10/12/2025 Andy Tran 0 Comments

Báo cáo Nghiên cứu Chuyên sâu: Chiến lược Tuân thủ An toàn Hệ thống Thông tin Cấp độ 3 cho Ngành Tài chính trên Hạ tầng Hybrid Cloud

1. Tổng quan Điều hành và Bối cảnh Chiến lược

Trong kỷ nguyên số hóa tài chính hiện nay, việc bảo đảm an toàn thông tin (ATTT) không còn đơn thuần là một yêu cầu kỹ thuật mà đã trở thành cốt lõi của sự tồn tại và phát triển bền vững đối với các định chế tài chính. Đối với một tổ chức hoạt động trong lĩnh vực tài chính tại Việt Nam, việc vận hành trên hạ tầng lai (Hybrid Cloud) mang lại lợi thế vượt trội về khả năng mở rộng và tối ưu chi phí, nhưng đồng thời cũng đặt ra những thách thức phức tạp về quản trị rủi ro và tuân thủ pháp lý.

Báo cáo này được xây dựng nhằm cung cấp một lộ trình toàn diện, chuyên sâu để tổ chức đạt được chứng nhận An toàn Hệ thống Thông tin Cấp độ 3 – cấp độ thường áp dụng cho các hệ thống quan trọng của quốc gia hoặc ngành, nơi mà sự phá hoại sẽ làm tổn hại đến lợi ích công cộng và trật tự xã hội.1 Mặc dù yêu cầu ban đầu tham chiếu đến Thông tư 03/2017/TT-BTTTT, báo cáo này sẽ phân tích dựa trên văn bản thay thế có hiệu lực hiện hành là Thông tư 12/2022/TT-BTTTT, kết hợp với các quy định đặc thù nghiêm ngặt của Ngân hàng Nhà nước (Thông tư 09/2020/TT-NHNN) và Luật An ninh mạng (Nghị định 53/2022/NĐ-CP).

Hiện trạng hạ tầng của tổ chức bao gồm Tường lửa thế hệ mới (NGFW) và phần mềm diệt virus (Antivirus) trên mô hình Hybrid. Phân tích sơ bộ cho thấy đây là nền tảng cần thiết nhưng chưa đủ để đáp ứng các tiêu chuẩn khắt khe của Cấp độ 3. Cấp độ này đòi hỏi sự chuyển dịch từ phòng thủ thụ động sang phòng thủ chủ động (Proactive Defense), giám sát liên tục và khả năng phục hồi sau sự cố. Báo cáo sẽ đi sâu phân tích các khoảng trống (gap analysis), đề xuất kiến trúc an ninh phòng thủ chiều sâu (Defense-in-Depth), và chi tiết hóa quy trình lập hồ sơ đề xuất cấp độ để đảm bảo tỷ lệ phê duyệt cao nhất từ cơ quan chức năng.

2. Khung Pháp lý và Tiêu chuẩn Kỹ thuật: Sự Chuyển dịch và Tác động

Để xây dựng một chiến lược tuân thủ chính xác, điều tiên quyết là phải hiểu rõ và cập nhật các văn bản quy phạm pháp luật đang chi phối ngành tài chính và lĩnh vực an toàn thông tin. Việc dựa trên các văn bản cũ có thể dẫn đến việc hồ sơ bị trả lại hoặc hệ thống không đáp ứng được yêu cầu thanh kiểm tra.

2.1. Sự thay thế Thông tư 03/2017/TT-BTTTT bằng Thông tư 12/2022/TT-BTTTT

Một trong những hiểu lầm phổ biến hiện nay là việc tiếp tục viện dẫn Thông tư 03/2017/TT-BTTTT cho quy trình xác định cấp độ. Cần nhấn mạnh rằng, Thông tư 12/2022/TT-BTTTT đã chính thức thay thế Thông tư 03, mang đến những thay đổi quan trọng về mặt quy trình và biểu mẫu.2

Mặc dù Thông tư 12 thay đổi về thủ tục hành chính và cách thức thẩm định, nhưng nền tảng kỹ thuật cốt lõi vẫn dựa trên Tiêu chuẩn Quốc gia TCVN 11930:2017 – Công nghệ thông tin – Các kỹ thuật an toàn – Yêu cầu cơ bản về an toàn hệ thống thông tin theo cấp độ.3 Đối với hệ thống Cấp độ 3, TCVN 11930:2017 đặt ra các yêu cầu cụ thể mà tổ chức bắt buộc phải tuân thủ:

  • Tính đầy đủ: Phải đáp ứng đủ các nhóm yêu cầu về quản lý và kỹ thuật. Không được phép bỏ qua bất kỳ hạng mục nào trừ khi có lý giải kỹ thuật hợp lý và biện pháp thay thế tương đương.
  • Tính chuyên sâu: So với cấp độ 2, cấp độ 3 yêu cầu các giải pháp có khả năng phân tích sâu hơn (ví dụ: không chỉ chặn theo IP/Port mà phải chặn theo hành vi ứng dụng), và quy trình quản lý phải được văn bản hóa, áp dụng nhất quán.

2.2. Quy định Đặc thù Ngành Tài chính: Thông tư 09/2020/TT-NHNN

Đối với ngành tài chính, Thông tư 09/2020/TT-NHNN của Ngân hàng Nhà nước là văn bản pháp lý có tính cưỡng chế cao nhất về mặt kỹ thuật, hoạt động song song với các quy định của Bộ Thông tin và Truyền thông.5 Sự tương tác giữa Cấp độ 3 và Thông tư 09 tạo ra một ma trận tuân thủ phức tạp:

Hạng mụcYêu cầu Chung (Cấp độ 3 – TCVN 11930)Yêu cầu Ngành Tài chính (TT 09/2020/TT-NHNN)Tác động tới Hybrid Cloud
Quản lý Truy cậpKiểm soát truy cập, xác thực đa yếu tố (MFA).Bắt buộc kiểm soát tài khoản quản trị qua hệ thống trung gian (PAM), ghi lại phiên làm việc, không truy cập trực tiếp.8Cần giải pháp PAM hỗ trợ cả môi trường On-premise và Cloud instance.
Dữ liệuMã hóa dữ liệu quan trọng.Phân loại tài sản chi tiết. Dữ liệu khách hàng là tài sản quan trọng nhất. Yêu cầu mã hóa đường truyền và lưu trữ.5Dữ liệu di chuyển giữa Private và Public Cloud bắt buộc phải đi qua kênh VPN/Direct Connect được mã hóa.
Bên thứ ba (Cloud)Quản lý rủi ro nhà cung cấp.Cam kết bằng văn bản: Không sao chép, sử dụng dữ liệu. Phải có trung tâm dữ liệu dự phòng (DR).9Hợp đồng Cloud phải có các điều khoản pháp lý ràng buộc (SLA) chặt chẽ về quyền sở hữu dữ liệu.

2.3. Chủ quyền Dữ liệu và Nghị định 53/2022/NĐ-CP

Sự ra đời của Nghị định 53/2022/NĐ-CP quy định chi tiết Luật An ninh mạng và Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân đã thay đổi hoàn toàn cục diện triển khai Cloud tại Việt Nam.10

Các doanh nghiệp tài chính thuộc nhóm đối tượng phải lưu trữ dữ liệu tại Việt Nam (Data Localization). Điều này có ý nghĩa kiến trúc sâu sắc đối với mô hình Hybrid:

  • Core Banking & Customer DB: Bắt buộc phải nằm trên hạ tầng vật lý tại Việt Nam hoặc Private Cloud do đơn vị trong nước cung cấp (hoặc Cloud quốc tế có Region Việt Nam đáp ứng đầy đủ pháp lý – tuy nhiên hiện tại các Big Tech chủ yếu vẫn đặt Region ở Singapore/HongKong).
  • Front-end & Stateless App: Có thể đặt trên Public Cloud quốc tế để tận dụng CDN và khả năng mở rộng, nhưng không được lưu trữ dữ liệu cá nhân người dùng Việt Nam lâu dài (persistent storage) tại đó nếu không có bản sao tại Việt Nam và tuân thủ quy trình báo cáo.11

3. Phân tích Khoảng trống (Gap Analysis): Hiện trạng vs. Yêu cầu Cấp độ 3

Dựa trên thông tin cung cấp, tổ chức hiện đang sở hữu Next-Generation Firewall (NGFW)Antivirus. Chúng ta sẽ đối chiếu hiện trạng này với Khung kiến trúc Cấp độ 3 (TCVN 11930) và Thông tư 09/2020 để chỉ ra các điểm thiếu hụt (Gap).

3.1. An toàn Hạ tầng Mạng: Giới hạn của NGFW

Hiện trạng: Đã có NGFW.

Yêu cầu Cấp độ 3: Phải có khả năng phát hiện và ngăn chặn xâm nhập mạng, phân vùng mạng chặt chẽ.

  • Khoảng trống 1: Hệ thống phòng chống xâm nhập (IPS) chuyên dụng
    Mặc dù NGFW thường tích hợp tính năng IPS, nhưng trong môi trường tài chính Cấp độ 3, hiệu năng và độ sâu của việc kiểm soát là yếu tố then chốt. NGFW khi bật tất cả các tính năng (Deep Packet Inspection, SSL Decryption, IPS) thường bị suy giảm hiệu năng đáng kể. TCVN 11930 yêu cầu hệ thống phải phát hiện được các dấu hiệu tấn công bất thường dựa trên hành vi (Anomaly-based) chứ không chỉ dựa trên chữ ký (Signature-based).14
    • Rủi ro: Các cuộc tấn công tinh vi (APT) sử dụng các mẫu mã độc mới chưa có trong cơ sở dữ liệu chữ ký của NGFW sẽ dễ dàng vượt qua.
    • Khuyến nghị: Cần cấu hình IPS ở chế độ ngăn chặn (Prevention) cho các vùng mạng trọng yếu (DMZ, Server Farm). Trong mô hình Hybrid, cần triển khai Virtual IPS hoặc tận dụng dịch vụ IPS của nhà cung cấp Cloud (ví dụ: AWS Network Firewall hoặc Azure Firewall Premium) để bảo vệ các workload trên mây.
  • Khoảng trống 2: Phân vùng mạng (Network Segmentation) trong môi trường Hybrid
    Việc kết nối giữa On-premise và Cloud tạo ra một “đường hầm” mà nếu không kiểm soát kỹ, mã độc có thể lan truyền từ Cloud về Core Banking. Thông tư 09/2020 yêu cầu các hệ thống quan trọng phải nằm trong vùng mạng được cách ly.16
    • Khuyến nghị: Thiết lập vùng DMZ riêng biệt. Sử dụng mô hình Hub-and-Spoke cho kết nối Hybrid, trong đó mọi lưu lượng từ Cloud về On-premise phải đi qua NGFW để kiểm tra.

3.2. An toàn Ứng dụng: Sự thiếu hụt WAF

Hiện trạng: Chỉ có NGFW (thường chỉ mạnh ở Lớp 3-4 và một phần Lớp 7 cơ bản).

Yêu cầu Cấp độ 3: Bảo vệ ứng dụng web chống lại các tấn công lớp ứng dụng (OWASP Top 10).

  • Khoảng trống 3: Tường lửa Ứng dụng Web (WAF)
    Đây là một trong những thiếu hụt nghiêm trọng nhất. NGFW không được thiết kế để hiểu sâu logic của ứng dụng web (ví dụ: phân biệt một câu lệnh SQL hợp lệ và một câu lệnh SQL Injection trong trường nhập liệu của Internet Banking). TCVN 11930 và thực tiễn an ninh tài chính coi WAF là chốt chặn bắt buộc cho các hệ thống công cộng.17
    • Rủi ro: Hacker có thể sử dụng SQL Injection để trích xuất dữ liệu khách hàng, hoặc XSS để đánh cắp phiên giao dịch của người dùng.
    • Khuyến nghị: Triển khai giải pháp WAF. Với Hybrid Cloud, giải pháp tối ưu là sử dụng Cloud WAF (như Cloudflare, Akamai, hoặc các giải pháp nội địa như CMC WAF, Viettel WAF) để hứng đòn tấn công DDoS và lọc sạch lưu lượng trước khi đi vào hệ thống.18

3.3. An toàn Máy chủ và Dữ liệu: Antivirus là chưa đủ

Hiện trạng: Sử dụng Antivirus truyền thống.

Yêu cầu Cấp độ 3: Kiểm soát phần mềm độc hại, giám sát tính toàn vẹn hệ thống, phòng chống thất thoát dữ liệu.

  • Khoảng trống 4: Từ Antivirus đến EDR/XDR
    Antivirus truyền thống dựa trên file signature đã trở nên lỗi thời trước các cuộc tấn công “Fileless” (không dùng tập tin, mã độc chạy trực tiếp trên bộ nhớ RAM) hoặc Ransomware thế hệ mới. Cấp độ 3 yêu cầu khả năng điều tra và phản ứng sự cố.20
    • Khuyến nghị: Nâng cấp lên giải pháp EDR (Endpoint Detection and Response). EDR ghi lại toàn bộ hành vi của tiến trình trên máy chủ, cho phép đội ngũ an ninh truy vết nguồn gốc cuộc tấn công và cô lập máy chủ bị nhiễm chỉ bằng một cú click chuột.
  • Khoảng trống 5: Mã hóa dữ liệu (Encryption)
    Yêu cầu bảo mật cấp độ 3 và Thông tư 09 đòi hỏi mã hóa dữ liệu nhạy cảm.
    • Data at Rest: Dữ liệu lưu trên ổ cứng (SAN/NAS) hoặc Database phải được mã hóa. Nếu mất ổ cứng vật lý, dữ liệu vẫn không thể đọc được.
    • Data in Transit: Mọi kết nối nội bộ (giữa App Server và DB Server) và kết nối ra ngoài (Internet Banking) đều phải dùng TLS 1.2 trở lên.
    • Khuyến nghị: Rà soát và bật tính năng Transparent Data Encryption (TDE) trên các hệ quản trị CSDL (Oracle, SQL Server).

3.4. Quản lý Truy cập Đặc quyền (PAM): Yêu cầu “Cứng” của Ngân hàng Nhà nước

Hiện trạng: Chưa có thông tin (giả định quản lý thủ công).

Yêu cầu Cấp độ 3 & Thông tư 09: Kiểm soát chặt chẽ tài khoản có quyền quản trị.

  • Khoảng trống 6: Hệ thống PAM (Privileged Access Management)
    Thông tư 09/2020/TT-NHNN Điều 9 quy định rõ: Hệ thống cấp độ 3 trở lên phải giới hạn và kiểm soát truy cập của tài khoản quản trị; không thực hiện quản trị trực tiếp từ máy trạm mà phải qua máy chủ trung gian.8
    • Rủi ro: Nếu quản trị viên bị lộ mật khẩu hoặc máy trạm bị nhiễm mã độc, hacker sẽ chiếm quyền kiểm soát toàn bộ hệ thống Core Banking (God-mode).
    • Khuyến nghị: Triển khai PAM (như CyberArk, BeyondTrust, Wallix). Tất cả quản trị viên hệ thống, quản trị mạng, quản trị CSDL phải đăng nhập vào cổng PAM, sau đó PAM sẽ tự động điền mật khẩu (người dùng không biết mật khẩu thực) để kết nối vào thiết bị đích. Mọi phiên thao tác đều được ghi hình (video recording) để phục vụ hậu kiểm.21

3.5. Giám sát An ninh Tập trung: SIEM và SOC

Hiện trạng: Log nằm phân tán trên từng thiết bị.

Yêu cầu Cấp độ 3: Ghi nhật ký tập trung, đồng bộ thời gian, phát hiện cảnh báo sớm.

  • Khoảng trống 7: Thiếu khả năng giám sát toàn trình (SIEM)
    Ở cấp độ 3, việc chỉ ghi log là không đủ. Hệ thống cần khả năng phân tích tương quan (Correlation) giữa các nguồn log khác nhau (ví dụ: 5 lần đăng nhập sai trên VPN + 1 hành động truy cập DB bất thường = Cảnh báo Tấn công Brute Force thành công).
    • Khuyến nghị: Đầu tư giải pháp SIEM (Security Information and Event Management) hoặc thuê dịch vụ SOC (Security Operation Center). Đối với các tổ chức tài chính quy mô vừa, thuê dịch vụ SOC (Managed SOC) từ các nhà cung cấp như Viettel, CMC, FPT là phương án tối ưu để có ngay đội ngũ chuyên gia trực 24/7 mà không tốn chi phí xây dựng hạ tầng và đào tạo nhân sự.23

4. Kiến trúc An ninh Hybrid Cloud cho Ngành Tài chính

Việc thiết kế kiến trúc cho hệ thống Cấp độ 3 trên nền tảng Hybrid đòi hỏi sự cân bằng giữa hiệu năng và bảo mật, tuân thủ mô hình Trách nhiệm Chia sẻ (Shared Responsibility Model) nhưng với sự kiểm soát chặt chẽ hơn từ phía khách hàng (Doanh nghiệp tài chính).

4.1. Phân vùng Kiến trúc (Architectural Zoning)

Chúng ta sẽ chia hệ thống thành các phân vùng an ninh (Security Zones) với các biện pháp kiểm soát tương ứng:

  1. Vùng Public (Cloud – Web Tier):
    1. Thành phần: Web Server, API Gateway, Load Balancer.
    1. Vị trí: Public Cloud (AWS/Azure/Google) hoặc DMZ của Cloud trong nước.
    1. Bảo vệ: Cloud WAF (chống DDoS, tấn công Web), Security Group (chỉ mở port 443).
    1. Dữ liệu: Không lưu trữ dữ liệu nhạy cảm (Stateless).
  2. Vùng Ứng dụng (App Tier – Hybrid):
    1. Thành phần: Internet Banking App, Mobile Banking Backend.
    1. Vị trí: Có thể phân tán (Hybrid), nhưng các module xử lý giao dịch chính nên đặt tại Private Cloud/On-premise.
    1. Bảo vệ: IPS, EDR trên máy chủ, xác thực API chặt chẽ (OAuth2/OIDC).
  3. Vùng Dữ liệu & Core (Data Tier – On-Premise):
    1. Thành phần: Core Banking, Database Cluster, Payment Switch.
    1. Vị trí: On-Premise (Bắt buộc theo định hướng dữ liệu quốc gia và tối ưu độ trễ).
    1. Bảo vệ: Database Firewall, PAM (cho quản trị viên), Mã hóa TDE, Network Segmentation cực kỳ nghiêm ngặt (chỉ cho phép App Server kết nối qua port database cụ thể).
  4. Vùng Quản trị (Management Zone):
    1. Thành phần: Jump Server (PAM), SIEM Collector, Patch Management Server, AD.
    1. Bảo vệ: Xác thực đa yếu tố (MFA) bắt buộc, truy cập qua VPN dành riêng cho quản trị.

4.2. Chiến lược Kết nối An toàn (Secure Connectivity)

Kết nối giữa “Đám mây” và “Mặt đất” là điểm yếu chí tử trong mô hình Hybrid.

  • VPN Site-to-Site: Sử dụng giao thức IPsec với thuật toán mã hóa mạnh (AES-256). Cần thiết lập dự phòng (Redundancy) với ít nhất 2 đường truyền vật lý khác nhau (ví dụ: 1 đường Internet Leased Line + 1 đường FTTH dự phòng).
  • Direct Connect / ExpressRoute: Đối với các tổ chức tài chính lớn, khuyến nghị sử dụng kênh thuê riêng kết nối trực tiếp đến Cloud Provider (nếu Cloud Provider có Point of Presence tại Việt Nam) để đảm bảo băng thông và an ninh, không đi qua Internet công cộng.

4.3. Quản lý Định danh (Identity Management)

Trong Hybrid Cloud, định danh là biên giới bảo mật mới (Identity is the new perimeter).

  • Centralized Identity: Tích hợp Active Directory (AD) tại On-premise với Azure AD (Entra ID) hoặc AWS IAM.
  • MFA Everywhere: Áp dụng xác thực 2 yếu tố cho tất cả các truy cập từ xa và truy cập vào ứng dụng quản trị.

5. Lộ trình Triển khai và Quy trình Đạt chứng nhận

Để đạt chứng nhận tuân thủ Cấp độ 3, tổ chức cần thực hiện một lộ trình bài bản, kết hợp giữa nâng cấp kỹ thuật và hoàn thiện hồ sơ pháp lý.

Giai đoạn 1: Chuẩn bị và Đánh giá Rủi ro (Tháng 1-2)

  1. Thành lập Ban chỉ đạo ATTT: Theo quy định, phải có bộ phận hoặc nhân sự chịu trách nhiệm chuyên trách về ATTT.
  2. Kiểm kê và Phân loại tài sản: Lập danh sách toàn bộ tài sản CNTT (Phần cứng, phần mềm, dữ liệu). Phân loại mức độ quan trọng của dữ liệu (Công khai, Nội bộ, Mật, Tối mật) theo Thông tư 09/2020.5
  3. Xây dựng Hồ sơ đề xuất cấp độ (DRAFT 1):
    1. Xác định hệ thống thông tin.
    1. Đề xuất cấp độ 3 dựa trên các tiêu chí: Hệ thống xử lý thông tin tài chính, nếu bị phá hoại sẽ ảnh hưởng tới quyền lợi của lượng lớn khách hàng (trên 10.000 người dùng hoặc tùy quy mô).1

Giai đoạn 2: Nâng cấp Kỹ thuật & Vận hành (Tháng 3-5)

Đây là giai đoạn “lấp lỗ hổng” (Closing the Gap) đã phân tích ở Mục 3.

  1. Triển khai WAF: Cấu hình các tập luật (Rule sets) để chặn tấn công OWASP. Tinh chỉnh (Tuning) để tránh chặn nhầm giao dịch hợp lệ.
  2. Triển khai PAM: Đưa toàn bộ tài khoản Admin vào “két sắt” số (Digital Vault) của PAM.
  3. Thiết lập SIEM/SOC: Kết nối log về trung tâm giám sát. Xây dựng các Use Case cảnh báo (ví dụ: Cảnh báo khi có truy cập vào Database lúc 2 giờ sáng).
  4. Kiện toàn chính sách (ISMS): Ban hành các quy trình vận hành chuẩn (SOP): Quy trình sao lưu phục hồi, Quy trình cấp phát tài khoản, Quy trình xử lý sự cố.

Giai đoạn 3: Kiểm tra Đánh giá và Hoàn thiện Hồ sơ (Tháng 6)

  1. Đánh giá ATTT (Pentest): Thuê đơn vị độc lập (có giấy phép KDATTT) thực hiện kiểm tra đánh giá an toàn thông tin. Đây là yêu cầu bắt buộc trong hồ sơ cấp độ 3. Báo cáo Pentest phải chỉ ra các lỗ hổng đã được khắc phục.26
  2. Hoàn thiện Hồ sơ Đề xuất Cấp độ (Final):
    1. Tài liệu thuyết minh tổng quan.
    1. Tài liệu thiết kế sơ bộ (mô tả kiến trúc Hybrid, các giải pháp bảo vệ).
    1. Thuyết minh phương án bảo đảm an toàn thông tin (đối chiếu từng dòng trong Phụ lục của Thông tư 12/2022 và TCVN 11930).
    1. Quy chế an toàn thông tin của đơn vị.

Giai đoạn 4: Thẩm định và Phê duyệt (Tháng 7 trở đi)

  • Cơ quan thẩm định: Đối với doanh nghiệp tài chính tư nhân, hồ sơ thường được gửi về Cục An toàn thông tin (Bộ TT&TT) hoặc Sở Thông tin và Truyền thông địa phương (tùy theo phân cấp quản lý cụ thể tại địa phương và quy mô hệ thống). Đối với các ngân hàng thương mại, Ngân hàng Nhà nước (Cục Công nghệ thông tin) cũng đóng vai trò giám sát chuyên ngành quan trọng.27
  • Quy trình: Cơ quan thẩm định sẽ xem xét tính hợp lý của cấp độ đề xuất và tính đầy đủ của phương án bảo vệ. Họ có thể yêu cầu giải trình hoặc kiểm tra thực tế.
  • Phê duyệt: Sau khi thẩm định đạt yêu cầu, chủ quản hệ thống thông tin (thường là Tổng Giám đốc/Chủ tịch HĐQT của doanh nghiệp) sẽ ra quyết định phê duyệt cấp độ.29

6. Tổng hợp Giải pháp Công nghệ Kiến nghị

Dựa trên mục tiêu tối ưu hóa chi phí và hiệu quả cho mô hình Hybrid, bảng dưới đây tổng hợp các giải pháp công nghệ cần bổ sung để đạt chuẩn Cấp độ 3:

Thành phần Bảo mậtChức năng (Tại sao cần?)Giải pháp Tham khảo (Thị trường VN)Ghi chú Triển khai Hybrid
WAF (Web App Firewall)Chặn SQLi, XSS, Botnet tấn công vào Web/App.Cloudflare, Imperva (SaaS); Viettel Cloud WAF, CMC WAF (Nội địa); F5 (On-prem).Ưu tiên Cloud WAF cho vùng Public để giảm tải cho hạ tầng mạng.
PAM (Privileged Access)Kiểm soát Admin, ghi hình thao tác, đáp ứng TT 09/NHNN.CyberArk, BeyondTrust, Wallix, Thycotic.Cần Agent cài trên các Jump Server để kiểm soát cả phiên RDP/SSH vào Cloud và On-prem.
SIEM & SOC ServiceGiám sát 24/7, phân tích log tập trung, phản ứng sự cố.Dịch vụ SOC của Viettel, CMC, FPT, BKAV, VNPT.Thuê dịch vụ (Managed Service) hiệu quả hơn tự đầu tư. Yêu cầu nhà cung cấp SOC hỗ trợ tích hợp log từ Cloud (AWS CloudTrail, Azure Monitor).
EDR (Endpoint Security)Chống Malware thế hệ mới, Fileless, Ransomware.CrowdStrike, SentinelOne, Kaspersky EDR, Microsoft Defender for Endpoint.Triển khai Agent thống nhất trên cả máy chủ vật lý và máy ảo Cloud (EC2/VM).
Data EncryptionBảo vệ dữ liệu nhạy cảm khi bị mất cắp vật lý/đường truyền.TDE (Database), BitLocker (OS), Thales (HSM).Quản lý khóa (Key Management) là tối quan trọng. Nên giữ Master Key tại On-premise (BYOK).

7. Kết luận và Kiến nghị Chuyên gia

Việc đạt chứng nhận ATTT Cấp độ 3 cho một hệ thống tài chính trên hạ tầng Hybrid là một nhiệm vụ phức tạp nhưng hoàn toàn khả thi và cần thiết. Nó đòi hỏi sự chuyển dịch tư duy từ “mua sắm thiết bị” sang “quản lý rủi ro toàn diện”.

Các điểm mấu chốt cần ghi nhớ:

  1. Pháp lý là kim chỉ nam: Tuân thủ Thông tư 12/2022/TT-BTTTT (thay thế 03/2017) và đặc biệt là Thông tư 09/2020/TT-NHNN. Đừng bỏ qua yếu tố chủ quyền dữ liệu của Nghị định 53.
  2. Công nghệ phải đi đôi với Quy trình: NGFW và Antivirus là không đủ. Việc bổ sung WAF, PAM, SIEM/SOC là bắt buộc để lấp đầy khoảng trống kỹ thuật. Tuy nhiên, công nghệ chỉ phát huy tác dụng khi có con người vận hành và quy trình xử lý sự cố (Incident Response) được diễn tập thường xuyên.
  3. Hybrid Cloud cần chiến lược riêng: Không thể áp dụng tư duy bảo mật mạng LAN truyền thống cho Cloud. Cần áp dụng Zero Trust, mã hóa mọi lúc mọi nơi và quản lý định danh chặt chẽ.

Bước đi ngay lập tức cho Tổ chức:

  • Tiến hành rà soát, đánh giá hiện trạng (Health Check) toàn diện hệ thống theo danh mục yêu cầu của TCVN 11930.
  • Lên kế hoạch ngân sách cho việc thuê dịch vụ SOC và trang bị giải pháp PAM/WAF.
  • Bắt đầu soạn thảo bộ hồ sơ đề xuất cấp độ theo biểu mẫu mới nhất của Thông tư 12/2022.

Bằng việc thực hiện nghiêm túc lộ trình này, tổ chức không chỉ đạt được chứng nhận tuân thủ để đáp ứng yêu cầu của cơ quan quản lý nhà nước mà còn xây dựng được một “hệ miễn dịch số” vững chắc, bảo vệ tài sản và uy tín của doanh nghiệp trước làn sóng tấn công mạng ngày càng dữ dội nhắm vào ngành tài chính.

Works cited

  1. Thông tư 03/2017/TT-BTTTT hướng dẫn Nghị định 85/2016/NĐ-CP an toàn hệ thống thông tin – vanbanphapluat.co, accessed on December 10, 2025, https://vanbanphapluat.co/thong-tu-03-2017-tt-btttt-huong-dan-nghi-dinh-85-2016-nd-cp-an-toan-he-thong-thong-tin
  2. Thông tư 12/2022/TT-BTTTT Quy định chi tiết và hướng dẫn một số điều của Nghị đ, accessed on December 10, 2025, https://vbpl.vn/TW/Pages/vbpq-luocdo.aspx?ItemID=155415
  3. Yêu cầu bảo đảm an toàn hệ thống thông tin theo cấp độ – UBND tỉnh Vĩnh Phúc, accessed on December 10, 2025, https://vinhphuc.gov.vn/Pages/tintuc_emagazine.aspx?UrlList=/ct/cms/Convert/cmtest/Lists/test&ItemID=20025
  4. Ban hành Tiêu chuẩn 11930 về an toàn hệ thống thông tin theo cấp độ – VietNamNet, accessed on December 10, 2025, https://vietnamnet.vn/ban-hanh-tieu-chuan-11930-ve-an-toan-he-thong-thong-tin-theo-cap-do-i362551.html
  5. Quy định về an toàn hệ thống thông tin trong hoạt động ngân hàng, accessed on December 10, 2025, https://moj.gov.vn/UserControls/News/pFormPrint.aspx?UrlListProcess=/qt/tintuc/Lists/VanBanChinhSachMoi&ListId=5b9f42f7-a099-4b0a-a382-12b37176518b&SiteId=b11f9e79-d495-439f-98e6-4bd81e36adc9&ItemID=3336&SiteRootID=b71e67e4-9250-47a7-96d6-64e9cb69ccf3
  6. Thông tư số 09/2020/TT-NHNN ngày 21/10/2020 của Ngân hàng Nhà nước Việt Nam quy định về an toàn hệ, accessed on December 10, 2025, https://tulieuvankien.dangcongsan.vn/he-thong-van-ban/van-ban-quy-pham-phap-luat/thong-tu-so-092020tt-nhnn-ngay-21102020-cua-ngan-hang-nha-nuoc-viet-nam-quy-dinh-ve-an-toan-he-thong-thong-tin-trong-hoat-dong-7106
  7. Thông tư 09/2020/TT-NHNN Quy định về an toàn hệ thống thông tin trong hoạt động… – Cơ sở dữ liệu quốc gia về VBQPPL – Ngân hàng Nhà nước Việt Nam, accessed on December 10, 2025, https://vbpl.vn/nganhangnhanuoc/Pages/vbpq-luocdo.aspx?ItemID=144532
  8. NGÂN HÀNG NHÀ NƯỚC VIỆT NAM – Số: 09 /2020/TT-NHNN – DataGuidance, accessed on December 10, 2025, https://www.dataguidance.com/sites/default/files/09_2020_tt-nhnn_231020152206.pdf
  9. Thông tư 18 /2018/TT-NHNN – Trung ương, accessed on December 10, 2025, https://vbpl.vn/TW/Pages/vbpq-toanvan.aspx?ItemID=130588
  10. Nghị định số 13/2023/NĐ-CP của Chính phủ: Bảo vệ dữ liệu cá nhân, accessed on December 10, 2025, https://vanban.chinhphu.vn/?pageid=27160&docid=207759
  11. Nghị định 53/2022/NĐ-CP: Khi tuân thủ an ninh mạng và bảo vệ dữ liệu trở thành lợi thế của doanh nghiệp Việt – vnetwork, accessed on December 10, 2025, https://www.vnetwork.vn/news/nghi-dinh-53-2022-nd-cp/
  12. Nghị định số 53/2022/NĐ-CP, ngày 15/8/2022 của Chính phủ quy định chi tiết một số điều của Luật An, accessed on December 10, 2025, https://tulieuvankien.dangcongsan.vn/he-thong-van-ban/van-ban-quy-pham-phap-luat/nghi-dinh-so-532022nd-cp-ngay-1582022-cua-chinh-phu-quy-dinh-chi-tiet-mot-so-dieu-cua-luat-an-ninh-mang-8811
  13. Xu hướng Hybrid Cloud và Giải Pháp Triển Khai Dịch Vụ GKE Enterprise Trên Nền Tảng CMC Cloud | CMC Telecom, accessed on December 10, 2025, https://google.cmctelecom.vn/xu-huong-hybrid-cloud-va-giai-phap-trien-khai-dich-vu-gke-enterprise-tren-nen-tang-cmc-cloud/
  14. IDS là gì? Điểm khác biệt giữa IDS, IPS và tường lửa – InterData, accessed on December 10, 2025, https://interdata.vn/blog/ids-la-gi/
  15. IPS là gì? Vai trò của hệ thống IPS trong không gian mạng – Việt Tuấn, accessed on December 10, 2025, https://viettuans.vn/ips-la-he-thong-gi
  16. 09 2020 TT NHNN | PDF | Computer Network | Information Security – Scribd, accessed on December 10, 2025, https://www.scribd.com/document/925148725/09-2020-tt-nhnn
  17. Giải pháp tường lửa bảo vệ website WAF – CMC TS, accessed on December 10, 2025, https://cmcts.com.vn/vi/giai-phap-tuong-lua-bao-ve-website-waf.html
  18. CSP WAF – Tường Lửa Ứng Dụng Web – Website Application Firewall, accessed on December 10, 2025, https://waf.vn/
  19. Giải Pháp Tường Lửa Ứng Dụng Web (WAF) của CloudFlare – Sonic, accessed on December 10, 2025, https://sonic.com.vn/san-pham/giai-phap-tuong-lua-ung-dung-web-cua-cloudflare/
  20. Security Bkav, accessed on December 10, 2025, https://security.bkav.com/
  21. Wallix – Giải pháp quản lý tài khoản đặc quyền (PAM) hàng đầu Châu Âu – vntek.vn, accessed on December 10, 2025, https://vntek.vn/vi/san-pham/wallix-giai-phap-quan-ly-tai-khoan-dac-quyen-pam.html
  22. Giải pháp Quản lý truy cập đặc quyền (PAM), accessed on December 10, 2025, https://psys.com.vn/giai-phap-quan-ly-truy-cap-dac-quyen-pam
  23. [VI] SOC – CMC Global, accessed on December 10, 2025, https://cmcglobal.com.vn/vi/service/vi-soc/
  24. Dịch vụ Trung tâm Điều hành An ninh mạng – (CMC SOC), accessed on December 10, 2025, https://cmccybersecurity.com/dich-vu/trung-tam-giam-sat-dieu-hanh-an-ninh-mang-cmc-soc/
  25. Trung tâm điều hành an ninh mạng SOC (Security Operation Center) – CMC TS, accessed on December 10, 2025, https://cmcts.com.vn/vi/trung-tam-dieu-hanh-an-ninh-mang-cmc-soc.html
  26. Hồ sơ cấp độ ATTT – THD Cyber Security, accessed on December 10, 2025, https://thdcybersecurity.com/ho-so-cap-do-attt/
  27. Hồ sơ An Toàn Thông Tin – Tự làm hay thuê tư vấn? – THD Cyber Security, accessed on December 10, 2025, https://thdcybersecurity.com/ho-so-an-toan-thong-tin-tu-xay-dung-hay-thue/
  28. Hướng dẫn xây dựng hồ sơ đề xuất cấp độ an toàn thông tin, accessed on December 10, 2025, https://cms.thainguyen.vn/documents/2855315/15410310/H%C6%B0%E1%BB%9Bng+d%E1%BA%ABn+x%C3%A2y+d%E1%BB%B1ng+h%E1%BB%93+s%C6%A1+%C4%91%E1%BB%81+xu%E1%BA%A5t+c%E1%BA%A5p+%C4%91%E1%BB%99+an+to%C3%A0n+th%C3%B4ng+tin.pdf/5ed380eb-1dd9-42e5-84ed-6d8c4b469c3e
  29. MẪU TỜ TRÌNH PHÊ DUYỆT HỒ SƠ ĐỀ XUẤT CẤP ĐỘ AN TOÀN HỆ THỐNG THÔNG TIN, accessed on December 10, 2025, https://trolyluat.vn/bieu-mau/mau-to-trinh-phe-duyet-ho-so-de-xuat-cap-do-an-toan-he-thong-thong-tin-29979
Categories: