 24/7.

Ví dụ hệ thống:

Hệ thống điều phối xuất nhập cảnh.
Hệ thống điều hành ngân sách, kho bạc.
Mạng quản lý giao thông thông minh (ITS) quy mô toàn thành phố.
Mục tiêu bảo đảm:
Tránh tấn công từ bên ngoài và cả nguy cơ rò rỉ nội bộ, gián đoạn hệ thống trọng yếu.

Biện pháp kỹ thuật nâng cao:

Mã hóa mạnh (ví dụ: AES‑256, TLS 1.3).
Sử dụng HSM (Hardware Security Module) để bảo vệ khóa mã hóa.
Phòng thủ nhiều lớp (network + endpoint + application + user).
Pentest từ đơn vị độc lập, kết hợp kiểm toán nội bộ.
Kế hoạch phục hồi nhanh (BCP), sao lưu đa điểm, đào tạo nhận thức cho cán bộ định kỳ.

An toàn thông tin cấp độ 5: Bảo vệ tối đa – Hệ thống quốc phòng, an ninh và thông tin quốc gia

Định nghĩa: Là cấp độ cao nhất trong hệ thống bảo đảm an toàn. Áp dụng cho:

Hệ thống xử lý bí mật nhà nước tối mật.
Hệ thống quốc phòng, an ninh quốc gia.
Hệ thống thông tin phục vụ lưu trữ dữ liệu tập trung đối với một số loại hình thông tin, dữ liệu đặc biệt quan trọng của quốc gia;
Hạ tầng CNTT quốc gia phục vụ kết nối với hệ thống quốc tế.

Mức độ rủi ro nếu bị tấn công:

Tổn thất đặc biệt nghiêm trọng tới quốc phòng, an ninh quốc gia
Gây tê liệt hoạt động điều hành trung ương, xâm phạm chủ quyền số.

Ví dụ hệ thống:

Mạng truyền dẫn chỉ huy quân sự.
Hệ thống kiểm soát không lưu.
Cơ sở dữ liệu dân cư quốc gia, thông tin căn cước công dân.
Biện pháp bảo đảm đặc biệt:
Mã hóa cấp quốc phòng theo chuẩn quốc gia riêng biệt.
Dữ liệu phân tán, sao lưu đồng thời ở nhiều khu vực an toàn (multi-zone, multi-region).
Kiểm toán thường xuyên từ cơ quan kiểm tra an ninh cấp cao.
Áp dụng kiểm tra lý lịch nhân sự, quản lý truy cập nghiêm ngặt (zero trust).
Giám sát mạng độc lập, hạn chế kết nối Internet công cộng.
Hệ thống vận hành trong môi trường kín và bảo vệ vật lý nghiêm ngặt.

Việc hiểu rõ và triển khai đúng 5 cấp độ bảo đảm an toàn hệ thống thông tin không chỉ giúp tổ chức/ngành nâng cao khả năng chống đỡ các rủi ro từ an ninh mạng, mà còn đảm bảo tuân thủ pháp luật, nâng cao hiệu quả quản lý công nghệ – thông tin. Chủ quản cần chủ động xác định cấp độ, giao nhiệm vụ rõ ràng; đơn vị CNTT chuyên trách tích cực triển khai biện pháp phù hợp và kiểm tra giám sát liên tục. Các cơ quan, đơn vị tích hợp mô hình phân cấp và phương án phù hợp không chỉ bảo vệ được tài sản số, mà còn xây dựng môi trường tin cậy cho người dân, đối tác và toàn xã hội.