TCVN 14423:2025: Chủ động ứng phó rủi ro an ninh mạng cho hệ thống thông tin quan trọng

Trong bối cảnh chuyển đổi số diễn ra mạnh mẽ, các hệ thống thông tin ngày càng trở thành hạ tầng thiết yếu của nền kinh tế - xã hội, kéo theo đó là những rủi ro an ninh mạng ngày càng phức tạp và khó lường.

Đặc biệt, đối với các hệ thống thông tin quan trọng liên quan đến an ninh quốc gia và hoạt động của cơ quan nhà nước, việc bảo đảm an toàn, an ninh mạng không chỉ là yêu cầu kỹ thuật mà còn là vấn đề mang tính chiến lược. Chính vì vậy, việc ban hành Tiêu chuẩn quốc gia TCVN 14423:2025 về an ninh mạng - yêu cầu đối với hệ thống thông tin quan trọng là yêu cầu đặt ra từ thực tiễn.

TCVN 14423:2025 giúp chủ động ứng phó rủi ro an ninh mạng cho hệ thống thông tin quan trọng. (Ảnh minh họa)

Tiêu chuẩn này quy định các yêu cầu cần thiết để đảm bảo an ninh mạng, tăng cường khả năng phòng thủ cho hệ thống thông tin của cơ quan nhà nước, hệ thống thông tin quan trọng về an ninh quốc gia, đồng thời tạo cơ sở cho các công tác của lực lượng chuyên trách bảo vệ an ninh mạng (như giám sát bảo vệ, điều phối ứng phó sự cố, thẩm định, kiểm tra, đánh giá an ninh mạng...) và hoạt động bảo vệ hệ thống thông tin của cơ quan chủ quản.

Tiêu chuẩn nêu rõ, để hiệu quả đảm bảo an ninh mạng ở mức cao nhất, khuyến khích chủ quản của hệ thống thông tin triển khai các biện pháp đảm bảo an ninh mạng đáp ứng toàn bộ các yêu cầu đưa ra trong tiêu chuẩn.

Một trong những nội dung trọng tâm của TCVN 14423:2025 là các yêu cầu về quản lý rủi ro an ninh mạng. Hiểu đơn giản chính là việc các tổ chức thực hiện xác định, đánh giá, xử lý rủi ro an ninh mạng và lên kế hoạch ứng phó khi rủi ro xảy ra, bao gồm các yêu cầu sau:

Thiết lập và duy trì quy định, quy trình quản lý rủi ro an ninh mạng: Xây dựng, ban hành và đảm bảo tuân thủ quy định, quy trình quản lý rủi ro an ninh mạng. Trong đó, yêu cầu thực hiện quản lý rủi ro an ninh mạng bao gồm tối thiểu các bước: xác định, phân tích, đánh giá và xử lý rủi ro an ninh mạng.

Đánh giá và cập nhật quy định, quy trình quản lý rủi ro an ninh mạng và các tài liệu liên quan tối thiểu 01 lần/năm hoặc khi có thay đổi xảy ra trong tổ chức ảnh hưởng đến tài liệu.

Xác định rủi ro an ninh mạng: Thực hiện xác định rủi ro an ninh mạng trong tổ chức (có thể dựa trên việc quản lý tài sản, quản lý lỗ hổng, quản lý hạ tầng mạng, quản lý nhận thức an ninh mạng, quản lý tài khoản và quyền truy cập...).

Xác định rủi ro an ninh mạng đến từ các bên thứ ba, nhà cung cấp; Thực hiện xác định rủi ro an ninh mạng định kỳ 01 lần/năm hoặc khi có thay đổi liên quan đến hệ thống thông tin (thay đổi hệ thống, lỗ hổng bảo mật mới, các sự kiện an ninh mạng...).

Đánh giá rủi ro an ninh mạng: Thực hiện phân tích, đánh giá rủi ro an ninh mạng để xác định mức độ ảnh hưởng, tác động của rủi ro đến tổ chức, từ đó đưa ra quyết định chấp nhận hoặc thực hiện các biện pháp giảm thiểu rủi ro. Thực hiện phân tích và đánh giá rủi ro an ninh mạng ngay sau khi xác định rủi ro; phân tích, đánh giá lại khi có sự thay đổi về hệ thống, các sự kiện an ninh mạng hoặc những thay đổi trong tổ chức liên quan đến rủi ro đã xác định.

Xử lý rủi ro an ninh mạng: Thực hiện các biện pháp xử lý rủi ro an ninh mạng và xây dựng phương án ứng phó khi rủi ro còn lại (sau khi đã xử lý) xảy ra. Định kỳ 06 tháng đánh giá và cải thiện hiệu quả của các biện pháp kiểm soát được sử dụng để giảm thiểu rủi ro.

Giám sát rủi ro an ninh mạng: Giám sát và cập nhật những thay đổi liên quan đến rủi ro đã được xác định, tối thiểu bao gồm: khả năng xảy ra, mức độ ảnh hưởng, mức độ rủi ro, tài sản bị ảnh hưởng, biện pháp kiểm soát đã áp dụng.

Truyền thông rủi ro an ninh mạng: Thông báo kịp thời cho các bên liên quan về thay đổi quan trọng liên quan đến rủi ro.

Hoàng Bách