Quy trình đạt chứng nhận ISO 27001 (ISMS)

 

Khoảng thời gian cần thiết để doanh nghiệp đạt được chứng nhận ISO 27001 (ISMS) là nửa năm và được thực hiện trong 7 bước. Có được chứng chỉ ISO 27001 (ISMS) đem lại cho doanh nghiệp những lợi ích to lớn, chẳng hạn, đáp ứng các yêu cầu của khách hàng, tăng tỷ lệ trúng thầu và tăng cường bảo mật thông tin của doanh nghiệp.

 

 

1. ISMS (ISO 27001) là gì?

ISMS (ISO 27001) là viết tắt của “Hệ thống quản lý an toàn thông tin”.
Nói một cách đơn giản, đây là hệ thống giúp doanh nghiệp thực hiện các biện pháp an toàn thông tin và giảm thiểu rủi ro (sự cố) do rò rỉ thông tin.

Các thông tin được quản lý bởi doanh nghiệp có mức độ quan trọng khác nhau. Doanh nghiệp hoạt động dựa trên các quy tắc và tiêu chuẩn.

Doanh nghiệp cần thiết lập tiêu chuẩn và quy định cho cả hệ thống của “phần mềm” và “phần cứng” cũng như hành động mà nhân viên không được phép thực hiện.

Theo cách này, doanh nghiệp cần phải thực hiện các biện pháp đối phó rủi ro từ cả góc độ “phần cứng” và “phần mềm”, đồng thời hoàn thiện một hệ thống hỗ trợ việc xử lý thông tin.

>>>Xem thêm: ISMS (ISO 27001) là gì? Những điều cần biết về ISMS (ISO 27001)

 

2. Tại sao cần có ISMS?

Đạt được chứng nhận ISMS (ISO 27001) đem lại những lợi ích sau:

・Tăng tỷ lệ trúng thầu
・Nâng cao mức độ bảo mật với các tổ chức bên ngoài (bao gồm khách hàng)
・Nâng cao nhận thức về bảo mật trong tổ chức

 

(1) Tăng tỷ lệ trúng thầu

Trong nhiều trường hợp, đạt được chứng nhận ISMS là một điều kiện để đấu thầu các dự án của chính phủ và chính quyền địa phương.

Đạt được chứng nhận ISMS sẽ giúp doanh nghiệp mở rộng kinh doanh và cải thiện doanh số.

 

(2) Nâng cao mức độ bảo mật với các tổ chức bên ngoài

Các doanh nghiệp có chứng nhận ISMS có thể quảng bá hình ảnh với các tổ chức bên ngoài về độ tin cậy bảo mật vì đã đạt tiêu chuẩn nhất định về bảo mật thông tin.

Hơn nữa, ISMS của doanh nghiệp được đánh giá khách quan từ bên thứ ba nên doanh nghiệp có thể lấy được lòng tin của khách hàng và nhà cung cấp bên ngoài.

Tuy nhiên, đạt chứng nhận ISMS không có nghĩa là mức độ bảo mật cực kỳ cao.

 

(3) Nâng cao nhận thức về bảo mật trong tổ chức

Để đạt được chứng nhận và duy trì ISMS, doanh nghiệp cần phải thực hiện đào tạo nhân viên, thiết lập chính sách, phân chia vai trò, v.v.

Do đó, nhận thức về bảo mật trong các doanh nghiệp đã đạt được chứng nhận ISMS sẽ cao hơn so với doanh nghiệp thông thường.

 

3. Quy trình và thời gian để đạt được chứng nhận ISMS (ISO 27001)

Thời gian nhanh nhất để đạt được chứng nhận là khoảng 6 tháng và lâu nhất là khoảng 1 năm kể từ khi khởi động đến khi hoàn thành chứng nhận.

(1) Lập kế hoạch đạt chứng nhận

① Xác nhận mục đích của việc đạt chứng nhận

Doanh nghiệp muốn đạt được chứng nhận ISMS, cần phải có sự hợp tác của nhân viên.
Việc chia sẻ mục đích lấy chứng chỉ ISMS trong nội bộ công ty sẽ giúp quá trình chuẩn bị diễn ra suôn sẻ hơn.
Cần phải nhìn nhận đúng mục đích và lợi ích của ISMS dành cho tổ chức.

Ngoài ra, việc chuẩn bị sẽ dễ dàng hơn nếu doanh nghiệp xem xét các ý kiến ​​​​được cho là sẽ ngăn chặn sự phản đối xuất hiện tại thời điểm chứng nhận.

 

② Lựa chọn người chịu trách nhiệm cho ISMS

Doanh nghiệp sẽ phải lựa chọn một người chịu trách nhiệm chính cho ISMS.
Vì sẽ phát sinh công việc khác với công việc chính, nên cần phải lựa chọn 1 người chịu trách nhiệm.

Ngoài ra, trong trường hợp doanh nghiệp có đông người, tổ chức cũng nên quyết định người phụ trách của từng bộ phận để việc liên lạc được thuận lợi.

 

③ Quyết định thời gian đạt được chứng nhận

Quyết định đích đến khi lập kế hoạch giúp doanh nghiệp có thể đạt chứng nhận đúng thời gian mục tiêu đã đề ra.
Bạn nên suy nghĩ về mục đích lấy chứng chỉ và quyết định khi nào doanh nghiệp bạn cần có.

Việc đặt ra các mục tiêu cụ thể để đạt được ISMS cũng rất quan trọng.
Mục tiêu càng cụ thể, kế hoạch của doanh nghiệp sẽ càng thực tế.

 

④ Quyết định về việc tự triển khai hay thuê công ty tư vấn

Doanh nghiệp có thể xem xét các yếu tố dưới đây trước khi quyết định xem nên tự triển khai hay thuê đơn vị tư vấn bên ngoài:

・Vấn đề nhân sự
・Vấn đề kinh phí
・Vấn đề kiến ​​thức và kinh nghiệm

Điều đầu tiên doanh nghiệp bạn nên suy nghĩ xem điều gì là tốt nhất để đưa ra các quy trình phù hợp với tình hình thực tế của tổ chức.

Doanh nghiệp bạn cũng có thể xem xét thuê ngoài nếu các nguồn lực trong tổ chức không đủ hoặc thiếu chuyên môn.

>>>Xem thêm: Tiêu chí lựa chọn Tổ chức chứng nhận ISO

 

⑤ Quyết định ngân sách

Để đạt được chứng nhận ISO 27001 (ISMS), doanh nghiệp/tổ chức cần có ngân sách nhất định.
Ngân sách để chi trả các chi phí (chi phí đánh giá chứng nhận) cho Tổ chức chứng nhận và chi phí đầu tư các thiết bị cần thiết trong công ty hoặc chi phí tư vấn trong trường hợp doanh nghiệp thuê ngoài.

Ngoài ra, tình hình có thể thay đổi tùy thuộc vào nguồn lực và sự cân bằng nội bộ, song doanh nghiệp cũng nên tính đến chi phí nhân sự cần trả cho người phụ trách ISO, để có thể triển khai mà ít ảnh hưởng đến kinh doanh.

 

⑥ Lựa chọn Tổ chức chứng nhận

Tổ chức chứng nhận có thể đánh giá cho rất nhiều tổ chức từ công ty cổ phần cho đến quỹ thành viên, v.v.. Tùy mỗi Tổ chức chứng nhận mà chi phí và chức năng có thể sẽ có sự khác biệt.

Đương nhiên, vì bản thân ISO 27001 là một tiêu chuẩn quốc tế nên thực tế là cho dù bạn lấy chứng chỉ ISO 27001 (ISMS) từ bất cứ Tổ chức chứng nhận nào thì bản chất của nó vẫn không thay đổi.

Do đó, bạn nên chọn một cơ quan đánh giá dựa trên chi phí và dịch vụ, và các nội dung cần xác nhận.

Ngoài ra, bạn cũng cần xác nhận xem đối tác kinh doanh hoặc công ty mẹ có chỉ định Tổ chức chứng nhận không.

 

⑦ Lập kế hoạch

Sau khi đã quyết định thời gian cần có chứng chỉ, hãy lên kế hoạch chi tiết.

Doanh nghiệp cần phải sắp xếp trước lịch đánh giá với Tổ chức chứng nhận.
Do đó, lên kế hoạch cụ thể bằng cách tính ngược thời gian kể từ ngày làm thủ tục đăng ký đánh giá chứng nhận và ngày đánh giá dự kiến là một cách triển khai thông minh.

Nếu bạn lựa chọn tư vấn bởi một đơn vị bên ngoài, hãy tham khảo ý kiến ​​của công ty tư vấn và cùng nhau phối hợp theo dõi các kế hoạch và mục tiêu.

Tóm lại, “lập kế hoạch chứng nhận ISO 27001 (ISMS)” phù hợp với tình hình của doanh nghiệp/tổ chức là bước vô cùng quan trọng vì kế hoạch chính là tiền đề để thúc đẩy việc triển khai.

 

(2) Xây dựng hệ thống quản lý an toàn thông tin

Doanh nghiệp/tổ chức phải xây dựng tài liệu để đạt được chứng nhận ISMS.
Hệ thống tài liệu có thể kể đến là, sổ tay hướng dẫn ISMS, tuyên bố về khả năng áp dụng và các quy định kiểm soát an toàn thông tin.

 

(3) Áp dụng ISMS vào thực tế

Sau khi đã thiết lập các quy trình và xây dựng hệ thống tài liệu, sẽ là bước áp dụng hệ thống quản lý vào thực tế.

Đối với các hoạt động thực tế, cần phải để lại hồ sơ kết quả hoạt động làm bằng chứng.
Ví dụ: sổ quản lý tài sản thông tin, kết quả đánh giá rủi ro,v.v.. Các hồ sơ này sẽ được kiểm tra trong buổi đánh giá.

 

(4) Đánh giá nội bộ và xem xét của lãnh đạo

Sau khi việc áp dụng hệ thống vào thực tế đã dần đi vào ổn định và về cơ bản đã hoàn thành, bước tiếp theo doanh nghiệp phải kiểm tra hoạt động và quyết định hành động tiếp theo.

Trong ISMS, đánh giá nội bộ và xem xét của lãnh đạo là yêu cầu bắt buộc.

Để có được chứng chỉ ISMS (ISO 27001), doanh nghiệp/tổ chức cần phải tiến hành đánh giá nội bộ và thực hiện xem xét của lãnh đạo, và phải lưu giữ hồ sơ về kế hoạch triển khai và kết quả thực hiện.

 

(5) Đánh giá giai đoạn 1

Sau khi đã thực hiện xem xét của lãnh đạo, doanh nghiệp/ tổ chức chuẩn bị cho đánh giá

Với đánh giá chứng nhận lần đầu, sẽ có 2 giai đoạn đánh giá. Đánh giá giai đoạn 1 chủ yếu kiểm tra tài liệu, hồ sơ.

Các tài liệu và hồ sơ sẽ được kiểm tra xem chúng có đáp ứng các yêu cầu của ISMS (ISO 27001) hay không, nếu không có vấn đề gì, doanh nghiệp/tổ chức có thể tiếp tục đánh giá giai đoạn 2.

 

(6) Đánh giá giai đoạn 2

Sau đánh giá giai đoạn 1, đánh giá giai đoạn 2, hay còn gọi là đánh giá tại chỗ, sẽ được tiến hành.
Đánh giá giai đoạn 2 kiểm tra tính hiệu lực của hệ thống, kiểm tra sự tuân thủ các quy định do công ty đã đề ra, kiểm tra nội dung công việc thực tế và kiểm tra hiện trường.

Tại giai đoạn này, chuyên gia đánh giá cũng sẽ kiểm tra kết quả thực hiện hành động khắc phục trong đợt đánh giá giai đoạn 1, vì vậy hãy đảm bảo hoàn thành thực hiện hành động khắc phục trước đợt đánh giá giai đoạn 2.

 

(7) Hoàn tất chứng nhận

Sau khi hoàn thành đánh giá giai đoạn 2 và Tổ chức chứng nhận chấp nhận hệ thống quản lý của doanh nghiệp phù hợp với tiêu chuẩn ISO 27001, doanh nghiệp bạn sẽ nhận được giấy chứng nhận và được quyền sử dụng dấu chứng nhận/công nhận. Bạn có thể đăng dấu chứng nhận này trên danh thiếp hoặc trang web của mình.

Tuy nhiên, nhận được chứng chỉ ISMS (ISO 27001) không đồng nghĩa mọi việc đã kết thúc, doanh nghiệp bạn phải duy trì và tham gia đánh giá giám sát định kỳ hàng năm. Cho nên hãy luôn trong tư thế chuẩn bị hướng tới kỳ đánh giá tiếp theo.

 

5. Tiêu chuẩn liên quan: ISO 27017

ISO 27017 là tiêu chuẩn ISO liên quan đến bảo mật đám mây.

Nếu bạn muốn đạt chứng nhận ISO 27017, trước tiên bạn phải đạt được ISO 27001 (ISMS) hoặc đạt được ISMS và ISO 27017 cùng lúc (tiêu chuẩn bổ sung).

Lợi ích của chứng nhận có thể kể đến là: nâng cao hình ảnh công ty về hệ thống bảo mật với các tổ chức bên ngoài, trúng thầu các dự án của chính phủ và có thể nhận được hợp đồng từ các khách hàng lớn.

Các doanh nghiệp nên lấy chứng chỉ này là các doanh nghiệp cung cấp dịch vụ đám mây như “SaaS”, “PaaS” và “IaaS”.