Bộ Khoa học và Công nghệ xây dựng mô hình bảo vệ an ninh mạng nhiều tầng cho hệ thống thông tin
Trong bối cảnh chuyển đổi số diễn ra mạnh mẽ, yêu cầu bảo đảm an toàn thông tin cho các hệ thống dữ liệu quốc gia ngày càng trở nên cấp thiết. Bộ Khoa học và Công nghệ vừa ban hành Kế hoạch bảo đảm an ninh mạng tổng thể giai đoạn 2026-2030 với mục tiêu xây dựng hệ thống phòng thủ đồng bộ, bảo vệ toàn diện cho hạ tầng số của ngành.
Điểm nhấn đáng chú ý là việc triển khai mô hình bảo vệ an ninh mạng “4 lớp” đối với toàn bộ hệ thống thông tin từ cấp độ 3 trở lên trước năm 2030. Theo kế hoạch, mô hình “4 lớp” được xác định là nền tảng trọng tâm nhằm nâng cao năng lực phòng thủ trước các nguy cơ tấn công mạng ngày càng tinh vi. Cấu trúc này bao gồm lực lượng bảo vệ tại chỗ; đơn vị hoặc doanh nghiệp chuyên trách giám sát, bảo vệ an ninh mạng; tổ chức độc lập thực hiện kiểm tra, đánh giá định kỳ; cùng với cơ chế kết nối, chia sẻ dữ liệu với hệ thống giám sát an ninh mạng quốc gia.
Thông qua mô hình này, Bộ Khoa học và Công nghệ đặt mục tiêu xây dựng cơ chế bảo vệ liên tục, đồng bộ cho toàn bộ hệ thống phục vụ quản lý nhà nước, nghiên cứu khoa học, đổi mới sáng tạo cũng như các hoạt động chuyển đổi số. Không chỉ dừng ở việc ngăn chặn nguy cơ mất an toàn thông tin, kế hoạch còn hướng đến nâng cao khả năng phát hiện sớm và xử lý kịp thời các sự cố an ninh mạng.
Song song với việc triển khai mô hình bảo vệ nhiều tầng, Bộ cũng đặt ra yêu cầu toàn bộ hệ thống thông tin phải được xác định cấp độ an toàn và phê duyệt phương án bảo vệ phù hợp theo từng cấp độ trước năm 2030. Bên cạnh đó, 100% hệ thống sẽ được áp dụng giải pháp phòng chống mã độc tập trung nhằm giảm thiểu nguy cơ lây lan và tấn công trên diện rộng.
Một trong những hạng mục trọng tâm khác là xây dựng Trung tâm giám sát, điều hành an ninh mạng (SOC) của Bộ. Trung tâm này sẽ đóng vai trò theo dõi, phân tích, cảnh báo và hỗ trợ ứng cứu sự cố an ninh mạng trên phạm vi toàn ngành. Việc hình thành SOC được xem là bước đi cần thiết nhằm tăng khả năng giám sát tập trung, đồng thời giúp các đơn vị chủ động hơn trong bảo vệ dữ liệu và hạ tầng số.
Không chỉ tập trung vào công nghệ và hạ tầng kỹ thuật, kế hoạch của Bộ Khoa học và Công nghệ cũng đặc biệt chú trọng yếu tố con người. Theo đó, toàn bộ cán bộ chuyên trách về an toàn thông tin sẽ được đào tạo, tập huấn thường xuyên và tham gia các chương trình diễn tập ứng cứu sự cố định kỳ. Đồng thời, tối thiểu 80% cán bộ, công chức, viên chức và người lao động trong ngành sẽ được nâng cao nhận thức, cập nhật kiến thức về an toàn và an ninh mạng.
Bộ xác định đây không chỉ là nhiệm vụ kỹ thuật đơn thuần mà còn là yêu cầu mang tính chiến lược đối với tiến trình chuyển đổi số quốc gia. Vì vậy, người đứng đầu các đơn vị trực thuộc được yêu cầu trực tiếp chỉ đạo và chịu trách nhiệm toàn diện về công tác bảo đảm an toàn thông tin tại đơn vị mình. Theo kế hoạch, an ninh mạng được xem là điều kiện tiên quyết để chuyển đổi số diễn ra hiệu quả, an toàn và bền vững.
Để bảo đảm việc triển khai đạt hiệu quả thực chất, các đơn vị sẽ phải thường xuyên rà soát, cập nhật quy định nội bộ liên quan đến bảo mật thông tin, đồng thời xây dựng phương án bảo vệ phù hợp với từng hệ thống cụ thể. Việc giám sát nguy cơ, phát hiện lỗ hổng bảo mật và theo dõi các dấu hiệu tấn công mạng sẽ được thực hiện liên tục nhằm hạn chế tối đa rủi ro phát sinh.
Cùng với đó, Bộ Khoa học và Công nghệ cũng yêu cầu xây dựng hạ tầng kỹ thuật dự phòng, bảo đảm khả năng sao lưu dữ liệu và khôi phục hệ thống trong trường hợp xảy ra sự cố. Các tiêu chuẩn an toàn, an ninh mạng sẽ được áp dụng xuyên suốt từ khâu thiết kế, xây dựng cho đến vận hành và nâng cấp hệ thống thông tin.
Đáng chú ý, kế hoạch ưu tiên sử dụng các sản phẩm, giải pháp an ninh mạng do doanh nghiệp Việt Nam phát triển. Đây được xem là bước đi nhằm thúc đẩy hệ sinh thái công nghệ số trong nước, đồng thời nâng cao tính chủ động trong bảo vệ hạ tầng dữ liệu quốc gia.
Trong lĩnh vực bảo vệ dữ liệu, Bộ yêu cầu triển khai đầy đủ cả giải pháp kỹ thuật lẫn biện pháp quản lý để bảo vệ dữ liệu cá nhân và bí mật nhà nước. Song song với đó là việc tăng cường đào tạo nguồn nhân lực chất lượng cao, đáp ứng yêu cầu ngày càng cao của công tác bảo đảm an ninh mạng trong giai đoạn mới.
Điều 8 Luật An ninh mạng 2025 (có hiệu lực từ 1/7/2026), số 116/2025/QH15 quy định phân loại cấp độ hệ thống thông tin. Theo đó, hệ thống thông tin được phân loại theo 5 cấp độ căn cứ vào mức độ tổn hại tới an ninh quốc gia, trật tự, an toàn xã hội, quyền, lợi ích hợp pháp của tổ chức, cá nhân, lợi ích công cộng khi bị sự cố hoặc có hành vi vi phạm pháp luật về an ninh mạng như sau:
1 - Cấp độ 1 có thể làm tổn hại tới quyền và lợi ích hợp pháp của tổ chức, cá nhân;
2 - Cấp độ 2 có thể làm tổn hại nghiêm trọng tới quyền và lợi ích hợp pháp của tổ chức, cá nhân hoặc làm tổn hại tới lợi ích công cộng;
3 - Cấp độ 3 có thể làm tổn hại đặc biệt nghiêm trọng tới quyền và lợi ích hợp pháp của tổ chức, cá nhân; tổn hại nghiêm trọng tới lợi ích công cộng; tổn hại hoặc tổn hại nghiêm trọng tới trật tự, an toàn xã hội hoặc làm tổn hại tới an ninh quốc gia;
4 - Cấp độ 4 có thể làm tổn hại đặc biệt nghiêm trọng tới lợi ích công cộng, trật tự, an toàn xã hội hoặc làm tổn hại nghiêm trọng tới an ninh quốc gia;
5 - Cấp độ 5 có thể làm tổn hại đặc biệt nghiêm trọng tới an ninh quốc gia.
Chính phủ quy định chi tiết tiêu chí xác định cấp độ hệ thống thông tin; quy định thẩm quyền, trình tự, thủ tục xác định cấp độ hệ thống thông tin và biện pháp, trách nhiệm, nghĩa vụ bảo đảm an ninh mạng theo từng cấp độ của hệ thống thông tin.