11 kiểm soát mới trong ISO/IEC 27001:2022 – Ý nghĩa & cách áp dụng thực tế
Soạn bởi: Nguyễn Đăng Quang
Lead Auditor ISO/IEC27001 - ISO 9001, 14001, 22301, 27001, 45001, 50001
Completed training in TISAX Assessor
Phiên bản ISO/IEC 27001:2022 đã cập nhật đáng kể về cấu trúc kiểm soát trong Phụ lục A – từ 114 kiểm soát ở phiên bản 2013, giảm còn 93 kiểm soát, sắp xếp lại thành 4 nhóm:
• A.5 – Organizational controls (37)
• A.6 – People controls (8)
• A.7 – Physical controls (14)
• A.8 – Technological controls (34)
Trong số đó, có 11 kiểm soát hoàn toàn mới, phản ánh các rủi ro an toàn thông tin hiện đại như làm việc từ xa, bảo mật đám mây, xâm nhập hệ thống…
📋 Danh sách 11 kiểm soát mới trong ISO/IEC 27001:2022
Mã kiểm soát | Tên kiểm soát | Nhóm kiểm soát |
A.5.7 | Threat intelligence | Organizational |
A.5.23 | Information security for use of cloud services | Organizational |
A.5.30 | ICT readiness for business continuity | Organizational |
A.7.4 | Physical security monitoring | Physical |
A.8.9 | Configuration management | Technological |
A.8.10 | Information deletion | Technological |
A.8.11 | Data masking | Technological |
A.8.12 | Data leakage prevention | Technological |
A.8.16 | Monitoring activities | Technological |
A.8.23 | Web filtering | Technological |
A.8.28 | Secure coding | Technological |
🔍 Giải thích ý nghĩa & gợi ý áp dụng
✅ A.5.7 – Threat Intelligence
Tổ chức cần thu thập, phân tích và sử dụng thông tin về các mối đe dọa an ninh để phòng ngừa.
👉 Áp dụng: Duy trì theo dõi các nguồn threat intelligence, báo cáo từ nhà cung cấp bảo mật, các nền tảng cảnh báo.
✅ A.5.23 – Cloud Services
Kiểm soát thông tin khi sử dụng dịch vụ đám mây, đảm bảo rõ trách nhiệm giữa bên cung cấp và bên sử dụng.
👉 Áp dụng: Soát xét SLA, chính sách bảo mật cloud, mã hóa dữ liệu lưu trữ trên cloud.
✅ A.5.30 – ICT Readiness for BCP
Đảm bảo hệ thống CNTT sẵn sàng khôi phục trong kế hoạch liên tục kinh doanh.
👉 Áp dụng: Lập BCP, kiểm tra định kỳ backup, khả năng truy cập từ xa khi có sự cố.
✅ A.7.4 – Physical Security Monitoring
Thiết lập giám sát vật lý (camera, kiểm soát truy cập, báo động…).
👉 Áp dụng: Áp dụng cho văn phòng, nhà máy, phòng máy chủ có tài sản thông tin quan trọng.
✅ A.8.9 – Configuration Management
Quản lý cấu hình hệ thống, đảm bảo không có thay đổi trái phép.
👉 Áp dụng: Có quy trình ghi nhận thay đổi hệ thống, dùng phần mềm quản lý cấu hình.
✅ A.8.10 – Information Deletion
Xóa dữ liệu an toàn khi không còn sử dụng hoặc sau khi hết hạn lưu trữ.
👉 Áp dụng: Cấu hình xóa tự động theo chính sách, đào tạo nhân viên quy trình xóa dữ liệu.
✅ A.8.11 – Data Masking
Ẩn thông tin nhạy cảm khi hiển thị hoặc xử lý (ví dụ: số thẻ ngân hàng, số căn cước).
👉 Áp dụng: Trong phần mềm CRM, hệ thống quản lý khách hàng, dùng dữ liệu ẩn danh khi test.
✅ A.8.12 – Data Leakage Prevention
Ngăn rò rỉ dữ liệu qua email, USB, cloud… bằng giải pháp kỹ thuật và chính sách.
👉 Áp dụng: Cài đặt phần mềm DLP, hạn chế gửi file ra ngoài, kiểm soát lưu trữ USB.
✅ A.8.16 – Monitoring Activities
Theo dõi hoạt động truy cập, sử dụng hệ thống để phát hiện hành vi bất thường.
👉 Áp dụng: Log hệ thống, cảnh báo bất thường, phân tích hành vi người dùng.
✅ A.8.23 – Web Filtering
Lọc nội dung truy cập Internet nhằm tránh nguy cơ truy cập các trang độc hại.
👉 Áp dụng: Cấu hình tường lửa, chặn website theo blacklist, chính sách truy cập mạng.
✅ A.8.28 – Secure Coding
Đảm bảo lập trình an toàn ngay từ giai đoạn phát triển phần mềm.
👉 Áp dụng: Áp dụng tiêu chuẩn coding, kiểm tra bảo mật (code review, static scan…).
📝 Kết luận
Việc hiểu rõ và triển khai 11 kiểm soát mới là một trong những bước quan trọng để chứng nhận ISO 27001:2022. Không nên xem nhẹ hay “bỏ qua” bất kỳ kiểm soát nào – bởi chúng phản ánh đúng bối cảnh an ninh thông tin hiện đại và các rủi ro mới nổi.
📩 Bạn cần tải checklist 11 kiểm soát mới hoặc tư vấn triển khai?
👉 Đăng ký nhận tài liệu & hỗ trợ miễn phí tại [NQA FORM]
📞 Hotline: 0912 300 560
🌐 Website: https://nqa.com.vn