Chính phủ Hàn Quốc sẽ cải tổ cơ chế chứng nhận hệ thống quản lý an toàn thông tin và bảo vệ dữ liệu cá nhân (ISMS, ISMS-P), theo hướng mở rộng diện bắt buộc đối với các hệ thống xử lý dữ liệu cá nhân quan trọng, đồng thời siết tiêu chí đánh giá và tăng cường hậu kiểm sau chứng nhận.

Ngày 10/4, Bộ Khoa học và ICT Hàn Quốc cùng Ủy ban Bảo vệ thông tin cá nhân công bố “Phương án nâng cao hiệu lực cơ chế chứng nhận ISMS và ISMS-P” tại cuộc họp các bộ trưởng phụ trách kinh tế. Kế hoạch tập trung vào bốn nội dung chính: mở rộng đối tượng bắt buộc, nâng chuẩn chứng nhận, tăng cường phương thức đánh giá và siết quản lý sau cấp chứng nhận.

Bắt buộc ISMS-P với hệ thống trọng yếu, tăng cường kiểm chứng tại hiện trường

Theo phương án mới, ISMS-P sẽ được áp dụng bắt buộc đối với các hệ thống xử lý dữ liệu cá nhân quan trọng ở cả khu vực công và tư. Nhóm thuộc diện áp dụng dự kiến gồm các đơn vị vận hành hệ thống công trọng yếu theo Luật Bảo vệ thông tin cá nhân, doanh nghiệp viễn thông di động, tổ chức định danh - xác thực và các đơn vị xử lý dữ liệu cá nhân quy mô lớn xét theo doanh thu và quy mô xử lý.

Chính phủ Hàn Quốc cũng sẽ xây dựng cơ chế quản lý theo mức độ rủi ro và bổ sung cấp chứng nhận tăng cường. Hệ thống chứng nhận vì vậy sẽ được tổ chức lại theo ba cấp gồm: chứng nhận tăng cường, chứng nhận tiêu chuẩn và chứng nhận đơn giản.

Trong đó, cấp chứng nhận tăng cường sẽ áp dụng với các hệ thống có ảnh hưởng lớn đến đời sống người dân và phải đáp ứng bộ tiêu chí cũng như quy trình đánh giá nghiêm ngặt hơn hiện nay. Phạm vi chứng nhận cũng sẽ được mở rộng theo lộ trình để bao quát đầy đủ thiết bị và hạ tầng liên quan đến dịch vụ thuộc diện chứng nhận. Đáng chú ý, các tài sản thông tin kết nối với Internet bên ngoài sẽ bắt buộc phải nằm trong phạm vi đánh giá.

Phương thức đánh giá cũng được siết chặt. Trước khi bước vào đánh giá chính thức, cơ quan thẩm định sẽ thực hiện một vòng đánh giá sơ bộ đối với các tiêu chí cốt lõi để quyết định hệ thống có đủ điều kiện tiếp tục hay không. Các biện pháp đánh giá kỹ thuật như rà soát lỗ hổng và thử nghiệm xâm nhập mô phỏng cũng sẽ được đưa vào quy trình.

Theo đó, các hạng mục trọng yếu sẽ được kiểm tra trước ngay ở vòng sơ bộ; nếu không đạt yêu cầu, hồ sơ sẽ không được chuyển sang vòng đánh giá chính thức. Chính phủ đồng thời tăng cường kiểm chứng tại hiện trường, trong đó có hình thức xác minh trực tiếp theo thời gian thực.

Cách đánh giá cũng sẽ chuyển từ đối chiếu hồ sơ là chủ yếu sang kiểm chứng thực tế tại hiện trường. Nhân lực và thời gian dành cho công tác thẩm định sẽ được tăng thêm. Riêng với cấp chứng nhận tăng cường, cơ quan chức năng sẽ bố trí nhân sự chuyên rà soát lỗ hổng để kiểm tra sâu các tài sản thông tin quan trọng và mở rộng phạm vi đánh giá.

Siết hậu kiểm, nâng năng lực tổ chức thẩm định

Ở khâu hậu kiểm, cơ quan quản lý sẽ tăng cường giám sát thường xuyên thay vì chỉ kiểm tra tại một thời điểm, nhằm bảo đảm mức độ an toàn vẫn được duy trì sau khi chứng nhận đã được cấp. Biểu mẫu kiểm tra định kỳ cũng sẽ được chuẩn hóa để phục vụ các đợt rà soát tập trung.

Trong trường hợp xảy ra sự cố xâm phạm nghiêm trọng, quy trình thẩm định chứng nhận sẽ bị tạm dừng. Sau khi Chính phủ hoàn tất điều tra, quy mô nhân lực và thời gian đánh giá sẽ được tăng lên để tái xác minh. Nếu phát hiện sai sót nghiêm trọng, tiêu chí liên quan sẽ được cụ thể hóa theo hướng cho phép hủy chứng nhận.

Chính phủ Hàn Quốc cũng đặt trọng tâm vào việc nâng trách nhiệm quản lý của các tổ chức thẩm định và tăng năng lực chuyên môn của đội ngũ kiểm định viên. Các tổ chức thẩm định sẽ được đánh giá mức độ tin cậy và kết quả này sẽ được phản ánh vào việc phân bổ khối lượng thẩm định của năm tiếp theo. Việc tuân thủ các tiêu chí chỉ định cũng sẽ được hậu kiểm hằng năm.

Đối với kiểm định viên, cơ quan quản lý sẽ tăng cường đào tạo thực tiễn, đồng thời bổ sung tiêu chí năng lực theo từng lĩnh vực như trí tuệ nhân tạo (AI) và điện toán đám mây. Chính sách cải thiện đãi ngộ cũng sẽ được triển khai song song.

Bộ Khoa học và ICT Hàn Quốc và Ủy ban Bảo vệ thông tin cá nhân cho biết sẽ sửa đổi các nghị định, thông tư và sổ tay hướng dẫn liên quan, đồng thời bảo đảm ngân sách để triển khai kế hoạch. Từ nửa cuối năm nay, các biện pháp liên quan đến hậu kiểm như tăng giám sát thường xuyên và hủy chứng nhận sẽ được áp dụng trước. Việc mở rộng diện bắt buộc và triển khai cơ chế chứng nhận phân tầng dự kiến bắt đầu từ năm 2027.

Chủ tịch Ủy ban Bảo vệ thông tin cá nhân Song Kyung-hee cho biết cơ chế chứng nhận sẽ được nâng cấp thành công cụ phòng ngừa trọng yếu nhằm bảo vệ dữ liệu cá nhân và góp phần xây dựng môi trường số an toàn hơn cho người dân.

Trong khi đó, Thứ trưởng thứ hai Bộ Khoa học và ICT Hàn Quốc Ryu Je-myeong nhấn mạnh chứng nhận hệ thống quản lý an toàn thông tin là “chốt an toàn” giúp người dân yên tâm sử dụng các dịch vụ số, đồng thời khẳng định Chính phủ sẽ tiếp tục nâng hiệu quả và độ tin cậy của hệ thống chứng nhận này.