Bộ tiêu chuẩn ISO/IEC 27701: Hệ thống quản lý thông tin quyền riêng tư

Bối cảnh chuyển đổi số mạnh mẽ, dữ liệu cá nhân đã dần trở thành tài sản của cần doanh nghiệp giữ và bảo mật chặt chẽ. Việc rò rỉ thông tin khách hàng không chỉ dẫn đến những khoản phạt pháp lý nặng nề từ các quy định An ninh mạng, mà gây mất niềm tin khách hàng. Bộ tiêu chuẩn ISO/IEC 27701 là bản mở rộng quan trọng của tiêu chuẩn ISO 27001, thiết lập khung quản lý cho Hệ thống quản lý thông tin quyền riêng tư (PIMS). Việc áp dụng ISO 27701 không chỉ chứng minh cam kết bảo mật mà còn xây dựng lòng tin vững chắc với khách hàng. Bài viết này, SQC Certification xin chia sẻ cho bạn về bộ tiêu chuẩn ISO/IEC 27701 chi tiết nhất.

---

Tiêu chuẩn ISO/IEC 27701 là gì? 

---

Đối tượng áp dụng của ISO/IEC 27701 

Đây là điểm cốt lõi của ISO 27701. Doanh nghiệp có thể áp dụng tiêu chuẩn này dưới một trong hai vai trò, hoặc cả hai:

1. Bên kiểm soát dữ liệu cá nhân (PII Controllers)

Là các tổ chức quyết định mục đích và phương thức xử lý dữ liệu cá nhân (tương đương với Bên Kiểm soát dữ liệu hoặc Bên Kiểm soát và xử lý dữ liệu theo Nghị định 13/2023/NĐ-CP).

2. Bên xử lý dữ liệu cá nhân (PII Processors)

Là các tổ chức thực hiện xử lý dữ liệu thay mặt và theo chỉ thị của Bên kiểm soát (tương đương với Bên Xử lý dữ liệu theo Nghị định 13/2023/NĐ-CP).

---

Phân loại theo Lĩnh vực & Quy mô đặc trưng

Mặc dù áp dụng cho mọi ngành, ISO 27701 đặc biệt cần thiết cho các nhóm đối tượng sau:

• Doanh nghiệp Công nghệ & Viễn thông: Các công ty SaaS, Fintech, AI, Edtech, các nhà mạng mạng viễn thông – nơi dòng chảy dữ liệu cá nhân diễn ra liên tục, thâm nhập sâu và có rủi ro bảo mật công nghệ cao.
• Tổ chức có yếu tố nước ngoài hoặc đa quốc gia: Các doanh nghiệp Việt Nam xuất khẩu phần mềm, cung cấp dịch vụ cho thị trường Châu Âu (chịu ràng buộc bởi GDPR), Mỹ (CCPA) hoặc ngược lại, các tập đoàn nước ngoài đặt chi nhánh tại Việt Nam cần chuẩn hóa hệ thống theo quy định bản địa.
• Khối Cơ quan nhà nước & Tổ chức công: Các đơn vị quản lý cơ sở dữ liệu quốc gia về dân cư, bảo hiểm xã hội, cổng dịch vụ công trực tuyến – nơi nắm giữ khối lượng dữ liệu công dân khổng lồ và nhạy cảm.
• Doanh nghiệp vừa và nhỏ (SMEs): ISO 27701 thiết kế các điều khoản có khả năng co giãn (scale). Doanh nghiệp nhỏ vẫn có thể áp dụng một cách tinh gọn để làm “bảo chứng” uy tín khi tham gia đấu thầu hoặc làm đối tác (Vendor) cho các tập đoàn lớn.

---

Cấu trúc cốt lõi của ISO/IEC 27701

Cấu trúc của ISO/IEC 27701 được thiết kế dưới dạng một “bản vá mở rộng” (extension). Nó không thay thế mà đi kèm, lồng ghép trực tiếp vào cấu trúc High-Level Structure (HLS) của ISO/IEC 27001 (hệ thống quản lý) và các biện pháp kiểm soát của ISO/IEC 27002 (phần kỹ thuật).

Cấu trúc cốt lõi của tiêu chuẩn này bao gồm 8 điều khoản chính và 6 phụ lục (từ A đến F), phân định cực kỳ rõ ràng trách nhiệm theo từng vai trò xử lý dữ liệu. Các điều khoản từ 1 đến 4 thiết lập các nội dung mang tính nền tảng (Phạm vi, Tài liệu viện dẫn, Thuật ngữ và Bối cảnh). Sự khác biệt và giá trị vận hành của PIMS nằm tập trung ở Điều khoản 5, 6, 7 và 8:

Điều khoản 5: Yêu cầu PIMS liên quan đến ISO/IEC 27001

Trong điều khoản này có đưa ra các yêu cầu về một tổ chức cần phải đáp ứng các yếu tố về Quyền riêng tư vào toàn bộ 10 điều khoản quản lý này của ISO 27001. Thay vì chỉ cần bảo vệ tài sản thông tin nói chung và tổ chức cần phải mở rộng để bảo vệ PII (Thông tin định danh cá nhân):

• Bối cảnh của tổ chức (Điều khoản 4 của ISO 27001): Xác định vai trò của mình (Controller hay Processor) và các luật định về quyền riêng tư hiện hành (ví dụ: Nghị định 13/2023/NĐ-CP).
• Hoạch định & Rủi ro (Điều khoản 6 của ISO 27001): Khi đánh giá rủi ro an toàn thông tin, phải thực hiện thêm Đánh giá tác động quyền riêng tư (PIA/DPIA) để nhận diện rủi ro đối với chủ thể dữ liệu chứ không chỉ rủi ro đối với doanh nghiệp.

Điều khoản 6: Hướng dẫn PIMS liên quan đến ISO/IEC 27002

Trong điều khoản này chính là việc tổ chức cần rà soát lại các biện pháp kiểm soát an ninh trong ISO 27002 cũng như bổ sung các hướng dẫn một cách cụ thể nhằm bảo vệ quyền riêng tư.

Ví dụ: Với biện pháp kiểm soát về “Quản lý tài sản“, ISO 27701 yêu cầu phân loại riêng đâu là tài sản chứa dữ liệu cá nhân (PII). Với “Mã hóa“, tiêu chuẩn hướng dẫn cách áp dụng mã hóa, che mờ (masking) hoặc ẩn danh (anonymization) riêng cho dữ liệu cá nhân.

Điều khoản 7: Hướng dẫn bổ sung dành riêng cho PII Controllers (Bên kiểm soát)

Đây là một trong những cấu trúc dành riêng cho tổ chức có quyền quyết định mục đích xử lý dữ liệu. Các yêu cầu cốt lõi gồm:

• Minh bạch: Phải có Thông báo quyền riêng tư (Privacy Notice) rõ ràng cho người dùng.
• Sự đồng thuận: Cơ chế thu thập, ghi nhận và hủy bỏ sự đồng ý (Consent) của chủ thể dữ liệu.
• Quyền của chủ thể dữ liệu: Quy trình đáp ứng các quyền truy cập, chỉnh sửa, sao lưu hoặc xóa dữ liệu của người dùng.
• Privacy by Design: Hạn chế tối đa việc thu thập dữ liệu không cần thiết, tự động xóa dữ liệu khi hết mục đích sử dụng.

Điều khoản 8: Hướng dẫn bổ sung dành riêng cho PII Processors (Bên xử lý)

Trong điều khoản số 8 này tổ chức của bạn cần tiến hành dành tiêng cho các tổ chức, đơn vị xử lý dữ liệu thuê bao cho bên khác như các công ty Cloud, Outsourcing nhằm

• Tuân thủ nghiêm ngặt: Chỉ được xử lý dữ liệu theo đúng hợp đồng và chỉ thị bằng văn bản của Bên kiểm soát.
• Quản lý chuỗi cung ứng: Không được tự ý thuê bên thứ ba (sub-contractor) xử lý dữ liệu nếu chưa được Bên kiểm soát cho phép.
• Hỗ trợ ứng phó sự cố: Phải thông báo ngay lập tức cho Bên kiểm soát nếu phát hiện dấu hiệu rò rỉ hoặc mất an toàn dữ liệu cá nhân.

---

Các nhóm biện pháp kiểm soát chính (Phụ lục A & B)

Bộ tiêu chuẩn ISO 27701 này có tiến hành phân tách trách nhiệm rất rõ ràng thông qua hai phụ lục:

Cho PII Controllers (Phụ lục A)

• Minh bạch và đồng thuận: Cung cấp thông báo bảo mật rõ ràng, thu thập và quản lý sự đồng ý (consent) của chủ thể dữ liệu.

• Nghĩa vụ đối với chủ thể dữ liệu: Đảm bảo các quyền của người dùng (quyền truy cập, sửa đổi, xóa, phản đối xử lý dữ liệu…).

• Quyền riêng tư ngay từ bước thiết kế (Privacy by Design): Giới hạn thu thập, hạn chế lưu trữ, và tự động hủy dữ liệu khi hết mục đích.

Cho PII Processors (Phụ lục B)

• Tuân thủ chỉ thị: Chỉ xử lý dữ liệu theo hợp đồng và hướng dẫn từ Bên kiểm soát.

• Hỗ trợ Bên kiểm soát: Giúp Bên kiểm soát đáp ứng các quyền của chủ thể dữ liệu và thông báo kịp thời khi có sự cố rò rỉ dữ liệu (Data breach).

• Quản lý bên thứ ba: Kiểm soát chặt chẽ các nhà thầu phụ (sub-processors) tham gia vào chuỗi xử lý dữ liệu.

---

Lợi ích khi áp dụng ISO 27701 cho doanh nghiệp

Khi tổ chức, doanh nghiệp của bạn áp dụng một cách hiệu quả ISO 27701 có thể mang đến nhiều lợi ích thiết thực lâu dài bền vững cho tổ chức, doanh nghiệp của bạn. Những lợi ích có thể giúp cho bạn như sau:

• Đáp ứng tuân thủ pháp luật dễ dàng: Tiêu chuẩn ISO 27701 này có thể giúp tạo ra một khung tư duy và vận hành tương thích mạnh mẽ với GDPR (Châu Âu), CCPA (Mỹ) và đặc biệt là Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân tại Việt Nam.
• Giảm thiểu rủi ro pháp lý và tài chính: Tổ chức áp dụng ISO 27701 có thể giúp hạn chế tối đa các sự cố rò rỉ dữ liệu cá nhân, từ đó tránh được các khoản phạt nặng từ cơ quan quản lý và các vụ kiện tụng.
• Lợi thế cạnh tranh vượt trội: Chứng nhận ISO 27701 là bằng chứng khách quan nhất chứng minh với khách hàng, đối tác (đặc biệt là đối tác quốc tế) rằng doanh nghiệp tôn trọng và bảo vệ quyền riêng tư của họ.
• Tích hợp hệ thống tối ưu: Tiết kiệm chi phí và nguồn lực vận hành bằng cách lồng ghép PIMS trực tiếp vào hệ thống ISMS (ISO 27001) đã có sẵn mà không cần vận hành hai hệ thống độc lập.

---

Lộ trình triển khai bộ tiêu chuẩn ISO/IEC 27701 

Để giúp tổ chức, doanh nghiệp triển khai một cách hiệu quả nhất bộ tiêu chuẩn ISO/IEC 27701 – Hệ thống quản lý thông tin quyền riêng tư – PIMS thì doanh nghiệp của bạn cần đưa ra một lộ trình thật bài bản nhất mang tính chiến lược. Do bộ tiêu chuẩn này chính là một phần mở rộng của bộ tiêu chuẩn ISO/IEC 27001 (ISMS), lộ trình sẽ phụ thuộc vào việc doanh nghiệp đã có sẵn ISO 27001 hay triển khai song song cả hai.

Dưới đây là Lộ trình 7 bước chuẩn hóa giúp doanh nghiệp đi từ giai đoạn chuẩn bị đến khi đạt chứng nhận quốc tế.

Bước 1: Khởi động dự án và Đào tạo nhận thức

Bạn cần tiến hành thành lập ban dự án PIMS và đưa ra các cam kết của ban lãnh đạo cấp cao. Một số vị trí cần bổ nhiệm vị trí chịu trách nhiệm chính như Cán bộ bảo vệ dữ liệu – DPO hoặc Trưởng ban PIMS

Tổ chức cần phải tiến hành đào tạo nhận thức cũng như đưa các khóa đào tạo một cách cơ bản về ISO 27701 cho Ban dự án và các phòng ban liên quan (Nhân sự, IT, Pháp chế, Kinh doanh/Chăm sóc khách hàng) để hiểu rõ về Dữ liệu cá nhân (PII) và Quyền riêng tư.

Bước 2: Xác định Phạm vi và Vai trò xử lý dữ liệu

Tổ chức của bạn cần phải tiến hành các bước:

• Xác định vai trò pháp lý: Xác định rõ tổ chức của bạn đối với từng luồng dữ liệu là Bên kiểm soát dữ liệu (PII Controller), Bên xử lý dữ liệu (PII Processor) hay đóng cả hai vai trò.
• Xác định phạm vi chứng nhận (Scope): Giới hạn hệ thống PIMS sẽ áp dụng cho toàn bộ tổ chức hay chỉ áp dụng cho một số dòng sản phẩm, dịch vụ hoặc phòng ban cụ thể (ví dụ: trung tâm dữ liệu, ứng dụng SaaS…).
• Xác định bối cảnh pháp lý: Liệt kê các quy định luật pháp phải tuân thủ (ví dụ: Nghị định 13/2023/NĐ-CP tại Việt Nam, GDPR nếu có khách hàng Châu Âu).

Bước 3: Đánh giá khoảng trống (Gap Analysis) và Kiểm kê dữ liệu

Tổ chức của bạn cần tiến hành đánh giá Gap Analysis nhằm đối chiếu hiện trạng của doanh nghiệp với các yêu cầu của bộ tiêu chuẩn ISO 27701 (Điều khoản 5 đến 8) và ISO 27001 để chỉ ra những điểm chưa đạt (khoảng trống).

Ngoài ra bạn cần thực hiện kiểm kê toàn bộ dữ liệu cá nhân đang có như Xác định rõ: Ai thu thập? Thu thập dữ liệu gì? Lưu trữ ở đâu? Chia sẻ cho ai? Khi nào hủy?

Bước 4: Đánh giá tác động quyền riêng tư (PIA/DPIA) & Lập Tuyên bố áp dụng (SoA)

• Đánh giá rủi ro (PIA/DPIA): Phân tích các nguy cơ đe dọa đến quyền riêng tư của chủ thể dữ liệu (rò rỉ, xử lý sai mục đích, truy cập trái phép) và đưa ra các biện pháp giảm thiểu.
• Xây dựng Tuyên bố áp dụng (Statement of Applicability – SoA): Lựa chọn các biện pháp kiểm soát phù hợp từ Phụ lục A (cho Controller) và/hoặc Phụ lục B (cho Processor) của ISO 27701 và giải trình lý do áp dụng hoặc loại trừ.

Bước 5: Xây dựng tài liệu và Triển khai các biện pháp kiểm soát

Tổ chức của bạn tiến hành hoàn thiện khung chính sách bao gồm soạn thảo hoặc cập nhật các tài liệu cốt lõi:

• Chính sách bảo vệ dữ liệu cá nhân (Privacy Policy).
• Thông báo quyền riêng tư (Privacy Notice) cho khách hàng.
• Quy trình thu thập và quản lý Sự đồng ý (Consent Management).
• Quy trình đáp ứng Quyền của chủ thể dữ liệu (yêu cầu xóa, sửa, truy cập dữ liệu).
• Quy trình ứng phó và thông báo sự cố rò rỉ dữ liệu cá nhân (Data Breach).
• Thỏa thuận xử lý dữ liệu (DPA) với các nhà thầu phụ/bên thứ ba.

Áp dụng kỹ thuật: Triển khai các giải pháp công nghệ như mã hóa dữ liệu, ẩn danh hóa (Anonymization), che mờ dữ liệu (Masking) và phân quyền truy cập nghiêm ngặt.

Bước 6: Vận hành, Đánh giá nội bộ và Xem xét của Lãnh đạo

• Vận hành thực tế: Chạy thử nghiệm hệ thống theo các quy trình mới đã ban hành để thu thập bằng chứng vận hành.
• Đánh giá nội bộ (Internal Audit): Đội ngũ đánh giá nội bộ (hoặc chuyên gia thuê ngoài) tiến hành kiểm tra toàn bộ hệ thống PIMS để phát hiện lỗi và thực hiện hành động khắc phục.
• Xem xét của Lãnh đạo (Management Review): Ban lãnh đạo họp đánh giá tính hiệu quả của hệ thống PIMS và phê duyệt cho phép tiến hành đánh giá chứng nhận chính thức.

Bước 7: Đánh giá chứng nhận độc lập (Bên thứ ba)

Doanh nghiệp lựa chọn một tổ chức chứng nhận quốc tế độc lập để tiến hành đánh giá qua 2 giai đoạn:

• Giai đoạn 1 (Stage 1 Audit): Đánh giá mức độ sẵn sàng của hệ thống tài liệu, hồ sơ thiết kế PIMS.
• Giai đoạn 2 (Stage 2 Audit): Đánh giá thực tế tại hiện trường về tính hiệu quả và sự tuân thủ của các quy trình vận hành.
• Khắc phục & Nhận chứng chỉ: Thực hiện các hành động khắc phục nếu có điểm không phù hợp (NC) được chỉ ra, sau đó nhận chứng chỉ ISO/IEC 27701 (Hiệu lực thường là 3 năm, kiểm tra giám sát hàng năm).

---

Thông tin liên hệ:

Hãy để SQC Certification Việt Nam giúp doanh nghiệp bạn chạm tới những tiêu chuẩn quốc tế một cách chuyên nghiệp và bền vững.

• Hotline: 0936396611
• Website: https://sqccert.com.vn/
• ĐĂNG KÝ NGAY: https://forms.gle/ydn9rzk5H7jrrf9g9