iso-27001soc-2hipaapci-dss

Access Control

Identity and Access Management

Controls quản lý quyền truy cập, least privilege, MFA, access review định kỳ, offboarding, xuất hiện trong mọi framework compliance.

Access Control là gì?

Access Control (Kiểm soát truy cập) là tập hợp các cơ chế và chính sách xác định ai được phép truy cập vào hệ thống, dữ liệu, hoặc tài nguyên nào, và trong phạm vi nào. Trong bối cảnh Identity and Access Management (IAM), Access Control không chỉ đơn giản là đặt mật khẩu, mà bao gồm toàn bộ vòng đời quản lý quyền: từ khi cấp quyền lúc onboarding, đến việc xem xét định kỳ, cho đến khi thu hồi quyền khi nhân viên rời tổ chức.

Các thành phần cốt lõi thường gặp trong mọi chương trình Access Control bao gồm:

  • Least privilege: Mỗi người dùng chỉ được cấp đúng quyền cần thiết để hoàn thành công việc, không hơn.
  • Multi-Factor Authentication (MFA): Xác thực đa yếu tố giảm thiểu rủi ro khi thông tin đăng nhập bị lộ.
  • Access review định kỳ: Rà soát lại danh sách quyền truy cập để phát hiện quyền thừa hoặc không còn phù hợp.
  • Offboarding có kiểm soát: Thu hồi toàn bộ quyền truy cập ngay khi nhân sự thay đổi vai trò hoặc rời tổ chức.

Tại sao Access Control quan trọng trong compliance?

Access Control xuất hiện như một yêu cầu bắt buộc trong hầu hết các framework compliance phổ biến vì phần lớn các sự cố bảo mật đều liên quan đến quyền truy cập bị lạm dụng, cấp sai, hoặc không được thu hồi kịp thời. Một tài khoản cũ không bị vô hiệu hóa, hay một nhân viên có quyền admin không cần thiết, đều có thể trở thành điểm yếu nghiêm trọng.


Access Control trong các framework compliance

ISO 27001 yêu cầu tổ chức thiết lập chính sách kiểm soát truy cập rõ ràng (control A.9), bao gồm quản lý quyền người dùng, xem xét định kỳ, và phân quyền theo nguyên tắc least privilege.

SOC 2: đặc biệt với Trust Service Criteria về Security, đòi hỏi tổ chức chứng minh rằng quyền truy cập vào hệ thống được kiểm soát, theo dõi, và xem xét thường xuyên. Auditor thường yêu cầu bằng chứng về access review và quy trình offboarding.

HIPAA yêu cầu các tổ chức xử lý Protected Health Information (PHI) triển khai kiểm soát truy cập kỹ thuật, bao gồm unique user IDs, cơ chế xác thực, và khả năng kiểm tra nhật ký truy cập.

PCI DSS quy định rõ rằng quyền truy cập vào dữ liệu thẻ thanh toán phải bị giới hạn theo nguyên tắc "need to know", và mọi tài khoản phải được xem xét ít nhất mỗi sáu tháng một lần.


Ví dụ thực tế

Một công ty SaaS trong quá trình chuẩn bị audit SOC 2 phát hiện rằng 12 tài khoản của nhân viên đã nghỉ việc vẫn còn quyền truy cập vào môi trường production. Không có sự cố nào xảy ra, nhưng đây là một finding nghiêm trọng trong báo cáo audit, đòi hỏi phải có kế hoạch khắc phục và bằng chứng về quy trình offboarding mới.

Tình huống này rất phổ biến, và thường bắt nguồn từ việc thiếu quy trình có cấu trúc, chứ không phải do cố ý bỏ qua.


Access Control và compliance automation

Thách thức lớn nhất với Access Control không phải là hiểu chính sách, mà là duy trì bằng chứng liên tục: ai đã có quyền gì, khi nào được cấp, khi nào được review, khi nào bị thu hồi. Thu thập và tổ chức bằng chứng này theo cách thủ công tốn nhiều thời gian và dễ bị thiếu sót trước mỗi kỳ audit.

pTrackly giúp các team compliance theo dõi trạng thái kiểm soát truy cập theo thời gian thực, liên kết bằng chứng với từng control cụ thể trong framework, và giảm đáng kể công việc chuẩn bị trước mỗi kỳ audit.

Sẵn sàng cho audit?

Đặt lịch gọi 15 phút. Xem nền tảng. Quyết định sau.

Đặt Demo Miễn Phí 15 phút, không ràng buộc
Không cần thẻ tín dụng Thiết lập trong 24 giờ Hủy bất cứ lúc nào
Đặt Lịch Demo