Blog Compliance & Bảo Mật

Hướng dẫn chuyên sâu về ISO 27001, SOC 2, HIPAA, GDPR và PCI-DSS. Thực hành bảo mật tốt nhất, mẹo chuẩn bị kiểm toán và insight về tự động hóa compliance.

Compliance

Bao nhiêu giờ mỗi tuần team bạn đang dành để thu thập evidence?

Không phải viết policy, không phải review control, chỉ là kéo tài liệu từ chỗ này sang chỗ khác. Và con số đó thường cao hơn nhiều so với mức ai cũng nghĩ là bình thường.

Compliance

Bạn đang chuẩn bị cho audit hay đang duy trì compliance?

Hai việc này nghe giống nhau nhưng vận hành theo logic hoàn toàn khác nhau, và auditor được đào tạo để phân biệt.

Compliance

Compliance không nên bắt đầu trước ngày audit 30 ngày

Ở hầu hết công ty, 30 ngày trước audit là khi mọi thứ thực sự bắt đầu. Đó chính là vấn đề.

Compliance

Compliance không phải việc riêng của team GRC

Nhìn vào danh sách control của ISO 27001, SOC 2 hay PCI DSS, không framework nào chỉ đụng đến một phòng ban. Đó là lý do compliance thường thất bại ở khâu phối hợp, không phải ở khâu kiến thức.

Compliance

Điều khiến team GRC mất nhiều thời gian nhất không phải audit

Auditor chỉ ngồi làm việc 2-3 ngày. Phần tốn nhiều tuần là những gì diễn ra trước đó, và phần lớn trong số đó không cải thiện bảo mật dù một chút.

Compliance

Email, Excel và Google Drive có còn đủ để quản lý compliance?

Ở giai đoạn đầu, câu trả lời là có. Nhưng điểm gãy xuất hiện rõ hơn nhiều so với hầu hết team nhận ra, và thường sau khi vấn đề đã tích lũy đủ lâu.

Compliance

Framework tăng gấp đôi, workload cũng tăng gấp đôi?

Khi thêm framework mới mà không thay đổi cách vận hành, workload tăng gần tuyến tính với số framework, không phải vì compliance phức tạp mà vì công việc đang bị lặp lại không cần thiết.

Compliance

GRC Manager đang quản lý compliance hay đang đi nhắc mọi người upload evidence?

Khi phần lớn thời gian của GRC Manager là gửi tin nhắn follow-up trên Slack và email, vấn đề không nằm ở con người mà ở cách hệ thống được thiết kế.

Compliance

Nếu GRC Manager nghỉ việc hôm nay, ai sẽ biết evidence đang ở đâu?

Khi toàn bộ kiến thức về hệ thống compliance chỉ tồn tại trong đầu một người, rủi ro tổ chức đó không chỉ là bất tiện, nó là điểm chết trong mỗi lần thay đổi nhân sự.

Compliance

AI coding tools và HIPAA: Cursor, GitHub Copilot, ChatGPT có vi phạm HIPAA không?

Cursor, GitHub Copilot và ChatGPT có thể trở thành vấn đề HIPAA tùy cách bạn dùng chúng, không phải tùy bản thân công cụ.

Compliance

BAA là gì và khi nào công ty outsource Việt Nam phải ký?

Business Associate Agreement (BAA) là hợp đồng bắt buộc khi xử lý dữ liệu y tế Mỹ. BAA là gì, nội dung gồm những gì, và trường hợp nào công ty IT Việt Nam cần ký.

Compliance

Cardholder Data Environment (CDE) là gì và cách xác định phạm vi PCI DSS

CDE là tập hợp các hệ thống lưu trữ, xử lý hoặc truyền tải dữ liệu chủ thẻ. Phạm vi PCI DSS của bạn rộng hay hẹp phụ thuộc hoàn toàn vào cách bạn định nghĩa và kiểm soát CDE.

Đặt Lịch Demo