So Sánh · Việt Nam

ISO 27001 vs PDPD

Nghị định 13/2023 (PDPD) và ISO 27001 là hai yêu cầu compliance quan trọng nhất mà doanh nghiệp Việt Nam phải đối mặt. Overlap đáng kể giữa hai framework cho phép tối ưu hóa effort khi triển khai song song.

Viết bởi đội ngũ Compliance pTrackly · Cập nhật tháng 7/2026 · ISO 27001:2022 & Nghị định 13/2023
💡
Insight quan trọng: ISO 27001 là framework bảo mật thông tin, PDPD là luật bảo vệ dữ liệu cá nhân. Đây là hai chiều khác nhau — ISO 27001 không thay thế PDPD và ngược lại. Nhưng triển khai ISO 27001 xây dựng khoảng 60–70% nền tảng kỹ thuật cần thiết cho PDPD (dựa trên phân tích cross-mapping Annex A ISO 27001:2022 với các nghĩa vụ Nghị định 13/2023).

So sánh bản chất

Tiêu chí ISO 27001 PDPD (Nghị định 13/2023)
Bản chất Tiêu chuẩn quốc tế tự nguyện (có thể thi chứng nhận) Luật bắt buộc của Việt Nam
Mục tiêu Bảo vệ tính bảo mật, toàn vẹn, sẵn sàng của thông tin Bảo vệ quyền riêng tư và dữ liệu cá nhân của người dân
Phạm vi Mọi loại thông tin (không chỉ dữ liệu cá nhân) Chỉ dữ liệu cá nhân của người dân Việt Nam
Cơ quan quản lý Tổ chức chứng nhận độc lập (CB) Cục A05, Bộ Công An Việt Nam
Consent & Data Rights Không yêu cầu trực tiếp (nhưng Privacy policy thuộc Annex A) Bắt buộc: consent, DSR workflow, DPIA
Đăng ký dữ liệu nhạy cảm Không có yêu cầu Bắt buộc đăng ký với Bộ Công An
Output Chứng chỉ ISO 27001 (giá trị thương mại) Compliance hợp pháp (tránh rủi ro pháp lý)

Controls overlap: ISO 27001 Annex A → PDPD

Khi triển khai ISO 27001, nhiều controls Annex A đồng thời đáp ứng nghĩa vụ kỹ thuật và tổ chức của PDPD:

ISO 27001 Annex A Control Đáp ứng nghĩa vụ PDPD
A.5.34, Privacy & PII protection Nghĩa vụ bảo vệ dữ liệu cá nhân tổng thể
A.5.13, Labeling of information Phân loại dữ liệu cơ bản vs nhạy cảm
A.8.11, Data masking Bảo vệ kỹ thuật dữ liệu cá nhân nhạy cảm
A.5.36, Compliance with policies Tuân thủ chính sách bảo vệ dữ liệu
A.6.3, Information security awareness & training Training nhân sự về PDPD
A.5.33, Protection of records Lưu trữ evidence và DPIA records
A.5.19/5.20, Supplier relationships Data Processing Agreement với vendor
A.5.24-5.28, Incident management Phát hiện và thông báo vi phạm dữ liệu (72h)
A.8.3, Information access restriction Kiểm soát quyền truy cập dữ liệu cá nhân

Những gì ISO 27001 KHÔNG cover (cần làm thêm cho PDPD):

  • Consent mechanism và cơ chế rút lại consent
  • Data Subject Request (DSR) workflow
  • DPIA documentation cho dữ liệu nhạy cảm
  • Đăng ký với Bộ Công An (dữ liệu nhạy cảm)
  • Data transfer agreement xuyên biên giới theo PDPD

Chiến lược: ISO 27001 + PDPD song song

Nếu doanh nghiệp của bạn đang triển khai ISO 27001 để phục vụ thị trường quốc tế, đây là thời điểm tốt nhất để đồng thời xây dựng PDPD compliance. Chi phí tăng thêm thấp hơn nhiều so với làm riêng từng cái.

1
Làm song song từ đầu

Khi scope ISO 27001, đồng thời map dữ liệu cá nhân theo PDPD. Gap analysis một lần, hai kết quả.

2
Reuse ISO 27001 policies

Information Security Policy, Incident Response Policy, Supplier Management Policy → điều chỉnh để cover PDPD obligations, không viết lại.

3
Thêm PDPD-specific layer

Xây dựng thêm: consent flow, DSR workflow, DPIA template, và đăng ký Bộ Công An nếu có dữ liệu nhạy cảm.

4
ISO 27001 audit → kéo theo PDPD readiness

Khi external auditor đánh giá ISO 27001, evidence collection process của bạn đồng thời tạo ra documentation cho PDPD.

Câu hỏi thường gặp

ISO 27001 có đủ để tuân thủ PDPD không?

Không. ISO 27001 xây dựng khoảng 60–70% nền tảng kỹ thuật cần thiết cho PDPD, nhưng không thay thế được PDPD. Bạn cần bổ sung thêm: cơ chế consent, DSR workflow, DPIA documentation, đăng ký với Bộ Công An nếu xử lý dữ liệu nhạy cảm, và thỏa thuận chuyển dữ liệu xuyên biên giới.

ISO 27001 không cover gì khi tuân thủ PDPD?

5 phần ISO 27001 không cover: (1) Consent mechanism và cơ chế rút lại consent; (2) Data Subject Request (DSR) workflow; (3) DPIA documentation cho dữ liệu nhạy cảm; (4) Đăng ký với Cục A05, Bộ Công An; (5) Data transfer agreement xuyên biên giới theo PDPD. Đây là phần cần làm thêm dù đã có ISO 27001.

Mất bao lâu để triển khai ISO 27001 và PDPD song song?

Triển khai song song thường mất 6–12 tháng tùy quy mô tổ chức, so với 12–18 tháng nếu làm từng cái riêng. Tiết kiệm đến từ việc dùng chung gap analysis, policies, và evidence collection. Một compliance platform như pTrackly có thể rút ngắn thời gian đáng kể nhờ unified control mapping.

Sẵn sàng cho audit?

Đặt lịch gọi 15 phút. Xem nền tảng. Quyết định sau.

Đặt Demo Miễn Phí 15 phút, không ràng buộc
Không cần thẻ tín dụng Thiết lập trong 24 giờ Hủy bất cứ lúc nào
Đặt Lịch Demo