Giấy phép an toàn thông tin cấp độ 4 cho sàn giao dịch tài sản số thí điểm: Điều kiện, quy trình và khuyến nghị pháp lý

1. Bối cảnh pháp lý mới

• Giới thiệu Luật Công nghiệp Công nghệ số 2025 (71/2025/QH15) và Nghị định 94/2025/NĐ-CP.

• Vị trí của sàn giao dịch tài sản số trong nhóm “hệ thống thông tin quan trọng”, do đó phải đạt cấp độ an toàn thông tin 4.

• Nghị quyết 05/2025/NQ-CP mở cơ chế sandbox thử nghiệm tài sản số, nhưng yêu cầu doanh nghiệp tham gia phải chứng minh năng lực bảo mật.

2. Điều kiện kỹ thuật nền tảng

2.1. ISO/IEC 27001

• Hệ thống quản lý an toàn thông tin (ISMS).

• Yêu cầu chính: chính sách bảo mật, kiểm soát truy cập, quản lý rủi ro.

• Lợi ích: giúp chuẩn hóa quy trình, được quốc tế công nhận.

2.2. SOC 2 Type II

• Dành cho doanh nghiệp sử dụng hạ tầng cloud hoặc cung cấp dịch vụ phần mềm.

• Được kiểm toán độc lập bởi tổ chức có thẩm quyền (AICPA).

• Tập trung vào 5 nguyên tắc: bảo mật, tính sẵn sàng, toàn vẹn xử lý, bảo mật dữ liệu, quyền riêng tư.

2.3. Kiểm thử xâm nhập (Pentest định kỳ)

• Thực hiện bởi tổ chức được Bộ TT&TT cấp phép.

• Tần suất: tối thiểu mỗi năm một lần hoặc khi có thay đổi lớn.

• Báo cáo pentest phải kèm kế hoạch khắc phục lỗ hổng.

3. Thủ tục xin cấp phép an toàn thông tin cấp độ 4

3.1. Chuẩn bị hồ sơ

1. Đơn đề nghị cấp phép theo mẫu.

2. Tài liệu phân loại hệ thống, chứng minh thuộc cấp độ 4.

3. Kế hoạch bảo đảm ATTT (chính sách ISMS, báo cáo SOC2, kết quả pentest).

4. Sơ đồ kiến trúc hệ thống, phân vùng mạng.

5. Kế hoạch ứng cứu sự cố & khôi phục sau thảm họa.

6. Hợp đồng giám sát ATTT (nếu thuê ngoài).

7. Báo cáo đánh giá độc lập từ đơn vị kiểm định được công nhận.

3.2. Nộp và thẩm định

• Nộp tại Cục An toàn thông tin – Bộ TT&TT.

• Cơ quan thẩm định phối hợp Bộ Công an kiểm tra.

• Có thể yêu cầu kiểm tra thực địa.

3.3. Kết quả và nghĩa vụ sau cấp phép

• Cấp Giấy chứng nhận đủ điều kiện ATTT cấp độ 4.

• Doanh nghiệp phải:

  • Báo cáo định kỳ hằng năm.

  • Duy trì chứng chỉ ISO/SOC2 và pentest.

  • Chấp nhận kiểm tra đột xuất.

  • Tái đánh giá khi có thay đổi lớn.

4. Nghĩa vụ và rủi ro pháp lý nếu không tuân thủ

• Không có giấy phép: không được phép tham gia sandbox hoặc vận hành sàn giao dịch.

• Rủi ro: xử phạt hành chính, buộc dừng hoạt động, ảnh hưởng uy tín.

• Trách nhiệm dân sự: nếu để mất mát tài sản số do vi phạm nghĩa vụ ATTT.

5. Khuyến nghị cho doanh nghiệp

• Chuẩn bị song song: (i) chứng chỉ quốc tế (ISO 27001, SOC2), (ii) hồ sơ pháp lý cấp độ 4.

• Thuê đơn vị kiểm toán độc lập và công ty luật chuyên ngành để bảo đảm tính đầy đủ, hợp lệ.

• Tích hợp ATTT ngay từ khâu thiết kế sản phẩm, thay vì chờ đến giai đoạn xin cấp phép.

6. Lời chào dịch vụ – Công ty Luật 911

Trong bối cảnh khung pháp lý cho tài sản số và sàn giao dịch đang được thiết lập, doanh nghiệp cần một đối tác vừa am hiểu pháp luật, vừa nắm vững kỹ thuật để đồng hành.

Công ty Luật 911 cung cấp dịch vụ:

• Tư vấn pháp lý cho dự án sàn giao dịch tài sản số.

• Soạn thảo, rà soát hồ sơ xin cấp phép ATTT cấp độ 4.

• Phối hợp với đơn vị kiểm toán, pentest, giám sát an toàn thông tin.

• Đại diện khách hàng trong quá trình làm việc với Bộ TT&TT và cơ quan quản lý.

👉 Với kinh nghiệm xử lý nhiều hồ sơ công nghệ cao, Luật 911 cam kết cung cấp giải pháp pháp lý toàn diện, an toàn và hiệu quả, giúp doanh nghiệp tự tin tham gia thị trường tài sản số hợp pháp. Lh: 0386319999