26 thg 12, 2025

Blog

Hướng dẫn ISO 27001 cho công ty nhỏ: Roadmap 6–12 tháng

Lộ trình 6–12 tháng giúp công ty nhỏ triển khai ISO 27001: từ gap assessment, xây chính sách, thiết lập ISMS, thực hiện kiểm soát kỹ thuật đến nội audit và chuẩn bị chứng nhận.

1. Vì sao công ty nhỏ cũng nên nghĩ đến ISO 27001?

Rất nhiều chủ doanh nghiệp nhỏ nghĩ rằng ISO 27001 chỉ dành cho các tập đoàn lớn, ngân hàng hoặc “ông lớn” công nghệ. Thực tế, công ty quy mô 20–100 người vẫn có thể và nên đi theo chuẩn này, vì:

Bạn quản lý dữ liệu khách hàng, hợp đồng, tài chính, tài khoản quảng cáo… – đều là tài sản giá trị.
Đối tác lớn ngày càng yêu cầu bằng chứng về an toàn thông tin, không chỉ là “cam kết miệng”.
ISO 27001 giúp bạn có khung quản trị rõ ràng, không phải dựa hoàn toàn vào “ý thức từng người”.

Tin tốt là: công ty nhỏ không cần triển khai ISO 27001 theo cách phức tạp như tập đoàn. Bạn có thể đi theo roadmap 6–12 tháng, chia thành từng giai đoạn rõ ràng.

2. Tổng quan roadmap 6–12 tháng

Lộ trình triển khai ISO 27001 cho công ty nhỏ có thể chia thành 6 bước:

Gap assessment – Đánh giá khoảng cách hiện tại so với ISO 27001.
Xây dựng chính sách & quy trình – Đặt nền tảng giấy tờ.
Thiết lập ISMS (Hệ thống quản lý an toàn thông tin) – Vai trò, phạm vi, rủi ro.
Triển khai các kiểm soát kỹ thuật & tổ chức – Thực hiện trong thực tế.
Nội audit & khắc phục – Tự kiểm tra trước khi được kiểm tra.
Chuẩn bị chứng nhận – Chọn đơn vị chứng nhận, hoàn thiện hồ sơ.

Tùy quy mô và nguồn lực, mỗi bước có thể mất 1–2 tháng; gộp lại thành 6–12 tháng là khả thi cho phần lớn SME.

3. Giai đoạn 1 (Tháng 1–2): Gap assessment – Đánh giá hiện trạng

Mục tiêu

Biết rõ bạn đang ở đâu so với yêu cầu ISO 27001, tránh làm dàn trải, tốn sức.

Việc cần làm

Xác định phạm vi áp dụng
Áp dụng cho toàn công ty hay chỉ cho một mảng (ví dụ: sản phẩm chính, hệ thống xử lý dữ liệu khách hàng)?
Liệt kê hệ thống, phòng ban, quy trình nằm trong phạm vi.
Thu thập tài liệu hiện có
Nội quy, quy chế bảo mật (nếu có).
Quy trình IT, hợp đồng với nhà cung cấp, chính sách về thiết bị, backup…
So sánh với yêu cầu ISO 27001
Nhờ tư vấn hoặc dùng checklist ISO 27001 rút gọn.
Đánh dấu: chỗ nào đã có, chỗ nào chưa có, chỗ nào cần cải thiện.

Kết quả đầu ra

Báo cáo “gap assessment” đơn giản:
Những điểm mạnh hiện tại.
Danh sách lỗ hổng chính (ví dụ: chưa có quản lý rủi ro, chưa có log tập trung, chưa có chính sách phân quyền…).
Đây chính là bản đồ để lập kế hoạch cho 6–12 tháng tiếp theo.

4. Giai đoạn 2 (Tháng 2–4): Xây dựng chính sách & quy trình

Mục tiêu

Tạo bộ khung “luật chơi nội bộ” – dễ hiểu, áp dụng được, chứ không phải tập tài liệu để cất tủ.

Việc cần làm

Chính sách an toàn thông tin cấp cao (Information Security Policy)
Nêu cam kết của lãnh đạo.
Mục tiêu bảo mật, phạm vi, vai trò và trách nhiệm.
Quy định cụ thể cho nhân viên
Sử dụng thiết bị (laptop, điện thoại, USB…).
Quản lý mật khẩu và tài khoản.
Sử dụng email, công cụ chat, chia sẻ file.
Làm việc từ xa (work from home, đi công tác).
Quy trình vận hành cơ bản
Cấp/thu hồi quyền truy cập.
Onboarding / offboarding nhân viên.
Quản lý nhà cung cấp và đối tác.
Sao lưu và khôi phục dữ liệu.

Kết quả đầu ra

Bộ tài liệu khoảng vài chục trang, nhưng chia thành nhiều phần dễ đọc.
Nhân viên mới khi vào chỉ cần đọc 1–2 tài liệu rút gọn để hiểu “luật chơi bảo mật” của công ty.

5. Giai đoạn 3 (Tháng 3–6): Thiết lập ISMS – Hệ thống quản lý an toàn thông tin

Mục tiêu

Biến chính sách thành một hệ thống quản lý: có rủi ro, mục tiêu, đo lường và cải tiến.

Việc cần làm

Xác định tài sản thông tin
Dữ liệu khách hàng, hệ thống sản phẩm, server, PC, tài khoản quan trọng…
Gán “chủ sở hữu” (owner) cho từng nhóm tài sản.
Đánh giá rủi ro
Với mỗi tài sản, hỏi: “Nếu bị mất / lộ / sửa sai, hậu quả là gì?”
Xác suất xảy ra, mức ảnh hưởng, mức độ chấp nhận được hay không.
Kế hoạch xử lý rủi ro
Chọn: chấp nhận, giảm thiểu, chuyển giao (mua bảo hiểm), hay tránh (bỏ hẳn hoạt động gây rủi ro).
Gắn rủi ro với các kiểm soát ISO 27001 sẽ triển khai (Annex A).
Thiết lập mục tiêu an toàn thông tin
Ví dụ: 0 sự cố nghiêm trọng/năm, 100% nhân viên được đào tạo, 100% hệ thống quan trọng có backup.
Đưa vào KPI của một số vai trò liên quan.

Kết quả đầu ra

Tài liệu đánh giá rủi ro (risk assessment & treatment).
Bộ ISMS đơn giản nhưng đủ: biết mình bảo vệ cái gì, khỏi nguy cơ nào, bằng biện pháp nào.

6. Giai đoạn 4 (Tháng 4–9): Triển khai các kiểm soát kỹ thuật & tổ chức

Mục tiêu

Không chỉ “viết cho đẹp”, mà biến chính sách và kế hoạch rủi ro thành hành động.

Một số nhóm kiểm soát phù hợp với công ty nhỏ

Quản lý truy cập
Mỗi người một tài khoản, phân quyền theo vai trò.
Bật xác thực 2 yếu tố cho hệ thống quan trọng.
Quản lý thiết bị và endpoint
Danh sách thiết bị được phép truy cập hệ thống.
Cài giải pháp chống mã độc/EDR cơ bản.
Sao lưu & khôi phục
Lịch backup định kỳ cho server, dữ liệu khách hàng, tài chính.
Kiểm tra khôi phục thử ít nhất 1–2 lần/năm.
Giám sát & log
Thu thập log đăng nhập, thay đổi quan trọng.
Thiết lập cảnh báo cơ bản cho đăng nhập bất thường, hoạt động lạ.
Đào tạo nhận thức bảo mật
Tối thiểu 1–2 buổi/năm, tập trung vào phishing, mật khẩu, chia sẻ dữ liệu.
Quy trình ứng cứu sự cố
Kịch bản: bị lộ tài khoản, bị ransomware, mất laptop…
Ai làm gì trong 24–48 giờ đầu.

Ở giai đoạn này, một nền tảng như ShieldNet Defense có thể hỗ trợ công ty nhỏ:

Thu thập log, phát hiện hành vi bất thường.
Cảnh báo sớm khi có dấu hiệu tấn công, từ đó giúp ISMS của bạn “sống” thay vì chỉ nằm trên giấy.

7. Giai đoạn 5 (Tháng 8–11): Nội audit & khắc phục

Mục tiêu

Tự kiểm tra xem hệ thống đã vận hành đúng như tài liệu chưa, có “lỗ hổng giấy tờ” hoặc “lỗ hổng thực tế” nào không.

Việc cần làm

Lập kế hoạch internal audit
Phạm vi: một số quy trình, phòng ban, hệ thống chính.
Người thực hiện: có thể là người trong công ty, nhưng không audit phần do chính mình phụ trách; hoặc thuê ngoài.
Thực hiện audit
Kiểm tra xem những gì viết trong chính sách/quy trình có đang được làm thật không.
Lấy mẫu log, biên bản đào tạo, lịch backup, hợp đồng với vendor…
Ghi nhận điểm không phù hợp (non-conformities)
Ví dụ: quy định “backup hàng tuần” nhưng thực tế 3 tuần mới backup, hoặc không ghi log đầy đủ.
Khắc phục & cải tiến
Ưu tiên sửa những điểm có rủi ro cao.
Cập nhật lại tài liệu ISMS nếu có thay đổi.

Kết quả đầu ra

Báo cáo internal audit.
Danh sách hành động khắc phục đã hoàn thành.
Đây là tài liệu rất quan trọng khi bước vào giai đoạn chứng nhận.

8. Giai đoạn 6 (Tháng 10–12): Chuẩn bị chứng nhận ISO 27001

Mục tiêu

Sẵn sàng tiếp auditor từ tổ chức chứng nhận bên ngoài.

Việc cần làm

Chọn tổ chức chứng nhận
Tìm đơn vị uy tín, phù hợp ngân sách, có kinh nghiệm với doanh nghiệp quy mô tương tự.
Hoàn thiện hồ sơ ISMS
Chính sách an toàn thông tin, tài liệu đánh giá rủi ro, kế hoạch xử lý rủi ro.
Quy trình, hướng dẫn vận hành, biên bản đào tạo, báo cáo backup, log giám sát, báo cáo internal audit…
Chuẩn bị cho buổi audit
Giải thích cho nhân viên liên quan về vai trò của mình trong ISMS.
Chuẩn bị sẵn ví dụ, minh chứng: cách bạn xử lý một sự cố thực tế, hoặc một lần phát hiện rủi ro và khắc phục.

Khi vượt qua audit, bạn nhận được chứng chỉ ISO 27001, thường có hiệu lực 3 năm, kèm audit giám sát định kỳ.

9. Kết luận: Công ty nhỏ hoàn toàn có thể đi ISO 27001

Triển khai ISO 27001 không phải là “dự án chỉ dành cho doanh nghiệp lớn”. Với một roadmap 6–12 tháng rõ ràng, công ty nhỏ có thể:

Biết chính xác mình cần làm gì ở từng giai đoạn.
Xây được nền tảng quản lý an toàn thông tin vững chắc.
Tăng uy tín với khách hàng, đối tác, đặc biệt là các tổ chức lớn.

Nếu bạn muốn rút ngắn thời gian và có thêm “bộ não thứ hai” hỗ trợ về kỹ thuật, một nền tảng như ShieldNet Defense có thể giúp:

Thu thập và phân tích log theo chuẩn, cung cấp bằng chứng cho ISMS.
Phát hiện sớm sự cố bảo mật, hỗ trợ quy trình ứng cứu.
Giúp doanh nghiệp nhỏ vận hành ISO 27001 thực tế hơn, thay vì chỉ để lấy chứng chỉ.

Bắt đầu từ những bước đơn giản hôm nay – chọn phạm vi, làm gap assessment, viết vài chính sách cốt lõi – bạn đã đi được một chặng đường dài trên hành trình ISO 27001 cho công ty nhỏ.