Certificate trên tường không đủ nữa
Một vài năm trước, ISO 27001 certificate là lợi thế cạnh tranh rõ ràng cho IT outsourcing company Việt Nam muốn vào thị trường Nhật. Khách hàng hỏi "bạn có ISO 27001 không?", bạn trả lời có, họ tiếp tục quy trình.
Thị trường đã thay đổi.
Ngày nay, khách hàng Nhật (đặc biệt trong ngành manufacturing, finance, và healthcare) có quy trình vendor due diligence chi tiết hơn. Câu hỏi không còn dừng lại ở "bạn có certificate không?" mà là "certificate đó bao gồm scope gì?", "surveillance audit gần nhất khi nào?", "bạn có thể show evidence rằng controls đang được maintained không?"
Và đây là điểm nhiều công ty bắt đầu gặp khó khăn.
Vấn đề với "ISO 27001 on paper"
Certificate ISO 27001 có giá trị trong 3 năm, với surveillance audit hàng năm. Nhưng certificate không tự động phản ánh trạng thái compliance thực tế của bạn vào ngày hôm nay.
Những tình huống phổ biến trong thực tế:
Certificate đúng nhưng scope không match với dự án mới. Công ty đạt ISO 27001 cho scope ban đầu là internal IT management. Sau đó win được dự án development cho khách hàng Nhật, nhưng scope của certificate không bao gồm development environment hay data handling cho external clients. Khách hàng Nhật review certificate và nhận ra điều này trong due diligence.
Surveillance audit pass nhưng controls drift sau đó. Certificate còn hạn, surveillance audit vừa qua. Nhưng trong 8 tháng sau audit, một số controls bắt đầu slip: access reviews không được thực hiện đúng lịch, một engineer senior nghỉ việc và không ai take over vai trò security review của họ, vendor assessment backlog tích lũy.
Khi khách hàng Nhật yêu cầu demonstration trong một security review ngoài chu kỳ audit, team không có evidence sẵn sàng cho giai đoạn gần nhất.
Certificate không đi kèm với audit trail cho khách hàng. Khách hàng Nhật ngày càng yêu cầu read access vào compliance portal để tự verify controls, thay vì chỉ nhận một bộ tài liệu PDF được chuẩn bị trước mỗi kỳ review. Nếu bạn không có platform với audit trail thực sự, bạn không đáp ứng được yêu cầu này.
Điều khách hàng Nhật thực ra đang đánh giá
Việt Nam là nguồn outsourcing lớn cho Nhật Bản trong IT. Trong môi trường cạnh tranh đó, bộ phận IT governance phía khách hàng Nhật đã học cách phân biệt giữa compliance trên giấy và compliance thực tế.
Những điểm cụ thể họ thường check:
Continuity của evidence: Không chỉ "bạn có làm access review không" mà "đây là access review records từ tháng 1 đến tháng 6, được ghi lại khi nào, approved bởi ai?"
Incident response readiness: Không chỉ "bạn có Incident Response Plan không" mà "trong 12 tháng qua, plan này có được test không? Kết quả ra sao?"
Vendor management: Vendor bạn dùng để deliver dự án cho chúng tôi, họ có được assess không? Khi nào? DPA hay NDA đã ký chưa?
Key person dependency: Nếu person phụ trách security rời công ty, compliance program của bạn có tiếp tục vận hành không? Quy trình có được document và transferable không?
Đây không phải là câu hỏi có thể trả lời bằng cách chỉ về certificate.
Control drift: điều xảy ra khi không ai nhìn vào
"Control drift" là tình trạng controls được implement đúng tại thời điểm audit nhưng dần sai lệch với baseline trong quá trình vận hành.
Nó xảy ra không phải vì ai cố tình bỏ qua. Mà vì không có mechanism theo dõi.
Ví dụ điển hình trong IT outsourcing:
- Team thêm developer contractor vào project GitHub repo với full write access. Dự án kết thúc, contractor off-boarded khỏi hợp đồng, nhưng GitHub access không được revoke vì không ai connect được hai việc đó lại với nhau.
- Production environment được migration lên cloud provider mới trong một project. Security baseline của provider cũ không tự động apply sang provider mới, và không ai làm configuration review chính thức.
- Password policy được set trong Active Directory nhưng sau một version upgrade, setting bị reset về default và không ai nhận ra trong 4 tháng.
Với khách hàng Nhật đang đánh giá vendor, những drift này được phát hiện qua technical review, không phải qua certificate.
Từ "đạt chứng nhận" đến "demonstrate compliance mọi lúc"
Kỳ vọng của thị trường Nhật đã thay đổi theo một hướng cụ thể: compliance đang chuyển từ event-based sang continuous.
Điều đó có nghĩa gì trong thực tế cho IT outsourcing company:
Audit trail luôn sẵn sàng, không phải chỉ trước audit. Evidence được thu thập tự động và có thể query cho bất kỳ period nào. Khi khách hàng Nhật yêu cầu evidence cho Q3, bạn có thể pull ngay, không cần 2 tuần chuẩn bị.
Scope document rõ ràng và up-to-date. Mỗi lần win project mới với scope khác, cần đánh giá xem scope của certificate có cần mở rộng không và document quy trình đó.
Compliance dashboard chia sẻ được. Thay vì gửi zip file tài liệu mỗi kỳ review, cung cấp read-only access cho account manager phía khách hàng để họ tự verify trạng thái khi cần.
Không phụ thuộc vào một người. Security operations được process hóa đủ để không bị ngắt quãng khi người phụ trách thay đổi.
Điểm thực tế cho công ty đang duy trì ISO 27001
Nếu bạn đang giữ hợp đồng Nhật hiện tại hoặc muốn mở rộng sang các enterprise Nhật mới, đây là câu hỏi đáng kiểm tra ngay bây giờ:
- Nếu khách hàng yêu cầu evidence về user access management trong 6 tháng qua, bạn có thể cung cấp ngay hôm nay không?
- Access review gần nhất của bạn được thực hiện khi nào và được document ở đâu?
- Vendor list của bạn có được review định kỳ không, và assessment records ở đâu?
- Nếu security lead của bạn nghỉ việc ngay hôm nay, quy trình nào sẽ bị gián đoạn?
Những câu hỏi đó không xuất phát từ audit checklist. Chúng xuất phát từ quy trình vendor governance thực tế của khách hàng Nhật lớn.
Certificate ISO 27001 mở cửa. Continuous compliance giữ cửa đó mở.
Xem thêm pTrackly cho IT outsourcing duy trì compliance với khách hàng Nhật để hiểu cách platform hỗ trợ evidence collection liên tục và audit readiness thực sự.