Theo Thượng tá Lê Xuân Thuỷ, Giám đốc Trung tâm An ninh mạng quốc gia (Cục A05 - Bộ Công an), hiện nay trên thế giới đã có nhiều bộ tiêu chuẩn an ninh mạng được áp dụng rộng rãi như ISO/IEC 27001:2022 (tiêu chuẩn quốc tế), NIST SP 800-53 phiên bản 4.0 và CIS Controls phiên bản 8 (Hoa Kỳ). Việt Nam đã có tiêu chuẩn TCVN 11930:2017 để hướng dẫn bảo đảm an toàn hệ thống thông tin.

Thượng tá Lê Xuân Thuỷ thông tin thêm, hệ thống tiêu chuẩn an ninh mạng cho hạ tầng thông tin trọng yếu. Tuy nhiên, gần đây, các cuộc tấn công không còn giới hạn ở khối doanh nghiệp mà đã hướng vào các hệ thống thiết yếu của quốc gia như năng lượng, ngân hàng, cơ quan Nhà nước và cả các hãng thông tấn, báo chí.

Trong năm 2025, Ransomware (mã độc tống tiền) tiếp tục nổi lên như một trong những mối đe dọa nghiêm trọng nhất đối với an ninh mạng tại Việt Nam và trên toàn cầu. Dù các cơ quan chức năng đã chủ động triển khai nhiều giải pháp phòng ngừa và ứng phó, nhưng tấn công mạng vẫn diễn ra với tần suất và mức độ tinh vi ngày càng gia tăng. 

Bên cạnh đó, một "lỗ hổng" nghiêm trọng khác lại đến từ nội tại các tổ chức. Thượng tá Lê Xuân Thủy chỉ ra rằng, nhận thức về an ninh mạng từ cấp lãnh đạo đến đội ngũ chuyên trách của nhiều đơn vị còn hạn chế. Điều này dẫn đến tình trạng chưa đánh giá đúng mức độ rủi ro và thiếu sự đầu tư tương xứng để bảo vệ hệ thống.

Ngoài yếu tố kỹ thuật từ phía kẻ tấn công, một vấn đề then chốt khiến các hệ thống dễ bị xâm nhập là do những yếu kém trong nhận thức và định hướng đầu tư về an ninh mạng. Nhận thức từ lãnh đạo đến những người chuyên trách an ninh mạng của nhiều đơn vị vẫn chưa cao. Do đó, họ chưa đánh giá đúng tầm quan trọng cũng như mức độ rủi ro trước các cuộc tấn công mạng phức tạp như hiện nay. Đây là 'lỗ hổng' nghiêm trọng, khi chính những người nắm quyền ra quyết định lại chưa thấy hết được nguy cơ tiềm ẩn từ 'không gian số.

Hơn nữa, sự đa dạng và phức tạp của các giải pháp kỹ thuật trên thị trường cũng khiến nhiều cơ quan, tổ chức bối rối. Có quá nhiều kỹ thuật được đưa ra, quá nhiều giải pháp được các hãng công nghệ cũng như các chuyên gia giới thiệu, khiến chủ quản hệ thống thông tin không biết nên bắt đầu từ đâu hoặc làm đến đâu thì đủ.

Thực tiễn cho thấy, dù đã có khung tiêu chuẩn, nhiều hệ thống thông tin, đặc biệt là các hệ thống trọng yếu, vẫn bộc lộ những lỗ hổng nghiêm trọng, tiềm ẩn nguy cơ ảnh hưởng đến an ninh quốc gia và trật tự an toàn xã hội. Một trong những nguyên nhân là các tiêu chuẩn hiện hành còn mang tính lý thuyết, thiếu tính thực tiễn và chưa sát với yêu cầu vận hành thực tế trong môi trường không gian mạng ngày càng phức tạp. 

Để giải quyết bài toán này, Trung tâm An ninh mạng quốc gia đang xây dựng một bộ tiêu chuẩn hướng dẫn như một "kim chỉ nam" giúp các tổ chức đánh giá năng lực phòng thủ của mình, xác định những gì cần ưu tiên triển khai và lượng hóa trạng thái an toàn hệ thống theo mức độ cụ thể. Đây là bước đi thiết thực nhằm chuẩn hóa cách tiếp cận an ninh mạng trong bối cảnh nguồn lực còn hạn chế. Việc ban hành TCVN 14423:2025 được kỳ vọng sẽ tạo điều kiện thuận lợi để các cơ quan, tổ chức thiết lập bảo vệ các hạ tầng thông tin trọng yếu.

Khác biệt lớn của TCVN 14423:2025 so với các tiêu chuẩn trước nằm ở tính thực hành cao và khả năng áp dụng rõ ràng. Các yêu cầu kỹ thuật và yêu cầu quản lý được gắn kết chặt chẽ trong từng nội dung, giúp cơ quan, tổ chức triển khai giải pháp bảo đảm an ninh mạng một cách hệ thống, toàn diện và dễ thực hiện. Trong khi đó, TCVN 11930:2017 vẫn chủ yếu dừng lại ở các yêu cầu chung, tách rời giữa yếu tố kỹ thuật và quản lý.

Thượng tá Lê Xuân Thủy cho biết: "Tình hình an ninh mạng hiện nay không kém phần cam go so với an ninh trên thực địa. Đây là thách thức nổi lên trong bối cảnh an ninh phi truyền thống. Các hệ thống thông tin trọng yếu vẫn đang là mục tiêu tấn công, do đó cần một hệ thống tiêu chuẩn đủ mạnh để tăng cường phòng thủ. Chuyển đổi số mà không gắn liền với bảo đảm an ninh mạng sẽ tạo ra những rủi ro mới".

Việc xây dựng TCVN 14423:2025 được đặt trong định hướng từ các chủ trương lớn của Đảng và Nhà nước, đặc biệt là Nghị quyết 57-NQ/TW, xác định an ninh mạng là một trong các trụ cột quan trọng bảo vệ không gian số quốc gia. Bộ tiêu chuẩn mới cũng đóng vai trò định hướng, góp phần hình thành khung kỹ thuật và quản lý để xây dựng hệ thống thông tin an toàn, bền vững.