HƯỚNG DẪN KIỂM SOÁT SỰ KHÔNG PHÙ HỢP THEO ISO 27001:2013

HƯỚNG DẪN KIỂM SOÁT SỰ KHÔNG PHÙ HỢP THEO ISO 27001:2013

Tổng quát về hướng dẫn thực hiện kiểm soát sự không phù hợp theo ISO 27001:2013

Điều 10.1 Sự không phù hợp (SKPH) và hành động khắc phục là một phần của yêu cầu cải tiến trong ISO 27001. Nó liên quan đến các hành động mà một tổ chức cần thực hiện để giải quyết và kiểm soát sự không phù hợp theo định hướng an toàn thông tin. Các hành động khắc phục khi phát hiện sự không phù hợp cũng là một phần quan trọng của quá trình cải tiến hệ thống an ninh thông tin (ISMS). Và tại sao chúng ta lại kết luận như thế? Mọi người cùng SIS CERT tìm hiểu nguyên nhân nhé.

Làm thế nào để thực hiện kiểm soát sự không phù hợp theo ISO 27001:2013

1. Tại sao phải thực hiện kiểm soát sự không phù hợp theo ISO 27001:2013

Chúng ta phải thực hiện kiểm soát SKPH theo ISO 27001:2013 bởi các nguyên do sau:

Thứ nhất, là yêu cầu bắt buộc của tiêu chuẩn. Khi chúng ta vận hành tiêu chuẩn theo điều khoản 8 thì chúng ta có điều khoản 9 để đánh giá lại, ở điều khoản này chính là lúc chúng ta tìm và phát hiện ra những “sự không phù hợp” là kết quả không tuân thủ theo tiêu chuẩn. Từ đó, chúng ta lập nên quy trình kiểm soát sự không phù hợp để đưa ra hành động khắc phục hiệu quả.

Thứ hai, giúp hệ thống ISMS của tổ chức ngày càng cải tiến. Bởi khi có SKPH xảy đến, chúng ta buộc phải thực hiện hành động khắc phục, tức giải quyết nguyên nhân của sự không phù hợp. Hành động khắc phục cần được đánh giá và tính hiệu quả của hành động đó, được đo lường và lập thành văn bản. Nó chính là bằng chứng về các cải tiến mà đánh giá viên mong đợi để đạt được và duy trì chứng nhận ISO 27001 cho tổ chức.

2. Các nội dung chính cần phải có trong kiểm soát sự không phù hợp theo ISO 27001:2013

Điều 10.1 Sự không phù hợp và hành động khắc phục theo ISO 27001:2013 quy định:

Khi một SKPH xảy ra, tổ chức phải:

a) phản ứng với SKPH, khi áp dụng:

1) thực hiện hành động để kiểm soát và sửa nó; và

2) giải quyết với những hậu quả;

b) đánh giá sự cần thiết phải hành động để loại bỏ nguyên nhân của SKPH, để nó không tái diễn hay xảy ra ở những nơi khác, bằng cách:

1) xem xét SKPH;

2) xác định nguyên nhân gốc của SKPH; và

3) xác định nếu SKPH tương tự tồn tại, hoặc có khả năng có thể xảy ra;

c) thực hiện bất kỳ hành động cần thiết;

d) xem xét hiệu lực của bất kỳ hành động khắc phục đã thực; và

e) thực hiện thay đổi đối với hệ thống quản lý an ninh thông tin, nếu cần thiết.

Hành động khắc phục phải thích hợp với những tác động của SKPH gặp phải.

Tổ chức phải giữ lại thông tin dạng văn bản như là bằng chứng của:

f) Bản chất của sự không phù hợp và bất kỳ hành động tiếp theo được thực hiện, và

g) kết quả của bất kỳ hành động khắc phục.

3. Làm thế nào để soạn thảo bảng kiểm soát sự không phù hợp phù hợp theo ISO 27001:2013

Ba bước cơ bản khi kiểm soát SKPH là xác định vấn đề hoặc vi phạm, ghi lại và thực hiện hành động thích hợp để chấm dứt vấn đề đó, cụ thể:

Bước 1: Xác định mức độ, nguyên nhân và tác động của SKPH.

Để xác định hành động khắc phục hiệu quả, đầu tiên bạn nên hoàn thành phân tích nguyên nhân gốc rễ của vấn đề đã xảy ra. Nếu chúng ta không hiểu rõ lý do tại sao nó xảy ra hoặc xảy ra như thế nào, thì có khả năng cao là bất kỳ bản khắc phục nào thực hiện sẽ không có hiệu quả đầy đủ.

Lựa chọn áp dụng các biện pháp để hạn chế tác động của sự không phù hợp như đưa mọi việc trở về ban đầu, sử dụng biện pháp dự phòng hoặc biện pháp thích hợp. Mọi biện pháp sửa chữa cần được cân nhắc áp dụng để tránh làm mọi việc trở nên tồi tệ hơn.

Bước 2: Thực hiện hành động thích hợp để chấm dứt vấn đề đó

Liên lạc với nhân viên có liên quan để đảm bảo rằng việc khắc phục được thực hiện.

Hoàn thành việc khắc phục theo quyết định;

Theo dõi mọi thứ để đảm bảo rằng các hành động khắc phục đã có hiệu quả dự kiến ​​và không tạo ra các tác dụng phụ ngoài ý muốn;

Hành động thêm để kiểm soát sự không phù hợp nếu nó vẫn chưa được khắc phục; và

Liên lạc với các bên quan tâm có liên quan khác, nếu thích hợp.

Bước 3: Lập kế hoạch và đánh giá hành động khắc phục để tránh tái lại

Lập kế hoạch cho các hành động khắc phục, ưu tiên, nếu có thể, cho các khu vực có khả năng tái diễn cao hơn và hậu quả nghiêm trọng hơn của SKPH.

Thực hiện các hành động khắc phục phù hợp với kế hoạch.

Cuối cùng, đánh giá các hành động khắc phục để tìm ra liệu chúng đã thực sự xử lý và ngăn chặn SKPH xảy ra hay không. Đánh giá này phải khách quan, dựa trên bằng chứng và tài liệu. Thâm chí chí cần được thông báo cho các vai trò và các bên liên quan có thể chấp nhận được.

4. Trách nhiệm soạn thảo, phê duyệt kiểm soát sự không phù hợp

Trách nhiệm soạn thảo quy trình kiểm soát SKPH sẽ do thư ký ISO soạn thảo. Trưởng ban ISO sẽ xem xét, rà lại. Lãnh đạo cao nhất sẽ phê duyệt, ký đóng dấu và ban hành nội bộ.

5. Mẫu kiểm soát sự không phù hợp an ninh thông tin tham khảo

Mẫu kiểm soát SKPH an ninh thông tin (tham khảo)

Quy trình kiểm soát sự không phù hợp

Tóm lược và khẳng định yêu cầu của việc hướng dẫn thực hiện kiểm soát sự không phù hợp theo ISO 27001:2013

Kiểm soát sự không sự phù hợp là hành động liên quan mật thiết đến với việc duy trì và cải tiến hệ thống an ninh thông tin theo ISO 27001:2013. Chúng ta phát hiện SKPH và thực hiện hành động khắc phục không có nghĩa là thất bại. Do đó, hãy đảm bảo rằng SKPH được tìm ra, ghi lại, không giấu giếm và xác định được nguyên nhân, sau đó có hành động khắc phục rõ ràng, tức là chúng ta đã chấp nhận cải tiến, giúp hệ thống ISMS ngày càng tốt hơn.

ĐẠI DIỆN VIỆT NAM: CÔNG TY TNHH SIS CERT

Trụ sở: Tầng 14, tòa nhà HM TOWN, 412 Nguyễn Thị Minh Khai, phường 5, quận 3, Tp Hồ Chí Minh

Văn phòng làm việc: B3-49 chung cư cao tầng SKY 9, 61-63 đường số 1, khu phố 2, phường Phú Hữu, thành phố Thủ Đức, thành phố Hồ Chí Minh

Hotline: 0918 991 146

Liên hệ nhân viên kinh doanh:

Mr. Nhất Duy: 0932 321 236

Ms. Quỳnh Như: 0827 796 518

Ms. Thu Thúy: 0774 416 158

Email: info@isosig.com; Website: www.isosig.com; Facebook: SIS CERT

Chúng tôi có chuyên gia đào tạo và chứng nhận với hơn 15 năm kinh nghiệm. Chuyên gia của chúng tôi đều được đào tạo và có chứng chỉ đánh giá viên trưởng được công nhận quốc tế Examplar (Mỹ) hoặc IRCA (Anh). Chúng tôi thực hiện trọn gói đào tạo và chứng nhận với chi phí cạnh tranh nhất

Chúng tôi cung cấp nhiều dịch vụ chứng nhận ISO, CE, FDA, hỗ trợ thông tin pháp lý về tiêu chuẩn chất lượng ở các thị trường Châu Âu, Mỹ, Úc, Ả rập, UAE, Canada…