Tại Sao Câu Hỏi Này Xuất Hiện

Với công ty SaaS Việt Nam muốn bán cho khách hàng doanh nghiệp ở nhiều khu vực địa lý, không ít lần nhận được hai yêu cầu khác nhau từ hai nhóm khách hàng khác nhau:

  • Khách hàng Nhật Bản, Singapore, hoặc EU: "Bạn có ISO 27001 không?"
  • Khách hàng Mỹ hoặc Canada: "Bạn có SOC 2 không?"

Câu hỏi thực tế đặt ra: có cần làm cả hai, hay chỉ cần một? Và nếu cần cả hai, có thể làm song song không?

Hai Framework Giải Quyết Gì

ISO 27001 là tiêu chuẩn quốc tế. Được xuất bản bởi ISO và IEC, được công nhận rộng rãi tại Nhật Bản, EU, Singapore, Úc, và nhiều quốc gia khác. Tập trung vào việc xây dựng và duy trì hệ thống quản lý bảo mật thông tin (ISMS) có hệ thống. Đầu ra: chứng chỉ từ certification body được công nhận (BSI, Bureau Veritas, TÜV, và các tổ chức tương tự).

SOC 2 là tiêu chuẩn kiểm toán do AICPA (Hiệp hội Kế toán Công chứng Mỹ) phát triển. Phổ biến nhất ở thị trường Mỹ và Canada cho SaaS B2B. Đánh giá theo năm Trust Service Criteria: Security, Availability, Processing Integrity, Confidentiality, Confidential Privacy. Đầu ra: báo cáo kiểm toán từ CPA firm được chấp nhận, không phải chứng chỉ.

Nguồn: AICPA SOC 2 Framework (aicpa-cima.com)

Hai framework không thay thế nhau. Một báo cáo SOC 2 không thỏa mãn yêu cầu ISO 27001 của khách hàng Nhật Bản, và ngược lại.

Mức Độ Overlap Controls

Điều tốt: ISO 27001 và SOC 2 có overlap đáng kể ở các controls cốt lõi. Cả hai framework đều yêu cầu kiểm soát trong các lĩnh vực:

Quản lý truy cập ISO 27001: Clause 5.15–5.18, Annex A controls 8.2–8.6 SOC 2: Trust Service Criteria CC6 (Logical and Physical Access Controls)

Access control review, least privilege, MFA, offboarding, bằng chứng thu thập cho một framework thường đáp ứng yêu cầu của framework kia.

Quản lý rủi ro ISO 27001: Clause 6.1.2 (risk assessment), 6.1.3 (risk treatment) SOC 2: CC3 (Risk Assessment), CC9 (Risk Mitigation)

Quy trình risk assessment, risk register, và risk treatment plan được cả hai yêu cầu, dù với cách diễn đạt khác nhau.

Quản lý nhà cung cấp ISO 27001: Annex A 5.19–5.22 SOC 2: CC9.2 (Vendor and Business Partner Risk Management)

Vendor assessment, security addendums, và ongoing monitoring đáp ứng cả hai.

Incident response ISO 27001: Annex A 5.24–5.28 SOC 2: CC7.3–CC7.5

Incident response plan, logging, notification procedures, kiểm soát chung.

Change management ISO 27001: Annex A 8.32 SOC 2: CC8.1

Change control procedures, testing, và approval workflows.

Ước tính thực tế về overlap: 60-70% công việc evidence collection cho các controls cốt lõi có thể dùng chung. Con số này cao hơn ở các lĩnh vực kỹ thuật (access control, logging, encryption), thấp hơn ở các lĩnh vực quy trình (vì ngôn ngữ và format yêu cầu khác nhau).

Điểm Khác Biệt Chính

Mặc dù overlap đáng kể, có những điểm quan trọng mà hai framework xử lý khác nhau:

Risk-based vs criteria-based ISO 27001 yêu cầu bạn xác định rủi ro trước, sau đó chọn controls phù hợp. Controls có thể được loại trừ nếu có lý do. SOC 2 có Trust Service Criteria cố định, bạn chứng minh đáp ứng từng criterion, không có flexibility tương tự.

Chứng chỉ vs báo cáo kiểm toán ISO 27001 kết thúc bằng chứng chỉ có thể trưng ra công khai. SOC 2 kết thúc bằng báo cáo kiểm toán thường được chia sẻ với khách hàng theo thỏa thuận NDA. Khách hàng tiếp nhận hai loại này khác nhau.

Type I vs Type II (chỉ SOC 2) SOC 2 có hai loại: Type I (point-in-time, đánh giá design của controls) và Type II (period-of-time, thường 6-12 tháng, đánh giá cả design lẫn operating effectiveness). ISO 27001 không có phân loại tương tự, certification audit đánh giá cả design và effectiveness theo mặc định.

Phạm vi địa lý ISO 27001 được công nhận toàn cầu. SOC 2 chủ yếu có ý nghĩa ở thị trường Mỹ và Canada, một số khách hàng EU hoặc Nhật biết đến SOC 2 nhưng vẫn ưu tiên ISO 27001.

Chiến Lược Làm Song Song

Nếu quyết định làm cả hai, có hai cách tiếp cận:

Tuần tự (ISO 27001 trước, SOC 2 sau) Lý do: ISO 27001 xây nền tảng ISMS tổng thể, risk assessment, policies, documentation framework, mà SOC 2 có thể tận dụng. Sau khi được chứng nhận ISO 27001, bổ sung SOC 2 nhanh hơn vì nhiều controls đã được triển khai.

Thời gian: ISO 27001 (tháng 1-12) → SOC 2 Type I (tháng 10-14) → SOC 2 Type II (tháng 14-22)

Nhược điểm: Khách hàng Mỹ phải chờ đến tháng 14-22 mới có SOC 2 Type II.

Song song từ đầu Lý do: Nếu có pipeline khách hàng Mỹ đang chờ SOC 2, không thể chờ 12 tháng để hoàn thành ISO 27001 trước.

Thời gian: ISO 27001 và SOC 2 Type I song song (tháng 1-12) → ISO 27001 certification + SOC 2 Type II bắt đầu observation period → SOC 2 Type II hoàn thành (tháng 18-24).

Nhược điểm: Công việc dồn lên nhiều hơn trong giai đoạn đầu, yêu cầu team compliance có khả năng xử lý cả hai framework song song.

Platform-assisted approach Dùng compliance automation platform từ đầu giúp quản lý song song hiệu quả hơn. Platform ánh xạ controls chung một lần, thu thập bằng chứng tự động cho cả hai framework, và cho thấy gaps theo từng framework. Điều này giảm rủi ro của việc xây bằng chứng riêng biệt cho mỗi framework.

Ví Dụ Thực Tế

Công ty SaaS nhắm thị trường Nhật + Mỹ

  • Bắt đầu ISO 27001 implementation, đồng thời thiết lập SOC 2 scope
  • Thu thập bằng chứng chung (access control, logging, incident response) cho cả hai từ đầu
  • Hoàn thành ISO 27001 certification ở tháng 10-12
  • SOC 2 Type I audit ở tháng 12-14 (khi controls đã ổn định)
  • SOC 2 Type II observation period tháng 14-20

Công ty SaaS nhắm thị trường Nhật + Singapore (không cần Mỹ)

  • Chỉ cần ISO 27001
  • Không cần SOC 2 cho hai thị trường này

Công ty fintech nhắm cả Mỹ, EU, và Nhật

  • ISO 27001 + SOC 2 + GDPR considerations
  • Framework phức tạp hơn, cần tư vấn cùng với platform
  • GDPR thường được xử lý thông qua privacy controls trong ISO 27001 Annex A và SOC 2 Privacy criterion

Chi Phí Kết Hợp So Với Riêng Lẻ

Làm ISO 27001 và SOC 2 riêng lẻ (tuần tự, không dùng chung infrastructure):

  • ISO 27001: 20,000-50,000 USD (tư vấn + phí certification body)
  • SOC 2 Type II: 15,000-40,000 USD (tư vấn + phí CPA audit firm)
  • Tổng: 35,000-90,000 USD + thời gian 18-24 tháng

Làm cả hai với shared infrastructure và nền tảng GRC:

  • Giảm 30-40% effort ở phần evidence collection (overlap controls)
  • Vẫn cần hai quá trình audit riêng biệt (certification body và CPA firm)
  • Chi phí tư vấn + audit có thể tối ưu xuống 25,000-65,000 USD nếu tận dụng control overlap

Phí nền tảng GRC không bao gồm trong các ước tính trên. Liên hệ nhà cung cấp để có báo giá phù hợp với quy mô tổ chức.

Tiết kiệm chính đến từ: không viết lại policies, không thu thập bằng chứng trùng lặp, và không đào tạo team hai lần về các controls giống nhau.

Khi Nào Không Cần Cả Hai

Trước khi đầu tư vào cả hai frameworks, đáng để xem xét:

Chỉ cần ISO 27001:

  • Công ty nhắm thị trường Nhật, Singapore, EU, Úc
  • Không có pipeline khách hàng Mỹ đáng kể
  • Muốn chứng nhận quốc tế được công nhận rộng nhất

Chỉ cần SOC 2:

  • Công ty SaaS tập trung hoàn toàn thị trường Mỹ/Canada
  • Khách hàng mục tiêu là mid-market và enterprise Mỹ
  • Thị trường Nhật/Singapore chưa trong kế hoạch gần

Cần cả hai:

  • Pipeline khách hàng thực tế từ cả hai nhóm thị trường
  • Đã có hợp đồng hoặc cơ hội cụ thể yêu cầu cả hai
  • Muốn xây nền tảng compliance mạnh cho tăng trưởng 3-5 năm

Điểm Cần Lưu Ý Khi Làm Song Song

Scope consistency Scope của ISO 27001 ISMS và scope của SOC 2 phải nhất quán hoặc được giải thích rõ. Không nhất thiết phải giống hệt nhau (SOC 2 thường hẹp hơn, tập trung vào hệ thống cụ thể phục vụ khách hàng), nhưng gaps cần được giải thích.

Documentation language ISO 27001 và SOC 2 dùng thuật ngữ khác nhau cho các controls tương tự. Khi xây documentation, có thể tham chiếu chéo nhưng cần đảm bảo auditor của mỗi framework có thể tìm thấy những gì họ tìm.

Audit timing Nếu có thể, tránh để hai audits xảy ra cùng lúc. Certification body audit cho ISO 27001 và CPA firm audit cho SOC 2 đồng thời sẽ kéo giãn team.

Commitment từ leadership Làm cả hai frameworks song song đòi hỏi cam kết từ ban lãnh đạo về thời gian, nguồn lực, và ưu tiên. Nếu không có cam kết này, một trong hai sẽ bị xử lý như dự án phụ và kết quả sẽ không tốt.

Chọn nền tảng đúng từ đầu Làm multi-framework bằng tư vấn truyền thống tức là hai hợp đồng riêng biệt, hai bộ tài liệu riêng biệt, và hai lần thu thập evidence cho các controls giống nhau. Nền tảng GRC xử lý control overlap tự động và duy trì single source of truth. Với nền tảng xây dựng cho thị trường US, chi phí subscription thường được thiết kế cho công ty Mỹ, không phải cho công ty Việt Nam đang làm ISO 27001 cho khách hàng Nhật đồng thời SOC 2 cho khách hàng Mỹ. Chi phí và mức hỗ trợ thực tế phụ thuộc vào nền tảng bạn chọn. pTrackly hỗ trợ cả hai frameworks với giá phù hợp thị trường APAC, đặt demo để tính cụ thể cho quy mô của công ty bạn.


Tài liệu tham khảo:

Thẻ:
ISO 27001SOC 2Multi-frameworkCompliance