5 Cấp độ Hệ thống Thông tin theo Luật An ninh mạng 2025
5 Cấp độ Hệ thống Thông tin theo Luật An ninh mạng 2025 — Doanh nghiệp bạn thuộc cấp nào?
Chuyên mục: Pháp lý & Tuân thủ
Đăng tại: antoanthongtin.edu.vn | security365.vn
Thời gian đọc: ~7 phút
Cập nhật: Tháng 4/2026
Bài liên quan: Luật An ninh mạng 2025 có gì mới — Doanh nghiệp cần chuẩn bị gì trước 1/7/2026?
Kể từ 1/7/2026, mọi doanh nghiệp vận hành hệ thống thông tin tại Việt Nam đều phải xác định cấp độ hệ thống của mình theo Luật An ninh mạng 2025. Đây không phải thủ tục hành chính mang tính hình thức — cấp độ bạn được xếp vào sẽ quyết định mức độ đầu tư bảo mật bắt buộc, bao gồm cả đào tạo nhân lực.
Nếu bạn chưa biết hệ thống thông tin của mình thuộc cấp nào — bạn đang đi sau so với yêu cầu pháp lý chỉ còn hơn 2 tháng nữa có hiệu lực.
Hệ thống thông tin là gì? Doanh nghiệp nào bị ảnh hưởng?
Nhiều người nghĩ "hệ thống thông tin" chỉ là server, datacenter của các tập đoàn lớn. Thực tế không phải vậy.
Hệ thống thông tin theo Luật 2025 bao gồm bất kỳ hạ tầng nào doanh nghiệp dùng để thu thập, lưu trữ, xử lý hoặc truyền tải dữ liệu — từ website bán hàng, phần mềm kế toán, hệ thống email nội bộ, ứng dụng quản lý nhân sự, cho đến hệ thống thanh toán trực tuyến.
Nói đơn giản: nếu doanh nghiệp bạn có dữ liệu khách hàng hoặc dữ liệu nội bộ trên môi trường số — bạn có hệ thống thông tin cần xác định cấp độ.
5 cấp độ hệ thống thông tin — Giải thích thực tế
Cấp độ 1 — Ảnh hưởng nội bộ
Định nghĩa pháp lý: Nếu bị tấn công, có thể làm tổn hại đến quyền và lợi ích hợp pháp của tổ chức, cá nhân.
Thực tế là ai:
- Website giới thiệu công ty đơn giản
- Hệ thống email nội bộ doanh nghiệp nhỏ
- Phần mềm quản lý nội bộ không kết nối internet
- Blog, landing page không lưu dữ liệu người dùng
Yêu cầu bảo vệ: Cơ bản — firewall, backup, cập nhật phần mềm định kỳ, đào tạo nhận thức bảo mật cho nhân viên.
Cấp độ 2 — Ảnh hưởng đến khách hàng hoặc lợi ích công cộng
Định nghĩa pháp lý: Nếu bị tấn công, có thể làm tổn hại nghiêm trọng tới quyền và lợi ích hợp pháp của tổ chức, cá nhân hoặc làm tổn hại tới lợi ích công cộng.
Thực tế là ai:
- Website thương mại điện tử lưu thông tin khách hàng
- Ứng dụng mobile có tài khoản người dùng
- Hệ thống CRM lưu dữ liệu khách hàng
- Nền tảng học trực tuyến, LMS
- Phần mềm kế toán kết nối internet
- Doanh nghiệp vừa và nhỏ có hệ thống đặt hàng online
Yêu cầu bảo vệ: Trung bình — thêm xác thực 2 lớp, mã hóa dữ liệu, kiểm tra bảo mật định kỳ, chương trình đào tạo nhân viên bắt buộc.
💡 Hầu hết SME Việt Nam thuộc Cấp 2 — nếu bạn đang lưu trữ thông tin khách hàng dưới bất kỳ hình thức nào.
Cấp độ 3 — Ảnh hưởng đến trật tự xã hội
Định nghĩa pháp lý: Nếu bị tấn công, có thể làm tổn hại đặc biệt nghiêm trọng tới quyền lợi tổ chức/cá nhân; tổn hại nghiêm trọng tới lợi ích công cộng; tổn hại hoặc tổn hại nghiêm trọng tới trật tự, an toàn xã hội hoặc an ninh quốc gia.
Thực tế là ai:
- Ngân hàng, công ty tài chính, bảo hiểm
- Bệnh viện, cơ sở y tế lớn
- Công ty viễn thông
- Sàn giao dịch chứng khoán
- Doanh nghiệp logistics quy mô lớn
- Hệ thống điện, nước, năng lượng
Yêu cầu bảo vệ: Cao — kiểm tra bảo mật thường xuyên, SOC (Security Operations Center), báo cáo định kỳ với cơ quan chức năng, chương trình Security Awareness Training chuyên nghiệp với đo lường và báo cáo rõ ràng.
Cấp độ 4 — Ảnh hưởng nghiêm trọng đến an ninh quốc gia
Định nghĩa pháp lý: Nếu bị tấn công, có thể làm tổn hại đặc biệt nghiêm trọng tới lợi ích công cộng, trật tự, an toàn xã hội hoặc làm tổn hại nghiêm trọng tới an ninh quốc gia.
Thực tế là ai:
- Hạ tầng tài chính quốc gia (NHNN, KBNN)
- Hệ thống thông tin của các Bộ, ngành trung ương
- Tập đoàn nhà nước quy mô lớn (EVN, PVN, VNPT...)
- Hệ thống giao thông, hàng không quốc gia
Yêu cầu bảo vệ: Rất cao — kiểm tra an ninh mạng định kỳ bắt buộc, phối hợp thường xuyên với lực lượng chuyên trách Bộ Công an.
Cấp độ 5 — Hệ thống thông tin quan trọng về an ninh quốc gia
Định nghĩa pháp lý: Nếu bị tấn công, có thể làm tổn hại đặc biệt nghiêm trọng tới an ninh quốc gia.
Thực tế là ai:
- Hệ thống quân sự, quốc phòng
- Hạ tầng mạng lõi quốc gia
- Hệ thống thông tin mật của Nhà nước
Yêu cầu bảo vệ: Tối đa — thuộc phạm vi quản lý đặc biệt của Bộ Công an và Bộ Quốc phòng.
Doanh nghiệp tôi thuộc cấp nào? — Tự đánh giá nhanh
Trả lời 5 câu hỏi sau để xác định sơ bộ:
1. Hệ thống của bạn có lưu thông tin cá nhân khách hàng không?
- Không → Cấp 1
- Có, dưới 10.000 người dùng → Cấp 2
- Có, trên 10.000 người dùng → Cấp 2–3
2. Nếu hệ thống bị tấn công, khách hàng của bạn có bị thiệt hại tài chính không?
- Không → Cấp 1–2
- Có thể → Cấp 2–3
3. Hệ thống có xử lý giao dịch tài chính không?
- Không → Cấp 1–2
- Có → Cấp 3 trở lên
4. Nếu hệ thống ngừng hoạt động 24 giờ, xã hội có bị ảnh hưởng không?
- Không → Cấp 1–2
- Có → Cấp 3–4
5. Hệ thống có liên quan đến an ninh quốc gia hoặc hạ tầng thiết yếu không?
- Không → Cấp 1–3
- Có → Cấp 4–5
Điều quan trọng: Deadline 12 tháng sau 1/7/2026
Nếu hệ thống của bạn đã được xác định cấp độ theo Luật An toàn thông tin mạng 2015 — cấp độ đó vẫn được công nhận sau 1/7/2026.
Tuy nhiên, trong vòng 12 tháng kể từ ngày luật có hiệu lực (tức là trước 1/7/2027), bạn bắt buộc phải:
- Rà soát lại cấp độ hiện tại theo tiêu chuẩn mới
- Cập nhật các điều kiện, tiêu chuẩn và biện pháp bảo vệ tương ứng
- Điều chỉnh lại cấp độ nếu cần thiết
Nếu chưa xác định cấp độ lần nào — bạn cần làm ngay sau 1/7/2026, không có grace period.
Cấp độ càng cao, yêu cầu đào tạo nhân viên càng nghiêm
Một điểm nhiều doanh nghiệp bỏ qua: cấp độ hệ thống thông tin không chỉ quy định yêu cầu kỹ thuật — mà còn quy định yêu cầu về con người.
Thực tế cho thấy dù đầu tư bao nhiêu vào công nghệ, 91% tấn công mạng thành công đều bắt đầu từ lỗi của con người — một nhân viên nhấp vào link phishing, một email giả mạo sếp yêu cầu chuyển tiền, một tin nhắn SMS giả ngân hàng.
Với hệ thống Cấp 2 trở lên, chương trình Security Awareness Training không còn là tùy chọn mà là yêu cầu thực tế để đáp ứng nghĩa vụ pháp lý theo Điều 38 Luật ANM 2025.
Ví dụ thực tế theo ngành
| Ngành | Cấp độ điển hình | Rủi ro chính | Ưu tiên đào tạo |
|---|---|---|---|
| Ngân hàng, fintech | Cấp 3–4 | BEC, spear phishing CFO | Cao nhất |
| Bệnh viện, y tế | Cấp 3 | Ransomware, rò rỉ bệnh án | Cao |
| Thương mại điện tử | Cấp 2–3 | Phishing khách hàng, data breach | Cao |
| Sản xuất, logistics | Cấp 2 | Email giả nhà cung cấp, BEC | Trung bình–cao |
| Giáo dục, LMS | Cấp 2 | Lộ dữ liệu học viên, phishing | Trung bình |
| SME dịch vụ | Cấp 1–2 | Phishing email, ransomware | Trung bình |
| Startup công nghệ | Cấp 2–3 | API abuse, insider threat | Cao |
Bước tiếp theo sau khi xác định cấp độ
Việc xác định cấp độ chỉ là bước đầu. Sau đó bạn cần:
Ngắn hạn (trước 1/7/2026):
- Lập danh sách tất cả hệ thống thông tin đang vận hành
- Tự đánh giá sơ bộ cấp độ theo tiêu chí trên
- Báo cáo nội bộ lên ban lãnh đạo
Trung hạn (6–12 tháng đầu):
- Thuê đơn vị tư vấn đánh giá chính thức nếu cần
- Triển khai các biện pháp bảo vệ tương ứng
- Khởi động chương trình đào tạo nhân viên
Dài hạn:
- Duy trì chương trình Security Awareness Training định kỳ
- Thực hiện phishing simulation để đo lường hiệu quả
- Cập nhật theo các văn bản hướng dẫn chi tiết của Chính phủ
Hỗ trợ triển khai phù hợp theo từng cấp độ
🆓 Cấp độ 1 — Bắt đầu miễn phí
Dành cho: Doanh nghiệp nhỏ, cá nhân muốn nâng cao nhận thức
10 module thực hành — nhận diện phishing, smishing, vishing, AI scam — hoàn toàn miễn phí. Đo Phish-prone Score để biết nhân viên dễ bị lừa ở mức nào.
👉 Bắt đầu tại CyberAwareness Free →
⚡ Cấp độ 2 — Đào tạo cả đội ngũ
Dành cho: SME 10–100 người, hệ thống lưu dữ liệu khách hàng
Theo dõi tiến trình từng nhân viên, báo cáo PDF xuất được, chi phí hợp lý — đủ để chứng minh tuân thủ với cơ quan chức năng.
🏢 Cấp độ 3 trở lên — Giải pháp Enterprise
Dành cho: Ngân hàng, y tế, viễn thông, doanh nghiệp 100+ người
EC-Council Aware cung cấp 3.800+ kịch bản mô phỏng tấn công, dashboard compliance chi tiết, tích hợp Outlook/Gmail, báo cáo tự động cho ban lãnh đạo — đáp ứng đầy đủ yêu cầu Điều 38 Luật An ninh mạng 2025.
👉 Yêu cầu Demo EC-Council Aware →
Bài viết trong loạt series Luật An ninh mạng 2025: → Luật An ninh mạng 2025 có gì mới — Doanh nghiệp cần chuẩn bị gì trước 1/7/2026? → Bạn đang đọc: 5 cấp độ hệ thống thông tin — Doanh nghiệp bạn thuộc cấp nào? → Điều 38: Kinh phí an ninh mạng bắt buộc phải có đào tạo nhân lực → Doanh nghiệp vi phạm Luật An ninh mạng 2025 bị xử phạt thế nào? → Checklist 10 việc doanh nghiệp cần làm ngay trước 1/7/2026
Security365 — Đối tác chính thức EC-Council tại Việt Nam Liên hệ tư vấn: aware@security365.vn | Zalo: 0914 433 338
