Evvo Labs | Ngày 19 tháng 5 năm 2026
Vào ngày 2 tháng 3 năm 2026, Cơ Quan An Ninh Mạng Singapore (CSA) chính thức biến một chương trình chứng nhận từng mang tính tự nguyện — Cyber Trust Mark (CTM) — thành yêu cầu bắt buộc theo luật đối với các doanh nghiệp trong nhiều lĩnh vực kinh tế quan trọng.
Cyber Trust Mark được ra mắt vào tháng 3 năm 2022, nâng cấp toàn diện vào năm 2025 để bao gồm an ninh AI, an ninh đám mây và công nghệ vận hành (OT). Đạo luật tháng 3 năm 2026 chính thức đưa ba nhóm thực thể vào diện chứng nhận bắt buộc: chủ sở hữu hạ tầng thông tin quan trọng (CII), đơn vị kiểm toán CII, và các nhà cung cấp dịch vụ an ninh mạng được cấp phép.
Nếu doanh nghiệp của bạn hoạt động hoặc cung cấp dịch vụ cho các lĩnh vực hạ tầng trọng yếu của Singapore — tài chính, y tế, năng lượng, giao thông, cấp nước, chính phủ, truyền thông và hàng không — các thời hạn tuân thủ không phải là đề xuất. Chúng là quy định pháp lý.
Điều Gì Đã Thay Đổi vào Ngày 2 Tháng 3 Năm 2026
CSA chính thức thông qua các nghĩa vụ bắt buộc đối với ba nhóm thực thể:
1. Chủ sở hữu CII — các tổ chức sở hữu hoặc vận hành hệ thống được phân loại là Hạ tầng Thông tin Quan trọng theo Đạo luật An Ninh Mạng Singapore. Các tổ chức này phải chứng nhận các hệ thống phi CII hỗ trợ hoạt động CII cốt lõi đạt CTM Cấp 5.
2. Đơn vị kiểm toán CII — các công ty thực hiện kiểm toán an ninh mạng cho hệ thống CII. Nếu bạn thực hiện kiểm toán CII, bạn cần đạt CTM Cấp 5 trước ngày 31 tháng 12 năm 2026.
3. Nhà cung cấp dịch vụ an ninh mạng được cấp phép (CSP) — cụ thể là các đơn vị cung cấp dịch vụ kiểm thử xâm nhập (pentest) và Trung tâm Điều hành An ninh (SOC) được quản lý. CSA cũng đang tham vấn về yêu cầu CSP tối thiểu đạt CTM Cấp 3.
Phiên bản CTM 2025 nâng cấp (được xuất bản thành Tiêu chuẩn Singapore SS 712:2025) bổ sung ba trụ cột mới:
– An ninh đám mây — bao gồm cấu hình đa đám mây, chủ quyền dữ liệu và rủi ro từ nhà cung cấp bên thứ ba
– An ninh OT — dành cho môi trường công nghệ vận hành trong các cơ sở công nghiệp và hạ tầng trọng yếu
– An ninh AI — giải quyết các cuộc tấn công prompt injection, giả mạo mô hình và rủi ro chuỗi cung ứng AI
Điều này khiến CTM 2025 trở thành một trong những khung chứng nhận quốc gia đầu tiên trên thế giới mã hóa rõ ràng các kiểm soát an ninh AI ở cấp độ tiêu chuẩn.
Các Mốc Thời Gian Tuân Thủ
| Loại thực thể | Thời hạn | Cấp chứng nhận |
|---|---|---|
| Đơn vị kiểm toán CII | 31 tháng 12 năm 2026 | CTM Cấp 5 |
| CSP được cấp phép (pentest, SOC được quản lý) | 31 tháng 12 năm 2026 | CTM Cấp 5 |
| Chủ sở hữu CII — hệ thống CII | Đã bắt buộc theo Đạo luật An Ninh Mạng | CTM Cấp 5 |
| Chủ sở hữu CII — hệ thống phi CII hỗ trợ | 31 tháng 12 năm 2027 | CTM Cấp 5 |
Router gia đình bán tại Singapore cũng cần đáp ứng Cấp 2 của Chương trình Gắn nhãn An ninh Mạng (CLS) vào năm 2027 — nâng cấp từ Cấp 1 hiện tại (mật khẩu mặc định duy nhất, cập nhật phần mềm).
Ba Tác Động Chiến Lược Cho Doanh Nghiệp
1. Chuỗi Cung Ứng Đã Nằm Trong Phạm Vi Quản Lý
Yêu cầu các nhà cung cấp của chính phủ quản lý hệ thống quan trọng và dữ liệu nhạy cảm của chính phủ đáp ứng yêu cầu CTM — được Bộ trưởng Tan Kiat How công bố tại phiên thảo luận Ủy ban MDDI vào tháng 3 năm 2026 — có nghĩa là tuân thủ không chỉ là vấn đề của riêng bạn. Nếu bạn cung cấp cho chính phủ hoặc các nhà khai thác CII, khách hàng sẽ yêu cầu chứng nhận CTM như điều kiện tiên quyết để hợp tác.
2. An Ninh AI Không Còn là Tùy Chọn
Bản nâng cấp CTM 2025 không phải là hành động mang tính hình thức. Với các cuộc tấn công prompt injection vào mô hình ngôn ngữ lớn ngày càng gia tăng — và báo cáo Singapore Cyber Landscape 2024 ghi nhận các bề mặt tấn công được hỗ trợ bởi AI là mối đe dọa ngày càng lớn — quyết định của CSA đưa an ninh AI vào trụ cột cốt lõi cho thấy rõ: cơ quan quản lý kỳ vọng doanh nghiệp triển khai AI phải có các biện pháp kiểm soát an ninh tương xứng với rủi ro.
3. Cấp 3 Có Thể Trở Thành Tiêu Chuẩn Cơ Bản Thực Tế Cho Tất Cả CSP
Mặc dù hiện tại chỉ các nhà cung cấp pentest và SOC được quản lý phải đáp ứng thời hạn Cấp 5 vào tháng 12 năm 2026, cuộc tham vấn của CSA về yêu cầu Cấp 3 tối thiểu cho tất cả CSP được cấp phép cho thấy chứng nhận CTM đang trên con đường trở thành tiêu chuẩn năng lực chuyên môn cho toàn bộ ngành an ninh mạng tại Singapore.
Các Hỗ Trợ Tài Chính Hiện Có
Singapore không để doanh nghiệp tự chịu chi phí tuân thủ. Các cơ chế hỗ trợ chính:
- Hỗ trợ tài chính: Doanh nghiệp vừa và nhỏ (SME) và tổ chức phi lợi nhuận đăng ký tại Singapore có thể nhận tới 2.250 SGD (an ninh mạng truyền thống) và 450 SGD (bổ sung an ninh đám mây/OT/AI) được khấu trừ trực tiếp vào phí chứng nhận
- CISO-as-a-Service: Chương trình đã được làm mới giúp SME tiếp cận chuyên gia an ninh mạng cấp cao mà không cần tuyển dụng toàn thời gian
- Trung tâm Khả năng Phục Hồi Mạng: Được thành lập bởi Liên đoàn Doanh nghiệp Singapore (SBF) với các thành viên sáng lập bao gồm SCCCI và SGTech, bắt đầu hoạt động năm 2026
Doanh Nghiệp Nên Làm Gì Ngay Bây Giờ
Nếu bạn là chủ sở hữu hoặc nhà khai thác CII:
– Đánh giá ngay tình trạng chứng nhận hiện tại đối với 22 lĩnh vực CTM Cấp 5
– Liên hệ ngay với cơ quan chứng nhận được chỉ định — thời gian chuẩn bị kiểm toán có thể từ 3–6 tháng
Nếu bạn là đơn vị kiểm toán CII hoặc CSP được cấp phép:
– Tháng 12 năm 2026 chỉ còn 7 tháng nữa. Ưu tiên đánh giá khoảng cách ngay lập tức
Nếu bạn cung cấp cho các nhà khai thác CII hoặc chính phủ:
– Dự kiến yêu cầu CTM sẽ lan rộng trong chuỗi cung ứng trong 12–18 tháng tới
– Chứng nhận chủ động sẽ tạo sự khác biệt trong các đấu thầu
Nguồn
- Cyber Security Agency of Singapore. (2025). Certification for the Cyber Trust Mark. CSA. Truy xuất từ https://www.csa.gov.sg/our-programmes/support-for-enterprises/sg-cyber-safe-programme/cybersecurity-certification-for-organisations/cyber-trust/certification-for-the-cyber-trust-mark
- Digital Policy Alert. (2026). Cyber Trust Mark requirements in critical information infrastructure and cybersecurity industries. Truy xuất từ https://digitalpolicyalert.org/change/18573-cyber-trust-mark-requirements-in-critical-information-infrastructure-and-cybersecurity-industries
- Baker McKenzie. (2026). Singapore: Cybersecurity Regulatory Developments Ahead. Truy xuất từ https://www.bakermckenzie.com/en/insight/publications/2026/04/singapore-cybersecurity-regulatory-developments-ahead
- Ministry of Digital Development and Information. (2026). Opening Remarks by SMS Tan Kiat How for SG Cyber Safe for Enterprises. MDDI. Truy xuất từ https://www.mddi.gov.sg/newsroom/opening-remarks-by-sms-tan-kiat-how-for-sg-cyber-safe-for-enterprises/
Evvo Labs là đơn vị tư vấn an ninh mạng được chứng nhận CREST, chuyên về VAPT, an ninh AI và tuân thủ quy định cho doanh nghiệp tại Singapore và Đông Nam Á. Liên hệ: security@evvolabs.vn