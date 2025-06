Đây là thông tin được thượng tá Lê Xuân Thủy, Giám đốc Trung tâm An ninh mạng quốc gia, Cục A05, Bộ Công an, nhấn mạnh tại Tọa đàm "TCVN 14423:2025 Tiêu chuẩn quốc gia về an ninh mạng với các hệ thống thông tin quan trọng" diễn ra vào chiều 19/6 ở Hà Nội.

“Chúng tôi nhận thấy, các hệ thống thông tin ở Việt Nam, dù đã có các tiêu chuẩn, nhưng vẫn liên tục bị tấn công trong nhiều năm qua, từ khu vực Chính phủ, năng lượng, ngân hàng đến công nghiệp. Điều đó chứng tỏ những quy định hiện hành là chưa đủ”, ông Thủy nói.

Thượng tá Lê Xuân Thủy, Giám đốc Trung tâm An ninh mạng, Cục A05, Bộ Công an. Ảnh BTC

TCVN 14423:2025 ra đời trong bối cảnh Nghị quyết 57 của Chính phủ xác định chuyển đổi số là một trong những trụ cột phát triển quốc gia, và an ninh mạng là điều kiện tiên quyết để bảo vệ thành quả này.

“Không đảm bảo an ninh mạng thì chuyển đổi số sẽ tạo ra những rủi ro lớn”, ông Thủy nhấn mạnh, đồng thời cảnh báo các cuộc xung đột thực địa trên thế giới hiện nay luôn đi kèm các cuộc chiến mạng âm thầm nhưng gây hậu quả không kém.

Một trong những điểm nhấn quan trọng của tiêu chuẩn mới là khả năng định hướng hành động cho các đơn vị vận hành hệ thống thông tin, đặc biệt là các hệ thống quan trọng quốc gia hoặc thuộc cơ quan nhà nước.

Theo ông Thủy, thực tế cho thấy nhiều đơn vị hiện nay không biết bắt đầu từ đâu, làm thế nào là đủ.

“Để đảm bảo an ninh mạng có quá nhiều gợi ý, nhiều tư vấn được đưa ra, các chuyên gia của các hãng bảo mật đưa ra rất nhiều, các hệ thống thông tin quan trọng thì không biết phải bắt đầu từ đâu, cũng không biết là làm được đến đâu là đúng, là đủ”.

Tiêu chuẩn mới đưa ra hàng loạt yêu cầu cụ thể, không chỉ về kỹ thuật mà còn bao gồm các nội dung quản trị, như quản lý tài sản CNTT, tài khoản người dùng, kiểm soát quyền truy cập, bảo mật ứng dụng web và hồ sơ điện tử, quản lý lỗ hổng bảo mật, phần mềm độc hại, phục hồi dữ liệu, giám sát chuỗi cung ứng và xây dựng năng lực ứng phó sự cố mạng.

Điểm đáng chú ý là tiêu chuẩn này không áp đặt một checklist cụ thể, mà yêu cầu các tổ chức phải xây dựng cấu hình an toàn phù hợp với đặc thù hệ thống của mình.

“Chúng tôi không đưa ra cấu hình cụ thể cho từng tổ chức, nhưng yêu cầu là phải có và phải thường xuyên cập nhật. Checklist không thể tồn tại 5-10 năm mà không thay đổi”, ông Thủy nhấn mạnh.

Kỳ vọng tạo cú hích cho thị trường an ninh mạng Việt Nam

Cũng tại toạ đàm, ông Vũ Ngọc Sơn, Trưởng Ban Nghiên cứu, tư vấn, phát triển công nghệ và Hợp tác quốc tế của Hiệp hội An ninh mạng Quốc gia (NCA), cho biết đơn vị này hoàn toàn ủng hộ bộ tiêu chuẩn mới, và sẽ tích cực tuyên truyền để tăng tỉ lệ triển khai.

Theo thống kê của Hiệp hội An ninh mạng quốc gia từ tháng 12/2024, chỉ có 34,64% tổ chức trong nước áp dụng tiêu chuẩn Việt Nam về an ninh mạng, trong khi số lượng áp dụng tiêu chuẩn quốc tế như với tiêu chuẩn ISO/IEC 27001:2022 chiếm 53,8%; tiêu chuẩn NIST SP 800 53 V4.0 chiếm 19,4%.

“Chúng ta nói về chủ quyền số, nhưng lại không triển khai tiêu chuẩn của chính mình thì đó là nghịch lý”, ông Sơn nhận định.

Ông Vũ Ngọc Sơn, Trưởng Ban Nghiên cứu, tư vấn, phát triển công nghệ và Hợp tác quốc tế của Hiệp hội An ninh mạng Quốc gia (NCA). Ảnh BTC

Ông kỳ vọng TCVN 14423:2025 sẽ thay đổi nhận thức xã hội, giống như câu chuyện bắt buộc đội mũ bảo hiểm trước đây.

“An ninh mạng giống như đi tàu lượn siêu tốc không cài dây an toàn. Không biết sự cố xảy ra lúc nào, từ đâu”, ông Sơn cho hay.

Từ góc nhìn của doanh nghiệp, ông Nguyễn Ngọc Quân, Giám đốc Trung tâm An toàn thông tin mạng VNPT-IT cho biết, trong bối cảnh hiện nay, dù nhiều doanh nghiệp đã quan tâm đến an toàn thông tin, nhưng cách triển khai còn rời rạc.

Tiêu chuẩn mới sẽ đóng vai trò là “kim chỉ nam”, giúp doanh nghiệp rà soát lại toàn bộ hệ thống, từ quy trình đến kỹ thuật, và dễ dàng kết nối với các tiêu chuẩn quốc tế đang áp dụng như ISO/IEC 27001:2022 hay CIS Control version 8.0

“Đặc biệt, việc TCVN 14423:2025 đưa ra các quy định rõ ràng và cụ thể sẽ giúp việc phối hợp triển khai trở nên thống nhất hơn, tránh tình trạng mỗi đơn vị tự vận hành theo một hướng khác nhau”, ông Quân nói.

Cùng góc nhìn, ông Lê Công Trung, Trưởng bộ phận An ninh mạng, Tổng Công ty Viễn thông MobiFone cho rằng phần lớn các doanh nghiệp hiện nay mới chỉ “đối phó” khi triển khai các yêu cầu về an toàn thông tin, và bộ tiêu chuẩn này ra đời là một định hướng quan trọng.

Mobifone cho biết đã bắt đầu nghiên cứu kỹ bộ tiêu chuẩn ngay từ khi được công bố ngày 29/5, và đang lên phương án để từng bước áp dụng.

Ông cũng đề xuất Hiệp hội An ninh mạng Quốc gia nên đồng hành cùng doanh nghiệp, xây dựng thêm checklist cụ thể dựa trên tiêu chuẩn này, để giúp các đơn vị triển khai thuận tiện hơn.