Tiêu chuẩn ISO 27018: Bảo vệ Thông tin cá nhân trong lưu trữ đám mây.

Khi doanh nghiệp ngày càng phụ thuộc vào các dịch vụ đám mây công cộng (public cloud), việc đảm bảo an toàn cho PII – Thông tin nhận dạng cá nhân không còn là tùy chọn, mà là bắt buộc. Để giải quyết được bài toán này thì bộ tiêu chuẩn ISO/IEC 27018 đã được ban hành nhằm cung cấp cho tổ chức, nhà cung cấp dịch vụ cloud (CSP) tuân thủ nguyên tắc về quyền riêng tư, bảo mật và minh bạch trong xử lý dữ liệu.Nội dung chi tiết tiêu chuẩn sẽ được SQC Certifiaction Việt Nam phân tích ở phần tiếp theo.

---

TIÊU CHUẨN ISO/IEC 27018 LÀ GÌ?

ISO/IEC 27018 là một tiêu chuẩn quốc tế được phát triển bởi Tổ chức Tiêu chuẩn hóa Quốc tế (ISO) và Ủy ban Kỹ thuật Điện Quốc tế (IEC). Bộ tiêu chuẩn này là một phần mở rộng của tiêu chuẩn ISO/IEC 27001, ISO/IEC 27018 tập trung vào việc thiết lập các nguyên tắc và biện pháp kiểm soát để bảo vệ dữ liệu cá nhân trên đám mây công cộng.

Mục tiêu của ISO/IEC 27018 là thiết lập các nguyên tắc và biện pháp kiểm soát nhằm bảo vệ thông tin nhận dạng cá nhân (PII) của người dùng khi được xử lý bởi các nhà cung cấp dịch vụ đám mây công cộng. Tiêu chuẩn này đặc biệt hữu ích cho các nhà cung cấp dịch vụ cloud, khi họ hoạt động với vai trò là bên xử lý PII thay mặt cho khách hàng.

Hiểu một số thuật ngữ quan trọng:

• PII (Personally Identifiable Information): Thông tin nhận dạng cá nhân – bất kỳ dữ liệu nào có thể xác định một người cụ thể (họ tên, địa chỉ, số định danh,…).
• PII Controller (Bên kiểm soát PII): Là đơn vị quyết định mục đích và phương thức xử lý dữ liệu cá nhân.
• PII Processor (Bên xử lý PII): Thực hiện việc xử lý dữ liệu thay mặt và theo hướng dẫn của PII Controller.
• PII Principal: Chính là cá nhân mà thông tin PII liên quan đến.

Kết nối với chuyên gia

---

TẠI SAO TỔ CHỨC CỦA BẠN CẦN PHẢI CÓ ISO 27018 

Khi các tổ chức ngày càng phụ thuộc vào nền tảng điện toán đám mây, việc xử lý và lưu trữ thông tin nhận dạng cá nhân (PII) không chỉ cần đảm bảo an toàn mà còn phải tuân thủ các yêu cầu pháp lý ngày càng chặt chẽ. Đó chính là lý do vì sao ISO/IEC 27018 ra đời.

Việc các tổ chức cần thiết phải xử lý dữ liệu cá nhân trong môi trường đám mây có thể phải tuân thủ thêm nhiều quy định, chẳng hạn như:

• Quy định theo khu vực địa lý: Ví dụ như Quy định Bảo vệ Dữ liệu Chung của EU (GDPR)
• Quy định theo ngành: Ví dụ như HIPAA trong lĩnh vực y tế

Để giải quyết các yêu cầu đặc thù này, ISO đã phát triển ISO/IEC 27018 như một công cụ hỗ trợ cụ thể, rõ ràng và có thể kiểm toán.

Với những khách hàng của các tổ chức này có thể chọn sử dụng dịch vụ xử lý PII dựa trên đám mây và được quản lý tốt. Vì tiêu chuẩn này cũng nhấn mạnh vào việc ghi lại sự phân bổ các vai trò và trách nhiệm liên quan đến PII giữa nhà cung cấp dịch vụ đám mây và khách hàng sử dụng dịch vụ đám mây, nên tiêu chuẩn này sẽ giúp họ ký kết thỏa thuận hợp đồng. Tiêu chuẩn ISO/IEC 27018 này cũng cung cấp cho khách hàng sử dụng dịch vụ đám mây một cơ chế để thực hiện các quyền và trách nhiệm kiểm toán và tuân thủ.

---

PHẠM VI CỦA TIÊU CHUẨN ISO/IEC 27018

Bộ tiêu chuẩn ISO/IEC 27018 chính là tiêu chuẩn quốc tế được xây dựng nhằm bảo vệ thông tin nhận dạng cá nhân (PII) khi dữ liệu này được xử lý trên nền tảng đám mây công cộng (public cloud) bởi các bên cung cấp dịch vụ đóng vai trò là bên xử lý dữ liệu (PII Processor).

Cụ thể, phạm vi áp dụng của tiêu chuẩn bao gồm:

Các nhà cung cấp dịch vụ đám mây công cộng (Cloud Service Providers) cung cấp các dịch vụ như SaaS, PaaS, IaaS cho khách hàng và có xử lý dữ liệu PII thay mặt cho khách hàng.

Phạm vi dữ liệu được bảo vệ

Tiêu chuẩn tập trung vào việc bảo vệ PII – Personally Identifiable Information, bao gồm:

• Thông tin cá nhân (họ tên, địa chỉ, số điện thoại, email, mã số định danh,…)
• Dữ liệu vị trí, hồ sơ sức khỏe, sinh trắc học, thói quen tiêu dùng,…
• Mọi thông tin có thể được sử dụng để nhận diện hoặc theo dõi một cá nhân

---

5 NỘI DUNG CỦA BỘ TIÊU CHUẨN ISO/IEC 27018

Bộ tiêu chuẩn ISO/IEC 27018 chính là một phần mở rộng của ISO/IEC 27001 và ISO/IEC 27002. Hệ thống này hiện nay được thiết kế dành riêng cho các nhà cung cấp dịch vụ đám mây công cộng xử lý thông tin nhận dạng cá nhân (PII). Nội dung của bộ tiêu chuẩn tập trung vào việc áp dụng các nguyên tắc bảo vệ quyền riêng tư, với các điều khoản rõ ràng về trách nhiệm và biện pháp kiểm soát bảo mật. SQC Certification xin chia sẻ cho bạn về nội dung của bộ tiêu chuẩn này:

1. Nguyên tắc bảo vệ thông tin cá nhân

Tiêu chuẩn ISO/IEC 27018 có đưa ra các nguyên tắc cơ bản mà nhà cung cấp dịch vụ cloud phải tuân thủ, bao gồm:

• Chỉ thu thập và xử lý PII khi có cơ sở hợp pháp rõ ràng
• Giới hạn mục đích sử dụng PII
• Cung cấp khả năng truy cập, chỉnh sửa và xóa dữ liệu cho chủ thể dữ liệu (PII Principal)
• Không sử dụng PII cho mục đích tiếp thị mà không có sự đồng ý của chủ thể

2. Các biện pháp kiểm soát kỹ thuật và tổ chức

Tiêu chuẩn ISO/IEC 27018 yêu cầu áp dụng các biện pháp kiểm soát để bảo vệ dữ liệu PII như việc mã hóa dữ liệu khi lưu trữ và truyền tài, Quản lý việc truy cập chặt chẽ và phân rõ ràng quyền hạn. Giám sát cũng như ghi nhận nhật ký hoạt động truy cập và xử lý dữ liệu. vv

3. Trách nhiệm giữa bên cung cấp dịch vụ và khách hàng

Hiện nay bộ tiêu chuẩn ISO/IEC 27018 có nhấn mạnh đến việc minh bạch hóa vai trò, trách nhiệm giữa các bên bao gồm:

• Bên kiểm soát PII (PII Controller) – người quyết định mục đích và cách thức xử lý dữ liệu
• Bên xử lý PII (PII Processor) – nhà cung cấp dịch vụ cloud thực hiện xử lý dữ liệu thay mặt

Tiêu chuẩn ISO/IEC 27018 hiện có đưa ra những yêu cầu có hợp đồng rõ ràng, thể hiện trách nhiệm, giới hạn xử lý và điều khoản kiểm tra, giám sát.

4. Quyền và cơ chế kiểm toán, giám sát

Cho phép khách hàng có quyền kiểm tra, đánh giá việc tuân thủ bảo mật PII của nhà cung cấp. Ngoài ra còn cung cấp báo cáo minh bạch về các chính sách bảo mật rõ ràng. Bên cạnh đó

Cung cấp báo cáo minh bạch, chính sách bảo mật rõ ràng

Có quy trình xử lý yêu cầu từ chủ thể dữ liệu (ví dụ: yêu cầu xóa dữ liệu, cung cấp thông tin, khiếu nại…)

5. Tương thích với các tiêu chuẩn và quy định khác

Nội dung ISO/IEC 27018 hỗ trợ doanh nghiệp tuân thủ về mặt pháp lý với những quy định như: GDPR (EU), CCPA (Mỹ), PDPA (Singapore, Thái Lan,…). Ngoài ra còn hài hòa với các hệ thống quản lý khác như ISO 27001, 27002, nâng cao độ tin cậy và tính tích hợp trong hệ thống bảo mật thông tin.

Kết nối với chuyên gia

---

LỢI ÍCH KHI DOANH NGHIỆP ÁP DỤNG ISO/IEC 27018

Khi mà khi dữ liệu cá nhân (PII) ngày càng được lưu trữ và xử lý trên các nền tảng đám mây, việc đảm bảo an toàn thông tin trở thành yếu tố sống còn đối với mọi tổ chức. ISO/IEC 27018. Đối với doanh nghiệp đang xử lý hoặc lưu trữ PII trên đám mây, việc thực hiện đánh giá tuân thủ theo ISO/IEC 27018 giúp:

• Xác định các lỗ hổng tiềm ẩn trong kiến trúc bảo mật
• Ưu tiên khắc phục rủi ro một cách có hệ thống và hiệu quả

5 Lợi ích nổi bật của chứng nhận ISO/IEC 27018

• Tuân thủ thực hành quốc tế về bảo vệ dữ liệu cá nhân

Việc áp dụng ISO/IEC 27018 có thể giúp tổ chức thiết lập các biện pháp bảo vệ PII phù hợp với các nguyên tắc toàn cầu, tạo dựng một môi trường xử lý dữ liệu an toàn và minh bạch.

• Giảm thiểu rủi ro vi phạm và bảo vệ uy tín thương hiệu

Chứng nhận giúp kiểm soát chặt chẽ quy trình truy cập, truyền tải và lưu trữ PII trên nền tảng đám mây, từ đó giảm thiểu khả năng xảy ra sự cố rò rỉ dữ liệu – vốn có thể dẫn đến hậu quả pháp lý và tổn thất hình ảnh nghiêm trọng.

• Tăng cường lợi thế cạnh tranh trên thị trường

Trong bối cảnh các đối tác và khách hàng ngày càng ưu tiên lựa chọn nhà cung cấp có hệ thống bảo mật minh bạch, việc sở hữu chứng nhận ISO/IEC 27018 giúp doanh nghiệp nổi bật và dễ dàng tiếp cận các hợp đồng có yêu cầu cao về bảo mật thông tin.

• Làm rõ vai trò và trách nhiệm với dữ liệu PII

Tiêu chuẩn ISO/IEC 27018 có đưa ra những thiết lập ranh giới rõ ràng giữa trách nhiệm của nhà cung cấp dịch vụ cloud và khách hàng, giảm thiểu tranh chấp và hiểu lầm trong quá trình hợp tác.

• Củng cố niềm tin với khách hàng và đối tác

Chứng nhận từ tổ chức SQC Certification không chỉ khẳng định cam kết của doanh nghiệp trong việc bảo vệ thông tin cá nhân, mà còn giúp rút ngắn quá trình đánh giá, phê duyệt từ khách hàng – đặc biệt là các tổ chức lớn có yêu cầu tuân thủ nghiêm ngặt.

---

CÁC BƯỚC XÂY DỰNG HỆ THỐNG ISO/IEC 27018 

Việc triển khai ISO/IEC 27018 không chỉ giúp tổ chức bảo vệ dữ liệu cá nhân (PII) trên nền tảng đám mây một cách hiệu quả, mà còn củng cố niềm tin của khách hàng và đối tác. Tuy nhiên, để đạt được chứng nhận này một cách trọn vẹn và hiệu quả, doanh nghiệp cần thực hiện theo một lộ trình bài bản và có chiến lược. SQC Certification xin chia sẻ đến bạn về các bước xây dựng Hệ thống ISO/IEC 27018 như sau:

Bước 1: Đánh giá hiện trạng hệ thống

Tổ chức của bạn cần phải xác định một cách rõ ràng về việc thu thập, lưu trữ và xử lý bất kỳ thông tin cá nhân nào dạng (PII) nào trên nền tảng đám mây. Sau đó so sánh tốt các hiện trạng với các yêu cầu của bộ tiêu chuẩn ISO/IEC 27018 để phát hiện các điểm chưa phù hợp hoặc thiếu sót cần cải thiện.

Bước 2: Hiểu rõ các khái niệm cốt lõi

Tổ chức của bạn cần phải làm rõ vai trò của bên kiểm soát dữ liệu (PII Controller) và bên xử lý dữ liệu PII Processor và trách nhiệm pháp lý kèm theo đó.

Bước 3: Thiết kế và cập nhật Hệ thống Quản lý

Các tổ chức cần xây dựng và thiết lập chính sách, quy trình cũng như thủ tục bảo vệ dữ liệu cá nhân thật sự phù hợp với bộ tiêu chuẩn ISO/IEC 27018.

Việc tích hợp với hệ thống ISO/IEC 27001 hoặc 27002 nếu doanh nghiệp đã triển khai sẵn. Ngoài ra cần phân định rõ quyền truy cập, phân quyền và các biện pháp mã hóa, giám sát.

Bước 4: Đào tạo và nâng cao nhận thức

Tổ chức đào tạo nội bộ cho các bộ phận liên quan đến dữ liệu, CNTT, pháp lý và nhân sự. Xây dựng văn hóa tuân thủ và bảo vệ thông tin trong toàn doanh nghiệp.

Bước 5: Kiểm tra nội bộ và đánh giá rủi ro

Thực hiện đánh giá rủi ro liên quan đến việc xử lý PII trên đám mây. Kiểm tra nội bộ nhằm phát hiện kịp thời điểm không phù hợp và cải tiến trước khi đánh giá chính thức.

Bước 6: Đăng ký chứng nhận với bên thứ 3

Lựa chọn tổ chức chứng nhận uy tín như SQC Certification, BSI, SGS…vv. Chuẩn bị hồ sơ chứng minh sự phù hợp của hệ thống và phối hợp chặt chẽ trong quá trình đánh giá chứng nhận.

Bước 7: Duy trì, cải tiến hệ thống liên tục

Tổ chức của bạn cần phải xây dựng quy trình giám sát định kỳ, xử lý sự cố và cập nhật hệ thống theo các thay đổi công nghệ và pháp lý. Đảm bảo ISO/IEC 27018 không chỉ là chứng nhận, mà là một phần trong chiến lược bảo mật dài hạn.

Kết nối với chuyên gia

---

DỊCH VỤ CHỨNG NHẬN ISO 27018 TẠI SQC CERTIFICATION

 

---