Sự kiện trực tuyến “Hành lang quy định về an toàn thông tin cá nhân và các giải pháp” của DNV Business Assurance Vietnam vào đầu tháng 07 năm 2025 đã cung cấp những kiến thức quan trọng về Luật Bảo vệ Dữ liệu Cá nhân Việt Nam (PDPL) và tiêu chuẩn quốc tế ISO/IEC 27701:2019, đặc biệt hữu ích cho các chuyên gia IT. Bản viết này sẽ đi sâu vào lợi ích chuyên môn mà các tiêu chuẩn và luật này mang lại cho an ninh mạng doanh nghiệp, cũng như lý do tại sao người làm IT cần phải nắm vững chúng.
Trong bối cảnh số hóa hiện nay, dữ liệu cá nhân là một tài sản vô cùng quý giá của doanh nghiệp, đồng thời cũng là mục tiêu hàng đầu của các cuộc tấn công mạng. Do đó, việc bảo vệ dữ liệu không còn là tùy chọn mà đã trở thành yêu cầu bắt buộc, thể hiện qua sự ra đời của Luật Bảo vệ Dữ liệu Cá nhân (PDPL) tại Việt Nam và các tiêu chuẩn quốc tế như ISO/IEC 27701:2019.
Luật bảo vệ dữ liệu cá nhân (PDPL) & An ninh mạng: Hai mặt của một vấn đề
Luật Bảo vệ Dữ liệu Cá nhân (PDPL) của Việt Nam được thông qua vào ngày 26/06/2025 (và sẽ có hiệu lực từ năm sau), đặt ra các quy định chặt chẽ về việc thu thập, xử lý, lưu trữ và bảo vệ dữ liệu cá nhân. Đối với người làm IT và an ninh mạng, PDPL không chỉ là một văn bản pháp lý cần tuân thủ mà còn là kim chỉ nam để xây dựng các biện pháp bảo mật hiệu quả.
Lợi ích đối với an ninh mạng doanh nghiệp:
Tăng cường khả năng phòng thủ: PDPL yêu cầu các tổ chức phải có các biện pháp kỹ thuật và tổ chức phù hợp để bảo vệ dữ liệu cá nhân. Điều này đồng nghĩa với việc các đội ngũ IT phải rà soát, nâng cấp hệ thống, áp dụng các công nghệ bảo mật tiên tiến như mã hóa, tường lửa, hệ thống phát hiện xâm nhập (IDS/IPS), và quản lý truy cập chặt chẽ. Việc này trực tiếp nâng cao “tính an toàn bảo mật dữ liệu”, bảo vệ dữ liệu khỏi các mối đe dọa gây mất tính toàn vẹn, khả dụng và bảo mật.
Giảm thiểu rủi ro vi phạm dữ liệu: Bằng cách tuân thủ các quy định của PDPL về đồng ý của chủ thể dữ liệu, mục đích xử lý, và thời gian lưu trữ, doanh nghiệp sẽ giảm thiểu đáng kể nguy cơ xảy ra các sự cố rò rỉ hoặc lạm dụng dữ liệu. Điều này không chỉ bảo vệ dữ liệu mà còn bảo vệ danh tiếng và uy tín của doanh nghiệp, tránh các khoản phạt nặng.
Xây dựng văn hóa bảo mật: Việc tuân thủ PDPL đòi hỏi sự thay đổi trong nhận thức và hành vi của toàn bộ nhân viên. Người làm IT có vai trò chủ chốt trong việc đào tạo, nâng cao nhận thức về các mối đe dọa an ninh mạng và tầm quan trọng của việc bảo vệ dữ liệu, từ đó tạo ra một văn hóa bảo mật mạnh mẽ trong tổ chức.
Tại sao người làm IT phải nắm vững PDPL?
Trách nhiệm pháp lý và chuyên môn: Người làm IT thường là những người trực tiếp quản lý và vận hành các hệ thống chứa dữ liệu cá nhân. Việc nắm vững PDPL giúp họ hiểu rõ trách nhiệm pháp lý của mình, biết cách triển khai các giải pháp kỹ thuật đáp ứng yêu cầu luật định, tránh vi phạm và chịu trách nhiệm cá nhân.
Thiết kế hệ thống an toàn: Khi phát triển hoặc triển khai các ứng dụng, hệ thống mới, người làm IT cần tích hợp nguyên tắc “quyền riêng tư theo thiết kế” (Privacy by Design) ngay từ đầu. Điều này có nghĩa là các tính năng bảo vệ dữ liệu phải được xem xét và tích hợp vào kiến trúc hệ thống, quy trình vận hành chứ không phải là một yếu tố bổ sung sau này.
Phản ứng sự cố hiệu quả: PDPL quy định rõ ràng về việc thông báo và xử lý khi có sự cố liên quan đến dữ liệu cá nhân. Nắm vững luật giúp người làm IT có thể nhanh chóng xác định các vi phạm, thực hiện các bước ứng phó cần thiết và báo cáo đúng thời hạn, giảm thiểu thiệt hại.
ISO/IEC 27701:2019: Khung quản lý thông tin quyền riêng tư tiên tiến
ISO/IEC 27701:2019 là một tiêu chuẩn quốc tế mở rộng của ISO/IEC 27001 (Hệ thống Quản lý An toàn Thông tin), tập trung chuyên sâu vào hệ thống quản lý thông tin quyền riêng tư (PIMS). Tiêu chuẩn này cung cấp một khuôn khổ có cấu trúc để các tổ chức có thể triển khai và duy trì hệ thống quản lý quyền riêng tư hiệu quả.
Lợi ích đối với an ninh mạng doanh nghiệp:
Hệ thống hóa quy trình bảo mật: ISO/IEC 27701 cung cấp một cách tiếp cận có hệ thống để quản lý rủi ro liên quan đến quyền riêng tư. Nó hướng dẫn doanh nghiệp xác định các mối đe dọa, đánh giá tác động, và triển khai các biện pháp kiểm soát. Điều này giúp đội ngũ IT không chỉ đối phó với các sự cố mà còn chủ động xây dựng một hệ thống an ninh mạng mạnh mẽ, phòng ngừa từ gốc.
Khung chuẩn cho sự tuân thủ: Mặc dù không phải là luật pháp, việc đạt được chứng nhận ISO/IEC 27701 là bằng chứng cho thấy doanh nghiệp đã áp dụng các thực tiễn tốt nhất về quản lý quyền riêng tư và an ninh thông tin. Điều này đặc biệt quan trọng đối với các công ty hoạt động trong nhiều khu vực pháp lý hoặc làm việc với các đối tác quốc tế, nơi các tiêu chuẩn như GDPR (Quy định chung về bảo vệ dữ liệu của EU) là bắt buộc.
Tăng cường khả năng cạnh tranh và uy tín: Trong một thị trường ngày càng quan tâm đến quyền riêng tư, việc sở hữu chứng nhận ISO/IEC 27701 giúp doanh nghiệp tạo dựng niềm tin với khách hàng, đối tác và các bên liên quan. Điều này thể hiện sự cam kết nghiêm túc trong việc bảo vệ dữ liệu, giúp doanh nghiệp nổi bật và giành lợi thế cạnh tranh.
Tại sao người làm IT phải nắm vững ISO/IEC 27701?
Nâng cao năng lực chuyên môn: ISO/IEC 27701 cung cấp kiến thức sâu rộng về các khía cạnh kỹ thuật và tổ chức của việc quản lý thông tin quyền riêng tư. Nắm vững tiêu chuẩn này giúp người làm IT có cái nhìn tổng thể và chi tiết về cách xây dựng, triển khai, duy trì và cải tiến liên tục một PIMS hiệu quả.
Tích hợp an ninh và quyền riêng tư: Tiêu chuẩn này là phần mở rộng của ISO/IEC 27001, cho thấy mối liên hệ chặt chẽ giữa an ninh thông tin và quyền riêng tư dữ liệu. Người làm IT cần hiểu rằng “Quyền riêng tư là đảm bảo chỉ những người được phép truy cập dữ liệu mới có thể làm như vậy”, và để đạt được điều này, các biện pháp “an toàn bảo mật dữ liệu” là vô cùng cần thiết. Do đó, việc nắm vững ISO/IEC 27701 giúp họ kết hợp hài hòa hai yếu tố này trong các giải pháp kỹ thuật.
Chuẩn bị cho các đánh giá và kiểm toán: Khi một tổ chức muốn đạt được chứng nhận ISO/IEC 27701, đội ngũ IT sẽ là những người trực tiếp làm việc với các kiểm toán viên để cung cấp bằng chứng về sự tuân thủ. Nắm vững tiêu chuẩn giúp họ chuẩn bị tài liệu, quy trình và hệ thống một cách chủ động, đảm bảo quá trình kiểm toán diễn ra suôn sẻ.
Thúc đẩy đổi mới an toàn: Bằng cách hiểu rõ các yêu cầu về quản lý quyền riêng tư và an ninh thông tin, người làm IT có thể đưa ra các giải pháp công nghệ mới một cách an toàn hơn, đảm bảo rằng các đổi mới không gây ra rủi ro cho dữ liệu cá nhân. Ví dụ, khi triển khai một công nghệ mới như AI hoặc IoT, họ sẽ biết cách thiết kế để dữ liệu được bảo vệ ngay từ giai đoạn đầu.
Đầu tư vào kiến thức – Đầu tư vào tương lai nn toàn
Tóm lại, sự giao thoa giữa Luật PDPL Việt Nam và tiêu chuẩn ISO/IEC 27701:2019 tạo nên một bộ khung toàn diện cho việc bảo vệ dữ liệu cá nhân và tăng cường an ninh mạng trong doanh nghiệp. Đối với những người làm trong lĩnh vực IT, việc nắm vững cả hai khía cạnh này không chỉ là yêu cầu để tuân thủ pháp luật mà còn là cơ hội để nâng cao năng lực chuyên môn, đóng góp vào sự phát triển bền vững và an toàn của tổ chức.
Trong kỷ nguyên mà dữ liệu là “vàng”, việc đầu tư vào kiến thức về bảo vệ dữ liệu và an ninh mạng chính là đầu tư vào tương lai an toàn của doanh nghiệp. Các chuyên gia IT cần chủ động cập nhật, học hỏi và áp dụng những kiến thức này vào thực tiễn để trở thành những người tiên phong trong việc bảo vệ tài sản thông tin quý giá của tổ chức. Tại FPT Jetking, ngoài việc tiên phong cập nhật các kỹ năng ứng dụng trí tuệ nhân tạo vào Chương Trình Quản Trị An Ninh Mạng & Đám Mây Tích Hợp AI thì nhà trường cũng đã bổ sung học phần “ITIL & GRC for corporate IT policies” nhằm giúp sinh viên biết cách thiết kế các chính sách quản trị và bảo mật cho doanh nghiệp.
Giảng viên Nguyễn Hoài Linh