Trong bối cảnh rủi ro và các cuộc tấn công mạng có xu hướng gia tăng mạnh và diễn biến ngày càng phức tạp, các hệ thống thông tin quan trọng tại Việt Nam là đích ngắm của tội phạm mạng. Các cuộc tấn công mạng, đánh cắp dữ liệu gây nhiều thiệt hại nghiêm trọng và đặt ra những yêu cầu cấp bách trong việc tuân thủ khung pháp lý cũng như tiêu chuẩn kỹ thuật để bảo vệ các hạ tầng thông tin đặc biệt các hệ thống trọng yếu của quốc gia.
Tiêu chuẩn quốc gia TCVN 14423:2025 – An ninh mạng, yêu cầu đối với hệ thống thông tin quan trọng vừa chính thức ban hành. Đây là tiêu chuẩn đầu tiên trong hệ thống tiêu chuẩn an ninh mạng được công bố với mục tiêu giúp các cơ quan, tổ chức triển khai toàn diện các biện pháp đảm bảo an ninh mạng một cách có hệ thống và hiệu quả.
Tiêu chuẩn TCVN 14423:2025 kế thừa từ TCVN 11930:2017 nhưng có nhiều điểm bổ sung, bám sát các thông lệ quốc tế như bộ CIS Controls phiên bản 8, nhằm đưa ra những yêu cầu vừa mang tính kỹ thuật vừa mang tính quản trị, giúp các hệ thống có khả năng phòng vệ tốt hơn trước các nguy cơ tấn công mạng ngày càng tinh vi. Đây được xem là nền tảng để bảo vệ an toàn cho các hệ thống thông tin trọng yếu của quốc gia và các tổ chức.
Điểm nổi bật của tiêu chuẩn TCVN 14423:2025 là tính thực tiễn và khả năng áp dụng cao. Không giống như một số tiêu chuẩn trước đây vốn được đánh giá là quá lý thuyết và thiếu tính thực chiến, TCVN 14423:2025 tập trung vào việc tích hợp các yêu cầu kỹ thuật và quản trị. Đặc biệt, tiêu chuẩn này không áp đặt một checklist cụ thể, mà yêu cầu các tổ chức phải xây dựng cấu hình an toàn phù hợp với đặc thù hệ thống của mình.
Tiêu chuẩn TCVN 14423:2025 – An ninh mạng, yêu cầu đối với hệ thống thông tin quan trọng đưa ra nhiều yêu cầu bao quát, từ quản lý tài sản phần cứng, phần mềm, thông tin, đến quản lý rủi ro an ninh mạng, phân quyền và kiểm soát truy cập, bảo vệ ứng dụng web, quản lý lỗ hổng bảo mật, giám sát hệ thống và nhật ký, cũng như khả năng ứng phó và khắc phục sự cố. Không chỉ tập trung vào biện pháp kỹ thuật, tiêu chuẩn TCVN 14423:2025 còn đề cao yếu tố quản trị như chính sách, quy trình, đào tạo nhân sự và quản lý nhà thầu. Điều này phản ánh thực tế rằng một hệ thống an toàn không thể chỉ dựa vào công nghệ, mà cần sự phối hợp đồng bộ giữa con người, quy trình và công cụ.
Việc áp dụng tiêu chuẩn TCVN 14423:2025 nên đặc biệt cấp thiết trong thời gian gần đây, khi Trung tâm Thông tin tín dụng quốc gia (CIC) có dấu hiệu bị tin tặc tấn công. VNCERT (Trung tâm Ứng cứu khẩn cấp không gian mạng Việt Nam) đã lên tiếng cảnh báo, đồng thời nhấn mạnh rằng các tổ chức có hệ thống thông tin quan trọng cần khẩn trương rà soát, củng cố hạ tầng và triển khai các biện pháp tuân thủ tiêu chuẩn này. Đây là một minh chứng rõ ràng cho thấy, nếu không đáp ứng đúng chuẩn, rủi ro an ninh mạng có thể xảy ra bất cứ lúc nào và gây ra hậu quả nghiêm trọng cả về uy tín, tài chính lẫn sự tin tưởng của người dân.
Trong thời gian tới, tuân thủ tiêu chuẩn TCVN 14423:2025 sẽ là một trong những yêu cầu quan trọng mà các cơ quan, tổ chức phải thực hiện, đặc biệt là những đơn vị sở hữu hệ thống thông tin liên quan đến dữ liệu nhạy cảm như tài chính, y tế, năng lượng, giao thông, hạ tầng số quốc gia. Đây không chỉ là vấn đề tuân thủ pháp luật, mà còn là cách để các tổ chức bảo vệ chính mình trước nguy cơ bị tội phạm mạng tấn công, đảm bảo hoạt động liên tục và duy trì niềm tin của người dân, khách hàng cũng như đối tác.
Xem toàn văn Tiêu chuẩn quốc gia TCVN 14423:2025 An ninh mạng - Yêu cầu đối với hệ thống thông tin quan trọng:
