An toàn thông tin Cấp Độ 3 theo quy định của Chính phủ

An toàn thông tin Cấp độ 3 được coi là "mốc ranh giới" quan trọng cho các hệ thống thông tin có quy mô lớn và tính chất nhạy cảm tại Việt Nam. Để đáp ứng cấp độ này, các cơ quan và doanh nghiệp cần phải bảo đảm quy trình quản lý nhân sự lẫn kiến trúc hạ tầng kỹ thuật, nhằm đảm bảo khả năng phòng chống tấn công mạng và phục hồi dữ liệu. Dưới đây là nội dung tổng quan về thông tin cấp độ 3 theo quy định của chính phủ trong hệ thống 5 cấp độ. 

An toàn thông tin cấp độ 3 là gì? 

Hệ thống thông tin cấp độ 3 là cấp độ hệ thống thông tin thiết yếu, áp dụng đối với các hệ thống phục vụ người dân, doanh nghiệp, hạ tầng dùng chung, điều khiển công nghiệp và một số hệ thống liên quan đến bí mật nhà nước, quốc phòng, an ninh.

Cụ thể, theo quy định tại Điều 9 Nghị định 85/2016/NĐ-CP, hệ thống thông tin cấp độ 3 là hệ thống thông tin có một trong các tiêu chí cụ thể như sau:

1. Hệ thống thông tin xử lý thông tin bí mật nhà nước hoặc hệ thống phục vụ quốc phòng, an ninh khi bị phá hoại sẽ làm tổn hại tới quốc phòng, an ninh quốc gia. 
2. Hệ thống thông tin phục vụ người dân, doanh nghiệp thuộc một trong các loại hình như sau:

• Cung cấp thông tin và dịch vụ công trực tuyến từ mức độ 3 trở lên theo quy định của pháp luật; 
• Cung cấp dịch vụ trực tuyến thuộc danh mục dịch vụ kinh doanh có điều kiện; 
• Cung cấp dịch vụ trực tuyến khác có xử lý thông tin riêng, thông tin cá nhân của từ 10.000 người sử dụng trở lên.

Ví dụ: cổng dịch vụ công, các nền tảng số như eOffice, thư điện tử, hệ thống thương mại điện tử; hoặc hệ thống quản lý khám, chữa bệnh đã tích hợp các giải pháp cung cấp hoặc hỗ trợ đăng ký khám, chữa bệnh trực tuyến tại bệnh viện, trong đó có từ 10.000 bệnh nhân đăng ký trực tuyến trở lên,...

3. Hệ thống cơ sở hạ tầng thông tin dùng chung phục vụ hoạt động của các cơ quan, tổ chức trong phạm vi một ngành, một tỉnh hoặc một số tỉnh. 
4. Hệ thống thông tin điều khiển công nghiệp trực tiếp phục vụ điều khiển, vận hành hoạt động bình thường của các công trình xây dựng cấp II, cấp III hoặc cấp IV theo phân cấp của pháp luật về xây dựng.

Tại sao cần đáp ứng an toàn thông tin cấp độ 3? 

Sự gia tăng của các mối đe dọa an ninh mạng là một trong những bối cảnh cho thấy tầm quan trọng của việc bảo đảm an toàn thông tin. Trong những năm gần đây, các mối đe dọa an ninh mạng tại Việt Nam tiếp tục diễn biến phức tạp, với nhiều hình thức tấn công phổ biến như phishing, ransomware, DDoS và APT.

Theo báo cáo của Hiệp hội An ninh mạng quốc gia (NCA), năm 2024 ước tính có hơn 659.000 cuộc tấn công mạng nhắm vào các cơ quan, doanh nghiệp tại Việt Nam; 46,15% đơn vị được khảo sát cho biết đã từng bị tấn công ít nhất một lần.

Tuy nhiên, việc ban hành quy định về an toàn hệ thống thông tin theo cấp độ nhằm mục tiêu cốt lõi là phân loại hệ thống theo mức độ quan trọng và áp dụng các biện pháp bảo vệ phù hợp theo khung pháp lý thống nhất.

Trong đó, đáp ứng an toàn thông tin cấp độ 3 là yêu cầu pháp lý quan trọng, đồng thời là cơ sở để cơ quan, tổ chức áp dụng các biện pháp quản lý và kỹ thuật phù hợp nhằm bảo vệ hệ thống trong suốt quá trình thiết kế, xây dựng và vận hành.

Yêu cầu cơ bản đối với hệ thống thông tin cấp độ 3

Hệ thống thông tin cấp độ 3 phải đáp ứng đồng thời yêu cầu về quản lý và yêu cầu về kỹ thuật nhằm bảo đảm vận hành an toàn, liên tục và hạn chế rủi ro mất an toàn thông tin.

Yêu cầu về quản lý

• Thiết lập chính sách an toàn thông tin: Phải có văn bản quy định đầy đủ về các quy trình vận hành, quản lý rủi ro và xử lý sự cố.
• Tổ chức bảo đảm an toàn thông tin: Phải có đơn vị chuyên trách về an toàn thông tin; xác định rõ vai trò, trách nhiệm của từng cá nhân.
• Bảo đảm nguồn nhân lực: Nhân viên vận hành phải được đào tạo, tập huấn định kỳ và ký cam kết bảo mật.
• Quản lý thiết kế, xây dựng hệ thống: Phải có hồ sơ thiết kế phương án bảo đảm an toàn thông tin được phê duyệt trước khi triển khai.
• Quản lý vận hành: Kiểm soát chặt chẽ việc truy cập, thay đổi cấu hình, sao lưu dự phòng và nhật ký hệ thống (log).
• Quản lý rủi ro: Thực hiện đánh giá rủi ro an toàn thông tin định kỳ (ít nhất 1 lần/năm).
• Kết thúc vận hành, khai thác: Phải có quy trình hủy bỏ dữ liệu và thiết bị an toàn khi ngừng sử dụng.

Yêu cầu về kỹ thuật

Yêu cầu kỹ thuật đối với hệ thống thông tin cấp độ 3 được triển khai từ khâu thiết kế kiến trúc đến cấu hình, vận hành thực tế trên từng thành phần hệ thống.

Thiết kế hệ thống

• Phân vùng mạng: Thiết kế tách biệt tối thiểu các vùng mạng: nội bộ, biên, DMZ, máy chủ nội bộ, máy chủ cơ sở dữ liệu và vùng quản trị.
• Quản trị từ xa: Thiết lập phương án quản lý truy cập từ xa an toàn qua VPN hoặc giải pháp tương đương.
• Dự phòng và Cân bằng tải: Trang bị phương án dự phòng nóng (Hot-standby) và cân bằng tải cho các thiết bị mạng chính (Switch trung tâm, Firewall, hệ thống lưu trữ).
• Chống tấn công đặc thù: Triển khai tường lửa ứng dụng Web (WAF), tường lửa cơ sở dữ liệu (Database Firewall) và phương án chống tấn công từ chối dịch vụ (DDoS).
• Giám sát và Lưu trữ: Thiết lập hệ thống giám sát an toàn thông tin tập trung (SIEM hoặc tương đương) và hệ thống sao lưu dự phòng tập trung.
• Phòng chống mã độc: Có phương án quản lý phần mềm phòng chống mã độc tập trung trên các máy chủ và máy tính người dùng.

Thiết lập, cấu hình hệ thống

• An toàn mạng: Kiểm soát truy cập chặt chẽ từ cả bên ngoài và bên trong; cấu hình nhật ký hệ thống (Log) và kích hoạt tính năng ngăn chặn xâm nhập, mã độc trên môi trường mạng.
• An toàn máy chủ: Thực hiện xác thực người dùng, kiểm soát truy cập, cấu hình nhật ký hệ thống và cài đặt phòng chống mã độc, xâm nhập trên máy chủ.
• An toàn ứng dụng: Cấu hình cơ chế xác thực, phân quyền tối thiểu (Least Privilege), mã hóa kênh truyền (thông tin liên lạc) và bảo mật mã nguồn.
• An toàn dữ liệu: Triển khai các cơ chế kỹ thuật đảm bảo tính nguyên vẹn, bảo mật dữ liệu và thực hiện lập lịch sao lưu dự phòng định kỳ.

Xem chi tiết hơn ở Thông tư số 12/2022/TT-BTTTT ngày 12 tháng 8 năm 2022 của Bộ trưởng Bộ Thông tin và Truyền thông quy định chi tiết và hướng dẫn một số điều của Nghị định số 85/2016/NĐ-CP về bảo đảm an toàn hệ thống thông tin theo cấp độ.

VNPT Cloud đáp ứng tiêu chuẩn an toàn thông tin Cấp độ 3 theo Nghị định 85/2016/NĐ-CP

Việc VNPT Cloud được xác nhận đáp ứng các yêu cầu an toàn thông tin Cấp độ 3 không chỉ là một danh hiệu, mà là sự bảo chứng cho việc hạ tầng này đã vượt qua các đợt thẩm định khắt khe của Bộ Thông tin và Truyền thông về cả phương án kỹ thuật lẫn quy trình quản lý. Theo khung tiêu chuẩn cấp độ, VNPT Cloud đã thiết lập một "pháo đài" bảo mật đa lớp, cụ thể:

• Về hạ tầng vật lý và mạng: Dịch vụ được vận hành trên hệ thống Trung tâm dữ liệu (Data Center) đạt chuẩn quốc tế Uptime Tier III. Kiến trúc mạng được phân tách triệt để thành các vùng mạng chức năng riêng biệt bao gồm vùng biên, vùng DMZ, vùng quản trị và vùng dữ liệu, đảm bảo ngăn chặn triệt để các hành vi leo thang đặc quyền hoặc tấn công xuyên vùng.
• Về giải pháp công nghệ: Hệ thống tích hợp sẵn các lớp phòng thủ chuyên sâu như tường lửa ứng dụng web (WAF), hệ thống phòng chống xâm nhập (IPS), và đặc biệt là phương án chống tấn công từ chối dịch vụ (DDoS) cường độ lớn. Việc quản lý truy cập được thực hiện qua kênh truyền an toàn (VPN) kết hợp với cơ chế xác thực đa nhân tố, đáp ứng đầy đủ yêu cầu về kiểm soát truy cập lớp mạng cho hệ thống quan trọng.
• Về tính tuân thủ và quy trình: Bên cạnh các chứng chỉ quốc tế như ISO 27017 (Bảo mật Cloud) và PCI DSS (An ninh thanh toán), VNPT Cloud duy trì quy trình vận hành, giám sát an toàn thông tin tập trung 24/7 (SOC) và các phương án sao lưu dự phòng (Backup & Disaster Recovery) nghiêm ngặt. Điều này đảm bảo tính sẵn sàng cao (Uptime 99,99%) và khả năng phục hồi dữ liệu tức thì trước các sự cố an ninh mạng phức tạp.

An toàn thông tin cấp độ 3 không chỉ là yêu cầu tuân thủ theo quy định của Chính phủ mà còn là nền tảng quan trọng để cơ quan, tổ chức bảo vệ dữ liệu, duy trì hoạt động ổn định và giảm thiểu rủi ro trước các mối đe dọa an ninh mạng ngày càng phức tạp. 

Với hạ tầng đạt chuẩn, giải pháp bảo mật đa lớp và quy trình vận hành chặt chẽ, VNPT Cloud mang đến nền tảng tin cậy giúp khách hàng đáp ứng yêu cầu an toàn thông tin cấp độ 3 một cách bài bản, đồng thời sẵn sàng cho quá trình chuyển đổi số an toàn, liên tục và bền vững.