Quyết định này ban hành định mức kinh tế - kỹ thuật giám sát đảm bảo an toàn thông tin cho hệ thống hạ tầng kỹ thuật, dịch vụ công nghệ thông tin phục vụ quản lý nhà nước về tài nguyên và môi trường. Định mức áp dụng cho các cơ quan nhà nước, đơn vị sự nghiệp công lập, tổ chức cá nhân liên quan. Quyết định này quy định chi tiết các quy trình giám sát an toàn thông tin cho thiết bị mạng, hạ tầng ảo hóa, máy chủ, ứng dụng, cơ sở dữ liệu và người dùng, cũng như quy định về lao động, thiết bị, dụng cụ và vật liệu cần thiết để thực hiện công tác giám sát.
Đối tượng áp dụng
Các cơ quan nhà nước, đơn vị sự nghiệp công lập, tổ chức và cá nhân có liên quan thực hiện các công việc về giám sát đảm bảo an toàn thông tin đối với hệ thống hạ tầng kỹ thuật, dịch vụ công nghệ thông tin ngành tài nguyên, môi trường trên địa bàn thành phố Hà Nội.
Các điểm cốt lõi
- Định mức kinh tế - kỹ thuật áp dụng cho giám sát an toàn thông tin cho thiết bị mạng, hạ tầng ảo hóa, máy chủ, ứng dụng, cơ sở dữ liệu và người dùng.
- Các quy trình giám sát được chi tiết hóa theo từng đối tượng như thiết bị mạng, hạ tầng ảo hóa, máy chủ, ứng dụng, cơ sở dữ liệu và người dùng.
- Định mức lao động, thiết bị, dụng cụ và vật liệu cần thiết để thực hiện công tác giám sát được quy định rõ ràng.
- Quyết định này áp dụng cho các cơ quan nhà nước, đơn vị sự nghiệp công lập, tổ chức và cá nhân có liên quan trong việc quản lý an toàn thông tin đối với hệ thống hạ tầng kỹ thuật, dịch vụ công nghệ thông tin ngành tài nguyên, môi trường trên địa bàn thành phố Hà Nội.
- Định mức kinh tế - kỹ thuật này nhằm đảm bảo tính chính xác và hiệu quả trong việc giám sát an toàn thông tin cho các hệ thống hạ tầng kỹ thuật, dịch vụ công nghệ thông tin.
🌐 Tác động xã hội từ văn bản này
- Tác động tích cực: Giúp nâng cao chất lượng quản lý an toàn thông tin, giảm thiểu rủi ro về bảo mật thông tin và hỗ trợ hiệu quả trong việc thực hiện các hoạt động quản lý nhà nước về tài nguyên và môi trường.
- Tác động tiêu cực: Có thể gây thêm chi phí cho một số tổ chức do yêu cầu về lao động, thiết bị và dụng cụ chuyên biệt.
- chịu ảnh hưởng: Các cơ quan nhà nước, đơn vị sự nghiệp công lập, tổ chức và cá nhân có liên quan trong việc quản lý an toàn thông tin.
❓ Câu hỏi thường gặp
Quyết định này áp dụng cho đối tượng nào?
Quyết định này áp dụng cho các cơ quan nhà nước, đơn vị sự nghiệp công lập, tổ chức và cá nhân có liên quan thực hiện các công việc về giám sát đảm bảo an toàn thông tin đối với hệ thống hạ tầng kỹ thuật, dịch vụ công nghệ thông tin ngành tài nguyên, môi trường trên địa bàn thành phố Hà Nội.
Định mức kinh tế - kỹ thuật này bao gồm những nội dung gì?
Định mức kinh tế - kỹ thuật này bao gồm các quy trình giám sát an toàn thông tin cho thiết bị mạng, hạ tầng ảo hóa, máy chủ, ứng dụng, cơ sở dữ liệu và người dùng. Đồng thời, định mức cũng quy định về lao động, thiết bị, dụng cụ và vật liệu cần thiết để thực hiện công tác giám sát.
Có bao nhiêu đối tượng được áp dụng Quyết định này?
Quyết định này áp dụng cho các cơ quan nhà nước, đơn vị sự nghiệp công lập, tổ chức và cá nhân có liên quan thực hiện các công việc về giám sát đảm bảo an toàn thông tin đối với hệ thống hạ tầng kỹ thuật, dịch vụ công nghệ thông tin ngành tài nguyên, môi trường trên địa bàn thành phố Hà Nội.
Quyết định này quy định chi tiết những gì?
Quyết định này quy định chi tiết các quy trình giám sát an toàn thông tin cho thiết bị mạng, hạ tầng ảo hóa, máy chủ, ứng dụng, cơ sở dữ liệu và người dùng. Đồng thời, cũng quy định về lao động, thiết bị, dụng cụ và vật liệu cần thiết để thực hiện công tác giám sát.
Định mức kinh tế - kỹ thuật này có hiệu lực từ khi nào?
Quyết định này có hiệu lực kể từ ngày 20 tháng 3 năm 2026.
Toàn văn
|
ỦY BAN NHÂN DÂN |
CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM |
|
Số: 29/2026/QĐ-UBND |
Hà Nội, ngày 10 tháng 3 năm 2026 |
QUYẾT ĐỊNH
Ban hành định mức kinh tế - kỹ thuật giám sát đảm bảo an toàn thông tin đối với hệ thống hạ tầng kỹ thuật dịch vụ công nghệ thông tin phục vụ công tác quản lý nhà nước lĩnh vực tài nguyên, môi trường.
Căn cứ Luật Tổ chức chính quyền địa phương số 72/2025/QH15;
Căn cứ Luật Ban hành văn bản quy phạm pháp luật số 64/2025/QH15; Luật sửa đổi, bổ sung Luật Ban hành văn bản quy phạm pháp luật số 87/2025/QH15;
Căn cứ Luật Công nghệ thông tin số 67/2006/QH11 ngày 29/6/2006 và Văn bản hợp nhất số 65/VBHN-VPQH ngày 15/8/2025.
Căn cứ Luật An toàn thông tin mạng số 86/2015/QH13;
Căn cứ Luật An ninh mạng số 24/2018/QH14;
Căn cứ Luật Bảo vệ dữ liệu cá nhân số 91/2025/QH15;
Căn cứ Nghị định số 85/2016/NĐ-CP ngày 01 tháng 7 năm 2016 của Chính phủ về bảo đảm an toàn hệ thống thông tin theo cấp độ.
Căn cứ Nghị định số 73/2019/NĐ-CP ngày 05 tháng 9 năm 2019 của Chính phủ về quản lý đầu tư ứng dụng công nghệ thông tin sử dụng nguồn vốn ngân sách nhà nước, được sửa đổi, bổ sung bởi Nghị định số 82/2024/NĐ-CP ngày 10 tháng 7 năm 2024.
Căn cứ Nghị định số 32/2019/NĐ-CP ngày 10 tháng 4 năm 2019 của Chính phủ quy định giao nhiệm vụ, đặt hàng hoặc đấu thầu cung cấp sản phẩm, dịch vụ công sử dụng ngân sách nhà nước từ nguồn kinh phí chi thường xuyên được sửa đổi, bổ sung bởi Nghị định số 125/2025/NĐ-CP ngày 11 tháng 6 năm 2025, Nghị định số 214/2025/NĐ-CP ngày 04 tháng 8 năm 2025;
Căn cứ Nghị định số 60/2021/NĐ-CP ngày 21 tháng 6 năm 2021 về quy định cơ chế tự chủ của đơn vị sự nghiệp công lập được sửa đổi, bổ sung bởi Nghị định số 111/2025/NĐ-CP ngày 22 tháng 5 năm 2025;
Căn cứ Nghị định số 53/2022/NĐ-CP ngày 15/8/2022 của Chính phủ quy định chi tiết một số điều của Luật An ninh mạng;
Căn cứ Thông tư số 31/2017/TT-BTTTT ngày 15/11/2017 của Bộ Thông tin và Truyền thông về quy định hoạt động giám sát an toàn hệ thống thông tin;
Thông tư số 12/2022/TT-BTTTT ngày 12 tháng 8 năm 2022 của Bộ trưởng Bộ Thông tin và Truyền thông Quy định chi tiết và hướng dẫn một số điều của Nghị định số 85/2016/NĐ-CP ngày 01/7/2016;
Theo đề nghị của Giám đốc Sở Nông nghiệp và Môi trường tại Tờ trình số 77/TTr-SNNMT ngày 01 tháng 02 năm 2026 về việc dự thảo Quyết định ban hành Định mức kinh tế - kỹ thuật giám sát đảm bảo an toàn thông tin đối với hệ thống hạ tầng kỹ thuật dịch vụ công nghệ thông tin phục vụ công tác quản lý nhà nước lĩnh vực tài nguyên, môi trường;
Ủy ban nhân dân thành phố Hà Nội ban hành Quyết định ban hành Định mức kinh tế - kỹ thuật giám sát đảm bảo an toàn thông tin đối với hệ thống hạ tầng kỹ thuật dịch vụ công nghệ thông tin phục vụ công tác quản lý nhà nước lĩnh vực tài nguyên, môi trường.
QUYẾT ĐỊNH:
Điều 1. Phạm vi điều chỉnh
Định mức kinh tế - kỹ thuật giám sát đảm bảo an toàn thông tin đối với hệ thống hạ tầng kỹ thuật, dịch vụ công nghệ thông tin là căn cứ để xây dựng đơn giá và dự toán kinh phí thực hiện việc giám sát đảm bảo an toàn thông tin đối với hệ thống hạ tầng kỹ thuật, dịch vụ công nghệ thông tin phục vụ công tác quản lý nhà nước trong lĩnh vực tài nguyên, môi trường của thành phố Hà Nội.
Điều 2. Đối tượng áp dụng
Định mức kinh tế - kỹ thuật áp dụng cho các cơ quan nhà nước, các đơn vị sự nghiệp công lập, các tổ chức và cá nhân có liên quan thực hiện các công việc về giám sát đảm bảo an toàn thông tin đối với hệ thống hạ tầng kỹ thuật, dịch vụ công nghệ thông tin ngành tài nguyên, môi trường trên địa bàn thành phố Hà Nội.
Điều 3. Nội dung định mức
Định mức kinh tế - kỹ thuật giám sát đảm bảo an toàn thông tin đối với hệ thống hạ tầng kỹ thuật dịch vụ công nghệ thông tin phục vụ công tác quản lý nhà nước lĩnh vực tài nguyên, môi trường được quy định tại Phụ lục kèm theo Quyết định này gồm:
1. Định mức giám sát đảm bảo an toàn thông tin cho thiết bị mạng (tường lửa - firewall, ids/ips, router, switch)
2. Định mức giám sát đảm bảo an toàn thông tin cho hạ tầng ảo hóa (Cloud, Virtualization)
3. Định mức giám sát đảm bảo an toàn thông tin cho máy chủ (hệ điều hành Windows, Linux)
4. Định mức giám sát đảm bảo an toàn thông tin cho ứng dụng (Web, ERP, CRM, API, Email)
5. Định mức giám sát đảm bảo an toàn thông tin cho cơ sở dữ liệu
6. Định mức giám sát đảm bảo an toàn thông tin cho người dùng
7. Định mức giám sát đảm bảo an toàn thông tin cho toàn bộ hệ thống (SOC - trung tâm điều hành an ninh mạng).
Điều 4. Tổ chức thực hiện
1. Căn cứ định mức kinh tế - kỹ thuật quy định tại Quyết định này, Sở Nông nghiệp và Môi trường có trách nhiệm chủ trì, phối hợp các Sở, ngành có liên quan xây dựng đơn giá dịch vụ giám sát đảm bảo an toàn thông tin đối với hệ thống hạ tầng kỹ thuật, dịch vụ công nghệ thông tin lĩnh vực tài nguyên, môi trường trên địa bàn thành phố Hà Nội, trình UBND Thành phố ban hành theo quy định của pháp luật.
2. Trong quá trình thực hiện, Sở Nông nghiệp và Môi trường có trách nhiệm chủ trì, phối hợp các sở, ngành, đơn vị liên quan tổ chức rà soát, đánh giá, báo cáo UBND Thành phố xem xét, điều chỉnh, bổ sung kịp thời bảo đảm phù hợp thực tế và quy định pháp luật.
3. Chánh Văn phòng UBND Thành phố, Giám đốc các Sở: Nông nghiệp và Môi trường, Tài chính, Thủ trưởng các cơ quan, tổ chức, đơn vị có liên quan chịu trách nhiệm thi hành Quyết định này.
Điều 5. Hiệu lực thi hành
Quyết định này có hiệu lực kể từ ngày 20 tháng 3 năm 2026.
|
Nơi nhận: |
TM. ỦY BAN NHÂN DÂN |
PHỤ LỤC:
ĐINH MỨC KINH TẾ - KỸ THUẬT GIÁM SÁT ĐẢM BẢO AN TOÀN THÔNG TIN ĐỐI VỚI HỆ THỐNG HẠ TẦNG KỸ THUẬT DỊCH VỤ CÔNG NGHỆ THÔNG TIN PHỤC VỤ CÔNG TÁC QUẢN LÝ NHÀ NƯỚC THUỘC LĨNH VỰC TÀI NGUYÊN VÀ MÔI TRƯỜNG
(Ban hành kèm theo Quyết định số 29/2026/QĐ-UBND ngày 10/3/2026 của Ủy ban nhân dân thành phố Hà Nội)
Phần I
QUY ĐỊNH CHUNG
1. Cơ sở xây dựng định mức kinh tế - kỹ thuật
Căn cứ Luật Công nghệ thông tin số 67/2006/QH11 và Luật số 65/VBHN-VPQH.
Căn cứ Luật An toàn thông tin mạng số 86/2015/QH13;
Căn cứ Luật An ninh mạng số 24/2018/QH14;
Căn cứ Luật Bảo vệ dữ liệu cá nhân số 91/2025/QH15;
Căn cứ Nghị định số 204/2004/NĐ-CP ngày 14 tháng 12 năm 2004 của Chính phủ về chế độ tiền lương đối với cán bộ, công chức, viên chức và lực lượng vũ trang;
Căn cứ Nghị định số 117/2016/NĐ-CP ngày 21 tháng 7 năm 2016 của Chính phủ sửa đổi bổ sung một số điều Nghị định số 204/2004/NĐ-CP ngày 14 tháng 12 năm 2004 của Chính phủ về chế độ tiền lương đối với cán bộ, công chức, viên chức và lực lượng vũ trang;
Căn cứ Nghị định số 85/2016/NĐ-CP ngày 01 tháng 7 năm 2016 của Chính phủ về bảo đảm an toàn hệ thống thông tin theo cấp độ.
Căn cứ Nghị định số 73/2019/NĐ-CP ngày 05 tháng 9 năm 2019 của Chính phủ về quản lý đầu tư ứng dụng công nghệ thông tin sử dụng nguồn vốn ngân sách nhà nước, được sửa đổi, bổ sung bởi Nghị định số 82/2024/NĐ-CP ngày 10 tháng 7 năm 2024.
Căn cứ Nghị định số 53/2022/NĐ-CP ngày 15/8/2022 của Chính phủ quy định chi tiết một số điều của Luật An ninh mạng;
Căn cứ Thông tư số 31/2017/TT-BTTTT ngày 15/11/2017 của Bộ Thông tin và Truyền thông về quy định hoạt động giám sát an toàn hệ thống thông tin;
Căn cứ Thông tư số 12/2022/TT-BTTTT ngày 12 tháng 8 năm 2022 của Bộ trưởng Bộ Thông tin và Truyền thông Quy định chi tiết và hướng dẫn một số điều của Nghị định số 85/2016/NĐ-CP ngày 01/7/2016;
Căn cứ Thông tư số 26/2014/TT-BTNMT ngày 28 tháng 5 năm 2014 của Bộ trưởng Bộ Tài nguyên và Môi trường ban hành Quy trình và Định mức kinh tế - kỹ thuật xây dựng cơ sở dữ liệu tài nguyên và môi trường;
Căn cứ Thông tư số 14/2020/TT-BTNMT ngày 27 tháng 11 năm 2020 của Bộ Tài nguyên và Môi trường ban hành Quy trình và Định mức kinh tế - kỹ thuật xây dựng, duy trì, vận hành hệ thống thông tin ngành tài nguyên và môi trường;
Căn cứ Thông tư số 23/2023/TT-BTC ngày 25/4/2023 của Bộ Tài chính hướng dẫn chế độ quản lý, tính hao mòn, khấu hao tài sản cố định tại cơ quan, tổ chức, đơn vị và tài sản cố định do nhà nước giao cho doanh nghiệp quản lý không tính thành phần vốn nhà nước tại doanh nghiệp;
Căn cứ Nghị quyết số 16/NQ-HĐND ngày 04/7/2023 của HĐND thành phố Hà Nội ban hành Danh mục dịch vụ sự nghiệp công sử dụng ngân sách nhà nước thuộc lĩnh vực tài nguyên và môi trường.
2. Quy định viết tắt
|
STT |
Viết tắt |
Tiếng Anh |
Giải nghĩa tiếng Việt |
|
1. |
ATTT |
Information Security |
An toàn thông tin |
|
2. |
CVE |
Common Vulnerabilities and Exposures |
Danh mục lỗ hổng bảo mật chuẩn quốc tế |
|
3. |
Patch Management |
Patch Management |
Quản lý bản vá hệ thống |
|
4. |
IDS/IPS |
Intrusion Detection/Prevention System |
Hệ thống phát hiện/ngăn chặn xâm nhập |
|
5. |
DoS/DDoS |
Denial of Service / Distributed Denial of Service |
Tấn công từ chối dịch vụ |
|
6. |
Pentest |
Penetration Testing |
Kiểm thử xâm nhập |
|
7. |
SQLi |
SQL Injection |
Kỹ thuật tấn công chèn lệnh SQL |
|
8. |
XSS |
Cross-Site Scripting |
Kỹ thuật tấn công chèn mã script |
|
9. |
RCE |
Remote Code Execution |
Khai thác thực thi mã từ xa |
|
10. |
OWASP Top 10 |
OWASP Top 10 |
10 lỗ hổng bảo mật web phổ biến nhất |
|
11. |
CWE |
Common Weakness Enumeration |
Danh mục các điểm yếu phần mềm |
|
12. |
AD |
Active Directory |
Dịch vụ quản lý tài khoản/máy tính của Microsoft |
|
13. |
RBAC |
Role-Based Access Control |
Mô hình phân quyền dựa trên vai trò |
|
14. |
UBA |
User Behavior Analytics |
Phân tích hành vi người dùng |
|
15. |
AuthN |
Authentication |
Xác thực người dùng |
|
16. |
MFA |
Multi-Factor Authentication |
Xác thực đa yếu tố |
|
17. |
IAM |
Identity and Access Management |
Quản lý danh tính và quyền truy cập |
|
18. |
SIEM |
Security Information and Event Management |
Hệ thống quản lý sự kiện và thông tin bảo mật |
|
19. |
SOAR |
Security Orchestration, Automation, and Response |
Tự động hóa điều phối và ứng phó sự cố bảo mật |
|
20. |
DLP |
Data Loss Prevention |
Ngăn chặn thất thoát dữ liệu |
|
21. |
AV |
Anti-Virus |
Phần mềm chống virus |
|
22. |
EDR |
Endpoint Detection & Response |
Phát hiện và phản hồi sự cố trên thiết bị đầu cuối |
|
23. |
WAF |
Web Application Firewall |
Tường lửa ứng dụng web |
|
24. |
Wazuh |
Wazuh |
Nền tảng SIEM mã nguồn mở |
|
25. |
OSSEC |
OSSEC |
Hệ thống phát hiện xâm nhập mã nguồn mở |
|
26. |
Splunk |
Splunk |
Công cụ SIEM thương mại |
|
27. |
QRadar |
IBM QRadar |
Giải pháp SIEM của IBM |
|
28. |
ELK Stack |
Elasticsearch, Logstash, Kibana |
Bộ công cụ thu thập và phân tích log |
|
29. |
ArcSight |
ArcSight |
Giải pháp quản lý log và bảo mật |
|
30. |
Datadog |
Datadog |
Nền tảng giám sát và bảo mật hệ thống |
|
31. |
OpenVAS |
Open Vulnerability Assessment System |
Công cụ quét lỗ hổng mã nguồn mở |
|
32. |
Nessus |
Nessus |
Công cụ quét lỗ hổng phổ biến |
|
33. |
QualysGuard |
QualysGuard |
Giải pháp quét lỗ hổng thương mại |
|
34. |
Snort |
Snort |
Hệ thống IDS/IPS mã nguồn mở |
|
35. |
Suricata |
Suricata |
Công cụ IDS/IPS mã nguồn mở |
|
36. |
ModSecurity |
ModSecurity |
Tường lửa ứng dụng web mã nguồn mở |
|
37. |
OWASP ZAP |
OWASP Zed Attack Proxy |
Công cụ kiểm thử bảo mật web miễn phí |
|
38. |
Burp Suite Pro |
Burp Suite Professional |
Công cụ pentest ứng dụng web thương mại |
|
39. |
SonarQube |
SonarQube |
Công cụ phân tích mã nguồn và tìm lỗ hổng |
|
40. |
Checkmarx |
Checkmarx |
Giải pháp kiểm tra bảo mật ứng dụng |
|
41. |
Veracode |
Veracode |
Nền tảng kiểm thử bảo mật ứng dụng |
|
42. |
pgAudit |
PostgreSQL Audit Extension |
Công cụ ghi log giám sát CSDL PostgreSQL |
|
43. |
MySQL Audit |
MySQL Audit Plugin |
Công cụ ghi log giám sát MySQL |
|
44. |
IBM Guardium |
IBM Guardium |
Giải pháp bảo mật và giám sát CSDL |
|
45. |
Imperva |
Imperva |
Công cụ bảo mật CSDL thương mại |
|
46. |
Bacula |
Bacula |
Công cụ quản lý sao lưu mã nguồn mở |
|
47. |
Amanda |
Amanda |
Giải pháp sao lưu mã nguồn mở |
|
48. |
Veeam |
Veeam |
Phần mềm sao lưu dữ liệu thương mại |
|
49. |
Commvault |
Commvault |
Giải pháp quản trị sao lưu dữ liệu |
|
50. |
Varonis |
Varonis |
Giải pháp giám sát và bảo mật dữ liệu |
|
51. |
Okta |
Okta |
Giải pháp quản lý danh tính & MFA |
|
52. |
Ping Identity |
Ping Identity |
Nền tảng quản lý truy cập và danh tính |
|
53. |
CloudTrail |
AWS CloudTrail |
Dịch vụ ghi log hoạt động của AWS |
|
54. |
Prisma Cloud |
Prisma Cloud |
Nền tảng bảo mật đa đám mây |
|
55. |
ScoutSuite |
ScoutSuite |
Công cụ kiểm tra cấu hình bảo mật Cloud |
|
56. |
Prowler |
Prowler |
Công cụ kiểm tra cấu hình AWS |
|
57. |
ntopng |
ntopng |
Công cụ phân tích lưu lượng mạng |
|
58. |
Zeek (Bro) |
Zeek (Bro) |
Công cụ phân tích lưu lượng mạng |
|
59. |
Arbor |
Arbor Networks |
Giải pháp chống DDoS |
|
60. |
Darktrace |
Darktrace |
Nền tảng AI an ninh mạng |
|
61. |
RSA Archer |
RSA Archer |
Giải pháp quản trị rủi ro và tuân thủ |
|
62. |
ServiceNow GRC |
ServiceNow Governance, Risk, Compliance |
Giải pháp quản trị rủi ro, tuân thủ |
|
63. |
ISO/IEC 27001 |
ISO/IEC 27001 |
Tiêu chuẩn hệ thống quản lý an toàn thông tin |
|
64. |
ISO/IEC 27002 |
ISO/IEC 27002 |
Hướng dẫn áp dụng kiểm soát ATTT |
|
65. |
ISO/IEC 27035 |
ISO/IEC 27035 |
Tiêu chuẩn quản lý sự cố an toàn thông tin |
|
66. |
ISO/IEC 27017 |
ISO/IEC 27017 |
Hướng dẫn bảo mật cho dịch vụ Cloud |
|
67. |
ISO/IEC 27018 |
ISO/IEC 27018 |
Bảo vệ dữ liệu cá nhân trong môi trường Cloud |
3. Giải thích từ ngữ
Trong văn bản này, các từ ngữ dưới đây được hiểu như sau:
a) Hệ thống phần cứng công nghệ thông tin là tập hợp hạ tầng phần cứng vật lý các thiết bị công nghệ thông tin bao gồm:
- Hệ thống máy chủ.
- Hệ thống thiết bị mạng.
- Hệ thống thiết bị lưu trữ, sao lưu dữ liệu.
- Hệ thống cáp mạng.
- Hệ thống thiết bị hội nghị truyền hình.
- Hệ thống thoại IP.
b) Phần mềm hệ thống là phần mềm quản lý điều hành thiết bị phần cứng công nghệ thông tin, các phần mềm phục vụ quản lý người dùng và quản lý các quá trình truy cập của người dùng và các quá trình đòi hỏi cần quản lý trong quá trình khai thác, bao gồm:
- Dịch vụ DNS, WINS, LDAP, Directory, Proxy, Cluster, DHCP, CA, Radius, NMS,... và tương đương.
- Phần mềm quản lý, giám sát mạng.
- Phần mềm dò quét lỗ hổng an ninh mạng, website.
- Phần mềm sao lưu, phục hồi.
- Phần mềm giám sát mạng không dây.
- Phần mềm hỗ trợ người dùng.
- Phần mềm thu thập và phân tích logs.
- Phần mềm tường lửa, phòng chống tấn công mạng, QoS.
- Phần mềm cân bằng tải.
- Phần mềm chống tấn công từ chối dịch vụ.
- Phần mềm quản lý máy chủ ảo hóa.
- Phần mềm mạng riêng ảo VPN.
- Phần mềm xử lý dữ liệu không gian (Arc GIS, MapInfo,…).
- Phần mềm hệ quản trị cơ sở dữ liệu (Oracle, Microsoft SQL Server,…).
- Phần mềm nguồn mở.
PHẦN II
QUY TRÌNH KỸ THUẬT GIÁM SÁT ĐẢM BẢO AN TOÀN THÔNG TIN ĐỐI VỚI HỆ THỐNG HẠ TẦNG KỸ THUẬT DỊCH VỤ CÔNG NGHỆ THÔNG TIN
I. Quy trình giám sát đảm bảo an toàn thông tin cho thiết bị mạng (tường lửa - firewall, IDS/IPS, router, switch)
1. Các bước thực hiện
1.1. Chuẩn bị và thiết lập
- Lập sơ đồ mạng và danh mục thiết bị (CMDB).
- Chuẩn hóa cấu hình log: bật syslog/CEF/JSON, định nghĩa mức log.
- Thiết lập kênh thu tập trung (syslog-ng, rsyslog, Logstash) kết nối với SIEM.
- Thiết lập AAA (TACACS+/RADIUS), tăng cường bảo mật SSH, quản lý mật khẩu/khóa.
1.2. Thu thập và vận hành
- Thu log: ACL hits, VPN, firewall accept/deny, cảnh báo IDS/IPS, thay đổi định tuyến.
- Giám sát hiệu năng thiết bị: CPU, RAM, lỗi cổng mạng, gián đoạn kết nối.
- Giám sát NetFlow/sFlow/IPFIX để phát hiện lưu lượng bất thường.
- Giám sát tuân thủ cấu hình, backup định kỳ, phát hiện thay đổi trái phép.
- Cảnh báo theo ngưỡng và đối chiếu IOC từ nguồn tình báo mối đe dọa.
1.3. Phân tích và tương quan (SIEM/SOC)
- Xây dựng quy tắc tương quan
- Thực hiện phân loại cảnh báo (triage), tìm kiếm mối đe dọa (threat hunting).
1.4. Xác minh và ứng cứu ban đầu
- Xác minh nguồn gốc (MAC, p-rt, VLAN), capture gói tin (pcap).
- Biện pháp ban đầu: chặn IP/ASN, cô lập cổng, thay đổi rule trên firewall.
- Ghi lại chuỗi thời gian sự kiện phục vụ điều tra (f-rensic, IS-/IEC 27035).
1.5. Bảo mật dữ liệu giám sát
- Mã hóa kênh l-g (TLS), lưu vết truy cập.
- Chính sách lưu giữ: l-g chi tiết 90-180 ngày, bản tóm tắt 1-3 năm.
1.6. Đánh giá và cải tiến
- Rà soát quy tắc, chữ ký, ngưỡng hàng tháng/quý.
- Diễn tập ứng cứu (tablet-p, kiểm thử xâm nhập).
2. Sản phẩm
(1). Báo cáo hàng ngày: số lượng cảnh báo, sự kiện quan trọng, thiết bị ngừng hoạt động (theo Mẫu TBM.01).
(2). Báo cáo hàng tuần: mức sử dụng băng thông, tình trạng backup cấu hình (theo Mẫu TBM.02).
(3). Báo cáo sự cố (theo ISO/IEC 27035): chuỗi thời gian, nguyên nhân gốc, biện pháp xử lý (theo Mẫu TBM.03).
(4). Báo cáo hàng tháng: xu hướng tấn công, IOC, baseline lưu lượng (theo Mẫu TBM.04).
(5). Báo cáo tuân thủ cấu hình, audit log (theo Mẫu TBM.05).
(6). Chỉ số đo lường (KPI): thời gian phát hiện (MTTD), thời gian xử lý (MTTR), tỷ lệ cảnh báo sai (false positives), tỷ lệ thiết bị gửi log (theo Mẫu TBM.06).
(Chi tiết tại Phụ lục 1 kèm theo)
II. Quy trình giám sát đảm bảo an toàn thông tin cho hạ tầng ảo hóa (cloud, virtualization)
1. Các bước thực hiện
1.1. Chuẩn bị và thiết lập
- Kiểm kê host, VM, container, tài nguyên đám mây.
- Bật log gốc (AWS CloudTrail, VPC Flow Logs, Azure Monitor, GCP Audit Logs).
- Cấu hình audit log cho API call, snapshot, migration, thay đổi IAM.
- Quét lỗ hổng image, áp dụng chính sách registry.
1.2. Thu thập và giám sát
- Log API: thay đổi quyền, tạo khóa truy cập, thay đổi bucket công khai.
- Giám sát lưu lượng mạng trong nội bộ đám mây (flow logs).
- Giám sát RBAC trong Kubernetes, hoạt động container.
1.3 Phân tích và xử lý
- Tạo IAM key mới + xuất dữ liệu lớn → cảnh báo.
- Vô hiệu hóa key, cô lập namespace, chặn bucket.
1.4 Bảo mật dữ liệu
- Mã hóa log, lưu giữ theo quy định (GDPR, pháp luật Việt Nam).
- Thực hiện quản lý bảo mật đám mây (CSPM).
2. Sản phẩm
(1). Báo cáo hàng ngày: sự kiện truy cập IAM, thay đổi cấu hình cloud, cảnh báo bảo mật container/VM (theo Mẫu AH.01).
(2). Báo cáo hàng tuần: trạng thái tài nguyên cloud (CPU, storage, network), nhật ký audit API, tình trạng backup snapshot (theo Mẫu AH.02).
(3). Báo cáo sự cố: chi tiết sự kiện vi phạm quyền truy cập, rò rỉ dữ liệu, hành vi bất thường trên VM/container, biện pháp khắc phục (theo Mẫu AH.03).
(4). Báo cáo hàng tháng: xu hướng tấn công trên hạ tầng ảo hóa, phân tích sử dụng IAM key, thống kê thay đổi cấu hình và baseline bảo mật (theo Mẫu AH.04).
(5) Báo cáo tuân thủ: đánh giá chính sách bảo mật cloud (CIS Benchmark, ISO/IEC 27017), kiểm tra lưu giữ log và mã hóa dữ liệu (theo Mẫu AH.05).
(6). Chỉ số đo lường (KPI): Thời gian phát hiện và xử lý sự cố (MTTD, MTTR); Tỷ lệ sự kiện bất thường được phân tích tự động (automation rate); Số lượng tài nguyên tuân thủ baseline bảo mật (% compliant); Tỷ lệ VM/container gửi log đầy đủ (theo Mẫu AH.06).
(Chi tiết tại Phụ lục 2 kèm theo)
III. Quy trình giám sát đảm bảo an toàn thông tin cho máy chủ (hệ điều hành windows, linux)
1. Các bước thực hiện
1.1. Chuẩn bị và thiết lập
- Kiểm kê hệ điều hành, phiên bản, bản vá, vai trò.
- Tăng cường bảo mật (hardening) theo chuẩn CIS.
- Bật audit logging: syslog (Linux), Windows Event Forwarding, audit DB.
1.2. Thu thập và giám sát
- Log: đăng nhập thành công/thất bại, sử dụng sudo, lỗi kernel.
- Log DB: truy vấn lỗi, thay đổi cấu trúc, xuất dữ liệu.
- Giám sát CPU, RAM, I/O, số lượng kết nối.
1.3. Phân tích và xác minh
- Tương quan: nhiều lần đăng nhập thất bại trên nhiều server → tấn công ngang.
- Kích hoạt điều tra forensic (memory dump, snapshot).
1.4. Ứng cứu ban đầu
- Cô lập server, vô hiệu hóa tài khoản, thay đổi mật khẩu.
- Tạo snapshot để lưu bằng chứng.
1.5. Bảo mật dữ liệu
- Mã hóa log khi lưu trữ, kiểm soát truy cập.
- Chính sách lưu giữ log.
1.6. Đánh giá định kỳ
Quét lỗ hổng, lập lịch vá lỗi, báo cáo thay đổi cấu hình
2. Sản phẩm
(1). Báo cáo hàng ngày: đăng nhập bất thường, lỗi hệ thống, dịch vụ dừng đột ngột, thay đổi quyền hoặc nhóm người dùng (theo Mẫu HĐH.01).
(2). Báo cáo hàng tuần: tình trạng CPU/RAM/I/O, số lượng kết nối, trạng thái bản vá và dịch vụ quan trọng (theo Mẫu HĐH.02).
(3). Báo cáo sự cố: chi tiết sự kiện xâm nhập, lỗi bảo mật, kết quả forensic (log, memory dump, snapshot), biện pháp khắc phục (theo Mẫu HĐH.03).
(4) Báo cáo hàng tháng: thống kê xu hướng sự cố, mức độ tuân thủ hardening, tỷ lệ máy chủ đã vá đầy đủ, thay đổi cấu hình bảo mật (theo Mẫu HĐH.04).
(5). Báo cáo tuân thủ: đối chiếu chuẩn CIS, NIST, ISO/IEC 27001; kiểm tra chính sách quản lý tài khoản, lưu trữ và mã hóa log (theo Mẫu HĐH.05).
(6). Chỉ số đo lường (KPI): Thời gian phát hiện và xử lý sự cố (MTTD, MTTR); Tỷ lệ máy chủ cập nhật bản vá đúng hạn; Số lượng cảnh báo sai (false positives); Tỷ lệ máy chủ gửi log và tuân thủ baseline bảo mật (theo Mẫu HĐH.06).
(Chi tiết tại Phụ lục 3 kèm theo)
IV. Quy trình giám sát đảm bảo an toàn thông tin cho ứng dụng (web, erp, crm, api, email)
1. Các bước thực hiện
1.1. Chuẩn bị và thiết lập
- Kiểm kê danh mục ứng dụng, phiên bản, môi trường triển khai (dev/test/prod).
- Bật log truy cập, xác thực, lỗi ứng dụng, giao dịch API.
- Cấu hình tường lửa ứng dụng web (WAF), DLP, bảo vệ API gateway.
1.2. Thu thập và giám sát
- Thu thập log request/response, API usage, cảnh báo từ WAF và IDS.
- Giám sát truy cập bất thường, tần suất POST/GET cao, lỗi 4xx/5xx, email spam/phishing.
- Giám sát hành vi giao dịch nghi ngờ (fraud detection, brute force, SQLi, XSS).
1.3. Phân tích và tương quan
- Tương quan WAF block + login thất bại hàng loạt → tấn công brute force.
- Phân tích chuỗi request để phát hiện khai thác API hoặc rò rỉ dữ liệu.
- Kết hợp log ứng dụng và hệ thống xác thực (SSO/AD) để xác minh người dùng.
1.4. Ứng cứu ban đầu
- Giới hạn tốc độ, tạm khóa tài khoản, reset mật khẩu.
- Vá nóng (hotfix), cập nhật chữ ký WAF, chặn IP/ASN tấn công.
- Thông báo sự cố và ghi nhận bằng chứng phục vụ điều tra.
1.5. Bảo mật dữ liệu log
- Che giấu hoặc ẩn danh dữ liệu cá nhân (PII) trong log.
- Mã hóa log khi lưu trữ, kiểm soát quyền truy cập và chính sách lưu giữ.
1.6. Đánh giá và cải tiến
- Kiểm thử xâm nhập định kỳ, rà soát quy tắc WAF và API policy.
- Cập nhật baseline an toàn ứng dụng và đào tạo đội ngũ vận hành.
2. Sản phẩm
(1). Báo cáo hàng ngày: số lượng truy cập, lỗi ứng dụng, cảnh báo WAF/API, đăng nhập bất thường (theo Mẫu UD.01).
(2). Báo cáo hàng tuần: trạng thái hoạt động ứng dụng, hiệu suất API, tỷ lệ lỗi và phản hồi chậm (theo Mẫu UD.02).
(3). Báo cáo sự cố: chi tiết khai thác lỗ hổng, tấn công brute force, phishing, rò rỉ dữ liệu; biện pháp xử lý (theo Mẫu UD.03).
(4). Báo cáo hàng tháng: thống kê xu hướng tấn công, hiệu quả quy tắc WAF, tỷ lệ giao dịch nghi ngờ, đánh giá bảo mật API (theo Mẫu UD.04).
(5). Báo cáo tuân thủ: đối chiếu OWASP Top 10, ISO/IEC 27034, GDPR (nếu có), kiểm tra chính sách PII và mã hóa log (theo Mẫu UD.05).
(6). Chỉ số đo lường (KPI): MTTD/MTTR (thời gian phát hiện và khắc phục); Số lượng lỗ hổng được vá đúng hạn; Tỷ lệ cảnh báo đúng (true positives); Tỷ lệ log ứng dụng được thu thập và phân tích đầy đủ (theo Mẫu UD.06).
(Chi tiết tại Phụ lục 4 kèm theo)
V. Quy trình giám sát đảm bảo an toàn thông tin cho cơ sở dữ liệu
1. Các bước thực hiện
1.1. Chuẩn bị và thiết lập
- Kiểm kê hệ quản trị cơ sở dữ liệu (DBMS), phiên bản, vai trò, và người quản trị.
- Bật audit log, query log, slow query log.
- Cấu hình giám sát kết nối, phân quyền, thay đổi cấu trúc bảng/lược đồ.
- Áp dụng hardening theo chuẩn CIS/OWASP Database Security.
1.2. Thu thập và giám sát
- Thu thập log truy cập, đăng nhập, truy vấn lỗi, hành vi thao tác dữ liệu (INSERT/UPDATE/DELETE).
- Giám sát thay đổi quyền truy cập, tạo tài khoản mới, hoặc cấp quyền DBA.
- Theo dõi hiệu năng DB: CPU, I/O, deadlock, kết nối bất thường.
- Giám sát backup/restore, lịch trình và trạng thái sao lưu.
1.3. Phân tích và tương quan
- Tương quan các hành vi bất thường: DROP table + đăng nhập ngoài giờ + truy cập từ IP lạ.
- Phát hiện truy vấn khối lượng lớn hoặc quét dữ liệu nhạy cảm (data exfiltration).
- Đối chiếu nhật ký DB với log ứng dụng và hệ điều hành để xác minh hành vi.
1.4. Ứng cứu ban đầu
- Cô lập tài khoản nghi ngờ, thu hồi quyền truy cập, khóa session đang hoạt động.
- Khôi phục dữ liệu từ bản sao lưu, ghi nhận log phục vụ điều tra.
- Vá lỗi hoặc điều chỉnh cấu hình bảo mật (role, GRANT/REVOKE).
1.5. Bảo mật dữ liệu và log
- Mã hóa dữ liệu nhạy cảm (at rest, in transit), ẩn danh dữ liệu khi test.
- Mã hóa log, kiểm soát quyền truy cập, lưu trữ an toàn và tuân thủ chính sách retention.
1.6. Đánh giá và cải tiến
- Rà soát quyền tài khoản, kiểm tra chính sách backup và mã hóa định kỳ.
- Kiểm thử xâm nhập database, cập nhật baseline bảo mật.
2. Sản phẩm
(1). Báo cáo hàng ngày: đăng nhập bất thường, truy vấn lỗi, thay đổi cấu trúc hoặc quyền truy cập (theo Mẫu CSDL.01).
(2). Báo cáo hàng tuần: tình trạng hiệu năng DB, lịch backup/restore, log audit (theo Mẫu CSDL.02).
(3). Báo cáo sự cố: chi tiết truy vấn phá hoại (DROP/DELETE), rò rỉ dữ liệu, biện pháp khôi phục (theo Mẫu CSDL.03).
(4). Báo cáo hàng tháng: xu hướng truy cập, thay đổi quyền, thống kê hiệu năng, kiểm tra tuân thủ chính sách lưu trữ (theo Mẫu CSDL.04).
(5). Báo cáo tuân thủ: đối chiếu chuẩn bảo mật cơ sở dữ liệu (CIS Benchmark, ISO/IEC 27001, PCI DSS), đánh giá trạng thái mã hóa và quản lý quyền (theo Mẫu CSDL.05).
(6). Chỉ số đo lường (KPI): Thời gian phát hiện và xử lý sự cố (MTTD, MTTR); Tỷ lệ backup thành công và khôi phục thử nghiệm; Tỷ lệ phát hiện truy vấn bất thường; Tỷ lệ cơ sở dữ liệu tuân thủ baseline bảo mật và mã hóa (theo Mẫu CSDL.06).
(Chi tiết tại Phụ lục 5 kèm theo)
VI. Quy trình giám sát đảm bảo an toàn thông tin cho người dùng
1. Các bước thực hiện
1.1. Chuẩn bị và thiết lập
- Kiểm kê danh sách tài khoản người dùng, vai trò, nhóm, và các đặc quyền.
- Thiết lập hệ thống quản lý danh tính và truy cập (IAM) và bật audit log cho các sự kiện xác thực (Active Directory/SSO).
- Cấu hình giám sát truy cập từ xa (VPN, VDI) và các dịch vụ chia sẻ tài nguyên.
- Áp dụng chính sách mật khẩu và xác thực đa yếu tố (MFA).
1.2. Thu thập và giám sát
- Thu thập log đăng nhập/đăng xuất thành công/thất bại, thay đổi mật khẩu, thay đổi vai trò.
- Giám sát đăng nhập bất thường (từ IP lạ, ngoài giờ hành chính, tốc độ di chuyển không thể lý giải).
- Giám sát hành vi người dùng đặc quyền (Admin, Root, DBA) trong việc truy cập tài nguyên.
- Thu thập log truy cập vào dữ liệu nhạy cảm (qua DLP, file share audit).
1.3. Phân tích và tương quan
- Xây dựng baseline hành vi cho từng nhóm người dùng (giờ làm việc, tài nguyên truy cập, khối lượng download/upload).
- Tương quan đăng nhập thành công bất thường + truy cập tệp nhạy cảm + download khối lượng lớn → rò rỉ dữ liệu nội bộ.
- Phân tích chuỗi sự kiện để phát hiện tấn công chiếm quyền tài khoản (account takeover).
1.4. Ứng cứu ban đầu
- Vô hiệu hóa hoặc tạm khóa tài khoản bị chiếm quyền.
- Buộc đăng xuất (force logoff) và reset mật khẩu cho người dùng.
- Cô lập thiết bị đầu cuối của người dùng có hành vi bất thường.
- Thông báo và phối hợp với phòng ban nhân sự/quản lý để xác minh.
1.5. Bảo mật dữ liệu và log
- Đảm bảo log xác thực được mã hóa và lưu trữ an toàn, tách biệt khỏi log hệ thống.
- Tuân thủ chính sách lưu giữ log theo quy định pháp luật.
- Thực hiện ẩn danh (anonymization) hoặc che giấu (masking) thông tin nhận dạng cá nhân (PII) trong log.
1.6. Đánh giá và cải tiến
- Rà soát định kỳ các tài khoản không hoạt động (idle accounts) và đặc quyền.
- Thực hiện các chiến dịch kiểm tra phishing và đào tạo nhận thức bảo mật cho người dùng.
- Cập nhật baseline hành vi UEBA dựa trên các sự cố đã xảy ra.
2. Sản phẩm
(1). Báo cáo hàng ngày: Đăng nhập bất thường (khác vị trí, ngoài giờ), thất bại đăng nhập/MFA liên tục, thay đổi mật khẩu/đặc quyền người dùng (theo Mẫu USER.01).
(2). Báo cáo hàng tuần: Thống kê hành vi người dùng đặc quyền, tổng hợp truy cập dữ liệu nhạy cảm, trạng thái xác thực MFA/SSO, tài khoản không hoạt động (theo Mẫu USER.02).
(3). Báo cáo sự cố: Chi tiết sự kiện chiếm quyền tài khoản, vi phạm chính sách truy cập, rò rỉ dữ liệu nội bộ do người dùng; biện pháp khắc phục (theo Mẫu USER.03).
(4). Báo cáo hàng tháng: Xu hướng hành vi bất thường (UEBA), đánh giá tài khoản đặc quyền, thống kê kết quả kiểm tra phishing, rà soát tài khoản không hoạt động (theo Mẫu USER.04).
(5). Báo cáo tuân thủ: Đối chiếu chính sách IAM với ISO/IEC 27001 (A.9, A.11), NIST CSF; kiểm tra việc áp dụng MFA, và chính sách quản lý mật khẩu (theo Mẫu USER.05).
(6). Chỉ số đo lường (KPI): Thời gian phát hiện và xử lý sự cố (MTTD, MTTR); Tỷ lệ tài khoản có MFA; Tỷ lệ người dùng vi phạm chính sách mật khẩu; Tỷ lệ hành vi bất thường được UEBA phát hiện chính xác (theo Mẫu USER.06).
(Chi tiết tại Phụ lục 6 kèm theo)
VII. Quy trình giám sát đảm bảo an toàn thông tin cho toàn bộ hệ thống (SOC - Trung tâm điều hành an ninh mạng)
1. Các bước thực hiện
1.1. Chuẩn bị và thiết lập
- Triển khai và cấu hình hệ thống SIEM/SOAR, tích hợp log từ các nguồn: mạng, máy chủ, ứng dụng, cơ sở dữ liệu, endpoint, cloud.
- Xây dựng thư viện tình huống (use-case library) theo mô hình MITRE ATT&CK.
- Xác định ngưỡng cảnh báo, mức độ ưu tiên (severity), quy trình phân quyền xử lý.
1.2. Giám sát và phân tích
- Giám sát liên tục 24/7 các sự kiện an ninh trên toàn hệ thống.
- Thực hiện phân loại (triage), làm giàu dữ liệu (enrichment), tương quan cảnh báo (correlation).
- Phát hiện hành vi tấn công (brute force, phishing, privilege escalation, lateral movement).
1.3. Ứng cứu và xử lý sự cố
- Thực hiện playbook phản ứng: DDoS, ransomware, khai thác lỗ hổng, lạm dụng đặc quyền.
- Kích hoạt quy trình escalation đến đội chuyên trách, cô lập hệ thống hoặc tài khoản nghi ngờ.
- Ghi nhận và lưu trữ toàn bộ chuỗi sự kiện phục vụ điều tra.
1.4. Săn tìm mối đe dọa
- Phân tích hành vi ẩn, IOC, log lịch sử để phát hiện tấn công chưa được cảnh báo.
- Sử dụng nguồn threat intelligence nội bộ và bên thứ ba (MISP, VirusTotal, AlienVault OTX).
- Cập nhật danh sách IOC, YARA rule, pattern nhận diện tấn công mới.
1.5. Rà soát và cải tiến
- Thực hiện đánh giá sau sự cố (post-incident review), cập nhật quy tắc SIEM và playbook.
- Đánh giá năng lực phản ứng của đội SOC, đề xuất đào tạo và nâng cấp công cụ.
- Báo cáo định kỳ kết quả vận hành và cải thiện khả năng phát hiện.
2. Sản phẩm
(1). Báo cáo hàng ngày: số lượng cảnh báo, sự kiện nghi ngờ, tình trạng thiết bị/nguồn log, hành vi đáng chú ý (theo Mẫu SOC.01).
(2). Báo cáo hàng tuần: thống kê mức độ cảnh báo, top 10 mối đe dọa, hiệu quả quy tắc phát hiện, tình trạng phản ứng sự cố (theo Mẫu SOC.02).
(3). Báo cáo sự cố: chi tiết chuỗi sự kiện, phân tích nguyên nhân gốc (root cause), tác động và biện pháp khắc phục theo ISO/IEC 27035 (theo Mẫu SOC.03).
(4). Báo cáo hàng tháng: xu hướng tấn công, thống kê IOC, hiệu quả threat hunting, tỷ lệ cảnh báo chính xác (theo Mẫu SOC.04).
(5) Báo cáo tuân thủ: đối chiếu tiêu chuẩn vận hành SOC (ISO/IEC 27035, NIST 800-61, MITRE ATT&CK), kiểm tra đầy đủ nguồn log (theo Mẫu SOC.05).
(6). Chỉ số đo lường (KPI): MTTD, MTTR (thời gian phát hiện và xử lý); Tỷ lệ cảnh báo chính xác (true positive rate); Số lượng sự cố được phát hiện chủ động qua threat hunting; Tỷ lệ hệ thống/thiết bị gửi log đầy đủ về SIEM (theo Mẫu SOC.06).
(Chi tiết tại Phụ lục 7 kèm theo)
PHẦN III
ĐỊNH MỨC KINH TẾ - KỸ THUẬT GIÁM SÁT ĐẢM BẢO AN TOÀN THÔNG TIN ĐỐI VỚI HỆ THỐNG HẠ TẦNG KỸ THUẬT DỊCH VỤ CÔNG NGHỆ THÔNG TIN
CHƯƠNG I
GIÁM SÁT ĐẢM BẢO AN TOÀN THÔNG TIN CHO THIẾT BỊ MẠNG (TƯỜNG LỬA - FIREWALL, IDS/IPS, ROUTER, SWITCH)
I. Chuẩn bị và thiết lập
1. Định mức lao động
1.1. Nội dung công việc
a) Lập sơ đồ mạng và danh mục thiết bị (CMDB).
b) Chuẩn hóa cấu hình log: bật syslog/CEF/JSON, định nghĩa mức log.
c) Thiết lập kênh thu tập trung (syslog-ng, rsyslog, Logstash) kết nối với SIEM.
d) Thiết lập AAA (TACACS+/RADIUS), tăng cường bảo mật SSH, quản lý mật khẩu/khóa.
1.2. Phân loại khó khăn
Các yếu tố ảnh hưởng
|
STT |
Các yếu tố ảnh hưởng |
Giải thích |
Điểm tối đa |
Quy tắc tính điểm |
|
1 |
Số lượng thiết bị/host cần giám sát (m) |
Tổng số thiết bị mạng, máy chủ, endpoint phải thu log |
40 |
m ≤ 50 → 10 50 < m ≤ 200 → 25 m > 200 → 40 |
|
2 |
Số lượng hệ thống log/ứng dụng khác loại |
Độ đa dạng nguồn log (Firewall, Web, DB, AD, Cloud...) |
15 |
≤3 loại → 5 4-6 loại → 10 >6 loại → 15 |
|
3 |
Mức độ phức tạp cấu trúc mạng |
Số vùng mạng (LAN, DMZ, Cloud, VPN, OT…) |
30 |
≤3 vùng → 10 4-6 vùng → 20 > 6 vùng → 30 |
|
4 |
Yêu cầu tuân thủ và tiêu chuẩn bảo mật |
Có yêu cầu ISO 27001, NIST, hay quy định chuyên ngành |
15 |
Không yêu cầu → 0 Yêu cầu nội bộ → 10 Yêu cầu theo chuẩn quốc tế → 15 |
Phân loại khó khăn
|
STT |
Mức độ khó khăn |
Khoảng điểm |
Ký hiệu |
|
1 |
Dễ |
K ≤ 50 |
KK1 |
|
2 |
Trung bình |
50 < K < 80 |
KK2 |
|
3 |
Khó |
K ≥ 80 |
KK3 |
1.3. Định biên
|
STT |
Danh mục công việc |
KS2 |
KS3 |
KS4 |
Nhóm |
|
1 |
Lập sơ đồ mạng và danh mục thiết bị (CMDB) |
|
2 |
|
2 |
|
2 |
Chuẩn hóa cấu hình log (syslog/CEF/JSON, định nghĩa mức log) |
|
1 |
1 |
2 |
|
3 |
Thiết lập kênh thu tập trung (syslog-ng, rsyslog, Logstash, SIEM) |
|
1 |
1 |
2 |
|
4 |
Thiết lập AAA (TACACS+/RADIUS), bảo mật SSH, quản lý mật khẩu/khóa |
1 |
1 |
|
2 |
1.4. Định mức
Công nhóm/ĐVT
|
STT |
Danh mục công việc |
Đơn vị tính |
KK1 |
KK2 |
KK3 |
|
1 |
Lập sơ đồ mạng và danh mục thiết bị (CMDB) |
Hệ thống |
1,8 |
2,3 |
3,1 |
|
2 |
Chuẩn hóa cấu hình log (syslog/CEF/JSON, định nghĩa mức log) |
Thiết bị |
2,5 |
3,2 |
4,1 |
|
3 |
Thiết lập kênh thu tập trung (syslog-ng, rsyslog, Logstash) |
Nguồn log |
3,0 |
3,8 |
5,0 |
|
4 |
Thiết lập AAA, bảo mật SSH, quản lý mật khẩu/khóa |
Thiết bị |
2,0 |
2,6 |
3,4 |
2. Định mức thiết bị
Ca/01 hệ thống
|
STT |
Thiết bị |
ĐVT |
Thời hạn (tháng) |
Lập sơ đồ mạng và danh mục thiết bị (CMDB) |
Chuẩn hóa cấu hình log (syslog/CEF/J SON, định nghĩa mức log) |
Thiết lập kênh thu tập trung (syslog-ng, rsyslog, Logstash) |
Thiết lập AAA, bảo mật SSH, quản lý mật khẩu/khóa |
|
1 |
Máy tính để bàn |
Bộ |
60 |
4,027 |
4,027 |
24,160 |
24,160 |
|
2 |
Máy in laser |
Cái |
60 |
- |
- |
|
|
|
3 |
Điều hoà nhiệt độ |
Cái |
96 |
0,705 |
0,705 |
4,228 |
4,228 |
|
4 |
Máy photocopy |
Cái |
96 |
- |
- |
- |
- |
|
5 |
Điện năng (kw) |
kW |
|
15,644 |
15,644 |
93,862 |
93,862 |
Ghi chú: Mức thiết bị trên tính cho loại KK2, mức cho các loại khó khăn khác tính như sau:
KK1 = 0,8 x KK2.
KK3 = 1,3 x KK2.
3. Định mức dụng cụ
Ca/01 hệ thống
|
STT |
Dụng cụ |
ĐVT |
Thời hạn (tháng) |
Lập sơ đồ mạng và danh mục thiết bị (CMDB) |
Chuẩn hóa cấu hình log (syslog/CE F/JSON, định nghĩa mức log) |
Thiết lập kênh thu tập trung (syslog-ng, rsyslog, Logstash) |
Thiết lập AAA, bảo mật SSH, quản lý mật khẩu/khóa |
|
1 |
Ghế |
Cái |
96 |
5,033 |
5,033 |
30,200 |
30,200 |
|
2 |
Bàn làm việc |
Cái |
96 |
5,033 |
5,033 |
30,200 |
30,200 |
|
3 |
Quạt trần 0,1 kW |
Cái |
60 |
0,881 |
0,881 |
5,285 |
5,285 |
|
4 |
Đèn neon 0,04 kW |
Bộ |
36 |
2,517 |
2,517 |
15,100 |
15,100 |
|
5 |
Điện năng (kw) |
kW |
|
1,586 |
1,586 |
9,513 |
9,513 |
Ghi chú: Mức thiết bị trên tính cho loại KK2, mức cho các loại khó khăn khác tính như sau:
KK1 = 0,8 x KK2.
KK3 = 1,3 x KK2.
4. Định mức vật liệu
|
STT |
Vật liệu |
ĐVT |
Lập sơ đồ mạng và danh mục thiết bị (CMDB) |
Chuẩn hóa cấu hình log (syslog/CEF/JS ON, định nghĩa mức log) |
Thiết lập kênh thu tập trung (syslog-ng, rsyslog, Logstash) |
Thiết lập AAA, bảo mật SSH, quản lý mật khẩu/khóa |
|
1 |
Giấy in A4 |
Gram |
- |
- |
- |
- |
|
2 |
Mực in laser |
Hộp |
- |
- |
- |
- |
|
3 |
Mực máy photocopy |
Hộp |
- |
- |
- |
- |
|
4 |
Cặp để tài liệu |
Cái |
- |
- |
- |
- |
II. Thu thập và vận hành
1. Định mức lao động
1.1. Nội dung công việc
a) Thu log: ACL hits, VPN, firewall accept/deny, cảnh báo IDS/IPS, thay đổi định tuyến.
b) Giám sát hiệu năng thiết bị: CPU, RAM, lỗi cổng mạng, gián đoạn kết nối.
c) Giám sát NetFlow/sFlow/IPFIX để phát hiện lưu lượng bất thường.
d) Giám sát tuân thủ cấu hình, backup định kỳ, phát hiện thay đổi trái phép.
đ) Cảnh báo theo ngưỡng và đối chiếu IOC từ nguồn tình báo mối đe dọa.
1.2. Phân loại khó khăn
Các yếu tố ảnh hưởng
|
STT |
Các yếu tố ảnh hưởng |
Giải thích |
Điểm tối đa |
Quy tắc tính điểm |
|
1 |
Số lượng thiết bị/nguồn log cần giám sát (m) |
Tổng số firewall, router, switch, server, ứng dụng, endpoint gửi log |
40 |
m ≤ 100 → 10 100 < m ≤ 300 → 25 m > 300 → 40 |
|
2 |
Tốc độ tạo log trung bình (log/s) |
Lưu lượng log ảnh hưởng trực tiếp đến công suất thu thập & xử lý |
15 |
≤1.000 log/s → 5 1.000-10.000 → 10 >10.000 → 15 |
|
3 |
Độ phức tạp cảnh báo & phân loại sự kiện |
Số rule/alert, mức độ liên kết, tương quan IOC |
30 |
≤200 rule → 10 200-500 → 20 >500 → 30 |
|
4 |
Yêu cầu trực giám & thời gian phản ứng (SLA) |
Có SOC 24/7, yêu cầu phản ứng nhanh hoặc định kỳ |
15 |
Ca hành chính → 5 2 ca/ngày → 10 24/7 → 15 |
Phân loại khó khăn
|
STT |
Mức độ khó khăn |
Khoảng điểm |
Ký hiệu |
|
1 |
Dễ |
K ≤ 50 |
KK1 |
|
2 |
Trung bình |
50 < K < 80 |
KK2 |
|
3 |
Khó |
K ≥ 80 |
KK3 |
1.3. Định biên
|
STT |
Danh mục công việc |
KS2 |
KS3 |
KS4 |
Nhóm |
|
1 |
Thu log: ACL hits, VPN, firewall accept/ deny, cảnh báo IDS/IPS, thay đổi định tuyến |
|
2 |
|
2 |
|
2 |
Giám sát hiệu năng thiết bị: CPU, RAM, lỗi cổng mạng, gián đoạn kết nối |
|
1 |
1 |
2 |
|
3 |
Giám sát NetFlow/sFlow/IPFIX để phát hiện lưu lượng bất thường |
|
1 |
1 |
2 |
|
4 |
Giám sát tuân thủ cấu hình, backup định kỳ, phát hiện thay đổi trái phép |
|
1 |
1 |
2 |
|
5 |
Cảnh báo theo ngưỡng và đối chiếu IOC từ nguồn tình báo mối đe dọa |
1 |
1 |
|
2 |
1.4. Định mức
|
STT |
Danh mục công việc |
Đơn vị tính |
KK1 |
KK2 |
KK3 |
|
1 |
Thu log: ACL hits, VPN, firewall accept/ deny, IDS/IPS alert, thay đổi định tuyến |
Nguồn log |
1,8 |
2,3 |
3,0 |
|
2 |
Giám sát hiệu năng thiết bị: CPU, RAM, lỗi cổng, gián đoạn kết nối |
Thiết bị |
2,4 |
3,0 |
3,9 |
|
3 |
Giám sát NetFlow/sFlow/IPFIX, phát hiện lưu lượng bất thường |
Hệ thống |
3,2 |
4,0 |
5,3 |
|
4 |
Giám sát tuân thủ cấu hình, backup, phát hiện thay đổi trái phép |
Thiết bị |
2,2 |
2,8 |
3,6 |
|
5 |
Cảnh báo theo ngưỡng và đối chiếu IOC từ nguồn tình báo mối đe dọa |
Nguồn log |
3,0 |
3,8 |
5,0 |
2. Định mức thiết bị
Ca/01 thiết bị
|
STT |
Thiết bị |
ĐVT |
Công suất (Kw) |
Thu log: ACL hits, VPN, firewall accept/deny, IDS/IPS alert, thay đổi định tuyến |
Giám sát hiệu năng thiết bị: CPU, RAM, lỗi cổng, gián đoạn kết nối |
Giám sát NetFlow/ sFlow/IP FIX, phát hiện lưu lượng bất thường |
Giám sát tuân thủ cấu hình, backup, phát hiện thay đổi trái phép |
Cảnh báo theo ngưỡng và đối chiếu IOC từ nguồn tình báo mối đe dọa |
|
1 |
Máy tính để bàn |
Cái |
0,4 |
0,033 |
0,067 |
0,067 |
0,2 |
0,1 |
|
2 |
Máy in laser |
Cái |
0,6 |
0 |
0 |
0 |
0 |
0 |
|
3 |
Điều hoà nhiệt độ |
Cái |
2,2 |
0,006 |
0,011 |
0,011 |
0,034 |
0,017 |
|
4 |
Điện năng |
Kw |
|
0,215 |
0,43 |
0,43 |
1,291 |
0,646 |
3. Định mức dụng cụ
Ca/01 thiết bị
|
STT |
Dụng cụ |
ĐVT |
Thời hạn (tháng) |
Thu log: ACL hits, VPN, firewall accept/deny, IDS/IPS alert, thay đổi định tuyến |
Giám sát hiệu năng thiết bị: CPU, RAM, lỗi cổng, gián đoạn kết nối |
Giám sát NetFlow/ sFlow/IP FIX, phát hiện lưu lượng bất thường |
Giám sát tuân thủ cấu hình, backup, phát hiện thay đổi trái phép |
Cảnh báo theo ngưỡng và đối chiếu IOC từ nguồn tình báo mối đe dọa |
|
1 |
Ghế |
Cái |
96 |
0,067 |
0,2 |
0,1 |
0,2 |
0,4 |
|
2 |
Bàn làm việc |
Cái |
96 |
0,067 |
0,2 |
0,1 |
0,2 |
0,4 |
|
3 |
Quạt trần |
Cái |
96 |
0,012 |
0,035 |
0,018 |
0,035 |
0,07 |
|
4 |
Đèn neon |
Bộ |
24 |
0,033 |
0,1 |
0,05 |
0,1 |
0,2 |
|
5 |
Điện năng |
kW |
|
0,021 |
0,063 |
0,031 |
0,063 |
0,126 |
|
6 |
Đồng hồ đo điện vạn năng |
Cái |
60 |
0 |
0 |
0 |
0 |
0 |
|
7 |
Máy hút bụi |
Cái |
60 |
0 |
0 |
0 |
0 |
0 |
4. Định mức vật liệu
|
STT |
Nội dung |
ĐVT |
Thu log: ACL hits, VPN, firewall accept/deny, IDS/IPS alert, thay đổi định tuyến |
Giám sát hiệu năng thiết bị: CPU, RAM, lỗi cổng, gián đoạn kết nối |
Giám sát NetFlow/s Flow/IPFI X, phát hiện lưu lượng bất thường |
Giám sát tuân thủ cấu hình, backup, phát hiện thay đổi trái phép |
Cảnh báo theo ngưỡng và đối chiếu IOC từ nguồn tình báo mối đe dọa |
|
1 |
Giấy in A4 |
Gram |
- |
- |
- |
0,01 |
0,01 |
|
2 |
Mực in laser |
Hộp |
- |
- |
- |
0,002 |
0,002 |
III. Phân tích & tương quan (SIEM/SOC)
1. Định mức lao động
1.1. Nội dung công việc
a) Xây dựng quy tắc tương quan.
b) Thực hiện phân loại cảnh báo (triage), săn tìm mối đe dọa (threat hunting).
1.2. Phân loại khó khăn
Các yếu tố ảnh hưởng
|
STT |
Các yếu tố ảnh hưởng |
Giải thích |
Điểm tối đa |
Quy tắc tính điểm |
|
1 |
Số lượng nguồn log/hệ thống đầu vào (m) |
Số lượng nguồn dữ liệu được đưa vào SIEM để tương quan |
40 |
m ≤ 50 → 10 50 < m ≤ 200 → 25m > 200 → 40 |
|
2 |
Số lượng quy tắc tương quan cần xây dựng /bảo trì |
Mức độ đa dạng và phức tạp của rule |
15 |
≤50 rule → 5 50-150 → 10 >150 → 15 |
|
3 |
Độ phức tạp mô hình tấn công và phân tích hành vi |
Cần mô hình hóa chuỗi hành vi (kill chain), mapping MITRE ATT&CK |
30 |
Chỉ theo signature đơn → 10 Có mapping MITRE → 20 Có hành vi đa tầng (multi-step correlation) → 30 |
|
4 |
Nguồn dữ liệu threat intelligence và IOC tích hợp |
Số lượng nguồn và mức độ cập nhật |
15 |
Không có → 0 1-2 nguồn → 10 ≥3 nguồn tự động cập nhật → 15 |
Phân loại khó khăn
|
STT |
Mức độ khó khăn |
Khoảng điểm |
Ký hiệu |
|
1 |
Dễ |
K ≤ 50 |
KK1 |
|
2 |
Trung bình |
50 < K < 80 |
KK2 |
|
3 |
Khó |
K ≥ 80 |
KK3 |
1.3. Định biên
|
STT |
Danh mục công việc |
KS3 |
KS4 |
Nhóm |
|
1 |
Xây dựng quy tắc tương quan |
1 |
1 |
2 |
|
2 |
Thực hiện phân loại cảnh báo (triage), săn tìm mối đe dọa (threat hunting) |
1 |
1 |
2 |
1.4. Định mức
|
STT |
Danh mục công việc |
Đơn vị tính |
KK1 |
KK2 |
KK3 |
|
1 |
Xây dựng quy tắc tương quan |
Rule |
2,0 |
2,8 |
3,8 |
|
2 |
Thực hiện phân loại cảnh báo (triage), săn tìm mối đe dọa (threat hunting) |
Phiên làm việc |
3,0 |
3,9 |
5,2 |
2. Định mức thiết bị
Ca/01 Phiên làm việc
|
STT |
Thiết bị |
ĐVT |
Thời hạn (tháng) |
Xây dựng quy tắc tương quan |
Thực hiện phân loại cảnh báo (triage), săn tìm mối đe dọa (threat hunting) |
|
1 |
Máy tính để bàn |
Bộ |
60 |
0,080 |
0,160 |
|
2 |
Máy in laser |
Cái |
60 |
0,002 |
|
|
3 |
Điều hoà nhiệt độ |
Cái |
96 |
0,014 |
0,028 |
|
4 |
Điện năng (kw) |
kW |
|
0,313 |
0,622 |
Ghi chú: Mức thiết bị trên tính cho loại KK2, mức cho các loại khó khăn khác tính như sau:
KK1 = 0,8 x KK2.
KK3 = 1,3 x KK2.
3. Định mức dụng cụ
Ca/01 Phiên làm việc
|
ST T |
Dụng cụ |
ĐVT |
Thời hạn (tháng) |
Xây dựng quy tắc tương quan |
Thực hiện phân loại cảnh báo (triage), săn tìm mối đe dọa (threat hunting) |
|
1 |
Ghế |
Cái |
96 |
0,100 |
0,200 |
|
2 |
Bàn làm việc |
Cái |
96 |
0,100 |
0,200 |
|
3 |
Quạt trần 0,1 kW |
Cái |
60 |
0,018 |
0,035 |
|
4 |
Đèn neon 0,04 kW |
Bộ |
36 |
0,050 |
0,100 |
|
5 |
Điện năng (kw) |
kW |
|
0,032 |
0,063 |
Ghi chú: Mức dụng cụ trên tính cho loại KK2, mức cho các loại khó khăn khác tính như sau:
KK1 = 0,8 x KK2.
KK3 = 1,3 x KK2.
4. Định mức vật liệu
|
STT |
Vật liệu |
ĐVT |
Xây dựng quy tắc tương quan |
Thực hiện phân loại cảnh báo (triage), săn tìm mối đe dọa (threat hunting) |
|
1 |
Giấy in A4 |
Gram |
- |
0,0040 |
|
2 |
Mực in laser |
Hộp |
- |
0,0011 |
|
3 |
Cặp để tài liệu |
Cái |
- |
0,0040 |
IV. Xác minh & ứng cứu ban đầu
1. Định mức lao động
1.1. Nội dung công việc
a) Xác minh nguồn gốc (MAC, port, VLAN), capture gói tin (pcap).
b) Biện pháp ban đầu: chặn IP/ASN, cô lập cổng, thay đổi rule trên firewall.
c) Ghi lại chuỗi thời gian sự kiện phục vụ điều tra (forensic, ISO/IEC 27035).
1.2. Phân loại khó khăn
Các yếu tố ảnh hưởng
|
STT |
Các yếu tố ảnh hưởng |
Điểm tối đa |
Mức thấp |
Mức trung bình |
Mức cao |
|
1 |
Số lượng thiết bị mạng trong phạm vi giám sát và xử lý sự cố |
40 |
≤10: 10 |
10-50: 25 |
>50: 40 |
|
2 |
Mức độ phân tán hệ thống mạng (site, VLAN, DMZ, chi nhánh) |
20 |
1 site hoặc VLAN: 5 |
2-3 site hoặc VLAN: 10 |
Nhiều vùng mạng, DMZ hoặc kết nối liên vùng: 20 |
|
3 |
Mức độ phức tạp trong cấu hình và chính sách bảo mật |
25 |
Cấu hình đơn giản, rule ít: 5 |
Có nhiều rule, ACL trung bình: 15 |
ACL/NAT phức tạp, nhiều rule và nhóm chính sách: 25 |
|
4 |
Mức độ hỗ trợ công cụ giám sát và quản lý tập trung |
15 |
Có SIEM/N MS tích hợp: 5 |
Có syslog nhưng không đồng bộ: 10 |
Không có quản lý tập trung, thao tác thủ công: 15 |
Phân loại khó khăn
|
STT |
Mức độ khó khăn |
Khoảng điểm (K) |
|
1 |
KK1 |
K ≤ 50 |
|
2 |
KK2 |
50 < K < 80 |
|
3 |
KK3 |
K ≥ 80 |
1.3. Định biên
|
STT |
Danh mục công việc |
KS2 |
KS3 |
KS4 |
Nhóm |
|
1 |
Xác minh nguồn gốc (MAC, port, VLAN), capture gói tin (pcap) |
1 |
1 |
|
2 |
|
2 |
Biện pháp ban đầu: chặn IP/ASN, cô lập cổng, thay đổi rule trên firewall |
|
2 |
1 |
3 |
|
3 |
Ghi lại chuỗi thời gian sự kiện phục vụ điều tra (forensic, ISO/IEC 27035) |
|
1 |
1 |
2 |
1.4. Định mức
|
STT |
Danh mục công việc |
ĐVT |
KK1 |
KK2 |
KK3 |
|
1 |
Xác minh nguồn gốc (MAC, port, VLAN), capture gói tin (pcap) |
Sự cố |
1,4 |
1,9 |
2,6 |
|
2 |
Biện pháp ban đầu: chặn IP/ASN, cô lập cổng, thay đổi rule trên firewall |
Sự cố |
1,8 |
2,6 |
3,5 |
|
3 |
Ghi lại chuỗi thời gian sự kiện phục vụ điều tra (forensic, ISO/IEC 27035) |
Sự cố |
1,5 |
2,2 |
3,1 |
2. Định mức thiết bị
Ca/01 sự cố
|
STT |
Thiết bị |
ĐVT |
Thời hạn (tháng) |
Xác minh nguồn gốc (MAC, port, VLAN), capture gói tin (pcap) |
Biện pháp ban đầu: chặn IP/ASN, cô lập cổng, thay đổi rule firewall |
Ghi lại chuỗi thời gian sự kiện (forensic, ISO/IEC 27035) |
|
1 |
Máy tính để bàn |
Bộ |
60 |
0,480 |
2,880 |
0,240 |
|
2 |
Máy in laser |
Cái |
60 |
|
|
|
|
3 |
Điều hoà nhiệt độ |
Cái |
96 |
0,084 |
0,504 |
0,042 |
|
4 |
Máy photocopy |
Cái |
96 |
- |
- |
- |
|
5 |
Điện năng (kw) |
kW |
|
1,865 |
11,189 |
0,932 |
Ghi chú: Mức thiết bị trên tính cho loại KK2, mức cho các loại khó khăn khác tính như sau:
KK1 = 0,8 x KK2.
KK3 = 1,3 x KK2.
3. Định mức dụng cụ
Ca/01 sự cố
|
STT |
Dụng cụ |
ĐVT |
Thời hạn (tháng) |
Xác minh nguồn gốc (MAC, port, VLAN), capture gói tin (pcap) |
Biện pháp ban đầu: chặn IP/ASN, cô lập cổng, thay đổi rule firewall |
Ghi lại chuỗi thời gian sự kiện (forensic, ISO/IEC 27035) |
|
1 |
Ghế |
Cái |
96 |
0,600 |
3,600 |
0,300 |
|
2 |
Bàn làm việc |
Cái |
96 |
0,600 |
3,600 |
0,300 |
|
3 |
Quạt trần 0,1 kW |
Cái |
60 |
0,105 |
0,630 |
0,053 |
|
4 |
Đèn neon 0,04 kW |
Bộ |
36 |
0,300 |
1,800 |
0,150 |
|
5 |
Điện năng (kw) |
kW |
|
0,189 |
1,134 |
0,095 |
Ghi chú: Mức dụng cụ trên tính cho loại KK2, mức cho các loại khó khăn khác tính như sau:
KK1 = 0,8 x KK2.
KK3 = 1,3 x KK2.
4. Định mức vật liệu
|
ST T |
Vật liệu |
ĐVT |
Xác minh nguồn gốc (MAC, port, VLAN), capture gói tin (pcap) |
Biện pháp ban đầu: chặn IP/ASN, cô lập cổng, thay đổi rule firewall |
Ghi lại chuỗi thời gian sự kiện (forensic, ISO/IEC 27035) |
|
1 |
Giấy in A4 |
Gram |
- |
- |
- |
|
2 |
Mực in laser |
Hộp |
- |
- |
- |
|
3 |
Mực máy photocopy |
Hộp |
- |
- |
- |
|
4 |
Cặp để tài liệu |
Cái |
- |
- |
- |
V. Bảo mật dữ liệu giám sát
1. Định mức lao động
1.1. Nội dung công việc
a) Mã hóa kênh log (TLS), lưu vết truy cập.
b) Chính sách lưu giữ: log chi tiết 90-180 ngày, log tóm tắt 1-3 năm.
1.2. Phân loại khó khăn
Các yếu tố ảnh hưởng
|
STT |
Các yếu tố ảnh hưởng |
Điểm tối đa |
Mức thấp |
Mức trung bình |
Mức cao |
|
1 |
Số lượng thiết bị mạng gửi log (firewall, IDS/IPS, router, switch) |
40 |
≤10: 10 |
10-50: 25 |
>50: 40 |
|
2 |
Kiến trúc truyền log và mã hóa (tập trung, phân tán, multi-site) |
20 |
Truyền nội bộ 1 site: 5 |
2-3 site: 10 |
Nhiều vùng mạng/DMZ/cloud: 20 |
|
3 |
Mức độ tuân thủ chuẩn bảo mật dữ liệu log (TLS, ISO/IEC 27035, 27001) |
25 |
TLS mặc định, lưu log nội bộ: 5 |
Có tuân thủ cơ bản: 15 |
Yêu cầu nghiêm ngặt theo chuẩn ISO/CIS: 25 |
|
4 |
Mức độ phức tạp trong lưu trữ và chính sách retention |
15 |
Lưu log 1-3 tháng, không phân tầng: 5 |
Lưu 6-12 tháng, có nén hoặc tóm tắt: 10 |
Lưu nhiều năm, phân cấp dữ liệu, có backup ngoại vi: 15 |
Phân loại khó khăn
|
STT |
Mức độ khó khăn |
Khoảng điểm (K) |
|
1 |
KK1 |
K ≤ 50 |
|
2 |
KK2 |
50 < K < 80 |
|
3 |
KK3 |
K ≥ 80 |
1.3. Định biên
|
STT |
Danh mục công việc |
KS2 |
KS3 |
KS4 |
Nhóm |
|
1 |
Mã hóa kênh log (TLS), lưu vết truy cập |
1 |
1 |
|
2 |
|
2 |
Chính sách lưu giữ: log chi tiết 90-180 ngày, log tóm tắt 1-3 năm |
|
2 |
1 |
3 |
1.4. Định mức
|
STT |
Danh mục công việc |
ĐVT |
KK1 |
KK2 |
KK3 |
|
1 |
Mã hóa kênh log (TLS), lưu vết truy cập |
Thiết bị |
1,5 |
2,1 |
2,9 |
|
2 |
Chính sách lưu giữ: log chi tiết 90-180 ngày, log tóm tắt 1-3 năm |
Hệ thống |
1,8 |
2,6 |
3,5 |
2. Định mức thiết bị
Ca/01 thiết bị
|
STT |
Vật tư, thiết bị |
ĐVT |
Thời hạn (tháng) |
Mã hóa kênh log (TLS), lưu vết truy cập |
Chính sách lưu giữ |
|
1 |
Máy tính để bàn |
Bộ |
60 |
0,160 |
2,400 |
|
2 |
Máy in laser |
Cái |
60 |
|
|
|
3 |
Điều hoà nhiệt độ |
Cái |
96 |
0,028 |
0,420 |
|
4 |
Máy photocopy |
Cái |
96 |
- |
- |
|
5 |
Điện năng (kw) |
kW |
|
0,622 |
9,324 |
Ghi chú: Mức thiết bị trên tính cho loại KK2, mức cho các loại khó khăn khác tính như sau:
KK1 = 0,8 x KK2.
KK3 = 1,3 x KK2.
3. Định mức dụng cụ
Ca/01 thiết bị
|
STT |
Dụng cụ |
ĐVT |
Thời hạn (tháng) |
Mã hóa kênh log (TLS), lưu vết truy cập |
Chính sách lưu giữ |
|
1 |
Ghế |
Cái |
96 |
0,200 |
3,000 |
|
2 |
Bàn làm việc |
Cái |
96 |
0,200 |
3,000 |
|
3 |
Quạt trần 0,1 kW |
Cái |
60 |
0,035 |
0,525 |
|
4 |
Đèn neon 0,04 kW |
Bộ |
36 |
0,100 |
1,500 |
|
5 |
Điện năng (kw) |
kW |
|
0,063 |
0,945 |
Ghi chú: Mức dụng cụ trên tính cho loại KK2, mức cho các loại khó khăn khác tính như sau:
KK1 = 0,8 x KK2.
KK3 = 1,3 x KK2.
4. Định mức vật liệu
|
STT |
Vật liệu |
ĐVT |
Mã hóa kênh log (TLS), lưu vết truy cập |
Chính sách lưu giữ |
|
1 |
Giấy in A4 |
Gram |
- |
- |
|
2 |
Mực in laser |
Hộp |
- |
- |
|
3 |
Mực máy photocopy |
Hộp |
- |
- |
|
4 |
Cặp để tài liệu |
Cái |
- |
- |
VI. Đánh giá và cải tiến
1. Định mức lao động
1.1. Nội dung công việc
a) Rà soát quy tắc, chữ ký, ngưỡng hàng tháng/quý.
b) Diễn tập ứng cứu (tabletop, kiểm thử xâm nhập).
1.2. Phân loại khó khăn
Các yếu tố ảnh hưởng
|
STT |
Các yếu tố ảnh hưởng |
Điểm tối đa |
Mức thấp |
Mức trung bình |
Mức cao |
|
1 |
Số lượng thiết bị mạng giám sát |
40 |
≤10: 10 |
10-50: 25 |
>50: 40 |
|
2 |
Mức độ phân tán hệ thống |
20 |
1 mạng nội bộ: 5 |
2-3 mạng con: 10 |
Nhiều vùng/DMZ/cloud: 20 |
|
3 |
Mức độ tùy biến cấu hình & quy tắc ATTT |
25 |
Áp dụng rule/chữ ký chuẩn: 5 |
Điều chỉnh nhẹ: 15 |
Quy tắc tùy biến chuyên sâu: 25 |
|
4 |
Tích hợp hệ thống giám sát tập trung |
15 |
Có SIEM/log tập trung: 5 |
Có syslog rời rạc: 10 |
Chưa có hệ thống, cần triển khai mới: 15 |
Phân loại khó khăn
|
STT |
Mức độ khó khăn |
Khoảng điểm (K) |
|
1 |
KK1 |
K ≤ 50 |
|
2 |
KK2 |
50 < K < 80 |
|
3 |
KK3 |
K ≥ 80 |
1.3. Định biên
|
STT |
Danh mục công việc |
KS2 |
KS3 |
KS4 |
Nhóm |
|
1 |
Rà soát quy tắc, chữ ký, ngưỡng hàng tháng/quý |
1 |
1 |
|
2 |
|
2 |
Diễn tập ứng cứu (tabletop, kiểm thử xâm nhập) |
|
2 |
1 |
3 |
1.4. Định mức
|
STT |
Danh mục công việc |
ĐVT |
KK1 |
KK2 |
KK3 |
|
1 |
Rà soát quy tắc, chữ ký, ngưỡng hàng tháng/quý |
Thiết bị |
1,4 |
2,0 |
2,8 |
|
2 |
Diễn tập ứng cứu (tabletop, kiểm thử xâm nhập) |
Buổi diễn tập |
3,0 |
4,2 |
5,8 |
2. Định mức thiết bị
Ca/01 thiết bị
|
STT |
Thiết bị |
ĐVT |
Thời hạn (tháng) |
Rà soát quy tắc, chữ ký, ngưỡng hàng tháng/quý |
Diễn tập ứng cứu (tabletop, kiểm thử xâm nhập) |
|
1 |
Máy tính để bàn |
Bộ |
60 |
0,005 |
0,032 |
|
2 |
Máy in laser |
Cái |
60 |
|
|
|
3 |
Điều hoà nhiệt độ |
Cái |
96 |
0,001 |
0,006 |
|
4 |
Máy photocopy |
Cái |
96 |
- |
- |
|
5 |
Điện năng (kw) |
kW |
|
0,021 |
0,124 |
Ghi chú: Mức thiết bị trên tính cho loại KK2, mức cho các loại khó khăn khác tính như sau:
KK1 = 0,8 x KK2.
KK3 = 1,3 x KK2.
3. Định mức dụng cụ
Ca/01 thiết bị
|
STT |
Dụng cụ |
ĐVT |
Thời hạn (tháng) |
Rà soát quy tắc, chữ ký, ngưỡng hàng tháng/quý |
Diễn tập ứng cứu (tabletop, kiểm thử xâm nhập) |
|
1 |
Ghế |
Cái |
96 |
0,007 |
0,040 |
|
2 |
Bàn làm việc |
Cái |
96 |
0,007 |
0,040 |
|
3 |
Quạt trần 0,1 kW |
Cái |
60 |
0,001 |
0,007 |
|
4 |
Đèn neon 0,04 kW |
Bộ |
36 |
0,003 |
0,020 |
|
5 |
Điện năng (kw) |
kW |
|
0,002 |
0,013 |
Ghi chú: Mức dụng cụ trên tính cho loại KK2, mức cho các loại khó khăn khác tính như sau:
KK1 = 0,8 x KK2.
KK3 = 1,3 x KK2.
4. Định mức vật liệu
|
STT |
Vật liệu |
ĐVT |
Rà soát quy tắc, chữ ký, ngưỡng hàng tháng/quý |
Diễn tập ứng cứu (tabletop, kiểm thử xâm nhập) |
|
1 |
Giấy in A4 |
Gram |
- |
- |
|
2 |
Mực in laser |
Hộp |
- |
- |
|
3 |
Mực máy photocopy |
Hộp |
- |
- |
|
4 |
Cặp để tài liệu |
Cái |
- |
- |
CHƯƠNG II
ĐỊNH MỨC GIÁM SÁT ĐẢM BẢO AN TOÀN THÔNG TIN CHO HẠ TẦNG ẢO HÓA (CLOUD, VIRTUALIZATION)
I. Chuẩn bị và thiết lập
1. Định mức lao động
1.1. Nội dung công việc
a) Kiểm kê host, VM, container, tài nguyên đám mây.
b) Bật log gốc (AWS CloudTrail, VPC Flow Logs, Azure Monitor, GCP Audit Logs).
c) Cấu hình audit log cho API call, snapshot, migration, thay đổi IAM.
d) Quét lỗ hổng image, áp dụng chính sách registry.
1.2. Phân loại khó khăn
Các yếu tố ảnh hưởng
|
STT |
Các yếu tố ảnh hưởng |
Điểm tối đa |
Mức thấp |
Mức trung bình |
Mức cao |
|
1 |
Số lượng host/VM/container giám sát |
40 |
≤20: 10 |
20-100: 25 |
>100: 40 |
|
2 |
Mức độ phân tán hạ tầng đám mây |
20 |
1 nền tảng (AWS hoặc Azure hoặc GCP…): 5 |
2 nền tảng: 10 |
≥3 nền tảng/hybrid cloud: 20 |
|
3 |
Mức độ tùy biến chính sách log/audit |
25 |
Áp dụng theo chuẩn nhà cung cấp (AWS/Azure/GCP…): 5 |
Có điều chỉnh nhẹ (bổ sung rule riêng): 15 |
Chính sách riêng biệt, tuỳ chỉnh sâu IAM/API: 25 |
|
4 |
Tích hợp công cụ giám sát và cảnh báo tập trung |
15 |
Đã có SIEM/central log: 5 |
Có collector riêng từng nền tảng: 10 |
Chưa có, cần triển khai mới: 15 |
Phân loại khó khăn
|
STT |
Mức độ khó khăn |
Khoảng điểm (K) |
|
1 |
KK1 |
K ≤ 50 |
|
2 |
KK2 |
50 < K < 80 |
|
3 |
KK3 |
K ≥ 80 |
1.3. Định biên
|
STT |
Danh mục công việc |
KS2 |
KS3 |
KS4 |
Nhóm |
|
1 |
Kiểm kê host, VM, container, tài nguyên đám mây |
1 |
1 |
|
2 |
|
2 |
Bật log gốc (AWS CloudTrail, VPC Flow Logs, Azure Monitor, GCP Audit Logs) |
|
2 |
|
2 |
|
3 |
Cấu hình audit log cho API call, snapshot, migration, thay đổi IAM |
|
2 |
1 |
3 |
|
4 |
Quét lỗ hổng image, áp dụng chính sách registry |
|
1 |
1 |
2 |
1.4. Định mức
|
STT |
Danh mục công việc |
ĐVT |
KK1 |
KK2 |
KK3 |
|
1 |
Kiểm kê host, VM, container, tài nguyên đám mây |
Hệ thống |
1,5 |
2,1 |
3,0 |
|
2 |
Bật log gốc (AWS CloudTrail, VPC Flow Logs, Azure Monitor, GCP… Audit Logs) |
Nền tảng |
1,8 |
2,5 |
3,4 |
|
3 |
Cấu hình audit log cho API call, snapshot, migration, thay đổi IAM |
Nền tảng |
2,0 |
2,8 |
3,8 |
|
4 |
Quét lỗ hổng image, áp dụng chính sách registry |
Kho image |
2,2 |
3,0 |
4,0 |
2. Định mức thiết bị
Bảng số 03: Ca/01 hệ thống
|
STT |
Thiết bị |
ĐVT |
Thời hạn (tháng) |
Kiểm kê host, VM, container, tài nguyên cloud |
Bật log gốc (CloudTrail, Azure Monitor, GCP Audit Logs…) |
Cấu hình audit log cho API call, snapshot, IAM |
Quét lỗ hổng image, áp dụng chính sách registry |
|
1 |
Máy tính để bàn |
Bộ |
60 |
4,027 |
4,027 |
24,160 |
24,160 |
|
2 |
Máy in laser |
Cái |
60 |
- |
- |
- |
- |
|
3 |
Điều hoà nhiệt độ |
Cái |
96 |
0,705 |
0,705 |
4,228 |
4,228 |
|
4 |
Máy photocopy |
Cái |
96 |
- |
- |
- |
- |
|
5 |
Điện năng (kw) |
kW |
|
15,644 |
15,644 |
93,862 |
93,862 |
Ghi chú: Mức thiết bị trên tính cho loại KK2, mức cho các loại khó khăn khác tính như sau:
KK1 = 0,8 x KK2.
KK3 = 1,3 x KK2.
3. Định mức dụng cụ
Bảng số 03: Ca/01 hệ thống
|
STT |
Dụng cụ |
ĐVT |
Thời hạn (tháng) |
Kiểm kê host, VM, container, tài nguyên cloud |
Bật log gốc (CloudTrail, Azure Monitor, GCP Audit Logs…) |
Cấu hình audit log cho API call, snapshot, IAM |
Quét lỗ hổng image, áp dụng chính sách registry |
|
1 |
Ghế |
Cái |
96 |
5,033 |
5,033 |
30,200 |
30,200 |
|
2 |
Bàn làm việc |
Cái |
96 |
5,033 |
5,033 |
30,200 |
30,200 |
|
3 |
Quạt trần 0,1 kW |
Cái |
60 |
0,881 |
0,881 |
5,285 |
5,285 |
|
4 |
Đèn neon 0,04 kW |
Bộ |
36 |
2,517 |
2,517 |
15,100 |
15,100 |
|
5 |
Điện năng (kw) |
kW |
|
1,586 |
1,586 |
9,513 |
9,513 |
Ghi chú: Mức thiết bị trên tính cho loại KK2, mức cho các loại khó khăn khác tính như sau:
KK1 = 0,8 x KK2.
KK3 = 1,3 x KK2.
4. Định mức vật liệu
|
STT |
Vật liệu |
ĐVT |
Kiểm kê host, VM, container, tài nguyên cloud |
Bật log gốc (CloudTrail, Azure Monitor, GCP Audit Logs…) |
Cấu hình audit log cho API call, snapshot, IAM |
Quét lỗ hổng image, áp dụng chính sách registry |
|
1 |
Giấy in A4 |
Gram |
- |
- |
- |
- |
|
2 |
Mực in laser |
Hộp |
- |
- |
- |
- |
|
3 |
Mực máy photocopy |
Hộp |
- |
- |
- |
- |
|
4 |
Cặp để tài liệu |
Cái |
- |
- |
- |
- |
II. Thu thập và giám sát
1. Định mức lao động
1.1. Nội dung công việc
a) Log API: thay đổi quyền, tạo khóa truy cập, thay đổi bucket công khai.
b) Giám sát lưu lượng mạng trong nội bộ đám mây (flow logs).
c) Giám sát RBAC trong Kubernetes, hoạt động container.
1.2. Phân loại khó khăn
Các yếu tố ảnh hưởng
|
STT |
Các yếu tố ảnh hưởng |
Điểm tối đa |
Mức thấp |
Mức trung bình |
Mức cao |
|
1 |
Số lượng nền tảng cloud hoặc cụm ảo hóa cần giám sát |
40 |
1 nền tảng: 10 |
2 nền tảng: 25 |
≥3 nền tảng/hybrid cloud: 40 |
|
2 |
Mức độ phân tán vùng mạng và dịch vụ |
20 |
1 vùng mạng (1 VPC/cluster): 5 |
2-5 vùng: 10 |
>5 vùng hoặc multi-region: 20 |
|
3 |
Mức độ tùy biến chính sách log và quyền |
25 |
Áp dụng theo chuẩn cloud/k8s gốc: 5 |
Có điều chỉnh nhẹ (custom rule RBAC, IAM): 15 |
Chính sách riêng biệt, nhiều namespace, multi-tenant: 25 |
|
4 |
Mức độ tích hợp giám sát và cảnh báo tập trung |
15 |
Đã có SIEM hoặc log collector tập trung: 5 |
Có log riêng lẻ từng cụm: 10 |
Chưa có, cần thiết lập mới hoàn toàn: 15 |
Phân loại khó khăn
|
STT |
Mức độ khó khăn |
Khoảng điểm (K) |
|
1 |
KK1 |
K ≤ 50 |
|
2 |
KK2 |
50 < K < 80 |
|
3 |
KK3 |
K ≥ 80 |
1.3. Định biên
|
STT |
Danh mục công việc |
KS2 |
KS3 |
KS4 |
Nhóm |
|
1 |
Log API: thay đổi quyền, tạo khóa truy cập, thay đổi bucket công khai |
|
2 |
|
2 |
|
2 |
Giám sát lưu lượng mạng trong nội bộ đám mây (flow logs) |
1 |
1 |
|
2 |
|
3 |
Giám sát RBAC trong Kubernetes, hoạt động container |
|
1 |
1 |
2 |
1.4. Định mức
|
STT |
Danh mục công việc |
ĐVT |
KK1 |
KK2 |
KK3 |
|
1 |
Log API: thay đổi quyền, tạo khóa truy cập, thay đổi bucket công khai |
[Phần phụ lục dài đã được lược bớt để hiển thị — tải văn bản gốc để xem đầy đủ.]
Văn bản gốc (PDF)
Tải văn bản
Bản đồ quan hệ
Bấm vào một văn bản để mở. Viền đỏ = quan hệ làm thay đổi hiệu lực.