Vấn Đề Không Ai Nói Với Bạn Trước Khi Đạt Chứng Nhận

Bạn đã vượt qua gap analysis, viết xong policies, thu thập bằng chứng, vượt qua audit. Chứng nhận ISO 27001 hay PCI-DSS đã về tay.

Rồi mọi người quay lại làm việc bình thường.

Sáu tháng đến một năm sau, khi surveillance audit đến gần, team mới nhận ra: không ai thu thập bằng chứng nhất quán trong thời gian đó. Policies có review deadline đã trôi qua mà không có ai nhớ. Vendor assessments đã hết hạn. Bằng chứng nằm rải rác trong Google Drive, email, và file Excel mà người tạo ra đã nghỉ việc.

Đây không phải trường hợp hiếm gặp. Đây là mô hình phổ biến nhất sau khi đạt chứng nhận lần đầu qua tư vấn truyền thống.


Tại Sao Giai Đoạn Đạt Chứng Nhận Không Chuẩn Bị Bạn Cho Giai Đoạn Duy Trì

Tư vấn truyền thống tập trung vào đích đến, không phải hành trình dài

Consultant giúp bạn pass audit, đó là phạm vi công việc của họ. Họ tạo ra một bộ tài liệu, hướng dẫn team implement controls, và giúp bạn vượt qua ngày audit.

Nhưng sau khi dự án kết thúc, bạn phải tự vận hành tất cả. Nếu không có công cụ chuyên dụng, mọi thứ quay về Excel và email.

Chứng nhận là point-in-time; audit yêu cầu evidence liên tục

ISO 27001 surveillance audit (diễn ra mỗi năm sau khi đạt chứng nhận) không chỉ hỏi "bạn đang tuân thủ không?", mà hỏi "bạn đã tuân thủ nhất quán trong 12 tháng qua không?"

PCI-DSS QSA review tương tự: auditor muốn thấy bằng chứng liên tục trong toàn bộ năm, không chỉ snapshot của tuần trước.

Nếu bằng chứng không được thu thập một cách hệ thống từ đầu năm, bạn sẽ không có đủ để trình bày.

Compliance team thường là "người kiêm nhiệm"

Ở nhiều doanh nghiệp Việt Nam, kể cả những công ty đã đạt ISO 27001 hoặc PCI-DSS, không có CISO hay compliance officer chuyên trách. Đó thường là CTO, senior engineer, hoặc IT manager kiêm thêm vai trò này bên cạnh công việc chính.

Khi không có công cụ hỗ trợ, compliance operations dễ bị xuống hàng ưu tiên cho đến khi audit đến gần.


Những Khó Khăn Phổ Biến Nhất Trong Giai Đoạn Duy Trì

1. Bằng chứng nằm ở khắp nơi

Bằng chứng compliance không tự nhiên tập hợp về một chỗ. Nó nằm trong:

  • AWS CloudTrail logs trong S3 bucket không ai kiểm tra
  • Access review emails trong inbox của manager
  • Vulnerability scan reports trong folder của security engineer
  • Vendor contracts trong Drive của legal team
  • Training completion records trong HR system

Khi auditor yêu cầu "cho tôi xem bằng chứng user access review trong 12 tháng qua", bạn phải tìm trong tất cả những nơi đó.

Chi phí thực tế: Nhiều team tốn 2-4 tuần chuẩn bị trước mỗi surveillance audit. Đây là công việc hoàn toàn có thể tránh được.

2. Policy review deadlines bị bỏ lỡ

ISO 27001 yêu cầu định kỳ review và cập nhật tất cả policies trong ISMS. Trong thực tế:

  • Không ai nhớ policy nào đến hạn review khi nào
  • Owner của policy có thể đã thay đổi mà không được cập nhật
  • Review diễn ra vội vã ngay trước audit thay vì theo lịch

Một policy được review muộn 3 tháng không nhất thiết là risk lớn, nhưng nó là finding trong surveillance audit, và nhiều findings tích lũy có thể ảnh hưởng đến việc duy trì chứng nhận.

3. Không có visibility về trạng thái tổng thể

Câu hỏi đơn giản "hiện tại chúng ta đang ở đâu với ISO 27001?" thường không có câu trả lời rõ ràng nếu không có platform.

  • Security biết về technical controls
  • HR biết về training records
  • Legal biết về contracts và vendor agreements
  • IT biết về system configs

Nhưng không ai có cái nhìn tổng hợp. Gaps thường chỉ bị phát hiện khi auditor hỏi.

4. Hai framework, hai lần công việc

Nếu bạn có cả ISO 27001 và PCI-DSS, sẽ có sự chồng lấp lớn giữa hai bộ controls, nhưng không phải hoàn toàn giống nhau. Nếu không map được chúng lại với nhau:

  • Evidence collection bị làm hai lần
  • Cùng một system được audit bởi hai bộ requirements riêng biệt
  • Team tốn gấp đôi thời gian chuẩn bị khi audit đến

Những Gì Cần Có Để Vận Hành Compliance Bền Vững

Thu thập bằng chứng tự động, không phải thủ công

Thay vì chụp màn hình thủ công hoặc export reports theo yêu cầu, kết nối hệ thống của bạn một lần để evidence tự động được pull vào:

  • AWS CloudTrail → access logs và config changes tự động được lưu theo ngày
  • GitHub → code review records, branch protection settings
  • Okta/Google Workspace → user provisioning/deprovisioning, MFA status
  • Jira/Linear → change management records

Khi auditor yêu cầu evidence từ tháng 3 đến tháng 9, bạn filter và export, không cần tìm kiếm.

Nhắc nhở tự động cho policy reviews và tasks

Mỗi policy cần có:

  • Owner được chỉ định rõ
  • Review frequency (hàng năm, 6 tháng...)
  • Automated reminder trước deadline (14 ngày, 7 ngày, ngày hết hạn)

Khi policy owner nhận được nhắc nhở, họ review và acknowledge trong platform, tạo ra audit trail tự động.

Centralized evidence repository

Tất cả evidence ở một nơi, được tổ chức theo control và framework. Khi auditor cần evidence cho ISO 27001 Control 9.2 (User Access Management), bạn navigate đến control đó và thấy tất cả evidence được gắn vào đó trong 12 tháng qua.

Control mapping cho đa framework

Nếu bạn có cả ISO 27001 và PCI-DSS, nhiều controls overlap. Map một lần, evidence thỏa mãn cả hai, không cần làm lại.

Ví dụ: access review evidence cho ISO 27001 A.9.2.5 cũng satisfy PCI-DSS Requirement 7.2. Thu thập một lần, dùng cho cả hai.

Auditor portal thay vì gói tài liệu

Thay vì gửi một folder Drive khổng lồ cho auditor, chia sẻ read-only access vào compliance portal. Auditor tự navigate và tìm evidence họ cần, bạn không mất thời gian làm "courier" tài liệu.


So Sánh: Vận Hành Compliance Với và Không Có Platform

Không có platformVới platform
Thu thập bằng chứngThủ công trước auditTự động hàng ngày
Policy reviewBỏ sót deadlineNhắc nhở tự động
Chuẩn bị surveillance audit2-4 tuần tìm tài liệuEvidence đã sẵn sàng
VisibilityKhông biết status cho đến khi audit hỏiDashboard live mọi lúc
Nhiều frameworkLàm lặp hai lầnMap một lần, dùng nhiều framework
Auditor sharingGửi file zipRead-only portal

Khi Nào Nên Chuyển Từ Excel Sang Platform

Không phải mọi doanh nghiệp đều cần platform ngay từ đầu. Nhưng nếu bạn nhận ra bất kỳ điều nào sau đây, đã đến lúc cân nhắc:

  • Surveillance audit đang đến gần và team đang scramble để thu thập evidence
  • Bạn không thể trả lời nhanh "hiện tại chúng ta đang compliant ở mức nào" mà không mất vài ngày kiểm tra
  • Policy review deadline đã trôi qua mà không có ai biết
  • Compliance evidence nằm ở nhiều nơi khác nhau và người biết chúng ở đâu đã nghỉ việc
  • Bạn cần thêm framework thứ hai (vd: đang có ISO 27001, cần thêm SOC 2) và không muốn làm lại từ đầu
  • Bạn mất nhiều giờ mỗi tuần quản lý compliance bằng tay thay vì tập trung vào security thực sự

Đặc biệt, nếu bạn đang vận hành cả ISO 27001 và PCI-DSS: hai framework có audit cycle riêng nhưng controls chồng lấp, một platform giúp bạn tránh làm lại cùng công việc hai lần.


Một Ví Dụ Cụ Thể: ISO 27001 + PCI-DSS Level 2

Giả sử bạn là một fintech hoặc payment gateway với cả hai chứng nhận trên. Timeline audit trong một năm có thể là:

  • Tháng 3: PCI-DSS QSA review
  • Tháng 9: ISO 27001 surveillance audit

Không có platform, đây là hai lần scramble tách biệt, mỗi lần mất 3-4 tuần chuẩn bị.

Với platform, evidence được thu thập mỗi ngày. Cả hai audit đều kéo từ cùng một repository. Chuẩn bị audit rút xuống còn 2-3 ngày review thay vì 3-4 tuần tìm kiếm.


Duy trì chứng nhận bảo mật không nên là một "project" mỗi năm mà là một quá trình vận hành liên tục. Nếu bạn đang vận hành ISO 27001, PCI-DSS, hay bất kỳ framework nào khác và cảm thấy mỗi kỳ audit là một đợt khủng hoảng, đó là dấu hiệu cần nhìn lại tooling, không phải nỗ lực của team.

Xem thêm pTrackly cho những team đã có chứng nhận để hiểu platform hỗ trợ giai đoạn vận hành như thế nào.

Thẻ:
duy trì ISO 27001vận hành compliancesurveillance auditPCI-DSS maintenancecompliance operations