Annex A Trong ISO 27001:2022
ISO/IEC 27001:2022 bao gồm 93 controls trong Annex A, được tổ chức thành bốn nhóm. Phiên bản 2013 có 114 controls trong 14 nhóm, phiên bản 2022 hợp nhất các controls dư thừa, thêm 11 controls mới, và tái cơ cấu toàn bộ nhóm.
Phân chia chi tiết:
| Nhóm | Controls | Phạm vi |
|---|---|---|
| Organizational | 37 | 5.1 – 5.37 |
| People | 8 | 6.1 – 6.8 |
| Physical | 14 | 7.1 – 7.14 |
| Technological | 34 | 8.1 – 8.34 |
| Tổng | 93 |
Nguồn: ISMS.online (isms.online/iso-27001/annex-a); BSI Group (bsigroup.com/en-GB/iso-27001-information-security)
Các controls này không bắt buộc theo mặc định. Annex A là một tập tham chiếu. Risk assessment của bạn (Clause 6.1.2) xác định controls nào áp dụng, và Statement of Applicability (SoA) ghi lại controls nào trong scope, đã triển khai, và tại sao bất kỳ control nào bị loại trừ.
Thay Đổi Từ 2013 Sang 2022
Chuyển đổi từ 114 controls trong 14 nhóm xuống 93 controls trong 4 nhóm trông giống như giảm bớt, nhưng thực tế là hợp nhất chứ không phải đơn giản hóa.
- 24 controls được hợp nhất: nhiều controls 2013 kết hợp thành các controls 2022 đơn lẻ
- 58 controls được chỉnh sửa: cập nhật ngôn ngữ để phản ánh môi trường đe dọa hiện tại
- 11 controls mới được thêm: bao phủ các mối đe dọa không tồn tại hoặc chưa nổi bật vào năm 2013
Cấu trúc 4 nhóm (Organizational, People, Physical, Technological) cũng thay thế cấu trúc 14 domain cũ, vốn làm cho việc ánh xạ cross-framework khó hơn.
Nguồn: ISMS.online (isms.online/iso-27001/annex-a)
11 Controls Mới Trong ISO 27001:2022
Các controls này không có bản tương đương trực tiếp trong phiên bản 2013:
| Control | Tên | Nhóm |
|---|---|---|
| 5.7 | Threat Intelligence | Organizational |
| 5.23 | Information Security for Use of Cloud Services | Organizational |
| 5.30 | ICT Readiness for Business Continuity | Organizational |
| 7.4 | Physical Security Monitoring | Physical |
| 8.9 | Configuration Management | Technological |
| 8.10 | Information Deletion | Technological |
| 8.11 | Data Masking | Technological |
| 8.12 | Data Leakage Prevention | Technological |
| 8.16 | Monitoring Activities | Technological |
| 8.23 | Web Filtering | Technological |
| 8.28 | Secure Coding | Technological |
Nguồn: ISMS.online (isms.online/iso-27001/annex-a)
Với tổ chức đã được chứng nhận theo phiên bản 2013, chuyển sang phiên bản 2022 nghĩa là thực hiện gap assessment riêng cho 11 controls này, cập nhật SoA, và xác minh liệu controls hiện có đã đáp ứng yêu cầu mới chưa, hay cần triển khai controls mới.
Nhóm 1: Organizational Controls (37 controls, 5.1–5.37)
Organizational controls quản lý cách bảo mật thông tin được quản lý ở cấp chính sách, quy trình, và quản trị.
Policies và quản trị (5.1–5.6) Thiết lập chính sách bảo mật thông tin, định nghĩa vai trò và trách nhiệm, liên lạc với các cơ quan và nhóm quan tâm, và xây dựng năng lực threat intelligence.
Quản lý asset và thông tin (5.9–5.14) Kiểm kê các thông tin asset, phân loại thông tin theo độ nhạy cảm, xử lý dữ liệu được gán nhãn một cách nhất quán, và quản lý asset được trả về hoặc chuyển giao.
Quản lý truy cập và danh tính (5.15–5.18) Kiểm soát truy cập vào thông tin dựa trên yêu cầu nghiệp vụ và bảo mật, quản lý user IDs, phân quyền truy cập, và xử lý quyền truy cập đặc quyền.
Quản lý nhà cung cấp và bên thứ ba (5.19–5.22) Giải quyết bảo mật trong thỏa thuận nhà cung cấp, quản lý security posture của chuỗi cung ứng, và giám sát nhà cung cấp trong suốt mối quan hệ.
Quản lý sự cố (5.24–5.28) Lên kế hoạch cho các sự kiện bảo mật thông tin, phản hồi chúng, học hỏi từ chúng, và thu thập bằng chứng phù hợp.
Kinh doanh liên tục và tuân thủ (5.29–5.37) Sẵn sàng ICT cho gián đoạn, nghĩa vụ sở hữu trí tuệ, bảo vệ hồ sơ, yêu cầu quyền riêng tư, và tuân thủ các luật áp dụng.
Nhóm 2: People Controls (8 controls, 6.1–6.8)
Nhóm nhỏ nhất bao phủ toàn bộ vòng đời nhân viên:
| Control | Phạm vi |
|---|---|
| 6.1 Screening | Xác minh lý lịch trước và trong quá trình làm việc |
| 6.2 Terms and conditions of employment | Trách nhiệm bảo mật trong hợp đồng lao động |
| 6.3 Security awareness, education, and training | Đào tạo bảo mật liên tục cho toàn bộ nhân viên |
| 6.4 Disciplinary process | Quy trình chính thức cho vi phạm chính sách bảo mật |
| 6.5 Responsibilities after termination | Nghĩa vụ bảo mật tiếp tục sau khi nghỉ việc |
| 6.6 Confidentiality or NDA | NDA với nhân viên, nhà thầu, bên thứ ba |
| 6.7 Remote working | Controls cho nhân viên làm việc ngoài cơ sở |
| 6.8 Information security event reporting | Cách nhân viên báo cáo sự cố nghi ngờ |
People controls thường bị triển khai thiếu. Tổ chức đầu tư nhiều công sức vào technical controls rồi thất bại trong certification audit vì không thể chứng minh toàn bộ nhân viên đã hoàn thành security awareness training hoặc quy trình offboarding được tuân thủ nhất quán.
Nhóm 3: Physical Controls (14 controls, 7.1–7.14)
Physical controls xử lý quyền truy cập vào cơ sở, bảo vệ thiết bị, và môi trường làm việc vật lý.
Entry controls và khu vực an toàn (7.1–7.6) Xác định vành đai bảo mật vật lý, kiểm soát lối vào, bảo vệ văn phòng và cơ sở, giám sát bảo mật vật lý (7.4, control mới trong 2022), bảo vệ chống lại các mối đe dọa vật lý và môi trường, và duy trì chính sách clear desk và screen.
Bảo mật thiết bị (7.8–7.14) Bảo vệ thiết bị khỏi các mối đe dọa, bảo mật thiết bị bên ngoài cơ sở, tiêu hủy media (bao gồm sanitization trước khi tiêu hủy), thiết bị người dùng không có người trông coi, và ngăn chặn asset bị mang ra ngoài mà không được phép.
Physical controls có liên quan ngay cả với tổ chức hoàn toàn remote hoặc cloud-native. Chính sách clear desk/screen (7.7) áp dụng cho môi trường làm việc từ xa. Tiêu hủy thiết bị (7.14) áp dụng cho thiết bị cá nhân và thiết bị do công ty cấp bất kể vị trí.
Nhóm 4: Technological Controls (34 controls, 8.1–8.34)
Nhóm lớn nhất bao phủ user endpoints, network security, cryptography, vulnerability management, và phát triển phần mềm.
Access control (8.2–8.6) Quyền truy cập đặc quyền, quản lý secrets (passwords, API keys), truy cập source code, xác thực, và quy trình log-on an toàn.
Cryptography và key management (8.24) Sử dụng mật mã học và quản lý cryptographic keys trong suốt vòng đời của chúng.
Operations security (8.8–8.16) Quản lý lỗ hổng, quản lý cấu hình kỹ thuật (8.9, mới trong 2022), quản lý capacity, tách biệt môi trường, event logging, đồng bộ hóa đồng hồ, và monitoring activities (8.16, mới trong 2022).
Network security (8.20–8.23) Bảo mật hạ tầng mạng, phân đoạn mạng, lọc truy cập web (8.23, mới trong 2022).
Bảo mật ứng dụng và phát triển (8.25–8.31) Secure development lifecycle, quy trình quản lý thay đổi, môi trường test, phát triển thuê ngoài, và secure coding (8.28, mới trong 2022).
Bảo vệ dữ liệu (8.10–8.12) Xóa thông tin (8.10, mới), data masking (8.11, mới), và data leakage prevention (8.12, mới). Ba controls này phản ánh sự chú trọng tăng lên đối với yêu cầu quyền riêng tư dữ liệu xuất hiện kể từ phiên bản 2013.
Cách Xác Định Controls Nào Áp Dụng
Statement of Applicability yêu cầu quyết định cho từng control trong 93 controls: áp dụng hay không áp dụng, đã triển khai hay chưa, và lý do cho các loại trừ.
Các lý do phổ biến để một control thực sự không áp dụng:
- 5.23 (Cloud Services): không áp dụng nếu tổ chức không sử dụng cloud service nào (hiếm, nhưng có thể với môi trường air-gapped)
- 7.1–7.6 (Physical security perimeters): áp dụng ngay cả với công ty remote-first, dù scope có thể giới hạn ở một phòng duy nhất hoặc co-working space
- 8.28 (Secure Coding): không áp dụng nếu tổ chức không viết phần mềm
Một control khó triển khai không phải là lý do hợp lệ để loại trừ. Auditor kỳ vọng thấy lý luận có thực chất, không phải tiện lợi.
Tại Sao Japan Có Số Chứng Nhận Cao
Theo dữ liệu từ ISMS-AC (ISMS Accreditation Center) của Nhật Bản, tính đến tháng 7/2026 có 7,351 tổ chức tại Nhật Bản giữ chứng nhận ISO 27001, xếp Nhật Bản vào nhóm dẫn đầu thế giới.
Nguyên nhân là yêu cầu từ phía mua hàng doanh nghiệp: các tập đoàn Nhật Bản thường đưa ISO 27001 vào điều kiện bắt buộc trong quy trình lựa chọn nhà cung cấp IT. Với các công ty IT outsourcing Việt Nam nhắm thị trường Nhật, đây là một trong những lý do thực dụng nhất để đầu tư vào chứng nhận.
Nguồn: ISMS-AC Certified Organization Database (isms.jp/lst/ind/index.html), truy cập tháng 7/2026
Attribute Tagging (Mới Trong 2022)
ISO 27001:2022 giới thiệu taxonomy attribute cho các Annex A controls. Mỗi control được gán năm attributes:
- Loại control (preventive, detective, corrective)
- Thuộc tính bảo mật thông tin (confidentiality, integrity, availability)
- Khái niệm cybersecurity (ánh xạ với NIST framework: identify, protect, detect, respond, recover)
- Năng lực vận hành (governance, asset management, identity and access management, v.v.)
- Security domains (governance and ecosystem, protection, defence, resilience)
Tagging này làm cho việc ánh xạ cross-framework dễ hơn. Nếu bạn triển khai cả ISO 27001 và NIST CSF, các attribute tags cho thấy nơi controls overlap. Với tổ chức quản lý nhiều frameworks đồng thời, điều này giảm effort duy trì các control sets riêng biệt.
Triển Khai Annex A Controls Hiệu Quả
Một số điểm giảm thời gian triển khai:
Bắt đầu từ rủi ro, không phải danh sách controls Risk assessment xác định controls nào quan trọng nhất cho ngữ cảnh của bạn. Bắt đầu từ danh sách 93 controls đầy đủ và cố gắng triển khai mọi thứ cùng lúc sẽ chậm hơn và thường tạo ra controls được thiết kế quá mức so với rủi ro thực tế.
Ánh xạ controls qua các frameworks trước khi xây evidence Nếu bạn cũng đang làm SOC 2, HIPAA, hoặc GDPR, nhiều Annex A controls có bản tương đương trực tiếp. Bằng chứng access control thu thập cho SOC 2 CC6.1 thường đáp ứng ISO 27001 A.5.15–5.18. Xây bằng chứng một lần và ánh xạ sang nhiều frameworks hiệu quả hơn xây các evidence sets riêng biệt.
Sử dụng tooling hiện có khi có thể Nhiều controls, đặc biệt trong Technological category, có thể được chứng minh qua cấu hình tool hiện có. GitHub branch protection rules đáp ứng A.8.32. AWS CloudTrail đáp ứng A.8.15–8.16. Auditor chấp nhận bằng chứng do tool tạo ra miễn là được thu thập nhất quán.
Tài liệu tham khảo:
- ISO/IEC 27001:2022, Information Security Management Systems (iso.org/standard/82875.html)
- ISMS.online: ISO 27001 Annex A (isms.online/iso-27001/annex-a)
- BSI Group: ISO 27001 (bsigroup.com/en-GB/iso-27001-information-security)
- ISMS-AC: Danh sách tổ chức được chứng nhận ISMS tại Nhật Bản (isms.jp/lst/ind/index.html)
- Advisera 27001 Academy (advisera.com/27001academy)