DỊCH VỤ ĐÁNH GIÁ VÀ TƯ VẤN HỒ SƠ CẤP ĐỘ

1. Thiết lập chính sách về ATTT

• Xây dựng chính sách về ATTT
• Công bố
• Rà soát và sửa đổi

2. Tổ chức bảo đảm về ATTT

• Thành lập các đơn vị chuyên trách về ATTT
• Thiết lập các đầu mối để phối hợp với các đơn vị có thẩm quyền

3. Đảm bảo nguồn nhân lực

• Xây dựng quy trình về tuyển dụng và đánh giá cán bộ
• Xây dựng các kế hoạch về đào tạo bồi dưỡng cán bộ, đánh giá kiểm tra kỹ năng
• Quy trình thu hồi các tài nguyên cấp cho cán bộ khi họ chấm dứt hoặc thay đổi công việc

4. Quản lý thiết kế và xây dựng hệ thống

• Xây dựng các tài liệu về thiết kế, quản lý, khai thác và đảm bảo an toàn thông tin
• Có quy trình phát triển phần mềm, Kiểm tra đánh giá trước khi đưa vào sử dụng
• Có quy trình và cán bộ chuyên trách để thực hiện nghiệm thu hệ thống

5. Quản lý vận hành hệ thống

• Xây dựng các chính sách quản lý An toàn mạng
• Xây dựng các chính sách quản lý An toàn máy chủ và ứng dụng
• Xây dựng các chính sách quản lý An toàn dữ liệu
• Xây dựng các chính sách quản lý An toàn đầu cuối
• Xây dựng các chính sách quản lý về rủi ro và sự cố

6. Phương án Quản lý rủi ro an toàn thông tin

7. Phương án kết thúc vận hành, khai thác, thanh lý, huỷ bỏ

DỊCH VỤ DÁNH GIÁ VÀ TƯ VẤN HỒ SƠ CẤP ĐỘ

Quy Trình Dịch Vụ

1. Khảo sát hiện trạng hệ thống, hạ tầng

• Thu thập và phân tích thông tin tổng thể về hạ tầng mạng, hệ thống bảo mật, sơ đồ thiết kế cùng các tài liệu kỹ thuật liên quan.
• Khảo sát chi tiết thông tin về các máy chủ, ứng dụng và thiết bị trong hệ thống.
• Đánh giá mức độ đáp ứng hiện tại của hệ thống đối với các yêu cầu bảo đảm an toàn thông tin.

2. Tư vấn để xuất phân loại cấp độ

• Theo quy định tại Nghị định số 85/2016/NĐ-CP của Chính phủ về bảo đảm an toàn hệ thống thông tin theo cấp độ, hệ thống thông tin được phân loại thành 05 cấp độ an toàn, từ cấp độ 1 đến cấp độ 5. Mỗi cấp độ thể hiện mức độ tăng dần về yêu cầu bảo vệ, tương ứng với tầm quan trọng và mức độ ảnh hưởng của hệ thống đối với hoạt động của tổ chức, cá nhân, cơ quan nhà nước và an ninh quốc gia.
• Việc phân loại này là cơ sở để triển khai và áp dụng các biện pháp quản lý, kỹ thuật bảo mật phù hợp, nhằm bảo đảm an toàn cho hệ thống thông tin theo đúng cấp độ được xác định.

3. Xây dựng hồ sơ đề xuất cấp độ

Căn cứ pháp lý

• Nghị định 85/2016/NĐ-CP về bảo đảm an toàn HTTT theo cấp độ.
• Thông tư 12/2022/TT-BTTTT hướng dẫn chi tiết việc xác định và lập hồ sơ.

Nội dung hồ sơ

• Hoàn thiện: Biên soạn theo mẫu chuẩn (Mẫu 01–07 của Thông tư 12/2022/TT-BTTT), kiểm tra tính hợp lệ và hỗ trợ trình nộp.
• Pháp lý: Thông tin hệ thống, cơ quan chủ quản, phạm vi, mục tiêu, căn cứ pháp luật.
• Yêu cầu Kỹ thuật: Kiến trúc hệ thống, sơ đồ mạng, ứng dụng, dữ liệu, biện pháp bảo mật hiện có.
• Yêu cầu Quản lý: Tổ chức vận hành, chính sách/quy trình ATTT, phân công trách nhiệm, nhân sự.
• Đề xuất cấp độ: Đối chiếu tiêu chí NĐ 85/2016/NĐ-CP, phân tích rủi ro, xác định cấp độ phù hợp và giải trình.

Kết quả bàn giao

• Bộ hồ sơ đề xuất cấp độ ATTT hoàn chỉnh, đáp ứng quy định pháp luật.
• Báo cáo phân tích và giải trình về cấp độ đề xuất.
• Tài liệu bổ trợ gồm sơ đồ hệ thống, biểu mẫu và quy trình quản lý liên quan.

4. Tư vấn các giải pháp, phương án đáp ứng HTTT theo cấp độ

Thông qua đánh giá hiện trạng hệ thống thông tin, đối chiếu với quy định tại Nghị định 85/2016/NĐ-CP và Thông tư 12/2022/TT-BTTTT để xác định các yêu cầu còn thiếu so với cấp độ an toàn cần đạt. Trên cơ sở đó, đề xuất các biện pháp bổ sung toàn diện, bao gồm giải pháp kỹ thuật (tường lửa, IDS/IPS, mã hóa, giám sát an ninh, sao lưu/khôi phục), quản lý (chính sách, quy trình ATTT, quản lý truy cập, ứng phó sự cố). Các phương án được thiết kế linh hoạt theo nhiều mức độ, giúp tổ chức vừa đảm bảo tuân thủ pháp luật, vừa nâng cao khả năng bảo vệ hệ thống, hướng tới đáp ứng các chuẩn mực quốc tế về an toàn thông tin.