TỔNG QUAN VỀ DỊCH VỤ CHỨNG NHẬN ISO 27001
ISO 27001 là gì?
Thông tin là tài sản quý giá nhất đối với sự tồn tại và hoạt động của tổ chức. Chứng nhận ISO/IEC 27001 hỗ trợ quản lý và bảo vệ tài sản thông tin có giá trị của tổ chức. Hệ thống quản lý theo tiêu chuẩn ISO/IEC 27001 Information Security (Hệ thống quản lý an ninh thông tin: ISMS) được xác định bởi các tiêu chuẩn quốc tế.
Ngày nay, thông tin là một trong những tài sản quý giá nhất của công ty đang ngày càng phải đối mặt với nhiều mối đe dọa khác nhau.
Thất bại của an ninh thông tin có thể sẽ đánh dấu một các cuộc khủng hoảng của công ty. Hệ thống quản lý an ninh thông tin để làm kinh doanh và tạo ra lợi nhuận.
LỢI ÍCH CỦA SỞ HỮU CHỨNG CHỈ ISO/IEC 27001?
- Bảo mật (bí mật) của thông tin hữu hình và vô hình được tạo ra cho toàn vẹn (Integrity), để đảm bảo tính sẵn sàng (Availability) của doanh nghiệp
- Hủy bỏ các rủi ro và theo đuổi sự tồn tại đang diễn ra một cách thành công.
bảo đảm tính độc lập về quản lý nội bộ công ty và quản trị doanh nghiệp, và các yêu cầu liên tục gặp gỡ kinh doanh.
- Tuân thủ pháp luật và các quy định hiện hành.
- Có thể đáp ứng nhu cầu kinh doanh và tăng sức cạnh tranh bằng cách chứng minh rằng việc bảo vệ thông tin khách hàng là ưu tiên hàng đầu.
- Điểm ghi nhận đánh giá và quản lý rủi ro của tổ chức đó cùng một lúc với tổ chức quá trình bảo vệ thông tin, thủ tục và tài liệu
- Chứng minh một cách khách quan, chứng minh nhận thức cao về việc quản lý cấp cao an ninh thông tin.
- Thông qua quá trình kiểm tra thường xuyên, liên tục theo dõi việc thực hiện và cải tiến.
Chứng nhận ISO 27001:2022
ĐỂ CHỨNG NHẬN ISO 27001 TỔ CHỨC CẦN ĐÁP ỨNG YÊU CẦU NÀO?
Điều khoản 4 – Bối cảnh của tổ chức
- Xác định các vấn đề nội bộ và bên ngoài ảnh hưởng đến an toàn thông tin
- Xác định các bên quan tâm (khách hàng, đối tác, cơ quan quản lý…) và yêu cầu liên quan
- Xác định phạm vi áp dụng ISMS
- Thiết lập và duy trì Hệ thống quản lý an toàn thông tin (ISMS)
Điều khoản 5 – Sự lãnh đạo
- Thể hiện cam kết đối với an toàn thông tin
- Ban hành chính sách an toàn thông tin
- Phân công vai trò, trách nhiệm, quyền hạn rõ ràng
- Đảm bảo ISMS phù hợp với định hướng chiến lược của tổ chức
Điều khoản 6 – Hoạch định
- Xác định rủi ro và cơ hội liên quan đến an toàn thông tin
- Thực hiện đánh giá rủi ro an toàn thông tin
- Lập kế hoạch xử lý rủi ro
- Thiết lập mục tiêu an toàn thông tin và kế hoạch đạt mục tiêu
Điều khoản 7 – Hỗ trợ
- Đầy đủ nguồn lực cho ISMS
- Năng lực và đào tạo nhân sự liên quan đến an toàn thông tin
- Nhận thức của nhân viên về vai trò bảo mật thông tin
- Quản lý thông tin dạng văn bản (tài liệu, hồ sơ ISMS)
Điều khoản 8 – Vận hành
- Triển khai các biện pháp kiểm soát an toàn thông tin theo kế hoạch xử lý rủi ro
- Áp dụng các kiểm soát phù hợp từ Phụ lục A (Annex A)
- Lập và duy trì Tuyên bố áp dụng – Statement of Applicability (SoA)
- Kiểm soát thay đổi và xử lý sự cố an toàn thông tin
Điều khoản 9 – Đánh giá kết quả hoạt động
- Theo dõi, đo lường và đánh giá hiệu lực của ISMS
- Thực hiện đánh giá nội bộ ISMS định kỳ
- Thực hiện xem xét của lãnh đạo
Điều khoản 10 – Cải tiến (Improvement)
- Xử lý điểm không phù hợp và hành động khắc phục
- Thực hiện cải tiến liên tục ISMS
Bên cạnh đó, tiêu chuẩn còn có Phụ lục A (Annex A) – tập hợp 93 biện pháp kiểm soát an toàn thông tin, được phân nhóm theo 4 chủ đề chính:
- Kiểm soát tổ chức
- Kiểm soát con người
- Kiểm soát vật lý
- Kiểm soát công nghệ
Triển khai chứng nhận ISO 27001:2022 là trách nhiệm của mọi cá nhân trong tổ chức, doanh nghiệp
TỔ CHỨC NÀO CÓ THỂ ÁP DỤNG CHỨNG NHẬN ISO 27001?
ISO 27001:2022 có thể áp dụng cho mọi loại hình tổ chức, không phân biệt quy mô hay lĩnh vực hoạt động, đặc biệt phù hợp với:
- Doanh nghiệp Công nghệ thông tin, phần mềm, SaaS, viễn thông, trung tâm dữ liệu
- Công ty tài chính – ngân hàng – bảo hiểm
- Doanh nghiệp outsourcing, BPO, KPO
- Tổ chức xử lý nhiều dữ liệu cá nhân, dữ liệu khách hàng
- Startup cần nâng cao uy tín khi làm việc với đối tác trong và ngoài nước
- Doanh nghiệp tham gia đấu thầu, ký hợp đồng với khách hàng quốc tế
THỜI HẠN CHỨNG CHỈ ISO 27001 LÀ BAO LÂU?
Giấy chứng nhận ISO 27001:2022 có thời hạn thông thường là 3 năm kể từ ngày ban hành. Sau khi chứng chỉ ISO 27001:2022 hết hời hạn, tổ chức cần tiến hành đánh giá Tái chứng nhận để được ban hành chứng chỉ mới gia hạn cho 3 năm tiếp theo.
SAU KHI ĐƯỢC CẤP CHỨNG NHẬN ISO 27001:2022, TỔ CHỨC CÓ BẮT BUỘC ĐÁNH GIÁ GIÁM SÁT ĐỊNH KỲ HÀNG NĂM KHÔNG?
Sau khi được cấp giấy chứng nhận ISO 27001:2022 có thời hạn 3 năm thì bắt buộc tổ chức phải thực hiện đánh giá giám sát định kỳ hàng năm (12 tháng/1 lần) theo yêu cầu của cơ quan công nhận.
Trong trường hợp tổ chức không thực hiện đánh giá giám sát định kỳ hàng năm khi đến kỳ giám sát thì Giấy chứng nhận ISO 27001:2022 sẽ bị thu hồi theo quy định.
KMR VN chúc mừng khách hàng đạt chứng nhận ISO 27001:2022
ĐỂ CHỨNG NHẬN ISO 27001 TỔ CHỨC CẦN ĐÁP ỨNG CÁC YÊU CẦU CỦA TIÊU CHUẨN ISO 27001
Tại sao chọn tổ chức chứng nhận ISO KMR?
1. Bằng cách chọn tổ chức chứng nhận ISO KMR, giấy chứng nhận ISO của bạn sẽ được công nhận quốc tế (IAF, KAB). Giấy chứng nhận của KMR được thừa nhận tại mọi nơi trên thế giới, thông qua thảo thuận thừa nhận lẫn nhau The IAF Multilateral Recognition Arrangement (MLA). Để đảm bảo chứng nhận của bạn được công nhận quốc tế và quốc gia thích hợp, hoạt động chứng nhận của tổ chức chứng nhận ISO KMR Việt Nam đã được đăng ký tại Tổng cục Tiêu chuẩn đo lường Chất lượng trực thuộc Bộ Khoa học và Công nghệ theo theo nghị định 107/2016/NĐ-CP với Giấy chứng nhận số: 2817/TĐC-HCHQ
2. Đội ngũ chuyên gia đánh giá chứng nhận của công ty KMR là những chuyên gia đầu ngành, có kinh nghiệm và am hiểu lĩnh vực của bạn, khả năng làm việc mang tính xây dựng cùng quan điểm đánh giá đi tìm sự phù hợp theo tiêu chuẩn giúp bạn yên tâm.
3. Đội ngũ nhân viên văn phòng, nhân viên điều phối luôn hỗ trợ tận tình nhất để hoạt động đăng ký & đánh giá chứng nhận luôn được thuận tiện theo đúng kế hoạch.
4. Chi phí chứng nhận ISO của chúng tôi cạnh tranh, rõ ràng và minh bạch.
5. Kinh nghiệm, kiến thức kỹ thuật và tiêu chuẩn dịch vụ của chúng tôi, đã giúp chúng tôi cung cấp chứng nhận cho nhiều tổ chức/doanh nghiệp khách hàng với các lĩnh vực khác nhau, tại nhiều quốc gia trên thế giới. Đội ngũ chuyên gia chứng nhận sẵn sàng hỗ trợ tổ chức của bạn và đó cũng là sứ mệnh của tổ chức chứng nhận ISO KMR. KMR cam kết luôn luôn đồng hành cùng doanh nghiệp ngay trong và cả sau chứng nhận.
* Liên hệ Tổ chức chứng nhận ISO KMR Việt Nam để được tư vấn hỗ trợ miễn phí qua điện thoại về dịch vụ Chứng nhận ISO/ cấp Chứng chỉ ISO:
KMR VIETNAM:
HCM: - Hotline: 028 3535 4350 or 0983 890 712
- Zalo: 0983 890 712
- Email: kmarvn@kmr.com.vn
HN: - Hotline-Zalo: 0966 177 712
- Email: support.hanoi@kmr.com.vn
saleshn@kmr.com.vn
QUY TRÌNH ĐÁNH GIÁ & CẤP GIẤY CHỨNG NHẬN ISO 27001
(Áp Dụng Cho Đánh Giá Chứng Nhận Các Tiêu Chuẩn: ISO 9001, ISO 14001, ISO 45001, ISO 22000, HACCP, IATF 16949, FSSC 22000…)
1) Tiếp nhận thông tin khách hàng
- Bộ phận sales nhận thông tin khách hàng.
- Gửi biểu mẫu câu hỏi (Questionnaire) để khách hàng điền thông tin.
- Báo giá.
- Kí hợp đồng.
2) Đăng kí chứng nhận
- Bộ phận chứng nhận liên hệ khách hàng để yêu cầu gửi các hồ sơ tài liệu theo quy định để đăng kí chứng nhận (Danh mục tài liệu, sơ đồ tổ chức ...)
- Xác nhận phạm vi, địa điểm đánh giá & thỏa thuận lịch đánh giá.
- Gửi chương trình đánh giá cho khách hàng trước 7 ngày.
3) Đánh giá chứng nhận (năm thứ 1)
- Đánh giá giai đoạn 1
Đánh giá tài liệu hệ thống quản lý của khách hàng.
(Đánh giá mức độ sẵn sàng của hệ thống quản lý cho đánh giá chứng nhận)
- Đánh giá giai đoạn 2
Đánh giá trực tiếp tại địa điểm của khách hàng.
4) Cấp giấy chứng nhận
- Việc cấp giấy chứng nhận được thực hiện trong vòng 2 tuần sau khi khách hàng hoàn tất các hành động khắc phục.
- Giấy chứng nhận có hiệu lực 3 năm kể từ ngày được cấp.
5) Đánh giá giám sát định kì lần 1 (năm thứ 2)
- Đánh giá giám sát lần 1 tại địa điểm của khách hàng (on-site) để đảm bảo rằng hệ thống quản lý ISO đã được chứng nhận đang được duy trì liên tục và đáp ứng các yêu cầu chứng nhận.
- Sau đánh giá chứng nhận năm thứ 1, việc đánh giá giám sát định kì phải được thực hiện ít nhất 12 tháng 1 lần (1 năm/1 lần)
6) Đánh giá giám sát định kì lần 2 (năm thứ 3)
- Đánh giá giám sát lần 2 tại địa điểm của khách hàng (on-site) để đảm bảo rằng HTQL đã được chứng nhận đang được duy trì liên tục và đáp ứng các yêu cầu chứng nhận.
7) Đánh giá đặc biệt
- Đánh giá thay đổi những nội dung như sau: phạm vi chứng nhận, địa điểm chứng nhận, …
- Đánh giá bất thường (đánh giá giám sát đặc biệt)
8) Đánh giá tái chứng nhận
Sau chu kì chứng nhận 3 năm như trên, tổ chức chứng nhận sẽ tiến hành đánh giá tái chứng nhận cho khách hàng theo chu kỳ 3 năm tiếp như quy trình chứng nhận ở trên để cấp lại giấy chứng nhận mới và vẫn tiếp tục duy trì hệ thống như trên. Việc đánh giá Tái chứng nhận phải được thực hiện ít nhất trước 2-3 tháng thời han hiệu lực của Giấy chứng nhận.
Trên đây là quy trình đánh giá chứng nhận hệ thống quản lý ISO của tổ chức chứng nhận KMR Hàn Quốc.
* Liên hệ Tổ chức chứng nhận ISO KMR Việt Nam để được tư vấn hỗ trợ miễn phí qua điện thoại về dịch vụ Chứng nhận ISO/ cấp Chứng chỉ ISO:
KMR VIETNAM:
HCM: - Hotline: 028 3535 4350 or 0983 890 712
- Zalo: 0983 890 712
- Email: kmarvn@kmr.com.vn
HN: - Hotline-Zalo: 0966 177 712
- Email: support.hanoi@kmr.com.vn
saleshn@kmr.com.vn
Xem thêm