Nếu tổ chức của bạn xử lý Thông tin Không Phân loại nhưng Được Kiểm soát (CUI) cho Bộ Quốc phòng Hoa Kỳ (DoD) hoặc các cơ quan liên bang khác, việc tuân thủ chuẩn NIST SP 800-171 là yêu cầu bắt buộc trong hợp đồng.

Nhưng tiêu chuẩn này đã được nâng lên một tầm mới với Phiên bản 3 (Rev. 3) được công bố vào tháng 5/2024 – bổ sung nhiều điều khoản, ngôn ngữ rõ ràng hơn, và đặc biệt là nghĩa vụ quản lý rủi ro bên thứ ba một cách chính thức.

NIST SP 800-171 REV. 3 LÀ GÌ?

NIST SP 800-171 là bộ yêu cầu an ninh mạng dành cho việc bảo vệ dữ liệu CUI trong các hệ thống phi liên bang.

Điểm nổi bật của Rev. 3:

• 97 yêu cầu thuộc 17 nhóm kiểm soát, gồm Quản lý rủi ro chuỗi cung ứng (SR), Kế hoạch (PL), và Mua sắm hệ thống & dịch vụ (SA).

• Bổ sung tham số do tổ chức xác định (ODPs) để đo lường và đánh giá hiệu quả kiểm soát.

• Liên kết trực tiếp với chuẩn NIST SP 800-53, đảm bảo đồng nhất với các tiêu chuẩn an ninh liên bang rộng hơn.
  

Việc tuân thủ tiêu chuẩn này là nghĩa vụ pháp lý theo điều khoản DFARS 252.204-7012, đồng thời phù hợp với CMMC 2.0 Level 2.
Và trong bối cảnh các cuộc tấn công mạng chuỗi cung ứng tăng 431% từ 2021–2023, đây không chỉ là quy định – mà là vấn đề an ninh quốc gia.

NHỮNG THAY ĐỔI MỚI TRONG REV. 3

1. Quản lý rủi ro nhà cung cấp trở thành bắt buộc
   Rev. 3 thêm hẳn một nhóm kiểm soát riêng cho Supply Chain Risk Management (SR).
   Tổ chức phải đánh giá rủi ro nhà cung cấp, giám sát truy cập của bên thứ ba liên tục, và theo dõi khắc phục khi có sự cố.
2. Yêu cầu giám sát liên tục (Continuous Monitoring)
   Kiểm toán không còn là hoạt động “một năm một lần”.
   Doanh nghiệp phải theo dõi và phát hiện rủi ro theo thời gian thực, cả trong hệ thống nội bộ lẫn đối tác.
3. Ngôn ngữ và cấu trúc rõ ràng hơn
   Các điều khoản được viết lại dễ hiểu hơn, đồng thời liên kết trực tiếp với NIST SP 800-53 và CMMC Level 2, giúp doanh nghiệp xây dựng chương trình tuân thủ thống nhất.
4. Kiểm toán dựa trên bằng chứng (Evidence-Based Audits)
   Không còn chỉ cần “có chính sách” – tổ chức phải chứng minh kiểm soát thực tế, cung cấp log, bản ghi, và bằng chứng vận hành.

AI CẦN TUÂN THỦ?

Rev. 3 áp dụng cho mọi tổ chức lưu trữ, xử lý, hoặc truyền dữ liệu CUI, bao gồm:

• Nhà thầu liên bang và các bên phụ trách hợp đồng phụ.

• Các nhà cung cấp trong chuỗi cung ứng nhiều tầng.

• Đơn vị cung cấp dịch vụ IT, Cloud, hoặc Managed Service có liên quan đến môi trường CUI.

• Các tổ chức nghiên cứu nhận tài trợ từ chính phủ.

Nếu doanh nghiệp của bạn hỗ trợ nhiệm vụ liên bang, bạn phải chứng minh tư thế an ninh rõ ràng, có thể kiểm chứng.

LỘ TRÌNH TUÂN THỦ NIST SP 800-171 REV. 3

Bước 1: Đánh giá (Assess)
Xem xét toàn bộ môi trường của bạn so với 97 kiểm soát để xác định lỗ hổng kỹ thuật và quy trình.

Bước 2: Lập kế hoạch (Plan)
Phát triển System Security Plan (SSP) và Plan of Action & Milestones (POA&M) – hai tài liệu cốt lõi cho thấy chiến lược và tiến độ khắc phục.

Bước 3: Triển khai (Implement)
Thực thi các biện pháp bảo mật: kiểm soát truy cập, mã hóa, chính sách quản lý nhà cung cấp, công cụ giám sát bảo mật.

Bước 4: Giám sát (Monitor)
Chuyển từ “kiểm tra định kỳ” sang theo dõi liên tục, phát hiện lệch chuẩn và cảnh báo rủi ro theo thời gian thực.

Bước 5: Chứng minh (Prove)
Chuẩn bị log, nhật ký truy cập, tài liệu và bằng chứng vận hành để chứng minh tuân thủ thực tế.

SAFOUS HỖ TRỢ DOANH NGHIỆP ĐÁP ỨNG REV. 3 NHƯ THẾ NÀO

Chính sách mà không có bằng chứng sẽ không đủ thuyết phục kiểm toán viên.
Safous giúp doanh nghiệp triển khai, giám sát, và ghi nhận toàn bộ hoạt động để đáp ứng các yêu cầu kỹ thuật phức tạp nhất của NIST Rev. 3, bao gồm:

• Giám sát truy cập thời gian thực và ghi nhận chi tiết các hành động người dùng.

• Theo dõi nhà cung cấp và đối tác bên ngoài trong suốt vòng đời truy cập.

• Tự động hóa báo cáo và lưu trữ bằng chứng audit-ready.

• Phát hiện, cảnh báo, và khắc phục rủi ro trong một nền tảng hợp nhất.

CÁC THỰC TIỄN TỐT NHẤT ĐỂ TUÂN THỦ REV. 3

• Xác định phạm vi (Define Scope): Làm rõ toàn bộ khu vực có thể truy cập dữ liệu CUI.

• Tham gia lãnh đạo (Engage Leadership): Tuân thủ không chỉ là nhiệm vụ của IT – mà là chiến lược toàn tổ chức.

• Ưu tiên giám sát nhà cung cấp (Vendor Oversight): Đảm bảo kiểm soát và đánh giá liên tục bên thứ ba.

• Thực hiện giám sát liên tục (Continuous Monitoring): Sử dụng công cụ phát hiện hành vi bất thường và đảm bảo tính tuân thủ 24/7.

• Đào tạo nhân viên (Train Workforce): Nâng cao nhận thức bảo mật và trách nhiệm trong việc xử lý CUI.

• Ghi chép đầy đủ (Document Everything): Lưu trữ và cập nhật thường xuyên SSP, POA&M, log truy cập, bằng chứng khắc phục.

• Áp dụng nguyên tắc Zero Trust: Kiểm soát truy cập tối thiểu, xác minh danh tính liên tục, không giả định “tin cậy nội bộ.”

ĐƠN GIẢN HÓA TUÂN THỦ NIST SP 800-171 REV. 3 VỚI SAFOUS

Rev. 3 không còn chỉ là “bài kiểm tra giấy tờ” mà là chuẩn mực vận hành thực tiễn.
Với Safous, doanh nghiệp có thể đáp ứng, chứng minh và duy trì tuân thủ thông qua:

• Công cụ kiểm soát truy cập và quản trị quyền (Access Governance).

• Giám sát liên tục (Continuous Monitoring).

• Theo dõi và khắc phục rủi ro (Remediation Tracking).

• Báo cáo sẵn sàng kiểm toán (Audit-Ready Reports).

Nhờ đó, tuân thủ Rev. 3 không chỉ là nghĩa vụ – mà trở thành lợi thế chiến lược, giúp doanh nghiệp đạt thêm hợp đồng, giảm rủi ro và củng cố uy tín trong chuỗi cung ứng quốc phòng.

Unitas cam kết đồng hành cùng doanh nghiệp, cung cấp các giải pháp và phân tích an ninh mạng tiên tiến nhất. Để nhận được tư vấn chuyên sâu hoặc hỗ trợ nhanh chóng, vui lòng liên hệ với chúng tôi qua email: info@unitas.vn hoặc Hotline: (+84) 939 586 168.