Risk Assessment ISO 27001 Là Gì?
Risk assessment (đánh giá rủi ro) là trung tâm của toàn bộ hệ thống quản lý an toàn thông tin theo ISO 27001. Thay vì áp dụng một danh sách kiểm soát cố định, tiêu chuẩn yêu cầu tổ chức tự xác định rủi ro phù hợp với bối cảnh riêng, sau đó chọn biện pháp xử lý tương ứng. Đây là lý do nhiều tổ chức coi risk assessment vừa là thách thức lớn nhất, vừa là bước tạo ra giá trị thực sự cho ISMS.
Bốn Bước Cốt Lõi Của Quá Trình Risk Assessment
ISO 27001:2022 (Clause 6.1.2) mô tả quy trình risk assessment gồm bốn giai đoạn liên tiếp:
1. Xác định tài sản và ngữ cảnh (Asset & Context Identification) Tổ chức cần lập danh sách các tài sản thông tin trong phạm vi ISMS, bao gồm dữ liệu, hệ thống phần mềm, phần cứng, nhân sự và quy trình. Mỗi tài sản cần được gán chủ sở hữu (asset owner) chịu trách nhiệm đánh giá.
2. Xác định rủi ro (Risk Identification) Với mỗi tài sản, đội ngũ cần xác định các mối đe dọa (threats), ví dụ: tấn công mạng, lỗi con người, sự cố phần cứng, và điểm yếu (vulnerabilities) mà mối đe dọa đó có thể khai thác. Kết hợp hai yếu tố này tạo ra một "risk scenario" cụ thể.
3. Phân tích và đánh giá rủi ro (Risk Analysis & Evaluation) Mỗi risk scenario được chấm điểm theo hai chiều: khả năng xảy ra (likelihood) và mức độ tác động (impact). Tích số hoặc ma trận hai chiều cho ra mức rủi ro (risk level). Tổ chức đối chiếu với risk acceptance criteria đã định sẵn để quyết định rủi ro nào cần xử lý, rủi ro nào có thể chấp nhận.
4. Lập risk register Toàn bộ kết quả được ghi lại trong risk register, tài liệu bắt buộc theo tiêu chuẩn. Risk register không phải báo cáo tĩnh; nó cần được cập nhật định kỳ và mỗi khi có thay đổi đáng kể trong môi trường hoạt động.
Risk Treatment: Chọn Biện Pháp Xử Lý Phù Hợp
Sau khi xác định rủi ro cần xử lý, tổ chức có bốn lựa chọn chính:
- Modify (giảm thiểu): Áp dụng kiểm soát để hạ thấp likelihood hoặc impact.
- Avoid (tránh): Dừng hoạt động tạo ra rủi ro nếu không đáng để duy trì.
- Share (chia sẻ): Chuyển giao một phần rủi ro qua bảo hiểm hoặc hợp đồng với bên thứ ba.
- Retain (chấp nhận): Chủ động quyết định không xử lý vì rủi ro nằm trong ngưỡng chấp nhận.
Với lựa chọn "Modify", tổ chức cần đối chiếu với Annex A của ISO 27001, danh sách 93 kiểm soát tham chiếu gồm bốn nhóm: organizational, people, physical và technological. Không phải mọi kiểm soát trong Annex A đều bắt buộc áp dụng; điểm mấu chốt là lý do chọn hoặc loại trừ mỗi kiểm soát phải được ghi lại rõ ràng.
Statement of Applicability (SoA): Tài Liệu Không Thể Thiếu
Statement of Applicability là tài liệu liệt kê toàn bộ 93 kiểm soát Annex A, kèm theo ba thông tin cho mỗi kiểm soát:
- Áp dụng hay không (applicable / not applicable)
- Lý do quyết định: dựa trên kết quả risk treatment hoặc yêu cầu pháp lý/hợp đồng
- Trạng thái triển khai: đã triển khai, đang triển khai, hoặc được loại trừ có lý do
SoA thường là tài liệu đầu tiên kiểm toán viên yêu cầu trong quá trình chứng nhận. Một SoA thiếu căn cứ hoặc mâu thuẫn với risk register là dấu hiệu cho thấy ISMS chưa được triển khai thực chất.
Câu Hỏi Thường Gặp
Risk assessment cần thực hiện bao lâu một lần? ISO 27001 không quy định chu kỳ cụ thể, nhưng yêu cầu tổ chức thực hiện lại khi có thay đổi đáng kể (hệ thống mới, thay đổi quy trình, sự cố bảo mật) và theo lịch định kỳ do tổ chức tự xác định.
Có phải dùng phương pháp tính điểm số không? Không bắt buộc. ISO 27001 cho phép linh hoạt về phương pháp, có thể dùng ma trận định tính (cao/trung bình/thấp) hoặc thang điểm số, miễn là nhất quán và có thể lặp lại (repeatable).
Ai chịu trách nhiệm thực hiện risk assessment? Risk owner là người chịu trách nhiệm cuối cùng với từng rủi ro, nhưng quá trình đánh giá thường cần sự tham gia của nhiều bên: IT, pháp chế, vận hành và ban lãnh đạo.
Nếu tổ chức của bạn đang ở giai đoạn xây dựng ISMS hoặc chuẩn bị cho audit ISO 27001, pTrackly hỗ trợ số hóa quy trình risk assessment, từ quản lý risk register đến theo dõi trạng thái kiểm soát trong SoA, giúp đội ngũ compliance tập trung vào phân tích thay vì xử lý bảng tính thủ công.
pTrackly giúp bạn triển khai ISO 27001 nhanh hơn với templates và evidence collection tự động.
Đặt Demo Miễn Phí