Tiêu chuẩn Quốc gia TCVN ISO/IEC 27006:2017 ISO/IEC 27006:2015 Công nghệ thông tin-Các kỹ thuật an toàn-Yêu cầu đối với tổ chức đánh giá và chứng nhận hệ thống quản lý an toàn thông tin

TIÊU CHUẨN QUỐC GIA

TCVN ISO/IEC 27006:2017

ISO/IEC 27006:2015

CÔNG NGHỆ THÔNG TIN - CÁC KỸ THUẬT AN TOÀN - YÊU CẦU ĐỐI VỚI TỔ CHỨC ĐÁNH GIÁ VÀ CHỨNG NHẬN HỆ THỐNG QUẢN LÝ AN TOÀN THÔNG TIN

Information technology - Security techniques - Requirements for bodies providing audit and certification of information security management systems

Lời nói đầu

TCVN ISO/IEC 27006:2017 hoàn toàn tương đương ISO/IEC 27006:2015.

TCVN ISO/IEC 27006:2017 do Học viện công nghệ Bưu chính viễn thông biên soạn, Bộ Thông tin và Truyền thông đề nghị, Tổng cục Tiêu chuẩn Đo lường Chất lượng thẩm định, Bộ Khoa học và Công nghệ công bố.

Lời giới thiệu

TCVN ISO/IEC 17021-1 đưa ra các chuẩn mực cho các tổ chức đánh giá và chứng nhận hệ thống quản lý. Nếu các tổ chức này được công nhận là phù hợp với TCVN ISO/IEC 17021-1 có mục tiêu đánh giá và chứng nhận hệ thống quản lý an toàn thông tin (ISMS) theo ISO/IEC 27001:2013 thì một số yêu cầu và hướng dẫn bổ sung cho TCVN ISO/IEC 17021-1 là cần thiết. Chúng sẽ được cung cấp trong tiêu chuẩn này.

Các đề mục trong tiêu chuẩn này tuân theo cấu trúc của TCVN ISO/IEC 17021-1, các yêu cầu bổ sung cho ISMS và hướng dẫn về việc áp dụng tiêu chuẩn TCVN ISO/IEC 17021-1 cho chứng nhận ISMS được xác định bởi các chữ "IS".

Thuật ngữ "phải" được sử dụng xuyên suốt tiêu chuẩn này để chỉ ra những điều khoản, thể hiện yêu cầu của tiêu chuẩn TCVN ISO/IEC 17021-1 và TCVN ISO/IEC 27001, có tính chất bắt buộc. Thuật ngữ "cần/nên" được dùng để chỉ sự khuyến nghị.

Mục đích chính của tiêu chuẩn này là cho phép các tổ chức công nhận hài hòa hiệu quả giữa việc áp dụng các tiêu chuẩn trên với giới hạn mà họ bị ràng buộc khi đánh giá các tổ chức chứng nhận.

Trong tiêu chuẩn này, các thuật ngữ "hệ thống quản lý" và "hệ thống" được sử dụng thay thế cho nhau. Có thể tham khảo định nghĩa về hệ thống quản lý trong tiêu chuẩn TCVN ISO 9000:2007 (ISO 9000:2005). Hệ thống quản lý được sử dụng trong tiêu chuẩn này không nhầm lẫn với các loại hệ thống khác, chẳng hạn như hệ thống công nghệ thông tin.

CÔNG NGHỆ THÔNG TIN - CÁC KỸ THUẬT AN TOÀN - YÊU CẦU ĐỐI VỚI TỔ CHỨC ĐÁNH GIÁ VÀ CHỨNG NHẬN HỆ THỐNG QUẢN LÝ AN TOÀN THÔNG TIN

Information technology - Security techniques - Requirements for bodies providing audit and certification of information security management systems

1  Phạm vi áp dụng

Tiêu chuẩn này quy định các yêu cầu, cung cấp hướng dẫn cho các tổ chức đánh giá và chứng nhận hệ thống quản lý an toàn thông tin (ISMS) ngoài các yêu cầu có trong TCVN ISO/IEC 17021-1 và TCVN ISO/IEC 27001. Tiêu chuẩn này chủ yếu được dùng để hỗ trợ trong việc công nhận các tổ chức chứng nhận ISMS.

Các yêu cầu nêu trong tiêu chuẩn này cần được các tổ chức chứng nhận ISMS chứng minh bằng năng lực và độ tin cậy của họ, và hướng dẫn trong tiêu chuẩn cũng cung cấp giải thích bổ sung các yêu cầu này cho mọi tổ chức cung cấp chứng nhận ISMS.

CHÚ THÍCH: Tiêu chuẩn này có thể được sử dụng như một tài liệu tiêu chuẩn cho quá trình công nhận, đánh giá đồng đẳng hoặc các quá trình đánh giá khác.

2  Tài liệu viện dẫn

Các tài liệu viện dẫn sau đây là cần thiết để áp dụng tiêu chuẩn này. Đối với các tài liệu viện dẫn ghi năm công bố thì áp dụng phiên bản được nêu. Đối với các tài liệu viện dẫn không ghi năm công bố thì áp dụng phiên bản mới nhất (bao gồm cả các sửa đổi, bổ sung).

TCVN ISO/IEC 17021-1:2015, Đánh giá sự phù hợp - Yêu cầu đối với tổ chức đánh giá và chứng nhận hệ thống quản lý - Phần 1: Các yêu cầu.

TCVN 11238 (ISO/IEC 27000), Công nghệ thông tin - Các kỹ thuật an toàn - Hệ thống quản lý an toàn thông tin - Tổng quan và từ vựng.

ISO 27001:2013, Information technology - Security techniques - Information security management systems - Requirements (Công nghệ thông tin - Các kỹ thuật an toàn - Hệ thống quản lý an toàn thông tin - Các yêu cầu).

3  Thuật ngữ và định nghĩa

Tiêu chuẩn này sử dụng các thuật ngữ và định nghĩa nêu trong TCVN ISO/IEC 17021-1, TCVN 11238 (ISO/IEC 27000), cùng với thuật ngữ và định nghĩa dưới đây.

3.1

Tài liệu chứng nhận (certification document)

Tài liệu chỉ ra rằng ISMS của khách hàng phù hợp với các tiêu chuẩn ISMS cụ thể và mọi tài liệu bổ sung theo yêu cầu của hệ thống.

4  Nguyên tắc

Áp dụng các nguyên tắc trong Điều 4 của TCVN ISO/IEC 17021-1.

5  Yêu cầu chung

5.1  Các vấn đề pháp lý và hợp đồng

Áp dụng các yêu cầu trong 5.1 của TCVN ISO/1EC17021-1.

5.2  Quản lý tính khách quan

Áp dụng các yêu cầu trong 5.2 của TCVN ISO/IEC 17021-1. Ngoài ra, áp dụng các yêu cầu và hướng dẫn sau đây.

5.2.1  IS 5.2 Xung đột về lợi ích

Tổ chức chứng nhận có thể thực hiện các công việc sau đây mà không bị coi là tư vấn hoặc có xung đột tiềm ẩn về lợi ích:

a) bố trí và tham gia như một giảng viên trong các khóa đào tạo, với điều kiện các khóa học này phải liên quan đến quản lý an toàn thông tin, các hệ thống quản lý liên quan hoặc các tổ chức đánh giá, chứng nhận phải tự hạn chế chỉ cung cấp thông tin chung và những tư vấn đã được công bố rộng rãi, nghĩa là họ không được cung cấp tư vấn cụ thể cho công ty trái với yêu cầu của b) dưới đây;

b) cung cấp hoặc ban hành thông tin theo yêu cầu mô tả giải thích của tổ chức chứng nhận về yêu cầu của các tiêu chuẩn đánh giá chứng nhận (xem 9.1.3.6);

c) các hoạt động trước khi đánh giá nhằm mục đích xác định sự sẵn sàng đánh giá chứng nhận; tuy nhiên, các hoạt động này không được dẫn đến việc đưa ra các khuyến nghị hoặc tư vấn trái với quy định tại điều này, và các tổ chức chứng nhận phải có thể xác nhận rằng các hoạt động đó không trái với các yêu cầu này và chúng không được sử dụng để chứng minh về việc giảm thời gian đánh giá chứng nhận cuối cùng;

d) thực hiện các đánh giá của bên thứ hai và thứ ba theo các tiêu chuẩn hoặc quy định khác với các tiêu chuẩn hoặc quy định thuộc phạm vi công nhận;

e) tăng giá trị trong quá trình đánh giá chứng nhận và các cuộc giám sát, ví dụ bằng cách xác định các cơ hội cải tiến, do chúng sẽ trở nên rõ ràng trong quá trình đánh giá, mà không cần đề xuất các giải pháp cụ thể.

Tổ chức chứng nhận không được cung cấp các xem xét an toàn thông tin nội bộ đối với ISMS được chứng nhận của khách hàng. Hơn nữa, tổ chức chứng nhận phải độc lập với tổ chức hoặc các tổ chức (bao gồm cả các cá nhân) cung cấp đánh giá nội bộ ISMS.

5.3  Trách nhiệm pháp lý và tài chính

Áp dụng các yêu cầu trong 5.3 của TCVN ISO/IEC 17021-1.

6  Yêu cầu về cơ cấu

Áp dụng các yêu cầu trong Điều 6 của TCVN ISO/IEC 17021-1.

7  Yêu cầu về nguồn lực

7.1  Năng lực của nhân sự

Áp dụng các yêu cầu trong 7.1 của TCVN ISO/IEC 17021-1. Ngoài ra, áp dụng các yêu cầu và hướng dẫn sau đây.

7.1.1  IS 7.1.1 Lưu ý chung

7.1.1.1  Yêu cầu về năng lực chung

Tổ chức chứng nhận phải đảm bảo có kiến thức về các phát triển công nghệ, pháp lý và quy định liên quan đến ISMS của khách hàng mà tổ chức đánh giá.

Tổ chức chứng nhận phải xác định các yêu cầu về năng lực đối với mỗi chức năng chứng nhận như trong Bảng A.1 của TCVN ISO/IEC 17201-1. Tổ chức chứng nhận phải xem xét tất cả các yêu cầu quy định trong TCVN ISO/IEC 17021-1; và 7.1.2 và 7.2.1 của tiêu chuẩn này liên quan đến các lĩnh vực kỹ thuật ISMS như đã được tổ chức xác định.

CHÚ THÍCH: Phụ lục A tóm tắt các yêu cầu về năng lực đối với nhân sự tham gia vào các chức năng chứng nhận cụ thể.

7.1.2  IS 7.1.2 Xác định chuẩn mực năng lực

7.1.2.1  Yêu cầu về năng lực đánh giá ISMS

7.1.2.1.1  Yêu cầu chung

Các tổ chức chứng nhận phải có chuẩn mực để xác minh trình độ kinh nghiệm, đào tạo đặc biệt hoặc thông tin ngắn gọn về các thành viên đoàn đánh giá để đảm bảo tối thiểu:

a) kiến thức về an toàn thông tin;

b) kiến thức kỹ thuật về hoạt động được đánh giá;

c) kiến thức về các hệ thống quản lý;

d) kiến thức về các nguyên tắc đánh giá;

CHÚ THÍCH: Thông tin chi tiết về các nguyên tắc đánh giá có thể được tìm thấy trong TCVN ISO 19011.

e) kiến thức về giám sát, đo lường, phân tích và đánh giá ISMS.

Những yêu cầu từ a) đến e) ở trên áp dụng đối với tất cả các chuyên gia đánh giá thuộc đoàn đánh giá, trừ yêu cầu b) có thể được áp dụng cho một chuyên gia đánh giá trong đoàn đánh giá.

Đoàn đánh giá phải có năng lực truy xuất các dấu hiệu về sự cố an toàn thông tin trong ISMS của khách hàng trên các thành phần riêng biệt của ISMS.

Đoàn đánh giá phải có kinh nghiệm làm việc phù hợp về các nội dung ở trên và ứng dụng thực tế của các nội dung này (điều này không có nghĩa là tất cả các chuyên gia đánh giá đều phải có đầy đủ kinh nghiệm về tất cả các lĩnh vực an toàn thông tin, nhưng toàn bộ đoàn đánh giá phải đủ năng lực và kinh nghiệm cho toàn bộ phạm vi ISMS được đánh giá)

7.1.2.1.2  Thuật ngữ, nguyên tắc, thực hành và kỹ thuật quản lý an toàn thông tin

Nhìn chung, tất cả các thành viên của đoàn đánh giá phải có kiến thức về:

a) các cấu trúc, hệ thống phân cấp và mối tương quan của tài liệu ISMS;

b) các công cụ, phương pháp, kỹ thuật và ứng dụng liên quan của chúng đến quản lý hệ thống an toàn thông tin;

c) đánh giá và quản lý rủi ro an toàn thông tin;

d) các quy trình áp dụng cho ISMS;

e) công nghệ hiện tại mà an toàn thông tin có thể liên quan hoặc đang là một vấn đề tranh luận.

Mọi chuyên gia đánh giá đều phải đáp ứng các chuẩn mực a, c và d.

7.1.2.1.3  Tiêu chuẩn và văn bản quy định về hệ thống quản lý an toàn thông tin

Các chuyên gia đánh giá tham gia trong việc đánh giá ISMS phải có kiến thức về:

a) tất cả các yêu cầu trong TCVN ISO/IEC 27001.

Nhìn chung, tất cả các thành viên của đoàn đánh giá phải có kiến thức về:

b) tất cả các biện pháp kiểm soát trong TCVN ISO/IEC 27002 (nếu cũng được xác định là cần thiết từ các tiêu chuẩn lĩnh vực cụ thể) và việc triển khai chúng, phân loại như sau:

1) chính sách an toàn thông tin;

2) tổ chức đảm bảo an toàn thông tin;

3) đảm bảo an toàn từ nguồn nhân lực;

4) quản lý tài sản;

5) kiểm soát truy cập, bao gồm việc xác thực;

6) mật mã hóa;

7) an toàn vật lý và môi trường;

8) an toàn vận hành, bao gồm các dịch vụ IT;

9) an toàn trao đổi thông tin, bao gồm quản lý an toàn mạng và chuyển giao thông tin;

10) tiếp nhận, phát triển và duy trì hệ thống;

11) mối quan hệ với nhà cung cấp, bao gồm dịch vụ thuê ngoài;

12) quản lý sự cố an toàn thông tin;

13) các khía cạnh an toàn thông tin trong quản lý sự liên tục của hoạt động nghiệp vụ, bao gồm cả các dự phòng;

14) sự tuân thủ, bao gồm xem xét an toàn thông tin.

7.1.2.1.4  Thực hành quản lý nghiệp vụ

Các chuyên gia đánh giá tham gia đánh giá ISMS phải có kiến thức về;

a) các thực hành tốt về an toàn thông tin theo ngành nghề và các thủ tục an toàn thông tin;

b) các chính sách và các yêu cầu nghiệp vụ đối với an toàn thông tin;

c) các khái niệm, thực hành về quản lý nghiệp vụ chung, và mối tương quan giữa chính sách, mục tiêu và kết quả;

d) các quy trình quản lý và thuật ngữ liên quan.

CHÚ THÍCH: Các quy trình này còn bao gồm các quy trình quản lý nguồn nhân lực, trao đổi thông tin nội bộ và bên ngoài và các quy trình hỗ trợ có liên quan khác.

7.1.2.1.5  Lĩnh vực nghiệp vụ của khách hàng

Các chuyên gia đánh giá trong đánh giá ISMS phải có kiến thức về;

a) các yêu cầu pháp lý và quy định trong lĩnh vực an toàn thông tin cụ thể, địa lý và (các) phạm vi quyền hạn;

CHÚ THÍCH: Kiến thức về các yêu cầu pháp lý và quy định không có nghĩa là kiến thức pháp lý chuyên sâu.

b) các rủi ro an toàn thông tin có liên quan đến lĩnh vực nghiệp vụ;

c) các thuật ngữ chung, quy trình và công nghệ liên quan đến lĩnh vực nghiệp vụ của khách hàng;

d) các thực hành liên quan đến lĩnh vực nghiệp vụ.

Chuẩn mực a) có thể là chuẩn mực chung cho cả đoàn đánh giá.

7.1.2.1.6  Sản phẩm, quy trình và tổ chức của khách hàng

Nhìn chung, các chuyên gia đánh giá tham gia việc đánh giá ISMS phải có kiến thức về:

a) tác động của loại hình tổ chức, quy mô, sự quản trị, cấu trúc, các chức năng và mối quan hệ tới sự phát triển và triển khai hệ thống ISMS và các hoạt động chứng nhận, bao gồm cả thuê ngoài;

b) các vận hành phức hợp theo một góc nhìn rộng;

c) các yêu cầu pháp lý và quy định áp dụng đối với các sản phẩm hoặc dịch vụ.

7.1.2.2  Yêu cầu về năng lực đối với trưởng đoàn đánh giá ISMS

Ngoài các yêu cầu trong 7.1.2.1, trưởng đoàn đánh giá phải đáp ứng đủ các yêu cầu sau đây, và điều đó phải được chứng minh trong các cuộc đánh giá có sự hướng dẫn và giám sát:

a) có kiến thức và kỹ năng quản lý quy trình đánh giá chứng nhận và đoàn đánh giá;

b) chứng minh được khả năng truyền đạt hiệu quả, cả nói và viết.

7.1.2.3  Yêu cầu về năng lực thực hiện xem xét ứng dụng

7.1.2.3.1  Tiêu chuẩn và văn bản quy định về hệ thống quản lý an toàn thông tin

Người thực hiện xem xét ứng dụng để xác định năng lực của đoàn đánh giá được yêu cầu, lựa chọn các thành viên đoàn đánh giá và xác định thời gian đánh giá phải có kiến thức về:

a) các tiêu chuẩn và văn bản quy định khác liên quan đến ISMS được sử dụng trong quy trình chứng nhận.

7.1.2.3.2  Lĩnh vực nghiệp vụ của khách hàng

Người thực hiện xem xét ứng dụng để xác định năng lực cần thiết của đoàn đánh giá, lựa chọn các thành viên đoàn đánh giá và xác định thời gian đánh giá phải có kiến thức về:

b) thuật ngữ chung, các quy trình, công nghệ và rủi ro liên quan đến lĩnh vực nghiệp vụ của khách hàng.

7.1.2.3.3  Sản phẩm, quy trình và tổ chức của khách hàng

Người thực hiện xem xét ứng dụng để xác định năng lực cần thiết của đoàn đánh giá, lựa chọn các thành viên đoàn đánh giá và xác định thời gian đánh giá phải có kiến thức về:

a) các sản phẩm, quy trình, loại hình tổ chức, quy mô, quản trị, cấu trúc, các chức năng và mối quan hệ của khách hàng trong việc phát triển và triển khai hệ thống ISMS và các hoạt động chứng nhận, bao gồm cả các chức năng thuê khoán ngoài.

7.1.2.4  Yêu cầu về năng lực xem xét báo cáo đánh giá và ra quyết định chứng nhận

7.1.2.4.1  Tổng quan

Người xem xét báo cáo đánh giá và ra quyết định chứng nhận phải có kiến thức cho phép họ xác minh sự hợp lý về phạm vi chứng nhận cũng như những thay đổi trong phạm vi và ảnh hưởng của chúng đến hiệu quả của việc đánh giá, đặc biệt là tính hiệu lực liên tục của việc xác định các điểm tương giao, các phụ thuộc và những rủi ro liên quan.

Ngoài ra, người xem xét báo cáo đánh giá và ra quyết định chứng nhận phải có kiến thức về:

a) các hệ thống quản lý nói chung;

b) các quy trình và thủ tục đánh giá;

c) các nguyên tắc, thực hành và kỹ thuật đánh giá.

7.1.2.4.2  Thuật ngữ, nguyên tắc, thực hành và kỹ thuật quản lý an toàn thông tin

Người xem xét báo cáo đánh giá đánh giá và ra quyết định chứng nhận phải có kiến thức về:

a) các danh mục đã liệt kê trong 7.1.2.1.2 a), c) và d);

b) các yêu cầu pháp lý và quy định liên quan đến an toàn thông tin.

7.1.2.4.3  Tiêu chuẩn và văn bản quy định về hệ thống quản lý an toàn thông tin

Người xem xét báo cáo đánh giá đánh giá và ra quyết định chứng nhận phải có kiến thức về:

a) các tiêu chuẩn và văn bản quy định khác liên quan đến ISMS được sử dụng trong quy trình chứng nhận.

7.1.2.4.4  Lĩnh vực nghiệp vụ của khách hàng

Người xem xét báo cáo đánh giá và ra quyết định chứng nhận phải có kiến thức về:

b) thuật ngữ chung và các rủi ro có liên quan đến các thực hành liên quan đến lĩnh vực nghiệp vụ của khách hàng.

7.1.2.4.5  Sản phẩm, quy trình và tổ chức của khách hàng

Người xem xét báo cáo đánh giá và ra quyết định cấp giấy chứng nhận phải có kiến thức về:

a) các sản phẩm, quy trình, loại hình tổ chức, quy mô, sự quản trị, cấu trúc, các chức năng và mối quan hệ của khách hàng.

7.2  Nhân sự tham gia vào hoạt động chứng nhận

Áp dụng các yêu cầu trong 7.2 của TCVN ISO/IEC 17021-1. Ngoài ra, áp dụng các yêu cầu và hướng dẫn sau đây.

7.2.1  IS 7.2 Chứng minh kiến thức và kinh nghiệm của chuyên gia đánh giá

Tổ chức chứng nhận phải chứng minh các chuyên gia đánh giá có kiến thức và kinh nghiệm thông qua:

a) các bằng cấp được công nhận về ISMS;

b) đăng ký chuyên gia đánh giá, nếu có;

c) tham gia các khóa đào tạo ISMS và đạt được các chứng chỉ cá nhân có liên quan;

d) hồ sơ cập nhật về phát triển chuyên môn;

e) các xem xét ISMS được chứng kiến bởi chuyên gia đánh giá ISMS khác.

7.2.1.1  Lựa chọn chuyên gia đánh giá

Ngoài các chuẩn mực trong 7.1.2.1, chuẩn mực để lựa chọn chuyên gia đánh giá phải đảm bảo rằng mỗi chuyên gia đánh giá phải:

a) được đào tạo chuyên nghiệp hoặc được đào tạo ở cấp độ đào tạo đại học tương đương:

b) có tối thiểu 4 năm kinh nghiệm làm việc thực tế về công nghệ thông tin, trong đó tối thiểu 2 năm trong vai trò hoặc chức năng liên quan đến an toàn thông tin;

c) đã hoàn thành tốt tối thiểu 5 ngày đào tạo với chủ đề về đánh giá ISMS về quản lý đánh giá;

d) có kinh nghiệm trong toàn bộ quy trình đánh giá an toàn thông tin trước khi đảm nhận thực hiện trách nhiệm như một chuyên gia đánh giá. Kinh nghiệm phải có được bằng sự tham gia tối thiểu bốn cuộc đánh giá chứng nhận ISMS, bao gồm cả các cuộc đánh giá tái chứng nhận và đánh giá giám sát, với tổng số tối thiểu 20 ngày trong đó có nhiều nhất 5 ngày có thể tham gia các cuộc đánh giá giám sát việc tham gia phải bao gồm xem xét tài liệu và đánh giá rủi ro, đánh giá thực thi và báo cáo đánh giá;

e) có kinh nghiệm phù hợp và thực tế;

f) có kiến thức và kỹ năng hiện tại về an toàn thông tin và đánh giá được cập nhật thông qua sự phát triển chuyên môn liên tục;

Các chuyên gia kỹ thuật phải tuân thủ các chuẩn mực a), b) và e).

7.2.1.2  Lựa chọn trưởng đoàn đánh giá

Ngoài các chuẩn mực trong 7.1.2.2 và 7.2.1.1, chuẩn mực lựa chọn trưởng đoàn đánh giá phải đảm bảo rằng chuyên gia đánh giá này:

a) chủ động tham gia tất cả các giai đoạn của ít nhất 3 cuộc đánh giá ISMS. Việc tham gia phải bao gồm lập phạm vi và kế hoạch lần đầu, xem xét tài liệu và đánh giá rủi ro, đánh giá thực thi và báo cáo đánh giá chính thức.

7.3  Sử dụng chuyên gia đánh giá và chuyên gia kỹ thuật bên ngoài với tư cách cá nhân

Áp dụng các yêu cầu trong 7.3 của TCVN ISO/IEC 17021-1. Ngoài ra, áp dụng các yêu cầu và hướng dẫn sau đây.

7.3.1  IS 7.3 Sử dụng chuyên gia đánh giá hoặc chuyên gia kỹ thuật bên ngoài trong nhóm đánh giá

Chuyên gia kỹ thuật phải làm việc dưới sự giám sát của chuyên gia đánh giá. Các yêu cầu tối thiểu đối với chuyên gia kỹ thuật đã được liệt kê trong mục 7.2.1.1.

7.4  Hồ sơ nhân sự

Áp dụng các yêu cầu trong 7.4 của TCVN ISO/IEC 17021-1.

7.5  Thuê ngoài

Áp dụng các yêu cầu trong 7.5 của TCVN ISO/IEC 17021-1.

8  Yêu cầu về thông tin

8.1  Thông tin công khai

Áp dụng các yêu cầu trong 8.1 của TCVN ISO/IEC 17021-1.

8.2  Tài liệu chứng nhận

Áp dụng các yêu cầu trong 8.2 của TCVN ISO/IEC17021-1. Ngoài ra, áp dụng các yêu cầu và hướng dẫn sau đây.

8.2.1  IS 8.2 Tài liệu chứng nhận ISMS

Các tài liệu chứng nhận phải được ký bởi người đã được chỉ định chịu trách nhiệm này. Các phiên bản của thông báo áp dụng phải được bao gồm trong các tài liệu chứng nhận.

CHÚ THÍCH  Sự thay đổi của thông báo áp dụng mà không làm thay đổi phạm vi của các biện pháp kiểm soát trong phạm vi chứng nhận thì không yêu cầu bản cập nhật của tài liệu chứng nhận.

Việc xác định (các) tiêu chuẩn lĩnh vực cụ thể được sử dụng có thể bao gồm trong các tài liệu chứng nhận.

8.3  Viện dẫn chứng nhận và sử dụng dấu

Áp dụng các yêu cầu trong 8.3 của TCVN ISO/IEC 17021-1.

8.4  Bảo mật

Áp dụng các yêu cầu trong 8.4 của TCVN ISO/IEC 17021-1. Ngoài ra, áp dụng các yêu cầu và hướng dẫn sau đây.

8.4.1  IS 8.4 Truy cập hồ sơ tổ chức

Trước khi đánh giá chứng nhận, tổ chức chứng nhận phải yêu cầu khách hàng báo cáo xem có thông tin nào liên quan đến ISMS (ví dụ các hồ sơ ISMS hoặc thông tin về thiết kế và hiệu quả của các biện pháp kiểm soát) không thể đưa cho nhóm đánh giá xem xét do chúng có chứa thông tin bí mật và nhạy cảm.Tổ chức chứng nhận phải xác định xem liệu ISMS có thể được đánh giá đầy đủ không nếu không có những thông tin này. Nếu tổ chức chứng nhận kết luận rằng ISMS không thể được đánh giá đầy đủ nếu không xem xét các thông tin bí mật hoặc nhạy cảm đó thì họ phải thông báo cho khách hàng rằng đánh giá chứng nhận không thể thực hiện cho đến khi đạt được thỏa thuận thích hợp về truy cập.

8.5  Trao đổi thông tin giữa tổ chức chứng nhận và khách hàng

Áp dụng các yêu cầu trong 8.5 của TCVN ISO/IEC 17021-1.

9  Yêu cầu về quá trình

9.1  Hoạt động trước chứng nhận

9.1.1  Đăng ký

Áp dụng các yêu cầu trong 9.1.1 của TCVN ISO/IEC 17021-1. Ngoài ra, áp dụng các yêu cầu và hướng dẫn sau đây.

9.1.1.1  IS 9.1.1 Sự sẵn sàng khi đăng ký

Tổ chức chứng nhận phải yêu cầu khách hàng phải có ISMS đã được lập tài liệu và triển khai tuân theo TCVN ISO/IEC 27001 và các tài liệu khác yêu cầu cho chứng nhận.

9.1.2  Xem xét đăng ký

Áp dụng các yêu cầu trong 9.1.2 của TCVN ISO/IEC 17021-1.

9.1.3  Chương trình đánh giá

Áp dụng các yêu cầu trong 9.1.3 của TCVN ISO/IEC 17021-1. Ngoài ra, áp dụng các yêu cầu và hướng dẫn sau đây.

9.1.3.1  IS 9.1.3 Tổng quan

Chương trình đánh giá đối với đánh giá ISMS phải xem xét các kiểm soát an toàn thông tin.

9.1.3.2  IS 9.1.3 Phương pháp luận đánh giá

Các thủ tục của tổ chức chứng nhận không được giả định trước một cách thức triển khai cụ thể đối với ISMS hoặc một định dạng cụ thể đối với tài liệu và các hồ sơ. Các thủ tục chứng nhận phải tập trung vào việc xác minh rằng ISMS của khách hàng đáp ứng các yêu cầu trong TCVN ISO/IEC 27001 và các chính sách, mục tiêu của khách hàng.

CHÚ THÍCH: Hướng dẫn thêm về đánh giá có trong ISO/IEC 27007.

9.1.3.3  IS 9.1.3 Chuẩn bị chung cho đánh giá lần đầu

Tổ chức chứng nhận phải yêu cầu khách hàng thực hiện tất cả các thỏa thuận cần thiết để truy cập vào các báo cáo đánh giá nội bộ và các báo cáo xem xét độc lập về an toàn thông tin.

Ít nhất các thông tin sau phải được khách hàng cung cấp trong giai đoạn 1 của cuộc chứng nhận đánh giá:

a) thông tin chung liên quan đến ISMS và toàn bộ hoạt động của ISMS;

b) một bản sao tài liệu ISMS theo yêu cầu trong TCVN ISO/IEC 27001 và, nếu cần thì cả tài liệu liên quan.

9.1.3.4  IS 9.1.3 Giai đoạn đánh giá

Tổ chức chứng nhận không được chứng nhận ISMS trừ khi nó đã được vận hành qua ít nhất một cuộc xem xét của lãnh đạo và một cuộc đánh giá ISMS nội bộ theo phạm vi chứng nhận.

9.1.3.5  IS 9.1.3 Phạm vi chứng nhận

Đoàn đánh giá phải đánh giá ISMS của khách hàng trong phạm vi xác định đối với tất cả các yêu cầu chứng nhận được áp dụng. Tổ chức chứng nhận phải xác nhận trong phạm vi ISMS của khách hàng, rằng khách hàng đã giải quyết các yêu cầu quy định tại 4.3 của TCVN ISO/IEC 27001.

Tổ chức chứng nhận phải đảm bảo rằng việc đánh giá rủi ro và xử lý rủi ro an toàn thông tin của khách hàng phản ánh đúng các hoạt động của họ và mở rộng ra ranh giới hoạt động của họ như đã xác định trong phạm vi chứng nhận. Tổ chức chứng nhận phải xác nhận rằng điều này đã được phản ánh trong phạm vi ISMS và tuyên bố áp dụng của khách hàng. Tổ chức chứng nhận phải xác nhận rằng có ít nhất một Tuyên bố áp dụng trên mỗi phạm vi chứng nhận.

Tổ chức chứng nhận phải đảm bảo các điểm tương giao với các dịch vụ hoặc các hoạt động không nằm trong phạm vi của ISMS đã được đề cập là đối tượng ISMS được chứng nhận và được đưa vào đánh giá rủi ro an toàn thông tin của khách hàng. Một ví dụ cho tình huống này là việc dùng chung các phương tiện (ví dụ các hệ thống IT, cơ sở dữ liệu và hệ thống viễn thông hoặc thuê ngoài một chức năng nghiệp vụ) với các tổ chức khác.

9.1.3.6  IS 9.1.3 Chuẩn mực đánh giá chứng nhận

Chuẩn mực để đánh giá ISMS của khách hàng phải là tiêu chuẩn ISMS TCVN ISO/IEC 27001. Các tài liệu khác có thể được yêu cầu cho chứng nhận liên quan đến chức năng được thực hiện.

9.1.4  Xác định thời gian đánh giá

Áp dụng các yêu cầu trong 9.1.4 của TCVN ISO/IEC 17021-1. Ngoài ra, áp dụng các yêu cầu và hướng dẫn sau đây.

9.1.4.1  IS 9.1.4 Thời gian đánh giá

Tổ chức chứng nhận phải cho phép chuyên gia đánh giá có đủ thời gian để thực hiện tất cả các hoạt động liên quan đến đánh giá lần đầu, đánh giá giám sát hoặc đánh giá chứng nhận lại. Việc tính toán thời gian chứng nhận phải bao gồm đủ cả thời gian cho báo cáo đánh giá.

Tổ chức chứng nhận phải sử dụng Phụ lục B để xác định thời gian đánh giá.

CHÚ THÍCH: Hướng dẫn thêm và các ví dụ về tính toán thời gian đánh giá được cung cấp trong Phụ lục C.

9.1.5  Lấy mẫu nhiều địa điểm

Áp dụng các yêu cầu trong 9.1.5 của TCVN ISO/IEC 17021-1. Ngoài ra, áp dụng các yêu cầu và hướng dẫn sau đây.

9.1.5.1  IS 9.1.5 Các địa điểm lấy mẫu

9.1.5.1.1  Trường hợp tổ chức khách hàng có nhiều địa điểm đạt các chuẩn mực từ a) đến c) dưới đây, tổ chức chứng nhận có thể xem xét sử dụng phương pháp tiếp cận theo mẫu để đánh giá chứng nhận nhiều địa điểm;

a) tất cả các địa điểm đều đang hoạt động trong cùng một ISMS, được quản lý và đánh giá tập trung và chịu sự xem xét của lãnh đạo tập trung.

b) tất cả các địa điểm đều nằm trong chương trình đánh giá ISMS nội bộ của khách hàng:

c) tất cả các địa điểm đều nằm trong chương trình xem xét quản lý ISMS của khách hàng.

9.1.5.1.2  Tổ chức chứng nhận có nhu cầu sử dụng một phương pháp tiếp cận theo mẫu phải có các thủ tục để đảm bảo những điều sau đây:

a) cuộc xem xét hợp đồng lần đầu xác định, ở mức cao nhất có thể, sự khác biệt giữa các địa điểm sao cho một mức độ lấy mẫu phù hợp sẽ được xác định.

b) nhiều địa điểm đại diện được lấy mẫu bởi tổ chức chứng nhận, cần để ý tới:

1) kết quả của các cuộc đánh giá nội bộ cho trụ sở chính và các địa điểm;

2) kết quả xem xét của lãnh đạo;

3) những thay đổi về quy mô của các địa điểm;

4) những thay đổi trong mục đích nghiệp vụ của các địa điểm;

5) tính phức tạp của các hệ thống thông tin ở các địa điểm khác nhau;

6) những thay đổi trong thực tiễn công việc;

7) những thay đổi trong các hoạt động được thực hiện;

8) những thay đổi về thiết kế và vận hành các biện pháp kiểm soát;

9) tương tác tiềm ẩn với các hệ thống thông tin quan trọng hoặc các hệ thống xử lý thông tin nhạy cảm;

10) mọi yêu cầu pháp lý khác nhau;

11) các khía cạnh địa lý và văn hóa;

12) tình trạng rủi ro của các địa điểm;

13) những sự cố an toàn thông tin tại các địa điểm cụ thể.

c) Một mẫu đại diện được chọn từ tất cả các địa điểm trong phạm vi ISMS của khách hàng; sự lựa chọn này phải là một chọn lựa theo phán đoán thể hiện các yếu tố trong mục b) ở trên và một yếu tố ngẫu nhiên.

d) Mọi địa điểm trong ISMS chịu rủi ro lớn đều được đánh giá bởi tổ chức chứng nhận trước khi chứng nhận.

e) Chương trình đánh giá đã được thiết kế theo các yêu cầu nêu trên và có đủ các mẫu đại diện trong phạm vi của chứng nhận ISMS trong khoảng thời gian ba năm.

f) Trong trường hợp quan sát thấy có sự không phù hợp tại trụ sở chính hoặc tại một địa điểm đơn lẻ thì thủ tục hành động khắc phục sẽ được áp dụng cho trụ sở chính và tất cả các địa điểm thuộc chứng nhận.

Cuộc đánh giá phải giải quyết các hoạt động của trụ sở chính của khách hàng để đảm bảo rằng chỉ một ISMS duy nhất áp dụng cho tất cả các địa điểm và cung cấp sự quản lý tập trung ở cấp độ vận hành. Cuộc đánh giá phải giải quyết tất cả các vấn đề nêu trên.

9.1.6  Nhiều hệ thống quản lý

Áp dụng các yêu cầu trong 9.1.6 của TCVN ISO/IEC 17021-1. Ngoài ra, áp dụng các yêu cầu và hướng dẫn sau đây.

9.1.6.1  IS 9.1.6 Tích hợp tài liệu ISMS với tài liệu cho các hệ thống quản lý khác

Tổ chức chứng nhận có thể chấp nhận tài liệu kết hợp (ví dụ, về an toàn thông tin, chất lượng, sức khỏe, an toàn và môi trường) miễn là ISMS có thể được xác định rõ ràng cùng với các điểm tương giao thích hợp với các hệ thống khác.

9.1.6.1  IS 9.1.6 Kết hợp các đánh giá hệ thống quản lý

Đánh giá ISMS có thể được kết hợp với đánh giá các hệ thống khác, với điều kiện phải có thể chứng minh được rằng đánh giá ISMS đáp ứng tất cả các yêu cầu đối với chứng nhận ISMS. Tất cả các yếu tố quan trọng đối với ISMS phải được thể hiện rõ ràng và dễ nhận biết được trong các báo cáo đánh giá. Chất lượng của đánh giá không được bị ảnh hưởng bất lợi bởi việc kết hợp các đánh giá.

9.2  Hoạch định đánh giá

9.2.1  Xác định mục tiêu, phạm vi và chuẩn mực đánh giá

Áp dụng các yêu cầu trong 9.2.1 của TCVN ISO/IEC 17021-1. Ngoài ra, áp dụng các yêu cầu và hướng dẫn sau đây.

9.2.1.1  IS 9.2.1 Mục tiêu đánh giá

Các mục tiêu đánh giá phải bao gồm xác định hiệu quả của hệ thống quản lý nhằm đảm bảo rằng dựa trên đánh giá rủi ro, khách hàng đã triển khai các biện pháp kiểm soát phù hợp và đạt được các mục tiêu an toàn thông tin đã được xác lập.

9.2.2  Lựa chọn và chỉ định đoàn đánh giá

Áp dụng các yêu cầu trong 9.2.2 của TCVN ISO/IEC 17021-1. Ngoài ra, áp dụng các yêu cầu và hướng dẫn sau đây.

9.2.2.1  IS 9.2.2 Đoàn đánh giá

Đoàn đánh giá phải được chỉ định chính thức và được cung cấp các tài liệu làm việc thích hợp. Nhiệm vụ cho đoàn đánh giá phải được xác định rõ ràng và được đưa ra cho khách hàng.

Đoàn đánh giá có thể chỉ gồm một người đáp ứng được tất cả các chuẩn mực đặt ra trong 7.1.2.1.

9.2.2.1  IS 9.2.2 Năng lực của đoàn đánh giá

Áp dụng các yêu cầu được liệt kê trong 7.1.2. Đối với các hoạt động đánh giá giám sát và đánh giá đặc biệt, chỉ áp dụng những yêu cầu liên quan tới hoạt động giám sát đã được hoạch định và hoạt động đánh giá đặc biệt.

Khi lựa chọn và quản lý đoàn đánh giá được chỉ định cho một cuộc đánh giá chứng nhận cụ thể, tổ chức chứng nhận phải đảm bảo rằng các năng lực của mỗi vị trí đều phù hợp. Đoàn đánh giá phải:

a) có kiến thức kỹ thuật thích hợp về các hoạt động cụ thể trong phạm vi của ISMS được chứng nhận và, nếu có thể, thì cả các thủ tục liên quan và các tiềm ẩn rủi ro an toàn thông tin tiềm ẩn (chuyên gia kỹ thuật có thể đáp ứng yêu cầu này)

b) có hiểu biết về khách hàng đủ để tiến hành một cuộc đánh giá chứng nhận tin cậy về ISMS của họ theo phạm vi ISMS và bối cảnh về tổ chức trong việc quản lý các khía cạnh an toàn thông tin của các hoạt động, sản phẩm và dịch vụ của họ.

c) có hiểu biết đúng về các yêu cầu pháp lý và quy định áp dụng cho ISMS của khách hàng.

CHÚ THÍCH: Hiểu biết đúng không bao hàm kiến thức cơ bản sâu sắc về pháp lý.

9.2.3  Kế hoạch đánh giá

Áp dụng các yêu cầu trong 9.2.3 của TCVN ISO/IEC 17021-1. Ngoài ra, áp dụng các yêu cầu và hướng dẫn sau đây.

9.2.3.1  IS 9.2.3 Tổng quan

Kế hoạch đánh giá đối với đánh giá ISMS phải xem xét các biện pháp kiểm soát an toàn thông tin đã được xác định.

9.2.3.2  IS 9.2.3 Các kỹ thuật đánh giá có mạng hỗ trợ

Nếu phù hợp thì kế hoạch đánh giá phải xác định các kỹ thuật đánh giá có mạng hỗ trợ sẽ được sử dụng trong suốt quá trình đánh giá.

Các kỹ thuật đánh giá có mạng hỗ trợ có thể bao gồm, ví dụ, hội nghị truyền hình, hội nghị qua web, trao đổi thông tin dựa trên web tương tác và truy cập điện tử từ xa tới tài liệu ISMS hoặc các quy trình ISMS. Mục đích chính của các kỹ thuật này là để tăng cường hiệu quả và hiệu suất đánh giá, và hỗ trợ tính toàn vẹn của quy trình đánh giá.

9.2.3.3  IS 9.2.3 Thời gian đánh giá

Tổ chức chứng nhận phải thống nhất với tổ chức được đánh giá về thời gian đánh giá để thể hiện rõ nhất toàn bộ phạm vi của tổ chức. Các cân nhắc có thể gồm theo mùa, tháng, thứ/ngày và ca cho phù hợp.

9.3  Chứng nhận lần đầu

Áp dụng các yêu cầu trong 9.3 của TCVN ISO/IEC 17021-1. Ngoài ra, áp dụng các yêu cầu và hướng dẫn sau đây.

9.3.1  IS 9.3.1 Đánh giá chứng nhận lần đầu

9.3.1.1  IS 9.3.1.1 Giai đoạn 1

Trong giai đoạn đánh giá này, tổ chức chứng nhận phải có được tài liệu về thiết kế ISMS bao gồm các tài liệu được yêu cầu trong TCVN ISO/IEC 27001.

Tổ chức chứng nhận phải có được hiểu biết đầy đủ về thiết kế ISMS theo bối cảnh của tổ chức khách hàng, việc đánh giá và xử lý rủi ro (bao gồm cả các biện pháp kiểm soát đã xác định), chính sách và các mục tiêu an toàn thông tin và đặc biệt là sự chuẩn bị sẵn sàng của tổ chức khách hàng cho cuộc đánh giá. Điều này cho phép lên kế hoạch cho giai đoạn 2.

Các kết quả của giai đoạn 1 phải được lập tài liệu dưới dạng một báo cáo bằng văn bản. Tổ chức chứng nhận phải xem xét báo cáo đánh giá của giai đoạn 1 trước khi quyết định tiếp tục giai đoạn 2 và lựa chọn các thành viên đoàn đánh giá giai đoạn 2 với những năng lực cần thiết.

Tổ chức chứng nhận phải nhắc khách hàng về các loại thông tin và hồ sơ khác có thể được yêu cầu cần kiểm tra chi tiết trong giai đoạn 2.

9.3.1.2  IS 9.3.1.2 Giai đoạn 2

9.3.1.2.1  Trên cơ sở các phát hiện đã được ghi trong báo cáo đánh giá giai đoạn 1, tổ chức chứng nhận xây dựng kế hoạch đánh giá giai đoạn 2. Bên cạnh việc đánh giá sự triển khai hiệu quả của ISMS thì mục tiêu của giai đoạn 2 còn là:

a) để xác nhận rằng khách hàng tuân thủ các chính sách, mục tiêu và thủ tục của họ.

9.3.1.2.2  Để làm điều này, cuộc đánh giá phải tập trung vào các vấn đề sau của khách hàng:

a) bộ phận lãnh đạo cao nhất và cam kết đối với chính sách an toàn thông tin và các mục tiêu an toàn thông tin;

b) các yêu cầu về tài liệu được liệt kê tại tiêu chuẩn TCVN ISO/IEC 27001;

c) việc đánh giá các rủi ro liên quan đến an toàn thông tin và các đánh giá có các kết quả nhất quán, giá trị và có thể so sánh nếu được thực hiện nhiều lần;

d) việc xác định các mục tiêu kiểm soát và biện pháp kiểm soát trên cơ sở các quy trình đánh giá rủi ro và xử lý rủi ro an toàn thông tin;

e) kết quả thực hiện an toàn thông tin và hiệu quả của ISMS, đánh giá các mục tiêu an toàn thông tin;

f) sự tương ứng giữa các biện pháp kiểm soát xác định, Thông báo áp dụng và các kết quả của quy trình đánh giá rủi ro và xử lý rủi ro an toàn thông tin, chính sách và các mục tiêu an toàn thông tin;

g) việc triển khai các biện pháp kiểm soát (xem phụ lục D), có tính đến bối cảnh bên ngoài và nội bộ và các rủi ro liên quan, việc giám sát, đo lường và phân tích các quy trình và biện pháp kiểm soát an toàn thông tin của tổ chức để xác định xem các biện pháp kiểm soát có được triển khai và đạt hiệu quả và đáp ứng các mục tiêu đã công bố không;

h) các chương trình, quy trình, thủ tục, hồ sơ, đánh giá và xem xét nội bộ về hiệu quả của ISMS nhằm đảm bảo chúng có thể truy nguyên tới các quyết định của lãnh đạo, chính sách và các mục tiêu an toàn thông tin.

9.4  Tiến hành đánh giá

Áp dụng các yêu cầu trong 9.4 của TCVN ISO/IEC 17021-1. Ngoài ra, áp dụng các yêu cầu và hướng dẫn sau đây.

9.4.1  IS 9.4 Tổng quan

Tổ chức chứng nhận phải có các thủ tục được lập tài liệu đối với:

a) chứng nhận đánh giá lần đầu về ISMS khách hàng, theo các quy định của TCVN ISO/IEC 17021-1;

b) các đánh giá giám sát và chứng nhận lại của ISMS khách hàng theo TCVN ISO/IEC 17021-1 theo định kì về tính phù hợp liên tục với các yêu cầu liên quan, và để xác minh và báo cáo rằng khách hàng sẽ thực hiện hành động khắc phục kịp thời để khắc phục tất cả những điều không phù hợp.

9.4.2  IS 9.4 Các thành phần cụ thể của đánh giá ISMS

Tổ chức chứng nhận, được đại diện bởi đoàn đánh giá, phải:

a) yêu cầu khách hàng chứng minh rằng việc đánh giá các rủi ro liên quan đến an toàn thông tin là phù hợp và đầy đủ đối với hoạt động ISMS trong phạm vi của ISMS;

b) xác minh xem các quy trình của khách hàng về xác định, kiểm tra và đánh giá các rủi ro liên quan đến an toàn thông tin và các kết quả của việc thực hiện chúng có thống nhất với chính sách, mục tiêu và chỉ tiêu của khách hàng không.

Tổ chức chứng nhận cũng phải xác minh xem liệu các thủ tục được sử dụng trong đánh giá rủi ro có hợp lý và được triển khai đúng cách không.

9.4.3  IS 9.4 Báo cáo đánh giá

9.4.3.1  Ngoài các yêu cầu về báo cáo trong 9.4.8 của TCVN ISO/IEC 17021-1, báo cáo đánh giá phải cung cấp hoặc tham chiếu đến các thông tin sau:

a) hồ sơ đánh giá bao gồm cả tóm tắt về xem xét tài liệu;

b) hồ sơ của tổ chức đánh giá về phân tích rủi ro an toàn thông tin của khách hàng;

c) những sai lệch so với kế hoạch đánh giá (ví dụ thời gian nhiều hay ít hơn cho một số hoạt động cụ thể đã được lên kế hoạch);

d) phạm vi của ISMS.

9.4.3.2  Báo cáo đánh giá phải đủ chi tiết để tạo điều kiện và hỗ trợ quyết định chứng nhận. Báo cáo phải gồm:

a) các biên bản đánh giá quan trọng và các phương pháp luận đánh giá được sử dụng (xem 9.1.3.2);

b) các quan sát được thực hiện, cả tích cực (ví dụ, các tính năng cần chú ý) và tiêu cực (ví dụ, các điểm không phù hợp tiềm ẩn);

c) các ý kiến về sự phù hợp của ISMS của khách hàng với các yêu cầu chứng nhận bằng một tuyên bố rõ ràng về sự không phù hợp, tham chiếu đến phiên bản Tuyên bố áp dụng và, nếu có thể, cả các so sánh có giá trị với kết quả của các cuộc đánh giá chứng nhận trước kia của khách hàng.

Các bộ câu hỏi đầy đủ, danh sách kiểm tra, các quan sát, nhật ký hoặc các ghi chép của chuyên gia đánh giá có thể cũng là một phần của báo cáo đánh giá. Nếu các phương pháp này được sử dụng thì các tài liệu này phải được gửi đến tổ chức chứng nhận làm bằng chứng hỗ trợ quyết định chứng nhận. Thông tin về các mẫu đánh giá trong quá trình đánh giá cũng phải được đưa vào báo cáo đánh giá hoặc tài liệu chứng nhận khác.

Báo cáo phải xem xét sự phù hợp của tổ chức nội bộ và các thủ tục được khách hàng chấp nhận để tạo sự tin cậy về ISMS.

Ngoài các yêu cầu về báo cáo tại 9.4.8 của TCVN ISO/IEC 17021-1, bản báo cáo phải có:

- bản tóm tắt các quan sát quan trọng nhất, cả tích cực cũng như tiêu cực, liên quan đến việc triển khai và hiệu quả của các yêu cầu ISMS và các biện pháp kiểm soát IS.

- khuyến nghị của đoàn đánh giá về việc ISMS của khách hàng có nên được chứng nhận hay không, cùng với thông tin để chứng minh khuyến nghị này.

9.5  Quyết định chứng nhận

Áp dụng các yêu cầu trong 9.5 của TCVN ISO/IEC 17021-1. Ngoài ra, áp dụng các yêu cầu và hướng dẫn sau đây.

9.5.1  IS 9.5 Quyết định chứng nhận

Bên cạnh các yêu cầu của TCVN ISO/IEC 17021-1, việc quyết định chứng nhận phải căn cứ vào khuyến nghị chứng nhận của đoàn đánh giá được cung cấp trong báo cáo đánh giá chứng nhận (xem 9.4.3).

Các cá nhân hoặc hội đồng đưa ra quyết định về việc cấp chứng nhận thường không nên làm trái những khuyến nghị tiêu cực của đoàn đánh giá. Nếu một tình huống như vậy phát sinh thì tổ chức chứng nhận phải lập tài liệu và chứng minh lý do cho quyết định làm trái khuyến nghị.

Tổ chức chứng nhận không được cấp chứng nhận cho khách hàng cho đến khi có đủ căn cứ để chứng minh rằng các sắp xếp cho các cuộc xem xét của lãnh đạo và các đánh giá ISMS nội bộ đã được triển khai có hiệu quả và sẽ được duy trì.

9.6  Duy trì chứng nhận

9.6.1  Tổng quan

Áp dụng các yêu cầu trong 9.6.1 của TCVN ISO/IEC 17021-1.

9.6.2  Hoạt động giám sát

Áp dụng các yêu cầu trong 9.6.2 của TCVN ISO/IEC 17021-1. Ngoài ra, áp dụng các yêu cầu và hướng dẫn sau đây.

9.6.2.1  IS 9.2 Hoạt động giám sát

9.6.2.1.1  Các thủ tục đánh giá giám sát phải phù hợp với những vấn đề liên quan đến đánh giá chứng nhận ISMS của khách hàng đã được mô tả trong tiêu chuẩn này.

Mục đích của giám sát là để xác minh rằng ISMS được phê duyệt tiếp tục được triển khai, xem xét các tác động của việc thay đổi đối với hệ thống do những kết quả của sự thay đổi trong hoạt động của khách hàng và khẳng định sự tuân thủ liên tục theo các yêu cầu chứng nhận. Chương trình đánh giá giám sát phải gồm ít nhất:

a) các yếu tố duy trì hệ thống như đánh giá rủi ro và duy trì kiểm soát an toàn thông tin, đánh giá ISMS nội bộ, xem xét của lãnh đạo rà soát và hành động khắc phục;

b) các trao đổi thông tin từ các bên bên ngoài được yêu cầu bởi tiêu chuẩn ISMS TCVN ISO/IEC 27001 và các tài liệu khác được yêu cầu đối với việc chứng nhận;

c) những thay đổi đối với hệ thống đã được lập tài liệu;

d) các khu vực sẽ thay đổi;

e) các yêu cầu được lựa chọn của TCVN ISO/IEC 27001;

f) các khu vực được chọn khác nếu phù hợp.

9.6.2.1.2  Mọi cuộc giám sát bởi tổ chức chứng nhận ít nhất phải xem xét các vấn đề sau:

a) hiệu quả của ISMS liên quan đến việc đạt được các mục tiêu của chính sách an toàn thông tin của khách hàng;

b) chức năng của các thủ tục để đánh giá và xem xét định kỳ việc tuân thủ theo pháp luật và quy định về an toàn thông tin;

c) những thay đổi đối với các biện pháp kiểm soát đã được xác định và những thay đổi mang lại đối với SoA;

d) sự triển khai và hiệu quả của các biện pháp kiểm soát theo chương trình đánh giá.

9.6.2.1.3  Tổ chức chứng nhận phải có khả năng thích ứng chương trình giám sát của họ với các vấn đề an toàn thông tin liên quan đến các rủi ro và các tác động lên khách hàng và khẳng định chương trình này.

Các đánh giá giám sát có thể được kết hợp với các đánh giá của các hệ thống quản lý khác. Báo cáo phải chỉ rõ các khía cạnh liên quan đến từng hệ thống quản lý.

Trong suốt các đánh giá giám sát, các tổ chức chứng nhận phải kiểm tra hồ sơ về những yêu cầu xem xét lại và khiếu nại đưa ra trước tổ chức chứng nhận và trong trường hợp có bất cứ sự không phù hợp hoặc không đáp ứng các yêu cầu chứng nhận được phát hiện thì khách hàng đã điều tra ISMS và các thủ tục của họ và tiến hành các hành động khắc phục phù hợp.

Đặc biệt, báo cáo giám sát phải chứa thông tin làm rõ những điểm không phù hợp đã được phát hiện trước đây, phiên bản của SoA và những thay đổi quan trọng từ đánh giá trước đó. Ít nhất thì các báo cáo có được từ đánh giá giám sát phải gồm đầy đủ các yêu cầu của 9.6.2.1.1 và 9.6.2.1.2 ở trên.

9.6.3  Chứng nhận lại

Áp dụng các yêu cầu trong 9.6.3 của TCVN ISO/IEC 17021-1. Ngoài ra, áp dụng các yêu cầu và hướng dẫn sau đây

9.6.3.1  IS 9.6.3 Đánh giá chứng nhận lại

Thủ tục đánh giá chứng nhận lại phải phù hợp với những vấn đề liên quan đến chứng nhận lần đầu ISMS của khách hàng như được mô tả trong tiêu chuẩn này.

Thời gian cho phép triển khai hành động khắc phục phải phù hợp với mức độ nghiêm trọng của sự không phù hợp và rủi ro an toàn thông tin liên quan.

9.6.4  Đánh giá đặc biệt

Áp dụng các yêu cầu trong 9.6.4 của tiêu chuẩn TCVN ISO/IEC 17021-1. Ngoài ra, áp dụng các yêu cầu và hướng dẫn sau đây.

9.6.4.1  IS 9.6.4 Các trường hợp đặc biệt

Các hoạt động cần thực hiện đánh giá đặc biệt sẽ phải chịu các quy định đặc biệt nếu khách hàng có ISMS đã được chứng nhận thực hiện các thay đổi lớn đối với hệ thống của họ hoặc nếu có các thay đổi khác làm ảnh hưởng cơ bản đến việc chứng nhận.

9.6.5  Đình chỉ, hủy bỏ hoặc thu hẹp phạm vi chứng nhận

Áp dụng các yêu cầu trong 9.6.5 của TCVN ISO/IEC 17021-1.

9.7  Yêu cầu xem xét lại

Áp dụng các yêu cầu trong 9.7 của TCVN ISO/IEC 17021-1.

9.8  Khiếu nại

Áp dụng các yêu cầu trong 9.8 của TCVN ISO/IEC 17021-1. Ngoài ra, áp dụng các yêu cầu và hướng dẫn sau đây.

9.8.1  IS 9.8 Khiếu nại

Các khiếu nại mô tả sự cố tiềm ẩn và dấu hiệu cho sự không phù hợp có thể xảy ra.

9.9  Hồ sơ khách hàng

Áp dụng các yêu cầu trong 9.9 của TCVN ISO/IEC 17021-1.

10  Yêu cầu về hệ thống quản lý đối với tổ chức chứng nhận

10.1  Các lựa chọn

Áp dụng các yêu cầu trong 10.1 của TCVN ISO/IEC 17021-1. Ngoài ra, áp dụng các yêu cầu và hướng dẫn sau đây.

10.1.1  IS 10.1 Triển khai ISMS

Khuyến nghị các tổ chức chứng nhận triển khai ISMS theo TCVN ISO/IEC 27001.

10.2  Lựa chọn A - Yêu cầu chung về hệ thống quản lý

Áp dụng các yêu cầu trong 10.2 của TCVN ISO/IEC 17021-1.

10.3  Lựa chọn B - Yêu cầu về hệ thống quản lý theo TCVN ISO 9001

Áp dụng các yêu cầu trong 10.3 của TCVN ISO/IEC 17021-1.

Phụ lục A

(Tham khảo)

Kiến thức và kỹ năng đánh giá và chứng nhận ISMS

A1  Tổng quan

Bảng A.1 tóm lược về kiến thức và kỹ năng được yêu cầu đối với đánh giá và chứng nhận ISMS, nhưng chỉ là thông tin tham khảo bởi vì ở đây chỉ xác định các phạm vi kiến thức và kỹ năng đối với các chức năng chứng nhận cụ thể.

Các yêu cầu về năng lực đối với mỗi chức năng đã được nêu ra trong nội dung chính của tiêu chuẩn này và bảng dưới đây sẽ tham chiếu đến các yêu cầu cụ thể.

Bảng A.1 - Kiến thức đánh giá và chứng nhận ISMS

A.2  Xem xét về năng lực chung

Có một vài cách để chuyên gia đánh giá có thể chứng minh kiến thức và kinh nghiệm của họ. Kiến thức và kinh nghiệm có thể được đánh giá, ví dụ bằng cách sử dụng bằng cấp đã được công nhận. Hồ sơ đăng ký theo chương trình chứng nhận hành nghề cũng có thể được sử dụng để đánh giá kiến thức và kinh nghiệm cần thiết. Mức năng lực yêu cầu cho đoàn đánh giá cần được thiết lập tương ứng với ngành nghề/lĩnh vực công nghệ của tổ chức và tính phức tạp của ISMS của họ.

A.3  Xem xét về kiến thức và kinh nghiệm cụ thể

A.3.1  Kiến thức đặc thù liên quan đến ISMS

Bên cạnh các yêu cầu trong 7.1.2, cần xem xét các yêu cầu sau. Các chuyên gia đánh giá cần có kiến thức và hiểu biết về các chủ đề đánh giá và ISMS sau:

- chương trình và kế hoạch đánh giá;

- loại hình và các phương pháp luận đánh giá;

- rủi ro đánh giá;

- phân tích các quy trình an toàn thông tin;

- sự cải tiến tính liên tục;

- đánh giá nội bộ đối với an toàn thông tin.

Các chuyên gia đánh giá cần có kiến thức và hiểu biết về các yêu cầu chế định sau đây:

- sở hữu trí tuệ;

- nội dung, bảo vệ và duy trì các hồ sơ tổ chức;

- bảo vệ dữ liệu và sự riêng tư;

- quy định về kiểm soát mã hóa;

- thương mại điện tử;

- chữ ký số và điện tử;

- giám sát môi trường làm việc;

- ngăn chặn truyền thông và giám sát dữ liệu (ví dụ, thư điện tử);

- lạm dụng máy tính;

- thu thập bằng chứng điện tử;

- kiểm thử thâm nhập;

- các yêu cầu quốc tế và quốc gia đối với ngành nghề cụ thể (ví dụ, ngân hàng).

Phụ lục B

(Quy định)

Thời gian đánh giá

B.1  Giới thiệu

Phụ lục này đưa thêm các yêu cầu liên quan đến 9.1 của TCVN ISO/IEC 17021-1. Phụ lục này cung cấp những yêu cầu tối thiểu và hướng dẫn tổ chức chứng nhận trong việc phát triển các thủ tục riêng để xác định lượng thời gian cần thiết để chứng nhận các phạm vi ISMS của khách hàng theo các quy mô và tính phức tạp khác nhau thông qua một loạt các hoạt động.

Tổ chức chứng nhận phải xác định lượng thời gian đánh giá được dành cho chứng nhận lần đầu, giám sát và chứng nhận lại cho mỗi khách hàng và ISMS được chứng nhận. Sử dụng phụ lục này ở giai đoạn hoạch định đánh giá sẽ có một cách tiếp cận phù hợp để xác định thời gian đánh giá thích hợp. Ngoài ra, thời gian đánh giá có thể được điều chỉnh dựa trên những điều được phát hiện trong quá trình đánh giá, đặc biệt là trong giai đoạn 1 (ví dụ, đánh giá khác về tính phức tạp của phạm vi ISMS, hoặc các địa điểm được bổ sung vào phạm vi).

Phụ lục này đưa ra:

- các khái niệm được sử dụng để tính toán thời gian đánh giá (B.2);

- các yêu cầu về thủ tục để xác định thời gian đánh giá ở các giai đoạn đánh giá khác nhau (B.3 đến B.5);

- các yêu cầu liên quan đến đánh giá đa điểm (B.6).

Các ví dụ về tính toán thời gian đánh giá thể hiện cách sử dụng phụ lục B có thể tìm thấy trong Phụ lục C.

Giả thiết cơ bản của phương pháp tiếp cận này là phương thức tính toán xác định thời gian đánh giá cần:

a) chỉ xem xét các thuộc tính đã được chứng minh mà có thể đã được xác định;

b) đủ dễ dàng để được các tổ chức chứng nhận áp dụng hiệu quả;

c) đủ phức tạp để nhận thấy sự khác biệt.

Việc xác định thời gian đánh giá được dựa trên các số liệu cung cấp trong Bảng B.1 (“Bảng thời gian đánh giá”) dưới đây và phải cân nhắc các yếu tố đóng góp để điều chỉnh.

B.2  Khái niệm

B.2.1  Số lượng người làm việc dưới sự kiểm soát của tổ chức

Tổng số người đang làm việc dưới sự kiểm soát của tổ chức cho tất các các ca là điểm khởi đầu để xác định thời gian đánh giá.

CHÚ THÍCH: Thuật ngữ "Người làm việc dưới sự kiểm soát của tổ chức" được gọi tắt là nhân viên trong TCVN ISO/IEC 17021-1.

Những người làm việc bán thời gian dưới sự kiểm soát của tổ chức cũng đóng góp vào số lượng người làm việc dưới sự kiểm soát của tổ chức tương ứng với số giờ họ làm việc so với người làm việc toàn thời gian dưới sự kiểm soát của tổ chức. Việc xác định này sẽ phụ thuộc vào số giờ làm việc so với nhân viên làm việc toàn thời gian.

B.2.2  Ngày đánh giá

“Thời gian đánh giá” trong bảng B.1 được phát biểu là “Số ngày đánh giá” sử dụng cho cuộc đánh giá. Đơn vị tính trong phụ lục B là ngày làm việc 8 giờ.

B.2.3  Địa điểm tạm thời

Địa điểm tạm thời là một vị trí khác với các địa điểm được xác định trong tài liệu chứng nhận nơi các hoạt động trong phạm vi chứng nhận được thực hiện trong một khoảng thời gian xác định. Những địa điểm này có thể là các địa điểm quản lý thuộc dự án lớn đến các địa điểm dịch vụ/lắp đặt nhỏ. Sự cần thiết phải tới thăm các địa điểm này và mức độ lấy mẫu phải được dựa trên việc đánh giá các rủi ro của việc không đáp ứng các mục tiêu IS do sự không phù hợp bắt nguồn tại địa điểm tạm thời. Mẫu của các địa điểm được chọn này cần đại diện cho nhiều nhu cầu năng lực của tổ chức và các biến thể dịch vụ đã được xem xét theo quy mô, loại hình hoạt động, và các giai đoạn khác nhau của các dự án theo tiến độ.

Thông tin về việc lấy mẫu chung xem tại 9.1.5.1.

B.3  Thủ tục xác định thời gian đánh giá cho đánh giá lần đầu

B.3.1  Tổng quan

Việc tính toán thời gian đánh giá phải thực hiện theo thủ tục được lập tài liệu.

B.3.2  Đánh giá từ xa

Nếu các kỹ thuật đánh giá từ xa như hợp tác dựa trên web tương tác, hội nghị qua web, hội nghị từ xa và/hoặc xác minh điện tử các quá trình của tổ chức được sử dụng để giao tiếp với tổ chức thì các hoạt động này cần được xác định trong kế hoạch đánh giá (xem 9.3.2), và có thể được coi là một phần đóng góp vào tổng “thời gian đánh giá tại chỗ”

Nếu tổ chức chứng nhận có kế hoạch đánh giá mà ở đó các hoạt động đánh giá từ xa chiếm hơn 30% thời gian đánh giá tại chỗ được hoạch định thì tổ chức chứng nhận phải giải trình kế hoạch đánh giá và được sự chấp thuận từ tổ chức công nhận trước khi thực thi.

CHÚ THÍCH  Thời gian đánh giá tại chỗ là thời gian đánh giá tại chỗ được hoạch định cho các vị trí riêng biệt. Các cuộc đánh giá bằng phương điện tử cho các vị trí từ xa được coi là đánh giá từ xa, ngay cả khi đánh giá điện tử trên thực tế được thực hiện ở trụ sở của khách hàng.

B.3.3  Tính toán thời gian đánh giá

Bảng thời gian đánh giá cung cấp dưới đây đưa ra mức khởi điểm về số ngày đánh giá lần đầu trung bình (ở đây và sau này, con số này bao gồm các ngày cho một cuộc đánh giá lần đầu (giai đoạn 1 và giai đoạn 2) mà kinh nghiệm đã cho thấy là phù hợp cho một phạm vi ISMS có số lượng người nhất định làm việc dưới sự kiểm soát của tổ chức. Kinh nghiệm cũng đã chứng minh rằng đối với các phạm vi ISMS có quy mô tương tự thì sẽ cần nhiều hoặc ít thời gian hơn.

Bảng thời gian đánh giá dưới đây đưa ra mức khung phải được sử dụng để hoạch định đánh giá bằng cách xác định một mức khởi điểm dựa trên tổng số người làm việc dưới sự kiểm soát của tổ chức ở tất cả các ca và điều chỉnh mức này dựa trên các yếu tố quan trọng áp dụng cho phạm vi ISMS cần được đánh giá và đưa vào từng yếu tố trong số thêm hoặc bớt để điều chỉnh. Bảng thời gian đánh giá phải được sử dụng, trong đó có xem xét các yếu tố đóng góp và giới hạn độ lệch tối đa (xem B.3.4 và B.3.5 ở dưới). Các thuật ngữ được sử dụng trong bảng này được giải thích trong B.2 ở trên và Phụ lục C đưa ra các ví dụ về cách thức có thể được thực hiện.

Bảng B.1 - Bảng thời gian đánh giá

B.3.4  Các yếu tố điều chỉnh thời gian đánh giá

Không được chỉ sử dụng bảng thời gian đánh giá. Khi phân bổ thời gian, phải xem xét các yếu tố dưới đây liên quan tới sự phức tạp của ISMS và do vậy cả sự nỗ lực cần để thực hiện đánh giá ISMS:

a) sự phức tạp của ISMS (ví dụ, tầm quan trọng của thông tin, trạng thái rủi ro của ISMS,...):

b) (các) loại hình nghiệp vụ được thực hiện trong phạm vi của ISMS;

c) kết quả thực hiện đã được chứng minh từ trước của ISMS;

d) mức độ và tính đa dạng của công nghệ được dùng trong việc triển khai các thành phần khác nhau của ISMS (ví dụ, số lượng nền tảng IT khác nhau, số lượng mạng tách biệt);

e) mức độ thuê ngoài và các thỏa thuận bên thứ ba sử dụng trong phạm vi của ISMS;

f) mức độ phát triển hệ thống thông tin;

g) số lượng địa điểm và số lượng địa điểm khôi phục dữ liệu sau thảm họa (DR);

h) đối với đánh giá giám sát hoặc chứng nhận lại: lượng và mức độ thay đổi liên quan đến ISMS theo 8.5.3 của TCVN ISO/IEC 17021-1.

Phụ lục C đưa ra các ví dụ về cách thức xem xét những yếu tố khác nhau này khi tính toán thời gian đánh giá.

Dưới đây là các yếu tố tham khảo bổ sung cho phép tăng thời gian đánh giá:

- dịch vụ logictics phức tạp qua nhiều hơn một tòa nhà hoặc vị trí trong phạm vi ISMS;

- nhân viên biết nói nhiều hơn một ngôn ngữ (yêu cầu (nhiều) người phiên dịch hoặc ngăn cản các chuyên gia đánh giá riêng lẻ làm việc độc lập) hoặc tài liệu được cung cấp nhiều hơn một ngôn ngữ;

- các hoạt động có yêu cầu tới thăm các địa điểm tạm thời để xác nhận các hoạt động của (các) địa điểm cố định có hệ thống quản lý là đối tượng chứng nhận (xem đoạn dưới danh sách tiếp theo);

- số lượng lớn các tiêu chuẩn và văn bản quy định áp dụng cho ISMS.

Dưới đây là các yếu tố tham khảo cho phép giảm thời gian đánh giá có thể:

- các sản phẩm/quy trình không có/ít rủi ro;

- các quy trình liên quan đến một hoạt động chung duy nhất (ví dụ, chỉ có dịch vụ);

- tỷ lệ phần trăm cao những người làm việc dưới sự kiểm soát của tổ chức thực hiện cùng nhiệm vụ;

- biết trước về tổ chức (ví dụ, nếu khách hàng đã được chứng nhận theo một tiêu chuẩn khác bởi cùng tổ chức chứng nhận);

- khách hàng đã rất sẵn sàng cho việc chứng nhận (ví dụ, đã được chứng nhận hoặc công nhận bởi một chương trình của bên thứ 3 khác);

- tính hoàn thiện cao của hệ thống quản lý hiện hành.

Trong trường hợp khách hàng chứng nhận hoặc tổ chức được chứng nhận cung cấp (các) sản phẩm hoặc dịch vụ của họ tại các địa điểm tạm thời thì điều quan trọng là các đánh giá cho các vị trí này được tích hợp vào các chương trình đánh giá chứng nhận và giám sát.

Các yếu tố trên phải được xem xét và có những điều chỉnh cho những yếu tố này để có được thời gian đánh giá nhiều hơn hoặc ít hơn cho một cuộc đánh giá hiệu quả. Các yếu tố làm tăng có thể bù lại các yếu tố làm giảm. Trong tất cả các trường hợp có sự điều chỉnh so với thời gian được cho trong bảng thời gian đánh giá, bằng chứng đầy đủ và các hồ sơ phải được duy trì để chứng minh cho sự thay đổi.

B.3.5  Giới hạn độ chênh lệch thời gian đánh giá

Để đảm bảo các cuộc đánh giá hiệu quả sẽ được thực hiện và đảm bảo có kết quả tin cậy và có thể so sánh thì không được giảm quá 30% thời gian đánh giá được đưa ra trong bảng thời gian đánh giá.

Lý do phù hợp cho sự chênh lệch phải được đưa ra và được ghi lại.

B.3.6  Thời gian đánh giá tại chỗ

Người ta kỳ vọng rằng thời gian tính cho việc hoạch định và viết báo cáo thường không làm giảm tổng “thời gian đánh giá” tại chỗ xuống thấp hơn 70% thời gian cho trong bảng thời gian đánh giá. Trường hợp cần thêm thời gian yêu cầu để hoạch định và/hoặc viết báo cáo thì điều này không được làm giảm thời gian đánh giá tại chỗ. Thời gian chuyên gia đánh giá đi lại không được đưa vào tính toán này và được bổ sung vào thời gian đánh giá tham chiếu trong bảng thời gian đánh giá.

CHÚ THÍCH  70% là một con số dựa trên kinh nghiệm của các chuyên gia đánh giá ISMS.

B.4  Thời gian đánh giá đối với đánh giá giám sát

Đối với chu kỳ đánh giá chứng nhận lần đầu, thời gian giám sát đối với một tổ chức cụ thể phải tỷ lệ với thời gian sử dụng tại đánh giá lần đầu với tổng số thời gian sử dụng hàng năm cho giám sát là khoảng 1/3 thời gian sử dụng cho đánh giá lần đầu. Thời gian giám sát theo kế hoạch cần được xem xét ở những thời điểm khác nhau nhằm tính đến cả những thay đổi ảnh hưởng đến thời gian giám sát. Thời gian dành cho một cuộc giám sát đánh giá phải được tăng lên để cho phép đánh giá cả những thay đổi của ISMS (chẳng hạn như đánh giá các biện pháp kiểm soát mới hoặc đã thay đổi).

B.5  Thời gian đánh giá đối với đánh giá chứng nhận lại

Tổng thời gian dành để thực hiện đánh giá chứng nhận lại phải phụ thuộc vào kết quả của mọi cuộc đánh giá trước đó như đã xác định trong 9.4.3 của tiêu chuẩn này và 9.6.3 của tiêu chuẩn TCVN ISO/IEC 17021-1. Lượng thời gian dành cho đánh giá chứng nhận lại cần tỷ lệ với thời gian đã sử dụng cho đánh giá chứng nhận lần đầu của tổ chức và ít nhất bằng 2/3 thời gian được yêu cầu cho đánh giá chứng nhận lần đầu của tổ chức tại thời điểm được đánh giá để chứng nhận lại.

B.6  Thời gian đánh giá đối với đánh giá đa điểm

Số ngày đánh giá cho mỗi địa điểm, bao gồm cả trụ sở chính, phải được tính toán đối với mỗi địa điểm.

Có thể giảm bớt thời gian đánh giá cho các thành phần đánh giá không liên quan đến trụ sở chính hoặc các địa điểm nội bộ. Lý do lý giải cho sự cắt giảm này phải được tổ chức chứng nhận ghi vào hồ sơ.

Phụ lục C

(Tham khảo)

Các phương pháp tính toán thời gian đánh giá

C.1  Tổng quan

Phụ lục này cung cấp thêm những hướng dẫn để xây dựng công thức tính toán thời gian đánh giá. Mục C.2 đưa ra ví dụ về phân loại các yếu tố có thể được sử dụng làm cơ sở tính toán thời gian đánh giá và mục C.3 đưa ra ví dụ về tính toán thời gian đánh giá.

C.2  Phân loại các yếu tố để tính toán thời gian đánh giá

Bảng C.1 đưa ra các ví dụ về phân loại các yếu tố chính đối với tính toán thời gian đánh giá, như đã liệt kê trong B.3.4 a) đến h). Việc phân loại này có thể được sử dụng bởi các tổ chức chứng nhận để có được một chương trình tính toán thời gian đánh giá phù hợp với 9.1.4.1:

Bảng C.1 - Phân loại các yếu tố để tính toán thời gian đánh giá

C.3  Ví dụ về tính toán thời gian đánh giá

Ví dụ sau đây minh họa cách thức mà tổ chức chứng nhận có thể sử dụng các yếu tố được đưa ra trong B.3 để tính toán thời gian đánh giá. Việc tính toán thời gian đánh giá trong ví dụ dưới đây được thực hiện theo cách sau:

Bước 1: Xác định các yếu tố liên quan đến nghiệp vụ và tổ chức (trừ IT): Xác định cấp độ phù hợp cho từng hạng mục được đưa ra trong Bảng C.2 và tổng hợp các kết quả.

Bước 2: Xác định các yếu tố liên quan đến môi trường IT: Xác định cấp độ phù hợp cho từng hạng mục được đưa ra trong Bảng C.3 và tổng hợp các kết quả.

Bước 3: Dựa trên các kết quả của bước 1 và 2 ở trên, xác định tác động của các yếu tố lên thời gian đánh giá bằng việc lựa chọn mục thích hợp trong Bảng C.4.

Bước 4: Tính toán cuối cùng: số lượng ngày được xác định bằng cách áp dụng bảng thời gian đánh giá (Bảng B.1) nhân với yếu tố có được từ bước 3. Trường hợp lấy mẫu đa điểm được sử dụng thì số ngày đánh giá được tính toán sẽ tăng lên dựa trên sự nỗ lực cần để thực hiện kế hoạch lấy mẫu đa điểm.

Kết quả này là kết quả cuối cùng của số lượng ngày đánh giá.

Bảng C.2 - Các yếu tố liên quan đến nghiệp vụ và tổ chức (trừ IT)

Bảng C.3 - Các yếu tố liên quan đến môi trường IT

Bảng C.4 - Tác động của các yếu tố lên thời gian đánh giá

VÍ DỤ 1  Tổ chức được đánh giá có 700 nhân viên, do đó theo Bảng B.1, sẽ cần 17,5 ngày để đánh giá lần đầu. Tổ chức không làm việc trong ngành nghề nghiệp vụ quan trọng, công việc được chuẩn hóa cao và có tính lặp, và ISMS vừa được thiết lập. Theo Bảng C.2, điều này sẽ làm phát sinh một yếu tố liên quan đến nghiệp vụ và tổ chức là 1 + 1 + 3 = 5. Tổ chức có rất ít nền tảng IT và cơ sở dữ liệu nhưng sử dụng thuê ngoài là chủ yếu. Tổ chức không phát triển hệ thống thông tin hoặc đã thuê ngoài. Theo Bảng C.3, điều này sẽ làm phát sinh một yếu tố liên quan đến môi trường IT là 1 + 3 + 1 = 5. Sử dụng Bảng C.4 cho thấy không cần điều chỉnh thời gian đánh giá.

VÍ DỤ 2  Tổ chức có đặc điểm tương tự như ví dụ trước ngoại trừ đã có một số hệ thống quản lý và ISMS đã được thiết lập tốt. Điều này sẽ làm thay đổi việc tính toán theo Bảng C.2 là 1 + 1 + 1 = 3. Theo Bảng C.4, sẽ phải giảm thời gian đánh giá từ 5% đến 10%, tức là thời gian đánh giá sẽ phải giảm từ 1 đến 1,5 ngày. Kết quả cuối cùng, tổng số ngày sẽ là 16 đến 16,5 ngày.

Phụ lục D

(Tham khảo)

Hướng dẫn xem xét các biện pháp kiểm soát đã được triển khai theo phụ lục A của ISO/IEC 27001:2013

D.1  Mục đích

Việc triển khai các biện pháp kiểm soát đã được khách hàng xác định là cần thiết cho ISMS (theo Thông báo áp dụng) cần được xem xét trong giai đoạn 2 của đánh giá lần đầu và trong các hoạt động giám sát và chứng nhận lại (xem 9.3.1.2.2 g).

Bằng chứng đánh giá mà tổ chức chứng nhận thu thập phải đầy đủ để đưa ra kết luận về tính hiệu quả của các biện pháp kiểm soát này. Cách thức mà một biện pháp kiểm soát được dự kiến thực hiện có thể được xác định trong các chính sách hoặc thủ tục của khách hàng.

D.1.1  Bằng chứng đánh giá

Bằng chứng đánh giá có chất lượng tốt nhất được thu thập từ việc quan sát của chuyên gia đánh giá (ví dụ, thấy rằng một cửa có khóa đã được khóa, người ta ký các thỏa thuận về bảo mật, có sổ đăng ký tài sản và trong sổ có tên các tài sản quan sát thấy, các thiết lập hệ thống là phù hợp,...). Bằng chứng có thể được thu thập từ việc nhìn thấy các kết quả về kết quả thực hiện của một biện pháp kiểm soát (ví dụ, các bản in của quyền truy cập được cấp được ký bởi người có thẩm quyền phù hợp, các hồ sơ giải quyết sự cố, các thẩm quyền xử lý được ký bởi người có thẩm quyền phù hợp, biên bản các cuộc họp,...). Bằng chứng cũng có thể là kết quả của việc thử nghiệm trực tiếp (hoặc thực hiện lại) các biện pháp kiểm soát bởi chuyên gia đánh giá, ví dụ cố gắng thực hiện các nhiệm vụ được cho là bị cấm bởi các biện pháp kiểm soát, xác định xem phần mềm bảo vệ chống lại các mã độc đã được cài đặt và cập nhật trên các máy, quyền truy cập được cấp (sau khi kiểm tra quyền hạn),.... Bằng chứng có thể thu được bằng cách phỏng vấn những người làm việc dưới sự kiểm soát của tổ chức/các nhà thầu về các quy trình và biện pháp kiểm soát và xác định xem điều này có đúng với thực tế.

D.2  Cách sử dụng bảng D.1

D.2.1  Tổng quan

Bảng D.1 cung cấp hướng dẫn xem xét việc triển khai các biện pháp kiểm soát được liệt kê trong Phụ lục A của ISO/IEC 27001:2013, và thu thập bằng chứng đánh giá về kết quả thực hiện của chúng trong các cuộc đánh giá lần đầu và đánh giá tiếp theo. Bảng D.1 không nhằm mục đích đưa ra hướng dẫn xem xét các biện pháp kiểm soát khác nằm ngoài phụ lục A của ISO/IEC 27001:2013.

D.2.2  Cột "Biện pháp kiểm soát về tổ chức" và "Biện pháp kiểm soát kỹ thuật"

Dấu "X” trong cột tương ứng cho biết biện pháp kiểm soát về tổ chức hay kỹ thuật. Với một số biện pháp kiểm soát cả về tổ chức và kỹ thuật thì dấu “X” nằm trong cả hai cột.

Bằng chứng về hiệu suất của các biện pháp kiểm soát có thể được thu thập thông qua việc xem xét các hồ sơ kết quả thực hiện của các biện pháp kiểm soát, các cuộc phỏng vấn, việc quan sát và kiểm tra thực tế. Bằng chứng về hiệu suất của các biện pháp kiểm soát kỹ thuật thường có thể được thu thập thông qua kiểm thử hệ thống (xem bên dưới) hoặc thông qua sử dụng các dụng cụ đánh giá/báo cáo chuyên dụng.

D.2.3  Cột "Kiểm thử hệ thống"

"Kiểm thử hệ thống" có nghĩa là xem xét trực tiếp hệ thống thông tin (ví dụ, xem xét các cài đặt hoặc cấu hình hệ thống). Các câu hỏi của chuyên gia đánh giá có thể được trả lời tại phần điều khiển của hệ thống hoặc bằng cách đánh giá kết quả của các công cụ kiểm thử. Nếu chuyên gia đánh giá đã biết rằng khách hàng có sử dụng một công cụ cài trên máy tính thì điều này có thể được sử dụng để hỗ trợ cuộc đánh giá, hoặc các kết quả đánh giá thực hiện bởi chính khách hàng (hoặc các nhà thầu của họ) có thể được xem xét.

Trong bảng đưa ra hai dạng xem xét các biện pháp kiểm soát kỹ thuật:

- “có thể”: kiểm thử hệ thống có thể được thực hiện để đánh giá việc triển khai biện pháp kiểm soát, nhưng có thể không cần thiết trong đánh giá ISMS.

- “khuyến nghị”: kiểm thử hệ thống thường là cần thiết trong đánh giá ISMS.

CHÚ THÍCH: Trong phụ lục này, từ “hệ thống” có nghĩa là “hệ thống thông tin” trừ khi có chỉ dẫn khác.

D.2.4  Cột “Kiểm tra trực quan”

“Kiểm tra trực quan” có nghĩa là các biện pháp kiểm soát này thường yêu cầu kiểm tra bằng mắt ngay lập tức để đánh giá hiệu quả của chúng. Điều này có nghĩa là chưa đủ để phải xem xét các tài liệu tương ứng trên giấy hoặc thông qua các cuộc phỏng vấn; chuyên gia đánh giá cần xác minh ngay lập tức nếu chúng đã được triển khai.

D.2.5  Cột “hướng dẫn xem xét đánh giá”

Cột “hướng dẫn xem xét đánh giá” đưa ra các lĩnh vực trọng tâm có thể để đánh giá biện pháp kiểm soát, đây cũng là như hướng dẫn bổ sung cho các chuyên gia đánh giá.

Bảng D.1 - Phân loại các biện pháp kiểm soát