PDPL đã có hiệu lực — đây là lý do doanh nghiệp vừa nhỏ cần ISO 27001 ngay bây giờ

Ngày 1 tháng 1 năm 2026, Luật Bảo vệ Dữ liệu Cá nhân (PDPL) chính thức có hiệu lực. Không phải nghị định, không phải thông tư hướng dẫn — là luật. Và hầu hết doanh nghiệp vừa nhỏ Việt Nam vẫn chưa sẵn sàng.

Không phải vì họ không biết luật tồn tại. Mà vì họ không biết phải làm gì với nó.

Thêm một dòng chính sách bảo mật vào website? Chưa đủ. Ký hợp đồng bảo mật với nhân viên? Cũng chưa đủ. PDPL đòi hỏi doanh nghiệp phải có biện pháp kỹ thuật và tổ chức thực sự — không phải chỉ là văn bản trên giấy.

PDPL thực sự yêu cầu gì?

Nhiều giám đốc SME nghĩ rằng tuân thủ PDPL chỉ là việc của phòng pháp lý. Thực tế phức tạp hơn vậy.

PDPL đặt ra bốn nhóm nghĩa vụ chính mà một doanh nghiệp thu thập, lưu trữ, hoặc xử lý dữ liệu cá nhân phải thực hiện:

• Lập bản đồ dữ liệu (data mapping): Bạn biết mình đang giữ dữ liệu cá nhân của ai không? Khách hàng, nhân viên, đối tác? Dữ liệu đó đang nằm ở đâu — máy chủ nội bộ, cloud, laptop nhân viên, hay cả ba?
• Biện pháp bảo vệ kỹ thuật: Dữ liệu đó được mã hóa chưa? Ai có quyền truy cập? Quyền đó có được xem xét định kỳ không?
• Thông báo vi phạm trong 72 giờ: Nếu bị tấn công và dữ liệu cá nhân bị lộ, bạn phải thông báo cho cơ quan chức năng trong vòng 72 giờ. Không có quy trình ứng phó sự cố thì làm được điều này không?
• Hạn chế chuyển dữ liệu ra nước ngoài: Nếu dùng phần mềm SaaS nước ngoài lưu dữ liệu khách hàng Việt Nam — bạn có đánh giá rủi ro này chưa?

Đây là những yêu cầu kỹ thuật, không phải chỉ là điền form. Và đây chính là lý do ISO 27001 trở nên liên quan trực tiếp.

ISO 27001 không phải là chứng chỉ để trưng lên tường

Nhầm lẫn phổ biến nhất mà tôi nghe từ các giám đốc SME: “ISO 27001 là dành cho tập đoàn lớn, không phải cho doanh nghiệp như chúng tôi.”

Câu đó đúng khoảng… năm 2010. Ngày nay, tiêu chuẩn ISO 27001:2022 được thiết kế để áp dụng cho mọi quy mô tổ chức. Một công ty 20 người vẫn có thể đạt chứng chỉ — và quan trọng hơn, vẫn cần sự bảo vệ mà ISO 27001 mang lại.

ISO 27001 là hệ thống quản lý an toàn thông tin. Khi một doanh nghiệp xây dựng ISMS theo ISO 27001, họ phải làm đúng những gì PDPL yêu cầu:

• Lập danh mục tài sản thông tin (bao gồm dữ liệu cá nhân)
• Đánh giá rủi ro và xác định biện pháp kiểm soát phù hợp
• Thiết lập quy trình kiểm soát truy cập, mã hóa, sao lưu
• Xây dựng kế hoạch ứng phó sự cố — đủ nhanh để đáp ứng yêu cầu 72 giờ của PDPL
• Đánh giá nhà cung cấp bên thứ ba (bao gồm cloud SaaS)

Nói cách khác: triển khai ISO 27001 đúng cách đồng thời đáp ứng hầu hết nghĩa vụ kỹ thuật của PDPL. Đó không phải là sự trùng hợp — đó là lý do tại sao các tổ chức quốc tế thiết kế chuẩn này.

Chi phí thực tế cho SME Việt Nam là bao nhiêu?

Đây là câu hỏi thực tế nhất. Và câu trả lời phụ thuộc vào quy mô và mức độ chuẩn bị của doanh nghiệp.

Một công ty 30–80 nhân viên, chưa có bất kỳ tài liệu bảo mật nào, thường cần từ 9 đến 15 tháng để đạt chứng chỉ lần đầu. Tổng chi phí bao gồm tư vấn, kiểm toán nội bộ, và phí cơ quan chứng nhận thường rơi vào khoảng 250–500 triệu đồng.

Con số đó nghe có vẻ lớn. Nhưng hãy so sánh với mức phạt theo PDPL — có thể lên tới 5% doanh thu hàng năm cho vi phạm nghiêm trọng. Với một công ty doanh thu 20 tỷ đồng, 5% là 1 tỷ đồng. Chưa kể thiệt hại uy tín nếu xảy ra vụ rò rỉ dữ liệu.

Và có một yếu tố ít ai tính đến: khách hàng doanh nghiệp ngày càng đòi hỏi bằng chứng về bảo mật thông tin. Một số tập đoàn đa quốc gia hiện đặt ISO 27001 là điều kiện bắt buộc trong hợp đồng với nhà cung cấp. Nếu bạn là SME phục vụ khách hàng B2B, chứng chỉ này không còn là “nice to have”.

Ba lỗi phổ biến nhất khi SME chuẩn bị ISO 27001

Dựa trên kinh nghiệm làm việc với các doanh nghiệp vừa nhỏ tại Việt Nam và Singapore, đây là những gì thường xảy ra:

Lỗi 1 — Bắt đầu bằng tài liệu, không phải rủi ro. Nhiều công ty mua sẵn bộ template chính sách, điền vào và nghĩ là xong. Kiểm toán viên sẽ hỏi: “Rủi ro nào dẫn đến việc bạn chọn kiểm soát này?” Nếu không trả lời được, đó là một major nonconformity.

Lỗi 2 — Kiểm toán nội bộ hình thức. ISO 27001 yêu cầu kiểm toán nội bộ độc lập. Nhưng nhiều SME để chính người xây dựng hệ thống tự kiểm tra công việc của mình — điều này không được chấp nhận. Kiểm toán viên bên ngoài sẽ phát hiện ngay.

Lỗi 3 — Đào tạo nhân viên chỉ một lần. PDPL và ISO 27001 đều đòi hỏi bằng chứng về nhận thức bảo mật liên tục — không phải buổi training một lần khi onboarding. Điểm quiz, kết quả mô phỏng phishing, tỷ lệ hoàn thành khóa học — đây là những thứ kiểm toán viên sẽ hỏi trong năm 2026.

Điểm xuất phát thực tế

Nếu doanh nghiệp của bạn chưa có gì và không biết bắt đầu từ đâu, bước đầu tiên là một gap assessment — đánh giá khoảng cách giữa trạng thái hiện tại và yêu cầu của ISO 27001. Quá trình này thường mất 2–3 tuần và cho bạn một lộ trình rõ ràng: phải làm gì, theo thứ tự nào, tốn bao lâu.

Từ gap assessment, bạn mới có cơ sở để lên kế hoạch thực tế — không dựa trên ước tính chung chung mà dựa trên tình trạng thực tế của hệ thống, con người, và quy trình của bạn.

PDPL không chờ. Khách hàng của bạn cũng không. Câu hỏi không phải là “chúng ta có nên làm ISO 27001 không” — mà là “chúng ta bắt đầu từ đâu và khi nào.”

Dịch vụ liên quan: Tư vấn ISO 27001 | Tư vấn tuân thủ PDPL

Evvo Labs tư vấn ISO 27001 cho doanh nghiệp vừa nhỏ tại Việt Nam và Singapore. Nếu bạn muốn biết hiện tại doanh nghiệp mình đang ở đâu trong hành trình này, hãy liên hệ để bắt đầu bằng một buổi đánh giá ban đầu — không mất phí.