Ameba Ownd

アプリで簡単、無料ホームページ作成

Giải pháp thuế

Thủ tục, quy định cấp chứng nhận, chứng chỉ iso 27001:2022

2026.01.12 03:47

Tiêu chuẩn ISO 27001:2022 là gì? ISMS là gì? Thủ tục, quy định cấp chứng nhận, chứng chỉ ISO 27001:2022? Lợi ích đối với doanh nghiệp áp dụng ISO 27001. Kế toán Anpha sẽ chia sẻ chi tiết cho doanh nghiệp trong bài viết này.

Tiêu chuẩn ISO, chứng nhận ISO 27001 là gì? ISMS là gì?

ISO 27001 là bộ tiêu chuẩn quốc tế về hệ thống quản lý an ninh thông tin (ISMS) cho các tổ chức, doanh nghiệp, được phát triển bởi Tổ chức Tiêu chuẩn hóa quốc tế (International Organization for Standardization, viết tắt là ISO).

Chứng nhận ISO 27001 chính là hoạt động đánh giá chứng nhận do tổ chức chứng nhận được cấp phép hiện nhằm đánh giá sự phù hợp của doanh nghiệp theo tiêu chuẩn.

Giấy chứng nhận (chứng chỉ) ISO 27001:2022 được cấp cho tổ chức, doanh nghiệp đáp ứng được sự phù hợp của bộ tiêu chuẩn ISO 27001:2022.

Hiện nay, bộ tiêu chuẩn ISO 27001 có 3 phiên bản, trong đó:

  1. Phiên bản lần đầu tiên được phát hành vào năm 2005 là ISO 27001:2005;
  2. Phiên bản lần thứ hai được phát hành vào năm 2013 là ISO 27001:2013;
  3. Phiên bản lần thứ ba được phát hành vào năm 2022 là ISO 27001:2022 - cũng là phiên bản mới nhất hiện nay.

Quy trình, thủ tục cấp chứng nhận ISO 27001:2022

1. Hồ sơ xin cấp chứng nhận ISO 27001:2022

Thành phần hồ sơ xin cấp giấy chứng nhận ISO 27001:2022 gồm có:

2. Quy trình cấp giấy chứng nhận ISO 27001:2022

Để được cấp giấy chứng nhận ISO 27001:2022 thì tổ chức, doanh nghiệp cần thực hiện các bước như sau:

Sau khi nhận được kết quả đánh giá từ chuyên gia đánh giá chứng nhận, tổ chức chứng nhận tiến hành thẩm định hồ sơ và cấp giấy chứng nhận cho doanh nghiệp đạt chuẩn;

Giấy chứng nhận ISO 27001:2022 sẽ có thời hạn là 3 năm và có yêu cầu giám sát tối thiểu là 1 năm/lần.

Lưu ý:

Tổ chức cấp giấy chứng nhận ISO sẽ thực hiện đánh giá giám sát và thực hiện chứng nhận lại theo định kỳ.

Giấy chứng nhận chỉ có hiệu lực trong 3 năm, do vậy mà khi hết thời hạn này, tổ chức chứng nhận sẽ phải tiến hành đánh giá lại doanh nghiệp. Nếu đáp ứng yêu cầu của các tiêu chí đánh giá, tổ chức chứng nhận sẽ cấp cho doanh nghiệp 1 giấy chứng nhận mới có thời hạn 3 năm.

Quy định về tiêu chuẩn ISO 27001:2022 - Hệ thống quản lý an toàn thông tin

1. Về đối tượng áp dụng tiêu chuẩn ISO 27001:2022

Áp dụng cho mọi doanh nghiệp, không phân biệt loại hình và quy mô sản xuất kinh doanh. Tuy nhiên ISO 27001 sẽ tập trung vào các tổ chức hoạt động trong lĩnh vực công nghệ thông tin, bưu chính, truyền thông… hay các tổ chức có hoạt động sản xuất kinh doanh với những yêu cầu khắt khe về độ chính xác, tính kịp thời và tính bảo mật về thông tin.

2. Về thời gian áp dụng tiêu chuẩn ISO 27001:2022

Thời gian áp dụng sẽ phụ thuộc vào loại hình, quy mô, mức độ phức tạp, sản phẩm, dịch vụ cung cấp của tổ chức, doanh nghiệp.

3. Tiêu chuẩn cần đáp ứng để được cấp chứng nhận ISO 27001:2022

Tiêu chuẩn của ISO 27001:2022 được xây dựng theo cấu trúc bậc cao với 10 điều khoản tương ứng với 10 yêu cầu mà một tổ chức, doanh nghiệp cần phải thực hiện để có thể được cấp chứng nhận.

10 điều khoản tương ứng với 10 yêu cầu bao gồm:

➧ Phạm vi:

Chỉ định các yêu cầu ISMS chung phù hợp với các tổ chức, doanh nghiệp thuộc bất kỳ loại hình, quy mô hay tính chất nào.

➧ Tài liệu tham khảo

➧ Thuật ngữ và định nghĩa

➧ Bối cảnh của tổ chức

Điều quan trọng là tổ chức, doanh nghiệp xin cấp chứng nhận ISO 27001 phải hiểu được bối cảnh của tổ chức và xác định phạm vi của ISMS. Từ đó, xác định được ranh giới và khả năng áp dụng của ISMS để thiết lập phạm vi của nó.

Bối cảnh có thể bao gồm con người và các hoạt động khác được thực hiện ở nhiều cấp độ khác nhau, bao gồm:

➧ Lãnh đạo

Ban lãnh đạo cần phải thiết lập các chính sách và thủ tục liên quan đến an toàn thông tin. Các mục tiêu chính, khả năng áp dụng và khả năng tương thích với định hướng chiến lược phải đảm bảo rằng an toàn thông tin là ưu tiên hàng đầu của tổ chức, doanh nghiệp:

➧ Lập kế hoạch

Giai đoạn này được thực hiện sau khi xác định rủi ro và mối đe dọa trong hệ thống quản lý thông tin. Tổ chức, doanh nghiệp sẽ thực hiện đánh giá rủi ro hoàn chỉnh, sau đó sẽ lập kế hoạch áp dụng các chiến lược để giảm hoặc loại bỏ đi rủi ro - một tuyên bố đầy đủ về khả năng áp dụng để kiểm soát rủi ro để thực hiện các tiêu chuẩn của ISO 27001.

➧ Hỗ trợ

Tổ chức, doanh nghiệp cần cung cấp các nguồn lực, năng lực của nhân viên và giao tiếp theo yêu cầu của hệ thống quản lý an toàn thông tin để hỗ trợ các mục tiêu đã nêu và thực hiện các cải tiến liên tục.

Cần phải có thông tin dạng văn bản để đảm bảo rằng quá trình được thực hiện theo kế hoạch trong việc bảo mật hệ thống thông tin.

➧ Vận hành

Tổ chức, doanh nghiệp phải lập kế hoạch, thực hiện và kiểm soát các quá trình của mình và lưu giữ thông tin dạng văn bản để đảm bảo rằng các rủi ro và cơ hội được xử lý đúng cách, đạt được mục tiêu bảo mật và đáp ứng các yêu cầu về an toàn thông tin.

Đánh giá rủi ro nên được thực hiện theo các khoảng thời gian đã định và dữ liệu kết quả phải được lập thành văn bản.

➧ Đánh giá hiệu suất

Tổ chức, doanh nghiệp cần phải thiết lập và đánh giá các thước đo hiệu suất về hiệu lực và hiệu quả của hệ thống quản lý.

Tổ chức, doanh nghiệp cũng cần phải tiến hành các cuộc đánh giá nội bộ độc lập theo các khoảng thời gian đã được lên kế hoạch. Mọi biện pháp khắc phục cần thiết phải được thực hiện đúng thời hạn.

➧ Cải tiến

Đây là một khía cạnh quan trọng của hệ thống quản lý an toàn thông tin để đảm bảo rằng an ninh thông tin đầy đủ và hiệu quả.

Sự không phù hợp và các hành động khắc phục cần được thực hiện trên cơ sở kết quả đầu ra từ các cuộc xem xét của ban giám đốc, đánh giá nội bộ và đánh giá hoạt động.

Cải tiến liên tục;

Sự không phù hợp và hành động khắc phục.

Lợi ích của việc áp dụng ISO 27001:2022 - ISMS

Sau đây là những lợi ích quan trọng mà ISO 27001:2022 mang lại cho tổ chức, doanh nghiệp:

Giảm thiểu được các chi phí liên quan đến sự cố bảo mật; tối ưu hóa được nguồn lực.