CHECK-LIST HỒ SƠ & ĐIỀU KIỆN TRƯỚC KHI ĐÁNH GIÁ CHỨNG NHẬN ISO 27001:2022

09/02/2026
0 Đánh giá

ISO/IEC 27001 là tiêu chuẩn quốc tế về Hệ thống quản lý An toàn thông tin (ISMS), giúp doanh nghiệp bảo vệ dữ liệu, kiểm soát rủi ro và đáp ứng yêu cầu bảo mật từ khách hàng/đối tác. Tuy nhiên, một trong những lý do khiến nhiều doanh nghiệp bị trì hoãn chứng nhận, hoặc phát sinh nhiều điểm không phù hợp khi đánh giá, là vì chuẩn bị hồ sơ chưa đầy đủ và chưa sẵn sàng về điều kiện vận hành ISMS.

Bài viết dưới đây cung cấp check-list hồ sơ & điều kiện cần có trước khi đánh giá chứng nhận ISO 27001, giúp doanh nghiệp chuẩn bị đúng ngay từ đầu và tiết kiệm thời gian trong quá trình chứng nhận.

1. Trước khi đánh giá ISO 27001 cần chuẩn bị những gì?

Thông thường, đánh giá chứng nhận ISO 27001 gồm 2 giai đoạn:

- Stage 1 (Đánh giá giai đoạn 1): xem xét hồ sơ, mức độ sẵn sàng

- Stage 2 (Đánh giá giai đoạn 2): đánh giá thực tế việc triển khai và hiệu lực hệ thống

Vì vậy, doanh nghiệp cần chuẩn bị 2 nhóm:

- Nhóm 1: Hồ sơ ISMS (tài liệu hệ thống)

- Nhóm 2: Bằng chứng triển khai (record, log, biên bản, kết quả vận hành)

Checklist hồ sơ đánh giá chứng nhận ISO 27001:2022 cần những gì?

2. Check-list điều kiện tối thiểu trước khi đánh giá ISO 27001

Trước khi mời tổ chức chứng nhận vào đánh giá, doanh nghiệp nên đảm bảo các điều kiện sau:

2.1. Phạm vi ISMS được xác định rõ ràng

Doanh nghiệp cần xác định:

- ISMS áp dụng cho phòng ban nào?

- Áp dụng cho hệ thống nào? (VD: hệ thống ERP, CRM, cloud, data center…)

- Áp dụng cho địa điểm nào? (1 trụ sở hay nhiều chi nhánh)

- Áp dụng cho sản phẩm/dịch vụ nào?

Lưu ý: Phạm vi càng rõ, đánh giá càng dễ và tránh phát sinh tranh luận trong quá trình đánh giá.

2.2. ISMS đã được vận hành tối thiểu 2–3 tháng

ISO 27001 là tiêu chuẩn “quản trị hệ thống”. Vì vậy doanh nghiệp phải có bằng chứng vận hành như:

- log kiểm soát truy cập

- log sao lưu

- xử lý sự cố

- quản lý thay đổi

- đào tạo nhận thức bảo mật

Nếu chưa có thời gian vận hành, đánh giá Stage 2 sẽ rất khó đạt.

2.3. Đã thực hiện đánh giá nội bộ & xem xét lãnh đạo

Đây là yêu cầu bắt buộc.

- Đánh giá nội bộ: để tự phát hiện lỗi trước khi tổ chức chứng nhận phát hiện

- Xem xét của lãnh đạo: thể hiện cam kết, phê duyệt nguồn lực và quyết định cải tiến

2.4. Đã hoàn thành đánh giá rủi ro & kế hoạch xử lý rủi ro

ISO 27001 là tiêu chuẩn “risk-based”.

Doanh nghiệp phải chứng minh:

- Có phương pháp đánh giá rủi ro

- Đã đánh giá rủi ro cho tài sản thông tin

- Có kế hoạch xử lý rủi ro (Risk Treatment Plan)

- Có quyết định chấp nhận rủi ro còn lại

3. Check-list hồ sơ ISO 27001 (tài liệu bắt buộc & khuyến nghị)

Dưới đây là danh sách hồ sơ thường được tổ chức chứng nhận kiểm tra khi đánh giá Stage 1 & Stage 2.

A. Hồ sơ nền tảng của ISMS (cực kỳ quan trọng)

1) Chính sách an toàn thông tin (Information Security Policy)

- Được ban hành chính thức

- Có chữ ký lãnh đạo

- Truyền thông đến nhân sự liên quan

2) Mục tiêu an toàn thông tin & kế hoạch đạt mục tiêu

- Mục tiêu đo lường được (KPI)

- Có người chịu trách nhiệm

- Có theo dõi tiến độ

3) Phạm vi ISMS (Scope)

- Mô tả phạm vi áp dụng

- Ranh giới hệ thống

- Các ngoại lệ (nếu có) phải có lý do hợp lý

4) Danh mục tài sản thông tin (Asset Inventory)

Ví dụ:

- Dữ liệu khách hàng

- Máy chủ, laptop

- Hệ thống cloud

- Phần mềm nội bộ

- Tài liệu hợp đồng, báo cáo…

5) Phương pháp đánh giá rủi ro (Risk Assessment Methodology)

Phải thể hiện rõ:

- Tiêu chí tác động (impact)

- Tiêu chí khả năng xảy ra (likelihood)

- Mức rủi ro chấp nhận

- Cách tính và phân loại rủi ro

6) Kết quả đánh giá rủi ro (Risk Assessment Results)

- Danh sách rủi ro

- Mức rủi ro trước xử lý

- Ưu tiên xử lý

7) Kế hoạch xử lý rủi ro (Risk Treatment Plan)

- Chọn biện pháp kiểm soát

- Thời hạn thực hiện

- Người chịu trách nhiệm

- Trạng thái hoàn thành

8) Tuyên bố áp dụng (Statement of Applicability – SoA)

Đây là hồ sơ “xương sống” của ISO 27001.

SoA cần thể hiện:

- Kiểm soát nào áp dụng

- Kiểm soát nào không áp dụng (và lý do)

- Bằng chứng triển khai

B. Hồ sơ năng lực, vai trò, đào tạo

9) Quyết định bổ nhiệm vai trò ISMS

Ví dụ:

- ISMS Manager / CISO / IT Security Lead

- Nhóm an toàn thông tin

- Vai trò quản trị hệ thống

10) Hồ sơ đào tạo nhận thức ISO 27001

- Kế hoạch đào tạo

- Danh sách tham dự

- Nội dung đào tạo

- Đánh giá kết quả sau đào tạo

C. Hồ sơ vận hành và kiểm soát (bằng chứng Stage 2)

11) Quy trình kiểm soát truy cập (Access Control)

Bằng chứng thường cần:

- Quy định cấp quyền

- Danh sách quyền theo vai trò

- Log tạo/sửa/xóa tài khoản

- Kiểm tra định kỳ quyền truy cập

12) Quy trình quản lý thay đổi (Change Management)

Bằng chứng:

- Phiếu yêu cầu thay đổi

- Đánh giá rủi ro thay đổi

- Phê duyệt trước triển khai

- Kết quả triển khai

13) Quy trình sao lưu & khôi phục dữ liệu (Backup & Restore)

Bằng chứng:

- Lịch sao lưu

- Log sao lưu

- Kết quả test restore định kỳ

14) Quản lý sự cố an toàn thông tin (Incident Management)

Bằng chứng:

- Quy trình xử lý sự cố

- Danh sách sự cố (incident log)

- Biên bản xử lý & khắc phục

- Rút kinh nghiệm (lesson learned)

15) Quản lý lỗ hổng & bản vá (Vulnerability/Patch Management)

Bằng chứng:

- Kết quả scan lỗ hổng (nếu có)

- Kế hoạch vá

- Log cập nhật

- Xác nhận hiệu lực

16) Kiểm soát nhà cung cấp (Supplier/SaaS/Cloud)

Bằng chứng:

- Tiêu chí lựa chọn nhà cung cấp

- Hợp đồng/điều khoản bảo mật

- NDA

- Đánh giá định kỳ nhà cung cấp

17) Bảo mật nhân sự (HR Security)

Bằng chứng:

- NDA nhân viên

- Cam kết bảo mật

- Quy trình offboarding (thu hồi quyền, thu hồi thiết bị)

18) Kiểm soát thiết bị & tài sản (Asset Management)

Bằng chứng:

- Bàn giao laptop

- Quy định sử dụng thiết bị

- Kiểm soát USB

- Mã hóa ổ cứng (nếu có)

19) Bảo mật vật lý (Physical Security)

Bằng chứng:

- Kiểm soát ra vào phòng server

- Camera, khóa cửa, thẻ từ

- Nhật ký ra vào (nếu có)

D. Hồ sơ đánh giá, cải tiến bắt buộc

20) Kế hoạch & báo cáo đánh giá nội bộ ISO 27001

- Kế hoạch audit

- Checklist audit

- BBáo cáo phát hiện

- Theo dõi khắc phục

21) Biên bản xem xét của lãnh đạo (Management Review)

Thường gồm:

- Kết quả audit nội bộ

- Tình trạng hành động khắc phục

- Kết quả KPI an toàn thông tin

- Thay đổi bối cảnh & rủi ro

- Quyết định cải tiến

22) Hồ sơ hành động khắc phục (Corrective Action)

- Phân tích nguyên nhân gốc (root cause)

- Hành động khắc phục

- Đánh giá hiệu lực sau khắc phục

4) Các lỗi thường gặp khiến doanh nghiệp bị “NC” khi đánh giá ISO 27001

Dưới đây là những lỗi rất phổ biến mà tổ chức chứng nhận thường phát hiện:

  • SoA làm “cho có”, không có bằng chứng triển khai
  • Phạm vi ISMS mơ hồ, không khớp với thực tế
  • Rủi ro đánh giá xong nhưng không có kế hoạch xử lý
  • Không có log vận hành: backup, access, incident, change…
  • Audit nội bộ làm hình thức, không có phát hiện thật
  • Management review thiếu nội dung hoặc không có quyết định rõ ràng
  • Kiểm soát nhà cung cấp bị bỏ quên (đặc biệt SaaS/Cloud)

5) Doanh nghiệp nên chuẩn bị hồ sơ ISO 27001 trong bao lâu?

Tùy quy mô và mức độ phức tạp hệ thống CNTT, thời gian chuẩn bị thường là:

- Doanh nghiệp nhỏ: 2 – 3 tháng

- Doanh nghiệp vừa: 3 – 4.5 tháng

- Doanh nghiệp lớn: 4 – 6 tháng

- Doanh nghiệp lớn/nhiều hệ thống: > 6 tháng

Lưu ý: thời gian này chưa tính các dự án kỹ thuật lớn như triển khai SIEM, nâng cấp hệ thống log, phân quyền IAM…

6) KMR hỗ trợ đánh giá chứng nhận ISO 27001 như thế nào?

Với vai trò là Tổ chức chứng nhận, KMR thực hiện đánh giá theo nguyên tắc:

- Đánh giá đúng tiêu chuẩn, đúng phạm vi

- Đội ngũ chuyên gia có kinh nghiệm ISMS & CNTT thực tế

- Quy trình đánh giá minh bạch: Stage 1 – Stage 2 – giám sát định kỳ

- Hỗ trợ doanh nghiệp hiểu rõ điểm mạnh/điểm cần cải tiến để hệ thống vận hành hiệu quả

ISO 27001 không khó, nhưng “khó nhất” là chuẩn bị đúng hồ sơ và có bằng chứng vận hành thật.

Nếu doanh nghiệp chuẩn bị theo đúng check-list ở trên, quá trình đánh giá sẽ:

- Giảm tối đa điểm không phù hợp

- Tiết kiệm thời gian chứng nhận

- Và quan trọng nhất: giúp hệ thống bảo mật vận hành bền vững

👉 Doanh nghiệp cần tư vấn về phạm vi chứng nhận ISO 27001, thời gian đánh giá, chi phí và kế hoạch đánh giá phù hợp? Liên hệ KMR để được tư vấn lộ trình chứng nhận ISO 27001 theo đúng ngành và mô hình vận hành của doanh nghiệp.

 * Liên hệ Tổ chức chứng nhận ISO KMR Việt Nam để được tư vấn hỗ trợ về dịch vụ Chứng nhận ISO/ Đào tạo ISO

  KMR VIET NAM CO. LTD

  HCM: - Hotline:       028 3535 4350 or 0983 890 712

              - Zalo:             0983 890 712

           - Email:           kmarvn@kmr.com.vn

  HN:    - Hotline-Zalo: 0966 177 712

           - Email:           support.hanoi@kmr.com.vn

                                 saleshn@kmr.com.vn                                         

Tin tức liên quan

Chiêu sinh Khóa học Đào tạo Đánh giá viên nội bộ Hệ thống quản lý chất lượng ISO 9001:2015 (15-16/12/2017)
Chiêu sinh Khóa học Đào tạo Đánh giá viên nội bộ Hệ thống quản lý chất lượng ISO 9001:2015 (15-16/12/2017)
21/11/2017

21/11/2017 | 5601 Lượt xem

Tổ chức chứng nhận KMR tổ chức Khóa học Đào tạo Đánh giá viên nội bộ Hệ thống quản lý chất lượng ISO 9001:2015 tại trung tâm đào tạo KMR Hồ Chí Minh. Khóa học phù hợp với cá nhân muốn trở thành chuyên gia đánh giá nội bộ ISO 9001:2015
Xem thêm ››
Tổ Chức Chứng Nhận KMR (Korea Management Registrar) Kí Biên Bản Ghi Nhớ (MoU) với EFQM Trong Lĩnh Vực Trao Giải Thưởng Xuất Sắc Toàn Cầu
Tổ Chức Chứng Nhận KMR (Korea Management Registrar) Kí Biên Bản Ghi Nhớ (MoU) với EFQM Trong Lĩnh Vực Trao Giải Thưởng Xuất Sắc Toàn Cầu
20/06/2018

20/06/2018 | 2547 Lượt xem

Tổ chức chứng nhận KMR (Korea Management Registrar) đã ký Biên bản ghi nhớ (MoU) với EFQM
Xem thêm ››
SỰ BỀN VỮNG THÔNG QUA HỢP TÁC: XÂY DỰNG KHẢ NĂNG THÍCH ỨNG VỚI BIẾN ĐỔI KHÍ HẬU
SỰ BỀN VỮNG THÔNG QUA HỢP TÁC: XÂY DỰNG KHẢ NĂNG THÍCH ỨNG VỚI BIẾN ĐỔI KHÍ HẬU
14/10/2024

14/10/2024 | 1199 Lượt xem

Theo Diana Maria Quimbay Valencia, Country Director, Rainforest Alliance, LinkedIn Biến đổi khí hậu hiện đang đứng đầu trong chương trình nghị sự toàn cầu. Từ việc giảm phát thải carbon, giảm thiểu ô nhiễm nhựa cho đến bảo vệ tài nguyên thiên nhiên, tính cấp bách của nhiệm vụ này đã rõ ràng. Thời điểm để hành động là ngay bây giờ.
Xem thêm ››
HỘI THẢO “KINH NGHIỆM QUỐC TẾ VỀ CHUYỂN ĐỔI SỐ VÀ CÔNG NGHIỆP 4.0 CHO DOANH NGHIỆP NHỎ VÀ VỪA” NGÀY 21-3-2023 DO CỤC PHÁT TRIỂN DN PHỐI HỢP VỚI TỔ CHỨC HỢP TÁC QUỐC TẾ ĐỨC (GIZ)
HỘI THẢO “KINH NGHIỆM QUỐC TẾ VỀ CHUYỂN ĐỔI SỐ VÀ CÔNG NGHIỆP 4.0 CHO DOANH NGHIỆP NHỎ VÀ VỪA” NGÀY 21-3-2023 DO CỤC PHÁT TRIỂN DN PHỐI HỢP VỚI TỔ CHỨC HỢP TÁC QUỐC TẾ ĐỨC (GIZ)
22/03/2023

22/03/2023 | 1625 Lượt xem

Ngày 21/3/2023 Trong khuôn khổ Chương trình hỗ trợ doanh nghiệp chuyển đổi số giai đoạn 2021-2025 của Bộ Kế hoạch và đầu tư, nhằm hỗ trợ các doanh nghiệp nhỏ và vừa (DNNVV) tham khảo, học tập kinh nghiệm quốc tế về chuyển đổi số và các công nghệ 4.0 để nâng cao nhận thức, bắt kịp các tiến bộ công nghệ và nắm bắt lợi thế từ quá trình chuyển đổi số.
Xem thêm ››
QUẢN LÍ THAY ĐỔI LÀ GÌ: HƯỚNG DẪN NHANH CHO ÁP DỤNG CÁC HỆ THỐNG QUẢN LÍ (ISO 27001)
QUẢN LÍ THAY ĐỔI LÀ GÌ: HƯỚNG DẪN NHANH CHO ÁP DỤNG CÁC HỆ THỐNG QUẢN LÍ (ISO 27001)
26/07/2024

26/07/2024 | 1292 Lượt xem

Trong một thế giới không ngừng thay đổi, đòi hỏi tất cả các nhà lãnh đạo kinh doanh phải học cách để theo kịp với tốc độ biến đổi công nghệ. Không chỉ đơn giản là phản ứng trước những sự gián đoạn. Để vượt lên dẫn đầu trong cuộc đua cạnh tranh, các tổ chức cần thách thức cách họ suy nghĩ về sự thay đổi bằng cách áp dụng một góc nhìn quản lý thay đổi.
Xem thêm ››
CHỨNG NHẬN ISO 14001 CÓ THỂ GIÚP DOANH NGHIỆP CỦA BẠN PHÁT TRIỂN NHƯ THẾ NÀO
CHỨNG NHẬN ISO 14001 CÓ THỂ GIÚP DOANH NGHIỆP CỦA BẠN PHÁT TRIỂN NHƯ THẾ NÀO
09/02/2021

09/02/2021 | 2830 Lượt xem

Chứng nhận ISO 14001 – Hệ thống Quản lý Môi trường (EMS) có thể được sử dụng để quản lý tác động của các hoạt động một công ty đối với môi trường và do đó, góp phần cải thiện liên tục hoạt động môi trường của công ty.
Xem thêm ››
Chứng Nhận Tiêu Chuẩn Hệ Thống Quản Lý An Toàn Thực Phẩm: ISO 22000: 2018 Đã Được Xuất Bản Vào Tháng 6 Năm 2018
Chứng Nhận Tiêu Chuẩn Hệ Thống Quản Lý An Toàn Thực Phẩm: ISO 22000: 2018 Đã Được Xuất Bản Vào Tháng 6 Năm 2018
27/06/2018

27/06/2018 | 3458 Lượt xem

KMR là tổ chức chứng nhận được cấp phép chứng nhận Hệ thống quản lý an toàn thực phẩm ISO 22000 vừa ban hành tháng 6 năm 2018
Xem thêm ››
KMR ACADEMY ĐỒNG HÀNH CÙNG OTO VINA TRIỂN KHAI ĐÀO TẠO ISO 14001:2015 – ĐÁNH GIÁ NỘI BỘ HTQL MÔI TRƯỜNG
KMR ACADEMY ĐỒNG HÀNH CÙNG OTO VINA TRIỂN KHAI ĐÀO TẠO ISO 14001:2015 – ĐÁNH GIÁ NỘI BỘ HTQL MÔI TRƯỜNG
25/08/2025

25/08/2025 | 1075 Lượt xem

Ngày 20 & 23/08/2025, tại KCN Nhơn Trạch (Đồng Nai), KMR Academy đã phối hợp cùng Công ty OTO VINA tổ chức thành công khóa đào tạo Đánh giá nội bộ Hệ thống quản lý môi trường ISO 14001:2015. Đây là hoạt động nằm trong chương trình hợp tác đào tạo thường niên giữa hai bên, nhằm nâng cao năng lực quản lý môi trường và đáp ứng những yêu cầu ngày càng khắt khe của ngành công nghiệp ô tô.
Xem thêm ››
NHẬN DIỆN MỐI NGUY VÀ ĐÁNH GIÁ RỦI RO AN TOÀN, SỨC KHỎE NGHỀ NGHIỆP (OHS)
NHẬN DIỆN MỐI NGUY VÀ ĐÁNH GIÁ RỦI RO AN TOÀN, SỨC KHỎE NGHỀ NGHIỆP (OHS)
02/06/2025

02/06/2025 | 2855 Lượt xem

Các sự cố về an toàn và sức khỏe nghề nghiệp ảnh hưởng như thế nào đến doanh nghiệp của bạn? Nếu một người lao động bị thương tích hoặc mắc bệnh nghề nghiệp, điều đó sẽ gây ra những gián đoạn nào? Năng suất của bạn có bị ảnh hưởng không? Tác động đến những người lao động khác ra sao, bao gồm cả khối lượng công việc và sức khỏe tâm lý, tinh thần của họ?
Xem thêm ››
Bình luận
  • Đánh giá của bạn
  • Trang chủ/
  • TIN TỨC/
  • CHECK-LIST HỒ SƠ & ĐIỀU KIỆN TRƯỚC KHI ĐÁNH GIÁ CHỨNG NHẬN ISO 27001:2022

© Bản quyền thuộc về KMR Viet Nam Co., Ltd