ISO 27001 có các yêu cầu doanh nghiệp phải đáp ứng để có thể đạt được chứng nhận. Các yêu cầu bao gồm việc thiết lập các chính sách về an toàn thông tin cho các tình huống khác nhau như quản lý thông tin trong nội bộ doanh nghiệp, thông tin được mang ra bên ngoài và các quy định về an toàn thông tin trong các hoạt động nội bộ như đánh giá nội bộ.
Mục lục
1. ISO27001 (ISMS) là gì?
ISO 27001 là “các yêu cầu mà các doanh nghiệp cần đáp ứng để đạt được chứng nhận ISO 27001”.
ISMS là hệ thống quản lý an toàn thông tin.
ISO27001 đã quy định các phương pháp và quy trình để xây dựng hệ thống này dưới hình thức “các yêu cầu”.
Các doanh nghiệp có thể xây dựng hệ thống quản lý thông tin này bằng cách tuân thủ những yêu cầu và triển khai hệ thống quản lý thông tin trong nội bộ.
2. Sự khác biệt giữa ISO 27001 và ISMS
ISO 27001 là “yêu cầu tiêu chuẩn”, trong khi ISMS là “hệ thống quản lý”. ISO 27001 là tên chính thức của chứng nhận, nhưng đôi khi nó được gọi là ISMS theo tên viết tắt của nó.
3. ISO 27001 yêu cầu những gì?
Các yêu cầu của ISO 27001 gồm 3 giai đoạn chính:
① “Xây dựng” → ② “Vận hành” → ③ “Cải tiến”
Tuân thủ yêu cầu là việc thực hiện chu kỳ ① ~ ③.
Để đạt được chứng chỉ ISO 27001, doanh nghiệp phải tuân thủ các yêu cầu. Ví dụ: “Truyền đạt chính sách”, “Đánh giá nội bộ”, “Thực hiện xem xét của lãnh đạo”, v.v..
“Các yêu cầu” trong ISO 27001 là “các yêu cầu mà các doanh nghiệp cần đáp ứng để đạt được chứng nhận ISMS (ISO 27001)”.
Các yêu cầu cụ thể của ISO 27001 bao gồm 10 điều:
Điều 0: Lời mở đầu
Điều 1: Phạm vi áp dụng
Điều 2: Các tiêu chuẩn tham chiếu
Điều 3: Thuật ngữ và định nghĩa
Điều 4: Bối cảnh tổ chức
Điều 5: Lãnh đạo
Điều 6: Lập kế hoạch
Điều 7: Hỗ trợ
Điều 8: Hoạt động
Điều 9: Đánh giá hiệu suất
Điều 10: Cải tiến
Các mục từ 0 đến 10 là các nội dung yêu cầu được đề ra theo ISMS (ISO 27001), và đòi hỏi áp dụng cho tất cả các tổ chức.
Phụ lục A (Các biện pháp kiểm soát)
Các biện pháp kiểm soát là các hướng dẫn chỉ ra các biện pháp để đối phó với các rủi ro cụ thể. Theo đó, doanh nghiệp phải đánh giá rủi ro và xác định các biện pháp quản lý được áp dụng.
4. Giải thích về các yêu cầu chính của ISO 27001
⑴ [Điều 4] Bối cảnh của tổ chức
Yêu cầu xác định phạm vi áp dụng dựa trên việc hiểu về các vấn đề nội bộ và bên ngoài của tổ chức cũng như nhu cầu của các bên liên quan. Hiểu theo nghĩa rộng, các bên liên quan nội bộ bao gồm ý kiến và nhu cầu của nhân viên; các bên liên quan bên ngoài bao gồm đối tác kinh doanh, nhà cung cấp và đơn vị mua hàng.
⑵ [Điều 5] Lãnh đạo
Yêu cầu sự cam kết của người đứng đầu tổ chức trong phạm vi áp dụng. Cam kết có nghĩa là “tuân thủ đúng những điều đã hứa”.
Người đứng đầu tổ chức phải phát huy năng lực lãnh đạo chứ không chỉ phụ thuộc vào người phụ trách.
⑶ [Điều 6] Kế hoạch
Điều 6 tương ứng với phần “P” trong chu kỳ PDCA (Plan-Do-Check-Action).
Yêu cầu tiến hành đánh giá rủi ro và lập kế hoạch để đạt được mục tiêu bảo mật thông tin.
※ Chu kỳ PDCA = Plan (Kế hoạch) – Do (Thực hiện) – Check (Đánh giá) – Action (Cải thiện).
⑷ [Điều 7] Hỗ trợ
Xác định các kiến thức, kinh nghiệm cần thiết và xác nhận người phụ trách xem họ có đủ kiến thức và kinh nghiệm đó hay không.
Nếu người phụ trách chưa có đủ kiến thức cần thiết, doanh nghiệp cần thực hiện các biện pháp như đào tạo.
⑸ [Điều 8] Hoạt động
Điều 8 tương ứng với Phần “D” trong chu kỳ PDCA.
Yêu cầu thực hiện đánh giá rủi ro và đối phó với rủi ro đã được xác định, đồng thời lập kế hoạch, thực hiện và quản lý.
Ngoài việc thực hiện, doanh nghiệp cần phải tạo lập các tài liệu để xác nhận liệu kế hoạch có được thực hiện đúng như dự kiến hay không.
⑹ [Điều 9] Đánh giá hiệu suất
Điều 9 tương ứng với phần “C” trong chu kỳ PDCA.
Yêu cầu quy định việc đánh giá hiệu suất và hiệu quả. Để thực hiện đánh giá, doanh nghiệp cần xác định quy trình và chính sách quản lý, theo dõi, đo lường, phân tích và đánh giá, cũng như quyết định thời điểm thực hiện và thời điểm đánh giá. “Đánh giá nội bộ” và “Xem xét của lãnh đạo” cũng được quy định tại đây.
⑺ [Điều 10] Cải tiến
Điều 10 tương ứng với phần “A” trong chu kỳ PDCA.
Yêu cầu xác định quy trình để thực hiện hành động khắc phục khi xảy ra sự không phù hợp (phòng chống sự tái phát). Cần xác định các bước cụ thể để khắc phục (đưa về trạng thái phù hợp) và kiểm soát kết quả, cũng như ghi chép và theo dõi hiệu quả của các biện pháp này.
5. Phụ lục A của ISO 27001
Phụ lục A là bộ quy tắc các biện pháp kiểm soát, tóm tắt các điểm chính của ISO 27002.
Các biện pháp kiểm soát mô tả cách xử lý tài sản thông tin để ngăn chặn rò rỉ thông tin, chẳng hạn như các quy định về làm việc từ xa.
6. 4 việc cần làm để đạt được, duy trì và cập nhật ISO 27001
⑴ Xây dựng ISMS theo yêu cầu của ISO 27001
Như đã giải thích trong phần “3. ISO 27001 yêu cầu những gì?”, ISMS (ISO 27001) đặt ra 10 yêu cầu cụ thể mà doanh nghiệp cần thiết lập quy trình và xây dựng hệ thống quản lý.
1. Phạm vi áp dụng
2. Các tiêu chuẩn tham chiếu
3. Thuật ngữ và định nghĩa
4. Bối cảnh tổ chức
5. Lãnh đạo (thiết lập chính sách, thiết lập cơ cấu tổ chức, v.v.)
6. Kế hoạch (quản lý rủi ro/cơ hội, mục tiêu)
7. Hỗ trợ (tài nguyên, năng lực, giao tiếp, quản lý tài liệu/ghi chép)
8. Vận hành (đánh giá an ninh thông tin và xử lý rủi ro)
9. Đánh giá hiệu suất (đánh giá nội bộ, xem xét của lãnh đạo)
10. Cải tiến (xử lý biện pháp sửa chữa, cải tiến liên tục)
Vui lòng xem phần “4. Giải thích về các yêu cầu chính của ISO 27001” để biết thêm thông tin chi tiết về từng yêu cầu cụ thể.
⑵ Hoàn thiện và điều hành ISMS
Khi triển khai ISMS (ISO 27001), điều quan trọng đầu tiên là phải phân chia vai trò, chẳng hạn lựa chọn người chịu trách nhiệm quản lý.
Doanh nghiệp cần thiết lập một cơ cấu với những người đảm nhận vai trò chỉ đạo và hỗ trợ để tiếp tục quá trình xây dựng. Sau khi hoàn thành việc xây dựng, mới chuyển sang giai đoạn điều hành.
Trong quá trình điều hành, doanh nghiệp phải tuân thủ theo các quy định đã xây dựng, nhưng hãy kiểm tra lại bằng việc tiến hành đánh giá nội bộ xem có bất kỳ sự cố hay vấn đề nào không.
Hồ sơ thực hiện của doanh nghiệp sẽ được kiểm tra, vì vậy hãy đảm bảo lưu trữ các hồ sơ một cách chính xác.
Khi chuẩn bị cho đánh giá chứng nhận, có 2 yếu tố quan trọng doanh nghiệp cần quyết định dưới đây:
① Tổ chức chứng nhận
Tại Việt nam, có hơn 90 tổ chức chứng nhận ISO. Bạn nên liên hệ với các tổ chức xin ít nhất 2 báo giá trở lên và thu thập thông tin để chọn lựa một tổ chức chứng nhận phù hợp với doanh nghiệp mình.
② Phạm vi chứng nhận
Bạn hoàn toàn có thể xin chứng nhận cho một bộ phận hoặc một chi nhánh nhất định.
Không ít doanh nghiệp xác định phạm vi chứng nhận chỉ cho “bộ phận hành chính nhân sự”, “chi nhánh XX” hoặc “trụ sở chính” chứ không áp dụng cho toàn bộ công ty. doanh nghiệp cần quyết định phạm vi chứng nhận và mô tả nội dung công việc cần đăng ký chứng nhận để yêu cầu đánh giá.
⑶ Thanh toán chi phí đánh giá
Doanh nghiệp bắt buộc phải thanh toán chi phí cho Tổ chức chứng nhận để được thực hiện đánh giá chứng nhận và được cấp giấy chứng nhận ISO.
Do đó, bạn nên làm thủ tục thanh toán khi nhận được đề nghị yêu cầu thanh toán từ Tổ chức chứng nhận nhanh nhất có thể.
⑷ Thực hiện hành động khắc phục trước thời hạn trong trường hợp phát hiện sự không phù hợp
Trong quá trình đánh giá, sẽ có thể có các phát hiện về sự không phù hợp, nhưng nếu bạn không thực hiện hành động khắc phục, hệ thống quản lý của doanh nghiệp bạn sẽ không được chấp nhận và không được cấp giấy chứng nhận ISO.
Ngoài ra, doanh nghiệp phải thực hiện hành động khắc phục trước thời hạn và theo biểu mẫu được chỉ định theo quy định của Tổ chức chứng nhận.
Hãy đảm bảo thực hiện các hành động khắc phục dưới sự hướng dẫn của chuyên gia đánh giá và hoàn thành trước thời hạn đã định.
7. Sự không phù hợp và hành động khắc phục
Không ít doanh nghiệp thắc mắc về khả năng “bị trượt đánh giá”.
Nếu có phát hiện về “sự không phù hợp nghiêm trọng” trong quá trình đánh giá, thì doanh nghiệp bạn có thể bị “trượt đánh giá”.
Sự không phù hợp được chia làm 2 loại: “sự không phù hợp nghiêm trọng” và “sự không phù hợp nhẹ”.
Đối với những trường hợp thiếu sót nhỏ trong hoạt động hoặc không phải là vấn đề lớn trong hệ thống quản lý, doanh nghiệp bạn chỉ cần thực hiện hành động khắc phục cho “sự không phù hợp nhẹ”. Nhưng nếu có “sự không phù hợp nghiêm trọng”, quá trình đánh giá có thể bị gián đoạn hoặc không thể tiếp tục.
Các trường hợp được xem là “sự không phù hợp nghiêm trọng” bao gồm việc xây dựng các quy định không tuân thủ yêu cầu của ISMS (ISO 27001) hoặc không thực hiện hoạt động sau khi xây dựng (đặc biệt là hoạt động đánh giá nội bộ và xem xét lãnh đạo) và chuyên gia đánh giá phán đoán là không có khả năng cải tiến.
Như đã trình bày ở mục “6. 4 việc cần làm để đạt được, duy trì và cập nhật ISO 27001” ở trên, doanh nghiệp phải thực hiện 2 việc dưới đây để chuẩn bị cho đánh giá chứng nhận:
① Xây dựng ISMS theo yêu cầu của ISO 27001
② Hoàn thiện và điều hành ISMS
Bạn đã nắm được 4 điều kiện cần thiết để đạt được chứng nhận ISMS (ISO 27001) rồi chứ? 4 điều kiện đó là: xây dựng và vận hành hệ thống quản lý an toàn thông tin, thanh toán chi phí đánh giá, thực hiện hành động khắc phục sự không phù hợp được phát hiện trong quá trình đánh giá.
Trước ngày đánh giá chứng nhận, có rất nhiều việc cần phải làm như xây dựng, vận hành,… Bạn có thể tham khảo ý kiến từ công ty tư vấn để được hướng dẫn cách thức thực hiện.
Hiện tại chúng tôi đang tiếp nhận tư vấn miễn phí ISO 9001, ISO 14001, ISO 27001! Chuyên gia tư vấn sẽ lắng nghe và giải đáp mọi thắc mắc của bạn. Xin vui lòng liên hệ với chúng tôi!