ISO 27001: Chuẩn Bảo Mật Thông Tin Quốc Tế
Khách hàng enterprise hỏi: "Công ty bạn có chứng nhận ISO 27001 không?" — và câu trả lời "không" có thể mất hợp đồng triệu đô. Theo khảo sát IT Governance 2024, 70% tổ chức enterprise yêu cầu vendors phải có ISO 27001 hoặc chứng nhận bảo mật tương đương trước khi ký hợp đồng. ISO 27001 là tiêu chuẩn quốc tế cho Information Security Management System (ISMS) — chứng minh doanh nghiệp có quy trình bảo mật bài bản, không chỉ "nhờ cái firewall" mà có hệ thống quản trị rủi ro, chính sách, kiểm soát và cải tiến liên tục.
ISO 27001 Là Gì? Và Không Phải Là Gì?
ISO 27001 (phiên bản mới nhất: 2022) là management system framework — nó không nói "dùng firewall X" hay "cài antivirus Y." Nó yêu cầu: identify risks → implement controls → monitor effectiveness → continuously improve (PDCA — Plan-Do-Check-Act cycle). Doanh nghiệp tự chọn controls phù hợp với risk profile riêng — startup fintech cần controls khác nhà máy sản xuất, bệnh viện cần controls khác agency marketing. ISO 27001 không phải checklist cứng nhắc — nó là framework linh hoạt, áp dụng cho mọi quy mô tổ chức.
ISO 27001:2022 vs 2013 — Có Gì Mới?
Phiên bản 2022 cập nhật đáng kể so với 2013: Annex A giảm từ 114 controls (14 categories) xuống 93 controls (4 themes). 11 controls mới được thêm phản ánh landscape hiện đại: threat intelligence, cloud security, data masking, secure coding, web filtering, monitoring activities. Thay đổi tổ chức: controls nhóm theo 4 themes thay vì 14 domains — dễ hiểu và áp dụng hơn. Tổ chức có certification 2013 phải chuyển đổi sang 2022 trước tháng 10/2025.
Annex A: 93 Controls (4 Themes)
👥 Organizational (37)
Information security policies, roles & responsibilities, threat intelligence, asset management, supplier security, cloud service agreements, business continuity planning, legal compliance. Đây là nhóm lớn nhất — bảo mật bắt đầu từ tổ chức, không phải từ technology.
🧑 People (8)
Background screening trước khi tuyển dụng, terms of employment bao gồm security obligations, security awareness training định kỳ (ít nhất annual), disciplinary process cho violations, responsibilities sau khi nghỉ việc (revoke access, return assets). Con người là weak link phổ biến nhất.
🏢 Physical (14)
Physical security perimeters, entry controls (badge, biometric), securing offices và server rooms, equipment protection, cabling security, secure disposal media (wipe ổ cứng trước khi bán/donate). Applicable cho cả on-premise data center và co-location facilities.
💻 Technological (34)
User endpoint security, privileged access management, authentication mechanisms (MFA), malware protection, backup procedures, logging & monitoring, network security, secure development lifecycle, data masking & DLP (data loss prevention), vulnerability management, configuration hardening.
Quy Trình Chứng Nhận 4 Phase
Phase 1 — Gap Analysis & ISMS Build (3-6 tháng): Đánh giá hiện trạng vs yêu cầu ISO 27001. Xây dựng ISMS: chính sách bảo mật tổng thể, risk assessment methodology, risk treatment plan, Statement of Applicability (SoA — liệt kê 93 controls, applicability và justification cho mỗi control), implement controls thiếu. Đây là phase tốn effort nhất.
Phase 2 — Internal Audit & Management Review (1-2 tháng): Tự kiểm tra ISMS trước khi auditor external đến. Internal auditor (hoặc consultant) kiểm tra evidence cho mọi controls. Management review: leadership team review kết quả audit, quyết định corrective actions. Fix tất cả non-conformities trước Phase 3.
Phase 3 — External Audit (1 tháng): Certification body (BSI, TÜV, SGS, Intertek) thực hiện audit 2 stages. Stage 1: review documentation — policies, procedures, SoA, risk assessment. Stage 2: on-site audit — interview nhân viên, kiểm tra evidence thực tế, observe processes. Nếu pass → nhận certificate.
Phase 4 — Maintain & Improve (Ongoing): Certificate valid 3 năm. Surveillance audit hàng năm (năm 1 và năm 2). Recertification audit sau 3 năm. Continuous improvement required: review policies khi có thay đổi, update risk assessment, train nhân viên mới.
Chi Phí & ROI Tại Việt Nam
Chi phí SME (50-200 nhân viên): Consultant: 200-500 triệu VND. Certification body fee: 100-300 triệu VND. Internal effort: 6-12 tháng part-time (1-2 người dedicated). Tools (GRC platform, scanning): 50-100 triệu/năm. Tổng estimate: 400-900 triệu VND cho lần đầu.
ROI thực tế: Win enterprise contracts yêu cầu ISO 27001 — nhiều tender lớn loại vendors không có cert ngay vòng đầu. Giảm 50-70% incident response time nhờ có documented procedures. Giảm data breach risk (chi phí trung bình 1 breach: $4.45 triệu — IBM 2024). Insurance premium giảm 10-25%. Employee security awareness cải thiện rõ rệt. Customer trust tăng — đặc biệt với khách hàng nước ngoài.
BanhCuonFlow Hỗ Trợ ISO 27001
BanhCuonFlow không phải GRC (Governance, Risk, Compliance) tool — nhưng nó implement nhiều Annex A controls out-of-the-box: Access control (A.8.2-8.5) — RBAC đa chiều, row-level security, least privilege. Logging & monitoring (A.8.15-8.16) — audit trail ghi mọi action, structured logs. Data protection (A.8.10-8.12) — encryption at rest cho DB, on-premise deployment option. Secure development (A.8.25-8.28) — CI/CD pipeline, code review enforced, dependency scanning. Backup (A.8.13) — PostgreSQL WAL archiving, daily snapshots, tested restore procedures. Dùng BanhCuonFlow = đã cover 15+ Annex A controls.