ISO/IEC 27701:2025: những thay đổi đáng chú ý

ISO/IEC 27701:2025: những thay đổi đáng chú ý

2026-07-11 16:06:04 6

1. Bối cảnh ban hành ISO/IEC 27701:2025

Tổ chức ISO đã chính thức ban hành ISO/IEC 27701:2025 vào ngày 14/10/2025. Đây là phiên bản cập nhật quan trọng của tiêu chuẩn về Hệ thống quản lý thông tin riêng tư (PIMS), thay thế cho phiên bản 2019. Điểm thay đổi lớn nhất là tiêu chuẩn không còn là phần mở rộng của ISO/IEC 27001 mà trở thành hệ thống quản lý độc lập, có thể chứng nhận riêng.

Tại Việt Nam, tiêu chuẩn này ra đời đúng vào thời điểm an ninh mạng và bảo vệ dữ liệu cá nhân đang nhận được nhiều sự quan tâm. Theo thông tin từ Tạp chí điện tử An ninh mạng Việt Nam, trong năm 2025, các hệ thống thông tin tại Việt Nam đối mặt khoảng 552.000 cuộc tấn công mạng, trong đó tỷ lệ tổ chức chịu tổn hại thực tế là 52,3% (theo khảo sát trên 5300 đơn vị). Trong ba năm gần đây, đã có hơn 30 vụ mua bán và chiếm đoạt dữ liệu trái phép bị phát hiện, khiến hơn 160 triệu bản ghi dữ liệu bị lộ.

Để đáp ứng yêu cầu thực tiễn này, Việt Nam đã ban hành hai văn bản luật quan trọng trong năm 2025:

Luật Bảo vệ dữ liệu cá nhân (Luật số 91/2025/QH15) được thông qua ngày 26/6/2025, có hiệu lực từ ngày 01/01/2026.

Luật An ninh mạng (Luật số 116/2025/QH15) được thông qua ngày 10/12/2025, có hiệu lực từ ngày 01/7/2026. Luật này hợp nhất Luật An toàn thông tin mạng 2015 và Luật An ninh mạng 2018 thành một khung pháp lý thống nhất.

Trong bối cảnh pháp lý ngày càng chặt chẽ, việc áp dụng ISO/IEC 27701:2025 giúp doanh nghiệp xây dựng hệ thống quản lý thông tin riêng tư (PIMS) một cách bài bản, từ đó nâng cao khả năng bảo vệ dữ liệu và dễ dàng đáp ứng các quy định pháp luật hiện hành.

2. Định nghĩa và phạm vi áp dụng ISO/IEC 27701

ISO/IEC 27701 quy định yêu cầu thiết lập, triển khai, duy trì và cải tiến liên tục Hệ thống quản lý thông tin riêng tư (PIMS). Tiêu chuẩn kèm theo hướng dẫn thực hành hỗ trợ triển khai. Tiêu chuẩn áp dụng cho hai nhóm tổ chức:

 - PII Controller (Bên kiểm soát Thông tin Nhận dạng Cá nhân): là bên xác định mục đích và phương thức xử lý dữ liệu cá nhân.

 - PII Processor (Bên xử lý thông tin cá nhân): là tổ chức, cá nhân hoặc hệ thống xử lý dữ liệu PII (personally identifiable information - thông tin nhận dạng cá nhân) thay mặt và theo chỉ đạo của PII Controller.

Trước tháng 10/2025, chứng nhận ISO/IEC 27701:2019 bắt buộc tổ chức phải có hoặc đồng thời xây dựng ISO/IEC 27001. Phiên bản 2025 thay đổi cách vận hành này. Tiêu chuẩn trở thành hệ thống quản lý độc lập, có thể chứng nhận riêng. Tiêu chuẩn không còn là phụ lục đi kèm ISO/IEC 27001.

Thay đổi này cũng tách bạch rõ hơn hai mảng công việc vốn dễ bị gộp chung trước đây. Kỹ thuật an toàn thông tin thường do bộ phận IT hoặc An ninh mạng phụ trách. Quản trị quyền riêng tư dữ liệu thường do bộ phận Pháp chế phụ trách. Một tổ chức có thể triển khai PIMS mà không cần xây ISMS trước. Mặc dù vậy, các tổ chức vẫn cần phối hợp giữa hai bộ phận này trong quá trình vận hành.

3. Các mốc thời gian đáng chú ý

Thời điểm

Nội dung

Việc cần làm

10/2025

ISO/IEC 27701:2025 ban hành. Có thể cấp chứng chỉ mới theo cả hai phiên bản.

Đánh giá thực trạng so với yêu cầu bản 2025. Lập kế hoạch chuyển đổi.

10/2025 – 10/2026 (Năm 1)

Tổ chức chứng nhận bắt đầu cập nhật chương trình đánh giá theo bản mới.

Xác nhận tổ chức chứng nhận đã sẵn sàng đánh giá bản 2025. Cân nhắc chuyển đổi phiên bản trong đợt đánh giá giám sát (nếu xem xét đã đủ điều kiện).

10/2026 – 10/2027 (Năm 2)

Phần lớn tổ chức chứng nhận đã vận hành ổn định theo bản 2025.

Hoàn tất cập nhật tài liệu và đánh giá nội bộ theo cấu trúc mới. Đặt lịch đánh giá chuyển đổi.

10/2027 – 10/2028 (Năm 3)

Giai đoạn nước rút, gần đến hạn hết hiệu lực của bản 2019.

Hoàn tất đánh giá chuyển đổi trước tháng 10/2028.

10/2028

Hạn chót. Chứng chỉ bản 2019 hết hiệu lực hoàn toàn.

Chưa chuyển đổi sẽ mất chứng chỉ, phải làm lại từ đầu với đánh giá Stage 1 và Stage 2.

4. So sánh ISO/IEC 27701:2019 và ISO/IEC 27701:2025

Tiêu chí

ISO/IEC 27701:2019

ISO/IEC 27701:2025

Bản chất tiêu chuẩn

Phần mở rộng của ISO/IEC 27001 và ISO/IEC 27002

Hệ thống quản lý độc lập

Điều kiện tiên quyết

Bắt buộc có chứng nhận ISO/IEC 27001

Không yêu cầu, có thể chứng nhận độc lập

Cấu trúc điều khoản

Từ Điều 4–10 của ISO/IEC 27001

Có Điều 4–10 riêng, hoàn chỉnh

Vị trí điều/mục về kiểm soát quyền riêng tư

Phân tán trong Điều 7 (PII Controller) và Điều 8 (PII Processor), lồng ghép với kiểm soát bắt buộc

Tập trung tại Annex A, chia 3 nhóm: A.1 PII Controller, A.2 PII Processor, A.3 Dùng chung

Hướng dẫn triển khai

Lồng ghép cùng các kiểm soát bắt buộc

Tách riêng sang Annex B

Quản lý rủi ro

Mở rộng từ quy trình đánh giá rủi ro an toàn thông tin của ISO/IEC 27001

Quy trình đánh giá rủi ro riêng tư độc lập trong Điều 6

Phạm vi áp dụng

Mở rộng từ SoA của ISO/IEC 27001

SoA độc lập, bao phủ toàn bộ kiểm soát Annex A

Biến đổi khí hậu

Chưa đề cập

Đưa vào xem xét bối cảnh tổ chức tại Điều 4.1 và 4.2

Hình thức chứng nhận

Cần phải có ISO/IEC 27001

Có thể làm chứng nhận độc lập hoặc kết hợp với ISO/IEC 27001, tùy lựa chọn của tổ chức

5. Các câu hỏi thường gặp

ISO/IEC 27701:2025 có bắt buộc phải có ISO/IEC 27001:2022 không?
Không. Đây là thay đổi cốt lõi của bản 2025. PIMS được chứng nhận độc lập. Tiêu chuẩn không còn yêu cầu tổ chức phải có hoặc đồng thời xây dựng ISO/IEC 27001 như bản 2019.

Doanh nghiệp đã có ISO/IEC 27701:2019 chuyển đổi sang bản 2025 như thế nào?
Doanh nghiệp dùng Annex F, bảng đối chiếu điều khoản giữa hai phiên bản, để đánh giá thực tế. Sau đó, doanh nghiệp làm việc với tổ chức chứng nhận hiện tại để xác định hình thức đánh giá chuyển đổi phù hợp.

Chứng nhận ISO/IEC 27701:2025 có thay thế nghĩa vụ tuân thủ pháp luật Việt Nam không?
Không. Đây là công cụ hỗ trợ quản trị, không thay thế việc rà soát và tuân thủ các nghĩa vụ pháp lý cụ thể. Doanh nghiệp vẫn cần tuân thủ Luật Bảo vệ dữ liệu cá nhân (Luật số 91/2025/QH15) và Luật An ninh mạng (Luật số 116/2025/QH15), bên cạnh Nghị định 13/2023/NĐ-CP.

Liên hệ với AHEAD để tìm hiểu thêm về Tiêu chuẩn ISO/IEC 27701 phiên bản mới nhất.

Nguồn:

https://www.iso.org/obp/ui/en/#iso:std:iso-iec:27701:ed-2:v1:en

https://www.isms.online/data-privacy/everything-you-need-to-know-about-the-iso-277012025-standard-update/

https://iso-ahead.vn/iso-27001-va-bai-toan-an-toan-thong-tin-cho-doanh-nghiep

https://www.isms.online/iso-27701/iso-27701-2025-vs-2019-comparison/

https://vneconomy.vn/tan-cong-mang-gay-thiet-hai-vuot-xa-nhieu-loai-hinh-toi-pham-truyen-thong.htm 

Liên hệ AHEAD ngay để nhận được tư vấn 

Ms. Hà

Hotline: 0982024173

Zalo: https://zalo.me/0982024173

Email: info@ahead.com.vn

Ms. Vân Nguyễn

Hotline: 0988 382 242

Zalo: zalo.me/84988382242

Email: van.nguyen@ahead.com.vn

Văn phòng AHEAD

Hà Nội: Số 18 Tam Trinh, Phường Tương Mai, Thành phố Hà Nội.

Đà Nẵng: Số 498 Bùi Trang Chước, Phường Hoà Xuân, Thành phố Đà Nẵng

Hồ Chí Minh:  Đường số 23, Phường Hiệp Bình, Thành phố Hồ Chí Minh.

  • Từ khóa:

Bình luận:

Trụ sở chính: AHEAD Hà Nội

Số 18 Tam Trinh, Phường Vĩnh Tuy, Quận Hai Bà Trưng, Thành phố Hà Nội
Phone:

0913567755 - 0919442077

Email:

sale@ahead.com.vn

VPĐD 1: AHEAD Hồ Chí Minh

Đường số 23, Phường Hiệp Bình, Thành phố Hồ Chí Minh
Phone:

0913.567.755 - 0919.442.077

VPĐD 2: AHEAD Đà Nẵng

498 Bùi Trang Chước, Phường Hoà Xuân, Thành phố Đà Nẵng
Phone:

0935.516.518