Gradion
ISO 27001 trong Phát triển Phần mềm: Những Gì Đối tác Công nghệ Của Bạn Phải Có
Scaling Business

ISO 27001 trong Phát triển Phần mềm: Những Gì Đối tác Công nghệ Của Bạn Phải Có

Rosie Nguyen

Rosie Nguyen

14 June 2026

Làm việc với một nhà cung cấp chưa được kiểm chứng trên phần mềm được quản lý là rủi ro có thể đo lường. Một vụ rò rỉ dữ liệu, một cuộc kiểm toán thất bại, hoặc nghĩa vụ thông báo theo GDPR có thể tốn kém hơn cả hợp đồng. Một đối tác phát triển phần mềm được chứng nhận ISO 27001 cung cấp cho bạn một nền tảng quản trị — một nền tảng đã được kiểm chứng bởi kiểm toán viên độc lập, không phải tự công bố.

Câu hỏi không phải là liệu nhà cung cấp có chứng chỉ hay không. Mà là liệu chứng nhận đó có phản ánh một hệ thống quản lý bảo mật hoạt động thực sự hay chỉ là một bài tập lập tài liệu.

ISO 27001 có ý nghĩa gì đối với một công ty phát triển phần mềm?

ISO/IEC 27001 là tiêu chuẩn quốc tế được công nhận cho Hệ thống Quản lý An toàn Thông tin (ISMS), được xuất bản bởi Tổ chức Tiêu chuẩn hóa Quốc tế và Ủy ban Kỹ thuật Điện Quốc tế. Phiên bản hiện hành, ISO 27001:2022, được xuất bản vào tháng 10 năm 2022 và thay thế ISO 27001:2013.

Đối với một công ty phát triển phần mềm, chứng nhận có nghĩa là một kiểm toán viên bên thứ ba được công nhận đã xác minh rằng tổ chức đã:

  • Xác định và đánh giá rủi ro an toàn thông tin một cách có hệ thống
  • Triển khai các biện pháp kiểm soát để giảm thiểu rủi ro đó xuống mức chấp nhận được
  • Lập tài liệu về chính sách, quy trình và trách nhiệm
  • Cam kết cải tiến liên tục hệ thống ISMS

ISO 27001:2022 bao gồm 93 biện pháp kiểm soát trên bốn chủ đề: Tổ chức, Con người, Vật lý, và Công nghệ. Chứng nhận không có nghĩa là nhà cung cấp đã triển khai cả 93 biện pháp. Có nghĩa là họ đã lập tài liệu về những biện pháp nào áp dụng, áp dụng những biện pháp phù hợp và lý giải các ngoại lệ.

Số lượng biện pháp kiểm soát theo ISO/IEC 27001:2022 Phụ lục A, có thể tra cứu trực tiếp tại iso.org.

Sự khác biệt giữa ISO 27001:2013 và ISO 27001:2022 là gì?

Bản sửa đổi 2022 tái cơ cấu bộ kiểm soát từ 114 biện pháp trong 14 danh mục xuống còn 93 biện pháp trong 4 chủ đề. Mười một biện pháp kiểm soát mới được giới thiệu, bao gồm bảo mật đám mây, che giấu dữ liệu, thông tin tình báo về mối đe dọa và lập trình an toàn. Tất cả đều trực tiếp liên quan đến các đối tác phát triển phần mềm.

Chứng chỉ ISO 27001:2013 không còn được coi là hiện hành sau khi thời hạn chuyển tiếp toàn ngành kết thúc vào cuối năm 2025. Bất kỳ nhà cung cấp nào trình bày chứng chỉ 2013 là hợp lệ ngày nay đều cần được hỏi về tình trạng tái chứng nhận.

Khi đánh giá một đối tác, hãy xác nhận chứng chỉ ghi rõ ISO/IEC 27001:2022, không phải phiên bản 2013 đã bị thay thế.

Tôi nên hỏi gì một đối tác phát triển phần mềm được chứng nhận ISO 27001?

Chứng nhận là điểm khởi đầu, không phải kết luận. Hãy xem chứng chỉ như bằng chứng rằng một quy trình tồn tại, sau đó xác minh quy trình đó hoạt động.

Hãy hỏi những điều sau trước bất kỳ cam kết thương mại nào:

  • Chứng chỉ của bạn có còn hiệu lực không? Chứng chỉ có giá trị ba năm, với các cuộc kiểm toán giám sát bắt buộc vào năm thứ nhất và thứ hai. Yêu cầu chứng chỉ và xác nhận ngày hiệu lực cùng tên của tổ chức chứng nhận được công nhận.
  • Phạm vi chứng nhận của bạn là gì? ISO 27001 có thể bao gồm một bộ phận, sản phẩm hoặc khu vực địa lý cụ thể, không nhất thiết là toàn bộ công ty. Xác nhận phạm vi được chứng nhận bao gồm nhóm và hệ thống sẽ xử lý dữ liệu của bạn.
  • Tổ chức chứng nhận nào đã kiểm toán bạn? Các tổ chức được công nhận được liệt kê trong Global ACI MLA. Chứng chỉ từ các tổ chức không được công nhận không có giá trị đảm bảo được quốc tế công nhận.
  • Bạn xử lý các nhà cung cấp phụ và bên thứ ba như thế nào? Quản lý rủi ro chuỗi cung ứng là biện pháp kiểm soát được giới thiệu trong ISO 27001:2022 (Kiểm soát 5.19). Một đối tác được chứng nhận cần mô tả cách họ kiểm tra và giám sát các bên thứ ba có quyền truy cập vào dữ liệu dự án.
  • Quy trình phản ứng sự cố của bạn là gì? Yêu cầu tổng quan. Họ thông báo cho khách hàng nhanh đến mức nào? Họ lập tài liệu những gì?

Chứng nhận ISO 27001 có đồng nghĩa với tuân thủ GDPR không?

Không, và đây là một quan niệm sai lầm phổ biến. ISO 27001 và GDPR giải quyết các yêu cầu chồng chéo nhưng riêng biệt.

ISO 27001 là tiêu chuẩn quốc tế tự nguyện. Nó tập trung vào quản lý rủi ro an toàn thông tin.

GDPR là nghĩa vụ pháp lý của EU. Nó tập trung vào quyền của chủ thể dữ liệu và xử lý dữ liệu cá nhân hợp pháp.

Chứng nhận ISO 27001 hỗ trợ tuân thủ GDPR, đặc biệt là các nghĩa vụ theo Điều 32 về bảo mật xử lý. Điều 32 yêu cầu các tổ chức thực hiện các biện pháp đảm bảo tính bảo mật, toàn vẹn, sẵn sàng và khả năng phục hồi của hệ thống xử lý, bao gồm mã hóa, giả danh hóa và kiểm tra thường xuyên. Chứng nhận ISO 27001 không thay thế các nghĩa vụ này. Một nhà cung cấp được chứng nhận vẫn có thể không tuân thủ nếu họ thiếu Thỏa thuận Xử lý Dữ liệu hợp lệ, không duy trì Hồ sơ Hoạt động Xử lý, hoặc không thực hiện quyền của chủ thể dữ liệu.

Đối với các công ty DACH ký hợp đồng với đối tác ngoài EU, sự kết hợp giữa chứng nhận ISO 27001 và Điều khoản Hợp đồng Tiêu chuẩn (SCC) thường là bắt buộc. Đây là cách chứng minh sự bảo vệ đầy đủ theo Chương V của GDPR. Xác nhận cả hai đều có hiệu lực trước khi việc chuyển dữ liệu bắt đầu.

Những kiểm soát an toàn thông tin nào quan trọng nhất trong bối cảnh phát triển phần mềm?

Không phải tất cả 93 biện pháp kiểm soát đều có trọng số như nhau trong việc đánh giá nhà cung cấp. Các biện pháp liên quan nhất đến các dự án phát triển phần mềm an toàn là:

  • A.8.25 - Vòng đời phát triển an toàn: Bảo mật được tích hợp vào quy trình phát triển, không phải thêm vào sau khi phát hành
  • A.8.29 - Kiểm tra bảo mật trong phát triển và nghiệm thu: Lỗ hổng được kiểm tra trước khi triển khai
  • A.8.28 - Lập trình an toàn: Biện pháp kiểm soát năm 2022 yêu cầu các nguyên tắc viết code có khả năng chống tấn công
  • A.5.19 - An toàn thông tin trong quan hệ với nhà cung cấp: Các yêu cầu bảo mật được lập tài liệu cho nhà cung cấp bên thứ ba
  • A.8.10 - Xóa thông tin: Dữ liệu khách hàng được xóa khỏi hệ thống nhà cung cấp khi dự án kết thúc
  • A.6.8 - Báo cáo sự kiện an toàn thông tin: Cách nhân viên xác định và leo thang sự cố

Khi đánh giá ISMS của nhà cung cấp trong thực tế, hãy hỏi cách mỗi biện pháp kiểm soát này hoạt động trong quy trình phát triển của họ — không chỉ liệu nó có được lập tài liệu hay không.

ISO 27001 có đủ cho các ngành được quản lý không?

Đối với hầu hết các bối cảnh phát triển phần mềm được quản lý, ISO 27001 là cần thiết nhưng chưa đủ.

Dịch vụ tài chính. DORA – Đạo luật Khả năng phục hồi Kỹ thuật số (Quy định EU 2022/2554) có hiệu lực ngày 16 tháng 1 năm 2023 và áp dụng từ ngày 17 tháng 1 năm 2025. Đạo luật yêu cầu các tổ chức tài chính quản lý rủi ro từ bên thứ ba ICT thông qua các điều khoản hợp đồng, nghĩa vụ thông báo sự cố và kiểm tra khả năng phục hồi hoạt động. ISO 27001 hỗ trợ tuân thủ DORA nhưng không đáp ứng đầy đủ. Xác nhận đối tác của bạn hiểu các nghĩa vụ theo DORA trước khi ký kết.

Chăm sóc sức khỏe. ISO 27001 giải quyết an toàn thông tin một cách tổng quát. Đối với dữ liệu y tế, ISO 27799 hoặc các tiêu chuẩn quốc gia tương đương có thể áp dụng. Yêu cầu khác nhau theo từng khu vực pháp lý — hãy xác minh trước khi xử lý dữ liệu bệnh nhân.

Chính phủ và cơ sở hạ tầng quan trọng. NIS2 – Chỉ thị An ninh Mạng và Thông tin của EU (EU 2022/2555) mở rộng chỉ thị NIS gốc để bao gồm 15 lĩnh vực, với các nghĩa vụ nghiêm ngặt hơn về quản lý rủi ro và báo cáo sự cố. Vi phạm có thể bị phạt đến 10 triệu euro. Chứng nhận ISO 27001 là một biện pháp hỗ trợ. Nó không tự động đáp ứng các nghĩa vụ NIS2.

Một đối tác sẵn sàng cho kiểm toán trong các ngành được quản lý có thể trình bày rõ ràng cách ISMS của họ giải quyết các khung này. Một đối tác trì hoãn câu hỏi là chưa sẵn sàng cho kiểm toán.

Chứng nhận ISO 27001 của Gradion bao gồm những gì?

Gradion sở hữu chứng nhận ISO/IEC 27001:2022 trên các hoạt động kỹ thuật của mình. Phạm vi được chứng nhận bao gồm các hệ thống, quy trình và nhân sự tham gia vào việc phát triển phần mềm cho khách hàng — bao gồm phát triển, triển khai và xử lý dữ liệu.

Trên thực tế, điều này có nghĩa là:

  • Quyền truy cập vào hệ thống và kho lưu trữ của khách hàng được quản lý bởi các chính sách kiểm soát truy cập có tài liệu.
  • Sự cố bảo mật được ghi lại, phân loại và thông báo cho khách hàng bị ảnh hưởng trong thời hạn xác định.
  • Các nhà cung cấp phụ và công cụ bên thứ ba được đánh giá trước khi sử dụng trong các dự án của khách hàng theo quy trình quản lý rủi ro nhà cung cấp.
  • Lập trình viên nhận được đào tạo nhận thức bảo mật trước khi truy cập vào môi trường khách hàng.
  • Các thực hành lập trình an toàn được nhúng vào quy trình phát triển, không phải áp dụng như một bước kiểm tra sau khi phát hành.

Đây là cách chúng tôi giảm thiểu rủi ro bảo mật của một hợp đồng trước khi sprint đầu tiên bắt đầu. Chứng nhận được gia hạn thông qua các cuộc kiểm toán giám sát hàng năm bởi một bên thứ ba được công nhận. Chứng chỉ và tài liệu phạm vi có thể cung cấp theo yêu cầu theo thỏa thuận bảo mật.

Làm thế nào để xác minh chứng chỉ ISO 27001 là hợp lệ?

Ba bước:

  1. 1. Kiểm tra xem tổ chức chứng nhận có được công nhận không. Tìm kiếm trong cơ sở dữ liệu Global ACI tại global-aci.org, hoặc tổ chức công nhận quốc gia của bạn, DAkkS ở Đức, UKAS ở Anh, SAC ở Singapore. Nếu tổ chức phát hành không được liệt kê, chứng chỉ không có giá trị đảm bảo được công nhận.
  2. 2. Xác nhận phạm vi bao gồm hợp đồng của bạn. Chứng chỉ nêu rõ phạm vi được chứng nhận. Nếu ghi 'Hoạt động Văn phòng Chính' và dự án của bạn liên quan đến nhóm phát triển phân tán, hãy hỏi nhóm đó có nằm trong phạm vi không.
  3. 3. Xác nhận ngày hiệu lực. Chứng chỉ có giá trị ba năm. Kiểm toán giám sát bắt buộc trong năm thứ nhất và thứ hai. Không có hồ sơ kiểm toán là câu hỏi tiếp theo cần làm rõ.

Nếu một nhà cung cấp không thể chia sẻ chứng chỉ và tài liệu phạm vi, hãy xem đó là tín hiệu rủi ro.

Nguồn tham khảo

  • Tiêu chuẩn ISO/IEC 27001:2022 (số lượng kiểm soát, cấu trúc Phụ lục A) – iso.org, có tính phí
  • GDPR Điều 32 – nghĩa vụ bảo mật xử lý – gdpr-info.eu (phản ánh EUR-Lex, Quy định 2016/679)
  • Ngày có hiệu lực của DORA và nghĩa vụ bên thứ ba ICT – ESMA, esma.europa.eu/esmas-activities/digital-finance-and-innovation/digital-operational-resilience-act-dora
  • Phạm vi NIS2 và hình phạt – nis2directive.eu (Chỉ thị EU 2022/2555)
  • Thời gian chuyển tiếp ISO 27001:2022 – IAF MD 26 (tháng 1 năm 2023). IAF ngừng hoạt động ngày 1 tháng 1 năm 2026; các chức năng chuyển sang Global Accreditation Cooperation Incorporated (global-aci.org).
  • Sổ đăng ký công nhận Global ACI – global-aci.org
Rosie Nguyen

About the author

Rosie Nguyen

Rosie Nguyen works at the intersection of Marketing, Communications, and meaningful Storytelling at Gradion. She covers leadership and scaling, writing for the founders and operators building across Asia.

Sẵn sàng tăng tốc hoạt động kỹ thuật của bạn?

Chúng tôi nhanh chóng xây dựng các nhóm kỹ thuật nhúng. Hãy cho chúng tôi biết thách thức của bạn — chúng tôi sẽ tìm đúng chuyên gia trong vài ngày.

Đặt lịch tư vấn
ISO 27001 trong Phát triển Phần mềm: Những Gì Đối tác Công nghệ Của Bạn Phải Có | Gradion | Gradion