Thủ tục, quy định cấp chứng nhận, chứng chỉ iso 27001:2022

Tiêu chuẩn ISO 27001:2022 là gì? ISMS là gì? Thủ tục, quy định cấp chứng nhận, chứng chỉ ISO 27001:2022? Lợi ích đối với doanh nghiệp áp dụng ISO 27001. Kế toán Anpha sẽ chia sẻ chi tiết cho doanh nghiệp trong bài viết này.

Nội dung chính:

Tiêu chuẩn ISO, chứng nhận ISO 27001 là gì? ISMS là gì?
Quy trình, thủ tục cấp chứng nhận ISO 27001:2022
- 1. Hồ sơ xin cấp chứng nhận ISO 27001:2022
- 2. Quy trình cấp giấy chứng nhận ISO 27001:2022
Quy định về tiêu chuẩn ISO 27001:2022 - Hệ thống quản lý an toàn thông tin
- 1. Về đối tượng áp dụng tiêu chuẩn ISO 27001:2022
2. Về thời gian áp dụng tiêu chuẩn ISO 27001:2022
- 3. Tiêu chuẩn cần đáp ứng để được cấp chứng nhận ISO 27001:2022
Lợi ích của việc áp dụng ISO 27001:2022 - ISMS

Tiêu chuẩn ISO, chứng nhận ISO 27001 là gì? ISMS là gì?

ISO 27001 là bộ tiêu chuẩn quốc tế về hệ thống quản lý an ninh thông tin (ISMS) cho các tổ chức, doanh nghiệp, được phát triển bởi Tổ chức Tiêu chuẩn hóa quốc tế (International Organization for Standardization, viết tắt là ISO).

Chứng nhận ISO 27001 chính là hoạt động đánh giá chứng nhận do tổ chức chứng nhận được cấp phép hiện nhằm đánh giá sự phù hợp của doanh nghiệp theo tiêu chuẩn.

Giấy chứng nhận (chứng chỉ) ISO 27001:2022 được cấp cho tổ chức, doanh nghiệp đáp ứng được sự phù hợp của bộ tiêu chuẩn ISO 27001:2022.

Hiện nay, bộ tiêu chuẩn ISO 27001 có 3 phiên bản, trong đó:

Phiên bản lần đầu tiên được phát hành vào năm 2005 là ISO 27001:2005;
Phiên bản lần thứ hai được phát hành vào năm 2013 là ISO 27001:2013;
Phiên bản lần thứ ba được phát hành vào năm 2022 là ISO 27001:2022 - cũng là phiên bản mới nhất hiện nay.

>> Xem thêm: Dịch vụ xin giấy chứng nhận ISO 27001:2013.

Quy trình, thủ tục cấp chứng nhận ISO 27001:2022

1. Hồ sơ xin cấp chứng nhận ISO 27001:2022

Thành phần hồ sơ xin cấp giấy chứng nhận ISO 27001:2022 gồm có:

Bản sao giấy phép đăng ký kinh doanh;
Hồ sơ chứng minh về phạm vi doanh nghiệp đăng ký chứng nhận;
Một số hồ sơ quy trình ISO 27001:2022;
Mục tiêu về an toàn thông tin;
Chính sách đối với an toàn thông tin;
Sổ tay về an toàn thông tin;
Các biểu mẫu/quy trình được áp dụng tại các phòng ban;
Hồ sơ đánh giá nội bộ tổ chức, doanh nghiệp;
Phương pháp quản lý về rủi ro;
Danh sách tài sản và đánh giá rủi ro;
Kế hoạch xử lý những rủi ro;
Hồ sơ quản lý trao đổi về thông tin và vận hành;
Hồ sơ quản lý truy cập;
Hồ sơ về duy trì, phát triển, nâng cấp liên quan đến hệ thống thông tin;
Hồ sơ quản lý về sự cố.

2. Quy trình cấp giấy chứng nhận ISO 27001:2022

Để được cấp giấy chứng nhận ISO 27001:2022 thì tổ chức, doanh nghiệp cần thực hiện các bước như sau:

Bước 1: Đào tạo nhận thức, tìm hiểu cụ thể về tiêu chuẩn ISO 27001:2022 - Hệ thống quản lý an toàn thông tin;
Bước 2: Đào tạo chuyên gia đánh giá, kiểm soát nội bộ theo tiêu chuẩn ISO 27001:2022 nhằm duy trì việc vận hành hệ thống ISO 27001:2022 tại tổ chức, doanh nghiệp;
Bước 3: Đánh giá sơ bộ thực trạng hệ thống quản lý an toàn thông tin hiện có theo yêu cầu của tiêu chuẩn ISO 27001:2022;
Bước 4: Đánh giá chứng nhận chính thức tiêu chuẩn ISO 27001:2022 - Hệ thống quản lý an toàn thông tin và hỗ trợ các thủ tục cấp giấy chứng nhận từ tổ chức chứng nhận đủ năng lực;
Bước 5: Thẩm định hồ sơ đánh giá và trao chứng chỉ chứng nhận đạt tiêu chuẩn quốc tế ISO 27001:2022:
- Sau khi nhận được kết quả đánh giá từ chuyên gia đánh giá chứng nhận, tổ chức chứng nhận tiến hành thẩm định hồ sơ và cấp giấy chứng nhận cho doanh nghiệp đạt chuẩn;
- Giấy chứng nhận ISO 27001:2022 sẽ có thời hạn là 3 năm và có yêu cầu giám sát tối thiểu là 1 năm/lần.

Lưu ý:

Tổ chức cấp giấy chứng nhận ISO sẽ thực hiện đánh giá giám sát và thực hiện chứng nhận lại theo định kỳ.

Giấy chứng nhận chỉ có hiệu lực trong 3 năm, do vậy mà khi hết thời hạn này, tổ chức chứng nhận sẽ phải tiến hành đánh giá lại doanh nghiệp. Nếu đáp ứng yêu cầu của các tiêu chí đánh giá, tổ chức chứng nhận sẽ cấp cho doanh nghiệp 1 giấy chứng nhận mới có thời hạn 3 năm.

Quy định về tiêu chuẩn ISO 27001:2022 - Hệ thống quản lý an toàn thông tin

1. Về đối tượng áp dụng tiêu chuẩn ISO 27001:2022

Áp dụng cho mọi doanh nghiệp, không phân biệt loại hình và quy mô sản xuất kinh doanh. Tuy nhiên ISO 27001 sẽ tập trung vào các tổ chức hoạt động trong lĩnh vực công nghệ thông tin, bưu chính, truyền thông… hay các tổ chức có hoạt động sản xuất kinh doanh với những yêu cầu khắt khe về độ chính xác, tính kịp thời và tính bảo mật về thông tin.

2. Về thời gian áp dụng tiêu chuẩn ISO 27001:2022

Thời gian áp dụng sẽ phụ thuộc vào loại hình, quy mô, mức độ phức tạp, sản phẩm, dịch vụ cung cấp của tổ chức, doanh nghiệp.

3. Tiêu chuẩn cần đáp ứng để được cấp chứng nhận ISO 27001:2022

Tiêu chuẩn của ISO 27001:2022 được xây dựng theo cấu trúc bậc cao với 10 điều khoản tương ứng với 10 yêu cầu mà một tổ chức, doanh nghiệp cần phải thực hiện để có thể được cấp chứng nhận.

10 điều khoản tương ứng với 10 yêu cầu bao gồm:

➧ Phạm vi:

Chỉ định các yêu cầu ISMS chung phù hợp với các tổ chức, doanh nghiệp thuộc bất kỳ loại hình, quy mô hay tính chất nào.

➧ Tài liệu tham khảo

➧ Thuật ngữ và định nghĩa

➧ Bối cảnh của tổ chức

Điều quan trọng là tổ chức, doanh nghiệp xin cấp chứng nhận ISO 27001 phải hiểu được bối cảnh của tổ chức và xác định phạm vi của ISMS. Từ đó, xác định được ranh giới và khả năng áp dụng của ISMS để thiết lập phạm vi của nó.

Bối cảnh có thể bao gồm con người và các hoạt động khác được thực hiện ở nhiều cấp độ khác nhau, bao gồm:

Hiểu tổ chức và bối cảnh của nó;
Hiểu nhu cầu và mong đợi của các bên quan tâm;
Xác định phạm vi của hệ thống quản lý an toàn thông tin;
Hệ thống quản lý an toàn thông tin.

➧ Lãnh đạo

Ban lãnh đạo cần phải thiết lập các chính sách và thủ tục liên quan đến an toàn thông tin. Các mục tiêu chính, khả năng áp dụng và khả năng tương thích với định hướng chiến lược phải đảm bảo rằng an toàn thông tin là ưu tiên hàng đầu của tổ chức, doanh nghiệp:

Sự lãnh đạo và cam kết;
Chính sách;
Vai trò, trách nhiệm và quyền hạn của tổ chức.

➧ Lập kế hoạch

Giai đoạn này được thực hiện sau khi xác định rủi ro và mối đe dọa trong hệ thống quản lý thông tin. Tổ chức, doanh nghiệp sẽ thực hiện đánh giá rủi ro hoàn chỉnh, sau đó sẽ lập kế hoạch áp dụng các chiến lược để giảm hoặc loại bỏ đi rủi ro - một tuyên bố đầy đủ về khả năng áp dụng để kiểm soát rủi ro để thực hiện các tiêu chuẩn của ISO 27001.

Hành động giải quyết rủi ro và cơ hội;
Khái quát;
Đánh giá rủi ro an toàn thông tin;
Xử lý rủi ro an toàn thông tin;
Mục tiêu an toàn thông tin và lập kế hoạch để đạt được chúng.

➧ Hỗ trợ

Tổ chức, doanh nghiệp cần cung cấp các nguồn lực, năng lực của nhân viên và giao tiếp theo yêu cầu của hệ thống quản lý an toàn thông tin để hỗ trợ các mục tiêu đã nêu và thực hiện các cải tiến liên tục.

Cần phải có thông tin dạng văn bản để đảm bảo rằng quá trình được thực hiện theo kế hoạch trong việc bảo mật hệ thống thông tin.

Tài nguyên;
Năng lực;
Nhận thức;
Giao tiếp;
Thông tin dạng văn bản;
Khái quát;
Tạo và cập nhật;
Kiểm soát thông tin dạng văn bản.

➧ Vận hành

Tổ chức, doanh nghiệp phải lập kế hoạch, thực hiện và kiểm soát các quá trình của mình và lưu giữ thông tin dạng văn bản để đảm bảo rằng các rủi ro và cơ hội được xử lý đúng cách, đạt được mục tiêu bảo mật và đáp ứng các yêu cầu về an toàn thông tin.

Đánh giá rủi ro nên được thực hiện theo các khoảng thời gian đã định và dữ liệu kết quả phải được lập thành văn bản.

Lập kế hoạch và kiểm soát hoạt động;
Đánh giá rủi ro an ninh thông tin;
Xử lý rủi ro an toàn thông tin.

➧ Đánh giá hiệu suất

Tổ chức, doanh nghiệp cần phải thiết lập và đánh giá các thước đo hiệu suất về hiệu lực và hiệu quả của hệ thống quản lý.

Tổ chức, doanh nghiệp cũng cần phải tiến hành các cuộc đánh giá nội bộ độc lập theo các khoảng thời gian đã được lên kế hoạch. Mọi biện pháp khắc phục cần thiết phải được thực hiện đúng thời hạn.

Giám sát, đo lường, phân tích và đánh giá;
Kiểm toán nội bộ;
Khái quát;
Chương trình đánh giá nội bộ;
Xem xét của lãnh đạo;
Kết quả xem xét của lãnh đạo.

➧ Cải tiến

Đây là một khía cạnh quan trọng của hệ thống quản lý an toàn thông tin để đảm bảo rằng an ninh thông tin đầy đủ và hiệu quả.

Sự không phù hợp và các hành động khắc phục cần được thực hiện trên cơ sở kết quả đầu ra từ các cuộc xem xét của ban giám đốc, đánh giá nội bộ và đánh giá hoạt động.

Cải tiến liên tục;
Sự không phù hợp và hành động khắc phục.

Lợi ích của việc áp dụng ISO 27001:2022 - ISMS

Sau đây là những lợi ích quan trọng mà ISO 27001:2022 mang lại cho tổ chức, doanh nghiệp:

Việc tổ chức, doanh nghiệp tuân thủ các quy định của hệ thống ISO 27001:2022 cũng chính là tuân thủ đúng theo quy định pháp luật;
Giúp cho tổ chức, doanh nghiệp nâng cao uy tín đối với khách hàng và các đối tác trong việc đảm bảo an toàn thông tin khách hàng và dữ liệu cá nhân;
Giúp cho tổ chức, doanh nghiệp bảo vệ thông tin và dữ liệu quan trọng, từ đó tránh được nguy cơ về việc bị mất mát, ăn cắp thông tin bảo mật trong tổ chức, doanh nghiệp;
Cải thiện quy trình làm việc và nâng cao được hiệu suất của tổ chức, doanh nghiệp thông qua việc xác định được rủi ro, áp dụng biện pháp kiểm soát và tăng cường việc quản lý an ninh thông tin;
Áp dụng ISO 27001 cho thấy được cam kết của tổ chức, doanh nghiệp trong việc bảo vệ thông tin, từ đó tạo dựng được hình ảnh và sự uy tín nhất định trong các ngành công nghệ, tài chính, dịch vụ…;
Tăng khả năng cạnh tranh: ISO 27001 tạo ra được lợi thế về cạnh tranh, đặc biệt là khi các đối tác, khách hàng yêu cầu tiêu chuẩn về an ninh thông tin cao để có thể bảo vệ thông tin của họ một cách tốt nhất;
Giảm thiểu được các chi phí liên quan đến sự cố bảo mật; tối ưu hóa được nguồn lực.

Trên đây Anpha đã chia sẻ cho doanh nghiệp các thông tin liên quan về quy định, thủ tục xin cấp giấy chứng nhận ISO 27001:2022 nói riêng tương đối phức tạp.

Nếu doanh nghiệp cần tư vấn thêm thông tin hoặc cần xin giấy chứng nhận ISO 27001 có thể liên hệ Anpha theo số 0984 477 711 (Miền Bắc) - 0903 003 779 (Miền Trung) - 0908 742 789 (Miền Nam) để được tư vấn và sử dụng dịch vụ.

Trần Lan - Phòng Pháp lý Anpha