ISO 27001 là tiêu chuẩn quốc tế về bảo mật thông tin được công nhận rộng rãi nhất. Khác với SOC 2 hay HIPAA, ISO 27001 cấp chứng chỉ thực sự, do tổ chức chứng nhận được accredit phát hành, có giá trị 3 năm với surveillance audit hàng năm.
Đây cũng là tiêu chuẩn được yêu cầu nhiều nhất trong đấu thầu chính phủ và hợp đồng với tập đoàn đa quốc gia tại các thị trường châu Á, châu Âu và Trung Đông.
ISO 27001 là gì
ISO/IEC 27001 do Tổ chức Tiêu chuẩn hóa Quốc tế (ISO) và Ủy ban Kỹ thuật Điện tử Quốc tế (IEC) ban hành. Phiên bản hiện hành là ISO/IEC 27001:2022, thay thế phiên bản 2013.
Tiêu chuẩn yêu cầu tổ chức xây dựng, triển khai, vận hành, giám sát, xem xét, duy trì và cải thiện liên tục một Hệ thống Quản lý An toàn Thông tin (ISMS, Information Security Management System).
Điểm khác biệt cốt lõi so với các framework khác: ISO 27001 dựa trên rủi ro. Tổ chức không cần áp dụng tất cả 93 control trong Annex A, chỉ cần áp dụng những control phù hợp với rủi ro đã xác định và ghi rõ lý do trong Statement of Applicability.
Quy trình chứng nhận ISO 27001
Bước 1: Xác định phạm vi ISMS
Mô tả ranh giới của hệ thống: văn phòng nào, hệ thống IT nào, quy trình nghiệp vụ nào được bao gồm. Phạm vi được ghi nhận trong tài liệu ISMS Scope và là cơ sở cho toàn bộ quá trình sau đó.
Phạm vi hẹp giúp rút ngắn thời gian và chi phí chứng nhận. Nhiều tổ chức bắt đầu với một bộ phận hoặc một dịch vụ cụ thể, sau đó mở rộng phạm vi trong các kỳ tái chứng nhận.
Bước 2: Đánh giá rủi ro
Đây là bước nền tảng của toàn bộ ISMS. Tổ chức cần:
- Xác định tài sản thông tin trong phạm vi
- Nhận diện các mối đe dọa và lỗ hổng liên quan
- Đánh giá xác suất xảy ra và tác động tiềm tàng
- Tính toán mức độ rủi ro và quyết định cách xử lý (chấp nhận, giảm thiểu, chuyển giao, tránh né)
ISO 27001:2022 không quy định một phương pháp đánh giá rủi ro cụ thể, tổ chức chọn phương pháp phù hợp và áp dụng nhất quán.
Bước 3: Xây dựng Statement of Applicability (SoA)
SoA là tài liệu trung tâm của ISO 27001, liệt kê tất cả 93 control từ Annex A cùng với quyết định của tổ chức: áp dụng hay loại trừ, và lý do cho mỗi quyết định đó.
ISO 27001:2022 tổ chức 93 control thành 4 nhóm chủ đề:
- Organizational controls (37 control): Chính sách, vai trò, trách nhiệm, quản lý tài sản
- People controls (8 control): Tuyển dụng, đào tạo, kỷ luật, chấm dứt hợp đồng
- Physical controls (14 control): Kiểm soát vật lý đến cơ sở vật chất và thiết bị
- Technological controls (34 control): Kiểm soát kỹ thuật về hệ thống, mạng và phần mềm
Bước 4: Triển khai ISMS
Xây dựng và triển khai theo kế hoạch xử lý rủi ro:
- Viết chính sách và thủ tục theo yêu cầu của tiêu chuẩn (Information Security Policy, Risk Management Policy, Access Control Policy...)
- Triển khai các control kỹ thuật (kiểm soát truy cập, mã hóa, giám sát, backup)
- Tổ chức đào tạo nhận thức bảo mật cho toàn bộ nhân sự
- Thiết lập quy trình quản lý sự cố và liên tục hoạt động
Bước 5: Internal audit
Kiểm toán nội bộ để tự đánh giá mức độ tuân thủ trước khi mời tổ chức chứng nhận bên ngoài. Internal auditor có thể là nhân sự nội bộ (không phụ trách trực tiếp khu vực được kiểm toán) hoặc đơn vị tư vấn bên ngoài.
Kết quả internal audit xác định các điểm không tuân thủ (nonconformity) và cơ hội cải tiến, cần được xử lý trước certification audit.
Bước 6: Management review
Ban lãnh đạo tổ chức xem xét chính thức kết quả hoạt động của ISMS, bao gồm: kết quả đánh giá rủi ro, kết quả internal audit, sự cố bảo mật, phản hồi từ các bên liên quan và mục tiêu bảo mật. Đây là yêu cầu bắt buộc của tiêu chuẩn, không phải tùy chọn.
Bước 7: Certification audit
Tổ chức chứng nhận được accredit thực hiện hai giai đoạn:
Stage 1 (Document review): Auditor xem xét tài liệu ISMS: scope, chính sách, risk assessment, SoA và các thủ tục chính. Mục tiêu là xác nhận tổ chức đã sẵn sàng cho Stage 2.
Stage 2 (On-site audit): Auditor đánh giá thực tế việc triển khai ISMS. Phỏng vấn nhân sự ở các cấp độ, xem xét bằng chứng triển khai, kiểm tra kỹ thuật. Giai đoạn này có thể phát hiện major nonconformity (ngăn cấp chứng chỉ) hoặc minor nonconformity (cần xử lý trong thời hạn nhất định).
Bước 8: Surveillance audit và tái chứng nhận
Sau khi cấp chứng chỉ (giá trị 3 năm), tổ chức chứng nhận thực hiện surveillance audit năm 1 và năm 2 để đảm bảo ISMS vẫn hoạt động hiệu quả. Cuối năm 3, tổ chức cần tái chứng nhận (recertification audit).
Thời gian và chi phí thực tế
Lịch trình điển hình:
- Gap analysis và lập kế hoạch: 4-8 tuần
- Xây dựng và triển khai ISMS: 4-12 tháng
- Internal audit và management review: 4-8 tuần
- Certification audit (Stage 1 + Stage 2): 2-5 ngày làm việc (tùy quy mô)
- Tổng cộng lần đầu: 9-18 tháng
Chi phí chứng nhận:
- Hãng chứng nhận quốc tế (BSI, TÜV Rheinland, Bureau Veritas): 5.000-30.000 USD tùy quy mô tổ chức
- Surveillance audit hàng năm: 2.000-10.000 USD
- Chi phí tính theo số ngày audit (man-days), xác định bởi IAF MD9 dựa trên số nhân viên và độ phức tạp của scope
Chi phí chuẩn bị:
- Tư vấn xây dựng ISMS: 10.000-40.000 USD (lần đầu)
- Internal effort: thường chiếm 30-50% tổng chi phí, thường bị underestimate
- Công cụ quản lý ISMS: biến động theo giải pháp
Những điểm thường bị bỏ qua
Internal effort thực sự tốn kém hơn dự kiến. ISO 27001 đòi hỏi thời gian đáng kể từ CTO/Security Lead (dẫn dắt risk assessment, làm việc với auditor), Engineering (triển khai control kỹ thuật, thu thập evidence), HR (đào tạo nhân sự, quy trình onboarding/offboarding) và Ban lãnh đạo (management review).
Surveillance audit cũng cần chuẩn bị. Nhiều tổ chức vượt qua certification audit xong rồi để ISMS "nguội dần". Đến surveillance audit năm 1, auditor hỏi về hoạt động trong 12 tháng qua, nếu không có evidence liên tục, nonconformity sẽ xuất hiện.
Phạm vi mở rộng làm tăng chi phí phi tuyến. Mỗi hệ thống hoặc văn phòng thêm vào scope kéo theo thêm control cần triển khai, thêm nhân sự cần đào tạo và thêm ngày audit.
Câu hỏi thường gặp
ISO 27001 có bắt buộc tại Việt Nam không?
Không bắt buộc theo luật chung, nhưng thực tế một số ngành và loại hợp đồng yêu cầu: đấu thầu nhà nước trong lĩnh vực CNTT, hợp đồng với tập đoàn tài chính và ngân hàng, và một số hợp đồng với đối tác nước ngoài.
Chứng chỉ ISO 27001 từ đơn vị nào được công nhận rộng rãi nhất?
Chứng chỉ có giá trị khi đơn vị cấp được accredit bởi tổ chức accreditation quốc gia thành viên IAF (International Accreditation Forum). Tại Việt Nam, các đơn vị phổ biến gồm BSI, TÜV Rheinland, Bureau Veritas và SGS.
ISO 27001:2022 khác gì so với phiên bản 2013?
Phiên bản 2022 tái cấu trúc Annex A từ 114 control (14 nhóm) thành 93 control (4 nhóm chủ đề), bổ sung 11 control mới tập trung vào cloud, threat intelligence và data masking. Tổ chức đang giữ chứng chỉ 2013 cần chuyển đổi sang 2022 trước tháng 10/2025.
Có thể triển khai ISO 27001 mà không cần tư vấn không?
Có thể, nhưng cần có người nội bộ hiểu về risk assessment và quản lý tài liệu. Với tổ chức lần đầu triển khai, tư vấn giúp tránh các lỗi phổ biến và rút ngắn thời gian chuẩn bị đáng kể.