TIÊU CHUẨN QUỐC GIA TCVN ISO/IEC 27006:2017 (ISO/IEC 27006:2015) VỀ CÔNG NGHỆ THÔNG TIN – CÁC KỸ THUẬT AN TOÀN – YÊU CẦU ĐỐI VỚI TỔ CHỨC ĐÁNH GIÁ VÀ CHỨNG NHẬN HỆ THỐNG QUẢN LÝ AN TOÀN THÔNG TIN

Hiệu lực: Còn hiệu lực

TIÊU CHUẨN QUỐC GIA

TCVN ISO/IEC 27006:2017

ISO/IEC 27006:2015

CÔNG NGHỆ THÔNG TIN – CÁC KỸ THUẬT AN TOÀN – YÊU CẦU ĐỐI VỚI TỔ CHỨC ĐÁNH GIÁ VÀ CHỨNG NHẬN HỆ THỐNG QUẢN LÝ AN TOÀN THÔNG TIN

Information technology – Security techniques – Requirements for bodies providing audit and certification of information security management systems

 

Lời nói đầu

TCVN ISO/IEC 27006:2017 hoàn toàn tương đương ISO/IEC 27006:2015.

TCVN ISO/IEC 27006:2017 do Học viện công nghệ Bưu chính viễn thông biên soạn, Bộ Thông tin và Truyền thông đề nghị, Tổng cục Tiêu chuẩn Đo lường Chất lượng thẩm định, Bộ Khoa học và Công nghệ công b.

Lời giới thiệu

TCVN ISO/IEC 17021-1 đưa ra các chuẩn mực cho các tổ chức đánh giá và chứng nhận hệ thống quản lý. Nếu các tổ chức này được công nhận là phù hợp với TCVN ISO/IEC 17021-1 có mục tiêu đánh giá và chứng nhận hệ thống quản lý an toàn thông tin (ISMS) theo ISO/IEC 27001:2013 thì một số yêu cầu và hướng dẫn bổ sung cho TCVN ISO/IEC 17021-1 là cần thiết. Chúng sẽ được cung cp trong tiêu chun này.

Các đề mục trong tiêu chuẩn này tuân theo cấu trúc của TCVN ISO/IEC 17021-1, các yêu cầu bổ sung cho ISMS và hướng dẫn về việc áp dụng tiêu chuẩn TCVN ISO/IEC 17021-1 cho chứng nhận ISMS được xác định bởi các chữ “IS”.

Thuật ngữ “phải” được sử dụng xuyên suốt tiêu chuẩn này để chỉ ra những điều khoản, thể hiện yêu cầu của tiêu chuẩn TCVN ISO/IEC 17021-1 và TCVN ISO/IEC 27001, có tính chất bắt buộc. Thuật ngữ “cần/nên” được dùng đ chỉ sự khuyến nghị.

Mục đích chính của tiêu chuẩn này là cho phép các tổ chức công nhận hài hòa hiệu qu giữa việc áp dụng các tiêu chuẩn trên với giới hạn mà họ bị ràng buộc khi đánh giá các tổ chức chứng nhận.

Trong tiêu chuẩn này, các thuật ngữ “hệ thống quản lý” và “hệ thống” được sử dụng thay thế cho nhau. Có thể tham khảo định nghĩa về hệ thống quản lý trong tiêu chuẩn TCVN ISO 9000:2007 (ISO 9000:2005). Hệ thống quản lý được sử dụng trong tiêu chuẩn này không nhầm lẫn với các loại hệ thống khác, chẳng hạn như hệ thng công nghệ thông tin.

 

CÔNG NGHỆ THÔNG TIN – CÁC KỸ THUẬT AN TOÀN – YÊU CU ĐỐI VỚI TỔ CHỨC ĐÁNH GIÁ VÀ CHỨNG NHN HỆ THỐNG QUẢN LÝ AN TOÀN THÔNG TIN

Information technology – Security techniques – Requirements for bodies providing audit and certification of information security management systems

1  Phạm vi áp dụng

Tiêu chuẩn này quy định các yêu cầu, cung cấp hướng dẫn cho các tổ chức đánh giá và chứng nhận hệ thống quản lý an toàn thông tin (ISMS) ngoài các yêu cầu có trong TCVN ISO/IEC 17021-1 và TCVN ISO/IEC 27001. Tiêu chuẩn này ch yếu được dùng để hỗ trợ trong việc công nhận các tổ chức chứng nhận ISMS.

Các yêu cầu nêu trong tiêu chuẩn này cần được các tổ chức chứng nhận ISMS chứng minh bằng năng lực và độ tin cậy của họ, và hướng dẫn trong tiêu chuẩn cũng cung cấp giải thích bổ sung các yêu cầu này cho mọi tổ chức cung cấp chứng nhận ISMS.

CHÚ THÍCH: Tiêu chuẩn này có thể được sử dụng như một tài liệu tiêu chuẩn cho quá trình công nhận, đánh giá đồng đẳng hoặc các quá trình đánh giá khác.

2  Tài liệu viện dẫn

Các tài liệu viện dẫn sau đây là cần thiết để áp dụng tiêu chun này. Đối với các tài liệu viện dẫn ghi năm công bố thì áp dụng phiên bản được nêu. Đối với các tài liệu viện dẫn không ghi năm công bố thì áp dụng phiên bản mới nhất (bao gồm cả các sa đổi, bổ sung).

TCVN ISO/IEC 17021-1:2015, Đánh giá sự phù hợp – Yêu cầu đối với tổ chức đánh giá và chứng nhận hệ thống quản lý – Phần 1: Các yêu cầu.

TCVN 11238 (ISO/IEC 27000), Công nghệ thông tin – Các kỹ thuật an toàn – Hệ thống qun lý an toàn thông tin – Tổng quan và từ vựng.

ISO 27001:2013, Information technology – Security techniques – Information security management systems – Requirements (Công nghệ thông tin – Các kỹ thuật an toàn – Hệ thống quản lý an toàn thông tin – Các yêu cầu).

3  Thuật ngữ và định nghĩa

Tiêu chuẩn này sử dụng các thuật ngữ và định nghĩa nêu trong TCVN ISO/IEC 17021-1, TCVN 11238 (ISO/IEC 27000), cùng vi thuật ngữ và định nghĩa dưới đây.

3.1

Tài liệu chứng nhận (certification document)

Tài liệu chỉ ra rằng ISMS của khách hàng phù hợp với các tiêu chuẩn ISMS cụ thể và mọi tài liệu bổ sung theo yêu cầu của hệ thống.

4  Nguyên tắc

Áp dụng các nguyên tắc trong Điều 4 của TCVN ISO/IEC 17021-1.

5  Yêu cầu chung

5.1  Các vấn đề pháp lý và hợp đồng

Áp dụng các yêu cầu trong 5.1 của TCVN ISO/1EC170211.

5.2  Quản lý tính khách quan

Áp dụng các yêu cầu trong 5.2 của TCVN ISO/IEC 17021-1. Ngoài ra, áp dụng các yêu cầu và hướng dẫn sau đây.

5.2.1  IS 5.2 Xung đột về lợi ích

Tổ chức chứng nhận có thể thực hiện các công việc sau đây mà không bị coi là tư vấn hoặc có xung đột tiềm ẩn về lợi ích:

a) bố trí và tham gia như một giảng viên trong các khóa đào tạo, với điều kiện các khóa học này phải liên quan đến quản lý an toàn thông tin, các hệ thống quản lý liên quan hoặc các tổ chức đánh giá, chứng nhận phải tự hạn chế chỉ cung cấp thông tin chung và những tư vấn đã được công bố rộng rãi, nghĩa là họ không được cung cấp tư vấn cụ thể cho công ty trái vi yêu cầu của b) dưới đây;

b) cung cấp hoặc ban hành thông tin theo yêu cầu mô tả giải thích của tổ chức chứng nhận về yêu cầu của các tiêu chuẩn đánh giá chứng nhận (xem 9.1.3.6);

c) các hoạt động trước khđánh giá nhằm mục đích xác định sự sẵn sàng đánh giá chứng nhận; tuy nhiên, các hoạt động này không được dẫn đến việc đưa ra các khuyến nghị hoặc tư vấn trái với quy định tại điều này, và các tổ chức chứng nhận phải có th xác nhận rằng các hoạt động đó không trái với các yêu cầu này và chúng không được sử dụng để chứng minh về việc giảm thời gian đánh giá chứng nhận cuối cùng;

d) thực hiện các đánh giá của bên thứ hai và th ba theo các tiêu chuẩn hoặc quy định khác với các tiêu chuẩn hoặc quy định thuộc phạm vi công nhận;

e) tăng giá trị trong quá trình đánh giá chng nhận và các cuộc giám sát, ví dụ bằng cách xác định các cơ hội cải tiến, do chúng sẽ tr nên rõ ràng trong quá trình đánh giá, mà không cần đề xuất các giải pháp cụ thể.

Tổ chức chứng nhận không được cung cấp các xem xét an toàn thông tin nội bộ đối với ISMS được chứng nhận của khách hàng. Hơn nữa, tổ chức chng nhận phải độc lập với tổ chức hoặc các tổ chức (bao gồm cả các cá nhân) cung cấp đánh giá nội bộ ISMS.

5.3  Trách nhiệm pháp lý và tài chính

Áp dụng các yêu cầu trong 5.3 của TCVN ISO/IEC 17021-1.

6  Yêu cầu về cơ cấu

Áp dụng các yêu cầu trong Điều 6 của TCVN ISO/IEC 17021-1.

7  Yêu cầu về nguồn lực

7.1  Năng lực của nhân sự

Áp dụng các yêu cầu trong 7.1 của TCVN ISO/IEC 17021-1. Ngoài ra, áp dụng các yêu cầu và hướng dẫn sau đây.

7.1.1  IS 7.1.1 Lưu ý chung

7.1.1.1  Yêu cầu về năng lực chung

Tổ chức chứng nhận phải đảm bảo có kiến thức về các phát triển công nghệ, pháp lý và quy định liên quan đến ISMS của khách hàng mà tổ chức đánh giá.

Tổ chức chứng nhận phải xác định các yêu cầu về năng lực đi vi mỗi chức năng chứng nhận như trong Bảng A.1 của TCVN ISO/IEC 17201-1. Tổ chức chứng nhận phải xem xét tất cả các yêu cầu quy định trong TCVN ISO/IEC 17021-1; và 7.1.2 và 7.2.1 của tiêu chun này liên quan đến các lĩnh vực kỹ thuật ISMS như đã được tổ chức xác định.

CHÚ THÍCH: Phụ lục A tóm tắt các yêu cu về năng lực đi với nhân s tham gia vào các chức năng chng nhận cụ th.

7.1.2  IS 7.1.2 Xác định chuẩn mực năng lực

7.1.2.1  Yêu cầu về năng lực đánh giá ISMS

7.1.2.1.1  Yêu cầu chung

Các tổ chức chứng nhận phải có chun mực đ xác minh trình độ kinh nghiệm, đào tạo đặc biệt hoặc thông tin ngắn gọn về các thành viên đoàn đánh giá để đảm bảo tối thiu:

a) kiến thức về an toàn thông tin;

b) kiến thức kỹ thuật về hoạt động được đánh giá;

c) kiến thức về các hệ thống quản lý;

d) kiến thức về các nguyên tắc đánh giá;

CHÚ THÍCH: Thông tin chi tiết về các nguyên tắc đánh giá có thể được tìm thy trong TCVN ISO 19011.

e) kiến thức về giám sát, đo lường, phân tích và đánh giá ISMS.

Những yêu cầu từ a) đến e) ở trên áp dụng đối với tất cả các chuyên gia đánh giá thuộc đoàn đánh giá, trừ yêu cầu b) có thể được áp dụng cho một chuyên gia đánh giá trong đoàn đánh giá.

Đoàn đánh giá phải có năng lực truy xuất các dấu hiệu về sự cố an toàn thông tin trong ISMS của khách hàng trên các thành phần riêng biệt của ISMS.

Đoàn đánh giá phải có kinh nghiệm làm việc phù hợp về các nội dung ở trên và ứng dụng thực tế của các nội dung này (điều này không có nghĩa là tất cả các chuyên gia đánh giá đều phải có đầy đủ kinh nghiệm về tất c các lĩnh vực an toàn thông tin, nhưng toàn bộ đoàn đánh giá phải đ năng lực và kinh nghiệm cho toàn bộ phạm vi ISMS được đánh giá)

7.1.2.1.2  Thuật ngữ, nguyên tắc, thực hành và kỹ thuật quản lý an toàn thông tin

Nhìn chung, tất cả các thành viên của đoàn đánh giá phải có kiến thức về:

a) các cấu trúc, hệ thống phân cấp và mối tương quan của tài liệu ISMS;

b) các công cụ, phương pháp, kỹ thuật và ứng dụng liên quan của chúng đến quản lý hệ thống an toàn thông tin;

c) đánh giá và quản lý rủi ro an toàn thông tin;

d) các quy trình áp dụng cho ISMS;

e) công nghệ hiện tại mà an toàn thông tin có thể liên quan hoặc đang là một vấn đề tranh luận.

Mọi chuyên gia đánh giá đều phải đáp ứng các chuẩn mực a, c và d.

7.1.2.1.3  Tiêu chuẩn và văn bản quy định về hệ thống quản lý an toàn thông tin

Các chuyên gia đánh giá tham gia trong việc đánh giá ISMS phải có kiến thức về:

a) tất cả các yêu cầu trong TCVN ISO/IEC 27001.

Nhìn chung, tất cả các thành viêcủa đoàn đánh giá phải có kiến thức về:

b) tất cả các biện pháp kim soát trong TCVN ISO/IEC 27002 (nếu cũng được xác định là cần thiết từ các tiêu chuẩn lĩnh vực cụ th) và việc triển khai chúng, phân loại như sau:

1) chính sách an toàn thông tin;

2) tổ chức đảm bảo an toàn thông tin;

3) đảm bảo an toàn từ nguồn nhân lực;

4) quản lý tài sản;

5) kiểm soát truy cập, bao gồm việc xác thực;

6) mật mã hóa;

7) an toàn vật lý và môi trường;

8) an toàn vận hành, bao gồm các dịch vụ IT;

9) an toàn trao đổi thông tin, bao gồm quản lý an toàn mạng và chuyển giao thông tin;

10) tiếp nhận, phát triển và duy trì hệ thống;

11) mi quan hệ với nhà cung cấp, bao gồm dịch vụ thuê ngoài;

12) qun lý sự cố an toàn thông tin;

13) các khía cạnh an toàn thông tin trong quản lý sự liên tục của hoạt động nghiệp vụ, bao gm cả các dự phòng;

14) sự tuân thủ, bao gồm xem xét an toàn thông tin.

7.1.2.1.4  Thực hành quản lý nghiệp vụ

Các chuyên gia đánh giá tham gia đánh giá ISMS phải có kiến thức về;

a) các thực hành tốt về an toàn thông tin theo ngành nghề và các thủ tục an toàn thông tin;

b) các chính sách và các yêu cầu nghiệp vụ đối với an toàn thông tin;

c) các khái niệm, thực hành về quản lý nghiệp vụ chung, và mối tương quan giữa chính sách, mục tiêu và kết quả;

d) các quy trình quản lý và thuật ngữ liên quan.

CHÚ THÍCH: Các quy trình này còn bao gồm các quy trình quản lý nguồn nhân lực, trao đổi thông tin nội bộ và bên ngoài và các quy trình hỗ trợ có liên quan khác.

7.1.2.1.5  Lĩnh vực nghiệp vụ của khách hàng

Các chuyên gia đánh giá trong đánh giá ISMS phải có kiến thức về;

a) các yêu cầu pháp lý và quy định trong lĩnh vực an toàn thông tin cụ thể, địa lý và (các) phạm vi quyền hạn;

CHÚ THÍCH: Kiến thức về các yêu cầu pháp lý và quy định không có nghĩa là kiến thức pháp lý chuyên sâu.

b) các rủi ro an toàn thông tin có liên quan đến lĩnh vực nghiệp vụ;

c) các thuật ngữ chung, quy trình và công nghệ liên quan đến lĩnh vực nghiệp vụ của khách hàng;

d) các thực hành liên quan đến lĩnh vực nghiệp vụ.

Chun mực a) có th là chuẩn mực chung cho cả đoàn đánh giá.

7.1.2.1.6  Sản phm, quy trình và tổ chức của khách hàng

Nhìn chung, các chuyên gia đánh giá tham gia việc đánh giá ISMS phải có kiến thức về:

a) tác động của loại hình tổ chức, quy mô, sự quản trị, cấu trúc, các chức năng và mối quan hệ tới sự phát triển và triển khai hệ thống ISMS và các hoạt động chng nhận, bao gồm cả thuê ngoài;

b) các vận hành phức hợp theo một góc nhìn rộng;

c) các yêu cầu pháp lý và quy định áp dụng đối với các sản phẩm hoặc dịch vụ.

7.1.2.2  Yêu cầu về năng lực đối với trưng đoàn đánh giá ISMS

Ngoài các yêu cầu trong 7.1.2.1, trưng đoàn đánh giá phải đáp ứng đủ các yêu cầu sau đây, và điều đó phải được chứng minh trong các cuộc đánh giá có sự hướng dẫn và giám sát:

a) có kiến thức và kỹ năng quản lý quy trình đánh giá chứng nhận và đoàn đánh giá;

b) chứng minh được khả năng truyền đạt hiệu quả, cả nói và viết.

7.1.2.3  Yêu cầu về năng lực thực hiện xem xét ứng dụng

7.1.2.3.1  Tiêu chuẩn và văn bản quy định về hệ thống quản lý an toàn thông tin

Người thực hiện xem xét ứng dụng đ xác định năng lực của đoàn đánh giá được yêu cầu, lựa chọn các thành viên đoàn đánh giá và xác định thời gian đánh giá phải có kiến thức về:

a) các tiêu chuẩn và văn bản quy định khác liên quan đến ISMS được sử dụng trong quy trình chứng nhận.

7.1.2.3.2  Lĩnh vực nghiệp vụ của khách hàng

Người thực hiện xem xét ứng dụng để xác định năng lực cần thiết của đoàn đánh giá, lựa chọn các thành viên đoàn đánh giá và xác định thời gian đánh giá phải có kiến thức về:

b) thuật ngữ chung, các quy trình, công nghệ và ri ro liên quan đến lĩnh vực nghiệp vụ của khách hàng.

7.1.2.3.3  Sản phẩm, quy trình và tổ chức của khách hàng

Người thực hiện xem xét ứng dụng để xác định năng lực cần thiết của đoàn đánh giá, lựa chọn các thành viên đoàn đánh giá và xác định thời gian đánh giá phải có kiến thức về:

a) các sản phm, quy trình, loại hình tổ chức, quy mô, quản trị, cấu trúc, các chức năng và mối quan hệ của khách hàng trong việc phát triển và triển khai hệ thống ISMS và các hoạt động chứng nhận, bao gồm cả các chức năng thuê khoán ngoài.

7.1.2.4  Yêu cầu về năng lực xem xét báo cáo đánh giá và ra quyết định chứng nhận

7.1.2.4.1  Tng quan

Người xem xét báo cáo đánh giá và ra quyết định chứng nhận phải có kiến thức cho phép họ xác minh sự hợp lý về phạm vi chứng nhận cũng như những thay đổi trong phạm vi và ảnh hưởng của chúng đến hiệu quả của việc đánh giá, đặc biệt là tính hiệu lực liên tục của việc xác định các điểm tương giao, các phụ thuộc và những rủi ro liên quan.

Ngoài ra, người xem xét báo cáo đánh giá và ra quyết định chứng nhận phải có kiến thức về:

a) các hệ thống quản lý nói chung;

b) các quy trình và thủ tục đánh giá;

c) các nguyên tắc, thực hành và kỹ thuật đánh giá.

7.1.2.4.2  Thuật ngữ, nguyên tắc, thực hành và kỹ thuật qun lý an toàn thông tin

Người xem xét báo cáo đánh giá đánh giá và ra quyết định chứng nhận phải có kiến thức về:

a) các danh mục đã liệt kê trong 7.1.2.1.2 a), c) và d);

b) các yêu cầu pháp lý và quy định liên quan đến an toàn thông tin.

7.1.2.4.3  Tiêu chuẩn và văn bản quy đnh về hệ thống quản lý an toàn thông tin

Người xem xét báo cáo đánh giá đánh giá và ra quyết đnh chứng nhận phải có kiến thức về:

a) các tiêu chuẩn và văn bản quy định khác liên quan đến ISMS được sử dụng trong quy trình chứng nhận.

7.1.2.4.4  Lĩnh vực nghiệp vụ của khách hàng

Người xem xét báo cáo đánh giá và ra quyết định chứng nhận phải có kiến thức về:

b) thuật ngữ chung và các rủi ro có liên quan đến các thực hành liên quan đến lĩnh vực nghiệp vụ của khách hàng.

7.1.2.4.5  Sản phẩm, quy trình và tổ chức của khách hàng

Người xem xét báo cáo đánh giá và ra quyết định cấp giấy chứng nhận phải có kiến thức về:

a) các sn phm, quy trình, loại hình tổ chức, quy mô, sự quản trị, cấu trúc, các chức năng và mi quan hệ của khách hàng.

7.2  Nhân sự tham gia vào hoạt động chng nhận

Áp dụng các yêu cầu trong 7.2 của TCVN ISO/IEC 17021-1. Ngoài ra, áp dụng các yêu cầu và hướng dẫn sau đây.

7.2.1  IS 7.2 Chứng minh kiến thức và kinh nghiệm của chuyên gia đánh giá

Tổ chức chứng nhận phải chứng minh các chuyên gia đánh giá có kiến thức và kinh nghiệm thông qua:

a) các bằng cấp được công nhận về ISMS;

b) đăng ký chuyên gia đánh giá, nếu có;

c) tham gia các khóa đào tạo ISMS và đạt được các chứng chỉ cá nhân có liên quan;

d) hồ sơ cập nhật về phát triển chuyên môn;

e) các xem xét ISMS được chứng kiến bi chuyên gia đánh giá ISMS khác.

7.2.1.1  Lựa chọn chuyên gia đánh giá

Ngoài các chuẩn mực trong 7.1.2.1, chun mực để lựa chọn chuyên gia đánh giá phải đảm bảo rằng mỗi chuyên gia đánh giá phải:

a) được đào tạo chuyên nghiệp hoặc được đào tạo ở cấp độ đào tạo đại học tương đương:

b) có tốthiểu 4 năm kinh nghiệm làm việc thực tế về công nghệ thông tin, trong đó tối thiểu 2 năm trong vai trò hoặc chức năng liên quan đến an toàn thông tin;

c) đã hoàn thành tốt tối thiểu 5 ngày đào tạo với chủ đề về đánh giá ISMS v quản lý đánh giá;

d) có kinh nghiệm trong toàn bộ quy trình đánh giá an toàn thông tin trước khi đảm nhận thực hiện trách nhiệm như một chuyên gia đánh giá. Kinh nghiệm phải có được bằng sự tham gia tối thiểu bốn cuộc đánh giá chứng nhận ISMS, bao gồm cả các cuộc đánh giá tái chứng nhận và đánh giá giám sát, với tổng số tối thiểu 20 ngày trong đó có nhiều nhất 5 ngày có th tham gia các cuộc đánh giá giám sát việc tham gia phải bao gồm xem xét tài liệu và đánh giá rủi ro, đánh giá thực thi và báo cáo đánh giá;

e) có kinh nghiệm phù hợp và thực tế;

f) có kiến thức và kỹ năng hiện tại về an toàn thông tin và đánh giá được cập nhật thông qua sự phát triển chuyên môn liên tục;

Các chuyên gia kỹ thuật phải tuân thủ các chuẩn mực a), b) và e).

7.2.1.2  Lựa chọn trưởng đoàn đánh giá

Ngoài các chuẩn mực trong 7.1.2.2 và 7.2.1.1, chuẩn mực lựa chọn trưng đoàn đánh giá phải đảm bảo rằng chuyên gia đánh giá này:

a) chủ động tham gia tất cả các giai đoạn của ít nhất 3 cuộc đánh giá ISMS. Việc tham gia phải bao gồm lập phạm vi và kế hoạch lần đầu, xem xét tài liệu và đánh giá rủi ro, đánh giá thực thi và báo cáo đánh giá chính thức.

7.3  Sử dụng chuyên gia đánh giá và chuyên gia kỹ thuật bên ngoài với tư cách cá nhân

Áp dụng các yêu cầu trong 7.3 của TCVN ISO/IEC 17021-1. Ngoài ra, áp dụng các yêu cầu và hướng dẫn sau đây.

7.3.1  IS 7.3 Sử dụng chuyên gia đánh giá hoặc chuyên gia kỹ thuật bên ngoài trong nhóm đánh giá

Chuyên gia kỹ thuật phải làm việc dưới sự giám sát của chuyên gia đánh giá. Các yêu cầu tối thiểu đối vi chuyên gia kỹ thuật đã được liệt kê trong mục 7.2.1.1.

7.4  Hồ sơ nhân sự

Áp dụng các yêu cầu trong 7.4 của TCVN ISO/IEC 17021-1.

7.5  Thuê ngoài

Áp dụng các yêu cầu trong 7.5 của TCVN ISO/IEC 17021-1.

8  Yêu cầu về thông tin

8.1  Thông tin công khai

Áp dụng các yêu cầu trong 8.1 của TCVN ISO/IEC 17021-1.

8.2  liệu chứng nhận

Áp dụng các yêu cầu trong 8.2 của TCVN ISO/IEC17021-1. Ngoài ra, áp dụng các yêu cầu và hướng dẫn sau đây.

8.2.1  IS 8.2 Tài liệu chứng nhận ISMS

Các tài liệu chứng nhận phải được ký bi người đã được chỉ định chịu trách nhiệm này. Các phiên bản của thông báo áp dụng phải được bao gm trong các tài liệu chứng nhận.

CHÚ THÍCH  Sự thay đổcủa thông báo áp dụng mà không làm thay đổi phạm vcủa các biện pháp kiểm soát trong phạm vi chứng nhận thì không yêu cầu bản cập nhật của tài liệu chứng nhận.

Việc xác định (các) tiêu chuẩn lĩnh vực cụ thể được sử dụng có thể bao gồm trong các tài liệu chứng nhận.

8.3  Viện dẫn chứng nhận và sử dụng dấu

Áp dụng các yêu cầu trong 8.3 của TCVN ISO/IEC 17021-1.

8.4  Bảo mật

Áp dụng các yêu cầu trong 8.4 của TCVN ISO/IEC 17021-1. Ngoài ra, áp dụng các yêu cầu và hướng dẫn sau đây.

8.4.1  IS 8.4 Truy cập hồ sơ tổ chức

Trước khi đánh giá chứng nhận, tổ chức chứng nhận phải yêu cầu khách hàng báo cáo xem có thông tin nào liên quan đến ISMS (ví dụ các hồ sơ ISMS hoặc thông tin về thiết kế và hiệu quả của các biện pháp kiểm soát) không th đưa cho nhóm đánh giá xem xét do chúng có chứa thông tin bí mật và nhạy cảm.Tổ chức chứng nhận phải xác định xem liệu ISMS có th được đánh giá đầy đủ không nếu không có những thông tin này. Nếu tổ chức chứng nhận kết luận rằng ISMS không thể được đánh giá đầy đủ nếu không xem xét các thông tin bí mật hoặc nhạy cảm đó thì họ phải thông báo cho khách hàng rằng đánh giá chứng nhận không thể thực hiện cho đến khi đạt được tha thuận thích hợp về truy cập.

8.5  Trao đi thông tin giữa tổ chức chứng nhận và khách hàng

Áp dụng các yêu cầu trong 8.5 của TCVN ISO/IEC 17021-1.

9  Yêu cầu về quá trình

9.1  Hoạt động trước chứng nhận

9.1.1  Đăng ký

Áp dụng các yêu cầu trong 9.1.1 của TCVN ISO/IEC 17021-1. Ngoài ra, áp dụng các yêu cầu và hướng dẫn sau đây.

9.1.1.1  IS 9.1.1 Sự sẵn sàng khđăng ký

Tổ chức chứng nhận phải yêu cầu khách hàng phải có ISMS đã được lập tài liệu và triển khai tuân theo TCVN ISO/IEC 27001 và các tài liệu khác yêu cầu cho chng nhận.

9.1.2  Xem xéđăng ký

Áp dụng các yêu cầu trong 9.1.2 của TCVN ISO/IEC 17021-1.

9.1.3  Chương trình đánh giá

Áp dụng các yêu cầu trong 9.1.3 của TCVN ISO/IEC 17021-1. Ngoài ra, áp dụng các yêu cầu và hướng dẫn sau đây.

9.1.3.1  IS 9.1.3 Tổng quan

Chương trình đánh giá đối với đánh giá ISMS phải xem xét các kiểm soát an toàn thông tin.

9.1.3.2  IS 9.1.3 Phương pháp luận đánh giá

Các thủ tục của tổ chức chứng nhận không được giả định trước một cách thức triển khai cụ thể đối với ISMS hoặc một định dạng cụ thể đối với tài liệu và các hồ sơ. Các thủ tục chứng nhận phải tập trung vào việc xác minh rằng ISMS của khách hàng đáp ứng các yêu cầu trong TCVN ISO/IEC 27001 và các chính sách, mục tiêu của khách hàng.

CHÚ THÍCH: Hướng dẫn thêm về đánh giá có trong ISO/IEC 27007.

9.1.3.3  IS 9.1.3 Chuẩn bị chung cho đánh giá lần đầu

Tổ chức chứng nhận phải yêu cầu khách hàng thực hiện tất cả các thỏa thuận cần thiết để truy cập vào các báo cáo đánh giá nội bộ và các báo cáo xem xét độc lập về an toàn thông tin.

Ít nhất các thông tin sau phải được khách hàng cung cấp trong giai đoạn 1 của cuộc chứng nhận đánh giá:

a) thông tin chung liên quan đến ISMS và toàn bộ hoạt động của ISMS;

b) một bản sao tài liệu ISMS theo yêu cầu trong TCVN ISO/IEC 27001 và, nếu cần thì cả tài liệu liên quan.

9.1.3.4  IS 9.1.3 Giai đoạn đánh giá

Tổ chức chứng nhận không được chứng nhận ISMS trừ khi nó đã được vận hành qua ít nhất một cuộc xem xét của lãnh đạo và một cuộc đánh giá ISMS nội bộ theo phạm vi chứng nhận.

9.1.3.5  IS 9.1.3 Phạm vi chứng nhận

Đoàn đánh giá phải đánh giá ISMS của khách hàng trong phạm vi xác định đối với tất cả các yêu cầu chứng nhận được áp dụng. Tổ chức chứng nhận phải xác nhận trong phạm vi ISMS của khách hàng, rằng khách hàng đã giải quyết các yêu cầu quy định tại 4.3 của TCVN ISO/IEC 27001.

Tổ chức chứng nhận phi đảm bảo rằng việc đánh giá rủi ro và xử lý rủi ro an toàn thông tin của khách hàng phản ánh đúng các hoạt động của h và m rộng ra ranh giới hoạt động của họ như đã xác đnh trong phạm vi chứng nhận. Tổ chức chứng nhận phải xác nhận rằng điều này đã được phản ánh trong phạm vi ISMS và tuyên bố áp dụng của khách hàng. Tổ chức chứng nhận phải xác nhận rằng có ít nhất một Tuyên bố áp dụng trên mỗi phạm vi chứng nhận.

Tổ chức chứng nhận phải đảm bảo các điểm tương giao với các dịch vụ hoặc các hoạt động không nằm trong phạm vi của ISMS đã được đề cập là đối tượng ISMS được chng nhận và được đưa vào đánh giá rủi ro an toàn thông tin của khách hàng. Một ví dụ cho tình huống này là việc dùng chung các phương tiện (ví dụ các hệ thống IT, cơ sở dữ liệu và hệ thống viễn thông hoặc thuê ngoài một chức năng nghiệp vụ) với các tổ chức khác.

9.1.3.6  IS 9.1.3 Chun mực đánh giá chứng nhận

Chuẩn mực đ đánh giá ISMS của khách hàng phải là tiêu chuẩn ISMS TCVN ISO/IEC 27001. Các tài liệu khác có thể được yêu cầu cho chứng nhận liên quan đến chức năng được thực hiện.

9.1.4  Xác định thời gian đánh giá

Áp dụng các yêu cầu trong 9.1.4 của TCVN ISO/IEC 17021-1. Ngoài ra, áp dụng các yêu cầu và hướng dẫn sau đây.

9.1.4.1  IS 9.1.4 Thời gian đánh giá

Tổ chức chứng nhận phải cho phép chuyên gia đánh giá có đủ thời gian để thực hiện tất cả các hoạt động liên quan đến đánh giá lần đầu, đánh giá giám sát hoặc đánh giá chứng nhận lại. Việc tính toán thời gian chứng nhận phải bao gồm đủ cả thời gian cho báo cáo đánh giá.

Tổ chức chứng nhận phải sử dụng Phụ lục B đ xác định thời gian đánh giá.

CHÚ THÍCH: Hướng dẫn thêm và các ví dụ về tính toán thời gian đánh giá được cung cấp trong Phụ lục C.

9.1.5  Lấy mẫu nhiều địa điểm

Áp dụng các yêu cầu trong 9.1.5 của TCVN ISO/IEC 17021-1. Ngoài ra, áp dụng các yêu cầu và hướng dẫn sau đây.

9.1.5.1  IS 9.1.5 Các địa điểm lấy mẫu

9.1.5.1.1  Trường hợp tổ chức khách hàng có nhiều địa điểm đạt các chuẩn mực từ a) đến c) dưới đây, tổ chức chứng nhận có th xem xét sử dụng phương pháp tiếp cận theo mẫu để đánh giá chứng nhận nhiều địa điểm;

a) tất cả các địa điểm đều đang hoạt động trong cùng một ISMS, được quản lý và đánh giá tập trung và chịu sự xem xét của lãnh đạo tp trung.

b) tất c các địa điểm đều nằm trong chương trình đánh giá ISMS nội bộ của khách hàng:

c) tất cả các địa điểm đều nằm trong chương trình xem xét quản lý ISMS của khách hàng.

9.1.5.1.2  Tổ chức chứng nhận có nhu cầu sử dụng một phương pháp tiếp cận theo mẫu phải có các thủ tục để đảm bảo những điều sau đây:

a) cuộc xem xét hợp đồng lần đầu xác định, ở mức cao nhất có thể, sự khác biệt giữa các địa điểm sao cho một mức độ lấy mẫu phù hợp sẽ được xác định.

b) nhiều địa điểm đại diện được ly mẫu bi tổ chức chứng nhận, cn đ ý tới:

1) kết quả của các cuộc đánh giá nội bộ cho trụ sở chính và các địa điểm;

2) kết quả xem xét của lãnh đạo;

3) những thay đổi về quy mô của các địa điểm;

4) những thay đổi trong mục đích nghiệp vụ của các địa đim;

5) tính phức tạp của các hệ thống thông tin  các địa điểm khác nhau;

6) những thay đổi trong thực tiễn công việc;

7) những thay đổi trong các hoạt động được thực hiện;

8) những thay đổi về thiết kế và vận hành các biện pháp kiểm soát;

9) tương tác tiềm ẩn với các hệ thống thông tin quan trọng hoặc các hệ thống xử lý thông tin nhạy cảm;

10) mọi yêu cầu pháp lý khác nhau;

11) các khía cạnh địa lý và văn hóa;

12) tình trạng rủi ro của các địa đim;

13) những sự cố an toàn thông tin tại các địa điểm cụ thể.

c) Một mẫu đại diện được chọn từ tất cả các địa điểm trong phạm vi ISMS của khách hàng; sự lựa chọn này phải là một chọn lựa theo phán đoán th hiện các yếu tố trong mục b) ở trên và một yếu tố ngẫu nhiên.

d) Mọi địa điểm trong ISMS chịu rủi ro lớn đều được đánh giá bi tổ chức chứng nhận trước khi chứng nhận.

e) Chương trình đánh giá đã được thiết kế theo các yêu cầu nêu trên và có đủ các mẫu đại diện trong phạm vi của chứng nhận ISMS trong khoảng thời gian ba năm.

f) Trong trường hợp quan sát thấy có sự không phù hợp tại trụ s chính hoặc tại một địa điểm đơn lẻ thì thủ tục hành động khắc phục sẽ được áp dụng cho trụ sở chính và tất cả các đa điểm thuộc chứng nhận.

Cuộc đánh giá phải giải quyết các hoạt động của trụ sở chính của khách hàng đ đảm bảo rằng ch một ISMS duy nhất áp dụng cho tt cả các địa đim và cung cấp sự quản lý tập trung ở cấp độ vận hành. Cuộc đánh giá phải giải quyết tt cả các vấn đề nêu trên.

9.1.6  Nhiều hệ thống quản lý

Áp dụng các yêu cầu trong 9.1.6 của TCVN ISO/IEC 17021-1. Ngoài ra, áp dụng các yêu cu và hướng dẫn sau đây.

9.1.6.1  IS 9.1.6 Tích hợp tài liệu ISMS với tài liệu cho các hệ thống quản lý khác

Tổ chức chứng nhận có thể chấp nhận tài liệu kết hợp (ví dụ, về an toàn thông tin, chất lượng, sức khỏe, an toàn và môi trường) miễn là ISMS có thể được xác định rõ ràng cùng với các điểm tương giao thích hợp với các hệ thống khác.

9.1.6.1  IS 9.1.6 Kết hợp các đánh giá hệ thống qun lý

Đánh giá ISMS có thể được kết hợp với đánh giá các hệ thống khác, với điều kiện phải có thể chứng minh được rằng đánh giá ISMS đáp ứng tất c các yêu cầu đốvới chứng nhận ISMS. Tất cả các yếu tố quan trọng đốvới ISMS phải được th hiện rõ ràng và dễ nhận biết được trong các báo cáo đánh giá. Chất lượng của đánh giá không được bị ảnh hưởng bất lợi bởi việc kết hợp các đánh giá.

9.2  Hoạch định đánh giá

9.2.1  Xác định mục tiêu, phạm vi và chuẩn mực đánh giá

Áp dụng các yêu cầu trong 9.2.1 của TCVN ISO/IEC 17021-1. Ngoài ra, áp dụng các yêu cầu và hướng dẫn sau đây.

9.2.1.1  IS 9.2.1 Mục tiêu đánh giá

Các mục tiêu đánh giá phải bao gồm xác định hiệu quả của hệ thống quản lý nhằm đảm bảo rằng dựa trên đánh giá rủi ro, khách hàng đã triển khai các biện pháp kiểm soát phù hợp và đạt được các mục tiêu an toàn thông tin đã được xác lập.

9.2.2  Lựa chọn và chỉ định đoàn đánh giá

Áp dụng các yêu cầu trong 9.2.2 của TCVN ISO/IEC 17021-1. Ngoài ra, áp dụng các yêu cu và hướng dẫn sau đây.

9.2.2.1  IS 9.2.2 Đoàn đánh giá

Đoàn đánh giá phải được chỉ định chính thức và được cung cấp các tài liệu làm việc thích hợp. Nhiệm vụ cho đoàn đánh giá phải được xác định rõ ràng và được đưa ra cho khách hàng.

Đoàn đánh giá có thể chỉ gồm một người đáp ứng được tất cả các chuẩn mực đặt ra trong 7.1.2.1.

9.2.2.1  IS 9.2.2 Năng lực của đoàn đánh giá

Áp dụng các yêu cầu được liệt kê trong 7.1.2. Đối với các hoạt động đánh giá giám sát và đánh giá đặc biệt, chỉ áp dụng những yêu cầu liên quan tới hoạt động giám sát đã được hoạch định và hoạt động đánh giá đặc biệt.

Khi lựa chọn và quản lý đoàn đánh giá được chỉ định cho một cuộc đánh giá chứng nhận cụ thể, tổ chức chứng nhận phải đảm bảo rằng các năng lực của mỗi vị trí đều phù hợp. Đoàn đánh giá phải:

a) có kiến thức kỹ thuật thích hợp về các hoạt động cụ thể trong phạm vi của ISMS được chứng nhận và, nếu có thể, thì c các thủ tục liên quan và các tiềm ẩn rủi ro an toàn thông tin tiềm ẩn (chuyên gia kỹ thuật có thể đáp ứng yêu cầu này)

b) có hiểu biết về khách hàng đủ để tiến hành một cuộc đánh giá chứng nhận tin cậy về ISMS của họ theo phạm vi ISMS và bối cảnh về tổ chức trong việc quản lý các khía cạnh an toàn thông tin của các hoạt động, sản phẩm và dịch vụ của họ.

c) có hiểu biết đúng về các yêu cầu pháp lý và quy định áp dụng cho ISMS của khách hàng.

CHÚ THÍCH: Hiểu biết đúng không bao hàm kiến thức cơ bản sâu sắc về pháp lý.

9.2.3  Kế hoạch đánh giá

Áp dụng các yêu cầu trong 9.2.3 của TCVN ISO/IEC 17021-1. Ngoài ra, áp dụng các yêu cầu và hướng dẫn sau đây.

9.2.3.1  IS 9.2.3 Tổng quan

Kế hoạch đánh giá đối với đánh giá ISMS phải xem xét các biện pháp kiểm soát an toàn thông tin đã được xác định.

9.2.3.2  IS 9.2.3 Các kỹ thuật đánh giá có mạng hỗ trợ

Nếu phù hợp thì kế hoạch đánh giá phải xác định các kỹ thuật đánh giá có mạng hỗ trợ sẽ được sử dụng trong suốt quá trình đánh giá.

Các kỹ thuật đánh giá có mạng hỗ trợ có thể bao gồm, ví dụ, hội nghị truyền hình, hội nghị qua web, trao đổi thông tin dựa trên web tương tác và truy cập điện t từ xa tới tài liệu ISMS hoặc các quy trình ISMS. Mục đích chính của các kỹ thuật này là để tăng cường hiệu quả và hiệu suất đánh giá, và hỗ trợ tính toàn vẹn của quy trình đánh giá.

9.2.3.3  IS 9.2.3 Thời gian đánh giá

Tổ chức chứng nhận phải thống nhất với tổ chức được đánh giá về thời gian đánh giá để thể hiện rõ nhất toàn bộ phạm vi của tổ chức. Các cân nhắc có thể gồm theo mùa, tháng, thứ/ngày và ca cho phù hợp.

9.3  Chứng nhận lần đầu

Áp dụng các yêu cầu trong 9.3 của TCVN ISO/IEC 17021-1. Ngoài ra, áp dụng các yêu cầu và hướng dẫn sau đây.

9.3.1  IS 9.3.1 Đánh giá chứng nhận lần đầu

9.3.1.1  IS 9.3.1.1 Giai đoạn 1

Trong giai đoạn đánh giá này, tổ chức chứng nhận phải có được tài liệu về thiết kế ISMS bao gồm các tài liệu được yêu cầu trong TCVN ISO/IEC 27001.

Tổ chức chứng nhận phải có được hiểu biết đầy đủ về thiết kế ISMS theo bối cảnh của tổ chức khách hàng, việc đánh giá và xử lý rủi ro (bao gồm cả các biện pháp kim soát đã xác định), chính sách và các mục tiêu an toàn thông tin và đặc biệt là sự chun bị sẵn sàng của tổ chức khách hàng cho cuộc đánh giá. Điều này cho phép lên kế hoạch cho giađoạn 2.

Các kết quả của giai đoạn 1 phải được lập tài liệu dưới dạng một báo cáo bằng văn bản. Tổ chức chứng nhận phải xem xét báo cáo đánh giá của giai đoạn 1 trước khi quyết định tiếp tục giai đoạn 2 và lựa chọn các thành viên đoàn đánh giá giai đoạn 2 với những năng lực cần thiết.

Tổ chức chứng nhận phải nhắc khách hàng về các loại thông tin và hồ sơ khác có thể được yêu cầu cần kim tra chi tiết trong giai đoạn 2.

9.3.1.2  IS 9.3.1.2 Giai đoạn 2

9.3.1.2.1  Trên cơ sở các phát hiện đã được ghi trong báo cáo đánh giá giai đoạn 1, tổ chức chứng nhận xây dựng kế hoạch đánh giá giai đoạn 2. Bên cạnh việc đánh giá sự triển khai hiệu quả của ISMS thì mục tiêu của giai đoạn 2 còn là:

a) để xác nhận rằng khách hàng tuân thủ các chính sách, mục tiêu và thủ tục của họ.

9.3.1.2.2  Để làm điều này, cuộc đánh giá phải tập trung vào các vấn đề sau của khách hàng:

a) bộ phận lãnh đạo cao nhất và cam kết đối với chính sách an toàn thông tin và các mục tiêu an toàn thông tin;

b) các yêu cầu về tài liệu được liệt kê tại tiêu chuẩn TCVN ISO/IEC 27001;

c) việc đánh giá các rủi ro liên quan đến an toàn thông tin và các đánh giá có các kết quả nhất quán, giá trị và có thể so sánh nếu được thực hiện nhiều lần;

d) việc xác định các mục tiêu kim soát và biện pháp kim soát trên cơ sở các quy trình đánh giá rủi ro và xử lý rủi ro an toàn thông tin;

e) kết quả thực hiện an toàn thông tin và hiệu quả của ISMS, đánh giá các mục tiêu an toàn thông tin;

f) sự tương ứng giữa các biện pháp kim soát xác định, Thông báo áp dụng và các kết quả của quy trình đánh giá rủi ro và xử lý rủi ro an toàn thông tin, chính sách và các mục tiêu an toàn thông tin;

g) việc triển khai các biện pháp kiểm soát (xem phụ lục D), có tính đến bối cảnh bên ngoài và nội bộ và các rủi ro liên quan, việc giám sát, đo lường và phân tích các quy trình và biện pháp kiểm soát an toàn thông tin của tổ chức để xác định xem các biện pháp kiểm soát có được triển khai và đạt hiệu quả và đáp ứng các mục tiêu đã công bố không;

h) các chương trình, quy trình, thủ tục, hồ sơ, đánh giá và xem xét nội bộ về hiệu quả của ISMS nhằm đảm bảo chúng có thể truy nguyên tới các quyết định của lãnh đạo, chính sách và các mục tiêu an toàn thông tin.

9.4  Tiến hành đánh giá

Áp dụng các yêu cầu trong 9.4 của TCVN ISO/IEC 17021-1. Ngoài ra, áp dụng các yêu cầu và hướng dẫn sau đây.

9.4.1  IS 9.4 Tổng quan

Tổ chức chứng nhận phải có các thủ tục được lập tài liệu đối với:

a) chứng nhận đánh giá lần đầu về ISMS khách hàng, theo các quy định của TCVN ISO/IEC 17021-1;

b) các đánh giá giám sát và chứng nhận lại của ISMS khách hàng theo TCVN ISO/IEC 17021-1 theo định kì về tính phù hợp liên tục với các yêu cầu liên quan, và đ xác minh và báo cáo rằng khách hàng sẽ thực hiện hành động khắc phục kịp thời để khắc phục tất cả những điều không phù hợp.

9.4.2  IS 9.4 Các thành phần cụ thể của đánh giá ISMS

Tổ chức chứng nhận, được đại diện bi đoàn đánh giá, phải:

a) yêu cầu khách hàng chứng minh rằng việc đánh giá các rủi ro liên quan đến an toàn thông tin là phù hợp và đầy đủ đối với hoạt động ISMS trong phạm vi của ISMS;

b) xác minh xem các quy trình của khách hàng về xác định, kiểm tra và đánh giá các rủi ro liên quan đến an toàn thông tin và các kết quả của việc thực hiện chúng có thống nhất với chính sách, mục tiêu và chỉ tiêu của khách hàng không.

Tổ chức chứng nhận cũng phải xác minh xem liệu các thủ tục được sử dụng trong đánh giá rủi ro có hợp lý và được triển khai đúng cách không.

9.4.3  IS 9.4 Báo cáo đánh giá

9.4.3.1  Ngoài các yêu cầu về báo cáo trong 9.4.8 của TCVN ISO/IEC 17021-1, báo cáo đánh giá phải cung cấp hoặc tham chiếu đến các thông tin sau:

a) hồ sơ đánh giá bao gồm cả tóm tắt về xem xét tài liệu;

b) hồ sơ của tổ chức đánh giá về phân tích rủi ro an toàn thông tin của khách hàng;

c) những sai lệch so với kế hoạch đánh giá (ví dụ thời gian nhiều hay ít hơn cho một số hoạt động cụ thể đã được lên kế hoạch);

d) phạm vi của ISMS.

9.4.3.2  Báo cáo đánh giá phải đủ chi tiết để tạo điều kiện và hỗ trợ quyết định chứng nhận. Báo cáo phải gồm:

a) các biên bản đánh giá quan trọng và các phương pháp luận đánh giá được sử dụng (xem 9.1.3.2);

b) các quan sát được thực hiện, cả tích cực (ví dụ, các tính năng cần chú ý) và tiêu cực (ví dụ, các đim không phù hợp tiềm ẩn);

c) các ý kiến về sự phù hợp của ISMS của khách hàng với các yêu cầu chứng nhận bằng một tuyên bố rõ ràng về sự không phù hợp, tham chiếu đến phiên bản Tuyên b áp dụng và, nếu có th, cả các so sánh có giá trị với kết quả của các cuộc đánh giá chứng nhận trước kia của khách hàng.

Các bộ câu hỏi đy đ, danh sách kiểm tra, các quan sát, nhật ký hoặc các ghi chép của chuyên gia đánh giá có thể cũng là một phần của báo cáo đánh giá. Nếu các phương pháp này được sử dụng thì các tài liệu này phải được gửi đến tổ chức chứng nhận làm bằng chứng hỗ trợ quyết định chứng nhận. Thông tin về các mẫu đánh giá trong quá trình đánh giá cũng phải được đưa vào báo cáo đánh giá hoặc tài liệu chứng nhận khác.

Báo cáo phải xem xét sự phù hợp của tổ chức nội bộ và các thủ tục được khách hàng chấp nhận đ tạo sự tin cậy về ISMS.

Ngoài các yêu cầu về báo cáo tại 9.4.8 của TCVN ISO/IEC 17021-1, bản báo cáo phải có:

– bản tóm tắt các quan sát quan trọng nhất, cả tích cực cũng như tiêu cực, liên quan đến việc trin khai và hiệu quả của các yêu cầu ISMS và các biện pháp kim soát IS.

– khuyến nghị của đoàn đánh giá về việc ISMS của khách hàng có nên được chứng nhận hay không, cùng với thông tin để chứng minh khuyến nghị này.

9.5  Quyết định chứng nhận

Áp dụng các yêu cầu trong 9.5 của TCVN ISO/IEC 17021-1. Ngoài ra, áp dụng các yêu cầu và hướng dẫn sau đây.

9.5.1  IS 9.5 Quyết định chứng nhận

Bên cạnh các yêu cầu của TCVN ISO/IEC 17021-1, việc quyết định chứng nhận phải căn cứ vào khuyến nghị chứng nhận của đoàn đánh giá được cung cấp trong báo cáo đánh giá chứng nhận (xem 9.4.3).

Các cá nhân hoặc hội đồng đưa ra quyết định về việc cp chứng nhận thường không nên làm trái những khuyến nghị tiêu cực của đoàn đánh giá. Nếu một tình huống như vậy phát sinh thì tổ chức chứng nhận phải lập tàliệu và chứng minh lý do cho quyết định làm trái khuyến nghị.

Tổ chức chứng nhận không được cấp chứng nhận cho khách hàng cho đến khi có đủ căn cứ đ chứng minh rằng các sắp xếp cho các cuộc xem xét của lãnh đạo và các đánh giá ISMS nội bộ đã được triển khai có hiệu quả và sẽ được duy trì.

9.6  Duy trì chứng nhận

9.6.1  Tng quan

Áp dụng các yêu cầu trong 9.6.1 của TCVN ISO/IEC 17021-1.

9.6.2  Hoạt động giám sát

Áp dụng các yêu cầu trong 9.6.2 của TCVN ISO/IEC 17021-1. Ngoài ra, áp dụng các yêu cầu và hướng dẫn sau đây.

9.6.2.1  IS 9.2 Hoạt động giám sát

9.6.2.1.1  Các thủ tục đánh giá giám sát phải phù hợp với những vấn đề liên quan đến đánh giá chứng nhận ISMS của khách hàng đã được mô tả trong tiêu chuẩn này.

Mục đích của giám sát là đ xác minh rằng ISMS được phê duyệt tiếp tục được triển khai, xem xét các tác động của việc thay đổi đối vi hệ thống do những kết quả của sự thay đổi trong hoạt động của khách hàng và khẳng định sự tuân thủ liên tục theo các yêu cầu chng nhận. Chương trình đánh giá giám sát phải gồm ít nhất:

a) các yếu tố duy trì hệ thống như đánh giá rủi ro và duy trì kiểm soát an toàn thông tin, đánh giá ISMS nội bộ, xem xét của lãnh đạo rà soát và hành động khắc phục;

b) các trao đổi thông tin từ các bên bên ngoài được yêu cầu bởi tiêu chuẩn ISMS TCVN ISO/IEC 27001 và các tài liệu khác được yêu cầu đối với việc chứng nhận;

c) những thay đổi đối với hệ thống đã được lập tài liệu;

d) các khu vực sẽ thay đổi;

e) các yêu cầu được lựa chọn của TCVN ISO/IEC 27001;

f) các khu vực được chọn khác nếu phù hợp.

9.6.2.1.2  Mọi cuộc giám sát bi tổ chức chứng nhận ít nhất phải xem xét các vấn đề sau:

a) hiệu quả của ISMS liên quan đến việc đạt được các mục tiêu của chính sách an toàn thông tin của khách hàng;

b) chức năng của các thủ tục để đánh giá và xem xét định kỳ việc tuân thủ theo pháp luật và quy định về an toàn thông tin;

c) những thay đổi đối với các biện pháp kim soát đã được xác định và những thay đổi mang lại đối với SoA;

d) sự triển khai và hiệu quả của các biện pháp kiểm soát theo chương trình đánh giá.

9.6.2.1.3  Tổ chức chứng nhận phải có khả năng thích ứng chương trình giám sát của họ với các vấn đề an toàn thông tin liên quan đến các rủi ro và các tác động lên khách hàng và khẳng định chương trình này.

Các đánh giá giám sát có thể được kết hợp với các đánh giá của các hệ thống quản lý khác. Báo cáo phải chỉ rõ các khía cạnh liên quan đến từng hệ thống quản lý.

Trong sut các đánh giá giám sát, các tổ chức chứng nhận phải kiểm tra hồ sơ về những yêu cầu xem xét lại và khiếu nạđưa ra trước tổ chức chứng nhận và trong trường hợp có bất cứ sự không phù hợp hoặc không đáp ứng các yêu cầu chứng nhận được phát hiện thì khách hàng đã điều tra ISMS và các thủ tục của họ và tiến hành các hành động khắc phục phù hợp.

Đặc biệt, báo cáo giám sát phải chứa thông tin làm rõ những đim không phù hợp đã được phát hiện trưc đây, phiên bản của SoA và những thay đổi quan trọng từ đánh giá trước đóÍt nhất thì các báo cáo có được từ đánh giá giám sát phải gồm đầy đủ các yêu cầu của 9.6.2.1.1 và 9.6.2.1.2  trên.

9.6.3  Chứng nhận lại

Áp dụng các yêu cầu trong 9.6.3 của TCVN ISO/IEC 17021-1. Ngoài ra, áp dụng các yêu cầu và hướng dẫn sau đây

9.6.3.1  IS 9.6.3 Đánh giá chng nhận lại

Thủ tục đánh giá chứng nhận lạphải phù hợp với những vn đề liên quan đến chứng nhận lần đầu ISMS của khách hàng như được mô tả trong tiêu chuẩn này.

Thời gian cho phép triển khai hành động khắc phục phải phù hợp với mức độ nghiêm trọng của sự không phù hợp và ri ro an toàn thông tin liên quan.

9.6.4  Đánh giá đặc biệt

Áp dụng các yêu cầu trong 9.6.4 của tiêu chun TCVN ISO/IEC 17021-1. Ngoài ra, áp dụng các yêu cầu và hướng dẫn sau đây.

9.6.4.1  IS 9.6.4 Các trưng hợp đặc biệt

Các hoạt động cần thực hiện đánh giá đặc biệt sẽ phải chịu các quy định đặc biệt nếu khách hàng có ISMS đã được chứng nhận thực hiện các thay đổi lớn đối với hệ thống của họ hoặc nếu có các thay đổi khác làm ảnh hưởng cơ bản đến việc chứng nhận.

9.6.5  Đình chỉ, hủy bỏ hoặc thu hẹp phạm vi chng nhận

Áp dụng các yêu cầu trong 9.6.5 của TCVN ISO/IEC 17021-1.

9.7  Yêu cầu xem xét lại

Áp dụng các yêu cầu trong 9.7 của TCVN ISO/IEC 17021-1.

9.8  Khiếu nại

Áp dụng các yêu cầu trong 9.8 của TCVN ISO/IEC 17021-1. Ngoài ra, áp dụng các yêu cầu và hướng dẫn sau đây.

9.8.1  IS 9.8 Khiếu nại

Các khiếu nại mô tả sự cố tin và dấu hiệu cho sự không phù hợp có thể xảy ra.

9.9  Hồ sơ khách hàng

Áp dụng các yêu cầu trong 9.9 của TCVN ISO/IEC 17021-1.

10  Yêu cầu về hệ thống quản lý đối với tổ chức chứng nhận

10.1  Các lựa chọn

Áp dụng các yêu cầu trong 10.1 của TCVN ISO/IEC 17021-1. Ngoài ra, áp dụng các yêu cầu và hướng dẫn sau đây.

10.1.1  IS 10.1 Triển khai ISMS

Khuyến nghị các tổ chức chứng nhận trin khai ISMS theo TCVN ISO/IEC 27001.

10.2  Lựa chọn A  Yêu cầu chung về hệ thng quản lý

Áp dụng các yêu cầu trong 10.2 của TCVN ISO/IEC 17021-1.

10.3  Lựa chọn B – Yêu cầu về hệ thng quản lý theo TCVN ISO 9001

Áp dụng các yêu cầu trong 10.3 của TCVN ISO/IEC 17021-1.

 

Phụ lục A

(Tham khảo)

Kiến thức và kỹ năng đánh giá và chứng nhận ISMS

A1  Tổng quan

Bảng A.1 tóm lược về kiến thức và kỹ năng được yêu cầu đối với đánh giá và chứng nhận ISMS, nhưng chỉ là thông tin tham khảo bi vì  đây chỉ xác định các phạm vkiến thc và kỹ năng đối với các chức năng chứng nhận cụ th.

Các yêu cầu về năng lực đối với mỗi chức năng đã được nêu ra trong nội dung chính của tiêu chuẩn này và bảng dưới đây sẽ tham chiếu đến các yêu cầu cụ thể.

Bảng A.1 – Kiến thức đánh giá và chứng nhận ISMS

 

Chức năng chứng nhận

Thực hiện xem xét ứng dụng (thực hiện xem xét ứng dụng để xác định năng lực yêu cầu của đoàn đánh giá, lựa chọn thành viên đoàn đánh giá và xác định thời gian đánh giá)

Xem xét báo cáo đánh giá và quyết định thực hiện chứng nhận.

Đánh giá và chỉ đạo đoàn đánh giá

Kiến thức

 
Các thuật ngữ, nguyên tắc, thực hành và kỹ thuật quản lý an toàn thông tin  

7.1.2.4.2

7.1.2.1.2

Các tiêu chuẩn/văn bản quy định về hệ thống quản lý an toàn thông tin

7.1.2.3.1

7.1.2.4.3

7.1.2.1.3

Các thực hành quản lý nghiệp vụ

 

7.1.2.1.4

Các lĩnh vực nghiệp vụ của khách hàng

7.1.2.3.2

7.1.2.4.4

7.1.2.1.5

Các sản phẩm, quy trình và tổ chức của khách hàng

7.1.2.3.3

7.1.2.4.5

7.1.2.1.6

A.2  Xem xét về năng lực chung

Có một vài cách để chuyên gia đánh giá có thể chứng minh kiến thức và kinh nghiệm của h. Kiến thức và kinh nghiệm có thể được đánh giá, ví dụ bằng cách sử dụng bằng cấp đã được công nhận. Hồ sơ đăng ký theo chương trình chứng nhận hành nghề cũng có thể được sử dụng để đánh giá kiến thức và kinh nghiệm cần thiết. Mức năng lực yêu cầu cho đoàn đánh giá cần được thiết lập tương ứng với ngành nghề/lĩnh vực công nghệ của tổ chức và tính phức tạp của ISMS của họ.

A.3  Xem xét về kiến thức và kinh nghiệm cụ th

A.3.1  Kiến thức đặc thù liên quan đến ISMS

Bên cạnh các yêu cầu trong 7.1.2, cần xem xét các yêu cầu sau. Các chuyên gia đánh giá cần có kiến thức và hiểu biết về các chủ đề đánh giá và ISMS sau:

– chương trình và kế hoạch đánh giá;

– loại hình và các phương pháp luận đánh giá;

– rủi ro đánh giá;

– phân tích các quy trình an toàn thông tin;

– sự ci tiến tính liên tục;

– đánh giá nội bộ đối với an toàn thông tin.

Các chuyên gia đánh giá cần có kiến thức và hiểu biết về các yêu cầu chế đnh sau đây:

– sở hữu trí tuệ;

– nội dung, bảo vệ và duy trì các hồ sơ tổ chức;

– bảo vệ dữ liệu và sự riêng tư;

– quy định về kiểm soát mã hóa;

– thương mại điện tử;

– chữ ký số và điện tử;

– giám sát môi trường làm việc;

– ngăn chặn truyền thông và giám sát dữ liệu (ví dụ, thư điện t);

– lạm dụng máy tính;

– thu thập bằng chứng điện tử;

– kiểm thử thâm nhập;

– các yêu cầu quốc tế và quốc gia đối với ngành nghề cụ thể (ví dụ, ngân hàng).

 

Phụ lục B

(Quy định)

Thời gian đánh giá

B.1  Giới thiệu

Phụ lục này đưa thêm các yêu cầu liên quan đến 9.1 của TCVN ISO/IEC 17021-1. Phụ lục này cung cấp những yêu cầu tối thiu và hướng dẫn tổ chức chứng nhận trong việc phát triển các thủ tục riêng để xác định lượng thời gian cần thiết đ chứng nhận các phạm vi ISMS của khách hàng theo các quy mô và tính phức tạp khác nhau thông qua một loạt các hoạt động.

Tổ chức chứng nhận phải xác định lượng thời gian đánh giá được dành cho chứng nhận lần đầu, giám sát và chng nhận lại cho mỗi khách hàng và ISMS được chứng nhận. Sử dụng phụ lục này  giai đoạn hoạch định đánh giá sẽ có một cách tiếp cận phù hợp để xác định thời gian đánh giá thích hợp. Ngoài ra, thời gian đánh giá có thể được điều chnh dựa trên những điều được phát hiện trong quá trình đánh giá, đặc biệt là trong giai đoạn 1 (ví dụ, đánh giá khác về tính phức tạp của phạm vi ISMS, hoặc các địa điểm được bổ sung vào phạm vi).

Phụ lục này đưa ra:

– các khái niệm được sử dụng để tính toán thời gian đánh giá (B.2);

– các yêu cầu về thủ tục đ xác định thời gian đánh giá ở các giai đoạn đánh giá khác nhau (B.3 đến B.5);

– các yêu cầu liên quan đến đánh giá đa điểm (B.6).

Các ví dụ về tính toán thời gian đánh giá thể hiện cách sử dụng phụ lục B có thể tìm thấy trong Phụ lục C.

Giả thiết cơ bn của phương pháp tiếp cận này là phương thức tính toán xác định thời gian đánh giá cần:

a) chỉ xem xét các thuộc tính đã được chứng minh mà có thể đã được xác định;

b) đủ dễ dàng để được các tổ chức chứng nhận áp dụng hiệu qu;

c) đủ phức tạp đ nhận thấy sự khác biệt.

Việc xác định thời gian đánh giá được dựa trên các số liệu cung cấp trong Bảng B.1 (“Bảng thời gian đánh giá”) dưới đây và phải cân nhắc các yếu tố đóng góp đ điều chỉnh.

B.2  Khái niệm

B.2.1  Số lượng người làm việc dưới sự kim soát của tổ chức

Tng số người đang làm việc dưới sự kiểm soát của tổ chức cho tất các các ca là đim khởi đầu để xác định thời gian đánh giá.

CHÚ THÍCH: Thuật ngữ “Người làm việc dưới sự kim soát của tổ chức” được gọi tắt là nhân viên trong TCVN ISO/IEC 17021-1.

Những người làm việc bán thời gian dưới sự kiểm soát của tổ chức cũng đóng góp vào số lượng người làm việc dưới sự kiểm soát của tổ chức tương ứng với số giờ họ làm việc so với người làm việc toàn thời gian dưới sự kiểm soát của tổ chức. Việc xác định này s phụ thuộc vào số giờ làm việc so với nhân viên làm việc toàn thời gian.

B.2.2  Ngày đánh giá

“Thời gian đánh giá” trong bảng B.1 được phát biểu là “Số ngày đánh giá” sử dụng cho cuộc đánh giá. Đơn vị tính trong phụ lục B là ngày làm việc 8 giờ.

B.2.3  Địa đim tạm thời

Địa điểm tạm thời là một vị trí khác với các địa điểm được xác định trong tài liệu chng nhận nơi các hoạt động trong phạm vi chứng nhận được thực hiện trong một khoảng thời gian xác định. Những địa điểm này có thể là các địa điểm quản lý thuộc dự án lớn đến các địa điểm dịch vụ/lắp đặt nhỏ. Sự cần thiết phải tới thăm các địa điểm này và mức độ lấy mẫu phải được dựa trên việc đánh giá các rủi ro của việc không đáp ứng các mục tiêu IS do sự không phù hợp bắt nguồn tại địa đim tạm thời. Mẫu của các địa điểm được chọn này cần đại diện cho nhiều nhu cầu năng lực của tổ chức và các biến th dịch vụ đã được xem xét theo quy mô, loại hình hoạt động, và các giai đoạn khác nhau của các dự án theo tiến độ.

Thông tin về việc lấy mẫu chung xem tại 9.1.5.1.

B.3  Thủ tục xác đnh thời gian đánh giá cho đánh giá lần đầu

B.3.1  Tổng quan

Việc tính toán thời gian đánh giá phải thực hiện theo thủ tục được lập tài liệu.

B.3.2  Đánh giá từ xa

Nếu các kỹ thuật đánh giá từ xa như hợp tác dựa trên web tương tác, hội nghị qua web, hội nghị từ xa và/hoặc xác minh điện tử các quá trình của tổ chức được sử dụng để giao tiếp với tổ chức thì các hoạt động này cần được xác định trong kế hoạch đánh giá (xem 9.3.2), và có thể được coi là một phần đóng góp vào tổng “thời gian đánh giá tại chỗ

Nếu tổ chức chứng nhận có kế hoạch đánh giá mà ở đó các hoạt động đánh giá từ xa chiếm hơn 30% thời gian đánh giá tại chỗ được hoạch định thì tổ chức chứng nhận phải giải trình kế hoạch đánh giá và được sự chấp thuận từ tổ chức công nhận trước khi thực thi.

CHÚ THÍCH  Thời gian đánh giá tại chỗ là thời gian đánh giá tại chỗ được hoạch định cho các vị trí riêng biệtCác cuộc đánh giá bằng phương điện tử cho các vị trí từ xa được coi là đánh giá t xa, ngay cả khđánh giá điện t trên thực tế được thực hiện ở trụ sở của khách hàng.

B.3.3  Tính toán thời gian đánh giá

Bảng thời gian đánh giá cung cấp dưới đây đưa ra mức khởi điểm về số ngày đánh giá lần đầu trung bình ( đây và sau này, con số này bao gồm các ngày cho một cuộc đánh giá ln đầu (giai đoạn 1 và giai đoạn 2) mà kinh nghiệm đã cho thấy là phù hợp cho một phạm vi ISMS có s lượng người nhất định làm việc dưi sự kiểm soát của tổ chức. Kinh nghiệm cũng đã chứng minh rằng đối với các phạm vi ISMS có quy mô tương tự thì sẽ cần nhiều hoặc ít thời gian hơn.

Bảng thời gian đánh giá dưới đây đưa ra mức khung phải được sử dụng để hoạch định đánh giá bằng cách xác định một mức khởi điểm dựa trên tổng số người làm việc dưới sự kiểm soát của tổ chức  tất c các ca và điều chỉnh mức này dựa trên các yếu tố quan trọng áp dụng cho phạm vi ISMS cần được đánh giá và đưa vào từng yếu tố trong số thêm hoặc bớt để điều chỉnh. Bảng thời gian đánh giá phải được sử dụng, trong đó có xem xét các yếu tố đóng góp và giới hạn độ lệch tối đa (xem B.3.4 và B.3.5 ở dưi). Các thuật ngữ được sử dụng trong bảng này được giải thích trong B.2  trên và Phụ lục C đưa ra các ví dụ về cách thức có th được thực hiện.

Bảng B.1 – Bng thời gian đánh giá

Số lượng người làm việc dưới sự kiểm soát của tổ chức

Thời gian đánh giá QMS cho đánh giá lần đầu (số ngày đánh giá)

Thời gian đánh giá EMS cho đánh giá lần đầu (số ngày đánh giá)

Thời gian đánh giá ISMS cho đánh giá lần đầu (số ngày đánh giá)

Các yếu tố thêm hoặc bớt

Tng thời gian đánh giá

1 ~ 10

1,5  2

2,5  3

5

Xem B.3.4

 

11 15

2,5

3,5

6

Xem B.3.4

 

16 25

3

4,5

7

Xem B.3.4

 

26 45

4

5,5

8,5

Xem B.3.4

 

46 65

5

6

10

Xem B.3.4

 

66 85

6

7

11

Xem B.3.4

 

86 125

7

8

12

Xem B.3.4

 

126 175

8

9

13

Xem B.3.4

 

176 275

9

10

14

Xem B.3.4

 

276 425

10

11

15

Xem B.3.4

 

426 625

11

12

16,5

Xem B.3.4

 

626 875

12

13

17,5

Xem B.3.4

 

876 1175

13

15

18,5

Xem B.3.4

 

1176 ~ 1550

14

16

19,5

Xem B.3.4

 

1551 2125

15

17

21

Xem B.3.4

 

2026 ~ 2675

16

18

22

Xem B.3.4

 

2676 ~ 3450

17

19

23

Xem B.3.4

 

3451 ~ 4350

18

20

24

Xem B.3.4

 

4351 ~ 5450

19

21

25

Xem B.3.4

 

5451 ~ 6800

20

23

26

Xem B.3.4

 

6801 ~ 8500

21

25

27

Xem B.3.4

 

8501 ~ 10700

22

27

28

Xem B.3.4

 

> 10700

Tiếp tục như trên

Tiếp tục như trên

Tiếp tục như trên

Xem B.3.4

 

B.3.4  Các yếu t điều chỉnh thi gian đánh giá

Không được ch sử dụng bảng thời gian đánh giá. Khi phân bổ thời gian, phải xem xét các yếu tố dưới đây liên quan tới sự phức tạp của ISMS và do vậy cả sự nỗ lực cần để thực hiện đánh giá ISMS:

a) sự phc tạp của ISMS (ví dụ, tầm quan trọng của thông tin, trạng thái rủi ro của ISMS,…):

b) (các) loại hình nghiệp vụ được thực hiện trong phạm vi của ISMS;

c) kết quả thực hiện đã được chứng minh từ trước của ISMS;

d) mức độ và tính đa dạng của công nghệ được dùng trong việc triển khai các thành phần khác nhau của ISMS (ví dụ, số lượng nền tảng IT khác nhau, số lượng mạng tách biệt);

e) mức độ thuê ngoài và các thỏa thuận bên thứ ba sử dụng trong phạm vi của ISMS;

f) mức độ phát triển hệ thống thông tin;

g) số lượng địa đim và số lượng địa điểm khôi phục dữ liệu sau thảm họa (DR);

h) đối với đánh giá giám sát hoặc chứng nhận lại: lượng và mức độ thay đổi liên quan đến ISMS theo 8.5.3 của TCVN ISO/IEC 17021-1.

Phụ lục C đưa ra các ví dụ về cách thức xem xét những yếu tố khác nhau này khi tính toán thời gian đánh giá.

Dưới đây là các yếu tố tham khảo bổ sung cho phép tăng thời gian đánh giá:

– dịch vụ logictics phức tạp qua nhiều hơn một tòa nhà hoặc vị trí trong phạm vi ISMS;

– nhân viên biết nói nhiều hơn một ngôn ngữ (yêu cầu (nhiều) người phiên dịch hoặc ngăn cản các chuyên gia đánh giá riêng lẻ làm việc độc lập) hoặc tài liệu được cung cấp nhiều hơn một ngôn ngữ;

– các hoạt động có yêu cầu tới thăm các địa đim tạm thời để xác nhận các hoạt động của (các) địa đim cố định có hệ thống quản lý là đối tượng chứng nhận (xem đoạn dưới danh sách tiếp theo);

– số lượng lớn các tiêu chuẩn và văn bản quy định áp dụng cho ISMS.

Dưới đây là các yếu tố tham khảo cho phép giảm thời gian đánh giá có thể:

– các sản phm/quy trình không có/ít rủi ro;

– các quy trình liên quan đến một hoạt động chung duy nht (ví dụ, chỉ có dịch vụ);

– tỷ lệ phần trăm cao những người làm việc dưới sự kiểm soát của tổ chức thực hiện cùng nhiệm vụ;

– biết trước về tổ chức (ví dụ, nếu khách hàng đã được chứng nhận theo một tiêu chuẩn khác bởi cùng tổ chức chứng nhận);

– khách hàng đã rt sẵn sàng cho việc chứng nhận (ví dụ, đã được chứng nhận hoặc công nhận bởi một chương trình của bên thứ 3 khác);

– tính hoàn thiện cao của hệ thống quản lý hiện hành.

Trong trưng hợp khách hàng chứng nhận hoặc tổ chức được chứng nhận cung cp (các) sn phẩm hoặc dịch vụ của họ tại các địa điểm tạm thời thì điều quan trọng là các đánh giá cho các v trí này được tích hợp vào các chương trình đánh giá chứng nhận và giám sát.

Các yếu tố trên phải được xem xét và có những điều chỉnh cho những yếu tố này để có được thời gian đánh giá nhiều hơn hoặc ít hơn cho một cuộc đánh giá hiệu quả. Các yếu tố làm tăng có th bù lại các yếu t làm giảm. Trong tất cả các trường hợp có sự điều chỉnh so với thời gian được cho trong bảng thời gian đánh giá, bằng chứng đầy đủ và các h sơ phải được duy trì để chứng minh cho sự thay đổi.

B.3.5  Gii hạn độ chênh lệch thời gian đánh giá

Để đảm bảo các cuộc đánh giá hiệu quả sẽ được thực hiện và đảm bảo có kết quả tin cậy và có thể so sánh thì không được giảm quá 30% thời gian đánh giá được đưa ra trong bảng thời gian đánh giá.

Lý do phù hợp cho sự chênh lệch phải được đưa ra và được ghi lại.

B.3.6  Thời gian đánh giá tại chỗ

Người ta kỳ vọng rằng thời gian tính cho việc hoạch định và viết báo cáo thường không làm gim tổng “thời gian đánh giá” tại chỗ xuống thấp hơn 70% thời gian cho trong bảng thời gian đánh giá. Trường hợp cần thêm thời gian yêu cầu đ hoạch định và/hoặc viết báo cáo thì điều này không được làm giảm thời gian đánh giá tạchỗ. Thời gian chuyên gia đánh giá đi lại không được đưa vào tính toán này và được bổ sung vào thời gian đánh giá tham chiếu trong bảng thời gian đánh giá.

CHÚ THÍCH  70% là một con số dựa trên kinh nghiệm của các chuyên gia đánh giá ISMS.

B.4  Thời gian đánh giá đối với đánh giá giám sát

Đối với chu kỳ đánh giá chứng nhận lần đầu, thời gian giám sát đốvi một tổ chức cụ thể phải tỷ lệ với thời gian sử dụng tại đánh giá lần đầu với tổng số thời gian sử dụng hàng năm cho giám sát là khoảng 1/3 thời gian sử dụng cho đánh giá lần đầu. Thời gian giám sát theo kế hoạch cần được xem xét  những thời điểm khác nhau nhằm tính đến cả những thay đổi ảnh hưởng đến thời gian giám sát. Thời gian dành cho một cuộc giám sát đánh giá phải được tăng lên để cho phép đánh giá cả những thay đổcủa ISMS (chẳng hạn như đánh giá các biện pháp kim soát mới hoặc đã thay đổi).

B.5  Thời gian đánh giá đối vớđánh giá chứng nhận lại

Tổng thời gian dành để thực hiện đánh giá chứng nhận lại phải phụ thuộc vào kết quả của mọi cuộc đánh giá trưc đó như đã xác định trong 9.4.3 của tiêu chuẩn này và 9.6.3 của tiêu chuẩn TCVN ISO/IEC 17021-1. Lượng thời gian dành cho đánh giá chứng nhận lại cần t lệ với thời gian đã sử dụng cho đánh giá chứng nhận lần đầu của tổ chức và ít nhất bằng 2/3 thời gian được yêu cầu cho đánh giá chứng nhận lần đầu của tổ chức tại thời điểm được đánh giá để chứng nhận lại.

B.6  Thời gian đánh giá đối với đánh giá đa đim

Số ngày đánh giá cho mỗi địa điểm, bao gồm cả trụ sở chính, phải được tính toán đối với mỗi địa điểm.

Có thể giảm bớt thời gian đánh giá cho các thành phần đánh giá không liên quan đến trụ sở chính hoặc các địa đim nội bộ. Lý do lý giải cho sự cắt giảm này phải được tổ chức chứng nhận ghi vào hồ sơ.

 

Phụ lục C

(Tham khảo)

Các phương pháp tính toán thời gian đánh giá

C.1  Tổng quan

Phụ lục này cung cấp thêm những hướng dẫn để xây dựng công thức tính toán thời gian đánh giá. Mục C.2 đưa ra ví dụ về phân loại các yếu tố có thể được sử dụng làm cơ sở tính toán thời gian đánh giá và mục C.3 đưa ra ví dụ về tính toán thời gian đánh giá.

C.2  Phân loạcác yếu tố đ tính toán thời gian đánh giá

Bảng C.1 đưa ra các ví dụ về phân loại các yếu tố chính đối với tính toán thời gian đánh giá, như đã liệt kê trong B.3.4 a) đến h). Việc phân loại này có thể được sử dụng bởi các tổ chức chứng nhận để có được một chương trình tính toán thời gian đánh giá phù hợp với 9.1.4.1:

Bảng C.1 – Phân loại các yếu tố để tính toán thời gian đánh giá

 

Tác động đến sự nỗ lực

Nỗ lực giảm nhẹ

Nỗ lực bình thường

Nỗ lực tăng

Yếu tố (xem B.3.4)

 
a) độ phức tạp của ISMS:

• các yêu cầu an toàn thông tin [(tính bí mật, toàn vẹn và sẵn sàng, (CIA)]

• số lượng tài sản quan trọng.

• số lượng quy trình và dịch vụ.

• Ch các thông tin ít nhạy cảm và bí mật, các yêu cầu tính sẵn sàng thấp.

• Một số ít tài sản quan trọng (dạng tài sản CIA)

• Ch một quy trình nghiệp vụ chính có ít điểm tương giao và ít đơn vị nghiệp vụ liên quan.

• Các yêu cầu tính sẵn sàng cao hơn hoặc một vài thông tin nhạy cm/bí mật

• Một vài tài sản quan trọng

• 2-3 quy trình nghiệp vụ đơn giản có một số ít điểm tương giao và đơn vị nghiệp vụ liên quan.

• Số lượng lớn các thông tin nhạy cm hoặc bí mật (ví dụ, sức khỏe, thông tin định danh cá nhân, bảo hiểm, ngân hàng) hoặc các yêu cầu độ sn sàng cao.

• Nhiều tài sản quan trọng

• Nhiều hơn 2 quy trình phức tạp có nhiều đim tương giao và các đơn vị nghiệp vụ liên quan.

b) (các) loại hình nghiệp vụ được thực hiện trong phạm vi của ISMS • Nghiệp vụ ri ro thấp không có yêu cầu chế đnh • Các yêu cầu chế định cao • Nghiệp vụ rủi ro cao có yêu cầu chế định (ch) giới hạn
c) Kết quả thực hiện đã được chứng minh trước đó của ISMS • Đã được chứng nhận gần đây

• Chưa được chứng nhận nhưng ISMS được triển khai đầy đ qua một vài chu trình đánh giá và cải tiến, bao gồm các đánh giá nội bộ được lập tài liệu, các xem xét của lãnh đạo và hệ thống cải tiến ln tục hiệu quả

• Đánh giá giám sát gần đây

• Chưa được chứng nhận nhưng ISMS được triển khai một phần: một số công cụ hệ thống quản lý đã sẵn sàng và được triển khai; một số quy trình cải tiến liên tục được thực hiện nhưng đã được lập tài liệu một phần

• Không có chứng nhận và không được đánh giá gần đây

• ISMS được thiết lập mới và không đầy đủ (ví dụ, thiếu cơ chế kiểm soát riêng cho hệ thống riêng quản lý, quy trình cải tiến ln tục còn non kém, thực hiện quá trình ad hoc

d) mức độ và sự đa dạng của công nghệ được sử dụng triển khai các phần khác nhau của ISMS (ví dụ, số lượng nền tảng IT khác nhau, số lượng các mạng lưới riêng) • Môi trường chuẩn hóa cao có tính đa dạng thấp (một vài nền tảng IT, máy chủ, hệ điều hành, cơ sở dữ liệu, mạng,.v.v) • Được chuẩn hóa nhưng có nhiều nn tảng IT, máy chủ, hệ điều hành, cơ sở dữ liệu, mạng. • Tính đa dạng và phức tạp cao về IT (ví dụ, nhiều phần mạng khác nhau, nhiều loại máy chủ hoặc cơ sở dữ liệu, nhiều ứng dụng chính)
e) Mức độ thuê ngoài và các thỏa thuận với bên thứ 3 được sử dụng trong phạm vi của ISMS • Không thuê ngoài và ít phụ thuộc vào nhà cung cp, hoặc

• Các thỏa thuận thuê ngoài được xác đnh rõ ràng, được quản lý và giám sát

• Nhà thầu có ISMS đã được chứng nhận

• Các hồ sơ bảo him độc lập liên quan đã sn sàng

• Một số thỏa thuận thuê ngoài được quản lý một phần • Phụ thuộc nhiều vào thuê ngoài và các nhà cung cấp có ảnh hưởng lớn tới các hoạt động nghiệp vụ quan trọng, hoặc

• Thuê ngoài với số lượng và mức độ không xác định, hoặc

• Một số thỏa thuận thuê ngoài không được quản 

f) Mc độ phát triển của hệ thống thông tin • Không phát triển hệ thng trong nội bộ

• Sử dụng các nền tảng phần mềm chuẩn hóa

• Sử dụng các nền tảng phần mềm chuẩn hóa với cấu hình/tham số phc tạp

• Phần mềm tùy chỉnh (cao)

• Một số hoạt động phát triển (nội bộ hoặc thuê ngoài)

• Các hoạt động phát triển phần mềm nộbộ mở rộng với một số dự án đang diễn ra cho mục đích nghiệp vụ quan trọng
g) số lượng địa điểm và số lượng địa điểm khôi phục dữ liệu sau thảm họa (DR) • Các yêu cầu tính sẵn sàng thấp và không có hoặc chỉ có một địa đim DR thay thế • Các yêu cầu tính sẵn sàng ở mức trung bình hoặc cao và không có hoặc chỉ có một địa điểm DR thay thế • Các yêu cầu tính sẵn sàng cao, ví dụ, các dịch vụ 24/7

• Một số địa điểm DR thay thế

• Một số trung tâm dữ liệu

h) đối với đánh giá giám sát hoặc chứng nhận lại: số lượng và mức độ thay đổi liên quan đến ISMS phù hợp với 8.5.3 của TCVN ISO/IEC 17021-1 • Không thay đổi kể từ lần đánh giá chứng nhận lại cuối cùng • Các thay đổi nh trong phạm vi hoặc SoA của ISMS, ví dụ, chính sách, tài liệu, v.v

• Các thay đổi nhỏ trong các yếu tố  trên

• Các thay đổi ln trong phạm vi hoặc SoA của ISMS, ví dụ, quy trình mi, đơn vị nghiệp vụ mới, khu vực, phương pháp luận quản lý đánh giá rủi ro, chính sách, tài liệu, xử lý ri ro

• Các thay đổi lớn trong các yếu tố ở trên

C.3  Ví dụ về tính toán thời gian đánh giá

Ví dụ sau đây minh họa cách thức mà tổ chức chứng nhận có th sử dụng các yếu tố được đưa ra trong B.3 để tính toán thời gian đánh giá. Việc tính toán thời gian đánh giá trong ví dụ dưới đây được thực hiện theo cách sau:

Bước 1: Xác định các yếu tố liên quan đến nghiệp vụ và tổ chức (trừ IT): Xác định cấp độ phù hợp cho từng hạng mục được đưa ra trong Bảng C.2 và tng hợp các kết quả.

Bước 2: Xác định các yếu tố liên quan đến môi trường IT: Xác định cấp độ phù hợp cho từng hạng mục được đưa ra trong Bảng C.3 và tổng hợp các kết quả.

Bước 3: Dựa trên các kết quả của bước 1 và 2  trên, xác định tác động của các yếu tố lên thời gian đánh giá bằng việc lựa chọn mục thích hợp trong Bảng C.4.

Bước 4: Tính toán cuối cùng: số lượng ngày được xác định bằng cách áp dụng bảng thời gian đánh giá (Bng B.1) nhân với yếu tố có được từ bước 3. Trường hợp lấy mẫu đa điểm được sử dụng thì số ngày đánh giá được tính toán sẽ tăng lên dựa trên sự nỗ lực cần để thực hiện kế hoạch lấy mẫu đa điểm.

Kết qu này là kết quả cuối cùng của số lượng ngày đánh giá.

Bảng C.2 – Các yếu tố liên quan đến nghiệp vụ và tổ chức (trừ IT)

Hạng mục

Cấp độ

(Các) loại hình nghiệp vụ và yêu cầu chế định 1. Tổ chức làm việc trong các ngành nghề nghiệp vụ không quan trọng và các ngành nghề không quy địnha

2. Tổ chức có khách hàng thuộc các ngành nghề nghiệp vụ quan trọnga

3. Tổ chức làm việc trong các ngành nghề nghiệp vụ quan trọnga

Quy trình và công việc 1. Các quy trình chuẩn hóa với các công việc chun hóa và có tính lặp: nhiều người đang làm việc dưới sự kiểm soát của tổ chức cùng thực hiện các công việc tương tự; một số sn phẩm hoặc dịch vụ.

2. Các quy trình chuẩn hóa nhưng không lặp lại, với số lượng lớn các sản phẩm hoặc dịch vụ

3. Các quy trình phức tạp, số lượng lớn các sn phm hoặc dịch vụ, nhiều đơn vị nghiệp vụ thuộc phạm vi chứng nhận (ISMS gm các quy trình có độ phức tạp cao hoặc có số lượng hoạt động tương đối lớn hoặc duy nhất)

Mức thiết lập của MS 1. ISMS đã được thiết lập tốt và/hoặc có các hệ thống quản lý khác

2. Một số thành phần của các hệ thống qun lý khác được triển khai, ngoài ra thì không

3. Không có hệ thống quản lý nào khác được triển khai, ISMS là hoàn toàn mới và chưa được thiết lập

a  Ngành nghề nghiệp vụ quan trọng là các ngành nghề có thể có ảnh hưởng đến các dịch vụ công quan trọng mà sẽ gây rủi ro cho sức khỏe, sự an ninh, nền kinh tế, hình ảnh và năng lực của chính phủ trong việc hoạt động mà có thể có tác động tiêu cực rất lớn đến quốc gia.

Bảng C.3 – Các yếu tố liên quan đến môi trường IT

Hạng mục

Cấp độ

Độ phức tạp của cơ sở hạ tầng IT 1. Nền tảng IT, máy chủ, hệ điều hành, cơ sở dữ liệu, mạng,… Ít hoặc được chuẩn hóa cao

2. Một vài nền tảng IT, máy ch, hệ điều hành, cơ sở dữ liệu, mạng khác nhau

3. Nhiều nền tảng IT, máy chủ, hệ điều hành, cơ sở dữ liệu, mạng khác nhau

Sự phụ thuộc vào thuê ngoài và nhà cung cấp, bao gồm cả các dịch vụ điện toán đám mây 1. Rất ít hoặc không phụ thuộc vào thuê ngoài hoặc nhà cung cấp

2. Phụ thuộc một chút vào thuê ngoài hoặc nhà cung cấp, liên quan đến một số nhưng không phải tất cả các hoạt động nghiệp vụ quan trọng

3. Phụ thuộc nhiều vào thuê ngoài hoặc nhà cung cấp, tác động lớn đến các hoạt động nghiệp vụ quan trọng

Phát triển hệ thống thông tin 1. Không hoặc rất hạn chế phát triển hệ thng/ứng dụng trong nội bộ

2. Một vàphát triển hệ thng/ứng dụng nội bộ hoặc thuê ngoài cho các mục đích nghiệp vụ quan trọng

3. Phát triển sâu rộng hệ thống/ứng dụng nội bộ hoặc thuê ngoài cho các mục đích nghiệp vụ quan trọng

Bảng C.4 – Tác động của các yếu tố lên thời gian đánh giá

 

Độ phức tạp của IT

Thp (từ 3 đến 4)

Trung bình (từ 5 đến 6)

Cao (từ 7 đến 9)

Độ phức tạp của nghiệp vụ

Cao (từ 7 đến 9)

+5% đến +20%

+10% đến +50%

+20% đến 100%

Trung bình (từ 5 đến 6)

-5% đến -10%

0%

+10% đến +50%

Thấp (từ 3 đến 4)

-10% đến -30%

-5% đến -10%

+5% đến -10%

VÍ DỤ 1  Tổ chức được đánh giá có 700 nhân viên, do đó theo Bảng B.1, sẽ cần 17,5 ngày để đánh giá lần đầu. Tổ chức không làm việc trong ngành nghề nghiệp vụ quan trọng, công việc được chuẩn hóa cao và có tính lặp, và ISMS vừa được thiết lập. Theo Bảng C.2, điều này sẽ làm phát sinh một yếu tố liên quan đến nghiệp vụ và tổ chức là 1 + 1 + 3 = 5. Tổ chức có rất ít nền tảng IT và cơ sở dữ liệu nhưng sử dụng thuê ngoài là chủ yếu. Tổ chức không phát triển hệ thống thông tin hoặc đã thuê ngoài. Theo Bảng C.3, điều này sẽ làm phát sinh một yếu tố liên quan đến môi trường IT là 1 + 3 + 1 = 5. Sử dụng Bng C.4 cho thấy không cần điều chỉnh thời gian đánh giá.

VÍ DỤ 2  Tổ chức có đặc điểm tương tự như ví dụ trước ngoại trừ đã có một số hệ thống quản lý và ISMS đã được thiết lập tốt. Điều này sẽ làm thay đổi việc tính toán theo Bảng C.2 là 1 + 1 + 1 = 3. Theo Bng C.4, sẽ phải giảm thờgian đánh giá từ 5% đến 10%, tức là thời gian đánh giá sẽ phải giảm từ 1 đến 1,5 ngày. Kết qu cuối cùng, tổng số ngày sẽ là 16 đến 16,5 ngày.

 

Phụ lục D

(Tham khảo)

Hướng dẫn xem xét các biện pháp kiểm soát đã được triển khai theo phụ lục A của ISO/IEC 27001:2013

D.1  Mục đích

Việc triển khai các biện pháp kiểm soát đã được khách hàng xác định là cần thiết cho ISMS (theo Thông báo áp dụng) cần được xem xét trong giai đoạn 2 của đánh giá lần đầu và trong các hoạt động giám sát và chứng nhận lại (xem 9.3.1.2.2 g).

Bằng chứng đánh giá mà tổ chức chứng nhận thu thập phải đầy đủ để đưa ra kết luận về tính hiệu quả của các biện pháp kiểm soát này. Cách thức mà một biện pháp kim soát được dự kiến thực hiện có thể được xác định trong các chính sách hoặc thủ tục của khách hàng.

D.1.1  Bằng chng đánh giá

Bằng chứng đánh giá có chất lượng tốt nhất được thu thập từ việc quan sát của chuyên gia đánh giá (ví dụ, thấy rằng một cửa có khóa đã được khóa, người ta ký các thỏa thuận về bảo mật, có sổ đăng ký tài sản và trong s có tên các tài sản quan sát thấy, các thiết lập hệ thống là phù hợp,…). Bằng chứng có thể được thu thập từ việc nhìn thấy các kết quả về kết quả thực hiện của một biện pháp kiểm soát (ví dụ, các bản in của quyền truy cập được cấp được ký bởi người có thẩm quyền phù hợp, các hồ sơ giải quyết sự c, các thẩm quyền xử lý được ký bởi người có thẩm quyền phù hợp, biên bn các cuộc họp,…). Bằng chứng cũng có thể là kết quả của việc thử nghiệm trực tiếp (hoặc thực hiện lại) các biện pháp kiểm soát bi chuyên gia đánh giá, ví dụ cố gắng thực hiện các nhiệm vụ được cho là bị cấm bi các biện pháp kiểm soát, xác định xem phần mềm bảo vệ chống lại các mã độc đã được cài đặt và cập nhật trên các máy, quyền truy cập được cp (sau khi kiểm tra quyền hạn),…. Bằng chứng có th thu được bằng cách phng vấn những người làm việc dưới sự kiểm soát của tổ chức/các nhà thầu về các quy trình và biện pháp kiểm soát và xác định xem điều này có đúng với thực tế.

D.2  Cách sử dụng bảng D.1

D.2.1  Tổng quan

Bảng D.1 cung cấp hướng dẫn xem xét việc triển khai các biện pháp kiểm soát được liệt kê trong Phụ lục A của ISO/IEC 27001:2013, và thu thập bằng chứng đánh giá về kết qu thực hiện của chúng trong các cuộc đánh giá lần đầu và đánh giá tiếp theo. Bảng D.1 không nhằm mục đích đưa ra hướng dẫn xem xét các biện pháp kiểm soát khác nằm ngoài phụ lục A của ISO/IEC 27001:2013.

D.2.2  Cột “Biện pháp kiểm soát về tổ chức” và “Biện pháp kiểm soát kỹ thuật”

Dấu “X” trong cột tương ứng cho biết biện pháp kiểm soát về tổ chức hay kỹ thuật. Với một số biện pháp kiểm soát cả về tổ chức và kỹ thuật thì dấu “X” nằm trong cả hai cột.

Bằng chứng về hiệu suất của các biện pháp kiểm soát có thể được thu thập thông qua việc xem xét các hồ sơ kết quả thực hiện của các biện pháp kiểm soát, các cuộc phng vấn, việc quan sát và kiểm tra thực tế. Bằng chứng về hiệu sut của các biện pháp kiểm soát kỹ thuật thường có thể được thu thập thông qua kiểm thử hệ thống (xem bên dưi) hoặc thông qua sử dụng các dụng cụ đánh giá/báo cáo chuyên dụng.

D.2.3  Cột “Kim thử hệ thống”

“Kiểm thử hệ thống” có nghĩa là xem xét trực tiếp hệ thống thông tin (ví dụ, xem xét các cài đặt hoặc cấu hình hệ thống). Các câu hỏi của chuyên gia đánh giá có thể được trả lời tại phần điều khiển của hệ thống hoặc bằng cách đánh giá kết quả của các công cụ kiểm thử. Nếu chuyên gia đánh giá đã biết rằng khách hàng có sử dụng một công cụ cài trên máy tính thì điều này có thể được sử dụng để hỗ trợ cuộc đánh giá, hoặc các kết quả đánh giá thực hiện bi chính khách hàng (hoặc các nhà thầu của họ) có thể được xem xét.

Trong bảng đưa ra hai dạng xem xét các biện pháp kiểm soát kỹ thuật:

– “có thể: kim thử hệ thống có thể được thực hiện để đánh giá việc triển khai biện pháp kiểm soát, nhưng có thể không cần thiết trong đánh giá ISMS.

– “khuyến nghị”: kiểm thử hệ thống thường là cần thiết trong đánh giá ISMS.

CHÚ THÍCH: Trong phụ lụnày, từ “hệ thống có nghĩa là “hệ thống thông tin” trừ khi có ch dẫn khác.

D.2.4  Cột “Kiểm tra trực quan”

“Kitra trực quan có nghĩa là các biện pháp kim soát này thường yêu cầu kiểm tra bằng mắt ngay lập tức để đánh giá hiệu quả của chúng. Điều này có nghĩa là chưa đủ để phải xem xét các tài liệu tương ng trên giấy hoặc thông qua các cuộc phỏng vấn; chuyên gia đánh giá cần xác minh ngay lập tức nếu chúng đã được triển khai.

D.2.5  Cột “hướng dẫn xem xét đánh giá”

Cột “hướng dẫn xem xét đánh giá” đưa ra các lĩnh vực trọng tâm có thể để đánh giá biện pháp kim soát, đây cũng là như hướng dẫn bổ sung cho các chuyên gia đánh giá.

Bng D.1 – Phân loại các biện pháp kiểm soát

Biện pháp kiểm soát trong Phụ lục A của ISO/IEC 27001:2013

Biện pháp kim soát về tổ chức

Biện pháp kim soát về kỹ thuật

Kiểm thử hệ thống

Kiểm tra trực quan

Hướng dn xem xét đánh giá

A.5  Chính sách an toàn thông tin

 

 

 

 

 
A.5.1  Định hướng quản lý an toàn thông tin

 

 

 

 

 
A.5.1.1  Chính sách an toàn thông tin

X

 

 

 

 
A.5.1.2  Xem xét chính sách an toàn thông tin

X

 

 

 

 
A.6  Tổ chức an toàn thông tin

 

 

 

 

 
A.6.1  Tổ chức nội bộ

 

 

 

 

 
A.6.1.1  Vai trò và trách nhiệm an toàn thông tin

X

 

 

 

 
A.6.1.2  Phân chia nhiệm vụ

X

 

 

 

 
A.6.1.3  Liên hệ với cơ quan có thm quyền

X

 

 

 

 
A.1.6.4  Liên hệ với các nhóm quan tâm đặc biệt

X

 

 

 

 
A.1.6.5  An toàn thông tin trong quản lý dự án

X

 

 

 

 
A.6.2  Thiết bị di động và làm việc từ xa

 

 

 

 

 
A.6.2.1  Chính sách đối với thiết bị di động

X

X

có thể

 

Kiểm tra thêm việc triển khai chính sách, nếu có thể
A.6.2.2  Làm việc từ xa

X

X

có thể

 

Kim tra thêm việc triển khai chính sách, nếu có thể
A.7  An toàn ngun nhân lực

 

 

 

 

 
A.7.1  Trước khi tuyển dụng

 

 

 

 

 
A.7.1.1  Sàng lọc

X

 

 

 

 
A.7.1.2  Điều khoản và điều kiện tuyn dụng

X

 

 

 

 
A.7.2  Trong thời gian làm việc

 

 

 

 

 
A.7.2.1  Trách nhiệm của lãnh đạo

X

 

 

 

 
A.7.2.2  Nhận thức, giáo dục và đào tạo về an toàn thông tin

X

 

 

 

Hỏi nhân viên xem họ có nhận thức được những điều cụ thể mà họ cần phải biết không
A.7.2.3  Xử lý k luật

X

 

 

 

 
A.7.3  Chấm dứt hoặc thay đổi công việc

X

 

 

 

 
A.7.3.1  Trách nhiệm khi chm dứt hoặc thay đi công việc

X

 

 

 

 
A.8  Quản lý tài sản

 

 

 

 

 
A.8.1  Trách nhiệm đối với tài sản

X

 

 

 

 
A.8.1.1  Kim kê tài sản

X

 

 

 

Xác định tài sản
A.8.1.2  Quyền sở hữu tài sản

X

 

 

 

 
A.8.1.3  Sử dụng tài sản hợp lý

X

 

 

 

 
A.8.1.4  Trả lại tài sn

X

 

 

 

 
A.8.2  Phân loại thông tin

 

 

 

 

 
A.8.2.1  Các loại thông tin

X

 

 

 

Kiểm tra thêm việc triển khai chính sách, nếu có thể
A.8.2.2  Gán nhãn thông tin

X

 

 

 

Đặt tên: thư mục, tập tin, báo in, phương tiện ghi (băng, đĩa, CD), thông điệp điện tử và truyền tải tập tin
A.8.2.3  Xử lý tài sản

X

 

 

 

 
A.8.3  Xử lý phương tiện truyền thông

 

 

 

 

 
A.8.3.1  Quản lý các phương tiện dđộng

X

X

Có thể

 

 
A.8.3.2  Loại bỏ phương tiện truyền thông

X

 

 

X

Quy trình loại b
A.8.3.3  Chuyn giao phương tiện vật lý

X

 

 

 

Bảo vệ vật lý
A.9  Kim soát truy cập

 

 

 

 

 
A.9.1  Yêu cầu nghiệp vụ kiểm soát truy cập

 

 

 

 

 
A.9.1.1  Chính sách kim soát truy cập

X

 

 

 

Kiểm tra thêm việc triển khai chính sách, nếu có thể
A.9.1.2  Truy cập mạng và các dịch vụ mạng

X

 

 

 

Kiểm tra thêm việc triển khai chính sách, nếu có thể
A.9.2  Quản lý truy cập người dùng

 

 

 

 
A.9.2.1  Đăng ký và xóa đăng ký người dùng

X

 

 

 

 
A.9.2.2  Cung cấp truy cập người dùng

X

X

có thể

 

Lấy mẫu những người làm việc dưới sự kiểm soát của tổ chức/nhà thu về cấp phép tất cả quyền truy cập vào tất cả các hệ thống
A.9.2.3  Quản lý đặc quyền truy cập

X

X

Có th

 

chuyn trong nội bộ nhân viên
A.9.2.4  Quản lý thông tin xác thực bí mật của người dùng

X

 

 

 

 
A.9.2.5  Xem xét quyền truy cập người dùng

X

X

Có thể

 

 
A.9.2.6  Loại bỏ hoặc điều chnh quyền truy cập

X

 

 

 

 
A.9.3  Trách nhiệm người dùng

 

 

 

 

 
A.9.3.1  Sử dụng thông tin xác thực bí mật

X

 

 

 

Xác minh các hướng dẫn/chính sách tạchỗ đối với người dùng
A.9.4  Kim soát truy cập hệ thống và ứng dụng

 

 

 

 

 
A.9.4.1  Hạn chế truy cập thông tin

X

X

Khuyến ngh

 

 
A.9.4.2  Thủ tục đăng nhập an toàn

X

X

Khuyến nghị

 

 
A.9.4.3  Hệ thống quản lý mt khu

X

X

Khuyến ngh

 

 
A.9.4.4  Sử dụng các chương trình tiện ích được đặc quyền

X

X

Khuyến nghị

 

 
A.9.4.5  Kiểm soát truy cập tới mã nguồn chương trình

X

X

Khuyến nghị

 

 
A.10  Mật mã hóa

 

 

 

 

 
A.10.1  Kiểm soát mật mã hóa

 

 

 

 

 
A.10.1.1  Chính sách về sử dụng kiểm soát mật mã

X

 

 

 

Kim tra thêm việc triển khai chính sách, nếu có thể
A.10.1.2  Quản lý khóa

X

X

Khuyến nghị

 

Kiểm tra thêm việc triển khai chính sách, nếu có th
A.11  An toàn vật lý và môi trường

 

 

 

 

 
A.11.1  Khu vực an toàn

 

 

 

 

 
A.11.1.1  Vành đai an toàn vật lý

X

 

 

 

 
A.11.1.2  Kiểm soát cổng truy cập vật 

X

X

có thể

X

Lưu trữ hồ sơ truy cập
A.11.1.3  Bảo vệ văn phòng, phòng làm việc và vật dụng

X

 

 

X

 
A.11.1.4  Bảo vệ chống lại các mi đe dọa từ bên ngoài và môi trường

X

 

 

X

 
A.11.1.5  Làm việc trong khu vực an toàn

X

 

 

X

 
A.11.1.6  Khu vực phân phối và chuyển hàng

X

 

 

X

 
A.11.2  Thiết bị

 

 

 

 

 
A.11.2.1  B trí và bảo vệ thiết bị

X

 

 

X

 
A.11.2.2  Tiện ích hỗ trợ

X

X

Có thể

X

 
A.11.2.3  An toàn cho dây cáp

X

 

 

X

 
A.11.2.4  Bảo dưỡng thiết b

X

 

 

 

 
A.11.2.5  Di dời tài sản

X

 

 

 

Hồ sơ tài sản được di dời
A.11.2.6  An toàn cho thiết bị và tài sản khi  bên ngoài

X

X

Có thể

 

Mã hóa thiết bị di động
A.11.2.7  An toàn khi loại bỏ hoặc tái sử dụng thiết bị

X

X

Có thể

X

Xóa ổ đĩa, mã hóa ổ đĩa
A.11.2.8  Thiết bị người dùng khi không sử dụng

X

 

 

 

Kiểm tra các hướng dn/chính sách ngay tại chỗ đối với người sử dụng
A.11.2.9  Chính sách màn hình sạch và bàn làm việc sạch

X

 

 

X

Kim tra thêm việc triển khai chính sách, nếu có thể
A.12  An toàn vận hành

 

 

 

 

 
A.12.1  Quy trình và trách nhiệm vận hành

X

 

 

 

 
A.12.1.1  Quy trình vận hành được lập tài liệu

X

 

 

 

 
A.12.1.2  Quản lý thay đổi

X

X

Khuyến nghị

 

 
A.12.1.3  Quản lý năng lực

X

X

Có thể

 

 
A.12.1.4  Phân tách môi trường phát triển, kim thử và vận hành

X

X

Có thể

 

 
A.12.2  Bảo vệ khỏi phần mềm độc hại

 

 

 

 

 
A.12.2.1  Kiểm soát phần mềm độc hại

X

X

Khuyến nghị

 

Cấu hình và tính hoàn thiện về phạm vi bảo vệ của phần mềm kiểm soát phần mềm độc hại
A.12.3  Sao lưu

 

 

 

 

 
A.12.3.1  Sao lưu thông tin

X

X

Khuyến nghị

 

Xem xét chính sách, các kiểm thử khôi phục
A.12.4  Ghi nhật ký và giám sát

 

 

 

 

 
A.12.4.1  Ghi nhật ký sự kiện

X

X

Có th

 

Lựa chọn rủi ro cơ bản của sự kiện đăng nhập
A.12.4.2  Bảo vệ thông tin nhật ký

X

X

Có thể

 

 
A.12.4.3  Nhật ký của người điều hành và ngưi quản trị

X

X

Có th

 

 
A.12.4.4  Đồng bộ thời gian

 

X

Có th

 

 
A.12.5  Kiểm soát phần mềm qun trị

 

 

 

 

 
A.12.5.1  Cài đt phần mềm trên hệ điều hành

X

X

Có thể

 

 
A.12.6  Quản lý điểm yếu kỹ thuật

 

 

 

 

 
A.12.6.1  Quản lý đim yếu kỹ thuật

X

X

Khuyến nghị

 

Quản lý bản vá theo rủi ro và củng cố các hệ điều hành, cơ sở dữ liệu và ứng dụng
A.12.6.2  Hạn chế trong việc cài đt phn mềm

X

X

Có th

 

 
A.12.7  Xem xét việc đánh giá các hệ thng thông tin

 

 

 

 

 
A.12.7.1  Biện pháp kiểm soát đánh giá các hệ thống thông tin

X

 

 

 

 
A.13  An toàn trao đổi thông tin

 

 

 

 

 
A.13.1  Quản lý an toàn mạng

 

 

 

 

 
A.13.1.1  Kiểm soát mạng

X

X

Có thể

 

Quản lý mạng
A.13.1.2  An toàn cho các dịch vụ mạng

X

X

Khuyến ngh

 

SLA, cung cấp an toàn thông tin cho các dịch vụ mạng (ví dụ, VPN, kim soát kết nối và định tuyến mạng, cấu hình của các thiết bị mạng)
A.13.1.3  Phân tách trên mạng

X

X

Có thể

 

Các sơ đồ mạng, phân đoạn mạng (ví dụ, DMZ) và sự phân tách (ví dụ, VLAN)
A.13.2  Chuyển giao thông tin

 

 

 

 

 
A.13.2.1  Chính sách và thủ tục chuyển giao thông tin

X

 

 

Kiểm tra thêm việc triển khai các chính sách, nếu có thể
A.13.2.2  Tha thuận về chuyển giao thông tin

X

 

 

 

 
A.13.2.3  Thông điệp điện tử

X

X

Có thể

 

Xác nhận các thông điệp mẫu có phù hợp với các chính sách và thủ tục không.
A.13.2.4  Thỏa thun về bảo mật hoặc không tiết lộ

X

 

 

 

Xem xét hợp đồng
A.14  Tiếp nhận, phát triển và duy trì hệ thống thông tin

 

 

 

 

 
A.14.1  Yêu cầu đảm bảo an toàn cho các hệ thống thông tin

 

 

 

 

 
A.14.1.1  Phân tích và đặc tả các yêu cầu về an toàn

X

 

 

 

 
A.14.1.2  Đảm bảo an toàn cho các dịch vụ ứng dụng trên mạng công cộng

X

X

Khuyến nghị

 

Thiết kế của các dịch vụ ứng dụng theo rủi ro
A.14.1.3  Bảo vệ các giao dịch dịch vụ ứng dụng

X

X

Khuyến ngh

 

Tính bí mật, toàn vẹn, chống chối bỏ
A.14.2  Bảo đảm an toàn trong các quy trình hỗ trợ và phát triển

 

 

 

 

 
A.14.2.1  Đảm bảo an toàn cho chính sách phát triển

X

 

 

 

Kiểm tra thêm việc triển khai chính sách, nếu có thể
A.14.2.2  Thủ tục kiểm soát thay đổhệ thống

X

X

Khuyến nghị

 

 
A.14.2.3  Xem xét kỹ thuật các ứng dụng sau khi thay đổi nền tng điều hành

X

 

 

 

 
A.14.2.4.  Hạn chế thay đổi các gói phần mm

X

 

 

 

 
A.14.2.5  Nguyên tắc kỹ thuật cho an toàn hệ thống

X

 

 

 

 
A.14.2.6  Môi trường phát triển an toàn

X

X

Có thể

 

 
A.14.2.7  Phát triển hệ thống thuê ngoài

X

 

 

 

 
A.14.2.8  Kiểm thử tính an toàn của hệ thống

X

 

 

 

 
A.14.2.9  Kiểm thử chấp nhận hệ thống

X

X

Có th

 

 
A.14.3  Dữ liệu kiểm th

 

 

 

 

 
A.14.3.1  Bảo vệ dữ liệu kim thử

X

X

Có thể

X

 
A.15  Mối quan hệ với nhà cung cấp

 

 

 

 

 
A.15.1  An toàn thông tin trong mối quan hệ với nhà cung cấp

 

 

 

 

 
A.15.1.1  Chính sách an toàn thông tin cho mối quan hệ với nhà cung cấp

X

 

 

 

Kiểm tra thêm việc triển khai chính sách, nếu có th
A.15.1.2  Đảm bảo an toàn trong các thỏa thuận với nhà cung cấp

X

 

 

 

Kim tra một số điều kiện hợp đồng
A.15.1.3  Chuỗi cung ứng công nghệ thông tin và trao đi thông tin

X

 

 

 

Kiểm tra một số điều kiện hợp đng
A.15.2  Quản lý sự cung cp dịch vụ của nhà cung cấp

 

 

 

 

 
A.15.2.1  Giám sát và xem xét các dịch vụ của nhà cung cấp

X

 

 

 

 
A.15.2.2  Quản lý các thay đổi dịch vụ của nhà cung cấp

X

 

 

 

 
A.16  Quản lý sự cố an toàn thông

 

 

 

 

 
A.16.1  Quản lý các sự cố an toàn thông tin và cải tiến

 

 

 

 
A.16.1.1  Các trách nhiệm và thủ tục

X

 

 

 

 
A.16.1.2  Báo cáo sự kiện an toàn thông tin

X

 

 

 

 
A.16.1.3  Báo cáo đim yếu an toàn thông tin

X

 

 

 

 
A.16.1.4  Đánh giá và quyết định về sự kiện an toàn thông tin

X

 

 

 

 
A.16.1.5  Ứng phó với sự cố an toàn thông tin

X

 

 

 

 
A.16.1.6  Rút bài học kinh nghiệp từ các sự cố an toàn thông tin

X

 

 

 

 
A.16.1.7  Thu thập bằng chứng

X

 

 

 

 
A.17  Các khía cạnh an toàn thông tin trong quản lý sự liên tục của hoạt động nghiệp vụ

 

 

 

 

 
A.17.1  Tính liên tục an toàn thông tin

 

 

 

 

Biên bản xem xét của lãnh đạo
A.17.1.1  Xây dựng kế hoạch về tính liên tục an toàn thông tin

X

 

 

 

 
A.17.1.2  Triển khai tính liên tục an toàn thông tin

X

 

 

 

 
A.17.1.3  Xác nhận, xem xét và đánh giá tính liên tục an toàn thông tin

X

 

 

 

 
A.17.2  Dự phòng

 

 

 

 

 
A.17.2.1  Tính sẵn sàng của các phương tiện xử lý thông tin

X

X

Có th

 

 
A.18  Sự tuân thủ

 

 

 

 

 
A.18.1  Sự tuân th theo các yêu cầu pháp lý và hợp đồng

 

 

 

 

 
A.18.1.1  Xác định các yêu cầu về pháp lý và hợp đồng hiện hành

X

 

Khuyến nghị

 

 
A.18.1.2  Quyền sở hữu trí tuệ (IPR)

X

 

 

 

 
A.18.1. Bảo vệ h sơ

X

X

Khuyến nghị

 

 
A.18.1.4  Sự riêng tư và việc bảo vệ thông tin đnh danh cá nhân

X

 

 

 

Kim tra thêm việc triển khai chính sách, nếu có thể
A.18.1.5  Quy định về quản lý mã hóa

X

 

 

 

 
A.18.2  Xem xét an toàn thông tin

 

 

 

 

 
A.18.2.1  Xem xét độc lp về an toàn thông tin

X

 

 

 

Đọc các báo cáo
A.18.2.2  Sự tuân thủ các chính sách và tiêu chuẩn an toàn

X

 

 

 

 
A.18.2.3  Xem xét sự tương thích kỹ thuật

X

X

 

 

 

Thư mục tài liệu tham khảo

[1] TCVN IS019011, Hướng dẫn đánh giá hệ thống quản lý.

[2] ISO/IEC 27007, Information technology – Security techniques – Guidelines for information security management systems auditing.

[3] TCVN ISO 9001, Hệ thống quản lý chất lượng – Các yêu cầu.

 

MỤC LỤC

Lời nói đầu

Lời giới thiu

1  Phạm vi áp dụng

2  Tài liệu viện dẫn

 Thuật ngữ và đnh nghĩa

4  Nguyên tắc

5  Yêu cầu chung

5.1  Các vấn đề pháp lý và hợp đồng

5.2  Qun lý tính khách quan

5.3  Trách nhiệm pháp lý và tàchính

 Yêu cầu về cơ cấu

 Yêu cầu về nguồn lực

7.1  Năng lực của nhân sự

7.2  Nhân sự tham gia vào hoạt động chứng nhận

7.3  Sử dụng chuyên gia đánh giá và chuyên gia kỹ thuật bên ngoài với tư cách cá nhân

7.4  Hồ sơ nhân sự

7.5  Thuê ngoài

 Yêu cầu về thông tin

 Yêu cầu về quá trình

9.1  Hoạt động trước chng nhận

9.2  Hoạch định đánh giá

9.3  Chứng nhận lần đầu

9.4  Tiến hành đánh giá

9.5  Quyết định chứng nhận

9.6  Duy trì chứng nhận

9.7  Yêu cầu xem xét lại

9.8  Khiếu nại

9.9  Hồ sơ khách hàng

10  Yêu cầu về hệ thống quản lý đối với tổ chức chứng nhận

10.1  Các lựa chọn

10.2  Lựa chọn A – Yêu cầu chung về hệ thống quản lý

10.3  Lựa chọn B – Yêu cầu về hệ thống quản lý theo TCVN ISO 9001

Phụ lục A (Tham khảo) Kiến thức và kỹ năng đánh giá và chứng nhận ISMS

Phụ lục B (Quy định) Thời gian đánh giá

Phụ lục C (Tham khảo) Các phương pháp tính toán thời gian đánh giá

Phụ lục D (Tham khảo) Hướng dẫn xem xét các biện pháp kiểm soát đã được triển khai theo phụ lục A của ISO/IEC 27001:2013

Thư mục tài liệu tham khảo

TIÊU CHUẨN QUỐC GIA TCVN ISO/IEC 27006:2017 (ISO/IEC 27006:2015) VỀ CÔNG NGHỆ THÔNG TIN – CÁC KỸ THUẬT AN TOÀN – YÊU CẦU ĐỐI VỚI TỔ CHỨC ĐÁNH GIÁ VÀ CHỨNG NHẬN HỆ THỐNG QUẢN LÝ AN TOÀN THÔNG TIN
Số, ký hiệu văn bản TCVNISO/IEC27006:2017 Ngày hiệu lực
Loại văn bản Tiêu chuẩn Việt Nam Ngày đăng công báo
Lĩnh vực Công nghiệp nặng
Ngày ban hành
Cơ quan ban hành Tình trạng Còn hiệu lực

Các văn bản liên kết

Văn bản được hướng dẫn Văn bản hướng dẫn
Văn bản được hợp nhất Văn bản hợp nhất
Văn bản bị sửa đổi, bổ sung Văn bản sửa đổi, bổ sung
Văn bản bị đính chính Văn bản đính chính
Văn bản bị thay thế Văn bản thay thế
Văn bản được dẫn chiếu Văn bản căn cứ

Tải văn bản