Ngày 12/5/2026, Bộ trưởng Bộ Công an – Đại tướng Lương Tam Quang đã chính thức ký ban hành Thông tư số 47/2026/TT-BCA. Thông tư này ban hành Quy chuẩn kỹ thuật quốc gia về an ninh mạng (QCVN 12:2026/BCA) dành riêng cho hệ thống thông tin lưu trữ tài liệu điện tử trong các cơ quan Đảng và Nhà nước. Đây là một bước tiến pháp lý quan trọng nhằm thắt chặt bảo mật, đảm bảo tính toàn vẹn và an toàn cho các kho dữ liệu số của quốc gia trong kỷ nguyên chuyển đổi số.
1. Phạm vi và Đối tượng áp dụng
Quy chuẩn QCVN 12:2026/BCA tập trung quy định các yêu cầu trong hoạt động quản lý, vận hành và bảo đảm an ninh mạng cho hệ thống thông tin lưu trữ tài liệu điện tử không chứa thông tin thuộc phạm vi bí mật nhà nước.
Đối tượng áp dụng là tất cả các cơ quan, tổ chức và cá nhân có liên quan đến hoạt động quản lý, vận hành và bảo đảm an ninh mạng cho các hệ thống thông tin thuộc phạm vi điều chỉnh. Cần lưu ý, Quy chuẩn này không áp dụng đối với các hệ thống lưu trữ tài liệu điện tử có chứa bí mật nhà nước, cũng như các giải pháp về bảo mật, xác thực thuộc lĩnh vực quản lý nhà nước về cơ yếu, chữ ký số chuyên dùng công vụ.
2. Siết chặt bảo vệ tính toàn vẹn của tài liệu điện tử
Một trong những điểm sáng của Quy chuẩn mới là các yêu cầu kỹ thuật khắt khe nhằm chống lại nguy cơ chỉnh sửa, giả mạo tài liệu số. Cụ thể, hệ thống thông tin lưu trữ tài liệu điện tử phải có cơ chế bảo đảm tính toàn vẹn, bao gồm:
- Đảm bảo nội dung và cấu trúc của tài liệu không bị thay đổi trái phép kể từ khi được tiếp nhận cho đến khi tiêu hủy hoặc chuyển giao.
- Sử dụng các thuật toán băm an toàn theo quy định để tạo ra giá trị băm duy nhất cho mỗi tài liệu; giá trị này phải được lưu trữ trong cơ sở dữ liệu và đảm bảo an toàn.
- Hệ thống phải có khả năng tự động kiểm tra định kỳ, so sánh giá trị băm hiện tại của tập tin với giá trị băm gốc ban đầu nhằm phát hiện sự thay đổi hoặc can thiệp trái phép.
- Đặc biệt, hệ thống phải tự động phục hồi khi phát hiện tài liệu bị mất tính toàn vẹn.
Đối với các tài liệu có yêu cầu bảo mật, khi lưu trữ ngoại tuyến hoặc truyền đưa trên môi trường mạng, hệ thống phải thiết lập mật khẩu bảo vệ trực tiếp trên tệp tin hoặc mã hóa nội dung.
3. Tiêu chuẩn hóa chính sách sao lưu và phục hồi dữ liệu
Nhằm phòng ngừa các thảm họa mất mát dữ liệu do tấn công mạng (như ransomware) hoặc lỗi phần cứng, Quy chuẩn yêu cầu chủ quản hệ thống thông tin, đặc biệt là các hệ thống từ cấp độ 3 trở lên, phải áp dụng chiến lược sao lưu dữ liệu vô cùng nghiêm ngặt:
- Quy tắc đa bản sao, đa vị trí: Phải lưu giữ ít nhất 03 bản sao của cùng một thông tin, trong đó có 03 bản sao được bảo quản tại 02 phương tiện lưu trữ khác nhau tách biệt về mặt địa lý.
- Cách ly vật lý (Air-gap): Ít nhất 01 bản sao phải được ghi trên vật mang tin không thể ghi đè (cơ chế WORM), đặt tại vị trí bên ngoài nơi lưu trữ dữ liệu chính và sử dụng kỹ thuật cách ly vật lý.
- Rà soát định kỳ: Mỗi lần sao lưu đều phải ghi lại trong nhật ký. Dữ liệu sao lưu phải được rà quét mã độc định kỳ 01 lần/06 tháng và ghi rõ các công cụ, phần mềm được sử dụng cùng kết quả quét.
- Quản lý mã hóa: Việc quản lý khóa mã hóa phải tách biệt với hệ thống thông tin lưu trữ bản sao lưu.
- Tiêu hủy an toàn: Phải có phương án xóa, hủy bỏ dữ liệu an toàn, triệt để không thể khôi phục, tuân thủ tiêu chuẩn NIST 800-88. Việc hủy dữ liệu phải được kiểm soát bằng xác thực đa nhân tố (MFA) để chống xóa nhầm hoặc xóa trái phép.
4. Quản lý Tài khoản, Truy cập và Mật khẩu an toàn
Quy chuẩn cũng thiết lập các quy tắc cứng rắn về định danh và xác thực người dùng. Việc cấp quyền phải tuân thủ nguyên tắc "đặc quyền tối thiểu" và phân tách nhiệm vụ. Mật khẩu của hệ thống phải tuân thủ các quy tắc độ phức tạp cao:
| Tiêu chí | Yêu cầu kỹ thuật bắt buộc theo QCVN 12:2026/BCA |
| Yêu cầu chung | Phải thay đổi mật khẩu ngay trong lần đăng nhập đầu tiên. |
| Hệ thống có MFA | Mật khẩu phải có độ dài tối thiểu 08 ký tự. |
| Hệ thống không MFA | Mật khẩu phải có độ dài tối thiểu 14 ký tự, bao gồm ký tự viết thường, ký tự viết hoa, ký tự đặc biệt, chữ số. |
| Tài khoản quản trị | Thay đổi mật khẩu tối thiểu 01 lần/02 tháng; mật khẩu mới không trùng với 10 mật khẩu đã sử dụng gần nhất. |
| Khóa tự động (Máy tính/Điện thoại) | Tự động khóa sau tối đa 10 lần nhập sai liên tiếp. |
| Khóa tự động (Phần mềm nghiệp vụ) | Tự động khóa sau tối đa 05 lần nhập sai liên tiếp. |
Đồng thời, hệ thống phải kích hoạt cấu hình vô hiệu hóa hoặc xóa các tài khoản không hoạt động sau 45 ngày. Các phiên làm việc không hoạt động cũng sẽ bị tự động khóa: không quá 15 phút với máy tính người dùng và phần mềm nghiệp vụ; không quá 05 phút với tài khoản quản trị và không quá 02 phút đối với thiết bị di động.
5. Ràng buộc pháp lý và kỹ thuật đối với Nhà cung cấp dịch vụ
Trong bối cảnh các cơ quan Đảng, Nhà nước ngày càng sử dụng nhiều dịch vụ công nghệ thông tin thuê ngoài (outsourcing) và điện toán đám mây (cloud computing), Thông tư 47/2026/TT-BCA đặt ra các rào cản an ninh vững chắc:
- Vị trí hạ tầng: Đối với nhà cung cấp dịch vụ lưu trữ, hạ tầng vật lý hoặc trung tâm dữ liệu bắt buộc phải đặt tại Việt Nam. Toàn bộ tài liệu điện tử được ủy thác cũng phải được lưu trữ trong lãnh thổ Việt Nam.
- Định danh nhà cung cấp: Các nhà cung cấp phải có đại diện pháp lý, chi nhánh hoặc văn phòng đại diện tại Việt Nam và phải thực hiện định danh điện tử doanh nghiệp.
- Kiểm soát truy cập từ xa: Không cho phép thiết bị tự động gửi dữ liệu hoặc mở kết nối từ xa tới nhà sản xuất trừ trường hợp được cấp có thẩm quyền phê duyệt. Mọi kết nối đều phải được cấp quyền, sử dụng xác thực đa nhân tố (MFA) và phải được giám sát.
- Không tự động cập nhật: Trong môi trường nhạy cảm, không được phép tải xuống và triển khai các bản cập nhật phần mềm (thủ công hoặc tự động) thông qua liên kết kết nối từ xa của nhà cung cấp.
6. Giám sát an ninh 24/7 và Ứng phó sự cố
Để phát hiện sớm và xử lý kịp thời các nguy cơ, đối với hệ thống cấp độ 3, 4, 5, chủ quản hệ thống phải triển khai giải pháp quản lý sự kiện an ninh mạng tập trung (SIEM hoặc tương đương). Giải pháp giám sát phải có khả năng kết nối, chia sẻ dữ liệu giám sát khi có yêu cầu của cơ quan có thẩm quyền.
Đặc biệt, hệ thống lưu trữ nhật ký (log) phải được bảo vệ tính toàn vẹn bằng công nghệ ghi một lần, đọc nhiều lần (WORM), khóa đối tượng hoặc lưu trữ bất biến nhằm ngăn chặn việc sửa đổi trái phép. Thời gian lưu trữ nhật ký phải được thiết lập tối thiểu 12 tháng. Mọi thao tác xóa hoặc thay đổi cấu hình nhật ký phải kiểm soát bằng xác thực mạnh.
Khi phát hiện sự cố an ninh mạng, chủ quản hệ thống phải thực hiện chia sẻ thông tin, báo cáo sự cố trong vòng 24 giờ cho cơ quan có thẩm quyền theo quy định của pháp luật.
7. Lộ trình triển khai và Điều khoản thi hành
Thông tư số 47/2026/TT-BCA có hiệu lực thi hành kể từ ngày 01 tháng 7 năm 2026.
Để đảm bảo tính khả thi trong việc chuyển đổi và tuân thủ, Bộ Công an đã đặt ra lộ trình cụ thể: Các hệ thống thông tin lưu trữ tài liệu điện tử đã được xây dựng trước khi Quy chuẩn ban hành vẫn được phép hoạt động bình thường. Tuy nhiên, tính từ thời điểm Quy chuẩn có hiệu lực:
- Hệ thống cấp độ 3, 4, 5 phải đáp ứng các quy định trong vòng 12 tháng.
- Hệ thống cấp độ 1, 2 phải đáp ứng các quy định trong vòng 18 tháng.
Cục trưởng Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao chịu trách nhiệm theo dõi, kiểm tra và đôn đốc việc thực hiện Thông tư này. Trong quá trình thực hiện, nếu có khó khăn, vướng mắc, các tổ chức, cá nhân có liên quan cần báo cáo về Bộ Công an để kịp thời được hướng dẫn, giải quyết.
Việc ban hành QCVN 12:2026/BCA thể hiện quyết tâm mạnh mẽ của Bộ Công an trong việc thiết lập một khung tiêu chuẩn thống nhất, toàn diện và hiện đại. Quy chuẩn không chỉ đóng vai trò là "tấm khiên" bảo vệ khối lượng tài liệu điện tử khổng lồ của khối cơ quan Đảng và Nhà nước khỏi các cuộc tấn công mạng ngày càng tinh vi, mà còn tạo nền tảng vững chắc cho công cuộc chính phủ số, góp phần bảo vệ an ninh quốc gia và trật tự an toàn xã hội trên không gian mạng.