CÔNG TY TNHH CHỨNG NHẬN KNA 

"Quality Innovation"

Chứng nhận ISO 27001:2013 - Công nhận Quốc tế - KNA Cert

CHỨNG NHẬN ISO 27001:2013 

Thủ tục đơn giản - Chi phí hợp lý - Công nhận & thừa nhận toàn cầu
Tạo giá trị thương hiệu và lợi thế cạnh tranh cho Doanh Nghiệp

Thông tin là một loại tài sản quan trọng đối với các Doanh Nghiệp trong thời đại công nghệ số hiện nay. Chính vì thế mà việc bảo mật và bảo vệ tài sản thông tin là một trong những ưu tiên hàng đầu hiện nay mà các Doanh Nghiệp cần quan tâm. ISO 27001 ra đời giúp có thể kiểm soát rủi ro, bảo vệ, cải tiến an toàn thông tin trong doanh nghiệp một cách hiệu quả nhất.



CHỨNG NHẬN ISO 27001

Chứng nhận ISO 27001 về hệ thống quản lý an toàn thông tin đang ngày càng trở nên phổ biến và được sử dụng rộng rãi tại nhiều nơi trên thế giới trước sự xuất hiện ngày một nhiều hơn của những nguy cơ đe dọa đến an ninh dữ liệu.

Chứng nhận ISO 27001 (ISO 27001 certification) là hoạt động đánh giá chứng nhận do tổ chức chứng nhận ISO 27001 có thẩm quyền thực hiện. Chứng nhận ISO 27001 nhằm đánh giá sự phù hợp của hệ thống quản lý an toàn thông tin của doanh nghiệp. 


ISO 27001 LÀ GÌ?

ISO 27001 là tên của bộ tiêu chuẩn về hệ thống quản lý an toàn thông tin (ISMS) do Tổ chức tiêu chuẩn hóa quốc tế (ISO) và Ủy ban kỹ thuật điện quốc tế (IEC) cùng nhau xây dựng. Tiêu chuẩn ISO 27001 được ban hành nhằm giảm thiểu, loại bỏ các nguy cơ gây rò rỉ, thất lạc thông tin và đảm bảo an toàn thông tin cho các tổ chức, doanh nghiệp.

Tiêu chuẩn ISO 27001 có 2 phiên bản gồm:

  • Tiêu chuẩn ISO/IEC 27001:2005 (tháng 10/2005)
  • Tiêu chuẩn ISO/IEC 27001:2013 (tháng 10/2013)


CHỨNG CHỈ ISO 27001 LÀ GÌ?

Chứng chỉ ISO 27001 hay Giấy chứng nhận ISO 27001 do tổ chức chứng nhận được cấp phép và có thẩm quyền cấp cho doanh nghiệp sau khi xác minh doanh nghiệp hoàn toàn tuân thủ tiêu chuẩn ISO 27001. Chứng chỉ ISO 27001 hợp lệ được công nhận và thừa nhận trên phạm vi toàn cầu.


DOANH NGHIỆP NÀO CẦN CHỨNG NHẬN ISO 27001?

Bên cạnh những đồ vật hiện hữu thì thông tin cũng được xem là một loại tài sản quan trọng mà bất kỳ tổ chức nào cũng cần gìn giữ và bảo vệ. Việc chứng minh với khách hàng và đối tác rằng hệ thống quản lý an toàn thông tin của doanh nghiệp đạt chuẩn quốc tế là điều vô cùng cần thiết, đặc biệt là trong thời đại 4.0 với sự phát triển như vũ bão của công nghệ số, đi kèm với đó là những nguy cơ tiềm ẩn đối với an ninh thông tin.

Chính vì lý do đó mà tất cả các doanh nghiệp, công ty, đơn vị, tổ chức hoạt động tron mọi lĩnh vực, ngành nghề, ở mọi quy mô đều có thể đăng ký chứng nhận ISO 27001 để xác minh sự phù hợp của hệ thống quản lý an toàn thông tin.


LỢI ÍCH CỦA CHỨNG NHẬN ISO 27001

Mặc dù không phải là một tiêu chuẩn bắt buộc nhưng vẫn có rất nhiều doanh nghiệp, tổ chức tự nguyện áp dụng và tiến hành đăng ký chứng nhận ISO 27001 nhờ những lợi ích thiết thực & tuyệt vời mà chứng chỉ này đem lại. Có thể kể tới một vài lợi ích chính sau đây

Lợi ích cho khách hàng của bạn

  • Nhận được sự tin tưởng của khách hàng của bạn trong toàn bộ chuỗi cung ứng của bạn.
  • Giảm thiểu khả năng vi phạm gây tốn chi phí.
  • Giảm chi phí cho các nhà cung cấp mới.
  • Được bảo mật thông tin một cách tối ưu nhất. 

Lợi ích cho Tổ Chức của bạn

  • Bảo vệ IP, thương hiệu và uy tín của bạn. 
  • Kiếm được nhiều doanh nghiệp hơn từ khách hàng mới và khách hàng hiện tại
  • Giảm chi phí bán hàng
  • Giúp tạo mối quan hệ bền chặt hơn với nhiều doanh nghiệp cũ.
  • Cải tiến quy trình dẫn đến tiết kiệm chi phí và thời gian
  • Tránh phạt tiền từ việc không tuân thủ quy định (như GDPR)
  • Tránh các vụ kiện dân sự do vi phạm dữ liệu
  • Tránh chi phí cho hành động khắc phục hậu quả do sự cố và / hoặc vi phạm
  • Thu hút nhân viên tốt hơn.

Lợi ích cho nhân viên của bạn

  • Tin tưởng vào sự bền vững của tổ chức.
  • Đào tạo cho công việc (và an ninh gia đình).
  • Rõ ràng thông qua các chính sách và thủ tục.
  • Tự hào về tổ chức và vai trò của họ trong việc bảo vệ nó.

Xem thêm: Thống kê số lượng chứng chỉ ISO thế giới



NỘI DUNG CỦA TIÊU CHUẨN ISO 27001:2013 TIẾNG VIỆT PDF

Tại Việt Nam, tiểu chuẩn ISO 27001:2013 tương ứng với Tiêu chuẩn Quốc gia TCVN ISO/IEC 27001:2019 do Viện Khoa học Kỹ thuật Bưu điện biên soạn, Bộ Thông tin và Truyền thông đề nghị, Tổng cục Tiêu chuẩn Đo lường Chất lượng thẩm định, Bộ Khoa học và Công nghệ công bố. Vui lòng liên liên hệ với chúng tôi để nhận được file tài liệu ISO 27001:2013 tiếng Việt pdf. Còn trong bài viết này, người viết xin được tóm tắt 10 điều khoản chính của tiêu chuẩn ISO 27001 như sau:

  1. Phạm vi áp dụng
  2. Tài liệu viện dẫn
  3. Thuật ngữ và định nghĩa
  4. Bối cảnh của tổ chức
  • Hiểu tổ chức và bối cảnh của tổ chức
  • Hiểu được nhu cầu và mong đợi của các bên liên quan
  • Xác định phạm vi của hệ thống quản lý an toàn thông tin
  • Hệ thống quản lý an toàn thông tin
  1. Sự lãnh đạo
  • Sự lãnh đạo và cam kết
  • Chính sách
  • Vai trò, trách nhiệm và quyền hạn của tổ chức
  1. Hoạch định
  • Hành động giải quyết rủi ro và cơ hội (Đánh giá rủi ro an toàn thông tin; Xử lý rủi ro an toàn thông tin)
  • Các mục tiêu an toàn thông tin và hoạch định để thực hiện mục tiêu
  1. Hỗ trợ
  • Nguồn lực
  • Năng lực
  • Nhận thức
  • Trao đổi thông tin
  • Tạo lập và cập nhật, kiểm soát thông tin dạng văn bản
  1. Vận hành
  • Hoạch định và kiểm soát vận hành
  • Đánh giá rủi ro an toàn thông tin
  • Xử lý rủi ro an toàn thông tin
  1. Đánh giá hiệu năng
  • Theo dõi, đo lường, phân tích và đánh giá sự tuân thủ
  • Đánh giá nội bộ
  • Soát xét của lãnh đạo
  1. Cải tiến
  • Sự không phù hợp và hành động khắc phục
  • Cải tiến liên tục

 Xem thêm Tài liệu ISO 27001 pdf


QUY TRÌNH CHỨNG NHẬN HỆ THỐNG QUẢN LÝ AN NINH THÔNG TIN THEO TIÊU CHUẨN ISO 27001:2013



Quy trình, thủ tục chứng nhận hệ thống quản lý ATTT theo tiêu chuẩn ISO 27001 gồm các bước sau

Bước 1: Đăng ký chứng nhận ISO 27001

Để được cấp giấy chứng nhận ISO 27001 hợp lệ, doanh nghiệp phải tiến hành đăng ký chứng nhận với tổ chức chứng nhận IS0 27001. Ở bước đầu tiên này, doanh nghiệp cần khai báo các thông tin cần thiết theo yêu cầu, biểu mẫu mà tổ chức chứng nhận cung cấp để hoàn thiện hồ sơ đăng ký chứng nhận ISO 27001.

Bước 2: Xem xét hợp đồng và chuẩn bị đánh giá ISO 27001

Sau khi tiếp nhận đơn đăng ký chứng nhận ISO 27001 của doanh nghiệp, tổ chức chứng nhận sẽ gửi hợp đồng đánh giá chứng nhận trong đó có kế hoạch và chi phí chứng nhận cho doanh nghiệp. Ở bước này doanh nghiệp cần xem xét và chuẩn bị đánh giá chứng nhận

Bước 3: Đánh giá giai đoạn 1 (Stage 1 Audit)

Đánh giá giai đoạn 1 là đánh giá sơ bộ. Đánh giá viên sẽ xem xét tài liệu của bạn để kiểm tra xem hệ thống ISMS đã được phát triển phù hợp với tiêu chuẩn ISO 27001 hay chưa. Doanh nghiệp sẽ phải trình bày bằng chứng về tất cả các khía cạnh quan trọng của ISMS theo yêu cầu của tổ chức chứng nhận

Bước 4: Đánh giá giai đoạn 2 (Stage 2 Audit)

Đánh giá giai đoạn 2 được tiến hành một cách lỹ lưỡng hơn. Tổ chức chứng nhận sẽ cử chuyên gia xuống trực tiếp cơ sở để đánh giá thực trạng tuân thủ ISO 27001 của doanh nghiệp. Kết thúc quá trình đánh giá, một báo cáo đánh giá sẽ được gửi tới doanh nghiệp, trong đó ghi chép lại những điểm chưa tuân thủ tiêu chuẩn để doanh nghiệp khắc phục trong thời gian quy định

Bước 5: Thẩm xét hồ sơ ISO 27001

Ngoài hoạt động đánh giá hiện trường, tổ chức chứng nhận sẽ tiến hành rà soát, thẩm duyệt kỹ càng hơn các tài liệu, quy trình, văn bản của doanh nghiệp để chắc chắn rằng tiêu chuẩn ISO 27001 được áp dụng một cách hợp chuẩn. Tổ chức chứng nhận có quyền yêu cầu doanh nghiệp bổ sung tài liệu khi cần thiết

Bước 6: Cấp chứng chỉ ISO 27001 có hiệu lực trong vòng 3 năm

Tổ chức chứng nhận sẽ cấp giấy chứng nhận ISO 27001 có hiệu lực trong vòng 03 năm cho doanh nghiệp sau khi xác minh doanh nghiệp đã hoàn thiện hành động khắc phục (nếu có)

Bước 7 & 8: Đánh giá giám sát định kỳ 2 lần trong 3 năm & tái chứng nhận 

Theo quy định thì chứng nhận ISO 27001 sẽ có hiệu lực trong 3 năm. Trong suốt thời gian có hiệu lực của chứng chỉ thì tổ chức chứng nhận sẽ tiến hành đánh giá giám sát định kỳ cho doanh nghiệp nhằm đảm bảo hệ thống quản lý an toàn thông tin được chứng nhận tuân thủ các yêu cầu của tiêu chuẩn ISO 27001 và luôn có hiệu lực. Về chu kỳ giám sát hàng năm thường là 12 tháng tùy theo quy định của tổ chức chứng nhận và/hoặc thỏa thuận giữa khách hàng và tổ chức chứng nhận. Sau 3 năm hết hiệu lực nếu doanh nghiệp của bạn vẫn muốn duy trì chứng nhận thì tổ chức/doanh nghiệp sẽ phải đăng ký đánh giá lại. Cuộc đánh giá lại được tiến hành tương tự cuộc đánh giá chứng nhận lần đầu. Chứng chỉ cấp lại có hiệu lực trong 3 năm.



Xem thêm Các bước xây dựng hệ thống ISO 27001


TÀI LIỆU HỒ SƠ CHỨNG NHẬN ISO 27001 CHO NGÀY ĐÁNH GIÁ 

Để thực hiện đánh giá chứng nhận ISO  27001, cần chuẩn bị những hồ sơ, tài liệu gì là câu hỏi được rất nhiều các doanh nghiệp quan tâm. Nhằm giải đáp thắc mắc này, KNA xin được liệt kê một số tài liệu quan trọng sử dụng trong quá trình đánh giá chứng nhận ISO 27001

TÀI LIỆU ISO 27001

  1. Rủi ro đánh giá và rủi ro phương pháp xử lý
  2. Rủi ro đánh giá bảng
  3. Rủi ro xử lý bảng
  4. Báo cáo đánh giá và ro rủi ro
  5. Tuyên bố về ứng dụng
  6. Ro risk plan

MÔT SỐ TÀI LIỆU HỆ THỐNG HỆ THỐNG LÝ - ISO 27001

  1. Thủ tục kiểm tra tài liệu và hồ sơ
  2. Thủ tục xác định yêu cầu khách hàng
  3. Danh sách các pháp lý yêu cầu, quy định, đồng hợp tác và các yêu cầu khác
  4. ISMS phạm vi tài liệu
  5. Thông tin bảo mật chính sách
  6. Kế hoạch đào tạo và nhận thức
  7. Đo lường báo cáo
  8. Biên bản xem lãnh đạo
  9. Thủ tục hành động khắc phục
  10. Khắc phục hành động mẫu

MỘT SỐ TÀI LIỆU KIỂM TRA AN NINH THÔNG TIN - ISO 27001

  1. Chính sách về mang theo cá nhân thiết bị (BYOD - Mang thiết bị của riêng bạn)
  2. Di động thiết bị chính sách và làm việc từ xa
  3. Tuyên bố bảo mật
  4. Tuyên bố chấp nhận ISMS tài liệu
  5. Kiểm tra tài sản
  6. CNTT bảo mật chính sách
  7. Thông tin phân loại chính sách
  8. Truy cập kiểm soát chính sách
  9. Mật khẩu chính sách
  10. Chính sách sử dụng mã hóa
  11. Bàn làm việc bảo vệ chính sách và màn hình máy tính
  12. Xử lý chính sách và tiêu hủy dữ liệu
  13. Thủ tục làm việc trong khu vực an toàn
  14. Bảo mật bảo mật cho CNTT phòng
  15. Thay đổi quản lý chính sách
  16. Backup list
  17. Thông tin trao đổi chính sách
  18. An toàn phát triển chính sách
  19. Kỹ thuật điểm đặc biệt của hệ thống thông tin
  20. Bảo mật chính sách với nhà cung cấp
  21. Bảo mật điều khoản cho nhà cung cấp và đối tác
  22. Cố gắng quản lý quy trình
  23. Nhật ký sự cố

MỘT SỐ TÀI LIỆU CHÍNH SÁCH KINH DOANH LIÊN TỤC

  1. Liên tục chính sách kinh doanh
  2. Phương pháp parsing tác động kinh doanh
  3. Bảng câu hỏi phân tích tác động kinh doanh

MỘT SỐ TÀI LIỆU CHIẾN LƯỢC KINH DOANH LIÊN TỤC 

  1. Chiến lược kinh doanh liên tục
  2. Danh sách các hoạt động
  3. Phục hồi ưu tiên cho các hoạt động kinh doanh
  4. Phục hồi thời gian tiêu chuẩn cho các hoạt động kinh doanh
  5. Ví dụ về các tình huống cố gắng kinh doanh
  6. Chuẩn kế hoạch cho liên tục kinh doanh.
  7. Hoạt động hồi phục chiến lược.

MỘT SỐ TÀI LIỆU KẾ HOẠCH KINH DOANH LIÊN TỤC

  1. Kế hoạch liên kết kinh doanh
  2. Kế hoạch phản ứng cố định
  3. Nhật ký sự cố
  4. Danh sách các trang web kinh doanh
  5. Kế hoạch chuyển đổi
  6. Quan trọng liên lạc địa chỉ
  7. Kế hoạch thảm họa
  8. Active recovery plan

MỘT SỐ TÀI LIỆU HOẠT ĐỘNG KINH DOANH LIÊN TỤC - KHÁC

  1. Kế hoạch phòng và kiểm tra
  2. Mẫu - Tập bài báo cáo và kiểm tra
  3. Kế hoạch đánh giá và bảo trì BCMS
  4. Đánh giá mẫu sau sự cố

MỘT SỐ TÀI LIỆU ĐÁNH GIÁ

  1. Thủ tục kiểm tra nội bộ
  2. Nội dung kiểm toán chương trình năm hàng
  3. Nội dung kiểm tra báo cáo
  4. Internal check list

CHI PHÍ CHỨNG NHẬN ISO 27001

Để hoàn thành chứng nhận ISO 27001, doanh nghiệp cần bỏ ra chi phí bao nhiêu? Thực tế, rất khó để có thể trả lời câu hỏi này một cách cụ thể bởi chi phí đánh giá ISO 27001 phụ thuộc vào nhiều yếu tố. Về cơ bản, chi phí chứng nhận FSSC 22000 trong vòng 3 năm bao gồm:

  • Chi phí đánh giá & xem xét tài liệu Giai đoạn 1
  • Chi phí đánh giá chính thức & viết báo cáo Giai đoạn 2
  • Chi phí đăng ký dấu công nhận
  • Chi phí năm giám sát năm thứ nhất
  • Chi phí năm giám sát năm thứ hai

Lưu ý: Các chi phí trên sẽ phụ thuộc tùy từng quy mô, phạm vi, địa điểm, yêu cầu của mỗi doanh nghiệp:

  • Quy mô: Tổng số nhân sự bao gồm nhân sự văn phòng, công nhân nhà máy, nhân sự tại tất cả cá địa điểm khách hàng muốn đánh giá
  • Phạm vi: Lĩnh vực hoạt động của doanh nghiệp muốn được đánh giá và ghi vào chứng chỉ
  • Địa điểm: Tổng số địa điểm khách hàng đăng ký đánh giá chứng nhận
  • Yêu cầu riêng đối với mỗi doanh nghiệp

Như vậy, mỗi doanh nghiệp khác nhau sẽ có chi phí chứng nhận ISO 27001 khác nhau.


 3 Lý do tại sao ISO 27001 bảo vệ thông tin cho các Công ty Luật


MỘT SỐ CÂU HỎI THƯỜNG GẶP

  • Có phải tiêu chuẩn ISO 27001 áp dụng cho tất cả các ngành công nghiệp?

Đúng, tất cả các tổ chức doanh nghiệp có tài sản thông tin, và có thể hưởng lợi từ việc thực hiện và chứng nhận hệ thống quản lý bảo mật thông tin - ISMS.

  • Có phải ISO 27001 chỉ liên quan đến các vấn đề về công nghệ thông tin?

Không, ISO 27001 bao gồm tất cả các khía cạnh của trao đổi thông tin, từ dữ liệu máy tính đến các cuộc  đàm luận nơi công cộng, bao gồm việc đảm bảo các thông số vật lý và cả việc lựa chọn nhân viên ban đầu.

ISO 27001 sẽ giúp tổ chức doanh nghiệp đảm bảo được tính liên tục trong kinh doanh trong bất kì trường hợp nào, như hỏa hoạn, lũ lụt, hacking , mất dữ liệu, lỗ hổng bảo mật, thậm chí là khủng bố.ISO 27001 là xương sống của những vấn đề này.



 11 Câu hỏi thường gặp liên quan đến ISO 27001:2013 


TẠI SAO NÊN CHỌN KNA CERT LÀ ĐƠN VỊ CHỨNG NHẬN ISO 27001:2013

  • Miễn phí một số dịch vụ đi kèm khi đánh giá chứng nhận ISO 27001
    • Đào tạo ATLĐ các nhóm
    • 01 khóa học Public về ISO 9001, ISO 14001…trong Danh sách khóa hoc Public tại KNA
    • 01 buổi đánh giá thử năm thứ 1 trước khi đánh giá chính thứ
    • Chứng chỉ được công nhận toàn cầu, đáp ứng nhu cầu trong nước & xuất khẩu tại thị trường quốc tế
    • Được quảng bá thương hiệu tại các trang truyền thông của KNA
  • Năng lực tổ chức: Các chuyên gia của KNA CERT có hiểu biết sâu rộng về các lĩnh vực công nghiệp, thị trường, ngôn ngữ, bên cạnh những kinh nghiệm có được trong việc hoạt động đánh giá chất lượng tại các đơn vị trong và ngoài nước, từ đó có thể đưa ra các giải pháp phù hợp cho với nhu cầu của doanh nghiệp.

  • Mạng lưới đánh giá rộng lớn: KNA Cert với 2 văn phòng chính tại Hà Nội và Hồ Chí Minh. Đội ngũ chuyên gia của KNA Cert có mạng lưới rộng khắp các tỉnh thành trên cả nước.

  • Dịch vụ Chứng Nhận ISO 27001 hàng đầu: Chi phí hợp lý kết hợp với việc các khiếu nại của khách hàng luôn được lắng nghe với cam kết hỗ trợ cao nhất trong nỗ lực hoàn thiện chất lượng dịch vụ của KNA Cert.

  • Được thừa nhận & công nhận quốc tế

Chia sẻ

Dịch vụ liên quan