TỰ XÂY DỰNG HỒ SƠ AN TOÀN THÔNG TIN HAY THUÊ CÔNG TY TƯ VẤN – LỰA CHỌN NÀO TỐI ƯU CHO DOANH NGHIỆP?

17/08/2025 | Tin tức An toàn thông tin

Phân tích ưu – nhược điểm, chi phí, thời gian và hiệu quả của việc tự lập hồ sơ cấp độ an toàn thông tin so với thuê công ty tư vấn, giúp doanh nghiệp lựa chọn giải pháp phù hợp nhất

1. Mở đầu và bối cảnh

Trong bối cảnh chuyển đổi số đang diễn ra mạnh mẽ hơn bao giờ hết, trong thời đại mà “dữ liệu là vàng” và hệ thống công nghệ thông tin nói chung và hệ thống thông tin nói riêng trở thành “xương sống” cho mọi hoạt động của doanh nghiệp. Bên cạnh đó, các quy định và nguyên tắc để đảm bảo an toàn dữ liệu và an toàn thông tin ngày càng được Chính phủ thắt chặt, Theo Luật An toàn thông tin mạng 2015 và các văn bản hướng dẫn, nhiều doanh nghiệp, đặc biệt là các đơn vị cung cấp dịch vụ công, hệ thống CNTT dùng trong hoạt động sản xuất – kinh doanh quan trọng, bắt buộc phải lập hồ sơ đề xuất cấp độ an toàn thông tin.

Đứng trước những yêu cầu cấp thiết này, hầu hết doanh nghiệp khá lúng túng với việc làm sao để “hiểu đúng” và “làm đúng” các quy định về hồ sơ cấp độ an toàn thông tin, cách thức thực hiện và quy trình phê duyệt tài liệu này. Bởi vậy, một trong những câu hỏi các doanh nghiệp thường đặt ra là: Nên tự xây dựng hồ sơ cấp độ ATTT hay thuê công ty tư vấn để làm cho nhanh và chuẩn?

Câu trả lời không đơn giản, bởi mỗi lựa chọn đều có ưu – nhược điểm riêng về chi phí, thời gian, hiệu quả và tính chủ động. Bài viết này sẽ giúp bạn hiểu rõ bản chất hồ sơ ATTT, phân tích từng phương án và đưa ra gợi ý lựa chọn phù hợp với quy mô, ngân sách và nguồn lực của doanh nghiệp bạn.

2. Hồ sơ an toàn thông tin là gì và tại sao cần?

2.1. Khái niệm

Một cách tổng quan, Hồ sơ cấp độ an toàn thông tin và tập hợp tất cả những tài liệu mô tả, đánh giá hệ thống thông tin của một tổ chức, doanh nghiệp, cơ quan Nhà nước,… và tất cả các biện pháp đề xuất để bảo vệ hệ thống an toàn thông tin theo đúng Pháp luật Việt Nam. Mục đích chung của tài liệu này là: 

• Xác định cấp độ ATTT của hệ thống (các cấp độ của hệ thống thông tin được quy định trong nghị định 85/2016/NĐ-CP và thông ty 03/2017/TT-BTTTT)
• Các biện pháp được đề xuất để đảm bảo ATTT cho hệ thống
• Tài liệu này là căn cứ để thẩm định và phê duyệt của cơ quan có thẩm quyền về mức độ tin  cậy và an toàn của hệ thống tin của đơn vị. 

Ví dụ: Khi một doanh nghiệp muốn tham gia dự án đấu thầu CNTT cho cơ quan nhà nước, hồ sơ ATTT là điều kiện bắt buộc để hệ thống được chấp thuận.

2.2. Có bao nhiêu cấp độ an toàn thông tin

Theo Nghị định 85/2016/NĐ-CP, có 5 cấp độ ATTT:

Cấp độ 1: Hệ thống thông tin nội bộ và công cộng

• Mục đích: Phục vụ hoạt động nội bộ của cơ quan, tổ chức.
• Dữ liệu: Chỉ xử lý thông tin công cộng, không có dữ liệu riêng tư hay bí mật.
• Ví dụ: Trang web giới thiệu về một sở, ban, ngành; hệ thống thông tin nội bộ chỉ dùng để tra cứu văn bản hành chính công khai.

Cấp độ 2: Hệ thống thông tin có xử lý dữ liệu cá nhân hoặc dịch vụ cơ bản

• Mục đích: Phục vụ nội bộ, người dân, doanh nghiệp hoặc cơ sở hạ tầng thông tin cơ bản.
• Dữ liệu:
  • Có xử lý thông tin riêng, thông tin cá nhân nhưng không xử lý thông tin bí mật nhà nước.
  • Xử lý thông tin riêng, thông tin cá nhân của dưới 10.000 người dùng
• Loại hình dịch vụ: 
  • Cung cấp dịch vụ công trực tuyến từ mức độ 2 trở xuống.
  • Cung cấp dịch vụ trực tuyến không thuộc danh mục dịch vụ kinh doanh có điều kiện.
• Ví dụ: Hệ thống đăng ký lịch khám bệnh trực tuyến của một bệnh viện.

Cấp độ 3: Hệ thống thông tin xử lý dữ liệu bí mật nhà nước hoặc dịch vụ quan trọng

• Mục đích: Phục vụ an ninh quốc gia, người dân, doanh nghiệp hoặc cơ sở hạ tầng thông tin liên ngành, liên tỉnh.
• Dữ liệu:
  • Có xử lý thông tin bí mật nhà nước.
  • Xử lý thông tin riêng, thông tin cá nhân của từ 10.000 người dùng trở lên
• Loại hình dịch vụ: 
  • Cung cấp dịch vụ công trực tuyến từ mức độ 3 trở lên.
  • Cung cấp dịch vụ trực tuyến thuộc danh mục dịch vụ kinh doanh có điều kiện.
• Điểm khác: Bao gồm hệ thống điều khiển công nghiệp của các công trình xây dựng cấp II, III, IV.
• Ví dụ: Hệ thống cấp giấy phép kinh doanh trực tuyến của Sở Kế hoạch và Đầu tư, Website của một ngân hàng hoặc công ty chứng khoán, xử lý thông tin tài chính của hàng chục nghìn khách hàng.

Cấp độ 4: Hệ thống thông tin trọng yếu quốc gia

• Mục đích: Phục vụ an ninh quốc phòng, phát triển Chính phủ điện tử hoặc cơ sở hạ tầng dùng chung toàn quốc.
• Tác động: Khi bị phá hoại sẽ làm tổn hại nghiêm trọng đến quốc phòng, an ninh quốc gia.
• Yêu cầu: Vận hành 24/7 và không chấp nhận ngừng hoạt động mà không có kế hoạch trước.
• Điểm khác: Bao gồm hệ thống điều khiển công nghiệp của các công trình xây dựng cấp I.
• Ví dụ: Hệ thống thông tin quản lý dân cư quốc gia. Hệ thống tài chính, ngân hàng của nhà nước. Hệ thống kiểm soát không lưu hàng không.

Cấp độ 5: Hệ thống thông tin đặc biệt quan trọng quốc gia

• Mục đích: Phục vụ an ninh quốc phòng, lưu trữ dữ liệu đặc biệt quan trọng hoặc kết nối quốc tế.
• Tác động: Khi bị phá hoại sẽ làm tổn hại đặc biệt nghiêm trọng đến quốc phòng, an ninh quốc gia.
• Điểm khác:
  • Lưu trữ dữ liệu tập trung đối với dữ liệu quan trọng của quốc gia.
  • Hệ thống cơ sở hạ tầng thông tin quốc gia phục vụ kết nối Việt Nam với quốc tế.
  • Hệ thống điều khiển công nghiệp của các công trình xây dựng cấp đặc biệt hoặc công trình quan trọng liên quan đến an ninh quốc gia.
• Ví dụ: Hệ thống thông tin phục vụ quốc phòng, an ninh cấp cao. Hệ thống lưu trữ dữ liệu bản đồ quốc gia, biên giới.

2.3. Mục đích của hồ sơ ATTT

Việc lập hồ sơ cấp độ an toàn thông tin không chỉ là một thủ tục hành chính bắt buộc, mà còn mang nhiều ý nghĩa chiến lược đối với hoạt động của doanh nghiệp. Cụ thể:

• Tuân thủ pháp luật và các tiêu chuẩn liên quan
  • Theo Luật An toàn thông tin mạng, Nghị định 85/2016/NĐ-CP và các thông tư hướng dẫn, mọi hệ thống thông tin thuộc danh mục quản lý nhà nước đều phải được xác định cấp độ ATTT và lập hồ sơ đề xuất.
  • Hồ sơ này cũng giúp doanh nghiệp đáp ứng yêu cầu của các tiêu chuẩn quốc tế như ISO/IEC 27001, bảo đảm hệ thống vận hành đúng quy chuẩn, tránh rủi ro pháp lý và xử phạt.
• Đảm bảo an toàn dữ liệu trước nguy cơ tấn công mạng
  • Thực tế cho thấy, tấn công mạng ngày càng tinh vi, có thể gây mất dữ liệu, gián đoạn hoạt động hoặc lộ thông tin nhạy cảm.
  • Hồ sơ ATTT yêu cầu doanh nghiệp đánh giá rủi ro và đề xuất biện pháp bảo vệ phù hợp với cấp độ, giúp giảm thiểu khả năng xảy ra sự cố.
• Tăng uy tín khi làm việc với đối tác và khách hàng
  • Một hệ thống được chứng nhận cấp độ ATTT thể hiện rằng doanh nghiệp coi trọng bảo mật và an toàn thông tin.
  • Điều này tạo niềm tin cho khách hàng, đặc biệt trong các ngành yêu cầu cao về bảo mật như tài chính, thương mại điện tử, y tế, và dịch vụ công.
• Là điều kiện tiên quyết để tham gia các gói thầu CNTT
  • Trong nhiều gói thầu của cơ quan nhà nước hoặc dự án hợp tác quốc tế, hồ sơ đề xuất cấp độ an toàn thông tin cấp độ 2 hoặc 3 là bắt buộc để được xét duyệt.
  • Thiếu hồ sơ này, doanh nghiệp sẽ bị loại ngay từ vòng hồ sơ, dù năng lực kỹ thuật và giá thầu cạnh tranh.

3. Vậy doanh nghiệp nên tự xây dựng hồ sơ cấp độ hay thuê ngoài?

3.1. Quy trình cơ bản để tự xây dựng hồ sơ cấp độ

• Thu thập thông tin hệ thống
  • Ghi nhận kiến trúc hệ thống: sơ đồ mạng, luồng dữ liệu, kết nối giữa các thành phần.
  • Liệt kê phần mềm đang sử dụng: hệ điều hành, ứng dụng, dịch vụ web, cơ sở dữ liệu, phần mềm bảo mật.
  • Liệt kê phần cứng: máy chủ, máy trạm, thiết bị lưu trữ, thiết bị mạng (switch, router, firewall), thiết bị đầu cuối.
  • Mô tả dữ liệu xử lý và lưu trữ: phân loại theo mức độ quan trọng (bình thường, nhạy cảm, mật).

🡪 Đây là bước nền tảng, vì thông tin càng đầy đủ, các bước sau càng chính xác.

• Xác định cấp độ ATTT
  • Đánh giá mức độ ảnh hưởng nếu hệ thống bị sự cố (mất dữ liệu, ngừng dịch vụ, rò rỉ thông tin).
  • Đối chiếu với quy định tại Thông tư 03/2017/TT-BTTTT để xác định cấp độ (từ 1 đến 5).
  • Thông thường, doanh nghiệp tư nhân sẽ rơi vào cấp 2 (ảnh hưởng hạn chế) hoặc cấp 3 (ảnh hưởng nghiêm trọng).

🡪 Việc xác định đúng cấp độ là yếu tố then chốt, vì nó quyết định yêu cầu bảo vệ và nội dung hồ sơ.

• Đề xuất biện pháp bảo vệ
  • Biện pháp kỹ thuật: firewall, IDS/IPS, mã hóa dữ liệu, phân quyền truy cập, backup định kỳ.
  • Biện pháp quản lý: quy trình vận hành an toàn, quản lý tài khoản, phân công trách nhiệm.
  • Biện pháp tổ chức: đào tạo nhân viên về bảo mật, lập kế hoạch ứng phó sự cố.

🡪 Mục tiêu là bảo đảm hệ thống đáp ứng yêu cầu an toàn thông tin tương ứng với cấp độ đã xác định.

• Soạn thảo hồ sơ
  • Sử dụng mẫu hồ sơ đề xuất cấp độ an toàn thông tin do Bộ Thông tin & Truyền thông ban hành.
  • Điền đầy đủ thông tin kỹ thuật, đánh giá rủi ro, danh sách biện pháp bảo vệ, sơ đồ hệ thống.
  • Đối với cấp 2 hoặc cấp 3, cần mô tả chi tiết hơn về giải pháp bảo mật, quy trình giám sát và phương án ứng cứu.

🡪 Đây là phần tốn nhiều thời gian nhất, đòi hỏi vừa nắm rõ kỹ thuật, vừa hiểu ngôn ngữ pháp lý.

• Gửi thẩm định
  • Nộp hồ sơ tới cơ quan quản lý chuyên ngành hoặc đơn vị được ủy quyền thẩm định.
  • Theo dõi quá trình thẩm định, sẵn sàng bổ sung hoặc chỉnh sửa theo yêu cầu.
  • Sau khi hồ sơ được phê duyệt, lưu trữ bản chính và bản mềm để phục vụ kiểm tra, đấu thầu hoặc tái thẩm định sau này.

🡪 Quá trình này có thể kéo dài từ vài ngày đến vài tuần tùy mức độ hoàn thiện của hồ sơ.

3.2. Quy trình làm việc khi thuê ngoài đơn vị tư vấn hồ sơ cấp độ an toàn thông tin

Khi doanh nghiệp thuê công ty tư vấn, quy trình thường diễn ra theo các bước sau:

• Khảo sát hệ thống
  • Đánh giá hạ tầng phần cứng: máy chủ, thiết bị mạng, hệ thống lưu trữ, thiết bị bảo mật.
  • Kiểm tra phần mềm và dịch vụ: hệ điều hành, ứng dụng, cơ sở dữ liệu, dịch vụ web, hệ thống bảo mật hiện có.
  • Phân tích dữ liệu: loại dữ liệu xử lý, mức độ nhạy cảm, quy trình lưu trữ và truyền tải.
  • Thu thập sơ đồ mạng, cấu trúc hệ thống và quy trình vận hành để làm cơ sở xác định cấp độ ATTT.

🡪 Lợi thế của bước này là bên tư vấn sẽ dùng checklist chuyên nghiệp, giúp không bỏ sót yếu tố quan trọng.

• Xác định cấp độ ATTT phù hợp
  • Đánh giá rủi ro theo ba tiêu chí: tính bí mật, toàn vẹn, sẵn sàng của thông tin.
  • So sánh tác động của sự cố với bảng phân loại cấp độ tại Thông tư 03/2017/TT-BTTTT.
  • Đề xuất cấp độ (thường là cấp 2 hoặc cấp 3 với doanh nghiệp tư nhân và các dự án CNTT) kèm lý do lựa chọn.

🡪 Điều này giúp tránh sai sót phổ biến khi doanh nghiệp tự làm, như xác định sai cấp độ dẫn đến hồ sơ bị trả lại.

• Soạn hồ sơ theo chuẩn pháp lý và yêu cầu thẩm định
  • Sử dụng mẫu hồ sơ đề xuất cấp độ an toàn thông tin chuẩn của Bộ TT&TT.
  • Bổ sung đầy đủ: mô tả hệ thống, kết quả đánh giá rủi ro, biện pháp bảo vệ (kỹ thuật – quản lý – tổ chức), sơ đồ hạ tầng, danh sách thiết bị.
  • Đảm bảo văn phong và cấu trúc đúng yêu cầu pháp lý, giúp hồ sơ “đi qua” vòng thẩm định nhanh hơn.

🡪 Các công ty tư vấn thường có template tối ưu đã được nghiệm thu nhiều lần, rút ngắn đáng kể thời gian soạn.

• Hỗ trợ trong quá trình thẩm định và chỉnh sửa nếu cần
  • Đại diện doanh nghiệp trao đổi với cơ quan thẩm định, giải trình kỹ thuật hoặc pháp lý nếu có câu hỏi.
  • Chỉnh sửa, bổ sung hồ sơ theo phản hồi của hội đồng thẩm định.
  • Đảm bảo hồ sơ đáp ứng đầy đủ các yêu cầu cho đến khi được phê duyệt chính thức.

🡪 Đây là lợi ích lớn nhất của thuê tư vấn — doanh nghiệp gần như không phải “đau đầu” xử lý thủ tục.

• Bàn giao hồ sơ hoàn chỉnh và hướng dẫn lưu trữ
  • Cung cấp bản giấy có dấu xác nhận và bản mềm lưu trữ nội bộ.
  • Hướng dẫn cách bảo quản hồ sơ, cập nhật khi hệ thống thay đổi, và chuẩn bị cho lần thẩm định tiếp theo.
  • Có thể kèm bản báo cáo tóm tắt giúp lãnh đạo nắm nhanh tình trạng ATTT của hệ thống.

🡪 Nhiều đơn vị tư vấn còn cung cấp dịch vụ bảo trì hồ sơ định kỳ, đảm bảo tính liên tục và tuân thủ lâu dài.

3.3. So sánh hai phương án

Cả hai phương án trên đề có ưu và nhược điểm khác nhau, mỗi phương pháp sẽ phù hợp và tối ưu cho một, hoặc một vài đối tượng khác nhau, do đó, doanh nghiệp cần cân nhắc kỹ lưỡng lựa chọn của mình. Dưới đây là bảng so sánh nhanh giữa hai phương pháp trên: 

4. Lựa chọn nào phù hợp cho doanh nghiệp bạn?

Có thể thấy, không có câu trả lời “một-size-cho-tất-cả”. Dưới đây là gợi ý chiến lược mà doanh nghiệp bạn có thể lựa chọn để tìm đúng hướng đi khi bắt tay vào xây dựng hồ sơ: 

• Doanh nghiệp nhỏ, ngân sách hạn chế, có nhân sự IT am hiểu pháp lý → Tự làm để tiết kiệm chi phí.
• Doanh nghiệp vừa & lớn, cần hoàn tất hồ sơ nhanh chóng để kịp tiến độ dự án hoặc đấu thầu → Thuê tư vấn để đảm bảo hiệu quả.
• Doanh nghiệp lần đầu làm hồ sơ ATTT → nên thuê ngoài lần đầu, sau đó học hỏi quy trình để tự làm các lần sau.

5. Kết luận

Như vậy, bài viết dưới đây đã phần nào cung cấp cho độc giả một cái nhìn tổng quan về hồ sơ cấp độ, các cấp độ an toàn thông tin, một số thông tư, nghị định có liên quan, quy trình thực hiện cũng như ưu nhược điểm của hai phương pháp xây dựng. Đây không chỉ là thủ tục pháp lý mà còn là lá chắn bảo vệ doanh nghiệp trước rủi ro an ninh mạng. Dù bạn chọn tự làm hay thuê tư vấn, điều quan trọng là phải đảm bảo hồ sơ đầy đủ, chính xác và đúng chuẩn pháp luật. Nếu doanh nghiệp của bạn đang phân vân hoặc chưa có kinh nghiệm, hãy tham khảo ý kiến chuyên gia để tránh mất thời gian và chi phí không đáng có.

→ Liên hệ THD Cyber Security để được tư vấn và hỗ trợ xây dựng hồ sơ an toàn thông tin, lựa chọn giải pháp tối ưu cho doanh nghiệp

#Blog  #Tintuc  #HosoATTT  #THD