ISO/IEC 27701:2025 – 10 thay đổi quan trọng doanh nghiệp cần biết

ISO/IEC 27701:2025 là bản cập nhật toàn diện cho hệ thống quản lý thông tin riêng tư (PIMS), kế thừa và nâng cấp từ phiên bản 2019. Đây là tiêu chuẩn giúp doanh nghiệp thiết lập, duy trì và cải tiến khả năng bảo vệ dữ liệu cá nhân – đặc biệt trong bối cảnh các luật như Nghị định 13/2023/NĐ-CP (Việt Nam), GDPR (EU), CCPA (Mỹ) đang được áp dụng rộng rãi.

1. Không còn là “mở rộng” của ISO/IEC 27001

Phiên bản mới cho phép doanh nghiệp chứng nhận ISO/IEC 27701 một cách độc lập, không còn bắt buộc phải có ISO/IEC 27001 trước đó. Đây là thay đổi quan trọng, giúp mở rộng khả năng tiếp cận cho các tổ chức chưa có ISMS.

2. Áp dụng cấu trúc High-Level Structure (HLS)

ISO/IEC 27701:2025 đồng bộ với các tiêu chuẩn quản lý hiện đại như ISO 9001, ISO 27001, ISO 20000-1,… Các điều khoản từ 4 đến 10 giờ trở thành yêu cầu bắt buộc cho PIMS, thay vì chỉ là hướng dẫn như bản 2019.

3. Loại bỏ phụ thuộc vào ISO/IEC 27001:2013 và 27002:2013

Tiêu chuẩn mới không còn bắt buộc áp dụng nội dung chi tiết của 27001/27002. Thay vào đó, PIMS được thiết kế theo cách tiếp cận riêng, tập trung vào quyền riêng tư và kiểm soát phù hợp.

4. Tăng cường quản lý rủi ro riêng tư

Các điều khoản mới yêu cầu doanh nghiệp phải:

• Đánh giá rủi ro liên quan đến dữ liệu cá nhân.
• Xây dựng chương trình an ninh thông tin phù hợp với phạm vi PIMS.
• Tài liệu hóa việc kiểm soát và xử lý rủi ro.

5. Cấu trúc lại Annex A (bảng kiểm soát)

Annex A chia rõ 3 nhóm kiểm soát:

• 31 điều khiển cho PII Controllers
• 18 điều khiển cho PII Processors
• 29 điều khiển bổ sung về an ninh thông tin (từ ISO/IEC 27001:2022)

6. Annex B – Hướng dẫn triển khai (được giữ nguyên)

Phần hướng dẫn (normative guidance) vẫn giữ logic cũ, gần như tương đương với Clause 6–8 của bản 2019. Tuy nhiên, doanh nghiệp không bắt buộc áp dụng nguyên văn, chỉ cần xem xét phù hợp.

7. Bổ sung yêu cầu về biến đổi khí hậu (Climate Change)

ISO 27701:2025 thêm nội dung đánh giá xem biến đổi khí hậu có ảnh hưởng đến bối cảnh tổ chức hay không – tương tự các tiêu chuẩn mới như ISO 9001:2026, ISO 27001:2022.

8. Điều chỉnh nội dung xem xét lãnh đạo (Management Review)

Một số yêu cầu truyền thống bị loại bỏ như:

• Ai đo lường/đánh giá mục tiêu
• Phân tích hiệu lực mục tiêu
• Kết quả từ các bên liên quan

→ Cho thấy ISO 27701 hướng đến đặc thù riêng của hệ thống quản lý quyền riêng tư.

9. Thêm Annex F – So sánh với bản 2019

Annex F là bảng mapping đầy đủ giữa các điều khoản 2025 và 2019, giúp tổ chức đánh giá khoảng cách (Gap Assessment) trước khi chuyển đổi chứng nhận.

10. Chuẩn bị cho lộ trình chuyển đổi

Các tổ chức chứng nhận (CBs) như NQA sẽ công bố quy tắc chuyển đổi trong vòng 1–2 tháng sau khi tiêu chuẩn chính thức phát hành. Doanh nghiệp nên chuẩn bị sớm để không gián đoạn chứng nhận.

Lựa chọn NQA

ISO/IEC 27701:2025 không chỉ đơn thuần là một bản cập nhật kỹ thuật, mà là sự chuyển hóa tư duy: từ tiêu chuẩn phụ trợ → thành hệ thống quản lý quyền riêng tư độc lập – rõ ràng – phù hợp với bối cảnh pháp lý hiện đại.

Bạn cần đào tạo hoặc chứng nhận ISO/IEC 27701:2025?

Liên hệ NQA Việt Nam – đối tác chứng nhận quốc tế, hỗ trợ chuyển đổi, đánh giá và cấp chứng nhận hệ thống PIMS tại Việt Nam và toàn cầu.

0912 300 560

#ISO27701 #PIMS #QuyenRiengTu #DataPrivacy #NQAVietnam #ISOCertification #PDPL #GDPR #TuVanISO #ChungNhan27701