TIÊU CHUẨN QUỐC GIA

TCVN 14423:2025

AN NINH MẠNG - YÊU CẦU ĐỐI VỚI HỆ THỐNG THÔNG TIN QUAN TRỌNG

Cyber security - Requirements for critical information system

Lời nói đầu

TCVN 14423:2025 được xây dựng trên cơ sở tham khảo Tiêu chuẩn quốc tế CIS Critical Security Control phiên bản 8, ban hành bởi Trung tâm An ninh Internet, Hoa Kỳ (Center for Internet Security - CIS) năm 2021, có điều chỉnh, sửa đổi, bổ sung để phù hợp với điều kiện của Việt Nam.

TCVN 14423:2025 do Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao biên soạn, Bộ Công an đề nghị, Ủy ban Tiêu chuẩn Đo lường Chất lượng Quốc gia thẩm định, Bộ Khoa học và Công nghệ công bố.

Lời giới thiệu

Tiêu chuẩn này quy định các yêu cầu cần thiết để đảm bảo an ninh mạng, tăng cường khả năng phòng thủ cho hệ thống thông tin của cơ quan nhà nước, hệ thống thông tin quan trọng về an ninh quốc gia, đồng thời tạo cơ sở cho các công tác của lực lượng chuyên trách bảo vệ an ninh mạng (như giám sát bảo vệ, điều phối ứng phó sự cố, thẩm định, kiểm tra, đánh giá an ninh mạng...) và hoạt động bảo vệ hệ thống thông tin của cơ quan chủ quản.

Để hiệu quả đảm bảo an ninh mạng ở mức cao nhất, khuyến khích chủ quản của hệ thống thông tin triển khai các biện pháp đảm bảo an ninh mạng đáp ứng toàn bộ các yêu cầu đưa ra trong tiêu chuẩn.

AN NINH MẠNG - YÊU CẦU ĐỐI VỚI HỆ THỐNG THÔNG TIN QUAN TRỌNG

Cyber security - Requirements for critical information system

1  Phạm vi áp dụng

Tiêu chuẩn này quy định các yêu cầu cơ bản về an ninh mạng cho hệ thống thông tin của cơ quan nhà nước và hệ thống thông tin quan trọng về an ninh quốc gia.

2 Tài liệu viện dẫn

Các tài liệu viện dẫn sau rất cần thiết cho việc áp dụng tiêu chuẩn này. Đối với các tài liệu viện dẫn ghi năm công bố thì áp dụng phiên bản được nêu. Đối với các tài liệu viện dẫn không ghi năm công bố thì áp dụng phiên bản mới nhất, bao gồm cả các sửa đổi, bổ sung (nếu có).

TCVN 11930:2017 (ISO/IEC 27001:2013) Công nghệ thông tin - Các kỹ thuật an toàn - Yêu cầu cơ bản về an toàn hệ thống thông tin theo cấp độ

3  Thuật ngữ, định nghĩa và chữ viết tắt

Tiêu chuẩn này sử dụng các thuật ngữ, định nghĩa và chữ viết tắt dưới đây.

3.1  Thuật ngữ và định nghĩa

3.1.1

An ninh mạng (cyber security)

Sự bảo đảm hoạt động trên không gian mạng không gây phương hại đến an ninh quốc gia, trật tự, an toàn xã hội, quyền và lợi ích hợp pháp của cơ quan, tổ chức, cá nhân.

3.1.2

Hệ thống thông tin (information system)

Tập hợp phần cứng, phần mềm và cơ sở dữ liệu được thiết lập phục vụ mục đích tạo lập, cung cấp, truyền đưa, thu thập, xử lý, lưu trữ và trao đổi thông tin trên không gian mạng.

3.1.3

Dữ liệu quan trọng (important data)

Dữ liệu trong hệ thống, được cơ quan, tổ chức xác định là quan trọng, cần được ưu tiên bảo vệ. Dữ liệu quan trọng bao gồm nhưng không giới hạn các loại dữ liệu chứa các thông tin sau: thông tin nghiệp vụ, thông tin bí mật nhà nước, thông tin riêng và các loại thông tin quan trọng khác (nếu có).

3.1.4

Giám sát hệ thống thông tin (information system monitoring)

Biện pháp giám sát, theo dõi trạng thái hoạt động của hệ thống để phát hiện, cảnh báo sớm các sự cố có thể gây gián đoạn hoạt động của hệ thống và làm mất tính khả dụng của hệ thống thông tin.