Nội dung phần này dựa trên tiêu chuẩn ISO, GDPR, Luật Dữ liệu, Luật An ninh mạng và Luật An toàn thông tin mạng Việt Nam để cung cấp thông tin tổng quan về các phương pháp kiểm soát truy cập.
Mặc dù quy định pháp luật về dữ liệu không đưa ra định nghĩa chính thức về kiểm soát truy cập, tuy nhiên, kiểm soát truy cập có thể hiểu là một giải pháp kỹ thuật bảo vệ an ninh mạng, bảo vệ dữ liệu. Biện pháp này đảm bảo quyền truy cập vật lý và logic của người dùng, nhóm người dùng và thiết bị vào hệ thống thông tin và dữ liệu, qua đó bảo đảm chỉ những chủ thể được cấp phép có quyền truy cập.
(Điều 27 Luật Dữ liệu 2024, Điều 16.4 Nghị định 165/2025/NĐ-CP, Điều 11.6 Nghị định 53/2022/NĐ-CP, ISO 27002:2022)
Kiểm soát truy cập không chỉ là một biện pháp phòng ngừa mà còn được nhắc đến tại Luật An toàn thông tin mạng là một trong các đối tượng giám sát an toàn hệ thống thông tin.
(Điều 24.2 Luật An toàn thông tin mạng)
Thứ nhất, giới hạn quyền truy cập dữ liệu: Một nguyên tắc cơ bản của pháp luật về bảo vệ dữ liệu (Điều 5.1.c GDPR, Điều 3.2 PDPL) là yêu cầu về tối thiểu hóa dữ liệu, tức chỉ được thu thập và xử lý dữ liệu cần thiết để đáp ứng đúng phạm vi, mục đích cụ thể. Kiểm soát truy cập đóng vai trò đảm bảo chỉ những người dùng được cấp phép mới có thể truy cập vào các loại dữ liệu cụ thể.
Thứ hai, kiểm toán và trách nhiệm giải trình: Theo Luật Dữ liệu và Luật Bảo vệ dữ liệu cá nhân của Việt Nam hay GDPR và Đạo luật Khả năng Chuyển đổi và Trách nhiệm Giải trình Bảo hiểm Y tế (HIPAA), tổ chức phải chứng minh rằng các biện pháp kỹ thuật phù hợp đã được áp dụng để bảo vệ dữ liệu cá nhân. Kiểm soát truy cập chính là một trong những biện pháp bảo vệ kỹ thuật được quy định tại Điều 16.4.b của Nghị định 165/2025/NĐ-CP. Những bản ghi thể hiện ai đã truy cập, chỉnh sửa hoặc xóa dữ liệu cung cấp bằng chứng quan trọng về việc tuân thủ và hỗ trợ cho các hoạt động kiểm toán hoặc điều tra.
Để hỗ trợ tuân thủ và bảo mật, các tổ chức thường lựa chọn từ nhiều mô hình kiểm soát truy cập khác nhau. Các mô hình phổ biến nhất là:
|
Mô hình |
Nguyên tắc hoạt động |
Ưu điểm |
Hạn chế |
Ứng dụng điển hình |
|
DAC – Kiểm soát Truy cập Tùy quyền |
Chủ sở hữu tài nguyên quyết định ai có thể truy cập |
Linh hoạt, cho phép người dùng tự quản lý quyền đối với dữ liệu của họ |
Dễ dẫn đến lỗ hổng bảo mật nếu người dùng được cấp quyền quá rộng; không phù hợp đối với dữ liệu nhạy cảm |
Môi trường doanh nghiệp nhỏ, ít dữ liệu nhạy cảm |
|
MAC – Kiểm soát Truy cập Bắt buộc |
Quyền truy cập được thiết lập dựa trên các nhãn bảo mật; chỉ cơ quan trung tâm có thẩm quyền thay đổi các quy tắc này, người dùng không thể tự điều chỉnh |
Bảo mật cao, kiểm soát chặt chẽ |
Thiếu linh hoạt, khó quản lý đối với quy mô lớn |
Chính phủ, quân đội, tổ chức an ninh |
|
RBAC – Kiểm soát Truy cập Dựa trên Vai trò |
Quyền truy cập được gán theo vai trò trong tổ chức |
Dễ quản lý, phù hợp cho doanh nghiệp; giảm sai sót trong phân quyền |
Thiếu linh hoạt trong các môi trường thường xuyên thay đổi hoặc có tính biến động cao |
Doanh nghiệp, hệ thống quản trị nội bộ |
|
ABAC – Kiểm soát Truy cập Dựa trên Thuộc tính |
Quyền truy cập dựa trên nhiều thuộc tính (phòng ban, vị trí, cấp độ bảo mật…) |
Rất linh hoạt; cho phép kiểm soát chi tiết đến từng quyền truy cập cụ thể |
Phức tạp, tốn chi phí triển khai và duy trì |
Doanh nghiệp lớn, tổ chức đa quốc gia |
- Nguyên tắc đặc quyền tối thiểu (Principle of Least Privilege – PoLP):
Một người dùng, chương trình, quy trình hoặc công cụ chỉ nên được cấp mức quyền truy cập tối thiểu cần thiết để thực hiện nhiệm vụ của mình.
Mục tiêu: Giảm thiểu rủi ro bị lạm dụng, sai sót hoặc tấn công nếu tài khoản hay hệ thống bị xâm phạm.
Tóm lại: PoLP bảo đảm mỗi người dùng hoặc hệ thống chỉ có đúng mức đặc quyền cần thiết để hoàn thành công việc, không có “quyền dư thừa”.
- Nguyên tắc “cần biết” (Need-to-know principle):
Quyền truy cập chỉ được cấp đối với thông tin mà người dùng cần để thực hiện nhiệm vụ.
Tập trung vào việc giới hạn phạm vi thông tin mà người dùng có thể tiếp cận.
Mục tiêu: Ngăn chặn việc lộ lọt thông tin không cần thiết hoặc thông tin nhạy cảm.
Ví dụ: Một kế toán có thể xem hồ sơ tài chính nhưng không được truy cập dữ liệu nhân sự.
- Nguyên tắc “cần sử dụng” (Need-to-use principle):
Quyền truy cập chỉ được cấp đối với chức năng hoặc tính năng hệ thống cần thiết để người dùng thực hiện công việc của mình.
Tập trung vào việc giới hạn mức độ thao tác/hành động mà người dùng được phép thực hiện.
Mục tiêu: Ngăn ngừa việc lạm dụng chức năng hệ thống và giảm bề mặt tấn công.
Ví dụ: Một kế toán có thể xem hồ sơ tài chính nhưng không được chỉnh sửa hoặc xóa chúng.
- Kết hợp RBAC và ABAC: Mô hình kết hợp này tận dụng cấu trúc phân quyền theo vai trò, đồng thời bổ sung các yếu tố dựa trên thuộc tính, qua đó cho phép kiểm soát chi tiết hơn và tăng tính linh hoạt.
- Sử dụng xác thực đa yếu tố (MFA): yêu cầu người dùng cung cấp từ hai yếu tố xác thực trở lên trước khi được cấp quyền truy cập. Ngay cả khi mật khẩu bị lộ, kẻ tấn công vẫn phải có thêm các yếu tố xác thực khác mới có thể xâm nhập vào hệ thống.
- Áp dụng chính sách Zero Trust: Theo nguyên tắc “không bao giờ mặc định tin tưởng, luôn luôn xác minh”, mọi yêu cầu đăng nhập đều được kiểm tra nghiêm ngặt, bất kể danh tính người dùng hay vị trí truy cập.
Kiểm soát truy cập là một giải pháp thiết yếu của bảo vệ dữ liệu và đóng vai trò quan trọng trong việc đảm bảo tuân thủ các quy định về bảo vệ dữ liệu. Bằng cách quản lý hiệu quả những người có thể truy cập dữ liệu, loại dữ liệu họ có thể truy cập và cách thức cấp quyền truy cập đó, các tổ chức có thể giảm đáng kể nguy cơ vi phạm dữ liệu, truy cập trái phép và hình phạt do không tuân thủ.
Tại Data Protectify, chúng tôi tin rằng kiểm soát truy cập chính là “người gác cổng” của niềm tin. Đồng hành cùng chúng tôi, bạn sẽ có thể triển khai các biện pháp bảo vệ một cách tuân thủ các chuẩn mực pháp lý, đồng thời phù hợp với nhu cầu kinh doanh của mình. Hãy tiếp tục theo dõi, bởi chúng tôi sẽ giới thiệu những giải pháp tiếp theo nhằm củng cố trách nhiệm số và thiết lập những chuẩn mực mới cho thực tiễn kinh doanh đáng tin cậy.