ISO/IEC 27002:2022 – 93 Controls An Toàn Thông Tin, An Toàn Mạng & Bảo Vệ Quyền Riêng Tư

Mkt1 19/05/2026

ISO/IEC 27002:2022: An Toàn Thông Tin, An Toàn Mạng Và Bảo Vệ Quyền Riêng Tư – Cẩm Nang 93 Controls Thực Tế

Giới thiệu

ISO/IEC 27002:2022 được coi là “cẩm nang thực chiến” quan trọng nhất của toàn bộ gia đình ISO 27000. Đây là tài liệu hướng dẫn chi tiết 93 controls (biện pháp kiểm soát) giúp doanh nghiệp triển khai hiệu quả các yêu cầu của ISO 27001:2022.

Phiên bản 2022 đã được tinh gọn mạnh mẽ: giảm từ 114 controls (2013) xuống còn 93 controls, được sắp xếp lại thành 4 themes hiện đại: Organizational, People, Physical và Technological. Đặc biệt bổ sung 11 controls mới tập trung vào cloud security, threat intelligence, data leakage prevention – rất phù hợp với doanh nghiệp SaaS, công nghệ, tài chính và sản xuất tại Việt Nam.

(Hình 1: Infographic 4 themes 93 controls ISO 27002:2022)

1. ISO/IEC 27002:2022 Là Gì?

ISO/IEC 27002:2022 là tiêu chuẩn quốc tế cung cấp hướng dẫn chi tiết để chọn và triển khai các controls an toàn thông tin. Đây không phải tiêu chuẩn chứng nhận mà là tài liệu hỗ trợ thực hiện Annex A của ISO 27001:2022.

Tiêu chuẩn tập trung bảo vệ ba yếu tố cốt lõi: Confidentiality – Integrity – Availability, đồng thời tăng cường bảo vệ quyền riêng tư dữ liệu.

2. Những Điểm Mới Nổi Bật Trong Phiên Bản 2022

Giảm từ 114 controls xuống 93 controls
Sắp xếp lại thành 4 themes thay vì 14 clauses cũ:
- Organizational controls: 37 controls
- People controls: 8 controls
- Physical controls: 14 controls
- Technological controls: 34 controls
Thêm 11 controls mới quan trọng: Threat intelligence, Cloud services configuration, Data leakage prevention, Web filtering, Secure coding, v.v.

Bảng so sánh nhanh ISO 27002:2013 vs 2022

Tiêu chí	ISO 27002:2013	ISO 27002:2022	Lợi ích cho doanh nghiệp Việt Nam
Số controls	114	93	Giảm tải triển khai, dễ quản lý hơn
Cấu trúc	14 clauses	4 themes (Org/People/Phys/Tech)	Phù hợp công nghệ hiện đại (cloud, AI)
Controls mới	-	11 controls	Tăng khả năng chống tấn công mới
Tập trung Privacy	Thấp	Cao (liên kết mạnh với ISO 27701)	Tuân thủ Luật Bảo vệ dữ liệu cá nhân 2023
Dễ tích hợp	Trung bình	Cao	Tiết kiệm chi phí khi tích hợp ISMS

(Hình 2: Mindmap 11 controls mới ISO 27002:2022)

3. Lợi Ích Khi Áp Dụng ISO/IEC 27002:2022

Triển khai controls chính xác, hiệu quả cao
Giảm rủi ro mất dữ liệu và tấn công mạng lên đến 40–60%
Tăng lòng tin khách hàng quốc tế và đối tác
Dễ dàng chứng nhận ISO 27001:2022
Tiết kiệm chi phí nhờ cấu trúc gọn gàng và dễ đo lường

4. Cách Triển Khai 93 Controls Thực Tế

Đánh giá rủi ro (kết hợp ISO 27005)
Xây dựng Statement of Applicability (SoA)
Chọn và áp dụng controls phù hợp theo 4 themes
Đào tạo nhân sự & kiểm soát vận hành
Giám sát, đo lường (theo ISO 27004) và cải tiến liên tục

(Hình 3: Phân bổ 93 controls theo 4 themes)

Bài viết liên quan

ISO/IEC 27021:2017 – Yêu Cầu Năng Lực Cho Chuyên Gia Quản Lý An Toàn Thông Tin ISMS

ISO/IEC 27021:2017 quy định yêu cầu năng lực, kiến thức và kỹ năng của chuyên gia quản lý ISMS (ISMS Manager, Lead Auditor, Consultant). Hướng dẫn tuyển dụng và đào tạo nhân sự đúng chuẩn quốc tế cho doanh nghiệp Việt Nam.

ISO/IEC 27019:2024 – Kiểm Soát An Toàn Thông Tin Cho Ngành Năng Lượng Và Tiện Ích

ISO/IEC 27019:2024 là tiêu chuẩn chuyên ngành dành cho các tổ chức trong lĩnh vực năng lượng. Bổ sung controls đặc thù cho hệ thống OT, SCADA, ICS, giúp doanh nghiệp điện lực, dầu khí, năng lượng tái tạo tại Việt Nam bảo vệ hạ tầng quan trọng.

ISO/IEC 27014:2020 – Quản Trị An Toàn Thông Tin Tại Cấp Cao (Governance)

ISO/IEC 27014:2020 hướng dẫn Ban lãnh đạo thực hiện quản trị chiến lược an toàn thông tin. Khác biệt rõ ràng với ISO 27001 (quản lý vận hành), giúp doanh nghiệp Việt Nam nâng tầm trách nhiệm cấp cao.

ISO/IEC 27013:2021 – Hướng Dẫn Tích Hợp ISO 27001 Và ISO 20000-1

ISO/IEC 27013:2021 hướng dẫn cách tích hợp Hệ thống Quản lý An toàn Thông tin (ISO 27001) với Hệ thống Quản lý Dịch vụ CNTT (ISO 20000-1). Tiết kiệm chi phí, giảm trùng lặp và vận hành hiệu quả hơn cho doanh nghiệp IT Việt Nam.

ISO/IEC 27007:2020 – Hướng Dẫn Kiểm Toán Hệ Thống Quản Lý An Toàn Thông Tin ISMS

ISO/IEC 27007:2020 cung cấp hướng dẫn chi tiết kiểm toán nội bộ & ngoại bộ ISMS theo ISO 27001:2022. Khám phá quy trình kiểm toán, checklist và cách chuẩn bị hiệu quả cho doanh nghiệp Việt Nam.

Tin tức và Sự kiện liên quan

ISO/IEC 29100:2024 – Khung Bảo Vệ Quyền Riêng Tư Toàn Diện

ISO/IEC 29100:2024 là khung bảo vệ quyền riêng tư quốc tế, cung cấp nguyên tắc, thành phần và mô hình quản lý PII. Hướng dẫn doanh nghiệp Việt Nam xây dựng hệ thống bảo vệ dữ liệu cá nhân theo PDPL và GDPR.

ISO/IEC 27701:2025 – Hệ Thống Quản Lý Thông Tin Riêng Tư (PIMS)

ISO/IEC 27701:2025 là tiêu chuẩn quốc tế về Hệ thống Quản lý Thông tin Riêng tư (PIMS). Hướng dẫn mở rộng ISO 27001 để quản lý quyền riêng tư dữ liệu cá nhân theo luật PDPL Việt Nam và GDPR.

Bình luận

! Nhập đánh giá không được để trống

! Họ và tên không được để trống

! Email không được để trống

! Số điện thoại không được để trống

Gửi bình luận