ISO 27701: Quản lý quyền riêng tư của hệ thống quản lý an toàn thông tin

Trong thời đại mới ngày ngay, quyền riêng tư tại nơi làm việc là mối quan tâm hàng đầu của người lao động và người sử dụng lao động. Thông qua máy tính hoặc các thiết bị máy tính tại nơi làm việc từ xa, doanh nghiệp theo dõi hoạt động của nhân viên và thu thập dữ liệu nhân viên như một bước trong quy trình quản lý rủi ro. ISO 27701 là phần mở rông về sự riêng tư của từ ISO 27001. Tiêu chuẩn này còn khá mới mẻ đối với doanh nghiệp tại Việt Nam. Bài viết dưới đây GOOD Việt Nam sẽ làm rõ vai trò quan trọng để doanh nghiệp hiểu được vì sao lại cần áp dụng tiêu chuẩn ISO 27701 cho hệ thống quản lý của doanh nghiệp.

Khái niệm tiêu chuẩn ISO 27701:2019 là gì?

ISO 27701 hay còn gọi ISO/IEC 27701 được coi là một phần mở rộng bao gồm các tiêu chí về quyền riêng tư của hệ thống quản lý an toàn thông tin theo ISO/IEC 27001 và ISO/IEC 27002 (Kiểm soát an ninh). Tiêu chuẩn quốc tế ISO 27701 cung cấp các hướng dẫn về bảo vệ quyền riêng tư và xử lý dữ liệu cá nhân. Áp dụng thành công tiêu chuẩn ISO 27701 là minh chứng về sự tuân thủ các quy định bảo vệ dữ liệu trên thế giới.

Thế nào là quản lý quyền riêng tư theo ISO 27701:2019

Trái ngược với tiêu chuẩn ISO 27001, quản lý cho một hệ thống quản lý riêng tư không chỉ đề cập tới bảo mật thông tin mà là bảo mật thông tin và quyền riêng tư.  Ví dụ: Khi nhắc tới bối cảnh của tổ chức doanh nghiệp, các luật bảo vệ dữ liệu liên quan và các quyết định của tòa án phải được đến cùng các yếu tố khác. Tương tự như việc đánh giá rủi ro phải tính đến các tiêu chí liên quan đến xử lý dữ liệu cá nhân.

ISO 27701 chỉ có thể được chứng nhận cùng với hệ thống quản lý an ninh thông tin theo ISO 27001. Điều  5 và 31 của Quy định chung về bảo vệ dữ liệu của Châu Âu (GDPR) đưa ra các yêu cầu sự tuân thủ có thể được chứng minh bằng cách thực hiện quản lý bảo vệ dữ liệu hệ thống phù hợp với tiêu chuẩn ISO 27701. 

Sự khác biệt chính giữa ISO 27001 và ISO 27701 là gì?

SO 27001 và ISO 27701 đều là các tiêu chuẩn liên quan đến bảo mật thông tin và quyền riêng tư, nhưng chúng tập trung vào các khía cạnh khác nhau. Sau đây là những điểm khác biệt chính giữa hai tiêu chuẩn này:

Yêu cầu về tài liệu

• ISO 27001 : Yêu cầu tài liệu liên quan đến ISMS, bao gồm các chính sách, quy trình và đánh giá rủi ro.
• ISO 27701 : Yêu cầu tài liệu bổ sung tập trung vào các quy trình liên quan đến quyền riêng tư, bao gồm cách xử lý dữ liệu cá nhân và quyền của chủ thể dữ liệu.

Những cân nhắc của bên liên quan

• ISO 27001 : Chủ yếu giải quyết nhu cầu của các bên liên quan đến bảo mật thông tin, bao gồm nhóm CNTT và bảo mật.
• ISO 27701 : Có sự tham gia của nhiều bên liên quan hơn, bao gồm các nhân viên bảo vệ quyền riêng tư, nhóm pháp lý và chủ thể dữ liệu, do tập trung vào dữ liệu cá nhân.

Tóm lại, trong khi ISO 27001 tập trung vào quản lý bảo mật thông tin chung, ISO 27701 mở rộng khuôn khổ này để nhấn mạnh quản lý quyền riêng tư và tuân thủ các quy định về bảo vệ dữ liệu. Các tổ chức doanh nghiệp  có thể chọn triển khai cả hai tiêu chuẩn để giải quyết toàn diện các mối quan tâm về bảo mật thông tin và quyền riêng tư. 

=> Tham khảo thêm nội dung về ISO 27001 để hiểu rõ hơn sự khác nhau giữa hai tiêu chuẩn

Yêu cầu của tiêu chuẩn ISO 27701:2019

Tiêu chuẩn ISO 27701 cũng áp dụng phương pháp tiếp cận theo chu trình PDCA ( Plan – Do – Check – Act). Nội dung của tiêu chuẩn gồm 10 phần, trong đó 3 phần đầu là giới thiệu và 7 phần còn lại liên quan tới việc đánh giá để triển khai ISO 27701.

Phần 4: Bối cảnh của tổ chức

Xác định các quy trình và hoạt động của doanh nghiệp có liên quan tới tiêu chuẩn 27701 => đảm bảo hệ thống quản lý quyền riêng tư được xác định rõ ràng

Phần 5: Lãnh đạo

Phần này làm nổi bật vai trò của ban quản lý cấp cao và chuyên gia đánh giá trong quá trình thực hiện. Mục đích chính là nêu rõ trách nhiệm của 2 bên để tránh cho việc xung đột xảy ra

Phần 6: Lập kế hoạch

Đây là bước đặt mục tiêu cho hệ thống quản lý và phân tích rủi ro để loại bỏ khỏi hệ thống của doanh nghiệp

Phần 7: Hỗ trợ

Đảm bảo tổ chức doanh nghiệp có các công cụ, công nghệ và nguồn lực để triển khai ISO 27701. Trong phần này cũng đề cập tới năng lực, nhận thức và cách duy trình kiểm soát dữ liệu được ghi lại

Phần 8: Hoạt động

Tập trung vào các quy trình hoạt động và theo dõi tiến độ hướng tới mục tiêu. Yêu cầu chính: đánh giá rủi ro thường xuyên

Phần 9: Đánh giá hiệu suất

Nội dung của phần này chủ yếu nói về việc tự đánh giá thường xuyên hệ thống quản lý, đảm bảo các sắp xếp, quy trình và kiểm soát có hiệu quả. Thực hiện giám sát định kỳ tất cả các quy trình và hoạt động để quản lý quyền riêng tư cho phù hợp.

Phần 10: Cải tiến

Thúc đẩy việc cải tiến liên tục hệ thống quản lý quyền riêng tư để giảm thiểu rủi ro một cách hiệu quả. 

5 biện pháp kiểm soát trong ISO 22701:2019

Tổng cộng có 184 biện pháp kiểm soát được đưa vào ISO/IEC 27701 nhưng trong bài viết này sẽ chia làm 5 loại chính. 

• Quản lý an ninh: Các biện pháp kiểm soát này chịu trách nhiệm tạo ra và duy trì một hệ thống quản lý bảo mật mạnh mẽ . Đây là nền tảng cho việc bảo vệ dữ liệu theo yêu cầu chứng nhận ISO 27701.
• Quản lý sự cố an ninh thông tin:  Các biện pháp kiểm soát này cho bạn biết cách quản lý các sự cố đe dọa đến bảo mật dữ liệu theo yêu cầu chứng nhận ISO 27701
• Kiểm soát an ninh thông tin: Bao gồm các tiêu chuẩn kỹ thuật bảo vệ thông tin của bạn khỏi việc truy cập, sử dụng, tiết lộ và/hoặc phá hủy trái phép.
• Quản lý tính liên tục kinh doanh: Điều này nhằm đảm bảo doanh nghiệp có thể tiếp tục hoạt động ngay cả khi gặp phải những sự cố bất ngờ.
• Quản lý rủi ro an ninh thông tin

Làm thế nào để đạt chứng nhận ISO 27701:2019

Để có được chứng nhận ISO 27701 kết hợp với chứng nhận ISO 27001 , bạn phải hiểu cách hai khuôn khổ này liên kết và tích hợp với nhau. Quá trình bắt đầu bằng việc có được chứng nhận ISO 27001, sau đó là triển khai các biện pháp thực hành tốt nhất về quyền riêng tư được đề cập trong ISO 27701.

Bước 1: Đảm bảo sự tham gia của các bên liên quan

Đầu tiên, bạn cần có sự chấp thuận từ các bên liên quan – những người ra quyết định nắm giữ chìa khóa tương lai doanh nghiệp của bạn. ISO 27001 không phải là một cuộc hành trình đơn lẻ đó là nỗ lực của cả nhóm trải dài trên nhiều phòng ban và cấp quản lý.

Vì vậy, hãy tập hợp nhóm của bạn, từ những nhà quản lý cấp cao đến nhân viên tuyến đầu. Tóm tắt cho họ về các nhiệm vụ sắp tới và tầm quan trọng của vai trò của họ. 

Bước 2: Tiến hành đánh giá rủi ro

Đánh giá rủi ro cung cấp cho bạn bức tranh tổng thể rõ ràng về tình trạng bảo mật của doanh nghiệp. Từ đó tổ chức có thể phát hiện ra các lỗ hổng và quan trọng hơn là ưu tiên chúng dựa trên rủi ro mà chúng gây ra cho doanh nghiệp của bạn.

Bước 3: Tiến hành đánh giá khoảng cách 

Bạn cần tiến hành đánh giá khoảng cách liên quan đến ISO/IEC 27001 , ISO/IEC 27002 và 27701 để tìm ra biện pháp kiểm soát nào còn thiếu..

Đánh giá khoảng cách sẽ tiết lộ các biện pháp kiểm soát ISO 27001 mà bạn đã triển khai. Đánh giá rủi ro của bạn có thể sẽ nêu bật nhiều biện pháp kiểm soát này là cần thiết để giảm thiểu các rủi ro đã xác định. Tất cả là về việc đảm bảo bạn đang đi đúng hướng.

Bước 4: Triển khai các điều khiển còn thiếu

Bước tiếp theo là triển khai các biện pháp kiểm soát quyền riêng tư còn thiếu để bạn biết được khoảng cách ở đâu.

Bạn có chính sách bảo mật thông tin phù hợp không ? Hệ thống của bạn có bao gồm bảo mật nguồn nhân lực phù hợp không?

Không chỉ vậy, còn có 114 biện pháp kiểm soát trong ISO 27001 và ISO 27701 có tổng cộng 184 biện pháp kiểm soát. Hãy bắt đầu lập kế hoạch triển khai cho biện pháp này.

Bước 5: Tạo kế hoạch thực hiện

Việc triển khai không chỉ là về số liệu và bảng tính. Thường thì đó là sự chuyển đổi toàn công ty và sự thay đổi có thể gặp phải sự phản kháng, đặc biệt là đối với quản lý quyền riêng tư.

Trước khi triển khai, hãy làm quen với nhóm của bạn với các biện pháp tốt nhất để tạo ra môi trường kinh doanh an toàn. Một cách hiệu quả để thực hiện điều này là thông qua các chương trình đào tạo bảo mật định kỳ.

Các chương trình này trang bị cho nhóm của bạn kiến ​​thức và kỹ năng để nắm bắt những thay đổi, góp phần tạo ra môi trường làm việc an toàn hơn, bảo mật hơn và hướng tới các yêu cầu chứng nhận ISO 27701.

Bước 6: Đánh giá hiệu suất

Hãy nhớ kiểm tra hiệu suất thường xuyên khi bạn đang triển khai các biện pháp bảo mật để quản lý quyền riêng tư.

Phân tích báo cáo hiệu suất của bạn theo định kỳ.

Bước này giúp bạn hiểu được nơi bạn vẫn có thể gặp rủi ro. Tại sao điều này lại quan trọng trong quá trình chứng nhận? Bởi vì những lỗ hổng này có thể ảnh hưởng trực tiếp đến cuộc đánh giá cuối cùng của bạn với một đánh giá viên bên ngoài.

Bước 7: Thực hiện đánh giá nội bộ

Bây giờ bạn đã thiết lập tất cả các hệ thống của mình và chỉ định đúng người để quản lý chúng, tiếp theo là gì? Vâng, việc theo dõi chặt chẽ các nỗ lực tuân thủ của bạn là rất quan trọng. Bạn có thể đưa một chuyên gia bên ngoài hoặc một đánh giá viên nội bộ có trình độ để kiểm tra mọi thứ.

Kiểm toán nội bộ này sẽ kiểm tra thực tế doanh nghiệp của bạn. Nó cung cấp cho bạn cái nhìn khách quan về việc bạn đang làm tốt như thế nào với hệ thống an ninh của mình. Ngoài ra, nó giúp bạn thấy được nơi bạn cần cải thiện.

Sau khi nhận được kết quả kiểm tra, hãy sử dụng chúng để tinh chỉnh các biện pháp kiểm soát bảo mật, đám mây công cộng, quy tắc thực hành và các yêu cầu nội bộ.

Bước 8: Chọn bên đánh giá thứ ba

Đây là lúc bạn chọn một đánh giá viên bên thứ ba giỏi để tiến hành đánh giá cuối cùng. Việc này diễn ra theo cách sau:

Kiểm tra sơ bộ

Đầu tiên, một đánh giá viên được chứng nhận ISO sẽ xem xét kỹ lưỡng tổ chức của bạn. Họ sẽ tìm hiểu các yêu cầu pháp lý, cách thức hoạt động, quy trình hành chính và tất cả các chi tiết kỹ thuật. Đây là cuộc kiểm tra kỹ lưỡng để xem tổ chức của bạn có tuân thủ các tiêu chuẩn ISO 27001 hay không.

Trong giai đoạn này, họ sẽ xem xét ISMS , Tuyên bố về khả năng áp dụng (SOA), báo cáo rủi ro bảo mật và kế hoạch khắc phục mọi sự cố hoặc rủi ro. Họ sẽ chuyển sang các kỹ thuật bảo mật tiếp theo nếu mọi thứ có vẻ ổn. Nhưng nếu họ vẫn cần, họ sẽ yêu cầu bạn cải thiện các lĩnh vực cụ thể trước khi bạn bắt đầu.

Đánh giá chuyên sâu

Ở giai đoạn thứ hai, đánh giá viên sẽ đi sâu hơn vào một bộ quy tắc thực hành. Họ đánh giá mức độ triển khai ISMS của bạn. Họ kiểm tra xem ISMS có phù hợp với nhu cầu của tổ chức bạn không và các kỹ thuật bảo mật của bạn có hiệu quả như thế nào trong việc bảo vệ chống lại các mối đe dọa mạng.

Với sự trợ giúp của các dịch vụ chứng nhận, đánh giá viên sẽ tỉ mỉ đối chiếu các biện pháp kiểm soát mà bạn đã áp dụng với bằng chứng họ tìm thấy. Họ muốn đảm bảo rằng những gì được viết trên giấy khớp với những gì đang diễn ra trong môi trường kinh doanh thực tế của bạn.

Bước 9: Báo cáo đánh giá và chứng nhận

Nếu chuyên gia đánh giá hài lòng với ISMS của doanh nghiệp trong quá trình đánh giá chứng nhận, các kế hoạch bảo vệ và khắc phục, cũng như các bằng chứng họ đã thu thập được và nếu họ không phát hiện ra bất kỳ vấn đề lớn nào, bạn đang trên đường đạt được chứng nhận ISO 27001 với tiêu chuẩn quản lý bảo mật phù hợp .

Bước 10: Thiết lập giám sát 

• About
• Latest Posts

Nguyễn Đỗ Sơn

Manager - Auditor at GOOD VIỆT NAM

Luật sư Nguyễn Đỗ Sơn có kinh nghiệm làm việc và quản lý nhiều công ty ở nhiều lĩnh vực khác nhau. Với kinh nghiệm triển khai hệ thống, đào tạo và nâng cao năng suất, Luật Sư Nguyễn Đỗ Sơn hiện tại là Giám Đốc Điều Hành, chuyên gia trong lĩnh vực triển khai hệ thống quản lý đào tạo cho doanh nghiệp

Latest posts by Nguyễn Đỗ Sơn (see all)

• ISO 27701: Quản lý quyền riêng tư của hệ thống quản lý an toàn thông tin - 13/03/2025
• Tiêu chuẩn ISO 22301: Hệ thống quản lý tính liên tục cho doanh nghiệp - 06/03/2025
• Thử nghiệm REACH SVHC – quy định, phương pháp và lợi ích cho doanh nghiệp - 14/02/2025