Trang chủ > Uncategorized > Quá trình chứng nhận ISO/IEC 27001 diễn ra như thế nào?

Quá trình chứng nhận ISO/IEC 27001 diễn ra như thế nào?

Quy trình chứng nhận ISO/IEC 27001 về cơ bản giống như quy trình chứng nhận tiêu chuẩn ISO 9001 và các hệ thống quản lý khác. Quy trình này là một cuộc đánh giá độc lập ISMS (Hệ thống quản lý an ninh thông tin) của tổ chức chứng nhận chia làm ba giai đoạn chính:

  1. Pre-audit: Tiền đánh giá – khi đã ký hợp đồng chứng nhận với một Tổ chức chứng nhận được công nhận, tổ chức chứng nhận sẽ yêu cầu bạn gửi bản sao tài liệu ISMS, sổ tay chính sách vv và có thể yêu cầu một buổi làm việc ngắn tại cơ sở của bạn để giới thiệu tổ chức và xác định các đầu mối liên lạc cho giai đoạn tiếp theo. Khi bạn đã sẵn sàng, họ sẽ tổ chức đánh giá chứng nhận theo thoả thuận.
  2. Certification audit: Đánh giá cấp chứng nhận – bản thân giai đoạn này chính là một cuộc đánh giá chính thức. Một hoặc nhiều chuyên gia đánh giá từ các Tổ chức chứng nhận sẽ đến cơ sở của tổ chức bạn, làm việc theo cách của họ một cách hệ thống thông qua bản danh sách đánh giá, kiểm tra mọi thứ. Họ sẽ kiểm tra chính sách ISMS của bạn, tiêu chuẩn và quy trình đối với các yêu cầu đặt ra trong tiêu chuẩn ISO/IEC 27001, và cũng có thể tìm kiếm bằng chứng chứng minh tổ chức của bạn thực hiện theo hệ thống tài liệu trong thực tế (hay nói cách khác, câu nói ưa thích của chuyên gia đánh giá chính là “Chỉ cho tôi!”). Họ sẽ thu thập và đánh giá chứng cứ bao gồm các sản phẩm được sản xuất theo các quy trình ISMS (như hồ sơ cho phép người sử dụng nhất định có quyền truy cập nhất định đến hệ thống nhất định, hoặc biên bản cuộc họp của lãnh đạo xác nhận phê duyệt các chính sách) hoặc bằng cách quan sát trực tiếp quá trình ISMS trong các hoạt động thực tế.
  3. Post-audit: Báo cáo đánh giá – kết quả của cuộc đánh giá sẽ được báo cáo chính thức cho ban lãnh đạo. Tùy thuộc vào cách thức thực hiện đánh giá trên thực tế và theo các quá trình đánh giá chuẩn của chuyên gia đánh giá, các chuyên gia sẽ nêu lên các vấn đề sau (theo thứ tự tăng dần về mức độ nghiêm trọng):
    • Observation: Điểm quan sát – các khuyến nghị hoặc các vấn đề tiềm năng trong tương lai được khuyên để tâm xem xét;
    • Minor noncompliance: Điểm phù hợp nhẹ – đây là những điểm không phù hợp mà tổ chức phải giải quyết, nó là điều kiện để cấp chứng nhận. Tổ chức chứng nhận có thể đưa ra hoặc không đưa ra những kiến nghị khắc phục các điểm không phù hợp nhẹ này. Họ cũng có thể chính thức kiểm tra xem các điểm không phù hợp nhẹ đó đã được giải quyết hay chưa, hoặc không mà dựa trên báo cáo khắc phục tổ chức được đánh giá. Họ sẽ dành cho tổ chức được đánh giá một khoảng thời gian để giải quyết vấn đề và tiếp tục xin cấp chứng nhận, nhưng dù áp dụng cách nào trong hai cách trên, thì gần như chắc chắn là tổ chức chứng nhận đó muốn xác nhận rằng mọi thứ đã được giải quyết trước lần đánh giá chứng nhận tiếp theo.
    • Major noncompliance: Điểm không phù hợp nặng – đó là những điểm có thể kết thúc quá trình chứng nhận, là một vấn đề quan trọng và có nghĩa là tổ chức không thể nhận được chứng nhận ISO/IEC 27001 cho đến khi giải quyết xong những điểm không phù hợp này. Tổ chức chứng nhận có thể kiến nghị cách thức giải quyết các điểm không phù hợp đó và sẽ yêu cầu tổ chức được chứng nhận đưa ra những bằng chứng tích cực chứng minh các điểm không phù hợp đó đã được giải quyết triệt để trước khi cấp chứng nhận. Cuộc đánh giá có thể sẽ bị đình chỉ nếu xác định được một điểm không phù hợp nặng để cho tổ chức cơ hội sửa chữa vấn đề trước khi tiếp tục đánh giá.

Sau lần đánh giá chứng nhận ban đầu sẽ có những cuộc đánh giá định kỳ tiếp theo (thường được gọi là “đánh giá giám sát”, đôi khi được gọi là CAVs ” Đánh giá liên tục”, vv) trong thời gian tổ chức vẫn lựa chọn duy trì chứng nhận. Chứng nhận có giá trị trong ba năm, do vậy, sẽ có một cuộc đánh giá cấp lại chứng nhận sau ba năm.

Lời khuyên khi thực hiện: Giống như các kỳ thi, bạn sẽ cảm thấy dễ dàng hoặc không thì cũng sẽ quen dần với các cuộc đánh giá chứng nhận thông qua thực hành. Hãy xem những lần xem xét tính sẵn sàng, đánh giá nội bộ và xem xét tiền đánh giá là những cơ hội để tìm hiểu về quá trình đánh giá cũng như là nguồn cung cấp thông tin về những khu vực cần được cải tiến, trước khi thực hiện đánh giá chứng nhận chính. Trong và sau khi quá trình này, hãy trao đổi với các nhà quản lý và những người khác tham gia vào quá trình về cách mọi thứ đang diễn ra, và chia sẻ bất kỳ tin tức tốt nào có được. Nếu được xem xét một cách hợp lý, tất cả những lần đánh giá từ bên ngoài đều là những cơ hội quý giá để tổ chức bạn xác nhận rằng hệ thống ISMS của mình vẫn còn hiệu quả, và để nhận lời khuyên của tư vấn và chuyên gia đánh giá có kinh nghiệm của các tổ chức phù hợp khác.

Advertisements
  1. Không có bình luận
  1. No trackbacks yet.

Trả lời

Mời bạn điền thông tin vào ô dưới đây hoặc kích vào một biểu tượng để đăng nhập:

WordPress.com Logo

Bạn đang bình luận bằng tài khoản WordPress.com Đăng xuất /  Thay đổi )

Google+ photo

Bạn đang bình luận bằng tài khoản Google+ Đăng xuất /  Thay đổi )

Twitter picture

Bạn đang bình luận bằng tài khoản Twitter Đăng xuất /  Thay đổi )

Facebook photo

Bạn đang bình luận bằng tài khoản Facebook Đăng xuất /  Thay đổi )

w

Connecting to %s

%d bloggers like this: