Luật An ninh mạng 2025 (Luật số 116/2025/QH15) được Quốc hội thông qua ngày 10/12/2025 và có hiệu lực từ 01/07/2026 — hợp nhất Luật An toàn thông tin mạng 2015 và Luật An ninh mạng 2018 thành một khuôn khổ pháp lý duy nhất gồm 8 chương, 45 điều. Đây không phải bản sửa đổi nhỏ mà là cuộc cải tổ toàn diện, nâng tầm yêu cầu đối với mọi tổ chức hoạt động trên không gian mạng tại Việt Nam.
Trong số những thay đổi quan trọng, các quy định về đào tạo, tập huấn, phổ biến kiến thức và nâng cao nhận thức an ninh mạng được siết chặt đáng kể. Doanh nghiệp không thể chỉ mua phần mềm bảo mật rồi coi là xong — mà phải chứng minh được rằng nhân sự đã được đào tạo, kiến thức được kiểm chứng, và quá trình này được ghi nhận có hệ thống.
Bài viết này phân tích các quy định cụ thể và cách EC-Council AWARE giúp doanh nghiệp đáp ứng từng yêu cầu.
Luật An ninh Mạng 2025 yêu cầu gì về đào tạo nhận thức?
Phổ biến kiến thức và giáo dục an ninh mạng
Luật quy định rõ nhà nước có chính sách giáo dục, bồi dưỡng, tập huấn kiến thức, kỹ năng, nghiệp vụ về an ninh mạng, nhằm tăng cường phổ biến và nâng cao vai trò an ninh mạng đối với xã hội. Đây không chỉ là trách nhiệm của cơ quan nhà nước mà mở rộng đến mọi tổ chức, doanh nghiệp sử dụng không gian mạng — tức hầu hết các doanh nghiệp tại Việt Nam.
Cụ thể, các cơ quan, tổ chức, cá nhân sử dụng không gian mạng có trách nhiệm tuân thủ quy định pháp luật về an ninh mạng, bảo mật tài khoản và thông tin số. Điều này ngầm yêu cầu: nhân viên phải biết cách bảo mật — và việc “biết” phải được chứng minh bằng đào tạo có tài liệu.
Tăng cường năng lực tự chủ an ninh mạng (Điều 37)
Đây là quy định lần đầu tiên xuất hiện trong luật. Nhà nước khuyến khích và tạo điều kiện để tổ chức nâng cao năng lực tự chủ về an ninh mạng, bao gồm nâng cao khả năng sản xuất, kiểm tra, đánh giá thiết bị số và dịch vụ mạng. “Năng lực tự chủ” bắt đầu từ chính con người — nhân viên có năng lực nhận biết mối đe dọa là nền tảng của mọi năng lực tự chủ.
Đào tạo nhân sự quản trị hệ thống thông tin
Luật yêu cầu tổ chức đào tạo, tập huấn cho lực lượng bảo vệ an ninh mạng về bảo vệ bí mật nhà nước trên không gian mạng, phòng chống tấn công mạng. Đối với hệ thống thông tin quan trọng, yêu cầu còn nghiêm ngặt hơn: nhân sự quản trị phải được đào tạo bài bản, có chứng chỉ phù hợp, và việc đào tạo phải được thực hiện định kỳ.
Doanh nghiệp cung cấp dịch vụ trên mạng viễn thông, Internet và dịch vụ gia tăng trên không gian mạng phải tăng cường trách nhiệm — bao gồm việc đảm bảo nhân sự vận hành hệ thống có đủ kiến thức an ninh mạng để phối hợp với cơ quan chức năng khi xảy ra sự cố.
Xây dựng phương án ứng phó sự cố
Các đơn vị quản lý hệ thống thông tin quan trọng phải xây dựng phương án ứng phó sự cố an ninh mạng, chịu sự kiểm tra và đánh giá định kỳ. Phương án này không thể chỉ tồn tại trên giấy — cần được kiểm chứng thực tế thông qua diễn tập, trong đó mức độ nhận thức và kỹ năng phản ứng của nhân viên là yếu tố quyết định.
EC-Council AWARE đáp ứng từng yêu cầu như thế nào?
Đào tạo có hệ thống với nội dung tùy chỉnh
AWARE cung cấp hệ thống LMS (Learning Management System) tích hợp với thư viện khóa học e-learning phủ rộng các chủ đề an ninh mạng: nhận biết phishing, bảo vệ mật khẩu, sử dụng mạng Wi-Fi an toàn, bảo mật thiết bị di động, xử lý dữ liệu nhạy cảm, phòng chống social engineering, và tuân thủ quy định pháp luật.
Điểm khác biệt: doanh nghiệp có thể tải lên nội dung đào tạo nội bộ (video, tài liệu SCORM-compliant), tùy chỉnh logo và branding, bổ sung chính sách ATTT riêng của tổ chức. Điều này cho phép xây dựng chương trình đào tạo vừa đáp ứng tiêu chuẩn quốc tế của EC-Council, vừa phù hợp đặc thù tổ chức và quy định Việt Nam — đúng tinh thần Luật An ninh Mạng 2025 về nâng cao năng lực tự chủ.
Hệ thống tự động nhắc nhở nhân viên hoàn thành khóa học trong thời hạn quy định, gửi thông báo deadline, và đăng ký tự động cho nhân viên mới — đảm bảo không ai bị bỏ sót trong chương trình đào tạo.
Phishing simulation kiểm chứng nhận thức thực tế
Học lý thuyết là bước đầu, nhưng Luật An ninh Mạng 2025 yêu cầu năng lực thực tế — nhân viên phải thực sự nhận biết được mối đe dọa, không chỉ biết trên lý thuyết. AWARE kiểm chứng điều này qua phishing simulation đa kênh: email phishing, SMiShing (SMS), và vishing (cuộc gọi giả mạo).
Mỗi đợt simulation tạo ra dữ liệu định lượng: bao nhiêu phần trăm nhân viên click vào link lừa đảo, bao nhiêu người nhập thông tin đăng nhập, bao nhiêu người báo cáo email đáng ngờ. Khi nhân viên “dính bẫy”, AWARE tự động đăng ký họ vào khóa đào tạo bổ sung — tạo vòng lặp liên tục: test → phát hiện lỗ hổng → đào tạo → test lại → đo lường cải thiện.
Chứng nhận hoàn thành và theo dõi năng lực
AWARE ghi nhận việc hoàn thành khóa học của từng nhân viên kèm điểm số đánh giá. Doanh nghiệp có thể sử dụng hồ sơ này như bằng chứng rằng nhân sự đã được đào tạo — đặc biệt quan trọng đối với nhân sự quản trị hệ thống thông tin, nơi Luật yêu cầu đào tạo bài bản và có chứng chỉ.
EC-Council — tổ chức đứng sau AWARE — được công nhận toàn cầu với các chứng chỉ như CEH (đã được Bộ Quốc phòng Mỹ đưa vào Directive 8570). Chương trình đào tạo trên AWARE kế thừa uy tín này, tạo thêm giá trị khi doanh nghiệp cần chứng minh chất lượng đào tạo với cơ quan chức năng hoặc đối tác kinh doanh.
Báo cáo minh chứng tuân thủ
Khi cơ quan chức năng kiểm tra hoặc đánh giá, doanh nghiệp cần xuất trình bằng chứng đào tạo. AWARE cung cấp hệ thống báo cáo nâng cao:
- Báo cáo hoàn thành đào tạo: Ai đã học, học khóa nào, khi nào, điểm bao nhiêu — phân theo phòng ban, cấp bậc, khu vực.
- Báo cáo phishing simulation: Tỷ lệ click, tỷ lệ nhập credentials, tỷ lệ báo cáo — xu hướng cải thiện qua từng đợt.
- Báo cáo rủi ro theo nhóm: CheckAPhish đo lường hành vi an ninh mạng của từng phòng ban, xác định nhóm có rủi ro cao cần đào tạo bổ sung.
- Lên lịch báo cáo tự động: Báo cáo được gửi định kỳ đến CISO, trưởng phòng CNTT, ban lãnh đạo — không cần tổng hợp thủ công.
Toàn bộ dữ liệu này tạo thành hồ sơ tuân thủ có hệ thống — sẵn sàng xuất trình bất kỳ lúc nào, cho bất kỳ cuộc kiểm tra nào.
Lời khuyên triển khai
Bắt đầu ngay, đừng chờ đến 01/07/2026
Luật có hiệu lực từ 01/07/2026, nhưng doanh nghiệp cần thời gian để thiết lập nền tảng, chạy baseline, đào tạo nhân viên và đo lường kết quả. Bắt đầu ngay để có ít nhất 2–3 đợt phishing simulation trước khi Luật có hiệu lực — tạo hồ sơ chứng minh doanh nghiệp đã chủ động tuân thủ.
Triển khai theo lộ trình 4 bước
Bước 1 — Đánh giá baseline (Tháng 1): Chạy đợt phishing simulation đầu tiên để đo tỷ lệ dính phishing hiện tại. Đồng thời đánh giá mức nhận thức ATTT chung qua bài khảo sát trên AWARE.
Bước 2 — Đào tạo nền tảng (Tháng 2–3): Triển khai các khóa e-learning bắt buộc cho toàn công ty, ưu tiên nhóm rủi ro cao (nhân sự IT, tài chính, kế toán, ban giám đốc).
Bước 3 — Kiểm tra và cải thiện (Tháng 4–6): Chạy thêm 2 đợt phishing simulation với độ khó tăng dần. So sánh kết quả với baseline. Đào tạo bổ sung cho nhóm chưa cải thiện.
Bước 4 — Duy trì liên tục (Hàng quý): Lên lịch phishing simulation mỗi quý, cập nhật nội dung đào tạo theo xu hướng tấn công mới, xuất báo cáo tuân thủ định kỳ.
Ưu tiên nhóm nhân sự trọng yếu
Luật đặc biệt chú trọng nhân sự quản trị hệ thống thông tin và lực lượng bảo vệ an ninh mạng. Nhóm này cần chương trình đào tạo chuyên sâu hơn — không chỉ nhận thức cơ bản mà còn kỹ năng ứng phó sự cố, bảo vệ dữ liệu, và tuân thủ quy trình phối hợp với cơ quan chức năng. AWARE cho phép tạo learning path riêng cho từng nhóm nhân sự.
Tích hợp vào hệ thống quản trị hiện có
AWARE tích hợp với Microsoft 365, Google Workspace và Exchange — không gây gián đoạn hệ thống email hiện tại. Plugin CheckAPhish cài trực tiếp vào Outlook/Gmail. Hệ thống hoạt động trên nền web, không cần cài phần mềm trên máy nhân viên. Triển khai có thể hoàn thành trong vài ngày, không phải vài tháng.
Không chỉ tuân thủ — mà thực sự an toàn hơn
Tuân thủ Luật An ninh Mạng 2025 là yêu cầu pháp lý bắt buộc. Nhưng giá trị thực sự của AWARE vượt xa tuân thủ: với 52,3% doanh nghiệp Việt Nam bị ảnh hưởng bởi tấn công mạng trong năm 2025 và thiệt hại lừa đảo trực tuyến vượt 8.000 tỷ đồng, đào tạo nhân viên nhận biết mối đe dọa chính là khoản đầu tư có ROI cao nhất mà doanh nghiệp có thể thực hiện.
Một nhân viên biết cách nhận biết email phishing có thể ngăn chặn một vụ tấn công ransomware gây thiệt hại hàng tỷ đồng. Một phòng Kế toán được đào tạo chống BEC có thể tránh một lệnh chuyển khoản giả mạo. Một đội IT được tập huấn quy trình ứng phó có thể rút ngắn thời gian xử lý sự cố từ vài ngày xuống vài giờ.
AWARE biến tất cả điều đó thành hiện thực — có hệ thống, đo lường được, và tạo hồ sơ tuân thủ sẵn sàng cho mọi cuộc kiểm tra.
Đăng ký trải nghiệm và triển khai EC-Council AWARE ngay tại Security365 — đối tác phân phối chính thức của EC-Council tại Việt Nam — qua link https://cyber.security365.vn/aware. Đội ngũ Security365 hỗ trợ tư vấn lộ trình triển khai phù hợp với quy mô tổ chức, đào tạo admin vận hành, và đồng hành trong suốt quá trình xây dựng chương trình nâng cao nhận thức an ninh mạng đáp ứng Luật An ninh Mạng 2025.
Security365 