ISO 27001 · Hub

Gap Analysis ISO 27001: Cách Thực Hiện

Gap Analysis ISO 27001 Là Gì?

Gap analysis ISO 27001 là bước đánh giá hiện trạng bảo mật thông tin của tổ chức so với các yêu cầu trong tiêu chuẩn ISO/IEC 27001. Mục tiêu không phải là tìm lỗi để phán xét, mà là xác định chính xác những điểm còn thiếu hoặc chưa đáp ứng đủ, từ đó xây dựng lộ trình remediation có thứ tự ưu tiên. Đây là bước nền tảng trước khi tổ chức bắt đầu triển khai ISMS (Information Security Management System) hoặc chuẩn bị cho audit chứng nhận.

Quy Trình Thực Hiện Gap Analysis

Một gap analysis có cấu trúc thường được chia thành ba giai đoạn chính:

1. Thu thập thông tin hiện trạng

Nhóm thực hiện cần thu thập tài liệu chính sách, quy trình, log hệ thống, sơ đồ hạ tầng và kết quả các audit trước đó (nếu có). Phỏng vấn các đầu mối kỹ thuật, bộ phận IT, HR và quản lý cấp trung giúp làm rõ thực tế vận hành, vốn thường khác với những gì được ghi trên giấy tờ.

2. Đối chiếu với yêu cầu ISO 27001

Tiêu chuẩn ISO 27001:2022 bao gồm các điều khoản từ Clause 4 đến Clause 10 (yêu cầu về ISMS) và Annex A với 93 controls phân thành 4 nhóm: Organizational, People, Physical, Technological. Mỗi control được đánh giá theo mức độ: chưa có, đang triển khai một phần, hoặc đã đáp ứng đầy đủ.

3. Ghi nhận gaps và phân loại mức độ ưu tiên

Kết quả được tổng hợp thành gap register, danh sách các điểm không tuân thủ kèm theo đánh giá mức độ rủi ro. Không phải mọi gap đều có mức độ nghiêm trọng như nhau. Một số controls trong Annex A có thể được đánh dấu là "not applicable" trong Statement of Applicability (SoA) nếu tổ chức có lý do chính đáng và tài liệu hóa rõ ràng.

Những Điểm Thường Bị Bỏ Qua

Nhiều tổ chức tập trung vào controls kỹ thuật (firewall, mã hóa, access control) nhưng bỏ qua các yêu cầu về quy trình và con người. Một số gap phổ biến hay gặp:

  • Thiếu risk assessment có hệ thống: ISO 27001 yêu cầu risk assessment được thực hiện định kỳ với phương pháp nhất quán, không chỉ một lần khi bắt đầu.
  • SoA chưa được duy trì: Statement of Applicability cần phản ánh thực tế hiện tại, không chỉ là tài liệu lập một lần rồi để yên.
  • Supplier relationships (A.5.19-A.5.22): Quản lý rủi ro từ nhà cung cấp bên thứ ba thường bị đánh giá thấp, trong khi đây là một trong những điểm auditor hay kiểm tra kỹ.
  • Awareness training chưa có bằng chứng: Việc đào tạo nhân sự cần được ghi nhận, không chỉ thực hiện miệng.

Từ Gap Analysis Đến Kế Hoạch Remediation

Sau khi có gap register, bước tiếp theo là xây dựng remediation plan với ba yếu tố cốt lõi: ai chịu trách nhiệm, mốc thời gian thực tế, và cách xác nhận rằng gap đã được xử lý. Một số gaps có thể được khắc phục nhanh (ví dụ: cập nhật chính sách hoặc tạo template mới), trong khi những gaps liên quan đến thay đổi hệ thống hoặc văn hóa tổ chức cần lộ trình dài hơn.

Ưu tiên remediation thường dựa trên hai trục: mức độ rủi ro của gap đó và mức độ effort để khắc phục. Những gaps vừa có rủi ro cao vừa dễ fix nên được xử lý trước. Những gaps phức tạp, cần đầu tư lớn nên được lập kế hoạch từ sớm nhưng không nhất thiết phải hoàn thành trước ngày audit nếu tổ chức có compensating controls hợp lý.


Câu Hỏi Thường Gặp

Gap analysis có bắt buộc theo ISO 27001 không? Tiêu chuẩn không yêu cầu tường minh bước này, nhưng để đáp ứng Clause 6 (Planning) và Clause 9 (Performance evaluation), tổ chức cần có bằng chứng về việc hiểu rõ hiện trạng so với yêu cầu, gap analysis là cách phổ biến nhất để làm điều đó.

Ai nên thực hiện gap analysis, nội bộ hay thuê ngoài? Cả hai đều có giá trị. Đội ngũ nội bộ hiểu rõ bối cảnh tổ chức hơn, trong khi bên ngoài mang góc nhìn độc lập và kinh nghiệm từ nhiều tổ chức khác. Nhiều doanh nghiệp kết hợp cả hai: tự chuẩn bị tài liệu, sau đó nhờ bên ngoài review kết quả.

Gap analysis cần được cập nhật bao lâu một lần? Khi có thay đổi đáng kể về hạ tầng, quy trình, nhân sự hoặc phạm vi ISMS, gap analysis nên được xem xét lại, không nhất thiết phải làm lại toàn bộ, nhưng cần đánh giá lại những areas bị ảnh hưởng.


Đối với các tổ chức đang trong giai đoạn chuẩn bị chứng nhận hoặc duy trì compliance liên tục, việc theo dõi trạng thái từng control và tiến độ remediation theo thời gian thực là điều không nhỏ. pTrackly hỗ trợ các đội compliance quản lý gap register, mapping controls theo Annex A, và duy trì SoA ở một nơi, giúp quá trình chuẩn bị audit ít phụ thuộc hơn vào spreadsheet thủ công.

pTrackly giúp bạn triển khai ISO 27001 nhanh hơn với templates và evidence collection tự động.

Đặt Demo Miễn Phí

Sẵn sàng cho audit?

Đặt lịch gọi 15 phút. Xem nền tảng. Quyết định sau.

Đặt Demo Miễn Phí 15 phút, không ràng buộc
Không cần thẻ tín dụng Thiết lập trong 24 giờ Hủy bất cứ lúc nào
Đặt Lịch Demo