Sở Tư pháp tỉnh Tuyên Quang trân trọng giời thiệu tài liệu HỎI - ĐÁP: An toàn thông tin cho cơ quan nhà nước và doanh nghiệp trong chuyển đổi số. Tài liệu này cung cấp các HỎI TRẢ LỜI cho những vấn đề cốt lõi về an toàn thông tin mạng đối với cơ quan nhà nước và doanh nghiệp, đặc biệt trong bối cảnh đẩy mạnh chuyển đổi số. Mục tiêu là giúp các tổ chức hiểu rõ trách nhiệm, nghĩa vụ và các biện pháp cần thiết để bảo vệ hệ thống thông tin, dữ liệu, đảm bảo an ninh mạng và duy trì hoạt động liên tục.

HỎI: Chuyển đổi số mang lại những lợi ích gì cho cơ quan nhà nước và doanh nghiệp?

TRẢ LỜI: Chuyển đổi số giúp các cơ quan, doanh nghiệp tối ưu hóa quy trình nghiệp vụ, nâng cao hiệu quả hoạt động, cải thiện chất lượng dịch vụ, tăng cường trải nghiệm người dùng, mở rộng khả năng tiếp cận thị trường và thúc đẩy đổi mới sáng tạo.

HỎI: Chuyển đổi số đặt ra những thách thức nào về an toàn thông tin mạng?

TRẢ LỜI: Chuyển đổi số làm gia tăng bề mặt tấn công mạng, phát sinh các lỗ hổng bảo mật mới từ việc tích hợp công nghệ (Cloud, IoT, AI), yêu cầu xử lý lượng lớn dữ liệu (bao gồm dữ liệu cá nhân), và đòi hỏi nguồn nhân lực an toàn thông tin chất lượng cao, gây khó khăn trong việc quản lý và ứng phó kịp thời với các mối đe dọa.

HỎI: Tại sao an toàn thông tin là yếu tố then chốt để thành công trong chuyển đổi số?

TRẢ LỜI: An toàn thông tin là nền tảng vững chắc để xây dựng niềm tin số, bảo vệ tài sản số, duy trì tính liên tục của hoạt động và đảm bảo tuân thủ pháp luật. Không có an toàn thông tin, những lợi ích của chuyển đổi số có thể bị đảo ngược, gây thiệt hại nghiêm trọng về tài chính, uy tín và dữ liệu.

HỎI: Hậu quả của việc mất an toàn thông tin trong quá trình chuyển đổi số là gì?

TRẢ LỜI: Hậu quả có thể bao gồm mất mát dữ liệu quan trọng, gián đoạn dịch vụ, thiệt hại tài chính, lộ lọt thông tin bí mật kinh doanh hoặc bí mật nhà nước, mất uy tín, và vi phạm pháp luật dẫn đến các hình thức xử phạt.

HỎI: Tại sao cần phân loại hệ thống thông tin theo cấp độ an toàn?

TRẢ LỜI: Phân loại hệ thống thông tin theo cấp độ giúp xác định mức độ quan trọng của hệ thống và dữ liệu trên đó, từ đó đưa ra các yêu cầu, biện pháp bảo vệ phù hợp, tối ưu nguồn lực và đảm bảo hiệu quả an toàn thông tin. (Điều 21, Luật An toàn thông tin mạng 2015 và Nghị định 85/2016/NĐ-CP)

HỎI: Hệ thống thông tin được phân thành mấy cấp độ an toàn theo quy định của pháp luật Việt Nam?

TRẢ LỜI: Theo Nghị định 85/2016/NĐ-CP, hệ thống thông tin được phân thành 5 cấp độ an toàn thông tin.

HỎI: Cấp độ 1 của hệ thống thông tin là gì và yêu cầu cơ bản về an toàn ra sao?

TRẢ LỜI: Hệ thống thông tin cấp độ 1 là hệ thống phục vụ hoạt động nội bộ, không xử lý thông tin bí mật nhà nước hoặc thông tin ảnh hưởng nghiêm trọng đến hoạt động. Yêu cầu cơ bản là đảm bảo tính sẵn sàng ở mức độ cơ bản. (Nghị định 85/2016/NĐ-CP)

HỎI: Cấp độ 3 của hệ thống thông tin là gì và yêu cầu về an toàn như thế nào?

TRẢ LỜI: Hệ thống thông tin cấp độ 3 là hệ thống xử lý thông tin bí mật nhà nước độ Mật, hoặc thông tin khi bị phá hoại sẽ gây ảnh hưởng nghiêm trọng đến trật tự, an toàn xã hội, uy tín cơ quan nhà nước, quyền và lợi ích hợp pháp của tổ chức, cá nhân. Yêu cầu về an toàn cao hơn, cần có phương án dự phòng, phục hồi hệ thống khi có sự cố, và áp dụng các biện pháp kỹ thuật, nghiệp vụ chặt chẽ. (Nghị định 85/2016/NĐ-CP)

HỎI: Hệ thống thông tin quan trọng quốc gia là gì và ai chịu trách nhiệm bảo vệ?

TRẢ LỜI: Hệ thống thông tin quan trọng quốc gia là hệ thống thông tin có tầm quan trọng đặc biệt đối với an ninh quốc gia, trật tự an toàn xã hội, hoạt động của cơ quan nhà nước. Việc bảo vệ do Bộ Thông tin và Truyền thông (nay là Bộ Khoa học và Công nghệ)  chủ trì, phối hợp với Bộ Công an, Bộ Quốc phòng và các bộ, ngành liên quan. (Khoản 3, Điều 20, Luật An toàn thông tin mạng 2015)

HỎI: Quy trình xác định cấp độ an toàn hệ thống thông tin được thực hiện như thế nào?

TRẢ LỜI: Quy trình xác định cấp độ bao gồm việc khảo sát, phân tích, đánh giá, đề xuất cấp độ và phê duyệt cấp độ. Chủ quản hệ thống thông tin có trách nhiệm tổ chức thực hiện hoặc thuê tổ chức chuyên nghiệp thực hiện. (Nghị định 85/2016/NĐ-CP)

HỎI: Những biện pháp kỹ thuật cơ bản nào cần triển khai để bảo vệ hệ thống thông tin?

TRẢ LỜI: Các biện pháp kỹ thuật cơ bản bao gồm tường lửa (firewall), hệ thống phát hiện/ngăn chặn xâm nhập (IDS/IPS), phần mềm diệt mã độc (antivirus), mã hóa dữ liệu, xác thực đa yếu tố, sao lưu và phục hồi dữ liệu, cập nhật bản vá bảo mật định kỳ.

HỎI: Biện pháp quản lý an toàn thông tin quan trọng nhất là gì?

TRẢ LỜI: Biện pháp quản lý quan trọng nhất là việc xây dựng và triển khai chính sách an toàn thông tin rõ ràng, bao gồm quy định về quản lý tài khoản, mật khẩu, phân quyền truy cập, quy trình xử lý sự cố, và đào tạo nâng cao nhận thức.

HỎI: Cần làm gì để quản lý tài khoản và mật khẩu hiệu quả trong tổ chức?

TRẢ LỜI: Cần áp dụng chính sách mật khẩu mạnh, yêu cầu thay đổi mật khẩu định kỳ, sử dụng xác thực đa yếu tố, quản lý vòng đời tài khoản (tạo mới, thay đổi, vô hiệu hóa khi không còn cần thiết) và kiểm soát chặt chẽ quyền truy cập.

HỎI: Vai trò của việc đánh giá rủi ro an toàn thông tin định kỳ là gì?

TRẢ LỜI: Đánh giá rủi ro giúp xác định, phân tích và ưu tiên các rủi ro bảo mật tiềm ẩn, từ đó xây dựng kế hoạch ứng phó phù hợp, giảm thiểu khả năng xảy ra sự cố và tối ưu hóa chi phí đầu tư cho an toàn thông tin.

HỎI: Tại sao cần thực hiện kiểm tra, đánh giá an toàn thông tin định kỳ đối với hệ thống?

TRẢ LỜI: Kiểm tra, đánh giá định kỳ giúp phát hiện kịp thời các lỗ hổng bảo mật, điểm yếu của hệ thống, đánh giá hiệu quả của các biện pháp bảo vệ đã triển khai, và đảm bảo tuân thủ các tiêu chuẩn, quy chuẩn kỹ thuật. (Khoản 3, Điều 20, Luật An toàn thông tin mạng 2015)

HỎI: Các cơ quan nhà nước có bắt buộc phải xây dựng hệ thống quản lý an toàn thông tin theo tiêu chuẩn không?

TRẢ LỜI: Có. Các cơ quan nhà nước cần nghiên cứu, áp dụng các tiêu chuẩn, quy chuẩn kỹ thuật về an toàn thông tin mạng, khuyến khích xây dựng hệ thống quản lý an toàn thông tin theo các tiêu chuẩn quốc tế như ISO/IEC 27001.

HỎI: Doanh nghiệp cần làm gì để bảo vệ sở hữu trí tuệ và bí mật kinh doanh trên môi trường mạng?

TRẢ LỜI: Doanh nghiệp cần triển khai các biện pháp bảo mật chặt chẽ đối với dữ liệu sở hữu trí tuệ và bí mật kinh doanh, bao gồm mã hóa, kiểm soát truy cập, giám sát hoạt động truy cập, và xây dựng chính sách bảo mật thông tin nội bộ rõ ràng.

HỎI: Chính sách "không tin cậy" (Zero Trust) là gì và ứng dụng như thế nào trong doanh nghiệp?

TRẢ LỜI: Chính sách "không tin cậy" là mô hình bảo mật yêu cầu xác minh mọi người dùng và thiết bị, dù ở bên trong hay bên ngoài mạng lưới tổ chức, trước khi cấp quyền truy cập. Nó giúp giảm thiểu rủi ro từ các mối đe dọa bên trong và bên ngoài.

HỎI: Kế hoạch ứng phó sự cố an toàn thông tin bao gồm những nội dung gì?

TRẢ LỜI: Kế hoạch ứng phó sự cố bao gồm các bước phát hiện, phân tích, cô lập, khắc phục, phục hồi và đánh giá sau sự cố. Nó cũng xác định rõ vai trò, trách nhiệm của các bên liên quan và quy trình liên lạc.

HỎI: Tại sao cần diễn tập phương án ứng phó sự cố an toàn thông tin định kỳ?

TRẢ LỜI: Diễn tập giúp kiểm tra tính hiệu quả của kế hoạch, phát hiện các điểm yếu, nâng cao kỹ năng và sự phối hợp của đội ngũ ứng phó, đảm bảo tổ chức có thể phản ứng nhanh chóng và hiệu quả khi sự cố thực sự xảy ra.

HỎI: Nâng cao nhận thức về an toàn thông tin cho cán bộ, nhân viên có quan trọng không?

TRẢ LỜI: Cực kỳ quan trọng. Con người thường là mắt xích yếu nhất trong chuỗi bảo mật. Nâng cao nhận thức giúp cán bộ, nhân viên hiểu rõ về các mối đe dọa, cách phòng tránh và trách nhiệm của mình trong việc bảo vệ thông tin.

HỎI: Những hình thức phổ biến để nâng cao nhận thức an toàn thông tin là gì?

TRẢ LỜI: Bao gồm các buổi tập huấn, đào tạo định kỳ, gửi email cảnh báo về các mối đe dọa mới (phishing, mã độc), thử nghiệm lừa đảo qua email (phishing simulation), và xây dựng văn hóa an toàn thông tin trong tổ chức.

HỎI: Vai trò của Trung tâm Điều hành An ninh mạng (SOC) trong tổ chức là gì?

TRẢ LỜI: SOC là đơn vị tập trung giám sát, phát hiện, phân tích và ứng phó với các sự kiện, sự cố an ninh mạng 24/7, giúp tổ chức chủ động hơn trong việc bảo vệ hệ thống thông tin.

HỎI: Doanh nghiệp nhỏ và vừa (SME) có cần đầu tư vào an toàn thông tin không?

TRẢ LỜI: Có. SME cũng là mục tiêu của các cuộc tấn công mạng và thường có nguồn lực hạn chế. Việc đầu tư vào an toàn thông tin giúp bảo vệ dữ liệu khách hàng, duy trì hoạt động kinh doanh và xây dựng lòng tin.

HỎI: Trách nhiệm của chủ quản hệ thống thông tin trong việc bảo đảm an toàn là gì?

TRẢ LỜI: Chủ quản hệ thống thông tin có trách nhiệm phân loại, xác định cấp độ an toàn, triển khai các biện pháp bảo vệ theo cấp độ, kiểm tra, đánh giá định kỳ, và ứng phó sự cố an toàn thông tin. (Điều 28, Luật An toàn thông tin mạng 2015)

HỎI: Vai trò của Bộ Thông tin và Truyền thông (nay là Bộ Khoa học và Công nghệ)  trong việc bảo đảm an toàn thông tin mạng là gì?

TRẢ LỜI: Bộ Thông tin và Truyền thông (nay là Bộ Khoa học và Công nghệ)  thực hiện quản lý nhà nước về an toàn thông tin mạng, xây dựng chính sách, tiêu chuẩn, quy chuẩn kỹ thuật, tổ chức kiểm định, kiểm tra, đánh giá và ứng phó sự cố an toàn thông tin mạng. (Điều 40, Luật An toàn thông tin mạng 2015)

HỎI: Vai trò của Bộ Công an trong việc bảo vệ an ninh mạng là gì?

TRẢ LỜI: Bộ Công an thực hiện quản lý nhà nước về an ninh mạng, phòng ngừa, phát hiện, đấu tranh, xử lý các hành vi vi phạm pháp luật về an ninh mạng, bảo vệ hệ thống thông tin quan trọng về an ninh quốc gia. (Điều 29, Luật An ninh mạng 2018)

HỎI: Tổ chức, doanh nghiệp có bắt buộc báo cáo sự cố an toàn thông tin cho cơ quan nhà nước không?

TRẢ LỜI: Có. Tổ chức, doanh nghiệp là chủ quản hệ thống thông tin hoặc xử lý dữ liệu cá nhân phải có trách nhiệm thông báo kịp thời cho cơ quan quản lý nhà nước có thẩm quyền khi phát hiện sự cố an toàn thông tin hoặc vi phạm dữ liệu cá nhân nghiêm trọng. (Khoản 3, Điều 23, Luật An toàn thông tin mạng 2015 và Điều 27, Luật Dữ liệu 2024)

HỎI: Việc hợp tác công - tư trong lĩnh vực an toàn thông tin có ý nghĩa gì?

TRẢ LỜI: Hợp tác công - tư (giữa nhà nước và doanh nghiệp) có ý nghĩa quan trọng trong việc chia sẻ thông tin về mối đe dọa, phối hợp ứng phó sự cố, xây dựng năng lực và phát triển các giải pháp an toàn thông tin hiệu quả, góp phần bảo vệ không gian mạng chung.

HỎI: Để đảm bảo an toàn thông tin bền vững trong chuyển đổi số, cơ quan, doanh nghiệp cần chú trọng điều gì nhất?

TRẢ LỜI: Để đảm bảo an toàn thông tin bền vững, cơ quan, doanh nghiệp cần chú trọng xây dựng một chiến lược an toàn thông tin toàn diện, tích hợp từ khâu thiết kế (security by design), liên tục đánh giá, nâng cấp các biện pháp kỹ thuật và quản lý, đồng thời thường xuyên đào tạo, nâng cao nhận thức cho toàn thể cán bộ, nhân viên.