Nhiều tổ chức tại Việt Nam vẫn coi diễn tập an toàn thông tin là hoạt động “có thì tốt, không có cũng không sao”. Nhưng thực tế, đối với các hệ thống thông tin từ cấp độ 3 trở lên, diễn tập không phải lựa chọn — mà là nghĩa vụ pháp lý được quy định rõ trong Nghị định 85/2016/NĐ-CP của Chính phủ.
Bài viết này sẽ phân tích cụ thể Nghị định 85 yêu cầu gì về diễn tập, áp dụng cho cấp độ nào, tần suất ra sao, và tổ chức cần chuẩn bị những gì để đáp ứng.
Nghị định 85/2016/NĐ-CP là gì?
Nghị định 85/2016/NĐ-CP được Chính phủ ban hành ngày 01/07/2016, quy định về bảo đảm an toàn hệ thống thông tin theo cấp độ. Đây là văn bản pháp lý nền tảng phân loại các hệ thống thông tin thành 5 cấp độ dựa trên mức độ quan trọng và ảnh hưởng khi xảy ra sự cố:
- Cấp độ 1: Hệ thống phục vụ hoạt động nội bộ của một cơ quan, tổ chức và chỉ xử lý thông tin công khai.
- Cấp độ 2: Hệ thống xử lý thông tin riêng của tổ chức, khi bị phá hoại sẽ gây ảnh hưởng tới hoạt động của tổ chức nhưng không gây tổn hại lớn.
- Cấp độ 3: Hệ thống phục vụ hoạt động của nhiều cơ quan, tổ chức hoặc cung cấp dịch vụ trực tuyến, khi bị phá hoại sẽ gây tổn hại nghiêm trọng.
- Cấp độ 4: Hệ thống phục vụ hoạt động trên phạm vi toàn quốc, yêu cầu vận hành 24/7, khi bị phá hoại sẽ gây tổn hại đặc biệt nghiêm trọng.
- Cấp độ 5: Hệ thống xử lý thông tin bí mật nhà nước hoặc phục vụ quốc phòng, an ninh.
Cấp độ càng cao, yêu cầu bảo đảm an toàn thông tin càng nghiêm ngặt — và diễn tập là một trong những yêu cầu bắt buộc.
Nghị định 85 quy định gì về diễn tập?
Tại Điều 20 khoản 2 điểm d, Nghị định 85 quy định rõ trách nhiệm của chủ quản hệ thống thông tin trong việc tổ chức đào tạo, tuyên truyền và diễn tập về an toàn thông tin. Đây không phải khuyến nghị mà là nghĩa vụ pháp lý bắt buộc.
Cụ thể, yêu cầu diễn tập được quy định chi tiết hơn trong Thông tư hướng dẫn (Thông tư 03/2017/TT-BTTTT, sau đó được thay thế bởi Thông tư 12/2022/TT-BTTTT), phân chia theo từng cấp độ:
Hệ thống cấp độ 3
- Có kế hoạch và định kỳ tổ chức diễn tập bảo đảm an toàn thông tin cho hệ thống.
- Cử cán bộ tham gia các cuộc diễn tập quốc gia hoặc quốc tế do cơ quan chức năng triệu tập.
- Có kế hoạch khôi phục hoạt động bình thường của hệ thống khi xảy ra sự cố hoặc thảm họa.
- Kiểm tra, đánh giá an toàn thông tin định kỳ hàng năm.
Hệ thống cấp độ 4
- Có kế hoạch và định kỳ hàng năm tổ chức diễn tập bảo đảm an toàn thông tin cho hệ thống.
- Có phương án ứng cứu khẩn cấp bảo đảm an toàn thông tin mạng theo quy định.
- Kiểm tra, đánh giá an toàn thông tin định kỳ hàng năm.
Hệ thống cấp độ 5
- Có kế hoạch và định kỳ 06 tháng tổ chức diễn tập bảo đảm an toàn thông tin cho hệ thống.
- Kiểm tra, đánh giá an toàn thông tin và quản lý rủi ro định kỳ 06 tháng hoặc theo yêu cầu của cơ quan chức năng.
- Việc kiểm tra, đánh giá phải do tổ chức chuyên môn được cấp phép thực hiện.
Tổng hợp yêu cầu diễn tập theo cấp độ
| Cấp độ | Yêu cầu diễn tập | Tần suất tối thiểu | Kiểm tra đánh giá ATTT | Ghi chú |
|---|---|---|---|---|
| Cấp độ 1–2 | Không bắt buộc cụ thể | — | Theo nhu cầu | Khuyến khích nhưng chưa bắt buộc |
| Cấp độ 3 | Bắt buộc | Định kỳ (hàng năm) | Hàng năm | Cử cán bộ tham gia diễn tập quốc gia/quốc tế |
| Cấp độ 4 | Bắt buộc | Hàng năm | Hàng năm | Phải có phương án ứng cứu khẩn cấp |
| Cấp độ 5 | Bắt buộc | 06 tháng/lần | 06 tháng/lần | Phải do tổ chức được cấp phép thực hiện đánh giá |
Diễn tập theo Nghị định 85 cần đáp ứng những gì?
Nghị định 85 và các Thông tư hướng dẫn không chỉ yêu cầu “có diễn tập” mà còn đặt ra một hệ thống yêu cầu đồng bộ mà tổ chức phải đáp ứng cùng lúc:
Về kế hoạch: Tổ chức phải có kế hoạch diễn tập được xây dựng trước, không phải tổ chức tùy hứng. Kế hoạch cần nêu rõ mục tiêu, phạm vi, kịch bản, đối tượng tham gia và tần suất thực hiện.
Về quy trình ứng phó: Diễn tập phải gắn liền với kế hoạch ứng phó sự cố và kế hoạch khôi phục hệ thống. Nói cách khác, diễn tập chính là hoạt động kiểm chứng tính khả thi của các kế hoạch này.
Về nhân sự: Tổ chức phải cử cán bộ tham gia các cuộc diễn tập do cơ quan chức năng tổ chức (như VNCERT/CC, Bộ TT&TT). Đây là nghĩa vụ, không phải tùy chọn.
Về hồ sơ tài liệu: Toàn bộ hoạt động diễn tập cần được ghi nhận thành hồ sơ — kế hoạch, biên bản, báo cáo kết quả — phục vụ cho việc kiểm tra, đánh giá tuân thủ của cơ quan quản lý nhà nước.
Về kiểm tra đánh giá: Song song với diễn tập, tổ chức phải thực hiện kiểm tra, đánh giá an toàn thông tin định kỳ. Đối với hệ thống từ cấp độ 3 trở lên, việc này phải do tổ chức chuyên môn được cấp phép hoặc tổ chức sự nghiệp nhà nước có chức năng phù hợp thực hiện.
Hậu quả nếu không tuân thủ
Việc không tổ chức diễn tập hoặc không đáp ứng các yêu cầu về an toàn thông tin theo cấp độ có thể dẫn đến:
Xử lý hành chính: Tổ chức có thể bị xử phạt vi phạm hành chính theo các quy định về an toàn thông tin mạng. Mức phạt tùy theo tính chất và mức độ vi phạm.
Trách nhiệm khi xảy ra sự cố: Nếu hệ thống bị tấn công gây thiệt hại và tổ chức không chứng minh được đã thực hiện đầy đủ các biện pháp bảo đảm an toàn thông tin (bao gồm diễn tập), trách nhiệm pháp lý sẽ nặng hơn đáng kể.
Mất uy tín và niềm tin: Đặc biệt đối với các tổ chức cung cấp dịch vụ công, tài chính, y tế — việc không tuân thủ quy định về ATTT ảnh hưởng trực tiếp đến niềm tin của người dùng và đối tác.
Tổ chức nên bắt đầu như thế nào?
Nếu tổ chức đang vận hành hệ thống thông tin từ cấp độ 3 trở lên và chưa từng tổ chức diễn tập, dưới đây là lộ trình khuyến nghị:
Bước 1 — Xác định cấp độ hệ thống: Rà soát và xác nhận cấp độ của từng hệ thống thông tin đang vận hành. Nếu chưa có hồ sơ đề xuất cấp độ, cần thực hiện ngay vì đây cũng là yêu cầu bắt buộc của Nghị định 85.
Bước 2 — Xây dựng kế hoạch diễn tập: Lập kế hoạch diễn tập phù hợp với cấp độ hệ thống, bao gồm kịch bản, đối tượng tham gia, tần suất và nguồn lực cần thiết.
Bước 3 — Tổ chức diễn tập: Có thể bắt đầu bằng Tabletop Exercise (diễn tập trên bàn giấy) để đánh giá quy trình, sau đó nâng dần lên Cyber Drill với yếu tố kỹ thuật thực hành.
Bước 4 — Lưu trữ hồ sơ: Ghi nhận đầy đủ kế hoạch, biên bản, báo cáo kết quả và khuyến nghị cải thiện — sẵn sàng cho các đợt kiểm tra tuân thủ.
Bước 5 — Duy trì định kỳ: Đưa diễn tập vào kế hoạch hàng năm (hoặc 06 tháng với cấp độ 5), không để hoạt động này bị lãng quên sau lần đầu tiên.
Kết luận
Nghị định 85/2016/NĐ-CP đặt ra yêu cầu rõ ràng: tổ chức vận hành hệ thống thông tin từ cấp độ 3 trở lên phải có kế hoạch và định kỳ tổ chức diễn tập bảo đảm an toàn thông tin. Đây không chỉ là nghĩa vụ tuân thủ trên giấy tờ mà là hoạt động thiết thực giúp tổ chức kiểm chứng năng lực ứng phó, phát hiện điểm yếu trong quy trình và nâng cao khả năng sẵn sàng trước các mối đe dọa mạng.
Nếu tổ chức của bạn chưa từng diễn tập hoặc chưa biết bắt đầu từ đâu, đừng chờ đến khi sự cố xảy ra hay cơ quan quản lý kiểm tra — hãy chủ động ngay hôm nay.
Security365 cung cấp dịch vụ tổ chức diễn tập an toàn thông tin đáp ứng đầy đủ yêu cầu của Nghị định 85/2016/NĐ-CP — từ xây dựng kịch bản, tổ chức diễn tập đến hoàn thiện hồ sơ tuân thủ. Liên hệ với chúng tôi để được tư vấn chương trình diễn tập phù hợp với cấp độ hệ thống của tổ chức bạn.
Security365 