ISO 27701 - Tiêu chuẩn tuân thủ các quy định về quyền riêng tư
Tiêu chuẩn này được thiết kế để giúp các tổ chức quản lý các quy trình an ninh thông tin theo đúng các thông lệ thực hành quốc tế tốt nhất, đóng vai trò như phần mở rộng về quyền riêng tư cho tiêu chuẩn được công nhận rộng rãi về an toàn thông tin ISO/IEC 27001, vốn đã được áp dụng phổ biến trên toàn thế giới.
Trong những năm gần đây, các tiêu chuẩn như ISO 27001 đã được áp dụng ngày càng nhiều trên toàn thế giới vì chúng đem lại nhiều lợi ích, vượt ngoài phạm vi của chứng nhận đơn thuần. Theo báo cáo năm 2018, 81% các tổ chức đang triển khai các Hệ thống quản lý an toàn thông tin (ISMS) đang thực hiện điều này để đáp ứng yêu cầu ngày càng tăng của khách hàng về tăng cường an ninh dữ liệu, trong khi 62% báo cáo rằng việc nâng cao nhận thức về an toàn thông tin cho nhân viên là một trong những lợi ích chủ chốt của việc triển khai ISMS.
Còn ISO 27701 được thiết kế để các tổ chức toàn cầu có thể triển khai thu thập và xử lý thông tin định danh cá nhân (PII) và giúp các tổ chức tuân thủ với những quy định về quyền riêng tư chính, chẳng hạn như General Data Protection Regulation (GDPR).
Một hệ thống quản lý thông tin cá nhân (PIMS) tuân thủ ISO 27701 có thể hữu ích cho những tổ chức có trách nhiệm bảo vệ dữ liệu, đặc biệt là những tổ chức hoạt động ở phạm vi quốc tế, làm việc với khách hàng từ những lãnh thổ khác hay vận hành các chuỗi cung ứng quốc tế. Những tổ chức này thường phải tuân thủ với nhiều quy định về quyền riêng tư khác nhau và cách tiếp cận của ISO 27701 có thể giúp thách thức đó dễ giải quyết hơn.
Khung tiêu chuẩn này giúp các tổ chức đối phó thích đáng với các rủi ro về bảo mật và quyền riêng tư của họ và có thể giảm thời gian dành cho các cuộc kiểm toán theo yêu cầu của khách hàng và theo quy định của hợp đồng.
Mở rộng hệ thống ISMS tuân thủ ISO 27001 với ISO 27701 có thể cung cấp các bằng chứng cho thấy tổ chức đã thực hiện các bước cần thiết để triển khai “các biện pháp kỹ thuật và hành chính thích hợp” để giảm rủi ro và bảo vệ dữ liệu cá nhân, đáp ứng các quy định về quyền riêng tư trên toàn cầu. Bằng cách triển khai một hệ thống PIMS như một phần mở rộng của một hệ thống ISMS tuân thủ ISO 27001 hiện có, một tổ chức có thể thu thập và xử lý dữ liệu theo cách có hệ thống, quản lý các rủi ro liên quan tới tính bảo mật, toàn vẹn và sẵn sàng của thông tin, phản ứng trước các nguy cơ rủi ro về dữ liệu và tính riêng tư của nó.
ISO 27701 cung cấp một bộ khung giúp các tổ chức triển khai, duy trì và liên tục hoàn thiện hệ thống PIMS theo đúng các thông lệ thực hành quốc tế tốt nhất đồng thời tối ưu hóa chi phí. Nó thiết lập các điều khoản để triển khai một hệ thống PIMS bằng cách mở rộng các yêu cầu và hướng dẫn mà ISO 27001 cung cấp; khuyến nghị các biện pháp kiểm soát và xử lý.
Tiêu chuẩn này cũng đặt ra các yêu cầu cho việc mở rộng ISMS để giải quyết vấn đề quản lý quyền riêng tư. Nếu một tổ chức đã triển khai ISO 27001, họ có thể sử dụng ISO 27701 để mở rộng các nỗ lực bảo mật của mình để đáp ứng các yêu cầu về quyền riêng tư. Các tổ chức chưa triển khai ISMS có thể triển khai ISO 27001 và ISO 27701 trong cùng một dự án, nhưng ISO 27701 không thể được thực hiện như một tiêu chuẩn độc lập. Lý do là hệ thống ISMS tuân thủ ISO 27001 là hạt nhân mà từ đó, việc bổ sung các quy định của ISO 27701 sẽ đảm bảo quyền riêng tư.
Kết hợp với ISO 27001, ISO 27701 có thể giúp các tổ chức chứng minh rằng, hệ thống quản lý của họ tuân thủ các quy định pháp lý chủ chốt về quyền riêng tư.
Tuy GDPR không chỉ ra rằng áp dụng ISO 27001 (hay ISO 27701) sẽ giúp cho việc đảm bảo tuân thủ quy định này, rất nhiều tổ chức đã coi ISO 27001 như thước đo toàn cầu cho quản lý an toàn thông tin. Theo khảo sát ISO 2018, trên toàn thế giới có khoảng 32.000 tổ chức đã nhận được chứng nhận tuân thủ ISO/IEC 27001 và con số này vẫn đang tiếp tục tăng.
Một hệ thống PIMS còn cho phép các tổ chức giảm chi phí liên quan đến quyền riêng tư và an toàn thông tin bằng cách liên tục thích ứng với những thay đổi của cả môi trường và nội bộ tổ chức, gia tăng đáng kể khả năng chống chọi các cuộc tấn công mạng.
Các quy định về quyền riêng tư được ban hành trong những năm gần đây như GDPR của châu Âu, đạo luật bảo vệ dữ liệu của Vương quốc Anh (DPA) và Luật về Quyền riêng tư của người tiêu dùng của Tiểu bang California (CCPA) cho thấy, các cơ quan quản lý nhà nước đang nâng cao tiêu chuẩn cơ bản về an toàn thông tin và quyền riêng tư. Các tổ chức đang đối mặt với những hậu quả nghiêm trọng hơn nhiều nếu không đáp ứng các quy định của pháp luật, gây lộ lọt dữ liệu.
Mặc dù hiện nay mới chỉ có chứng nhận tuân thủ ISO 27001 mà chưa có chứng nhận tuân thủ ISO 27701, sự gia tăng các quy định về an toàn thông tin và quyền riêng tư cũng như các cuộc tấn công mạng vào các doanh nghiệp ở mọi quy mô sẽ khuyến khích các tổ chức áp dụng những khung quy định quốc tế như ISO 27001 và ISO 27701.
Chứng chỉ tuân thủ các tiêu chuẩn sẽ giúp ích trong các dự án do chính phủ tài trợ, chứng minh cho khách hàng về thông lệ thực hành an ninh tốt, đảm bảo với hội đồng quản trị và các cơ quan giám sát rằng, tổ chức đó là đáng tin cậy về quyền riêng tư dữ liệu, phù hợp với khuôn khổ quốc tế này và các quy định pháp lý khác.
Bằng cách đạt chứng nhận ISO 27001, một tổ chức có thể chứng minh rằng họ đã thực hiện các bước thích hợp để đáp ứng các nghĩa vụ pháp lý và quy định về trách nhiệm để giảm và quản lý rủi ro bảo mật dữ liệu. Các tổ chức cần chú ý tới sự phát triển của chương trình chứng nhận ISO 27701 bằng cách theo dõi vấn đề quản trị CNTT trên phương tiện truyền thông xã hội.
Nguyễn Anh Tuấn
Information Management