Thông tin là một vấn đề quan trọng đối với hoạt đông, thậm chí liên quan đến sự sống còn của tổ chức.Việc đạt chứng nhần phù hợp tiêu chuẩn ISO/IEC 27001 sẽ giúp bạn quản lý và bảo vệ tài sản thông tin giá trị.
Tiêu chuẩn ISO/IEC 27001 đặt ra các yêu cầu cho một hệ thống quản lý bảo mật an toàn thông tin (ISMS). ISO/IEC 27001 được thiết kế nhằm đảm bảo việc lựa chọn cách thức kiểm soát an toàn tương ứng và đầy đủ.
Tiêu chuẩn ISO/IEC 27001 giúp bảo vệ tài sản thông tin của bạn và tạo sự tin tưởng cho các bên liên quan, đặc biệt là các khách hàng của bạn.Tiêu chuẩn đưa ra một phương pháp tiếp cận quá trình cho việc thiết lập, thực hiện, điều hành, giám sát, xem xét, duy trì và cải tiến ISMS của bạn.
Tiêu chuẩn ISO/IEC 27001 phù hợp với tổ chức nào?
Tiêu chuẩn ISO/IEC 27001 thích hợp với mọi tổ chức không phân biệt quy mô, loại hình, khu vực.Tiêu chuẩn này đặc biệt thích hợp với các tổ chức mà việc bảo mật thông tin là quan trọng như các tổ chức hoạt động trong lĩnh vực tài chính, y tế , cộng đồng và công nghệ thông tin.
Tiêu chuẩn ISO/IEC 27001 cũng đặc biệt hiệu quả đối với các tổ chức quản lý thông tin cho các tổ chức khác, như các công ty thuê nguồn lực IT ở bên ngoài tổ chức: Tiêu chuẩn này có thể được sử dụng như một lời khẳng định với khách hàng rằng thông tin của họ đang được bảo mật.
Chứng nhận ISMS phù hợp tiêu chuẩn ISO/IEC 27001 có thể mang đến những lợi ích sau cho tổ chức:
Chứng minh sự bảo đảm độc lập của việc kiểm soát nội bộ và đáp ứng các yêu cầu về kinh doanh và quản trị doanh nghiệp
Độc lập chứng minh rằng các quy định và luật có thể áp dụng đều đã được xem xét
Tạo lợi thế cạnh tranh với việc đáp ứng các yêu cầu thông qua hợp đồng và chứng minh với khách hàng rằng việc bảo mật an toàn thông tin của họ là tối quan trọng.
Độc lập xác minh rằng các rủi ro của tổ chức được nhận diện, đánh giá và đối phó một cách đúng đắn, trong khi chính thức hóa các quá trình, thủ tục và tài liệu bảo mật thông tin.
Chứng minh cam kết của lãnh đạo cao nhất về việc bảo mật an toàn thông tin.
Quá trình đánh giá thường xuyên giúp bạn giám sát liên tục và cải tiến hiệu suất.
Lưu ý: Những lợi ích này không được nhận thấy ở các tổ chức chỉ đơn thuần phù hợp với tiêu chuẩn ISO/IEC 27001 hay các đề nghị trong bộ tiêu chuẩn thực hành, ISO/IEC 27002
1. Tiếp xúc ban đầu
Quacert phải cung cấp cho Tổ chức đăng ký chứng nhận các thông tin cần thiết bao gồm: Nguyên tắc và Điều kiện chứng nhận, quá trình và thủ tục chứng nhận và các thông tin có liên quan khác.
2. Đăng ký chứng nhận
Sau khi xem xét và hiểu rõ Nguyên tắc và Điều kiện chứng nhận, quá trình và thủ tục chứng nhận, Tổ chức đăng ký chứng nhận gửi QUACERT bản "Đăng ký chứng nhận" được ký bởi đại diện có thẩm quyền.
3. Xem xét đăng ký chứng nhận và Thiết lập chương trình đánh giá
Trước khi tiến hành đánh giá, QUACERT tiến hành xem xét đăng ký chứng nhận và thông tin hỗ trợ. Sau đó, dựa trên kết quả xem xét đăng ký chứng nhận, QUACERT sẽ thiết lập chương trình đánh giá cho Tổ chức xin chứng nhận.
4. Chuẩn bị đánh giá
Dựa vào kết quả xem xét Đăng ký chứng nhận, QUACERT phải xác định yêu cầu năng lực của các cán bộ liên quan trong đoàn đánh giá và cán bộ thực hiện các quyết định chứng nhận. QUACERT phải đảm bảo rằng mọi nhiệm vụ giao cho đoàn đánh giá được xác định rõ và truyền đạt tới Tổ chức chứng nhận.
5. Đánh giá chứng nhận
QUACERT tiến hành đánh giá chứng nhận theo 2 giai đoạn. Giai đoạn một là xem xét các điều kiện và thu thập thông tin cần thiết liên quan đến tổ chức đăng ký chứng nhận. Giai đoạn hai được tiến hành tại dịa điểm của Tổ chức đăng ký chứng nhận.
6. Kết luận đánh giá chứng nhận và Báo cáo đánh giá
Đoàn chuyên gia đánh giá của QUACERT phải phân tích tất cả các thông tin và bằng chứng liên quan đã thu thập được trong suốt quá trình đánh giá giai đoạn 1 và giai đoạn 2 để xem xét các phát hiện đánh giá và thống nhất các kết luận đánh giá.
7. Quyết định chứng nhận
Đoàn đánh giá phải cung cấp toàn bộ thông tin cần thiết cho Ban kỹ thuật của QUACERT để kiểm tra xác nhận trước khi kiến nghị chứng nhận, bao gồm Báo cáo đánh giá, nhận xét, xác nhận thông tin cung cấp cho QUACERT, kiến nghị cấp hoặc không cấp giấy chứng nhận và các điều kiện hoặc lưu ý.
Giấy chứng nhận cấp cho Tổ chức có hiệu lực 03 năm kể từ ngày ký với điều kiện các Tổ chức tuần thủ hoàn toàn các yeu cầu của các Nguyên tắc và Điều kiện chứng nhận.
8. Hoạt động giám sát và duy trì chứng nhận
Hoạt động giám sát được thực hiện ít nhất một lần một năm tại cơ sở của Tổ chức. Thời gian đánh giá giám sát lần một thông thường không được quá 12 tháng kể từ ngày cuối cùng của đánh giá giai đoạn 2.
9. Chứng nhận lại
Hoạt động đánh giá chứng nhận lại được tiến hành nhằm đánh giá việc Tổ chức tiếp tục tuân thủ các yêu cầu của tiêu chuẩn hệ thống quản lý liên quan.
10. Đánh giá mở rộng
Tổ chức đã được chứng nhận muốn mở rộng phạm vi chứng nhận phải gửi đăng ký chứng nhận mở rộng cho QUACERT. Khi nhận đăng ký, QUACERT phải xem xét và xác định hoạt động đánh giá cần thiết để quyết định mở rộng hoặc không mở phạm vi đã được chứng nhận.
11. Đánh giá đột xuất
Thủ tục của QUACERT phải đảm bảo cân nhắc tới khả năng tiến hành đánh giá đột xuất Tổ chức đã được chứng nhận để có thể điều tra các khiếu nại, đáp ứng đối với những thay đổi hoặc xem xét tiếp theo đối với những tổ chức đã bị đình chỉ