1. Bối cảnh ban hành ISO/IEC 27701:2025
Tổ chức ISO đã chính thức ban hành ISO/IEC 27701:2025 vào ngày 14/10/2025. Đây là phiên bản cập nhật quan trọng của tiêu chuẩn về Hệ thống quản lý thông tin riêng tư (PIMS), thay thế cho phiên bản 2019. Điểm thay đổi lớn nhất là tiêu chuẩn không còn là phần mở rộng của ISO/IEC 27001 mà trở thành hệ thống quản lý độc lập, có thể chứng nhận riêng.
Tại Việt Nam, tiêu chuẩn này ra đời đúng vào thời điểm an ninh mạng và bảo vệ dữ liệu cá nhân đang nhận được nhiều sự quan tâm. Theo thông tin từ Tạp chí điện tử An ninh mạng Việt Nam, trong năm 2025, các hệ thống thông tin tại Việt Nam đối mặt khoảng 552.000 cuộc tấn công mạng, trong đó tỷ lệ tổ chức chịu tổn hại thực tế là 52,3% (theo khảo sát trên 5300 đơn vị). Trong ba năm gần đây, đã có hơn 30 vụ mua bán và chiếm đoạt dữ liệu trái phép bị phát hiện, khiến hơn 160 triệu bản ghi dữ liệu bị lộ.

Để đáp ứng yêu cầu thực tiễn này, Việt Nam đã ban hành hai văn bản luật quan trọng trong năm 2025:
Luật Bảo vệ dữ liệu cá nhân (Luật số 91/2025/QH15) được thông qua ngày 26/6/2025, có hiệu lực từ ngày 01/01/2026.
Luật An ninh mạng (Luật số 116/2025/QH15) được thông qua ngày 10/12/2025, có hiệu lực từ ngày 01/7/2026. Luật này hợp nhất Luật An toàn thông tin mạng 2015 và Luật An ninh mạng 2018 thành một khung pháp lý thống nhất.
Trong bối cảnh pháp lý ngày càng chặt chẽ, việc áp dụng ISO/IEC 27701:2025 giúp doanh nghiệp xây dựng hệ thống quản lý thông tin riêng tư (PIMS) một cách bài bản, từ đó nâng cao khả năng bảo vệ dữ liệu và dễ dàng đáp ứng các quy định pháp luật hiện hành.
2. Định nghĩa và phạm vi áp dụng ISO/IEC 27701
ISO/IEC 27701 quy định yêu cầu thiết lập, triển khai, duy trì và cải tiến liên tục Hệ thống quản lý thông tin riêng tư (PIMS). Tiêu chuẩn kèm theo hướng dẫn thực hành hỗ trợ triển khai. Tiêu chuẩn áp dụng cho hai nhóm tổ chức:
- PII Controller (Bên kiểm soát Thông tin Nhận dạng Cá nhân): là bên xác định mục đích và phương thức xử lý dữ liệu cá nhân.
- PII Processor (Bên xử lý thông tin cá nhân): là tổ chức, cá nhân hoặc hệ thống xử lý dữ liệu PII (personally identifiable information - thông tin nhận dạng cá nhân) thay mặt và theo chỉ đạo của PII Controller.

Trước tháng 10/2025, chứng nhận ISO/IEC 27701:2019 bắt buộc tổ chức phải có hoặc đồng thời xây dựng ISO/IEC 27001. Phiên bản 2025 thay đổi cách vận hành này. Tiêu chuẩn trở thành hệ thống quản lý độc lập, có thể chứng nhận riêng. Tiêu chuẩn không còn là phụ lục đi kèm ISO/IEC 27001.
Thay đổi này cũng tách bạch rõ hơn hai mảng công việc vốn dễ bị gộp chung trước đây. Kỹ thuật an toàn thông tin thường do bộ phận IT hoặc An ninh mạng phụ trách. Quản trị quyền riêng tư dữ liệu thường do bộ phận Pháp chế phụ trách. Một tổ chức có thể triển khai PIMS mà không cần xây ISMS trước. Mặc dù vậy, các tổ chức vẫn cần phối hợp giữa hai bộ phận này trong quá trình vận hành.
3. Các mốc thời gian đáng chú ý
|
Thời điểm |
Nội dung |
Việc cần làm |
|
10/2025 |
ISO/IEC 27701:2025 ban hành. Có thể cấp chứng chỉ mới theo cả hai phiên bản. |
Đánh giá thực trạng so với yêu cầu bản 2025. Lập kế hoạch chuyển đổi. |
|
10/2025 – 10/2026 (Năm 1) |
Tổ chức chứng nhận bắt đầu cập nhật chương trình đánh giá theo bản mới. |
Xác nhận tổ chức chứng nhận đã sẵn sàng đánh giá bản 2025. Cân nhắc chuyển đổi phiên bản trong đợt đánh giá giám sát (nếu xem xét đã đủ điều kiện). |
|
10/2026 – 10/2027 (Năm 2) |
Phần lớn tổ chức chứng nhận đã vận hành ổn định theo bản 2025. |
Hoàn tất cập nhật tài liệu và đánh giá nội bộ theo cấu trúc mới. Đặt lịch đánh giá chuyển đổi. |
|
10/2027 – 10/2028 (Năm 3) |
Giai đoạn nước rút, gần đến hạn hết hiệu lực của bản 2019. |
Hoàn tất đánh giá chuyển đổi trước tháng 10/2028. |
|
10/2028 |
Hạn chót. Chứng chỉ bản 2019 hết hiệu lực hoàn toàn. |
Chưa chuyển đổi sẽ mất chứng chỉ, phải làm lại từ đầu với đánh giá Stage 1 và Stage 2. |
4. So sánh ISO/IEC 27701:2019 và ISO/IEC 27701:2025
|
Tiêu chí |
ISO/IEC 27701:2019 |
ISO/IEC 27701:2025 |
|
Bản chất tiêu chuẩn |
Phần mở rộng của ISO/IEC 27001 và ISO/IEC 27002 |
Hệ thống quản lý độc lập |
|
Điều kiện tiên quyết |
Bắt buộc có chứng nhận ISO/IEC 27001 |
Không yêu cầu, có thể chứng nhận độc lập |
|
Cấu trúc điều khoản |
Từ Điều 4–10 của ISO/IEC 27001 |
Có Điều 4–10 riêng, hoàn chỉnh |
|
Vị trí điều/mục về kiểm soát quyền riêng tư |
Phân tán trong Điều 7 (PII Controller) và Điều 8 (PII Processor), lồng ghép với kiểm soát bắt buộc |
Tập trung tại Annex A, chia 3 nhóm: A.1 PII Controller, A.2 PII Processor, A.3 Dùng chung |
|
Hướng dẫn triển khai |
Lồng ghép cùng các kiểm soát bắt buộc |
Tách riêng sang Annex B |
|
Quản lý rủi ro |
Mở rộng từ quy trình đánh giá rủi ro an toàn thông tin của ISO/IEC 27001 |
Quy trình đánh giá rủi ro riêng tư độc lập trong Điều 6 |
|
Phạm vi áp dụng |
Mở rộng từ SoA của ISO/IEC 27001 |
SoA độc lập, bao phủ toàn bộ kiểm soát Annex A |
|
Biến đổi khí hậu |
Chưa đề cập |
Đưa vào xem xét bối cảnh tổ chức tại Điều 4.1 và 4.2 |
|
Hình thức chứng nhận |
Cần phải có ISO/IEC 27001 |
Có thể làm chứng nhận độc lập hoặc kết hợp với ISO/IEC 27001, tùy lựa chọn của tổ chức |
5. Các câu hỏi thường gặp
ISO/IEC 27701:2025 có bắt buộc phải có ISO/IEC 27001:2022 không?
Không. Đây là thay đổi cốt lõi của bản 2025. PIMS được chứng nhận độc lập. Tiêu chuẩn không còn yêu cầu tổ chức phải có hoặc đồng thời xây dựng ISO/IEC 27001 như bản 2019.
Doanh nghiệp đã có ISO/IEC 27701:2019 chuyển đổi sang bản 2025 như thế nào?
Doanh nghiệp dùng Annex F, bảng đối chiếu điều khoản giữa hai phiên bản, để đánh giá thực tế. Sau đó, doanh nghiệp làm việc với tổ chức chứng nhận hiện tại để xác định hình thức đánh giá chuyển đổi phù hợp.
Chứng nhận ISO/IEC 27701:2025 có thay thế nghĩa vụ tuân thủ pháp luật Việt Nam không?
Không. Đây là công cụ hỗ trợ quản trị, không thay thế việc rà soát và tuân thủ các nghĩa vụ pháp lý cụ thể. Doanh nghiệp vẫn cần tuân thủ Luật Bảo vệ dữ liệu cá nhân (Luật số 91/2025/QH15) và Luật An ninh mạng (Luật số 116/2025/QH15), bên cạnh Nghị định 13/2023/NĐ-CP.
Liên hệ với AHEAD để tìm hiểu thêm về Tiêu chuẩn ISO/IEC 27701 phiên bản mới nhất.
Nguồn:
https://www.iso.org/obp/ui/en/#iso:std:iso-iec:27701:ed-2:v1:en
https://iso-ahead.vn/iso-27001-va-bai-toan-an-toan-thong-tin-cho-doanh-nghiep
https://www.isms.online/iso-27701/iso-27701-2025-vs-2019-comparison/
https://vneconomy.vn/tan-cong-mang-gay-thiet-hai-vuot-xa-nhieu-loai-hinh-toi-pham-truyen-thong.htm
Liên hệ AHEAD ngay để nhận được tư vấn
Ms. Hà
Hotline: 0982024173
Zalo: https://zalo.me/0982024173
Email: info@ahead.com.vn
Ms. Vân Nguyễn
Hotline: 0988 382 242
Zalo: zalo.me/84988382242
Email: van.nguyen@ahead.com.vn
Văn phòng AHEAD
Hà Nội: Số 18 Tam Trinh, Phường Tương Mai, Thành phố Hà Nội.
Đà Nẵng: Số 498 Bùi Trang Chước, Phường Hoà Xuân, Thành phố Đà Nẵng
Hồ Chí Minh: Đường số 23, Phường Hiệp Bình, Thành phố Hồ Chí Minh.
-

Bình luận: