投稿者: admininsho

 

“DX” là tên viết tắt của “Digital Transformation” (Chuyển đổi kỹ thuật số), đề cập đến “Sự biến đổi của xã hội thông qua kỹ thuật số”. Thúc đẩy DX là nỗ lực nhằm giải quyết các vấn đề như sự lỗi thời của hệ thống IT và thiếu hụt nhân lực IT, hay còn được gọi là “Vách đá năm 2025”.

Cùng với sự phát triển mới nhất của việc số hóa và tiến bộ của công nghệ thông tin, chúng ta nghe thấy thuật ngữ “thúc đẩy chuyển đổi số” hay “ứng dụng chuyển đổi số” ngày càng thường xuyên hơn trong những năm gần đây.

Trong kinh doanh, việc thúc đẩy chuyển đổi số đóng một vai trò rất quan trọng, có rất nhiều doanh nghiệp cũng đang xem xét việc ứng dụng chuyển đổi số. Tuy nhiên, doanh nghiệp cần hiểu rõ, đào sâu hơn về DX trước khi tiếp cận.

Trong bài viết này, 3AC sẽ giải thích về “thúc đẩy chuyển đổi số” là gì, sự khác biệt với số hóa, CX・UX, lợi ích và thách thức của chuyển đổi số.
Nếu doanh nghiệp bạn đang chuẩn bị bước vào quá trình ứng dụng DX, hãy tham khảo bài viết dưới đây.

 

 

1. Thúc đẩy chuyển đổi số là gì?

“DX” là tên viết tắt của “Digital Transformation” (Chuyển đổi kỹ thuật số), dịch theo nghĩa đen có nghĩa là “Sự biến đổi của xã hội thông qua kỹ thuật số”.
Nói cách khác, thúc đẩy chuyển đổi số là việc thúc đẩy sự biến đổi xã hội bằng cách ứng dụng công nghệ số vào cuộc sống.

Ban đầu, DX là thuật ngữ được sử dụng trong nghiên cứu về cách công nghệ ảnh hưởng đến cuộc sống. Nhưng từ những năm 2010, nó đã lan rộng cả trong lĩnh vực kinh doanh.

Các công ty hiện nay cần thay đổi sản phẩm, dịch vụ và mô hình kinh doanh bằng cách ứng dụng công nghệ số dựa trên nhu cầu của người dùng và xã hội, để thích ứng với sự thay đổi nhanh chóng của môi trường kinh doanh, và điều này yêu cầu việc thúc đẩy DX.

Hơn nữa, thúc đẩy chuyển đổi số là một nỗ lực cần thiết để đối phó với các thách thức như sự lỗi thời của hệ thống IT và thiếu hụt nhân lực trong lĩnh vực công nghệ thông tin, hay còn được gọi là “Vách đá năm 2025”.

Để hiểu rõ hơn về thúc đẩy chuyển đổi số, chúng ta hãy cùng làm rõ sự khác biệt giữa chuyển đổi số và các thuật ngữ tương tự như số hóa (Digitalization) và CX・UX.

 

(1) Sự khác biệt với Số hóa

Số hóa, hay còn gọi là “Digitalization” là việc ứng dụng Công nghệ thông tin (IT) để cải thiện hiệu suất và năng suất công việc. Điển hình như việc chuyển đổi từ việc liên lạc bằng điện thoại hoặc fax sang email và trò chuyện trực tuyến. Số hóa tập trung chủ yếu vào việc cải thiện các quy trình và hệ thống công việc hiện có mà không thay đổi nguồn gốc như mô hình kinh doanh hay văn hóa tổ chức.

Mặt khác, Chuyển đổi số không chỉ tập trung vào Số hóa, mà còn có mục tiêu tạo ra giá trị mới và đổi mới thông qua sử dụng các công nghệ tiên tiến như phân tích dữ liệu và trí tuệ nhân tạo (AI), nhằm thực hiện sự biến đổi toàn diện trong kinh doanh. Số hóa có thể được coi là một phương tiện trong quá trình chuyển đổi số.

Ngoài ra, có sự khác biệt giữa hai khái niệm này trong việc tạo ra sự thay đổi. Số hóa tạo ra “thay đổi về số lượng” áp dụng trong thực tế công việc, trong khi chuyển đổi số tạo ra “thay đổi về chất lượng” liên quan đến toàn bộ doanh nghiệp. Chú ý đến điểm khác biệt này sẽ giúp bạn hiểu rõ hơn.

 

(2) Sự khác biệt với CX・UX

CX là viết tắt của Customer Experience (Trải nghiệm khách hàng), đề cập đến những cảm nhận và quyết định tổng thể mà người dùng có đối với một công ty khi họ mua hàng hoặc sử dụng dịch vụ.

Trong khi đó, UX là viết tắt của User Experience (Trải nghiệm người dùng), tập trung vào trải nghiệm trực tiếp khi người dùng sử dụng sản phẩm hoặc dịch vụ, bao gồm cả cách sử dụng và tính tiện lợi.

Tóm lại, CX đại diện cho nhận thức toàn diện về công ty thông qua sản phẩm và dịch vụ, và bên trong đó, UX là phần trải nghiệm trực tiếp.

Mặc dù cả chuyển đổi số và CX・UX đều hướng đến việc cung cấp giá trị tốt hơn cho người dùng, nhưng chuyển đổi số tập trung chủ yếu vào việc ứng dụng công nghệ số, trong khi CX・UX chú trọng vấn đề trải nghiệm người dùng.

Chuyển đổi số không chỉ liên quan đến CX・UX mà còn cần xem xét các vấn đề xã hội và phát triển bền vững.

Tuy nhiên, trong chuyển đổi số, các yếu tố như sự hài lòng của người dùng và lòng trung thành đóng vai trò quan trọng. Đồng thời, thông qua việc thực hiện sự biến đổi tổ chức thông qua chuyển đổi số và cải thiện CX・UX, doanh nghiệp có thể mang lại giá trị tốt hơn cho người dùng.

 

2. Các yếu tố có liên quan mật thiết đến chuyển đổi số

Chuyển đổi số liên quan đến nhiều yếu tố khác nhau như hệ thống, bối cảnh xã hội và nhiều yếu tố khác, vì vậy việc hiểu rõ các yếu tố liên quan là rất quan trọng. Ở đây, 3AC sẽ giải thích về các yếu tố có liên quan mật thiết đến chuyển đổi số.

 

(1) ISMS

ISMS là viết tắt của Information Security Management System (Hệ thống quản lý an toàn thông tin).
ISMS là một trong những hệ thống quan trọng trong việc thúc đẩy chuyển đổi số, nó là hệ thống mà các công ty cần áp dụng để bảo vệ tính bảo mật, tính toàn vẹn và tính sẵn sàng của thông tin.
Cụ thể, điều này bao gồm việc thực hiện phân tích rủi ro, thiết lập mục tiêu và quản lý liên tục an toàn thông tin thông qua các biện pháp và cải tiến đa dạng.

Một trong những đặc trưng của ISMS là sự tồn tại của hệ thống chứng nhận dựa trên đánh giá của các cơ quan bên thứ ba về tiêu chuẩn quốc tế.
Có thể coi ISMS là một hệ thống ngày càng quan trọng theo sự phát triển của xã hội thông tin.

 

(2) Vách đá năm 2025

Vách đá năm 2025 là thuật ngữ được đề xuất trong báo cáo “Báo cáo DX – Vượt qua ‘Vách đá năm 2025’ của hệ thống IT và phát triển toàn diện DX” do Bộ Kinh tế, Thương mại và Công nghiệp phát hành vào tháng 9 năm 2018.

Báo cáo này đã nêu rõ rằng “Nếu các doanh nghiệp Nhật Bản không thúc đẩy DX, trong 5 năm kể từ năm 2025, điều này có thể gây thiệt hại kinh tế lên đến 12 nghìn tỷ yên hàng năm”, tạo ra một nội dung gây sốc và sự cần thiết của việc thúc đẩy DX một cách nhanh chóng.

Điểm nổi bật của vách đá năm 2025 là sự kết hợp của nhiều yếu tố như thiếu hụt nhân lực, sự phức tạp và xuống cấp của hệ thống, cùng với sự chuyển đổi nhanh chóng của công nghệ số, đề cập đến khả năng hệ thống IT hiện tại sẽ không hoạt động được vào năm 2025.

Chúng ta hy vọng có thể tránh được vách đá năm 2025, và để làm được điều đó, việc thúc đẩy DX có thể coi là chìa khóa quan trọng.

 

3. Lợi ích từ việc thúc đẩy DX

Như đã đề cập về “Vách đá năm 2025”, việc thúc đẩy DX là một chính sách mà cả quốc gia đều đang nỗ lực thực hiện, và đây cũng là một vấn đề quan trọng mà các doanh nghiệp nên ưu tiên thực hiện.

Vậy lợi ích từ việc thúc đẩy DX là gì? Dưới đây là 3 lợi ích chính:

 

(1) Nâng cao năng suất sản xuất

Lợi ích lớn nhất của việc thúc đẩy DX là việc cải thiện hiệu quả công việc thông qua việc số hóa phù hợp, từ đó dẫn đến việc nâng cao năng suất.

Việc giảm thời gian và nhân lực trong công việc đơn giản hoặc công việc quản lý cũng có thể được thực hiện thông qua việc số hóa, từ đó bạn có thể tập trung vào công việc quan trọng hơn. Ngoài ra, các lỗi và sai sót xảy ra trong công việc thủ công cũng có thể được cải thiện.

 

(2) Giảm thiểu rủi ro

Các doanh nghiệp cần thực hiện các biện pháp phòng ngừa cho mọi tình huống khẩn cấp, chẳng hạn như lập kế hoạch kinh doanh liên tục (BCP).

Một trong những nỗ lực trong việc thúc đẩy DX là triển khai BCP, giúp doanh nghiệp có thể tránh được các rủi ro. Nếu hiệu quả công việc đã được cải thiện thông qua DX, bạn sẽ có thể tạo ra một BCP tối ưu.

Hơn nữa, thông qua việc cải thiện hệ thống cũ và việc chuyển giao hoạt động, các rủi ro lớn trong doanh nghiệp cũng có thể được giảm thiểu.

 

(3) Mở rộng cơ hội phát triển kinh doanh

DX không chỉ là việc cải thiện và tối ưu hóa hiện trạng. Một trong những lợi ích nó mang lại là mở rộng cơ hội phát triển kinh doanh mới.

Bằng việc áp dụng công nghệ tiên tiến nhất, không chỉ có khả năng đáp ứng với sự thay đổi nhanh chóng của môi trường kinh doanh, mà còn có thể nghiên cứu các mô hình kinh doanh mới.

 

4. Những thách thức mà các doanh nghiệp đối mặt khi thúc đẩy DX

Dưới đây là 3 thách thức phổ biến mà các doanh nghiệp thường gặp phải khi ứng dụng DX.

 

(1) Đảm bảo và phát triển nguồn nhân lực

Để thúc đẩy DX, phải có nhân lực IT giỏi. Tuy nhiên, có nhiều trường hợp các vấn đề liên quan đến DX phải nhờ đến các công ty IT bên ngoài.
Do đó, doanh nghiệp có thể gặp khó khăn trong việc đáp ứng nhanh chóng hoặc mất thời gian để phát triển hệ thống mới.

Dự kiến việc đảm bảo nhân lực sẽ ngày càng trở nên khốc liệt hơn, việc đảm bảo và phát triển nhân lực IT trong doanh nghiệp là rất quan trọng và có thể coi là một thách thức lớn.

 

(2) Mục tiêu rõ ràng và chiến lược quản lý

Dù hiểu được tầm quan trọng của việc thúc đẩy DX, nhưng nếu không thực hiện thì sẽ không có ý nghĩa gì cả. Để ứng dụng DX, doanh nghiệp cần có mục tiêu rõ ràng và chiến lược quản lý cụ thể.

Trước hết, doanh nghiệp nên đặt ra mục tiêu chắc chắn và xác định các mục tiêu để tiến tới mục tiêu đó. Ngoài ra, doanh nghiệp cũng nên lập kế hoạch chi tiết hơn về chiến lược quản lý như cách thức tiến hành và triển khai.

Nếu bắt đầu mà thiếu sự chuẩn bị này, doanh nghiệp bạn sẽ có nguy cơ chỉ kết thúc ở việc đơn giản là kỹ thuật số hóa công việc, do đó nhận thức về điều này là rất quan trọng để đối phó với các thách thức.

 

(3) Xây dựng hệ thống nhất quán

Với sự tiến bộ nhanh chóng của công nghệ số trong những năm gần đây, rất nhiều hệ thống đã trở nên phình to và phức tạp do việc thêm vào do tầm nhìn ngắn hạn.
Xây dựng một hệ thống nhất quán có thể là thách thức lớn nhất trong việc thúc đẩy DX (Digital Transformation).

Doanh nghiệp cũng cần có các biện pháp đáp ứng hệ thống như là loại bỏ các phần xuống cấp và làm cho hệ thống gọn nhẹ hơn hoặc đổi mới toàn bộ hệ thống tùy thuộc vào ngân sách.

 

 

ISO 27001 có các yêu cầu doanh nghiệp phải đáp ứng để có thể đạt được chứng nhận. Các yêu cầu bao gồm việc thiết lập các chính sách về an toàn thông tin cho các tình huống khác nhau như quản lý thông tin trong nội bộ doanh nghiệp, thông tin được mang ra bên ngoài và các quy định về an toàn thông tin trong các hoạt động nội bộ như đánh giá nội bộ.

 

 

1. ISO27001 (ISMS) là gì?

ISO 27001 là “các yêu cầu mà các doanh nghiệp cần đáp ứng để đạt được chứng nhận ISO 27001”.
ISMS là hệ thống quản lý an toàn thông tin.

ISO27001 đã quy định các phương pháp và quy trình để xây dựng hệ thống này dưới hình thức “các yêu cầu”.

Các doanh nghiệp có thể xây dựng hệ thống quản lý thông tin này bằng cách tuân thủ những yêu cầu và triển khai hệ thống quản lý thông tin trong nội bộ.

 

2. Sự khác biệt giữa ISO 27001 và ISMS

ISO 27001 là “yêu cầu tiêu chuẩn”, trong khi ISMS là “hệ thống quản lý”. ISO 27001 là tên chính thức của chứng nhận, nhưng đôi khi nó được gọi là ISMS theo tên viết tắt của nó.

 

3. ISO 27001 yêu cầu những gì?

Các yêu cầu của ISO 27001 gồm 3 giai đoạn chính:
① “Xây dựng” → ② “Vận hành” → ③ “Cải tiến”

Tuân thủ yêu cầu là việc thực hiện chu kỳ ① ~ ③.

Để đạt được chứng chỉ ISO 27001, doanh nghiệp phải tuân thủ các yêu cầu. Ví dụ: “Truyền đạt chính sách”, “Đánh giá nội bộ”, “Thực hiện xem xét của lãnh đạo”, v.v..

“Các yêu cầu” trong ISO 27001 là “các yêu cầu mà các doanh nghiệp cần đáp ứng để đạt được chứng nhận ISMS (ISO 27001)”.

Các yêu cầu cụ thể của ISO 27001 bao gồm 10 điều:

Điều 0: Lời mở đầu
Điều 1: Phạm vi áp dụng
Điều 2: Các tiêu chuẩn tham chiếu
Điều 3: Thuật ngữ và định nghĩa
Điều 4: Bối cảnh tổ chức
Điều 5: Lãnh đạo
Điều 6: Lập kế hoạch
Điều 7: Hỗ trợ
Điều 8: Hoạt động
Điều 9: Đánh giá hiệu suất
Điều 10: Cải tiến

Các mục từ 0 đến 10 là các nội dung yêu cầu được đề ra theo ISMS (ISO 27001), và đòi hỏi áp dụng cho tất cả các tổ chức.

Phụ lục A (Các biện pháp kiểm soát)
Các biện pháp kiểm soát là các hướng dẫn chỉ ra các biện pháp để đối phó với các rủi ro cụ thể. Theo đó, doanh nghiệp phải đánh giá rủi ro và xác định các biện pháp quản lý được áp dụng.

 

4. Giải thích về các yêu cầu chính của ISO 27001

⑴ [Điều 4] Bối cảnh của tổ chức

Yêu cầu xác định phạm vi áp dụng dựa trên việc hiểu về các vấn đề nội bộ và bên ngoài của tổ chức cũng như nhu cầu của các bên liên quan. Hiểu theo nghĩa rộng, các bên liên quan nội bộ bao gồm ý kiến và nhu cầu của nhân viên; các bên liên quan bên ngoài bao gồm đối tác kinh doanh, nhà cung cấp và đơn vị mua hàng.

 

⑵ [Điều 5] Lãnh đạo

Yêu cầu sự cam kết của người đứng đầu tổ chức trong phạm vi áp dụng. Cam kết có nghĩa là “tuân thủ đúng những điều đã hứa”.
Người đứng đầu tổ chức phải phát huy năng lực lãnh đạo chứ không chỉ phụ thuộc vào người phụ trách.

 

⑶ [Điều 6] Kế hoạch

Điều 6 tương ứng với phần “P” trong chu kỳ PDCA (Plan-Do-Check-Action).
Yêu cầu tiến hành đánh giá rủi ro và lập kế hoạch để đạt được mục tiêu bảo mật thông tin.

※ Chu kỳ PDCA = Plan (Kế hoạch) – Do (Thực hiện) – Check (Đánh giá) – Action (Cải thiện).

 

⑷ [Điều 7] Hỗ trợ

Xác định các kiến thức, kinh nghiệm cần thiết và xác nhận người phụ trách xem họ có đủ kiến thức và kinh nghiệm đó hay không.
Nếu người phụ trách chưa có đủ kiến thức cần thiết, doanh nghiệp cần thực hiện các biện pháp như đào tạo.

 

⑸ [Điều 8] Hoạt động

Điều 8 tương ứng với Phần “D” trong chu kỳ PDCA.
Yêu cầu thực hiện đánh giá rủi ro và đối phó với rủi ro đã được xác định, đồng thời lập kế hoạch, thực hiện và quản lý.
Ngoài việc thực hiện, doanh nghiệp cần phải tạo lập các tài liệu để xác nhận liệu kế hoạch có được thực hiện đúng như dự kiến hay không.

 

⑹ [Điều 9] Đánh giá hiệu suất

Điều 9 tương ứng với phần “C” trong chu kỳ PDCA.

Yêu cầu quy định việc đánh giá hiệu suất và hiệu quả. Để thực hiện đánh giá, doanh nghiệp cần xác định quy trình và chính sách quản lý, theo dõi, đo lường, phân tích và đánh giá, cũng như quyết định thời điểm thực hiện và thời điểm đánh giá. “Đánh giá nội bộ” và “Xem xét của lãnh đạo” cũng được quy định tại đây.

 

⑺ [Điều 10] Cải tiến

Điều 10 tương ứng với phần “A” trong chu kỳ PDCA.

Yêu cầu xác định quy trình để thực hiện hành động khắc phục khi xảy ra sự không phù hợp (phòng chống sự tái phát). Cần xác định các bước cụ thể để khắc phục (đưa về trạng thái phù hợp) và kiểm soát kết quả, cũng như ghi chép và theo dõi hiệu quả của các biện pháp này.

 

5. Phụ lục A của ISO 27001

Phụ lục A là bộ quy tắc các biện pháp kiểm soát, tóm tắt các điểm chính của ISO 27002.
Các biện pháp kiểm soát mô tả cách xử lý tài sản thông tin để ngăn chặn rò rỉ thông tin, chẳng hạn như các quy định về làm việc từ xa.

 

6. 4 việc cần làm để đạt được, duy trì và cập nhật ISO 27001

⑴ Xây dựng ISMS theo yêu cầu của ISO 27001

Như đã giải thích trong phần “3. ISO 27001 yêu cầu những gì?”, ISMS (ISO 27001) đặt ra 10 yêu cầu cụ thể mà doanh nghiệp cần thiết lập quy trình và xây dựng hệ thống quản lý.

1. Phạm vi áp dụng
2. Các tiêu chuẩn tham chiếu
3. Thuật ngữ và định nghĩa
4. Bối cảnh tổ chức
5. Lãnh đạo (thiết lập chính sách, thiết lập cơ cấu tổ chức, v.v.)
6. Kế hoạch (quản lý rủi ro/cơ hội, mục tiêu)
7. Hỗ trợ (tài nguyên, năng lực, giao tiếp, quản lý tài liệu/ghi chép)
8. Vận hành (đánh giá an ninh thông tin và xử lý rủi ro)
9. Đánh giá hiệu suất (đánh giá nội bộ, xem xét của lãnh đạo)
10. Cải tiến (xử lý biện pháp sửa chữa, cải tiến liên tục)

Vui lòng xem phần “4. Giải thích về các yêu cầu chính của ISO 27001” để biết thêm thông tin chi tiết về từng yêu cầu cụ thể.

 

⑵ Hoàn thiện và điều hành ISMS

Khi triển khai ISMS (ISO 27001), điều quan trọng đầu tiên là phải phân chia vai trò, chẳng hạn lựa chọn người chịu trách nhiệm quản lý.

Doanh nghiệp cần thiết lập một cơ cấu với những người đảm nhận vai trò chỉ đạo và hỗ trợ để tiếp tục quá trình xây dựng. Sau khi hoàn thành việc xây dựng, mới chuyển sang giai đoạn điều hành.

Trong quá trình điều hành, doanh nghiệp phải tuân thủ theo các quy định đã xây dựng, nhưng hãy kiểm tra lại bằng việc tiến hành đánh giá nội bộ xem có bất kỳ sự cố hay vấn đề nào không.

Hồ sơ thực hiện của doanh nghiệp sẽ được kiểm tra, vì vậy hãy đảm bảo lưu trữ các hồ sơ một cách chính xác.

Khi chuẩn bị cho đánh giá chứng nhận, có 2 yếu tố quan trọng doanh nghiệp cần quyết định dưới đây:

 

① Tổ chức chứng nhận

Tại Việt nam, có hơn 90 tổ chức chứng nhận ISO. Bạn nên liên hệ với các tổ chức xin ít nhất 2 báo giá trở lên và thu thập thông tin để chọn lựa một tổ chức chứng nhận phù hợp với doanh nghiệp mình.

 

② Phạm vi chứng nhận

Bạn hoàn toàn có thể xin chứng nhận cho một bộ phận hoặc một chi nhánh nhất định.

Không ít doanh nghiệp xác định phạm vi chứng nhận chỉ cho “bộ phận hành chính nhân sự”, “chi nhánh XX” hoặc “trụ sở chính” chứ không áp dụng cho toàn bộ công ty. doanh nghiệp cần quyết định phạm vi chứng nhận và mô tả nội dung công việc cần đăng ký chứng nhận để yêu cầu đánh giá.

 

⑶ Thanh toán chi phí đánh giá

Doanh nghiệp bắt buộc phải thanh toán chi phí cho Tổ chức chứng nhận để được thực hiện đánh giá chứng nhận và được cấp giấy chứng nhận ISO.

Do đó, bạn nên làm thủ tục thanh toán khi nhận được đề nghị yêu cầu thanh toán từ Tổ chức chứng nhận nhanh nhất có thể.

 

⑷ Thực hiện hành động khắc phục trước thời hạn trong trường hợp phát hiện sự không phù hợp

Trong quá trình đánh giá, sẽ có thể có các phát hiện về sự không phù hợp, nhưng nếu bạn không thực hiện hành động khắc phục, hệ thống quản lý của doanh nghiệp bạn sẽ không được chấp nhận và không được cấp giấy chứng nhận ISO.

Ngoài ra, doanh nghiệp phải thực hiện hành động khắc phục trước thời hạn và theo biểu mẫu được chỉ định theo quy định của Tổ chức chứng nhận.

Hãy đảm bảo thực hiện các hành động khắc phục dưới sự hướng dẫn của chuyên gia đánh giá và hoàn thành trước thời hạn đã định.

 

7. Sự không phù hợp và hành động khắc phục

Không ít doanh nghiệp thắc mắc về khả năng “bị trượt đánh giá”.

Nếu có phát hiện về “sự không phù hợp nghiêm trọng” trong quá trình đánh giá, thì doanh nghiệp bạn có thể bị “trượt đánh giá”.

Sự không phù hợp được chia làm 2 loại: “sự không phù hợp nghiêm trọng” và “sự không phù hợp nhẹ”.

Đối với những trường hợp thiếu sót nhỏ trong hoạt động hoặc không phải là vấn đề lớn trong hệ thống quản lý, doanh nghiệp bạn chỉ cần thực hiện hành động khắc phục cho “sự không phù hợp nhẹ”. Nhưng nếu có “sự không phù hợp nghiêm trọng”, quá trình đánh giá có thể bị gián đoạn hoặc không thể tiếp tục.

Các trường hợp được xem là “sự không phù hợp nghiêm trọng” bao gồm việc xây dựng các quy định không tuân thủ yêu cầu của ISMS (ISO 27001) hoặc không thực hiện hoạt động sau khi xây dựng (đặc biệt là hoạt động đánh giá nội bộ và xem xét lãnh đạo) và chuyên gia đánh giá phán đoán là không có khả năng cải tiến.

Như đã trình bày ở mục “6. 4 việc cần làm để đạt được, duy trì và cập nhật ISO 27001” ở trên, doanh nghiệp phải thực hiện 2 việc dưới đây để chuẩn bị cho đánh giá chứng nhận:
① Xây dựng ISMS theo yêu cầu của ISO 27001
② Hoàn thiện và điều hành ISMS

 

 

Ba tính chất của bảo mật thông tin là “tính bảo mật”, “tính toàn vẹn” và “tính sẵn sàng”. Hiểu rõ 3 yếu tố bảo mật này là bước căn bản đầu tiên trong quá trình xây dựng một hệ thống thông tin an toàn. Ba yếu tố này còn được gọi là tam giác bảo mật CIA.

 

 

1. 3 yếu tố bảo mật “tính bảo mật”, “tính toàn vẹn” và “tính sẵn sàng” là gì?

ISMS (ISO 27001) yêu cầu xây dựng một hệ thống có thể duy trì 3 yếu tố “tính bảo mật”, “tính toàn vẹn” và “tính sẵn sàng”. Đây là 3 yếu tố ngăn chặn việc làm sai lệch, thất thoát, mất mát, hư hỏng các thông tin quan trọng và xử lý thông tin một cách an toàn.
Ba yếu tố bảo mật, toàn vẹn và sẵn sàng thường được gọi bằng từ viết tắt tiếng Anh là “CIA”.

“Tính bảo mật”: confidentiality
“Tính toàn vẹn”: integrity
“Tính sẵn sàng”: availability

 

2. Tính bảo mật: Confidentiality là gì?

Tính bảo mật tức là, đảm bảo thông tin chỉ được phép truy cập bởi những đối tượng được cấp phép, hay nói cách khác, là việc đảm bảo thông tin được bảo vệ sao cho không bị tiết lộ cho những đối tượng không được cấp phép.
Tính bí mật của thông tin có thể đạt được bằng cách sử dụng các biện pháp như xác thực, giới hạn truy cập và mã hóa.

Nếu tính bảo mật của thông tin được đảm bảo, thì có thể ngăn chặn sự xâm nhập từ bên ngoài và giảm thiểu khả năng rò rỉ, mất mát, thất thoát hoặc hư hỏng thông tin.

(1) Tài sản thông tin cần được bảo mật

① Thông tin cá nhân

Thông tin cá nhân của khách hàng và nhân viên, địa chỉ, số điện thoại, địa chỉ email và thông tin nhận dạng cá nhân khác phải được bảo vệ dưới góc độ quyền riêng tư.

② Bí mật kinh doanh

Thông tin là bí mật thương mại liên quan đến năng lực cạnh tranh cần được bảo vệ chẳng hạn như nghiên cứu và phát triển, thông tin kỹ thuật, chiến lược kinh doanh, thông tin về sản phẩm và dịch vụ mới, v.v..

③ Thông tin hợp đồng

Các thông tin có thể được yêu cầu phải bảo mật là thông tin liên quan đến hợp đồng, chẳng hạn như hợp đồng với đối tác kinh doanh và công ty đối tác, và thông tin dự án trong quá trình đàm phán kinh doanh.

④ Thông tin tài chính

Thông tin liên quan đến tình hình tài chính của một tổ chức, bao gồm dữ liệu kế toán, ngân sách và dự toán, và kế hoạch tài trợ, cần được giữ bí mật.

⑤ Thông tin pháp lý và luật định

Thông tin liên quan đến các yêu cầu pháp lý và luật định, chẳng hạn như tài liệu pháp lý, thông tin kiện tụng và báo cáo kiểm toán, cũng cần được bảo vệ.

⑥ Thông tin bảo mật

Tính bảo mật rất quan trọng đối với thông tin liên quan đến bảo mật thông tin, chẳng hạn như sơ đồ cấu hình mạng, thông tin lỗ hổng hệ thống và mật khẩu.

 

(2) Các biện pháp cụ thể

① Kiểm soát truy cập

Giới hạn quyền truy cập thông tin chỉ cho những người có quyền hạn tối thiểu cần thiết, nhằm ngăn chặn truy cập trái phép và rò rỉ thông tin.
Áp dụng danh sách kiểm soát truy cập (ACL) và chỉ cho phép truy cập đối với người dùng cụ thể hoặc nhóm cụ thể.

② Mã hóa

Áp dụng công nghệ mã hóa cho việc truyền tải và lưu trữ dữ liệu, nhằm đảm bảo rằng thông tin không thể đọc được ngay cả khi xảy ra truy cập trái phép hoặc rò rỉ.
Nên sử dụng các phương pháp mã hóa phù hợp như mã hóa toàn bộ thiết bị hoặc mã hóa tệp tin.

③ Phân loại dữ liệu

Phân loại tài sản thông tin theo mức độ bảo mật và áp dụng các biện pháp bảo vệ phù hợp cho mỗi mức độ.
Lập chính sách phân loại dữ liệu và thông báo rõ ràng cho nhân viên.

④ Giáo dục và đào tạo về an toàn thông tin

Tổ chức các chương trình giáo dục và đào tạo về an toàn thông tin nhằm nâng cao nhận thức của nhân viên.
Thực hiện đào tạo nâng cao kiến thức định kỳ và liên tục, nhằm cải thiện liên tục các biện pháp bảo mật.

⑤ An ninh vật lý

Lưu trữ tài sản thông tin trong các cơ sở và phòng được áp dụng biện pháp bảo mật, nhằm ngăn chặn truy cập trái phép và mất mát do trộm cắp.
Nên áp dụng các biện pháp bảo mật vật lý như camera an ninh và thẻ truy cập.

⑥ Thiết lập chính sách và quy trình an toàn thông tin

Xây dựng chính sách an toàn thông tin cho toàn bộ tổ chức và đề ra các quy trình và quy tắc cụ thể.
Thường xuyên xem lại và cải thiện chính sách để thích nghi với tình hình an ninh.

⑦ Kiểm tra và đánh giá bảo mật

Thực hiện kiểm tra và đánh giá bảo mật định kỳ để xác minh hiệu quả của các biện pháp bảo mật thông tin.

 

3. Tính toàn vẹn: Integrity là gì?

Tính toàn vẹn là trạng thái mà thông tin được lưu trữ hoặc truyền tải một cách chính xác và nhất quán. Điều này giúp ngăn chặn việc dữ liệu bị thay đổi sai hoặc bị sửa đổi một cách trái phép. Khi tính toàn vẹn không được đảm bảo, độ chính xác và đáng tin cậy của thông tin sẽ bị mất đi.

Nói một cách đơn giản, việc duy trì sự chính xác, sự cập nhật và sự đầy đủ trong thông tin là mục tiêu của tính toàn vẹn.

Ví dụ, nếu áp dụng vào tính toán lương, khi tính toàn vẹn không được đảm bảo, có thể xảy ra các vấn đề sau:

– Số tiền lương sai lệch: Nếu thời gian làm việc và thời gian làm thêm của nhân viên không được ghi chính xác, có thể dẫn đến sai sót trong tính toán lương. Điều này có thể ảnh hưởng đến động lực làm việc và gánh nặng trong cuộc sống của nhân viên, gây ảnh hưởng tiêu cực đến năng suất của tổ chức.

– Vi phạm pháp luật: Một số trường hợp sẽ bị quy cho là không tuân thủ các quy định pháp luật về mức lương tối thiểu hoặc giới hạn thời gian làm việc đã được quy định. Điều này không chỉ khiến công ty bị xử phạt mà danh tiếng của công ty cũng sẽ bị tổn hại.

(1) Tài sản thông tin cần duy trì tính toàn vẹn

① Thông tin tài chính

Thông tin liên quan đến giao dịch tài chính như thông tin tài khoản ngân hàng, thông tin thẻ tín dụng, lịch sử thanh toán, cần phải đảm bảo tính toàn vẹn vì sự thay đổi hoặc sửa đổi sai sót có thể dẫn đến thiệt hại lớn.

② Thông tin khách hàng

Thông tin về cá nhân khách hàng, lịch sử giao dịch, nội dung hợp đồng và các thông tin liên quan đến khách hàng đòi hỏi tính chính xác để duy trì mối quan hệ tin cậy.

③ Thông tin nhân viên

Thông tin về cá nhân nhân viên, quản lý chấm công, thông tin về lương và các thông tin liên quan đến nhân viên yêu cầu tính toàn vẹn để đảm bảo độ chính xác và đáng tin cậy của dữ liệu liên quan đến nhân viên.

④ Thông tin sản phẩm và dịch vụ

Thông tin về thông số kỹ thuật sản phẩm, giá cả, thông tin kho hàng và các chi tiết khác liên quan trực tiếp đến hoạt động kinh doanh cần đảm bảo tính chính xác.

⑤ Thông tin liên quan đến pháp luật và quy định

Thông tin liên quan đến pháp luật, quy định và tuân thủ pháp lý yêu cầu tính toàn vẹn để thực hiện hoạt động đúng quy định.

⑥ Tài sản trí tuệ

Thông tin về tài sản trí tuệ như bằng sáng chế, quyền tác giả, quyền thương hiệu là quan trọng cho sự cạnh tranh của công ty, và do đó, yêu cầu tính toàn vẹn.

⑦ Thông tin kế toán và tài chính

Sổ sách kế toán, báo cáo tài chính, ngân sách và các thông tin tài chính khác ảnh hưởng đến quản lý doanh nghiệp, yêu cầu tính chính xác và đáng tin cậy.

 

(2) Các biện pháp cụ thể

① Kiểm soát truy cập

Quản lý quyền truy cập thông tin và ngăn chặn sự thay đổi hoặc sửa đổi trái phép.

② Sao lưu dữ liệu

Thực hiện sao lưu định kỳ dữ liệu để khôi phục thông tin chính xác trong trường hợp dữ liệu bị hỏng.

③ Tổng kiểm và hàm băm

Xác minh tính toàn vẹn của dữ liệu bằng cách tổng kiểm tra và sử dụng hàm băm.

④ Xác minh nhập và chỉnh sửa dữ liệu

Đảm bảo rằng dữ liệu được nhập và chỉnh sửa chính xác bằng cách thiết lập các kiểm tra hợp lệ trên biểu mẫu nhập liệu, theo dõi và kiểm tra lịch sử thay đổi của dữ liệu để bảo đảm tính toàn vẹn.

 

4. Tính sẵn sàng: Availability là gì?

Tính sẵn sàng đề cập đến khả năng của một hệ thống thông tin được truy cập vào đúng thời điểm, bởi đúng người và được cung cấp đúng các tài nguyên cần thiết.

Tính sẵn sàng được định nghĩa là:
① Thời gian ngừng hoạt động của hệ thống ở mức tối thiểu.
② Hệ thống hoạt động với hiệu suất phù hợp.
③ Dữ liệu có thể được truy cập vào những thời điểm thích hợp.
④ Mạng và các dịch vụ hoạt động bình thường.
⑤ Có kế hoạch phục hồi dự phòng để đối phó với thiên tai và sự cố.

Ví dụ: đối với bộ nhớ dùng chung và bộ nhớ đám mây
Ổ đĩa dùng chung và bộ nhớ đám mây nơi lưu trữ các tệp và tài liệu được chia sẻ trong công ty phải luôn có thể truy cập được mà không gặp sự cố hoặc suy giảm hiệu suất.

(1) Tài sản thông tin cần duy trì tính sẵn sàng

① Cơ sở dữ liệu khách hàng

Cơ sở dữ liệu chứa thông tin quan trọng về khách hàng, chẳng hạn như thông tin khách hàng và lịch sử giao dịch, đóng vai trò quan trọng trong các hoạt động kinh doanh như bán hàng và hỗ trợ khách hàng.

② Thông tin tài chính

Thông tin quan trọng liên quan đến quản lý doanh nghiệp, chẳng hạn như tình hình tài chính và các chỉ số quản lý của công ty, đóng một vai trò quan trọng trong việc ra quyết định và xây dựng chiến lược.

③ Tài liệu nội bộ

Các tài liệu cần thiết cho việc thực hiện kinh doanh, chẳng hạn như hướng dẫn thủ tục và quy trình kinh doanh nội bộ, hợp đồng và báo cáo, là cần thiết để đảm bảo việc thực hiện kinh doanh suôn sẻ và tuân thủ.

④ Hệ thống và ứng dụng

Các hệ thống và ứng dụng kinh doanh nội bộ là cần thiết để thực hiện kinh doanh hiệu quả và chia sẻ thông tin. Điều quan trọng là các hệ thống và ứng dụng này phải hoạt động tốt và người cần truy cập có thể truy cập được.

⑤ Email

Thư điện tử là tài sản thông tin không thể thiếu để liên lạc trong nội bộ và với bên ngoài. Tốc độ đường truyền khi gửi và nhận email phải được đảm bảo và người cần truy cập có thể truy cập được.

 

(2) Các biện pháp cụ thể

① Dự phòng

Nên thực hiện dự phòng cho máy chủ và thiết bị mạng. Cho các thiết bị và hệ thống dự phòng hoạt động từ thời điểm mọi thứ diễn ra bình thường, để đảm bảo hệ thống vẫn hoạt động liên tục khi xảy ra sự cố.

② Sao lưu

Thực hiện sao lưu dữ liệu và hệ thống đều đặn, nhằm đảm bảo khả năng khôi phục nhanh chóng khi xảy ra sự cố hoặc mất dữ liệu.

③ Bảo trì

Thực hiện bảo trì định kỳ cho hệ thống và mạng, nhằm ngăn chặn sự suy giảm hiệu suất và xảy ra sự cố từ trước.

④ Giám sát

Theo dõi tình trạng hệ thống và mạng theo thời gian thực, và đối phó nhanh chóng khi phát hiện sự bất thường.

 

5. Cách phân loại mức độ của CIA (Confidentiality, Integrity, Availability)

ISMS (ISO 27001) yêu cầu phải thực hiện đánh giá rủi ro tài sản.

Khi đánh giá rủi ro, các tài sản thông tin sẽ được xác định giá trị dựa trên mức độ CIA (Confidentiality, Integrity, Availability).

Có nhiều công ty xác định mức độ của tài sản thông tin bằng cách áp dụng các tiêu chí sau.

	Tính bảo mật	Tính toàn vẹn	Tính sẵn sàng
Level 3	Tính bảo mật cao	Tính toàn vẹn cao	Tính sẵn sàng cao
level 2	Tính bảo mật ở mức trung bình	Tính toàn vẹn ở mức trung bình	Tính sẵn sàng ở mức trung bình
Level 1	Tính bảo mật thấp	Tính toàn vẹn thấp	Tính sẵn sàng thấp

 

6. Cách áp dụng CIA vào hoạt động kinh doanh

Để có thể áp dụng tam giác bảo mật CIA (Confidentiality, Integrity, Availability) vào hoạt động kinh doanh, doanh nghiệp cần nâng cao chất lượng và hiệu suất công việc bằng cách duy trì mức độ bảo mật CIA một cách thích hợp.

Tính bảo mật (Confidentiality)

Giới hạn quyền truy cập đối với các tài sản thông tin có tính bảo mật cao như thông tin khách hàng và bí mật công ty để giảm thiểu rủi ro truy cập trái phép và rò rỉ thông tin.
Khi trao đổi thông tin nội bộ và bên ngoài công ty, việc sử dụng công nghệ mã hóa có thể giảm thiểu rủi ro rò rỉ thông tin cho bên thứ ba.

Tính toàn vẹn (Integrity)

Để ngăn chặn sự thay đổi hoặc hư hỏng dữ liệu, cần thiết lập các quyền liên quan đến việc nhập, chỉnh sửa và xóa dữ liệu một cách chính xác và ngăn chặn sự giả mạo dữ liệu do hành động trái phép.
Thực hiện sao lưu dữ liệu định kỳ và đảm bảo rằng dữ liệu có thể được khôi phục chính xác và hoàn chỉnh trong trường hợp xảy ra sự cố.

Tính sẵn sàng (Availability)

Thực hiện vận hành và quản lý máy chủ và mạng một cách hợp lý, duy trì trạng thái truy cập hệ thống và dịch vụ thông tin cần thiết cho công việc vào thời điểm thích hợp.
Lên kế hoạch đối phó với thiên tai và lập kế hoạch dự phòng để đảm bảo khả năng tiếp tục hoạt động của doanh nghiệp trong trường hợp xảy ra sự cố hệ thống hoặc thiên tai.

 

7. Sự cân bằng quan trọng giữa tính bảo mật, tính toàn vẹn và tính sẵn sàng

Việc cân bằng 3 yếu tố tính bảo mật (C), tính toàn vẹn (I) và tính sẵn sàng (A) đã đề cập ở trên mới là quan trọng.

Ví dụ, nếu bạn ưu tiên quá nhiều vào tính bảo mật, các biện pháp hạn chế truy cập thông tin có thể dẫn đến sự suy giảm của tính sẵn sàng. Tương tự, nếu bạn quá ưu tiên tính toàn vẹn, việc quản lý thông tin quá đà sẽ làm giảm hiệu suất công việc.

Bằng cách vận dụng CIA một cách cân bằng và phù hợp, bạn có thể bảo vệ tài sản thông tin một cách hiệu quả, cải thiện tính ổn định và tính đáng tin cậy của công việc.

Do đó, doanh nghiệp nên cân bằng và đánh giá rủi ro 3 yếu tố tính bảo mật (C), tính toàn vẹn (I) và tính sẵn sàng (A); và xem xét các yếu tố ảnh hưởng xã hội và ảnh hưởng kinh tế.

 

8. Bốn tính chất mới trong khái niệm an ninh thông tin

Trong thời gian gần đây, ngoài tính bảo mật (C), tính toàn vẹn (I) và tính sẵn sàng (A), còn có thêm 4 tính chất mới được chú trọng, đó là:

① Tính xác thực (Authenticity)

Đảm bảo rằng các tổ chức hoặc cá nhân truy cập thông tin có quyền truy cập. Không cấp quyền truy cập cho người không mong đợi.

② Tính đáng tin cậy (Reliability)

Đảm bảo dữ liệu và hệ thống hoạt động mà không có lỗi do con người hoặc lỗi trong chương trình (lỗi phần mềm) và thực hiện đúng ý đồ mong muốn.

③ Tính trách nhiệm (Accountability)

Theo dõi hoạt động của các công ty hoặc cá nhân. Điều này giúp xác định nguyên nhân và hành vi của người dùng trong trường hợp có mối đe dọa truy cập trái phép vào thông tin.

④ Tính không thể chối bỏ (Non-repudiation)

Chứng minh rằng thông tin không thể bị phủ nhận sau này. Điều này đảm bảo rằng thông tin không bị sửa đổi hoặc chối bỏ sau khi được sử dụng. Việc ghi log hệ thống là một biện pháp phòng ngừa chống lại sự chối bỏ.

 

 

Khoảng thời gian cần thiết để doanh nghiệp đạt được chứng nhận ISO 27001 (ISMS) là nửa năm và được thực hiện trong 7 bước. Có được chứng chỉ ISO 27001 (ISMS) đem lại cho doanh nghiệp những lợi ích to lớn, chẳng hạn, đáp ứng các yêu cầu của khách hàng, tăng tỷ lệ trúng thầu và tăng cường bảo mật thông tin của doanh nghiệp.

 

 

1. ISMS (ISO 27001) là gì?

ISMS (ISO 27001) là viết tắt của “Hệ thống quản lý an toàn thông tin”.
Nói một cách đơn giản, đây là hệ thống giúp doanh nghiệp thực hiện các biện pháp an toàn thông tin và giảm thiểu rủi ro (sự cố) do rò rỉ thông tin.

Các thông tin được quản lý bởi doanh nghiệp có mức độ quan trọng khác nhau. Doanh nghiệp hoạt động dựa trên các quy tắc và tiêu chuẩn.

Doanh nghiệp cần thiết lập tiêu chuẩn và quy định cho cả hệ thống của “phần mềm” và “phần cứng” cũng như hành động mà nhân viên không được phép thực hiện.

Theo cách này, doanh nghiệp cần phải thực hiện các biện pháp đối phó rủi ro từ cả góc độ “phần cứng” và “phần mềm”, đồng thời hoàn thiện một hệ thống hỗ trợ việc xử lý thông tin.

>>>Xem thêm: ISMS (ISO 27001) là gì? Những điều cần biết về ISMS (ISO 27001)

 

2. Tại sao cần có ISMS?

Đạt được chứng nhận ISMS (ISO 27001) đem lại những lợi ích sau:

・Tăng tỷ lệ trúng thầu
・Nâng cao mức độ bảo mật với các tổ chức bên ngoài (bao gồm khách hàng)
・Nâng cao nhận thức về bảo mật trong tổ chức

 

(1) Tăng tỷ lệ trúng thầu

Trong nhiều trường hợp, đạt được chứng nhận ISMS là một điều kiện để đấu thầu các dự án của chính phủ và chính quyền địa phương.

Đạt được chứng nhận ISMS sẽ giúp doanh nghiệp mở rộng kinh doanh và cải thiện doanh số.

 

(2) Nâng cao mức độ bảo mật với các tổ chức bên ngoài

Các doanh nghiệp có chứng nhận ISMS có thể quảng bá hình ảnh với các tổ chức bên ngoài về độ tin cậy bảo mật vì đã đạt tiêu chuẩn nhất định về bảo mật thông tin.

Hơn nữa, ISMS của doanh nghiệp được đánh giá khách quan từ bên thứ ba nên doanh nghiệp có thể lấy được lòng tin của khách hàng và nhà cung cấp bên ngoài.

Tuy nhiên, đạt chứng nhận ISMS không có nghĩa là mức độ bảo mật cực kỳ cao.

 

(3) Nâng cao nhận thức về bảo mật trong tổ chức

Để đạt được chứng nhận và duy trì ISMS, doanh nghiệp cần phải thực hiện đào tạo nhân viên, thiết lập chính sách, phân chia vai trò, v.v.

Do đó, nhận thức về bảo mật trong các doanh nghiệp đã đạt được chứng nhận ISMS sẽ cao hơn so với doanh nghiệp thông thường.

 

3. Quy trình và thời gian để đạt được chứng nhận ISMS (ISO 27001)

Thời gian nhanh nhất để đạt được chứng nhận là khoảng 6 tháng và lâu nhất là khoảng 1 năm kể từ khi khởi động đến khi hoàn thành chứng nhận.

(1) Lập kế hoạch đạt chứng nhận

① Xác nhận mục đích của việc đạt chứng nhận

Doanh nghiệp muốn đạt được chứng nhận ISMS, cần phải có sự hợp tác của nhân viên.
Việc chia sẻ mục đích lấy chứng chỉ ISMS trong nội bộ công ty sẽ giúp quá trình chuẩn bị diễn ra suôn sẻ hơn.
Cần phải nhìn nhận đúng mục đích và lợi ích của ISMS dành cho tổ chức.

Ngoài ra, việc chuẩn bị sẽ dễ dàng hơn nếu doanh nghiệp xem xét các ý kiến ​​​​được cho là sẽ ngăn chặn sự phản đối xuất hiện tại thời điểm chứng nhận.

 

② Lựa chọn người chịu trách nhiệm cho ISMS

Doanh nghiệp sẽ phải lựa chọn một người chịu trách nhiệm chính cho ISMS.
Vì sẽ phát sinh công việc khác với công việc chính, nên cần phải lựa chọn 1 người chịu trách nhiệm.

Ngoài ra, trong trường hợp doanh nghiệp có đông người, tổ chức cũng nên quyết định người phụ trách của từng bộ phận để việc liên lạc được thuận lợi.

 

③ Quyết định thời gian đạt được chứng nhận

Quyết định đích đến khi lập kế hoạch giúp doanh nghiệp có thể đạt chứng nhận đúng thời gian mục tiêu đã đề ra.
Bạn nên suy nghĩ về mục đích lấy chứng chỉ và quyết định khi nào doanh nghiệp bạn cần có.

Việc đặt ra các mục tiêu cụ thể để đạt được ISMS cũng rất quan trọng.
Mục tiêu càng cụ thể, kế hoạch của doanh nghiệp sẽ càng thực tế.

 

④ Quyết định về việc tự triển khai hay thuê công ty tư vấn

Doanh nghiệp có thể xem xét các yếu tố dưới đây trước khi quyết định xem nên tự triển khai hay thuê đơn vị tư vấn bên ngoài:

・Vấn đề nhân sự
・Vấn đề kinh phí
・Vấn đề kiến ​​thức và kinh nghiệm

Điều đầu tiên doanh nghiệp bạn nên suy nghĩ xem điều gì là tốt nhất để đưa ra các quy trình phù hợp với tình hình thực tế của tổ chức.

Doanh nghiệp bạn cũng có thể xem xét thuê ngoài nếu các nguồn lực trong tổ chức không đủ hoặc thiếu chuyên môn.

>>>Xem thêm: Tiêu chí lựa chọn Tổ chức chứng nhận ISO

 

⑤ Quyết định ngân sách

Để đạt được chứng nhận ISO 27001 (ISMS), doanh nghiệp/tổ chức cần có ngân sách nhất định.
Ngân sách để chi trả các chi phí (chi phí đánh giá chứng nhận) cho Tổ chức chứng nhận và chi phí đầu tư các thiết bị cần thiết trong công ty hoặc chi phí tư vấn trong trường hợp doanh nghiệp thuê ngoài.

Ngoài ra, tình hình có thể thay đổi tùy thuộc vào nguồn lực và sự cân bằng nội bộ, song doanh nghiệp cũng nên tính đến chi phí nhân sự cần trả cho người phụ trách ISO, để có thể triển khai mà ít ảnh hưởng đến kinh doanh.

 

⑥ Lựa chọn Tổ chức chứng nhận

Tổ chức chứng nhận có thể đánh giá cho rất nhiều tổ chức từ công ty cổ phần cho đến quỹ thành viên, v.v.. Tùy mỗi Tổ chức chứng nhận mà chi phí và chức năng có thể sẽ có sự khác biệt.

Đương nhiên, vì bản thân ISO 27001 là một tiêu chuẩn quốc tế nên thực tế là cho dù bạn lấy chứng chỉ ISO 27001 (ISMS) từ bất cứ Tổ chức chứng nhận nào thì bản chất của nó vẫn không thay đổi.

Do đó, bạn nên chọn một cơ quan đánh giá dựa trên chi phí và dịch vụ, và các nội dung cần xác nhận.

Ngoài ra, bạn cũng cần xác nhận xem đối tác kinh doanh hoặc công ty mẹ có chỉ định Tổ chức chứng nhận không.

 

⑦ Lập kế hoạch

Sau khi đã quyết định thời gian cần có chứng chỉ, hãy lên kế hoạch chi tiết.

Doanh nghiệp cần phải sắp xếp trước lịch đánh giá với Tổ chức chứng nhận.
Do đó, lên kế hoạch cụ thể bằng cách tính ngược thời gian kể từ ngày làm thủ tục đăng ký đánh giá chứng nhận và ngày đánh giá dự kiến là một cách triển khai thông minh.

Nếu bạn lựa chọn tư vấn bởi một đơn vị bên ngoài, hãy tham khảo ý kiến ​​của công ty tư vấn và cùng nhau phối hợp theo dõi các kế hoạch và mục tiêu.

Tóm lại, “lập kế hoạch chứng nhận ISO 27001 (ISMS)” phù hợp với tình hình của doanh nghiệp/tổ chức là bước vô cùng quan trọng vì kế hoạch chính là tiền đề để thúc đẩy việc triển khai.

 

(2) Xây dựng hệ thống quản lý an toàn thông tin

Doanh nghiệp/tổ chức phải xây dựng tài liệu để đạt được chứng nhận ISMS.
Hệ thống tài liệu có thể kể đến là, sổ tay hướng dẫn ISMS, tuyên bố về khả năng áp dụng và các quy định kiểm soát an toàn thông tin.

 

(3) Áp dụng ISMS vào thực tế

Sau khi đã thiết lập các quy trình và xây dựng hệ thống tài liệu, sẽ là bước áp dụng hệ thống quản lý vào thực tế.

Đối với các hoạt động thực tế, cần phải để lại hồ sơ kết quả hoạt động làm bằng chứng.
Ví dụ: sổ quản lý tài sản thông tin, kết quả đánh giá rủi ro,v.v.. Các hồ sơ này sẽ được kiểm tra trong buổi đánh giá.

 

(4) Đánh giá nội bộ và xem xét của lãnh đạo

Sau khi việc áp dụng hệ thống vào thực tế đã dần đi vào ổn định và về cơ bản đã hoàn thành, bước tiếp theo doanh nghiệp phải kiểm tra hoạt động và quyết định hành động tiếp theo.

Trong ISMS, đánh giá nội bộ và xem xét của lãnh đạo là yêu cầu bắt buộc.

Để có được chứng chỉ ISMS (ISO 27001), doanh nghiệp/tổ chức cần phải tiến hành đánh giá nội bộ và thực hiện xem xét của lãnh đạo, và phải lưu giữ hồ sơ về kế hoạch triển khai và kết quả thực hiện.

 

(5) Đánh giá giai đoạn 1

Sau khi đã thực hiện xem xét của lãnh đạo, doanh nghiệp/ tổ chức chuẩn bị cho đánh giá

Với đánh giá chứng nhận lần đầu, sẽ có 2 giai đoạn đánh giá. Đánh giá giai đoạn 1 chủ yếu kiểm tra tài liệu, hồ sơ.

Các tài liệu và hồ sơ sẽ được kiểm tra xem chúng có đáp ứng các yêu cầu của ISMS (ISO 27001) hay không, nếu không có vấn đề gì, doanh nghiệp/tổ chức có thể tiếp tục đánh giá giai đoạn 2.

 

(6) Đánh giá giai đoạn 2

Sau đánh giá giai đoạn 1, đánh giá giai đoạn 2, hay còn gọi là đánh giá tại chỗ, sẽ được tiến hành.
Đánh giá giai đoạn 2 kiểm tra tính hiệu lực của hệ thống, kiểm tra sự tuân thủ các quy định do công ty đã đề ra, kiểm tra nội dung công việc thực tế và kiểm tra hiện trường.

Tại giai đoạn này, chuyên gia đánh giá cũng sẽ kiểm tra kết quả thực hiện hành động khắc phục trong đợt đánh giá giai đoạn 1, vì vậy hãy đảm bảo hoàn thành thực hiện hành động khắc phục trước đợt đánh giá giai đoạn 2.

 

(7) Hoàn tất chứng nhận

Sau khi hoàn thành đánh giá giai đoạn 2 và Tổ chức chứng nhận chấp nhận hệ thống quản lý của doanh nghiệp phù hợp với tiêu chuẩn ISO 27001, doanh nghiệp bạn sẽ nhận được giấy chứng nhận và được quyền sử dụng dấu chứng nhận/công nhận. Bạn có thể đăng dấu chứng nhận này trên danh thiếp hoặc trang web của mình.

Tuy nhiên, nhận được chứng chỉ ISMS (ISO 27001) không đồng nghĩa mọi việc đã kết thúc, doanh nghiệp bạn phải duy trì và tham gia đánh giá giám sát định kỳ hàng năm. Cho nên hãy luôn trong tư thế chuẩn bị hướng tới kỳ đánh giá tiếp theo.

 

5. Tiêu chuẩn liên quan: ISO 27017

ISO 27017 là tiêu chuẩn ISO liên quan đến bảo mật đám mây.

Nếu bạn muốn đạt chứng nhận ISO 27017, trước tiên bạn phải đạt được ISO 27001 (ISMS) hoặc đạt được ISMS và ISO 27017 cùng lúc (tiêu chuẩn bổ sung).

Lợi ích của chứng nhận có thể kể đến là: nâng cao hình ảnh công ty về hệ thống bảo mật với các tổ chức bên ngoài, trúng thầu các dự án của chính phủ và có thể nhận được hợp đồng từ các khách hàng lớn.

Các doanh nghiệp nên lấy chứng chỉ này là các doanh nghiệp cung cấp dịch vụ đám mây như “SaaS”, “PaaS” và “IaaS”.

 

 

Phiên bản ISO / IEC 27001: 2022 mới được xuất bản vào tháng 10 năm 2022. Thay đổi chính của tiêu chuẩn lần này là ISO 27002, còn được gọi là tiêu chuẩn hướng dẫn của ISO 27001. Vì vậy, mặc dù không có sửa đổi lớn trong bản cập nhật ISO 27001:2022, nhưng doanh nghiệp cần phải xem xét lại hoạt động của hệ thống quản lý của mình.

 

 

1. Bối cảnh sửa đổi tiêu chuẩn

Sửa đổi tiêu chuẩn là thay đổi các quy định để phù hợp hơn với tình hình hiện tại, phù hợp với những thay đổi của điều kiện, hoàn cảnh và môi trường xã hội.
Tổ chức Tiêu chuẩn hóa Quốc tế, có trụ sở chính tại Geneva, Thụy Sĩ, tổ chức các cuộc họp định kỳ để xem xét các tiêu chuẩn đã thiết lập; và ISO 27001 (ISMS) là một trong số các tiêu chuẩn quốc tế được xem xét.

ISO 27001 là một tiêu chuẩn về bảo mật thông tin, vì vậy việc xem xét này cần được tiến hành nhằm đáp ứng tính đa dạng của truyền thông và thực tế nó đang được xem xét.
Theo nguyên tắc, các sửa đổi sẽ được thực hiện theo “chu kỳ 5 năm 1 lần”, nhưng có rất ít trường hợp về các sửa đổi được thực hiện đúng tần suất như vậy.
ISO 27001 ra đời là một tiêu chuẩn quốc tế vào năm 2000, sau đó được đổi mới thành phiên bản thứ 2 vào năm 2005 và phiên bản thứ 3 vào năm 2013. Lần này, phiên bản thứ 4 (ISO 27001:2022) đã được xuất bản và là phiên bản mới nhất.

 

2. Phiên bản mới nhất tại thời điểm hiện tại của ISO 27001 là gì?

Kể từ tháng 11 năm 2022, phiên bản mới nhất của ISO 27001 là phiên bản 2022.
Năm 2022 là năm xuất bản bản gốc bằng tiếng Anh và sau đó sẽ được dịch sang các ngôn ngữ trên toàn thế giới.

 

3. Khi nào cần thực hiện sửa đổi?

[Quy trình sửa đổi tiêu chuẩn]

Bản sửa đổi tiêu chuẩn ISO 27001 đã được xuất bản vào ngày 25 tháng 10 năm 2022.
Việc sửa đổi tiêu chuẩn nên được thực hiện trong năm đánh giá tái chứng nhận.
Tùy thuộc vào Tổ chức chứng nhận, có Tổ chức có thời gian và chi phí đánh giá thấp hơn so với đánh giá giám sát.

Không có sự khác biệt quá lớn giữa phiên bản tiếng Anh và bản tiếng Việt ISO 27001. Hãy tham khảo bản song ngữ ISO 27001 và thực hiện các thay đổi theo yêu cầu của tiêu chuẩn.

 

4. Mối liên hệ giữa ISO 27001 và ISO 27002

Như đã đề cập ở trên, ISO 27001 là một tiêu chuẩn quốc tế ISO 27001 có một mục gọi là “Phụ lục A”, Phụ lục A mô tả các mục tiêu quản lý nhằm giảm thiểu rủi ro an toàn thông tin và các biện pháp kiểm soát nhằm đạt được mục tiêu đó.

ISO 27002 chứa các giải thích và ví dụ cụ thể về các biện pháp kiểm soát trong Phụ lục A.
Vì ISO 27002 là tiêu chuẩn không thể thiếu để tổ chức thực hiện các biện pháp quản lý ISO 27001, cho nên nó còn được gọi là tiêu chuẩn hướng dẫn ISO 27001.

 

5. Thời gian cập nhật và chuyển đổi sang phiên bản mới

Thời gian cập nhật ISMS và chuyển đổi chứng nhận sang ISO/IEC 27001:2022 chậm nhất là ngày 31/10/2025.

Tổ chức chứng nhận sẽ đánh giá việc thực hiện các thay đổi trong giai đoạn chuyển đổi này, và nếu không có vấn đề gì, việc sửa đổi tiêu chuẩn coi như được hoàn thành.
Bạn sẽ được thông báo ngay khi Tổ chức chứng nhận sẵn sàng cho cuộc đánh giá chuyển đổi.
Đánh giá chuyển đổi thường được tiến hành đồng thời với đánh giá giám sát định kỳ và đánh giá chứng nhận lại.
Tùy từng Tổ chức chứng nhận mà cách làm sẽ khác nhau, cho nên bạn nên liên hệ với cơ quan chứng nhận mà bạn đang đánh giá để xác nhận.

 

6. Những điểm thay đổi của tiêu chuẩn

Phụ lục A của ISO 27001:2013 có các biện pháp kiểm soát bao gồm 114 mục.
Bằng cách thực hiện các biện pháp kiểm soát này, rủi ro an toàn thông tin sẽ được giảm thiểu.

Bản sửa đổi của ISO 27002, bao gồm các giải thích và ví dụ cụ thể về các biện pháp kiểm soát này, đã được hoàn thành và nội dung thay đổi đáng kể.
Bản sửa đổi của ISO 27001 là bản sửa đổi của Phụ lục A về sự thay đổi trong biện pháp kiểm soát này.

Những thay đổi cụ thể về các biện pháp kiểm soát:

Trong số 114 biện pháp kiểm soát:
・Cập nhật 58 mục
・Tích hợp 24 mục
・Thêm mới 11 mục
Tổng số mục đã xóa bỏ là 93 mục.

Nếu bạn lo lắng về việc “Không biết rõ các thay đổi”, “Không biết phải làm như thế nào”, bạn có thể hỏi ý kiến chuyên gia tư vấn của 3AC chúng tôi để được hướng dẫn cụ thể.

 

7. Những lưu ý khi thực hiện sửa đổi

(1) Hồ sơ và biểu mẫu

Vì các biện pháp kiểm soát thay đổi nên bạn cần rà soát lại nội dung Tuyên bố về khả năng áp dụng và các quy định kiểm soát an toàn thông tin sao cho phù hợp.

 

(2) Nội bộ công ty

Nhân viên phụ trách ISO nên thu thập thông tin về việc sửa đổi tiêu chuẩn.
Vào thời điểm này các thông tin chưa được rõ ràng, vì vậy hãy cập nhật thông tin thường xuyên để nắm được các sửa đổi đối với các tiêu chuẩn. Chúng tôi sẽ cập nhật bài viết này với thông tin mới nhất, hãy lưu lại đường link để tiện theo dõi nhé.

Khi bạn đã xác nhận thời điểm sửa đổi tiêu chuẩn, bước tiếp theo là thu thập thông tin từ Tổ chức chứng nhận.
Lý do là khi các tiêu chuẩn được sửa đổi, các quy định của mỗi tổ chức sẽ thay đổi đồng thời với quy định của tổ chức.

 

 

Việc thất bại trong đánh giá ISMS là điều rất hiếm khi xảy ra. Sự không phù hợp được phát hiện trong quá trình đánh giá là cơ hội để xem xét và cải thiện hệ thống quản lý an toàn thông tin của tổ chức. Có 3 loại hình đánh giá khác nhau và nội dung đánh giá cũng sẽ khác nhau, vì vậy hãy đảm bảo rằng bạn đã nắm chắc kiến thức và chuẩn bị kỹ trước buổi đánh giá chính thức.

 

 

1.Khái quát về đánh giá ISMS

Đánh giá ISMS gồm 5 bước chính:
① Đăng ký chứng nhận
② Tiếp nhận đăng ký
③ Sắp xếp lịch đánh giá
④ Đánh giá
⑤ Chứng nhận
Tổng cộng khoảng 3 tháng!!!

 

(1) Đăng ký chứng nhận

Trường hợp doanh nghiệp bạn lần đầu xin cấp chứng nhận hoặc thay đổi Tổ chức chứng nhận, bạn phải làm thủ tục đăng ký chứng nhận đến Tổ chức chứng nhận.
Cách thức đăng ký và các tài liệu cần chuẩn bị sẽ thay đổi tùy từng Tổ chức chứng nhận. Bạn có thể tham khảo chi tiết tại Homepage của các Tổ chức chứng nhận.

 

(2) Tiếp nhận đăng ký

Sau khi Tổ chức chứng nhận kiểm tra hồ sơ đăng ký, họ sẽ tính toán chi phí đánh giá và công số đánh giá (số chuyên gia đánh giá và số ngày đánh giá).
Nếu không có vấn đề gì, Tổ chức chứng nhận và doanh nghiệp sẽ tiến hành ký kết hợp đồng đánh giá và đăng ký chứng nhận.

 

(3) Sắp xếp lịch đánh giá

Bước tiếp theo, doanh nghiệp sẽ phải điều chỉnh lịch trình đánh giá với Tổ chức chứng nhận.
Hãy đảm bảo việc sắp xếp này được thực hiện 2 tháng trước ngày đánh giá để tránh tình trạng không thể điều chỉnh đúng ngày bạn mong muốn do Tổ chức chứng nhận quá bận rộn.

 

(4) Đánh giá

Trường hợp doanh nghiệp bạn lần đầu xin cấp chứng nhận, đánh giá chứng nhận sẽ được chia ra làm 2 giai đoạn: đánh giá giai đoạn 1 và đánh giá giai đoạn 2.
Trường hợp doanh nghiệp bạn đánh giá giám sát và đánh giá tái chứng nhận, có Tổ chức chia ra làm nhiều lần đánh giá, cũng có Tổ chức chỉ đánh giá duy nhất 1 ngày.

 

(5) Chứng nhận

Phía Tổ chức chứng nhận sẽ họp bàn về quyết định chứng nhận.
Nếu không có vấn đề gì, Tổ chức chứng nhận sẽ ban hành Giấy chứng nhận cho doanh nghiệp bạn.

Trên là toàn bộ nội dung các bước đánh giá chính. Để tham gia đánh giá, doanh nghiệp phải triển khai xây dựng ISMS.

 

2. Các loại hình đánh giá

Có 3 loại đánh giá ​​ISMS (ISO 27001): đánh giá chứng nhận, đánh giá giám sát và đánh giá tái chứng nhận.

Sau khi đạt được chứng nhận ISMS (ISO 27001), doanh nghiệp bạn vẫn phải tham gia đánh giá giám sát định kỳ hàng năm, và đánh giá tái chứng nhận sau 3 năm trước khi Giấy chứng nhận hết hiệu lực.

	Đánh giá chứng nhận lần đầu	Đánh giá duy trì	Đánh giá chứng nhận lại
Tên gọi	Đánh giá chứng nhận	Đánh giá định kỳ Đánh giá giám sát	Đánh giá tái chứng nhận
Nội dung đánh giá	Kiểm tra hệ thống quản lý an toàn thông tin của tổ chức có vấn đề gì không	Kiểm tra tình hình thực hiện tính từ lần đánh giá gần nhất	Kiểm tra tình hình thực hiện của 3 năm tính từ lần đánh giá chứng nhận
Mục đích đánh giá	Đánh giá giai đoạn 1: kiểm tra tài liệu, hồ sơ Đánh giá giai đoạn 2: kiểm tra tình hình thực hiện thực tế	Kiểm tra việc duy trì áp dụng có vấn đề gì không	Kiểm tra xem việc chứng nhận lại ISO có vấn đề gì không, xem có thay đổi gì kể từ lần đánh giá chứng nhận trước hay không và tình hình thực hiện trong 3 năm qua thế nào
Công số đánh giá	Đánh giá thường được chia ra làm 1 giai đoạn: giai đoạn 1 và giai đoạn 2, và được tiến hành cách nhau 1 tháng	Trong nhiều trường hợp, chuyên gia đánh giá và số ngày đánh giá giám sát ít hơn so với đánh giá tái chứng nhận	Thông thường đánh giá tái chứng nhận mất nhiều thời gian và cần nhiều chuyên gia đánh giá hơn đánh giá giám sát

 

(1) Đánh giá để được cấp chứng chỉ lần đầu

Cách gọi:
Tùy mỗi Tổ chức chứng nhận mà cách gọi khác nhau, Đánh giá để được cấp chứng chỉ lần đầu được gọi là “đánh giá lần đầu” hoặc “đánh giá chứng nhận”.
Đánh giá được chia ra làm 2 giai đoạn: đánh giá giai đoạn 1 và đánh giá giai đoạn 2.

Nội dung đánh giá:
Kiểm tra hệ thống quản lý an toàn thông tin của tổ chức có vấn đề gì không.

Mục đích đánh giá:
① Đánh giá giai đoạn 1: chủ yếu kiểm tra các tài liệu liên quan đến ISMS đã đầy đủ và thích hợp chưa.
② Đánh giá giai đoạn 2: kiểm tra tình hình thực hiện dựa trên tài liệu ISMS. Cụ thể, đó là việc đánh giá sự tuân thủ các quy định trên giấy tờ đã được kiểm tra tại đánh giá giai đoạn 1.

Công số đánh giá:
Công số đánh giá sẽ thay đổi tùy vào số địa điểm, phạm vi áp dụng và số nhân viên.
Đánh giá thường được chia ra làm 1 giai đoạn: giai đoạn 1 và giai đoạn 2, và được tiến hành cách nhau 1 tháng.

 

(2) Đánh giá duy trì

Cách gọi:
Tùy mỗi Tổ chức chứng nhận mà cách gọi khác nhau, ví dụ: “đánh giá định kỳ” hoặc “đánh giá giám sát”.

Nội dung đánh giá:
Kiểm tra tình hình thực hiện kể từ lần đánh giá trước.

Mục đích đánh giá:
Kiểm tra xem việc duy trì có vấn đề gì không.

Công số đánh giá:
Trong nhiều trường hợp, chuyên gia đánh giá và số ngày đánh giá giám sát ít hơn so với đánh giá tái chứng nhận.

 

(3) Đánh giá tái chứng nhận

Cách gọi:
Tùy mỗi Tổ chức chứng nhận mà cách gọi khác nhau, Đánh giá sau 3 năm trước khi giấy chứng nhận hết hiệu lực được gọi là “đánh giá tái chứng nhận” hoặc “đánh giá chứng nhận lại”.

Nội dung đánh giá:
Kiểm tra tình hình thực hiện trong 3 năm kể từ lần đánh giá chứng nhận trước.

Mục đích đánh giá:
Kiểm tra xem việc chứng nhận lại ISO có vấn đề gì không, xem có thay đổi gì kể từ lần đánh giá chứng nhận trước hay không và tình hình thực hiện trong 3 năm qua thế nào.

Công số đánh giá:

Thông thường đánh giá tái chứng nhận mất nhiều thời gian và cần nhiều chuyên gia đánh giá hơn đánh giá giám sát.

Như vậy có thể thấy, đánh giá chứng nhận lần đầu mất nhiều công số nhất trong 3 loại hình đánh giá.
Tổ chức chứng nhận sẽ kiểm tra rất kỹ các tài liệu liên quan đến ISMS và tình hình thực hiện thực tế, cho nên chắc chắn sẽ có những phát hiện đánh giá về sự không phù hợp và điểm cần cải tiến.

Bên cạnh đó, đánh giá tái chứng nhận sẽ mất nhiều thời gian hơn và cần nhiều chuyên gia đánh giá hơn so với đánh giá giám sát.
Khác với đánh giá giám sát, đánh giá chứng nhận lại có thể có những sự không phù hợp bạn chưa bao giờ nghe qua.

 

3. 7 hồ sơ cần thiết cho đánh giá

Để được đánh giá, doanh nghiệp cần có hồ sơ hoạt động. Với đánh giá duy trì, cần có hồ sơ vận hành trong vòng 1 năm, và với đánh giá chứng nhận lại, cần có bộ hồ sơ trong vòng 3 năm.

Ngoài 7 hồ sơ sau đây, Tổ chức chứng nhận cũng có thể kiểm tra các hồ sơ về hoạt động thực tế và bảo mật được thực hiện trên thực tế:
① Bảng đánh giá rủi ro thông tin
② Bảng quản lý mục tiêu
③ Kế hoạch ứng phó với rủi ro
④ Hồ sơ đào tạo
⑤ Kế hoạch kinh doanh liên tục
⑥ Hồ sơ đánh giá nội bộ
⑦ Hồ sơ thực hiện xem xét của lãnh đạo

 

4. Quy trình đánh giá

Dưới đây là quy trình đánh giá ISMS (ISO 27001):

① Họp khai mạc
② Phỏng vấn Lãnh đạo
③ Thăm quan (kiểm tra phạm vi bảo mật)
④ Làm việc với Người quản trị hệ thống
⑤ Xác nhận tình hình thực hiện cải tiến các điểm lưu ý trong lần đánh giá trước
⑥ Làm việc với từng phòng ban
⑦ Họp bế mạc

Đánh giá duy trì và đánh giá chứng nhận lại cũng có quy trình đánh giá tương tự như trên, tuy nhiên với đánh giá chứng nhận lại thì chuyên gia sẽ xác nhận lại nội dung đăng ký lúc đầu và sẽ hỏi chi tiết Người quản trị hệ thống và các phòng ban khác.

 

5. Chi phí đánh giá ISMS

Tổ chức chứng nhận sẽ đánh giá ISMS định kỳ, cho nên doanh nghiệp phải thanh toán chi phí đánh giá hàng năm.
Chi phí đánh giá sẽ thay đổi tùy từng tổ chức, công số, v.v..
Dưới đây là chi phí đánh giá tham khảo:

Số lượng nhân viên	Đánh giá chứng nhận	Đánh giá giám sát năm thứ 2	Đánh giá giám sát năm thứ 3
1~15	25,000,000	9,000,000	9,000,000
16~80	45,000,000	17,000,000	17,000,000
80~120	63,000,000	22,000,000	22,000,000

 

(1) Đánh giá chứng nhận

Đánh giá chứng nhận được chia ra làm 2 giai đoạn, và chuyên gia đánh giá sẽ kiểm tra kỹ tình hình thực tế.
Đánh giá chứng nhận lần đầu là đợt đánh giá có chi phí cao nhất.

 

(2) Đánh giá giám sát

Nếu không có gì thay đổi về số lượng nhân viên, số địa điểm, lĩnh vực áp dụng thì chi phí đánh giá giám sát của 2 năm tiếp theo sẽ tương đương nhau.
Đánh giá giám sát chỉ đánh giá tình hình thực hiện trong vòng 1 năm, vì thế chi phí đánh giá giám sát thường sẽ thấp hơn so với chi phí đánh giá chứng nhận lần đầu.

 

(3) Đánh giá tái chứng nhận

Đánh giá tái chứng nhận là đánh giá việc thực hiện của cả 3 năm cho nên chi phí sẽ cao hơn so với đánh giá giám sát.

 

6. Các trường hợp sẽ trở thành sự không phù hợp và cách xử lý

(1) Sự không phù hợp nghiêm trọng

Là kết quả mà trong quá trình đánh giá, chuyên gia đánh giá xác định rằng “Hệ thống quản lý không hoạt động” thì đây được gọi là “sự không phù hợp nghiêm trọng”. Các ví dụ điển hình có thể kể đến là: không thực hiện đánh giá nội bộ hoặc xem xét của lãnh đạo.

Nếu phát hiện sự không phù hợp nghiêm trọng trong quá trình đánh giá, buổi đánh giá có thể bị tạm dừng. Việc đăng ký hoặc cấp lại chứng nhận sẽ bị hoãn lại, nhưng nếu doanh nghiệp bạn tham gia đánh giá lại và nhận được sự cho phép, bạn vẫn có thể hoàn tất quá trình chứng nhận.

 

(2) Sự không phù hợp nhẹ

Hầu hết trong các đợt đánh giá, sự không phù hợp được phát hiện nhiều nhất là sự không phù hợp nhẹ. Trong quá trình đánh giá, khi chuyên gia xác định “một phần yêu cầu không được đáp ứng”, thì đây được coi là sự không phù hợp nhẹ.

Nếu có sự không phù hợp nhẹ, doanh nghiệp phải thực hiện hành động khắc phục dựa trên các quy định của tổ chức và gửi báo cáo hành động khắc phục cho chuyên gia đánh giá theo quy định của Tổ chức chứng nhận.

 

(3) Điểm lưu ý

Đôi khi, dù không phải là không phù hợp, chuyên gia vẫn có thể đưa ra những điểm cần lưu ý. Tùy Tổ chức chứng nhận mà tên gọi có thể khác nhau như “điểm quan sát”, “điểm khuyến nghị” hoặc “cơ hội cải tiến”.
Mặc dù không nhất thiết phải thực hiện hành động khắc phục, nhưng hãy coi đó là lời khuyên dưới góc nhìn của các chuyên gia và xem xét xem có cần phải thực hiện các biện pháp hay không.

 

7. Biến sự không phù hợp thành cơ hội cải tiến

Phần lớn các doanh nghiệp đều không muốn phát sinh sự không phù hợp trong quá trình đánh giá, nhưng thực tế là việc nhận được phát hiện về sự không phù hợp có thể mang lại cho doanh nghiệp 2 lợi ích dưới đây:

– Giúp bạn tìm ra những thách thức và vấn đề cần cải thiện trong công việc và quản lý.
– Việc nhận được nhận xét từ bên thứ ba có thể thay đổi nhận thức, tăng sức ép và tái nhận thức về quy định của công ty cho nhân viên.

Hãy nhìn nhận phát hiện đánh giá về sự không phù hợp như là cơ hội để tìm ra những vấn đề cần cải thiện, vì doanh nghiệp không nhận được sự không phù hợp là rất ít.
Hãy chuẩn bị một cách hợp lý, không cần chuẩn bị quá nhiều, và sử dụng thời gian để khắc phục sự không phù hợp được phát hiện trong quá trình đánh giá.

 

8. Để không thất bại trong đợt đánh giá

Trường hợp thất bại và không được cấp chứng nhận ISMS (ISO 27001) là rất hiếm.
Dưới đây là 4 trường hợp không được cấp chứng nhận ISMS (ISO 27001):
① Không thực hiện đánh giá nội bộ
② Không thực hiện xem xét của lãnh đạo
③ Không thanh toán chi phí đánh giá
④ Không thực hiện hành động khắc phục sự không phù hợp

Trường hợp mở rộng phạm vi chứng nhận, chuyên gia đánh giá sẽ xem xét kỹ phạm vi được mở rộng đó, cho nên bạn cần chú ý điểm này.