Đạt chứng nhận ISO 27001 (ISMS) liệu có khó?

 

Việc thất bại trong đánh giá ISMS là điều rất hiếm khi xảy ra. Sự không phù hợp được phát hiện trong quá trình đánh giá là cơ hội để xem xét và cải thiện hệ thống quản lý an toàn thông tin của tổ chức. Có 3 loại hình đánh giá khác nhau và nội dung đánh giá cũng sẽ khác nhau, vì vậy hãy đảm bảo rằng bạn đã nắm chắc kiến thức và chuẩn bị kỹ trước buổi đánh giá chính thức.

 

 

1.Khái quát về đánh giá ISMS

Đánh giá ISMS gồm 5 bước chính:
① Đăng ký chứng nhận
② Tiếp nhận đăng ký
③ Sắp xếp lịch đánh giá
④ Đánh giá
⑤ Chứng nhận
Tổng cộng khoảng 3 tháng!!!

 

(1) Đăng ký chứng nhận

Trường hợp doanh nghiệp bạn lần đầu xin cấp chứng nhận hoặc thay đổi Tổ chức chứng nhận, bạn phải làm thủ tục đăng ký chứng nhận đến Tổ chức chứng nhận.
Cách thức đăng ký và các tài liệu cần chuẩn bị sẽ thay đổi tùy từng Tổ chức chứng nhận. Bạn có thể tham khảo chi tiết tại Homepage của các Tổ chức chứng nhận.

 

(2) Tiếp nhận đăng ký

Sau khi Tổ chức chứng nhận kiểm tra hồ sơ đăng ký, họ sẽ tính toán chi phí đánh giá và công số đánh giá (số chuyên gia đánh giá và số ngày đánh giá).
Nếu không có vấn đề gì, Tổ chức chứng nhận và doanh nghiệp sẽ tiến hành ký kết hợp đồng đánh giá và đăng ký chứng nhận.

 

(3) Sắp xếp lịch đánh giá

Bước tiếp theo, doanh nghiệp sẽ phải điều chỉnh lịch trình đánh giá với Tổ chức chứng nhận.
Hãy đảm bảo việc sắp xếp này được thực hiện 2 tháng trước ngày đánh giá để tránh tình trạng không thể điều chỉnh đúng ngày bạn mong muốn do Tổ chức chứng nhận quá bận rộn.

 

(4) Đánh giá

Trường hợp doanh nghiệp bạn lần đầu xin cấp chứng nhận, đánh giá chứng nhận sẽ được chia ra làm 2 giai đoạn: đánh giá giai đoạn 1 và đánh giá giai đoạn 2.
Trường hợp doanh nghiệp bạn đánh giá giám sát và đánh giá tái chứng nhận, có Tổ chức chia ra làm nhiều lần đánh giá, cũng có Tổ chức chỉ đánh giá duy nhất 1 ngày.

 

(5) Chứng nhận

Phía Tổ chức chứng nhận sẽ họp bàn về quyết định chứng nhận.
Nếu không có vấn đề gì, Tổ chức chứng nhận sẽ ban hành Giấy chứng nhận cho doanh nghiệp bạn.

Trên là toàn bộ nội dung các bước đánh giá chính. Để tham gia đánh giá, doanh nghiệp phải triển khai xây dựng ISMS.

 

2. Các loại hình đánh giá

Có 3 loại đánh giá ​​ISMS (ISO 27001): đánh giá chứng nhận, đánh giá giám sát và đánh giá tái chứng nhận.

Sau khi đạt được chứng nhận ISMS (ISO 27001), doanh nghiệp bạn vẫn phải tham gia đánh giá giám sát định kỳ hàng năm, và đánh giá tái chứng nhận sau 3 năm trước khi Giấy chứng nhận hết hiệu lực.

Đánh giá chứng nhận lần đầu Đánh giá duy trì Đánh giá chứng nhận lại
Tên gọi Đánh giá chứng nhận Đánh giá định kỳ

Đánh giá giám sát

Đánh giá tái chứng nhận
Nội dung đánh giá Kiểm tra hệ thống quản lý an toàn thông tin của tổ chức có vấn đề gì không Kiểm tra tình hình thực hiện tính từ lần đánh giá gần nhất Kiểm tra tình hình thực hiện của 3 năm tính từ lần đánh giá chứng nhận
Mục đích đánh giá Đánh giá giai đoạn 1: kiểm tra tài liệu, hồ sơ

Đánh giá giai đoạn 2: kiểm tra tình hình thực hiện thực tế

Kiểm tra việc duy trì áp dụng có vấn đề gì không Kiểm tra xem việc chứng nhận lại ISO có vấn đề gì không, xem có thay đổi gì kể từ lần đánh giá chứng nhận trước hay không và tình hình thực hiện trong 3 năm qua thế nào
Công số đánh giá Đánh giá thường được chia ra làm 1 giai đoạn: giai đoạn 1 và giai đoạn 2, và được tiến hành cách nhau 1 tháng Trong nhiều trường hợp, chuyên gia đánh giá và số ngày đánh giá giám sát ít hơn so với đánh giá tái chứng nhận Thông thường đánh giá tái chứng nhận mất nhiều thời gian và cần nhiều chuyên gia đánh giá hơn đánh giá giám sát

 

(1) Đánh giá để được cấp chứng chỉ lần đầu

Cách gọi:
Tùy mỗi Tổ chức chứng nhận mà cách gọi khác nhau, Đánh giá để được cấp chứng chỉ lần đầu được gọi là “đánh giá lần đầu” hoặc “đánh giá chứng nhận”.
Đánh giá được chia ra làm 2 giai đoạn: đánh giá giai đoạn 1 và đánh giá giai đoạn 2.

Nội dung đánh giá:
Kiểm tra hệ thống quản lý an toàn thông tin của tổ chức có vấn đề gì không.

Mục đích đánh giá:
① Đánh giá giai đoạn 1: chủ yếu kiểm tra các tài liệu liên quan đến ISMS đã đầy đủ và thích hợp chưa.
② Đánh giá giai đoạn 2: kiểm tra tình hình thực hiện dựa trên tài liệu ISMS. Cụ thể, đó là việc đánh giá sự tuân thủ các quy định trên giấy tờ đã được kiểm tra tại đánh giá giai đoạn 1.

Công số đánh giá:
Công số đánh giá sẽ thay đổi tùy vào số địa điểm, phạm vi áp dụng và số nhân viên.
Đánh giá thường được chia ra làm 1 giai đoạn: giai đoạn 1 và giai đoạn 2, và được tiến hành cách nhau 1 tháng.

 

(2) Đánh giá duy trì

Cách gọi:
Tùy mỗi Tổ chức chứng nhận mà cách gọi khác nhau, ví dụ: “đánh giá định kỳ” hoặc “đánh giá giám sát”.

Nội dung đánh giá:
Kiểm tra tình hình thực hiện kể từ lần đánh giá trước.

Mục đích đánh giá:
Kiểm tra xem việc duy trì có vấn đề gì không.

Công số đánh giá:
Trong nhiều trường hợp, chuyên gia đánh giá và số ngày đánh giá giám sát ít hơn so với đánh giá tái chứng nhận.

 

(3) Đánh giá tái chứng nhận

Cách gọi:
Tùy mỗi Tổ chức chứng nhận mà cách gọi khác nhau, Đánh giá sau 3 năm trước khi giấy chứng nhận hết hiệu lực được gọi là “đánh giá tái chứng nhận” hoặc “đánh giá chứng nhận lại”.

Nội dung đánh giá:
Kiểm tra tình hình thực hiện trong 3 năm kể từ lần đánh giá chứng nhận trước.

Mục đích đánh giá:
Kiểm tra xem việc chứng nhận lại ISO có vấn đề gì không, xem có thay đổi gì kể từ lần đánh giá chứng nhận trước hay không và tình hình thực hiện trong 3 năm qua thế nào.

Công số đánh giá:

Thông thường đánh giá tái chứng nhận mất nhiều thời gian và cần nhiều chuyên gia đánh giá hơn đánh giá giám sát.

Như vậy có thể thấy, đánh giá chứng nhận lần đầu mất nhiều công số nhất trong 3 loại hình đánh giá.
Tổ chức chứng nhận sẽ kiểm tra rất kỹ các tài liệu liên quan đến ISMS và tình hình thực hiện thực tế, cho nên chắc chắn sẽ có những phát hiện đánh giá về sự không phù hợp và điểm cần cải tiến.

Bên cạnh đó, đánh giá tái chứng nhận sẽ mất nhiều thời gian hơn và cần nhiều chuyên gia đánh giá hơn so với đánh giá giám sát.
Khác với đánh giá giám sát, đánh giá chứng nhận lại có thể có những sự không phù hợp bạn chưa bao giờ nghe qua.

 

3. 7 hồ sơ cần thiết cho đánh giá

Để được đánh giá, doanh nghiệp cần có hồ sơ hoạt động. Với đánh giá duy trì, cần có hồ sơ vận hành trong vòng 1 năm, và với đánh giá chứng nhận lại, cần có bộ hồ sơ trong vòng 3 năm.

Ngoài 7 hồ sơ sau đây, Tổ chức chứng nhận cũng có thể kiểm tra các hồ sơ về hoạt động thực tế và bảo mật được thực hiện trên thực tế:
① Bảng đánh giá rủi ro thông tin
② Bảng quản lý mục tiêu
③ Kế hoạch ứng phó với rủi ro
④ Hồ sơ đào tạo
⑤ Kế hoạch kinh doanh liên tục
⑥ Hồ sơ đánh giá nội bộ
⑦ Hồ sơ thực hiện xem xét của lãnh đạo

 

4. Quy trình đánh giá

Dưới đây là quy trình đánh giá ISMS (ISO 27001):

① Họp khai mạc
② Phỏng vấn Lãnh đạo
③ Thăm quan (kiểm tra phạm vi bảo mật)
④ Làm việc với Người quản trị hệ thống
⑤ Xác nhận tình hình thực hiện cải tiến các điểm lưu ý trong lần đánh giá trước
⑥ Làm việc với từng phòng ban
⑦ Họp bế mạc

Đánh giá duy trì và đánh giá chứng nhận lại cũng có quy trình đánh giá tương tự như trên, tuy nhiên với đánh giá chứng nhận lại thì chuyên gia sẽ xác nhận lại nội dung đăng ký lúc đầu và sẽ hỏi chi tiết Người quản trị hệ thống và các phòng ban khác.

 

5. Chi phí đánh giá ISMS

Tổ chức chứng nhận sẽ đánh giá ISMS định kỳ, cho nên doanh nghiệp phải thanh toán chi phí đánh giá hàng năm.
Chi phí đánh giá sẽ thay đổi tùy từng tổ chức, công số, v.v..
Dưới đây là chi phí đánh giá tham khảo:

Số lượng nhân viên Đánh giá chứng nhận Đánh giá giám sát năm thứ 2 Đánh giá giám sát năm thứ 3
1~15 25,000,000 9,000,000 9,000,000
16~80 45,000,000 17,000,000 17,000,000
80~120 63,000,000 22,000,000 22,000,000

 

(1) Đánh giá chứng nhận

Đánh giá chứng nhận được chia ra làm 2 giai đoạn, và chuyên gia đánh giá sẽ kiểm tra kỹ tình hình thực tế.
Đánh giá chứng nhận lần đầu là đợt đánh giá có chi phí cao nhất.

 

(2) Đánh giá giám sát

Nếu không có gì thay đổi về số lượng nhân viên, số địa điểm, lĩnh vực áp dụng thì chi phí đánh giá giám sát của 2 năm tiếp theo sẽ tương đương nhau.
Đánh giá giám sát chỉ đánh giá tình hình thực hiện trong vòng 1 năm, vì thế chi phí đánh giá giám sát thường sẽ thấp hơn so với chi phí đánh giá chứng nhận lần đầu.

 

(3) Đánh giá tái chứng nhận

Đánh giá tái chứng nhận là đánh giá việc thực hiện của cả 3 năm cho nên chi phí sẽ cao hơn so với đánh giá giám sát.

 

6. Các trường hợp sẽ trở thành sự không phù hợp và cách xử lý

(1) Sự không phù hợp nghiêm trọng

Là kết quả mà trong quá trình đánh giá, chuyên gia đánh giá xác định rằng “Hệ thống quản lý không hoạt động” thì đây được gọi là “sự không phù hợp nghiêm trọng”. Các ví dụ điển hình có thể kể đến là: không thực hiện đánh giá nội bộ hoặc xem xét của lãnh đạo.

Nếu phát hiện sự không phù hợp nghiêm trọng trong quá trình đánh giá, buổi đánh giá có thể bị tạm dừng. Việc đăng ký hoặc cấp lại chứng nhận sẽ bị hoãn lại, nhưng nếu doanh nghiệp bạn tham gia đánh giá lại và nhận được sự cho phép, bạn vẫn có thể hoàn tất quá trình chứng nhận.

 

(2) Sự không phù hợp nhẹ

Hầu hết trong các đợt đánh giá, sự không phù hợp được phát hiện nhiều nhất là sự không phù hợp nhẹ. Trong quá trình đánh giá, khi chuyên gia xác định “một phần yêu cầu không được đáp ứng”, thì đây được coi là sự không phù hợp nhẹ.

Nếu có sự không phù hợp nhẹ, doanh nghiệp phải thực hiện hành động khắc phục dựa trên các quy định của tổ chức và gửi báo cáo hành động khắc phục cho chuyên gia đánh giá theo quy định của Tổ chức chứng nhận.

 

(3) Điểm lưu ý

Đôi khi, dù không phải là không phù hợp, chuyên gia vẫn có thể đưa ra những điểm cần lưu ý. Tùy Tổ chức chứng nhận mà tên gọi có thể khác nhau như “điểm quan sát”, “điểm khuyến nghị” hoặc “cơ hội cải tiến”.
Mặc dù không nhất thiết phải thực hiện hành động khắc phục, nhưng hãy coi đó là lời khuyên dưới góc nhìn của các chuyên gia và xem xét xem có cần phải thực hiện các biện pháp hay không.

 

7. Biến sự không phù hợp thành cơ hội cải tiến

Phần lớn các doanh nghiệp đều không muốn phát sinh sự không phù hợp trong quá trình đánh giá, nhưng thực tế là việc nhận được phát hiện về sự không phù hợp có thể mang lại cho doanh nghiệp 2 lợi ích dưới đây:

Giúp bạn tìm ra những thách thức và vấn đề cần cải thiện trong công việc và quản lý.
– Việc nhận được nhận xét từ bên thứ ba có thể thay đổi nhận thức, tăng sức ép và tái nhận thức về quy định của công ty cho nhân viên.

Hãy nhìn nhận phát hiện đánh giá về sự không phù hợp như là cơ hội để tìm ra những vấn đề cần cải thiện, vì doanh nghiệp không nhận được sự không phù hợp là rất ít.
Hãy chuẩn bị một cách hợp lý, không cần chuẩn bị quá nhiều, và sử dụng thời gian để khắc phục sự không phù hợp được phát hiện trong quá trình đánh giá.

 

8. Để không thất bại trong đợt đánh giá

Trường hợp thất bại và không được cấp chứng nhận ISMS (ISO 27001) là rất hiếm.
Dưới đây là 4 trường hợp không được cấp chứng nhận ISMS (ISO 27001):
① Không thực hiện đánh giá nội bộ
② Không thực hiện xem xét của lãnh đạo
③ Không thanh toán chi phí đánh giá
④ Không thực hiện hành động khắc phục sự không phù hợp

Trường hợp mở rộng phạm vi chứng nhận, chuyên gia đánh giá sẽ xem xét kỹ phạm vi được mở rộng đó, cho nên bạn cần chú ý điểm này.

 

Tổng kết

Đánh giá hệ thống quản lý an toàn thông tin được chia thành 3 loại đánh giá chính: đánh giá chứng nhận lần đầu, đánh giá giám sát định kỳ và đánh giá chứng nhận lại.
Có 5 bước từ khi đăng ký đến khi hoàn tất chứng nhận (tái chứng nhận) và hồ sơ cần chuẩn bị tại thời điểm đăng ký sẽ khác nhau tùy từng Tổ chức chứng nhận.
Sự không phù hợp được phát hiện trong quá trình đánh giá có thể trở thành cơ hội để xem xét lại và cải tiến hệ thống an toàn thông tin của tổ chức và là gợi ý để cải thiện các hoạt động của tổ chức.