Bộ tiêu chuẩn ISO/IEC 27018 chính là bộ tiêu chuẩn quốc tế đầu tiên tập trung vào bảo vệ thông tin cá nhân (PII) trong môi trường điện toán đám mây. Từ khi ra đời cho đến nay bộ tiêu chuẩn ISO/IEC 27018 đóng vai trò quan trọng trong việc củng cố niềm tin của khách hàng và nâng cao năng lực quản lý rủi ro bảo mật thông tin cho các nhà cung cấp dịch vụ đám mây. Để hỗ trợ doanh nghiệp đạt được chứng nhận này nhanh chóng, SQC Certification xin chia sẻ cho bạn về các Checklist Tiêu chuẩn ISO/IEC 27018
Tiêu chuẩn ISO/IEC 27018:2019 là gì?
Bộ tiêu chuẩn ISO/IEC 27018:2019 là tiêu chuẩn quốc tế được ban hành bởi Tổ chức Tiêu chuẩn hóa Quốc tế (ISO) và Ủy ban Kỹ thuật Điện Quốc tế (IEC), nhằm bảo vệ dữ liệu cá nhân (PII – Personally Identifiable Information) trong môi trường điện toán đám mây.
Tiêu chuẩn này mở rộng từ ISO/IEC 27001 và 27002, tập trung đặc biệt vào việc xử lý, lưu trữ và quản lý thông tin cá nhân trên các nền tảng cloud do các nhà cung cấp dịch vụ đám mây (CSP – Cloud Service Providers) đảm nhiệm.
Doanh nghiệp cần chuẩn bị gì khi đánh giá ISO/IEC 27018:2019
Khi chuẩn bị cho đánh giá ISO/IEC 27018:2019 – tiêu chuẩn bảo vệ thông tin cá nhân trên nền tảng điện toán đám mây, doanh nghiệp cần thực hiện đầy đủ các bước sau để đảm bảo quá trình đánh giá diễn ra suôn sẻ và hiệu quả:
1. Hiểu rõ yêu cầu tiêu chuẩn ISO/IEC 27018:2019
Tổ chức của bạn cần phải nắm vững tốt các nội dung của bộ tiêu chuẩn và đặc biệt là các điều khoản có liên quan đến việc bảo vệ dữ liệu cá nhân (PII) trong môi trường đám mây. Bên cạnh đó tổ chức của bạn cần phải so sánh và có đưa ra những liên kết về các yêu cầu với hệ thống ISO/IEC 27001 hiện có (vì 27018 là một tiêu chuẩn mở rộng của 27001).
2. Xây dựng chính sách và quy trình nội bộ liên quan đến PII
Xây dựng hoặc cập nhật các chính sách bảo vệ dữ liệu cá nhân phù hợp với ISO/IEC 27018. Những quy trình tiến hành xử lý cũng như lưu trữ và truyền tải, truy cập và xóa hệ thống dữ liệu cá nhân cũng cần phải được xác định một cách rõ ràng và kiểm soát một cách chặt chẽ.
3. Thực hiện phân tích rủi ro thông tin cá nhân
Tổ chức của bạn cần tiến hành đánh giá tốt các rủi ro có liên quan đến PII trên nền tảng đám mây. Tổ chức của bạn cần phải xây dựng tốt các kế hoạch hành động nhằm giảm thiểu hoặc loại bỏ tốt các rủi ro đã được xác định.
4. Đào tạo và nâng cao nhận thức
Tổ chức của bạn cần phải lên chương trình đào tạo cho nhân viên về hệ thống bảo mật các chương trình đào tạo cho nhân viên về bảo mật thông tin cá nhân và các yêu cầu của ISO/IEC 27018. Việc tốt chức của bạn cần phải đảm bảo mọi bên có liên quan đến cần phải hiểu rõ được vai trò trong việc bảo vệ PII.
5. Thu thập bằng chứng và tài liệu cần thiết
Chuẩn bị các hồ sơ, tài liệu liên quan đến việc tuân thủ tiêu chuẩn: báo cáo đánh giá nội bộ, bản ghi sự cố, kết quả kiểm thử, chính sách PII…vv.. Tổ chức của bạn cần phải có sẵn các bằng chứng về việc kiểm soát của bên thứ 3 như (nhà cung cấp, các đối tác xử lý dữ liệu vv)
Các Checklist Tiêu chuẩn ISO/IEC 27018
1: Quản lý thông tin cá nhân (PII Management)
- Xác định rõ loại thông tin PII được thu thập
- Thiết lập mục đích sử dụng PII, tránh sử dụng ngoài phạm vi đã thông báo
- Thông báo minh bạch cho người dùng về việc thu thập và xử lý dữ liệu
- Thiết lập và lưu hồ sơ sự đồng ý (consent) của người dùng
- Hạn chế thu thập dữ liệu không cần thiết
2: Thỏa thuận xử lý và chia sẻ thông tin PII
- Có hợp đồng rõ ràng với khách hàng về việc xử lý dữ liệu cá nhân
- Có quy trình kiểm soát khi chia sẻ PII với bên thứ ba
- Có cơ chế đánh giá rủi ro khi hợp tác với nhà thầu phụ xử lý PII
- Cung cấp công cụ để khách hàng giám sát việc xử lý dữ liệu của mình
3: Bảo mật và kiểm soát truy cập (Security & Access Control)
- Thiết lập kiểm soát truy cập dựa trên vai trò (RBAC)
- Giới hạn quyền truy cập của nhân viên nội bộ với dữ liệu PII
- Ghi nhật ký và giám sát truy cập vào PII
- Có chính sách phân quyền & thu hồi quyền khi nhân viên thay đổi vị trí
4: Xử lý yêu cầu từ chủ thể dữ liệu (Data Subject Rights)
- Cung cấp kênh để người dùng yêu cầu truy cập / chỉnh sửa / xóa dữ liệu cá nhân
- Có quy trình xác minh danh tính trước khi xử lý yêu cầu
- Ghi nhận và lưu trữ các yêu cầu đã xử lý
5: Lưu trữ, truyền tải và xóa dữ liệu
- Có chính sách mã hóa dữ liệu PII khi lưu trữ và truyền tải
- Dữ liệu PII được lưu trữ ở vị trí tuân thủ luật pháp quốc tế (GDPR, HIPAA…)
- Có quy trình xóa dữ liệu PII an toàn, không thể khôi phục
6: Ứng phó và khôi phục sự cố bảo mật
- Có quy trình phát hiện, phản hồi và báo cáo vi phạm dữ liệu PII
- Có thời gian phản hồi cụ thể cho các sự cố (SLA)
- Định kỳ kiểm tra khả năng khôi phục dữ liệu PII
Trên đây là các checklist đơn giản nhưng cần thiết để doanh nghiệp sử dụng trong buổi tự đánh giá nội bộ trước khi chứng nhận ISO 27018 cũng như có thể sử dụng để kiểm tra định kì tuân thủ bảo mật Cloud và soạn thảo hồ sơ chuẩn bị đánh giá bên ngoài.
Checklist đánh giá ISO/IEC 27018:2019 đóng vai trò then chốt trong việc chuẩn bị và kiểm soát toàn bộ quá trình triển khai tiêu chuẩn an toàn thông tin cá nhân. Việc sử dụng checklist giúp doanh nghiệp rà soát đầy đủ các yêu cầu cần tuân thủ, phát hiện sớm lỗ hổng và thực hiện cải tiến kịp thời. Đây là công cụ hỗ trợ hiệu quả để đảm bảo sự sẵn sàng trước khi đánh giá chứng nhận, đồng thời nâng cao tính minh bạch, trách nhiệm và độ tin cậy trong hoạt động bảo mật thông tin cá nhân.
Chương trình đào tạo tháng 8 năm 2025 tại SQC CERTIFICATION
Trung Quốc siết chặt tiêu chuẩn an toàn xe đạp điện để đối phó nguy cơ cháy nổ
Tiêu chuẩn SOC 1 so với SOC 2: Hiểu những điểm khác biệt chính
Tiêu chuẩn SOC 2 dành cho các công ty SaaS
Tiêu chuẩn SOC 2 dành cho đám mây
Những Tiêu chuẩn bảo mật đám mây bạn cần biết
