Những sai lầm phổ biến khi triển khai ISO 27701 lần đầu

Việc áp dụng ISO/IEC 27701:2025 – tiêu chuẩn quốc tế về Hệ thống quản lý thông tin quyền riêng tư – PIMS – đang trở thành yêu cầu thiết yếu để bảo vệ dữ liệu và đáp ứng các yêu cầu bảo mật từ đối tác. Với những tổ chức triển khai ISO/IEC 27701 lần đầu tiên là một bước tiến chiến lược đối với các doanh nghiệp muốn bảo vệ dữ liệu cá nhân (PII). Tuy nhiên, vì đây là một tiêu chuẩn mở rộng từ ISO/IEC 27001, nhiều tổ chức dễ rơi vào những cái bẫy phổ biến do chưa hiểu rõ bản chất của quản lý quyền riêng tư. Bài viết này SQC CETIFICATION xin chỉ ra Những sai lầm phổ biến khi triển khai ISO 27701 lần đầu


những sai lầm phổ biến khi triển khai ISO 27701
những sai lầm phổ biến khi triển khai ISO 27701

Xu hướng áp dụng tiêu chuẩn ISO/IEC 27701:2025 tại Việt Nam

Hiện nay tại Việt nam, xu hướng các tổ chức áp dụng ISO/IEC 27701 đang ghi nhận những chuyển dịch vô cùng mạnh mẽ. Việc không dừng ở mức “khuyến khích” hay chi là một giấy chứng nhận làm đẹp mà việc xây dựng Hệ thống quản lý thông tin quyền riêng tư (PIMS) hiện nay đã trở thành một yêu cầu chiến lược, thực tế và cấp bách đối với các doanh nghiệp. Sự bùng nổ này được thúc đẩy bởi sự giao thoa giữa hành lang pháp lý quốc gia ngày càng siết chặt và dòng chảy hội nhập kinh tế toàn cầu.

1. Động lực cốt lõi: Sự cộng hưởng của Nghị định 13/2023/NĐ-CP

Có thể thấy được động lực lớn nhất giúp thúc đẩy các tổ chức, doanh nghiệp Việt tìm kiếm đến ISO 27701 chính là bởi áp lực tuân thủ các quy định pháp luật. Nổi bật nhất chính là Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân (PDPD).

Để nói về nghị định 13 này của Việt Nam hài hòa với các tiêu chuẩn Quốc tế như GDPR (Châu Âu). Chính vì vậy, khi doanh nghiệp áp dụng khung kiểm soát của ISO 27701, họ đồng thời giải quyết được phần lớn các yêu cầu cốt lõi của Nghị định 13:

những sai lầm phổ biến khi triển khai ISO 27701

  • Đánh giá tác động xử lý dữ liệu cá nhân (DPIA): Hiện nay cần tiến hành việc lập hồ sơ đánh giá tác động theo Điều 39, Nghị định 13 trở nên bài bản và dễ dàng hơn khi doanh nghiệp đã vận hành quy trình Đánh giá tác động quyền riêng tư (PIA) theo chuẩn ISO 27701.

  • Chỉ định nhân sự bảo vệ dữ liệu (DPO): Bộ tiêu chuẩn ISO 27701 hiện nay có đưa ra yêu cầu phân định rõ vai trò quản lý bảo mật thông tin và quyền riêng tư, giúp doanh nghiệp chuẩn hóa vị trí DPO hoặc bộ phận chuyên trách một cách khoa học.

2. Các nhóm ngành tiên phong áp dụng

Hiện nay xu hướng tập trung áp dụng bộ tiêu chuẩn ISO 27701 được phân hóa khá rõ rệt khi tập trung mạnh mẽ nhất vào các lĩnh vực xử lý khối lượng lớn các dịch vụ nhạy cảm hoặc có yếu tố nước ngoài. Những nhóm ngành đó có thể được kể đến như sau:

  • Fintech, Ngân hàng và Bảo hiểm: Đ Đây chính là nhóm ngành chịu sự giám sát từ phía Ngân hàng cũng như Bộ Công An. Việc tổ chức, doanh nghiệp tiến hành áp dụng và đạt được chứng nhận ISO 27701 giúp các tổ chức tài chính khẳng định độ tin cậy với khách hàng và đối tác liên kết.

  • Thương mại điện tử (E-commerce) và SaaS: Các  Các tổ chức, doanh nghiệp công nghệ cũng được cung cấp giải pháp phần mềm trên nền tảng đám mây có lượng người dùng lớn bắt buộc phải chứng minh năng lực bảo vệ PII (Thông tin xác định danh tính cá nhân) để duy trì lợi thế cạnh tranh.

  • Doanh nghiệp Outsourcing (BPO, IT Outsourcing): Để nhận được các hợp đồng từ thị trường khó tính như Mỹ, Châu Âu, Nhật Bản, các đơn vị gia công phần mềm và dịch vụ tại Việt Nam bắt buộc phải có ISO 27701 để chứng minh khả năng bảo vệ dữ liệu của khách hàng (thường đóng vai trò là PII Processor).

những sai lầm phổ biến khi triển khai ISO 27701


Những lỗi thường gặp và giải pháp khắc phục khi triển khai ISO 27001 lần đầu:

Đây chính là một bộ tiêu chuẩn Quốc tế hiện được áp dụng cho nhiều tổ chức, doanh nghiệp Việt Nam. Tuy nhiên với những doanh nghiệp áp dụng lần đầu thì khá nhiều khó khăn khi triển khai lần đầu tiên. Họ thường gặp phải những lỗi từ cơ bản đến nghiêm trọng khi áp dụng không chuẩn. SQC Certification cùng xin điểm lại những lỗi thường gặp khi triển khai iso 27701 như sau khi đi kèm giải pháp khắc phục:

1. Thiếu cam kết từ lãnh đạo

  • Sai lầm: Với nhiều tổ chức, doanh nghiệp tiến hành áp dụng thường xem nhẹ và đổ dồn hết cho bộ phận IT hoặc an toàn thông tin triển khai. Đây chính là một nhiệm vụ của toàn thể công ty được chỉ đạo từ cấp lãnh đạo. 
  • Cách tránh: Để áp dụng tiến hành hiệu quả thì tập thể ban lãnh đạo cần trực tiếp cam kết, việc phân phố nguồn lực cũng như tham gia vào việc định hướng chiến lược PIMS một cách hiệu quả nhất. Đây là điều kiện tiên quyết để hệ thống vận hành hiệu quả.

2. Coi ISO 27701 là một tiêu chuẩn độc lập

  • Sai lầm: Nhiều doanh nghiệp cố gắng triển khai ISO 27701 khi chưa xây dựng hoặc chưa vận hành ổn định hệ thống quản lý an toàn thông tin (ISMS) theo ISO 27001.

  • Thực tế: Hiện nay bộ tiêu chuẩn ISO 27701 được thiết kế dưới dạng như một phần mở rộng của bộ tiêu chuẩn ISO 27001. Nếu như bạn chưa đạt được chứng nhận ISO 27001 thì cũng có nghĩa chứng nhận ISO 27701 cũng chưa thể hoàn thành xong được.

những sai lầm phổ biến khi triển khai ISO 27701

  • Giải pháp: Hãy đảm bảo nền tảng ISMS của bạn đã vững chắc, hoặc lên kế hoạch tích hợp đồng bộ cả hai tiêu chuẩn ngay từ đầu thay vì tách rời chúng.

3. Nhầm lẫn giữa “An toàn thông tin” (Security) và “Quyền riêng tư” (Privacy)

Nhiều tổ chức thường cho rằng chỉ cần bảo mật dữ liệu tốt là đã đáp ứng đầy đủ quyền riêng tư. Trên thực tế sự an toàn và quyền riêng tư cũng có những khác nhau cơ bản.

  • Security (An toàn): Tập trung vào tính Bảo mật, Toàn vẹn và Sẵn sàng (C-I-A) của dữ liệu chống lại các mối đe dọa.
  • Privacy (Quyền riêng tư): Tập trung vào quyền của chủ thể dữ liệu (Data Subject). Nó liên quan đến việc thu thập có hợp pháp không? Có đúng mục đích không? Khách hàng có quyền yêu cầu xóa/sửa dữ liệu không?

Giải pháp: Đào tạo lại đội ngũ để hiểu rõ rằng bảo mật mạnh mẽ chỉ là điều kiện cần, còn tuân thủ các nguyên tắc xử lý dữ liệu cá nhân mới là điều kiện đủ của PIMS.

>>> TOP Tổ chức chứng nhận ISO 27701 uy tín tại Việt Nam


4. Không phân định rõ đươc vai trò của PII Controller và PII Processor

Một sai lần mà bạn không xác định rõ được tổ chức của mình là bên Kiểm soát thông tin (PII Controller) hay Bên xử lý thông tin (PII Processor) đối với từng luồng dữ liệu cụ thể, việc này dẫn đến việc bị áp dụng sai các kiểm soát (controls) ở Phụ lục A và B của tiêu chuẩn.

Trên thực tế thì đây là 2 khái niệm khác nhau đôi chút. Khi Controller quyết định mục đích và phương thức xử lý dữ liệu thì Processor chỉ xử lý dữ liệu theo chỉ thị của Controller.

những sai lầm phổ biến khi triển khai ISO 27701

Giải pháp: Thực hiện phân tích kỹ lưỡng các luồng dữ liệu (Data Flow) để xác định rõ vai trò của tổ chức trong từng quy trình kinh doanh, từ đó áp dụng đúng các điều khoản tương ứng.

5. Bỏ qua việc đánh giá tác động quyền riêng tư (PIA)

Có thể tổ chức của bạn chú trọng đánh giá các rủi ro an toàn thông tin thông thường nhưng lại quên mất đi việc đánh giá tác động của quyền riêng tư. Theo đó thì bộ tiêu chuẩn ISO 27701 có đưa ra những yêu cầu bắt buộc phải được thực hiện PIA đối với các hoạt động xử lý dữ liệu có rủi ro cao đối với quyền và lợi ích của chủ thể dữ liệu (ví dụ: xử lý dữ liệu nhạy cảm, giám sát trên diện rộng…).

Giải pháp: Xây dựng một quy trình PIA chuẩn hóa để đánh giá xem việc xử lý PII có ảnh hưởng gì đến quyền tự do cá nhân của người dùng hay không và đưa ra các biện pháp giảm thiểu rủi ro phù hợp.

6. Thiếu sự tham gia của các phòng ban phi kỹ thuật (Pháp lý, HR, Customer Service)

Một sai lầm tiếp theo chính là giao toàn bộ dự án triển khai nay cho phòng CNTT hoặc An ninh thông tin. Đây là điều sai lầm khi Quyền riêng tư liên quan trực tiếp đến pháp lý (Legal – kiểm tra hợp đồng, điều khoản dịch vụ), Nhân sự (HR – quản lý dữ liệu nhân viên), và Chăm sóc khách hàng (đáp ứng yêu cầu rút lại sự đồng ý, xóa dữ liệu). CNTT không thể quyết định các vấn đề mang tính pháp lý này.

Giải pháp: Thành lập một ban dự án liên phòng ban (Cross-functional team) với sự tham gia chủ động của bộ phận Pháp chế/Tuân thủ và các trưởng bộ phận nghiệp vụ liên quan.

7. Bỏ qua yếu tố con người

  • Sai lầm: Nhiều tổ chức xem nhẹ yếu tố con người và đào tạo nhân viên và chỉ tập trung vào kỹ thuật mà không đào tạo nhân viên. Việc nhân viên trực tiếp làm không am hiểu hệ thống này có thể là một mắt xích rủi ro cho hệ thống vận hành sau này.
  • Cách tránh: Đào tạo nhận thức an toàn thông tin định kỳ cho toàn bộ nhân sự. Tạo môi trường nơi mỗi người đều hiểu vai trò của mình trong việc bảo vệ dữ liệu.

8. Không đo lường và cải tiến hệ thống

  • Sai lầm: Sau khi xây xong hệ thống thì “để đó” và không tiếp tục theo dõi, cải tiến.
  • Cách tránh: Thực hiện đánh giá nội bộ định kỳ, xem xét từ lãnh đạo và cập nhật biện pháp kiểm soát phù hợp với rủi ro mới phát sinh.
chứng nhận iso 27001:2022

 

chứng nhận iso 27001:2022

 

chứng nhận iso 27001:2022

 

chứng nhận iso 27001:2022

Lời kết

Triển khai bộ tiêu chuẩn ISO 27701 và đạt được chứng nhận ISO/IEC 27701 là một hành trình, không chỉ là dự án “làm cho xong“. Việc tránh được những sai lầm phổ biến ở giai đoạn đầu sẽ giúp doanh nghiệp tiết kiệm thời gian, chi phí và đạt được hệ thống ISMS thực sự hiệu quả – đáp ứng cả yêu cầu bảo mật lẫn mục tiêu kinh doanh.