Tam giác bảo mật CIA (tính bảo mật, tính toàn vẹn, tính sẵn sàng) là gì?

 

Ba tính chất của bảo mật thông tin là “tính bảo mật”, “tính toàn vẹn” và “tính sẵn sàng”. Hiểu rõ 3 yếu tố bảo mật này là bước căn bản đầu tiên trong quá trình xây dựng một hệ thống thông tin an toàn. Ba yếu tố này còn được gọi là tam giác bảo mật CIA.

 

 

1. 3 yếu tố bảo mật “tính bảo mật”, “tính toàn vẹn” và “tính sẵn sàng” là gì?

ISMS (ISO 27001) yêu cầu xây dựng một hệ thống có thể duy trì 3 yếu tố “tính bảo mật”, “tính toàn vẹn” và “tính sẵn sàng”. Đây là 3 yếu tố ngăn chặn việc làm sai lệch, thất thoát, mất mát, hư hỏng các thông tin quan trọng và xử lý thông tin một cách an toàn.
Ba yếu tố bảo mật, toàn vẹn và sẵn sàng thường được gọi bằng từ viết tắt tiếng Anh là “CIA”.

“Tính bảo mật”: confidentiality
“Tính toàn vẹn”: integrity
“Tính sẵn sàng”: availability

 

2. Tính bảo mật: Confidentiality là gì?

Tính bảo mật tức là, đảm bảo thông tin chỉ được phép truy cập bởi những đối tượng được cấp phép, hay nói cách khác, là việc đảm bảo thông tin được bảo vệ sao cho không bị tiết lộ cho những đối tượng không được cấp phép.
Tính bí mật của thông tin có thể đạt được bằng cách sử dụng các biện pháp như xác thực, giới hạn truy cập và mã hóa.

Nếu tính bảo mật của thông tin được đảm bảo, thì có thể ngăn chặn sự xâm nhập từ bên ngoài và giảm thiểu khả năng rò rỉ, mất mát, thất thoát hoặc hư hỏng thông tin.

(1) Tài sản thông tin cần được bảo mật
① Thông tin cá nhân

Thông tin cá nhân của khách hàng và nhân viên, địa chỉ, số điện thoại, địa chỉ email và thông tin nhận dạng cá nhân khác phải được bảo vệ dưới góc độ quyền riêng tư.

② Bí mật kinh doanh

Thông tin là bí mật thương mại liên quan đến năng lực cạnh tranh cần được bảo vệ chẳng hạn như nghiên cứu và phát triển, thông tin kỹ thuật, chiến lược kinh doanh, thông tin về sản phẩm và dịch vụ mới, v.v..

③ Thông tin hợp đồng

Các thông tin có thể được yêu cầu phải bảo mật là thông tin liên quan đến hợp đồng, chẳng hạn như hợp đồng với đối tác kinh doanh và công ty đối tác, và thông tin dự án trong quá trình đàm phán kinh doanh.

④ Thông tin tài chính

Thông tin liên quan đến tình hình tài chính của một tổ chức, bao gồm dữ liệu kế toán, ngân sách và dự toán, và kế hoạch tài trợ, cần được giữ bí mật.

⑤ Thông tin pháp lý và luật định

Thông tin liên quan đến các yêu cầu pháp lý và luật định, chẳng hạn như tài liệu pháp lý, thông tin kiện tụng và báo cáo kiểm toán, cũng cần được bảo vệ.

⑥ Thông tin bảo mật

Tính bảo mật rất quan trọng đối với thông tin liên quan đến bảo mật thông tin, chẳng hạn như sơ đồ cấu hình mạng, thông tin lỗ hổng hệ thống và mật khẩu.

 

(2) Các biện pháp cụ thể
① Kiểm soát truy cập

Giới hạn quyền truy cập thông tin chỉ cho những người có quyền hạn tối thiểu cần thiết, nhằm ngăn chặn truy cập trái phép và rò rỉ thông tin.
Áp dụng danh sách kiểm soát truy cập (ACL) và chỉ cho phép truy cập đối với người dùng cụ thể hoặc nhóm cụ thể.

② Mã hóa

Áp dụng công nghệ mã hóa cho việc truyền tải và lưu trữ dữ liệu, nhằm đảm bảo rằng thông tin không thể đọc được ngay cả khi xảy ra truy cập trái phép hoặc rò rỉ.
Nên sử dụng các phương pháp mã hóa phù hợp như mã hóa toàn bộ thiết bị hoặc mã hóa tệp tin.

③ Phân loại dữ liệu

Phân loại tài sản thông tin theo mức độ bảo mật và áp dụng các biện pháp bảo vệ phù hợp cho mỗi mức độ.
Lập chính sách phân loại dữ liệu và thông báo rõ ràng cho nhân viên.

④ Giáo dục và đào tạo về an toàn thông tin

Tổ chức các chương trình giáo dục và đào tạo về an toàn thông tin nhằm nâng cao nhận thức của nhân viên.
Thực hiện đào tạo nâng cao kiến thức định kỳ và liên tục, nhằm cải thiện liên tục các biện pháp bảo mật.

⑤ An ninh vật lý

Lưu trữ tài sản thông tin trong các cơ sở và phòng được áp dụng biện pháp bảo mật, nhằm ngăn chặn truy cập trái phép và mất mát do trộm cắp.
Nên áp dụng các biện pháp bảo mật vật lý như camera an ninh và thẻ truy cập.

⑥ Thiết lập chính sách và quy trình an toàn thông tin

Xây dựng chính sách an toàn thông tin cho toàn bộ tổ chức và đề ra các quy trình và quy tắc cụ thể.
Thường xuyên xem lại và cải thiện chính sách để thích nghi với tình hình an ninh.

⑦ Kiểm tra và đánh giá bảo mật

Thực hiện kiểm tra và đánh giá bảo mật định kỳ để xác minh hiệu quả của các biện pháp bảo mật thông tin.

 

3. Tính toàn vẹn: Integrity là gì?

Tính toàn vẹn là trạng thái mà thông tin được lưu trữ hoặc truyền tải một cách chính xác và nhất quán. Điều này giúp ngăn chặn việc dữ liệu bị thay đổi sai hoặc bị sửa đổi một cách trái phép. Khi tính toàn vẹn không được đảm bảo, độ chính xác và đáng tin cậy của thông tin sẽ bị mất đi.

Nói một cách đơn giản, việc duy trì sự chính xác, sự cập nhật và sự đầy đủ trong thông tin là mục tiêu của tính toàn vẹn.

Ví dụ, nếu áp dụng vào tính toán lương, khi tính toàn vẹn không được đảm bảo, có thể xảy ra các vấn đề sau:

– Số tiền lương sai lệch: Nếu thời gian làm việc và thời gian làm thêm của nhân viên không được ghi chính xác, có thể dẫn đến sai sót trong tính toán lương. Điều này có thể ảnh hưởng đến động lực làm việc và gánh nặng trong cuộc sống của nhân viên, gây ảnh hưởng tiêu cực đến năng suất của tổ chức.

– Vi phạm pháp luật: Một số trường hợp sẽ bị quy cho là không tuân thủ các quy định pháp luật về mức lương tối thiểu hoặc giới hạn thời gian làm việc đã được quy định. Điều này không chỉ khiến công ty bị xử phạt mà danh tiếng của công ty cũng sẽ bị tổn hại.

(1) Tài sản thông tin cần duy trì tính toàn vẹn
① Thông tin tài chính

Thông tin liên quan đến giao dịch tài chính như thông tin tài khoản ngân hàng, thông tin thẻ tín dụng, lịch sử thanh toán, cần phải đảm bảo tính toàn vẹn vì sự thay đổi hoặc sửa đổi sai sót có thể dẫn đến thiệt hại lớn.

② Thông tin khách hàng

Thông tin về cá nhân khách hàng, lịch sử giao dịch, nội dung hợp đồng và các thông tin liên quan đến khách hàng đòi hỏi tính chính xác để duy trì mối quan hệ tin cậy.

③ Thông tin nhân viên

Thông tin về cá nhân nhân viên, quản lý chấm công, thông tin về lương và các thông tin liên quan đến nhân viên yêu cầu tính toàn vẹn để đảm bảo độ chính xác và đáng tin cậy của dữ liệu liên quan đến nhân viên.

④ Thông tin sản phẩm và dịch vụ

Thông tin về thông số kỹ thuật sản phẩm, giá cả, thông tin kho hàng và các chi tiết khác liên quan trực tiếp đến hoạt động kinh doanh cần đảm bảo tính chính xác.

⑤ Thông tin liên quan đến pháp luật và quy định

Thông tin liên quan đến pháp luật, quy định và tuân thủ pháp lý yêu cầu tính toàn vẹn để thực hiện hoạt động đúng quy định.

⑥ Tài sản trí tuệ

Thông tin về tài sản trí tuệ như bằng sáng chế, quyền tác giả, quyền thương hiệu là quan trọng cho sự cạnh tranh của công ty, và do đó, yêu cầu tính toàn vẹn.

⑦ Thông tin kế toán và tài chính

Sổ sách kế toán, báo cáo tài chính, ngân sách và các thông tin tài chính khác ảnh hưởng đến quản lý doanh nghiệp, yêu cầu tính chính xác và đáng tin cậy.

 

(2) Các biện pháp cụ thể
① Kiểm soát truy cập

Quản lý quyền truy cập thông tin và ngăn chặn sự thay đổi hoặc sửa đổi trái phép.

② Sao lưu dữ liệu

Thực hiện sao lưu định kỳ dữ liệu để khôi phục thông tin chính xác trong trường hợp dữ liệu bị hỏng.

③ Tổng kiểm và hàm băm

Xác minh tính toàn vẹn của dữ liệu bằng cách tổng kiểm tra và sử dụng hàm băm.

④ Xác minh nhập và chỉnh sửa dữ liệu

Đảm bảo rằng dữ liệu được nhập và chỉnh sửa chính xác bằng cách thiết lập các kiểm tra hợp lệ trên biểu mẫu nhập liệu, theo dõi và kiểm tra lịch sử thay đổi của dữ liệu để bảo đảm tính toàn vẹn.

 

4. Tính sẵn sàng: Availability là gì?

Tính sẵn sàng đề cập đến khả năng của một hệ thống thông tin được truy cập vào đúng thời điểm, bởi đúng người và được cung cấp đúng các tài nguyên cần thiết.

Tính sẵn sàng được định nghĩa là:
① Thời gian ngừng hoạt động của hệ thống ở mức tối thiểu.
② Hệ thống hoạt động với hiệu suất phù hợp.
③ Dữ liệu có thể được truy cập vào những thời điểm thích hợp.
④ Mạng và các dịch vụ hoạt động bình thường.
⑤ Có kế hoạch phục hồi dự phòng để đối phó với thiên tai và sự cố.

Ví dụ: đối với bộ nhớ dùng chung và bộ nhớ đám mây
Ổ đĩa dùng chung và bộ nhớ đám mây nơi lưu trữ các tệp và tài liệu được chia sẻ trong công ty phải luôn có thể truy cập được mà không gặp sự cố hoặc suy giảm hiệu suất.

(1) Tài sản thông tin cần duy trì tính sẵn sàng
① Cơ sở dữ liệu khách hàng

Cơ sở dữ liệu chứa thông tin quan trọng về khách hàng, chẳng hạn như thông tin khách hàng và lịch sử giao dịch, đóng vai trò quan trọng trong các hoạt động kinh doanh như bán hàng và hỗ trợ khách hàng.

② Thông tin tài chính

Thông tin quan trọng liên quan đến quản lý doanh nghiệp, chẳng hạn như tình hình tài chính và các chỉ số quản lý của công ty, đóng một vai trò quan trọng trong việc ra quyết định và xây dựng chiến lược.

③ Tài liệu nội bộ

Các tài liệu cần thiết cho việc thực hiện kinh doanh, chẳng hạn như hướng dẫn thủ tục và quy trình kinh doanh nội bộ, hợp đồng và báo cáo, là cần thiết để đảm bảo việc thực hiện kinh doanh suôn sẻ và tuân thủ.

④ Hệ thống và ứng dụng

Các hệ thống và ứng dụng kinh doanh nội bộ là cần thiết để thực hiện kinh doanh hiệu quả và chia sẻ thông tin. Điều quan trọng là các hệ thống và ứng dụng này phải hoạt động tốt và người cần truy cập có thể truy cập được.

⑤ Email

Thư điện tử là tài sản thông tin không thể thiếu để liên lạc trong nội bộ và với bên ngoài. Tốc độ đường truyền khi gửi và nhận email phải được đảm bảo và người cần truy cập có thể truy cập được.

 

(2) Các biện pháp cụ thể
① Dự phòng

Nên thực hiện dự phòng cho máy chủ và thiết bị mạng. Cho các thiết bị và hệ thống dự phòng hoạt động từ thời điểm mọi thứ diễn ra bình thường, để đảm bảo hệ thống vẫn hoạt động liên tục khi xảy ra sự cố.

② Sao lưu

Thực hiện sao lưu dữ liệu và hệ thống đều đặn, nhằm đảm bảo khả năng khôi phục nhanh chóng khi xảy ra sự cố hoặc mất dữ liệu.

③ Bảo trì

Thực hiện bảo trì định kỳ cho hệ thống và mạng, nhằm ngăn chặn sự suy giảm hiệu suất và xảy ra sự cố từ trước.

④ Giám sát

Theo dõi tình trạng hệ thống và mạng theo thời gian thực, và đối phó nhanh chóng khi phát hiện sự bất thường.

 

5. Cách phân loại mức độ của CIA (Confidentiality, Integrity, Availability)

ISMS (ISO 27001) yêu cầu phải thực hiện đánh giá rủi ro tài sản.

Khi đánh giá rủi ro, các tài sản thông tin sẽ được xác định giá trị dựa trên mức độ CIA (Confidentiality, Integrity, Availability).

Có nhiều công ty xác định mức độ của tài sản thông tin bằng cách áp dụng các tiêu chí sau.

Tính bảo mật Tính toàn vẹn Tính sẵn sàng
Level 3 Tính bảo mật cao Tính toàn vẹn cao Tính sẵn sàng cao
level 2 Tính bảo mật ở mức trung bình  Tính toàn vẹn ở mức trung bình Tính sẵn sàng ở mức trung bình
Level 1 Tính bảo mật thấp  Tính toàn vẹn thấp Tính sẵn sàng thấp

 

6. Cách áp dụng CIA vào hoạt động kinh doanh

Để có thể áp dụng tam giác bảo mật CIA (Confidentiality, Integrity, Availability) vào hoạt động kinh doanh, doanh nghiệp cần nâng cao chất lượng và hiệu suất công việc bằng cách duy trì mức độ bảo mật CIA một cách thích hợp.

Tính bảo mật (Confidentiality)

Giới hạn quyền truy cập đối với các tài sản thông tin có tính bảo mật cao như thông tin khách hàng và bí mật công ty để giảm thiểu rủi ro truy cập trái phép và rò rỉ thông tin.
Khi trao đổi thông tin nội bộ và bên ngoài công ty, việc sử dụng công nghệ mã hóa có thể giảm thiểu rủi ro rò rỉ thông tin cho bên thứ ba.

Tính toàn vẹn (Integrity)

Để ngăn chặn sự thay đổi hoặc hư hỏng dữ liệu, cần thiết lập các quyền liên quan đến việc nhập, chỉnh sửa và xóa dữ liệu một cách chính xác và ngăn chặn sự giả mạo dữ liệu do hành động trái phép.
Thực hiện sao lưu dữ liệu định kỳ và đảm bảo rằng dữ liệu có thể được khôi phục chính xác và hoàn chỉnh trong trường hợp xảy ra sự cố.

Tính sẵn sàng (Availability)

Thực hiện vận hành và quản lý máy chủ và mạng một cách hợp lý, duy trì trạng thái truy cập hệ thống và dịch vụ thông tin cần thiết cho công việc vào thời điểm thích hợp.
Lên kế hoạch đối phó với thiên tai và lập kế hoạch dự phòng để đảm bảo khả năng tiếp tục hoạt động của doanh nghiệp trong trường hợp xảy ra sự cố hệ thống hoặc thiên tai.

 

7. Sự cân bằng quan trọng giữa tính bảo mật, tính toàn vẹn và tính sẵn sàng

Việc cân bằng 3 yếu tố tính bảo mật (C), tính toàn vẹn (I) và tính sẵn sàng (A) đã đề cập ở trên mới là quan trọng.

Ví dụ, nếu bạn ưu tiên quá nhiều vào tính bảo mật, các biện pháp hạn chế truy cập thông tin có thể dẫn đến sự suy giảm của tính sẵn sàng. Tương tự, nếu bạn quá ưu tiên tính toàn vẹn, việc quản lý thông tin quá đà sẽ làm giảm hiệu suất công việc.

Bằng cách vận dụng CIA một cách cân bằng và phù hợp, bạn có thể bảo vệ tài sản thông tin một cách hiệu quả, cải thiện tính ổn định và tính đáng tin cậy của công việc.

Do đó, doanh nghiệp nên cân bằng và đánh giá rủi ro 3 yếu tố tính bảo mật (C), tính toàn vẹn (I) và tính sẵn sàng (A); và xem xét các yếu tố ảnh hưởng xã hội và ảnh hưởng kinh tế.

 

8. Bốn tính chất mới trong khái niệm an ninh thông tin

Trong thời gian gần đây, ngoài tính bảo mật (C), tính toàn vẹn (I) và tính sẵn sàng (A), còn có thêm 4 tính chất mới được chú trọng, đó là:

① Tính xác thực (Authenticity)

Đảm bảo rằng các tổ chức hoặc cá nhân truy cập thông tin có quyền truy cập. Không cấp quyền truy cập cho người không mong đợi.

② Tính đáng tin cậy (Reliability)

Đảm bảo dữ liệu và hệ thống hoạt động mà không có lỗi do con người hoặc lỗi trong chương trình (lỗi phần mềm) và thực hiện đúng ý đồ mong muốn.

③ Tính trách nhiệm (Accountability)

Theo dõi hoạt động của các công ty hoặc cá nhân. Điều này giúp xác định nguyên nhân và hành vi của người dùng trong trường hợp có mối đe dọa truy cập trái phép vào thông tin.

④ Tính không thể chối bỏ (Non-repudiation)

Chứng minh rằng thông tin không thể bị phủ nhận sau này. Điều này đảm bảo rằng thông tin không bị sửa đổi hoặc chối bỏ sau khi được sử dụng. Việc ghi log hệ thống là một biện pháp phòng ngừa chống lại sự chối bỏ.

 

Tổng kết

Tính bảo mật, tính toàn vẹn và tính sẵn sàng là các yếu tố nhằm ngăn chặn việc làm sai lệch, mất mát, thất thoát, hư hỏng các thông tin quan trọng và xử lý thông tin một cách an toàn.

Sự cân bằng giữa mỗi yếu tố là rất quan trọng và có nhiều trường hợp tính bảo mật không được đảm bảo khi ưu tiên tính sẵn sàng, vì vậy hãy cân nhắc các tác động xã hội và tác động kinh tế khi đánh giá mức độ các tính chất này.

Quy trình đạt chứng nhận ISO 27001 (ISMS)

 

Khoảng thời gian cần thiết để doanh nghiệp đạt được chứng nhận ISO 27001 (ISMS) là nửa năm và được thực hiện trong 7 bước. Có được chứng chỉ ISO 27001 (ISMS) đem lại cho doanh nghiệp những lợi ích to lớn, chẳng hạn, đáp ứng các yêu cầu của khách hàng, tăng tỷ lệ trúng thầu và tăng cường bảo mật thông tin của doanh nghiệp.

 

 

1. ISMS (ISO 27001) là gì?

ISMS (ISO 27001) là viết tắt của “Hệ thống quản lý an toàn thông tin”.
Nói một cách đơn giản, đây là hệ thống giúp doanh nghiệp thực hiện các biện pháp an toàn thông tin và giảm thiểu rủi ro (sự cố) do rò rỉ thông tin.

Các thông tin được quản lý bởi doanh nghiệp có mức độ quan trọng khác nhau. Doanh nghiệp hoạt động dựa trên các quy tắc và tiêu chuẩn.

Doanh nghiệp cần thiết lập tiêu chuẩn và quy định cho cả hệ thống của “phần mềm” và “phần cứng” cũng như hành động mà nhân viên không được phép thực hiện.

Theo cách này, doanh nghiệp cần phải thực hiện các biện pháp đối phó rủi ro từ cả góc độ “phần cứng” và “phần mềm”, đồng thời hoàn thiện một hệ thống hỗ trợ việc xử lý thông tin.

>>>Xem thêm: ISMS (ISO 27001) là gì? Những điều cần biết về ISMS (ISO 27001)

 

2. Tại sao cần có ISMS?

Đạt được chứng nhận ISMS (ISO 27001) đem lại những lợi ích sau:

・Tăng tỷ lệ trúng thầu
・Nâng cao mức độ bảo mật với các tổ chức bên ngoài (bao gồm khách hàng)
・Nâng cao nhận thức về bảo mật trong tổ chức

 

(1) Tăng tỷ lệ trúng thầu

Trong nhiều trường hợp, đạt được chứng nhận ISMS là một điều kiện để đấu thầu các dự án của chính phủ và chính quyền địa phương.

Đạt được chứng nhận ISMS sẽ giúp doanh nghiệp mở rộng kinh doanh và cải thiện doanh số.

 

(2) Nâng cao mức độ bảo mật với các tổ chức bên ngoài

Các doanh nghiệp có chứng nhận ISMS có thể quảng bá hình ảnh với các tổ chức bên ngoài về độ tin cậy bảo mật vì đã đạt tiêu chuẩn nhất định về bảo mật thông tin.

Hơn nữa, ISMS của doanh nghiệp được đánh giá khách quan từ bên thứ ba nên doanh nghiệp có thể lấy được lòng tin của khách hàng và nhà cung cấp bên ngoài.

Tuy nhiên, đạt chứng nhận ISMS không có nghĩa là mức độ bảo mật cực kỳ cao.

 

(3) Nâng cao nhận thức về bảo mật trong tổ chức

Để đạt được chứng nhận và duy trì ISMS, doanh nghiệp cần phải thực hiện đào tạo nhân viên, thiết lập chính sách, phân chia vai trò, v.v.

Do đó, nhận thức về bảo mật trong các doanh nghiệp đã đạt được chứng nhận ISMS sẽ cao hơn so với doanh nghiệp thông thường.

 

3. Quy trình và thời gian để đạt được chứng nhận ISMS (ISO 27001)

Thời gian nhanh nhất để đạt được chứng nhận là khoảng 6 tháng và lâu nhất là khoảng 1 năm kể từ khi khởi động đến khi hoàn thành chứng nhận.

(1) Lập kế hoạch đạt chứng nhận
① Xác nhận mục đích của việc đạt chứng nhận

Doanh nghiệp muốn đạt được chứng nhận ISMS, cần phải có sự hợp tác của nhân viên.
Việc chia sẻ mục đích lấy chứng chỉ ISMS trong nội bộ công ty sẽ giúp quá trình chuẩn bị diễn ra suôn sẻ hơn.
Cần phải nhìn nhận đúng mục đích và lợi ích của ISMS dành cho tổ chức.

Ngoài ra, việc chuẩn bị sẽ dễ dàng hơn nếu doanh nghiệp xem xét các ý kiến ​​​​được cho là sẽ ngăn chặn sự phản đối xuất hiện tại thời điểm chứng nhận.

 

② Lựa chọn người chịu trách nhiệm cho ISMS

Doanh nghiệp sẽ phải lựa chọn một người chịu trách nhiệm chính cho ISMS.
Vì sẽ phát sinh công việc khác với công việc chính, nên cần phải lựa chọn 1 người chịu trách nhiệm.

Ngoài ra, trong trường hợp doanh nghiệp có đông người, tổ chức cũng nên quyết định người phụ trách của từng bộ phận để việc liên lạc được thuận lợi.

 

③ Quyết định thời gian đạt được chứng nhận

Quyết định đích đến khi lập kế hoạch giúp doanh nghiệp có thể đạt chứng nhận đúng thời gian mục tiêu đã đề ra.
Bạn nên suy nghĩ về mục đích lấy chứng chỉ và quyết định khi nào doanh nghiệp bạn cần có.

Việc đặt ra các mục tiêu cụ thể để đạt được ISMS cũng rất quan trọng.
Mục tiêu càng cụ thể, kế hoạch của doanh nghiệp sẽ càng thực tế.

 

④ Quyết định về việc tự triển khai hay thuê công ty tư vấn

Doanh nghiệp có thể xem xét các yếu tố dưới đây trước khi quyết định xem nên tự triển khai hay thuê đơn vị tư vấn bên ngoài:

・Vấn đề nhân sự
・Vấn đề kinh phí
・Vấn đề kiến ​​thức và kinh nghiệm

Điều đầu tiên doanh nghiệp bạn nên suy nghĩ xem điều gì là tốt nhất để đưa ra các quy trình phù hợp với tình hình thực tế của tổ chức.

Doanh nghiệp bạn cũng có thể xem xét thuê ngoài nếu các nguồn lực trong tổ chức không đủ hoặc thiếu chuyên môn.

>>>Xem thêm: Tiêu chí lựa chọn Tổ chức chứng nhận ISO

 

⑤ Quyết định ngân sách

Để đạt được chứng nhận ISO 27001 (ISMS), doanh nghiệp/tổ chức cần có ngân sách nhất định.
Ngân sách để chi trả các chi phí (chi phí đánh giá chứng nhận) cho Tổ chức chứng nhận và chi phí đầu tư các thiết bị cần thiết trong công ty hoặc chi phí tư vấn trong trường hợp doanh nghiệp thuê ngoài.

Ngoài ra, tình hình có thể thay đổi tùy thuộc vào nguồn lực và sự cân bằng nội bộ, song doanh nghiệp cũng nên tính đến chi phí nhân sự cần trả cho người phụ trách ISO, để có thể triển khai mà ít ảnh hưởng đến kinh doanh.

 

⑥ Lựa chọn Tổ chức chứng nhận

Tổ chức chứng nhận có thể đánh giá cho rất nhiều tổ chức từ công ty cổ phần cho đến quỹ thành viên, v.v.. Tùy mỗi Tổ chức chứng nhận mà chi phí và chức năng có thể sẽ có sự khác biệt.

Đương nhiên, vì bản thân ISO 27001 là một tiêu chuẩn quốc tế nên thực tế là cho dù bạn lấy chứng chỉ ISO 27001 (ISMS) từ bất cứ Tổ chức chứng nhận nào thì bản chất của nó vẫn không thay đổi.

Do đó, bạn nên chọn một cơ quan đánh giá dựa trên chi phí và dịch vụ, và các nội dung cần xác nhận.

Ngoài ra, bạn cũng cần xác nhận xem đối tác kinh doanh hoặc công ty mẹ có chỉ định Tổ chức chứng nhận không.

 

⑦ Lập kế hoạch

Sau khi đã quyết định thời gian cần có chứng chỉ, hãy lên kế hoạch chi tiết.

Doanh nghiệp cần phải sắp xếp trước lịch đánh giá với Tổ chức chứng nhận.
Do đó, lên kế hoạch cụ thể bằng cách tính ngược thời gian kể từ ngày làm thủ tục đăng ký đánh giá chứng nhận và ngày đánh giá dự kiến là một cách triển khai thông minh.

Nếu bạn lựa chọn tư vấn bởi một đơn vị bên ngoài, hãy tham khảo ý kiến ​​của công ty tư vấn và cùng nhau phối hợp theo dõi các kế hoạch và mục tiêu.

Tóm lại, “lập kế hoạch chứng nhận ISO 27001 (ISMS)” phù hợp với tình hình của doanh nghiệp/tổ chức là bước vô cùng quan trọng vì kế hoạch chính là tiền đề để thúc đẩy việc triển khai.

 

(2) Xây dựng hệ thống quản lý an toàn thông tin

Doanh nghiệp/tổ chức phải xây dựng tài liệu để đạt được chứng nhận ISMS.
Hệ thống tài liệu có thể kể đến là, sổ tay hướng dẫn ISMS, tuyên bố về khả năng áp dụng và các quy định kiểm soát an toàn thông tin.

 

(3) Áp dụng ISMS vào thực tế

Sau khi đã thiết lập các quy trình và xây dựng hệ thống tài liệu, sẽ là bước áp dụng hệ thống quản lý vào thực tế.

Đối với các hoạt động thực tế, cần phải để lại hồ sơ kết quả hoạt động làm bằng chứng.
Ví dụ: sổ quản lý tài sản thông tin, kết quả đánh giá rủi ro,v.v.. Các hồ sơ này sẽ được kiểm tra trong buổi đánh giá.

 

(4) Đánh giá nội bộ và xem xét của lãnh đạo

Sau khi việc áp dụng hệ thống vào thực tế đã dần đi vào ổn định và về cơ bản đã hoàn thành, bước tiếp theo doanh nghiệp phải kiểm tra hoạt động và quyết định hành động tiếp theo.

Trong ISMS, đánh giá nội bộ và xem xét của lãnh đạo là yêu cầu bắt buộc.

Để có được chứng chỉ ISMS (ISO 27001), doanh nghiệp/tổ chức cần phải tiến hành đánh giá nội bộ và thực hiện xem xét của lãnh đạo, và phải lưu giữ hồ sơ về kế hoạch triển khai và kết quả thực hiện.

 

(5) Đánh giá giai đoạn 1

Sau khi đã thực hiện xem xét của lãnh đạo, doanh nghiệp/ tổ chức chuẩn bị cho đánh giá

Với đánh giá chứng nhận lần đầu, sẽ có 2 giai đoạn đánh giá. Đánh giá giai đoạn 1 chủ yếu kiểm tra tài liệu, hồ sơ.

Các tài liệu và hồ sơ sẽ được kiểm tra xem chúng có đáp ứng các yêu cầu của ISMS (ISO 27001) hay không, nếu không có vấn đề gì, doanh nghiệp/tổ chức có thể tiếp tục đánh giá giai đoạn 2.

 

(6) Đánh giá giai đoạn 2

Sau đánh giá giai đoạn 1, đánh giá giai đoạn 2, hay còn gọi là đánh giá tại chỗ, sẽ được tiến hành.
Đánh giá giai đoạn 2 kiểm tra tính hiệu lực của hệ thống, kiểm tra sự tuân thủ các quy định do công ty đã đề ra, kiểm tra nội dung công việc thực tế và kiểm tra hiện trường.

Tại giai đoạn này, chuyên gia đánh giá cũng sẽ kiểm tra kết quả thực hiện hành động khắc phục trong đợt đánh giá giai đoạn 1, vì vậy hãy đảm bảo hoàn thành thực hiện hành động khắc phục trước đợt đánh giá giai đoạn 2.

 

(7) Hoàn tất chứng nhận

Sau khi hoàn thành đánh giá giai đoạn 2 và Tổ chức chứng nhận chấp nhận hệ thống quản lý của doanh nghiệp phù hợp với tiêu chuẩn ISO 27001, doanh nghiệp bạn sẽ nhận được giấy chứng nhận và được quyền sử dụng dấu chứng nhận/công nhận. Bạn có thể đăng dấu chứng nhận này trên danh thiếp hoặc trang web của mình.

Tuy nhiên, nhận được chứng chỉ ISMS (ISO 27001) không đồng nghĩa mọi việc đã kết thúc, doanh nghiệp bạn phải duy trì và tham gia đánh giá giám sát định kỳ hàng năm. Cho nên hãy luôn trong tư thế chuẩn bị hướng tới kỳ đánh giá tiếp theo.

 

5. Tiêu chuẩn liên quan: ISO 27017

ISO 27017 là tiêu chuẩn ISO liên quan đến bảo mật đám mây.

Nếu bạn muốn đạt chứng nhận ISO 27017, trước tiên bạn phải đạt được ISO 27001 (ISMS) hoặc đạt được ISMS và ISO 27017 cùng lúc (tiêu chuẩn bổ sung).

Lợi ích của chứng nhận có thể kể đến là: nâng cao hình ảnh công ty về hệ thống bảo mật với các tổ chức bên ngoài, trúng thầu các dự án của chính phủ và có thể nhận được hợp đồng từ các khách hàng lớn.

Các doanh nghiệp nên lấy chứng chỉ này là các doanh nghiệp cung cấp dịch vụ đám mây như “SaaS”, “PaaS” và “IaaS”.

 

Tổng kết

Bạn thấy sao? Lấy chứng chỉ ISO 27001 (ISMS) quả thực không phải là điều dễ dàng, song xét đến những lợi ích mà ISO đem lại thì nó hoàn toàn xứng đáng với công sức bạn bỏ ra. Hy vọng bài viết này đã giúp bạn có thêm thông tin về quy trình đạt chứng nhận, giúp doanh nghiệp bạn có hướng đi đúng trên hành trình đạt chứng nhận ISO 27001 (ISMS). Nếu bạn có bất cứ thắc mắc nào trong quá trình xây dựng và áp dụng ISO, hãy liên hệ với chuyên gia tư vấn của 3AC để được giải đáp miễn phí nhé.

Những thay đổi của phiên bản ISO 27001:2022

 

Phiên bản ISO / IEC 27001: 2022 mới được xuất bản vào tháng 10 năm 2022. Thay đổi chính của tiêu chuẩn lần này là ISO 27002, còn được gọi là tiêu chuẩn hướng dẫn của ISO 27001. Vì vậy, mặc dù không có sửa đổi lớn trong bản cập nhật ISO 27001:2022, nhưng doanh nghiệp cần phải xem xét lại hoạt động của hệ thống quản lý của mình.

 

 

1. Bối cảnh sửa đổi tiêu chuẩn

Sửa đổi tiêu chuẩn là thay đổi các quy định để phù hợp hơn với tình hình hiện tại, phù hợp với những thay đổi của điều kiện, hoàn cảnh và môi trường xã hội.
Tổ chức Tiêu chuẩn hóa Quốc tế, có trụ sở chính tại Geneva, Thụy Sĩ, tổ chức các cuộc họp định kỳ để xem xét các tiêu chuẩn đã thiết lập; và ISO 27001 (ISMS) là một trong số các tiêu chuẩn quốc tế được xem xét.

ISO 27001 là một tiêu chuẩn về bảo mật thông tin, vì vậy việc xem xét này cần được tiến hành nhằm đáp ứng tính đa dạng của truyền thông và thực tế nó đang được xem xét.
Theo nguyên tắc, các sửa đổi sẽ được thực hiện theo “chu kỳ 5 năm 1 lần”, nhưng có rất ít trường hợp về các sửa đổi được thực hiện đúng tần suất như vậy.
ISO 27001 ra đời là một tiêu chuẩn quốc tế vào năm 2000, sau đó được đổi mới thành phiên bản thứ 2 vào năm 2005 và phiên bản thứ 3 vào năm 2013. Lần này, phiên bản thứ 4 (ISO 27001:2022) đã được xuất bản và là phiên bản mới nhất.

 

2. Phiên bản mới nhất tại thời điểm hiện tại của ISO 27001 là gì?

Kể từ tháng 11 năm 2022, phiên bản mới nhất của ISO 27001 là phiên bản 2022.
Năm 2022 là năm xuất bản bản gốc bằng tiếng Anh và sau đó sẽ được dịch sang các ngôn ngữ trên toàn thế giới.

 

3. Khi nào cần thực hiện sửa đổi?

[Quy trình sửa đổi tiêu chuẩn]

Quy trình sửa đổi tiêu chuẩn ISO 27001
Quy trình sửa đổi tiêu chuẩn ISO 27001

Bản sửa đổi tiêu chuẩn ISO 27001 đã được xuất bản vào ngày 25 tháng 10 năm 2022.
Việc sửa đổi tiêu chuẩn nên được thực hiện trong năm đánh giá tái chứng nhận.
Tùy thuộc vào Tổ chức chứng nhận, có Tổ chức có thời gian và chi phí đánh giá thấp hơn so với đánh giá giám sát.

Không có sự khác biệt quá lớn giữa phiên bản tiếng Anh và bản tiếng Việt ISO 27001. Hãy tham khảo bản song ngữ ISO 27001 và thực hiện các thay đổi theo yêu cầu của tiêu chuẩn.

 

4. Mối liên hệ giữa ISO 27001 và ISO 27002

Như đã đề cập ở trên, ISO 27001 là một tiêu chuẩn quốc tế ISO 27001 có một mục gọi là “Phụ lục A”, Phụ lục A mô tả các mục tiêu quản lý nhằm giảm thiểu rủi ro an toàn thông tin và các biện pháp kiểm soát nhằm đạt được mục tiêu đó.

ISO 27002 chứa các giải thích và ví dụ cụ thể về các biện pháp kiểm soát trong Phụ lục A.
Vì ISO 27002 là tiêu chuẩn không thể thiếu để tổ chức thực hiện các biện pháp quản lý ISO 27001, cho nên nó còn được gọi là tiêu chuẩn hướng dẫn ISO 27001.

 

5. Thời gian cập nhật và chuyển đổi sang phiên bản mới

Thời gian cập nhật ISMS và chuyển đổi chứng nhận sang ISO/IEC 27001:2022 chậm nhất là ngày 31/10/2025.

Tổ chức chứng nhận sẽ đánh giá việc thực hiện các thay đổi trong giai đoạn chuyển đổi này, và nếu không có vấn đề gì, việc sửa đổi tiêu chuẩn coi như được hoàn thành.
Bạn sẽ được thông báo ngay khi Tổ chức chứng nhận sẵn sàng cho cuộc đánh giá chuyển đổi.
Đánh giá chuyển đổi thường được tiến hành đồng thời với đánh giá giám sát định kỳ và đánh giá chứng nhận lại.
Tùy từng Tổ chức chứng nhận mà cách làm sẽ khác nhau, cho nên bạn nên liên hệ với cơ quan chứng nhận mà bạn đang đánh giá để xác nhận.

 

6. Những điểm thay đổi của tiêu chuẩn

Phụ lục A của ISO 27001:2013 có các biện pháp kiểm soát bao gồm 114 mục.
Bằng cách thực hiện các biện pháp kiểm soát này, rủi ro an toàn thông tin sẽ được giảm thiểu.

Bản sửa đổi của ISO 27002, bao gồm các giải thích và ví dụ cụ thể về các biện pháp kiểm soát này, đã được hoàn thành và nội dung thay đổi đáng kể.
Bản sửa đổi của ISO 27001 là bản sửa đổi của Phụ lục A về sự thay đổi trong biện pháp kiểm soát này.

Những thay đổi cụ thể về các biện pháp kiểm soát:

Trong số 114 biện pháp kiểm soát:
・Cập nhật 58 mục
・Tích hợp 24 mục
・Thêm mới 11 mục
Tổng số mục đã xóa bỏ là 93 mục.

Nếu bạn lo lắng về việc “Không biết rõ các thay đổi”, “Không biết phải làm như thế nào”, bạn có thể hỏi ý kiến chuyên gia tư vấn của 3AC chúng tôi để được hướng dẫn cụ thể.

 

7. Những lưu ý khi thực hiện sửa đổi

(1) Hồ sơ và biểu mẫu

Vì các biện pháp kiểm soát thay đổi nên bạn cần rà soát lại nội dung Tuyên bố về khả năng áp dụng và các quy định kiểm soát an toàn thông tin sao cho phù hợp.

 

(2) Nội bộ công ty

Nhân viên phụ trách ISO nên thu thập thông tin về việc sửa đổi tiêu chuẩn.
Vào thời điểm này các thông tin chưa được rõ ràng, vì vậy hãy cập nhật thông tin thường xuyên để nắm được các sửa đổi đối với các tiêu chuẩn. Chúng tôi sẽ cập nhật bài viết này với thông tin mới nhất, hãy lưu lại đường link để tiện theo dõi nhé.

Khi bạn đã xác nhận thời điểm sửa đổi tiêu chuẩn, bước tiếp theo là thu thập thông tin từ Tổ chức chứng nhận.
Lý do là khi các tiêu chuẩn được sửa đổi, các quy định của mỗi tổ chức sẽ thay đổi đồng thời với quy định của tổ chức.

 

Tổng kết

Bạn đã nắm được thông tin về những thay đổi chính của bản cập nhật ISO 27001:2022 rồi chứ. Vì các biện pháp kiểm soát sẽ được thay đổi trong lần sửa đổi này, nên doanh nghiệp cần phải rà soát lại Tuyên bố về khả năng áp dụng và Quy định kiểm soát an toàn thông tin sao cho phù hợp.
Nội dung chi tiết của đánh giá chuyển đổi sẽ thay đổi tùy mỗi Tổ chức chứng nhận, vì vậy hãy xác nhận với Tổ chức chứng nhận để cuộc đánh giá diễn ra suôn sẻ hơn nhé.

Đạt chứng nhận ISO 27001 (ISMS) liệu có khó?

 

Việc thất bại trong đánh giá ISMS là điều rất hiếm khi xảy ra. Sự không phù hợp được phát hiện trong quá trình đánh giá là cơ hội để xem xét và cải thiện hệ thống quản lý an toàn thông tin của tổ chức. Có 3 loại hình đánh giá khác nhau và nội dung đánh giá cũng sẽ khác nhau, vì vậy hãy đảm bảo rằng bạn đã nắm chắc kiến thức và chuẩn bị kỹ trước buổi đánh giá chính thức.

 

 

1.Khái quát về đánh giá ISMS

Đánh giá ISMS gồm 5 bước chính:
① Đăng ký chứng nhận
② Tiếp nhận đăng ký
③ Sắp xếp lịch đánh giá
④ Đánh giá
⑤ Chứng nhận
Tổng cộng khoảng 3 tháng!!!

 

(1) Đăng ký chứng nhận

Trường hợp doanh nghiệp bạn lần đầu xin cấp chứng nhận hoặc thay đổi Tổ chức chứng nhận, bạn phải làm thủ tục đăng ký chứng nhận đến Tổ chức chứng nhận.
Cách thức đăng ký và các tài liệu cần chuẩn bị sẽ thay đổi tùy từng Tổ chức chứng nhận. Bạn có thể tham khảo chi tiết tại Homepage của các Tổ chức chứng nhận.

 

(2) Tiếp nhận đăng ký

Sau khi Tổ chức chứng nhận kiểm tra hồ sơ đăng ký, họ sẽ tính toán chi phí đánh giá và công số đánh giá (số chuyên gia đánh giá và số ngày đánh giá).
Nếu không có vấn đề gì, Tổ chức chứng nhận và doanh nghiệp sẽ tiến hành ký kết hợp đồng đánh giá và đăng ký chứng nhận.

 

(3) Sắp xếp lịch đánh giá

Bước tiếp theo, doanh nghiệp sẽ phải điều chỉnh lịch trình đánh giá với Tổ chức chứng nhận.
Hãy đảm bảo việc sắp xếp này được thực hiện 2 tháng trước ngày đánh giá để tránh tình trạng không thể điều chỉnh đúng ngày bạn mong muốn do Tổ chức chứng nhận quá bận rộn.

 

(4) Đánh giá

Trường hợp doanh nghiệp bạn lần đầu xin cấp chứng nhận, đánh giá chứng nhận sẽ được chia ra làm 2 giai đoạn: đánh giá giai đoạn 1 và đánh giá giai đoạn 2.
Trường hợp doanh nghiệp bạn đánh giá giám sát và đánh giá tái chứng nhận, có Tổ chức chia ra làm nhiều lần đánh giá, cũng có Tổ chức chỉ đánh giá duy nhất 1 ngày.

 

(5) Chứng nhận

Phía Tổ chức chứng nhận sẽ họp bàn về quyết định chứng nhận.
Nếu không có vấn đề gì, Tổ chức chứng nhận sẽ ban hành Giấy chứng nhận cho doanh nghiệp bạn.

Trên là toàn bộ nội dung các bước đánh giá chính. Để tham gia đánh giá, doanh nghiệp phải triển khai xây dựng ISMS.

 

2. Các loại hình đánh giá

Có 3 loại đánh giá ​​ISMS (ISO 27001): đánh giá chứng nhận, đánh giá giám sát và đánh giá tái chứng nhận.

Sau khi đạt được chứng nhận ISMS (ISO 27001), doanh nghiệp bạn vẫn phải tham gia đánh giá giám sát định kỳ hàng năm, và đánh giá tái chứng nhận sau 3 năm trước khi Giấy chứng nhận hết hiệu lực.

Đánh giá chứng nhận lần đầu Đánh giá duy trì Đánh giá chứng nhận lại
Tên gọi Đánh giá chứng nhận Đánh giá định kỳ

Đánh giá giám sát

Đánh giá tái chứng nhận
Nội dung đánh giá Kiểm tra hệ thống quản lý an toàn thông tin của tổ chức có vấn đề gì không Kiểm tra tình hình thực hiện tính từ lần đánh giá gần nhất Kiểm tra tình hình thực hiện của 3 năm tính từ lần đánh giá chứng nhận
Mục đích đánh giá Đánh giá giai đoạn 1: kiểm tra tài liệu, hồ sơ

Đánh giá giai đoạn 2: kiểm tra tình hình thực hiện thực tế

Kiểm tra việc duy trì áp dụng có vấn đề gì không Kiểm tra xem việc chứng nhận lại ISO có vấn đề gì không, xem có thay đổi gì kể từ lần đánh giá chứng nhận trước hay không và tình hình thực hiện trong 3 năm qua thế nào
Công số đánh giá Đánh giá thường được chia ra làm 1 giai đoạn: giai đoạn 1 và giai đoạn 2, và được tiến hành cách nhau 1 tháng Trong nhiều trường hợp, chuyên gia đánh giá và số ngày đánh giá giám sát ít hơn so với đánh giá tái chứng nhận Thông thường đánh giá tái chứng nhận mất nhiều thời gian và cần nhiều chuyên gia đánh giá hơn đánh giá giám sát

 

(1) Đánh giá để được cấp chứng chỉ lần đầu

Cách gọi:
Tùy mỗi Tổ chức chứng nhận mà cách gọi khác nhau, Đánh giá để được cấp chứng chỉ lần đầu được gọi là “đánh giá lần đầu” hoặc “đánh giá chứng nhận”.
Đánh giá được chia ra làm 2 giai đoạn: đánh giá giai đoạn 1 và đánh giá giai đoạn 2.

Nội dung đánh giá:
Kiểm tra hệ thống quản lý an toàn thông tin của tổ chức có vấn đề gì không.

Mục đích đánh giá:
① Đánh giá giai đoạn 1: chủ yếu kiểm tra các tài liệu liên quan đến ISMS đã đầy đủ và thích hợp chưa.
② Đánh giá giai đoạn 2: kiểm tra tình hình thực hiện dựa trên tài liệu ISMS. Cụ thể, đó là việc đánh giá sự tuân thủ các quy định trên giấy tờ đã được kiểm tra tại đánh giá giai đoạn 1.

Công số đánh giá:
Công số đánh giá sẽ thay đổi tùy vào số địa điểm, phạm vi áp dụng và số nhân viên.
Đánh giá thường được chia ra làm 1 giai đoạn: giai đoạn 1 và giai đoạn 2, và được tiến hành cách nhau 1 tháng.

 

(2) Đánh giá duy trì

Cách gọi:
Tùy mỗi Tổ chức chứng nhận mà cách gọi khác nhau, ví dụ: “đánh giá định kỳ” hoặc “đánh giá giám sát”.

Nội dung đánh giá:
Kiểm tra tình hình thực hiện kể từ lần đánh giá trước.

Mục đích đánh giá:
Kiểm tra xem việc duy trì có vấn đề gì không.

Công số đánh giá:
Trong nhiều trường hợp, chuyên gia đánh giá và số ngày đánh giá giám sát ít hơn so với đánh giá tái chứng nhận.

 

(3) Đánh giá tái chứng nhận

Cách gọi:
Tùy mỗi Tổ chức chứng nhận mà cách gọi khác nhau, Đánh giá sau 3 năm trước khi giấy chứng nhận hết hiệu lực được gọi là “đánh giá tái chứng nhận” hoặc “đánh giá chứng nhận lại”.

Nội dung đánh giá:
Kiểm tra tình hình thực hiện trong 3 năm kể từ lần đánh giá chứng nhận trước.

Mục đích đánh giá:
Kiểm tra xem việc chứng nhận lại ISO có vấn đề gì không, xem có thay đổi gì kể từ lần đánh giá chứng nhận trước hay không và tình hình thực hiện trong 3 năm qua thế nào.

Công số đánh giá:

Thông thường đánh giá tái chứng nhận mất nhiều thời gian và cần nhiều chuyên gia đánh giá hơn đánh giá giám sát.

Như vậy có thể thấy, đánh giá chứng nhận lần đầu mất nhiều công số nhất trong 3 loại hình đánh giá.
Tổ chức chứng nhận sẽ kiểm tra rất kỹ các tài liệu liên quan đến ISMS và tình hình thực hiện thực tế, cho nên chắc chắn sẽ có những phát hiện đánh giá về sự không phù hợp và điểm cần cải tiến.

Bên cạnh đó, đánh giá tái chứng nhận sẽ mất nhiều thời gian hơn và cần nhiều chuyên gia đánh giá hơn so với đánh giá giám sát.
Khác với đánh giá giám sát, đánh giá chứng nhận lại có thể có những sự không phù hợp bạn chưa bao giờ nghe qua.

 

3. 7 hồ sơ cần thiết cho đánh giá

Để được đánh giá, doanh nghiệp cần có hồ sơ hoạt động. Với đánh giá duy trì, cần có hồ sơ vận hành trong vòng 1 năm, và với đánh giá chứng nhận lại, cần có bộ hồ sơ trong vòng 3 năm.

Ngoài 7 hồ sơ sau đây, Tổ chức chứng nhận cũng có thể kiểm tra các hồ sơ về hoạt động thực tế và bảo mật được thực hiện trên thực tế:
① Bảng đánh giá rủi ro thông tin
② Bảng quản lý mục tiêu
③ Kế hoạch ứng phó với rủi ro
④ Hồ sơ đào tạo
⑤ Kế hoạch kinh doanh liên tục
⑥ Hồ sơ đánh giá nội bộ
⑦ Hồ sơ thực hiện xem xét của lãnh đạo

 

4. Quy trình đánh giá

Dưới đây là quy trình đánh giá ISMS (ISO 27001):

① Họp khai mạc
② Phỏng vấn Lãnh đạo
③ Thăm quan (kiểm tra phạm vi bảo mật)
④ Làm việc với Người quản trị hệ thống
⑤ Xác nhận tình hình thực hiện cải tiến các điểm lưu ý trong lần đánh giá trước
⑥ Làm việc với từng phòng ban
⑦ Họp bế mạc

Đánh giá duy trì và đánh giá chứng nhận lại cũng có quy trình đánh giá tương tự như trên, tuy nhiên với đánh giá chứng nhận lại thì chuyên gia sẽ xác nhận lại nội dung đăng ký lúc đầu và sẽ hỏi chi tiết Người quản trị hệ thống và các phòng ban khác.

 

5. Chi phí đánh giá ISMS

Tổ chức chứng nhận sẽ đánh giá ISMS định kỳ, cho nên doanh nghiệp phải thanh toán chi phí đánh giá hàng năm.
Chi phí đánh giá sẽ thay đổi tùy từng tổ chức, công số, v.v..
Dưới đây là chi phí đánh giá tham khảo:

Số lượng nhân viên Đánh giá chứng nhận Đánh giá giám sát năm thứ 2 Đánh giá giám sát năm thứ 3
1~15 25,000,000 9,000,000 9,000,000
16~80 45,000,000 17,000,000 17,000,000
80~120 63,000,000 22,000,000 22,000,000

 

(1) Đánh giá chứng nhận

Đánh giá chứng nhận được chia ra làm 2 giai đoạn, và chuyên gia đánh giá sẽ kiểm tra kỹ tình hình thực tế.
Đánh giá chứng nhận lần đầu là đợt đánh giá có chi phí cao nhất.

 

(2) Đánh giá giám sát

Nếu không có gì thay đổi về số lượng nhân viên, số địa điểm, lĩnh vực áp dụng thì chi phí đánh giá giám sát của 2 năm tiếp theo sẽ tương đương nhau.
Đánh giá giám sát chỉ đánh giá tình hình thực hiện trong vòng 1 năm, vì thế chi phí đánh giá giám sát thường sẽ thấp hơn so với chi phí đánh giá chứng nhận lần đầu.

 

(3) Đánh giá tái chứng nhận

Đánh giá tái chứng nhận là đánh giá việc thực hiện của cả 3 năm cho nên chi phí sẽ cao hơn so với đánh giá giám sát.

 

6. Các trường hợp sẽ trở thành sự không phù hợp và cách xử lý

(1) Sự không phù hợp nghiêm trọng

Là kết quả mà trong quá trình đánh giá, chuyên gia đánh giá xác định rằng “Hệ thống quản lý không hoạt động” thì đây được gọi là “sự không phù hợp nghiêm trọng”. Các ví dụ điển hình có thể kể đến là: không thực hiện đánh giá nội bộ hoặc xem xét của lãnh đạo.

Nếu phát hiện sự không phù hợp nghiêm trọng trong quá trình đánh giá, buổi đánh giá có thể bị tạm dừng. Việc đăng ký hoặc cấp lại chứng nhận sẽ bị hoãn lại, nhưng nếu doanh nghiệp bạn tham gia đánh giá lại và nhận được sự cho phép, bạn vẫn có thể hoàn tất quá trình chứng nhận.

 

(2) Sự không phù hợp nhẹ

Hầu hết trong các đợt đánh giá, sự không phù hợp được phát hiện nhiều nhất là sự không phù hợp nhẹ. Trong quá trình đánh giá, khi chuyên gia xác định “một phần yêu cầu không được đáp ứng”, thì đây được coi là sự không phù hợp nhẹ.

Nếu có sự không phù hợp nhẹ, doanh nghiệp phải thực hiện hành động khắc phục dựa trên các quy định của tổ chức và gửi báo cáo hành động khắc phục cho chuyên gia đánh giá theo quy định của Tổ chức chứng nhận.

 

(3) Điểm lưu ý

Đôi khi, dù không phải là không phù hợp, chuyên gia vẫn có thể đưa ra những điểm cần lưu ý. Tùy Tổ chức chứng nhận mà tên gọi có thể khác nhau như “điểm quan sát”, “điểm khuyến nghị” hoặc “cơ hội cải tiến”.
Mặc dù không nhất thiết phải thực hiện hành động khắc phục, nhưng hãy coi đó là lời khuyên dưới góc nhìn của các chuyên gia và xem xét xem có cần phải thực hiện các biện pháp hay không.

 

7. Biến sự không phù hợp thành cơ hội cải tiến

Phần lớn các doanh nghiệp đều không muốn phát sinh sự không phù hợp trong quá trình đánh giá, nhưng thực tế là việc nhận được phát hiện về sự không phù hợp có thể mang lại cho doanh nghiệp 2 lợi ích dưới đây:

Giúp bạn tìm ra những thách thức và vấn đề cần cải thiện trong công việc và quản lý.
– Việc nhận được nhận xét từ bên thứ ba có thể thay đổi nhận thức, tăng sức ép và tái nhận thức về quy định của công ty cho nhân viên.

Hãy nhìn nhận phát hiện đánh giá về sự không phù hợp như là cơ hội để tìm ra những vấn đề cần cải thiện, vì doanh nghiệp không nhận được sự không phù hợp là rất ít.
Hãy chuẩn bị một cách hợp lý, không cần chuẩn bị quá nhiều, và sử dụng thời gian để khắc phục sự không phù hợp được phát hiện trong quá trình đánh giá.

 

8. Để không thất bại trong đợt đánh giá

Trường hợp thất bại và không được cấp chứng nhận ISMS (ISO 27001) là rất hiếm.
Dưới đây là 4 trường hợp không được cấp chứng nhận ISMS (ISO 27001):
① Không thực hiện đánh giá nội bộ
② Không thực hiện xem xét của lãnh đạo
③ Không thanh toán chi phí đánh giá
④ Không thực hiện hành động khắc phục sự không phù hợp

Trường hợp mở rộng phạm vi chứng nhận, chuyên gia đánh giá sẽ xem xét kỹ phạm vi được mở rộng đó, cho nên bạn cần chú ý điểm này.

 

Tổng kết

Đánh giá hệ thống quản lý an toàn thông tin được chia thành 3 loại đánh giá chính: đánh giá chứng nhận lần đầu, đánh giá giám sát định kỳ và đánh giá chứng nhận lại.
Có 5 bước từ khi đăng ký đến khi hoàn tất chứng nhận (tái chứng nhận) và hồ sơ cần chuẩn bị tại thời điểm đăng ký sẽ khác nhau tùy từng Tổ chức chứng nhận.
Sự không phù hợp được phát hiện trong quá trình đánh giá có thể trở thành cơ hội để xem xét lại và cải tiến hệ thống an toàn thông tin của tổ chức và là gợi ý để cải thiện các hoạt động của tổ chức.

Quy trình đánh giá nội bộ ISO 14001

 

Đánh giá nội bộ ISO 14001 là một hoạt động quan trọng tương ứng C (CHECK) trong chu trình PDCA nhằm đánh giá việc tuân thủ các yêu cầu của tiêu chuẩn và hoạt động vận hành hệ thống quản lý. Trong bài viết này, 3AC sẽ giải thích mục đích và các lưu ý khi đánh giá, cũng như các phương pháp để đánh giá nội bộ ISO 14001 sao cho hiệu quả.

 

 

1. Đánh giá nội bộ và mục đích của đánh giá nội bộ ISO 14001

ISO 14001 yêu cầu đánh giá để kiểm tra xem các quy trình do tổ chức thiết lập có phù hợp với các yêu cầu của tiêu chuẩn hay không.
Mục đích của đánh giá nội bộ là kiểm tra xem có bất kỳ vấn đề nào với hệ thống quản lý hay không.

Đánh giá nội bộ không chỉ để kiểm tra tính phù hợp với các yêu cầu của tiêu chuẩn mà còn là cơ hội để suy nghĩ về cách cải thiện giúp tổ chức ngày một tốt lên và điều này làm tăng tính hiệu lực của đánh giá nội bộ.
Ngoài ra, khi tiến hành đánh giá nội bộ, tổ chức cần lập kế hoạch về tần suất, quy trình đánh giá, vai trò, tiêu chuẩn đánh giá và phạm vi đánh giá.

 

2. Quy trình đánh giá nội bộ ISO 14001

Bước đầu tiên cũng là bước quan trọng nhất trong đánh giá nội bộ đó là lập kế hoạch đánh giá.

Theo ISO 14001, tổ chức cần lập kế hoạch cho các nội dung dưới đây:
(1) Các hạng mục đánh giá ưu tiên
(2) Ngày đánh giá
(3) Bộ phận được đánh giá
(4) Đánh giá viên
(5) Bộ phận của đánh giá viên
(6) Nội dung các phát hiện đánh giá trước đó

Bên cạnh đó, vì đánh giá viên nội bộ không được phép đánh giá công việc của bộ phận mình làm việc, cho nên tổ chức cần lựa chọn ít nhất 2 đánh giá viên trở lên.

Đánh giá nội bộ cũng không thể kiểm tra tất cả dữ liệu và tài liệu của toàn bộ tổ chức.
Vì vậy, tổ chức cần tiến hành kiểm tra ngẫu nhiên và thu hẹp phạm vi đánh giá.
Và đừng quên tạo lập bản ghi chép mô tả người phụ trách, thời gian và nội dung đánh giá.
Vì trong buổi đánh giá chính thức, chuyên gia đánh giá sẽ kiểm tra bằng chứng khách quan và hồ sơ ghi chép về thời gian, người thực hiện, v.v..

 

3. Để đánh giá nội bộ có hiệu quả

Đánh giá nội bộ không chỉ kiểm tra xem các yêu cầu của tiêu chuẩn có được đáp ứng hay không hoặc liệu có bất kỳ vấn đề nào trong việc vận hành hay không, mà còn tạo cơ hội để tổ chức suy nghĩ về phương pháp thực hiện công việc dễ dàng hơn và xem xét tính hiệu quả của phương pháp hiện tại.
Điều quan trọng là tổ chức sẽ tập trung đánh giá nội dung gì.
Dưới đây là 4 lợi ích của việc thực hiện đánh giá nội bộ hiệu quả.

① Thời điểm xem xét

Đặc biệt đối với trường hợp có nhiều người cùng làm việc, bạn có thể xem xét lại quy trình làm việc đã được thống nhất chưa và liệu các thay đổi đã được thông báo tới toàn thể tổ chức hay chưa tại thời điểm đánh giá nội bộ.

 

② Đánh giá chéo

Đánh giá nội bộ được thực hiện bởi các đánh giá viên từ các phòng ban khác nên quan điểm của mỗi bên là hoàn toàn khác nhau.
Cho nên đây chính là cơ hội để khám phá những mặt tốt ở các bộ phận khác và học hỏi để vận dụng vào bộ phận của mình.

 

③ Tạo sự nghiêm túc chỉn chu

Mức độ nghiêm túc thực hiện giữa tổ chức có thực hiện đánh giá nội bộ và tổ chức không thực hiện đánh giá nội bộ hoàn toàn khác nhau.
Đánh giá nội bộ sẽ giúp tổ chức tìm ra sự cải tiến và thực hiện hiệu quả chu trình PDCA hơn nữa.
Ngoài ra, vì bất kỳ ai cũng có cơ hội trở thành đánh giá viên nên đây là cơ hội để các nhân viên kỳ cựu nhận được các đề xuất từ các nhân viên trẻ tuổi.

 

④ Phát huy các mặt tốt

Nếu phát hiện bộ phận đánh giá thực hiện tốt quy trình hoặc cơ chế trong quá trình đánh giá, đánh giá viên nên để lại ghi chép về “Good Point” trong Báo cáo đánh giá nội bộ.
Việc đề cập “Good Point” như này sẽ giúp nâng cao nhận thức của bộ phận đánh giá.

 

4. Hồ sơ cần thiết trong đánh giá nội bộ

Các hồ sơ cần thiết cho đánh giá nội bộ là “Kế hoạch đánh giá nội bộ”, “Báo cáo đánh giá nội bộ” và “Danh sách kiểm tra đánh giá nội bộ”.
Ngoài ra, cần phải có Báo cáo hành động khắc phục và bằng chứng nếu có sự không phù hợp.

“Báo cáo đánh giá nội bộ” bao gồm các ghi chép về ngày giờ thực hiện, bộ phận được đánh giá, đánh giá viên và nội dung của sự không phù hợp nếu có.

Trong “Danh sách kiểm tra đánh giá nội bộ”, không chỉ đánh giá phù hợp hay không phù hợp dựa trên các tiêu chí đánh giá, mà còn cần ghi chép cả bằng chứng khách quan làm lý do cho việc đánh giá đó (thời gian và người tạo lập, v.v.).
Nội dung này có thể sẽ được kiểm tra trong buổi đánh giá chính thức.

 

Tổng kết

Đánh giá nội bộ kiểm tra mức độ tuân thủ các yêu cầu của ISO 14001 và các quy định của tổ chức. Để phát huy 4 lợi ích của đánh giá nội bộ kể trên, tổ chức cần đánh giá từ góc nhìn “tìm ra cách thức làm việc tốt nhất” và “tìm kiếm mọi cơ hội để cải tiến”.
Đánh giá nội bộ là một hoạt động quan trọng trong hệ thống quản lý. Tổ chức cần tìm ra biện pháp để giải quyết các vấn đề hiện tại, nâng cao sự hài lòng của khách hàng, tạo sự khác biệt rõ rệt với các đối thủ cạnh tranh, v.v,.. để cải thiện công ty ngày một tốt hơn trong tương lai.

3 loại chi phí chứng nhận ISO 14001

 

Chi phí để được cấp chứng chỉ ISO 14001 là thắc mắc của không ít doanh nghiệp. Nắm được các loại chi phí sẽ giúp doanh nghiệp bạn đảm bảo ngân sách cho việc triển khai xây dựng và áp dụng ISO 14001 được diễn ra suôn sẻ hơn. Hãy cùng tìm hiểu các loại chi phí để đạt được chứng nhận ISO 14001 qua bài viết dưới đây.

 

 

1. Chi phí để được cấp chứng chỉ ISO 14001

Chi phí để được cấp chứng chỉ ISO 14001 là tổng các loại chi phí bao gồm từ giai đoạn bắt đầu triển khai cho đến khi hoàn tất chứng nhận.

Chi phí để được cấp chứng chỉ ISO 14001 bao gồm 3 loại chi phí chính dưới đây:
①Chi phí đánh giá
②Chi phí xây dựng hệ thống quản lý
③Chi phí đầu tư trang thiết bị và các loại chi phí khác

 

2. Chi phí đánh giá

Chi phí đánh giá là chi phí bắt buộc để được cấp chứng chỉ ISO 14001.

Trong chi phí đánh giá, có thể phát sinh thêm hoặc bao gồm chi phí đi lại và ăn ở của chuyên gia tư vấn và chi phí đăng ký dấu công nhận.
Ngoài ra còn có thêm một số chi phí khác tùy từng Tổ chức chứng nhận song các chi phí kể trên là chi phí thường thấy.

Chi phí đánh giá sẽ thay đổi rất nhiều tùy vào quy mô doanh nghiệp và số địa điểm. Chi phí đánh giá cũng sẽ thay đổi tùy từng Tổ chức chứng nhận.

Có hơn 90 Tổ chức chứng nhận tại Việt Nam, cho nên bạn hãy xin báo giá một vài Tổ chức rồi so sánh để tìm ra Tổ chức phù hợp nhất với doanh nghiệp mình.

 

3. Chi phí xây dựng hệ thống quản lý

Chi phí xây dựng và vận hành hệ thống quản lý là loại chi phí có thể cắt giảm.

Để được đánh giá chứng nhận ISO 14001, điều đầu tiên doanh nghiệp phải làm là xây dựng và vận hành hệ thống quản lý bằng cách thiết lập các quy định, quy trình, tiêu chuẩn.

Để xây dựng hệ thống quản lý, bạn cần có kiến thức về tiêu chuẩn ISO 14001.
Chi phí xây dựng hệ thống quản lý cũng sẽ thay đổi tùy thuộc vào việc doanh nghiệp bạn tự tìm hiểu để xây dựng hay thuê công ty tư vấn bên ngoài.

 

(1) Trường hợp doanh nghiệp tự xây dựng

Doanh nghiệp tự xây dựng hệ thống quản lý không đồng nghĩa với việc không mất bất kỳ khoản phí nào.

Đa số các doanh nghiệp chỉ định một nhân viên phụ trách công việc chính đồng thời phụ trách việc xây dựng hệ thống ngoài giờ hành chính, điều này làm tốn nhiều thời gian và công sức hơn dự kiến. Chi phí nhân công phải trả cho người này chính là chi phí xây dựng.

Đặc biệt, nếu doanh nghiệp bạn không có người có kiến ​​​​thức về tiêu chuẩn hoặc bê nguyên hệ thống của công ty khác áp dụng cho doanh nghiệp mình, bạn có thể vô tình tạo ra các quy trình không cần thiết cho công ty, dẫn đến khối lượng công việc khổng lồ.

Hơn nữa, có thể sẽ có nhiều sự không phù hợp được phát hiện khi đánh giá mà bạn phải tiến hành chỉnh sửa toàn bộ nội dung sổ tay. Và như vậy, bạn sẽ phải xử lý các công việc liên quan đến ISO ngoài giờ làm ngay cả sau đánh giá.

 

(2) Trường hợp thuê đơn vị tư vấn bên ngoài

Nếu doanh nghiệp bạn có ý định thuê đơn vị tư vấn bên ngoài, hãy xin báo giá của một vài đơn vị để so sánh trước khi lựa chọn.

Việc xây dựng hệ thống vốn không phải chuyện đơn giản, doanh nghiệp cố gắng tự xây dựng để tiết kiệm chi phí đôi khi lại càng làm phát sinh thêm nhiều khoản phí khác.

Tóm lại, nếu muốn có chứng chỉ ISO trong một khoảng thời gian ngắn, doanh nghiệp bạn nên tìm đến sự hỗ trợ của các chuyên gia tư vấn.

 

4. Chi phí đầu tư trang thiết bị và các loại chi phí khác

Một số doanh nghiệp thắc mắc có thiết bị nào cần thiết để phục vụ việc đạt chứng chỉ ISO 14001 hay không, thì câu trả lời là không.
Đối với việc đầu tư chi phí vào trang thiết bị hoặc các chi phí khác, bạn nên xem xét không chỉ từ góc nhìn về việc đạt chứng chỉ ISO 14001 mà còn từ góc nhìn “trang bị nếu công ty thấy cần thiết”.

Ví dụ, theo ISO 14001, các chi phí thiết bị cần thiết cho hoạt động kinh doanh có thể kể đến là chi phí sửa chữa thiết bị và đưa vào sử dụng một hệ thống mới.
Ngược lại, nếu có những máy móc, thiết bị không cần thiết khi ngừng ISO 14001, bạn cũng có thể loại bỏ chúng.

Trường hợp có phát hiện đánh giá về sự không phù hợp liên quan đến trang thiết bị, v.v., thì bạn có thể tốn một khoản phí để khắc phục sự không phù hợp đó, nhưng trường hợp như vậy rất hiếm.
Đồng thời, các phát hiện đánh giá cho thấy đó chính là cải tiến cần thiết trong hoạt động doanh nghiệp.

 

Tổng kết

Bạn đã nắm được các chi phí cần có để đạt chứng nhận ISO 14001 rồi chứ?
Bạn có thể tích hợp nhiều hệ thống ISO (ISO 14001, ISO 9001, ISO 27001, v.v.), song chi phí chứng nhận sẽ thay đổi tùy thuộc vào số lượng hệ thống mà doanh nghiệp bạn muốn áp dụng.
Trước hết, bạn hãy quyết định nên tự thực hiện hay thuê công ty tư vấn bên ngoài, tìm hiểu nhiều công ty tư vấn và tổ chức chứng nhận để ước tính chi phí chứng nhận cần thiết.

3 bước tạo nên sự khác biệt trước khi xây dựng ISO 14001

 

Bước đầu tiên trên hành trình lấy chứng chỉ ISO 14001 chính là xây dựng hệ thống quản lý, lập kế hoạch và chuẩn bị ngân sách để thực hiện. Trong bài viết này, 3AC sẽ chia sẻ tới các bạn tổng quan quá trình xây dựng hệ thống quản lý môi trường ISO 14001 và 3 bước cần thực hiện trước khi xây dựng hệ thống quản lý môi trường ISO 14001.

 

 

1. Những việc cần làm trước khi xây dựng HTQLMT ISO 14001

Xây dựng ISO 14001 là việc thiết lập một hệ thống để quản lý tổ chức, cụ thể, đó là việc thiết lập các quy trình và tiêu chuẩn của công ty và xây dựng các quy định rõ ràng theo tiêu chuẩn ISO 14001.
Trong quá trình xây dựng hệ thống, doanh nghiệp bạn có thể gặp khó khăn.

Dưới đây là 3 bước cần thực hiện để xây dựng HTQLMT ISO 14001:
(1) Thiết lập hệ thống vận hành
(2) Đảm bảo nguồn lực cần thiết
(3) Lập kế hoạch vận hành

Việc xác định rõ 3 bước trên sẽ có tác động tích cực đến việc áp dụng sau khi xây dựng.

 

(1) Thiết lập hệ thống vận hành

Thiết lập hệ thống vận hành là bước đầu tiên trong hành trình lấy chứng chỉ ISO.
Để vận hành hệ thống quản lý môi trường ISO 14001, tổ chức cần quyết định người chịu trách nhiệm chính (dưới đây gọi là Đại diện Lãnh đạo) để triển khai vận hành vì rất khó để kiểm soát các hoạt động riêng lẻ.

Tuy nhiên, trên thực tế, khi đã chọn được Đại diện Lãnh đạo thì việc triển khai đôi khi lại chỉ có người này thực hiện. Nếu vậy, nó sẽ không hoạt động như một hệ thống quản lý.
Hệ thống quản lý phải được toàn bộ cán bộ nhân viên trong tổ chức thực hiện, với người Đại diện Lãnh đạo ở trung tâm và người phụ trách ở mỗi bộ phận hoặc cấp bậc.

 

(2) Đảm bảo nguồn lực cần thiết

Bước thứ hai là đảm bảo các nguồn lực cần thiết.
Việc đạt chứng nhận ISO 14001 sẽ rất tốn kém, vì vậy doanh nghiệp cần phải có ngân sách để thực hiện.

Để đảm bảo ngân sách, bạn cần nắm được chi phí thực hiện. Chi phí cần thiết bao gồm chi phí xây dựng hệ thống quản lý như chi phí tư vấn, chi phí đánh giá, chi phí thiết bị và các chi phí khác, v.v..

 

(3) Lập kế hoạch vận hành

Bước thứ ba là xây dựng kế hoạch vận hành.
Nếu mục đích của việc áp dụng ISO 14001 là để “đạt được chứng nhận ISO 14001”, bạn cần đặt mục tiêu cho thời hạn lấy chứng chỉ.
Sau khi đã quyết định thời hạn đạt chứng nhận ISO 14001, bạn phải lên kế hoạch về thời gian hoàn thành việc xây dựng, thời gian bắt đầu triển khai việc áp dụng và thời gian đánh giá theo trình tự.

Không ít doanh nghiệp tiến hành mà không có kế hoạch hay mục tiêu cụ thể mà chỉ đơn giản là “muốn đạt được chứng nhận càng sớm càng tốt”. Nếu không có kế hoạch, việc xây dựng sẽ không dễ dàng hoàn thành và một số hoạt động có thể sẽ bị trì trệ.

Bên cạnh đó, bạn sẽ không thể triển khai vận hành ISO suôn sẻ do có khoảng cách với công việc chính, và khi bạn nhận ra điều đó, bạn đã mất rất nhiều thời gian và công sức, vì vậy trước tiên hãy làm rõ mục tiêu.

 

2. Xây dựng sổ tay và chính sách ISO 14001

Việc cần thực hiện trong giai đoạn xây dựng ISO 14001 là tạo lập sổ tay môi trường.
Đó là việc xây dựng các quy định của riêng công ty sao cho phù hợp với các yêu cầu của ISO 14001.

Doanh nghiệp nào cũng có sổ tay hướng dẫn và danh sách công việc cho từng bộ phận, từng công đoạn.
Các hoạt động mà công ty đang thực hiện hoặc các quy trình, quy định có sẵn cũng cần được tổng hợp dưới dạng văn bản theo tiêu chuẩn ISO 14001.
Trong hệ thống tài liệu, tài liệu quan trọng nhất là chính sách môi trường. Lãnh đạo cao nhất của tổ chức phải xây dựng định hướng và chính sách hành động cho hệ thống quản lý môi trường và phổ biến chính sách này trong nội bộ cũng như bên ngoài.

 

3. Áp dụng ISO 14001

Khi việc xây dựng hoàn tất, là đến bước vận hành ISO 14001.

Vận hành ISO 14001 bao gồm việc xác định các khía cạnh môi trường, quản lý mục tiêu, đào tạo, đánh giá việc tuân thủ, huấn luyện ứng phó với tình huống khẩn cấp, đánh giá nội bộ, xem xét của lãnh đạo, v.v.
Tóm lại, vận hành ISO 14001 là thực hiện những gì được quy định trong sổ tay môi trường.

 

Tổng kết

Trên là 3 bước cần thực hiện trước khi xây dựng và quy trình sau khi xây dựng hệ thống quản lý môi trường ISO 14001.
Việc thiết lập hệ thống, đảm bảo các nguồn lực cần thiết và lập một kế hoạch giúp việc xây dựng và vận hành trở nên dễ dàng hơn.
Nếu việc thực hiện 3 bước trên không diễn ra suôn sẻ hoặc nếu bạn đã hoàn thành 3 bước nhưng không thể tiến hành xây dựng, hãy tham khảo ý kiến ​​​​chuyên gia tư vấn.

Đào tạo theo tiêu chuẩn ISO 14001

 

Năng lực là một trong các yêu cầu của tiêu chuẩn ISO 14001. Và để đảm bảo năng lực, doanh nghiệp phải tiến hành “đào tạo”, nội dung đào tạo có thể bao gồm: các khóa học, đào tạo để lấy chứng chỉ, OJT, tập huấn, v.v…Ngoài ra, ISO 14001 cũng yêu cầu đánh giá hiệu quả của đào tạo.
Trong bài viết này, 3AC sẽ giải thích các yêu cầu trong đào tạo ISO 14001 và những nội dung sẽ được kiểm tra trong buổi đánh giá chứng nhận.

 

 

1. Đào tạo theo tiêu chuẩn ISO 14001 là gì?

“Đào tạo” theo tiêu chuẩn ISO 14001 là việc tiến hành đào tạo để nâng cao “năng lực” của nhân viên.
Nội dung đào tạo có thể bao gồm: các khóa học, đào tạo để lấy chứng chỉ, OJT, tập huấn, v.v…

Doanh nghiệp phải đào tạo nhân viên ISO và tất cả các nhân viên có liên quan.
Tuy nhiên, nếu tất cả mọi người đều có năng lực thì không cần phải tiến hành đào tạo.

 

2. Năng lực là gì?

Năng lực là “khả năng thực hiện công việc”.
Năng lực là yêu cầu không chỉ của ISO 14001 mà còn của các tiêu chuẩn khác như ISO 9001 và ISO 27001.

Đầu tiên, doanh nghiệp cần xác định năng lực của nhân viên bằng cách xem người đó có những kỹ năng gì và cần bổ sung kỹ năng gì.
Như vậy, bạn có thể tìm ra loại hình đào tạo cần thiết để nâng cao trình độ của người đó.

 

3. Các yêu cầu của ISO

Đào tạo không phải là cách duy nhất để đảm bảo năng lực.
Ngoài đào tạo còn có luân chuyển công việc và tuyển dụng những người có năng lực.

Khi tiến hành giáo dục hoặc đào tạo để nâng cao năng lực, doanh nghiệp cần lưu giữ hồ sơ về thời gian và hình thức đào tạo đã được tiến hành.

Ngoài ra, không chỉ tiến hành đào tạo, doanh nghiệp còn phải đánh giá “việc đào tạo có hiệu quả hay không”. Đánh giá tính hiệu quả chính là việc đánh giá mục đích đào tạo đã đạt được hay chưa.

Đánh giá tính hiệu quả của đào tạo là việc đánh giá xem năng lực đã được nâng cao hay không thông qua việc đào tạo hay nói cách khác là để xác định hoạt động đào tạo có đạt hiệu quả hay không.
Trên thực tế, có rất nhiều tổ chức chỉ đơn giản là thực hiện đào tạo và kết thúc mà không kiểm tra tính hiệu quả của nó.

Các phương pháp đánh giá tính hiệu quả bao gồm kiểm tra sau triển khai, báo cáo đào tạo, đánh giá và phỏng vấn.

 

4. Ví dụ về đào tạo theo tiêu chuẩn ISO 14001

(1) Đào tạo nhận thức

Nói đến đào tạo, người ta thường hình dung đến các khóa tập huấn, khóa học, hoặc tự học.
Nếu công việc đòi hỏi phải có bằng cấp, chứng chỉ thì hoạt động để đạt được chúng cũng là một trong số đó.
Trong bất cứ trường hợp nào ở trên, hồ sơ liên quan phải được lưu giữ, chẳng hạn như tài liệu đào tạo, báo cáo đào tạo, chứng chỉ, v.v..

Điều quan trọng khi đào tạo theo tiêu chuẩn ISO 14001 là đảm bảo:
・Hiểu biết về môi trường
・Đáp ứng năng lực cần thiết trong vận hành hệ thống quản lý
Và trở thành các hoạt động đào tạo cần thiết cho việc vận hành hệ thống quản lý, cho dù hoạt động đó có vẻ không liên quan gì đến môi trường.

 

(2) Huấn luyện ứng phó với tình huống khẩn cấp

Một trong những hoạt động của ISO 14001 là “8.2 Chuẩn bị sẵn sàng và ứng phó với tình huống khẩn cấp”.
Khi một “tình huống khẩn cấp” như hỏa hoạn hoặc lũ lụt xảy ra, môi trường cũng bị hủy hoại rất nhiều. Dù doanh nghiệp bạn có áp dụng bao nhiêu biện pháp thì cũng không thể ngăn chặn 100% được, nhưng bằng cách đưa ra các tình huống giả định và chuẩn bị trước, bạn có thể ứng phó nhanh chóng và giảm thiểu các tác động tiêu cực đến môi trường.

Các cuộc diễn tập ứng phó tình huống khẩn cấp được tiến hành định kỳ và hồ sơ của các cuộc diễn tập này phải được lưu giữ.
Việc đào tạo và huấn luyện ứng phó với tình huống khẩn cấp này cũng là một trong những hoạt động đào tạo nằm trong điều “7.2 Năng lực”.

 

5. Nội dung đánh giá

Hồ sơ ghi chép về việc thực hiện huấn luyện ứng phó với tình huống khẩn cấp là nội dung chắc chắn sẽ được kiểm tra khi đánh giá.
Như đã đề cập tại mục 4, đây là một trong những nội dung đào tạo và là yêu cầu của tiêu chuẩn “8.2 Chuẩn bị sẵn sàng và ứng phó với tình huống khẩn cấp”.
Bản ghi chép của các buổi học nhóm, đào tạo hoặc nội dung được thông báo nào khác tại các cuộc họp cũng có thể được kiểm tra.

Ngoài ra, như đã đề cập ở mục 3, danh sách nhân viên có bằng cấp, chứng chỉ cũng sẽ được kiểm tra trong buổi đánh giá, nếu có.
Một số chuyên gia đánh giá cho rằng doanh nghiệp cần đào tạo về ISO môi trường, nhưng doanh nghiệp bạn hoàn toàn có thể quyết định nội dung và phạm vi đào tạo.

 

Tổng kết

Mục đích của “đào tạo” theo tiêu chuẩn ISO 14001 là để nâng cao “năng lực” của nhân viên theo yêu cầu. Nội dung đào tạo bao gồm các khóa học, đào tạo, chứng chỉ, OJT và tập huấn, v…
Theo ISO 14001, nếu năng lực của tổ chức không được đáp ứng, tổ chức cần phải nâng cao năng lực bằng cách đào tạo hoặc đảm bảo năng lực bằng cách thuê người mới hoặc luân chuyển công việc.

Tuy nhiên, bạn không cần thiết phải phức tạp hóa việc đào tạo bằng cách, chẳng hạn, yêu cầu tất cả nhân viên giải thích các yêu cầu của ISO 14001.
Việc mà doanh nghiệp bạn cần làm là tiếp tục hoạt động đào tạo cần thiết cho công việc và đừng quên tiến hành hoạt động huấn luyện ứng phó với tình huống khẩn cấp để duy trì chứng chỉ ISO 14001.

Các công ty khác đang tiến hành đào tạo ISO 14001 như thế nào? Những nội dung gì sẽ được kiểm tra khi đánh giá? Đây là băn khoăn của rất nhiều tổ chức. Nếu bạn có bất kỳ câu hỏi hoặc thắc mắc nào, bạn nên tham khảo ý kiến ​​​​của chuyên gia tư vấn để được giải đáp.

Làm thế nào để được cấp chứng chỉ ISO 14001 nhanh nhất?

 

ISO 14001 giúp các tổ chức cải thiện hiệu quả môi trường, đạt được lợi thế cạnh tranh và sự tin tưởng của các bên liên quan.
Tuy nhiên, bạn đã biết bí quyết để đạt được chứng nhận ISO 14001 trong thời gian ngắn nhất chưa? Điều mà bạn cần làm để đạt chứng nhận ISO 14001 nhanh nhất đó chính là triển khai xây dựng và áp dụng theo đúng kế hoạch đã đề ra.
Thực tế, có doanh nghiệp có thể đạt chứng nhận chỉ trong vòng khoảng 4 tháng từ khi bắt đầu xây dựng cho đến khi hoàn tất chứng nhận trong khi đa số phải mất từ 6 tháng đến 1 năm.

 

 

1. Đạt chứng nhận ISO 14001 trong thời gian ngắn nhất

Thông thường, khoảng thời gian cần thiết để doanh nghiệp đạt chứng nhận (kể từ khi bắt đầu xây dựng cho đến khi hoàn tất chứng nhận) là nửa năm.
Nhưng trên thực tế, đã có doanh nghiệp có thể đạt chứng nhận chỉ trong vòng khoảng 4 tháng.

Thời gian đạt chứng nhận của mỗi doanh nghiệp sẽ khác nhau tùy vào quy mô và ngành nghề; tuy nhiên bất kỳ doanh nghiệp nào cũng sẽ phải trải qua 2 giai đoạn chính dưới đây:

 

Giai đoạn 1: Xây dựng & Áp dụng

Để được đánh giá chứng nhận, doanh nghiệp của bạn phải hoàn thành việc xây dựng và áp dụng hệ thống trước ngày đánh giá.
Việc xây dựng và áp dụng có thể được triển khai theo lịch trình của doanh nghiệp cho nên nên giai đoạn này bạn hoàn toàn có thể điều chỉnh dựa trên thời gian và nguồn lực của công ty mình.
Giai đoạn này nên được triển khai theo đúng kế hoạch đã đề ra.
Tuy nhiên thời gian và công sức bỏ ra để thực hiện ISO sẽ tăng lên đáng kể nếu doanh nghiệp bạn có quy mô lớn, do đó hãy đảm bảo việc lên kế hoạch có xem xét đến điều này.

 

Giai đoạn 2: Đánh giá

Trường hợp doanh nghiệp bạn chứng nhận lần đầu, thông thường doanh nghiệp của bạn sẽ phải trải qua 2 đợt đánh giá: đánh giá giai đoạn 1 và đánh giá giai đoạn 2, nhưng điều này cũng sẽ phụ thuộc vào Tổ chức chứng nhận.
Tùy thuộc vào mức độ bận rộn của Tổ chức chứng nhận, bạn có thể không được xếp lịch đánh giá theo đúng kế hoạch và số ngày đánh giá cũng sẽ thay đổi tùy thuộc vào số lượng các cơ sở, số lượng nhân viên và độ phức tạp của ngành nghề.
Tuy nhiên mọi thứ thường không diễn ra theo đúng kế hoạch vì vậy bạn nên chuẩn bị sớm từ trước.

 

2. Lịch trình đạt ISO 14001 trong thời gian ngắn nhất

Bạn có thể tham khảo lịch trình đạt chứng nhận ISO 14001 trong thời gian ngắn nhất dưới đây:

Tháng đầu tiên: xây dựng tài liệu và triển khai áp dụng (khía cạnh môi trường, luật định, hành động giải quyết rủi ro và cơ hội, mục đích/mục tiêu, đào tạo, v.v..)
Tháng thứ 2: đánh giá nội bộ và xem xét của lãnh đạo
Tháng thứ 3: đánh giá chứng nhận giai đoạn 1
Tháng thứ 4: đánh giá chứng nhận giai đoạn 2

 

3. Ưu điểm và nhược điểm của việc xây dựng ISO 14001 trong thời gian ngắn

Việc xây dựng ISO 14001 trong thời gian ngắn nhất đem lại nhiều lợi ích song cũng có một vài nhược điểm.

 

(1) Ưu điểm

・Đáp ứng nhanh chóng các yêu cầu của khách hàng
Có nhiều trường hợp khách hàng yêu cầu điều kiện giao dịch phải có chứng nhận ISO, do đó doanh nghiệp có thể đáp ứng nhanh chóng yêu cầu của khách hàng khi triển khai theo lịch trình đạt ISO 14001 trong thời gian ngắn nhất.

・Tăng tỷ lệ trúng thầu

 

(2) Nhược điểm

・Khối lượng công việc tăng
Việc xây dựng ISO trong thời gian ngắn khiến bạn không biết phải làm những gì và bắt đầu từ đâu.

Việc tự xây dựng gặp nhiều khó khăn do ISO đòi hỏi bạn phải am hiểu về tiêu chuẩn này, nếu không sẽ rất khó để đạt được chứng nhận trong thời gian ngắn nếu không có sự hỗ trợ của các chuyên gia tư vấn.

・Tất cả nhân viên không thể nắm bắt đầy đủ tình hình thực hiện ISO
Bởi vì việc xây dựng ISO được triển khai trong thời gian rất ngắn, cho nên tất cả nhân viên trong công ty khó có thể nắm bắt đầy đủ tình hình thực hiện.

>> Xem thêm: Chứng nhận ISO 14001

 

4. Xem xét thời hạn thực hiện

Khi triển khai xây dựng ISO 14001 trong thời gian ngắn, bạn sẽ phải thực hiện rất nhiều hoạt động, nhưng điều quan trọng là bạn phải đề ra thời hạn thực hiện hợp lý.
Thay vì đưa ra quyết định dựa trên cảm tính của bản thân, hãy tham khảo ý kiến của những người xung quanh và các chuyên gia đáng tin cậy rồi đưa ra quyết định.

 

Tổng kết

Trên là những điều cần biết để được cấp chứng chỉ ISO 14001 nhanh nhất. Bất kỳ doanh nghiệp nào cũng sẽ trải qua 2 giai đoạn chính là xây dựng vận hành và đánh giá. Việc đạt chứng nhận ISO 14001 trong thời gian ngắn nhất đem lại nhiều lợi ích song cũng có một vài nhược điểm. Vì vậy bạn nên xem xét hoặc tham khảo ý kiến của chuyên gia tư vấn để đạt được chứng nhận suôn sẻ hơn. Mọi thắc mắc về chứng nhận ISO 14001 xin vui lòng liên hệ với 3AC.

7 mẹo để việc áp dụng ISO 14001 trở nên dễ dàng hơn

 

Để được cấp chứng chỉ ISO 14001, doanh nghiệp phải trải qua một hành trình tương đối dài. Nhiều doanh nghiệp gặp khó trong việc áp dụng hệ thống quản lý môi trường ISO 14001 vào thực tế. Tuy nhiên, nếu biết cách áp dụng thì việc đạt chứng nhận sẽ trở nên dễ dàng và đơn giản hơn rất nhiều. Bài viết dưới đây sẽ giới thiệu cho bạn 7 mẹo để việc áp dụng ISO 14001 trong doanh nghiệp trở nên dễ dàng hơn.

 

 

1. Tại sao nhiều doanh nghiệp cảm thấy khó khi áp dụng ISO 14001 vào thực tế?

Có không ít khó khăn khi áp dụng ISO 14001; chẳng hạn:

– Có những hoạt động hoàn toàn khác với hoạt động của công ty; công việc chính quá bận nên không có thời gian để thực hiện ISO.
– Tại thời điểm đánh giá, mỗi chuyên gia đánh giá lại có ý kiến khác nhau, thêm vào đó, các yêu cầu của tiêu chuẩn vốn đã rất khó.
– Ít nhân viên có kinh nghiệm trong công việc liên quan đến ISO.

Nói tóm lại, bạn có thể cảm thấy việc áp dụng ISO 14001 khó khăn và vất vả vì nó đòi hỏi bạn phải có kiến ​​thức trong một lĩnh vực hoàn toàn khác với lĩnh vực kinh doanh chính của doanh nghiệp bạn và thời gian để thực hiện ISO ngoài công việc chính của mình.

 

2. Cách áp dụng ISO 14001 dễ dàng và đơn giản

Dưới đây là 7 mẹo để việc áp dụng HTQLMT ISO 14001 trong doanh nghiệp trở nên dễ dàng hơn.

 

(1) 6.1.2 Khía cạnh môi trường

Bạn không nên phức tạp hóa khi xác định khía cạnh môi trường.
Đặc biệt khi đánh giá tác động môi trường, nếu bạn sử dụng những công thức tính toán khó để đánh giá thì những thứ vốn không phải là vấn đề môi trường sẽ trở thành những khía cạnh môi trường có ý nghĩa, và sẽ đi chệch hướng so với thực tế.

Bạn nên quyết định các tiêu chí đánh giá và hạng mục đánh giá dưới góc nhìn “tại sao bạn lại cho rằng đó là vấn đề môi trường?”.
Như vậy, việc đánh giá tác động môi trường sẽ sát với tình hình thực tế hơn.
Ví dụ, hạng mục đánh giá có tác động lớn và khả năng được cân nhắc nhiều nhất là bởi vì có yêu cầu của khách hàng.

 

(2) 6.1.3 Nghĩa vụ tuân thủ

Khi nói đến nghĩa vụ tuân thủ, bạn đừng nên cố gắng cập nhật tất cả các điều luật.
Tầm quan trọng của việc nắm bắt thông tin mới nhất sẽ thay đổi vì có những điều luật chỉ cần nắm rõ nội dung và có điều luật lại chứa thông tin nghĩa vụ cần tuân thủ.

Tuy nhiên, tầm quan trọng của việc tuân thủ luật định thì không đổi.

Ngoài ra, nếu bạn thực sự muốn cập nhật tất cả các thông tin mới nhất, bạn có thể sử dụng sách chuyên về luật định hoặc dịch vụ gửi hoặc thông báo về các sửa đổi pháp lý, mà không cần phải tự nghiên cứu.

 

(3) 6.2 Mục tiêu môi trường và hoạch định đạt mục tiêu

Việc xác định mục tiêu được xem xét từ khía cạnh môi trường có ý nghĩa, nên đôi khi sẽ có tình trạng mục tiêu được đề ra đó chưa hẳn là điều bạn đang hướng tới.
Để tránh điều này xảy ra, bạn nên suy nghĩ về những gì công ty có thể làm để tăng cường các hoạt động tốt và giảm thiểu các hoạt động có hại cho môi trường.

Điều này sẽ cho phép bạn thiết lập mục tiêu thực tế hơn.

Ví dụ, trong hầu hết các trường hợp, các bất thường trong công việc không nên xảy ra nếu xét đến tác động đối với môi trường.
Điều này là do doanh nghiệp sử dụng tài nguyên và năng lượng lãng phí và tạo ra khí thải dư thừa.
Trong ngành sản xuất là phế phẩm, còn trong ngành vận tải là tai nạn.
Nếu bạn nghĩ theo cách này, thì việc thiết lập các mục tiêu môi trường cho tỷ lệ lỗi, số lượng lỗi hoặc số vụ tai nạn không phải là một ý tưởng tồi.

 

(4) 8.2 Chuẩn bị sẵn sàng và ứng phó với tình huống khẩn cấp

Các cuộc diễn tập sơ tán thường được tiến hành để chuẩn bị ứng phó với tình huống khẩn cấp như hỏa hoạn.
Nếu bạn phải tham gia do đó là phạm vi quản lý của tòa nhà bạn có thể tiếp tục tham gia như trước giờ vẫn vậy.

Điều quan trọng là bạn chuẩn bị cho tình huống khẩn cấp nào và phải kiểm tra xem liệu những chuẩn bị đó có thực sự hiệu quả khi tình huống khẩn cấp xảy ra hay không.

Để chuẩn bị ứng phó với tình huống khẩn cấp, bạn cũng nên kiểm tra mạng lưới và lộ trình liên lạc trong trường hợp xảy ra sự cố.

Có không ít trường hợp hệ thống liên lạc khẩn cấp không được cập nhật ngay cả khi có nhân viên nghỉ việc và không hoạt động.

 

(5) 9.2 Đánh giá nội bộ

Đánh giá nội bộ được tiến hành mỗi năm 1 lần và do thực hiện với tần suất ít nên hầu như việc triển khai diễn ra không được suôn sẻ. Doanh nghiệp sẽ rất dễ rơi vào tình trạng loay hoay không biết nên ưu tiên hoạt động kinh doanh chính hay ưu tiên hoạt động đánh giá nội bộ: nên ngừng mọi hoạt động kinh doanh để thực hiện, hay tránh thời điểm bận rộn để thực hiện.

Cho nên để mọi thứ dễ dàng hơn, bạn nên thực hiện đánh giá nội bộ nhiều lần, mỗi lần chỉ tiến hành trong một thời gian ngắn.

Nếu bạn đánh giá theo phương pháp mỗi tháng chỉ đánh giá 1 bộ phận thực hiện trong 1 lần thì có thể hoàn thành trong khoảng 1 giờ mỗi lần.

Việc này cũng tương tự như việc tổ chức thêm 1 cuộc họp mỗi tháng.

 

(6) 9.3 Xem xét của lãnh đạo

Khi nhắc đến hoạt động xem xét và đánh giá của lãnh đạo, các doanh nghiệp thường cho rằng hoạt động này phải được thực hiện bằng cách họp trực tiếp với lãnh đạo.
Do đó, người phụ trách thường gặp khó khăn trong việc sắp xếp cuộc họp với lãnh đạo.

Mặc dù COVID-19 đã hạ nhiệt, nhưng hoạt động xem xét hệ thống này vẫn có thể được tiến hành bằng cuộc gọi video và cuộc gọi điện thoại.
Hơn nữa, bạn không nhất thiết phải thực hiện cùng một lúc.
Tức là, bạn có thể gửi các nội dung báo cáo đầu vào qua email và nhận chỉ thị đầu ra trong vòng 24 giờ.
Điều này cũng giống việc bạn báo cáo, liên lạc, thảo luận mà bạn vẫn đang thực hiện mỗi ngày.

 

(7) 10.2 Sự không phù hợp và hành động khắc phục

Việc thực hiện hành động khắc phục để ngăn chặn sự không phù hợp tái diễn là vô cùng quan trọng, do đó bạn nên điều tra kỹ nguyên nhân của sự không phù hợp.

Tuy nhiên, việc truy cứu nguyên nhân và đề ra các biện pháp đối phó chỉ là giả thuyết.
Nếu bạn thực hiện nghiêm chỉnh, độ chính xác của giả thuyết sẽ tăng lên; nhưng nếu bạn dành quá nhiều thời gian để thực hiện, bạn sẽ không thể loại bỏ sự không phù hợp trong một 1 lần, vì vậy hãy cố gắng chia ra nhiều lần thực hiện thì cuối cùng bạn sẽ có thể loại bỏ hoàn toàn sự không phù hợp đó.

Nếu chỉ cần một hành động khắc phục duy nhất mà loại bỏ được sự không phù hợp, thì sẽ không có thứ gọi là “hàng lỗi” trên thế giới này.
Cho nên, đừng cố gắng loại bỏ hoàn toàn trong 1 lần khắc phục.
Thay vào đó, điều quan trọng nhất là việc giám sát kết quả của hành động khắc phục.

 

Tổng kết

Bạn đã nắm được 7 mẹo để việc áp dụng ISO 14001 trở nên dễ dàng hơn rồi chứ?
Việc áp dụng ISO 14001 có thể có nhiều khó khăn nhưng chỉ cần bạn biết cách đơn giản hóa các hoạt động thì chắc chắn việc duy trì chứng nhận sẽ không còn là thách thức.

Nếu bạn gặp khó trong việc tự áp dụng ISO 14001, hãy tìm đến với 3AC để được tư vấn về việc áp dụng HTQLMT ISO 14001 đơn giản, nhanh chóng và sát với tình hình thực tế của doanh nghiệp bạn.