Tổng quan về tiêu chuẩn ISO/IEC 27701

Hiện nay, các chính phủ trên toàn thế giới đưa ra các quy định bảo mật khác nhau, như Quy định bảo vệ dữ liệu chung (GDPR) của Liên minh châu Âu, mà các tổ chức phải tuân thủ. Các tiêu chuẩn ISO mới sẽ giúp doanh nghiệp đáp ứng các yêu cầu như vậy, bất kể lĩnh vực nào mà họ làm việc.

ISO/IEC 27701, Kỹ thuật bảo mật - Mở rộng cho ISO/IEC 27001 và 27002 để quản lý thông tin bảo mật - Yêu cầu và hướng dẫn, chỉ định các yêu cầu để thiết lập, thực hiện, duy trì và liên tục cải thiện hệ thống quản lý bảo mật thông tin cụ thể về quyền riêng tư. Nói cách khác, một hệ thống quản lý để bảo vệ dữ liệu cá nhân (PIMS).

Trước đây gọi là ISO/IEC 27552 trong quá trình phát triển, nó được xây dựng dựa trên ISO/IEC 27001, Công nghệ thông tin - Kỹ thuật bảo mật - Hệ thống quản lý bảo mật thông tin - Yêu cầu với mục tiêu cung cấp các yêu cầu bổ sung cần thiết khi nói đến quyền riêng tư.

Tiến sĩ Andreas Wolf, Chủ tịch ủy ban kỹ thuật ISO / IEC đã phát triển tiêu chuẩn, cho biết hầu hết mọi tổ chức đều xử lý thông tin cá nhân (PII) và bảo vệ nó không chỉ là yêu cầu pháp lý mà còn là nhu cầu xã hội. ISO/IEC 27701 xác định các quy trình và cung cấp hướng dẫn để bảo vệ PII trên cơ sở liên tục phát triển. Bởi vì là một hệ thống quản lý, nó xác định các quy trình để cải tiến liên tục về bảo vệ dữ liệu, đặc biệt quan trọng trong một thế giới nơi công nghệ không đứng yên.

Bên cạnh đó, tiêu chuẩn này được phát triển bởi nhóm làm việc 5 của ủy ban kỹ thuật ISO / IEC ISO/IEC JTC/SC 27, Bảo mật thông tin, an ninh mạng và bảo vệ quyền riêng tư, bao gồm các chuyên gia khắp nơi trên thế giới từ các cơ quan bảo vệ dữ liệu, bảo mật, học viện...

Ông Matthieu Grall thuộc Ủy ban Nationale de l'Informatique et des Libertés, cơ quan giám sát độc lập của Pháp về bảo vệ dữ liệu cá nhân, người tham gia tích cực của SC 27 và là người đóng góp cho sự phát triển của tiêu chuẩn nói rằng, nhu cầu dùng tiêu chuẩn này là vô cùng cấp thiết. 

Hơn nữa, các tổ chức cần mang lại niềm tin cho chính quyền, đối tác, khách hàng và nhà tuyển dụng của họ. Một tiêu chuẩn như vậy sẽ đóng góp mạnh mẽ cho sự tin tưởng này.

Quản lý thông tin riêng tư ở Việt Nam

Bảo đảm quyền riêng tư nói chung và bảo vệ bí mật dữ liệu, thông tin cá nhân nói riêng trong kỷ nguyên số đang là một quan tâm lớn.

Tại Việt Nam, đề cập đến bảo vệ quyền riêng tư còn ở mức khá sơ sài và thiếu các cơ chế thực thi. Các luật chuyên ngành như Luật An toàn thông tin mạng và Luật An ninh mạng lại quan tâm nhiều đến bảo đảm an ninh hạ tầng và an ninh chính trị. Như vậy, để hội nhập với môi trường chính sách toàn cầu trong kỷ nguyên số, Việt Nam cần quan tâm thiết thực đến bảo vệ quyền riêng tư, dữ liệu và thông tin cá nhân trong không gian mạng.

Cần nhận thức sâu sắc rằng, nếu quyền riêng tư không được bảo vệ thì sẽ không thể có không gian sáng tạo của các cá nhân cho quá trình khởi nghiệp, chính là điều mà chúng ta đang theo đuổi. Trước thực trạng đó, việc áp dụng ISO/IEC 27701 sẽ giúp các tổ chức quản lý thông tin bảo mật và đáp ứng các yêu cầu quy định.

Với các yêu cầu và luật bảo vệ dữ liệu ngày càng nghiêm ngặt, nhu cầu dùng tiêu chuẩn này là vô cùng cấp thiết. Mặc dù sẽ có những rủi ro khi không tuân thủ các quy định này khi nhiều tổ chức, doanh nghiệp chưa sẵn sàng áp dụng tiêu chuẩn. Tuy nhiên, với số lượng khiếu nại và tiền phạt liên quan đến quyền riêng tư và bảo vệ dữ liệu ngày càng tăng, nhu cầu sử dụng tiêu chuẩn này là không thể phủ nhận.

Để biết thông tin chi tiết về bộ tiêu chuẩn trên đây, Quý độc giả vui lòng liên hệ trực tiếp với Trung tâm Thông tin - Truyền thông Tiêu chuẩn Đo lường Chất lượng theo số ĐT: 024 37562608/37564268 hoặc email: [email protected].

Trương Vân