Quy trình xin giấy phép an toàn thông tin cấp độ 4 khi mở sàn giao dịch tài sản số:

a. Căn cứ pháp lý

• Luật An toàn thông tin mạng 2015, Luật An ninh mạng 2018.

• Nghị định 85/2016/NĐ-CP và Nghị định 94/2025/NĐ-CP (quy định mới về quản lý, bảo vệ hệ thống thông tin theo cấp độ).

• Thông tư 03/2017/TT-BTTTT (hướng dẫn chi tiết đánh giá cấp độ an toàn hệ thống thông tin).

b. Điều kiện & yêu cầu

1. Phân loại hệ thống: Sàn giao dịch tài sản số được xác định là hệ thống thông tin quan trọng, cấp độ 4 (do liên quan đến tài chính, tài sản của đông đảo người dùng).

2. Tổ chức xin phép: Phải là pháp nhân tại Việt Nam, có nhân sự phụ trách an ninh mạng.

3. Đáp ứng chuẩn kỹ thuật: ISO 27001, SOC2, kiểm thử xâm nhập định kỳ.

4. Có đơn vị giám sát an toàn thông tin 24/7 (SOC hoặc thuê ngoài).

c. Hồ sơ xin cấp phép / phê duyệt phương án bảo đảm ATTT

1. Đơn đề nghị cấp giấy phép (theo mẫu Bộ TT&TT).

2. Tài liệu mô tả hệ thống (kiến trúc mạng, phân vùng bảo mật, sơ đồ kết nối).

3. Báo cáo phân loại & đề xuất cấp độ an toàn thông tin (cấp độ 4).

4. Kế hoạch bảo đảm ATTT:

   • Biện pháp bảo vệ vật lý, phần mềm, mạng.

   • Quy trình vận hành & ứng cứu sự cố.

5. Hợp đồng/thoả thuận với đơn vị giám sát an ninh mạng, pentest.

6. Báo cáo đánh giá độc lập của tổ chức được Bộ TT&TT công nhận.

d. Quy trình xử lý hồ sơ

1. Nộp hồ sơ: gửi Bộ Thông tin & Truyền thông (Cục An toàn thông tin).

2. Thẩm định kỹ thuật: Bộ TT&TT phối hợp Bộ Công an rà soát.

3. Yêu cầu bổ sung/sửa đổi: nếu hồ sơ chưa đạt.

4. Phê duyệt và cấp giấy chứng nhận đủ điều kiện vận hành hệ thống cấp độ 4.

5. Định kỳ kiểm tra – tái chứng nhận (thường 2–3 năm/lần).

Quy định & thủ tục liên quan “cấp độ an toàn thông tin cấp độ 4” khi mở sàn giao dịch tài sản số thí điểm (Việt Nam)

Dưới đây là phân tích kỹ — pháp lý + kỹ thuật + thủ tục hồ sơ — để một sàn giao dịch tài sản số thí điểm đáp ứng yêu cầu an toàn thông tin cấp độ 4, theo khung pháp luật Việt Nam (Luật/ Nghị định/ Thông tư về bảo đảm an toàn hệ thống thông tin).

(A) ý nghĩa và tiêu chí cấp độ 4;

(B) quy trình hành chính / thẩm quyền;

(C) danh mục hồ sơ bắt buộc & khuyến nghị chi tiết;

(D) kỹ thuật — kiểm soát bắt buộc/khuyến nghị cho sàn giao dịch;

(E) thời gian, lưu ý thực hiện và checklist thực hành.

——————-

Nguồn tham chiếu chính: Nghị định về bảo đảm an toàn hệ thống thông tin theo cấp độ (NĐ 85/2016), Thông tư/ hướng dẫn liên quan (Thông tư 03/2017; Thông tư 12/2022), Sổ tay hướng dẫn thực thi và trang dịch vụ công của Bộ Thông tin & Truyền thông. 

A. Cấp độ 4 là gì — ý nghĩa pháp lý và phạm vi áp dụng

• Ý nghĩa: “Cấp độ an toàn hệ thống thông tin” là phân loại mức độ tôn trọng an toàn thông tin theo luật Việt Nam; cấp độ 4 là hệ thống có mức độ rủi ro rất cao — ví dụ: hệ thống xử lý thông tin bí mật nhà nước, hoặc hệ thống mà khi bị phá hoại sẽ gây hại nghiêm trọng tới an ninh, quốc phòng, hoặc hệ thống quốc gia yêu cầu vận hành 24/7. Với các hệ thống thương mại có yêu cầu hoạt động liên tục, xử lý giao dịch giá trị lớn (như sàn giao dịch tài sản số thí điểm), cơ quan quản lý thường yêu cầu đạt cấp độ 4 về mặt bảo đảm sẵn sàng, phân tách, hạn chế ảnh hưởng khi một thành phần bị xâm hại. 

• Hệ quả pháp lý: khi hệ thống được xác định là cấp độ 4, tổ chức phải xây dựng và nộp “Phương án bảo đảm an toàn hệ thống thông tin theo cấp độ 4”; chịu kiểm tra, giám sát, thẩm định bởi cơ quan quản lý; nếu cung cấp dịch vụ liên quan mạng, còn phải tuân thủ thủ tục cấp phép sản phẩm/dịch vụ an toàn thông tin khi cần. Việc xác định cấp độ, thẩm định và phê duyệt dựa trên Nghị định 85/2016 và văn bản hướng dẫn kèm theo. 

B. Quy trình hành chính — ai nộp, nộp ở đâu, thẩm quyền & bước chính

Thẩm quyền & bước tổng quát (theo Nghị định 85/2016 và Thông tư hướng dẫn):

1. Xác định ban đầu (do chủ quản hệ thống thực hiện / đề nghị):

   • Chủ quản (ở trường hợp sàn: công ty vận hành sàn) xác định sơ bộ hệ thống là cấp độ mấy dựa trên tiêu chí (mức độ ảnh hưởng, 24/7, thông tin nhạy cảm…). Căn cứ: Nghị định 85/2016 và hướng dẫn chi tiết. 

2. Chuẩn bị hồ sơ đề nghị xác định/ phê duyệt cấp độ & phương án bảo đảm ATTT:

   • Hồ sơ gồm: đề án xác định cấp độ, phương án bảo đảm ATTT theo cấp độ (chi tiết ở phần C), chứng từ, báo cáo kiểm tra, v.v. (xem phần C bên dưới). dx.moj.gov.vn

3. Nộp hồ sơ đến cơ quan quản lý:

   • Tùy thuộc hệ thống thuộc lĩnh vực nào — thường nộp tới Sở Thông tin & Truyền thông (Sở BTTTT) cấp tỉnh nếu là hệ thống của địa phương hoặc doanh nghiệp hoạt động trong địa bàn; với hệ thống có phạm vi quốc gia/nhạy cảm, hồ sơ có thể gửi Cục An toàn Thông tin / Bộ Thông tin & Truyền thông (tham chiếu quy định phân quyền quản lý trong Nghị định/ Thông tư). Portal dịch vụ công của Bộ cho phép nộp trực tuyến; Cơ quan sẽ kiểm tra tính hợp lệ trong 3 ngày làm việc (theo quy trình dịch vụ công). Dich Vu Cong+1

4. Thẩm định & kiểm tra thực địa (nếu cần):

   • Cơ quan có thể yêu cầu thẩm định chuyên sâu, đánh giá kỹ thuật tại chỗ, hoặc yêu cầu phân tích logs/ pentest. Thời gian, mức độ phụ thuộc tính chất hệ thống. Nghị định 85 quy định trình tự thẩm định và phê duyệt. 

5. Quyết định & công bố:

   • Nếu đạt tiêu chuẩn, cơ quan có quyết định/phê duyệt cấp độ an toàn cho hệ thống (văn bản chính thức). Nếu không, sẽ yêu cầu chỉnh sửa phương án, khắc phục. Thông thường các thủ tục liên quan đến giấy phép sản phẩm/dịch vụ an toàn thông tin có thời hạn xử lý (ví dụ 40 ngày cho giấy phép sản phẩm/dịch vụ an toàn thông tin theo quy định thủ tục hành chính liên quan).

C. Hồ sơ cần chuẩn bị — danh mục chi tiết (bắt buộc + khuyến nghị)

Ghi chú: văn bản cụ thể yêu cầu “Phương án bảo đảm an toàn hệ thống thông tin theo cấp độ” — hồ sơ dưới đây tương thích với yêu cầu pháp lý và cũng là checklist kỹ thuật để sàn giao dịch đáp ứng rủi ro thực tế.

Hồ sơ pháp lý & tổ chức (bắt buộc)

1. Đơn/ Tờ trình đề nghị xác định / phê duyệt cấp độ (theo mẫu — nêu tên hệ thống, chức năng, chủ quản, đơn vị vận hành). 

2. Đề án xác định cấp độ (Level assessment): mô tả căn cứ xác định cấp độ (mức độ ảnh hưởng khi hệ thống ngưng hoạt động, thuộc loại hệ thống yêu cầu 24/7, xử lý thông tin nhạy cảm hay không…). 

3. Danh sách chủ quản/đơn vị vận hành + báo cáo năng lực: bằng chứng pháp nhân, danh sách nhân sự chủ chốt phụ trách ATTT, chứng minh năng lực (chứng chỉ chuyên môn, hợp đồng với nhà cung cấp quản trị). dx.moj.gov.vn

Phương án kỹ thuật & quản lý (bắt buộc)

4. Phương án bảo đảm an toàn hệ thống theo cấp độ 4 (một văn bản chi tiết) — nội dung tối thiểu:

   • Sơ đồ kiến trúc hệ thống (logical + physical), luồng dữ liệu, điểm tích hợp với bên thứ ba, phân vùng mạng.

   • Biện pháp bảo vệ mạng, ứng dụng, cơ sở dữ liệu, endpoint, vật lý (data center).

   • Chính sách quản lý patch, backup, hardening, mã hóa, key management (HSM nếu dùng crypto keys).

   • Kế hoạch dự phòng/DR & BCP (Recovery Time Objective, Recovery Point Objective).

   • Kế hoạch quản lý nhật ký (log retention), SIEM, giám sát an ninh, SOC hoạt động.

   • Kịch bản incident response / contact list / PR plan.
     (Tài liệu này là lõi để cơ quan đánh giá mức độ phù hợp với cấp độ 4). 

5. Báo cáo kiểm tra an ninh (pentest) gần nhất (≤6 tháng) + remediation plan. Nếu có lỗ hổng nghiêm trọng chưa khắc phục phải nêu rõ lộ trình khắc phục. dx.moj.gov.vn

6. Bằng chứng chứng nhận quản trị an ninh thông tin (nếu có): ISO/IEC 27001 certificate, hoặc SOC2 Type II report. Nếu chưa có chứng nhận, nộp roadmap + bằng chứng kiểm soát nội bộ, kết quả kiểm soát. 

7. Kế hoạch phân quyền, kiểm soát truy cập & quản trị danh tính (IAM) — least privilege, MFA cho admin, hardening quản trị. (Tiêu chuẩn TCVN 11930:2017 có hướng dẫn chi tiết các kiểm soát). 

8. Kế hoạch lưu trữ & mã hóa dữ liệu; chính sách giữ nhật ký (log retention) — nêu rõ nơi lưu, mã hóa, lưu log cho mục đích audit/forensic (thường yêu cầu lưu lâu, ví dụ nhiều năm). dx.moj.gov.vn

9. Kế hoạch bảo đảm liên tục dịch vụ (High availability / DR) — mô tả cluster, geo-redundancy, RPO/RTO, test DR records. Với cấp độ 4, yêu cầu tính sẵn sàng và phân tách để “không chấp nhận dừng vận hành” mà không có kế hoạch. baochinhphu.vn

Hồ sơ đặc thù cho sàn giao dịch tài sản số (bắt buộc / khuyến nghị)

10. Chính sách custody / custody architecture (hot/cold wallet design, multisig, HSM usage, hardware custody procedures). Nếu lưu tài sản mã hóa phải có proof-of-reserves và audit độc lập. (tham khảo best-practice custody guidance).

11. Chính sách tách bạch tài sản khách hàng (segregation of client assets) và cơ chế thanh toán/tất toán nếu dừng hoạt động (quy trình 45 ngày nếu bị thu hồi giấy phép — tham chiếu Nghị quyết 05/2025 với sàn tài sản mã hóa). 

12. Hợp đồng/Thỏa thuận kỹ thuật với bên thứ ba (cloud provider, KYC provider, payment rails) và SLA; bằng chứng due diligence nhà cung cấp. dx.moj.gov.vn

13. Kế hoạch giám sát & response đối với DDoS, bot, market manipulation — rules & thresholds để auto-throttle/ halt market if needed; tools (WAF, rate-limiting, anti-bot). (rất thực tiễn cho sàn).

Hồ sơ quản lý rủi ro & tuân thủ (bắt buộc)

14. Risk Register (liệt kê rủi ro + likelihood × impact + controls + KPIs).

15. KYC / AML policy + chứng minh tích hợp providers (sanctions, PEP screening) + transaction monitoring rules & SAR workflow (NĐ/ Luật AML). Luật sư Việt Nam

Hồ sơ minh bạch & người dùng (bắt buộc)

16. Mẫu Disclosure/Consent, Privacy Notice (theo Luật bảo vệ dữ liệu khi áp dụng) — nêu rủi ro, fees, dispute resolution. dx.moj.gov.vn

17. Kế hoạch truyền thông & xử lý sự cố (incident communication plan) — timeline thông báo regulator & người dùng (ví dụ: công bố bất thường trong 24h theo Nghị quyết 05). Dich Vu Cong

D. Kiểm soát kỹ thuật bắt buộc/ưu tiên cho cấp độ 4 (áp dụng cụ thể cho sàn giao dịch)

Mục này nêu các biện pháp kỹ thuật tối thiểu/khuyến nghị để vượt yêu cầu cấp độ 4 (kết hợp tiêu chuẩn quốc gia TCVN, ISO27001 và best practice trong custody/sàn).

1. Hạ tầng & mạng

   • Phân vùng mạng theo chức năng (VLAN/segregation), DMZ cho public endpoints, private backend network.

   • Bảo vệ chống DDoS (scrubbing service) với SLA cao; WAF trước API/ web gateway.

   • Thiết bị cổng quản trị riêng (bastion host) + thay đổi cổng quản trị mặc định. 

2. Quản lý bản vá & hardening

   • Patch management process, baseline hardening (CIS benchmarks), kiểm soát thay đổi.

3. Quản lý khóa & HSM

   • Nếu sàn custody crypto: private keys phải lưu trong HSM/cold storage; key rotation policy; multi-sig cho rút lớn.

4. IAM & Privileged Access

   • MFA bắt buộc cho admin, role-based access, least privilege, periodic access review.

5. SIEM & SOC

   • Triển khai SIEM thu thập logs (authentication, transaction, admin), correlate alert; thực hiện SOC 24/7 (hoặc thuê SOC dịch vụ). Với cấp độ 4 cần khả năng phát hiện/ phản ứng nhanh. dx.moj.gov.vn

6. Pentest & vuln management

   • Pentest định kỳ (external blackbox + internal), đáp ứng theo remediation SLA.

7. Backup, encryption & integrity

   • All sensitive data encrypted at rest & in transit (TLS 1.2+/AES-256). Backup có versioning, offsite, periodic restore test.

8. Logging & Forensics

   • Immutable logging (WORM), retention policy theo quy định; preservation process for investigations. dx.moj.gov.vn

9. Transaction Protections for market

   • Throttle rules, circuit breakers, surveillance to detect wash trading/ manipulation, rollback capabilities, proof-of-execution logs.

10. Testing & drills

    • DR exercises, incident response tabletop drills, capacity tests for peak trading loads.

E. Thời gian xử lý, chi phí ước tính, lưu ý thực tế

• Thời gian hành chính: nộp hồ sơ lên cổng dịch vụ công — cơ quan kiểm tra tính hợp lệ trong 3 ngày làm việc; thủ tục cấp phép sản phẩm/dịch vụ an toàn thông tin ở các quy trình tương tự được xử lý trong khoảng 40 ngày (tham khảo quy trình hành chính liên quan). Tuy nhiên, xác định/phê duyệt cấp độ 4 thường cần thẩm định kỹ thuật sâu hơn (kiểm tra tại chỗ, pentest, bổ sung tài liệu) nên thực tế có thể mất 2–3 tháng hoặc hơn cho lần thẩm định đầu tiên. 

• Chi phí: phụ thuộc vào phạm vi; các yếu tố chính: audit/pentest chuyên sâu; triển khai HSM & cold storage; nâng cấp HA/DR; thuê SOC; chứng nhận ISO 27001 / SOC2; thuê tư vấn/kiểm toán độc lập. Tổng chi phí chuẩn bị để đạt cấp độ 4 có thể dao động từ vài chục nghìn đến vài trăm nghìn USD (tùy scale), chưa kể chi phí vận hành liên tục. (Ước tính mang tính tham khảo — dựa trên các hạng mục kỹ thuật nêu trên.)

• Lưu ý quan trọng:

  • Không nên đợi có giấy tờ mới làm kỹ thuật — cơ quan thẩm định mong thấy bằng chứng thực tế (pentest, DR test, SIEM hoạt động). Vì vậy triển khai kỹ thuật và thu thập evidence song hành với soạn hồ sơ. dx.moj.gov.vn

  • Chuẩn bị đối thoại với Sở/ Cục: hồ sơ nên có executive summary (đơn giản, rõ ràng) + annex kỹ thuật (chi tiết) để giảm thời gian thẩm định.

  • Nếu sử dụng nhà cung cấp nước ngoài (cloud, KYC, custody): phải có due diligence & hợp đồng ràng buộc; lưu ý chính sách chuyển dữ liệu ra nước ngoài theo luật bảo vệ dữ liệu. 

F. Checklist nhanh (để nộp hồ sơ hôm nay)

1. Đơn đề nghị + Đề án xác định cấp độ (executive summary).

2. Phương án bảo đảm an toàn hệ thống theo cấp độ 4 (chi tiết kỹ thuật & quản lý).

3. Sơ đồ hệ thống + luồng dữ liệu + danh sách các thành phần bên thứ ba.

4. Báo cáo pentest (≤6 tháng) + remediation plan.

5. Chứng nhận/ bằng chứng ISO27001 / SOC2 (nếu có) hoặc evidence kiểm soát nội bộ.

6. Kế hoạch DR/BCP + kết quả test DR (nếu có).

7. IAM policy, MFA evidence, HSM usage.

8. Proof-of-reserves / custody architecture (nếu custody crypto).

9. KYC/AML policy + transaction monitoring rules.

10. Mẫu disclosure/consent cho người dùng; kế hoạch truyền thông & xử lý khiếu nại.

11. Risk Register + KPIs + incident response playbook.

12. Hợp đồng SLA với cloud/KYC/payment/custody providers + proof of due diligence.

Kết luận ngắn gọn

• “Cấp độ 4” không chỉ là thủ tục hành chính, mà là yêu cầu toàn diện về kiến trúc, vận hành, bảo mật, giám sát, năng lực con người và thủ tục pháp lý. Với một sàn giao dịch tài sản số thí điểm, đạt cấp độ 4 nghĩa là phải chứng minh khả năng vận hành an toàn liên tục, bảo vệ tài sản khách hàng, và có kế hoạch rõ ràng để xử lý sự cố/tất toán khách hàng trong trường hợp bị thu hồi phép thử.