ISO 27001 vs PDPD
Nghị định 13/2023 (PDPD) và ISO 27001 là hai yêu cầu compliance quan trọng nhất mà doanh nghiệp Việt Nam phải đối mặt. Overlap đáng kể giữa hai framework cho phép tối ưu hóa effort khi triển khai song song.
So sánh bản chất
| Tiêu chí | ISO 27001 | PDPD (Nghị định 13/2023) |
|---|---|---|
| Bản chất | Tiêu chuẩn quốc tế tự nguyện (có thể thi chứng nhận) | Luật bắt buộc của Việt Nam |
| Mục tiêu | Bảo vệ tính bảo mật, toàn vẹn, sẵn sàng của thông tin | Bảo vệ quyền riêng tư và dữ liệu cá nhân của người dân |
| Phạm vi | Mọi loại thông tin (không chỉ dữ liệu cá nhân) | Chỉ dữ liệu cá nhân của người dân Việt Nam |
| Cơ quan quản lý | Tổ chức chứng nhận độc lập (CB) | Cục A05, Bộ Công An Việt Nam |
| Consent & Data Rights | Không yêu cầu trực tiếp (nhưng Privacy policy thuộc Annex A) | Bắt buộc: consent, DSR workflow, DPIA |
| Đăng ký dữ liệu nhạy cảm | Không có yêu cầu | Bắt buộc đăng ký với Bộ Công An |
| Output | Chứng chỉ ISO 27001 (giá trị thương mại) | Compliance hợp pháp (tránh rủi ro pháp lý) |
Controls overlap: ISO 27001 Annex A → PDPD
Khi triển khai ISO 27001, nhiều controls Annex A đồng thời đáp ứng nghĩa vụ kỹ thuật và tổ chức của PDPD:
Những gì ISO 27001 KHÔNG cover (cần làm thêm cho PDPD):
- Consent mechanism và cơ chế rút lại consent
- Data Subject Request (DSR) workflow
- DPIA documentation cho dữ liệu nhạy cảm
- Đăng ký với Bộ Công An (dữ liệu nhạy cảm)
- Data transfer agreement xuyên biên giới theo PDPD
Chiến lược: ISO 27001 + PDPD song song
Nếu doanh nghiệp của bạn đang triển khai ISO 27001 để phục vụ thị trường quốc tế, đây là thời điểm tốt nhất để đồng thời xây dựng PDPD compliance. Chi phí tăng thêm thấp hơn nhiều so với làm riêng từng cái.
Khi scope ISO 27001, đồng thời map dữ liệu cá nhân theo PDPD. Gap analysis một lần, hai kết quả.
Information Security Policy, Incident Response Policy, Supplier Management Policy → điều chỉnh để cover PDPD obligations, không viết lại.
Xây dựng thêm: consent flow, DSR workflow, DPIA template, và đăng ký Bộ Công An nếu có dữ liệu nhạy cảm.
Khi external auditor đánh giá ISO 27001, evidence collection process của bạn đồng thời tạo ra documentation cho PDPD.
Câu hỏi thường gặp
ISO 27001 có đủ để tuân thủ PDPD không?
Không. ISO 27001 xây dựng khoảng 60–70% nền tảng kỹ thuật cần thiết cho PDPD, nhưng không thay thế được PDPD. Bạn cần bổ sung thêm: cơ chế consent, DSR workflow, DPIA documentation, đăng ký với Bộ Công An nếu xử lý dữ liệu nhạy cảm, và thỏa thuận chuyển dữ liệu xuyên biên giới.
ISO 27001 không cover gì khi tuân thủ PDPD?
5 phần ISO 27001 không cover: (1) Consent mechanism và cơ chế rút lại consent; (2) Data Subject Request (DSR) workflow; (3) DPIA documentation cho dữ liệu nhạy cảm; (4) Đăng ký với Cục A05, Bộ Công An; (5) Data transfer agreement xuyên biên giới theo PDPD. Đây là phần cần làm thêm dù đã có ISO 27001.
Mất bao lâu để triển khai ISO 27001 và PDPD song song?
Triển khai song song thường mất 6–12 tháng tùy quy mô tổ chức, so với 12–18 tháng nếu làm từng cái riêng. Tiết kiệm đến từ việc dùng chung gap analysis, policies, và evidence collection. Một compliance platform như pTrackly có thể rút ngắn thời gian đáng kể nhờ unified control mapping.
Sẵn sàng cho audit?
Đặt lịch gọi 15 phút. Xem nền tảng. Quyết định sau.
Đặt Demo Miễn Phí 15 phút, không ràng buộc