iso-27001soc-2

Risk Treatment

Risk Treatment Plan

Kế hoạch xử lý rủi ro sau khi đánh giá, bao gồm 4 lựa chọn: mitigate, accept, avoid, transfer.

Risk Treatment (Kế hoạch xử lý rủi ro)

Định nghĩa

Risk Treatment, hay Kế hoạch xử lý rủi ro, là bước tiếp theo sau khi tổ chức đã hoàn thành đánh giá rủi ro (risk assessment). Đây là quá trình lựa chọn và triển khai các biện pháp phù hợp để ứng phó với từng rủi ro đã được xác định. Kế hoạch này không chỉ đơn thuần là danh sách hành động, mà là một tài liệu có cấu trúc, ghi nhận rõ chủ sở hữu rủi ro, timeline thực hiện, và trạng thái xử lý.

Có bốn lựa chọn xử lý rủi ro cơ bản:

  • Mitigate (Giảm thiểu): Áp dụng các biện pháp kiểm soát để làm giảm khả năng xảy ra hoặc mức độ ảnh hưởng của rủi ro.
  • Accept (Chấp nhận): Quyết định không hành động thêm vì chi phí xử lý vượt quá lợi ích, hoặc rủi ro nằm trong ngưỡng chấp nhận được của tổ chức.
  • Avoid (Tránh né): Loại bỏ hoạt động hoặc điều kiện tạo ra rủi ro, chẳng hạn ngừng sử dụng một hệ thống kém an toàn.
  • Transfer (Chuyển giao): Dịch chuyển trách nhiệm tài chính hoặc vận hành sang bên thứ ba, ví dụ thông qua hợp đồng bảo hiểm hoặc outsourcing có điều khoản trách nhiệm rõ ràng.

Tại sao Risk Treatment quan trọng

Nhiều tổ chức dừng lại ở bước đánh giá rủi ro mà không có kế hoạch xử lý cụ thể, đây là lỗ hổng phổ biến khi kiểm toán viên xem xét tài liệu. Risk Treatment Plan chính là bằng chứng cho thấy tổ chức không chỉ nhận biết rủi ro mà còn chủ động hành động. Đây cũng là yêu cầu bắt buộc trong hầu hết các framework bảo mật và quyền riêng tư.


Áp dụng trong các Framework

ISO 27001: Tiêu chuẩn yêu cầu tổ chức xây dựng Risk Treatment Plan theo điều khoản 6.1.3, bao gồm việc lựa chọn các biện pháp kiểm soát từ Annex A và lập Statement of Applicability (SoA). Kế hoạch phải được phê duyệt bởi người có thẩm quyền và cập nhật định kỳ.

SOC 2: Mặc dù SOC 2 không quy định một mẫu cụ thể, nhưng Trust Services Criteria, đặc biệt là CC3 (Risk Assessment) và CC9 (Risk Mitigation), yêu cầu tổ chức chứng minh rằng họ đã xác định, phân tích và xử lý rủi ro một cách có hệ thống. Kiểm toán viên sẽ tìm kiếm tài liệu cho thấy rủi ro được theo dõi đến khi giải quyết xong.


Ví dụ thực tế

Một công ty SaaS phát hiện rủi ro: nhà cung cấp cloud bên thứ ba không có SLA đảm bảo uptime 99.9%. Sau khi đánh giá, họ quyết định:

  • Transfer bằng cách bổ sung điều khoản SLA vào hợp đồng và yêu cầu bảo hiểm trách nhiệm.
  • Mitigate bằng cách thiết lập cơ chế failover sang vùng dự phòng.
  • Accept rủi ro downtime dưới 4 giờ/năm vì nằm trong ngưỡng chịu đựng của hệ thống.

Ba quyết định này được ghi vào Risk Treatment Plan cùng với tên người phụ trách và deadline cụ thể.


Liên quan đến Compliance Automation

Một trong những thách thức lớn nhất của Risk Treatment là duy trì tài liệu luôn cập nhật và có thể tra cứu được trong quá trình kiểm toán. Khi rủi ro thay đổi hoặc biện pháp kiểm soát được triển khai, tài liệu cần phản ánh kịp thời, điều này rất khó thực hiện thủ công, đặc biệt với đội ngũ nhỏ. pTrackly giúp các nhóm compliance theo dõi trạng thái xử lý rủi ro, liên kết rủi ro với các control tương ứng và chuẩn bị bằng chứng sẵn sàng cho kiểm toán mà không cần quản lý bảng tính phức tạp.

Sẵn sàng cho audit?

Đặt lịch gọi 15 phút. Xem nền tảng. Quyết định sau.

Đặt Demo Miễn Phí 15 phút, không ràng buộc
Không cần thẻ tín dụng Thiết lập trong 24 giờ Hủy bất cứ lúc nào
Đặt Lịch Demo