Quy trình chứng nhận ISO/IEC 27001 về cơ bản giống như quy trình chứng nhận tiêu chuẩn ISO 9001 và các hệ thống quản lý khác. Quy trình này là một cuộc đánh giá độc lập ISMS (Hệ thống quản lý an ninh thông tin) của tổ chức chứng nhận chia làm ba giai đoạn chính:

1. Pre-audit:

Tiền đánh giá – khi đã ký hợp đồng chứng nhận với một Tổ chức chứng nhận được công nhận, tổ chức chứng nhận sẽ yêu cầu bạn gửi bản sao tài liệu ISMS, sổ tay chính sách vv và có thể yêu cầu một buổi làm việc ngắn tại cơ sở của bạn để giới thiệu tổ chức và xác định các đầu mối liên lạc cho giai đoạn tiếp theo. Khi bạn đã sẵn sàng, họ sẽ tổ chức đánh giá chứng nhận theo thoả thuận.

2. Certification audit:

Đánh giá cấp chứng nhận – bản thân giai đoạn này chính là một cuộc đánh giá chính thức. Một hoặc nhiều chuyên gia đánh giá từ các Tổ chức chứng nhận sẽ đến cơ sở của tổ chức bạn, làm việc theo cách của họ một cách hệ thống thông qua bản danh sách đánh giá, kiểm tra mọi thứ. Họ sẽ kiểm tra chính sách ISMS của bạn, tiêu chuẩn và quy trình đối với các yêu cầu đặt ra trong tiêu chuẩn ISO/IEC 27001, và cũng có thể tìm kiếm bằng chứng chứng minh tổ chức của bạn thực hiện theo hệ thống tài liệu trong thực tế (hay nói cách khác, câu nói ưa thích của chuyên gia đánh giá chính là “Chỉ cho tôi!”). Họ sẽ thu thập và đánh giá chứng cứ bao gồm các sản phẩm được sản xuất theo các quy trình ISMS (như hồ sơ cho phép người sử dụng nhất định có quyền truy cập nhất định đến hệ thống nhất định, hoặc biên bản cuộc họp của lãnh đạo xác nhận phê duyệt các chính sách) hoặc bằng cách quan sát trực tiếp quá trình ISMS trong các hoạt động thực tế.

3. Post-audit:

Báo cáo đánh giá – kết quả của cuộc đánh giá sẽ được báo cáo chính thức cho ban lãnh đạo. Tùy thuộc vào cách thức thực hiện đánh giá trên thực tế và theo các quá trình đánh giá chuẩn của chuyên gia đánh giá, các chuyên gia sẽ nêu lên các vấn đề sau (theo thứ tự tăng dần về mức độ nghiêm trọng):

+ Observation: Điểm quan sát – các khuyến nghị hoặc các vấn đề tiềm năng trong tương lai được khuyên để tâm xem xét;

+ Minor noncompliance: Điểm không phù hợp nhẹ – đây là những điểm không phù hợp mà tổ chức phải giải quyết, nó là điều kiện để cấp chứng nhận. Tổ chức chứng nhận có thể đưa ra hoặc không đưa ra những kiến nghị khắc phục các điểm không phù hợp nhẹ này. Họ cũng có thể chính thức kiểm tra xem các điểm không phù hợp nhẹ đó đã được giải quyết hay chưa, hoặc không mà dựa trên báo cáo khắc phục tổ chức được đánh giá. Họ sẽ dành cho tổ chức được đánh giá một khoảng thời gian để giải quyết vấn đề và tiếp tục xin cấp chứng nhận, nhưng dù áp dụng cách nào trong hai cách trên, thì gần như chắc chắn là tổ chức chứng nhận đó muốn xác nhận rằng mọi thứ đã được giải quyết trước lần đánh giá chứng nhận tiếp theo.

+ Major noncompliance: Điểm không phù hợp nặng – đó là những điểm có thể kết thúc quá trình chứng nhận, là một vấn đề quan trọng và có nghĩa là tổ chức không thể nhận được chứng nhận ISO/IEC 27001 cho đến khi giải quyết xong những điểm không phù hợp này. Tổ chức chứng nhận có thể kiến nghị cách thức giải quyết các điểm không phù hợp đó và sẽ yêu cầu tổ chức được chứng nhận đưa ra những bằng chứng tích cực chứng minh các điểm không phù hợp đó đã được giải quyết triệt để trước khi cấp chứng nhận. Cuộc đánh giá có thể sẽ bị đình chỉ nếu xác định được một điểm không phù hợp nặng để cho tổ chức cơ hội sửa chữa vấn đề trước khi tiếp tục đánh giá.

Sau lần đánh giá chứng nhận ban đầu sẽ có những cuộc đánh giá định kỳ tiếp theo (thường được gọi là “đánh giá giám sát”, đôi khi được gọi là CAVs ” Đánh giá liên tục”, vv) trong thời gian tổ chức vẫn lựa chọn duy trì chứng nhận. Chứng nhận có giá trị trong ba năm, do vậy, sẽ có một cuộc đánh giá cấp lại chứng nhận sau ba năm.

Để yêu cầu dịch vụ tư vấn và đào tạo ISO 27001 - Hãy liên hệ ngay với chúng tôi:

CÔNG TY TNHH ITVC TOÀN CẦU

Tầng 6 Tòa nhà Thương mại, Số 22 Lý Tự Trọng, Phường Minh Khai, Quận Hồng Bàng, TP Hải Phòng.

Tel: 02253 261 208 - Hotline: 0914 564 579

Fax: 02253 292 718

Email: itvc.haiphong@itvc-global.com