Hàng năm, Hiệp hội An toàn thông tin Việt Nam (VNISA) phối hợp với Cục An toàn thông tin (Bộ TT&TT) tiến hành điều tra khảo sát thực trạng công tác bảo đảm an toàn thông tin mạng (ATTTM) của các tổ chức, doanh nghiệp trên phạm vi cả nước. Kết quả khảo sát được tổng hợp làm cơ sở xây dựng Chỉ số An toàn thông tin Việt Nam và đã được công bố trong Hội thảo quốc tế Ngày An toàn thông tin Việt Nam. Đồng thời, đây cũng là cơ sở để các cơ quan chức năng hoạch định chính sách và có giải pháp hỗ trợ hiệu quả cho các cơ quan, tổ chức, doanh nghiệp trong việc đảm bảo ATTT.Năm nay là năm thứ 11 Hiệp hội thực hiện khảo sát hiện trạng ATTT trong các tổ chức, doanh nghiệp và là lần thứ 6 đánh giá Chỉ số ATTT – VNISA Index. Số liệu khảo sát được tính trong khoảng thời gian từ tháng 10/2017 đến tháng 10/2018, với đối tượng là các cơ quan, tổ chức nhà nước, các doanh nghiệp tại 3 vùng trọng tâm là Hà Nội, TP. HCM và Đà Nẵng.
Phương pháp khảo sát thông tin được xây dựng, căn cứ vào các quy định của Nhà nước về bảo đảm an toàn hệ thống thông tin theo cấp độ, các tiêu chuẩn về quản lý và bảo đảm ATTT như: Bộ tiêu chuẩn TCVN ISO/IEC-2700x về quản lý ATTT, Tiêu chuẩn Việt Nam TCVN 11930:2017 về bảo vệ hệ thống thông tin theo cấp độ.
Việc khảo sát được VNISA thực hiện với 09 nội dung thuộc lĩnh vực quản lý, phát triển và đảm bảo ATTT cho tổ chức, doanh nghiệp. Mẫu khảo sát được chia làm 02 loại: 57 câu hỏi phức hợp (với hàng trăm tiêu chí nhỏ) cho các tổ chức, doanh nghiệp lớn và 46 câu hỏi phức hợp cho tổ chức, doanh nghiệp vừa và nhỏ (SME).
Thông tin thu thập được từ các tổ chức, doanh nghiệp tham gia khảo sát được lượng hóa vào 09 nhóm tiêu chỉ để xác định Chỉ số ATTT cho từng đối tượng, gồm: Đầu tư và kinh phí bảo đảm; Nguyên tắc triển khai; Nhận thức và đào tạo bồi dưỡng; Tổ chức và quản lý nhân lực; Chính sách ATTT; Ý thức của lãnh đạo, chuyên gia về ATTT; Hoạt động thực tiễn; Biện pháp kỹ thuật; Biện pháp quản lý.
Kết quả nhận được từ chương trình khảo sát năm 2018 cho thấy, chỉ số ATTT – VNISA Index năm 2018 chỉ đạt ở mức trung bình, là 45,6%, thấp hơn so với 3 năm trước (mức chỉ số lần lượt là 47,4%; 59,9% và 46,8%) (Hình 1).
Hình 1. So sánh Chỉ số ATTT VNISA Index từ năm 2015 đến năm 2018
So sánh số liệu khảo sát năm 2017 và 2018 của khối các doanh nghiệp (tổ chức tín dụng và SME) cho thấy, trong khi Chỉ số ATTT năm nay của nhóm SME đã được cải thiện, tăng từ mức 31,1% của năm 2017 lên 39,9% năm 2018, thì Chỉ số ATTT năm 2018 của cả 2 nhóm còn lại đều giảm so với năm ngoái. Cụ thể, Chỉ số ATTT của nhóm tổ chức tài chính, doanh nghiệp đã giảm từ mức 59,9% của năm 2017 xuống mức 57,5%; Chỉ số ATTT năm 2018 của nhóm tổ chức, doanh nghiệp lớn giảm từ mức 55,4% của năm 2017 xuống mức 54,3% (Hình 2).
Hình 2. So sánh chỉ số ATTT của các nhóm đối tượng năm 2017 và 2018
Đánh giá chung, xu hướng phát triển ATTT mạng trong năm qua nhìn chung là tích cực mặc dù tốc độ phát triển ATTT chưa cao, Việt Nam mới chỉ đạt chỉ số ATTT ở mức trung bình. Các tổ chức, doanh nghiệp tại Việt Nam vẫn còn yếu trong các khâu tổ chức, quản lý, thực thi chính sách, bồi dưỡng kiến thức và kinh nghiệm bảo đảm ATTT. Đặc biệt, vấn đề hiệu quả hoạt động thực tiễn bảo đảm ATTT mạng là môt điểm yếu chung mà các tổ chức, doanh nghiệp tại Việt Nam cần tập trung hoàn thiện, nâng cấp trong thời gian tới.
Cũng trên cơ sở kết quả khảo sát đánh giá hiện trạng ATTT năm 2018, các tổ chức tín dụng và ngân hàng vẫn là nhóm những doanh nghiệp phát triển năng lực ATTT hàng đầu trong cả nước nhưng chất lượng chưa đồng đều, vẫn còn có nhiều khó khăn về nhân lực quản lý lãnh đạo và chuyên trách ATTT.
Từ kết quả chương trình khảo sát năm nay, VNISA cũng đưa ra các khuyến nghị cho các tổ chức, doanh nghiệp trong thời gian tới như sau:
– Để tăng cường về tổ chức và nhân lực ATTT, cán bộ lãnh đạo phải có nhận thức sâu sắc về vai trò của đảm bảo ATTT, chuyên gia ATTT phải được đào tạo phù hợp với chức trách, nhiệm vụ. Trong đơn vị cần xây dựng bộ phận chuyên trách về ATTT phù hợp với quy mô phát triển hệ thống thông tin từng giai đoạn. Bên cạnh đó, phát huy sự phối hợp giữa các cơ quan nhà nước với các doanh nghiệp, với vai trò cầu nối của các Hiệp hội.
– Cần kịp thời rà soát, đánh giá ATTT cho hệ thống thông tin và ban hành quy chế, quy trình đảm bảo ATTT của đơn vị đồng thời với việc tổ chức giám sát ATTT và phát hiện sớm các nguy cơ bị tấn công để có biện pháp ứng phó thích hợp.
– Cần có cơ chế giám sát và quản lý để đảm bảo sử dụng sản phẩm CNTT có tính an toàn cao, phù hợp với các tiêu chuẩn ATTT mới nhất. Khuyến khích phát triển, sử dụng sản phẩm dịch vụ ATTT nội địa và tham gia mạng lưới hợp tác, chia sẻ thông tin về ATTT tại Việt Nam.
