📞 0985.52.52.18 🎓 Thông tin tuyển sinh
MỞ ĐƯỜNG THẮNG LỢI
01:12 05/07/2026

Phân tích Khung an ninh mạng NIST CSF 2.0 và đề xuất áp dụng trong bảo đảm an toàn hệ thống thông tin theo cấp độ tại Việt Nam

04/07/2026 22:03 Quan tri TSQCB 17 lượt xem Thời gian đọc: 27 phút
Nghe đọc bài viết
Nhấn nút để nghe bài viết bằng giọng đọc nhân tạo
Phân tích Khung an ninh mạng NIST CSF 2.0 và đề xuất áp dụng trong bảo đảm an toàn hệ thống thông tin theo cấp độ tại Việt Nam
Tóm tắt: Bảo đảm an toàn thông tin đang trở thành yêu cầu bắt buộc, không thể thiếu trong tiến trình xây dựng Chính phủ số, kinh tế số và xã hội số tại Việt Nam. Hiện nay, công tác bảo đảm an toàn hệ thống thông tin được triển khai theo mô hình phân loại cấp độ quy định tại Nghị định số 85/2016/NĐ-CP và các văn bản hướng dẫn liên quan. Tuy nhiên, trước sự gia tăng của các mối đe dọa an ninh mạng và xu hướng chuyển dịch từ bảo vệ kỹ thuật sang quản trị rủi ro, việc nghiên cứu các mô hình quản trị an ninh mạng tiên tiến có ý nghĩa quan trọng. Bài báo phân tích Khung an ninh mạng NIST Cybersecurity Framework (CSF) 2.0 của Mỹ đánh giá mức độ tương thích với mô hình bảo đảm an toàn hệ thống thông tin theo cấp độ của Việt Nam, cập nhật những kết quả triển khai thực tế tại Mỹ và đề xuất hướng tiếp cận kết hợp nhằm nâng cao hiệu quả quản trị rủi ro và năng lực chống chịu mạng của các hệ thống thông tin của Việt Nam.

ĐẶT VẤN ĐỀ

Chuyển đổi số quốc gia đang tạo ra những thay đổi sâu rộng trong hoạt động của các cơ quan nhà nước, doanh nghiệp và toàn xã hội. Song hành với những lợi ích to lớn đem lại, không gian mạng ngày càng trở thành môi trường đối nghịch phức tạp: Các cuộc tấn công có chủ đích (APT), tấn công chuỗi cung ứng, mã độc tống tiền và gián điệp mạng liên tục gia tăng về quy mô lẫn mức độ tinh vi. Theo báo cáo của Hiệp hội An ninh mạng Quốc gia (NCA) công bố tháng 12/2025 (dựa trên khảo sát hơn 5.300 cơ quan, tổ chức tại Việt Nam [12]), trong năm 2025 các hệ thống thông tin tại Việt Nam đã hứng chịu khoảng 552.000 cuộc tấn công mạng, đồng thời có tới 52,3% tổ chức được khảo sát xác nhận đã chịu thiệt hại do tấn công mạng trong năm, tăng đáng kể so với tỷ lệ 46,15% của năm 2024. Đáng lưu ý, theo cùng báo cáo này, hơn một nửa số tổ chức (51,87%) vẫn chưa triển khai giải pháp phòng chống mã độc tập trung và xu hướng tấn công đang dịch chuyển từ mã độc tống tiền sang đánh cắp, khai thác dữ liệu dài hạn - phản ánh mức độ nguy hiểm ngày càng gia tăng của các mối đe dọa nhắm vào hạ tầng thông tin quốc gia.

Trong những năm vừa qua, Việt Nam đã tích cực xây dựng, hoàn thiện hệ thống văn bản quy phạm pháp luật trong lĩnh vực này. Đặc biệt, tháng 12/2025, Quốc hội đã thông qua Luật An ninh mạng số 116/2025/QH15 trên tinh thần hợp nhất Luật An toàn thông tin mạng năm 2015 và Luật An ninh mạng năm 2018, đồng thời cũng là lần đầu tiên yêu cầu về bố trí nguồn ngân sách dành cho bảo vệ an ninh mạng được cụ thể hóa tại Điều 38: Yêu cầu các cơ quan, tổ chức sử dụng ngân sách nhà nước phải bố trí tối thiểu 15% tổng kinh phí thực hiện các chương trình, đề án, dự án chuyển đổi số và ứng dụng công nghệ thông tin để dành cho bảo vệ an ninh mạng. Cho đến thời điểm hiện nay, mô hình bảo đảm an toàn hệ thống thông tin vẫn được thực hiện và quy định theo cấp độ (tại Nghị định số 85/2016/NĐ-CP) và đây được xem là công cụ quản lý nền tảng.

Tuy nhiên, thực tiễn cho thấy việc đáp ứng các yêu cầu kỹ thuật theo cấp độ không đồng nghĩa với năng lực quản trị rủi ro an ninh mạng thực chất. Mô hình tuân thủ theo cấp độ, dù có nhiều ưu điểm, vẫn còn khoảng trống đáng kể về quản trị chiến lược cấp lãnh đạo và đánh giá mức độ trưởng thành của tổ chức. Trong bối cảnh đó, NIST Cybersecurity Framework (CSF) 2.0, được Viện Tiêu chuẩn và Công nghệ Quốc gia Mỹ ban hành ngày 26/02/2024 [1] - đại diện cho xu hướng quản trị rủi ro an ninh mạng toàn diện và đang được áp dụng rộng rãi tại Hoa Kỳ cũng như nhiều quốc gia trên thế giới.

Bài báo đặt ra ba mục tiêu: (1) Phân tích các nội dung cốt lõi và kết quả triển khai thực tế của NIST CSF 2.0 tại Mỹ sau hơn hai năm ban hành; (2) So sánh với mô hình bảo đảm an toàn thông tin theo cấp độ tại Việt Nam, bao gồm cả những điểm tương đồng và khoảng trống; (3) Đề xuất hướng áp dụng đối với các cơ quan, tổ chức Việt Nam, đặc biệt là các đơn vị thuộc phạm vi quản lý của Ban Cơ yếu Chính phủ.

KHUNG AN NINH MẠNG NIST CSF 2.0 - CẤU TRÚC VÀ KẾT QUẢ TRIỂN KHAI

Quá trình xây dựng và ý nghĩa chiến lược

NIST CSF 2.0 là kết quả của quá trình rà soát, lấy ý kiến công khai kéo dài từ tháng 02/2022 đến tháng 02/2024, ghi nhận hơn 4.000 bình luận kỹ thuật từ các tổ chức, chuyên gia và cơ quan quản lý trên toàn thế giới. Đây là lần cập nhật đầu tiên có tính chất đột phá kể từ khi CSF ra đời năm 2014 - thời điểm ban hành theo Sắc lệnh Tổng thống Mỹ nhằm bảo vệ cơ sở hạ tầng trọng yếu quốc gia. Phiên bản 2.0 mở rộng phạm vi áp dụng vượt ra ngoài hạ tầng trọng yếu, hướng đến mọi tổ chức - bất kể quy mô, lĩnh vực hay mức độ trưởng thành an ninh mạng - phản ánh tư duy "an ninh mạng là rủi ro kinh doanh chiến lược, không còn chỉ là vấn đề công nghệ thông tin".

Sắc lệnh EO 13800 quy định các cơ quan liên bang Mỹ phải sử dụng CSF, yêu cầu được củng cố thêm qua EO 14028 năm 2021 về nâng cao an ninh mạng quốc gia. Chỉ trong năm đầu tiên, CSF 2.0 đã trở thành ấn phẩm được tải xuống nhiều nhất trong hơn 20.000 ấn phẩm của NIST [2], với 15 tài nguyên được dịch sang sáu ngôn ngữ (Pháp, Đức, Hàn, Ba Lan, Bồ Đào Nha, Tây Ban Nha), cho thấy mức độ phổ biến và ảnh hưởng toàn cầu của khung này.

Cấu trúc sáu chức năng cốt lõi

CSF 2.0 tổ chức các kết quả an ninh mạng thành 6 chức năng, 22 danh mục và 106 tiểu danh mục [1]. So với phiên bản CSF 1.1 (5 chức năng, 23 danh mục, 108 tiểu danh mục), điểm thay đổi quan trọng nhất là bổ sung chức năng GOVERN ở trung tâm của mô hình. Sáu chức năng bao gồm:

1. GOVERN (GV) - Quản trị: Thiết lập, truyền đạt và giám sát chiến lược quản lý rủi ro an ninh mạng của tổ chức; đồng thời thông báo và định hướng ưu tiên cho năm chức năng còn lại. Bao gồm 6 danh mục, 31 tiểu danh mục, là chức năng hoàn toàn mới so với CSF 1.1.

2. IDENTIFY (ID) - Nhận diện: Xác định rủi ro an ninh mạng đối với hệ thống, con người, tài sản, dữ liệu và năng lực của tổ chức. Cơ sở để ưu tiên và tập trung nguồn lực.

3. PROTECT (PR) - Bảo vệ: Triển khai các biện pháp kiểm soát để quản lý rủi ro an ninh mạng và bảo đảm cung cấp dịch vụ trọng yếu.

4. DETECT (DE) - Phát hiện: Xác định và phân tích các sự kiện an ninh mạng tiềm ẩn, bao gồm giám sát liên tục và phân tích bất thường.

5. RESPOND (RS) - Ứng phó: Thực hiện các hành động phù hợp khi phát hiện sự cố an ninh mạng, bao gồm quản lý và phân tích sự cố, thông tin liên lạc.

6. RECOVER (RC) - Phục hồi: Duy trì kế hoạch phục hồi và khôi phục năng lực, dịch vụ bị ảnh hưởng bởi sự cố an ninh mạng.

image

Hình 1. Cấu trúc sáu chức năng cốt lõi của NIST CSF 2.0 (Nguồn: NIST, CSWP 29, 2024)

Sáu chức năng được NIST hình tượng hóa theo dạng bánh xe (wheel), trong đó GOVERN giữ vị trí trung tâm vì nó định hướng và tích hợp cả năm chức năng còn lại. Cách biểu diễn này nhấn mạnh quan điểm cốt lõi: quản trị an ninh mạng không phải là hoạt động độc lập của bộ phận IT, mà phải được cấp lãnh đạo chủ trì và gắn liền với chiến lược vận hành tổng thể của tổ chức.

Công cụ triển khai: Profiles, Tiers và Community Profiles

CSF 2.0 giới thiệu ba công cụ triển khai quan trọng:

- Organizational Profiles (Hồ sơ tổ chức): Cơ chế mô tả trạng thái an ninh mạng hiện tại (Current Profile) và mong muốn (Target Profile) của tổ chức. So sánh hai hồ sơ này giúp xác định khoảng cách và ưu tiên cải tiến. CSF 2.0 bổ sung hướng dẫn đánh giá có cấu trúc giúp tổ chức đánh giá và lập bằng chứng cho từng tiểu danh mục.

Implementation Tiers (Bậc triển khai): Bốn bậc mô tả mức độ tích hợp quản lý rủi ro an ninh mạng vào thực hành tổng thể của tổ chức - từ Tier 1 (Partial: thực hành mang tính cục bộ, phản ứng bị động) qua Tier 2 (Risk Informed: có nhận thức về rủi ro nhưng chưa nhất quán), Tier 3 (Consistent: quy trình an ninh mạng được áp dụng nhất quán trên toàn tổ chức), đến Tier 4 (Adaptive: quản lý rủi ro dựa trên dữ liệu, thích ứng linh hoạt và tích hợp sâu với chiến lược doanh nghiệp). CSF 2.0 nhấn mạnh rằng Tiers không phải thang leo tuần tự - tổ chức lựa chọn Tier phù hợp với mức chấp nhận rủi ro và ưu tiên chiến lược của mình, không nhất thiết phải đạt Tier 4.

Community Profiles (Hồ sơ cộng đồng): Điểm nổi bật mới của CSF 2.0 là khái niệm Community Profiles - các đường cơ sở được xây dựng và công bố nhằm phục vụ nhu cầu chung của một nhóm tổ chức trong cùng lĩnh vực, công nghệ hoặc loại rủi ro. Đây là cơ chế mới cho phép các ngành, lĩnh vực cụ thể phát triển bộ yêu cầu an ninh mạng phù hợp thực tế của mình, vừa đảm bảo tính thống nhất vừa tôn trọng đặc thù ngành [1, 3].

image

Hình 2. Quy trình sử dụng Hồ sơ Tổ chức (Organizational Profile) để cải tiến liên tục theo NIST CSF 2.0 (Nguồn: NIST, CSWP 29, 2024)

Kết quả triển khai thực tế tại Hoa Kỳ sau hơn hai năm

Sau hai năm kể từ khi ban hành (tính đến tháng 6/2026), NIST đã công bố một loạt kết quả triển khai đáng chú ý, cho thấy CSF 2.0 không ngừng được mở rộng và cập nhật.

Bảng 1. Kết quả triển khai NIST CSF 2.0 tại Mỹ (02/2024 - 6/2026)

image

Những kết quả triển khai trên cho thấy NIST CSF 2.0 đang được thực tế kiểm nghiệm và liên tục hoàn thiện. Trong phần tiếp theo, bài báo phân tích thực trạng bảo đảm an toàn thông tin tại Việt Nam để làm cơ sở đối sánh.

THỰC TRẠNG BẢO ĐẢM AN TOÀN THÔNG TIN THEO CẤP ĐỘ TẠI VIỆT NAM

Khung pháp lý hiện hành và những bước tiến gần đây

Việt Nam đã xây dựng được khung pháp lý tương đối hoàn chỉnh trong vấn đề đảm bảo an ninh mạng. Nghị định số 85/2016/NĐ-CP [5] phân loại hệ thống thông tin thành 5 cấp độ dựa trên mức độ ảnh hưởng khi xảy ra sự cố, tạo cơ sở pháp lý để các cơ quan nhà nước triển khai đồng bộ các biện pháp bảo vệ. Hệ thống pháp luật này được hỗ trợ bởi Chiến lược An toàn, An ninh mạng quốc gia đến năm 2025 (Quyết định 964/QĐ-TTg) và được cụ thể hóa qua Kế hoạch hành động của Bộ Thông tin và Truyền thông (Quyết định 668/QĐ-BTTTT, 2024).

Một bước tiến pháp lý quan trọng là Luật An ninh mạng năm 2025 (được Quốc hội thông qua ngày 10/12/2025 [6], có hiệu lực từ ngày 01/7/2026) đã giải quyết tình trạng chồng chéo "nhiều đầu mối, nhiều giọng nói" trong quản lý an ninh mạng, đồng thời bổ sung các quy định mới như: (i) thiết lập cơ chế giám sát an ninh mạng liên tục; (ii) bảo vệ hạ tầng trọng yếu với yêu cầu nghiêm ngặt hơn; (iii) quy định đầu tư tối thiểu 15% kinh phí chuyển đổi số cho an ninh mạng; (iv) bổ sung quy định về an ninh dữ liệu như một cấu phần quan trọng; (v) tăng cường hợp tác quốc tế trong phòng, chống tội phạm mạng.

Song hành với hoàn thiện pháp lý, trong giai đoạn 2025 - 2030, Bộ Công an đang xây dựng hệ thống phòng vệ mạng quốc gia theo mô hình đa lớp, kết hợp giữa năng lực bảo vệ tại chỗ ở các bộ, ngành, địa phương với năng lực giám sát tập trung ở cấp quốc gia, đồng thời hoàn thiện khung tiêu chuẩn chung cho mạng lưới các trung tâm SOC trên toàn quốc.

Ưu điểm của mô hình bảo đảm an toàn theo cấp độ

Sau gần một thập kỷ triển khai, mô hình bảo đảm an toàn thông tin theo cấp độ đã chứng tỏ được vai trò nền tảng trong quản lý an ninh mạng tại Việt Nam. Các ưu điểm nổi bật gồm:

Thống nhất yêu cầu quản lý nhà nước: Tạo khung pháp lý đồng bộ, chuẩn hóa quy trình phân loại và bảo vệ hệ thống thông tin từ trung ương đến địa phương, giúp các cơ quan quản lý có căn cứ pháp lý rõ ràng trong thanh tra, kiểm tra.

Chuẩn hóa biện pháp bảo vệ kỹ thuật: Danh mục yêu cầu kỹ thuật cụ thể theo từng cấp độ giúp các tổ chức, kể cả những đơn vị có năng lực kỹ thuật hạn chế để có căn cứ để lập kế hoạch và triển khai bảo mật.

Nâng cao nhận thức và thúc đẩy đầu tư: Cơ chế phân loại và công nhận cấp độ tạo áp lực thể chế tích cực, buộc các cơ quan phải đầu tư nguồn lực tài chính và nhân lực cho an toàn thông tin một cách có hệ thống.

Tạo cơ sở pháp lý cho kiểm tra, đánh giá độc lập: Hình thành tiêu chí rõ ràng, có thể kiểm chứng cho hoạt động thanh kiểm tra và kiểm định của cơ quan nhà nước có thẩm quyền, bao gồm cả kiểm định bên thứ ba.

Những hạn chế cần khắc phục

Bên cạnh những ưu điểm kể trên, mô hình bảo đảm an toàn theo cấp độ còn bộc lộ một số hạn chế cốt lõi khi đặt trong bối cảnh mối đe dọa an ninh mạng ngày càng phức tạp:

Thiên về tiếp cận tuân thủ hình thức (compliance-centric): Thước đo chủ yếu là đạt hoặc không đạt các yêu cầu kỹ thuật trong danh mục kiểm tra, chưa phản ánh được mức độ sẵn sàng ứng phó hay năng lực quản trị rủi ro thực chất của tổ chức. Điều này dẫn đến nguy cơ các tổ chức tập trung đầu tư để qua kiểm định thay vì nâng cao bảo mật thực chất.

Chu kỳ đánh giá theo đợt, không liên tục: Mô hình hiện tại chưa yêu cầu cơ chế giám sát và đánh giá liên tục, trong khi các mối đe dọa an ninh mạng thay đổi hàng ngày. Khoảng cách giữa hai đợt đánh giá có thể để lại cửa sổ rủi ro đáng kể.

Chưa gắn kết quản trị chiến lược với an ninh mạng: Mô hình cấp độ chưa có yêu cầu cụ thể về trách nhiệm của lãnh đạo cấp cao, chưa yêu cầu xác định khẩu vị rủi ro (risk appetite) và chưa có cơ chế đánh giá mức độ trưởng thành an ninh mạng tổng thể của tổ chức.

Quản lý rủi ro chuỗi cung ứng còn sơ khai: Chưa có yêu cầu toàn diện về đánh giá, phân loại và giám sát liên tục rủi ro từ nhà cung cấp phần mềm, phần cứng, dịch vụ điện toán đám mây và đối tác bên thứ ba, trong khi đây là véc-tơ tấn công ngày càng phổ biến.

Thiếu cơ chế đo lường hiệu quả đầu tư an ninh mạng: Chưa có phương pháp luận để định lượng lợi ích của các biện pháp bảo mật, khiến lãnh đạo khó đưa ra quyết định phân bổ nguồn lực dựa trên dữ liệu và khó so sánh hiệu quả giữa các đơn vị.

Dự thảo Khung kiến trúc An ninh mạng quốc gia - Điểm mạnh kỹ thuật và khoảng trống quản trị

Nhằm cụ thể hóa Luật An ninh mạng 2025 và Chỉ thị 57-CT/TW của Ban Bí thư, Bộ Công an đang hoàn thiện Dự thảo Quyết định của Thủ tướng Chính phủ ban hành Khung kiến trúc An ninh mạng quốc gia (phiên bản 1.0) [16]. Đây là văn bản kiến trúc kỹ thuật tổng thể đầu tiên của Việt Nam, xác lập mô hình tham chiếu thống nhất gồm 04 lớp chức năng tương ứng với Khung kiến trúc tổng thể quốc gia số (Quyết định 3090/QĐ-BKHCN): Lớp 1 - Hạ tầng an ninh mạng dùng chung (WAF quốc gia, Anti-DDoS, CDN); Lớp 2 - Dữ liệu chiến lược dùng chung (Threat Intelligence, Tín nhiệm số, Tội phạm công nghệ cao); Lớp 3 - Nền tảng tác chiến và nghiệp vụ (National SOC, TIP, Secure DNS, Digital Forensics, Cyber GRC); Lớp 4 - Kênh tương tác (Dịch vụ công, cổng báo cáo, ứng dụng nTrust).

Điểm nổi bật của dự thảo là tư duy phòng thủ chiều sâu (Defense-in-Depth) kết hợp phòng vệ chủ động (Active Defense), ưu tiên tự chủ công nghệ theo nguyên tắc "Make in Vietnam" và mô hình vận hành theo nguyên tắc "Dữ liệu giám sát tập trung - Xử lý nghiệp vụ phân tán" thông qua mạng lưới Cảm biến (Sensors), kết nối từ Trung ương tới các bộ, ngành, địa phương. Dự thảo cũng phác thảo lộ trình 3 giai đoạn (2026 - 2030): Nền tảng, kết nối diện rộng và thông minh hóa.

Tuy nhiên, nhìn từ góc độ quản trị rủi ro theo NIST CSF 2.0, dự thảo Khung kiến trúc vẫn thể hiện rõ đặc điểm thiên về kiến trúc kỹ thuật và hạ tầng. Cụ thể, ba khoảng trống lớn cần lưu ý:

Thiếu khung quản trị rủi ro cấp chiến lược: Dự thảo xác định Khung quản trị rủi ro và Quy trình vận hành là thành phần bổ trợ (GRC), nhưng chưa có hướng dẫn cụ thể về cách lãnh đạo cấp cao xác định khẩu vị rủi ro (risk appetite), thiết lập ưu tiên đầu tư và đo lường hiệu quả - đây chính là nội dung trung tâm của chức năng GOVERN trong CSF 2.0.

Chưa có cơ chế đánh giá mức độ trưởng thành: Hệ thống Cyber GRC trong dự thảo tính điểm rủi ro kỹ thuật của từng hệ thống, nhưng chưa cung cấp thước đo tổng thể về năng lực quản trị rủi ro an ninh mạng của tổ chức, tương đương với 4 Tiers trong CSF 2.0 để các cơ quan tự định vị và xây dựng lộ trình cải tiến có mục tiêu.

Quản lý rủi ro chuỗi cung ứng chưa toàn diện: Nguyên tắc ưu tiên sản phẩm "Make in Vietnam" là định hướng đúng, nhưng dự thảo chưa quy định quy trình đánh giá, kiểm tra và giám sát liên tục rủi ro từ nhà cung cấp phần mềm, phần cứng và dịch vụ đám mây, vốn là nội dung chiếm 10 tiểu danh mục chuyên biệt trong GV.SC của CSF 2.0.

Nói cách khác, dự thảo Khung kiến trúc An ninh mạng quốc gia trả lời tốt câu hỏi "xây dựng gì" - hạ tầng kỹ thuật, nền tảng công nghệ, mô hình triển khai. Trong khi NIST CSF 2.0 tập trung vào câu hỏi "quản trị thế nào?" - ai chịu trách nhiệm chiến lược, rủi ro được nhận diện và ưu tiên theo cách nào, hiệu quả đầu tư được đo lường bằng chỉ số gì. Sự bổ sung này chính là nền tảng lý luận để bài báo đề xuất áp dụng có chọn lọc NIST CSF 2.0 nhằm lấp đầy lớp quản trị rủi ro còn thiếu trong khung an ninh mạng hiện hành của Việt Nam.

ĐỐI SÁNH NIST CSF 2.0 VỚI MÔ HÌNH BẢO ĐẢM AN TOÀN THÔNG TIN THEO CẤP ĐỘ TẠI VIỆT NAM

So sánh về triết lý và phương pháp luận

Bảng 2. Đối sánh triết lý quản lý giữa NIST CSF 2.0 và mô hình bảo đảm an toàn thông tin theo cấp độ

image

Đối sánh theo chức năng

Bảng 3. Đối sánh theo từng chức năng CSF 2.0 với yêu cầu bảo đảm an toàn thông tin theo cấp độ

image

Phân tích khoảng trống và bài học từ kết quả triển khai của Mỹ

Kết quả nghiên cứu xác định khoảng trống lớn nhất nằm ở chức năng GOVERN với năm lĩnh vực cụ thể:

Quản trị rủi ro cấp lãnh đạo (GV.RM): CSF 2.0 yêu cầu hội đồng quản trị và lãnh đạo cấp cao tham gia tích cực vào việc thiết lập khẩu vị rủi ro (risk appetite) và chiến lược an ninh mạng. Mô hình cấp độ Việt Nam chưa có yêu cầu tương đương ở cấp này.

Hiện nay tại Việt Nam, các mô hình tổ chức như NCA hay Tiểu ban An ninh mạng tại Bộ/ngành, địa phương phần nào thể hiện tinh thần đưa an ninh mạng vào chương trình nghị sự cấp lãnh đạo, song đây là mô hình chỉ đạo theo cấp hành chính - lãnh thổ, khác về bản chất với yêu cầu GV.RM: CSF 2.0 đòi hỏi quy trình quản trị rủi ro được thể chế hóa trong nội bộ từng tổ chức, bao gồm xác định khẩu vị rủi ro, phê duyệt ngân sách và giám sát định kỳ ở cấp lãnh đạo cao nhất của chính tổ chức đó. Do vậy, các mô hình ủy ban, hiệp hội hiện có mới là điều kiện cần về mặt tổ chức, chưa phải điều kiện đủ để đáp ứng đầy đủ yêu cầu GV.RM.

Quản lý rủi ro chuỗi cung ứng (GV.SC): CSF 2.0 dành riêng một danh mục với 10 tiểu danh mục cho rủi ro chuỗi cung ứng, tăng gấp đôi so với CSF 1.1 - phản ánh mức độ nghiêm trọng ngày càng tăng của loại rủi ro này. Theo Báo cáo Verizon 2025 DBIR [15], 30% vi phạm an ninh mạng có liên quan đến bên thứ ba. Đây là điểm yếu rõ nét trong khung Việt Nam hiện hành.

Đánh giá mức độ trưởng thành: Hệ thống 4 Tiers của CSF 2.0 cho phép tổ chức tự nhận diện vị trí hiện tại và xây dựng lộ trình cải tiến có mục tiêu. Mô hình cấp độ Việt Nam thiếu cơ chế đánh giá này.

Đo lường hiệu quả đầu tư an toàn thông tin: CSF 2.0 tích hợp với NIST IR 8286 [11] giúp tổ chức kết nối chi phí an toàn thông tin với kết quả kinh doanh và quản lý rủi ro tổng thể. Đây là nội dung chưa có trong khuôn khổ Việt Nam.

Quản trị rủi ro AI: NIST đã ban hành Cyber AI Profile (dự thảo, 12/2025) như một lớp phủ lên CSF 2.0. Trong bối cảnh ứng dụng AI đang mở rộng tại Việt Nam, đây là khoảng trống cần chuẩn bị sớm.

ĐỀ XUẤT MÔ HÌNH TÍCH HỢP VÀ LỘ TRÌNH TRIỂN KHAI

Mô hình tích hợp hai lớp

Trên cơ sở kết quả phân tích và đối sánh, đề xuất mô hình tích hợp hai lớp, trong đó khung CSF 2.0 không thay thế mà bổ sung cho mô hình cấp độ hiện hành. Hai lớp vận hành song song, cùng hướng tới mục tiêu kép: vừa bảo đảm tuân thủ pháp luật, vừa nâng cao năng lực quản trị rủi ro thực chất:

Lớp 1 - Bảo đảm tuân thủ (Compliance Layer): Tiếp tục duy trì và tăng cường thực hiện theo quy định hiện hành, bao gồm Luật An ninh mạng 2025, Nghị định 85/2016/NĐ-CP và các quy định về bảo vệ bí mật nhà nước. Đây là nền tảng pháp lý bắt buộc, không thể thay thế.

Lớp 2 - Quản trị theo NIST CSF 2.0 (Governance Layer): Xây dựng bổ sung các năng lực quản trị rủi ro dựa trên khung CSF 2.0, tập trung vào: (i) thiết lập chính sách và chiến lược an ninh mạng cấp lãnh đạo, gắn với mục tiêu vận hành và ngân sách của tổ chức; (ii) xây dựng Hồ sơ Tổ chức (Organizational Profile) để xác định trạng thái an ninh mạng hiện tại và định hướng mục tiêu; (iii) đánh giá mức độ trưởng thành theo 4 Tiers và xây dựng lộ trình nâng bậc; (iv) quản lý rủi ro chuỗi cung ứng đối với nhà cung cấp phần mềm, phần cứng và dịch vụ; (v) đo lường và báo cáo hiệu quả đầu tư an ninh mạng cho lãnh đạo cấp cao.

Hai lớp này tương hỗ lẫn nhau, trong khi Lớp 1 xác định những gì bắt buộc phải làm theo pháp luật, thì Lớp 2 trả lời câu hỏi làm như thế nào để đạt hiệu quả tốt nhất và định hướng cải tiến liên tục. Cùng nhau, hai lớp tạo thành một khung quản trị an ninh mạng hoàn chỉnh, vừa bảo đảm tuân thủ pháp luật, vừa nâng cao năng lực thực chất và khả năng chống chịu trước các mối đe dọa ngày càng phức tạp.

Đề xuất lộ trình triển khai hai giai đoạn

Bảng 4. Lộ trình triển khai đề xuất

image

KẾT LUẬN

NIST CSF 2.0 đại diện cho xu hướng tiên tiến nhất trong quản trị an ninh mạng tính đến thời điểm hiện tại, với ba chuyển dịch tư duy căn bản: Từ bảo vệ kỹ thuật sang quản trị rủi ro chiến lược; tuân thủ định kỳ sang cải tiến liên tục và từ trách nhiệm của bộ phận IT sang trách nhiệm của toàn tổ chức, đặc biệt là ban lãnh đạo cấp cao. Sau hơn hai năm triển khai tại Mỹ, CSF 2.0 đã khẳng định tính thực tiễn thông qua hệ thống ấn phẩm hướng dẫn phong phú, các Community Profiles theo ngành và cơ chế ánh xạ sang hơn 50 tiêu chuẩn quốc tế.

Đối với Việt Nam, nghiên cứu cho thấy mô hình bảo đảm an toàn hệ thống thông tin theo cấp độ có mức độ tương thích cao với năm chức năng IDENTIFY, PROTECT, DETECT, RESPOND và RECOVER của CSF 2.0, đây là nền tảng vững chắc để tiến hành tích hợp. Khoảng trống đáng kể nhất tập trung ở chức năng GOVERN, bao gồm: Quản trị an ninh mạng cấp chiến lược, quản lý rủi ro chuỗi cung ứng, đánh giá mức độ trưởng thành và đo lường hiệu quả đầu tư. Luật An ninh mạng 2025, với yêu cầu giám sát liên tục, đầu tư tối thiểu 15% kinh phí chuyển đổi số cho an ninh mạng và thống nhất đầu mối quản lý, tạo hành lang pháp lý thuận lợi để từng bước tích hợp các nguyên tắc quản trị của CSF 2.0.

Hướng tiếp cận phù hợp nhất với Việt Nam là mô hình tích hợp hai lớp: Tiếp tục duy trì và củng cố mô hình bảo đảm an toàn theo cấp độ làm nền tảng tuân thủ pháp lý bắt buộc (Lớp 1), đồng thời xây dựng bổ sung khung quản trị rủi ro tham chiếu NIST CSF 2.0 (Lớp 2). Cách tiếp cận này không yêu cầu thay thế hay tái cấu trúc hệ thống hiện hành, mà tập trung lấp đầy những khoảng trống quản trị còn thiếu để hình thành năng lực an ninh mạng toàn diện và bền vững. Với chức năng đặc thù trong bảo vệ hệ thống thông tin mật và trọng yếu quốc gia, Ban Cơ yếu Chính phủ đóng vai trò tiên phong trong triển khai hướng tiếp cận này, góp phần bảo vệ vững chắc hạ tầng số quốc gia trong kỷ nguyên chuyển đổi số.

TÀI LIỆU THAM KHẢO

[1] NIST, "The NIST Cybersecurity Framework (CSF) 2.0," NIST Cybersecurity White Papers (CSWP 29), National Institute of Standards and Technology, Gaithersburg, MD, February 26, 2024. DOI: 10.6028/NIST.CSWP.29.

[2] NIST, "Celebrating Two Years of CSF 2.0!" NIST Cybersecurity Insights Blog, National Institute of Standards and Technology, February 24, 2026. [Trực tuyến]. Có tại: https://www.nist.gov/blogs/cybersecurity-insights/celebrating-two-years-csf-20.

[3] NIST NCCoE, "Ransomware Risk Management: A Cybersecurity Framework 2.0 Community Profile," NIST Interagency Report (IR) 8374 Rev. 1 (Final), National Cybersecurity Center of Excellence, 2025.

[4] NIST, "Cybersecurity Framework 2.0: Quick-Start Guides," National Institute of Standards and Technology, 2024-2026. [Trực tuyến]. Có tại: https://www.nist.gov/cyberframework/getting-started.

[5] Chính phủ nước Cộng hòa Xã hội Chủ nghĩa Việt Nam, Nghị định số 85/2016/NĐ-CP ngày 01/7/2016 về bảo đảm an toàn hệ thống thông tin theo cấp độ.

[6] Quốc hội nước Cộng hòa Xã hội Chủ nghĩa Việt Nam, Luật An ninh mạng số 116/2025/QH15, thông qua ngày 10/12/2025, có hiệu lực từ 01/7/2026.

[7] Thủ tướng Chính phủ, Quyết định số 964/QĐ-TTg ngày 10/8/2022 phê duyệt Chiến lược An toàn, An ninh mạng quốc gia, chủ động ứng phó với các thách thức từ không gian mạng đến năm 2025, tầm nhìn 2030.

[8] Quốc hội nước Cộng hòa Xã hội Chủ nghĩa Việt Nam, Luật An toàn thông tin mạng số 86/2015/QH13, ngày 19/11/2015.

[9] ISO/IEC 27001:2022, Information Security, Cybersecurity and Privacy Protection - Information Security Management Systems - Requirements, International Organization for Standardization, 2022.

[10] ISO/IEC 27005:2022, Information Security, Cybersecurity and Privacy Protection - Guidance on Managing Information Security Risks, International Organization for Standardization, 2022.

[11] NIST, "Integrating Cybersecurity and Enterprise Risk Management (ERM)," NIST Interagency Report (IR) 8286 Rev. 1, 2025 (Updated to align with CSF 2.0).

[12] Công ty Cổ phần Công nghệ An ninh mạng Quốc gia Việt Nam (NCS), "Báo cáo tình hình an ninh mạng Việt Nam năm 2024," NCS Group, 2025. [Trực tuyến]. Có tại: https://ncsgroup.vn.

[13] Bộ Thông tin và Truyền thông, Quyết định số 668/QĐ-BTTTT ngày 26/4/2024 ban hành Kế hoạch hành động thực hiện Chiến lược An toàn, An ninh mạng quốc gia đến năm 2025, tầm nhìn 2030.

[14] ENISA, "Cybersecurity Risk Management Frameworks and Good Practices," European Union Agency for Cybersecurity, 2023.

[15] Verizon, "2025 Data Breach Investigations Report (DBIR)," Verizon Communications, 2025.

[16] Bộ Công an, Dự thảo Quyết định của Thủ tướng Chính phủ ban hành Khung kiến trúc An ninh mạng quốc gia (phiên bản 1.0), Hà Nội, 2026.

Nguồn: Ban Cơ yếu Chính phủ

Tin liên quan
Ý kiến bạn đọc (0)

Chưa có bình luận nào. Hãy là người đầu tiên!

TSQCB Logo
Trợ lý Tuyển sinh TSQCB
Trực tuyến
Xin chào! Tôi là Trợ lý Tuyển sinh tự động của Trường Sĩ quan Công binh. Tôi có thể giúp gì cho bạn?