Trang chủ > Uncategorized > Chuẩn bị cho đánh giá chứng nhận lại

Chuẩn bị cho đánh giá chứng nhận lại

Không giống như các cuộc đánh giá giám sát sáu tháng, chín tháng hoặc hàng năm có xu hướng tập trung vào những lĩnh vực cụ thể, cuộc đánh giá chứng nhận lại sẽ xem xét lại toàn bộ hệ thống ISMS một lần nữa một cách triệt để. Vì hệ thống ISMS của tổ chức bạn đã hoạt động trong một thời gian (ít nhất là 3 năm), chuyên gia đánh giá sẽ mong đợi được thấy một hệ thống ISMS hoàn thiện và vẫn không ngừng phát triển, chủ động ứng phó với những thay đổi không thể tránh khỏi bằng cách sử dụng mô hình PDCA / mô hình cải tiến liên tục gắn liền với hệ thống ISMS.

Đây là một cuộc đánh giá chính thức và có thể trở nên khó nhằn đối với các tổ chức không duy trì và phát triển tốt hệ thống ISMS của mình sau khi nhận được chứng nhận ban đầu. Chứng nhận lại không phải lúc nào cũng đạt! Tất nhiên, cuộc đánh giá chủ yếu tập trung vào việc xác nhận hệ thống tuân thủ chặt chẽ phiên bản mới nhất của tiêu chuẩn ISO/IEC 27001. Vấn đề quan trọng là bạn vẫn có một hệ thống quản lý hiệu quả và phù hợp để quản lý an ninh thông tin của bạn.

Hãy sử dụng danh sách kiểm tra 8 điểm đơn giản hóa này như một cơ sở để lập kế hoạch những điều chính bạn cần phải được thực hiện trước khi chuyên gia đánh giá tới (có thể bạn sẽ cần một kế hoạch phức tạp và toàn diện hơn):

  1. Kiểm tra xem các cuộc đánh giá hệ thống ISMS nội bộ và độc lập đã cập nhật hay chưa với những kế hoạch lập sẵn cho các cuộc đánh giá trong tương lai. Kiểm tra xem tất cả các kết quả đánh giá / điểm quan sát, khuyến nghị và hành động được phê duyệt đã được hoàn tất và đóng lại, hoặc đang trong tiến trình thực hiện (với dấu hiệu rõ ràng chứng tỏ hành động đang thực sự được thực hiện trong thực tế) hay chưa? Sử dụng kết quả đánh giá gần đây để thúc đẩy thực hiện những thay đổi cần thiết và củng cố quan niệm rằng việc đánh giá đều là để cải tiến hợp lý hệ thống. (Bạn cũng cần kiểm tra kỹ việc tiến hành các cuộc đánh giá tương tự khác bao gồm rủi ro an ninh thông tin, kiểm soát và tuân thủ)
  2. Thu thập bằng chứng về cam kết tiếp tục của ban lãnh đạo đối với các hệ thống ISMS như biên bản cuộc họp Ban lãnh đạo, các quyết định và hành động được thực hiện, kế hoạch hành động khắc phục và phòng ngừa và kết quả theo dõi hoặc kết thúc hành động, và ngân sách. 
  3. Thực hiện họp xem xét của lãnh đạo đầy đủ đối với hệ thống ISMS, bao gồm xem xét Bản tuyên bố áp dụng và Kế hoạch xử lý rủi ro của tổ chức. Lập văn bản tất cả các phát hiện và khuyến nghị hành động phòng ngừa hoặc khắc phục và đảm bảo tất cả hành động được phát động, phân bổ và quản lý phù hợp. Cố gắng xử lý dứt điểm hoặc ít nhất cũng đang xử lý tất cả các vấn đề quan trọng trước khi đánh giá.
  4. Xem xét nguy cơ bảo mật thông tin của tổ chức. Nếu có những thay đổi đáng kể trong môi trường kinh doanh bên ngoài (ví dụ như nghĩa vụ pháp lý hoặc tuân thủ quy định mới, tiêu chuẩn ISO27k mới, đối tác an ninh mới), tình hình nội bộ (ví dụ như tổ chức lại) hoặc CNTT (ví dụ như nền tảng mới và các hệ thống ứng dụng), tiến hành đánh giá rủi ro lại từ đầu bằng cách sử dụng những phương pháp đã được lập thành văn bản tài liệu, và cập nhật RTP của tổ chức. Cần phải xử lý tất cả các rủi ro, nói cách khác, bất cứ ai chịu trách nhiệm cần tránh, kiểm soát, chuyển hoặc được chấp nhận các rủi ro một cách rõ ràng và đối với những rủi ro lớn, cần phải có kế hoạch dự phòng tại chỗ trong trường hợp các các biện pháp kiểm soát không giảm được rủi ro.
  5. Xem xét tất cả các tài liệu ISMS (chính sách, tiêu chuẩn, hướng dẫn, quy trình vv) để đảm bảo tài liệu được cập nhật, đầy đủ, chính thức phê duyệt / ủy quyền / ký thông qua, các phiên bản tài liệu được kiểm soát và cung cấp cho những người cần dùng (ví dụ như tải các tài liệu lên vào khu vực ISMS trên mạng nội bộ của bạn). Tìm kiếm và hủy mọi tài liệu ISMS cũ hoặc lỗi thời.
  6. Cập nhật các hoạt động đào tạo và nhận thức về an ninh thông tin và đảm bảo đặt sẵn một kế hoạch cho các hoạt động trong tương lai. Đảm bảo mọi người đều biết nơi lưu giữ các chính sách ISMS và các tài liệu liên quan và biết được nội dung (một mẹo hữu ích là cho tất cả mọi người một phím tắt để truy cập tài liệu bảo mật thông tin trên máy tính để bàn của họ). Đảm bảo tất cả mọi người quen, và thực sự tích cực thực hiện trách nhiệm của mình đối với an ninh thông tin, ví dụ như bất kỳ nghĩa vụ phát sinh từ luật bảo đảm sự riêng tư và các quy trình an ninh thông tin có liên quan.
  7. Kiểm tra tài liệu liên quan đến bất kỳ sự cố an ninh thông tin gần đây, ví dụ để xác nhận rằng hành động khắc phục / phòng ngừa đã được ghi lại và thực hiện đầy đủ. Từ thông tin chi tiết xem xét lại để xác nhận rằng quá trình này hoạt động trơn tru.
  8. Xem xét các số liệu bảo mật thông tin của bạn. Cứ cho rằng hệ thống ISMS của tổ chức bạn đã hoàn thiện, các số liệu đó vẫn có liên quan và hữu ích hay chúng cần phải được điều chỉnh? Thực tế, bạn có lập báo cáo và đo lường các số liệu đó không (đối chiếu bằng chứng gần đây chứng minh điều đó) và các hành động cần thiết có được thực hiện hay không (một lần nữa, kiểm tra các kế hoạch hành động phòng ngừa và khắc phục)?

Bạn nên tự mình tới mỗi bộ phận doanh nghiệp và phỏng vấn họ (cả người quản lý và nhân viên) giống như trong một buổi đánh giá thật về vai trò của họ trong hệ thống ISMS. Hỏi họ một số câu hỏi tìm kiếm (hãy thử dùng câu nói ưa thích của chuyên gia đánh giá “Cho tôi xem …” để kiểm tra xem họ thực sự có thể đưa ra những bằng chứng chắc chắn chứng minh những gì họ nói hay không) và cố gắng tìm ra những điểm yếu trước khi chuyên gia đánh giá phát hiện ra chúng – không phải là để giấu chúng đi mà là để giải quyết chúng! Đây là một sự chuẩn bị/đào tạo vô giá cho tổ chức được đánh giá. Nói trước với họ rằng bạn không phải đang khắc nghiệt với họ mà đang đặt câu hỏi khó để giúp họ chuẩn bị và giúp cho lần đánh giá chứng nhận lại thật sự diễn ra suôn sẻ hơn.

Lời khuyên khi thực hiện: Hãy gửi email cho nhân viên ngay trước cuộc đánh giá chứng nhận lại, nhắc nhở họ về trách nhiệm của họ đối với cả vấn đề an ninh thông tin và cuộc đánh giá hệ thống ISMS. Cung cấp cho họ thông tin và lời khuyên về cách hành xử trong quá trình đánh giá (‘Hãy thẳng thắn, cởi mở, trung thực và sử dụng các chính sách, quy trình, hồ sơ và tài liệu khác để chứng minh những gì bạn làm “). Đây là cơ hội nâng cao nhận thức an ninh số một!

Hãy nhớ rằng ISMS là một hệ thống sống, liên tục thích ứng với nhu cầu kinh doanh thay đổi phát sinh từ các rủi ro an ninh thông tin. Nó sẽ không bao giờ trở nên hoàn hảo hoặc hoàn toàn hoàn thiện, nhưng, miễn là ban lãnh đạo và các nhân viên khác quản lý đúng cách, xem xét và hỗ trợ đầy đủ hệ thống, tổ chức của bạn sẽ không gặp bất cứ vấn đề gì cả. Chúc may mắn!

Advertisements
  1. Không có bình luận
  1. No trackbacks yet.

Trả lời

Mời bạn điền thông tin vào ô dưới đây hoặc kích vào một biểu tượng để đăng nhập:

WordPress.com Logo

Bạn đang bình luận bằng tài khoản WordPress.com Đăng xuất /  Thay đổi )

Google+ photo

Bạn đang bình luận bằng tài khoản Google+ Đăng xuất /  Thay đổi )

Twitter picture

Bạn đang bình luận bằng tài khoản Twitter Đăng xuất /  Thay đổi )

Facebook photo

Bạn đang bình luận bằng tài khoản Facebook Đăng xuất /  Thay đổi )

Connecting to %s

%d bloggers like this: