Khi hệ vận hành phải cắm vào máy chủ nội bộ hay dữ liệu sẵn có của khách, cửa kiểm toán bảo mật là nơi nhiều dự án bị tắc oan nhất.
Nếu hệ vận hành cần chạm vào hạ tầng riêng của Anh/Chị, bên tích hợp phải qua thẩm định bảo mật của tổ chức Anh/Chị trước khi được cấp quyền truy cập. Việc này bao gồm ký thỏa thuận xử lý dữ liệu, trả lời bộ câu hỏi bảo mật, và phân định rõ ai chịu trách nhiệm phần hạ tầng nào. Chuẩn bị từ giai đoạn phạm vi giúp tránh tình huống dự án làm xong mà không qua được cửa an ninh.
Dự án tích hợp hệ vận hành vào hạ tầng riêng của khách thường bị tắc ở một chỗ không ai ngờ: không phải kỹ thuật, không phải ngân sách, mà là cửa kiểm toán bảo mật. Đội an ninh thông tin của khách hỏi đối tác có chứng nhận gì, quy trình bảo vệ dữ liệu ra sao, ai chịu trách nhiệm khi có sự cố. Nếu không chuẩn bị, dự án đứng yên nhiều tuần dù phần kỹ thuật đã xong.
Không phải mọi tích hợp đều kéo theo yêu cầu kiểm toán nặng. Mức độ phụ thuộc vào hai câu hỏi cốt lõi: loại dữ liệu nào bị chạm tới, và hạ tầng đó nằm ở đâu.
Ngành tài chính, y tế và các tổ chức đã triển khai hệ thống quản lý an ninh thông tin (information security management system) thường có đội an ninh riêng với bộ tiêu chí đánh giá đối tác bên ngoài. Sinh Vũ khuyến cáo Anh/Chị hỏi thẳng đội đó ngay khi bắt đầu thảo luận phạm vi dự án, không phải khi sắp triển khai.
Thẩm định đối tác trước, rồi mới trao quyền chạm hệ thống. Không phải nghi ngờ, mà là bảo vệ cả hai bên.
Nguyên tắc quản lý rủi ro bên thứ ba, Sprinto và Atlas Systems, SOC 2 Vendor Management
Sinh Vũ không phải nhà cung cấp hạ tầng kỹ thuật và không ôm trọn phần hạ tầng nhạy cảm ngoài năng lực của mình. Khi dự án cần cắm vào hệ thống nội bộ của Anh/Chị, Sinh Vũ làm rõ ngay từ giai đoạn phạm vi: phần nào Sinh Vũ xây và vận hành, phần nào đội kỹ thuật nội bộ của Anh/Chị tiếp nhận và chịu trách nhiệm.
Với các khách hàng đã có đội an ninh thông tin, Sinh Vũ chuẩn bị hồ sơ đáp ứng từ sớm và phối hợp trực tiếp với đội đó để rút ngắn thời gian thẩm định. Bàn giao luôn đi kèm đào tạo đội kỹ thuật nội bộ, vì mục tiêu là Anh/Chị tự vận hành được, không phụ thuộc mãi vào bên ngoài.
Với ngành quản lý chặt như tài chính hoặc y tế, nếu Anh/Chị chưa có đội kỹ thuật nội bộ đủ năng lực tiếp nhận, Sinh Vũ sẽ nói thẳng điều đó trước khi ký hợp đồng, không để phát hiện ra ở giữa dự án.
Chủ đề: Hạ tầng riêng và kiểm toán bảo mật khi tích hợp hệ vận hành. Cẩm nang Sinh Vũ, sinhvu.com
Bấm chọn từng mục Anh / Chị thấy đúng, rồi bấm in hoặc lưu thành PDF để mang theo.
Nếu Anh / Chị đánh dấu phần lớn ở nhóm dấu hiệu trên, đây là lúc nên trao đổi kỹ hơn. Sinh Vũ có thể cùng Anh / Chị soi lại và đề xuất hướng đi.
Sprinto, SOC 2 Vendor Management; Copla, ISO 27001 Third-Party Risk Management; Atlas Systems, SOC 2 Vendor Management Guide; Sinh Vũ, hồ sơ dịch vụ O2 (nội bộ).
Sinh Vũ là studio thiết kế và vận hành thương hiệu, không phải nhà cung cấp hạ tầng kỹ thuật. Khi tích hợp vào hệ thống của Anh/Chị, Sinh Vũ phối hợp với đội kỹ thuật nội bộ của Anh/Chị và làm rõ ranh giới trách nhiệm ngay từ đầu. Phần hạ tầng nhạy cảm thuộc phạm vi của đội kỹ thuật Anh/Chị, không phải Sinh Vũ ôm trọn.
Thỏa thuận xử lý dữ liệu (data processing agreement) là văn bản ghi rõ mỗi bên được làm gì với dữ liệu, lưu ở đâu, xóa khi nào và báo cáo sự cố ra sao. Văn bản này bắt buộc khi dữ liệu cá nhân của khách hàng cuối được xử lý, đặc biệt với ngành tài chính, y tế và bất kỳ tổ chức nào tuân thủ quy định về bảo vệ dữ liệu cá nhân. Bỏ qua bước này là rủi ro pháp lý trực tiếp.
Công cụ đám mây độc lập, không cắm vào lõi hạ tầng nội bộ của Anh/Chị, thường có yêu cầu nhẹ hơn. Tuy nhiên, nếu công cụ đó xử lý dữ liệu khách hàng cuối hoặc kết nối với hệ thống sẵn có, vẫn cần xem lại chính sách bảo mật và điều khoản dịch vụ của nhà cung cấp đám mây đó. Ranh giới quan trọng là: dữ liệu nào đi qua công cụ đó.