Select Page

Doanh nghiệp khi bị audit an ninh 2026 thường bị vướng ở những điểm nào

by

Doanh nghiệp khi bị audit an ninh (security audit / compliance audit) thường không “rớt” vì thiếu công nghệ quá hiện đại, mà chủ yếu vướng ở các vấn đề nền tảng: quy trình, bằng chứng, phân quyền và con người.

Các điểm bị phát hiện nhiều nhất thường gồm:

Phân quyền tài khoản không chặt chẽ

Đây là lỗi phổ biến nhất.

Các vấn đề thường gặp:

  • Nhân viên nghỉ việc nhưng tài khoản chưa khóa
  • Nhiều người dùng chung account
  • Tài khoản admin quá nhiều
  • Không áp dụng MFA/2FA
  • Password yếu hoặc không có chính sách đổi mật khẩu
  • Không kiểm soát quyền truy cập theo vai trò

Audit thường hỏi:

  • Ai đang có quyền admin?
  • Có review quyền định kỳ không?
  • Có log đăng nhập không?
  • Có chính sách password không?
audit an ninh
Doanh nghiệp khi bị audit an ninh 2026 thường bị vướng ở những điểm nào 2

2. Thiếu log và khả năng truy vết

Nhiều công ty có hệ thống nhưng không lưu log đầy đủ.

Audit an ninh thường phát hiện:

  • Không biết ai sửa dữ liệu
  • Không lưu lịch sử đăng nhập
  • Log lưu quá ngắn
  • Không cảnh báo truy cập bất thường
  • Không có SIEM hoặc cơ chế giám sát tập trung

Rủi ro:

Khi xảy ra sự cố sẽ không thể:

  • điều tra,
  • xác định nguyên nhân,
  • hoặc chứng minh trách nhiệm.

3. Không có chính sách & quy trình bằng văn bản

Nhiều doanh nghiệp “có làm” nhưng không có tài liệu.

Audit thường yêu cầu:

  • Security Policy
  • Access Control Policy
  • Incident Response Procedure
  • Backup Policy
  • BYOD Policy
  • Data Retention Policy

Điểm vướng:

  • Có thực hiện nhưng không document
  • Tài liệu quá cũ
  • Không có bằng chứng đào tạo nhân viên

Trong audit, “không chứng minh được” thường bị xem như “chưa làm”.

4. Máy tính và thiết bị đầu cuối không được quản lý tốt

Các lỗi phổ biến:

  • Máy nhân viên không được bảo mật, ai vào cũng được
  • Không có antivirus/EDR
  • Không cập nhật bản vá
  • Dùng phần mềm crack
  • USB không kiểm soát
  • Dùng thiết bị cá nhân truy cập dữ liệu công ty

Audit an ninh sẽ kiểm:

5. Nhân viên thiếu awareness về an ninh

Con người là lỗ hổng lớn nhất.

Audit an ninh thường đánh giá:

  • Có training security không?
  • Có awareness phishing không?
  • Có quy trình báo cáo sự cố không?
  • Nhân viên có hiểu phân loại dữ liệu không?

Thực tế:

  • Click phishing
  • Gửi nhầm dữ liệu
  • Dùng password giống nhau
  • Chia sẻ file công khai

Tham khảo về HR compliance.

6. Không quản lý nhà cung cấp / bên thứ ba

Đặc biệt phổ biến ở doanh nghiệp SMB.

Ví dụ:

  • Vendor remote vào server nhưng không kiểm soát
  • Dùng SaaS không đánh giá bảo mật
  • Không có NDA/DPA
  • Không biết dữ liệu đang nằm ở đâu

Audit an ninh thường hỏi:

  • Có đánh giá nhà cung cấp không?
  • Có hợp đồng bảo mật không?
  • Có kiểm soát truy cập của vendor không?

7. Không phân loại dữ liệu và kiểm soát dữ liệu nhạy cảm

Nhiều công ty không biết:

  • dữ liệu nào là confidential,
  • ai được truy cập,
  • dữ liệu đang nằm ở đâu.

Audit an ninh thường hỏi:

  • Có phân loại dữ liệu không?
  • Dữ liệu nhân sự/lương lưu ở đâu?
  • Có mã hóa dữ liệu nhạy cảm không?
  • Có DLP không?

Tình huống thực tế với Audit An ninh

Khi các tổ chức quốc tế hoặc đối tác lớn tiến hành audit an ninh nhà máy theo các tiêu chuẩn như C-TPAT, ISO 27001 hoặc RBA, họ không chỉ kiểm tra camera xem có hoạt động không. Đơn vị kiểm toán sẽ xoáy sâu vào tính toàn vẹn của dữ liệu và quy trình vận hành thực tế của bộ phận Security, GA và HSE.

Tình huống thực tế: Tại một nhà máy gia công linh kiện xuất khẩu đi Mỹ, đoàn audit yêu cầu trích xuất danh sách toàn bộ khách và xe tải của nhà thầu đã ra vào cổng số 2 trong ngày 15 của 3 tháng trước đó. Vì doanh nghiệp vẫn dùng sổ ghi chép tay và file Excel rời rạc, bảo vệ phải mất hơn 2 tiếng để tìm lại, thông tin lại bị tẩy xóa, viết chữ không rõ ràng. Nghiêm trọng hơn, auditor phát hiện một số nhân sự đã chấm công nghỉ việc trên hệ thống HR nhưng thẻ từ ra vào cổng vẫn chưa bị khóa, tạo ra lỗ hổng an ninh nghiêm trọng. Nhà máy bị đánh giá “Không đạt” vì nguy cơ rò rỉ tài sản và mất an toàn lao động.

Để vượt qua các kỳ audit gắt gao này một cách dễ dàng, doanh nghiệp sản xuất cần số hóa toàn bộ quy trình kiểm soát bằng phần mềm quản lý an ninh nhà máy eFAC. eFAC giúp tự động hóa việc đăng ký, phê duyệt và lưu vết 100% lịch sử di chuyển của người, phương tiện, hàng hóa theo thời gian thực (realtime). Hệ thống tự động đồng bộ dữ liệu với bộ phận nhân sự để khóa quyền ra vào ngay khi nhân viên nghỉ việc, giúp doanh nghiệp luôn đảm bảo tính tuân thủ tối đa.

Doanh nghiệp có thể xem thêm giải pháp quản lý ra vào cổng eGCS tại Hỏi đáp về HRtech và Secutech để xây dựng quy trình kiểm soát cổng nhà máy đạt chuẩn quốc tế.

Tham khảo thêm về các chức năng trong hệ thống kiểm soát ra vào.

Giải pháp nhân sự trong DN sản xuất

  • 1. Download biểu mẫu HR tuân thủ luật
  • 2. Quản lý an ninh tại cổng
  • 3. Chấm công
  • 4. Kiểm soát suất ăn, phúc lợi
  • 5. Phần mềm nhân sự tiền lương