Khi công ty đã có ISO 27001 và bắt đầu chuẩn bị SOC 2, phản ứng đầu tiên thường là: "Mình đã có nền tảng rồi, phần còn lại chỉ là điền vào." Về lý thuyết điều này không sai. Nhưng trên thực tế, hai framework thường vận hành như hai hệ thống hoàn toàn tách biệt, với hai bộ bằng chứng riêng, hai bảng tính riêng, và hai lần thu thập cho cùng một thông tin.
Ví dụ cụ thể: Password Policy
Hãy xem xét Password Policy. Control này xuất hiện trong cả ISO 27001, SOC 2, và PCI DSS với cách diễn đạt khác nhau nhưng bản chất giống nhau: độ dài tối thiểu, chu kỳ xoay mật khẩu, lịch sử mật khẩu không được tái sử dụng.
Không có một lớp mapping nối các framework lại, người phụ trách compliance sẽ thu thập bằng chứng riêng cho từng framework. Ảnh chụp màn hình từ Active Directory cho ISO 27001. Export log để đáp ứng SOC 2. Tài liệu chính sách riêng cho PCI DSS. Ba bộ bằng chứng, tất cả đều trỏ về cùng một chính sách đang chạy trên cùng một hệ thống.
Cùng một vấn đề lặp lại ở nhiều chỗ
Password Policy chỉ là một ví dụ điển hình. Tình trạng tương tự xảy ra với access control, quản lý sự cố, đánh giá nhà cung cấp, và hàng chục controls khác xuất hiện đồng thời trong nhiều framework.
Kết quả là workload tăng gần tuyến tính theo số framework. Thêm một framework mới không chỉ nghĩa là xử lý thêm phần gap thực sự mà framework đó yêu cầu, mà là xây lại toàn bộ bộ bằng chứng từ đầu cho những controls đã tồn tại và đang hoạt động bình thường.
Đây không phải vì compliance vốn phức tạp. Đây là vì công việc đang bị lặp lại không cần thiết.
Mapping layer thay đổi phép tính này như thế nào
Khi có một lớp mapping nối các controls giữa các framework, một bộ bằng chứng có thể đáp ứng nhiều framework cùng lúc. SOC 2 CC6.1 và ISO 27001 A.9.4 có thể dùng chung tài liệu access control, miễn là tài liệu đó đủ chi tiết cho cả hai.
Mapping không có nghĩa là một framework chấp nhận bằng chứng của framework kia một cách mù quáng. Mỗi framework vẫn có ngôn ngữ và yêu cầu định dạng riêng. Nhưng thay vì thu thập bằng chứng hai lần cho cùng một control từ cùng một nguồn, người phụ trách chỉ cần thu thập một lần và gán đúng reference cho mỗi framework.
Khi thêm PCI DSS vào một tổ chức đã có ISO 27001 và SOC 2, phần workload thực sự tăng lên là phần controls mà PCI DSS yêu cầu nhưng hai framework kia không bao phủ, chẳng hạn như các yêu cầu cụ thể về môi trường lưu trữ dữ liệu thẻ thanh toán. Không phải toàn bộ bộ bằng chứng từ đầu.
Điểm khởi đầu thực tế
Để nhìn rõ overlap thực sự giữa các framework đang vận hành trong tổ chức, cách đơn giản nhất là lấy danh sách controls của từng framework và đặt chúng cạnh nhau. Các nhóm controls thường xuất hiện trong hầu hết framework bảo mật thông tin gồm: access control, logging và monitoring, incident response, change management, và vendor management.
Với những nhóm này, evidence đã có ở đâu đó trong hệ thống. Câu hỏi là liệu evidence đó đang được gán vào một framework hay nhiều framework, hay đang nằm rải rác mà không được gán vào đâu.
Phần workload thực sự tăng khi thêm framework là phần gap thực sự, không phải toàn bộ bộ evidence từ đầu. Khi tổ chức hiểu được điều này trước khi bắt đầu, quá trình mở rộng sang framework mới sẽ có cách tiếp cận khác hoàn toàn.