Cấp phép an toàn thông tin cấp độ 4 cho sàn giao dịch tài sản số cần có:ISO 27001, SOC2, Pentest định kỳ?

1. Điều kiện kỹ thuật nền tảng (ISO 27001, SOC2, Pentest định kỳ)

Để xin cấp phép an toàn thông tin cấp độ 4 cho sàn giao dịch tài sản số, doanh nghiệp thường phải chứng minh đã tuân thủ các chuẩn quốc tế/kiểm thử sau:

• ISO/IEC 27001:

  • Có hệ thống quản lý an toàn thông tin (ISMS).

  • Chứng chỉ do tổ chức đánh giá độc lập được công nhận (VD: BSI, TÜV, SGS).

  • Thời hạn hiệu lực: 3 năm, giám sát hằng năm.

• SOC 2 Type II (nếu dùng dịch vụ hạ tầng quốc tế / cloud):

  • Chứng minh kiểm soát nội bộ về bảo mật, sẵn sàng, toàn vẹn dữ liệu.

  • Báo cáo đánh giá của đơn vị kiểm toán được AICPA công nhận.

• Kiểm thử xâm nhập (Pentest):

  • Định kỳ tối thiểu 1 lần/năm và sau khi thay đổi lớn hệ thống.

  • Báo cáo pentest phải do tổ chức có giấy phép/danh sách được Bộ TT&TT chấp thuận.

  • Kèm kế hoạch khắc phục lỗ hổng.

Ý nghĩa: Các chứng chỉ/kiểm thử này không thay thế giấy phép cấp độ 4, nhưng là bằng chứng quan trọng để thuyết phục cơ quan thẩm định rằng hệ thống đủ năng lực kỹ thuật.

2. Thủ tục xin cấp phép an toàn thông tin cấp độ 4

Sau khi đã có ISO 27001, SOC2, báo cáo Pentest, quy trình thủ tục pháp lý sẽ gồm:

a. Chuẩn bị hồ sơ

1. Đơn đề nghị cấp phép ATTT cấp độ 4 (mẫu Bộ TT&TT).

2. Tài liệu phân loại hệ thống thông tin:

   • Mục đích sử dụng (sàn giao dịch tài sản số).

   • Đối tượng phục vụ (nhà đầu tư, tổ chức tài chính).

   • Phân tích tác động nếu sự cố xảy ra (xếp cấp độ 4).

3. Kế hoạch bảo đảm ATTT:

   • Chính sách ISMS (ISO 27001).

   • Kết quả kiểm toán SOC2.

   • Báo cáo Pentest và kế hoạch khắc phục.

   • Cơ chế giám sát 24/7 (SOC hoặc thuê dịch vụ giám sát).

4. Sơ đồ kiến trúc hệ thống, phân vùng mạng, quy trình vận hành.

5. Kế hoạch ứng cứu sự cố và khôi phục sau thảm hoạ (DRP/BCP).

6. Hợp đồng / thoả thuận với đơn vị giám sát an toàn thông tin (nếu thuê ngoài).

7. Báo cáo đánh giá độc lập (do đơn vị kiểm định được Bộ TT&TT công nhận).

b. Nộp và thẩm định

• Nộp hồ sơ tại Cục An toàn thông tin – Bộ TT&TT.

• Cục phối hợp Bộ Công an thẩm định:

  • Rà soát năng lực hệ thống.

  • Kiểm tra các chứng chỉ ISO, SOC2, pentest.

• Có thể yêu cầu kiểm tra thực địa hệ thống.

c. Kết quả và nghĩa vụ sau cấp phép

• Nếu đạt: cấp Giấy chứng nhận đủ điều kiện vận hành hệ thống thông tin cấp độ 4.

• Nghĩa vụ:

  • Báo cáo định kỳ hàng năm về ATTT.

  • Duy trì hiệu lực chứng chỉ ISO/SOC2, pentest.

  • Chấp nhận kiểm tra đột xuất bởi cơ quan quản lý.

  • Thực hiện tái đánh giá cấp độ khi có thay đổi lớn hệ thống.

3. Phân tích chuyên môn

• ISO 27001 & SOC2 giúp doanh nghiệp chuẩn hoá quản trị ATTT, nhưng không đủ để được công nhận cấp độ 4 → vẫn cần hồ sơ pháp lý đầy đủ.

• Pentest định kỳ là yêu cầu bắt buộc trong hồ sơ cấp phép, vì nó chứng minh khả năng phòng thủ thực tế.

• Cơ quan quản lý sẽ không chỉ nhìn chứng chỉ, mà còn xem xét quy trình vận hành và khả năng ứng cứu sự cố thực tế.

👉 Tóm lại:

• ISO 27001, SOC2, Pentest = điều kiện kỹ thuật nền tảng.

• Hồ sơ cấp độ 4 = gói pháp lý đầy đủ + bằng chứng kỹ thuật.

• Sau khi có đầy đủ chứng chỉ rồi, doanh nghiệp cần biên soạn hồ sơ phân loại, kế hoạch ATTT, hợp đồng giám sát, rồi nộp thẩm định tại Bộ TT&TT.