ISO/IEC 27018: Tiêu chuẩn bảo vệ PII trên đám mây công cộng

ISO/IEC 27018 là tiêu chuẩn quốc tế quy định các biện pháp kiểm soát bảo vệ thông tin nhận dạng cá nhân (PII) trong môi trường điện toán đám mây công cộng. Trong bối cảnh hàng tỷ dữ liệu cá nhân được lưu trữ và xử lý trên đám mây mỗi ngày, việc tuân thủ ISO/IEC 27018 trở thành yếu tố bắt buộc đối với các nhà cung cấp dịch vụ đám mây muốn khẳng định cam kết bảo mật, minh bạch và xây dựng niềm tin lâu dài với khách hàng trên thị trường toàn cầu.

ISO/IEC 27018 là gì?

ISO/IEC 27018 là tiêu chuẩn quốc tế do Tổ chức Tiêu chuẩn hóa Quốc tế (ISO) và Ủy ban Kỹ thuật Điện Quốc tế (IEC) đồng ban hành, cung cấp hướng dẫn về việc bảo vệ thông tin nhận dạng cá nhân (Personally Identifiable Information – PII) trong các dịch vụ điện toán đám mây công cộng. Tiêu chuẩn này tập trung vào trường hợp nhà cung cấp dịch vụ đám mây (Cloud Service Provider – CSP) đóng vai trò là bên xử lý PII thay mặt cho khách hàng.

Được xây dựng dựa trên nền tảng của tiêu chuẩn ISO/IEC 27002, ISO/IEC 27018 đưa ra các biện pháp kiểm soát và nguyên tắc được điều chỉnh phù hợp với đặc thù của môi trường đám mây. Mục tiêu cốt lõi là đảm bảo các nhà cung cấp dịch vụ đám mây xử lý PII một cách có trách nhiệm, minh bạch và an toàn, đồng thời tạo ra khuôn khổ thống nhất để khách hàng có thể đánh giá năng lực bảo vệ dữ liệu của các CSP trước khi ký kết hợp đồng dịch vụ.

Điểm đặc biệt của ISO/IEC 27018 nằm ở việc tiêu chuẩn này không tồn tại độc lập mà bổ sung cho hệ thống quản lý an toàn thông tin (ISMS) theo ISO/IEC 27001. Điều này giúp các tổ chức tích hợp việc bảo vệ PII vào quy trình quản lý an ninh thông tin tổng thể, thay vì xây dựng một hệ thống riêng biệt gây trùng lặp và lãng phí nguồn lực.

ISO/IEC 27018 được sử dụng để làm gì?

Tiêu chuẩn ISO/IEC 27018 được sử dụng để thực hiện một số mục tiêu chính trong bối cảnh bảo vệ dữ liệu cá nhân trên đám mây.

• Xây dựng và duy trì một hệ thống quản lý bảo vệ PII toàn diện: Các nhà cung cấp dịch vụ đám mây sử dụng tiêu chuẩn này như một bản đồ để triển khai các chính sách, quy trình và biện pháp kiểm soát kỹ thuật cần thiết để bảo vệ dữ liệu cá nhân khỏi các mối đe dọa như truy cập trái phép, mất dữ liệu, và sửa đổi trái phép.
• Tuân thủ các yêu cầu pháp lý và quy định: Các tổ chức hoạt động trong các lĩnh vực được quy định như tài chính, y tế, và chính phủ phải chứng minh rằng họ đã áp dụng các biện pháp bảo vệ dữ liệu phù hợp. Sử dụng ISO/IEC 27018 như một khung tham chiếu giúp chứng minh việc tuân thủ này một cách rõ ràng.
• Xây dựng niềm tin với khách hàng: Việc được chứng nhận ISO/IEC 27018 cho phép các nhà cung cấp dịch vụ đám mây tuyên bố rằng họ đã tuân thủ các tiêu chuẩn bảo vệ dữ liệu quốc tế được công nhận. Điều này là một công cụ tiếp thị mạnh mẽ và một yếu tố phân biệt quan trọng so với các đối thủ cạnh tranh.
• Tối ưu hóa các quy trình quản lý rủi ro: Bằng cách tuân thủ các kiểm soát được đề ra trong ISO/IEC 27018, các tổ chức có thể nhận diện, đánh giá và giảm thiểu các rủi ro liên quan đến bảo vệ PII một cách có hệ thống.

Các phiên bản của ISO/IEC 27018 và điểm mới trong phiên bản 2025

Tính đến thời điểm hiện tại, ISO/IEC 27018 đã trải qua ba phiên bản phát triển.

• Phiên bản đầu tiên ISO/IEC 27018:2014 được ban hành tháng 8 năm 2014, đánh dấu sự ra đời của tiêu chuẩn quốc tế đầu tiên dành riêng cho bảo vệ PII trên đám mây.
• Phiên bản thứ hai ISO/IEC 27018:2019 được ban hành tháng 1 năm 2019, cập nhật các yêu cầu phù hợp với sự phát triển của công nghệ đám mây.
• Phiên bản hiện hành ISO/IEC 27018:2025 được ban hành tháng 8 năm 2025 và là phiên bản duy nhất còn hiệu lực áp dụng tại thời điểm hiện tại.

Phiên bản năm 2025 mang đến hai thay đổi quan trọng:

• Thứ nhất, tiêu chuẩn được điều chỉnh phù hợp với ISO/IEC 27002:2022 cập nhật, đảm bảo tính nhất quán giữa các tiêu chuẩn trong họ ISO/IEC 27000 và giúp doanh nghiệp dễ dàng tích hợp khi triển khai đồng thời nhiều tiêu chuẩn.
• Thứ hai, phiên bản này bổ sung Phụ lục B mới, cung cấp sự tương ứng giữa tài liệu hiện hành và phiên bản đầu tiên ISO/IEC 27018:2019, giúp các tổ chức đang áp dụng phiên bản cũ chuyển đổi sang phiên bản mới một cách thuận lợi mà không gặp khó khăn trong việc đối chiếu các điều khoản.

Các nhóm điều khoản chính của Tiêu chuẩn ISO/IEC 27018:2025

ISO/IEC 27018 được tổ chức theo cấu trúc tương thích với ISO/IEC 27002, bao gồm các nhóm biện pháp kiểm soát toàn diện trên nhiều khía cạnh khác nhau của bảo mật thông tin. Việc nắm rõ nội dung tiêu chuẩn giúp doanh nghiệp xác định được phạm vi áp dụng và khối lượng công việc cần triển khai khi xây dựng hệ thống bảo vệ PII.

1. Nhóm kiểm soát tổ chức

Nhóm kiểm soát tổ chức bao gồm 37 điều khoản từ mục 5.1 đến 5.37, là nền tảng quan trọng nhất của toàn bộ hệ thống bảo vệ PII. Các nội dung trọng tâm xoay quanh chính sách bảo mật thông tin, vai trò và trách nhiệm bảo mật, phân công nhiệm vụ, trách nhiệm quản lý, liên hệ với cơ quan chức năng và các nhóm lợi ích đặc biệt, tình báo mối đe dọa, bảo mật thông tin trong quản lý dự án, kiểm kê thông tin và tài sản liên quan.

Đặc biệt quan trọng là các điều khoản về phân loại thông tin, ghi nhãn thông tin, chuyển giao thông tin, kiểm soát truy cập, quản lý danh tính, xác thực thông tin và quyền truy cập. Đây là những biện pháp kiểm soát cốt lõi đảm bảo PII chỉ được truy cập bởi những người có thẩm quyền và trong những trường hợp được cho phép.

Một phần quan trọng khác của nhóm này là các điều khoản về quan hệ với nhà cung cấp, sử dụng dịch vụ đám mây, lập kế hoạch ứng phó sự cố an ninh thông tin, sẵn sàng CNTT cho hoạt động kinh doanh liên tục, cùng các yêu cầu pháp lý, quy định và hợp đồng. Điều khoản 5.34 đặc biệt nhấn mạnh quyền riêng tư và bảo vệ thông tin nhận dạng cá nhân, là điểm kết nối trực tiếp với nội dung mở rộng tại Phụ lục A.

2. Nhóm kiểm soát nhân sự

Nhóm kiểm soát nhân sự với 8 điều khoản từ 6.1 đến 6.8 tập trung vào yếu tố con người – yếu tố thường bị xem nhẹ nhưng lại là nguyên nhân của phần lớn các sự cố rò rỉ dữ liệu. Nội dung bao gồm sàng lọc ứng viên trước khi tuyển dụng, điều khoản và điều kiện tuyển dụng, nhận thức và đào tạo về an ninh thông tin, quy trình kỷ luật, trách nhiệm sau khi chấm dứt hợp đồng, thỏa thuận bảo mật, làm việc từ xa và báo cáo sự kiện an ninh thông tin.

3. Nhóm kiểm soát vật lý

Nhóm kiểm soát vật lý với 14 điều khoản từ 7.1 đến 7.14 đảm bảo an toàn cho cơ sở hạ tầng vật lý – nơi PII thực sự được lưu trữ. Các biện pháp kiểm soát bao gồm vành đai an ninh vật lý, lối vào, bảo vệ văn phòng và cơ sở vật chất, giám sát an ninh vật lý, bảo vệ chống lại các mối đe dọa môi trường, làm việc trong khu vực an toàn, chính sách bàn làm việc và màn hình sạch, bảo mật thiết bị, phương tiện lưu trữ, tiện ích hỗ trợ, an ninh cáp, bảo trì và xử lý thiết bị an toàn.

4. Nhóm kiểm soát công nghệ

Nhóm kiểm soát công nghệ với 34 điều khoản từ 8.1 đến 8.34 là phần kỹ thuật chuyên sâu nhất của tiêu chuẩn. Các nội dung quan trọng bao gồm quản lý thiết bị đầu cuối người dùng, quyền truy cập đặc quyền, hạn chế truy cập thông tin, truy cập mã nguồn, xác thực an toàn, quản lý dung lượng, bảo vệ chống phần mềm độc hại, quản lý lỗ hổng kỹ thuật, quản lý cấu hình, xóa thông tin, che giấu dữ liệu, ngăn ngừa rò rỉ dữ liệu, sao lưu thông tin và dự phòng cơ sở xử lý thông tin.

Ngoài ra, nhóm này còn bao gồm các điều khoản chuyên sâu về ghi nhật ký, giám sát hoạt động, đồng bộ hóa đồng hồ, bảo mật mạng, phân tách mạng, lọc web, sử dụng mật mã, vòng đời phát triển an toàn, kiến trúc hệ thống an toàn, mã hóa an toàn, kiểm thử bảo mật, phát triển thuê ngoài, phân tách môi trường phát triển – thử nghiệm – sản xuất, quản lý thay đổi và bảo vệ hệ thống thông tin trong quá trình kiểm thử.

5. Bộ kiểm soát mở rộng dành riêng cho PII trên đám mây

Phụ lục A là phần đặc trưng và khác biệt nhất của ISO/IEC 27018 so với ISO/IEC 27001 thông thường. Đây là bộ kiểm soát mở rộng dành riêng cho bộ xử lý PII đám mây công cộng, bao gồm 12 mục từ A.1 đến A.12: tổng quan, sự đồng ý và lựa chọn, tính hợp pháp và đặc tả mục đích, giới hạn thu thập, giảm thiểu dữ liệu, giới hạn sử dụng – lưu giữ – tiết lộ, độ chính xác và chất lượng, tính cởi mở – minh bạch – thông báo, sự tham gia và quyền truy cập của cá nhân, trách nhiệm giải trình, bảo mật thông tin và tuân thủ quyền riêng tư.

Đối tượng nào nên áp dụng tiêu chuẩn ISO/IEC 27018?

Tiêu chuẩn ISO/IEC 27018 được thiết kế chủ yếu cho hai nhóm đối tượng chính.

• Các nhà cung cấp dịch vụ đám mây công cộng đóng vai trò là đơn vị xử lý thông tin nhận dạng cá nhân: Đây có thể là các công ty cung cấp hạ tầng đám mây (IaaS), nền tảng đám mây (PaaS) hoặc phần mềm đám mây (SaaS) cho khách hàng doanh nghiệp và cá nhân, từ các tập đoàn công nghệ lớn cho đến các startup đang phát triển nhanh trong lĩnh vực điện toán đám mây.
• Các tổ chức đang đánh giá các nhà cung cấp dịch vụ đám mây hoặc tìm cách đảm bảo tuân thủ các quy định khi thuê ngoài việc xử lý dữ liệu: Đối với nhóm này, ISO/IEC 27018 cung cấp khuôn khổ tham chiếu khách quan để đánh giá năng lực bảo mật của các đối tác tiềm năng, từ đó đưa ra quyết định lựa chọn nhà cung cấp phù hợp và giảm thiểu rủi ro tuân thủ.

ISO/IEC 27018 bảo vệ mọi thông tin nhận dạng cá nhân được các nhà cung cấp dịch vụ đám mây công cộng xử lý thay mặt khách hàng, trong toàn bộ vòng đời dữ liệu bao gồm thu thập, lưu trữ, xử lý, truyền tải và xóa. Phạm vi bảo vệ toàn diện này đảm bảo PII được bảo vệ liên tục từ thời điểm phát sinh cho đến khi bị xóa khỏi hệ thống.

Mối quan hệ giữa ISO/IEC 27018, ISO/IEC 27001 và ISO/IEC 27002

ISO/IEC 27018 không phải là một tiêu chuẩn độc lập mà tồn tại trong một hệ sinh thái thống nhất cùng ISO/IEC 27001 và ISO/IEC 27002. Cụ thể, ISO/IEC 27018 mở rộng ISO/IEC 27002 bằng cách điều chỉnh các biện pháp kiểm soát dành riêng cho việc xử lý PII trên nền tảng đám mây, đồng thời bổ sung cho hệ thống quản lý an ninh thông tin dựa trên ISO/IEC 27001.

Trong mối quan hệ này, ISO/IEC 27001 đóng vai trò là tiêu chuẩn chứng nhận chính, quy định các yêu cầu để thiết lập, triển khai, duy trì và cải tiến liên tục hệ thống quản lý an toàn thông tin. ISO/IEC 27002 cung cấp hướng dẫn về các biện pháp kiểm soát an toàn thông tin chung. ISO/IEC 27018 bổ sung các biện pháp kiểm soát đặc thù cho môi trường đám mây và việc xử lý PII, lấp đầy khoảng trống mà các tiêu chuẩn tổng quát chưa đề cập đầy đủ.

Quy trình chứng nhận ISO/IEC 27018 cho doanh nghiệp

Chứng nhận ISO/IEC 27018 được đánh giá như một phần mở rộng của chứng nhận ISO/IEC 27001, đặc biệt dành cho các nhà cung cấp dịch vụ đám mây nhằm bảo vệ thông tin cá nhân trên môi trường điện toán đám mây. Quá trình đánh giá thường được thực hiện song song với cuộc kiểm toán ISO/IEC 27001, giúp doanh nghiệp tiết kiệm thời gian và chi phí đáng kể so với việc triển khai hai cuộc đánh giá riêng biệt.

Điểm quan trọng cần lưu ý là doanh nghiệp không thể chỉ nhận được chứng chỉ ISO/IEC 27018 một cách độc lập. Chứng chỉ này bắt buộc phải được cấp trong khuôn khổ Hệ thống Quản lý An toàn Thông tin (ISMS) theo ISO/IEC 27001. Nói cách khác, doanh nghiệp phải có hoặc đang triển khai ISO/IEC 27001 trước khi có thể mở rộng phạm vi đánh giá sang ISO/IEC 27018.

Quy trình chứng nhận thông thường bao gồm các bước chính lần lượt như sau:

• Khảo sát hiện trạng và xác định khoảng cách so với yêu cầu tiêu chuẩn
• Xây dựng và triển khai hệ thống quản lý đáp ứng yêu cầu của cả ISO/IEC 27001 và ISO/IEC 27018
• Đào tạo nhận thức và năng lực cho đội ngũ nhân sự
• Thực hiện đánh giá nội bộ để xác minh tính hiệu lực của hệ thống
• Đăng ký đánh giá chính thức với tổ chức chứng nhận
• Tiến hành đánh giá giai đoạn 1 (xem xét tài liệu) và giai đoạn 2 (đánh giá tại hiện trường)
• Khắc phục các điểm không phù hợp (nếu có)
• Nhận chứng chỉ có hiệu lực 3 năm với các cuộc đánh giá giám sát định kỳ hằng năm

Nếu doanh nghiệp muốn tham khảo nội dung đầy đủ của tiêu chuẩn ISO/IEC 27018 PDF, có thể mua tài liệu bản quyền trực tiếp trên website chính thức của Tổ chức ISO để đảm bảo nguồn tài liệu chính xác và cập nhật nhất.

ISO/IEC 27018 không chỉ là một tiêu chuẩn kỹ thuật mà còn là tấm vé thông hành giúp các nhà cung cấp dịch vụ đám mây khẳng định vị thế trên thị trường quốc tế và xây dựng niềm tin bền vững với khách hàng. Liên hệ ngay với KNA CERT qua số Hotline: 0983.246.419 hoặc Email: salesmanager@knacert.com để được hỗ trợ chi tiết về lộ trình đạt chứng nhận ISO/IEC 27018 phù hợp với doanh nghiệp của bạn.