Chia sẻ thông tin tại Tọa đàm “TCVN 14423:2025 Tiêu chuẩn quốc gia về an ninh mạng với các hệ thống thông tin quan trọng” do Hiệp hội An ninh mạng quốc gia tổ chức ngày 19/6/2025 vừa qua, Thượng tá Lê Xuân Thuỷ, Giám đốc trung tâm An ninh mạng quốc gia (Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao A05 - Bộ Công an) cho hay, hệ thống tiêu chuẩn về an ninh mạng, không chỉ giải quyết vấn đề về an toàn thông tin mà bên cạnh đó còn giải quyết các vấn đề an ninh mạng, hướng tới đảm bảo, xử lý các sự cố, xây dựng các hệ thống đúng cách, truy vết được tội phạm mạng, đảm bảo các vấn đề về an ninh và hoạt động tấn công xảy ra trong tương lai.

Và đó chính là mục tiêu, kỳ vọng được dành cho Bộ tiêu chuẩn TCVN 14423:2025 vừa chính thức được Bộ Công an ban hành ngày 29/5/2025.

Hướng tới một bộ tiêu chuẩn mang tính ứng dụng cao

Trong quá trình xây dựng tiêu chuẩn TCVN 14423:2025, Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao - đơn vị được giao soạn thảo đã tham khảo nhiều tiêu chuẩn của các nước trên thế giới cũng như tiêu chuẩn của Việt Nam. Khi nghiên cứu những tiêu chuẩn đó, các thành viên trong ban soạn thảo cũng nhận thấy chúng có sự trùng nhau khá nhiều, nghiên cứu tiêu chuẩn này cũng thấy giống tới 80-90% của tiêu chuẩn khác. Tuy nhiên, Thượng tá Lê Xuân Thủy cho hay, Ban soạn thảo cũng đánh giá cao về cách thức tiếp cận và xây dựng các tiêu chuẩn, mang tính ứng dụng cao, có thể dễ dàng thực hiện cho các chủ quản các hệ thống thông tin quan trọng.

Tại Việt Nam, Bộ Thông tin và Truyền thông trước đây và nay là Bộ Khoa học công nghệ cũng đã biên soạn bộ tiêu chuẩn TCVN 11930:2017. Bộ tiêu chuẩn này đã quy định các phương pháp đảm bảo an toàn hệ thống thông tin theo các cấp, từ cấp độ 1 đến cấp độ 5. Các mức quan trọng tăng dần theo từng cấp độ và tương đối chặt chẽ. Tiêu chuẩn này cũng phát huy được hiệu quả trong thời gian vừa qua, tăng cường khả năng phòng thủ trong các hệ thống thông tin. Nhiều doanh nghiệp, tổ chức đơn vị cũng đã đăng ký hệ thống của mình ở cấp độ 3, cấp độ 4, góp phần nâng cao năng lực phòng thủ.

Tham khảo từ các bộ tiêu chuẩn đã được ban hành trước đó, TCVN 14423:2025 được xây dựng mang tính chất thực hành, hướng dẫn cho các cho các tổ chức, doanh nghiệp có thể xây dựng và bảo vệ an toàn một cách có hệ thống. Đối tượng chính mà tiêu chuẩn TCVN 14423:2025 hướng tới đó là hệ thống thông tin của cơ quan nhà nước hay hệ thống thông tin quan trọng với an ninh quốc gia. Tiêu chuẩn TCVN 14423:2025 được ban hành mang tính thực hành cao, dễ áp dụng, dễ thực hiện.

TCVN 14423:2025 kế thừa, tham khảo các tiêu chuẩn quốc tế CIS control V8, áp dụng cho các hệ thống thông tin (HTTT) của cơ quan nhà nước (CQNN) và HTTT quan trọng về an ninh quốc gia. Được biết, đối với các HTTT của CQNN, tiêu chuẩn mới đảm bảo đáp ứng yêu cầu của HTTT cấp độ 2 theo TCVN 11930:2017, với 15 yêu cầu; Đối với HTTT quan trọng về an ninh quốc gia, tiêu chuẩn đảm bảo đáp ứng yêu cầu HTTT cấp độ 4 theo TCVN 11930:2017 với 18 yêu cầu (bổ sung 2 yêu cầu chính và 1 yêu cầu cụ thể so với HTTT của CQNN)…

Tiêu chuẩn TCVN 14423:2025 ban hành gắn liền với các tiêu chuẩn kỹ thuật, lồng cả các yêu cầu về quản lý, quản trị hệ thống thông tin. Trong tiêu chuẩn này cũng có yêu cầu về quản lý tài sản. Ngoài ra còn có những yêu cầu về xử lý lỗ hổng bảo mật, quản lý về nhật ký an ninh mạng, bảo vệ cho ứng dụng web, dịch vụ chữ ký điện tử; Yêu cầu về phòng chống phần mềm độc hạ, sao lưu khôi phục dữ liệu và quản lý hạ tầng CNTT…

TCVN 14423:2025 cụ thể hóa và có tính chất thực hành cao

Chia sẻ tại tọa đàm, ông Nguyễn Ngọc Quân, Giám đốc trung tâm An toàn thông tin VNPT-IT thuộc Tập đoàn VNPT đánh giá, để tăng cường an ninh mạng thì việc xây dựng ban hành, hoàn thiện, bổ sung các tiêu chuẩn mới là cần thiết. Theo ông Quân, TCVN 14423:2025 được kỳ vọng là tiêu chuẩn quan trọng, đồng thời, là công cụ dẫn đường để góp phần giúp các doanh nghiệp ưu tiên đầu tư những điều quan trọng nhất sát với thực tế, có trọng tâm, trọng điểm, loại bỏ những dàn trải, thiết sót. Tiêu chuẩn TCVN 14423:2025 sẽ tạo ra một hành lang chung cho các đơn vị thực hiện.

Là một trong những đơn vị đầu tiên được cấp phép về việc phát triển và cung cấp các dịch vụ về an toàn thông tin, Tập đoàn VNPT hiện đang cung cấp các dịch vụ, sản phẩm an toàn thông tin cho hệ thống trọng yếu quốc gia như Cơ sở dữ liệu quốc gia, Cổng dịch vụ công quốc gia… Theo ông Nguyễn Ngọc Quân, bộ tiêu chuẩn TCVN 14423:2025 ra đời như một kim chỉ nam giúp các đơn vị, doanh nghiệp, trong đó có VNPT có thể dễ dàng triển khai, áp dụng vào thực tế, đáp ứng được yêu cầu, đảm bảo tốt vấn đề an toàn thông tin cho các đơn vị, doanh nghiệp.

Đồng quan điểm đó, đại diện đến từ MobiFone, ông Lê Công Trung - Trưởng BU An ninh mạng MobiFone cho rằng, việc ban hành tiêu chuẩn mới sẽ góp phần một mặt giúp mã hoá dữ liệu, tăng tính an toàn, mặt khác giúp doanh nghiệp có khung chuẩn áp dụng, thực hiện, triển khai, gia tăng kiểm soát về an toàn, an ninh mạng tốt hơn.

Theo ông Lê Công Trung, TCVN 14423:2025 đưa ra những quy định cụ thể, từ công tác quản lý tài sản, trong công tác vận hành chúng ta phải làm gì. Cụ thể hóa hơn những nội dung trong bộ tiêu chuẩn ban hành trước đó. Ngay khi Bộ tiêu chuẩn TCVN 14423:2025 được ban hành ngày 29/5/2025, MobiFone cũng đã tổ chức nghiên cứu kỹ bộ tiêu chuẩn này để làm sao lên phương án triển khai áp dụng.

Khi được ban hành, TCVN 14423:2025 mới chỉ là khung thôi, sẽ cần phải xây dựng một bộ tiêu chuẩn checklist cụ thể. Ví dụ như danh mục checklist những hệ thống để đáp ứng bộ tiêu chuẩn này, như vậy sẽ đảm bảo được tính kiểm soát tốt hơn... Bởi vậy, một trong những mong muốn của đại diện đến MobiFone, đó là bên cạnh Bộ tiêu chuẩn này, rất mong Hiệp hội An ninh mạng Quốc gia cũng đồng hành cùng với doanh nghiệp để có thể đưa ra những checklist hướng dẫn cụ thể cho doanh nghiệp.

Bày tỏ sự ủng hộ và đánh giá cao bộ tiêu chuẩn TCVN 14423:2025 vừa chính thức được ban hành, ông Vũ Ngọc Sơn - Trưởng Ban Nghiên cứu, tư vấn, phát triển công nghệ và Hợp tác quốc tế của Hiệp hội An ninh mạng quốc gia cho hay, Hiệp hội sẽ cố gắng phát huy vai trò, chức năng nhiệm vụ của mình trong việc tuyên truyền, phổ biến về tiêu chuẩn mới này tới đông đảo các doanh nghiệp, tổ chức. Và Hiệp hội cũng sẵn sàng xây dựng những checklist để các đơn vị khi áp dụng tiêu chuẩn này sẽ dễ dàng áp dụng, thực hiện.

Có thể khẳng định, tiêu chuẩn đã được ban hành, mọi thứ đã sẵn sàng nhằm giúp các đơn vị, tổ chức nâng cao năng lực phòng thủ về an ninh mạng với các hệ thống thông tin quan trọng trong thời gian tới đạt hiệu quả khả quan nhất.

Phạm Lê