Quyết định số 29/2026/QĐ-UBND Ban hành định mức kinh tế - kỹ thuật giám sát đảm bảo an toàn thông tin đối với hệ thống hạ tầng kỹ thuật dịch vụ công nghệ thông tin phục vụ công tác quản lý nhà nước lĩnh vực tài nguyên, môi trường

Quyết định này ban hành định mức kinh tế - kỹ thuật giám sát đảm bảo an toàn thông tin cho hệ thống hạ tầng kỹ thuật, dịch vụ công nghệ thông tin phục vụ quản lý nhà nước về tài nguyên và môi trường. Định mức áp dụng cho các cơ quan nhà nước, đơn vị sự nghiệp công lập, tổ chức cá nhân liên quan. Quyết định này quy định chi tiết các quy trình giám sát an toàn thông tin cho thiết bị mạng, hạ tầng ảo hóa, máy chủ, ứng dụng, cơ sở dữ liệu và người dùng, cũng như quy định về lao động, thiết bị, dụng cụ và vật liệu cần thiết để thực hiện công tác giám sát.

Số hiệu29/2026/QĐ-UBND
Loại văn bảnQuyết định
Cơ quan ban hànhHà Nội
Người kýNguyễn Mạnh Quyền — Phó Chủ tịch
Cập nhật02/07/2026
Ngày ban hành10/03/2026
Ngày áp dụng20/03/2026
Ngày hết hiệu lực
Tình trạngCòn hiệu lực
✦ Tóm lược thông minh

Quyết định này ban hành định mức kinh tế - kỹ thuật giám sát đảm bảo an toàn thông tin cho hệ thống hạ tầng kỹ thuật, dịch vụ công nghệ thông tin phục vụ quản lý nhà nước về tài nguyên và môi trường. Định mức áp dụng cho các cơ quan nhà nước, đơn vị sự nghiệp công lập, tổ chức cá nhân liên quan. Quyết định này quy định chi tiết các quy trình giám sát an toàn thông tin cho thiết bị mạng, hạ tầng ảo hóa, máy chủ, ứng dụng, cơ sở dữ liệu và người dùng, cũng như quy định về lao động, thiết bị, dụng cụ và vật liệu cần thiết để thực hiện công tác giám sát.

Đối tượng áp dụng

Các cơ quan nhà nước, đơn vị sự nghiệp công lập, tổ chức và cá nhân có liên quan thực hiện các công việc về giám sát đảm bảo an toàn thông tin đối với hệ thống hạ tầng kỹ thuật, dịch vụ công nghệ thông tin ngành tài nguyên, môi trường trên địa bàn thành phố Hà Nội.

Các điểm cốt lõi

  • Định mức kinh tế - kỹ thuật áp dụng cho giám sát an toàn thông tin cho thiết bị mạng, hạ tầng ảo hóa, máy chủ, ứng dụng, cơ sở dữ liệu và người dùng.
  • Các quy trình giám sát được chi tiết hóa theo từng đối tượng như thiết bị mạng, hạ tầng ảo hóa, máy chủ, ứng dụng, cơ sở dữ liệu và người dùng.
  • Định mức lao động, thiết bị, dụng cụ và vật liệu cần thiết để thực hiện công tác giám sát được quy định rõ ràng.
  • Quyết định này áp dụng cho các cơ quan nhà nước, đơn vị sự nghiệp công lập, tổ chức và cá nhân có liên quan trong việc quản lý an toàn thông tin đối với hệ thống hạ tầng kỹ thuật, dịch vụ công nghệ thông tin ngành tài nguyên, môi trường trên địa bàn thành phố Hà Nội.
  • Định mức kinh tế - kỹ thuật này nhằm đảm bảo tính chính xác và hiệu quả trong việc giám sát an toàn thông tin cho các hệ thống hạ tầng kỹ thuật, dịch vụ công nghệ thông tin.

🌐 Tác động xã hội từ văn bản này

  • Tác động tích cực: Giúp nâng cao chất lượng quản lý an toàn thông tin, giảm thiểu rủi ro về bảo mật thông tin và hỗ trợ hiệu quả trong việc thực hiện các hoạt động quản lý nhà nước về tài nguyên và môi trường.
  • Tác động tiêu cực: Có thể gây thêm chi phí cho một số tổ chức do yêu cầu về lao động, thiết bị và dụng cụ chuyên biệt.
  • chịu ảnh hưởng: Các cơ quan nhà nước, đơn vị sự nghiệp công lập, tổ chức và cá nhân có liên quan trong việc quản lý an toàn thông tin.

❓ Câu hỏi thường gặp

Quyết định này áp dụng cho đối tượng nào?

Quyết định này áp dụng cho các cơ quan nhà nước, đơn vị sự nghiệp công lập, tổ chức và cá nhân có liên quan thực hiện các công việc về giám sát đảm bảo an toàn thông tin đối với hệ thống hạ tầng kỹ thuật, dịch vụ công nghệ thông tin ngành tài nguyên, môi trường trên địa bàn thành phố Hà Nội.

Định mức kinh tế - kỹ thuật này bao gồm những nội dung gì?

Định mức kinh tế - kỹ thuật này bao gồm các quy trình giám sát an toàn thông tin cho thiết bị mạng, hạ tầng ảo hóa, máy chủ, ứng dụng, cơ sở dữ liệu và người dùng. Đồng thời, định mức cũng quy định về lao động, thiết bị, dụng cụ và vật liệu cần thiết để thực hiện công tác giám sát.

Có bao nhiêu đối tượng được áp dụng Quyết định này?

Quyết định này áp dụng cho các cơ quan nhà nước, đơn vị sự nghiệp công lập, tổ chức và cá nhân có liên quan thực hiện các công việc về giám sát đảm bảo an toàn thông tin đối với hệ thống hạ tầng kỹ thuật, dịch vụ công nghệ thông tin ngành tài nguyên, môi trường trên địa bàn thành phố Hà Nội.

Quyết định này quy định chi tiết những gì?

Quyết định này quy định chi tiết các quy trình giám sát an toàn thông tin cho thiết bị mạng, hạ tầng ảo hóa, máy chủ, ứng dụng, cơ sở dữ liệu và người dùng. Đồng thời, cũng quy định về lao động, thiết bị, dụng cụ và vật liệu cần thiết để thực hiện công tác giám sát.

Định mức kinh tế - kỹ thuật này có hiệu lực từ khi nào?

Quyết định này có hiệu lực kể từ ngày 20 tháng 3 năm 2026.

Toàn văn

ỦY BAN NHÂN DÂN
THÀNH PHỐ HÀ NỘI
-------

CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM
Độc lập - Tự do - Hạnh phúc
---------------

Số: 29/2026/QĐ-UBND

Hà Nội, ngày 10 tháng 3 năm 2026

 

QUYẾT ĐỊNH

Ban hành định mức kinh tế - kỹ thuật giám sát đảm bảo an toàn thông tin đối với hệ thống hạ tầng kỹ thuật dịch vụ công nghệ thông tin phục vụ công tác quản lý nhà nước lĩnh vực tài nguyên, môi trường.

Căn cứ Luật Tổ chức chính quyền địa phương số 72/2025/QH15;

Căn cứ Luật Ban hành văn bản quy phạm pháp luật số 64/2025/QH15; Luật sửa đổi, bổ sung Luật Ban hành văn bản quy phạm pháp luật số 87/2025/QH15;

Căn cứ Luật Công nghệ thông tin số 67/2006/QH11 ngày 29/6/2006 và Văn bản hợp nhất số 65/VBHN-VPQH ngày 15/8/2025.

Căn cứ Luật An toàn thông tin mạng số 86/2015/QH13;

Căn cứ Luật An ninh mạng số 24/2018/QH14;

Căn cứ Luật Bảo vệ dữ liệu cá nhân số 91/2025/QH15;

Căn cứ Nghị định số 85/2016/NĐ-CP ngày 01 tháng 7 năm 2016 của Chính phủ về bảo đảm an toàn hệ thống thông tin theo cấp độ.

Căn cứ Nghị định số 73/2019/NĐ-CP ngày 05 tháng 9 năm 2019 của Chính phủ về quản lý đầu tư ứng dụng công nghệ thông tin sử dụng nguồn vốn ngân sách nhà nước, được sửa đổi, bổ sung bởi Nghị định số 82/2024/NĐ-CP ngày 10 tháng 7 năm 2024.

Căn cứ Nghị định số 32/2019/NĐ-CP ngày 10 tháng 4 năm 2019 của Chính phủ quy định giao nhiệm vụ, đặt hàng hoặc đấu thầu cung cấp sản phẩm, dịch vụ công sử dụng ngân sách nhà nước từ nguồn kinh phí chi thường xuyên được sửa đổi, bổ sung bởi Nghị định số 125/2025/NĐ-CP ngày 11 tháng 6 năm 2025, Nghị định số 214/2025/NĐ-CP ngày 04 tháng 8 năm 2025;

Căn cứ Nghị định số 60/2021/NĐ-CP ngày 21 tháng 6 năm 2021 về quy định cơ chế tự chủ của đơn vị sự nghiệp công lập được sửa đổi, bổ sung bởi Nghị định số 111/2025/NĐ-CP ngày 22 tháng 5 năm 2025;

Căn cứ Nghị định số 53/2022/NĐ-CP ngày 15/8/2022 của Chính phủ quy định chi tiết một số điều của Luật An ninh mạng;

Căn cứ Thông tư số 31/2017/TT-BTTTT ngày 15/11/2017 của Bộ Thông tin và Truyền thông về quy định hoạt động giám sát an toàn hệ thống thông tin;

Thông tư số 12/2022/TT-BTTTT ngày 12 tháng 8 năm 2022 của Bộ trưởng Bộ Thông tin và Truyền thông Quy định chi tiết và hướng dẫn một số điều của Nghị định số 85/2016/NĐ-CP ngày 01/7/2016;

Theo đề nghị của Giám đốc Sở Nông nghiệp và Môi trường tại Tờ trình số 77/TTr-SNNMT ngày 01 tháng 02 năm 2026 về việc dự thảo Quyết định ban hành Định mức kinh tế - kỹ thuật giám sát đảm bảo an toàn thông tin đối với hệ thống hạ tầng kỹ thuật dịch vụ công nghệ thông tin phục vụ công tác quản lý nhà nước lĩnh vực tài nguyên, môi trường;

Ủy ban nhân dân thành phố Hà Nội ban hành Quyết định ban hành Định mức kinh tế - kỹ thuật giám sát đảm bảo an toàn thông tin đối với hệ thống hạ tầng kỹ thuật dịch vụ công nghệ thông tin phục vụ công tác quản lý nhà nước lĩnh vực tài nguyên, môi trường.

QUYẾT ĐỊNH:

Điều 1. Phạm vi điều chỉnh

Định mức kinh tế - kỹ thuật giám sát đảm bảo an toàn thông tin đối với hệ thống hạ tầng kỹ thuật, dịch vụ công nghệ thông tin là căn cứ để xây dựng đơn giá và dự toán kinh phí thực hiện việc giám sát đảm bảo an toàn thông tin đối với hệ thống hạ tầng kỹ thuật, dịch vụ công nghệ thông tin phục vụ công tác quản lý nhà nước trong lĩnh vực tài nguyên, môi trường của thành phố Hà Nội.

Điều 2. Đối tượng áp dụng

Định mức kinh tế - kỹ thuật áp dụng cho các cơ quan nhà nước, các đơn vị sự nghiệp công lập, các tổ chức và cá nhân có liên quan thực hiện các công việc về giám sát đảm bảo an toàn thông tin đối với hệ thống hạ tầng kỹ thuật, dịch vụ công nghệ thông tin ngành tài nguyên, môi trường trên địa bàn thành phố Hà Nội.

Điều 3. Nội dung định mức

Định mức kinh tế - kỹ thuật giám sát đảm bảo an toàn thông tin đối với hệ thống hạ tầng kỹ thuật dịch vụ công nghệ thông tin phục vụ công tác quản lý nhà nước lĩnh vực tài nguyên, môi trường được quy định tại Phụ lục kèm theo Quyết định này gồm:

1. Định mức giám sát đảm bảo an toàn thông tin cho thiết bị mạng (tường lửa - firewall, ids/ips, router, switch)

2. Định mức giám sát đảm bảo an toàn thông tin cho hạ tầng ảo hóa (Cloud, Virtualization)

3. Định mức giám sát đảm bảo an toàn thông tin cho máy chủ (hệ điều hành Windows, Linux)

4. Định mức giám sát đảm bảo an toàn thông tin cho ứng dụng (Web, ERP, CRM, API, Email)

5. Định mức giám sát đảm bảo an toàn thông tin cho cơ sở dữ liệu

6. Định mức giám sát đảm bảo an toàn thông tin cho người dùng

7. Định mức giám sát đảm bảo an toàn thông tin cho toàn bộ hệ thống (SOC - trung tâm điều hành an ninh mạng).

Điều 4. Tổ chức thực hiện

1. Căn cứ định mức kinh tế - kỹ thuật quy định tại Quyết định này, Sở Nông nghiệp và Môi trường có trách nhiệm chủ trì, phối hợp các Sở, ngành có liên quan xây dựng đơn giá dịch vụ giám sát đảm bảo an toàn thông tin đối với hệ thống hạ tầng kỹ thuật, dịch vụ công nghệ thông tin lĩnh vực tài nguyên, môi trường trên địa bàn thành phố Hà Nội, trình UBND Thành phố ban hành theo quy định của pháp luật.

2. Trong quá trình thực hiện, Sở Nông nghiệp và Môi trường có trách nhiệm chủ trì, phối hợp các sở, ngành, đơn vị liên quan tổ chức rà soát, đánh giá, báo cáo UBND Thành phố xem xét, điều chỉnh, bổ sung kịp thời bảo đảm phù hợp thực tế và quy định pháp luật.

3. Chánh Văn phòng UBND Thành phố, Giám đốc các Sở: Nông nghiệp và Môi trường, Tài chính, Thủ trưởng các cơ quan, tổ chức, đơn vị có liên quan chịu trách nhiệm thi hành Quyết định này.

Điều 5. Hiệu lực thi hành

Quyết định này có hiệu lực kể từ ngày 20 tháng 3 năm 2026.

 

Nơi nhận:
- Như Điều 4;
- Các Bộ: NN&MT, Tài chính, Tư pháp; (để b/c)
- Thường trực: Thành ủy; HĐND Thành phố; (để b/c)
- Chủ tịch UBND Thành phố; (để b/c)
- Các PCT UBND Thành phố;
- Cục KTVB&QLXLVPHC - Bộ Tư pháp;
- Cổng TTĐT Chính phủ;
- Trung tâm TT, DL và CNS TP Hà Nội;
- Các sở, ban, ngành Thành phố;
- VP UBTP: CVP, các PCVP, các phòng: TH, KT, ĐT, NNMT;
- Lưu: VP, NNMT.

TM. ỦY BAN NHÂN DÂN
KT. CHỦ TỊCH
PHÓ CHỦ TỊCH


(Đã ký)

Nguyễn Mạnh Quyền

 

PHỤ LỤC:

ĐINH MỨC KINH TẾ - KỸ THUẬT GIÁM SÁT ĐẢM BẢO AN TOÀN THÔNG TIN ĐỐI VỚI HỆ THỐNG HẠ TẦNG KỸ THUẬT DỊCH VỤ CÔNG NGHỆ THÔNG TIN PHỤC VỤ CÔNG TÁC QUẢN LÝ NHÀ NƯỚC THUỘC LĨNH VỰC TÀI NGUYÊN VÀ MÔI TRƯỜNG
(Ban hành kèm theo Quyết định số 29/2026/QĐ-UBND ngày 10/3/2026 của Ủy ban nhân dân thành phố Hà Nội)

Phần I

QUY ĐỊNH CHUNG

1. Cơ sở xây dựng định mức kinh tế - kỹ thuật

Căn cứ Luật Công nghệ thông tin số 67/2006/QH11 và Luật số 65/VBHN-VPQH.

Căn cứ Luật An toàn thông tin mạng số 86/2015/QH13;

Căn cứ Luật An ninh mạng số 24/2018/QH14;

Căn cứ Luật Bảo vệ dữ liệu cá nhân số 91/2025/QH15;

Căn cứ Nghị định số 204/2004/NĐ-CP ngày 14 tháng 12 năm 2004 của Chính phủ về chế độ tiền lương đối với cán bộ, công chức, viên chức và lực lượng vũ trang;

Căn cứ Nghị định số 117/2016/NĐ-CP ngày 21 tháng 7 năm 2016 của Chính phủ sửa đổi bổ sung một số điều Nghị định số 204/2004/NĐ-CP ngày 14 tháng 12 năm 2004 của Chính phủ về chế độ tiền lương đối với cán bộ, công chức, viên chức và lực lượng vũ trang;

Căn cứ Nghị định số 85/2016/NĐ-CP ngày 01 tháng 7 năm 2016 của Chính phủ về bảo đảm an toàn hệ thống thông tin theo cấp độ.

Căn cứ Nghị định số 73/2019/NĐ-CP ngày 05 tháng 9 năm 2019 của Chính phủ về quản lý đầu tư ứng dụng công nghệ thông tin sử dụng nguồn vốn ngân sách nhà nước, được sửa đổi, bổ sung bởi Nghị định số 82/2024/NĐ-CP ngày 10 tháng 7 năm 2024.

Căn cứ Nghị định số 53/2022/NĐ-CP ngày 15/8/2022 của Chính phủ quy định chi tiết một số điều của Luật An ninh mạng;

Căn cứ Thông tư số 31/2017/TT-BTTTT ngày 15/11/2017 của Bộ Thông tin và Truyền thông về quy định hoạt động giám sát an toàn hệ thống thông tin;

Căn cứ Thông tư số 12/2022/TT-BTTTT ngày 12 tháng 8 năm 2022 của Bộ trưởng Bộ Thông tin và Truyền thông Quy định chi tiết và hướng dẫn một số điều của Nghị định số 85/2016/NĐ-CP ngày 01/7/2016;

Căn cứ Thông tư số 26/2014/TT-BTNMT ngày 28 tháng 5 năm 2014 của Bộ trưởng Bộ Tài nguyên và Môi trường ban hành Quy trình và Định mức kinh tế - kỹ thuật xây dựng cơ sở dữ liệu tài nguyên và môi trường;

Căn cứ Thông tư số 14/2020/TT-BTNMT ngày 27 tháng 11 năm 2020 của Bộ Tài nguyên và Môi trường ban hành Quy trình và Định mức kinh tế - kỹ thuật xây dựng, duy trì, vận hành hệ thống thông tin ngành tài nguyên và môi trường;

Căn cứ Thông tư số 23/2023/TT-BTC ngày 25/4/2023 của Bộ Tài chính hướng dẫn chế độ quản lý, tính hao mòn, khấu hao tài sản cố định tại cơ quan, tổ chức, đơn vị và tài sản cố định do nhà nước giao cho doanh nghiệp quản lý không tính thành phần vốn nhà nước tại doanh nghiệp;

Căn cứ Nghị quyết số 16/NQ-HĐND ngày 04/7/2023 của HĐND thành phố Hà Nội ban hành Danh mục dịch vụ sự nghiệp công sử dụng ngân sách nhà nước thuộc lĩnh vực tài nguyên và môi trường.

2. Quy định viết tắt

STT

Viết tắt

Tiếng Anh

Giải nghĩa tiếng Việt

1.

ATTT

Information Security

An toàn thông tin

2.

CVE

Common Vulnerabilities and Exposures

Danh mục lỗ hổng bảo mật chuẩn quốc tế

3.

Patch Management

Patch Management

Quản lý bản vá hệ thống

4.

IDS/IPS

Intrusion Detection/Prevention System

Hệ thống phát hiện/ngăn chặn xâm nhập

5.

DoS/DDoS

Denial of Service / Distributed Denial of Service

Tấn công từ chối dịch vụ

6.

Pentest

Penetration Testing

Kiểm thử xâm nhập

7.

SQLi

SQL Injection

Kỹ thuật tấn công chèn lệnh SQL

8.

XSS

Cross-Site Scripting

Kỹ thuật tấn công chèn mã script

9.

RCE

Remote Code Execution

Khai thác thực thi mã từ xa

10.

OWASP Top 10

OWASP Top 10

10 lỗ hổng bảo mật web phổ biến nhất

11.

CWE

Common Weakness Enumeration

Danh mục các điểm yếu phần mềm

12.

AD

Active Directory

Dịch vụ quản lý tài khoản/máy tính của Microsoft

13.

RBAC

Role-Based Access Control

Mô hình phân quyền dựa trên vai trò

14.

UBA

User Behavior Analytics

Phân tích hành vi người dùng

15.

AuthN

Authentication

Xác thực người dùng

16.

MFA

Multi-Factor Authentication

Xác thực đa yếu tố

17.

IAM

Identity and Access Management

Quản lý danh tính và quyền truy cập

18.

SIEM

Security Information and Event Management

Hệ thống quản lý sự kiện và thông tin bảo mật

19.

SOAR

Security Orchestration, Automation, and Response

Tự động hóa điều phối và ứng phó sự cố bảo mật

20.

DLP

Data Loss Prevention

Ngăn chặn thất thoát dữ liệu

21.

AV

Anti-Virus

Phần mềm chống virus

22.

EDR

Endpoint Detection & Response

Phát hiện và phản hồi sự cố trên thiết bị đầu cuối

23.

WAF

Web Application Firewall

Tường lửa ứng dụng web

24.

Wazuh

Wazuh

Nền tảng SIEM mã nguồn mở

25.

OSSEC

OSSEC

Hệ thống phát hiện xâm nhập mã nguồn mở

26.

Splunk

Splunk

Công cụ SIEM thương mại

27.

QRadar

IBM QRadar

Giải pháp SIEM của IBM

28.

ELK Stack

Elasticsearch, Logstash, Kibana

Bộ công cụ thu thập và phân tích log

29.

ArcSight

ArcSight

Giải pháp quản lý log và bảo mật

30.

Datadog

Datadog

Nền tảng giám sát và bảo mật hệ thống

31.

OpenVAS

Open Vulnerability Assessment System

Công cụ quét lỗ hổng mã nguồn mở

32.

Nessus

Nessus

Công cụ quét lỗ hổng phổ biến

33.

QualysGuard

QualysGuard

Giải pháp quét lỗ hổng thương mại

34.

Snort

Snort

Hệ thống IDS/IPS mã nguồn mở

35.

Suricata

Suricata

Công cụ IDS/IPS mã nguồn mở

36.

ModSecurity

ModSecurity

Tường lửa ứng dụng web mã nguồn mở

37.

OWASP ZAP

OWASP Zed Attack Proxy

Công cụ kiểm thử bảo mật web miễn phí

38.

Burp Suite Pro

Burp Suite Professional

Công cụ pentest ứng dụng web thương mại

39.

SonarQube

SonarQube

Công cụ phân tích mã nguồn và tìm lỗ hổng

40.

Checkmarx

Checkmarx

Giải pháp kiểm tra bảo mật ứng dụng

41.

Veracode

Veracode

Nền tảng kiểm thử bảo mật ứng dụng

42.

pgAudit

PostgreSQL Audit Extension

Công cụ ghi log giám sát CSDL PostgreSQL

43.

MySQL Audit

MySQL Audit Plugin

Công cụ ghi log giám sát MySQL

44.

IBM Guardium

IBM Guardium

Giải pháp bảo mật và giám sát CSDL

45.

Imperva

Imperva

Công cụ bảo mật CSDL thương mại

46.

Bacula

Bacula

Công cụ quản lý sao lưu mã nguồn mở

47.

Amanda

Amanda

Giải pháp sao lưu mã nguồn mở

48.

Veeam

Veeam

Phần mềm sao lưu dữ liệu thương mại

49.

Commvault

Commvault

Giải pháp quản trị sao lưu dữ liệu

50.

Varonis

Varonis

Giải pháp giám sát và bảo mật dữ liệu

51.

Okta

Okta

Giải pháp quản lý danh tính & MFA

52.

Ping Identity

Ping Identity

Nền tảng quản lý truy cập và danh tính

53.

CloudTrail

AWS CloudTrail

Dịch vụ ghi log hoạt động của AWS

54.

Prisma Cloud

Prisma Cloud

Nền tảng bảo mật đa đám mây

55.

ScoutSuite

ScoutSuite

Công cụ kiểm tra cấu hình bảo mật Cloud

56.

Prowler

Prowler

Công cụ kiểm tra cấu hình AWS

57.

ntopng

ntopng

Công cụ phân tích lưu lượng mạng

58.

Zeek (Bro)

Zeek (Bro)

Công cụ phân tích lưu lượng mạng

59.

Arbor

Arbor Networks

Giải pháp chống DDoS

60.

Darktrace

Darktrace

Nền tảng AI an ninh mạng

61.

RSA Archer

RSA Archer

Giải pháp quản trị rủi ro và tuân thủ

62.

ServiceNow GRC

ServiceNow Governance, Risk, Compliance

Giải pháp quản trị rủi ro, tuân thủ

63.

ISO/IEC 27001

ISO/IEC 27001

Tiêu chuẩn hệ thống quản lý an toàn thông tin

64.

ISO/IEC 27002

ISO/IEC 27002

Hướng dẫn áp dụng kiểm soát ATTT

65.

ISO/IEC 27035

ISO/IEC 27035

Tiêu chuẩn quản lý sự cố an toàn thông tin

66.

ISO/IEC 27017

ISO/IEC 27017

Hướng dẫn bảo mật cho dịch vụ Cloud

67.

ISO/IEC 27018

ISO/IEC 27018

Bảo vệ dữ liệu cá nhân trong môi trường Cloud

3. Giải thích từ ngữ

Trong văn bản này, các từ ngữ dưới đây được hiểu như sau:

a) Hệ thống phần cứng công nghệ thông tin là tập hợp hạ tầng phần cứng vật lý các thiết bị công nghệ thông tin bao gồm:

- Hệ thống máy chủ.

- Hệ thống thiết bị mạng.

- Hệ thống thiết bị lưu trữ, sao lưu dữ liệu.

- Hệ thống cáp mạng.

- Hệ thống thiết bị hội nghị truyền hình.

- Hệ thống thoại IP.

b) Phần mềm hệ thống là phần mềm quản lý điều hành thiết bị phần cứng công nghệ thông tin, các phần mềm phục vụ quản lý người dùng và quản lý các quá trình truy cập của người dùng và các quá trình đòi hỏi cần quản lý trong quá trình khai thác, bao gồm:

- Dịch vụ DNS, WINS, LDAP, Directory, Proxy, Cluster, DHCP, CA, Radius, NMS,... và tương đương.

- Phần mềm quản lý, giám sát mạng.

- Phần mềm dò quét lỗ hổng an ninh mạng, website.

- Phần mềm sao lưu, phục hồi.

- Phần mềm giám sát mạng không dây.

- Phần mềm hỗ trợ người dùng.

- Phần mềm thu thập và phân tích logs.

- Phần mềm tường lửa, phòng chống tấn công mạng, QoS.

- Phần mềm cân bằng tải.

- Phần mềm chống tấn công từ chối dịch vụ.

- Phần mềm quản lý máy chủ ảo hóa.

- Phần mềm mạng riêng ảo VPN.

- Phần mềm xử lý dữ liệu không gian (Arc GIS, MapInfo,…).

- Phần mềm hệ quản trị cơ sở dữ liệu (Oracle, Microsoft SQL Server,…).

- Phần mềm nguồn mở.

PHẦN II

QUY TRÌNH KỸ THUẬT GIÁM SÁT ĐẢM BẢO AN TOÀN THÔNG TIN ĐỐI VỚI HỆ THỐNG HẠ TẦNG KỸ THUẬT DỊCH VỤ CÔNG NGHỆ THÔNG TIN

I. Quy trình giám sát đảm bảo an toàn thông tin cho thiết bị mạng (tường lửa - firewall, IDS/IPS, router, switch)

1. Các bước thực hiện

1.1. Chuẩn bị và thiết lập

- Lập sơ đồ mạng và danh mục thiết bị (CMDB).

- Chuẩn hóa cấu hình log: bật syslog/CEF/JSON, định nghĩa mức log.

- Thiết lập kênh thu tập trung (syslog-ng, rsyslog, Logstash) kết nối với SIEM.

- Thiết lập AAA (TACACS+/RADIUS), tăng cường bảo mật SSH, quản lý mật khẩu/khóa.

1.2. Thu thập và vận hành

- Thu log: ACL hits, VPN, firewall accept/deny, cảnh báo IDS/IPS, thay đổi định tuyến.

- Giám sát hiệu năng thiết bị: CPU, RAM, lỗi cổng mạng, gián đoạn kết nối.

- Giám sát NetFlow/sFlow/IPFIX để phát hiện lưu lượng bất thường.

- Giám sát tuân thủ cấu hình, backup định kỳ, phát hiện thay đổi trái phép.

- Cảnh báo theo ngưỡng và đối chiếu IOC từ nguồn tình báo mối đe dọa.

1.3. Phân tích tương quan (SIEM/SOC)

- Xây dựng quy tắc tương quan

- Thực hiện phân loại cảnh báo (triage), tìm kiếm mối đe dọa (threat hunting).

1.4. Xác minh ứng cứu ban đầu

- Xác minh nguồn gốc (MAC, p-rt, VLAN), capture gói tin (pcap).

- Biện pháp ban đầu: chặn IP/ASN, cô lập cổng, thay đổi rule trên firewall.

- Ghi lại chuỗi thời gian sự kiện phục vụ điều tra (f-rensic, IS-/IEC 27035).

1.5. Bảo mật dữ liệu giám sát

- Mã hóa kênh l-g (TLS), lưu vết truy cập.

- Chính sách lưu giữ: l-g chi tiết 90-180 ngày, bản tóm tắt 1-3 năm.

1.6. Đánh giá cải tiến

- Rà soát quy tắc, chữ ký, ngưỡng hàng tháng/quý.

- Diễn tập ứng cứu (tablet-p, kiểm thử xâm nhập).

2. Sản phẩm

(1). Báo cáo hàng ngày: số lượng cảnh báo, sự kiện quan trọng, thiết bị ngừng hoạt động (theo Mẫu TBM.01).

(2). Báo cáo hàng tuần: mức sử dụng băng thông, tình trạng backup cấu hình (theo Mẫu TBM.02).

(3). Báo cáo sự cố (theo ISO/IEC 27035): chuỗi thời gian, nguyên nhân gốc, biện pháp xử lý (theo Mẫu TBM.03).

(4). Báo cáo hàng tháng: xu hướng tấn công, IOC, baseline lưu lượng (theo Mẫu TBM.04).

(5). Báo cáo tuân thủ cấu hình, audit log (theo Mẫu TBM.05).

(6). Chỉ số đo lường (KPI): thời gian phát hiện (MTTD), thời gian xử lý (MTTR), tỷ lệ cảnh báo sai (false positives), tỷ lệ thiết bị gửi log (theo Mẫu TBM.06).

(Chi tiết tại Phụ lục 1 kèm theo)

II. Quy trình giám sát đảm bảo an toàn thông tin cho hạ tầng ảo hóa (cloud, virtualization)

1. Các bước thực hiện

1.1. Chuẩn bị và thiết lập

- Kiểm kê host, VM, container, tài nguyên đám mây.

- Bật log gốc (AWS CloudTrail, VPC Flow Logs, Azure Monitor, GCP Audit Logs).

- Cấu hình audit log cho API call, snapshot, migration, thay đổi IAM.

- Quét lỗ hổng image, áp dụng chính sách registry.

1.2. Thu thập và giám sát

- Log API: thay đổi quyền, tạo khóa truy cập, thay đổi bucket công khai.

- Giám sát lưu lượng mạng trong nội bộ đám mây (flow logs).

- Giám sát RBAC trong Kubernetes, hoạt động container.

1.3 Phân tích xử lý

- Tạo IAM key mới + xuất dữ liệu lớn → cảnh báo.

- Vô hiệu hóa key, cô lập namespace, chặn bucket.

1.4 Bảo mật dữ liệu

- Mã hóa log, lưu giữ theo quy định (GDPR, pháp luật Việt Nam).

- Thực hiện quản lý bảo mật đám mây (CSPM).

2. Sản phẩm

(1). Báo cáo hàng ngày: sự kiện truy cập IAM, thay đổi cấu hình cloud, cảnh báo bảo mật container/VM (theo Mẫu AH.01).

(2). Báo cáo hàng tuần: trạng thái tài nguyên cloud (CPU, storage, network), nhật ký audit API, tình trạng backup snapshot (theo Mẫu AH.02).

(3). Báo cáo sự cố: chi tiết sự kiện vi phạm quyền truy cập, rò rỉ dữ liệu, hành vi bất thường trên VM/container, biện pháp khắc phục (theo Mẫu AH.03).

(4). Báo cáo hàng tháng: xu hướng tấn công trên hạ tầng ảo hóa, phân tích sử dụng IAM key, thống kê thay đổi cấu hình và baseline bảo mật (theo Mẫu AH.04).

(5) Báo cáo tuân thủ: đánh giá chính sách bảo mật cloud (CIS Benchmark, ISO/IEC 27017), kiểm tra lưu giữ log và mã hóa dữ liệu (theo Mẫu AH.05).

(6). Chỉ số đo lường (KPI): Thời gian phát hiện và xử lý sự cố (MTTD, MTTR); Tỷ lệ sự kiện bất thường được phân tích tự động (automation rate); Số lượng tài nguyên tuân thủ baseline bảo mật (% compliant); Tỷ lệ VM/container gửi log đầy đủ (theo Mẫu AH.06).

(Chi tiết tại Phụ lục 2 kèm theo)

III. Quy trình giám sát đảm bảo an toàn thông tin cho máy chủ (hệ điều hành windows, linux)

1. Các bước thực hiện

1.1. Chuẩn bị và thiết lập

- Kiểm kê hệ điều hành, phiên bản, bản vá, vai trò.

- Tăng cường bảo mật (hardening) theo chuẩn CIS.

- Bật audit logging: syslog (Linux), Windows Event Forwarding, audit DB.

1.2. Thu thập và giám sát

- Log: đăng nhập thành công/thất bại, sử dụng sudo, lỗi kernel.

- Log DB: truy vấn lỗi, thay đổi cấu trúc, xuất dữ liệu.

- Giám sát CPU, RAM, I/O, số lượng kết nối.

1.3. Phân tích xác minh

- Tương quan: nhiều lần đăng nhập thất bại trên nhiều server → tấn công ngang.

- Kích hoạt điều tra forensic (memory dump, snapshot).

1.4. Ứng cứu ban đầu

- Cô lập server, vô hiệu hóa tài khoản, thay đổi mật khẩu.

- Tạo snapshot để lưu bằng chứng.

1.5. Bảo mật dữ liệu

- Mã hóa log khi lưu trữ, kiểm soát truy cập.

- Chính sách lưu giữ log.

1.6. Đánh giá định kỳ

Quét lỗ hổng, lập lịch vá lỗi, báo cáo thay đổi cấu hình

2. Sản phẩm

(1). Báo cáo hàng ngày: đăng nhập bất thường, lỗi hệ thống, dịch vụ dừng đột ngột, thay đổi quyền hoặc nhóm người dùng (theo Mẫu HĐH.01).

(2). Báo cáo hàng tuần: tình trạng CPU/RAM/I/O, số lượng kết nối, trạng thái bản vá và dịch vụ quan trọng (theo Mẫu HĐH.02).

(3). Báo cáo sự cố: chi tiết sự kiện xâm nhập, lỗi bảo mật, kết quả forensic (log, memory dump, snapshot), biện pháp khắc phục (theo Mẫu HĐH.03).

(4) Báo cáo hàng tháng: thống kê xu hướng sự cố, mức độ tuân thủ hardening, tỷ lệ máy chủ đã vá đầy đủ, thay đổi cấu hình bảo mật (theo Mẫu HĐH.04).

(5). Báo cáo tuân thủ: đối chiếu chuẩn CIS, NIST, ISO/IEC 27001; kiểm tra chính sách quản lý tài khoản, lưu trữ và mã hóa log (theo Mẫu HĐH.05).

(6). Chỉ số đo lường (KPI): Thời gian phát hiện và xử lý sự cố (MTTD, MTTR); Tỷ lệ máy chủ cập nhật bản vá đúng hạn; Số lượng cảnh báo sai (false positives); Tỷ lệ máy chủ gửi log và tuân thủ baseline bảo mật (theo Mẫu HĐH.06).

(Chi tiết tại Phụ lục 3 kèm theo)

IV. Quy trình giám sát đảm bảo an toàn thông tin cho ứng dụng (web, erp, crm, api, email)

1. Các bước thực hiện

1.1. Chuẩn bị và thiết lập

- Kiểm kê danh mục ứng dụng, phiên bản, môi trường triển khai (dev/test/prod).

- Bật log truy cập, xác thực, lỗi ứng dụng, giao dịch API.

- Cấu hình tường lửa ứng dụng web (WAF), DLP, bảo vệ API gateway.

1.2. Thu thập và giám sát

- Thu thập log request/response, API usage, cảnh báo từ WAF và IDS.

- Giám sát truy cập bất thường, tần suất POST/GET cao, lỗi 4xx/5xx, email spam/phishing.

- Giám sát hành vi giao dịch nghi ngờ (fraud detection, brute force, SQLi, XSS).

1.3. Phân tích tương quan

- Tương quan WAF block + login thất bại hàng loạt → tấn công brute force.

- Phân tích chuỗi request để phát hiện khai thác API hoặc rò rỉ dữ liệu.

- Kết hợp log ứng dụng và hệ thống xác thực (SSO/AD) để xác minh người dùng.

1.4. Ứng cứu ban đầu

- Giới hạn tốc độ, tạm khóa tài khoản, reset mật khẩu.

- Vá nóng (hotfix), cập nhật chữ ký WAF, chặn IP/ASN tấn công.

- Thông báo sự cố và ghi nhận bằng chứng phục vụ điều tra.

1.5. Bảo mật dữ liệu log

- Che giấu hoặc ẩn danh dữ liệu cá nhân (PII) trong log.

- Mã hóa log khi lưu trữ, kiểm soát quyền truy cập và chính sách lưu giữ.

1.6. Đánh giá cải tiến

- Kiểm thử xâm nhập định kỳ, rà soát quy tắc WAF và API policy.

- Cập nhật baseline an toàn ứng dụng và đào tạo đội ngũ vận hành.

2. Sản phẩm

(1). Báo cáo hàng ngày: số lượng truy cập, lỗi ứng dụng, cảnh báo WAF/API, đăng nhập bất thường (theo Mẫu UD.01).

(2). Báo cáo hàng tuần: trạng thái hoạt động ứng dụng, hiệu suất API, tỷ lệ lỗi và phản hồi chậm (theo Mẫu UD.02).

(3). Báo cáo sự cố: chi tiết khai thác lỗ hổng, tấn công brute force, phishing, rò rỉ dữ liệu; biện pháp xử lý (theo Mẫu UD.03).

(4). Báo cáo hàng tháng: thống kê xu hướng tấn công, hiệu quả quy tắc WAF, tỷ lệ giao dịch nghi ngờ, đánh giá bảo mật API (theo Mẫu UD.04).

(5). Báo cáo tuân thủ: đối chiếu OWASP Top 10, ISO/IEC 27034, GDPR (nếu có), kiểm tra chính sách PII và mã hóa log (theo Mẫu UD.05).

 (6). Chỉ số đo lường (KPI): MTTD/MTTR (thời gian phát hiện và khắc phục); Số lượng lỗ hổng được vá đúng hạn; Tỷ lệ cảnh báo đúng (true positives); Tỷ lệ log ứng dụng được thu thập và phân tích đầy đủ (theo Mẫu UD.06).

(Chi tiết tại Phụ lục 4 kèm theo)

V. Quy trình giám sát đảm bảo an toàn thông tin cho cơ sở dữ liệu

1. Các bước thực hiện

1.1. Chuẩn bị và thiết lập

- Kiểm kê hệ quản trị cơ sở dữ liệu (DBMS), phiên bản, vai trò, và người quản trị.

- Bật audit log, query log, slow query log.

- Cấu hình giám sát kết nối, phân quyền, thay đổi cấu trúc bảng/lược đồ.

- Áp dụng hardening theo chuẩn CIS/OWASP Database Security.

1.2. Thu thập và giám sát

- Thu thập log truy cập, đăng nhập, truy vấn lỗi, hành vi thao tác dữ liệu (INSERT/UPDATE/DELETE).

- Giám sát thay đổi quyền truy cập, tạo tài khoản mới, hoặc cấp quyền DBA.

- Theo dõi hiệu năng DB: CPU, I/O, deadlock, kết nối bất thường.

- Giám sát backup/restore, lịch trình và trạng thái sao lưu.

1.3. Phân tích tương quan

- Tương quan các hành vi bất thường: DROP table + đăng nhập ngoài giờ + truy cập từ IP lạ.

- Phát hiện truy vấn khối lượng lớn hoặc quét dữ liệu nhạy cảm (data exfiltration).

- Đối chiếu nhật ký DB với log ứng dụng và hệ điều hành để xác minh hành vi.

1.4. Ứng cứu ban đầu

- Cô lập tài khoản nghi ngờ, thu hồi quyền truy cập, khóa session đang hoạt động.

- Khôi phục dữ liệu từ bản sao lưu, ghi nhận log phục vụ điều tra.

- Vá lỗi hoặc điều chỉnh cấu hình bảo mật (role, GRANT/REVOKE).

1.5. Bảo mật dữ liệu và log

- Mã hóa dữ liệu nhạy cảm (at rest, in transit), ẩn danh dữ liệu khi test.

- Mã hóa log, kiểm soát quyền truy cập, lưu trữ an toàn và tuân thủ chính sách retention.

1.6. Đánh giá cải tiến

- Rà soát quyền tài khoản, kiểm tra chính sách backup và mã hóa định kỳ.

- Kiểm thử xâm nhập database, cập nhật baseline bảo mật.

2. Sản phẩm

(1). Báo cáo hàng ngày: đăng nhập bất thường, truy vấn lỗi, thay đổi cấu trúc hoặc quyền truy cập (theo Mẫu CSDL.01).

(2). Báo cáo hàng tuần: tình trạng hiệu năng DB, lịch backup/restore, log audit (theo Mẫu CSDL.02).

(3). Báo cáo sự cố: chi tiết truy vấn phá hoại (DROP/DELETE), rò rỉ dữ liệu, biện pháp khôi phục (theo Mẫu CSDL.03).

(4). Báo cáo hàng tháng: xu hướng truy cập, thay đổi quyền, thống kê hiệu năng, kiểm tra tuân thủ chính sách lưu trữ (theo Mẫu CSDL.04).

(5). Báo cáo tuân thủ: đối chiếu chuẩn bảo mật cơ sở dữ liệu (CIS Benchmark, ISO/IEC 27001, PCI DSS), đánh giá trạng thái mã hóa và quản lý quyền (theo Mẫu CSDL.05).

(6). Chỉ số đo lường (KPI): Thời gian phát hiện và xử lý sự cố (MTTD, MTTR); Tỷ lệ backup thành công và khôi phục thử nghiệm; Tỷ lệ phát hiện truy vấn bất thường; Tỷ lệ cơ sở dữ liệu tuân thủ baseline bảo mật và mã hóa (theo Mẫu CSDL.06).

(Chi tiết tại Phụ lục 5 kèm theo)

VI. Quy trình giám sát đảm bảo an toàn thông tin cho người dùng

1. Các bước thực hiện

1.1. Chuẩn bị và thiết lập

- Kiểm kê danh sách tài khoản người dùng, vai trò, nhóm, và các đặc quyền.

- Thiết lập hệ thống quản lý danh tính và truy cập (IAM) và bật audit log cho các sự kiện xác thực (Active Directory/SSO).

- Cấu hình giám sát truy cập từ xa (VPN, VDI) và các dịch vụ chia sẻ tài nguyên.

- Áp dụng chính sách mật khẩu và xác thực đa yếu tố (MFA).

1.2. Thu thập và giám sát

- Thu thập log đăng nhập/đăng xuất thành công/thất bại, thay đổi mật khẩu, thay đổi vai trò.

- Giám sát đăng nhập bất thường (từ IP lạ, ngoài giờ hành chính, tốc độ di chuyển không thể lý giải).

- Giám sát hành vi người dùng đặc quyền (Admin, Root, DBA) trong việc truy cập tài nguyên.

- Thu thập log truy cập vào dữ liệu nhạy cảm (qua DLP, file share audit).

1.3. Phân tích tương quan

- Xây dựng baseline hành vi cho từng nhóm người dùng (giờ làm việc, tài nguyên truy cập, khối lượng download/upload).

- Tương quan đăng nhập thành công bất thường + truy cập tệp nhạy cảm + download khối lượng lớn → rò rỉ dữ liệu nội bộ.

- Phân tích chuỗi sự kiện để phát hiện tấn công chiếm quyền tài khoản (account takeover).

1.4. Ứng cứu ban đầu

- Vô hiệu hóa hoặc tạm khóa tài khoản bị chiếm quyền.

- Buộc đăng xuất (force logoff) và reset mật khẩu cho người dùng.

- Cô lập thiết bị đầu cuối của người dùng có hành vi bất thường.

- Thông báo và phối hợp với phòng ban nhân sự/quản lý để xác minh.

1.5. Bảo mật dữ liệu và log

- Đảm bảo log xác thực được mã hóa và lưu trữ an toàn, tách biệt khỏi log hệ thống.

- Tuân thủ chính sách lưu giữ log theo quy định pháp luật.

- Thực hiện ẩn danh (anonymization) hoặc che giấu (masking) thông tin nhận dạng cá nhân (PII) trong log.

1.6. Đánh giá cải tiến

- Rà soát định kỳ các tài khoản không hoạt động (idle accounts) và đặc quyền.

- Thực hiện các chiến dịch kiểm tra phishing và đào tạo nhận thức bảo mật cho người dùng.

- Cập nhật baseline hành vi UEBA dựa trên các sự cố đã xảy ra.

2. Sản phẩm

(1). Báo cáo hàng ngày: Đăng nhập bất thường (khác vị trí, ngoài giờ), thất bại đăng nhập/MFA liên tục, thay đổi mật khẩu/đặc quyền người dùng (theo Mẫu USER.01).

(2). Báo cáo hàng tuần: Thống kê hành vi người dùng đặc quyền, tổng hợp truy cập dữ liệu nhạy cảm, trạng thái xác thực MFA/SSO, tài khoản không hoạt động (theo Mẫu USER.02).

(3). Báo cáo sự cố: Chi tiết sự kiện chiếm quyền tài khoản, vi phạm chính sách truy cập, rò rỉ dữ liệu nội bộ do người dùng; biện pháp khắc phục (theo Mẫu USER.03).

(4). Báo cáo hàng tháng: Xu hướng hành vi bất thường (UEBA), đánh giá tài khoản đặc quyền, thống kê kết quả kiểm tra phishing, rà soát tài khoản không hoạt động (theo Mẫu USER.04).

(5). Báo cáo tuân thủ: Đối chiếu chính sách IAM với ISO/IEC 27001 (A.9, A.11), NIST CSF; kiểm tra việc áp dụng MFA, và chính sách quản lý mật khẩu (theo Mẫu USER.05).

(6). Chỉ số đo lường (KPI): Thời gian phát hiện và xử lý sự cố (MTTD, MTTR); Tỷ lệ tài khoản có MFA; Tỷ lệ người dùng vi phạm chính sách mật khẩu; Tỷ lệ hành vi bất thường được UEBA phát hiện chính xác (theo Mẫu USER.06).

(Chi tiết tại Phụ lục 6 kèm theo)

VII. Quy trình giám sát đảm bảo an toàn thông tin cho toàn bộ hệ thống (SOC - Trung tâm điều hành an ninh mạng)

1. Các bước thực hiện

1.1. Chuẩn bị và thiết lập

- Triển khai và cấu hình hệ thống SIEM/SOAR, tích hợp log từ các nguồn: mạng, máy chủ, ứng dụng, cơ sở dữ liệu, endpoint, cloud.

- Xây dựng thư viện tình huống (use-case library) theo mô hình MITRE ATT&CK.

- Xác định ngưỡng cảnh báo, mức độ ưu tiên (severity), quy trình phân quyền xử lý.

1.2. Giám sát phân tích

- Giám sát liên tục 24/7 các sự kiện an ninh trên toàn hệ thống.

- Thực hiện phân loại (triage), làm giàu dữ liệu (enrichment), tương quan cảnh báo (correlation).

- Phát hiện hành vi tấn công (brute force, phishing, privilege escalation, lateral movement).

1.3. Ứng cứu và xử lý sự cố

- Thực hiện playbook phản ứng: DDoS, ransomware, khai thác lỗ hổng, lạm dụng đặc quyền.

- Kích hoạt quy trình escalation đến đội chuyên trách, cô lập hệ thống hoặc tài khoản nghi ngờ.

- Ghi nhận và lưu trữ toàn bộ chuỗi sự kiện phục vụ điều tra.

1.4. Săn tìm mối đe dọa

- Phân tích hành vi ẩn, IOC, log lịch sử để phát hiện tấn công chưa được cảnh báo.

- Sử dụng nguồn threat intelligence nội bộ và bên thứ ba (MISP, VirusTotal, AlienVault OTX).

- Cập nhật danh sách IOC, YARA rule, pattern nhận diện tấn công mới.

1.5. Rà soát cải tiến

- Thực hiện đánh giá sau sự cố (post-incident review), cập nhật quy tắc SIEM và playbook.

- Đánh giá năng lực phản ứng của đội SOC, đề xuất đào tạo và nâng cấp công cụ.

- Báo cáo định kỳ kết quả vận hành và cải thiện khả năng phát hiện.

2. Sản phẩm

(1). Báo cáo hàng ngày: số lượng cảnh báo, sự kiện nghi ngờ, tình trạng thiết bị/nguồn log, hành vi đáng chú ý (theo Mẫu SOC.01).

(2). Báo cáo hàng tuần: thống kê mức độ cảnh báo, top 10 mối đe dọa, hiệu quả quy tắc phát hiện, tình trạng phản ứng sự cố (theo Mẫu SOC.02).

(3). Báo cáo sự cố: chi tiết chuỗi sự kiện, phân tích nguyên nhân gốc (root cause), tác động và biện pháp khắc phục theo ISO/IEC 27035 (theo Mẫu SOC.03).

(4). Báo cáo hàng tháng: xu hướng tấn công, thống kê IOC, hiệu quả threat hunting, tỷ lệ cảnh báo chính xác (theo Mẫu SOC.04).

(5) Báo cáo tuân thủ: đối chiếu tiêu chuẩn vận hành SOC (ISO/IEC 27035, NIST 800-61, MITRE ATT&CK), kiểm tra đầy đủ nguồn log (theo Mẫu SOC.05).

(6). Chỉ số đo lường (KPI): MTTD, MTTR (thời gian phát hiện và xử lý); Tỷ lệ cảnh báo chính xác (true positive rate); Số lượng sự cố được phát hiện chủ động qua threat hunting; Tỷ lệ hệ thống/thiết bị gửi log đầy đủ về SIEM (theo Mẫu SOC.06).

(Chi tiết tại Phụ lục 7 kèm theo)

PHẦN III

ĐỊNH MỨC KINH TẾ - KỸ THUẬT GIÁM SÁT ĐẢM BẢO AN TOÀN THÔNG TIN ĐỐI VỚI HỆ THỐNG HẠ TẦNG KỸ THUẬT DỊCH VỤ CÔNG NGHỆ THÔNG TIN

CHƯƠNG I

GIÁM SÁT ĐẢM BẢO AN TOÀN THÔNG TIN CHO THIẾT BỊ MẠNG (TƯỜNG LỬA - FIREWALL, IDS/IPS, ROUTER, SWITCH)

I. Chuẩn bị và thiết lập

1. Định mức lao động

1.1. Nội dung công việc

a) Lập sơ đồ mạng và danh mục thiết bị (CMDB).

b) Chuẩn hóa cấu hình log: bật syslog/CEF/JSON, định nghĩa mức log.

c) Thiết lập kênh thu tập trung (syslog-ng, rsyslog, Logstash) kết nối với SIEM.

d) Thiết lập AAA (TACACS+/RADIUS), tăng cường bảo mật SSH, quản lý mật khẩu/khóa.

1.2. Phân loại khó khăn

Các yếu tố ảnh hưởng

STT

Các yếu tố ảnh hưởng

Giải thích

Điểm tối đa

Quy tắc tính điểm

1

Số lượng thiết bị/host cần giám sát (m)

Tổng số thiết bị mạng, máy chủ, endpoint phải thu log

40

m ≤ 50 → 10

50 < m ≤ 200 → 25

m > 200 → 40

2

Số lượng hệ thống log/ứng dụng khác loại

Độ đa dạng nguồn log (Firewall, Web, DB, AD, Cloud...)

15

≤3 loại → 5

4-6 loại → 10

>6 loại → 15

3

Mức độ phức tạp cấu trúc mạng

Số vùng mạng (LAN, DMZ, Cloud, VPN, OT…)

30

≤3 vùng → 10

4-6 vùng → 20

> 6 vùng → 30

4

Yêu cầu tuân thủ và tiêu chuẩn bảo mật

Có yêu cầu ISO 27001, NIST, hay quy định chuyên ngành

15

Không yêu cầu → 0

Yêu cầu nội bộ → 10

Yêu cầu theo chuẩn quốc tế → 15

Phân loại khó khăn

STT

Mức độ khó khăn

Khoảng điểm

hiệu

1

Dễ

K ≤ 50

KK1

2

Trung bình

50 < K < 80

KK2

3

Khó

K ≥ 80

KK3

1.3. Định biên

STT

Danh mục công việc

KS2

KS3

KS4

Nhóm

1

Lập sơ đồ mạng và danh mục thiết bị (CMDB)

 

2

 

2

2

Chuẩn hóa cấu hình log (syslog/CEF/JSON, định nghĩa mức log)

 

1

1

2

3

Thiết lập kênh thu tập trung (syslog-ng, rsyslog, Logstash, SIEM)

 

1

1

2

4

Thiết lập AAA (TACACS+/RADIUS), bảo mật SSH, quản lý mật khẩu/khóa

1

1

 

2

1.4. Định mức

Công nhóm/ĐVT

STT

Danh mục công việc

Đơn vị tính

KK1

KK2

KK3

1

Lập sơ đồ mạng và danh mục thiết bị (CMDB)

Hệ thống

1,8

2,3

3,1

2

Chuẩn hóa cấu hình log (syslog/CEF/JSON, định nghĩa mức log)

Thiết bị

2,5

3,2

4,1

3

Thiết lập kênh thu tập trung (syslog-ng, rsyslog, Logstash)

Nguồn log

3,0

3,8

5,0

4

Thiết lập AAA, bảo mật SSH, quản lý mật khẩu/khóa

Thiết bị

2,0

2,6

3,4

2. Định mức thiết bị

Ca/01 hệ thống

STT

Thiết bị

ĐVT

Thời hạn (tháng)

Lập sơ đồ mạng và danh mục thiết bị (CMDB)

Chuẩn hóa cấu hình log (syslog/CEF/J SON, định nghĩa mức log)

Thiết lập kênh thu tập trung (syslog-ng, rsyslog, Logstash)

Thiết lập AAA, bảo mật SSH, quản lý mật khẩu/khóa

1

Máy tính để bàn

Bộ

60

4,027

4,027

24,160

24,160

2

Máy in laser

Cái

60

-

-

 

 

3

Điều hoà nhiệt độ

Cái

96

0,705

0,705

4,228

4,228

4

Máy photocopy

Cái

96

-

-

-

-

5

Điện năng (kw)

kW

 

15,644

15,644

93,862

93,862

Ghi chú: Mức thiết bị trên tính cho loại KK2, mức cho các loại khó khăn khác tính như sau:

KK1 = 0,8 x KK2.

KK3 = 1,3 x KK2.

3. Định mức dụng cụ

Ca/01 hệ thống

STT

Dụng cụ

ĐVT

Thời hạn (tháng)

Lập sơ đồ mạng và danh mục thiết bị (CMDB)

Chuẩn hóa cấu hình log (syslog/CE F/JSON, định nghĩa mức log)

Thiết lập kênh thu tập trung (syslog-ng, rsyslog, Logstash)

Thiết lập AAA, bảo mật SSH, quản lý mật khẩu/khóa

1

Ghế

Cái

96

5,033

5,033

30,200

30,200

2

Bàn làm việc

Cái

96

5,033

5,033

30,200

30,200

3

Quạt trần 0,1 kW

Cái

60

0,881

0,881

5,285

5,285

4

Đèn neon 0,04 kW

Bộ

36

2,517

2,517

15,100

15,100

5

Điện năng (kw)

kW

 

1,586

1,586

9,513

9,513

Ghi chú: Mức thiết bị trên tính cho loại KK2, mức cho các loại khó khăn khác tính như sau:

KK1 = 0,8 x KK2.

KK3 = 1,3 x KK2.

4. Định mức vật liệu

STT

Vật liệu

ĐVT

Lập sơ đồ mạng và danh mục thiết bị (CMDB)

Chuẩn hóa cấu hình log (syslog/CEF/JS ON, định nghĩa mức log)

Thiết lập kênh thu tập trung (syslog-ng, rsyslog, Logstash)

Thiết lập AAA, bảo mật SSH, quản lý mật khẩu/khóa

1

Giấy in A4

Gram

-

-

-

-

2

Mực in laser

Hộp

-

-

-

-

3

Mực máy photocopy

Hộp

-

-

-

-

4

Cặp để tài liệu

Cái

-

-

-

-

II. Thu thập và vận hành

1. Định mức lao động

1.1. Nội dung công việc

a) Thu log: ACL hits, VPN, firewall accept/deny, cảnh báo IDS/IPS, thay đổi định tuyến.

b) Giám sát hiệu năng thiết bị: CPU, RAM, lỗi cổng mạng, gián đoạn kết nối.

c) Giám sát NetFlow/sFlow/IPFIX để phát hiện lưu lượng bất thường.

d) Giám sát tuân thủ cấu hình, backup định kỳ, phát hiện thay đổi trái phép.

đ) Cảnh báo theo ngưỡng và đối chiếu IOC từ nguồn tình báo mối đe dọa.

1.2. Phân loại khó khăn

Các yếu tố ảnh hưởng

STT

Các yếu tố ảnh hưởng

Giải thích

Điểm tối đa

Quy tắc tính điểm

1

Số lượng thiết bị/nguồn log cần giám sát (m)

Tổng số firewall, router, switch, server, ứng dụng, endpoint gửi log

40

m ≤ 100 → 10

100 < m ≤ 300 → 25

m > 300 → 40

2

Tốc độ tạo log trung bình (log/s)

Lưu lượng log ảnh hưởng trực tiếp đến công suất thu thập & xử lý

15

≤1.000 log/s → 5

1.000-10.000 → 10

>10.000 → 15

3

Độ phức tạp cảnh báo & phân loại sự kiện

Số rule/alert, mức độ liên kết, tương quan IOC

30

≤200 rule → 10

200-500 → 20

>500 → 30

4

Yêu cầu trực giám & thời gian phản ứng (SLA)

Có SOC 24/7, yêu cầu phản ứng nhanh hoặc định kỳ

15

Ca hành chính → 5

2 ca/ngày → 10

24/7 → 15

Phân loại khó khăn

STT

Mức độ khó khăn

Khoảng điểm

hiệu

1

Dễ

K ≤ 50

KK1

2

Trung bình

50 < K < 80

KK2

3

Khó

K ≥ 80

KK3

1.3. Định biên

STT

Danh mục công việc

KS2

KS3

KS4

Nhóm

1

Thu log: ACL hits, VPN, firewall accept/ deny, cảnh báo IDS/IPS, thay đổi định tuyến

 

2

 

2

2

Giám sát hiệu năng thiết bị: CPU, RAM, lỗi cổng mạng, gián đoạn kết nối

 

1

1

2

3

Giám sát NetFlow/sFlow/IPFIX để phát hiện lưu lượng bất thường

 

1

1

2

4

Giám sát tuân thủ cấu hình, backup định kỳ, phát hiện thay đổi trái phép

 

1

1

2

5

Cảnh báo theo ngưỡng và đối chiếu IOC từ nguồn tình báo mối đe dọa

1

1

 

2

1.4. Định mức

STT

Danh mục công việc

Đơn vị tính

KK1

KK2

KK3

1

Thu log: ACL hits, VPN, firewall accept/ deny, IDS/IPS alert, thay đổi định tuyến

Nguồn log

1,8

2,3

3,0

2

Giám sát hiệu năng thiết bị: CPU, RAM, lỗi cổng, gián đoạn kết nối

Thiết bị

2,4

3,0

3,9

3

Giám sát NetFlow/sFlow/IPFIX, phát hiện lưu lượng bất thường

Hệ thống

3,2

4,0

5,3

4

Giám sát tuân thủ cấu hình, backup, phát hiện thay đổi trái phép

Thiết bị

2,2

2,8

3,6

5

Cảnh báo theo ngưỡng và đối chiếu IOC từ nguồn tình báo mối đe dọa

Nguồn log

3,0

3,8

5,0

2. Định mức thiết bị

Ca/01 thiết bị

STT

Thiết bị

ĐVT

Công suất (Kw)

Thu log: ACL hits, VPN, firewall accept/deny, IDS/IPS alert, thay đổi định tuyến

Giám sát hiệu năng thiết bị: CPU, RAM, lỗi cổng, gián đoạn kết nối

Giám sát NetFlow/ sFlow/IP FIX, phát hiện lưu lượng bất thường

Giám sát tuân thủ cấu hình, backup, phát hiện thay đổi trái phép

Cảnh báo theo ngưỡng và đối chiếu IOC từ nguồn tình báo mối đe dọa

1

Máy tính để bàn

Cái

0,4

0,033

0,067

0,067

0,2

0,1

2

Máy in laser

Cái

0,6

0

0

0

0

0

3

Điều hoà nhiệt độ

Cái

2,2

0,006

0,011

0,011

0,034

0,017

4

Điện năng

Kw

 

0,215

0,43

0,43

1,291

0,646

3. Định mức dụng cụ

Ca/01 thiết bị

STT

Dụng cụ

ĐVT

Thời hạn (tháng)

Thu log: ACL hits, VPN, firewall accept/deny, IDS/IPS alert, thay đổi định tuyến

Giám sát hiệu năng thiết bị: CPU, RAM, lỗi cổng, gián đoạn kết nối

Giám sát NetFlow/ sFlow/IP FIX, phát hiện lưu lượng bất thường

Giám sát tuân thủ cấu hình, backup, phát hiện thay đổi trái phép

Cảnh báo theo ngưỡng và đối chiếu IOC từ nguồn tình báo mối đe dọa

1

Ghế

Cái

96

0,067

0,2

0,1

0,2

0,4

2

Bàn làm việc

Cái

96

0,067

0,2

0,1

0,2

0,4

3

Quạt trần

Cái

96

0,012

0,035

0,018

0,035

0,07

4

Đèn neon

Bộ

24

0,033

0,1

0,05

0,1

0,2

5

Điện năng

kW

 

0,021

0,063

0,031

0,063

0,126

6

Đồng hồ đo điện vạn năng

Cái

60

0

0

0

0

0

7

Máy hút bụi

Cái

60

0

0

0

0

0

4. Định mức vật liệu

STT

Nội dung

ĐVT

Thu log: ACL hits, VPN, firewall accept/deny, IDS/IPS alert, thay đổi định tuyến

Giám sát hiệu năng thiết bị: CPU, RAM, lỗi cổng, gián đoạn kết nối

Giám sát NetFlow/s Flow/IPFI X, phát hiện lưu lượng bất thường

Giám sát tuân thủ cấu hình, backup, phát hiện thay đổi trái phép

Cảnh báo theo ngưỡng và đối chiếu IOC từ nguồn tình báo mối đe dọa

1

Giấy in A4

Gram

-

-

-

0,01

0,01

2

Mực in laser

Hộp

-

-

-

0,002

0,002

III. Phân tích & tương quan (SIEM/SOC)

1. Định mức lao động

1.1. Nội dung công việc

a) Xây dựng quy tắc tương quan.

b) Thực hiện phân loại cảnh báo (triage), săn tìm mối đe dọa (threat hunting).

1.2. Phân loại khó khăn

Các yếu tố ảnh hưởng

STT

Các yếu tố ảnh hưởng

Giải thích

Điểm tối đa

Quy tắc tính điểm

1

Số lượng nguồn log/hệ thống đầu vào (m)

Số lượng nguồn dữ liệu được đưa vào SIEM để tương quan

40

m ≤ 50 → 10

50 < m ≤ 200 → 25m

> 200 → 40

2

Số lượng quy tắc tương quan cần xây dựng /bảo trì

Mức độ đa dạng và phức tạp của rule

15

≤50 rule → 5

50-150 → 10

>150 → 15

3

Độ phức tạp mô hình tấn công và phân tích hành vi

Cần mô hình hóa chuỗi hành vi (kill chain), mapping MITRE ATT&CK

30

Chỉ theo signature đơn → 10

Có mapping MITRE → 20

Có hành vi đa tầng (multi-step correlation) → 30

4

Nguồn dữ liệu threat intelligence và IOC tích hợp

Số lượng nguồn và mức độ cập nhật

15

Không có → 0

1-2 nguồn → 10

≥3 nguồn tự động cập nhật → 15

Phân loại khó khăn

STT

Mức độ khó khăn

Khoảng điểm

hiệu

1

Dễ

K ≤ 50

KK1

2

Trung bình

50 < K < 80

KK2

3

Khó

K ≥ 80

KK3

1.3. Định biên

STT

Danh mục công việc

KS3

KS4

Nhóm

1

Xây dựng quy tắc tương quan

1

1

2

2

Thực hiện phân loại cảnh báo (triage), săn tìm mối đe dọa (threat hunting)

1

1

2

1.4. Định mức

STT

Danh mục công việc

Đơn vị tính

KK1

KK2

KK3

1

Xây dựng quy tắc tương quan

Rule

2,0

2,8

3,8

2

Thực hiện phân loại cảnh báo (triage), săn tìm mối đe dọa (threat hunting)

Phiên làm việc

3,0

3,9

5,2

2. Định mức thiết bị

Ca/01 Phiên làm việc

STT

Thiết bị

ĐVT

Thời hạn (tháng)

Xây dựng quy tắc tương quan

Thực hiện phân loại cảnh báo (triage), săn tìm mối đe dọa (threat hunting)

1

Máy tính để bàn

Bộ

60

0,080

0,160

2

Máy in laser

Cái

60

0,002

 

3

Điều hoà nhiệt độ

Cái

96

0,014

0,028

4

Điện năng (kw)

kW

 

0,313

0,622

Ghi chú: Mức thiết bị trên tính cho loại KK2, mức cho các loại khó khăn khác tính như sau:

KK1 = 0,8 x KK2.

KK3 = 1,3 x KK2.

3. Định mức dụng cụ

Ca/01 Phiên làm việc

ST T

Dụng cụ

ĐVT

Thời hạn (tháng)

Xây dựng quy tắc tương quan

Thực hiện phân loại cảnh báo (triage), săn tìm mối đe dọa (threat hunting)

1

Ghế

Cái

96

0,100

0,200

2

Bàn làm việc

Cái

96

0,100

0,200

3

Quạt trần 0,1 kW

Cái

60

0,018

0,035

4

Đèn neon 0,04 kW

Bộ

36

0,050

0,100

5

Điện năng (kw)

kW

 

0,032

0,063

Ghi chú: Mức dụng cụ trên tính cho loại KK2, mức cho các loại khó khăn khác tính như sau:

KK1 = 0,8 x KK2.

KK3 = 1,3 x KK2.

4. Định mức vật liệu

STT

Vật liệu

ĐVT

Xây dựng quy tắc tương quan

Thực hiện phân loại cảnh báo (triage), săn tìm mối đe dọa (threat hunting)

1

Giấy in A4

Gram

-

0,0040

2

Mực in laser

Hộp

-

0,0011

3

Cặp để tài liệu

Cái

-

0,0040

IV. Xác minh & ứng cứu ban đầu

1. Định mức lao động

1.1. Nội dung công việc

a) Xác minh nguồn gốc (MAC, port, VLAN), capture gói tin (pcap).

b) Biện pháp ban đầu: chặn IP/ASN, cô lập cổng, thay đổi rule trên firewall.

c) Ghi lại chuỗi thời gian sự kiện phục vụ điều tra (forensic, ISO/IEC 27035).

1.2. Phân loại khó khăn

Các yếu tố ảnh hưởng

STT

Các yếu tố ảnh hưởng

Điểm tối đa

Mức thấp

Mức trung bình

Mức cao

1

Số lượng thiết bị mạng trong phạm vi giám sát và xử lý sự cố

40

≤10: 10

10-50: 25

>50: 40

2

Mức độ phân tán hệ thống mạng (site, VLAN, DMZ, chi nhánh)

20

1 site hoặc VLAN: 5

2-3 site hoặc VLAN: 10

Nhiều vùng mạng, DMZ hoặc kết nối liên vùng: 20

3

Mức độ phức tạp trong cấu hình và chính sách bảo mật

25

Cấu hình đơn giản, rule ít: 5

Có nhiều rule, ACL trung bình: 15

ACL/NAT phức tạp, nhiều rule và nhóm chính sách: 25

4

Mức độ hỗ trợ công cụ giám sát và quản lý tập trung

15

Có SIEM/N MS tích hợp: 5

Có syslog nhưng không đồng bộ: 10

Không có quản lý tập trung, thao tác thủ công: 15

Phân loại khó khăn

STT

Mức độ khó khăn

Khoảng điểm (K)

1

KK1

K ≤ 50

2

KK2

50 < K < 80

3

KK3

K ≥ 80

1.3. Định biên

STT

Danh mục công việc

KS2

KS3

KS4

Nhóm

1

Xác minh nguồn gốc (MAC, port, VLAN), capture gói tin (pcap)

1

1

 

2

2

Biện pháp ban đầu: chặn IP/ASN, cô lập cổng, thay đổi rule trên firewall

 

2

1

3

3

Ghi lại chuỗi thời gian sự kiện phục vụ điều tra (forensic, ISO/IEC 27035)

 

1

1

2

1.4. Định mức

STT

Danh mục công việc

ĐVT

KK1

KK2

KK3

1

Xác minh nguồn gốc (MAC, port, VLAN), capture gói tin (pcap)

Sự cố

1,4

1,9

2,6

2

Biện pháp ban đầu: chặn IP/ASN, cô lập cổng, thay đổi rule trên firewall

Sự cố

1,8

2,6

3,5

3

Ghi lại chuỗi thời gian sự kiện phục vụ điều tra (forensic, ISO/IEC 27035)

Sự cố

1,5

2,2

3,1

2. Định mức thiết bị

Ca/01 sự cố

STT

Thiết bị

ĐVT

Thời hạn (tháng)

Xác minh nguồn gốc (MAC, port, VLAN), capture gói tin (pcap)

Biện pháp ban đầu: chặn IP/ASN, cô lập cổng, thay đổi rule firewall

Ghi lại chuỗi thời gian sự kiện (forensic, ISO/IEC 27035)

1

Máy tính để bàn

Bộ

60

0,480

2,880

0,240

2

Máy in laser

Cái

60

 

 

 

3

Điều hoà nhiệt độ

Cái

96

0,084

0,504

0,042

4

Máy photocopy

Cái

96

-

-

-

5

Điện năng (kw)

kW

 

1,865

11,189

0,932

Ghi chú: Mức thiết bị trên tính cho loại KK2, mức cho các loại khó khăn khác tính như sau:

KK1 = 0,8 x KK2.

KK3 = 1,3 x KK2.

3. Định mức dụng cụ

Ca/01 sự cố

STT

Dụng cụ

ĐVT

Thời hạn (tháng)

Xác minh nguồn gốc (MAC, port, VLAN), capture gói tin (pcap)

Biện pháp ban đầu: chặn IP/ASN, cô lập cổng, thay đổi rule firewall

Ghi lại chuỗi thời gian sự kiện (forensic, ISO/IEC 27035)

1

Ghế

Cái

96

0,600

3,600

0,300

2

Bàn làm việc

Cái

96

0,600

3,600

0,300

3

Quạt trần 0,1 kW

Cái

60

0,105

0,630

0,053

4

Đèn neon 0,04 kW

Bộ

36

0,300

1,800

0,150

5

Điện năng (kw)

kW

 

0,189

1,134

0,095

Ghi chú: Mức dụng cụ trên tính cho loại KK2, mức cho các loại khó khăn khác tính như sau:

KK1 = 0,8 x KK2.

KK3 = 1,3 x KK2.

4. Định mức vật liệu

ST T

Vật liệu

ĐVT

Xác minh nguồn gốc (MAC, port, VLAN), capture gói tin (pcap)

Biện pháp ban đầu: chặn IP/ASN, cô lập cổng, thay đổi rule firewall

Ghi lại chuỗi thời gian sự kiện (forensic, ISO/IEC 27035)

1

Giấy in A4

Gram

-

-

-

2

Mực in laser

Hộp

-

-

-

3

Mực máy photocopy

Hộp

-

-

-

4

Cặp để tài liệu

Cái

-

-

-

V. Bảo mật dữ liệu giám sát

1. Định mức lao động

1.1. Nội dung công việc

a) Mã hóa kênh log (TLS), lưu vết truy cập.

b) Chính sách lưu giữ: log chi tiết 90-180 ngày, log tóm tắt 1-3 năm.

1.2. Phân loại khó khăn

Các yếu tố ảnh hưởng

STT

Các yếu tố ảnh hưởng

Điểm tối đa

Mức thấp

Mức trung bình

Mức cao

1

Số lượng thiết bị mạng gửi log (firewall, IDS/IPS, router, switch)

40

≤10: 10

10-50: 25

>50: 40

2

Kiến trúc truyền log và mã hóa (tập trung, phân tán, multi-site)

20

Truyền nội bộ 1 site: 5

2-3 site: 10

Nhiều vùng mạng/DMZ/cloud: 20

3

Mức độ tuân thủ chuẩn bảo mật dữ liệu log (TLS, ISO/IEC 27035, 27001)

25

TLS mặc định, lưu log nội bộ: 5

Có tuân thủ cơ bản: 15

Yêu cầu nghiêm ngặt theo chuẩn ISO/CIS: 25

4

Mức độ phức tạp trong lưu trữ và chính sách retention

15

Lưu log 1-3 tháng, không phân tầng: 5

Lưu 6-12 tháng, có nén hoặc tóm tắt: 10

Lưu nhiều năm, phân cấp dữ liệu, có backup ngoại vi: 15

Phân loại khó khăn

STT

Mức độ khó khăn

Khoảng điểm (K)

1

KK1

K ≤ 50

2

KK2

50 < K < 80

3

KK3

K ≥ 80

1.3. Định biên

STT

Danh mục công việc

KS2

KS3

KS4

Nhóm

1

Mã hóa kênh log (TLS), lưu vết truy cập

1

1

 

2

2

Chính sách lưu giữ: log chi tiết 90-180 ngày, log tóm tắt 1-3 năm

 

2

1

3

1.4. Định mức

STT

Danh mục công việc

ĐVT

KK1

KK2

KK3

1

Mã hóa kênh log (TLS), lưu vết truy cập

Thiết bị

1,5

2,1

2,9

2

Chính sách lưu giữ: log chi tiết 90-180 ngày, log tóm tắt 1-3 năm

Hệ thống

1,8

2,6

3,5

2. Định mức thiết bị

Ca/01 thiết bị

STT

Vật tư, thiết bị

ĐVT

Thời hạn (tháng)

Mã hóa kênh log (TLS), lưu vết truy cập

Chính sách lưu giữ

1

Máy tính để bàn

Bộ

60

0,160

2,400

2

Máy in laser

Cái

60

 

 

3

Điều hoà nhiệt độ

Cái

96

0,028

0,420

4

Máy photocopy

Cái

96

-

-

5

Điện năng (kw)

kW

 

0,622

9,324

Ghi chú: Mức thiết bị trên tính cho loại KK2, mức cho các loại khó khăn khác tính như sau:

KK1 = 0,8 x KK2.

KK3 = 1,3 x KK2.

3. Định mức dụng cụ

Ca/01 thiết bị

STT

Dụng cụ

ĐVT

Thời hạn (tháng)

Mã hóa kênh log (TLS), lưu vết truy cập

Chính sách lưu giữ

1

Ghế

Cái

96

0,200

3,000

2

Bàn làm việc

Cái

96

0,200

3,000

3

Quạt trần 0,1 kW

Cái

60

0,035

0,525

4

Đèn neon 0,04 kW

Bộ

36

0,100

1,500

5

Điện năng (kw)

kW

 

0,063

0,945

Ghi chú: Mức dụng cụ trên tính cho loại KK2, mức cho các loại khó khăn khác tính như sau:

KK1 = 0,8 x KK2.

KK3 = 1,3 x KK2.

4. Định mức vật liệu

STT

Vật liệu

ĐVT

Mã hóa kênh log (TLS), lưu vết truy cập

Chính sách lưu giữ

1

Giấy in A4

Gram

-

-

2

Mực in laser

Hộp

-

-

3

Mực máy photocopy

Hộp

-

-

4

Cặp để tài liệu

Cái

-

-

VI. Đánh giá cải tiến

1. Định mức lao động

1.1. Nội dung công việc

a) Rà soát quy tắc, chữ ký, ngưỡng hàng tháng/quý.

b) Diễn tập ứng cứu (tabletop, kiểm thử xâm nhập).

1.2. Phân loại khó khăn

Các yếu tố ảnh hưởng

STT

Các yếu tố ảnh hưởng

Điểm tối đa

Mức thấp

Mức trung bình

Mức cao

1

Số lượng thiết bị mạng giám sát

40

≤10: 10

10-50: 25

>50: 40

2

Mức độ phân tán hệ thống

20

1 mạng nội bộ: 5

2-3 mạng con: 10

Nhiều vùng/DMZ/cloud: 20

3

Mức độ tùy biến cấu hình & quy tắc ATTT

25

Áp dụng rule/chữ ký chuẩn: 5

Điều chỉnh nhẹ: 15

Quy tắc tùy biến chuyên sâu: 25

4

Tích hợp hệ thống giám sát tập trung

15

Có SIEM/log tập trung: 5

Có syslog rời rạc: 10

Chưa có hệ thống, cần triển khai mới: 15

Phân loại khó khăn

STT

Mức độ khó khăn

Khoảng điểm (K)

1

KK1

K ≤ 50

2

KK2

50 < K < 80

3

KK3

K ≥ 80

1.3. Định biên

STT

Danh mục công việc

KS2

KS3

KS4

Nhóm

1

Rà soát quy tắc, chữ ký, ngưỡng hàng tháng/quý

1

1

 

2

2

Diễn tập ứng cứu (tabletop, kiểm thử xâm nhập)

 

2

1

3

1.4. Định mức

STT

Danh mục công việc

ĐVT

KK1

KK2

KK3

1

Rà soát quy tắc, chữ ký, ngưỡng hàng tháng/quý

Thiết bị

1,4

2,0

2,8

2

Diễn tập ứng cứu (tabletop, kiểm thử xâm nhập)

Buổi diễn tập

3,0

4,2

5,8

2. Định mức thiết bị

Ca/01 thiết bị

STT

Thiết bị

ĐVT

Thời hạn (tháng)

Rà soát quy tắc, chữ ký, ngưỡng hàng tháng/quý

Diễn tập ứng cứu (tabletop, kiểm thử xâm nhập)

1

Máy tính để bàn

Bộ

60

0,005

0,032

2

Máy in laser

Cái

60

 

 

3

Điều hoà nhiệt độ

Cái

96

0,001

0,006

4

Máy photocopy

Cái

96

-

-

5

Điện năng (kw)

kW

 

0,021

0,124

Ghi chú: Mức thiết bị trên tính cho loại KK2, mức cho các loại khó khăn khác tính như sau:

KK1 = 0,8 x KK2.

KK3 = 1,3 x KK2.

3. Định mức dụng cụ

Ca/01 thiết bị

STT

Dụng cụ

ĐVT

Thời hạn (tháng)

Rà soát quy tắc, chữ ký, ngưỡng hàng tháng/quý

Diễn tập ứng cứu (tabletop, kiểm thử xâm nhập)

1

Ghế

Cái

96

0,007

0,040

2

Bàn làm việc

Cái

96

0,007

0,040

3

Quạt trần 0,1 kW

Cái

60

0,001

0,007

4

Đèn neon 0,04 kW

Bộ

36

0,003

0,020

5

Điện năng (kw)

kW

 

0,002

0,013

Ghi chú: Mức dụng cụ trên tính cho loại KK2, mức cho các loại khó khăn khác tính như sau:

KK1 = 0,8 x KK2.

KK3 = 1,3 x KK2.

4. Định mức vật liệu

STT

Vật liệu

ĐVT

Rà soát quy tắc, chữ ký, ngưỡng hàng tháng/quý

Diễn tập ứng cứu (tabletop, kiểm thử xâm nhập)

1

Giấy in A4

Gram

-

-

2

Mực in laser

Hộp

-

-

3

Mực máy photocopy

Hộp

-

-

4

Cặp để tài liệu

Cái

-

-

CHƯƠNG II

ĐỊNH MỨC GIÁM SÁT ĐẢM BẢO AN TOÀN THÔNG TIN CHO HẠ TẦNG ẢO HÓA (CLOUD, VIRTUALIZATION)

I. Chuẩn bị và thiết lập

1. Định mức lao động

1.1. Nội dung công việc

a) Kiểm kê host, VM, container, tài nguyên đám mây.

b) Bật log gốc (AWS CloudTrail, VPC Flow Logs, Azure Monitor, GCP Audit Logs).

c) Cấu hình audit log cho API call, snapshot, migration, thay đổi IAM.

d) Quét lỗ hổng image, áp dụng chính sách registry.

1.2. Phân loại khó khăn

Các yếu tố ảnh hưởng

STT

Các yếu tố ảnh hưởng

Điểm tối đa

Mức thấp

Mức trung bình

Mức cao

1

Số lượng host/VM/container giám sát

40

≤20: 10

20-100: 25

>100: 40

2

Mức độ phân tán hạ tầng đám mây

20

1 nền tảng (AWS hoặc Azure hoặc GCP…): 5

2 nền tảng: 10

≥3 nền tảng/hybrid cloud: 20

3

Mức độ tùy biến chính sách log/audit

25

Áp dụng theo chuẩn nhà cung cấp (AWS/Azure/GCP…): 5

Có điều chỉnh nhẹ (bổ sung rule riêng): 15

Chính sách riêng biệt, tuỳ chỉnh sâu IAM/API: 25

4

Tích hợp công cụ giám sát và cảnh báo tập trung

15

Đã có SIEM/central log: 5

Có collector riêng từng nền tảng: 10

Chưa có, cần triển khai mới: 15

Phân loại khó khăn

STT

Mức độ khó khăn

Khoảng điểm (K)

1

KK1

K ≤ 50

2

KK2

50 < K < 80

3

KK3

K ≥ 80

1.3. Định biên

STT

Danh mục công việc

KS2

KS3

KS4

Nhóm

1

Kiểm kê host, VM, container, tài nguyên đám mây

1

1

 

2

2

Bật log gốc (AWS CloudTrail, VPC Flow Logs, Azure Monitor, GCP Audit Logs)

 

2

 

2

3

Cấu hình audit log cho API call, snapshot, migration, thay đổi IAM

 

2

1

3

4

Quét lỗ hổng image, áp dụng chính sách registry

 

1

1

2

1.4. Định mức

STT

Danh mục công việc

ĐVT

KK1

KK2

KK3

1

Kiểm kê host, VM, container, tài nguyên đám mây

Hệ thống

1,5

2,1

3,0

2

Bật log gốc (AWS CloudTrail, VPC Flow Logs, Azure Monitor, GCP… Audit Logs)

Nền tảng

1,8

2,5

3,4

3

Cấu hình audit log cho API call, snapshot, migration, thay đổi IAM

Nền tảng

2,0

2,8

3,8

4

Quét lỗ hổng image, áp dụng chính sách registry

Kho image

2,2

3,0

4,0

2. Định mức thiết bị

Bảng số 03: Ca/01 hệ thống

STT

Thiết bị

ĐVT

Thời hạn (tháng)

Kiểm kê host, VM, container, tài nguyên cloud

Bật log gốc (CloudTrail, Azure Monitor, GCP Audit Logs…)

Cấu hình audit log cho API call, snapshot, IAM

Quét lỗ hổng image, áp dụng chính sách registry

1

Máy tính để bàn

Bộ

60

4,027

4,027

24,160

24,160

2

Máy in laser

Cái

60

-

-

-

-

3

Điều hoà nhiệt độ

Cái

96

0,705

0,705

4,228

4,228

4

Máy photocopy

Cái

96

-

-

-

-

5

Điện năng (kw)

kW

 

15,644

15,644

93,862

93,862

Ghi chú: Mức thiết bị trên tính cho loại KK2, mức cho các loại khó khăn khác tính như sau:

KK1 = 0,8 x KK2.

KK3 = 1,3 x KK2.

3. Định mức dụng cụ

Bảng số 03: Ca/01 hệ thống

STT

Dụng cụ

ĐVT

Thời hạn (tháng)

Kiểm kê host, VM, container, tài nguyên cloud

Bật log gốc (CloudTrail, Azure Monitor, GCP Audit Logs…)

Cấu hình audit log cho API call, snapshot, IAM

Quét lỗ hổng image, áp dụng chính sách registry

1

Ghế

Cái

96

5,033

5,033

30,200

30,200

2

Bàn làm việc

Cái

96

5,033

5,033

30,200

30,200

3

Quạt trần 0,1 kW

Cái

60

0,881

0,881

5,285

5,285

4

Đèn neon 0,04 kW

Bộ

36

2,517

2,517

15,100

15,100

5

Điện năng (kw)

kW

 

1,586

1,586

9,513

9,513

Ghi chú: Mức thiết bị trên tính cho loại KK2, mức cho các loại khó khăn khác tính như sau:

KK1 = 0,8 x KK2.

KK3 = 1,3 x KK2.

4. Định mức vật liệu

STT

Vật liệu

ĐVT

Kiểm kê host, VM, container, tài nguyên cloud

Bật log gốc (CloudTrail, Azure Monitor, GCP Audit Logs…)

Cấu hình audit log cho API call, snapshot, IAM

Quét lỗ hổng image, áp dụng chính sách registry

1

Giấy in A4

Gram

-

-

-

-

2

Mực in laser

Hộp

-

-

-

-

3

Mực máy photocopy

Hộp

-

-

-

-

4

Cặp để tài liệu

Cái

-

-

-

-

II. Thu thập và giám sát

1. Định mức lao động

1.1. Nội dung công việc

a) Log API: thay đổi quyền, tạo khóa truy cập, thay đổi bucket công khai.

b) Giám sát lưu lượng mạng trong nội bộ đám mây (flow logs).

c) Giám sát RBAC trong Kubernetes, hoạt động container.

1.2. Phân loại khó khăn

Các yếu tố ảnh hưởng

STT

Các yếu tố ảnh hưởng

Điểm tối đa

Mức thấp

Mức trung bình

Mức cao

1

Số lượng nền tảng cloud hoặc cụm ảo hóa cần giám sát

40

1 nền tảng: 10

2 nền tảng: 25

≥3 nền tảng/hybrid cloud: 40

2

Mức độ phân tán vùng mạng và dịch vụ

20

1 vùng mạng (1 VPC/cluster): 5

2-5 vùng: 10

>5 vùng hoặc multi-region: 20

3

Mức độ tùy biến chính sách log và quyền

25

Áp dụng theo chuẩn cloud/k8s gốc: 5

Có điều chỉnh nhẹ (custom rule RBAC, IAM): 15

Chính sách riêng biệt, nhiều namespace, multi-tenant: 25

4

Mức độ tích hợp giám sát và cảnh báo tập trung

15

Đã có SIEM hoặc log collector tập trung: 5

Có log riêng lẻ từng cụm: 10

Chưa có, cần thiết lập mới hoàn toàn: 15

Phân loại khó khăn

STT

Mức độ khó khăn

Khoảng điểm (K)

1

KK1

K ≤ 50

2

KK2

50 < K < 80

3

KK3

K ≥ 80

1.3. Định biên

STT

Danh mục công việc

KS2

KS3

KS4

Nhóm

1

Log API: thay đổi quyền, tạo khóa truy cập, thay đổi bucket công khai

 

2

 

2

2

Giám sát lưu lượng mạng trong nội bộ đám mây (flow logs)

1

1

 

2

3

Giám sát RBAC trong Kubernetes, hoạt động container

 

1

1

2

1.4. Định mức

STT

Danh mục công việc

ĐVT

KK1

KK2

KK3

1

Log API: thay đổi quyền, tạo khóa truy cập, thay đổi bucket công khai

[Phần phụ lục dài đã được lược bớt để hiển thị — tải văn bản gốc để xem đầy đủ.]

Văn bản gốc (PDF)

Mở PDF trong tab mới ↗

Bản đồ quan hệ

↑ Cơ sở & văn bản tác động lên văn bản này
Căn cứ 19
125/2025/NĐ-CP Nghị định số 125/2025/NĐ-CP Quy định về phân định thẩm quyền của chính quyền địa phương 02 cấp trong lĩnh vực quản lý nhà nước của Bộ Tài chính Còn hiệu lực 72/2025/QH15 Luật Tổ chức chính quyền địa phương số 72/2025/QH15 Hết hiệu lực 91/2025/QH15 Luật Bảo vệ dữ liệu cá nhân số 91/2025/QH15 Còn hiệu lực 31/2017/TT-BTTTT Thông tư số 31/2017/TT-BTTTT Quy định hoạt động giám sát an toàn hệ thống thông tin Còn hiệu lực 214/2025/NĐ-CP Nghị định số 214/2025/NĐ-CP Quy định chỉ tiết một số điều và biện pháp thi hành Luật Đấu thầu về lựa chọn nhà thầu Còn hiệu lực 12/2022/TT-BTTTT Thông tư số 12/2022/TT-BTTTT Quy định chi tiết và hướng dẫn một số điều của Nghị định số 85/2016/NĐ-CP ngày 01/7/2016 của Chính phủ về bảo đảm an toàn hệ thống thông tin theo cấp độ Còn hiệu lực 67/2006/QH11 Luật Công nghệ thông tin số 67/2006/QH11 Còn hiệu lực 10/2014/UBTVQH13 Pháp lệnh số 10/2014/UBTVQH13 Cảnh sát môi trường Còn hiệu lực 85/2016/NĐ-CP Nghị định số 85/2016/NĐ-CP Về bảo đảm an toàn hệ thống thông tin theo cấp độ Còn hiệu lực 24/2018/QH14 Luật An ninh mạng số 24/2018/QH14 Còn hiệu lực 73/2019/NĐ-CP Nghị định số 73/2019/NĐ-CP Quy định quản lý đầu tư ứng dụng công nghệ thông tin sử dụng nguồn vốn ngân sách nhà nước Còn hiệu lực 82/2024/NĐ-CP Nghị định số 82/2024/NĐ-CP Sửa đổi bổ sung một số điều của NĐ số 73/2019/NĐ-CP ngày 5 tháng 9 năm 2019 của Chính phủ quy định quản lý đầu tư ứng dụng công nghệ thông tin sử dụng nguồn vốn ngân sách nhà nước Còn hiệu lực 111/2025/NĐ-CP Nghị định số 111/2025/NĐ-CP sửa đổi, bổ sung một số điều của Nghị định số 60/2021/NĐ-CP ngày 21 tháng 6 năm 2021 của Chính phủ quy định cơ chế tự chủ tài chính của đơn vị sự nghiệp công lập Còn hiệu lực 87/2025/QH15 Luật Sửa đổi, bổ sung một số điều của luật ban hành văn bản quy phạm pháp luật số 87/2025/QH15 Còn hiệu lực 86/2015/QH13 Luật An toàn thông tin mạng số 86/2015/QH13 Còn hiệu lực 32/2019/NĐ-CP Nghị định số 32/2019/NĐ-CP Quy định giao nhiệm vụ, đặt hàng hoặc đấu thầu cung cấp sản phẩm, dịch vụ công sử dụng ngân sách nhà nước từ nguồn kinh phí chi thường xuyên Còn hiệu lực 60/2021/NĐ-CP Nghị định số 60/2021/NĐ-CP Quy định cơ chế tự chủ tài chính của đơn vị sự nghiệp công lập Còn hiệu lực 53/2022/NĐ-CP Nghị định số 53/2022/NĐ-CP Quy định chi tiết một số điều của Luật An ninh mạng Còn hiệu lực 64/2025/QH15 Luật Ban hành văn bản quy phạm pháp luật số 64/2025/QH15 Còn hiệu lực
29/2026/QĐ-UBND
Quyết định số 29/2026/QĐ-UBND Ban hành định mức kinh tế - kỹ thuật giám sát đảm bảo an toàn thông tin đối với hệ thống hạ tầng kỹ thuật dịch vụ công nghệ thông tin phục vụ công tác quản lý nhà nước lĩnh vực tài nguyên, môi trường
Còn hiệu lực

Bấm vào một văn bản để mở. Viền đỏ = quan hệ làm thay đổi hiệu lực.