Các loại hình đánh giá đối với hệ thống quản lý ANTT- chứng nhận ISO 27001

Các loại hình đánh giá đối với hệ thống quản lý ANTT- chứng nhận ISO 27001

CHỨNG NHẬN ISO 27001 

CÁC LOẠI HÌNH ĐÁNH GIÁ ĐỐI VỚI HỆ THỐNG QUẢN LÝ AN NINH THÔNG TIN

Có ba loại đánh giá cơ bản trong hệ thống quản lý an ninh thông tin (ANTT): đánh giá của bên thứ nhất, đánh giá của bên thứ hai và đánh giá của bên thứ ba. Một cuộc đánh giá cụ thể phụ thuộc vào mối quan hệ tồn tại giữa đánh giá viên và bên được đánh giá. Chúng ta hãy xem xét kỹ hơn ba loại này và tên đánh giá thông thường có thể phù hợp với từng loại.

Đánh giá bên thứ 3

Đánh giá bên thứ ba ISO 27001 được áp dụng trong trường hợp một tổ chức thực hiện Hệ thống Quản lý ANTT (ISMS) theo một bộ yêu cầu chuẩn ISO 27001 ( trường hợp này còn gọi là đánh giá chứng nhận ISO 27001). Một khi công ty đã tạo ra và vận hành hệ thống này một thời gian tối thiểu 3 tháng, công ty phải thuê một cơ quan chứng nhận, sau đó cơ quan chứng nhận ISO 27001 sẽ gửi đánh giá viên của chính mình để xác định liệu hệ thống ISMS của công ty có phù hợp với yêu cầu của tiêu chuẩn hay không (đánh giá chứng nhận). Nếu có, cơ quan chứng nhận sẽ cấp giấy chứng nhận cho công ty, và sau đó thực hiện đánh giá định kỳ để xác minh rằng tổ chức tiếp tục tuân thủ các yêu cầu trong suốt thời gian chứng nhận (đánh giá giám sát). Vào cuối kỳ chứng nhận, sẽ là thời gian cho việc đánh giá lại chứng nhận ISO 27001.

Đánh giá bên thứ 2

Đánh giá bên thứ hai, khách hàng tiến hành đánh giá nhà cung cấp của họ để xác minh rằng họ đáp ứng được các yêu cầu đặt ra trong hợp đồng. Các yêu cầu như vậy thường liên quan đến kiểm soát các điểm yếu an ninh thông tin, kiểm soát thêm các quy trình kỹ thuật, các yêu cầu đặc biệt đối với một số tài liệu, tiêu chuẩn hoặc các yêu cầu khác để đáp ứng các nhu cầu riêng của khách hàng. Trong quá trình đánh giá, khách hàng có thể xem xét tất cả hoặc một phần của hợp đồng, kiểm tra các quy trình tại chỗ, đánh giá tài liệu mà nhà cung cấp và bất cứ điều gì khác mà họ quyết định đánh giá.

Mọi người thường tin rằng đánh giá của bên thứ hai sẽ không còn cần thiết khi nhà cung cấp được chứng nhận bởi ISO 27001 bởi một tổ chức chứng nhận, nhưng các cuộc đánh giá này thực sự không liên quan gì đến việc chứng nhận. Kiểm tra bên thứ hai xảy ra giữa khách hàng và nhà cung cấp của họ và khách hàng có quyền xác minh rằng các yêu cầu của họ đang được đáp ứng như được quy định trong hợp đồng, bất kể họ có phù hợp với yêu cầu của ISO 27001 hay không.

Đánh giá bên thứ nhất

Đánh giá của bên thứ nhất hoặc đánh giá nội bộ xảy ra khi một đánh giá viên trong công ty kiểm tra một quá trình (hoặc nhiều quá trình) trong hệ thống ISMS để xác minh rằng nó phù hợp với quy trình đã chỉ định cho quá trình đó. Trong trường hợp này, đánh giá viên có thể là nhân viên của tổ chức đó hoặc một nhà tư vấn do tổ chức thuê, nhưng điểm chính là đánh giá viên đang làm việc thay mặt cho tổ chức, chứ không phải là tổ chức chứng nhận hoặc khách hàng.

Đánh giá nội bộ không chỉ xem xét liệu các quy trình của tổ chức có phù hợp với tiêu chuẩn ISO 27001 mà còn xem xét các quy trình này tuân theo các quy tắc của công ty hay không. Trong quá trình đánh giá, đánh giá viên sẽ kiểm tra hiệu quả tổng thể của Hệ thống Quản lý ANTT và tìm kiếm các cơ hội cải tiến, các vấn đề (hoặc các vấn đề tiềm ẩn) và bất kỳ khu vực nào quy trình không khớp với nhau. Các tổ chức nên đảm bảo rằng đánh giá nội bộ của họ là triệt để và đầy đủ, bởi vì đánh giá nội bộ cung cấp một trong những cơ hội cải tiến tốt nhất. Công ty phải thực hiện  đánh giá nội bộ trước khi mời tổ chức đánh giá chứng nhận ISO 27001.

Tổ chức chứng nhận TNV- SIGMA CERT là tổ chức thưc hiện chứng nhận ISO 27001:2013, sẽ cấp chứng chỉ ISO 27001:2013. Chứng nhận này sau đó được duy trì thông qua các cuộc kiểm tra giám sát thường xuyên theo lịch trình hàng năm của cơ quan đánh giá, với việc tái chứng nhận được thực hiện trên cơ sở ba năm một lần.

Liên lạc với chúng tôi để chúng tôi hỗ trợ bạn trong việc đào tạo và chứng nhận ISO 27001:2013.