Tin Tổng Hợp, Tin Tức

Những thay đổi chính trong phiên bản ISO/IEC 27001:2022

ISO 27001:2022 – Mốc cập nhật quan trọng mà Doanh nghiệp cần lưu ý

Vào tháng 10 năm 2022, Tổ chức Tiêu chuẩn hóa Quốc tế (ISO) đã chính thức ban hành phiên bản cập nhật của tiêu chuẩn ISO 27001. Đồng thời, bộ tiêu chuẩn hướng dẫn đi kèm cũng được điều chỉnh để phù hợp với phiên bản mới này.

Kể từ tháng 4 năm 2024, tất cả các tổ chức lần đầu áp dụng ISO 27001 bắt buộc phải triển khai theo phiên bản 2022. Đối với các doanh nghiệp đã được chứng nhận theo phiên bản cũ, thời hạn cuối cùng để chuyển đổi sang ISO 27001:2022 là ngày 31 tháng 10 năm 2025.

Để quá trình chuyển đổi hoặc áp dụng tiêu chuẩn mới diễn ra suôn sẻ, các tổ chức cần nắm rõ những thay đổi trọng yếu trong các yêu cầu của tiêu chuẩn, đặc biệt là các biện pháp kiểm soát thông tin được nêu trong Phụ lục A.

thay đổi chính trong phiên bản ISO/IEC 27001:2022

Bài viết dưới đây, SQC Certification sẽ điểm qua những nội dung cập nhật đáng chú ý, giúp doanh nghiệp chuẩn bị tốt nhất cho lộ trình chuyển đổi này.

Mục lục

CÁC THAY ĐỔI CHỈNH TRONG ISO 27001:2022

Phiên bản ISO 27001:2022 chính thức ra mắt với nhiều điều chỉnh đáng chú ý, mặc dù về mặt tổng thể, cấu trúc cấp cao HLS (High-Level Structure) vẫn được duy trì nhất quán. Phần lớn thay đổi tập trung vào biên tập, thuật ngữ và cách diễn đạt – hướng đến việc làm rõ ý nghĩa và giảm thiểu sự mơ hồ trong áp dụng.

1. Các điều chỉnh về biên tập trong Điều khoản 4–10

Trong phiên bản mới, các điều khoản từ 4 đến 10 được tinh chỉnh về mặt câu chữ và cấu trúc, giúp việc áp dụng thực tế rõ ràng và hiệu quả hơn.

Ví dụ tiêu biểu:

  • Điều khoản 6 (Lập kế hoạch) được viết lại để loại bỏ những ngôn từ lạc hậu, tránh gây nhầm lẫn.
  • Điều 4.4 đã bổ sung nội dung mới: “bao gồm các quy trình cần thiết và sự tương tác của chúng”.

2. Thay đổi về mặt cấu trúc

Dù vẫn bám sát HLS, phiên bản ISO 27001:2022 có vài điều chỉnh về tổ chức các mục trong tiêu chuẩn:

Mục 9.2 (Đánh giá nội bộ): Được chia thành hai phần – 9.2.1 (Tổng quát) và 9.2.2 (Chương trình đánh giá nội bộ). Dù phân chia chi tiết hơn, yêu cầu cơ bản vẫn không thay đổi.

Mục 9.3 (Xem xét của lãnh đạo): Nay bao gồm ba mục nhỏ:

  • 9.3.1 – Tổng quan
  • 9.3.2 – Đầu vào đánh giá của lãnh đạo
  • 9.3.3 – Kết quả đánh giá của lãnh đạo

Điều khoản mới – 6.3 (Lập kế hoạch thay đổi):

Đây là điểm mới trong ISO 27001:2022, yêu cầu các thay đổi đối với hệ thống quản lý an toàn thông tin (ISMS) phải được lập kế hoạch kỹ lưỡng. Nội dung này nhấn mạnh đến:

  • Mục tiêu thay đổi
  • Các hậu quả tiềm tàng
  • Tác động lên ISMS
  • Nguồn lực cần thiết
  • Phân bổ/trách nhiệm và quyền hạn

thay đổi chính trong phiên bản ISO/IEC 27001:2022

3. Những yêu cầu bổ sung khác trong ISO 27001:2022

  • Xác định rõ các quy trình cần thiết để triển khai ISMS và các mối tương tác giữa chúng
  • Yêu cầu minh bạch hơn về việc phân công vai trò liên quan đến bảo mật thông tin
  • Bổ sung quy định về phương thức giao tiếp nội bộ và bên ngoài (theo Điều khoản 7.4)
  • Thiết lập tiêu chí rõ ràng cho các quy trình vận hành và biện pháp kiểm soát đi kèm

4. Các cập nhật lớn trong Phụ lục A – Biện pháp kiểm soát an ninh

Một thay đổi trọng tâm của ISO 27001:2022 chính là việc điều chỉnh Phụ lục A, giúp đồng bộ với ISO/IEC 27002 mới về bảo mật thông tin, an ninh mạng và quyền riêng tư:

4.1. Giảm số lượng biện pháp kiểm soát từ 114 xuống còn 93

  • 24 biện pháp được gộp
  • 58 biện pháp được chỉnh sửa
  • 11 biện pháp hoàn toàn mới được bổ sung, bao gồm:

4.2. Tái cấu trúc thành 4 nhóm chính (thay vì 14 nhóm như trước):

  • Tổ chức
  • Nhân sự
  • Vật lý
  • Công nghệ

5. Giới thiệu khái niệm mới – Các thuộc tính (Attributes)

ISO 27001:2022 đưa ra hệ thống thuộc tính giúp phân loại và truy xuất biện pháp kiểm soát dễ dàng hơn, gồm 5 nhóm thuộc tính chính:

  • Loại điều khiển: Phòng ngừa – Giám sát – Sửa chữa
  • Thuộc tính bảo mật thông tin: Tính bảo mật – Toàn vẹn – Khả dụng
  • An ninh mạng: Nhận dạng – Bảo vệ – Phát hiện – Ứng phó – Hồi phục
  • Năng lực điều hành: Quản trị, tài sản, ứng dụng, nguồn nhân lực, vật lý, danh tính, sự kiện,…
  • Miền bảo mật: Quản trị & hệ sinh thái – Bảo vệ – Phòng thủ – Khả năng phục hồi
Với những thay đổi trong ISO 27001:2022 không chỉ là điều chỉnh về ngôn từ, mà còn phản ánh xu thế phát triển của lĩnh vực an toàn thông tin trong bối cảnh công nghệ số và các mối đe dọa mạng ngày càng phức tạp. Việc cập nhật hệ thống ISMS kịp thời và đúng hướng sẽ giúp tổ chức của bạn có thể tăng cường khả năng bảo vệ tài sản thông tin và nâng cao lợi thế cạnh tranh.

Ý NGHĨA CỦA NHỮNG THAY ĐỔI ISO/IEC 27001:2022 VỚI CÁC DOANH NGHIỆP ÁP DỤNG

Việc thay đổi trong cấu trúc ISO/IEC 27001:2022 là một bước cai tiến lớn phản ánh sự thích ứng trong bối cảnh an ninh mạng hiện đại. Việc các doanh nghiệp áp dụng ISO 27001:2022 không chỉ là cập nhật để duy trì chứng nhận mà đó còn là cơ hội giúp các tổ chức nâng tầm hệ thống quản lý an toàn thông tin và thích nghi với thời đại số cũng như củng cố niềm tin với khách hàng. Dưới đây là ý nghĩa quan trọng đối với các tổ chức đang hoặc sẽ áp dụng tiêu chuẩn này:

Thể hiện sự tuân thủ cập nhật và chuyên nghiệp

Với việc áp dụng phiên bản mới giúp tổ chức chứng minh hệ thống Quản lý an toàn thông tin (ISMS) luôn luôn bắt kịp với các tiêu chuẩn quốc tế mới nhất. Từ đó chủ động đáp ứng được các nhu cầu từ khách hàng, đối tác cũng như với các bên có liên quan về việc đảm bảo tính bảo mật thông tin.

Tăng cường khả năng ứng phó với rủi ro hiện đại

Những thay đổi trong Phụ lục A – đặc biệt là 11 biện pháp kiểm soát mới – tập trung vào các khía cạnh như An ninh đám mây, Ngăn ngừa rò rỉ dữ liệu, Xóa thông tin an toàn, Giám sát hoạt động và bảo mật vật lý. vv Điều này giúp cho các tổ chức có thể phản ứng một cách linh hoạt hơn trước các mối đe dọa công nghệ mới nổi như tấn công mạng, mất dữ liệu cũng như rò rỉ thông tin cá nhân.

Dễ dàng tích hợp với các hệ thống quản lý khác

Với việc tiếp tục áp dụng cấu trúc cấp cao HLS và chuẩn hóa thuật ngữ giúp: Tích hợp dễ dàng hơn với các tiêu chuẩn khác như ISO 9001, ISO 14001, ISO 45001… Giảm thiểu sự chồng chéo về tài liệu, quy trình và nguồn lực

Cải thiện hiệu quả vận hành hệ thống ISMS

Việc xác định rõ các quy trình cần thiết và mối tương tác giữa chúng, cùng yêu cầu lập kế hoạch thay đổi có kiểm soát, giúp tổ chức của bạn chủ động hơn trong việc cải tiến liên tục đồng thời giúp giảm thiểu rủi ro triển khai thay đổi.

thay đổi chính trong phiên bản ISO/IEC 27001:2022

Dễ dàng theo dõi, kiểm soát và đánh giá hiệu quả hệ thống

Với việc tiếp tục áp dụng cấu trúc cấp cao HLS và chuẩn hóa thuật ngữ giúp: Tích hợp dễ dàng hơn với các tiêu chuẩn khác như ISO 9001, ISO 14001, ISO 45001… Giảm thiểu sự chồng chéo về tài liệu, quy trình và nguồn lực

>>> Tích hợp ISO/IEC 27001:2022 và ISO 9001:2015 mang nhiều lợi ích

NHỮNG CÂU HỎI THƯỜNG GẶP VỀ BỘ TIÊU CHUẨN ISO 27001:2022

1. ISO/IEC 27001:2022 là gì và khác gì so với phiên bản 2013?

Phiên bản 2022 là bản cập nhật mới nhất của tiêu chuẩn ISO 27001 về Hệ thống quản lý an toàn thông tin (ISMS), có nhiều thay đổi về cấu trúc và nội dung để phù hợp với bối cảnh an ninh mạng hiện tại.

2. Khi nào bắt buộc phải chuyển đổi sang ISO 27001:2022?

Các tổ chức đã được chứng nhận theo ISO 27001:2013 phải chuyển đổi sang phiên bản 2022 trước ngày 31/10/2025.

3. Doanh nghiệp mới bắt đầu có bắt buộc áp dụng bản 2022 không?

Câu trả lời là có. Từ tháng 4/2024, các tổ chức xin chứng nhận mới phải áp dụng theo phiên bản ISO/IEC 27001:2022.

4. Những thay đổi chính trong ISO 27001:2022 là gì?

  • Thêm điều khoản 6.3: Lập kế hoạch thay đổi
  • Cập nhật từ ngữ trong Điều 4–10
  • Thay đổi lớn trong Phụ lục A: giảm số lượng biện pháp kiểm soát từ 114 → 93, thêm 11 biện pháp mới
  • Tái cấu trúc Phụ lục A theo 4 nhóm lĩnh vực: Tổ chức – Nhân sự – Vật lý – Công nghệ

5. Các biện pháp kiểm soát mới đáng chú ý là gì?

Một số biện pháp kiểm soát mới nổi bật:

  • A.5.23 – Bảo mật thông tin khi dùng dịch vụ đám mây
  • A.8.12 – Ngăn chặn rò rỉ dữ liệu
  • A.8.28 – Mã hóa an toàn
  • A.5.7 – Thông tin về mối đe dọa

6. Việc chuyển đổi sang ISO 27001:2022 có phức tạp không?

Không quá phức tạp, nhưng cần rà soát hệ thống hiện tại, đối chiếu với các thay đổi, đặc biệt là Phụ lục A và các chính sách vận hành ISMS.

7. Tôi có cần cập nhật tài liệu ISO của tổ chức không?

Có. Cần cập nhật các chính sách, quy trình, biện pháp kiểm soát và tài liệu liên quan để phù hợp với yêu cầu mới.

8. Có cần đào tạo lại nhân sự không?

Câu trả lời là có. Đây là một tiêu chuẩn khá đặc thù cho ngành công nghệ thông tin do đó việc cập nhật, đào tạo cho hệ thống nhân sự đặc biệt là nhân sự IT, đội ngũ an toàn thông tin cũng như nhóm đánh giá nội bộ và cả ban lãnh đạo.

9. Phiên bản ISO/IEC 27002 có liên quan gì đến ISO 27001:2022?

ISO/IEC 27002 là hướng dẫn chi tiết để thực hiện các biện pháp kiểm soát trong Phụ lục A của ISO 27001. Phiên bản 27001:2022 cập nhật Phụ lục A để phù hợp với ISO/IEC 27002:2022.

10. Nếu không chuyển đổi kịp thời thì sao?

Chứng nhận ISO 27001:2013 sẽ không còn hiệu lực sau thời hạn. Với những doanh nghiệp không gia hạn giấy chứng nhận thì có thể ảnh hưởng lớn đến hợp đồng, kinh doanh đấu thầu và uy tín của tổ chức.

Kết nối với chuyên gia

Hãy để SQC Certification Vietnam giúp doanh nghiệp bạn chạm tới những tiêu chuẩn quốc tế một cách chuyên nghiệp và bền vững.

Bạn muốn Chuyên gia hỗ trợ

Đăng kí để kết nối trực tiếp với chuyên gia của chúng tôi !