Các doanh nghiệp vừa và nhỏ (SME) có thể vận hành các dịch vụ mới nếu họ đáp ứng các tiêu chuẩn đánh giá bảo mật trước khi xây dựng và triển khai dịch vụ mới. Các nhà cung cấp dịch vụ, bao gồm cả các công ty SME, tiến hành đánh giá bảo mật của riêng họ trước khi mở dịch vụ, nhưng thực tế có những hạn chế trong việc đáp ứng các yêu cầu chi tiết của từng bộ phận trong tổ chức và các thay đổi môi trường khác nhau đối với tài sản của công ty như đám mây. Hầu hết các nghiên cứu hiện tại tập trung cải thiện các mục trong danh sách kiểm tra đánh giá bảo mật và xác minh tính hiệu quả, mà có ít nghiên cứu phân tích và tổng hợp các kết quả trường hợp thực tế. Vì vậy, bài viết này phân tích kết quả rà soát bảo mật cho toàn bộ quá trình từ lập kế hoạch đến vận hành hệ thống và dịch vụ đang vận hành, đồng thời đề xuất kế hoạch rà soát, tiến hành phù hợp theo quan điểm của người thực hiện bảo mật.Small and medium-sized enterprises (SMEs) were able to operate new services if they met the standards after receiving security reviews before building new services and implementing services. Before launching services, service providers—including small and medium-sized enterprises—conduct their own security reviews. However, due to various environmental changes and practical constraints, it is not always possible to meet all of the specific requirements of every department within the company, including the cloud. Existing studies have been conducted to improve the items of the security review checklist and verify its effectiveness, but there are insufficient studies to analyze and synthesize actual case results. Therefore, this paper analyses the results of the security review for the entire process from planning to operation of the system and service in operation and proposes an appropriate review and proceeding plan from the security practitioner’s point of view.