Điều 38 Luật An ninh mạng 2025

by CertMaster | 21/04/2026 | Lượt xem: 1

Điều 38 Luật An ninh mạng 2025: Tối thiểu 10% Ngân sách CNTT cho Bảo mật — Doanh nghiệp đã sẵn sàng chưa?

Chuyên mục: Pháp lý & Tuân thủ
Đăng tại: antoanthongtin.edu.vn | security365.vn
Thời gian đọc: ~7 phút
Cập nhật: Tháng 4/2026
Bài liên quan: Luật An ninh mạng 2025 có gì mới? | 5 cấp độ hệ thống thông tin

Trong tất cả các điểm mới của Luật An ninh mạng 2025, Điều 38 là điều khoản tác động trực tiếp nhất đến ngân sách và hoạt động nội bộ của doanh nghiệp.

Lần đầu tiên trong lịch sử pháp luật Việt Nam, kinh phí bảo vệ an ninh mạng được quy định cụ thể bằng con số: tối thiểu 10% tổng ngân sách CNTT đối với cơ quan, tổ chức, doanh nghiệp nhà nước và tổ chức chính trị.

Và trong khoản kinh phí đó, đào tạo nhân lực được liệt kê rõ ràng như một mục chi bắt buộc — không phải tùy chọn.

Nếu doanh nghiệp bạn chưa có dòng ngân sách nào dành cho đào tạo nhận thức bảo mật, đây là thời điểm phải thay đổi.

Điều 38 nói gì? Giải thích không lòng vòng

Khoản 1 — Quy định tỷ lệ 10%

Cơ quan, tổ chức, doanh nghiệp nhà nước và tổ chức chính trị phải dành tối thiểu 10% trong tổng kinh phí triển khai đề án, dự án, chương trình, kế hoạch đầu tư, ứng dụng và phát triển CNTT cho bảo vệ an ninh mạng.

Ví dụ thực tế:

Ngân sách CNTT hàng năm	Kinh phí an ninh mạng tối thiểu
1 tỷ đồng	100 triệu đồng
5 tỷ đồng	500 triệu đồng
20 tỷ đồng	2 tỷ đồng

⚠️ Lưu ý: Quy định 10% hiện áp dụng trực tiếp cho cơ quan nhà nước, doanh nghiệp nhà nước và tổ chức chính trị. Doanh nghiệp tư nhân được "khuyến khích" theo tiêu chí tương tự — nhưng thực tế các doanh nghiệp tư nhân ở cấp độ hệ thống thông tin Cấp 2–3 trở lên cũng cần tuân thủ tinh thần này để tránh rủi ro pháp lý.

Khoản 2 — Kinh phí an ninh mạng dùng để làm gì?

Điều 38 khoản 2 quy định rõ các mục chi được phép từ ngân sách an ninh mạng:

Đầu tư trang thiết bị kỹ thuật — firewall, IDS/IPS, SIEM...
Mua sắm giải pháp bảo mật chuyên sâu — endpoint protection, DLP...
Thuê dịch vụ giám sát — SOC as a Service, threat monitoring...
Ứng cứu sự cố an ninh mạng — incident response...
Đào tạo, bồi dưỡng nhân lực chuyên trách ← Mục này

Đây là lần đầu tiên "đào tạo nhân lực" được đặt ngang hàng với đầu tư phần cứng và phần mềm trong khung pháp lý an ninh mạng Việt Nam.

Khoản khác — Người đứng đầu phải có chứng chỉ an ninh mạng

Một điểm ít được chú ý nhưng rất quan trọng: Luật 2025 quy định người đứng đầu hoặc người chịu trách nhiệm phụ trách hệ thống thông tin quan trọng về an ninh quốc gia phải tham gia sát hạch và được cấp chứng chỉ về an ninh mạng.

Điều này có nghĩa: không chỉ nhân viên kỹ thuật — mà cả lãnh đạo cấp cao cũng phải được đào tạo và chứng nhận về an ninh mạng.

Tại sao 10% là con số hợp lý?

Nhiều doanh nghiệp sẽ phản ứng: "10% nghe có vẻ nhiều." Nhưng hãy nhìn từ góc độ rủi ro:

Chi phí một vụ tấn công vs. chi phí phòng ngừa

	Chi phí
Trung bình một vụ data breach toàn cầu 2024	4,88 triệu USD (~120 tỷ VNĐ)
Thiệt hại trung bình do ransomware tại VN	Hàng tỷ đến hàng chục tỷ VNĐ
Chi phí khôi phục hệ thống sau tấn công	Gấp 5–10 lần chi phí phòng ngừa
10% ngân sách CNTT cho bảo mật	Thường chỉ vài chục triệu đến vài trăm triệu VNĐ

Kết luận: 10% để phòng ngừa so với nguy cơ mất 100% là tỷ lệ đầu tư hợp lý, không phải gánh nặng.

Sai lầm phổ biến nhất của doanh nghiệp Việt Nam

Sai lầm 1: Dành toàn bộ ngân sách an ninh mạng cho công nghệ, bỏ qua con người

Nhiều doanh nghiệp chi toàn bộ 10% vào firewall thế hệ mới, endpoint protection, SIEM — nhưng không đồng nào cho đào tạo nhân viên.

Kết quả: Hệ thống bảo mật tiên tiến nhất vẫn bị qua mặt bởi một nhân viên nhấp vào link phishing trong email giả mạo CEO.

"Bạn có thể xây tường thành kiên cố nhất — nhưng nếu nhân viên tự mở cổng cho kẻ tấn công, tường thành không có giá trị gì."

Sai lầm 2: Đào tạo một lần rồi thôi

Nhiều doanh nghiệp tổ chức 1 buổi training an ninh mạng rồi coi là xong. Nhưng nghiên cứu cho thấy nhân viên quên 90% nội dung đào tạo sau 30 ngày nếu không có củng cố định kỳ.

Luật 2025 hướng đến đào tạo liên tục và đo lường được — không phải training một lần cho có.

Sai lầm 3: Chỉ đào tạo bộ phận IT

An ninh mạng không phải chỉ là việc của IT. Kế toán, nhân sự, kinh doanh, thậm chí lãnh đạo cấp cao — tất cả đều là mục tiêu tấn công. 84% doanh nghiệp bị tấn công qua nhân viên không thuộc bộ phận kỹ thuật.

Phân bổ ngân sách an ninh mạng hợp lý — Gợi ý thực tế

Từ tổng kinh phí an ninh mạng (10% ngân sách CNTT), đây là cách phân bổ được khuyến nghị:

Tổng ngân sách an ninh mạng: 100%
    ├── Hạ tầng & công nghệ bảo mật:     50–60%
    │       (firewall, endpoint, SIEM...)
    ├── Giám sát & ứng phó sự cố:        20–25%
    │       (SOC, incident response...)
    └── Đào tạo & nhận thức bảo mật:     15–20%
            (Security Awareness Training,
             phishing simulation, chứng chỉ...)

Tại sao 15–20% cho đào tạo?

Vì đây là khoản đầu tư có ROI cao nhất trong toàn bộ ngân sách bảo mật — nghiên cứu của EC-Council và IBM cho thấy mỗi đồng đầu tư vào Security Awareness Training tiết kiệm được gấp 4–6 lần so với chi phí xử lý sự cố.

Đào tạo nhân lực an ninh mạng — Cần bao gồm những gì?

Theo tinh thần Điều 38 và thực tế các mối đe dọa tại Việt Nam, chương trình đào tạo nhận thức bảo mật cho doanh nghiệp cần bao gồm tối thiểu:

Nhận diện tấn công:

Phishing email — nhận biết dấu hiệu, không nhấp link lạ
Smishing — SMS giả mạo ngân hàng, thương hiệu
Vishing — cuộc gọi giả công an, ngân hàng, IT support
Social Engineering — thao túng tâm lý qua nhiều kênh
AI Deepfake Scam — video/giọng nói giả mạo sếp, đối tác

Hành vi an toàn:

Quản lý mật khẩu, xác thực 2 lớp
Bảo mật thiết bị làm việc cá nhân
Xử lý dữ liệu nhạy cảm đúng cách
Quy trình báo cáo sự cố nội bộ

Tuân thủ pháp lý:

Hiểu cơ bản Luật An ninh mạng 2025
Trách nhiệm cá nhân khi vi phạm
Bảo vệ dữ liệu cá nhân khách hàng

Làm thế nào để chứng minh tuân thủ?

Khi cơ quan chức năng kiểm tra, doanh nghiệp cần có bằng chứng đã thực hiện đào tạo. Các tài liệu cần chuẩn bị:

Tài liệu bắt buộc:

Kế hoạch đào tạo an ninh mạng hàng năm có phê duyệt
Danh sách nhân viên đã tham gia đào tạo + chữ ký xác nhận
Nội dung chương trình đào tạo
Kết quả đánh giá/kiểm tra sau đào tạo

Tài liệu nâng cao (khuyến nghị):

Báo cáo phishing simulation (tỷ lệ click, cải thiện theo thời gian)
Dashboard theo dõi tiến trình từng nhân viên
Báo cáo định kỳ gửi ban lãnh đạo
Chứng chỉ hoàn thành khóa học của nhân viên

EC-Council Aware tự động tạo tất cả các tài liệu này — từ báo cáo compliance chi tiết đến chứng chỉ cá nhân — giúp doanh nghiệp chứng minh tuân thủ với cơ quan chức năng chỉ bằng vài cú click.

Lộ trình triển khai thực tế — 3 giai đoạn

Giai đoạn 1: Chuẩn bị (Ngay bây giờ — trước 1/7/2026)

Tính toán 10% ngân sách CNTT, xác định khoản dành cho đào tạo
Đánh giá mức độ nhận thức bảo mật hiện tại của nhân viên
Lựa chọn nền tảng đào tạo phù hợp quy mô
Xây dựng kế hoạch đào tạo trình ban lãnh đạo phê duyệt

Giai đoạn 2: Triển khai (Tháng 7–12/2026)

Kick-off chương trình đào tạo toàn công ty
Thực hiện phishing simulation lần đầu để đo baseline
Gán module đào tạo cho từng nhóm nhân viên theo rủi ro
Theo dõi tiến trình, nhắc nhở nhân viên chưa hoàn thành

Giai đoạn 3: Duy trì (Từ 2027 trở đi)

Đào tạo định kỳ hàng quý
Phishing simulation mỗi 1–2 tháng
Cập nhật nội dung theo mối đe dọa mới
Báo cáo cải thiện hàng năm cho ban lãnh đạo

Bắt đầu từ đâu phù hợp với ngân sách của bạn?

🆓 Ngân sách eo hẹp — Bắt đầu miễn phí

Dành cho: Doanh nghiệp nhỏ, startup, cá nhân

Đánh giá mức độ nhận thức bảo mật của nhân viên hoàn toàn miễn phí. 10 module thực hành — phishing, smishing, vishing, AI scam, compliance. Nhận Phish-prone Score để biết điểm yếu ở đâu trước khi đầu tư thêm.

👉 Bắt đầu tại CyberAwareness Free →

⚡ Ngân sách vừa phải — Đào tạo cả đội ngũ

Dành cho: SME 10–100 người

Theo dõi tiến trình từng nhân viên, xuất báo cáo PDF làm bằng chứng tuân thủ, chi phí hợp lý. Đủ để đáp ứng yêu cầu cơ bản của Điều 38 với hệ thống Cấp 1–2.

👉 Xem CyberAwareness Pro →