Skip to content

ISO 27701

ISO 27701 – Tiêu chuẩn bổ sung cho ISO 27001

Các quy trình và hoạt động trao đổi thông tin ngày càng được thực hiện trên nền tảng số. Vì lý do này, an toàn thông tin trở nên vô cùng quan trọng và nhiều tổ chức coi việc xây dựng một hệ thống quản lý hiệu quả trong lĩnh vực này là điều thiết yếu.

ISO 27001 cung cấp một khung quản lý phù hợp cho mục tiêu đó, cho phép doanh nghiệp chứng minh rằng mình bảo vệ đầy đủ các thông tin quan trọng.

Gần đây, một tiêu chuẩn bổ sung cho ISO 27001 đã được ban hành, đó là ISO 27701. Tiêu chuẩn này không chỉ bảo vệ thông tin của chính doanh nghiệp mà còn chứng minh rằng doanh nghiệp bảo vệ quyền riêng tư của các cá nhân khác.

TÜV NORD đã được công nhận là tổ chức chứng nhận cho ISO 27701 kể từ năm 2022. Điều này cho phép chúng tôi chứng nhận doanh nghiệp đồng thời ISO 27001 và ISO 27701 dưới hình thức chứng nhận có công nhận.

Liên hệ & Báo giá

Đối tượng áp dụng của chứng nhận ISO 27701

Chứng nhận ISO 27701 phù hợp với mọi tổ chức xử lý dữ liệu cá nhân (PII). Điều này áp dụng cho tất cả các tổ chức, không phân biệt quy mô, bao gồm doanh nghiệp tư nhân, doanh nghiệp nhà nước, cơ quan chính phủ và các tổ chức phi lợi nhuận xử lý dữ liệu cá nhân với vai trò bên kiểm soát dữ liệu (controller) và/hoặc bên xử lý dữ liệu (processor) theo quy định của Luật Bảo vệ Dữ liệu Liên bang Đức (BDSG) trong khuôn khổ một Hệ thống quản lý an toàn thông tin (ISMS).

Đặc biệt trong trường hợp tổ chức cần chứng minh việc xử lý dữ liệu cá nhân một cách có ý thức và có hệ thống, chứng nhận này cung cấp một giải pháp cấu trúc rõ ràng.

Các đối tượng hưởng lợi từ ISO 27701 bao gồm:

  • Mọi doanh nghiệp xử lý dữ liệu cá nhân, không phụ thuộc vào quy mô và loại hình
  • Các tổ chức mong muốn giảm thiểu rủi ro tài chính và rủi ro pháp lý liên quan đến vi phạm dữ liệu
  • Doanh nghiệp tư nhân, tổ chức công và cơ quan nhà nước cần áp dụng cách tiếp cận dựa trên rủi ro trong việc lưu trữ và xử lý dữ liệu cá nhân

Các tổ chức đã có ISMS và mong muốn phát triển, chuyên nghiệp hóa vai trò của mình với tư cách là controller và/hoặc processor
 

Các vai trò trong quản lý bảo vệ dữ liệu

Các vai trò được định nghĩa trong tiêu chuẩn ISO 27701 bao gồm Controller (Bên kiểm soát dữ liệu cá nhân) và Processor (Bên xử lý dữ liệu cá nhân). Các vai trò này cũng được quy định tại Điều 4 của GDPR và trong tiêu chuẩn ISO 29100.

 

CONTROLLER – Bên kiểm soát dữ liệu cá nhân

“Cá nhân hoặc pháp nhân, cơ quan công quyền, tổ chức hoặc đơn vị khác, độc lập hoặc cùng với các bên khác, xác định mục đích và phương thức xử lý dữ liệu cá nhân.”

Bên kiểm soát dữ liệu thu thập dữ liệu cá nhân và quyết định mục đích xử lý. Nhiều tổ chức có thể cùng đóng vai trò là bên kiểm soát dữ liệu (joint controller). Trong trường hợp này, có thể cần thiết lập các thỏa thuận chia sẻ dữ liệu.

Lợi ích khi là bên quản lý PII

  • Cung cấp các hướng dẫn về phương thức làm việc ưu tiên
  • Tạo sự minh bạch giữa các bên chịu trách nhiệm về dữ liệu cá nhân
  • Đảm bảo quản lý hiệu quả các quy trình xử lý dữ liệu cá nhân

     

PROCESSOR – Bên xử lý dữ liệu cá nhân

“Cá nhân hoặc pháp nhân, cơ quan công quyền, tổ chức hoặc đơn vị khác xử lý dữ liệu cá nhân thay mặt cho bên kiểm soát dữ liệu.”

Bên xử lý dữ liệu xử lý dữ liệu cá nhân cho bên kiểm soát dữ liệu và chỉ theo chỉ dẫn của bên kiểm soát.

Lợi ích đối với bên xử lý dữ liệu PII

  • Cung cấp các hướng dẫn về phương thức làm việc ưu tiên
  • Mang lại sự tin tưởng cho khách hàng rằng dữ liệu cá nhân được xử lý một cách hiệu quả

     

Lợi ích của chứng nhận ISO 27701

  • Giảm rủi ro đối với quyền riêng tư của cá nhân và tăng cường bảo vệ trước các sự cố rò rỉ dữ liệu
  • Cung cấp bằng chứng tuân thủ các luật và quy định về bảo vệ dữ liệu
  • Chứng minh cam kết, hiểu biết và khả năng kiểm soát đối với quyền riêng tư dữ liệu
  • Tạo sự chắc chắn và niềm tin giữa các bên trong chuỗi thông tin
  • Giảm nỗ lực trong các dự án tuân thủ và loại bỏ nhu cầu đánh giá bảo vệ dữ liệu riêng lẻ
  • Bảo vệ kiến thức về quyền riêng tư, danh tiếng và năng lực cạnh tranh của doanh nghiệp

     

Nội dung của ISO 27701

ISO 27001 và ISO 27002 quy định các yêu cầu và hướng dẫn đối với Hệ thống quản lý an toàn thông tin (ISMS). ISO 27701 bổ sung các yêu cầu và hướng dẫn đặc thù về bảo vệ dữ liệu và mở rộng hệ thống sang Hệ thống quản lý thông tin bảo vệ dữ liệu (PIMS).

Các nội dung bổ sung cụ thể bao gồm:

  • Các điều khoản hiện có của ISO 27001 (từ điều 4 đến điều 10)
  • Phụ lục A1 (các biện pháp kiểm soát từ ISO 27002, điều 5–18) nhằm đáp ứng các yêu cầu đặc thù của ISO 27701

ISO 27701 vì vậy là phần mở rộng của các yêu cầu và biện pháp kiểm soát trong ISO 27001, và không hoạt động độc lập. Do đó, phạm vi áp dụng của ISO 27701 luôn tương ứng với phạm vi của hệ thống quản lý ISO 27001 nền tảng.

Quy trình đánh giá chứng nhận ISO 27701

1

Bước 1

Tiếp nhận yêu cầu, chuẩn bị báo giá và tư vấn giải thích

2

Bước 2

Ký hợp đồng và lập lịch đánh giá riêng

3

Bước 3

Đánh giá: tìm hiểu tổ chức và xác định mức độ sẵn sàng cho chứng nhận

4

Bước 4

Xác định các lĩnh vực cần cải tiến

5

Bước 5

Rà soát “bốn mắt” nhanh chóng và lập chứng chỉ

6

Bước 6

Cấp chứng chỉ TÜV có giá trị quốc tế

7

Bước 7

Phát triển liên tục hệ thống quản lý và năng lực cạnh tranh

Các câu hỏi thường gặp

PII (Personally Identifiable Information) / PII – dữ liệu cá nhân;
Bên kiểm soát PII / cán bộ phụ trách PII;
Chủ thể PII / chủ thể dữ liệu;
Bên xử lý PII / bên xử lý PII;
Vi phạm quyền riêng tư / vi phạm dữ liệu;
Nguyên tắc quyền riêng tư / các nguyên tắc bảo vệ dữ liệu;
Rủi ro quyền riêng tư / rủi ro bảo vệ dữ liệu;
Đánh giá rủi ro quyền riêng tư / đánh giá rủi ro bảo vệ dữ liệu;
Xử lý P / xử lý dữ liệu cá nhân;
PII nhạy cảm / PII nhạy cảm

Chứng chỉ ISO 27701 phù hợp với bất kỳ tổ chức nào xử lý dữ liệu cá nhân (PII). Điều này áp dụng cho mọi tổ chức, không phân biệt quy mô, bao gồm doanh nghiệp nhà nước và tư nhân, cơ quan chính phủ và tổ chức phi lợi nhuận xử lý dữ liệu cá nhân (PII) với vai trò là bên kiểm soát và/hoặc bên xử lý theo ý nghĩa của Luật Bảo vệ Dữ liệu Liên bang Đức (BDSG), như một phần của Hệ thống Quản lý An toàn Thông tin (ISMS).

Đặc biệt nếu bạn cần chứng minh rằng tổ chức của mình xử lý có ý thức loại dữ liệu cá nhân này, chứng chỉ này cung cấp một giải pháp có cấu trúc:

  • Mọi công ty xử lý dữ liệu cá nhân, bất kể quy mô và loại hình, đều có thể hưởng lợi từ việc triển khai ISO 27701.
  • Các tổ chức muốn (đồng) giảm rủi ro tài chính và rủi ro pháp lý liên quan đến vi phạm dữ liệu.
  • Doanh nghiệp tư nhân và công, và cả cơ quan chính phủ, phải tuân theo cách tiếp cận dựa trên rủi ro đối với việc lưu trữ và xử lý dữ liệu cá nhân.
  • Các tổ chức có ISMS muốn phát triển thêm và chuyên nghiệp hóa vai trò của mình như bên kiểm soát và/hoặc bên xử lý.

Các công ty chịu sự điều chỉnh của pháp luật châu Âu, ví dụ vì họ là doanh nghiệp châu Âu hoặc hoạt động trong EU, có thể sử dụng ISO 27701 để xem xét mức độ tuân thủ pháp luật GDPR của mình sát hơn. Điều này áp dụng, ví dụ, cho:

  • Các tổ chức đang tìm cách tuân thủ nghĩa vụ chứng minh rằng họ đã triển khai các biện pháp kỹ thuật và tổ chức phù hợp nhằm đảm bảo tuân thủ các yêu cầu của GDPR.
  • Các tổ chức muốn (tiếp tục) xử lý dữ liệu cá nhân thay mặt cho khách hàng chỉ được phép thuê ngoài việc này cho các tổ chức có thể đảm bảo đầy đủ rằng hoạt động xử lý tuân thủ các yêu cầu của GDPR và bảo vệ các quyền của chủ thể dữ liệu.

Để đạt chứng nhận ISO 27701, bạn phải đã có một Hệ thống Quản lý An toàn Thông tin (ISMS) đang vận hành và đáp ứng các yêu cầu của ISO 27001. Điều này có nghĩa là bạn phải đã có chứng nhận ISO 27001 hoặc đang trong quá trình đạt được. Lý do là vì ISO 27701 bổ trợ cho tiêu chuẩn này.

Đối với bất kỳ tổ chức nào xử lý dữ liệu nhạy cảm, đặc biệt là dữ liệu có thể truy ngược về một cá nhân, phần bổ sung này chắc chắn có liên quan.

Nếu bạn đã có chứng chỉ ISO 27001 (từ TÜV NORD hoặc một tổ chức chứng nhận khác), ban đầu bạn sẽ trải qua một cuộc đánh giá riêng cho ISO 27701. Khi đó, chứng chỉ này sẽ có cùng thời hạn hiệu lực như chứng chỉ ISO 27001 hiện tại của bạn. Khi chứng chỉ hết hạn, hoặc nếu bạn bắt đầu đồng thời cả hai chứng nhận ISO 27001 và ISO 27701, các cuộc đánh giá cho ISO 27001 và ISO 27701 sẽ được đồng bộ.

ISMS và PIMS sau đó sẽ được tích hợp, và các cuộc đánh giá cho cả hai hệ thống sẽ được kết hợp.