Sau hàng loạt vụ tấn công mạng và rò rỉ thông tin cá nhân quy mô lớn tại các doanh nghiệp đã được cấp chứng nhận hệ thống quản lý bảo mật thông tin và bảo vệ thông tin cá nhân (ISMS-P), trong đó có vụ của Coupang gần đây, Ủy ban Bảo vệ thông tin cá nhân và Bộ Khoa học, công nghệ thông tin và truyền thông Hàn Quốc ngày 6/12 đã tổ chức cuộc họp đối sách để thảo luận các phương án cải tiến hệ thống chứng nhận.

Việc chứng nhận ISMS-P trong thời gian qua đã được thực hiện trên cơ sở tự nguyện, nhưng nay sẽ trở thành nghĩa vụ đối với các hệ thống xử lý thông tin cá nhân chủ chốt trong cả khu vực công và khối tư nhân. Các đối tượng bắt buộc phải thực hiện bao gồm hệ thống công cộng chủ chốt, các nhà mạng viễn thông và các nền tảng quy mô lớn.

Đặc biệt, Chính phủ Hàn Quốc sẽ áp dụng tiêu chuẩn chứng nhận nghiêm ngặt hơn đối với các doanh nghiệp có ảnh hưởng rộng rãi đến người dân như các nhà mạng. Quá trình thẩm định hệ thống chứng nhận, vốn chủ yếu dựa vào tài liệu cũng sẽ được thay đổi, tập trung tăng cường kiểm tra kỹ thuật và thẩm định thực tế. 

Ngoài ra, Chính phủ cũng sẽ thành lập các Ủy ban chứng nhận theo từng lĩnh vực, mở rộng đào tạo công nghệ mới như trí tuệ nhân tạo (AI) cho các nhân viên thẩm định nhằm nâng cao chuyên môn. Khi xảy ra sự cố rò rỉ dữ liệu tại các doanh nghiệp đã được cấp chứng nhận, Chính phủ sẽ ngay lập tức tiến hành kiểm tra đặc biệt để xác định xem các tiêu chuẩn chứng nhận còn được thực hiện đầy đủ hay không. Nếu phát hiện có sai sót nghiêm trọng, Chính phủ sẽ tiến hành hủy chứng nhận thông qua quá trình xem xét và biểu quyết của Ủy ban chứng nhận. Được biết. cho đến nay chưa có doanh nghiệp Hàn Quốc nào bị hủy giấy chứng nhận ISMS-P sau khi đã được cấp.

Ủy ban Bảo vệ thông tin cá nhân cho biết từ tháng 12 này sẽ bắt đầu rà soát thực tế đối với các doanh nghiệp đã có được chứng nhận nhưng vẫn xảy ra rò rỉ thông tin. Đối với các doanh nghiệp đang bị điều tra như Coupang, Chính phủ Hàn Quốc sẽ tiến hành điều tra thông qua sự phối hợp của Bộ Khoa học và Ủy ban Bảo vệ thông tin cá nhân Hàn Quốc, cũng như rà soát mức độ phù hợp thông qua phối hợp liên ngành như với Cơ quan quản lý internet (KISA). 

Mặt khác, Bộ Khoa học cũng đã yêu cầu khoảng 900 doanh nghiệp được cấp chứng nhận hệ thống quản lý bảo mật thông tin tự rà soát lại các điểm yếu trong bảo mật tại các điểm kết nối internet. Đây được xem như một phần của các biện pháp tiếp theo trong đối sách tổng thể về bảo mật thông tin được công bố vào tháng 10 vừa qua.

Ủy ban Bảo vệ thông tin cá nhân và Bộ Khoa học, công nghệ thông tin và truyền thông Hàn Quốc cho biết sẽ hoàn thiện phương án cải cách hệ thống thông qua nhóm chuyên trách về cải cách chế độ chung đã được triển khai từ tháng 11, đồng thời dự kiến sẽ sửa đổi các quy định liên quan trong quý I/2026, phản ánh kết quả kiểm tra đặc biệt.