ISO 27001 Mất Bao Lâu? Con Số Thực Tế Không Ai Nói Cho Bạn
Khi search "ISO 27001 mất bao lâu", bạn sẽ thấy nhiều câu trả lời từ 6 tháng đến 2 năm. Tại sao lại chênh lệch nhiều vậy?
Vì có hai con đường hoàn toàn khác nhau để đến đích: tư vấn truyền thống và automation platform.
Câu trả lời ngắn:
- Truyền thống: 3-6 tháng chỉ riêng phần readiness, tổng 9-18 tháng, 300-500 giờ internal effort
- Với pTrackly: Readiness phase 3-5 tuần, audit phase 4-8 tuần, certification 1-4 tuần: tổng 8-17 tuần
Timeline So Sánh Chi Tiết
pTrackly chia quá trình ISO 27001 thành 4 giai đoạn rõ ràng:
| Giai đoạn | Truyền Thống (Consultant) | Với pTrackly |
|---|---|---|
| Kick-off & Integration (kết nối tools, onboarding) | 1-2 tuần | 1-2 ngày |
| Readiness Phase (policies, ISMS docs, risk assessment, gap analysis) | 3-6 tháng | 3-5 tuần |
| Audit Phase (Stage 1 + Stage 2) | 4-7 tuần | 4-8 tuần |
| Certification & Report | 1-4 tuần | 1-4 tuần |
| Tổng | 9-18 tháng | 8-17 tuần |
Tại Sao ISO 27001 Tốn Thời Gian Hơn SOC 2?
ISO 27001 là certification toàn diện cho hệ thống quản lý (ISMS), không chỉ đánh giá controls kỹ thuật. Điều này có nghĩa là:
- Cần xây dựng toàn bộ framework quản lý rủi ro, không chỉ implement security controls
- Phải có bằng chứng vận hành liên tục trước khi audit (thường 3 tháng trở lên)
- Annex A có 93 controls chia 4 themes, mỗi control cần được đánh giá có áp dụng không và tại sao
- Cần Statement of Applicability (SoA): tài liệu giải thích control nào áp dụng/loại trừ và lý do
Breakdown Từng Giai Đoạn
Giai Đoạn 1: Scoping (3-4 tuần → rút ngắn còn 1-2 tuần)
ISO 27001 yêu cầu bạn định nghĩa rõ phạm vi ISMS: hệ thống nào, data nào, bộ phận nào nằm trong scope. Scoping sai dẫn đến phải làm lại.
Automation platform giúp gì: Visualize infrastructure, map data flows tự động, suggest scope dựa trên architecture thực tế.
Giai Đoạn 2: Risk Assessment (4-6 tuần → 1-2 tuần)
Đây là nơi tốn thời gian nhất trong ISO 27001. Bạn phải:
- Liệt kê tất cả information assets
- Xác định threats và vulnerabilities
- Đánh giá likelihood × impact
- Quyết định risk treatment (accept/mitigate/transfer/avoid)
- Lập Risk Treatment Plan
Cách truyền thống: Workshop 2-3 buổi với từng team, spreadsheet khổng lồ, consultant moderate → 4-6 tuần
Với automation: Platform pre-populate asset inventory từ cloud scan, có risk register template, threat library sẵn → 1-2 tuần
Giai Đoạn 3: ISMS Documentation (8-12 tuần → 2-4 tuần)
ISO 27001 yêu cầu nhiều document bắt buộc:
- Information Security Policy
- ISMS Scope Document
- Risk Assessment Methodology
- Statement of Applicability
- Risk Treatment Plan
- 15+ procedure documents (incident management, access control, backup, vendor management...)
Không có template: Viết từ đầu, review nhiều lần, consultant charge by the hour → 8-12 tuần
Có platform: Template đã aligned với ISO 27001 Annex A, customize trong nền tảng, version control tích hợp → 2-4 tuần
Giai Đoạn 4: Triển Khai Controls (8-12 tuần → 4-8 tuần)
Giai đoạn này ít rút ngắn được nhất vì cần thay đổi thực tế trong hệ thống:
- Thiết lập MFA, role-based access
- Deploy vulnerability scanner, SIEM, log management
- Cấu hình backup và DR procedure
- Vendor contract review và Data Processing Agreements
Platform giúp track tiến độ và tự động check nhiều controls kỹ thuật, nhưng việc implement vẫn cần engineering effort.
Giai Đoạn 5: Internal Audit và Management Review
Trước khi mời auditor, bạn cần tự kiểm tra (internal audit) để tìm và fix nonconformities. Với evidence đã được thu thập tự động, internal audit nhanh hơn đáng kể.
Effort Của Internal Team
| Vai trò | Truyền Thống | Automation Platform |
|---|---|---|
| CISO / Security Lead | 150-250 giờ | 50-80 giờ |
| IT/DevOps Engineer | 80-150 giờ | 30-60 giờ |
| HR (training, awareness) | 20-30 giờ | 10-15 giờ |
| Management (review, sign-off) | 20-30 giờ | 10-15 giờ |
| Các phòng ban khác | 30-50 giờ | 15-25 giờ |
| Tổng | 300-510 giờ | 115-195 giờ |
Tiết kiệm 185-315 giờ internal, tương đương 5-8 tuần effort của một người fulltime. Đây là lợi thế lớn khi đội ngũ engineering đang bận với product development.
Chi Phí Cách Truyền Thống
| Chi phí | Truyền Thống |
|---|---|
| Consulting fee | $25,000-$70,000 |
| Internal time cost | $18,000-$30,600 |
| Certification body (audit) | $15,000-$40,000 |
| Tổng năm đầu | $58,000-$140,600 |
| Surveillance audit (năm 2-3) | $8,000-$20,000/năm + retainer |
Câu Hỏi: Có Cần Consultant Không?
Không nhất thiết, đặc biệt nếu dùng automation platform. Tuy nhiên, một số trường hợp nên có consultant:
- Đây là lần đầu công ty làm ISO 27001, cần guidance tổng thể
- Audit scope rộng (nhiều văn phòng, nhiều quốc gia)
- Cần giải thích về non-conformities phức tạp sau Stage 1 audit
- Muốn đảm bảo pass rate cao nhất
Ngay cả khi dùng consultant, việc kết hợp với automation platform vẫn rút ngắn thời gian và giảm chi phí tổng thể.
Duy Trì ISO 27001 Sau Khi Đạt Chứng Nhận
Chứng nhận ISO 27001 có hiệu lực 3 năm, nhưng cần:
- Surveillance audit năm 1 và năm 2 (kiểm tra ISMS còn vận hành không)
- Recertification audit năm 3
- Continuous evidence mỗi tháng/quý cho các controls
Đây là lý do automation platform tiết kiệm nhiều nhất về lâu dài: evidence tự động collect hàng ngày, không cần scramble trước mỗi audit.
Câu Hỏi Thường Gặp
Q: Công ty 20 người có cần ISO 27001 không?
Nếu khách hàng enterprise hoặc thị trường Nhật Bản, EU yêu cầu, có. Với pTrackly, ngay cả team nhỏ có thể hoàn thành readiness phase trong 3-5 tuần và kết thúc toàn bộ quá trình trong 8-17 tuần.
Q: ISO 27001:2022 khác gì 2013?
Version 2022 có 93 controls (giảm từ 114), reorganize thành 4 themes mới, thêm focus vào threat intelligence và cloud security. Nếu đang có 2013, phải transition trước tháng 10/2025.
Q: Làm ISO 27001 trước hay SOC 2 trước?
Phụ thuộc vào thị trường. Nhật Bản/EU thường yêu cầu ISO 27001. Mỹ thường yêu cầu SOC 2. Nhiều khách hàng chấp nhận cả hai. Nếu muốn dual framework, làm ISO 27001 trước vì SOC 2 có nhiều overlap.
ISO 27001 không cần kéo dài 18 tháng. Với pTrackly, readiness phase chỉ mất 3-5 tuần, rút ngắn từ 3-6 tháng theo cách truyền thống, và toàn bộ quá trình từ kick-off đến certification có thể hoàn thành trong 8-17 tuần tùy mức độ tập trung của team.