Mọi Framework Đều Có Chung Một Vấn Đề
Không quan trọng bạn vừa đạt ISO 27001, SOC 2 Type II, HIPAA, PCI-DSS, hay GDPR compliance, câu chuyện sau đó đều giống nhau:
Team ăn mừng. Consultant gửi invoice cuối cùng. Chứng nhận được treo lên website.
Rồi 6-12 tháng sau, khi audit kế tiếp đến gần, mọi người mới nhận ra: không ai duy trì được những gì đã xây dựng trong quá trình đạt chứng nhận.
Đây không phải lỗi của team. Đây là hệ quả tự nhiên khi compliance được triển khai như một dự án có điểm kết thúc thay vì một quy trình vận hành liên tục.
Tại Sao Giai Đoạn Đạt Chứng Nhận Không Chuẩn Bị Bạn Cho Giai Đoạn Duy Trì
Consultant giải quyết vấn đề ngắn hạn
Consultant, dù là cho ISO 27001, SOC 2, hay HIPAA, được thuê để giúp bạn pass audit. Phạm vi công việc kết thúc ở ngày audit thành công.
Họ tạo policies, giúp implement controls, chuẩn bị evidence package. Nhưng không ai xây cho bạn một hệ thống để tiếp tục vận hành tất cả những thứ đó trong 365 ngày tiếp theo.
Mọi framework đều yêu cầu evidence liên tục, không chỉ snapshot
- ISO 27001: Surveillance audit hàng năm yêu cầu bằng chứng tuân thủ nhất quán trong 12 tháng
- SOC 2 Type II: Auditor đánh giá effectiveness của controls trong toàn bộ observation period (thường 6-12 tháng)
- HIPAA: OCR investigation có thể yêu cầu bằng chứng compliance từ bất kỳ thời điểm nào
- PCI-DSS: QSA muốn thấy bằng chứng liên tục, không chỉ tuần trước audit
- GDPR: DPA có thể audit bất kỳ lúc nào và yêu cầu bằng chứng Article 5(2) accountability
Tất cả đều hỏi: "Bạn đã tuân thủ liên tục, không chỉ vào ngày hôm nay."
Compliance thường là công việc kiêm nhiệm
Ở hầu hết doanh nghiệp Việt Nam, kể cả những công ty đã đạt nhiều chứng nhận, không có compliance team chuyên trách. Đó thường là CTO, engineering manager, hoặc IT lead kiêm nhiệm bên cạnh 40+ giờ công việc chính mỗi tuần.
Khi không có hệ thống hỗ trợ, compliance operations luôn bị đẩy xuống cuối danh sách ưu tiên.
5 Pain Points Mọi Team Compliance Đều Gặp Sau Chứng Nhận
1. Bằng chứng nằm rải rác khắp nơi
Bất kể framework nào, evidence đều phân tán:
- Cloud logs trong S3/GCS bucket không ai kiểm tra định kỳ
- Access review records trong email inbox của managers
- Vulnerability scans trong folder riêng của security engineer
- Training records trong HR system
- Vendor assessments trong Google Drive của legal
- Incident response records trong Slack threads đã bị archive
Khi auditor hỏi "cho tôi xem evidence từ tháng 2 đến tháng 8", bạn phải lục tìm trong tất cả những nơi đó. Mỗi lần audit lại mất 2-4 tuần chỉ để tìm evidence, chưa kể review.
2. Deadlines bị bỏ lỡ mà không ai biết
Mọi framework đều có recurring obligations:
- Policy reviews (hàng năm hoặc 6 tháng)
- Risk assessments (ISO 27001 yêu cầu định kỳ)
- Penetration testing (PCI-DSS yêu cầu hàng năm)
- Business continuity testing (ISO 27001 A.5.30)
- Data protection impact assessments (GDPR Article 35)
- BAA reviews (HIPAA)
Không có hệ thống nhắc nhở → deadlines trôi qua im lặng → audit phát hiện → finding.
Một policy review muộn 3 tháng có thể không phải risk lớn, nhưng tích lũy nhiều findings sẽ đe dọa việc duy trì chứng nhận.
3. Không có visibility tổng thể
"Hiện tại mình đang comply ở mức nào?", câu hỏi đơn giản này thường không có ai trả lời được mà không mất vài ngày kiểm tra.
- Security biết về technical controls
- HR biết về training
- Legal biết về contracts
- Engineering biết về system configurations
- Nhưng không ai có bức tranh toàn cảnh
Gaps chỉ bị phát hiện khi auditor hỏi, lúc đó đã quá muộn để sửa.
4. Nhiều framework = nhân đôi công việc
Nếu bạn có cả ISO 27001 + SOC 2, hoặc HIPAA + SOC 2, hoặc ISO 27001 + PCI-DSS, sẽ có sự chồng lấp lớn giữa các bộ controls. Nhưng không map được chúng:
- Evidence collection bị làm nhiều lần cho cùng một control
- Cùng một hệ thống được audit bởi nhiều bộ requirements riêng biệt
- Team tốn gấp đôi, gấp ba thời gian chuẩn bị
Ví dụ: access review evidence có thể satisfy ISO 27001 A.5.18, SOC 2 CC6.1, PCI-DSS Req 7.2, và HIPAA § 164.312(a)(1) cùng lúc, nhưng nếu không có control mapping, team thu thập riêng cho từng framework.
5. Người xây dựng hệ thống compliance nghỉ việc
Consultant rời đi sau dự án. Internal champion có thể chuyển team hoặc nghỉ việc. Kiến thức về "evidence nào ở đâu, policy nào do ai own, process nào cần chạy khi nào" thường nằm trong đầu một vài người.
Khi những người đó không còn, team kế nhiệm phải rebuild understanding từ đầu, thường là dưới áp lực surveillance audit đang đến gần.
Dấu Hiệu Cho Thấy Bạn Cần Thay Đổi Cách Vận Hành
Nếu bạn nhận ra bất kỳ điều nào sau đây, bất kể framework nào, đã đến lúc nhìn lại tooling:
- Mỗi kỳ audit cảm thấy như một cuộc khủng hoảng thay vì routine check
- Team dành 2-4 tuần chuẩn bị trước audit
- Không ai có thể trả lời nhanh "mình đang compliant ở mức nào" mà không mất vài ngày
- Policy review deadlines trôi qua mà không có nhắc nhở
- Evidence nằm ở 5+ hệ thống khác nhau và không có index
- Bạn đang thêm framework mới (SOC 2, HIPAA, ISO 42001...) và lo lắng về workload
- Người biết rõ hệ thống compliance đã rời team
Từ "Dự Án Compliance" Sang "Vận Hành Compliance"
Điểm chuyển đổi quan trọng nhất: compliance không phải là dự án có ngày bắt đầu và ngày kết thúc. Đó là một operational function: giống như monitoring, incident response, hay payroll.
Điều này đòi hỏi:
Evidence thu thập tự động, không phải theo yêu cầu. Kết nối cloud infrastructure, identity provider, code repos, project management tools một lần. Evidence flows vào liên tục, không cần chụp màn hình thủ công trước audit.
Nhắc nhở và workflow cho recurring tasks. Mỗi policy, mỗi assessment, mỗi review cycle cần owner rõ ràng, deadline rõ ràng, và nhắc nhở tự động.
Single source of truth. Tất cả evidence, policies, controls ở một nơi, tổ chức theo control và framework. Bất kỳ ai trong team đều có thể tìm thấy những gì cần thiết.
Control mapping xuyên framework. Implement một control, satisfy nhiều frameworks. Thu thập evidence một lần, dùng cho ISO 27001, SOC 2, PCI-DSS, HIPAA đồng thời.
Audit readiness thay vì audit preparation. Mục tiêu: khi auditor đến, bạn share access và evidence đã có sẵn, không cần "chuẩn bị" gì thêm.
So Sánh: Compliance Như Dự Án vs. Compliance Như Operations
| Compliance như dự án | Compliance như operations | |
|---|---|---|
| Evidence | Thu thập trước audit | Thu thập mỗi ngày, tự động |
| Audit prep | 2-4 tuần scramble | Evidence đã sẵn sàng |
| Policy reviews | Bỏ sót → findings | Nhắc nhở tự động → hoàn thành đúng hạn |
| Visibility | Không biết status | Dashboard real-time |
| Thêm framework | Workload x2 | Map controls → effort tăng tối thiểu |
| Knowledge transfer | Nằm trong đầu người | Nằm trong hệ thống |
| Auditor collaboration | Gửi file zip/folder | Share read-only portal |
Compliance Là Cuộc Chơi Dài Hạn
Đạt chứng nhận là milestone quan trọng. Nhưng giá trị thực sự của compliance nằm ở khả năng duy trì nó, liên tục, nhất quán, không phụ thuộc vào một vài cá nhân.
Nếu bạn đang vận hành bất kỳ framework nào, ISO 27001, SOC 2, HIPAA, PCI-DSS, GDPR, hay ISO 42001, và mỗi kỳ audit vẫn cảm thấy như cuộc chiến, vấn đề không phải ở team. Vấn đề ở tooling và quy trình.
Đọc thêm: Duy trì ISO 27001 & PCI-DSS sau chứng nhận, Case study cụ thể