So sánh ISO/IEC 42001 vs ISO/IEC 27001

Hiện nay trong bối cảnh kỷ nguyên số, ISO/IEC 27001 và ISO/IEC 42001 là “bộ đôi” thiết yếu cho quản trị doanh nghiệp. ISO 27001 tập trung bảo vệ tính bảo mật, toàn vẹn của dữ liệu, trong khi ISO 42001 thiết lập khung quản trị Trí tuệ nhân tạo (AI) trách nhiệm. Cả hai bộ tiêu chuẩn này có những điểm giống và khác nhau khá đặc biệt mà nhiều tổ chức, doanh nghiệp chưa nhận ra. Bài viết này, SQC Certification xin chia sẻ cho bạn sự giống và khác nhau giữa ISO/IEC 42001 vs ISO/IEC 27001

Mục lục

Tổng quan về ISO 42001 và ISO 27001

ISO/IEC 42001:2023

ISO/IEC 42001 là tiêu chuẩn quốc tế đầu tiên về Hệ thống quản lý trí tuệ nhân tạo (AI Management System – AIMS), được ban hành nhằm giúp các tổ chức xây dựng, triển khai và kiểm soát việc sử dụng AI một cách có trách nhiệm. Tiêu chuẩn này cung cấp khung quản trị toàn diện, tập trung vào việc đánh giá và kiểm soát rủi ro liên quan đến AI như thiên kiến, thiếu minh bạch và tác động đến con người.

Bộ tiêu chuẩn ISO/IEC 42001 không chỉ hỗ trợ doanh nghiệp nâng cao độ tin cậy của hệ thống AI mà còn đảm bảo tuân thủ các yêu cầu pháp lý và đạo đức trong bối cảnh công nghệ ngày càng phát triển. Đây được xem là bước tiến quan trọng giúp doanh nghiệp khai thác AI hiệu quả, an toàn và bền vững.

Phạm vi áp dụng

Tổ chức phát triển AI (AI developers)
Doanh nghiệp sử dụng AI trong vận hành
Các ngành như: tài chính, y tế, công nghệ, marketing,…

ISO/IEC 27001:2022

Bộ tiêu chuẩn ISO/IEC 27001 là tiêu chuẩn quốc tế về Hệ thống quản lý an toàn thông tin (Information Security Management System – ISMS), cung cấp khuôn khổ toàn diện giúp tổ chức bảo vệ dữ liệu và tài sản thông tin một cách hiệu quả. Bộ tiêu chuẩn ISO 27001 giúp tập trung vào việc nhận diện, đánh giá cũng như kiểm soát tốt các rủi ro có liên quan đến An ninh thông tin và đảm bảo 3 yếu tố cốt lõi:

Bảo mật,
Toàn vẹn
Sẵn sàng của dữ liệu.

Thông qua việc áp dụng ISO/IEC 27001, doanh nghiệp có thể thiết lập các chính sách, quy trình và biện pháp kiểm soát phù hợp nhằm ngăn ngừa rò rỉ thông tin, tấn công mạng và các sự cố bảo mật. Đây là nền tảng quan trọng giúp nâng cao uy tín, tăng cường niềm tin của khách hàng và đáp ứng các yêu cầu tuân thủ pháp lý trong môi trường số hiện nay.

Những điểm giống nhau của ISO 27001 và ISO 42001 là gì?

Cấu trúc cấp cao tương thích (High-Level Structure – HLS)

Xét về cấu trúc thì cả 2 bộ tiêu chuẩn ISO 27001 và ISO 42001 hiện đều tuân thủ cấu trúc Annex SL. Điều này có thể giúp cho các doanh nghiệp của bạn dễ dàng tích hợp hai tiêu chuẩn vào một hệ thống quản lý chung. Các điều khoản tương đồng bao gồm:

Bối cảnh tổ chức (Điều khoản 4): Xác định các vấn đề nội bộ và bên ngoài ảnh hưởng đến hệ thống.
Sự lãnh đạo (Điều khoản 5): Yêu cầu sự cam kết từ ban lãnh đạo cao nhất.
Hoạch định (Điều khoản 6): Thiết lập mục tiêu và kế hoạch hành động.
Hỗ trợ và Vận hành (Điều khoản 7 & 8): Cung cấp nguồn lực và thực hiện các quy trình đã hoạch định.
Đánh giá và Cải tiến (Điều khoản 9 & 10): Đo lường hiệu suất và khắc phục sai sót.

Tiếp cận dựa trên rủi ro (Risk-based Approach)

Đây là “xương sống” của cả hai tiêu chuẩn. Thay vì việc tổ chức, doanh nghiệp của bạn đưa ra được các quy tắc khá cứng nhắc thì cả hai bộ tiêu chuẩn này cũng đều có đưa ra được các quy tắc khá cứng nhắc và cả hai đều yêu cầu tổ chức:

Nhận diện các rủi ro (với ISO 27001 là rủi ro về mất an toàn dữ liệu; với ISO 42001 là rủi ro về đạo đức, sự thiên kiến và an toàn của AI).
Đánh giá tác động và khả năng xảy ra.
Triển khai các biện pháp kiểm soát (Controls) để giảm thiểu rủi ro xuống mức chấp nhận được.

Chu trình cải tiến liên tục PDCA

Có thể thấy được thì cả hai bộ tiêu chuẩn này cũng đều vận hành theo chu trìnhPDCA (Plan – Do – Check – Act)

Plan: Thiết lập các chính sách và mục tiêu.
Do: Triển khai quy trình và kiểm soát.
Check: Giám sát và kiểm tra hiệu quả.
Act: Thực hiện các hành động cải tiến dựa trên kết quả đánh giá.

Cơ chế kiểm soát (Controls) và Tuyên bố áp dụng (SoA)

Tương tự như Phụ lục A của ISO 27001, ISO 42001 cũng có thể đưa vào Phụ lục A (Annex A) chứa danh sách các biện pháp kiểm soát cụ thể. Cả hai đều yêu cầu tổ chức lập Tuyên bố áp dụng (Statement of Applicability – SoA) để xác định biện pháp nào được chọn và lý do tại sao (hoặc tại sao loại bỏ). Nhiều biện pháp giúp kiểm soát trong ISO 42001 thực chất chính là sự mở rộng của ISO 27001, ví dụ: quản lý tài sản, kiểm soát truy cập và bảo mật vận hành.

Mục tiêu bảo vệ dữ liệu và tính toàn vẹn

Tuy bộ tiêu chuẩn ISO 42001 có tập trung nhiều hơn vào khía cạnh đạo đức và trách nhiệm giải trình của AI, tuy nhiên chúng vẫn chia sẻ tốt các mục tiêu cơ bản của bộ tiêu chuẩn ISO 27001:

Tính bảo mật (Confidentiality): Đảm bảo dữ liệu huấn luyện AI và dữ liệu người dùng không bị rò rỉ.
Tính toàn vẹn (Integrity): Đảm bảo mô hình AI không bị “đầu độc” dữ liệu làm sai lệch kết quả.
Tính sẵn sàng (Availability): Đảm bảo hệ thống AI hoạt động ổn định khi cần thiết.

7 điểm khác nhau giữa ISO 42001 và ISO 27001

Có thể thấy được là hai bộ tiêu chuẩn ISO 42001 và ISO 27001 hiện nay đều là các bộ tiêu chuẩn quốc tế khá quan trọng tuy nhiên giữa chúng có những điểm khác biệt và mục tiêu hoàn toàn khác nhau. Dưới đây là những điểm khác nhau cốt lõi:

1. Mục tiêu chính

ISO 42001: Đảm bảo việc phát triển và sử dụng AI có trách nhiệm, minh bạch, kiểm soát rủi ro (bias, đạo đức, pháp lý)
ISO 27001: Bảo vệ tính bảo mật – toàn vẹn – sẵn sàng (CIA) của thông tin

2. Phạm vi áp dụng

ISO 42001: Bộ tiêu chuẩn này hiện được áp dụng cho các tổ chức phát triển, triển khai hoặc sử dụng AI
ISO 27001: Bộ tiêu chuẩn này hiện nay được áp dụng cho mọi tổ chức có xử lý thông tin (gần như tất cả doanh nghiệp)

3. Đối tượng quản lý

ISO 42001:

Bộ tiêu chuẩn ISO 42001 hiện nay được áp dụng cho một hệ thống AI, các thuật toán cũng như dữ liệu huấn luyện và có quyết định do AI đưa ra.

ISO 27001:

Bộ tiêu chuẩn ISO 27001 này hiện được áp dụng cho hệ thống dữ liệu cũng như thông tin và hệ thống CNTT cũng như hạ tầng bảo mật.

4. Loại rủi ro tập trung

ISO 42001:

Bộ tiêu chuẩn chứng nhận ISO 42001 này cũng gặp phải những rủi ro khi triển khai chính là việc Thiên kiến AI (AI bias) hay sự thiếu minh bạch dẫn đến các quyết định sai lệch khi sử dụng AI. Từ đó khiến rủi ro đạo đức cũng như pháp lý.

ISO 27001:

Thường gặp những rủi ro về rò rỉ dữ liệu cũng như các cuộc tấn công mạng và mất dữ liệu vv.

5. Cách tiếp cận quản lý

ISO 42001:

Hiện nay việc quản trị theo vòng đời AI từ khâu Thiết kế – triển khai cho đến giám sát cũng được tiếp cận theo cách quản lý một cách minh bạch. Ngoài ra chúng còn nhấn mạnh vào yếu tố accountability & explainability

ISO 27001

Hiện nay còn áp dụng vào một hệ thống ISMS (Information Security Management System) và được kiểm soát truy cập cũng như mã hóa chính sách bảo mật một cách hiện đại nhất.

6. Tính mới và mức độ phổ biến

ISO 42001:

Bộ tiêu chuẩn này được ban hành năm 2023 và đang trong giai đoạn phát triển và áp dụng.

ISO 27001:

Bộ tiêu chuẩn này ra đời sớm hơn và hiện phổ biến trên toàn cầu được nhiều tổ chức, doanh nghiệp có áp dụng rộng rãi.

7. Mối quan hệ giữa hai tiêu chuẩn

Hai tiêu chuẩn này không thay thế nhau mà bổ trợ cho nhau:

ISO 27001 giúp bảo mật dữ liệu AI
ISO 42001 giúp đảm bảo AI hoạt động có trách nhiệm

Doanh nghiệp sử dụng AI thường nên triển khai cả hai để vừa an toàn thông tin vừa quản trị AI hiệu quả.

Tổ chức bạn có nên áp dụng cả 2 tiêu chuẩn ISO 42001 và ISO 27001?

Câu trả lời chính là có thể áp dụng cả hai cùng lúc, nhưng không phải lúc nào cũng nên làm ngay từ đầu. Điều này phụ thuộc vào mức độ trưởng thành của doanh nghiệp và việc bạn đã sử dụng AI đến đâu.

Khi nào NÊN áp dụng đồng thời ISO 42001 & ISO 27001?

Câu trả lời ở đây chính là bạn có những đặc điểm như đang muốn phát triển và sử dụng AI trong hoạt động cốt lõi của mình hoặc có những dữ liệu nhạy cảm cần được bảo mật. Ngoài ra nếu như tổ chức của bạn cần tuân thủ tính năng pháp lý cao cũng nên áp dụng cả 2.

Trong trường hợp này:

ISO 27001 bảo vệ dữ liệu
ISO 42001 kiểm soát cách AI sử dụng dữ liệu đó

Việc tổ chức của bạn triển khai cùng lúc sẽ tạo hệ thống quản trị toàn diện (secure + responsible AI)

Tin Tổng Hợp

Tổng quan về ISO 42001 và ISO 27001