Thúc đẩy chuyển đổi số (DX) là gì? Sự khác biệt với số hóa và các vấn đề mà các doanh nghiệp phải đối mặt

 

“DX” là tên viết tắt của “Digital Transformation” (Chuyển đổi kỹ thuật số), đề cập đến “Sự biến đổi của xã hội thông qua kỹ thuật số”. Thúc đẩy DX là nỗ lực nhằm giải quyết các vấn đề như sự lỗi thời của hệ thống IT và thiếu hụt nhân lực IT, hay còn được gọi là “Vách đá năm 2025”.

Cùng với sự phát triển mới nhất của việc số hóa và tiến bộ của công nghệ thông tin, chúng ta nghe thấy thuật ngữ “thúc đẩy chuyển đổi số” hay “ứng dụng chuyển đổi số” ngày càng thường xuyên hơn trong những năm gần đây.

Trong kinh doanh, việc thúc đẩy chuyển đổi số đóng một vai trò rất quan trọng, có rất nhiều doanh nghiệp cũng đang xem xét việc ứng dụng chuyển đổi số. Tuy nhiên, doanh nghiệp cần hiểu rõ, đào sâu hơn về DX trước khi tiếp cận.

Trong bài viết này, 3AC sẽ giải thích về “thúc đẩy chuyển đổi số” là gì, sự khác biệt với số hóa, CX・UX, lợi ích và thách thức của chuyển đổi số.
Nếu doanh nghiệp bạn đang chuẩn bị bước vào quá trình ứng dụng DX, hãy tham khảo bài viết dưới đây.

 

 

1. Thúc đẩy chuyển đổi số là gì?

“DX” là tên viết tắt của “Digital Transformation” (Chuyển đổi kỹ thuật số), dịch theo nghĩa đen có nghĩa là “Sự biến đổi của xã hội thông qua kỹ thuật số”.
Nói cách khác, thúc đẩy chuyển đổi số là việc thúc đẩy sự biến đổi xã hội bằng cách ứng dụng công nghệ số vào cuộc sống.

Ban đầu, DX là thuật ngữ được sử dụng trong nghiên cứu về cách công nghệ ảnh hưởng đến cuộc sống. Nhưng từ những năm 2010, nó đã lan rộng cả trong lĩnh vực kinh doanh.

Các công ty hiện nay cần thay đổi sản phẩm, dịch vụ và mô hình kinh doanh bằng cách ứng dụng công nghệ số dựa trên nhu cầu của người dùng và xã hội, để thích ứng với sự thay đổi nhanh chóng của môi trường kinh doanh, và điều này yêu cầu việc thúc đẩy DX.

Hơn nữa, thúc đẩy chuyển đổi số là một nỗ lực cần thiết để đối phó với các thách thức như sự lỗi thời của hệ thống IT và thiếu hụt nhân lực trong lĩnh vực công nghệ thông tin, hay còn được gọi là “Vách đá năm 2025”.

Để hiểu rõ hơn về thúc đẩy chuyển đổi số, chúng ta hãy cùng làm rõ sự khác biệt giữa chuyển đổi số và các thuật ngữ tương tự như số hóa (Digitalization) và CX・UX.

 

(1) Sự khác biệt với Số hóa

Số hóa, hay còn gọi là “Digitalization” là việc ứng dụng Công nghệ thông tin (IT) để cải thiện hiệu suất và năng suất công việc. Điển hình như việc chuyển đổi từ việc liên lạc bằng điện thoại hoặc fax sang email và trò chuyện trực tuyến. Số hóa tập trung chủ yếu vào việc cải thiện các quy trình và hệ thống công việc hiện có mà không thay đổi nguồn gốc như mô hình kinh doanh hay văn hóa tổ chức.

Mặt khác, Chuyển đổi số không chỉ tập trung vào Số hóa, mà còn có mục tiêu tạo ra giá trị mới và đổi mới thông qua sử dụng các công nghệ tiên tiến như phân tích dữ liệu và trí tuệ nhân tạo (AI), nhằm thực hiện sự biến đổi toàn diện trong kinh doanh. Số hóa có thể được coi là một phương tiện trong quá trình chuyển đổi số.

Ngoài ra, có sự khác biệt giữa hai khái niệm này trong việc tạo ra sự thay đổi. Số hóa tạo ra “thay đổi về số lượng” áp dụng trong thực tế công việc, trong khi chuyển đổi số tạo ra “thay đổi về chất lượng” liên quan đến toàn bộ doanh nghiệp. Chú ý đến điểm khác biệt này sẽ giúp bạn hiểu rõ hơn.

 

(2) Sự khác biệt với CX・UX

CX là viết tắt của Customer Experience (Trải nghiệm khách hàng), đề cập đến những cảm nhận và quyết định tổng thể mà người dùng có đối với một công ty khi họ mua hàng hoặc sử dụng dịch vụ.

Trong khi đó, UX là viết tắt của User Experience (Trải nghiệm người dùng), tập trung vào trải nghiệm trực tiếp khi người dùng sử dụng sản phẩm hoặc dịch vụ, bao gồm cả cách sử dụng và tính tiện lợi.

Tóm lại, CX đại diện cho nhận thức toàn diện về công ty thông qua sản phẩm và dịch vụ, và bên trong đó, UX là phần trải nghiệm trực tiếp.

Mặc dù cả chuyển đổi số và CX・UX đều hướng đến việc cung cấp giá trị tốt hơn cho người dùng, nhưng chuyển đổi số tập trung chủ yếu vào việc ứng dụng công nghệ số, trong khi CX・UX chú trọng vấn đề trải nghiệm người dùng.

Chuyển đổi số không chỉ liên quan đến CX・UX mà còn cần xem xét các vấn đề xã hội và phát triển bền vững.

Tuy nhiên, trong chuyển đổi số, các yếu tố như sự hài lòng của người dùng và lòng trung thành đóng vai trò quan trọng. Đồng thời, thông qua việc thực hiện sự biến đổi tổ chức thông qua chuyển đổi số và cải thiện CX・UX, doanh nghiệp có thể mang lại giá trị tốt hơn cho người dùng.

 

2. Các yếu tố có liên quan mật thiết đến chuyển đổi số

Chuyển đổi số liên quan đến nhiều yếu tố khác nhau như hệ thống, bối cảnh xã hội và nhiều yếu tố khác, vì vậy việc hiểu rõ các yếu tố liên quan là rất quan trọng. Ở đây, 3AC sẽ giải thích về các yếu tố có liên quan mật thiết đến chuyển đổi số.

 

(1) ISMS

ISMS là viết tắt của Information Security Management System (Hệ thống quản lý an toàn thông tin).
ISMS là một trong những hệ thống quan trọng trong việc thúc đẩy chuyển đổi số, nó là hệ thống mà các công ty cần áp dụng để bảo vệ tính bảo mật, tính toàn vẹn và tính sẵn sàng của thông tin.
Cụ thể, điều này bao gồm việc thực hiện phân tích rủi ro, thiết lập mục tiêu và quản lý liên tục an toàn thông tin thông qua các biện pháp và cải tiến đa dạng.

Một trong những đặc trưng của ISMS là sự tồn tại của hệ thống chứng nhận dựa trên đánh giá của các cơ quan bên thứ ba về tiêu chuẩn quốc tế.
Có thể coi ISMS là một hệ thống ngày càng quan trọng theo sự phát triển của xã hội thông tin.

 

(2) Vách đá năm 2025

Vách đá năm 2025 là thuật ngữ được đề xuất trong báo cáo “Báo cáo DX – Vượt qua ‘Vách đá năm 2025’ của hệ thống IT và phát triển toàn diện DX” do Bộ Kinh tế, Thương mại và Công nghiệp phát hành vào tháng 9 năm 2018.

Báo cáo này đã nêu rõ rằng “Nếu các doanh nghiệp Nhật Bản không thúc đẩy DX, trong 5 năm kể từ năm 2025, điều này có thể gây thiệt hại kinh tế lên đến 12 nghìn tỷ yên hàng năm”, tạo ra một nội dung gây sốc và sự cần thiết của việc thúc đẩy DX một cách nhanh chóng.

Điểm nổi bật của vách đá năm 2025 là sự kết hợp của nhiều yếu tố như thiếu hụt nhân lực, sự phức tạp và xuống cấp của hệ thống, cùng với sự chuyển đổi nhanh chóng của công nghệ số, đề cập đến khả năng hệ thống IT hiện tại sẽ không hoạt động được vào năm 2025.

Chúng ta hy vọng có thể tránh được vách đá năm 2025, và để làm được điều đó, việc thúc đẩy DX có thể coi là chìa khóa quan trọng.

 

3. Lợi ích từ việc thúc đẩy DX

Như đã đề cập về “Vách đá năm 2025”, việc thúc đẩy DX là một chính sách mà cả quốc gia đều đang nỗ lực thực hiện, và đây cũng là một vấn đề quan trọng mà các doanh nghiệp nên ưu tiên thực hiện.

Vậy lợi ích từ việc thúc đẩy DX là gì? Dưới đây là 3 lợi ích chính:

 

(1) Nâng cao năng suất sản xuất

Lợi ích lớn nhất của việc thúc đẩy DX là việc cải thiện hiệu quả công việc thông qua việc số hóa phù hợp, từ đó dẫn đến việc nâng cao năng suất.

Việc giảm thời gian và nhân lực trong công việc đơn giản hoặc công việc quản lý cũng có thể được thực hiện thông qua việc số hóa, từ đó bạn có thể tập trung vào công việc quan trọng hơn. Ngoài ra, các lỗi và sai sót xảy ra trong công việc thủ công cũng có thể được cải thiện.

 

(2) Giảm thiểu rủi ro

Các doanh nghiệp cần thực hiện các biện pháp phòng ngừa cho mọi tình huống khẩn cấp, chẳng hạn như lập kế hoạch kinh doanh liên tục (BCP).

Một trong những nỗ lực trong việc thúc đẩy DX là triển khai BCP, giúp doanh nghiệp có thể tránh được các rủi ro. Nếu hiệu quả công việc đã được cải thiện thông qua DX, bạn sẽ có thể tạo ra một BCP tối ưu.

Hơn nữa, thông qua việc cải thiện hệ thống cũ và việc chuyển giao hoạt động, các rủi ro lớn trong doanh nghiệp cũng có thể được giảm thiểu.

 

(3) Mở rộng cơ hội phát triển kinh doanh

DX không chỉ là việc cải thiện và tối ưu hóa hiện trạng. Một trong những lợi ích nó mang lại là mở rộng cơ hội phát triển kinh doanh mới.

Bằng việc áp dụng công nghệ tiên tiến nhất, không chỉ có khả năng đáp ứng với sự thay đổi nhanh chóng của môi trường kinh doanh, mà còn có thể nghiên cứu các mô hình kinh doanh mới.

 

4. Những thách thức mà các doanh nghiệp đối mặt khi thúc đẩy DX

Dưới đây là 3 thách thức phổ biến mà các doanh nghiệp thường gặp phải khi ứng dụng DX.

 

(1) Đảm bảo và phát triển nguồn nhân lực

Để thúc đẩy DX, phải có nhân lực IT giỏi. Tuy nhiên, có nhiều trường hợp các vấn đề liên quan đến DX phải nhờ đến các công ty IT bên ngoài.
Do đó, doanh nghiệp có thể gặp khó khăn trong việc đáp ứng nhanh chóng hoặc mất thời gian để phát triển hệ thống mới.

Dự kiến việc đảm bảo nhân lực sẽ ngày càng trở nên khốc liệt hơn, việc đảm bảo và phát triển nhân lực IT trong doanh nghiệp là rất quan trọng và có thể coi là một thách thức lớn.

 

(2) Mục tiêu rõ ràng và chiến lược quản lý

Dù hiểu được tầm quan trọng của việc thúc đẩy DX, nhưng nếu không thực hiện thì sẽ không có ý nghĩa gì cả. Để ứng dụng DX, doanh nghiệp cần có mục tiêu rõ ràng và chiến lược quản lý cụ thể.

Trước hết, doanh nghiệp nên đặt ra mục tiêu chắc chắn và xác định các mục tiêu để tiến tới mục tiêu đó. Ngoài ra, doanh nghiệp cũng nên lập kế hoạch chi tiết hơn về chiến lược quản lý như cách thức tiến hành và triển khai.

Nếu bắt đầu mà thiếu sự chuẩn bị này, doanh nghiệp bạn sẽ có nguy cơ chỉ kết thúc ở việc đơn giản là kỹ thuật số hóa công việc, do đó nhận thức về điều này là rất quan trọng để đối phó với các thách thức.

 

(3) Xây dựng hệ thống nhất quán

Với sự tiến bộ nhanh chóng của công nghệ số trong những năm gần đây, rất nhiều hệ thống đã trở nên phình to và phức tạp do việc thêm vào do tầm nhìn ngắn hạn.
Xây dựng một hệ thống nhất quán có thể là thách thức lớn nhất trong việc thúc đẩy DX (Digital Transformation).

Doanh nghiệp cũng cần có các biện pháp đáp ứng hệ thống như là loại bỏ các phần xuống cấp và làm cho hệ thống gọn nhẹ hơn hoặc đổi mới toàn bộ hệ thống tùy thuộc vào ngân sách.

 

Tổng kết

Thúc đẩy chuyển đổi số (DX) là việc thúc đẩy sự biến đổi toàn diện của doanh nghiệp bằng việc ứng dụng công nghệ số. Qua các từ ngữ tương tự và liên quan như số hóa, CX・UX, ISMS, ta có thể hiểu rõ hơn về DX và khám phá mối liên hệ giữa chúng.

Việc thúc đẩy chuyển đổi số (DX) có thể được xem là biện pháp ưu tiên hàng đầu mà các doanh nghiệp cần thực hiện để đối phó với “vách đá năm 2025”.

Thúc đẩy chuyển đổi số (DX) mang đến nhiều lợi ích như nâng cao năng suất, giảm thiểu rủi ro và tạo cơ hội phát triển kinh doanh. Tuy nhiên, cũng có những thách thức về nhân lực và hệ thống, do đó, việc thiết lập mục tiêu rõ ràng trước khi triển khai là rất quan trọng.

Các yêu cầu của ISO 27001 là gì? 4 việc cần làm để đạt được chứng nhận ISO 27001

 

ISO 27001 có các yêu cầu doanh nghiệp phải đáp ứng để có thể đạt được chứng nhận. Các yêu cầu bao gồm việc thiết lập các chính sách về an toàn thông tin cho các tình huống khác nhau như quản lý thông tin trong nội bộ doanh nghiệp, thông tin được mang ra bên ngoài và các quy định về an toàn thông tin trong các hoạt động nội bộ như đánh giá nội bộ.

 

 

1. ISO27001 (ISMS) là gì?

ISO 27001 là “các yêu cầu mà các doanh nghiệp cần đáp ứng để đạt được chứng nhận ISO 27001”.
ISMS là hệ thống quản lý an toàn thông tin.

ISO27001 đã quy định các phương pháp và quy trình để xây dựng hệ thống này dưới hình thức “các yêu cầu”.

Các doanh nghiệp có thể xây dựng hệ thống quản lý thông tin này bằng cách tuân thủ những yêu cầu và triển khai hệ thống quản lý thông tin trong nội bộ.

 

2. Sự khác biệt giữa ISO 27001 và ISMS

ISO 27001 là “yêu cầu tiêu chuẩn”, trong khi ISMS là “hệ thống quản lý”. ISO 27001 là tên chính thức của chứng nhận, nhưng đôi khi nó được gọi là ISMS theo tên viết tắt của nó.

 

3. ISO 27001 yêu cầu những gì?

Các yêu cầu của ISO 27001 gồm 3 giai đoạn chính:
① “Xây dựng” → ② “Vận hành” → ③ “Cải tiến”

Tuân thủ yêu cầu là việc thực hiện chu kỳ ① ~ ③.

Để đạt được chứng chỉ ISO 27001, doanh nghiệp phải tuân thủ các yêu cầu. Ví dụ: “Truyền đạt chính sách”, “Đánh giá nội bộ”, “Thực hiện xem xét của lãnh đạo”, v.v..

“Các yêu cầu” trong ISO 27001 là “các yêu cầu mà các doanh nghiệp cần đáp ứng để đạt được chứng nhận ISMS (ISO 27001)”.

Các yêu cầu cụ thể của ISO 27001 bao gồm 10 điều:

Điều 0: Lời mở đầu
Điều 1: Phạm vi áp dụng
Điều 2: Các tiêu chuẩn tham chiếu
Điều 3: Thuật ngữ và định nghĩa
Điều 4: Bối cảnh tổ chức
Điều 5: Lãnh đạo
Điều 6: Lập kế hoạch
Điều 7: Hỗ trợ
Điều 8: Hoạt động
Điều 9: Đánh giá hiệu suất
Điều 10: Cải tiến

Các mục từ 0 đến 10 là các nội dung yêu cầu được đề ra theo ISMS (ISO 27001), và đòi hỏi áp dụng cho tất cả các tổ chức.

Phụ lục A (Các biện pháp kiểm soát)
Các biện pháp kiểm soát là các hướng dẫn chỉ ra các biện pháp để đối phó với các rủi ro cụ thể. Theo đó, doanh nghiệp phải đánh giá rủi ro và xác định các biện pháp quản lý được áp dụng.

 

4. Giải thích về các yêu cầu chính của ISO 27001

⑴ [Điều 4] Bối cảnh của tổ chức

Yêu cầu xác định phạm vi áp dụng dựa trên việc hiểu về các vấn đề nội bộ và bên ngoài của tổ chức cũng như nhu cầu của các bên liên quan. Hiểu theo nghĩa rộng, các bên liên quan nội bộ bao gồm ý kiến và nhu cầu của nhân viên; các bên liên quan bên ngoài bao gồm đối tác kinh doanh, nhà cung cấp và đơn vị mua hàng.

 

⑵ [Điều 5] Lãnh đạo

Yêu cầu sự cam kết của người đứng đầu tổ chức trong phạm vi áp dụng. Cam kết có nghĩa là “tuân thủ đúng những điều đã hứa”.
Người đứng đầu tổ chức phải phát huy năng lực lãnh đạo chứ không chỉ phụ thuộc vào người phụ trách.

 

⑶ [Điều 6] Kế hoạch

Điều 6 tương ứng với phần “P” trong chu kỳ PDCA (Plan-Do-Check-Action).
Yêu cầu tiến hành đánh giá rủi ro và lập kế hoạch để đạt được mục tiêu bảo mật thông tin.

※ Chu kỳ PDCA = Plan (Kế hoạch) – Do (Thực hiện) – Check (Đánh giá) – Action (Cải thiện).

 

⑷ [Điều 7] Hỗ trợ

Xác định các kiến thức, kinh nghiệm cần thiết và xác nhận người phụ trách xem họ có đủ kiến thức và kinh nghiệm đó hay không.
Nếu người phụ trách chưa có đủ kiến thức cần thiết, doanh nghiệp cần thực hiện các biện pháp như đào tạo.

 

⑸ [Điều 8] Hoạt động

Điều 8 tương ứng với Phần “D” trong chu kỳ PDCA.
Yêu cầu thực hiện đánh giá rủi ro và đối phó với rủi ro đã được xác định, đồng thời lập kế hoạch, thực hiện và quản lý.
Ngoài việc thực hiện, doanh nghiệp cần phải tạo lập các tài liệu để xác nhận liệu kế hoạch có được thực hiện đúng như dự kiến hay không.

 

⑹ [Điều 9] Đánh giá hiệu suất

Điều 9 tương ứng với phần “C” trong chu kỳ PDCA.

Yêu cầu quy định việc đánh giá hiệu suất và hiệu quả. Để thực hiện đánh giá, doanh nghiệp cần xác định quy trình và chính sách quản lý, theo dõi, đo lường, phân tích và đánh giá, cũng như quyết định thời điểm thực hiện và thời điểm đánh giá. “Đánh giá nội bộ” và “Xem xét của lãnh đạo” cũng được quy định tại đây.

 

⑺ [Điều 10] Cải tiến

Điều 10 tương ứng với phần “A” trong chu kỳ PDCA.

Yêu cầu xác định quy trình để thực hiện hành động khắc phục khi xảy ra sự không phù hợp (phòng chống sự tái phát). Cần xác định các bước cụ thể để khắc phục (đưa về trạng thái phù hợp) và kiểm soát kết quả, cũng như ghi chép và theo dõi hiệu quả của các biện pháp này.

 

5. Phụ lục A của ISO 27001

Phụ lục A là bộ quy tắc các biện pháp kiểm soát, tóm tắt các điểm chính của ISO 27002.
Các biện pháp kiểm soát mô tả cách xử lý tài sản thông tin để ngăn chặn rò rỉ thông tin, chẳng hạn như các quy định về làm việc từ xa.

 

6. 4 việc cần làm để đạt được, duy trì và cập nhật ISO 27001

⑴ Xây dựng ISMS theo yêu cầu của ISO 27001

Như đã giải thích trong phần “3. ISO 27001 yêu cầu những gì?”, ISMS (ISO 27001) đặt ra 10 yêu cầu cụ thể mà doanh nghiệp cần thiết lập quy trình và xây dựng hệ thống quản lý.

1. Phạm vi áp dụng
2. Các tiêu chuẩn tham chiếu
3. Thuật ngữ và định nghĩa
4. Bối cảnh tổ chức
5. Lãnh đạo (thiết lập chính sách, thiết lập cơ cấu tổ chức, v.v.)
6. Kế hoạch (quản lý rủi ro/cơ hội, mục tiêu)
7. Hỗ trợ (tài nguyên, năng lực, giao tiếp, quản lý tài liệu/ghi chép)
8. Vận hành (đánh giá an ninh thông tin và xử lý rủi ro)
9. Đánh giá hiệu suất (đánh giá nội bộ, xem xét của lãnh đạo)
10. Cải tiến (xử lý biện pháp sửa chữa, cải tiến liên tục)

Vui lòng xem phần “4. Giải thích về các yêu cầu chính của ISO 27001” để biết thêm thông tin chi tiết về từng yêu cầu cụ thể.

 

⑵ Hoàn thiện và điều hành ISMS

Khi triển khai ISMS (ISO 27001), điều quan trọng đầu tiên là phải phân chia vai trò, chẳng hạn lựa chọn người chịu trách nhiệm quản lý.

Doanh nghiệp cần thiết lập một cơ cấu với những người đảm nhận vai trò chỉ đạo và hỗ trợ để tiếp tục quá trình xây dựng. Sau khi hoàn thành việc xây dựng, mới chuyển sang giai đoạn điều hành.

Trong quá trình điều hành, doanh nghiệp phải tuân thủ theo các quy định đã xây dựng, nhưng hãy kiểm tra lại bằng việc tiến hành đánh giá nội bộ xem có bất kỳ sự cố hay vấn đề nào không.

Hồ sơ thực hiện của doanh nghiệp sẽ được kiểm tra, vì vậy hãy đảm bảo lưu trữ các hồ sơ một cách chính xác.

Khi chuẩn bị cho đánh giá chứng nhận, có 2 yếu tố quan trọng doanh nghiệp cần quyết định dưới đây:

 

① Tổ chức chứng nhận

Tại Việt nam, có hơn 90 tổ chức chứng nhận ISO. Bạn nên liên hệ với các tổ chức xin ít nhất 2 báo giá trở lên và thu thập thông tin để chọn lựa một tổ chức chứng nhận phù hợp với doanh nghiệp mình.

 

② Phạm vi chứng nhận

Bạn hoàn toàn có thể xin chứng nhận cho một bộ phận hoặc một chi nhánh nhất định.

Không ít doanh nghiệp xác định phạm vi chứng nhận chỉ cho “bộ phận hành chính nhân sự”, “chi nhánh XX” hoặc “trụ sở chính” chứ không áp dụng cho toàn bộ công ty. doanh nghiệp cần quyết định phạm vi chứng nhận và mô tả nội dung công việc cần đăng ký chứng nhận để yêu cầu đánh giá.

 

⑶ Thanh toán chi phí đánh giá

Doanh nghiệp bắt buộc phải thanh toán chi phí cho Tổ chức chứng nhận để được thực hiện đánh giá chứng nhận và được cấp giấy chứng nhận ISO.

Do đó, bạn nên làm thủ tục thanh toán khi nhận được đề nghị yêu cầu thanh toán từ Tổ chức chứng nhận nhanh nhất có thể.

 

⑷ Thực hiện hành động khắc phục trước thời hạn trong trường hợp phát hiện sự không phù hợp

Trong quá trình đánh giá, sẽ có thể có các phát hiện về sự không phù hợp, nhưng nếu bạn không thực hiện hành động khắc phục, hệ thống quản lý của doanh nghiệp bạn sẽ không được chấp nhận và không được cấp giấy chứng nhận ISO.

Ngoài ra, doanh nghiệp phải thực hiện hành động khắc phục trước thời hạn và theo biểu mẫu được chỉ định theo quy định của Tổ chức chứng nhận.

Hãy đảm bảo thực hiện các hành động khắc phục dưới sự hướng dẫn của chuyên gia đánh giá và hoàn thành trước thời hạn đã định.

 

7. Sự không phù hợp và hành động khắc phục

Không ít doanh nghiệp thắc mắc về khả năng “bị trượt đánh giá”.

Nếu có phát hiện về “sự không phù hợp nghiêm trọng” trong quá trình đánh giá, thì doanh nghiệp bạn có thể bị “trượt đánh giá”.

Sự không phù hợp được chia làm 2 loại: “sự không phù hợp nghiêm trọng” và “sự không phù hợp nhẹ”.

Đối với những trường hợp thiếu sót nhỏ trong hoạt động hoặc không phải là vấn đề lớn trong hệ thống quản lý, doanh nghiệp bạn chỉ cần thực hiện hành động khắc phục cho “sự không phù hợp nhẹ”. Nhưng nếu có “sự không phù hợp nghiêm trọng”, quá trình đánh giá có thể bị gián đoạn hoặc không thể tiếp tục.

Các trường hợp được xem là “sự không phù hợp nghiêm trọng” bao gồm việc xây dựng các quy định không tuân thủ yêu cầu của ISMS (ISO 27001) hoặc không thực hiện hoạt động sau khi xây dựng (đặc biệt là hoạt động đánh giá nội bộ và xem xét lãnh đạo) và chuyên gia đánh giá phán đoán là không có khả năng cải tiến.

Như đã trình bày ở mục “6. 4 việc cần làm để đạt được, duy trì và cập nhật ISO 27001” ở trên, doanh nghiệp phải thực hiện 2 việc dưới đây để chuẩn bị cho đánh giá chứng nhận:
① Xây dựng ISMS theo yêu cầu của ISO 27001
② Hoàn thiện và điều hành ISMS

 

Tổng kết

Bạn đã nắm được 4 điều kiện cần thiết để đạt được chứng nhận ISMS (ISO 27001) rồi chứ? 4 điều kiện đó là: xây dựng và vận hành hệ thống quản lý an toàn thông tin, thanh toán chi phí đánh giá, thực hiện hành động khắc phục sự không phù hợp được phát hiện trong quá trình đánh giá.
Trước ngày đánh giá chứng nhận, có rất nhiều việc cần phải làm như xây dựng, vận hành,… Bạn có thể tham khảo ý kiến từ công ty tư vấn để được hướng dẫn cách thức thực hiện.

Hiện tại chúng tôi đang tiếp nhận tư vấn miễn phí ISO 9001, ISO 14001, ISO 27001! Chuyên gia tư vấn sẽ lắng nghe và giải đáp mọi thắc mắc của bạn. Xin vui lòng liên hệ với chúng tôi!

Tam giác bảo mật CIA (tính bảo mật, tính toàn vẹn, tính sẵn sàng) là gì?

 

Ba tính chất của bảo mật thông tin là “tính bảo mật”, “tính toàn vẹn” và “tính sẵn sàng”. Hiểu rõ 3 yếu tố bảo mật này là bước căn bản đầu tiên trong quá trình xây dựng một hệ thống thông tin an toàn. Ba yếu tố này còn được gọi là tam giác bảo mật CIA.

 

 

1. 3 yếu tố bảo mật “tính bảo mật”, “tính toàn vẹn” và “tính sẵn sàng” là gì?

ISMS (ISO 27001) yêu cầu xây dựng một hệ thống có thể duy trì 3 yếu tố “tính bảo mật”, “tính toàn vẹn” và “tính sẵn sàng”. Đây là 3 yếu tố ngăn chặn việc làm sai lệch, thất thoát, mất mát, hư hỏng các thông tin quan trọng và xử lý thông tin một cách an toàn.
Ba yếu tố bảo mật, toàn vẹn và sẵn sàng thường được gọi bằng từ viết tắt tiếng Anh là “CIA”.

“Tính bảo mật”: confidentiality
“Tính toàn vẹn”: integrity
“Tính sẵn sàng”: availability

 

2. Tính bảo mật: Confidentiality là gì?

Tính bảo mật tức là, đảm bảo thông tin chỉ được phép truy cập bởi những đối tượng được cấp phép, hay nói cách khác, là việc đảm bảo thông tin được bảo vệ sao cho không bị tiết lộ cho những đối tượng không được cấp phép.
Tính bí mật của thông tin có thể đạt được bằng cách sử dụng các biện pháp như xác thực, giới hạn truy cập và mã hóa.

Nếu tính bảo mật của thông tin được đảm bảo, thì có thể ngăn chặn sự xâm nhập từ bên ngoài và giảm thiểu khả năng rò rỉ, mất mát, thất thoát hoặc hư hỏng thông tin.

(1) Tài sản thông tin cần được bảo mật
① Thông tin cá nhân

Thông tin cá nhân của khách hàng và nhân viên, địa chỉ, số điện thoại, địa chỉ email và thông tin nhận dạng cá nhân khác phải được bảo vệ dưới góc độ quyền riêng tư.

② Bí mật kinh doanh

Thông tin là bí mật thương mại liên quan đến năng lực cạnh tranh cần được bảo vệ chẳng hạn như nghiên cứu và phát triển, thông tin kỹ thuật, chiến lược kinh doanh, thông tin về sản phẩm và dịch vụ mới, v.v..

③ Thông tin hợp đồng

Các thông tin có thể được yêu cầu phải bảo mật là thông tin liên quan đến hợp đồng, chẳng hạn như hợp đồng với đối tác kinh doanh và công ty đối tác, và thông tin dự án trong quá trình đàm phán kinh doanh.

④ Thông tin tài chính

Thông tin liên quan đến tình hình tài chính của một tổ chức, bao gồm dữ liệu kế toán, ngân sách và dự toán, và kế hoạch tài trợ, cần được giữ bí mật.

⑤ Thông tin pháp lý và luật định

Thông tin liên quan đến các yêu cầu pháp lý và luật định, chẳng hạn như tài liệu pháp lý, thông tin kiện tụng và báo cáo kiểm toán, cũng cần được bảo vệ.

⑥ Thông tin bảo mật

Tính bảo mật rất quan trọng đối với thông tin liên quan đến bảo mật thông tin, chẳng hạn như sơ đồ cấu hình mạng, thông tin lỗ hổng hệ thống và mật khẩu.

 

(2) Các biện pháp cụ thể
① Kiểm soát truy cập

Giới hạn quyền truy cập thông tin chỉ cho những người có quyền hạn tối thiểu cần thiết, nhằm ngăn chặn truy cập trái phép và rò rỉ thông tin.
Áp dụng danh sách kiểm soát truy cập (ACL) và chỉ cho phép truy cập đối với người dùng cụ thể hoặc nhóm cụ thể.

② Mã hóa

Áp dụng công nghệ mã hóa cho việc truyền tải và lưu trữ dữ liệu, nhằm đảm bảo rằng thông tin không thể đọc được ngay cả khi xảy ra truy cập trái phép hoặc rò rỉ.
Nên sử dụng các phương pháp mã hóa phù hợp như mã hóa toàn bộ thiết bị hoặc mã hóa tệp tin.

③ Phân loại dữ liệu

Phân loại tài sản thông tin theo mức độ bảo mật và áp dụng các biện pháp bảo vệ phù hợp cho mỗi mức độ.
Lập chính sách phân loại dữ liệu và thông báo rõ ràng cho nhân viên.

④ Giáo dục và đào tạo về an toàn thông tin

Tổ chức các chương trình giáo dục và đào tạo về an toàn thông tin nhằm nâng cao nhận thức của nhân viên.
Thực hiện đào tạo nâng cao kiến thức định kỳ và liên tục, nhằm cải thiện liên tục các biện pháp bảo mật.

⑤ An ninh vật lý

Lưu trữ tài sản thông tin trong các cơ sở và phòng được áp dụng biện pháp bảo mật, nhằm ngăn chặn truy cập trái phép và mất mát do trộm cắp.
Nên áp dụng các biện pháp bảo mật vật lý như camera an ninh và thẻ truy cập.

⑥ Thiết lập chính sách và quy trình an toàn thông tin

Xây dựng chính sách an toàn thông tin cho toàn bộ tổ chức và đề ra các quy trình và quy tắc cụ thể.
Thường xuyên xem lại và cải thiện chính sách để thích nghi với tình hình an ninh.

⑦ Kiểm tra và đánh giá bảo mật

Thực hiện kiểm tra và đánh giá bảo mật định kỳ để xác minh hiệu quả của các biện pháp bảo mật thông tin.

 

3. Tính toàn vẹn: Integrity là gì?

Tính toàn vẹn là trạng thái mà thông tin được lưu trữ hoặc truyền tải một cách chính xác và nhất quán. Điều này giúp ngăn chặn việc dữ liệu bị thay đổi sai hoặc bị sửa đổi một cách trái phép. Khi tính toàn vẹn không được đảm bảo, độ chính xác và đáng tin cậy của thông tin sẽ bị mất đi.

Nói một cách đơn giản, việc duy trì sự chính xác, sự cập nhật và sự đầy đủ trong thông tin là mục tiêu của tính toàn vẹn.

Ví dụ, nếu áp dụng vào tính toán lương, khi tính toàn vẹn không được đảm bảo, có thể xảy ra các vấn đề sau:

– Số tiền lương sai lệch: Nếu thời gian làm việc và thời gian làm thêm của nhân viên không được ghi chính xác, có thể dẫn đến sai sót trong tính toán lương. Điều này có thể ảnh hưởng đến động lực làm việc và gánh nặng trong cuộc sống của nhân viên, gây ảnh hưởng tiêu cực đến năng suất của tổ chức.

– Vi phạm pháp luật: Một số trường hợp sẽ bị quy cho là không tuân thủ các quy định pháp luật về mức lương tối thiểu hoặc giới hạn thời gian làm việc đã được quy định. Điều này không chỉ khiến công ty bị xử phạt mà danh tiếng của công ty cũng sẽ bị tổn hại.

(1) Tài sản thông tin cần duy trì tính toàn vẹn
① Thông tin tài chính

Thông tin liên quan đến giao dịch tài chính như thông tin tài khoản ngân hàng, thông tin thẻ tín dụng, lịch sử thanh toán, cần phải đảm bảo tính toàn vẹn vì sự thay đổi hoặc sửa đổi sai sót có thể dẫn đến thiệt hại lớn.

② Thông tin khách hàng

Thông tin về cá nhân khách hàng, lịch sử giao dịch, nội dung hợp đồng và các thông tin liên quan đến khách hàng đòi hỏi tính chính xác để duy trì mối quan hệ tin cậy.

③ Thông tin nhân viên

Thông tin về cá nhân nhân viên, quản lý chấm công, thông tin về lương và các thông tin liên quan đến nhân viên yêu cầu tính toàn vẹn để đảm bảo độ chính xác và đáng tin cậy của dữ liệu liên quan đến nhân viên.

④ Thông tin sản phẩm và dịch vụ

Thông tin về thông số kỹ thuật sản phẩm, giá cả, thông tin kho hàng và các chi tiết khác liên quan trực tiếp đến hoạt động kinh doanh cần đảm bảo tính chính xác.

⑤ Thông tin liên quan đến pháp luật và quy định

Thông tin liên quan đến pháp luật, quy định và tuân thủ pháp lý yêu cầu tính toàn vẹn để thực hiện hoạt động đúng quy định.

⑥ Tài sản trí tuệ

Thông tin về tài sản trí tuệ như bằng sáng chế, quyền tác giả, quyền thương hiệu là quan trọng cho sự cạnh tranh của công ty, và do đó, yêu cầu tính toàn vẹn.

⑦ Thông tin kế toán và tài chính

Sổ sách kế toán, báo cáo tài chính, ngân sách và các thông tin tài chính khác ảnh hưởng đến quản lý doanh nghiệp, yêu cầu tính chính xác và đáng tin cậy.

 

(2) Các biện pháp cụ thể
① Kiểm soát truy cập

Quản lý quyền truy cập thông tin và ngăn chặn sự thay đổi hoặc sửa đổi trái phép.

② Sao lưu dữ liệu

Thực hiện sao lưu định kỳ dữ liệu để khôi phục thông tin chính xác trong trường hợp dữ liệu bị hỏng.

③ Tổng kiểm và hàm băm

Xác minh tính toàn vẹn của dữ liệu bằng cách tổng kiểm tra và sử dụng hàm băm.

④ Xác minh nhập và chỉnh sửa dữ liệu

Đảm bảo rằng dữ liệu được nhập và chỉnh sửa chính xác bằng cách thiết lập các kiểm tra hợp lệ trên biểu mẫu nhập liệu, theo dõi và kiểm tra lịch sử thay đổi của dữ liệu để bảo đảm tính toàn vẹn.

 

4. Tính sẵn sàng: Availability là gì?

Tính sẵn sàng đề cập đến khả năng của một hệ thống thông tin được truy cập vào đúng thời điểm, bởi đúng người và được cung cấp đúng các tài nguyên cần thiết.

Tính sẵn sàng được định nghĩa là:
① Thời gian ngừng hoạt động của hệ thống ở mức tối thiểu.
② Hệ thống hoạt động với hiệu suất phù hợp.
③ Dữ liệu có thể được truy cập vào những thời điểm thích hợp.
④ Mạng và các dịch vụ hoạt động bình thường.
⑤ Có kế hoạch phục hồi dự phòng để đối phó với thiên tai và sự cố.

Ví dụ: đối với bộ nhớ dùng chung và bộ nhớ đám mây
Ổ đĩa dùng chung và bộ nhớ đám mây nơi lưu trữ các tệp và tài liệu được chia sẻ trong công ty phải luôn có thể truy cập được mà không gặp sự cố hoặc suy giảm hiệu suất.

(1) Tài sản thông tin cần duy trì tính sẵn sàng
① Cơ sở dữ liệu khách hàng

Cơ sở dữ liệu chứa thông tin quan trọng về khách hàng, chẳng hạn như thông tin khách hàng và lịch sử giao dịch, đóng vai trò quan trọng trong các hoạt động kinh doanh như bán hàng và hỗ trợ khách hàng.

② Thông tin tài chính

Thông tin quan trọng liên quan đến quản lý doanh nghiệp, chẳng hạn như tình hình tài chính và các chỉ số quản lý của công ty, đóng một vai trò quan trọng trong việc ra quyết định và xây dựng chiến lược.

③ Tài liệu nội bộ

Các tài liệu cần thiết cho việc thực hiện kinh doanh, chẳng hạn như hướng dẫn thủ tục và quy trình kinh doanh nội bộ, hợp đồng và báo cáo, là cần thiết để đảm bảo việc thực hiện kinh doanh suôn sẻ và tuân thủ.

④ Hệ thống và ứng dụng

Các hệ thống và ứng dụng kinh doanh nội bộ là cần thiết để thực hiện kinh doanh hiệu quả và chia sẻ thông tin. Điều quan trọng là các hệ thống và ứng dụng này phải hoạt động tốt và người cần truy cập có thể truy cập được.

⑤ Email

Thư điện tử là tài sản thông tin không thể thiếu để liên lạc trong nội bộ và với bên ngoài. Tốc độ đường truyền khi gửi và nhận email phải được đảm bảo và người cần truy cập có thể truy cập được.

 

(2) Các biện pháp cụ thể
① Dự phòng

Nên thực hiện dự phòng cho máy chủ và thiết bị mạng. Cho các thiết bị và hệ thống dự phòng hoạt động từ thời điểm mọi thứ diễn ra bình thường, để đảm bảo hệ thống vẫn hoạt động liên tục khi xảy ra sự cố.

② Sao lưu

Thực hiện sao lưu dữ liệu và hệ thống đều đặn, nhằm đảm bảo khả năng khôi phục nhanh chóng khi xảy ra sự cố hoặc mất dữ liệu.

③ Bảo trì

Thực hiện bảo trì định kỳ cho hệ thống và mạng, nhằm ngăn chặn sự suy giảm hiệu suất và xảy ra sự cố từ trước.

④ Giám sát

Theo dõi tình trạng hệ thống và mạng theo thời gian thực, và đối phó nhanh chóng khi phát hiện sự bất thường.

 

5. Cách phân loại mức độ của CIA (Confidentiality, Integrity, Availability)

ISMS (ISO 27001) yêu cầu phải thực hiện đánh giá rủi ro tài sản.

Khi đánh giá rủi ro, các tài sản thông tin sẽ được xác định giá trị dựa trên mức độ CIA (Confidentiality, Integrity, Availability).

Có nhiều công ty xác định mức độ của tài sản thông tin bằng cách áp dụng các tiêu chí sau.

Tính bảo mật Tính toàn vẹn Tính sẵn sàng
Level 3 Tính bảo mật cao Tính toàn vẹn cao Tính sẵn sàng cao
level 2 Tính bảo mật ở mức trung bình  Tính toàn vẹn ở mức trung bình Tính sẵn sàng ở mức trung bình
Level 1 Tính bảo mật thấp  Tính toàn vẹn thấp Tính sẵn sàng thấp

 

6. Cách áp dụng CIA vào hoạt động kinh doanh

Để có thể áp dụng tam giác bảo mật CIA (Confidentiality, Integrity, Availability) vào hoạt động kinh doanh, doanh nghiệp cần nâng cao chất lượng và hiệu suất công việc bằng cách duy trì mức độ bảo mật CIA một cách thích hợp.

Tính bảo mật (Confidentiality)

Giới hạn quyền truy cập đối với các tài sản thông tin có tính bảo mật cao như thông tin khách hàng và bí mật công ty để giảm thiểu rủi ro truy cập trái phép và rò rỉ thông tin.
Khi trao đổi thông tin nội bộ và bên ngoài công ty, việc sử dụng công nghệ mã hóa có thể giảm thiểu rủi ro rò rỉ thông tin cho bên thứ ba.

Tính toàn vẹn (Integrity)

Để ngăn chặn sự thay đổi hoặc hư hỏng dữ liệu, cần thiết lập các quyền liên quan đến việc nhập, chỉnh sửa và xóa dữ liệu một cách chính xác và ngăn chặn sự giả mạo dữ liệu do hành động trái phép.
Thực hiện sao lưu dữ liệu định kỳ và đảm bảo rằng dữ liệu có thể được khôi phục chính xác và hoàn chỉnh trong trường hợp xảy ra sự cố.

Tính sẵn sàng (Availability)

Thực hiện vận hành và quản lý máy chủ và mạng một cách hợp lý, duy trì trạng thái truy cập hệ thống và dịch vụ thông tin cần thiết cho công việc vào thời điểm thích hợp.
Lên kế hoạch đối phó với thiên tai và lập kế hoạch dự phòng để đảm bảo khả năng tiếp tục hoạt động của doanh nghiệp trong trường hợp xảy ra sự cố hệ thống hoặc thiên tai.

 

7. Sự cân bằng quan trọng giữa tính bảo mật, tính toàn vẹn và tính sẵn sàng

Việc cân bằng 3 yếu tố tính bảo mật (C), tính toàn vẹn (I) và tính sẵn sàng (A) đã đề cập ở trên mới là quan trọng.

Ví dụ, nếu bạn ưu tiên quá nhiều vào tính bảo mật, các biện pháp hạn chế truy cập thông tin có thể dẫn đến sự suy giảm của tính sẵn sàng. Tương tự, nếu bạn quá ưu tiên tính toàn vẹn, việc quản lý thông tin quá đà sẽ làm giảm hiệu suất công việc.

Bằng cách vận dụng CIA một cách cân bằng và phù hợp, bạn có thể bảo vệ tài sản thông tin một cách hiệu quả, cải thiện tính ổn định và tính đáng tin cậy của công việc.

Do đó, doanh nghiệp nên cân bằng và đánh giá rủi ro 3 yếu tố tính bảo mật (C), tính toàn vẹn (I) và tính sẵn sàng (A); và xem xét các yếu tố ảnh hưởng xã hội và ảnh hưởng kinh tế.

 

8. Bốn tính chất mới trong khái niệm an ninh thông tin

Trong thời gian gần đây, ngoài tính bảo mật (C), tính toàn vẹn (I) và tính sẵn sàng (A), còn có thêm 4 tính chất mới được chú trọng, đó là:

① Tính xác thực (Authenticity)

Đảm bảo rằng các tổ chức hoặc cá nhân truy cập thông tin có quyền truy cập. Không cấp quyền truy cập cho người không mong đợi.

② Tính đáng tin cậy (Reliability)

Đảm bảo dữ liệu và hệ thống hoạt động mà không có lỗi do con người hoặc lỗi trong chương trình (lỗi phần mềm) và thực hiện đúng ý đồ mong muốn.

③ Tính trách nhiệm (Accountability)

Theo dõi hoạt động của các công ty hoặc cá nhân. Điều này giúp xác định nguyên nhân và hành vi của người dùng trong trường hợp có mối đe dọa truy cập trái phép vào thông tin.

④ Tính không thể chối bỏ (Non-repudiation)

Chứng minh rằng thông tin không thể bị phủ nhận sau này. Điều này đảm bảo rằng thông tin không bị sửa đổi hoặc chối bỏ sau khi được sử dụng. Việc ghi log hệ thống là một biện pháp phòng ngừa chống lại sự chối bỏ.

 

Tổng kết

Tính bảo mật, tính toàn vẹn và tính sẵn sàng là các yếu tố nhằm ngăn chặn việc làm sai lệch, mất mát, thất thoát, hư hỏng các thông tin quan trọng và xử lý thông tin một cách an toàn.

Sự cân bằng giữa mỗi yếu tố là rất quan trọng và có nhiều trường hợp tính bảo mật không được đảm bảo khi ưu tiên tính sẵn sàng, vì vậy hãy cân nhắc các tác động xã hội và tác động kinh tế khi đánh giá mức độ các tính chất này.

Quy trình đạt chứng nhận ISO 27001 (ISMS)

 

Khoảng thời gian cần thiết để doanh nghiệp đạt được chứng nhận ISO 27001 (ISMS) là nửa năm và được thực hiện trong 7 bước. Có được chứng chỉ ISO 27001 (ISMS) đem lại cho doanh nghiệp những lợi ích to lớn, chẳng hạn, đáp ứng các yêu cầu của khách hàng, tăng tỷ lệ trúng thầu và tăng cường bảo mật thông tin của doanh nghiệp.

 

 

1. ISMS (ISO 27001) là gì?

ISMS (ISO 27001) là viết tắt của “Hệ thống quản lý an toàn thông tin”.
Nói một cách đơn giản, đây là hệ thống giúp doanh nghiệp thực hiện các biện pháp an toàn thông tin và giảm thiểu rủi ro (sự cố) do rò rỉ thông tin.

Các thông tin được quản lý bởi doanh nghiệp có mức độ quan trọng khác nhau. Doanh nghiệp hoạt động dựa trên các quy tắc và tiêu chuẩn.

Doanh nghiệp cần thiết lập tiêu chuẩn và quy định cho cả hệ thống của “phần mềm” và “phần cứng” cũng như hành động mà nhân viên không được phép thực hiện.

Theo cách này, doanh nghiệp cần phải thực hiện các biện pháp đối phó rủi ro từ cả góc độ “phần cứng” và “phần mềm”, đồng thời hoàn thiện một hệ thống hỗ trợ việc xử lý thông tin.

>>>Xem thêm: ISMS (ISO 27001) là gì? Những điều cần biết về ISMS (ISO 27001)

 

2. Tại sao cần có ISMS?

Đạt được chứng nhận ISMS (ISO 27001) đem lại những lợi ích sau:

・Tăng tỷ lệ trúng thầu
・Nâng cao mức độ bảo mật với các tổ chức bên ngoài (bao gồm khách hàng)
・Nâng cao nhận thức về bảo mật trong tổ chức

 

(1) Tăng tỷ lệ trúng thầu

Trong nhiều trường hợp, đạt được chứng nhận ISMS là một điều kiện để đấu thầu các dự án của chính phủ và chính quyền địa phương.

Đạt được chứng nhận ISMS sẽ giúp doanh nghiệp mở rộng kinh doanh và cải thiện doanh số.

 

(2) Nâng cao mức độ bảo mật với các tổ chức bên ngoài

Các doanh nghiệp có chứng nhận ISMS có thể quảng bá hình ảnh với các tổ chức bên ngoài về độ tin cậy bảo mật vì đã đạt tiêu chuẩn nhất định về bảo mật thông tin.

Hơn nữa, ISMS của doanh nghiệp được đánh giá khách quan từ bên thứ ba nên doanh nghiệp có thể lấy được lòng tin của khách hàng và nhà cung cấp bên ngoài.

Tuy nhiên, đạt chứng nhận ISMS không có nghĩa là mức độ bảo mật cực kỳ cao.

 

(3) Nâng cao nhận thức về bảo mật trong tổ chức

Để đạt được chứng nhận và duy trì ISMS, doanh nghiệp cần phải thực hiện đào tạo nhân viên, thiết lập chính sách, phân chia vai trò, v.v.

Do đó, nhận thức về bảo mật trong các doanh nghiệp đã đạt được chứng nhận ISMS sẽ cao hơn so với doanh nghiệp thông thường.

 

3. Quy trình và thời gian để đạt được chứng nhận ISMS (ISO 27001)

Thời gian nhanh nhất để đạt được chứng nhận là khoảng 6 tháng và lâu nhất là khoảng 1 năm kể từ khi khởi động đến khi hoàn thành chứng nhận.

(1) Lập kế hoạch đạt chứng nhận
① Xác nhận mục đích của việc đạt chứng nhận

Doanh nghiệp muốn đạt được chứng nhận ISMS, cần phải có sự hợp tác của nhân viên.
Việc chia sẻ mục đích lấy chứng chỉ ISMS trong nội bộ công ty sẽ giúp quá trình chuẩn bị diễn ra suôn sẻ hơn.
Cần phải nhìn nhận đúng mục đích và lợi ích của ISMS dành cho tổ chức.

Ngoài ra, việc chuẩn bị sẽ dễ dàng hơn nếu doanh nghiệp xem xét các ý kiến ​​​​được cho là sẽ ngăn chặn sự phản đối xuất hiện tại thời điểm chứng nhận.

 

② Lựa chọn người chịu trách nhiệm cho ISMS

Doanh nghiệp sẽ phải lựa chọn một người chịu trách nhiệm chính cho ISMS.
Vì sẽ phát sinh công việc khác với công việc chính, nên cần phải lựa chọn 1 người chịu trách nhiệm.

Ngoài ra, trong trường hợp doanh nghiệp có đông người, tổ chức cũng nên quyết định người phụ trách của từng bộ phận để việc liên lạc được thuận lợi.

 

③ Quyết định thời gian đạt được chứng nhận

Quyết định đích đến khi lập kế hoạch giúp doanh nghiệp có thể đạt chứng nhận đúng thời gian mục tiêu đã đề ra.
Bạn nên suy nghĩ về mục đích lấy chứng chỉ và quyết định khi nào doanh nghiệp bạn cần có.

Việc đặt ra các mục tiêu cụ thể để đạt được ISMS cũng rất quan trọng.
Mục tiêu càng cụ thể, kế hoạch của doanh nghiệp sẽ càng thực tế.

 

④ Quyết định về việc tự triển khai hay thuê công ty tư vấn

Doanh nghiệp có thể xem xét các yếu tố dưới đây trước khi quyết định xem nên tự triển khai hay thuê đơn vị tư vấn bên ngoài:

・Vấn đề nhân sự
・Vấn đề kinh phí
・Vấn đề kiến ​​thức và kinh nghiệm

Điều đầu tiên doanh nghiệp bạn nên suy nghĩ xem điều gì là tốt nhất để đưa ra các quy trình phù hợp với tình hình thực tế của tổ chức.

Doanh nghiệp bạn cũng có thể xem xét thuê ngoài nếu các nguồn lực trong tổ chức không đủ hoặc thiếu chuyên môn.

>>>Xem thêm: Tiêu chí lựa chọn Tổ chức chứng nhận ISO

 

⑤ Quyết định ngân sách

Để đạt được chứng nhận ISO 27001 (ISMS), doanh nghiệp/tổ chức cần có ngân sách nhất định.
Ngân sách để chi trả các chi phí (chi phí đánh giá chứng nhận) cho Tổ chức chứng nhận và chi phí đầu tư các thiết bị cần thiết trong công ty hoặc chi phí tư vấn trong trường hợp doanh nghiệp thuê ngoài.

Ngoài ra, tình hình có thể thay đổi tùy thuộc vào nguồn lực và sự cân bằng nội bộ, song doanh nghiệp cũng nên tính đến chi phí nhân sự cần trả cho người phụ trách ISO, để có thể triển khai mà ít ảnh hưởng đến kinh doanh.

 

⑥ Lựa chọn Tổ chức chứng nhận

Tổ chức chứng nhận có thể đánh giá cho rất nhiều tổ chức từ công ty cổ phần cho đến quỹ thành viên, v.v.. Tùy mỗi Tổ chức chứng nhận mà chi phí và chức năng có thể sẽ có sự khác biệt.

Đương nhiên, vì bản thân ISO 27001 là một tiêu chuẩn quốc tế nên thực tế là cho dù bạn lấy chứng chỉ ISO 27001 (ISMS) từ bất cứ Tổ chức chứng nhận nào thì bản chất của nó vẫn không thay đổi.

Do đó, bạn nên chọn một cơ quan đánh giá dựa trên chi phí và dịch vụ, và các nội dung cần xác nhận.

Ngoài ra, bạn cũng cần xác nhận xem đối tác kinh doanh hoặc công ty mẹ có chỉ định Tổ chức chứng nhận không.

 

⑦ Lập kế hoạch

Sau khi đã quyết định thời gian cần có chứng chỉ, hãy lên kế hoạch chi tiết.

Doanh nghiệp cần phải sắp xếp trước lịch đánh giá với Tổ chức chứng nhận.
Do đó, lên kế hoạch cụ thể bằng cách tính ngược thời gian kể từ ngày làm thủ tục đăng ký đánh giá chứng nhận và ngày đánh giá dự kiến là một cách triển khai thông minh.

Nếu bạn lựa chọn tư vấn bởi một đơn vị bên ngoài, hãy tham khảo ý kiến ​​của công ty tư vấn và cùng nhau phối hợp theo dõi các kế hoạch và mục tiêu.

Tóm lại, “lập kế hoạch chứng nhận ISO 27001 (ISMS)” phù hợp với tình hình của doanh nghiệp/tổ chức là bước vô cùng quan trọng vì kế hoạch chính là tiền đề để thúc đẩy việc triển khai.

 

(2) Xây dựng hệ thống quản lý an toàn thông tin

Doanh nghiệp/tổ chức phải xây dựng tài liệu để đạt được chứng nhận ISMS.
Hệ thống tài liệu có thể kể đến là, sổ tay hướng dẫn ISMS, tuyên bố về khả năng áp dụng và các quy định kiểm soát an toàn thông tin.

 

(3) Áp dụng ISMS vào thực tế

Sau khi đã thiết lập các quy trình và xây dựng hệ thống tài liệu, sẽ là bước áp dụng hệ thống quản lý vào thực tế.

Đối với các hoạt động thực tế, cần phải để lại hồ sơ kết quả hoạt động làm bằng chứng.
Ví dụ: sổ quản lý tài sản thông tin, kết quả đánh giá rủi ro,v.v.. Các hồ sơ này sẽ được kiểm tra trong buổi đánh giá.

 

(4) Đánh giá nội bộ và xem xét của lãnh đạo

Sau khi việc áp dụng hệ thống vào thực tế đã dần đi vào ổn định và về cơ bản đã hoàn thành, bước tiếp theo doanh nghiệp phải kiểm tra hoạt động và quyết định hành động tiếp theo.

Trong ISMS, đánh giá nội bộ và xem xét của lãnh đạo là yêu cầu bắt buộc.

Để có được chứng chỉ ISMS (ISO 27001), doanh nghiệp/tổ chức cần phải tiến hành đánh giá nội bộ và thực hiện xem xét của lãnh đạo, và phải lưu giữ hồ sơ về kế hoạch triển khai và kết quả thực hiện.

 

(5) Đánh giá giai đoạn 1

Sau khi đã thực hiện xem xét của lãnh đạo, doanh nghiệp/ tổ chức chuẩn bị cho đánh giá

Với đánh giá chứng nhận lần đầu, sẽ có 2 giai đoạn đánh giá. Đánh giá giai đoạn 1 chủ yếu kiểm tra tài liệu, hồ sơ.

Các tài liệu và hồ sơ sẽ được kiểm tra xem chúng có đáp ứng các yêu cầu của ISMS (ISO 27001) hay không, nếu không có vấn đề gì, doanh nghiệp/tổ chức có thể tiếp tục đánh giá giai đoạn 2.

 

(6) Đánh giá giai đoạn 2

Sau đánh giá giai đoạn 1, đánh giá giai đoạn 2, hay còn gọi là đánh giá tại chỗ, sẽ được tiến hành.
Đánh giá giai đoạn 2 kiểm tra tính hiệu lực của hệ thống, kiểm tra sự tuân thủ các quy định do công ty đã đề ra, kiểm tra nội dung công việc thực tế và kiểm tra hiện trường.

Tại giai đoạn này, chuyên gia đánh giá cũng sẽ kiểm tra kết quả thực hiện hành động khắc phục trong đợt đánh giá giai đoạn 1, vì vậy hãy đảm bảo hoàn thành thực hiện hành động khắc phục trước đợt đánh giá giai đoạn 2.

 

(7) Hoàn tất chứng nhận

Sau khi hoàn thành đánh giá giai đoạn 2 và Tổ chức chứng nhận chấp nhận hệ thống quản lý của doanh nghiệp phù hợp với tiêu chuẩn ISO 27001, doanh nghiệp bạn sẽ nhận được giấy chứng nhận và được quyền sử dụng dấu chứng nhận/công nhận. Bạn có thể đăng dấu chứng nhận này trên danh thiếp hoặc trang web của mình.

Tuy nhiên, nhận được chứng chỉ ISMS (ISO 27001) không đồng nghĩa mọi việc đã kết thúc, doanh nghiệp bạn phải duy trì và tham gia đánh giá giám sát định kỳ hàng năm. Cho nên hãy luôn trong tư thế chuẩn bị hướng tới kỳ đánh giá tiếp theo.

 

5. Tiêu chuẩn liên quan: ISO 27017

ISO 27017 là tiêu chuẩn ISO liên quan đến bảo mật đám mây.

Nếu bạn muốn đạt chứng nhận ISO 27017, trước tiên bạn phải đạt được ISO 27001 (ISMS) hoặc đạt được ISMS và ISO 27017 cùng lúc (tiêu chuẩn bổ sung).

Lợi ích của chứng nhận có thể kể đến là: nâng cao hình ảnh công ty về hệ thống bảo mật với các tổ chức bên ngoài, trúng thầu các dự án của chính phủ và có thể nhận được hợp đồng từ các khách hàng lớn.

Các doanh nghiệp nên lấy chứng chỉ này là các doanh nghiệp cung cấp dịch vụ đám mây như “SaaS”, “PaaS” và “IaaS”.

 

Tổng kết

Bạn thấy sao? Lấy chứng chỉ ISO 27001 (ISMS) quả thực không phải là điều dễ dàng, song xét đến những lợi ích mà ISO đem lại thì nó hoàn toàn xứng đáng với công sức bạn bỏ ra. Hy vọng bài viết này đã giúp bạn có thêm thông tin về quy trình đạt chứng nhận, giúp doanh nghiệp bạn có hướng đi đúng trên hành trình đạt chứng nhận ISO 27001 (ISMS). Nếu bạn có bất cứ thắc mắc nào trong quá trình xây dựng và áp dụng ISO, hãy liên hệ với chuyên gia tư vấn của 3AC để được giải đáp miễn phí nhé.

Những thay đổi của phiên bản ISO 27001:2022

 

Phiên bản ISO / IEC 27001: 2022 mới được xuất bản vào tháng 10 năm 2022. Thay đổi chính của tiêu chuẩn lần này là ISO 27002, còn được gọi là tiêu chuẩn hướng dẫn của ISO 27001. Vì vậy, mặc dù không có sửa đổi lớn trong bản cập nhật ISO 27001:2022, nhưng doanh nghiệp cần phải xem xét lại hoạt động của hệ thống quản lý của mình.

 

 

1. Bối cảnh sửa đổi tiêu chuẩn

Sửa đổi tiêu chuẩn là thay đổi các quy định để phù hợp hơn với tình hình hiện tại, phù hợp với những thay đổi của điều kiện, hoàn cảnh và môi trường xã hội.
Tổ chức Tiêu chuẩn hóa Quốc tế, có trụ sở chính tại Geneva, Thụy Sĩ, tổ chức các cuộc họp định kỳ để xem xét các tiêu chuẩn đã thiết lập; và ISO 27001 (ISMS) là một trong số các tiêu chuẩn quốc tế được xem xét.

ISO 27001 là một tiêu chuẩn về bảo mật thông tin, vì vậy việc xem xét này cần được tiến hành nhằm đáp ứng tính đa dạng của truyền thông và thực tế nó đang được xem xét.
Theo nguyên tắc, các sửa đổi sẽ được thực hiện theo “chu kỳ 5 năm 1 lần”, nhưng có rất ít trường hợp về các sửa đổi được thực hiện đúng tần suất như vậy.
ISO 27001 ra đời là một tiêu chuẩn quốc tế vào năm 2000, sau đó được đổi mới thành phiên bản thứ 2 vào năm 2005 và phiên bản thứ 3 vào năm 2013. Lần này, phiên bản thứ 4 (ISO 27001:2022) đã được xuất bản và là phiên bản mới nhất.

 

2. Phiên bản mới nhất tại thời điểm hiện tại của ISO 27001 là gì?

Kể từ tháng 11 năm 2022, phiên bản mới nhất của ISO 27001 là phiên bản 2022.
Năm 2022 là năm xuất bản bản gốc bằng tiếng Anh và sau đó sẽ được dịch sang các ngôn ngữ trên toàn thế giới.

 

3. Khi nào cần thực hiện sửa đổi?

[Quy trình sửa đổi tiêu chuẩn]

Quy trình sửa đổi tiêu chuẩn ISO 27001
Quy trình sửa đổi tiêu chuẩn ISO 27001

Bản sửa đổi tiêu chuẩn ISO 27001 đã được xuất bản vào ngày 25 tháng 10 năm 2022.
Việc sửa đổi tiêu chuẩn nên được thực hiện trong năm đánh giá tái chứng nhận.
Tùy thuộc vào Tổ chức chứng nhận, có Tổ chức có thời gian và chi phí đánh giá thấp hơn so với đánh giá giám sát.

Không có sự khác biệt quá lớn giữa phiên bản tiếng Anh và bản tiếng Việt ISO 27001. Hãy tham khảo bản song ngữ ISO 27001 và thực hiện các thay đổi theo yêu cầu của tiêu chuẩn.

 

4. Mối liên hệ giữa ISO 27001 và ISO 27002

Như đã đề cập ở trên, ISO 27001 là một tiêu chuẩn quốc tế ISO 27001 có một mục gọi là “Phụ lục A”, Phụ lục A mô tả các mục tiêu quản lý nhằm giảm thiểu rủi ro an toàn thông tin và các biện pháp kiểm soát nhằm đạt được mục tiêu đó.

ISO 27002 chứa các giải thích và ví dụ cụ thể về các biện pháp kiểm soát trong Phụ lục A.
Vì ISO 27002 là tiêu chuẩn không thể thiếu để tổ chức thực hiện các biện pháp quản lý ISO 27001, cho nên nó còn được gọi là tiêu chuẩn hướng dẫn ISO 27001.

 

5. Thời gian cập nhật và chuyển đổi sang phiên bản mới

Thời gian cập nhật ISMS và chuyển đổi chứng nhận sang ISO/IEC 27001:2022 chậm nhất là ngày 31/10/2025.

Tổ chức chứng nhận sẽ đánh giá việc thực hiện các thay đổi trong giai đoạn chuyển đổi này, và nếu không có vấn đề gì, việc sửa đổi tiêu chuẩn coi như được hoàn thành.
Bạn sẽ được thông báo ngay khi Tổ chức chứng nhận sẵn sàng cho cuộc đánh giá chuyển đổi.
Đánh giá chuyển đổi thường được tiến hành đồng thời với đánh giá giám sát định kỳ và đánh giá chứng nhận lại.
Tùy từng Tổ chức chứng nhận mà cách làm sẽ khác nhau, cho nên bạn nên liên hệ với cơ quan chứng nhận mà bạn đang đánh giá để xác nhận.

 

6. Những điểm thay đổi của tiêu chuẩn

Phụ lục A của ISO 27001:2013 có các biện pháp kiểm soát bao gồm 114 mục.
Bằng cách thực hiện các biện pháp kiểm soát này, rủi ro an toàn thông tin sẽ được giảm thiểu.

Bản sửa đổi của ISO 27002, bao gồm các giải thích và ví dụ cụ thể về các biện pháp kiểm soát này, đã được hoàn thành và nội dung thay đổi đáng kể.
Bản sửa đổi của ISO 27001 là bản sửa đổi của Phụ lục A về sự thay đổi trong biện pháp kiểm soát này.

Những thay đổi cụ thể về các biện pháp kiểm soát:

Trong số 114 biện pháp kiểm soát:
・Cập nhật 58 mục
・Tích hợp 24 mục
・Thêm mới 11 mục
Tổng số mục đã xóa bỏ là 93 mục.

Nếu bạn lo lắng về việc “Không biết rõ các thay đổi”, “Không biết phải làm như thế nào”, bạn có thể hỏi ý kiến chuyên gia tư vấn của 3AC chúng tôi để được hướng dẫn cụ thể.

 

7. Những lưu ý khi thực hiện sửa đổi

(1) Hồ sơ và biểu mẫu

Vì các biện pháp kiểm soát thay đổi nên bạn cần rà soát lại nội dung Tuyên bố về khả năng áp dụng và các quy định kiểm soát an toàn thông tin sao cho phù hợp.

 

(2) Nội bộ công ty

Nhân viên phụ trách ISO nên thu thập thông tin về việc sửa đổi tiêu chuẩn.
Vào thời điểm này các thông tin chưa được rõ ràng, vì vậy hãy cập nhật thông tin thường xuyên để nắm được các sửa đổi đối với các tiêu chuẩn. Chúng tôi sẽ cập nhật bài viết này với thông tin mới nhất, hãy lưu lại đường link để tiện theo dõi nhé.

Khi bạn đã xác nhận thời điểm sửa đổi tiêu chuẩn, bước tiếp theo là thu thập thông tin từ Tổ chức chứng nhận.
Lý do là khi các tiêu chuẩn được sửa đổi, các quy định của mỗi tổ chức sẽ thay đổi đồng thời với quy định của tổ chức.

 

Tổng kết

Bạn đã nắm được thông tin về những thay đổi chính của bản cập nhật ISO 27001:2022 rồi chứ. Vì các biện pháp kiểm soát sẽ được thay đổi trong lần sửa đổi này, nên doanh nghiệp cần phải rà soát lại Tuyên bố về khả năng áp dụng và Quy định kiểm soát an toàn thông tin sao cho phù hợp.
Nội dung chi tiết của đánh giá chuyển đổi sẽ thay đổi tùy mỗi Tổ chức chứng nhận, vì vậy hãy xác nhận với Tổ chức chứng nhận để cuộc đánh giá diễn ra suôn sẻ hơn nhé.

Đạt chứng nhận ISO 27001 (ISMS) liệu có khó?

 

Việc thất bại trong đánh giá ISMS là điều rất hiếm khi xảy ra. Sự không phù hợp được phát hiện trong quá trình đánh giá là cơ hội để xem xét và cải thiện hệ thống quản lý an toàn thông tin của tổ chức. Có 3 loại hình đánh giá khác nhau và nội dung đánh giá cũng sẽ khác nhau, vì vậy hãy đảm bảo rằng bạn đã nắm chắc kiến thức và chuẩn bị kỹ trước buổi đánh giá chính thức.

 

 

1.Khái quát về đánh giá ISMS

Đánh giá ISMS gồm 5 bước chính:
① Đăng ký chứng nhận
② Tiếp nhận đăng ký
③ Sắp xếp lịch đánh giá
④ Đánh giá
⑤ Chứng nhận
Tổng cộng khoảng 3 tháng!!!

 

(1) Đăng ký chứng nhận

Trường hợp doanh nghiệp bạn lần đầu xin cấp chứng nhận hoặc thay đổi Tổ chức chứng nhận, bạn phải làm thủ tục đăng ký chứng nhận đến Tổ chức chứng nhận.
Cách thức đăng ký và các tài liệu cần chuẩn bị sẽ thay đổi tùy từng Tổ chức chứng nhận. Bạn có thể tham khảo chi tiết tại Homepage của các Tổ chức chứng nhận.

 

(2) Tiếp nhận đăng ký

Sau khi Tổ chức chứng nhận kiểm tra hồ sơ đăng ký, họ sẽ tính toán chi phí đánh giá và công số đánh giá (số chuyên gia đánh giá và số ngày đánh giá).
Nếu không có vấn đề gì, Tổ chức chứng nhận và doanh nghiệp sẽ tiến hành ký kết hợp đồng đánh giá và đăng ký chứng nhận.

 

(3) Sắp xếp lịch đánh giá

Bước tiếp theo, doanh nghiệp sẽ phải điều chỉnh lịch trình đánh giá với Tổ chức chứng nhận.
Hãy đảm bảo việc sắp xếp này được thực hiện 2 tháng trước ngày đánh giá để tránh tình trạng không thể điều chỉnh đúng ngày bạn mong muốn do Tổ chức chứng nhận quá bận rộn.

 

(4) Đánh giá

Trường hợp doanh nghiệp bạn lần đầu xin cấp chứng nhận, đánh giá chứng nhận sẽ được chia ra làm 2 giai đoạn: đánh giá giai đoạn 1 và đánh giá giai đoạn 2.
Trường hợp doanh nghiệp bạn đánh giá giám sát và đánh giá tái chứng nhận, có Tổ chức chia ra làm nhiều lần đánh giá, cũng có Tổ chức chỉ đánh giá duy nhất 1 ngày.

 

(5) Chứng nhận

Phía Tổ chức chứng nhận sẽ họp bàn về quyết định chứng nhận.
Nếu không có vấn đề gì, Tổ chức chứng nhận sẽ ban hành Giấy chứng nhận cho doanh nghiệp bạn.

Trên là toàn bộ nội dung các bước đánh giá chính. Để tham gia đánh giá, doanh nghiệp phải triển khai xây dựng ISMS.

 

2. Các loại hình đánh giá

Có 3 loại đánh giá ​​ISMS (ISO 27001): đánh giá chứng nhận, đánh giá giám sát và đánh giá tái chứng nhận.

Sau khi đạt được chứng nhận ISMS (ISO 27001), doanh nghiệp bạn vẫn phải tham gia đánh giá giám sát định kỳ hàng năm, và đánh giá tái chứng nhận sau 3 năm trước khi Giấy chứng nhận hết hiệu lực.

Đánh giá chứng nhận lần đầu Đánh giá duy trì Đánh giá chứng nhận lại
Tên gọi Đánh giá chứng nhận Đánh giá định kỳ

Đánh giá giám sát

Đánh giá tái chứng nhận
Nội dung đánh giá Kiểm tra hệ thống quản lý an toàn thông tin của tổ chức có vấn đề gì không Kiểm tra tình hình thực hiện tính từ lần đánh giá gần nhất Kiểm tra tình hình thực hiện của 3 năm tính từ lần đánh giá chứng nhận
Mục đích đánh giá Đánh giá giai đoạn 1: kiểm tra tài liệu, hồ sơ

Đánh giá giai đoạn 2: kiểm tra tình hình thực hiện thực tế

Kiểm tra việc duy trì áp dụng có vấn đề gì không Kiểm tra xem việc chứng nhận lại ISO có vấn đề gì không, xem có thay đổi gì kể từ lần đánh giá chứng nhận trước hay không và tình hình thực hiện trong 3 năm qua thế nào
Công số đánh giá Đánh giá thường được chia ra làm 1 giai đoạn: giai đoạn 1 và giai đoạn 2, và được tiến hành cách nhau 1 tháng Trong nhiều trường hợp, chuyên gia đánh giá và số ngày đánh giá giám sát ít hơn so với đánh giá tái chứng nhận Thông thường đánh giá tái chứng nhận mất nhiều thời gian và cần nhiều chuyên gia đánh giá hơn đánh giá giám sát

 

(1) Đánh giá để được cấp chứng chỉ lần đầu

Cách gọi:
Tùy mỗi Tổ chức chứng nhận mà cách gọi khác nhau, Đánh giá để được cấp chứng chỉ lần đầu được gọi là “đánh giá lần đầu” hoặc “đánh giá chứng nhận”.
Đánh giá được chia ra làm 2 giai đoạn: đánh giá giai đoạn 1 và đánh giá giai đoạn 2.

Nội dung đánh giá:
Kiểm tra hệ thống quản lý an toàn thông tin của tổ chức có vấn đề gì không.

Mục đích đánh giá:
① Đánh giá giai đoạn 1: chủ yếu kiểm tra các tài liệu liên quan đến ISMS đã đầy đủ và thích hợp chưa.
② Đánh giá giai đoạn 2: kiểm tra tình hình thực hiện dựa trên tài liệu ISMS. Cụ thể, đó là việc đánh giá sự tuân thủ các quy định trên giấy tờ đã được kiểm tra tại đánh giá giai đoạn 1.

Công số đánh giá:
Công số đánh giá sẽ thay đổi tùy vào số địa điểm, phạm vi áp dụng và số nhân viên.
Đánh giá thường được chia ra làm 1 giai đoạn: giai đoạn 1 và giai đoạn 2, và được tiến hành cách nhau 1 tháng.

 

(2) Đánh giá duy trì

Cách gọi:
Tùy mỗi Tổ chức chứng nhận mà cách gọi khác nhau, ví dụ: “đánh giá định kỳ” hoặc “đánh giá giám sát”.

Nội dung đánh giá:
Kiểm tra tình hình thực hiện kể từ lần đánh giá trước.

Mục đích đánh giá:
Kiểm tra xem việc duy trì có vấn đề gì không.

Công số đánh giá:
Trong nhiều trường hợp, chuyên gia đánh giá và số ngày đánh giá giám sát ít hơn so với đánh giá tái chứng nhận.

 

(3) Đánh giá tái chứng nhận

Cách gọi:
Tùy mỗi Tổ chức chứng nhận mà cách gọi khác nhau, Đánh giá sau 3 năm trước khi giấy chứng nhận hết hiệu lực được gọi là “đánh giá tái chứng nhận” hoặc “đánh giá chứng nhận lại”.

Nội dung đánh giá:
Kiểm tra tình hình thực hiện trong 3 năm kể từ lần đánh giá chứng nhận trước.

Mục đích đánh giá:
Kiểm tra xem việc chứng nhận lại ISO có vấn đề gì không, xem có thay đổi gì kể từ lần đánh giá chứng nhận trước hay không và tình hình thực hiện trong 3 năm qua thế nào.

Công số đánh giá:

Thông thường đánh giá tái chứng nhận mất nhiều thời gian và cần nhiều chuyên gia đánh giá hơn đánh giá giám sát.

Như vậy có thể thấy, đánh giá chứng nhận lần đầu mất nhiều công số nhất trong 3 loại hình đánh giá.
Tổ chức chứng nhận sẽ kiểm tra rất kỹ các tài liệu liên quan đến ISMS và tình hình thực hiện thực tế, cho nên chắc chắn sẽ có những phát hiện đánh giá về sự không phù hợp và điểm cần cải tiến.

Bên cạnh đó, đánh giá tái chứng nhận sẽ mất nhiều thời gian hơn và cần nhiều chuyên gia đánh giá hơn so với đánh giá giám sát.
Khác với đánh giá giám sát, đánh giá chứng nhận lại có thể có những sự không phù hợp bạn chưa bao giờ nghe qua.

 

3. 7 hồ sơ cần thiết cho đánh giá

Để được đánh giá, doanh nghiệp cần có hồ sơ hoạt động. Với đánh giá duy trì, cần có hồ sơ vận hành trong vòng 1 năm, và với đánh giá chứng nhận lại, cần có bộ hồ sơ trong vòng 3 năm.

Ngoài 7 hồ sơ sau đây, Tổ chức chứng nhận cũng có thể kiểm tra các hồ sơ về hoạt động thực tế và bảo mật được thực hiện trên thực tế:
① Bảng đánh giá rủi ro thông tin
② Bảng quản lý mục tiêu
③ Kế hoạch ứng phó với rủi ro
④ Hồ sơ đào tạo
⑤ Kế hoạch kinh doanh liên tục
⑥ Hồ sơ đánh giá nội bộ
⑦ Hồ sơ thực hiện xem xét của lãnh đạo

 

4. Quy trình đánh giá

Dưới đây là quy trình đánh giá ISMS (ISO 27001):

① Họp khai mạc
② Phỏng vấn Lãnh đạo
③ Thăm quan (kiểm tra phạm vi bảo mật)
④ Làm việc với Người quản trị hệ thống
⑤ Xác nhận tình hình thực hiện cải tiến các điểm lưu ý trong lần đánh giá trước
⑥ Làm việc với từng phòng ban
⑦ Họp bế mạc

Đánh giá duy trì và đánh giá chứng nhận lại cũng có quy trình đánh giá tương tự như trên, tuy nhiên với đánh giá chứng nhận lại thì chuyên gia sẽ xác nhận lại nội dung đăng ký lúc đầu và sẽ hỏi chi tiết Người quản trị hệ thống và các phòng ban khác.

 

5. Chi phí đánh giá ISMS

Tổ chức chứng nhận sẽ đánh giá ISMS định kỳ, cho nên doanh nghiệp phải thanh toán chi phí đánh giá hàng năm.
Chi phí đánh giá sẽ thay đổi tùy từng tổ chức, công số, v.v..
Dưới đây là chi phí đánh giá tham khảo:

Số lượng nhân viên Đánh giá chứng nhận Đánh giá giám sát năm thứ 2 Đánh giá giám sát năm thứ 3
1~15 25,000,000 9,000,000 9,000,000
16~80 45,000,000 17,000,000 17,000,000
80~120 63,000,000 22,000,000 22,000,000

 

(1) Đánh giá chứng nhận

Đánh giá chứng nhận được chia ra làm 2 giai đoạn, và chuyên gia đánh giá sẽ kiểm tra kỹ tình hình thực tế.
Đánh giá chứng nhận lần đầu là đợt đánh giá có chi phí cao nhất.

 

(2) Đánh giá giám sát

Nếu không có gì thay đổi về số lượng nhân viên, số địa điểm, lĩnh vực áp dụng thì chi phí đánh giá giám sát của 2 năm tiếp theo sẽ tương đương nhau.
Đánh giá giám sát chỉ đánh giá tình hình thực hiện trong vòng 1 năm, vì thế chi phí đánh giá giám sát thường sẽ thấp hơn so với chi phí đánh giá chứng nhận lần đầu.

 

(3) Đánh giá tái chứng nhận

Đánh giá tái chứng nhận là đánh giá việc thực hiện của cả 3 năm cho nên chi phí sẽ cao hơn so với đánh giá giám sát.

 

6. Các trường hợp sẽ trở thành sự không phù hợp và cách xử lý

(1) Sự không phù hợp nghiêm trọng

Là kết quả mà trong quá trình đánh giá, chuyên gia đánh giá xác định rằng “Hệ thống quản lý không hoạt động” thì đây được gọi là “sự không phù hợp nghiêm trọng”. Các ví dụ điển hình có thể kể đến là: không thực hiện đánh giá nội bộ hoặc xem xét của lãnh đạo.

Nếu phát hiện sự không phù hợp nghiêm trọng trong quá trình đánh giá, buổi đánh giá có thể bị tạm dừng. Việc đăng ký hoặc cấp lại chứng nhận sẽ bị hoãn lại, nhưng nếu doanh nghiệp bạn tham gia đánh giá lại và nhận được sự cho phép, bạn vẫn có thể hoàn tất quá trình chứng nhận.

 

(2) Sự không phù hợp nhẹ

Hầu hết trong các đợt đánh giá, sự không phù hợp được phát hiện nhiều nhất là sự không phù hợp nhẹ. Trong quá trình đánh giá, khi chuyên gia xác định “một phần yêu cầu không được đáp ứng”, thì đây được coi là sự không phù hợp nhẹ.

Nếu có sự không phù hợp nhẹ, doanh nghiệp phải thực hiện hành động khắc phục dựa trên các quy định của tổ chức và gửi báo cáo hành động khắc phục cho chuyên gia đánh giá theo quy định của Tổ chức chứng nhận.

 

(3) Điểm lưu ý

Đôi khi, dù không phải là không phù hợp, chuyên gia vẫn có thể đưa ra những điểm cần lưu ý. Tùy Tổ chức chứng nhận mà tên gọi có thể khác nhau như “điểm quan sát”, “điểm khuyến nghị” hoặc “cơ hội cải tiến”.
Mặc dù không nhất thiết phải thực hiện hành động khắc phục, nhưng hãy coi đó là lời khuyên dưới góc nhìn của các chuyên gia và xem xét xem có cần phải thực hiện các biện pháp hay không.

 

7. Biến sự không phù hợp thành cơ hội cải tiến

Phần lớn các doanh nghiệp đều không muốn phát sinh sự không phù hợp trong quá trình đánh giá, nhưng thực tế là việc nhận được phát hiện về sự không phù hợp có thể mang lại cho doanh nghiệp 2 lợi ích dưới đây:

Giúp bạn tìm ra những thách thức và vấn đề cần cải thiện trong công việc và quản lý.
– Việc nhận được nhận xét từ bên thứ ba có thể thay đổi nhận thức, tăng sức ép và tái nhận thức về quy định của công ty cho nhân viên.

Hãy nhìn nhận phát hiện đánh giá về sự không phù hợp như là cơ hội để tìm ra những vấn đề cần cải thiện, vì doanh nghiệp không nhận được sự không phù hợp là rất ít.
Hãy chuẩn bị một cách hợp lý, không cần chuẩn bị quá nhiều, và sử dụng thời gian để khắc phục sự không phù hợp được phát hiện trong quá trình đánh giá.

 

8. Để không thất bại trong đợt đánh giá

Trường hợp thất bại và không được cấp chứng nhận ISMS (ISO 27001) là rất hiếm.
Dưới đây là 4 trường hợp không được cấp chứng nhận ISMS (ISO 27001):
① Không thực hiện đánh giá nội bộ
② Không thực hiện xem xét của lãnh đạo
③ Không thanh toán chi phí đánh giá
④ Không thực hiện hành động khắc phục sự không phù hợp

Trường hợp mở rộng phạm vi chứng nhận, chuyên gia đánh giá sẽ xem xét kỹ phạm vi được mở rộng đó, cho nên bạn cần chú ý điểm này.

 

Tổng kết

Đánh giá hệ thống quản lý an toàn thông tin được chia thành 3 loại đánh giá chính: đánh giá chứng nhận lần đầu, đánh giá giám sát định kỳ và đánh giá chứng nhận lại.
Có 5 bước từ khi đăng ký đến khi hoàn tất chứng nhận (tái chứng nhận) và hồ sơ cần chuẩn bị tại thời điểm đăng ký sẽ khác nhau tùy từng Tổ chức chứng nhận.
Sự không phù hợp được phát hiện trong quá trình đánh giá có thể trở thành cơ hội để xem xét lại và cải tiến hệ thống an toàn thông tin của tổ chức và là gợi ý để cải thiện các hoạt động của tổ chức.

Dịch vụ ISO online và 3 tiêu chí lựa chọn

 

Số lượng dịch vụ ISO online đã tăng lên đáng kể trong khoảng 1 năm trở lại đây. Nhiều việc liên quan đến ISO trước đây chỉ có thể thực hiện trực tiếp thì giờ đây đã có thể được thực hiện trực tuyến.
Trong bài viết này, 3AC sẽ giới thiệu các ví dụ cụ thể về 3 dịch vụ ISO online: đào tạo ISO online, đánh giá nội bộ online và quản lý tài liệu online; đồng thời 3AC cũng sẽ chia sẻ những tiêu chí khi lựa chọn dịch vụ ISO online.

 

 

1. Dịch vụ ISO online

Đại dịch Covid-19 đã và đang thúc đẩy mạnh mẽ sự chuyển đổi từ cách thức làm việc truyền thống sang làm việc từ xa & làm việc online.
Và hệ thống quản lý chất lượng tiêu chuẩn quốc tế ISO cũng không phải là một ngoại lệ. Số lượng các dịch vụ ISO online cũng đã tăng lên đáng kể.

Nếu như trước đây việc đào tạo ISO và đánh giá nội bộ ISO được tiến hành trực tiếp, thì giờ đây có thể được tiến hành trực tuyến.
Các Tổ chức chứng nhận cũng dần thích nghi trong bối cảnh đại dịch còn diễn biến phức tạp để theo kịp thời đại chuyển đổi số và tiến hành cung cấp các dịch vụ chứng nhận ISO online.
Bài viết này sẽ giới thiệu một số dịch vụ phổ biến nhất hiện nay trong số rất nhiều dịch vụ ISO online.

 

2. Các dịch vụ ISO online

(1) Đào tạo ISO online

Đào tạo ISO online hay còn được biết đến với cái tên “đào tạo ISO trực tuyến”, “học ISO online”, “học ISO trực tuyến”, “học trên nền tảng e-learning”.
Đây là phương pháp đào tạo được tiến hành thông qua các thiết bị kết nối internet dưới dạng webinar (hội thảo online) hoặc xem video.

Hình thức đào tạo ISO online mang lại nhiều lợi ích hơn cho người học so với việc mời chuyên gia đến công ty để đào tạo. Cụ thể, đào tạo ISO online giúp người học tiết kiệm thời gian, chi phí và linh hoạt trong việc lựa chọn địa điểm học.

Bởi vậy, bạn nên xem xét chuyển đổi sang cách thức học ISO online trong bối cảnh đại dịch vẫn còn đang diễn biến phức tạp hiện nay.

 

(2) Đánh giá nội bộ online

Doanh nghiệp bạn vẫn còn đang tiến hành đánh giá nội bộ bằng cách trực tiếp đến tất cả các chi nhánh trên toàn quốc để thực hiện?
Giờ đây bạn hoàn toàn có thể ngừng hoạt động đánh giá nội bộ tại chỗ!

Sức mạnh của cuộc cách mạng công nghiệp 4.0 có thể giúp bạn thực hiện công việc qua nền tảng hội họp trực tuyến (video call) với chất lượng hình ảnh sắc nét.
Bạn có thể thực hiện đánh giá nội bộ online mà không gặp bất kỳ sự cố nào, thậm chí bạn có thể xem xét chi tiết hơn so với việc đánh giá tại chỗ.

Tất nhiên, ta không thể phủ nhận ý nghĩa của việc đến các chi nhánh/cơ sở kinh doanh và trao đổi thông tin trực tiếp để đánh giá “hiện trường, hiện vật”.

Tuy nhiên, nếu bạn muốn giảm thời gian di chuyển đường dài, muốn tiến hành hiệu quả và thích ứng với đại dịch (việc đánh giá tại chỗ có thể bị trì hoãn do công tác phòng chống dịch) thì nên cân nhắc đến việc chuyển đổi sang cách thức đánh giá nội bộ online.

 

(3) Quản lý tài liệu online

Quản lý tài liệu có thể đã bị lãng quên vì nó quá cơ bản trong số những điều cơ bản của ISO.

Doanh nghiệp bạn vẫn đang quản lý tài liệu in (giấy)?
Vậy thì giờ đây bạn có thể ngừng ngay việc in tài liệu để hạn chế sử dụng giấy (paperless).

Bạn có thể quản lý phiên bản mới nhất của dữ liệu trên dịch vụ lưu trữ đám mây (cloud storage).
Có rất nhiều dịch vụ lưu trữ đám mây để bạn lựa chọn và bạn có thể truy cập các tài liệu mới nhất khi cần. Cho dù bạn lựa chọn dịch vụ nào cũng nên lưu ý thiết lập quyền truy cập và chú ý đến bảo mật.

 

3. Tiêu chí lựa chọn dịch vụ online

Có 3 tiêu chí cần cân nhắc khi lựa chọn dịch vụ ISO online:
① Có được dùng thử không?
② Có dễ sử dụng không?
③ Chi phí

 

(1) Có được dùng thử không?

Bạn nên lựa chọn dịch vụ cho phép bạn dùng thử để xem xét liệu dịch vụ online đó có thể đáp ứng các yêu cầu và nguyện vọng của doanh nghiệp mình không.

 

(2) Có dễ sử dụng không?

Nếu dịch vụ online đó không dễ sử dụng thì rất khó để áp dụng vào doanh nghiệp bạn. Thậm chí người phụ trách áp dụng dịch vụ online đó còn mất thêm nhiều thời gian và công sức mà lại chẳng mấy dễ dàng gì.

Cho nên hãy sử dụng thử trước và sau đó đưa ra quyết định sáng suốt nhất nhé.

 

(3) Chi phí

Ngân sách cũng là một trong những tiêu chí vô cùng quan trọng khi bạn lựa chọn dịch vụ ISO online.

Tuy nhiên, nếu bạn lấy chi phí làm tiêu chí duy nhất để lựa chọn, bạn có thể không tùy chỉnh được như mong muốn hoặc ngay cả khi bạn chỉ phải trả một số tiền nho nhỏ lúc đầu, nhưng khi lượng sử dụng thay đổi sau đó thì có thể bạn sẽ phải trả thêm các khoản phí phát sinh khác.
Ngoài ra, các dịch vụ rẻ tiền thường có nhược điểm, chẳng hạn như không bảo trì.

Nói chung, tiền nào của nấy, hy vọng bạn có thể phân tích hiệu quả chi phí và đưa ra quyết định thông minh trước khi sử dụng.

 

Tổng kết

Trên là toàn bộ những điều cần biết về 3 dịch vụ ISO online và 3 tiêu chí lựa chọn dịch vụ ISO online. Khi bạn áp dụng một dịch vụ trực tuyến nào đó lần đầu tiên, có thể sẽ có rất nhiều điều bạn không rõ. Liên hệ với chúng tôi nếu bạn có bất kỳ câu hỏi nào về dịch vụ online.

3AC cũng là đơn vị cung cấp hình thức tư vấn online mà vẫn đảm bảo chất lượng. Công ty mẹ tại Nhật Bản cũng đang áp dụng hình thức tư vấn online này với hơn 2,000 khách hàng. Bạn không cần phải quá lo lắng về việc liệu tư vấn online có giúp doanh nghiệp bạn đạt được chứng nhận ISO hay không vì 3AC sẵn sàng cam kết hoàn tiền 100% nếu khách hàng không đạt được chứng nhận.

Tiêu chí lựa chọn Tổ chức chứng nhận ISO

 

Có được chứng chỉ ISO là mong ước của rất nhiều doanh nghiệp Việt nhất là trong thời đại hội nhập quốc tế hiện nay. Và để được cấp chứng chỉ ISO, các doanh nghiệp cần đăng ký chứng nhận với Tổ chức chứng nhận đã được công nhận bởi Tổ chức công nhận. Vậy Tổ chức chứng nhận và Tổ chức công nhận là gì và làm thế nào để lựa chọn được một Tổ chức chứng nhận phù hợp với doanh nghiệp mình, v.v.. Tất cả sẽ có trong bài viết dưới đây.

 

 

1. Tổ chức chứng nhận ISO là gì?

Tổ chức chứng nhận ISO là đơn vị đánh giá độc lập bên thứ 3.
Công việc chủ yếu của Tổ chức chứng nhận là đánh giá sự phù hợp của sản phẩm và dịch vụ phù hợp với các yêu cầu của tiêu chuẩn.

Nếu doanh nghiệp đáp ứng các yêu cầu đánh giá thì sẽ được Tổ chức chứng nhận cấp giấy chứng nhận ISO.
Tổ chức chứng nhận liên kết với Tổ chức công nhận và được Tổ chức công nhận cấp quyền đánh giá hoặc giám định. Nói cách khác, Tổ chức chứng nhận chỉ được phép tiến hành hoạt động đánh giá sau khi đã được công nhận về năng lực.

 

2. Tổ chức công nhận ISO là gì?

Nói một cách đơn giản, Tổ chức công nhận ISO là cơ quan có thẩm quyền đánh giá các Tổ chức chứng nhận ISO.
Chức năng chính của nó là công nhận năng lực đánh giá của các Tổ chức chứng nhận.

 

3. Cách lựa chọn Tổ chức công nhận ISO

Có rất nhiều Tổ chức công nhận, nhưng bạn không cần phải lo lắng về việc lựa chọn Tổ chức công nhận.
Lý do là vì ISO là tiêu chuẩn quốc tế cho nên cho dù doanh nghiệp bạn được bất cứ cơ quan nào công nhận cũng sẽ không có sự khác biệt.

Tuy nhiên, có 2 điều cần lưu ý khi lựa chọn Tổ chức công nhận:

① Trường hợp có yêu cầu từ khách hàng hoặc đối tác kinh doanh

Bạn nên lựa chọn Tổ chức công nhận mà khách hàng hoặc đối tác kinh doanh yêu cầu. Lý do có thể là trụ sở chính của khách hàng hoặc đối tác kinh doanh được chứng nhận bởi Tổ chức công nhận ấy.

② Thiết kế của dấu công nhận

Nếu bạn quan tâm đến phần thiết kế dấu của cơ quan công nhận vì doanh nghiệp bạn sẽ in dấu công nhận trên danh thiếp hoặc trang web, thì bạn nên lựa chọn cơ quan công nhận có thiết kế dấu mà bạn cảm thấy hài lòng.

 

4. Cách lựa chọn Tổ chức chứng nhận ISO

Cũng giống như Tổ chức công nhận, khi lựa chọn Tổ chức chứng nhận bạn cần lưu ý 2 điều: ① Trường hợp có yêu cầu từ khách hàng hoặc đối tác kinh doanh và ② Thiết kế của dấu công nhận như đã nêu ở trên.

Ngoài ra, bạn cũng nên xem xét thêm các khía cạnh khác như: chính sách & nội dung đánh giá, chi phí chứng nhận, kế hoạch & lịch trình đánh giá.

Đầu tiên, bạn không nên lựa chọn Tổ chức chứng nhận có chính sách và nội dung đánh giá không phù hợp với tình hình doanh nghiệp mình.
Ví dụ: công ty bạn là công ty xây dựng nhưng lại lựa chọn Tổ chức chứng nhận chỉ có năng lực đánh giá ngành sản xuất; hoặc doanh nghiệp bạn có quy mô nhỏ chỉ tầm 10 nhân viên nhưng Tổ chức chứng nhận lại đánh giá dưới góc nhìn của doanh nghiệp quy mô lớn tầm 500 nhân viên, v.v..

Tiếp theo là về chi phí chứng nhận. Sau khi đạt được chứng nhận ISO thì doanh nghiệp vẫn phải chi trả chi phí đánh giá hàng năm để thực hiện duy trì hệ thống quản lý.
Tốt nhất bạn nên xin báo giá của vài Tổ chức chứng nhận để so sánh và tìm ra tổ chức phù hợp nhất với doanh nghiệp mình.

Cuối cùng, bạn cần xem xét kế hoạch & lịch trình đánh giá của Tổ chức chứng nhận. Hãy chọn tổ chức nào mà bạn cảm thấy dễ dàng sắp xếp và thay đổi kế hoạch cũng như lịch trình đánh giá phù hợp với doanh nghiệp mình. Việc đánh giá chứng nhận rất quan trọng, song công việc kinh doanh chính của công ty cũng quan trọng không kém. Vì vậy, hãy ưu tiên Tổ chức chứng nhận nào có thể điều chỉnh kế hoạch sao cho có lợi cho doanh nghiệp bạn.

 

5. Chính sách đánh giá của Tổ chức chứng nhận

Các Tổ chức chứng nhận khác nhau có thể có chính sách đánh giá khác nhau và cách diễn giải khác nhau về các yêu cầu tiêu chuẩn.
Vì vậy hãy xác nhận trước với Tổ chức chứng nhận về chính sách & nội dung đánh giá.

Ngoài ra, do yêu cầu của Tổ chức chứng nhận mà một số Tổ chức chứng nhận rất khắt khe trong việc giải thích các yêu cầu của tiêu chuẩn cho dù ISO không mô tả cụ thể về các yêu cầu ấy.
Một vài tổ chức không cho phép người ngoài (công ty tư vấn) tham gia mà chỉ cho phép người giám sát tham gia, v.v..

 

6. Tại sao có sự khác biệt về chi phí giữa các Tổ chức chứng nhận?

Cách tính lợi nhuận, chi phí nhân sự phải trả cho các chuyên gia đánh giá, mức độ uy tín, năng lực, bề dày kinh nghiệm, v.v.. của mỗi tổ chức là khác nhau dẫn đến sự khác biệt trong chi phí của các Tổ chức chứng nhận.
Bởi vậy, hãy chắc chắn tìm hiểu thật kỹ trước khi lựa chọn Tổ chức chứng nhận.

 

Tổng kết

Tóm lại, điều quan trọng là bạn phải tìm hiểu kỹ về Tổ chức chứng nhận và chọn Tổ chức chứng nhận phù hợp với doanh nghiệp mình.
Nếu cảm thấy không phù hợp, bạn hoàn toàn có thể xem xét đến việc lựa chọn Tổ chức chứng nhận khác hoặc đưa ra yêu cầu với Tổ chức chứng nhận hiện tại.
Hy vọng bài viết này sẽ giúp bạn có thêm hiểu biết khi lựa chọn Tổ chức chứng nhận.
Nếu bạn vẫn còn đang loay hoay không biết nên lựa chọn Tổ chức chứng nhận nào, liên hệ ngay với 3AC để được tư vấn cụ thể.

ISMS (ISO 27001) là gì? Những điều cần biết về ISMS (ISO 27001)

 

“Hệ thống thông tin” là một phần thiết yếu trong hoạt động của doanh nghiệp. Tuy nhiên, các tổ chức và doanh nghiệp ngày nay đã phải chịu đựng những rủi ro lớn để đổi lấy sự tiện lợi từ hệ thống thông tin. Bởi vậy, an toàn thông tin là một trong những mối quan tâm hàng đầu với tổ chức, doanh nghiệp trong thời kỳ chuyển đổi số. Trong bài viết này, 3AC sẽ chia sẻ những điều cần biết về hệ thống quản lý an toàn thông tin ISMS (ISO 27001).

 

 

1. ISMS là gì?

ISMS là từ viết tắt của cụm từ Information Security Management System – hệ thống quản lý an toàn thông tin.
Đây là hệ thống giúp doanh nghiệp thực hiện các biện pháp an toàn thông tin và giảm thiểu rủi ro (sự cố) do rò rỉ thông tin.

 

2. ISO 27001 là gì?

ISO 27001 là tiêu chuẩn ISO dành cho hệ thống quản lý an toàn thông tin (ISMS) để bảo vệ và sử dụng hiệu quả thông tin trong tổ chức.

Đây là một tiêu chuẩn được áp dụng bởi nhiều tổ chức trong ngành thông tin và truyền thông, chẳng hạn như phát triển hệ thống và CNTT.
Bên cạnh đó, ISO 27001 còn cung cấp “khuôn khổ cho tổ chức để quản lý tính bảo mật, tính toàn vẹn và tính sẵn sàng của thông tin và sử dụng thông tin một cách hiệu quả”.

Có thể bạn đã từng nhìn thấy ký hiệu “ISO/IEC 27001:2013”, ký hiệu này có cùng ý nghĩa với ISO 27001, được xuất bản dưới sự hợp tác của Tổ chức Tiêu chuẩn hóa Quốc tế (ISO) và Ủy ban Kỹ thuật Điện Quốc tế (IEC) được sửa đổi vào năm 2013. Nó đề cập đến các tiêu chuẩn bảo mật thông tin đã được thiết lập.

 

3. ISMS và ISO 27001 là một?

ISMS là viết tắt của Information Security Management System, vì vậy nó là một “hệ thống”.
Mặt khác, ISO 27001 là một “tiêu chuẩn” cho các hệ thống quản lý bảo mật thông tin.

Do đó, nói đúng ra, nó không có nghĩa giống nhau.

Tuy nhiên, nhiều người gọi “ISO27001” là “ISMS” và nó được sử dụng với ý nghĩa gần như nhau.

 

4. Tam giác bảo mật CIA là gì?

Mục đích của ISMS (ISO 27001) là đảm bảo tính bí mật, tính toàn vẹn và tính sẵn sàng của thông tin trong một tổ chức, hay còn được gọi là tam giác bảo mật CIA.

Tính bí mật (Confidentiality): Ngăn chặn rò rỉ thông tin.
Tính toàn vẹn (Integrity): Ngăn chặn thông tin bị làm sai lệch.
Tính sẵn sàng (Availability): Cung cấp thông tin khi cần.

Như vậy, tam giác CIA là viết tắt của Confidentiality, Integrity và Availability.

Cụ thể:

① Tính bí mật

Là trạng thái thông tin chỉ được phép truy cập bởi những đối tượng được cấp phép trong tổ chức.
Nói cách khác, nó ngăn chặn những người không được cấp phép truy cập thông tin.
Tính bí mật yêu cầu phải thiết lập ID và mật khẩu để chỉ những người được ủy quyền truy cập thông tin mới được truy cập thông tin, đồng thời cài đặt tường lửa ngăn chặn truy cập trái phép vào công ty để đảm bảo tính bảo mật.

Tính toàn vẹn

Đảm bảo thông tin không bị xóa hoặc làm sai lệch.
Ví dụ, hệ thống chữ ký điện tử trên tài liệu và hệ thống ngăn chặn giả mạo cơ sở dữ liệu trên các trang web giúp đảm bảo tính toàn vẹn.

Tính sẵn sàng

Tính sẵn sàng là trạng thái hệ thống và thông tin có thể được sử dụng bất cứ khi nào.
Trong trường hợp xảy ra sự cố, sao lưu dữ liệu là bước đầu tiên để có thể phục hồi nhanh chóng.
Ngoài ra, xây dựng BCP (Lập kế hoạch đảm bảo kinh doanh liên tục) và thực hiện các biện pháp đảm bảo hệ thống thông tin có thể sử dụng liên tục ngay cả khi xảy ra thảm họa như động đất cũng là một biện pháp đảm bảo tính sẵn sàng.

 

5. Ưu điểm và nhược điểm của chứng nhận ISMS (ISO 27001)

ISMS (ISO 27001) có những ưu điểm và nhược điểm như dưới đây:

 

(1) Ưu điểm

① Có được sự tin tưởng từ khách hàng và đối tác

Được chứng nhận bởi bên thứ ba là Tổ chức chứng nhận sẽ giúp doanh nghiệp lấy được lòng tin của khách hàng và đối tác kinh doanh dễ dàng hơn và trong một số trường hợp, doanh nghiệp có thể mở rộng hoạt động kinh doanh của mình.

② Quy trình và quy định xử lý thông tin được xác định rõ ràng hơn

Chứng nhận hay tái chứng nhận ISMS (ISO 27001) là cơ hội để doanh nghiệp đánh giá sự đầy đủ và sự phù hợp của các quy định về an toàn thông tin.

③ Vai trò và trách nhiệm được phân công rõ ràng hơn

Chứng nhận ISMS (ISO 27001) là cơ hội để xem xét lại vai trò và trách nhiệm đã được phân công bằng “một cách nào đó” cho đến nay.

 

(2) Nhược điểm

① Khối lượng công việc tăng

Để được tổ chức chứng nhận đánh giá, doanh nghiệp cần phải có hệ thống hồ sơ xác nhận việc thực hiện ISMS (ISO 27001).

② Có thêm nhiều quy định và thủ tục cần tuân thủ

Đây là phần khó nhất trong việc xây dựng ISMS (ISO 27001).
Để đảm bảo an toàn thông tin, nhân viên của bạn sẽ mất thêm nhiều thời gian và công sức hơn, và công việc có thể trở nên nhàm chán,…
Nếu hệ thống doanh nghiệp bạn xây dựng làm cho việc thực hiện công việc hàng ngày trở nên khó khăn, thì đó là sự đảo ngược đáng tiếc, nó chẳng khác nào việc “đặt xe trước ngựa”, vì vậy việc xác định các quy tắc và thủ tục phù hợp với tình hình thực tế là vô cùng quan trọng.

③ Phát sinh chi phí đánh giá

Để được cấp chứng chỉ ISMS (ISO 27001) doanh nghiệp cần chi trả chi phí đánh giá cho Tổ chức chứng nhận, và để duy trì chứng nhận Tổ chức chứng nhận sẽ đánh giá giám sát định kỳ hàng năm cho nên sẽ phát sinh thêm chi phí đánh giá hàng năm.

 

6. Quy trình chứng nhận ISMS (ISO 27001)

Thời gian từ lúc bắt đầu triển khai xây dựng cho đến khi hoàn tất chứng nhận có thể kéo dài từ 6 tháng đến 1 năm.

Dưới đây là quy trình chứng nhận ISMS (ISO 27001) :

Lập kế hoạch

Xây dựng hệ thống quản lý an toàn thông tin

Vận hành (thực hiện) ISO 27001

Đánh giá (Đánh giá giai đoạn 1→Đánh giá giai đoạn 2→Hội đồng xét duyệt)

Hoàn tất chứng nhận

 

7. Chi phí để được cấp chứng chỉ ISMS (ISO 27001)

Trường hợp doanh nghiệp tự thực hiện bằng chính nguồn lực sẵn có của mình thì chỉ phát sinh chi phí đánh giá (chi phí chứng nhận) (có thể có thêm chi phí nhân công cho nhân viên ISO).

Trường hợp doanh nghiệp thuê đơn vị tư vấn thì đó sẽ là chi phí đánh giá + chi phí tư vấn.

Chi phí đánh giá sẽ thay đổi tùy mỗi Tổ chức chứng nhận. Chi phí này cũng sẽ thay đổi tùy số lượng nhân viên, số cơ sở kinh doanh, ngành nghề, v.v.. Vì vậy, bạn nên xin báo giá của 1 vài tổ chức chứng nhận để tìm cho mình 1 tổ chức phù hợp nhất nhé.

Ngoài ra, tôi cũng thường xuyên được hỏi về các trang thiết bị cần thiết để đạt được chứng nhận ISMS (ISO 27001), nhưng thực tế không có trang thiết bị nào thực sự cần thiết cho việc chứng nhận ISMS (ISO 27001).
ISMS (ISO 27001) không yêu cầu phải có các máy chủ cao cấp hoặc các thiết bị kiểm soát truy cập phiên bản mới nhất.

 

8. Đánh giá ISMS (ISO 27001)

Để được cấp chứng nhận ISMS (ISO 27001), doanh nghiệp phải trải qua 2 giai đoạn đánh giá và phải đạt yêu cầu đánh giá.

Đánh giá giai đoạn 1 kiểm tra tài liệu và hồ sơ; đánh giá giai đoạn 2 xem xét toàn bộ việc thực hiện thực tế từ lập kế hoạch đến cải tiến theo chu trình PDCA.

 

9. Thời hạn hiệu lực của ISMS (ISO 27001)

Thời hạn hiệu lực của ISMS (ISO 27001) là 3 năm. Sau khi đạt được chứng nhận mà doanh nghiệp không thực hiện duy trì và cải tiến hệ thống thì chứng nhận sẽ bị mất hiệu lực.
Và để duy trì ISMS (ISO 27001), doanh nghiệp sẽ phải trải qua các cuộc đánh giá định kỳ hàng năm. Đó là đánh giá giám sát và đánh giá tái chứng nhận.

 

10. Duy trì ISMS (ISO 27001) sau chứng nhận

Sau khi được cấp chứng chỉ ISMS (ISO 27001) có thể bạn sẽ có cảm giác mãn nguyện và muốn nghỉ ngơi. Song, chứng chỉ ISMS (ISO 27001) không phải là đích đến cuối cùng trên hành trình thực hiện hệ thống quản lý an toàn thông tin!
Doanh nghiệp phải thực hiện duy trì các công việc định kỳ, vận hành theo các yêu cầu và chuẩn bị cho đợt đánh giá tiếp theo.

Bên cạnh đó, nội dung tiêu chuẩn ISO 27001 sẽ thay đổi theo thời đại, cho nên bạn cũng cần phải cập nhật những thông tin mới nhất về ISO 27001.
Việc sửa đổi tiêu chuẩn sẽ diễn ra 5~10 năm 1 lần. Bạn cần nắm được nội dung thay đổi trước và sau khi tiêu chuẩn được sửa đổi, đồng thời tiến hành xem xét và sửa đổi các quy định và cách thức thực hiện của hệ thống quản lý của công ty mình nếu cần.

 

11. Cách tra cứu doanh nghiệp đã có chứng chỉ ISMS (ISO 27001)

Tiếp theo, 3AC sẽ giới thiệu cách tra cứu để biết liệu một công ty đã có chứng chỉ ISMS (ISO 27001) hay chưa.

Nhiều công ty đã có chứng chỉ ISMS (ISO 27001) sẽ in logo và dấu chứng nhận ISMS (ISO 27001) trên danh thiếp hoặc hồ sơ công ty, vì vậy bạn có thể xác nhận thông qua danh thiếp hoặc hồ sơ công ty.

Ngoài ra, bạn cũng có thể kiểm tra trang web của công ty đó.
Thông thường các công ty đã có chứng chỉ ISMS (ISO 27001) sẽ đăng nội dung liên quan về việc được cấp chứng chỉ tại Trang chủ, trang Giới thiệu hoặc Chính sách an toàn và bảo mật.

Như bạn có thể thấy, có sự khác biệt giữa số lượng công ty đăng ký chứng nhận và số lượng công ty tiết lộ thông tin. Nói cách khác, chỉ vì công ty đó không công khai thông tin không có nghĩa là công ty đó chưa được cấp chứng chỉ ISMS (ISO 27001). Tất cả những cách trên chỉ mang tính chất tham khảo.

 

Tổng kết

Trên là tất cả những điều bạn cần biết về ISMS (ISO 27001). Hy vọng qua bài viết này, bạn đã có thêm hiểu biết cơ bản về ISMS (ISO 27001).
ISMS là một hệ thống quản lý để bảo vệ thông tin của tổ chức.
ISO 27001 là tiêu chuẩn ISO dành cho hệ thống quản lý an toàn thông tin (ISMS) để bảo vệ và sử dụng hiệu quả thông tin trong tổ chức.
Nếu đây là lần đầu tiên bạn tìm hiểu về ISMS (ISO 27001) và có nhiều điều bạn cần giải đáp. Vui lòng liên hệ với chúng tôi để được tư vấn về việc xây dựng, thực hiện, duy trì và cải tiến ISMS (ISO 27001).

ISO là gì?

ISO là Tổ chức Tiêu chuẩn hóa Quốc tế (International Organization for Standardization) – một tổ chức phi chính phủ có trụ sở chính ở Geneva (Thụy Sĩ). Tổ chức Tiêu chuẩn hóa Quốc tế thiết lập các tiêu chuẩn quốc tế khác nhau (tiêu chuẩn ISO), và có 162 quốc gia trên thế giới là thành viên. Trong bài viết này 3AC sẽ giải thích chi tiết về tiêu chuẩn ISO

1. ISO là gì?

(1) Mục đích của ISO

Mục đích chính của ISO là thiết lập các tiêu chuẩn quốc tế, còn được gọi là tiêu chuẩn ISO.

Kể từ khi thành lập vào năm 1947, Tổ chức ISO đã thiết lập khoảng 22,467 tiêu chuẩn, từ những tiêu chuẩn phổ biến đến những tiêu chuẩn xa lạ. Các tiêu chuẩn ISO do tổ chức ISO xây dựng thường được viết tắt là “ISO”. Thông thường, khi nói “đạt được ISO” thì điều đó có nghĩa là “đạt được chứng nhận tiêu chuẩn ISO”.

Nói cách khác, ISO ban đầu dùng để chỉ một tổ chức được gọi là Tổ chức Tiêu chuẩn hóa Quốc tế, nhưng nó còn được sử dụng với nghĩa thông dụng là “tiêu chuẩn” do tổ chức đó thiết lập.

 

(2) Tiêu chuẩn ISO là gì?

Vậy chính xác thì tiêu chuẩn ISO là gì?

“Tiêu chuẩn quốc tế” và “tiêu chuẩn” nghe có vẻ khá là phức tạp, nói một cách dễ hiểu thì tiêu chuẩn ISO là “thước đo” đồng đều cho các doanh nghiệp toàn thế giới cùng hướng tới.

Ví dụ, chúng ta có thể nhận thức được 1cm là 1cm như một điều hiển nhiên, nhưng điều gì sẽ xảy ra khi định nghĩa 1cm khác nhau tùy thuộc vào suy nghĩ của mỗi người? Khi đó rất nhiều vấn đề khác nhau có thể xảy ra, chẳng hạn như nhà sản xuất không thể tạo ra sản phẩm được mô tả như trong bản thiết kế, hoặc sự bất tiện khi không biết kích thước chính xác của sản phẩm khi đi mua sắm, v.v..

Vì lý do này, đơn vị đo 1cm đã được “tiêu chuẩn hóa”, và ngày nay mọi người đều tuân theo thước đo đó. Bằng cách tiêu chuẩn hóa 1cm, người ta có thể sản xuất các sản phẩm y như trong bản thiết kế và tạo ra các sản phẩm bền, không dễ bị vỡ.

 

(3) Có mấy loại tiêu chuẩn ISO?

Kể từ khi thành lập vào năm 1947, Tổ chức ISO đã xây dựng khoảng 22,467 tiêu chuẩn.

Tuy nhiên, nếu bạn hỏi liệu tất cả các tiêu chuẩn có được công nhận như nhau hay không, thì câu trả lời là “KHÔNG”, và số lượng các công ty đã đạt được chứng nhận cũng khác nhau.

Dưới đây là một số tiêu chuẩn ISO phổ biến tại Việt Nam:
ISO 9001 (Hệ thống quản lý chất lượng)
ISO 14001 (Hệ thống quản lý môi trường)
ISO 45001 (Hệ thống quản lý an toàn và sức khỏe nghề nghiệp)
ISO/IEC 27001 (Hệ thống quản lý an toàn thông tin)
ISO 22000 (Hệ thống quản lý an toàn thực phẩm)
ISO 13485 (Hệ thống quản lý an toàn trang thiết bị y tế)

 

【Thông tin bên lề】Tại sao 27001 được ký hiệu là ISO / IEC 27001?
Một số tiêu chuẩn có gắn ký hiệu sau ISO. Điều này có nghĩa là “tiêu chuẩn đó được Tổ chức ISO hợp tác với các tổ chức khác để cùng thiết lập”. ISO/IEC 27001 là một trong số đó, ISO/IEC 27001 là tiêu chuẩn được phát triển bởi Tổ chức Tiêu chuẩn hóa Quốc tế (ISO), hợp tác với Ủy ban Kỹ thuật Điện Quốc tế (IEC).
Ngoài ra, còn có ISO/TS 16949 (Hệ thống quản lý chất lượng ngành công nghiệp ô tô IATF 16949) là một tiêu chuẩn đang được phát triển và được ký hiệu là “TS” (= Đặc tính kỹ thuật).

 

Dưới đây là số lượng chứng nhận ISO được cấp tại Việt Nam theo thống kê năm 2021 của Tổ chức Tiêu chuẩn hóa Quốc tế:

Tiêu chuẩn Số lượng chứng nhận ISO được cấp
ISO 9001 6,258
ISO 14001 2,390
ISO 22000 854
ISO 45001 828
ISO 27001 357
ISO 13485 334

Các tổ chức nên lấy chứng nhận các tiêu chuẩn có mức độ công nhận cao (= số lượng công ty lấy chứng nhận đó tại Việt Nam trên 1,000 công ty).

 

2. Khái quát về ISO

Dưới đây là giải thích chi tiết về 2 tiêu chuẩn có số lượng công ty lấy chứng nhận cao nhất tại Việt Nam.

 

(1) Ưu điểm và nhược điểm của ISO 9001 và ISO 14001

Lợi ích của việc đạt chứng nhận ISO 9001 và ISO 14001 là dễ dàng có được sự tin tưởng từ đối tác kinh doanh.
Mặt khác, nhược điểm là mất nhiều thời gian để xây dựng tài liệu (sổ tay hướng dẫn).
>>> Xem thêm: Ưu và nhược điểm của chứng nhận ISO9001

 

(2) Chi phí để đạt được ISO 9001/ISO 14001

Khi lấy chứng nhận lần đầu và tái chứng nhận ISO 9001/ISO 14001, tổ chức sẽ phải trả một khoản phí cho Tổ chức chứng nhận.

>>>Xem thêm: Chi phí cấp chứng chỉ ISO 9001

 

(3) Đánh giá chứng nhận ISO 9001/ISO 14001

Để đạt được ISO9001 và ISO14001, tổ chức phải trải qua đánh giá chứng nhận. Đánh giá chứng nhận thường được chia thành 2 giai đoạn: Đánh giá giai đoạn 1 (Đánh giá sơ bộ) và Đánh giá giai đoạn 2 (Đánh giá chính thức).

>>>Xem thêm: Tiêu chí lựa chọn Tổ chức chứng nhận ISO

 

(4) Cách thức và quy trình đạt chứng nhận ISO 9001 / ISO 14001

Tổ chức cần thực hiện xây dựng sổ tay hướng dẫn và đánh giá nội bộ, v.v.. cho đến khi đạt được chứng nhận ISO 9001 / ISO 14001.

>>>Xem thêm: Quy trình 7 bước để được cấp chứng nhận ISO 9001

 

(5) Thời hạn hiệu lực của ISO 9001/ISO 14001

Thời hạn hiệu lực của ISO 9001 và ISO 14001 là 3 năm. Để duy trì chứng nhận, tổ chức cần phải trải qua các cuộc đánh giá giám sát và đánh giá tái chứng nhận.
>>> Xem thêm: Thời hạn hiệu lực của ISO 9001

 

(6) 3 lưu ý để áp dụng hiệu quả chu trình PDCA

Tiêu chuẩn ISO được xây dựng dựa trên khuôn khổ chu trình PDCA.
Có 3 lưu ý khi triển khai ISO theo chu trình PDCA: Plan: Hoạch định, Do: Thực hiện, Check: Kiểm tra, Act: Cải tiến.

Lưu ý 1: Hiểu rõ những việc cần thực hiện trong mỗi chu kỳ PDCA
Lưu ý 2: Hiểu rõ các trường hợp cụ thể
Lưu ý 3: Xác định các hạng mục quan trọng thay vì làm hoàn hảo 100%

>>> Xem thêm: Chu trình PDCA của ISO 9001

 

Tổng kết

ISO là Tổ chức Tiêu chuẩn hóa Quốc tế được thành lập với mục đích thiết lập các tiêu chuẩn quốc tế (tiêu chuẩn ISO). Kể từ khi thành lập vào năm 1947, Tổ chức ISO đã xây dựng khoảng 22,467 tiêu chuẩn. Tiêu chuẩn ISO là “thước đo” đồng đều cho các doanh nghiệp toàn thế giới cùng hướng tới.

Hy vọng qua bài viết này, bạn đã có thêm hiểu biết nhất định về ISO và các tiêu chuẩn ISO. Đây là nền tảng để doanh nghiệp có thể bắt đầu hành trình thực hiện xây dựng và vận hành tiêu chuẩn ISO phù hợp với doanh nghiệp của mình.

Hiện tại chúng tôi đang tiếp nhận tư vấn miễn phí ISO 9001, ISO 14001! Chuyên gia tư vấn sẽ lắng nghe và giải đáp mọi thắc mắc của bạn. Xin vui lòng liên hệ với chúng tôi!