Hồ sơ ATTT Cấp độ 3

Phần I – Thông tin tổng quan

Thông tin chủ quản, vận hành, phạm vi và cấu trúc hệ thống

Thông tin chung hệ thống

Tên hệ thống thông tin *

Cấp độ đề xuất

1. Chủ quản hệ thống

Tên cơ quan/tổ chức *

Địa chỉ

Điện thoại

Người đại diện

Chức vụ

2. Đơn vị vận hành

Tên đơn vị *

Địa chỉ

Điện thoại

Đầu mối liên hệ ATTT

3. Phạm vi và quy mô hệ thống

4. Thiết bị mạng

Tên thiết bị	Loại	SL	Mục đích

Chưa có thiết bị nào

5. Máy chủ

Tên máy chủ	HĐH	RAM	Vai trò

Chưa có máy chủ nào

6. Ứng dụng / Dịch vụ

Tên ứng dụng	Loại	Người dùng

Chưa có ứng dụng nào

7. Quy hoạch địa chỉ IP

Vùng mạng	Subnet	Mục đích

Chưa có quy hoạch IP

Phần II – Thuyết minh cấp độ đề xuất

Căn cứ Điều 6 & Điều 9, Nghị định 85/2016/NĐ-CP; Hướng dẫn CV 708/CATTT-QLNN

Bước 1 Phân loại loại thông tin xử lý

Căn cứ khoản 1, Điều 6, Nghị định 85/2016/NĐ-CP: Hệ thống thông tin được phân loại theo loại thông tin xử lý gồm 3 loại (a, b, c). Đây là tiêu chí bắt buộc phải xác định trước khi xác định cấp độ.

Bước 2 Phân loại loại hình hệ thống thông tin

Căn cứ khoản 2, Điều 6, Nghị định 85/2016/NĐ-CP: Hệ thống thông tin được phân loại theo loại hình gồm 3 nhóm (a, b, c). Kết hợp với Bước 1 để xác định cấp độ theo bảng tại Phụ lục I NĐ 85.

Bước 3 Tiêu chí xác định cấp độ 3 - Điều 9, Nghị định 85/2016/NĐ-CP

Căn cứ vào Điều 9, Nghị định 85/2016/NĐ-CP (sửa đổi, bổ sung) và hướng dẫn tại Công văn 708/CATTT-QLNN: Hệ thống thông tin được xác định cấp độ 3 khi đáp ứng ít nhất một tiêu chí dưới đây. Tích vào tất cả tiêu chí hệ thống đáp ứng để hồ sơ đầy đủ căn cứ pháp lý.

Chưa chọn tiêu chí. Vui lòng chọn ít nhất 01 tiêu chí mà hệ thống đáp ứng.

Bước 4 Thông tin bổ sung

Số lượng người dùng thường xuyên

Phạm vi phục vụ

Loại thông tin bí mật nhà nước (nếu có)

Yêu cầu tính sẵn sàng

Phân tích tác động khi hệ thống bị tấn công mạng/gián đoạn

Lý do tổng hợp đề xuất cấp độ 3

Phần I (Phụ lục III) – Phương án Quản lý

22 nội dung quản lý ATTT theo Phụ lục III, TT12/2022

Đặt trạng thái hàng loạt:

Phần II (Phụ lục III) – Phương án Kỹ thuật

Mạng, Máy chủ, Ứng dụng, Dữ liệu – Phụ lục III, TT12/2022

Phần IV – Yêu cầu An toàn vật lý

10 yêu cầu vật lý theo Điều 11 & Phụ lục III, TT12/2022

Tổng kết hồ sơ

📊 Phân tích đầu tư ATTT

Gợi ý giải pháp cho các hạng mục chưa hoàn thiện · Định lượng chi phí · Tối ưu ngân sách

Tham số phân tích đầu tư

Mô hình định lượng xác định mức đầu tư ATTT tối ưu: z* = (λ·v·L) / e ≈ 36.8% tổn thất kỳ vọng. Ưu tiên đầu tư được điều chỉnh theo đặc thù ngành nghề.

Ngành nghề kinh doanh

Thứ tự ưu tiên đầu tư sẽ được điều chỉnh phù hợp rủi ro và pháp lý đặc thù của ngành đã chọn

Giá trị tài sản thông tin (L) – triệu VNĐ

Ước tính giá trị dữ liệu + hệ thống + thiệt hại hoạt động nếu bị tấn công

Xác suất bị xâm phạm nếu bị tấn công (v) 0–1

v=0.35 → mức trung bình; v=0.7 → hệ thống thiếu bảo mật

Xác suất bị tấn công trong năm (λ) 0–1

λ=0.6 → 60% khả năng bị tấn công trong năm; cao với hệ thống nhà nước