Gap Analysis là gì trong Compliance?
Gap Analysis (phân tích khoảng cách) là quy trình đánh giá có hệ thống nhằm xác định sự chênh lệch giữa trạng thái bảo mật và tuân thủ hiện tại của tổ chức so với các yêu cầu cụ thể của một framework compliance. Đây là bước khởi đầu bắt buộc trong mọi dự án triển khai ISO 27001, SOC 2, HIPAA hay GDPR, trước khi tổ chức có thể lập kế hoạch hành động, cần biết rõ mình đang đứng ở đâu.
Tại sao Gap Analysis quan trọng?
Nhiều tổ chức bắt đầu dự án compliance bằng cách triển khai ngay các control mà không hiểu rõ mức độ sẵn sàng thực tế. Kết quả là lãng phí nguồn lực vào những điểm đã đáp ứng, trong khi bỏ qua các khoảng trống nghiêm trọng.
Gap Analysis giải quyết vấn đề này bằng cách:
- Xác định rõ những control nào đang thiếu hoàn toàn
- Đánh giá những control nào đang hoạt động một phần nhưng chưa đủ tiêu chuẩn
- Cung cấp cơ sở để ưu tiên hóa roadmap triển khai
- Giúp ước tính phạm vi công việc và ngân sách thực tế
Áp dụng trong từng framework
ISO 27001 yêu cầu tổ chức đánh giá toàn bộ 93 control trong Annex A, đối chiếu với Statement of Applicability (SoA). Gap Analysis ở đây thường bao gồm việc kiểm tra chính sách hiện hành, quy trình vận hành và hồ sơ bằng chứng.
SOC 2 tập trung vào năm Trust Services Criteria (TSC). Gap Analysis cần xem xét liệu các control về tính bảo mật, khả dụng, toàn vẹn xử lý, bảo mật thông tin và quyền riêng tư đã được ghi nhận và vận hành nhất quán chưa.
HIPAA đòi hỏi phân tích khoảng cách theo hai nhóm chính: Administrative Safeguards và Technical Safeguards. Đặc biệt, HIPAA yêu cầu tổ chức thực hiện Risk Analysis chính thức, một dạng Gap Analysis mở rộng có tính đến ngữ cảnh y tế.
GDPR định hướng Gap Analysis theo luồng xử lý dữ liệu cá nhân. Tổ chức cần rà soát records of processing activities (RoPA), cơ sở pháp lý cho từng mục đích xử lý, cơ chế consent, và khả năng thực thi quyền của chủ thể dữ liệu.
Ví dụ thực tế
Một công ty SaaS chuẩn bị lấy chứng chỉ SOC 2 Type II tiến hành Gap Analysis nội bộ. Kết quả cho thấy:
- Chính sách kiểm soát truy cập đã có nhưng chưa được review định kỳ
- Không có quy trình chính thức cho việc onboarding/offboarding nhân sự liên quan đến hệ thống sản xuất
- Log monitoring đang chạy nhưng không có alert rule và không có người review định kỳ
Từ ba phát hiện này, nhóm compliance xây dựng được backlog cụ thể với thứ tự ưu tiên rõ ràng, thay vì triển khai dàn trải.
Gap Analysis và Compliance Automation
Thực hiện Gap Analysis thủ công qua spreadsheet tốn thời gian và dễ bỏ sót. Xu hướng hiện nay là tích hợp Gap Analysis vào nền tảng compliance automation, nơi các control được map tự động với framework yêu cầu, evidence được thu thập liên tục, và trạng thái gap được cập nhật theo thời gian thực thay vì chỉ ở thời điểm audit.
Khi dùng pTrackly để quản lý compliance, Gap Analysis không còn là sự kiện một lần mà trở thành quy trình liên tục, giúp tổ chức luôn nắm rõ khoảng cách còn lại trước khi auditor đến.