Quy trình, thủ tục chứng nhận hệ thống quản lý ATTT gồm các bước xây dựng hệ thống ISO 27001: 2013 như sau:
Bước 1: Đăng ký chứng nhận ISO 27001
Để được cấp giấy chứng nhận ISO 27001 hợp lệ, doanh nghiệp phải tiến hành đăng ký chứng nhận với tổ chức chứng nhận IS0 27001. Ở bước đầu tiên này, doanh nghiệp cần khai báo các thông tin cần thiết theo yêu cầu, biểu mẫu mà tổ chức chứng nhận cung cấp để hoàn thiện hồ sơ đăng ký chứng nhận ISO 27001.
Bước 2: Xem xét hợp đồng và chuẩn bị đánh giá ISO 27001
Sau khi tiếp nhận đơn đăng ký chứng nhận ISO 27001 của doanh nghiệp, tổ chức chứng nhận sẽ gửi hợp đồng đánh giá chứng nhận trong đó có kế hoạch và chi phí chứng nhận cho doanh nghiệp. Ở bước này doanh nghiệp cần xem xét và chuẩn bị đánh giá chứng nhận
Bước 3: Đánh giá giai đoạn 1 (Stage 1 Audit)
Đánh giá giai đoạn 1 là đánh giá sơ bộ. Đánh giá viên sẽ xem xét tài liệu của bạn để kiểm tra xem hệ thống ISMS đã được phát triển phù hợp với tiêu chuẩn ISO 27001 hay chưa. Doanh nghiệp sẽ phải trình bày bằng chứng về tất cả các khía cạnh quan trọng của ISMS theo yêu cầu của tổ chức chứng nhận
Bước 4: Đánh giá giai đoạn 2 (Stage 2 Audit)
Đánh giá giai đoạn 2 được tiến hành một cách lỹ lưỡng hơn. Tổ chức chứng nhận sẽ cử chuyên gia xuống trực tiếp cơ sở để đánh giá thực trạng tuân thủ hệ thống quản lý chất lượng ISO 27001 của doanh nghiệp. Kết thúc quá trình đánh giá, một báo cáo đánh giá sẽ được gửi tới doanh nghiệp, trong đó ghi chép lại những điểm chưa tuân thủ tiêu chuẩn để doanh nghiệp khắc phục trong thời gian quy định
Bước 5: Thẩm xét hồ sơ ISO 27001
Ngoài hoạt động đánh giá hiện trường, tổ chức chứng nhận sẽ tiến hành rà soát, thẩm duyệt kỹ càng hơn các tài liệu, quy trình, văn bản của doanh nghiệp để chắc chắn rằng tiêu chuẩn ISO 27001 được áp dụng một cách hợp chuẩn. Tổ chức chứng nhận có quyền yêu cầu doanh nghiệp bổ sung tài liệu khi cần thiết
Bước 6: Cấp chứng chỉ ISO 27001 có hiệu lực trong vòng 3 năm
Tổ chức chứng nhận sẽ cấp giấy chứng nhận ISO 27001 có hiệu lực trong vòng 03 năm cho doanh nghiệp sau khi xác minh doanh nghiệp đã hoàn thiện hành động khắc phục (nếu có)
Bước 7: Đánh giá giám sát định kỳ 2 lần trong 3 năm
Chứng chỉ ISO 27001 sẽ được duy trì giá trị nguyên vẹn trong vòng 3 năm với điều kiện doanh nghiệp phải hoàn thành các cuộc đánh giá giám sát định kỳ theo kế hoạch của tổ chức chứng nhận. Thông thường, đánh giá giám sát sẽ được thực hiện 1 năm/lần, có nghĩa là trong 3 năm, doanh nghiệp sẽ phải trải qua 2 cuộc giám sát. Nếu trong những lần đánh giá giám sát này, tổ chức chứng nhận phát hiện các vi phạm nghiêm trọng hoặc các lỗi sai không được khắc phục kịp thời thì chứng chỉ ISO 27001 của doanh nghiệp sẽ bị thu hồi lại.
Bước 8: Đánh giá tái chứng nhận sau 3 năm
Như đã nói ở trên, chứng chỉ ISO 27001 không phải có hiệu lực vô thời hạn mà chỉ có giá trị trong vòng 3 năm kể từ ngày cấp chứng nhận nên sau thời hạn 3 năm, giấy chứng nhận của doanh nghiệp sẽ vô giá trị. Lúc này, nếu vẫn có nhu cầu sở hữu chứng nhận ISO 27001 thì doanh nghiệp phải tiến hành đánh giá chứng nhận lại.
CHI PHÍ CHỨNG NHẬN ISO 27001
1. Những yếu tố quyết định tới chi phí chứng nhận ISO 27001
Để hoàn thành chứng nhận ISO 27001, doanh nghiệp cần bỏ ra chi phí bao nhiêu? Thực tế, rất khó để có thể trả lời câu hỏi này một cách cụ thể bởi chi phí đánh giá ISO 27001 phụ thuộc vào nhiều yếu tố. Cụ thể chi phí chứng nhận phụ thuộc vào số ngày công đánh giá cho từng giai đoạn, mà số ngày công đánh giá lại được tính toán dựa trên 3 yếu tố cơ bản sau đây:
Quy mô: Tổng số nhân sự hoạt động và làm việc tại các địa điểm cần đánh giá
Phạm vi hoạt động: Lĩnh vực hoạt động của doanh nghiệp (Ví dụ: Sản xuất phần mềm, thiết kế nền tảng trên không gian mạng, cung cấp giải pháp an ninh mạng,…)
Địa điểm: Số lượng địa điểm đăng ký đánh giá chứng nhận
Vì thế mà các doanh nghiệp khác nhau sẽ có chi phí chứng nhận ISO 27001 không giống nhau.
2. Chi phí chứng nhận ISO 27001 gồm những gì?
Vậy chi phí chứng nhận ISO 27001:2013 bao gồm các khoản phí nào? Thông thường, một báo phí chứng nhận ISO 27001 trọn gói sẽ bao gồm 3 khoản phí cơ bản sau:
Thứ nhất là Chi phí năm chứng nhận bao gồm:
Chi phí đánh giá & xem xét tài liệu Giai đoạn 1
Chi phí đánh giá chính thức & viết báo cáo Giai đoạn 2
Chi phí đăng ký dấu công nhận
Thứ hai là Chi phí năm giám sát năm thứ nhất
Chi phí đánh giá giám sát lần 1
Chi phí báo cáo đánh giá lần 1
Thứ ba là Chi phí năm giám sát năm thứ hai
Chi phí đánh giá giám sát lần 2
Chi phí báo cáo đánh giá lần 2
Bước 1: Đăng ký chứng nhận ISO 27001
Để được cấp giấy chứng nhận ISO 27001 hợp lệ, doanh nghiệp phải tiến hành đăng ký chứng nhận với tổ chức chứng nhận IS0 27001. Ở bước đầu tiên này, doanh nghiệp cần khai báo các thông tin cần thiết theo yêu cầu, biểu mẫu mà tổ chức chứng nhận cung cấp để hoàn thiện hồ sơ đăng ký chứng nhận ISO 27001.
Bước 2: Xem xét hợp đồng và chuẩn bị đánh giá ISO 27001
Sau khi tiếp nhận đơn đăng ký chứng nhận ISO 27001 của doanh nghiệp, tổ chức chứng nhận sẽ gửi hợp đồng đánh giá chứng nhận trong đó có kế hoạch và chi phí chứng nhận cho doanh nghiệp. Ở bước này doanh nghiệp cần xem xét và chuẩn bị đánh giá chứng nhận
Bước 3: Đánh giá giai đoạn 1 (Stage 1 Audit)
Đánh giá giai đoạn 1 là đánh giá sơ bộ. Đánh giá viên sẽ xem xét tài liệu của bạn để kiểm tra xem hệ thống ISMS đã được phát triển phù hợp với tiêu chuẩn ISO 27001 hay chưa. Doanh nghiệp sẽ phải trình bày bằng chứng về tất cả các khía cạnh quan trọng của ISMS theo yêu cầu của tổ chức chứng nhận
Bước 4: Đánh giá giai đoạn 2 (Stage 2 Audit)
Đánh giá giai đoạn 2 được tiến hành một cách lỹ lưỡng hơn. Tổ chức chứng nhận sẽ cử chuyên gia xuống trực tiếp cơ sở để đánh giá thực trạng tuân thủ hệ thống quản lý chất lượng ISO 27001 của doanh nghiệp. Kết thúc quá trình đánh giá, một báo cáo đánh giá sẽ được gửi tới doanh nghiệp, trong đó ghi chép lại những điểm chưa tuân thủ tiêu chuẩn để doanh nghiệp khắc phục trong thời gian quy định
Bước 5: Thẩm xét hồ sơ ISO 27001
Ngoài hoạt động đánh giá hiện trường, tổ chức chứng nhận sẽ tiến hành rà soát, thẩm duyệt kỹ càng hơn các tài liệu, quy trình, văn bản của doanh nghiệp để chắc chắn rằng tiêu chuẩn ISO 27001 được áp dụng một cách hợp chuẩn. Tổ chức chứng nhận có quyền yêu cầu doanh nghiệp bổ sung tài liệu khi cần thiết
Bước 6: Cấp chứng chỉ ISO 27001 có hiệu lực trong vòng 3 năm
Tổ chức chứng nhận sẽ cấp giấy chứng nhận ISO 27001 có hiệu lực trong vòng 03 năm cho doanh nghiệp sau khi xác minh doanh nghiệp đã hoàn thiện hành động khắc phục (nếu có)
Bước 7: Đánh giá giám sát định kỳ 2 lần trong 3 năm
Chứng chỉ ISO 27001 sẽ được duy trì giá trị nguyên vẹn trong vòng 3 năm với điều kiện doanh nghiệp phải hoàn thành các cuộc đánh giá giám sát định kỳ theo kế hoạch của tổ chức chứng nhận. Thông thường, đánh giá giám sát sẽ được thực hiện 1 năm/lần, có nghĩa là trong 3 năm, doanh nghiệp sẽ phải trải qua 2 cuộc giám sát. Nếu trong những lần đánh giá giám sát này, tổ chức chứng nhận phát hiện các vi phạm nghiêm trọng hoặc các lỗi sai không được khắc phục kịp thời thì chứng chỉ ISO 27001 của doanh nghiệp sẽ bị thu hồi lại.
Bước 8: Đánh giá tái chứng nhận sau 3 năm
Như đã nói ở trên, chứng chỉ ISO 27001 không phải có hiệu lực vô thời hạn mà chỉ có giá trị trong vòng 3 năm kể từ ngày cấp chứng nhận nên sau thời hạn 3 năm, giấy chứng nhận của doanh nghiệp sẽ vô giá trị. Lúc này, nếu vẫn có nhu cầu sở hữu chứng nhận ISO 27001 thì doanh nghiệp phải tiến hành đánh giá chứng nhận lại.
CHI PHÍ CHỨNG NHẬN ISO 27001
1. Những yếu tố quyết định tới chi phí chứng nhận ISO 27001
Để hoàn thành chứng nhận ISO 27001, doanh nghiệp cần bỏ ra chi phí bao nhiêu? Thực tế, rất khó để có thể trả lời câu hỏi này một cách cụ thể bởi chi phí đánh giá ISO 27001 phụ thuộc vào nhiều yếu tố. Cụ thể chi phí chứng nhận phụ thuộc vào số ngày công đánh giá cho từng giai đoạn, mà số ngày công đánh giá lại được tính toán dựa trên 3 yếu tố cơ bản sau đây:
Quy mô: Tổng số nhân sự hoạt động và làm việc tại các địa điểm cần đánh giá
Phạm vi hoạt động: Lĩnh vực hoạt động của doanh nghiệp (Ví dụ: Sản xuất phần mềm, thiết kế nền tảng trên không gian mạng, cung cấp giải pháp an ninh mạng,…)
Địa điểm: Số lượng địa điểm đăng ký đánh giá chứng nhận
Vì thế mà các doanh nghiệp khác nhau sẽ có chi phí chứng nhận ISO 27001 không giống nhau.
2. Chi phí chứng nhận ISO 27001 gồm những gì?
Vậy chi phí chứng nhận ISO 27001:2013 bao gồm các khoản phí nào? Thông thường, một báo phí chứng nhận ISO 27001 trọn gói sẽ bao gồm 3 khoản phí cơ bản sau:
Thứ nhất là Chi phí năm chứng nhận bao gồm:
Chi phí đánh giá & xem xét tài liệu Giai đoạn 1
Chi phí đánh giá chính thức & viết báo cáo Giai đoạn 2
Chi phí đăng ký dấu công nhận
Thứ hai là Chi phí năm giám sát năm thứ nhất
Chi phí đánh giá giám sát lần 1
Chi phí báo cáo đánh giá lần 1
Thứ ba là Chi phí năm giám sát năm thứ hai
Chi phí đánh giá giám sát lần 2
Chi phí báo cáo đánh giá lần 2
