Dịch vụ chứng nhận ISO (IEC) 27001:2013 - Cấp chứng chỉ ISO 27001:2013

Dịch vụ chứng nhận ISO (IEC) 27001:2013 - Cấp chứng chỉ ISO 27001:2013

  • Dịch vụ bao gồm:

      Đào tạo tiêu chuẩn iso tại doanh nghiệp

      Quyết định sử dụng dấu chứng nhận

      Giấy chứng nhận ISO 27001:2013

ISOCERT cam kết:

icon  Thực hiện trên toàn quốc

icon  Tư vấn miễn phí 24/7

icon  Chuyên gia kinh nghiệm, thân thiện, nhiệt tình

icon  Giấy chứng nhận hiệu lực quốc tế


Đăng ký

Nhận báo giá

Chi phí đánh giá cấp giấy chứng nhận


Chứng nhận tiêu chuẩn ISO 27001:2013

Chứng nhận ISO 27001 là gì?

Chứng nhận ISO 27001:2013 là việc tổ chức chứng nhận (đánh giá bên thứ 3) đánh giá một doanh nghiệp hoặc một tổ chức áp dụng hệ thống quản lý an toàn thông tin theo các điều khoản của tiêu chuẩn ISO 27001:2013. Nếu Doanh nghiệp áp dụng hệ thống quản lý an toàn thông tin phù hợp theo các điều khoản của ISO 27001 thì tổ chức chứng nhận sẽ tiến hành cấp giấy chứng nhận ISO 27001 (chứng chỉ ISO 27001).  

Việc chứng nhận hệ thống quản lý an toàn thông tin của tổ chức, là một phương thức mang lại sự đảm bảo rằng tổ chức đó đã áp dụng hệ thống để quản lý các khía cạnh liên quan trong hoạt động, sản phẩm, dịch vụ của tổ chức, phù hợp với chính sách của tổ chức và yêu cầu của tiêu chuẩn ISO 27001 về hệ thống quản lý an toàn thông tin.

Tiêu chuẩn ISO 27001 là gì? 

Tiêu chuẩn ISO 27001 là tiêu chuẩn quốc tế về hệ thống quản lý an toàn thông tin do tổ chức tiêu chuẩn hóa quốc tế phát triển và ban hành. ISO 27001:2013 được công nhận phổ biến trên thế giới.

ISO 27001:2013 là phiên bản mới nhất chính thức thay thế phiên bản ISO 27001:2005 (đã hết hạn)

Tiêu chuẩn ISO 27001:2013 cung cấp một mô hình để thiết lập, áp dụng, vận hành, giám sát, xem xét, duy trì, cải tiến Hệ thống ISMS và có thể áp dụng cho hầu hết mọi loại hình tổ chức không phân biệt loại hình, quy mô hay bản chất như: các tổ chức kinh doanh – thương mại, chính phủ, tổ chức phi lợi nhuận.

ISO 27001 quy định những yêu cầu đối với hệ thống an ninh thông tin là cơ sở để xem xét đánh giá cấp chứng chỉ của các tổ chức chứng nhận. ISO 27001 có thể được sử dụng bởi các phòng ban nội bộ và bên ngoài để đánh giá khả năng của tổ chức trong việc đáp ứng các yêu cầu an toàn thông tin của tổ chức.

Thông qua tiêu chuẩn ISO 27001, các tổ chức có thể xây dựng và triển khai một bộ khung cho việc quản lý an toàn các tài sản thông tin của họ, bao gồm các thông tin tài chính, sở hữu trí tuệ, chi tiết về nhân sự, hoặc các thông tin đã được các khách hàng hay bên thứ ba cung cấp. Tiêu chuẩn ISO 27001 này cũng được các tổ chức chứng nhận đánh giá độc lập hệ thống quản lý an toàn thông tin (ISMS) đã được áp dụng để bảo vệ thông tin.

Hệ thống quản lý an toàn thông tin (ISMS) là gì? 

An toàn thông tin là sự bảo vệ thông tin và các hệ thống thông tin tránh bị truy nhập, sử dụng, tiết lộ, gián đoạn, sửa đổi hoặc phá hoại trái phép nhằm bảo đảm tính nguyên vẹn, tính bảo mật và tính khả dụng của thông tin.

Hệ thống quản lý an toàn thông tin (ISMS) bao gồm các chính sách, thủ tục, hướng dẫn và các nguồn lực và các hoạt động liên quan, được quản lý chung bởi một tổ chức, trong việc theo đuổi bảo vệ tài sản thông tin của mình. Một ISMS là một cách tiếp cận có hệ thống để thiết lập, thực hiện, vận hành, giám sát, soát xét, duy trì và cải thiện an toàn thông tin của tổ chức để đạt được mục tiêu nghiệp vụ. Cách tiếp cận này dựa trên đánh giá rủi ro và mức chấp nhận rủi ro được thiết kế để xử lý và quản lý rủi ro có hiệu quả. Việc phân tích các yêu cầu về bảo vệ tài sản thông tin và áp dụng các biện pháp kiểm soát thích hợp để đảm bảo việc bảo vệ các tài sản thông tin theo yêu cầu sẽ góp phần vào việc thực hiện thành công một hệ thống ISMS. Các nguyên tắc cơ bản sau đây cũng góp phần vào việc thực hiện thành công một hệ thống ISMS:

  1. a) nhận thức về sự cần thiết của an toàn thông tin;
  1. b) phân công trách nhiệm đảm bảo an toàn thông tin;
  1. c) kết hợp cam kết quản lý và lợi ích của các bên liên quan;
  1. d) nâng cao giá trị xã hội;
  1. e) việc đánh giá rủi ro quyết định các biện pháp kiểm soát thích hợp để đạt được mức độ chấp nhận rủi ro;
  1. f) hợp tác về an ninh như một yếu tố thiết yếu của mạng lưới thông tin và hệ thống;
  1. g) Ngăn chặn và phát hiện một cách tích cực các sự cố an toàn thông tin;
  1. h) đảm bảo một cách tiếp cận toàn diện để quản lý an toàn thông tin; và
  1. i) đánh giá lại liên tục an toàn thông tin và thực hiện các sửa đổi cho phù hợp.

Vì sao doanh nghiệp cần chứng nhận ISO 27001:2013?

Rủi ro liên quan đến tài sản thông tin của một tổ chức cần phải được giải quyết. Đạt được an toàn thông tin đòi hỏi phải quản lý rủi ro, bao gồm rủi ro từ các mối đe dọa liên quan về vật lý, con người và công nghệ đối với tất cả các hình thức thông tin trong tổ chức hoặc được sử dụng bởi tổ chức.

Việc áp dụng một hệ thống ISMS được trông đợi là một quyết định chiến lược cho một tổ chức và điều cần thiết là quyết định này được tích hợp nhuần nhuyễn, có mở rộng và cập nhật phù hợp với nhu cầu của tổ chức.

Việc thiết kế và thực hiện hệ thống ISMS của một tổ chức bị ảnh hưởng bởi nhu cầu và mục tiêu của tổ chức, các yêu cầu an ninh, các quy trình kinh doanh được áp dụng, quy mô và cấu trúc của tổ chức. Thiết kế và hoạt động của một hệ thống ISMS cần phản ánh lợi ích và yêu cầu an toàn thông tin của tất cả các bên liên quan đến tổ chức bao gồm khách hàng, nhà cung cấp, các đối tác kinh doanh, các cổ đông và các bên thứ ba khác có liên quan.

Trong một thế giới kết nối với nhau, thông tin và các quy trình liên quan, các hệ thống và mạng lưới là các tài sản kinh doanh quan trọng. Tổ chức và các hệ thống thông tin cũng như mạng lưới của họ phải đối mặt với các mối đe dọa an ninh từ một loạt các nguồn khác nhau, bao gồm gian lận máy tính, hoạt động gián điệp, phá hoại, hỏa hoạn và lũ lụt. Thiệt hại cho hệ thống thông tin và mạng lưới gây ra bởi mã độc hại, tin tặc máy tính và tấn công từ chối dịch vụ đã trở nên phổ biến hơn, với nhiều tham vọng hơn và ngày càng tinh vi hơn.

Hệ thống ISMS quan trọng cho các hoạt động nghiệp vụ cả khu vực công và tư. Trong bất cứ ngành nào, hệ thống ISMS tạo động lực hỗ trợ thương mại điện tử và rất cần thiết cho các hoạt động quản lý rủi ro. Việc kết nối các mạng công cộng và tư nhân, chia sẻ tài sản thông tin càng làm tăng khó khăn trong việc kiểm soát truy cập thông tin và xử lý thông tin. Ngoài ra, việc phân tán các thiết bị lưu trữ di động có chứa tài sản thông tin có thể làm giảm hiệu quả của các biện pháp kiểm soát truyền thống. Khi tổ chức áp dụng hệ thống tiêu chuẩn ISMS, họ có khả năng thể hiện việc áp dụng một cách nhất quán các nguyên tắc an toàn thông tin phù hợp tương ứng cho các đối tác kinh doanh và các bên liên quan khác.

An toàn thông tin thường không phải lúc nào cũng được tính đến khi thiết kế và phát triển hệ thống thông tin. Mặt khác, an toàn thông tin thường chỉ được coi như là một giải pháp kỹ thuật. Tuy nhiên, an toàn thông tin đạt được thông qua các phương tiện kỹ thuật có những hạn chế và có thể không có hiệu quả nếu không được hỗ trợ bởi quản lý và các thủ tục phù hợp trong khuôn khổ một hệ thống ISMS. Tích hợp an ninh vào một hệ thống thông tin sau khi đã triển khai thực tế có thể rất cồng kềnh và tốn kém. Một hệ thống ISMS liên quan đến việc xác định các biện pháp kiểm soát nào được đưa ra và yêu cầu cần lập kế hoạch cặn kẽ, chi tiết. 

Ví dụ, kiểm soát truy cập có thể về mặt kỹ thuật (logic), vật lý, hành chính (quản lý) hoặc kết hợp giữa chúng, sẽ cung cấp một phương tiện để đảm bảo quyền truy cập vào tài sản thông tin được hợp pháp và có giới hạn dựa trên các yêu cầu nghiệp vụ và an toàn thông tin.

Việc áp dụng thành công một hệ thống ISMS là điều quan trọng để bảo vệ tài sản thông tin cho phép một tổ chức:

  1. a) đảm bảo rằng thông tin của mình được bảo vệ đầy đủ chống lại các mối đe dọa liên tục;
  1. b) duy trì một bộ khung tổng thể, có cấu trúc để xác định và đánh giá rủi ro an toàn thông tin, lựa chọn và áp dụng các biện pháp kiểm soát khả dụng, đo lường và cải thiện hiệu quả của chúng;
  1. c) liên tục cải thiện môi trường kiểm soát;
  1. d) tuân thủ pháp luật và các quy định một cách hiệu quả.

Tổ chức chứng nhận ISO 27001

Tổ chức chứng nhận ISO 27001 là tổ chức chứng nhận được chỉ định cấp phép trong lĩnh vực hoạt động chứng nhận đánh giá sự phù hợp. Tổ chức chứng nhận này phải được cơ quan nhà nước (như tổng cục tiêu chuẩn đo lường chất lượng, bộ khoa học công nghệ) có thẩm quyền cấp phép cho tổ chức chứng nhận này hoạt động đánh giá sự phù hợp đối với sản phẩm, hàng hóa, quá trình sản xuất, cung ứng dịch vụ, môi trường,...Theo nghị định 107/2016/NĐ-CP. 

Điều kiện để được cấp chứng nhận ISO 27001

Điều kiện thứ 1: Xây dựng áp dụng tiêu chuẩn ISO 27001

Các công việc xây dựng áp dụng tiêu chuẩn ISO 27001 được tóm tắt các bước như sau:

  • Khởi động dự án ISO 27001

Thi hành ISO 27001:2013 dưới các hình thức: ủng hộ cam kết từ lãnh đạo cấp cao, chọn và đào tạo tất cả các thành viên của nhóm khởi động là một phần trong dự án.

  • Thành lập ban ISO 27001 (ISMS)

Nhận dạng phạm vi và giới hạn của cơ cấu quản lý an ninh thông tin là cốt lõi cho dự án. Nghiên cứu để thiết lập yêu cầu của ISMS và sắp xếp các tài liệu an ninh đã tồn tại trong tổ chức.

  • Đào tạo và nhận thức cơ bản về ISO 27001

Nhân viên có thể giới thiệu các liên kết yếu trong chuỗi an ninh. Nghiên cứu cách làm thế nào để thiết lập chương trình nhận thức an ninh thông tin.

  • Áp dụng hệ thống quản lý an toàn thông tin theo yêu cầu tiêu chuẩn ISO 27001:2013 
  • Thực hiện đánh giá nội bộ lần 1
  • Khắc phục sự không phù hợp
  • Họp xem xét lãnh đạo
  • Thực hiện hành động khắc phục phòng ngừa và cải tiến: xem xét và tổng kết nhằm đưa ra các phương pháp áp dụng hệ thống hiệu quả.
  • Đánh giá nội bộ lần 2 xem xét tính hiệu lực và hiệu quả của hệ thống, xem lại hệ thống quản lý an toàn thông tin lần cuối trước khi đăng ký chứng nhận

Điều kiện thứ 2: Đăng ký cấp chứng nhận ISO 27001 

Đăng ký cấp chứng nhận ISO 27001 tại tổ chức chứng nhận. Sau khi đăng ký xong tổ chức chứng nhận sẽ tiến hành đánh giá hệ thống quản lý an toàn thông tin  theo tiêu chuẩn ISO 27001. Nếu hệ thống quản lý an toàn thông tin của doanh nghiệp phù hợp các yêu cầu của tiêu chuẩn ISO 27001 thì tổ chức chứng nhận sẽ cấp cho doanh nghiệp giấy chứng nhận ISO 27001 (chứng chỉ ISO 27001). 

Điều kiện thứ ba: Duy trì hệ thống và hiệu lực chứng nhận ISO 27001.

Tiếp tục duy trì thực hiện hệ thống quản lý an toàn thông tin theo yêu cầu của tiêu chuẩn ISO 27001 và hiệu lực của giấy chứng nhận ISO 27001. Sau khi đạt được chứng nhận ISO 27001; doanh nghiệp cần thường xuyên cải tiến và duy trì việc áp dụng hệ thống.

Hiệu lực của chứng nhận ISO 27001

Chứng nhận ISO 27001 có hiệu lực trong bao lâu?

Hiệu lực của giấy chứng nhận ISO 27001 là chỉ khoảng thời gian từ ngày cấp chứng nhận ISO 27001 đến ngày hết hạn của giấy chứng nhận ISO 27001 có giá trị pháp lý bắt buộc doanh nghiệp phải thi hành thì chứng nhận ISO 27001 mới có giá trị trong thời gian đó. 

Hầu hết các chứng nhận ISO có hiệu lực trong 3 năm kể từ ngày cấp. Chứng nhận ISO 27001 cũng vậy. Trong 3 năm đó, tổ chức chứng nhận sẽ tiến hành đánh giá giám sát hệ thống quản lý an toàn thông tin của doanh nghiệp. Mỗi năm một lần.

Giấy chứng nhận ISO 27001 bị thu hồi trong trường hợp nào?

Trường hợp doanh nghiệp không thi hành (áp dụng, vận hành hệ thống theo tiêu chuẩn ISO 27001) thì hiệu lực của giấy chứng nhận ISO 27001 không có giá trị sẽ bị tổ chức chứng nhận thu hồi. Nhiều doanh nghiệp sau khi đạt chứng nhận ISO 27001 đã không duy trì áp dụng hệ thống dẫn đến hoạt động trì trệ, vận hành sai, khi tổ chức chứng nhận giám sát rất có thể doanh nghiệp bị thu hồi và hiệu lực của giấy chứng nhận không còn giá trị.

Chi phí chứng nhận ISO 27001 

Với mỗi doanh nghiệp khác nhau thì chi phí chứng nhận ISO 27001 là khác nhau bởi chi phí tùy thuộc vào quy mô, phạm vi, số lượng sản phẩm của doanh nghiệp, chi phí xây dựng áp dụng và chi phí nhân sự tham gia, chi phí đăng ký,...

Do đó, các doanh nghiệp nên hoạch định rõ kinh phí sao cho phù hợp với doanh nghiệp mình. 

Doanh nghiệp có thể tham khảo chi phí chứng nhận ISO 27001 tại ISOCERT với giá tốt nhất, dịch vụ uy tín, 

Thời gian cấp chứng nhận ISO 27001

Thời gian xây dựng và áp dụng tiêu chuẩn ISO 27001

Tùy theo thời gian thực hiện áp dụng tiêu chuẩn ISO 27001 của doanh nghiệp, nhiều doanh nghiệp triển khai thực hiện 3 đến 6 tháng, có nhiều doanh nghiệp khoảng thời gian này có thể lớn hơn. 

Thời gian cấp Chứng chỉ ISO 27001:2013

Thời gian cấp chứng nhận ISO 27001 thông thường ngắn hơn quãng thời gian thực hiện. Sau khi đăng ký chứng nhận ISO tổ chức chứng nhận sẽ tiến hành điều chuyên gia có trình độ chuyên môn phù hợp xuống đánh giá hệ thống của doanh nghiệp. 

Nếu kết quả đánh giá hệ thống quản lý an toàn thông tin của doanh nghiệp phù hợp với yêu cầu của tiêu chuẩn ISO 27001 thì doanh nghiệp sẽ được cấp giấy chứng nhận sau đó vài ngày.

Nếu kết quả đánh giá hệ thống quản lý của doanh nghiệp không phù hợp với yêu cầu của tiêu chuẩn ISO 27001 thì doanh nghiệp sẽ phải tiến hành khắc phục hành động không phù hợp trong vòng 3 đến 6 tháng mà doanh nghiệp không khắc phục được thì quá trình đánh giá sẽ kết thúc và doanh nghiệp không được cấp chứng nhận ISO 27001.

Thời gian cấp chứng chỉ ISO 27001 còn phụ thuộc vào năng lực của tổ chức chứng nhận. Nếu tổ chức chứng nhận có đầy đủ, số lượng chuyên gia, trình độ chuyên môn phù hợp thì thời gian này sẽ được rút ngắn. 

Lợi ích khi doanh nghiệp đạt chứng nhận ISO 27001

Lợi ích của việc thực hiện một hệ thống ISMS chủ yếu là kết quả của việc giảm thiểu rủi ro an toàn thông tin (tức là giảm khả năng và /hoặc tác động gây ra bởi sự cố an toàn thông tin). Đặc biệt, lợi ích thực tế cho một tổ chức để đạt được thành công bền vững từ việc áp dụng hệ thống tiêu chuẩn ISMS bao gồm:

  1. a) Một bộ khung có cấu trúc hỗ trợ quy trình xác định, thực hiện, vận hành và duy trì một hệ thống ISMS toàn diện, hiệu quả, có giá trị, được tích hợp và sắp xếp nhằm đáp ứng nhu cầu của tổ chức trong các hoạt động và tại các địa điểm khác nhau;
  1. b) Hỗ trợ nhà quản lý trong việc quản lý thống nhất và hoạt động một cách có trách nhiệm hướng về quản lý an toàn thông tin, trong ngữ cảnh quản lý rủi ro và quản trị doanh nghiệp, bao gồm cả giáo dục đào tạo cho chủ sở hữu hệ thống về quản lý an toàn thông tin toàn diện;
  1. c) Thúc đẩy việc chấp nhận toàn cầu về thực hành an toàn thông tin hữu hiệu theo cách không chính tắc, cho phép các tổ chức cơ hội áp dụng và cải thiện các biện pháp kiểm soát liên quan phù hợp với hoàn cảnh cụ thể của họ và để duy trì chúng khi đối mặt với những thay đổi trong nội bộ và từ bên ngoài;
  1. d) Cung cấp một ngôn ngữ chung và nền tảng nhận thức về an toàn thông tin, tạo khả năng thuận lợi để tạo sự tin cậy trong các đối tác kinh doanh với một hệ thống ISMS phù hợp, đặc biệt là khi họ yêu cầu giấy chứng nhận phù hợp tiêu chuẩn TCVN ISO/IEC 27001 bởi một cơ quan chứng nhận được công nhận;
  1. e) Tăng sự tin tưởng của các bên liên quan với tổ chức;
  1. f) Đáp ứng nhu cầu và kỳ vọng của xã hội;
  1. g) Quản lý kinh tế hiệu quả hơn với các khoản đầu tư an toàn thông tin.

 

STTTài liệu liên quan
1Tải Phiếu Đăng ký chứng nhận Tải form đăng ký
2Quy định nguyên tắc và điều kiện chứng nhận Tải form đăng ký
3Hướng dẫn sử dụng dấu chứng nhận Tải form đăng ký
4Thủ tục khiếu nại + kháng nghị 
5Hướng dẫn mở rộng, thu hối phạm vi CN Tải form đăng ký
6Danh sách đình chỉ chứng nhận

 

 

Quy trình chứng nhận iso 9001

13 đánh giá

Bình luận
ajax-loader