Cần thiết xây dựng bộ tiêu chuẩn mới về an ninh mạng

Vì vậy, việc xây dựng bộ tiêu chuẩn về an ninh mạng mang tính chất hướng dẫn cho các đơn vị là rất cần thiết, được xem như “kim chỉ nam” mới giúp bảo đảm an ninh mạng toàn diện. Việc này cũng đáp ứng yêu cầu của Nghị quyết số 57/NQ-TƯ về việc phát triển hệ thống thông tin, nền tảng số phải gắn liền với bảo đảm an ninh mạng.

Lãnh đạo Trung tâm An ninh mạng quốc gia (Cục An ninh mạng và phòng, chống tội phạm công nghệ cao) chia sẻ về bộ tiêu chuẩn mới về an ninh mạng. Ảnh: Hòa Bình

Gần 35% tổ chức áp dụng tiêu chuẩn về an ninh mạng

Theo Trung tâm An ninh mạng quốc gia, Cục An ninh mạng và phòng, chống tội phạm công nghệ cao (A05 - Bộ Công an), tấn công mạng diễn biến ngày càng phức tạp với các hình thức xâm nhập, đánh cắp dữ liệu, mã hóa tống tiền (ransomware). Mới nhất, trong tháng 4-2025, tin tặc tấn công xâm nhập đánh cắp dữ liệu 3 cơ quan truyền thông. Trước đó, từ cuối năm 2023 đến đầu năm 2024, liên tiếp xảy ra các cuộc tấn công ransomware vào hệ thống của ngành Năng lượng, Chứng khoán, Ngân hàng.

Tuy nhiên, trước thực tế này, vẫn có không ít đơn vị lơ là, chưa quan tâm đúng mức đến việc bảo đảm an ninh mạng. Theo Thiếu tá Trần Trung Hiếu, Phó Giám đốc Trung tâm An ninh mạng quốc gia, nhiều lãnh đạo không nắm được sự cố an ninh mạng đang xảy ra trong đơn vị mình. Trong khi đó, tấn công mạng có chủ đích ngày càng nhiều và mức độ tinh vi, phức tạp ngày càng gia tăng. Đứng sau các cuộc tấn công mạng này là những tổ chức có tiềm lực lớn, không phải là cá nhân đơn lẻ như trước đây.

Không chỉ ở vấn đề nhận thức, khảo sát cuối năm 2024 cho thấy, có 52,89% doanh nghiệp, tổ chức tại Việt Nam chưa có đầy đủ giải pháp công nghệ để ứng phó sự cố an ninh mạng; 56,16% chưa có đủ nhân sự chuyên trách về an ninh mạng. Thậm chí, một số doanh nghiệp lớn đầu tư hệ thống giám sát an ninh mạng (SOC) nhưng chỉ giám sát trong giờ hành chính, không giám sát vào ban đêm vì thiếu nhân lực. Thực tế, một số vụ đã xảy ra khi tin tặc chọn thời điểm tấn công mạng tại Việt Nam vào rạng sáng…

Một thông tin đáng lưu ý khác, kết quả khảo sát cuối năm 2024 của Hiệp hội An ninh mạng quốc gia cho thấy, chỉ có 34,64% tổ chức trong nước áp dụng tiêu chuẩn Việt Nam về an ninh mạng.

Do vậy, để việc bảo đảm an ninh mạng được đầu tư đúng mức với các tiêu chuẩn quốc gia rõ ràng, Cục An ninh mạng và phòng, chống tội phạm công nghệ cao (A05) đã nghiên cứu xây dựng Tiêu chuẩn quốc gia “TCVN 14423:2005 an ninh mạng - Yêu cầu đối với hệ thống thông tin quan trọng” để giúp cơ quan, tổ chức triển khai các biện pháp bảo đảm an ninh mạng một cách có hệ thống và toàn diện. Đây chính là khuôn khổ mà các cơ quan, tổ chức, doanh nghiệp có thể tham chiếu khi xây dựng chiến lược an ninh mạng của đơn vị mình.

Danh mục yêu cầu cụ thể đối với hệ thống thông tin

Về bộ tiêu chuẩn, theo Thượng tá Lê Xuân Thủy, Giám đốc Trung tâm An ninh mạng quốc gia, có một thực tế là nhiều cơ quan, đơn vị nhận được nhiều tư vấn từ các chuyên gia, hãng bảo mật, nhưng không biết bắt đầu từ đâu cũng như không biết như thế nào là đúng, là đủ. Do vậy, một trong những điểm nhấn quan trọng của tiêu chuẩn mới là khả năng định hướng hành động cho các đơn vị vận hành hệ thống thông tin, đặc biệt là các hệ thống quan trọng quốc gia thuộc cơ quan nhà nước.

Cụ thể, với hệ thống thông tin của cơ quan nhà nước cần phải đáp ứng yêu cầu với hệ thống thông tin cấp độ 2, bảo đảm 15 yêu cầu. Với hệ thống thông tin quan trọng về an ninh quốc gia, thì hệ thống thông tin đáp ứng được yêu cầu theo cấp độ 4, bảo đảm 18 yêu cầu. Trong đó, với hệ thống thông tin của cơ quan nhà nước cần đáp ứng các yêu cầu, như: Quản lý rủi ro an ninh mạng, quản lý tài sản phần cứng, quản lý tài sản phần mềm, quản lý tài khoản và quyền truy cập của người dùng, quản lý lỗ hổng bảo mật, phòng chống phần mềm độc hại, sao lưu và khôi phục dữ liệu…

Với hệ thống thông tin quan trọng, bổ sung 3 yêu cầu bên cạnh 15 yêu cầu của hệ thống thông tin của cơ quan nhà nước, gồm: Giám sát và phòng thủ an ninh mạng, phát triển ứng dụng an toàn, quản lý kiểm tra an ninh mạng.

Chia sẻ về bộ tiêu chuẩn an ninh mạng mới, Giám đốc Trung tâm An toàn thông tin VNPT-IT Nguyễn Ngọc Quân cho rằng, TCVN 14423:2025 đưa ra các quy định rõ ràng, cụ thể sẽ giúp việc phối hợp triển khai trở nên thống nhất hơn, tránh tình trạng mỗi đơn vị tự vận hành theo một hướng khác nhau. Bộ tiêu chuẩn mới sẽ đóng vai trò là “kim chỉ nam”, giúp doanh nghiệp rà soát lại toàn bộ hệ thống, từ quy trình đến kỹ thuật, và dễ dàng kết nối với các tiêu chuẩn quốc tế đang áp dụng như ISO/IEC 27001:2022 hay CIS Control version 8.0.

Còn theo Trưởng bộ phận An ninh mạng, Tổng công ty Viễn thông MobiFone Lê Công Trung, bộ tiêu chuẩn về an ninh mạng mới ra đời là một định hướng quan trọng cho doanh nghiệp, tổ chức trong bảo đảm hệ thống thông tin. MobiFone đang lên phương án để từng bước áp dụng. Đại diện MobiFone cũng kiến nghị, Hiệp hội An ninh mạng quốc gia nên xây dựng thêm các danh mục cụ thể dựa trên tiêu chuẩn này, để giúp các đơn vị triển khai thuận tiện hơn…

Trưởng ban Công nghệ, Hiệp hội An ninh mạng quốc gia Vũ Ngọc Sơn cho biết, hiệp hội hoàn toàn ủng hộ việc ban hành bộ tiêu chuẩn mới về an ninh mạng. Hiệp hội cũng sẽ tích cực tuyên truyền để tăng tỷ lệ cơ quan, đơn vị triển khai. “Chúng tôi kỳ vọng bộ tiêu chuẩn về an ninh mạng TCVN 14423:2025 sẽ thay đổi nhận thức xã hội, giống như câu chuyện bắt buộc đội mũ bảo hiểm trước đây”, ông Vũ Ngọc Sơn nói.

Việt Nga