Giới thiệu

Trong kỷ nguyên số, khi dữ liệu trở thành tài sản quý giá nhưng cũng tiềm ẩn nhiều rủi ro, việc bảo vệ thông tin nhận dạng cá nhân (PII) trong điện toán đám mây trở nên thiết yếu. Tiêu chuẩn ISO/IEC 27018:2019 được ban hành như một cột mốc quốc tế đầu tiên về quyền riêng tư trong dịch vụ đám mây, đặc biệt dành cho các nhà cung cấp dịch vụ đám mây công cộng hoạt động như bên xử lý PII (PII Processor).

Bối cảnh pháp lý tại Việt Nam: Luật Bảo vệ Dữ liệu Cá nhân 2025 là văn bản quy phạm pháp luật cấp cao nhất về bảo vệ dữ liệu cá nhân tại Việt Nam, sẽ có hiệu lực từ ngày 01/01/2026. Luật này mở rộng phạm vi điều chỉnh so với Nghị định 13/2023/NĐ-CP, đồng thời bổ sung nhiều quy định mới, trong đó có khái niệm về dữ liệu đã khử nhận dạng, và quy định chế tài xử phạt chi tiết, nghiêm khắc hơn. Sự ra đời của luật này làm tăng tính cấp thiết của việc áp dụng các tiêu chuẩn quốc tế như ISO/IEC 27018 trong thực hành quản trị dữ liệu cá nhân tại Việt Nam.

1. Bản chất và mục tiêu của ISO/IEC 27018:2019

Tiêu chuẩn này cung cấp bộ quy tắc thực hành (code of practice) giúp đảm bảo mọi thông tin cá nhân được xử lý an toàn, minh bạch và hợp pháp. Các điểm đáng chú ý bao gồm:

• Đề ra danh mục biện pháp kiểm soát bảo vệ PII (mã hóa, xóa dữ liệu, thông báo vi phạm...).

• Tăng cường niềm tin giữa nhà cung cấp đám mây và khách hàng.

• Hỗ trợ khách hàng trong việc kiểm toán, giám sát và ký kết hợp đồng xử lý dữ liệu.

Ví dụ: khi sử dụng nền tảng Microsoft Azure hay AWS, khách hàng được đảm bảo rằng dữ liệu cá nhân chỉ được xử lý cho mục đích cụ thể, được mã hóa khi lưu trữ và có thể yêu cầu xóa vĩnh viễn.

2. Mối liên hệ giữa ISO/IEC 27018; ISO/IEC 27017, ISO/IEC 27001 và PIMS

ISO/IEC 27017:2015 Là một tiêu chuẩn bổ sung, đưa ra các yêu cầu cho dịch vụ điện toán đám mây, bao gồm các biện pháp kiểm soát bổ sung cho nhà cung cấp và khách hàng dịch vụ điện toán đám mây

ISO/IEC 27018:2019 được phát triển dựa trên khung ISMS (Information Security Management System) của ISO/IEC 27001:2022, mở rộng thêm các yêu cầu đặc thù về quyền riêng tư. 

Trong khi ISO/IEC 27001:2013 trước đây, hiện nay là ISO/IEC 27001:2022 tập trung vào Kiểm soát An ninh chung thì ISO/IEC 27018:2019 tập trung vào:

• Sự đồng ý của chủ thể dữ liệu.

• Giới hạn mục đích và giảm thiểu dữ liệu.

• Trách nhiệm giải trình (accountability) và xóa dữ liệu an toàn.

ISO/IEC 27701 là tiêu chuẩn xây dựng PIMS (Privacy Information Management System – Hệ thống Quản lý thông tin Quyền riêng tư ). 

Khi áp dụng tích hợp PIMS với ISO/IEC 27018:2019 giúp đồng bộ các quy trình đánh giá rủi ro, đào tạo nhân viên và quản lý thỏa thuận xử lý dữ liệu.

                                          Mối quan hệ giữa 27001, 27018 và PIMS

3. Chứng nhận ISO/IEC 27018:2019 và ý nghĩa tuân thủ

• Liên kết quy định toàn cầu: Phù hợp các nguyên tắc : GDPR – General Data Protection Regulation: Quy định chung về bảo vệ dữ liệu của Liên minh Châu Âu (EU);  CCPA – California Consumer Privacy Act : Đạo luật Quyền riêng tư người tiêu dùng California (Hoa Kỳ); PDPD – Personal Data Protection Decree: Nghị định Bảo vệ Dữ liệu cá nhân

• Hỗ trợ nghĩa vụ hợp đồng: Đảm bảo quy trình xóa dữ liệu, thông báo vi phạm, chuyển giao xuyên biên giới.

• Tăng cường biện pháp kỹ thuật: Mã hóa AES-256, TLS 1.2, ẩn danh hóa và logging chi tiết.

• Gia tăng uy tín doanh nghiệp: Giúp doanh nghiệp khẳng định năng lực bảo vệ dữ liệu trước khách hàng và đối tác.

4. Lợi ích khi kết hợp ISO/IEC 27001:2022 và ISO/IEC 27018:2019

• Quản lý rủi ro toàn diện (bảo mật + quyền riêng tư).

• Chứng minh tuân thủ pháp lý.

• Tăng niềm tin khách hàng.

• Tiết kiệm chi phí và thời gian kiểm toán.

5. Các bước tích hợp thực tế

1. Cần đạt chứng nhận ISO/IEC 27001:2022 trước.

2. Áp dụng cách tiếp cận dựa trên rủi ro.

3. Tập trung vào các kiểm soát đặc thù của ISO/IEC 27018:2019.

4. Đào tạo nhân viên và triển khai ISMS tích hợp.

5. Chứng nhận ISO/IEC 27001:2022 với phần mở rộng phạm vi tuân thủ ISO/IEC 27018:2019 (Ví dụ: Certified for ISO/IEC 27001:2022 with implementation of ISO/IEC 27018:2019 – PII protection in cloud services.)

6. Lý do sử dụng thuật ngữ “PII” thay vì “dữ liệu cá nhân”

"PII" (“Personally Identifiable Information”) được sử dụng để đảm bảo tính đồng nhất quốc tế, áp dụng được cho các quốc gia ngoài EU, tương đương với khái niệm "dữ liệu cá nhân" trong GDPR.

7. Yêu cầu về chứng nhận

ISO/IEC 27018:2019 không phải tiêu chuẩn chứng nhận độc lập, nhưng có thể được đánh giá và thể hiện là phần mở rộng trong chứng nhận ISO/IEC 27001, đặc biệt có giá trị đối với các nhà cung cấp dịch vụ đám mây (CSP) xử lý thông tin nhận dạng cá nhân (PII).

ISO/IEC 27018 chỉ có thể được chứng nhận gián tiếp, thông qua tiêu chuẩn ISO/IEC 27001, cụ thể:

• Tổ chức chứng nhận sẽ đánh giá hệ thống quản lý an toàn thông tin (ISMS) theo ISO/IEC 27001:2022.

• Nếu Tổ chức triển khai các biện pháp bổ sung của ISO/IEC 27018, chứng chỉ ISO/IEC 27001 có thể mở rộng phạm vi, thể hiện rằng hệ thống đã áp dụng và tuân thủ các hướng dẫn của ISO/IEC 27018.

8. Đóng góp vào xử lý sự cố

Tiêu chuẩn ISO/IEC 27018:2019, hỗ trợ doanh nghiệp xây dựng quy trình ứng phó sự cố, bao gồm:

• Ghi nhận và báo cáo sự cố chi tiết.

• Thông báo kịp thời cho khách hàng.

• Đánh giá ảnh hưởng và thực hiện biện pháp khắc phục phù hợp.

Kết luận

ISO/IEC 27018:2019 không chỉ là tiêu chuẩn quốc tế về quyền riêng tư trong môi trường điện toán đám mây, mà còn là cầu nối giữa an toàn thông tin (ISO/IEC 27001) và quản trị quyền riêng tư (ISO/IEC 27701 – PIMS). Việc triển khai ISO/IEC 27001 có áp dụng các biện pháp thực hành bổ sung theo ISO/IEC 27018:2019 giúp doanh nghiệp nâng cao uy tín, chứng minh tuân thủ pháp lý và đảm bảo niềm tin bền vững với khách hàng trong kỷ nguyên điện toán đám mây toàn cầu.

QUACERT – Luôn đồng hành cùng bạn trên con đường đổi mới sáng tạo và phát triển an toàn, bền vững.