ISO 27001 · Hub

ISO 27001 Annex A: 93 Controls Cần Biết

Annex A Là Gì Trong ISO 27001?

ISO 27001:2022 không chỉ là bộ khung quản lý, đi kèm với tiêu chuẩn là Annex A, một danh mục 93 controls được thiết kế để giúp tổ chức kiểm soát rủi ro bảo mật thông tin một cách có hệ thống. Điểm khác biệt so với phiên bản 2013 là cấu trúc được rút gọn và phân loại lại từ 14 nhóm xuống còn 4 nhóm lớn, phản ánh thực tế vận hành hiện đại hơn. Annex A không phải danh sách bắt buộc áp dụng toàn bộ, tổ chức chọn controls phù hợp dựa trên kết quả đánh giá rủi ro và ghi lại quyết định đó trong Statement of Applicability (SoA).

4 Nhóm Controls Trong Annex A

Organizational controls (37 controls): nhóm lớn nhất, bao gồm các chính sách bảo mật thông tin, phân loại tài sản, quản lý nhà cung cấp, ứng phó sự cố, và business continuity. Đây là nền tảng quản trị: nếu không có chính sách rõ ràng ở tầng tổ chức, các controls kỹ thuật phía dưới khó vận hành nhất quán.

People controls (8 controls): tập trung vào con người trong vòng đời lao động: từ sàng lọc trước tuyển dụng, cam kết bảo mật, đào tạo nhận thức, cho đến quy trình xử lý khi nhân viên rời khỏi tổ chức. Đây là nhóm thường bị đánh giá thấp nhưng liên quan trực tiếp đến các sự cố insider threat.

Physical controls (14 controls): kiểm soát môi trường vật lý: khu vực an toàn, kiểm soát truy cập vào phòng máy chủ, bảo vệ thiết bị, hủy tài liệu và phương tiện lưu trữ. Với doanh nghiệp vận hành văn phòng lẫn data center, nhóm này cần phối hợp chặt giữa IT và facility management.

Technological controls (34 controls): rộng nhất về mặt kỹ thuật: quản lý định danh và truy cập (IAM), bảo vệ endpoint, mã hóa, log và monitoring, quản lý lỗ hổng, data masking, web filtering, và nhiều hơn nữa. Phiên bản 2022 bổ sung thêm các controls mới như threat intelligence, cloud security, và data leakage prevention, phản ánh sự dịch chuyển sang môi trường hybrid và cloud.

Làm Thế Nào Để Chọn Controls Phù Hợp?

Quy trình chuẩn bắt đầu từ risk assessment: xác định tài sản thông tin, đánh giá mức độ rủi ro, sau đó ánh xạ sang các controls trong Annex A có khả năng xử lý rủi ro đó. Không phải control nào cũng áp dụng cho mọi tổ chức, một startup SaaS 20 người sẽ có SoA rất khác so với một tập đoàn tài chính 5.000 nhân viên.

Mỗi control trong SoA cần được ghi rõ: áp dụng hay không áp dụng, và lý do. Nếu loại trừ một control, tổ chức phải chứng minh được rằng rủi ro liên quan đã được xử lý bằng cách khác hoặc được chấp nhận có chủ đích. Auditor sẽ kiểm tra tính nhất quán giữa kết quả risk assessment và các lựa chọn trong SoA.

Ngoài ra, ISO 27001:2022 giới thiệu 5 thuộc tính phân loại control (control type, information security properties, cybersecurity concepts, operational capabilities, security domains), đây là công cụ hữu ích để lọc và ưu tiên controls theo góc nhìn của tổ chức, dù không bắt buộc sử dụng trong triển khai.

Điểm Cần Chú Ý Khi Triển Khai

Một sai lầm phổ biến là xử lý Annex A như checklist, tích vào ô xong là xong. Thực tế, auditor kiểm tra bằng chứng vận hành: log có đầy đủ không, chính sách có được review định kỳ không, nhân viên có thực sự được đào tạo không. Controls "trên giấy" mà không có evidence sẽ dẫn đến non-conformity trong audit.

Một điểm khác là sự phối hợp liên phòng ban. Nhiều controls trong Annex A không thể do IT xử lý đơn độc, HR cần tham gia people controls, procurement cần tham gia supplier controls, ban lãnh đạo cần phê duyệt chính sách. Thiếu sự phối hợp này thường là nguyên nhân khiến ISMS hoạt động rời rạc.


FAQ

Có bắt buộc áp dụng hết 93 controls không? Không. Tổ chức chọn controls dựa trên kết quả đánh giá rủi ro và ghi nhận trong SoA. Việc loại trừ control nào đó là hoàn toàn hợp lệ nếu có lý do chính đáng được tài liệu hóa.

Annex A có thay thế các framework khác như NIST hay CIS không? Không thay thế, Annex A là một phần của tiêu chuẩn ISO 27001, trong khi NIST hay CIS Controls là các framework bổ sung. Nhiều tổ chức dùng song song để có coverage rộng hơn.

SoA cần cập nhật bao lâu một lần? SoA cần được review mỗi khi có thay đổi đáng kể về rủi ro, môi trường kinh doanh, hoặc ít nhất theo chu kỳ review định kỳ của ISMS, thường là hàng năm.


Nếu bạn đang xây dựng hoặc duy trì ISMS và muốn theo dõi trạng thái từng control trong Annex A một cách có hệ thống, pTrackly cung cấp workspace để ánh xạ controls, lưu evidence, và chuẩn bị SoA, giúp nhóm compliance tập trung vào nội dung thay vì quản lý bảng tính.

pTrackly giúp bạn triển khai ISO 27001 nhanh hơn với templates và evidence collection tự động.

Đặt Demo Miễn Phí

Sẵn sàng cho audit?

Đặt lịch gọi 15 phút. Xem nền tảng. Quyết định sau.

Đặt Demo Miễn Phí 15 phút, không ràng buộc
Không cần thẻ tín dụng Thiết lập trong 24 giờ Hủy bất cứ lúc nào
Đặt Lịch Demo