HỒ SƠ CẤP ĐỘ ATTT GỒM NHỮNG THÀNH PHẦN NÀO? VÌ SAO DOANH NGHIỆP CẦN LÀM BÀI BẢN?

17/08/2025 | Tin tức An toàn thông tin

Phân tích chi tiết các thành phần bắt buộc trong hồ sơ cấp độ an toàn thông tin, lý do cần làm đúng chuẩn và gợi ý giải pháp giúp doanh nghiệp rút ngắn thời gian phê duyệt.

1. Bối cảnh

Trong vài năm trở lại đây, Việt Nam liên tục siết chặt các quy định về an toàn thông tin (ATTT) đối với hệ thống công nghệ thông tin của cơ quan, doanh nghiệp. Nghị định 85/2016/NĐ-CP và Thông tư 03/2017/TT-BTTTT quy định rõ: các hệ thống CNTT phải xác định cấp độ ATTT và lập hồ sơ đề xuất để được thẩm định, phê duyệt. Tuy nhiên, thực tế cho thấy nhiều doanh nghiệp chưa rõ hồ sơ an toàn thông tin cấp độ 3. Hồ sơ đề xuất cấp độ an toàn thô gồm những gì, dẫn đến tình trạng chuẩn bị thiếu tài liệu, sai mẫu, hoặc nội dung chung chung khiến hồ sơ bị trả lại. Bài viết này sẽ giúp bạn nắm rõ thành phần hồ sơ, lý do cần làm bài bản và tránh những sai lầm phổ biến.

2. Hồ sơ an toàn thông tin là gì 

2.1. Khái niệm

Hồ sơ cấp độ an toàn thông tin là tập hợp tài liệu mô tả, đánh giá và đề xuất các biện pháp đảm bảo an toàn cho một hệ thống CNTT, được lập theo mẫu của Bộ Thông tin & Truyền thông.

Mục đích của hồ sơ:

• Xác định cấp độ an toàn thông tin phù hợp (từ cấp 1 đến cấp 5).
• Chứng minh tuân thủ pháp luật và các tiêu chuẩn bảo mật.
• Đề xuất phương án bảo vệ hệ thống khỏi các nguy cơ tấn công mạng.

Trong đó, hồ sơ an toàn thông tin cấp độ 2 và hồ sơ an toàn thông tin cấp độ 3 thường gặp nhất với doanh nghiệp tư nhân, đơn vị cung cấp dịch vụ công nghệ, hoặc các dự án đấu thầu CNTT.

2.2. Các thành phần của hồ sơ cấp độ

Một hồ sơ đề xuất cấp độ an toàn thông tin đạt chuẩn theo Thông tư 03/2017/TT-BTTTT thường bao gồm các tài liệu sau. Việc chuẩn bị đầy đủ và chính xác từng thành phần không chỉ giúp hồ sơ nhanh chóng được thẩm định, mà còn tránh rủi ro bị trả lại do thiếu hoặc sai mẫu.

Tham khảo một số mẫu tài liệu hồ sơ cấp độ tại đây.

• Đơn đề nghị / đề xuất cấp độ ATTT
  • Đây là văn bản chính thức mà đơn vị sở hữu hoặc quản lý hệ thống gửi tới cơ quan có thẩm quyền (thường là Cục An toàn thông tin – Bộ TT&TT hoặc Sở TT&TT tại địa phương).
  • Nội dung cần ghi rõ:
    • Tên hệ thống thông tin (ví dụ: “Hệ thống quản lý dữ liệu khách hàng CRM”).
    • Đơn vị chủ quản và thông tin liên hệ.
    • Cấp độ ATTT đề xuất (cấp 2, cấp 3, hoặc cấp cao hơn).
    • Căn cứ lựa chọn cấp độ dựa trên tiêu chí pháp lý và mức độ tác động khi sự cố xảy ra.
  • Phải theo đúng mẫu hồ sơ đề xuất cấp độ an toàn thông tin cấp độ 2 hoặc cấp 3 do Bộ TT&TT ban hành.
  • Lưu ý: Sai mẫu hoặc thiếu chữ ký, con dấu sẽ bị trả hồ sơ ngay.

• Tài liệu mô tả hệ thống thông tin
  • Cung cấp bức tranh toàn cảnh về hệ thống, bao gồm:
    • Kiến trúc tổng thể (mô hình ba lớp, client-server, điện toán đám mây, v.v.).
    • Thành phần phần cứng: máy chủ, thiết bị mạng, tường lửa, lưu trữ.
    • Thành phần phần mềm: hệ điều hành, ứng dụng, cơ sở dữ liệu, middleware.
    • Loại và quy mô dữ liệu xử lý (dữ liệu cá nhân, dữ liệu nhạy cảm, dữ liệu kinh doanh).
  • Cần chỉ rõ địa điểm đặt thiết bị, mô tả công nghệ đang dùng, quy trình vận hành và bảo trì.
  • Tài liệu này giúp hội đồng thẩm định hiểu được mức độ phức tạp và yêu cầu bảo vệ của hệ thống.

• Báo cáo đánh giá hiện trạng an toàn thông tin
  • Phân tích và xác định mức độ bảo mật hiện tại của hệ thống:
    • Điểm mạnh: các biện pháp đã áp dụng (mã hóa, phân quyền, backup).
    • Điểm yếu: các lỗ hổng, thiếu sót trong quản lý hoặc kỹ thuật.
  • Đánh giá dựa trên 3 yếu tố cốt lõi của ATTT:
    • Tính bí mật (Confidentiality) – đảm bảo thông tin chỉ người được phép mới truy cập.
    • Tính toàn vẹn (Integrity) – đảm bảo dữ liệu không bị thay đổi trái phép.
    • Tính sẵn sàng (Availability) – đảm bảo hệ thống hoạt động liên tục, không gián đoạn.
  • Có thể kèm theo kết quả quét lỗ hổng, báo cáo kiểm thử xâm nhập (PenTest).

• Phương án bảo đảm an toàn thông tin
  • Là kế hoạch chi tiết các biện pháp bảo vệ hệ thống, bao gồm:
    • Biện pháp kỹ thuật: tường lửa, IDS/IPS, mã hóa dữ liệu, phân tách mạng, xác thực đa yếu tố.
    • Biện pháp quản lý: ban hành quy chế, phân công trách nhiệm, giám sát định kỳ.
    • Biện pháp tổ chức: đào tạo nhân viên, quy trình ứng phó sự cố, kế hoạch khôi phục sau thảm họa (DRP).
  • Các biện pháp phải tương ứng với cấp độ ATTT đã đề xuất, tránh tình trạng biện pháp bảo vệ thấp hơn yêu cầu của cấp độ.

• Tài liệu kỹ thuật & sơ đồ hệ thống
  • Sơ đồ mạng: mô tả các phân vùng mạng, kết nối nội bộ và kết nối Internet.
  • Lưu đồ xử lý dữ liệu: cho thấy luồng dữ liệu từ khi tiếp nhận, xử lý, lưu trữ đến khi tiêu hủy.
  • Mô hình phân quyền: phân loại người dùng, quyền truy cập vào từng tài nguyên.
  • Danh sách thiết bị, phần mềm kèm cấu hình kỹ thuật (version, serial, thông số bảo mật).
  • Đây là cơ sở để thẩm định tính hợp lý của các biện pháp bảo mật.

• Các bằng chứng tuân thủ quy định pháp luật
  • Tập hợp các tài liệu chứng minh doanh nghiệp đã áp dụng tiêu chuẩn, quy định về ATTT:
    • Bản sao giấy phép hoạt động CNTT (nếu có).
    • Chứng chỉ bảo mật (ISO/IEC 27001, PCI-DSS, SOC 2…).
    • Biên bản kiểm tra nội bộ hoặc kiểm toán bảo mật.
  • Có thể kèm hợp đồng với nhà cung cấp dịch vụ bảo mật, chứng nhận đào tạo nhân viên.

3. Vì sao cần làm hồ sơ bài bản?

Việc xây dựng hồ sơ an toàn thông tin (ATTT) không chỉ là một thủ tục hành chính mà là bước quan trọng giúp doanh nghiệp đảm bảo tuân thủ pháp luật, nâng cao uy tín và tiết kiệm nguồn lực. Một bộ hồ sơ được chuẩn bị đầy đủ, đúng chuẩn sẽ mang lại nhiều lợi ích rõ ràng:

Tuân thủ pháp luật, tránh bị xử phạt: Theo các quy định hiện hành như Luật An toàn thông tin mạng, Nghị định 85/2016/NĐ-CP, doanh nghiệp thuộc nhóm đối tượng bắt buộc phải thực hiện đánh giá và phân loại mức độ ATTT. Nếu hồ sơ được lập không đúng yêu cầu hoặc thiếu thông tin, doanh nghiệp có thể bị từ chối phê duyệt hoặc xử phạt vi phạm hành chính, ảnh hưởng trực tiếp đến hoạt động kinh doanh.

Tăng khả năng được phê duyệt ngay từ lần nộp đầu tiên: Một bộ hồ sơ được chuẩn hóa, đầy đủ và rõ ràng sẽ giúp cơ quan thẩm định dễ dàng đánh giá, từ đó tăng tỷ lệ được phê duyệt ngay lần đầu tiên. Điều này đặc biệt quan trọng khi doanh nghiệp cần gấp chứng nhận ATTT để triển khai dự án hoặc ký kết hợp đồng.

Tiết kiệm thời gian và chi phí: Hồ sơ làm sơ sài sẽ dẫn đến việc phải chỉnh sửa, bổ sung nhiều lần, gây mất thời gian và phát sinh chi phí nhân sự. Ngược lại, khi chuẩn bị hồ sơ bài bản ngay từ đầu, doanh nghiệp sẽ rút ngắn đáng kể thời gian xử lý và tối ưu nguồn lực.

Nâng cao uy tín khi hợp tác: Đối với các dự án lớn hoặc hợp tác với đối tác quốc tế, việc có hồ sơ ATTT đạt chuẩn thể hiện cam kết của doanh nghiệp trong việc bảo vệ dữ liệu và hệ thống. Đây là yếu tố giúp tăng mức độ tin cậy và nâng cao lợi thế cạnh tranh trên thị trường.

➝ Làm hồ sơ ATTT bài bản ngay từ đầu chính là cách giúp doanh nghiệp vừa tuân thủ pháp luật, vừa tối ưu thời gian và chi phí, đồng thời khẳng định uy tín và năng lực trong mắt đối tác, khách hàng.

4. Tổng kết

Hồ sơ cấp độ an toàn thông tin không chỉ là thủ tục pháp lý mà còn là nền tảng bảo vệ dữ liệu và uy tín của doanh nghiệp. Việc chuẩn bị hồ sơ đầy đủ, đúng chuẩn sẽ giúp bạn rút ngắn thời gian phê duyệt và đáp ứng yêu cầu của các gói thầu CNTT. Nếu doanh nghiệp của bạn đang chuẩn bị lập hồ sơ ATTT cấp 2 hoặc cấp 3 nhưng chưa chắc chắn về quy trình, hãy liên hệ đơn vị tư vấn chuyên nghiệp để được hỗ trợ từ khâu khảo sát đến khi hồ sơ được phê duyệt.

➝ Liên hệ ngay với THD Cyber Security để được tư vấn chuyên sâu về hồ sơ cấp độ an toàn thông tin ngay hôm nay.

#Blog  #Tintuc  #HosocapdoATTT  #THD