Startup Có Cần ISO 27001 Không?
Câu hỏi này xuất hiện thường xuyên khi một startup nhận được yêu cầu từ khách hàng doanh nghiệp hoặc chuẩn bị mở rộng sang thị trường quốc tế. ISO 27001 vốn được thiết kế cho mọi quy mô tổ chức, nhưng cách tiếp cận của một startup 15 người khác hoàn toàn so với tập đoàn 5.000 nhân sự. Bài viết này tập trung vào cách startup Việt Nam có thể triển khai ISO 27001 một cách thực tế: scope hợp lý, không cần dedicated compliance person, và không lãng phí nguồn lực vào những thứ chưa cần thiết.
Xác Định Scope: Điểm Khởi Đầu Quan Trọng Nhất
Với startup, sai lầm phổ biến nhất là cố gắng đưa toàn bộ tổ chức vào scope của ISMS (Information Security Management System) ngay từ đầu. Điều này không cần thiết và tạo ra gánh nặng không tương xứng.
Thay vào đó, hãy xác định scope dựa trên:
- Sản phẩm hoặc dịch vụ nào xử lý dữ liệu nhạy cảm nhất: thường là core product hoặc môi trường production
- Ranh giới hệ thống rõ ràng: ví dụ: "hệ thống SaaS chạy trên AWS, bao gồm dữ liệu khách hàng và hạ tầng backend"
- Loại dữ liệu: dữ liệu cá nhân, thông tin tài chính, hoặc IP của khách hàng doanh nghiệp
Một scope nhỏ và rõ ràng giúp audit nhanh hơn, giảm số lượng control cần triển khai, và dễ duy trì hơn khi team còn mỏng. Khi tổ chức lớn lên, scope có thể mở rộng dần, ISO 27001 được thiết kế để hỗ trợ điều đó.
Annex A Và Cách Chọn Control Phù Hợp
ISO 27001:2022 có 93 control trong Annex A, chia thành 4 nhóm: tổ chức, con người, vật lý, và công nghệ. Startup không cần triển khai tất cả, tiêu chuẩn yêu cầu bạn chọn control phù hợp dựa trên risk assessment, không phải áp dụng toàn bộ.
Statement of Applicability (SoA) là tài liệu quan trọng nhất trong quá trình này: liệt kê từng control, giải thích tại sao áp dụng hoặc không áp dụng, và kết nối với risk treatment plan. Với startup, SoA thường có khoảng 60-75 control được đánh dấu là applicable, phần còn lại có thể exclude với lý do hợp lý (ví dụ: không có văn phòng vật lý nên một số physical control không áp dụng).
Những control có mức độ ưu tiên cao cho startup công nghệ thường bao gồm:
- A.8, Technological controls: quản lý quyền truy cập, mã hóa, bảo mật phát triển phần mềm
- A.5, Organizational controls: chính sách bảo mật thông tin, quản lý rủi ro, incident management
- A.6, People controls: onboarding/offboarding, awareness training
- A.7, Physical controls: ở mức tối thiểu nếu team làm việc remote hoặc không có data center riêng
Không Có Dedicated Compliance Person, Thì Làm Thế Nào?
Đây là thực tế của hầu hết startup ở giai đoạn đầu. Công việc compliance thường rơi vào CTO, engineering lead, hoặc một product manager kiêm nhiệm. Cách tiếp cận thực tế:
Phân chia trách nhiệm theo domain, không theo người. CTO sở hữu technical controls, HR sở hữu people controls, CEO ký off policy. Mỗi người không cần hiểu toàn bộ tiêu chuẩn, chỉ cần hiểu phần liên quan đến mình.
Tận dụng công cụ tự động hóa để giảm manual effort. Việc thu thập evidence, screenshot, log, policy acknowledgment, nếu làm thủ công sẽ mất rất nhiều thời gian. Các nền tảng compliance automation cho phép kết nối trực tiếp với AWS, GitHub, Google Workspace để tự động thu thập và tổ chức evidence liên tục, thay vì chạy sprint cấp tập trước mỗi kỳ audit.
Duy trì tài liệu ở mức vừa đủ. ISO 27001 yêu cầu documented information, nhưng không yêu cầu tài liệu phức tạp. Một policy ngắn gọn, rõ ràng, được review định kỳ có giá trị hơn một bộ tài liệu dài 50 trang không ai đọc.
Câu Hỏi Thường Gặp
Startup ở giai đoạn nào thì nên bắt đầu chuẩn bị ISO 27001? Thường là khi bắt đầu có khách hàng doanh nghiệp (B2B), khi pipeline sales yêu cầu security questionnaire, hoặc khi chuẩn bị vào thị trường có yêu cầu compliance cao. Bắt đầu sớm giúp xây dựng nền tảng vững hơn, nhưng không cần rush nếu chưa có business case rõ ràng.
Startup có thể tự triển khai mà không thuê tư vấn không? Có thể, đặc biệt nếu team có background kỹ thuật và sử dụng công cụ hỗ trợ. Giai đoạn cần tư vấn nhất thường là risk assessment lần đầu và chuẩn bị cho audit, những điểm còn lại có thể tự xử lý với guidance phù hợp.
Internal audit có bắt buộc không? Có, ISO 27001 yêu cầu internal audit ít nhất một lần trước khi certification audit. Với startup nhỏ, internal auditor có thể là một người trong team (không phải người chịu trách nhiệm vận hành ISMS) hoặc một bên thứ ba độc lập.
Nếu bạn đang trong quá trình chuẩn bị ISO 27001 và muốn giảm bớt effort thu thập evidence thủ công, pTrackly cung cấp các integration tự động với hạ tầng phổ biến của startup, giúp team kỹ thuật tập trung vào sản phẩm thay vì chạy compliance sprint trước mỗi kỳ audit.
pTrackly giúp bạn triển khai ISO 27001 nhanh hơn với templates và evidence collection tự động.
Đặt Demo Miễn Phí