ISO/IEC 25389:2025 về khung an toàn đối với dịch vụ số công cộng

Trong bối cảnh các dịch vụ kỹ thuật số ngày càng len lỏi vào mọi khía cạnh của đời sống, việc đảm bảo sự tin cậy và an toàn trực tuyến trở thành một thách thức cấp bách. Để giải quyết vấn đề này, Tổ chức Tiêu chuẩn hóa Quốc tế (ISO) và Ủy ban Kỹ thuật Điện Quốc tế (IEC) đã chính thức phát hành tiêu chuẩn ISO/IEC 25389:2025 vào tháng 6 năm 2025. Được biết đến với tên gọi "SAFE Framework" (Công nghệ thông tin — Khung an toàn), tiêu chuẩn này cung cấp một bộ hướng dẫn và khuyến nghị toàn diện cho các nhà cung cấp dịch vụ kỹ thuật số công cộng. Cụ thể, tài liệu phiên bản đầu tiên này thiết lập một phương pháp tiếp cận có cấu trúc và có thể mở rộng cho các tổ chức vận hành các dịch vụ kỹ thuật số hướng đến công chúng để xác định, đánh giá và quản lý các rủi ro liên quan đến nội dung và hành vi.

ISO/IEC 25389 cung cấp khuôn khổ khuyến nghị toàn diện cho các nhà cung cấp dịch vụ muốn tiến hành hoặc tăng cường “hoạt động an toàn và tin cậy”, bao gồm việc thiết lập các hệ thống để giám sát, kiểm duyệt và giảm thiểu hành vi hoặc nội dung có hại trực tuyến.

 ISO/IEC 25389:2025 - SAFE FRAMEWORK cung cấp một bộ hướng dẫn và khuyến nghị toàn diện cho các nhà cung cấp dịch vụ kỹ thuật số công cộng

Các cam kết và thực hành được xây dựng xung quanh năm trụ cột:

Phát triển sản phẩm

Quản trị sản phẩm

Thực thi sản phẩm

Cải tiến sản phẩm

Tính minh bạch của sản phẩm

Tiêu chuẩn này cũng bao gồm một khung đánh giá với mô hình trưởng thành có thể mở rộng, gồm ba cấp độ (L1, L2, L3), cho phép các tổ chức tự đánh giá mức độ trưởng thành của mình và thiết lập mục tiêu cải tiến theo từng giai đoạn.

ISO/IEC 25389:2025 được đánh giá là một công cụ cực kỳ quan trọng trong bối cảnh hiện nay bởi có thể giải quyết các tác hại trong thế giới thực. Tiêu chuẩn này trực tiếp đối mặt với các vấn đề nhức nhối như quấy rối trực tuyến, thông tin sai lệch (misinformation/disinformation), lạm dụng và các hành vi gây hại khác trên các nền tảng kỹ thuật số.

Cung cấp phương pháp nhất quán và có cấu trúc. Thay vì các cách tiếp cận rời rạc, tiêu chuẩn mang lại một phương pháp luận chuẩn hóa, giúp các tổ chức chống lại các mối đe dọa trực tuyến một cách có hệ thống và hiệu quả hơn.

Hỗ trợ triển khai có thể mở rộng. Khung An toàn được thiết kế để phù hợp với các dịch vụ kỹ thuật số có quy mô khác nhau, từ các startup nhỏ đến các nền tảng toàn cầu khổng lồ, cho phép họ điều chỉnh phạm vi và nỗ lực dựa trên quy mô đối tượng và mức độ rủi ro.

Mặc dù không phải là một hệ thống quản lý có thể chứng nhận (như ISO 9001 hay ISO 27001), ISO/IEC 25389:2025 cung cấp sự rõ ràng về các quy trình quản trị nội bộ, từ đó tăng cường khả năng tự đảm bảo, giám sát điều hành và sự sẵn sàng tuân thủ các quy định pháp luật liên quan.

Tiêu chuẩn này được xem là một công cụ kịp thời và hữu ích, giúp các nhà cung cấp dịch vụ kỹ thuật số đạt được sự cân bằng tinh tế giữa việc bảo vệ người dùng và duy trì quyền tự do ngôn luận trong một thế giới trực tuyến ngày càng năng động và phức tạp.

Để triển khai ISO/IEC 25389:2025, các doanh nghiệp cần áp dụng đúng đủ các bước theo thứ tự:

Áp dụng Mô hình Cam kết & Thực hành: Sử dụng cấu trúc năm trụ cột để xem xét quy trình làm việc của bạn, từ thiết kế đến tính minh bạch và xác định những khoảng trống.

Sử dụng Công cụ đánh giá mức độ trưởng thành: Thực hiện tự đánh giá bằng cách sử dụng ba mức độ trưởng thành và bảng câu hỏi (Phụ lục B) để đánh giá tiến độ và đặt ra mục tiêu.

Phù hợp với dịch vụ của bạn: Điều chỉnh phạm vi và nỗ lực dựa trên quy mô đối tượng, mức độ rủi ro và bối cảnh mối đe dọa đang phát triển (ví dụ: nội dung cực đoan, quấy rối).

Lồng ghép cải tiến liên tục: Tích hợp thử nghiệm, báo cáo và các chu trình lặp lại vào các quy trình quản trị để lặp lại và tinh chỉnh các cam kết theo thời gian.

ISO/IEC 25389:2025 không chỉ cung cấp một danh sách kiểm tra mà còn cung cấp một lộ trình năng động, dựa trên bằng chứng để các tổ chức phát triển các dịch vụ kỹ thuật số an toàn và có trách nhiệm hơn. Đối với các nhà phát triển, nhóm an toàn và tin cậy, cán bộ tuân thủ và giám đốc điều hành, việc tuân thủ tiêu chuẩn này sẽ nâng cao chiến lược, khả năng phục hồi và giá trị xã hội.

Bảo Linh