Khung đánh giá an ninh mạng của Vương quốc Anh (UK Cyber Assessment Framework – CAF) giúp các tổ chức đo lường khả năng chống chịu trước rủi ro mạng dựa trên các kết quả đã được xác định, đảm bảo rằng rủi ro không chỉ được nhận diện mà còn được quản lý hiệu quả. Phiên bản CAF v4.0 mang đến hướng dẫn rõ ràng hơn, kỳ vọng cao hơn và nhấn mạnh mạnh mẽ vào các yếu tố như đảm bảo phần mềm, giám sát chuỗi cung ứng và theo dõi liên tục.
TẠI SAO CAF V4.0 LẠI QUAN TRỌNG Ở THỜI ĐIỂM NÀY
Cơ sở hạ tầng quan trọng của Vương quốc Anh (CNI) đang chịu áp lực ngày càng tăng từ các nhóm ransomware, quốc gia thù địch và tội phạm mạng. Để tăng cường khả năng chống chịu, Trung tâm An ninh mạng Quốc gia Anh (NCSC) đã phát hành phiên bản mới nhất – CAF v4.0.
Khác với một bộ kiểm tra đơn thuần, khung này đóng vai trò như bản đồ chiến lược, giúp tăng tính minh bạch, bảo vệ các dịch vụ thiết yếu và củng cố niềm tin của ban lãnh đạo cùng cơ quan quản lý trong việc quản trị rủi ro an ninh mạng.
TỔNG QUAN VỀ CAF – KHUNG ĐÁNH GIÁ AN NINH MẠNG VƯƠNG QUỐC ANH LÀ GÌ
CAF được giới thiệu từ năm 2018 như một phương pháp có cấu trúc của NCSC để đánh giá và cải thiện khả năng phục hồi an ninh mạng trong các dịch vụ thiết yếu.
Thay vì tập trung vào các biện pháp kỹ thuật cụ thể, CAF chú trọng đến kết quả bảo mật – tổ chức có thực hiện được các mục tiêu bảo mật cốt lõi để duy trì hoạt động an toàn hay không.
Cấu trúc linh hoạt này giúp CAF có thể áp dụng trên nhiều lĩnh vực: năng lượng, giao thông, y tế, tài chính,…
CẤU TRÚC VÀ MỤC TIÊU CHÍNH CỦA CAF
CAF được xây dựng dựa trên 4 mục tiêu cấp cao, chia thành 14 nguyên tắc với các chỉ số thực hành tốt (IGPs):
- Quản lý rủi ro an ninh (Objective A)
Tập trung vào quản trị, quản lý rủi ro, tài sản và chuỗi cung ứng. - Bảo vệ khỏi tấn công mạng (Objective B)
Nhấn mạnh thiết kế hệ thống an toàn, quản lý lỗ hổng và bảo vệ dữ liệu. - Phát hiện sự kiện an ninh (Objective C)
Bao gồm giám sát, phát hiện và khả năng phản ứng sự cố. - Giảm thiểu tác động của sự cố (Objective D)
Đảm bảo phục hồi thông qua kế hoạch dự phòng, duy trì hoạt động và rút kinh nghiệm.
NHỮNG ĐIỂM MỚI TRONG PHIÊN BẢN CAF V4.0
Phiên bản CAF v4.0 được phát hành vào tháng 8/2025, đánh dấu bước cải tiến lớn nhất kể từ khi ra mắt.
Bản cập nhật tập trung vào hướng dẫn rõ ràng hơn, ngưỡng đánh giá cụ thể hơn và yêu cầu cao hơn trong các lĩnh vực như: bảo mật phần mềm, giám sát chuỗi cung ứng và phát hiện mối đe dọa chủ động.
Các tổ chức giờ đây cần cung cấp bằng chứng xác thực, không chỉ dừng lại ở việc “khai báo tuân thủ” như trước.
CÁC CẢI TIẾN CHÍNH TRONG CAF V4.0
- Hiểu biết có cấu trúc về mối đe dọa – yêu cầu mô hình hóa và phân tích hành vi tấn công cụ thể.
- Đảm bảo phát triển phần mềm an toàn – nhấn mạnh quy trình thiết kế bảo mật, kiểm tra mã và SBOM.
- Giám sát & săn tìm mối đe dọa chủ động – vượt xa việc chỉ ghi log và cảnh báo.
- Đảm bảo chuỗi cung ứng – nhà cung cấp phải chứng minh được bằng chứng tuân thủ, không chỉ tự cam kết.
- Rủi ro công nghệ mới nổi – bao gồm yếu tố AI và công nghệ đột phá.
AI BỊ ẢNH HƯỞNG – NGÀNH NGHỀ VÀ BÊN LIÊN QUAN
CAF v4.0 ảnh hưởng trực tiếp đến các đơn vị vận hành dịch vụ thiết yếu (OES) trong các lĩnh vực:
- Năng lượng và tiện ích (điện, dầu khí, nước)
- Giao thông (hàng không, đường sắt, hàng hải)
- Y tế (bệnh viện, NHS, nền tảng y tế số)
- Viễn thông (nhà mạng, nhà cung cấp dịch vụ)
- Khu vực công (chính phủ, quốc phòng)
NHỮNG AI CẦN HÀNH ĐỘNG
- CISO và lãnh đạo rủi ro – đảm bảo chương trình an ninh phù hợp với CAF.
- Quản lý OT – tăng khả năng phục hồi trong môi trường vận hành.
- Nhóm thu mua và rủi ro chuỗi cung ứng – xác minh bằng chứng từ nhà cung cấp.
- Ban giám đốc – chịu trách nhiệm giám sát và ra quyết định dựa trên dữ liệu.
- Đội SOC – nâng cấp năng lực giám sát và săn tìm mối đe dọa.
CHUỖI CUNG ỨNG: TỪ CAM KẾT ĐẾN BẰNG CHỨNG
CAF v4.0 yêu cầu chuyển từ mô hình “tự khai tuân thủ” sang đảm bảo dựa trên bằng chứng.
Nhà cung cấp phải chứng minh năng lực qua:
- Phân tầng nhà cung cấp theo mức độ quan trọng
- Định nghĩa tiêu chuẩn an ninh tối thiểu cho từng nhóm
- Cung cấp bằng chứng như SBOM, báo cáo kiểm thử, quét lỗ hổng
- Giám sát rủi ro liên tục bằng công cụ tự động
NÂNG CAO QUẢN TRỊ VÀ RỦI RO VỚI CAF V4.0
NCSC nhấn mạnh quyết định dựa trên bằng chứng – yêu cầu ban lãnh đạo không chỉ nhận thức mà còn chịu trách nhiệm về rủi ro mạng.
Các tổ chức phải tích hợp tình báo mối đe dọa, mô hình tác động kinh doanh và xác suất xảy ra vào quy trình đánh giá rủi ro.
MINH BẠCH HƠN Ở CẤP BAN LÃNH ĐẠO
CAF v4.0 yêu cầu lãnh đạo có quyền truy cập và hiểu rõ:
- Thư viện bằng chứng (chính sách, kết quả test, kế hoạch khắc phục)
- Chỉ số rủi ro chính (KRIs) như MTTD, MTTR
- Trạng thái rủi ro chuỗi cung ứng
- Tiến độ đạt được theo các mục tiêu CAF
PHẦN MỀM AN TOÀN & ĐẢM BẢO SẢN PHẨM
CAF v4.0 đặt trọng tâm mạnh vào an ninh phần mềm và sản phẩm.
Các yêu cầu bao gồm:
- Thiết kế bảo mật ngay từ đầu
- Phân tích và kiểm duyệt mã nguồn
- Theo dõi SBOM để kiểm soát thư viện phụ thuộc
- Quản lý bản vá có thời hạn rõ ràng
- Ký xác thực và theo dõi quy trình CI/CD
Đồng thời, các tiêu chuẩn này phải được mở rộng sang nhà cung cấp và phần mềm bên thứ ba, bao gồm yêu cầu SBOM và cam kết xử lý lỗ hổng bảo mật theo SLA.
GIÁM SÁT, PHÁT HIỆN VÀ ỨNG PHÓ SỰ CỐ
CAF v4.0 nâng cấp yêu cầu từ “phát hiện sự cố” thành “chủ động săn tìm mối đe dọa”.
Các tổ chức cần chứng minh khả năng phát hiện, điều tra và phản ứng thời gian thực, không chỉ ghi nhận log sự kiện.
QUẢN LÝ RỦI RO CHUỖI CUNG ỨNG THEO MÔ HÌNH TẦNG
CAF v4.0 khuyến nghị phân loại nhà cung cấp theo mức độ ảnh hưởng:
| Tầng | Mô tả | Yêu cầu |
| Tầng 1 | Nhà cung cấp trọng yếu ảnh hưởng trực tiếp CNI | Cung cấp đầy đủ bằng chứng, giám sát hàng tháng |
| Tầng 2 | Nhà cung cấp có quyền truy cập cao | Báo cáo hàng quý, xác minh biện pháp khắc phục |
| Tầng 3 | Nhà cung cấp phổ thông, rủi ro thấp | Tự chứng nhận hàng năm, kiểm tra theo sự cố |
LIÊN KẾT CAF VỚI CÁC TIÊU CHUẨN KHÁC
CAF v4.0 được thiết kế để phối hợp linh hoạt với các chuẩn quốc tế như NIS2, DORA, ISO/IEC 27001, giúp các tổ chức giảm trùng lặp và tối ưu quy trình tuân thủ.
| Khu vực CAF | NIS2 | ISO/IEC 27001 | DORA |
| Quản trị & Rủi ro | Trách nhiệm lãnh đạo | A.5.1 – Chính sách an ninh | Điều 5 – Quản trị |
| Hiểu biết mối đe dọa | Cách tiếp cận dựa trên rủi ro | A.6.1 – Đánh giá rủi ro | Điều 8 – Quản lý rủi ro CNTT |
| Đảm bảo phần mềm | Rủi ro chuỗi cung ứng | A.14.2 – Bảo mật phát triển hệ thống | Điều 28 – Rủi ro bên thứ ba |
| Giám sát & Phản ứng | Xử lý sự cố | A.16.1 – Quản lý sự cố | Điều 19 – Báo cáo sự cố |
| Phục hồi & Duy trì | Liên tục kinh doanh | A.17.1 – Duy trì an ninh thông tin | Điều 24 – Kiểm thử khả năng phục hồi |
TỔNG KẾT
CAF v4.0 không chỉ là bản cập nhật kỹ thuật mà còn là sự thay đổi tư duy toàn diện trong cách tiếp cận an ninh mạng:
Từ tuân thủ hình thức → đến minh chứng bằng kết quả.
Với trọng tâm mới vào bằng chứng, chủ động và khả năng chống chịu, CAF v4.0 đang định hình lại tiêu chuẩn an ninh mạng cho toàn bộ hệ sinh thái dịch vụ thiết yếu tại Vương quốc Anh.
Unitas cam kết đồng hành cùng doanh nghiệp, cung cấp các giải pháp và phân tích an ninh mạng tiên tiến nhất. Để nhận được tư vấn chuyên sâu hoặc hỗ trợ nhanh chóng, vui lòng liên hệ với chúng tôi qua email: info@unitas.vn hoặc Hotline: (+84) 939 586 168.
