Đánh giá ATTT

5 BƯỚC ĐẦU TIÊN ĐỂ TỰ ĐÁNH GIÁ MỨC ĐỘ ATTT CỦA DOANH NGHIỆP

18/08/2025 | Tin tức An toàn thông tin

Từ nhận diện rủi ro đến triển khai biện pháp bảo vệ, hướng dẫn chi tiết giúp doanh nghiệp chủ động đánh giá mức độ an toàn thông tin, tuân thủ quy định pháp luật và nâng cao uy tín trong mắt đối tác. 

1. Bối cảnh

Trong bối cảnh tấn công mạng ngày càng gia tăng về cả số lượng lẫn mức độ tinh vi, mọi doanh nghiệp — từ quy mô nhỏ đến lớn — đều trở thành mục tiêu tiềm năng. Chỉ một lỗ hổng nhỏ trong hệ thống cũng có thể dẫn tới hậu quả nghiêm trọng: mất dữ liệu khách hàng, gián đoạn hoạt động kinh doanh, hoặc thậm chí là vi phạm pháp luật về bảo mật thông tin.

Thực tế, nhiều doanh nghiệp Việt Nam vẫn chưa thực sự biết mình đang ở cấp độ an toàn thông tin nào. Họ lo ngại việc đánh giá sẽ phức tạp, tốn thời gian và chi phí. Nhưng tin tốt là: bạn hoàn toàn có thể bắt đầu với 5 bước đơn giản dưới đây để tự đánh giá tình trạng an toàn thông tin (ATTT) của doanh nghiệp mình.

Việc này không chỉ giúp xác định mức độ hiện tại, mà còn là tiền đề để chuẩn bị hồ sơ cấp độ an toàn thông tin hoặc thuê đơn vị tư vấn chuyên nghiệp khi cần.

2. Hiểu biết về các cấp độ an toàn thông tin 

Trước khi đi vào 5 bước, chúng ta cần hiểu rõ “có bao nhiêu cấp độ an toàn thông tin”. Theo quy định hiện hành tại Việt Nam (ví dụ Thông tư 03/2017/TT-BTTTT), hệ thống thông tin được phân thành 5 cấp độ dựa trên mức độ ảnh hưởng khi xảy ra sự cố:

• Cấp độ 1: Ảnh hưởng rất thấp, thường áp dụng cho các hệ thống không chứa thông tin quan trọng, không ảnh hưởng đến an ninh, trật tự.
• Cấp độ 2: Ảnh hưởng thấp, nhưng có thể tác động đến hoạt động nội bộ của tổ chức.
• Cấp độ 3: Ảnh hưởng trung bình, liên quan đến dữ liệu cá nhân hoặc dữ liệu nhạy cảm, cần tuân thủ chặt chẽ các yêu cầu bảo mật.
• Cấp độ 4: Ảnh hưởng cao, có khả năng tác động nghiêm trọng đến an ninh quốc gia, trật tự xã hội hoặc quyền lợi của nhiều cá nhân/tổ chức.
• Cấp độ 5: Ảnh hưởng đặc biệt nghiêm trọng, liên quan trực tiếp đến an ninh quốc gia và các hệ thống trọng yếu.

Tìm hiểu thêm về các cấp độ an toàn thông tin tại đây

Việc xác định đúng cấp độ giúp doanh nghiệp biết hồ sơ đề xuất cấp độ an toàn thông tin cần chuẩn bị ra sao, đồng thời tránh thiếu sót hoặc vượt quá yêu cầu, gây lãng phí nguồn lực. Ví dụ, một hệ thống chỉ cần hồ sơ an toàn thông tin cấp độ 3 nhưng lại triển khai giải pháp cho cấp độ 4 sẽ tốn kém không cần thiết.

3. 5 bước đầu tiên để tự đánh giá mức độ ATTT của doanh nghiệp

Bước 1: Xác định phạm vi hệ thống thông tin cần đánh giá

Trước khi bắt đầu, bạn cần trả lời câu hỏi: “Chúng ta đang đánh giá cái gì?”

• Phạm vi có thể bao gồm:
  • Hệ thống máy chủ (server) và ứng dụng.
  • Mạng nội bộ (LAN) và kết nối Internet.
  • Thiết bị đầu cuối như máy tính, điện thoại, IoT.
  • Hệ thống cơ sở dữ liệu và dịch vụ lưu trữ đám mây.
• Ví dụ: Một công ty thương mại điện tử có thể chọn đánh giá phạm vi bao gồm:
  • Website bán hàng.
  • Hệ thống quản lý đơn hàng (OMS).
  • Cơ sở dữ liệu khách hàng (CRM).
  • Hệ thống thanh toán online.

Lưu ý: Việc xác định phạm vi rõ ràng sẽ giúp tránh bỏ sót những thành phần quan trọng hoặc lãng phí thời gian vào các phần không liên quan.

Bước 2: Thu thập và kiểm tra cấu hình bảo mật hiện tại

Sau khi biết phạm vi, bạn cần thu thập thông tin cấu hình bảo mật hiện đang áp dụng:

• Danh sách tài khoản và quyền truy cập.
• Chính sách mật khẩu và xác thực (2FA, OTP).
• Tường lửa (Firewall) và thiết bị chống xâm nhập (IPS/IDS).
• Cấu hình phần mềm, hệ điều hành, ứng dụng.
• Bản vá (patch) bảo mật mới nhất.

Ví dụ: Khi kiểm tra máy chủ web, bạn phát hiện vẫn dùng HTTP thay vì HTTPS hoặc đang chạy phiên bản PHP đã ngừng hỗ trợ → đây là một lỗ hổng rõ ràng cần khắc phục.

Mẹo: Nên lập bảng Excel liệt kê từng hạng mục bảo mật, trạng thái hiện tại, và ghi chú nếu phát hiện bất thường. Điều này giúp bước đánh giá rủi ro sau đó trở nên dễ dàng hơn.

Bước 3: Đánh giá rủi ro và điểm yếu

Đây là bước quan trọng nhất để biết hệ thống đang đối mặt với những mối nguy nào. Bạn có thể áp dụng quy trình Risk Assessment gồm 3 phần:

• Xác định mối đe dọa (threats): Tấn công DDoS, malware, rò rỉ dữ liệu, tấn công nội gián.
• Phát hiện điểm yếu (vulnerabilities): Phần mềm lỗi thời, mật khẩu yếu, cấu hình sai.
• Đánh giá tác động và khả năng xảy ra: Xếp hạng theo thang điểm (cao – trung bình – thấp).

Ví dụ:

• Mối đe dọa: Hacker tấn công website.
• Điểm yếu: Chưa có tường lửa ứng dụng web (WAF).
• Tác động: Website bị ngừng hoạt động, mất doanh thu → Rủi ro cao.

Công cụ hỗ trợ:

• Nessus, OpenVAS (quét lỗ hổng).
• OWASP ZAP (kiểm tra bảo mật ứng dụng web).

Bước 4: So sánh với tiêu chuẩn & quy định pháp luật

Sau khi biết rủi ro, bạn cần so sánh hiện trạng với:

• Tiêu chuẩn quốc tế: ISO/IEC 27001, NIST Cybersecurity Framework.
• Quy định Việt Nam: Nghị định 85/2016/NĐ-CP, Thông tư 03/2017/TT-BTTTT.
• Yêu cầu nội bộ hoặc khách hàng (nếu có).

Ví dụ: Nếu bạn đang chuẩn bị hồ sơ đề xuất cấp độ an toàn thông tin cấp độ 2, cần đảm bảo:

• Có kế hoạch quản lý rủi ro ATTT.
• Có biện pháp bảo vệ vật lý và logic.
• Đảm bảo sao lưu dữ liệu định kỳ.
• Có quy trình xử lý sự cố ATTT.

Lưu ý: Đây là lúc bạn biết doanh nghiệp mình đang thiếu những gì để đáp ứng yêu cầu pháp lý và hợp đồng.

Bước 5: Lập báo cáo kết quả và đề xuất cải thiện

Kết quả đánh giá cần được tổng hợp thành báo cáo rõ ràng, bao gồm:

• Tóm tắt phạm vi đánh giá.
• Danh sách các lỗ hổng và rủi ro.
• Mức độ nghiêm trọng (ưu tiên xử lý trước).
• Khuyến nghị cải thiện (ngắn hạn và dài hạn).

Ví dụ:

Mẹo: Nếu không có đội ngũ chuyên môn, bạn có thể gửi báo cáo này cho đơn vị tư vấn hồ sơ cấp độ an toàn thông tin để được hướng dẫn xử lý sâu hơn. Nên lưu trữ báo cáo để so sánh với kết quả đánh giá định kỳ sau này.

Tham khảo thêm bài viết về việc “Có nên thuê đơn vị ngoài để thực hiện hồ sơ cấp độ hay không?” tại đây

4. Lợi ích của việc tự đánh giá định kỳ

4.1. Phát hiện sớm lỗ hổng bảo mật

• Việc kiểm tra định kỳ giúp doanh nghiệp nhanh chóng nhận diện những điểm yếu trong hạ tầng CNTT, phần mềm, hoặc quy trình vận hành.
• Các lỗ hổng này có thể bao gồm cấu hình sai, phần mềm lỗi thời, hoặc quyền truy cập không phù hợp.
• Phát hiện sớm đồng nghĩa với việc có thể triển khai biện pháp khắc phục ngay, giảm nguy cơ bị hacker hoặc phần mềm độc hại khai thác.

4.2. Tiết kiệm chi phí xử lý sự cố

• Chi phí phòng ngừa (cập nhật bảo mật, huấn luyện nhân viên, nâng cấp hệ thống) thường thấp hơn rất nhiều so với chi phí khắc phục hậu quả sau một cuộc tấn công mạng.
• Một sự cố có thể kéo theo mất dữ liệu, gián đoạn kinh doanh, thậm chí mất uy tín lâu dài, gây thiệt hại hàng trăm triệu đến hàng tỷ đồng.
• Đánh giá định kỳ giúp giảm thiểu những khoản chi phí khẩn cấp không mong muốn.

4.3. Tăng khả năng đạt chứng nhận ATTT

• Doanh nghiệp duy trì hệ thống an toàn và tuân thủ tiêu chuẩn sẽ dễ dàng vượt qua các bước kiểm tra, thẩm định khi xin cấp chứng nhận ATTT từ cơ quan quản lý.
• Đây là lợi thế quan trọng khi tham gia đấu thầu các dự án CNTT hoặc hợp tác với các đối tác quốc tế vốn yêu cầu chứng chỉ bảo mật nghiêm ngặt.

4.4. Nâng cao nhận thức bảo mật trong nội bộ

• Khi thực hiện đánh giá định kỳ, nhân viên các phòng ban sẽ được tham gia, từ đó hiểu rõ hơn về tầm quan trọng của bảo mật thông tin.
• Điều này hình thành thói quen tuân thủ quy trình bảo mật, giảm thiểu nguy cơ rủi ro từ yếu tố con người – nguyên nhân chiếm tới 80% sự cố ATTT.

Tìm hiểu thêm về dịch vụ đánh giá hệ thống tại đây

5. Tổng kết

An toàn thông tin không chỉ là vấn đề của bộ phận IT, mà là trách nhiệm chung của toàn doanh nghiệp. Bằng cách thực hiện 5 bước cơ bản trên, bạn đã đi được một chặng đường dài trong việc bảo vệ hệ thống và dữ liệu của mình. Hãy bắt đầu ngay từ hôm nay!

🡪 Liên hệ ngay với THD Cyber Security để được tư vấn chuyên sâu về hồ sơ cấp độ an toàn thông tin ngay hôm nay.

#Blog  #Tintuc  #HosocapdoATTT  #THD