1. Trang Chủ
  2. Tiêu chuẩn - Qui chuẩn
  3. Tiêu chuẩn Quốc gia TCVN ISO/IEC 27006:2017

Tiêu chuẩn Quốc gia TCVN ISO/IEC 27006:2017

Tiêu chuẩn này quy định các yêu cầu, cung cấp hướng dẫn cho các tổ chức đánh giá và chứng nhận hệ thống quản lý an toàn thông tin (ISMS) ngoài các yêu cầu có trong TCVN ISO/IEC 17021-1 và TCVN ISO/IEC 27001. Tiêu chuẩn này chủ yếu được dùng để hỗ trợ trong việc công nhận các tổ chức chứng nhận ISMS. Các yêu cầu nêu trong tiêu chuẩn này cần được các tổ chức chứng nhận ISMS chứng minh bằng năng lực và độ tin cậy của họ, và hướng dẫn trong tiêu chuẩn cũng cung cấp giải thích bổ sung các yêu cầu này

Thể loại Tài liệu miễn phí Tiêu chuẩn - Qui chuẩn

Số trang 36

Ngày tạo 5/19/2020 9:29:03 PM +00:00

Loại tệp DOC

Kích thước 0.19 M

Tên tệp

Tải Tiêu chuẩn Quốc gia TCVN ISO/IEC 27006:2017 (.pdf)

Xem mẫu

  1. TIÊU CHUẨN QUỐC GIA TCVN ISO/IEC 27006:2017 ISO/IEC 27006:2015 CÔNG NGHỆ THÔNG TIN - CÁC KỸ THUẬT AN TOÀN - YÊU CẦU ĐỐI VỚI TỔ CHỨC ĐÁNH GIÁ VÀ CHỨNG NHẬN HỆ THỐNG QUẢN LÝ AN TOÀN THÔNG TIN Information technology - Security techniques - Requirements for bodies providing audit and certification of information security management systems Lời nói đầu TCVN ISO/IEC 27006:2017 hoàn toàn tương đương ISO/IEC 27006:2015. TCVN ISO/IEC 27006:2017 do Học viện công nghệ Bưu chính viễn thông biên soạn, Bộ Thông tin và Truyền thông đề nghị, Tổng cục Tiêu chuẩn Đo lường Chất lượng thẩm định, Bộ Khoa học và Công nghệ công bố. Lời giới thiệu TCVN ISO/IEC 17021-1 đưa ra các chuẩn mực cho các tổ chức đánh giá và chứng nhận hệ thống quản lý. Nếu các tổ chức này được công nhận là phù hợp với TCVN ISO/IEC 17021-1 có mục tiêu đánh giá và chứng nhận hệ thống quản lý an toàn thông tin (ISMS) theo ISO/IEC 27001:2013 thì một số yêu cầu và hướng dẫn bổ sung cho TCVN ISO/IEC 17021-1 là cần thiết. Chúng sẽ được cung cấp trong tiêu chuẩn này. Các đề mục trong tiêu chuẩn này tuân theo cấu trúc của TCVN ISO/IEC 17021-1, các yêu cầu bổ sung cho ISMS và hướng dẫn về việc áp dụng tiêu chuẩn TCVN ISO/IEC 17021-1 cho chứng nhận ISMS được xác định bởi các chữ "IS". Thuật ngữ "phải" được sử dụng xuyên suốt tiêu chuẩn này để chỉ ra những điều khoản, thể hiện yêu cầu của tiêu chuẩn TCVN ISO/IEC 17021-1 và TCVN ISO/IEC 27001, có tính chất bắt buộc. Thuật ngữ "cần/nên" được dùng để chỉ sự khuyến nghị. Mục đích chính của tiêu chuẩn này là cho phép các tổ chức công nhận hài hòa hiệu quả giữa việc áp dụng các tiêu chuẩn trên với giới hạn mà họ bị ràng buộc khi đánh giá các tổ chức chứng nhận. Trong tiêu chuẩn này, các thuật ngữ "hệ thống quản lý" và "hệ thống" được sử dụng thay thế cho nhau. Có thể tham khảo định nghĩa về hệ thống quản lý trong tiêu chuẩn TCVN ISO 9000:2007 (ISO 9000:2005). Hệ thống quản lý được sử dụng trong tiêu chuẩn này không nhầm lẫn với các loại hệ thống khác, chẳng hạn như hệ thống công nghệ thông tin. CÔNG NGHỆ THÔNG TIN - CÁC KỸ THUẬT AN TOÀN - YÊU CẦU ĐỐI VỚI TỔ CHỨC ĐÁNH GIÁ VÀ CHỨNG NHẬN HỆ THỐNG QUẢN LÝ AN TOÀN THÔNG TIN Information technology - Security techniques - Requirements for bodies providing audit and certification of information security management systems 1 Phạm vi áp dụng Tiêu chuẩn này quy định các yêu cầu, cung cấp hướng dẫn cho các tổ chức đánh giá và chứng nhận hệ thống quản lý an toàn thông tin (ISMS) ngoài các yêu cầu có trong TCVN ISO/IEC 17021-1 và TCVN ISO/IEC 27001. Tiêu chuẩn này chủ yếu được dùng để hỗ trợ trong việc công nhận các tổ chức chứng nhận ISMS. Các yêu cầu nêu trong tiêu chuẩn này cần được các tổ chức chứng nhận ISMS chứng minh bằng năng lực và độ tin cậy của họ, và hướng dẫn trong tiêu chuẩn cũng cung cấp giải thích bổ sung các yêu cầu này cho mọi tổ chức cung cấp chứng nhận ISMS. CHÚ THÍCH: Tiêu chuẩn này có thể được sử dụng như một tài liệu tiêu chuẩn cho quá trình công nhận, đánh giá đồng đẳng hoặc các quá trình đánh giá khác. 2 Tài liệu viện dẫn Các tài liệu viện dẫn sau đây là cần thiết để áp dụng tiêu chuẩn này. Đối với các tài liệu viện dẫn ghi
  2. năm công bố thì áp dụng phiên bản được nêu. Đối với các tài liệu viện dẫn không ghi năm công bố thì áp dụng phiên bản mới nhất (bao gồm cả các sửa đổi, bổ sung). TCVN ISO/IEC 17021-1:2015, Đánh giá sự phù hợp - Yêu cầu đối với tổ chức đánh giá và chứng nhận hệ thống quản lý - Phần 1: Các yêu cầu. TCVN 11238 (ISO/IEC 27000), Công nghệ thông tin - Các kỹ thuật an toàn - Hệ thống quản lý an toàn thông tin - Tổng quan và từ vựng. ISO 27001:2013, Information technology - Security techniques - Information security management systems - Requirements (Công nghệ thông tin - Các kỹ thuật an toàn - Hệ thống quản lý an toàn thông tin - Các yêu cầu). 3 Thuật ngữ và định nghĩa Tiêu chuẩn này sử dụng các thuật ngữ và định nghĩa nêu trong TCVN ISO/IEC 17021-1, TCVN 11238 (ISO/IEC 27000), cùng với thuật ngữ và định nghĩa dưới đây. 3.1 Tài liệu chứng nhận (certification document) Tài liệu chỉ ra rằng ISMS của khách hàng phù hợp với các tiêu chuẩn ISMS cụ thể và mọi tài liệu bổ sung theo yêu cầu của hệ thống. 4 Nguyên tắc Áp dụng các nguyên tắc trong Điều 4 của TCVN ISO/IEC 17021-1. 5 Yêu cầu chung 5.1 Các vấn đề pháp lý và hợp đồng Áp dụng các yêu cầu trong 5.1 của TCVN ISO/1EC17021-1. 5.2 Quản lý tính khách quan Áp dụng các yêu cầu trong 5.2 của TCVN ISO/IEC 17021-1. Ngoài ra, áp dụng các yêu cầu và hướng dẫn sau đây. 5.2.1 IS 5.2 Xung đột về lợi ích Tổ chức chứng nhận có thể thực hiện các công việc sau đây mà không bị coi là tư vấn hoặc có xung đột tiềm ẩn về lợi ích: a) bố trí và tham gia như một giảng viên trong các khóa đào tạo, với điều kiện các khóa học này phải liên quan đến quản lý an toàn thông tin, các hệ thống quản lý liên quan hoặc các tổ chức đánh giá, chứng nhận phải tự hạn chế chỉ cung cấp thông tin chung và những tư vấn đã được công bố rộng rãi, nghĩa là họ không được cung cấp tư vấn cụ thể cho công ty trái với yêu cầu của b) dưới đây; b) cung cấp hoặc ban hành thông tin theo yêu cầu mô tả giải thích của tổ chức chứng nhận về yêu cầu của các tiêu chuẩn đánh giá chứng nhận (xem 9.1.3.6); c) các hoạt động trước khi đánh giá nhằm mục đích xác định sự sẵn sàng đánh giá chứng nhận; tuy nhiên, các hoạt động này không được dẫn đến việc đưa ra các khuyến nghị hoặc tư vấn trái với quy định tại điều này, và các tổ chức chứng nhận phải có thể xác nhận rằng các hoạt động đó không trái với các yêu cầu này và chúng không được sử dụng để chứng minh về việc giảm thời gian đánh giá chứng nhận cuối cùng; d) thực hiện các đánh giá của bên thứ hai và thứ ba theo các tiêu chuẩn hoặc quy định khác với các tiêu chuẩn hoặc quy định thuộc phạm vi công nhận; e) tăng giá trị trong quá trình đánh giá chứng nhận và các cuộc giám sát, ví dụ bằng cách xác định các cơ hội cải tiến, do chúng sẽ trở nên rõ ràng trong quá trình đánh giá, mà không cần đề xuất các giải pháp cụ thể. Tổ chức chứng nhận không được cung cấp các xem xét an toàn thông tin nội bộ đối với ISMS được chứng nhận của khách hàng. Hơn nữa, tổ chức chứng nhận phải độc lập với tổ chức hoặc các tổ chức (bao gồm cả các cá nhân) cung cấp đánh giá nội bộ ISMS. 5.3 Trách nhiệm pháp lý và tài chính
  3. Áp dụng các yêu cầu trong 5.3 của TCVN ISO/IEC 17021-1. 6 Yêu cầu về cơ cấu Áp dụng các yêu cầu trong Điều 6 của TCVN ISO/IEC 17021-1. 7 Yêu cầu về nguồn lực 7.1 Năng lực của nhân sự Áp dụng các yêu cầu trong 7.1 của TCVN ISO/IEC 17021-1. Ngoài ra, áp dụng các yêu cầu và hướng dẫn sau đây. 7.1.1 IS 7.1.1 Lưu ý chung 7.1.1.1 Yêu cầu về năng lực chung Tổ chức chứng nhận phải đảm bảo có kiến thức về các phát triển công nghệ, pháp lý và quy định liên quan đến ISMS của khách hàng mà tổ chức đánh giá. Tổ chức chứng nhận phải xác định các yêu cầu về năng lực đối với mỗi chức năng chứng nhận như trong Bảng A.1 của TCVN ISO/IEC 17201-1. Tổ chức chứng nhận phải xem xét tất cả các yêu cầu quy định trong TCVN ISO/IEC 17021-1; và 7.1.2 và 7.2.1 của tiêu chuẩn này liên quan đến các lĩnh vực kỹ thuật ISMS như đã được tổ chức xác định. CHÚ THÍCH: Phụ lục A tóm tắt các yêu cầu về năng lực đối với nhân sự tham gia vào các chức năng chứng nhận cụ thể. 7.1.2 IS 7.1.2 Xác định chuẩn mực năng lực 7.1.2.1 Yêu cầu về năng lực đánh giá ISMS 7.1.2.1.1 Yêu cầu chung Các tổ chức chứng nhận phải có chuẩn mực để xác minh trình độ kinh nghiệm, đào tạo đặc biệt hoặc thông tin ngắn gọn về các thành viên đoàn đánh giá để đảm bảo tối thiểu: a) kiến thức về an toàn thông tin; b) kiến thức kỹ thuật về hoạt động được đánh giá; c) kiến thức về các hệ thống quản lý; d) kiến thức về các nguyên tắc đánh giá; CHÚ THÍCH: Thông tin chi tiết về các nguyên tắc đánh giá có thể được tìm thấy trong TCVN ISO 19011. e) kiến thức về giám sát, đo lường, phân tích và đánh giá ISMS. Những yêu cầu từ a) đến e) ở trên áp dụng đối với tất cả các chuyên gia đánh giá thuộc đoàn đánh giá, trừ yêu cầu b) có thể được áp dụng cho một chuyên gia đánh giá trong đoàn đánh giá. Đoàn đánh giá phải có năng lực truy xuất các dấu hiệu về sự cố an toàn thông tin trong ISMS của khách hàng trên các thành phần riêng biệt của ISMS. Đoàn đánh giá phải có kinh nghiệm làm việc phù hợp về các nội dung ở trên và ứng dụng thực tế của các nội dung này (điều này không có nghĩa là tất cả các chuyên gia đánh giá đều phải có đầy đủ kinh nghiệm về tất cả các lĩnh vực an toàn thông tin, nhưng toàn bộ đoàn đánh giá phải đủ năng lực và kinh nghiệm cho toàn bộ phạm vi ISMS được đánh giá) 7.1.2.1.2 Thuật ngữ, nguyên tắc, thực hành và kỹ thuật quản lý an toàn thông tin Nhìn chung, tất cả các thành viên của đoàn đánh giá phải có kiến thức về: a) các cấu trúc, hệ thống phân cấp và mối tương quan của tài liệu ISMS; b) các công cụ, phương pháp, kỹ thuật và ứng dụng liên quan của chúng đến quản lý hệ thống an toàn thông tin; c) đánh giá và quản lý rủi ro an toàn thông tin; d) các quy trình áp dụng cho ISMS; e) công nghệ hiện tại mà an toàn thông tin có thể liên quan hoặc đang là một vấn đề tranh luận.
  4. Mọi chuyên gia đánh giá đều phải đáp ứng các chuẩn mực a, c và d. 7.1.2.1.3 Tiêu chuẩn và văn bản quy định về hệ thống quản lý an toàn thông tin Các chuyên gia đánh giá tham gia trong việc đánh giá ISMS phải có kiến thức về: a) tất cả các yêu cầu trong TCVN ISO/IEC 27001. Nhìn chung, tất cả các thành viên của đoàn đánh giá phải có kiến thức về: b) tất cả các biện pháp kiểm soát trong TCVN ISO/IEC 27002 (nếu cũng được xác định là cần thiết từ các tiêu chuẩn lĩnh vực cụ thể) và việc triển khai chúng, phân loại như sau: 1) chính sách an toàn thông tin; 2) tổ chức đảm bảo an toàn thông tin; 3) đảm bảo an toàn từ nguồn nhân lực; 4) quản lý tài sản; 5) kiểm soát truy cập, bao gồm việc xác thực; 6) mật mã hóa; 7) an toàn vật lý và môi trường; 8) an toàn vận hành, bao gồm các dịch vụ IT; 9) an toàn trao đổi thông tin, bao gồm quản lý an toàn mạng và chuyển giao thông tin; 10) tiếp nhận, phát triển và duy trì hệ thống; 11) mối quan hệ với nhà cung cấp, bao gồm dịch vụ thuê ngoài; 12) quản lý sự cố an toàn thông tin; 13) các khía cạnh an toàn thông tin trong quản lý sự liên tục của hoạt động nghiệp vụ, bao gồm cả các dự phòng; 14) sự tuân thủ, bao gồm xem xét an toàn thông tin. 7.1.2.1.4 Thực hành quản lý nghiệp vụ Các chuyên gia đánh giá tham gia đánh giá ISMS phải có kiến thức về; a) các thực hành tốt về an toàn thông tin theo ngành nghề và các thủ tục an toàn thông tin; b) các chính sách và các yêu cầu nghiệp vụ đối với an toàn thông tin; c) các khái niệm, thực hành về quản lý nghiệp vụ chung, và mối tương quan giữa chính sách, mục tiêu và kết quả; d) các quy trình quản lý và thuật ngữ liên quan. CHÚ THÍCH: Các quy trình này còn bao gồm các quy trình quản lý nguồn nhân lực, trao đổi thông tin nội bộ và bên ngoài và các quy trình hỗ trợ có liên quan khác. 7.1.2.1.5 Lĩnh vực nghiệp vụ của khách hàng Các chuyên gia đánh giá trong đánh giá ISMS phải có kiến thức về; a) các yêu cầu pháp lý và quy định trong lĩnh vực an toàn thông tin cụ thể, địa lý và (các) phạm vi quyền hạn; CHÚ THÍCH: Kiến thức về các yêu cầu pháp lý và quy định không có nghĩa là kiến thức pháp lý chuyên sâu. b) các rủi ro an toàn thông tin có liên quan đến lĩnh vực nghiệp vụ; c) các thuật ngữ chung, quy trình và công nghệ liên quan đến lĩnh vực nghiệp vụ của khách hàng; d) các thực hành liên quan đến lĩnh vực nghiệp vụ. Chuẩn mực a) có thể là chuẩn mực chung cho cả đoàn đánh giá. 7.1.2.1.6 Sản phẩm, quy trình và tổ chức của khách hàng
  5. Nhìn chung, các chuyên gia đánh giá tham gia việc đánh giá ISMS phải có kiến thức về: a) tác động của loại hình tổ chức, quy mô, sự quản trị, cấu trúc, các chức năng và mối quan hệ tới sự phát triển và triển khai hệ thống ISMS và các hoạt động chứng nhận, bao gồm cả thuê ngoài; b) các vận hành phức hợp theo một góc nhìn rộng; c) các yêu cầu pháp lý và quy định áp dụng đối với các sản phẩm hoặc dịch vụ. 7.1.2.2 Yêu cầu về năng lực đối với trưởng đoàn đánh giá ISMS Ngoài các yêu cầu trong 7.1.2.1, trưởng đoàn đánh giá phải đáp ứng đủ các yêu cầu sau đây, và điều đó phải được chứng minh trong các cuộc đánh giá có sự hướng dẫn và giám sát: a) có kiến thức và kỹ năng quản lý quy trình đánh giá chứng nhận và đoàn đánh giá; b) chứng minh được khả năng truyền đạt hiệu quả, cả nói và viết. 7.1.2.3 Yêu cầu về năng lực thực hiện xem xét ứng dụng 7.1.2.3.1 Tiêu chuẩn và văn bản quy định về hệ thống quản lý an toàn thông tin Người thực hiện xem xét ứng dụng để xác định năng lực của đoàn đánh giá được yêu cầu, lựa chọn các thành viên đoàn đánh giá và xác định thời gian đánh giá phải có kiến thức về: a) các tiêu chuẩn và văn bản quy định khác liên quan đến ISMS được sử dụng trong quy trình chứng nhận. 7.1.2.3.2 Lĩnh vực nghiệp vụ của khách hàng Người thực hiện xem xét ứng dụng để xác định năng lực cần thiết của đoàn đánh giá, lựa chọn các thành viên đoàn đánh giá và xác định thời gian đánh giá phải có kiến thức về: b) thuật ngữ chung, các quy trình, công nghệ và rủi ro liên quan đến lĩnh vực nghiệp vụ của khách hàng. 7.1.2.3.3 Sản phẩm, quy trình và tổ chức của khách hàng Người thực hiện xem xét ứng dụng để xác định năng lực cần thiết của đoàn đánh giá, lựa chọn các thành viên đoàn đánh giá và xác định thời gian đánh giá phải có kiến thức về: a) các sản phẩm, quy trình, loại hình tổ chức, quy mô, quản trị, cấu trúc, các chức năng và mối quan hệ của khách hàng trong việc phát triển và triển khai hệ thống ISMS và các hoạt động chứng nhận, bao gồm cả các chức năng thuê khoán ngoài. 7.1.2.4 Yêu cầu về năng lực xem xét báo cáo đánh giá và ra quyết định chứng nhận 7.1.2.4.1 Tổng quan Người xem xét báo cáo đánh giá và ra quyết định chứng nhận phải có kiến thức cho phép họ xác minh sự hợp lý về phạm vi chứng nhận cũng như những thay đổi trong phạm vi và ảnh hưởng của chúng đến hiệu quả của việc đánh giá, đặc biệt là tính hiệu lực liên tục của việc xác định các điểm tương giao, các phụ thuộc và những rủi ro liên quan. Ngoài ra, người xem xét báo cáo đánh giá và ra quyết định chứng nhận phải có kiến thức về: a) các hệ thống quản lý nói chung; b) các quy trình và thủ tục đánh giá; c) các nguyên tắc, thực hành và kỹ thuật đánh giá. 7.1.2.4.2 Thuật ngữ, nguyên tắc, thực hành và kỹ thuật quản lý an toàn thông tin Người xem xét báo cáo đánh giá đánh giá và ra quyết định chứng nhận phải có kiến thức về: a) các danh mục đã liệt kê trong 7.1.2.1.2 a), c) và d); b) các yêu cầu pháp lý và quy định liên quan đến an toàn thông tin. 7.1.2.4.3 Tiêu chuẩn và văn bản quy định về hệ thống quản lý an toàn thông tin Người xem xét báo cáo đánh giá đánh giá và ra quyết định chứng nhận phải có kiến thức về: a) các tiêu chuẩn và văn bản quy định khác liên quan đến ISMS được sử dụng trong quy trình chứng
  6. nhận. 7.1.2.4.4 Lĩnh vực nghiệp vụ của khách hàng Người xem xét báo cáo đánh giá và ra quyết định chứng nhận phải có kiến thức về: b) thuật ngữ chung và các rủi ro có liên quan đến các thực hành liên quan đến lĩnh vực nghiệp vụ của khách hàng. 7.1.2.4.5 Sản phẩm, quy trình và tổ chức của khách hàng Người xem xét báo cáo đánh giá và ra quyết định cấp giấy chứng nhận phải có kiến thức về: a) các sản phẩm, quy trình, loại hình tổ chức, quy mô, sự quản trị, cấu trúc, các chức năng và mối quan hệ của khách hàng. 7.2 Nhân sự tham gia vào hoạt động chứng nhận Áp dụng các yêu cầu trong 7.2 của TCVN ISO/IEC 17021-1. Ngoài ra, áp dụng các yêu cầu và hướng dẫn sau đây. 7.2.1 IS 7.2 Chứng minh kiến thức và kinh nghiệm của chuyên gia đánh giá Tổ chức chứng nhận phải chứng minh các chuyên gia đánh giá có kiến thức và kinh nghiệm thông qua: a) các bằng cấp được công nhận về ISMS; b) đăng ký chuyên gia đánh giá, nếu có; c) tham gia các khóa đào tạo ISMS và đạt được các chứng chỉ cá nhân có liên quan; d) hồ sơ cập nhật về phát triển chuyên môn; e) các xem xét ISMS được chứng kiến bởi chuyên gia đánh giá ISMS khác. 7.2.1.1 Lựa chọn chuyên gia đánh giá Ngoài các chuẩn mực trong 7.1.2.1, chuẩn mực để lựa chọn chuyên gia đánh giá phải đảm bảo rằng mỗi chuyên gia đánh giá phải: a) được đào tạo chuyên nghiệp hoặc được đào tạo ở cấp độ đào tạo đại học tương đương: b) có tối thiểu 4 năm kinh nghiệm làm việc thực tế về công nghệ thông tin, trong đó tối thiểu 2 năm trong vai trò hoặc chức năng liên quan đến an toàn thông tin; c) đã hoàn thành tốt tối thiểu 5 ngày đào tạo với chủ đề về đánh giá ISMS về quản lý đánh giá; d) có kinh nghiệm trong toàn bộ quy trình đánh giá an toàn thông tin trước khi đảm nhận thực hiện trách nhiệm như một chuyên gia đánh giá. Kinh nghiệm phải có được bằng sự tham gia tối thiểu bốn cuộc đánh giá chứng nhận ISMS, bao gồm cả các cuộc đánh giá tái chứng nhận và đánh giá giám sát, với tổng số tối thiểu 20 ngày trong đó có nhiều nhất 5 ngày có thể tham gia các cuộc đánh giá giám sát việc tham gia phải bao gồm xem xét tài liệu và đánh giá rủi ro, đánh giá thực thi và báo cáo đánh giá; e) có kinh nghiệm phù hợp và thực tế; f) có kiến thức và kỹ năng hiện tại về an toàn thông tin và đánh giá được cập nhật thông qua sự phát triển chuyên môn liên tục; Các chuyên gia kỹ thuật phải tuân thủ các chuẩn mực a), b) và e). 7.2.1.2 Lựa chọn trưởng đoàn đánh giá Ngoài các chuẩn mực trong 7.1.2.2 và 7.2.1.1, chuẩn mực lựa chọn trưởng đoàn đánh giá phải đảm bảo rằng chuyên gia đánh giá này: a) chủ động tham gia tất cả các giai đoạn của ít nhất 3 cuộc đánh giá ISMS. Việc tham gia phải bao gồm lập phạm vi và kế hoạch lần đầu, xem xét tài liệu và đánh giá rủi ro, đánh giá thực thi và báo cáo đánh giá chính thức. 7.3 Sử dụng chuyên gia đánh giá và chuyên gia kỹ thuật bên ngoài với tư cách cá nhân Áp dụng các yêu cầu trong 7.3 của TCVN ISO/IEC 17021-1. Ngoài ra, áp dụng các yêu cầu và hướng dẫn sau đây. 7.3.1 IS 7.3 Sử dụng chuyên gia đánh giá hoặc chuyên gia kỹ thuật bên ngoài trong nhóm đánh
  7. giá Chuyên gia kỹ thuật phải làm việc dưới sự giám sát của chuyên gia đánh giá. Các yêu cầu tối thiểu đối với chuyên gia kỹ thuật đã được liệt kê trong mục 7.2.1.1. 7.4 Hồ sơ nhân sự Áp dụng các yêu cầu trong 7.4 của TCVN ISO/IEC 17021-1. 7.5 Thuê ngoài Áp dụng các yêu cầu trong 7.5 của TCVN ISO/IEC 17021-1. 8 Yêu cầu về thông tin 8.1 Thông tin công khai Áp dụng các yêu cầu trong 8.1 của TCVN ISO/IEC 17021-1. 8.2 Tài liệu chứng nhận Áp dụng các yêu cầu trong 8.2 của TCVN ISO/IEC17021-1. Ngoài ra, áp dụng các yêu cầu và hướng dẫn sau đây. 8.2.1 IS 8.2 Tài liệu chứng nhận ISMS Các tài liệu chứng nhận phải được ký bởi người đã được chỉ định chịu trách nhiệm này. Các phiên bản của thông báo áp dụng phải được bao gồm trong các tài liệu chứng nhận. CHÚ THÍCH Sự thay đổi của thông báo áp dụng mà không làm thay đổi phạm vi của các biện pháp kiểm soát trong phạm vi chứng nhận thì không yêu cầu bản cập nhật của tài liệu chứng nhận. Việc xác định (các) tiêu chuẩn lĩnh vực cụ thể được sử dụng có thể bao gồm trong các tài liệu chứng nhận. 8.3 Viện dẫn chứng nhận và sử dụng dấu Áp dụng các yêu cầu trong 8.3 của TCVN ISO/IEC 17021-1. 8.4 Bảo mật Áp dụng các yêu cầu trong 8.4 của TCVN ISO/IEC 17021-1. Ngoài ra, áp dụng các yêu cầu và hướng dẫn sau đây. 8.4.1 IS 8.4 Truy cập hồ sơ tổ chức Trước khi đánh giá chứng nhận, tổ chức chứng nhận phải yêu cầu khách hàng báo cáo xem có thông tin nào liên quan đến ISMS (ví dụ các hồ sơ ISMS hoặc thông tin về thiết kế và hiệu quả của các biện pháp kiểm soát) không thể đưa cho nhóm đánh giá xem xét do chúng có chứa thông tin bí mật và nhạy cảm.Tổ chức chứng nhận phải xác định xem liệu ISMS có thể được đánh giá đầy đủ không nếu không có những thông tin này. Nếu tổ chức chứng nhận kết luận rằng ISMS không thể được đánh giá đầy đủ nếu không xem xét các thông tin bí mật hoặc nhạy cảm đó thì họ phải thông báo cho khách hàng rằng đánh giá chứng nhận không thể thực hiện cho đến khi đạt được thỏa thuận thích hợp về truy cập. 8.5 Trao đổi thông tin giữa tổ chức chứng nhận và khách hàng Áp dụng các yêu cầu trong 8.5 của TCVN ISO/IEC 17021-1. 9 Yêu cầu về quá trình 9.1 Hoạt động trước chứng nhận 9.1.1 Đăng ký Áp dụng các yêu cầu trong 9.1.1 của TCVN ISO/IEC 17021-1. Ngoài ra, áp dụng các yêu cầu và hướng dẫn sau đây. 9.1.1.1 IS 9.1.1 Sự sẵn sàng khi đăng ký Tổ chức chứng nhận phải yêu cầu khách hàng phải có ISMS đã được lập tài liệu và triển khai tuân theo TCVN ISO/IEC 27001 và các tài liệu khác yêu cầu cho chứng nhận. 9.1.2 Xem xét đăng ký Áp dụng các yêu cầu trong 9.1.2 của TCVN ISO/IEC 17021-1.
  8. 9.1.3 Chương trình đánh giá Áp dụng các yêu cầu trong 9.1.3 của TCVN ISO/IEC 17021-1. Ngoài ra, áp dụng các yêu cầu và hướng dẫn sau đây. 9.1.3.1 IS 9.1.3 Tổng quan Chương trình đánh giá đối với đánh giá ISMS phải xem xét các kiểm soát an toàn thông tin. 9.1.3.2 IS 9.1.3 Phương pháp luận đánh giá Các thủ tục của tổ chức chứng nhận không được giả định trước một cách thức triển khai cụ thể đối với ISMS hoặc một định dạng cụ thể đối với tài liệu và các hồ sơ. Các thủ tục chứng nhận phải tập trung vào việc xác minh rằng ISMS của khách hàng đáp ứng các yêu cầu trong TCVN ISO/IEC 27001 và các chính sách, mục tiêu của khách hàng. CHÚ THÍCH: Hướng dẫn thêm về đánh giá có trong ISO/IEC 27007. 9.1.3.3 IS 9.1.3 Chuẩn bị chung cho đánh giá lần đầu Tổ chức chứng nhận phải yêu cầu khách hàng thực hiện tất cả các thỏa thuận cần thiết để truy cập vào các báo cáo đánh giá nội bộ và các báo cáo xem xét độc lập về an toàn thông tin. Ít nhất các thông tin sau phải được khách hàng cung cấp trong giai đoạn 1 của cuộc chứng nhận đánh giá: a) thông tin chung liên quan đến ISMS và toàn bộ hoạt động của ISMS; b) một bản sao tài liệu ISMS theo yêu cầu trong TCVN ISO/IEC 27001 và, nếu cần thì cả tài liệu liên quan. 9.1.3.4 IS 9.1.3 Giai đoạn đánh giá Tổ chức chứng nhận không được chứng nhận ISMS trừ khi nó đã được vận hành qua ít nhất một cuộc xem xét của lãnh đạo và một cuộc đánh giá ISMS nội bộ theo phạm vi chứng nhận. 9.1.3.5 IS 9.1.3 Phạm vi chứng nhận Đoàn đánh giá phải đánh giá ISMS của khách hàng trong phạm vi xác định đối với tất cả các yêu cầu chứng nhận được áp dụng. Tổ chức chứng nhận phải xác nhận trong phạm vi ISMS của khách hàng, rằng khách hàng đã giải quyết các yêu cầu quy định tại 4.3 của TCVN ISO/IEC 27001. Tổ chức chứng nhận phải đảm bảo rằng việc đánh giá rủi ro và xử lý rủi ro an toàn thông tin của khách hàng phản ánh đúng các hoạt động của họ và mở rộng ra ranh giới hoạt động của họ như đã xác định trong phạm vi chứng nhận. Tổ chức chứng nhận phải xác nhận rằng điều này đã được phản ánh trong phạm vi ISMS và tuyên bố áp dụng của khách hàng. Tổ chức chứng nhận phải xác nhận rằng có ít nhất một Tuyên bố áp dụng trên mỗi phạm vi chứng nhận. Tổ chức chứng nhận phải đảm bảo các điểm tương giao với các dịch vụ hoặc các hoạt động không nằm trong phạm vi của ISMS đã được đề cập là đối tượng ISMS được chứng nhận và được đưa vào đánh giá rủi ro an toàn thông tin của khách hàng. Một ví dụ cho tình huống này là việc dùng chung các phương tiện (ví dụ các hệ thống IT, cơ sở dữ liệu và hệ thống viễn thông hoặc thuê ngoài một chức năng nghiệp vụ) với các tổ chức khác. 9.1.3.6 IS 9.1.3 Chuẩn mực đánh giá chứng nhận Chuẩn mực để đánh giá ISMS của khách hàng phải là tiêu chuẩn ISMS TCVN ISO/IEC 27001. Các tài liệu khác có thể được yêu cầu cho chứng nhận liên quan đến chức năng được thực hiện. 9.1.4 Xác định thời gian đánh giá Áp dụng các yêu cầu trong 9.1.4 của TCVN ISO/IEC 17021-1. Ngoài ra, áp dụng các yêu cầu và hướng dẫn sau đây. 9.1.4.1 IS 9.1.4 Thời gian đánh giá Tổ chức chứng nhận phải cho phép chuyên gia đánh giá có đủ thời gian để thực hiện tất cả các hoạt động liên quan đến đánh giá lần đầu, đánh giá giám sát hoặc đánh giá chứng nhận lại. Việc tính toán thời gian chứng nhận phải bao gồm đủ cả thời gian cho báo cáo đánh giá. Tổ chức chứng nhận phải sử dụng Phụ lục B để xác định thời gian đánh giá.
  9. CHÚ THÍCH: Hướng dẫn thêm và các ví dụ về tính toán thời gian đánh giá được cung cấp trong Phụ lục C. 9.1.5 Lấy mẫu nhiều địa điểm Áp dụng các yêu cầu trong 9.1.5 của TCVN ISO/IEC 17021-1. Ngoài ra, áp dụng các yêu cầu và hướng dẫn sau đây. 9.1.5.1 IS 9.1.5 Các địa điểm lấy mẫu 9.1.5.1.1 Trường hợp tổ chức khách hàng có nhiều địa điểm đạt các chuẩn mực từ a) đến c) dưới đây, tổ chức chứng nhận có thể xem xét sử dụng phương pháp tiếp cận theo mẫu để đánh giá chứng nhận nhiều địa điểm; a) tất cả các địa điểm đều đang hoạt động trong cùng một ISMS, được quản lý và đánh giá tập trung và chịu sự xem xét của lãnh đạo tập trung. b) tất cả các địa điểm đều nằm trong chương trình đánh giá ISMS nội bộ của khách hàng: c) tất cả các địa điểm đều nằm trong chương trình xem xét quản lý ISMS của khách hàng. 9.1.5.1.2 Tổ chức chứng nhận có nhu cầu sử dụng một phương pháp tiếp cận theo mẫu phải có các thủ tục để đảm bảo những điều sau đây: a) cuộc xem xét hợp đồng lần đầu xác định, ở mức cao nhất có thể, sự khác biệt giữa các địa điểm sao cho một mức độ lấy mẫu phù hợp sẽ được xác định. b) nhiều địa điểm đại diện được lấy mẫu bởi tổ chức chứng nhận, cần để ý tới: 1) kết quả của các cuộc đánh giá nội bộ cho trụ sở chính và các địa điểm; 2) kết quả xem xét của lãnh đạo; 3) những thay đổi về quy mô của các địa điểm; 4) những thay đổi trong mục đích nghiệp vụ của các địa điểm; 5) tính phức tạp của các hệ thống thông tin ở các địa điểm khác nhau; 6) những thay đổi trong thực tiễn công việc; 7) những thay đổi trong các hoạt động được thực hiện; 8) những thay đổi về thiết kế và vận hành các biện pháp kiểm soát; 9) tương tác tiềm ẩn với các hệ thống thông tin quan trọng hoặc các hệ thống xử lý thông tin nhạy cảm; 10) mọi yêu cầu pháp lý khác nhau; 11) các khía cạnh địa lý và văn hóa; 12) tình trạng rủi ro của các địa điểm; 13) những sự cố an toàn thông tin tại các địa điểm cụ thể. c) Một mẫu đại diện được chọn từ tất cả các địa điểm trong phạm vi ISMS của khách hàng; sự lựa chọn này phải là một chọn lựa theo phán đoán thể hiện các yếu tố trong mục b) ở trên và một yếu tố ngẫu nhiên. d) Mọi địa điểm trong ISMS chịu rủi ro lớn đều được đánh giá bởi tổ chức chứng nhận trước khi chứng nhận. e) Chương trình đánh giá đã được thiết kế theo các yêu cầu nêu trên và có đủ các mẫu đại diện trong phạm vi của chứng nhận ISMS trong khoảng thời gian ba năm. f) Trong trường hợp quan sát thấy có sự không phù hợp tại trụ sở chính hoặc tại một địa điểm đơn lẻ thì thủ tục hành động khắc phục sẽ được áp dụng cho trụ sở chính và tất cả các địa điểm thuộc chứng nhận. Cuộc đánh giá phải giải quyết các hoạt động của trụ sở chính của khách hàng để đảm bảo rằng chỉ một ISMS duy nhất áp dụng cho tất cả các địa điểm và cung cấp sự quản lý tập trung ở cấp độ vận hành. Cuộc đánh giá phải giải quyết tất cả các vấn đề nêu trên. 9.1.6 Nhiều hệ thống quản lý
  10. Áp dụng các yêu cầu trong 9.1.6 của TCVN ISO/IEC 17021-1. Ngoài ra, áp dụng các yêu cầu và hướng dẫn sau đây. 9.1.6.1 IS 9.1.6 Tích hợp tài liệu ISMS với tài liệu cho các hệ thống quản lý khác Tổ chức chứng nhận có thể chấp nhận tài liệu kết hợp (ví dụ, về an toàn thông tin, chất lượng, sức khỏe, an toàn và môi trường) miễn là ISMS có thể được xác định rõ ràng cùng với các điểm tương giao thích hợp với các hệ thống khác. 9.1.6.1 IS 9.1.6 Kết hợp các đánh giá hệ thống quản lý Đánh giá ISMS có thể được kết hợp với đánh giá các hệ thống khác, với điều kiện phải có thể chứng minh được rằng đánh giá ISMS đáp ứng tất cả các yêu cầu đối với chứng nhận ISMS. Tất cả các yếu tố quan trọng đối với ISMS phải được thể hiện rõ ràng và dễ nhận biết được trong các báo cáo đánh giá. Chất lượng của đánh giá không được bị ảnh hưởng bất lợi bởi việc kết hợp các đánh giá. 9.2 Hoạch định đánh giá 9.2.1 Xác định mục tiêu, phạm vi và chuẩn mực đánh giá Áp dụng các yêu cầu trong 9.2.1 của TCVN ISO/IEC 17021-1. Ngoài ra, áp dụng các yêu cầu và hướng dẫn sau đây. 9.2.1.1 IS 9.2.1 Mục tiêu đánh giá Các mục tiêu đánh giá phải bao gồm xác định hiệu quả của hệ thống quản lý nhằm đảm bảo rằng dựa trên đánh giá rủi ro, khách hàng đã triển khai các biện pháp kiểm soát phù hợp và đạt được các mục tiêu an toàn thông tin đã được xác lập. 9.2.2 Lựa chọn và chỉ định đoàn đánh giá Áp dụng các yêu cầu trong 9.2.2 của TCVN ISO/IEC 17021-1. Ngoài ra, áp dụng các yêu cầu và hướng dẫn sau đây. 9.2.2.1 IS 9.2.2 Đoàn đánh giá Đoàn đánh giá phải được chỉ định chính thức và được cung cấp các tài liệu làm việc thích hợp. Nhiệm vụ cho đoàn đánh giá phải được xác định rõ ràng và được đưa ra cho khách hàng. Đoàn đánh giá có thể chỉ gồm một người đáp ứng được tất cả các chuẩn mực đặt ra trong 7.1.2.1. 9.2.2.1 IS 9.2.2 Năng lực của đoàn đánh giá Áp dụng các yêu cầu được liệt kê trong 7.1.2. Đối với các hoạt động đánh giá giám sát và đánh giá đặc biệt, chỉ áp dụng những yêu cầu liên quan tới hoạt động giám sát đã được hoạch định và hoạt động đánh giá đặc biệt. Khi lựa chọn và quản lý đoàn đánh giá được chỉ định cho một cuộc đánh giá chứng nhận cụ thể, tổ chức chứng nhận phải đảm bảo rằng các năng lực của mỗi vị trí đều phù hợp. Đoàn đánh giá phải: a) có kiến thức kỹ thuật thích hợp về các hoạt động cụ thể trong phạm vi của ISMS được chứng nhận và, nếu có thể, thì cả các thủ tục liên quan và các tiềm ẩn rủi ro an toàn thông tin tiềm ẩn (chuyên gia kỹ thuật có thể đáp ứng yêu cầu này) b) có hiểu biết về khách hàng đủ để tiến hành một cuộc đánh giá chứng nhận tin cậy về ISMS của họ theo phạm vi ISMS và bối cảnh về tổ chức trong việc quản lý các khía cạnh an toàn thông tin của các hoạt động, sản phẩm và dịch vụ của họ. c) có hiểu biết đúng về các yêu cầu pháp lý và quy định áp dụng cho ISMS của khách hàng. CHÚ THÍCH: Hiểu biết đúng không bao hàm kiến thức cơ bản sâu sắc về pháp lý. 9.2.3 Kế hoạch đánh giá Áp dụng các yêu cầu trong 9.2.3 của TCVN ISO/IEC 17021-1. Ngoài ra, áp dụng các yêu cầu và hướng dẫn sau đây. 9.2.3.1 IS 9.2.3 Tổng quan Kế hoạch đánh giá đối với đánh giá ISMS phải xem xét các biện pháp kiểm soát an toàn thông tin đã được xác định. 9.2.3.2 IS 9.2.3 Các kỹ thuật đánh giá có mạng hỗ trợ
  11. Nếu phù hợp thì kế hoạch đánh giá phải xác định các kỹ thuật đánh giá có mạng hỗ trợ sẽ được sử dụng trong suốt quá trình đánh giá. Các kỹ thuật đánh giá có mạng hỗ trợ có thể bao gồm, ví dụ, hội nghị truyền hình, hội nghị qua web, trao đổi thông tin dựa trên web tương tác và truy cập điện tử từ xa tới tài liệu ISMS hoặc các quy trình ISMS. Mục đích chính của các kỹ thuật này là để tăng cường hiệu quả và hiệu suất đánh giá, và hỗ trợ tính toàn vẹn của quy trình đánh giá. 9.2.3.3 IS 9.2.3 Thời gian đánh giá Tổ chức chứng nhận phải thống nhất với tổ chức được đánh giá về thời gian đánh giá để thể hiện rõ nhất toàn bộ phạm vi của tổ chức. Các cân nhắc có thể gồm theo mùa, tháng, thứ/ngày và ca cho phù hợp. 9.3 Chứng nhận lần đầu Áp dụng các yêu cầu trong 9.3 của TCVN ISO/IEC 17021-1. Ngoài ra, áp dụng các yêu cầu và hướng dẫn sau đây. 9.3.1 IS 9.3.1 Đánh giá chứng nhận lần đầu 9.3.1.1 IS 9.3.1.1 Giai đoạn 1 Trong giai đoạn đánh giá này, tổ chức chứng nhận phải có được tài liệu về thiết kế ISMS bao gồm các tài liệu được yêu cầu trong TCVN ISO/IEC 27001. Tổ chức chứng nhận phải có được hiểu biết đầy đủ về thiết kế ISMS theo bối cảnh của tổ chức khách hàng, việc đánh giá và xử lý rủi ro (bao gồm cả các biện pháp kiểm soát đã xác định), chính sách và các mục tiêu an toàn thông tin và đặc biệt là sự chuẩn bị sẵn sàng của tổ chức khách hàng cho cuộc đánh giá. Điều này cho phép lên kế hoạch cho giai đoạn 2. Các kết quả của giai đoạn 1 phải được lập tài liệu dưới dạng một báo cáo bằng văn bản. Tổ chức chứng nhận phải xem xét báo cáo đánh giá của giai đoạn 1 trước khi quyết định tiếp tục giai đoạn 2 và lựa chọn các thành viên đoàn đánh giá giai đoạn 2 với những năng lực cần thiết. Tổ chức chứng nhận phải nhắc khách hàng về các loại thông tin và hồ sơ khác có thể được yêu cầu cần kiểm tra chi tiết trong giai đoạn 2. 9.3.1.2 IS 9.3.1.2 Giai đoạn 2 9.3.1.2.1 Trên cơ sở các phát hiện đã được ghi trong báo cáo đánh giá giai đoạn 1, tổ chức chứng nhận xây dựng kế hoạch đánh giá giai đoạn 2. Bên cạnh việc đánh giá sự triển khai hiệu quả của ISMS thì mục tiêu của giai đoạn 2 còn là: a) để xác nhận rằng khách hàng tuân thủ các chính sách, mục tiêu và thủ tục của họ. 9.3.1.2.2 Để làm điều này, cuộc đánh giá phải tập trung vào các vấn đề sau của khách hàng: a) bộ phận lãnh đạo cao nhất và cam kết đối với chính sách an toàn thông tin và các mục tiêu an toàn thông tin; b) các yêu cầu về tài liệu được liệt kê tại tiêu chuẩn TCVN ISO/IEC 27001; c) việc đánh giá các rủi ro liên quan đến an toàn thông tin và các đánh giá có các kết quả nhất quán, giá trị và có thể so sánh nếu được thực hiện nhiều lần; d) việc xác định các mục tiêu kiểm soát và biện pháp kiểm soát trên cơ sở các quy trình đánh giá rủi ro và xử lý rủi ro an toàn thông tin; e) kết quả thực hiện an toàn thông tin và hiệu quả của ISMS, đánh giá các mục tiêu an toàn thông tin; f) sự tương ứng giữa các biện pháp kiểm soát xác định, Thông báo áp dụng và các kết quả của quy trình đánh giá rủi ro và xử lý rủi ro an toàn thông tin, chính sách và các mục tiêu an toàn thông tin; g) việc triển khai các biện pháp kiểm soát (xem phụ lục D), có tính đến bối cảnh bên ngoài và nội bộ và các rủi ro liên quan, việc giám sát, đo lường và phân tích các quy trình và biện pháp kiểm soát an toàn thông tin của tổ chức để xác định xem các biện pháp kiểm soát có được triển khai và đạt hiệu quả và đáp ứng các mục tiêu đã công bố không; h) các chương trình, quy trình, thủ tục, hồ sơ, đánh giá và xem xét nội bộ về hiệu quả của ISMS nhằm đảm bảo chúng có thể truy nguyên tới các quyết định của lãnh đạo, chính sách và các mục tiêu an toàn
  12. thông tin. 9.4 Tiến hành đánh giá Áp dụng các yêu cầu trong 9.4 của TCVN ISO/IEC 17021-1. Ngoài ra, áp dụng các yêu cầu và hướng dẫn sau đây. 9.4.1 IS 9.4 Tổng quan Tổ chức chứng nhận phải có các thủ tục được lập tài liệu đối với: a) chứng nhận đánh giá lần đầu về ISMS khách hàng, theo các quy định của TCVN ISO/IEC 17021-1; b) các đánh giá giám sát và chứng nhận lại của ISMS khách hàng theo TCVN ISO/IEC 17021-1 theo định kì về tính phù hợp liên tục với các yêu cầu liên quan, và để xác minh và báo cáo rằng khách hàng sẽ thực hiện hành động khắc phục kịp thời để khắc phục tất cả những điều không phù hợp. 9.4.2 IS 9.4 Các thành phần cụ thể của đánh giá ISMS Tổ chức chứng nhận, được đại diện bởi đoàn đánh giá, phải: a) yêu cầu khách hàng chứng minh rằng việc đánh giá các rủi ro liên quan đến an toàn thông tin là phù hợp và đầy đủ đối với hoạt động ISMS trong phạm vi của ISMS; b) xác minh xem các quy trình của khách hàng về xác định, kiểm tra và đánh giá các rủi ro liên quan đến an toàn thông tin và các kết quả của việc thực hiện chúng có thống nhất với chính sách, mục tiêu và chỉ tiêu của khách hàng không. Tổ chức chứng nhận cũng phải xác minh xem liệu các thủ tục được sử dụng trong đánh giá rủi ro có hợp lý và được triển khai đúng cách không. 9.4.3 IS 9.4 Báo cáo đánh giá 9.4.3.1 Ngoài các yêu cầu về báo cáo trong 9.4.8 của TCVN ISO/IEC 17021-1, báo cáo đánh giá phải cung cấp hoặc tham chiếu đến các thông tin sau: a) hồ sơ đánh giá bao gồm cả tóm tắt về xem xét tài liệu; b) hồ sơ của tổ chức đánh giá về phân tích rủi ro an toàn thông tin của khách hàng; c) những sai lệch so với kế hoạch đánh giá (ví dụ thời gian nhiều hay ít hơn cho một số hoạt động cụ thể đã được lên kế hoạch); d) phạm vi của ISMS. 9.4.3.2 Báo cáo đánh giá phải đủ chi tiết để tạo điều kiện và hỗ trợ quyết định chứng nhận. Báo cáo phải gồm: a) các biên bản đánh giá quan trọng và các phương pháp luận đánh giá được sử dụng (xem 9.1.3.2); b) các quan sát được thực hiện, cả tích cực (ví dụ, các tính năng cần chú ý) và tiêu cực (ví dụ, các điểm không phù hợp tiềm ẩn); c) các ý kiến về sự phù hợp của ISMS của khách hàng với các yêu cầu chứng nhận bằng một tuyên bố rõ ràng về sự không phù hợp, tham chiếu đến phiên bản Tuyên bố áp dụng và, nếu có thể, cả các so sánh có giá trị với kết quả của các cuộc đánh giá chứng nhận trước kia của khách hàng. Các bộ câu hỏi đầy đủ, danh sách kiểm tra, các quan sát, nhật ký hoặc các ghi chép của chuyên gia đánh giá có thể cũng là một phần của báo cáo đánh giá. Nếu các phương pháp này được sử dụng thì các tài liệu này phải được gửi đến tổ chức chứng nhận làm bằng chứng hỗ trợ quyết định chứng nhận. Thông tin về các mẫu đánh giá trong quá trình đánh giá cũng phải được đưa vào báo cáo đánh giá hoặc tài liệu chứng nhận khác. Báo cáo phải xem xét sự phù hợp của tổ chức nội bộ và các thủ tục được khách hàng chấp nhận để tạo sự tin cậy về ISMS. Ngoài các yêu cầu về báo cáo tại 9.4.8 của TCVN ISO/IEC 17021-1, bản báo cáo phải có: - bản tóm tắt các quan sát quan trọng nhất, cả tích cực cũng như tiêu cực, liên quan đến việc triển khai và hiệu quả của các yêu cầu ISMS và các biện pháp kiểm soát IS. - khuyến nghị của đoàn đánh giá về việc ISMS của khách hàng có nên được chứng nhận hay không, cùng với thông tin để chứng minh khuyến nghị này.
  13. 9.5 Quyết định chứng nhận Áp dụng các yêu cầu trong 9.5 của TCVN ISO/IEC 17021-1. Ngoài ra, áp dụng các yêu cầu và hướng dẫn sau đây. 9.5.1 IS 9.5 Quyết định chứng nhận Bên cạnh các yêu cầu của TCVN ISO/IEC 17021-1, việc quyết định chứng nhận phải căn cứ vào khuyến nghị chứng nhận của đoàn đánh giá được cung cấp trong báo cáo đánh giá chứng nhận (xem 9.4.3). Các cá nhân hoặc hội đồng đưa ra quyết định về việc cấp chứng nhận thường không nên làm trái những khuyến nghị tiêu cực của đoàn đánh giá. Nếu một tình huống như vậy phát sinh thì tổ chức chứng nhận phải lập tài liệu và chứng minh lý do cho quyết định làm trái khuyến nghị. Tổ chức chứng nhận không được cấp chứng nhận cho khách hàng cho đến khi có đủ căn cứ để chứng minh rằng các sắp xếp cho các cuộc xem xét của lãnh đạo và các đánh giá ISMS nội bộ đã được triển khai có hiệu quả và sẽ được duy trì. 9.6 Duy trì chứng nhận 9.6.1 Tổng quan Áp dụng các yêu cầu trong 9.6.1 của TCVN ISO/IEC 17021-1. 9.6.2 Hoạt động giám sát Áp dụng các yêu cầu trong 9.6.2 của TCVN ISO/IEC 17021-1. Ngoài ra, áp dụng các yêu cầu và hướng dẫn sau đây. 9.6.2.1 IS 9.2 Hoạt động giám sát 9.6.2.1.1 Các thủ tục đánh giá giám sát phải phù hợp với những vấn đề liên quan đến đánh giá chứng nhận ISMS của khách hàng đã được mô tả trong tiêu chuẩn này. Mục đích của giám sát là để xác minh rằng ISMS được phê duyệt tiếp tục được triển khai, xem xét các tác động của việc thay đổi đối với hệ thống do những kết quả của sự thay đổi trong hoạt động của khách hàng và khẳng định sự tuân thủ liên tục theo các yêu cầu chứng nhận. Chương trình đánh giá giám sát phải gồm ít nhất: a) các yếu tố duy trì hệ thống như đánh giá rủi ro và duy trì kiểm soát an toàn thông tin, đánh giá ISMS nội bộ, xem xét của lãnh đạo rà soát và hành động khắc phục; b) các trao đổi thông tin từ các bên bên ngoài được yêu cầu bởi tiêu chuẩn ISMS TCVN ISO/IEC 27001 và các tài liệu khác được yêu cầu đối với việc chứng nhận; c) những thay đổi đối với hệ thống đã được lập tài liệu; d) các khu vực sẽ thay đổi; e) các yêu cầu được lựa chọn của TCVN ISO/IEC 27001; f) các khu vực được chọn khác nếu phù hợp. 9.6.2.1.2 Mọi cuộc giám sát bởi tổ chức chứng nhận ít nhất phải xem xét các vấn đề sau: a) hiệu quả của ISMS liên quan đến việc đạt được các mục tiêu của chính sách an toàn thông tin của khách hàng; b) chức năng của các thủ tục để đánh giá và xem xét định kỳ việc tuân thủ theo pháp luật và quy định về an toàn thông tin; c) những thay đổi đối với các biện pháp kiểm soát đã được xác định và những thay đổi mang lại đối với SoA; d) sự triển khai và hiệu quả của các biện pháp kiểm soát theo chương trình đánh giá. 9.6.2.1.3 Tổ chức chứng nhận phải có khả năng thích ứng chương trình giám sát của họ với các vấn đề an toàn thông tin liên quan đến các rủi ro và các tác động lên khách hàng và khẳng định chương trình này. Các đánh giá giám sát có thể được kết hợp với các đánh giá của các hệ thống quản lý khác. Báo cáo phải chỉ rõ các khía cạnh liên quan đến từng hệ thống quản lý.
  14. Trong suốt các đánh giá giám sát, các tổ chức chứng nhận phải kiểm tra hồ sơ về những yêu cầu xem xét lại và khiếu nại đưa ra trước tổ chức chứng nhận và trong trường hợp có bất cứ sự không phù hợp hoặc không đáp ứng các yêu cầu chứng nhận được phát hiện thì khách hàng đã điều tra ISMS và các thủ tục của họ và tiến hành các hành động khắc phục phù hợp. Đặc biệt, báo cáo giám sát phải chứa thông tin làm rõ những điểm không phù hợp đã được phát hiện trước đây, phiên bản của SoA và những thay đổi quan trọng từ đánh giá trước đó. Ít nhất thì các báo cáo có được từ đánh giá giám sát phải gồm đầy đủ các yêu cầu của 9.6.2.1.1 và 9.6.2.1.2 ở trên. 9.6.3 Chứng nhận lại Áp dụng các yêu cầu trong 9.6.3 của TCVN ISO/IEC 17021-1. Ngoài ra, áp dụng các yêu cầu và hướng dẫn sau đây 9.6.3.1 IS 9.6.3 Đánh giá chứng nhận lại Thủ tục đánh giá chứng nhận lại phải phù hợp với những vấn đề liên quan đến chứng nhận lần đầu ISMS của khách hàng như được mô tả trong tiêu chuẩn này. Thời gian cho phép triển khai hành động khắc phục phải phù hợp với mức độ nghiêm trọng của sự không phù hợp và rủi ro an toàn thông tin liên quan. 9.6.4 Đánh giá đặc biệt Áp dụng các yêu cầu trong 9.6.4 của tiêu chuẩn TCVN ISO/IEC 17021-1. Ngoài ra, áp dụng các yêu cầu và hướng dẫn sau đây. 9.6.4.1 IS 9.6.4 Các trường hợp đặc biệt Các hoạt động cần thực hiện đánh giá đặc biệt sẽ phải chịu các quy định đặc biệt nếu khách hàng có ISMS đã được chứng nhận thực hiện các thay đổi lớn đối với hệ thống của họ hoặc nếu có các thay đổi khác làm ảnh hưởng cơ bản đến việc chứng nhận. 9.6.5 Đình chỉ, hủy bỏ hoặc thu hẹp phạm vi chứng nhận Áp dụng các yêu cầu trong 9.6.5 của TCVN ISO/IEC 17021-1. 9.7 Yêu cầu xem xét lại Áp dụng các yêu cầu trong 9.7 của TCVN ISO/IEC 17021-1. 9.8 Khiếu nại Áp dụng các yêu cầu trong 9.8 của TCVN ISO/IEC 17021-1. Ngoài ra, áp dụng các yêu cầu và hướng dẫn sau đây. 9.8.1 IS 9.8 Khiếu nại Các khiếu nại mô tả sự cố tiềm ẩn và dấu hiệu cho sự không phù hợp có thể xảy ra. 9.9 Hồ sơ khách hàng Áp dụng các yêu cầu trong 9.9 của TCVN ISO/IEC 17021-1. 10 Yêu cầu về hệ thống quản lý đối với tổ chức chứng nhận 10.1 Các lựa chọn Áp dụng các yêu cầu trong 10.1 của TCVN ISO/IEC 17021-1. Ngoài ra, áp dụng các yêu cầu và hướng dẫn sau đây. 10.1.1 IS 10.1 Triển khai ISMS Khuyến nghị các tổ chức chứng nhận triển khai ISMS theo TCVN ISO/IEC 27001. 10.2 Lựa chọn A - Yêu cầu chung về hệ thống quản lý Áp dụng các yêu cầu trong 10.2 của TCVN ISO/IEC 17021-1. 10.3 Lựa chọn B - Yêu cầu về hệ thống quản lý theo TCVN ISO 9001 Áp dụng các yêu cầu trong 10.3 của TCVN ISO/IEC 17021-1.
  15. Phụ lục A (Tham khảo) Kiến thức và kỹ năng đánh giá và chứng nhận ISMS A1 Tổng quan Bảng A.1 tóm lược về kiến thức và kỹ năng được yêu cầu đối với đánh giá và chứng nhận ISMS, nhưng chỉ là thông tin tham khảo bởi vì ở đây chỉ xác định các phạm vi kiến thức và kỹ năng đối với các chức năng chứng nhận cụ thể. Các yêu cầu về năng lực đối với mỗi chức năng đã được nêu ra trong nội dung chính của tiêu chuẩn này và bảng dưới đây sẽ tham chiếu đến các yêu cầu cụ thể. Bảng A.1 - Kiến thức đánh giá và chứng nhận ISMS Thực hiện xem xét ứng dụng Xem xét Đánh giá (thực hiện xem xét ứng dụng báo cáo và chỉ đạo để xác định năng lực yêu đánh giá và đoàn đánh cầu của đoàn đánh giá, lựa quyết định giá chọn thành viên đoàn đánh thực hiện giá và xác định thời gian chứng đánh giá) nhận. Kiến thức Các thuật ngữ, nguyên tắc, thực hành 7.1.2.4.2 7.1.2.1.2 và kỹ thuật quản lý an toàn thông tin Các tiêu chuẩn/văn bản quy định về hệ 7.1.2.3.1 7.1.2.4.3 7.1.2.1.3 thống quản lý an toàn thông tin Các thực hành quản lý nghiệp vụ 7.1.2.1.4 Các lĩnh vực nghiệp vụ của khách hàng 7.1.2.3.2 7.1.2.4.4 7.1.2.1.5 Các sản phẩm, quy trình và tổ chức 7.1.2.3.3 7.1.2.4.5 7.1.2.1.6 của khách hàng A.2 Xem xét về năng lực chung Có một vài cách để chuyên gia đánh giá có thể chứng minh kiến thức và kinh nghiệm của họ. Kiến thức và kinh nghiệm có thể được đánh giá, ví dụ bằng cách sử dụng bằng cấp đã được công nhận. Hồ sơ đăng ký theo chương trình chứng nhận hành nghề cũng có thể được sử dụng để đánh giá kiến thức và kinh nghiệm cần thiết. Mức năng lực yêu cầu cho đoàn đánh giá cần được thiết lập tương ứng với ngành nghề/lĩnh vực công nghệ của tổ chức và tính phức tạp của ISMS của họ. A.3 Xem xét về kiến thức và kinh nghiệm cụ thể A.3.1 Kiến thức đặc thù liên quan đến ISMS Bên cạnh các yêu cầu trong 7.1.2, cần xem xét các yêu cầu sau. Các chuyên gia đánh giá cần có kiến thức và hiểu biết về các chủ đề đánh giá và ISMS sau: - chương trình và kế hoạch đánh giá; - loại hình và các phương pháp luận đánh giá; - rủi ro đánh giá; - phân tích các quy trình an toàn thông tin; - sự cải tiến tính liên tục; - đánh giá nội bộ đối với an toàn thông tin. Các chuyên gia đánh giá cần có kiến thức và hiểu biết về các yêu cầu chế định sau đây: - sở hữu trí tuệ; - nội dung, bảo vệ và duy trì các hồ sơ tổ chức;
  16. - bảo vệ dữ liệu và sự riêng tư; - quy định về kiểm soát mã hóa; - thương mại điện tử; - chữ ký số và điện tử; - giám sát môi trường làm việc; - ngăn chặn truyền thông và giám sát dữ liệu (ví dụ, thư điện tử); - lạm dụng máy tính; - thu thập bằng chứng điện tử; - kiểm thử thâm nhập; - các yêu cầu quốc tế và quốc gia đối với ngành nghề cụ thể (ví dụ, ngân hàng). Phụ lục B (Quy định) Thời gian đánh giá B.1 Giới thiệu Phụ lục này đưa thêm các yêu cầu liên quan đến 9.1 của TCVN ISO/IEC 17021-1. Phụ lục này cung cấp những yêu cầu tối thiểu và hướng dẫn tổ chức chứng nhận trong việc phát triển các thủ tục riêng để xác định lượng thời gian cần thiết để chứng nhận các phạm vi ISMS của khách hàng theo các quy mô và tính phức tạp khác nhau thông qua một loạt các hoạt động. Tổ chức chứng nhận phải xác định lượng thời gian đánh giá được dành cho chứng nhận lần đầu, giám sát và chứng nhận lại cho mỗi khách hàng và ISMS được chứng nhận. Sử dụng phụ lục này ở giai đoạn hoạch định đánh giá sẽ có một cách tiếp cận phù hợp để xác định thời gian đánh giá thích hợp. Ngoài ra, thời gian đánh giá có thể được điều chỉnh dựa trên những điều được phát hiện trong quá trình đánh giá, đặc biệt là trong giai đoạn 1 (ví dụ, đánh giá khác về tính phức tạp của phạm vi ISMS, hoặc các địa điểm được bổ sung vào phạm vi). Phụ lục này đưa ra: - các khái niệm được sử dụng để tính toán thời gian đánh giá (B.2); - các yêu cầu về thủ tục để xác định thời gian đánh giá ở các giai đoạn đánh giá khác nhau (B.3 đến B.5); - các yêu cầu liên quan đến đánh giá đa điểm (B.6). Các ví dụ về tính toán thời gian đánh giá thể hiện cách sử dụng phụ lục B có thể tìm thấy trong Phụ lục C. Giả thiết cơ bản của phương pháp tiếp cận này là phương thức tính toán xác định thời gian đánh giá cần: a) chỉ xem xét các thuộc tính đã được chứng minh mà có thể đã được xác định; b) đủ dễ dàng để được các tổ chức chứng nhận áp dụng hiệu quả; c) đủ phức tạp để nhận thấy sự khác biệt. Việc xác định thời gian đánh giá được dựa trên các số liệu cung cấp trong Bảng B.1 (“Bảng thời gian đánh giá”) dưới đây và phải cân nhắc các yếu tố đóng góp để điều chỉnh. B.2 Khái niệm B.2.1 Số lượng người làm việc dưới sự kiểm soát của tổ chức Tổng số người đang làm việc dưới sự kiểm soát của tổ chức cho tất các các ca là điểm khởi đầu để xác định thời gian đánh giá. CHÚ THÍCH: Thuật ngữ "Người làm việc dưới sự kiểm soát của tổ chức" được gọi tắt là nhân viên trong TCVN ISO/IEC 17021-1.
  17. Những người làm việc bán thời gian dưới sự kiểm soát của tổ chức cũng đóng góp vào số lượng người làm việc dưới sự kiểm soát của tổ chức tương ứng với số giờ họ làm việc so với người làm việc toàn thời gian dưới sự kiểm soát của tổ chức. Việc xác định này sẽ phụ thuộc vào số giờ làm việc so với nhân viên làm việc toàn thời gian. B.2.2 Ngày đánh giá “Thời gian đánh giá” trong bảng B.1 được phát biểu là “Số ngày đánh giá” sử dụng cho cuộc đánh giá. Đơn vị tính trong phụ lục B là ngày làm việc 8 giờ. B.2.3 Địa điểm tạm thời Địa điểm tạm thời là một vị trí khác với các địa điểm được xác định trong tài liệu chứng nhận nơi các hoạt động trong phạm vi chứng nhận được thực hiện trong một khoảng thời gian xác định. Những địa điểm này có thể là các địa điểm quản lý thuộc dự án lớn đến các địa điểm dịch vụ/lắp đặt nhỏ. Sự cần thiết phải tới thăm các địa điểm này và mức độ lấy mẫu phải được dựa trên việc đánh giá các rủi ro của việc không đáp ứng các mục tiêu IS do sự không phù hợp bắt nguồn tại địa điểm tạm thời. Mẫu của các địa điểm được chọn này cần đại diện cho nhiều nhu cầu năng lực của tổ chức và các biến thể dịch vụ đã được xem xét theo quy mô, loại hình hoạt động, và các giai đoạn khác nhau của các dự án theo tiến độ. Thông tin về việc lấy mẫu chung xem tại 9.1.5.1. B.3 Thủ tục xác định thời gian đánh giá cho đánh giá lần đầu B.3.1 Tổng quan Việc tính toán thời gian đánh giá phải thực hiện theo thủ tục được lập tài liệu. B.3.2 Đánh giá từ xa Nếu các kỹ thuật đánh giá từ xa như hợp tác dựa trên web tương tác, hội nghị qua web, hội nghị từ xa và/hoặc xác minh điện tử các quá trình của tổ chức được sử dụng để giao tiếp với tổ chức thì các hoạt động này cần được xác định trong kế hoạch đánh giá (xem 9.3.2), và có thể được coi là một phần đóng góp vào tổng “thời gian đánh giá tại chỗ” Nếu tổ chức chứng nhận có kế hoạch đánh giá mà ở đó các hoạt động đánh giá từ xa chiếm hơn 30% thời gian đánh giá tại chỗ được hoạch định thì tổ chức chứng nhận phải giải trình kế hoạch đánh giá và được sự chấp thuận từ tổ chức công nhận trước khi thực thi. CHÚ THÍCH Thời gian đánh giá tại chỗ là thời gian đánh giá tại chỗ được hoạch định cho các vị trí riêng biệt. Các cuộc đánh giá bằng phương điện tử cho các vị trí từ xa được coi là đánh giá từ xa, ngay cả khi đánh giá điện tử trên thực tế được thực hiện ở trụ sở của khách hàng. B.3.3 Tính toán thời gian đánh giá Bảng thời gian đánh giá cung cấp dưới đây đưa ra mức khởi điểm về số ngày đánh giá lần đầu trung bình (ở đây và sau này, con số này bao gồm các ngày cho một cuộc đánh giá lần đầu (giai đoạn 1 và giai đoạn 2) mà kinh nghiệm đã cho thấy là phù hợp cho một phạm vi ISMS có số lượng người nhất định làm việc dưới sự kiểm soát của tổ chức. Kinh nghiệm cũng đã chứng minh rằng đối với các phạm vi ISMS có quy mô tương tự thì sẽ cần nhiều hoặc ít thời gian hơn. Bảng thời gian đánh giá dưới đây đưa ra mức khung phải được sử dụng để hoạch định đánh giá bằng cách xác định một mức khởi điểm dựa trên tổng số người làm việc dưới sự kiểm soát của tổ chức ở tất cả các ca và điều chỉnh mức này dựa trên các yếu tố quan trọng áp dụng cho phạm vi ISMS cần được đánh giá và đưa vào từng yếu tố trong số thêm hoặc bớt để điều chỉnh. Bảng thời gian đánh giá phải được sử dụng, trong đó có xem xét các yếu tố đóng góp và giới hạn độ lệch tối đa (xem B.3.4 và B.3.5 ở dưới). Các thuật ngữ được sử dụng trong bảng này được giải thích trong B.2 ở trên và Phụ lục C đưa ra các ví dụ về cách thức có thể được thực hiện. Bảng B.1 - Bảng thời gian đánh giá Số lượng Thời gian đánh Thời gian đánh Thời gian đánh Tổng người làm giá QMS cho giá EMS cho giá ISMS cho Các yếu tố thời việc dưới sự đánh giá lần đầu đánh giá lần đầu đánh giá lần đầu thêm hoặc gian kiểm soát (số ngày đánh (số ngày đánh (số ngày đánh bớt đánh của tổ chức giá) giá) giá) giá 1 ~ 10 1,5 - 2 2,5 - 3 5 Xem B.3.4
  18. 11 ~ 15 2,5 3,5 6 Xem B.3.4 16 ~ 25 3 4,5 7 Xem B.3.4 26 ~ 45 4 5,5 8,5 Xem B.3.4 46 ~ 65 5 6 10 Xem B.3.4 66 ~ 85 6 7 11 Xem B.3.4 86 ~ 125 7 8 12 Xem B.3.4 126 ~ 175 8 9 13 Xem B.3.4 176 ~ 275 9 10 14 Xem B.3.4 276 ~ 425 10 11 15 Xem B.3.4 426 ~ 625 11 12 16,5 Xem B.3.4 626 ~ 875 12 13 17,5 Xem B.3.4 876 ~ 1175 13 15 18,5 Xem B.3.4 1176 ~ 1550 14 16 19,5 Xem B.3.4 1551 ~ 2125 15 17 21 Xem B.3.4 2026 ~ 2675 16 18 22 Xem B.3.4 2676 ~ 3450 17 19 23 Xem B.3.4 3451 ~ 4350 18 20 24 Xem B.3.4 4351 ~ 5450 19 21 25 Xem B.3.4 5451 ~ 6800 20 23 26 Xem B.3.4 6801 ~ 8500 21 25 27 Xem B.3.4 8501 ~ 10700 22 27 28 Xem B.3.4 > 10700 Tiếp tục như trên Tiếp tục như trên Tiếp tục như trên Xem B.3.4 B.3.4 Các yếu tố điều chỉnh thời gian đánh giá Không được chỉ sử dụng bảng thời gian đánh giá. Khi phân bổ thời gian, phải xem xét các yếu tố dưới đây liên quan tới sự phức tạp của ISMS và do vậy cả sự nỗ lực cần để thực hiện đánh giá ISMS: a) sự phức tạp của ISMS (ví dụ, tầm quan trọng của thông tin, trạng thái rủi ro của ISMS,...): b) (các) loại hình nghiệp vụ được thực hiện trong phạm vi của ISMS; c) kết quả thực hiện đã được chứng minh từ trước của ISMS; d) mức độ và tính đa dạng của công nghệ được dùng trong việc triển khai các thành phần khác nhau của ISMS (ví dụ, số lượng nền tảng IT khác nhau, số lượng mạng tách biệt); e) mức độ thuê ngoài và các thỏa thuận bên thứ ba sử dụng trong phạm vi của ISMS; f) mức độ phát triển hệ thống thông tin; g) số lượng địa điểm và số lượng địa điểm khôi phục dữ liệu sau thảm họa (DR); h) đối với đánh giá giám sát hoặc chứng nhận lại: lượng và mức độ thay đổi liên quan đến ISMS theo 8.5.3 của TCVN ISO/IEC 17021-1. Phụ lục C đưa ra các ví dụ về cách thức xem xét những yếu tố khác nhau này khi tính toán thời gian đánh giá. Dưới đây là các yếu tố tham khảo bổ sung cho phép tăng thời gian đánh giá: - dịch vụ logictics phức tạp qua nhiều hơn một tòa nhà hoặc vị trí trong phạm vi ISMS; - nhân viên biết nói nhiều hơn một ngôn ngữ (yêu cầu (nhiều) người phiên dịch hoặc ngăn cản các chuyên gia đánh giá riêng lẻ làm việc độc lập) hoặc tài liệu được cung cấp nhiều hơn một ngôn ngữ;
  19. - các hoạt động có yêu cầu tới thăm các địa điểm tạm thời để xác nhận các hoạt động của (các) địa điểm cố định có hệ thống quản lý là đối tượng chứng nhận (xem đoạn dưới danh sách tiếp theo); - số lượng lớn các tiêu chuẩn và văn bản quy định áp dụng cho ISMS. Dưới đây là các yếu tố tham khảo cho phép giảm thời gian đánh giá có thể: - các sản phẩm/quy trình không có/ít rủi ro; - các quy trình liên quan đến một hoạt động chung duy nhất (ví dụ, chỉ có dịch vụ); - tỷ lệ phần trăm cao những người làm việc dưới sự kiểm soát của tổ chức thực hiện cùng nhiệm vụ; - biết trước về tổ chức (ví dụ, nếu khách hàng đã được chứng nhận theo một tiêu chuẩn khác bởi cùng tổ chức chứng nhận); - khách hàng đã rất sẵn sàng cho việc chứng nhận (ví dụ, đã được chứng nhận hoặc công nhận bởi một chương trình của bên thứ 3 khác); - tính hoàn thiện cao của hệ thống quản lý hiện hành. Trong trường hợp khách hàng chứng nhận hoặc tổ chức được chứng nhận cung cấp (các) sản phẩm hoặc dịch vụ của họ tại các địa điểm tạm thời thì điều quan trọng là các đánh giá cho các vị trí này được tích hợp vào các chương trình đánh giá chứng nhận và giám sát. Các yếu tố trên phải được xem xét và có những điều chỉnh cho những yếu tố này để có được thời gian đánh giá nhiều hơn hoặc ít hơn cho một cuộc đánh giá hiệu quả. Các yếu tố làm tăng có thể bù lại các yếu tố làm giảm. Trong tất cả các trường hợp có sự điều chỉnh so với thời gian được cho trong bảng thời gian đánh giá, bằng chứng đầy đủ và các hồ sơ phải được duy trì để chứng minh cho sự thay đổi. B.3.5 Giới hạn độ chênh lệch thời gian đánh giá Để đảm bảo các cuộc đánh giá hiệu quả sẽ được thực hiện và đảm bảo có kết quả tin cậy và có thể so sánh thì không được giảm quá 30% thời gian đánh giá được đưa ra trong bảng thời gian đánh giá. Lý do phù hợp cho sự chênh lệch phải được đưa ra và được ghi lại. B.3.6 Thời gian đánh giá tại chỗ Người ta kỳ vọng rằng thời gian tính cho việc hoạch định và viết báo cáo thường không làm giảm tổng “thời gian đánh giá” tại chỗ xuống thấp hơn 70% thời gian cho trong bảng thời gian đánh giá. Trường hợp cần thêm thời gian yêu cầu để hoạch định và/hoặc viết báo cáo thì điều này không được làm giảm thời gian đánh giá tại chỗ. Thời gian chuyên gia đánh giá đi lại không được đưa vào tính toán này và được bổ sung vào thời gian đánh giá tham chiếu trong bảng thời gian đánh giá. CHÚ THÍCH 70% là một con số dựa trên kinh nghiệm của các chuyên gia đánh giá ISMS. B.4 Thời gian đánh giá đối với đánh giá giám sát Đối với chu kỳ đánh giá chứng nhận lần đầu, thời gian giám sát đối với một tổ chức cụ thể phải tỷ lệ với thời gian sử dụng tại đánh giá lần đầu với tổng số thời gian sử dụng hàng năm cho giám sát là khoảng 1/3 thời gian sử dụng cho đánh giá lần đầu. Thời gian giám sát theo kế hoạch cần được xem xét ở những thời điểm khác nhau nhằm tính đến cả những thay đổi ảnh hưởng đến thời gian giám sát. Thời gian dành cho một cuộc giám sát đánh giá phải được tăng lên để cho phép đánh giá cả những thay đổi của ISMS (chẳng hạn như đánh giá các biện pháp kiểm soát mới hoặc đã thay đổi). B.5 Thời gian đánh giá đối với đánh giá chứng nhận lại Tổng thời gian dành để thực hiện đánh giá chứng nhận lại phải phụ thuộc vào kết quả của mọi cuộc đánh giá trước đó như đã xác định trong 9.4.3 của tiêu chuẩn này và 9.6.3 của tiêu chuẩn TCVN ISO/IEC 17021-1. Lượng thời gian dành cho đánh giá chứng nhận lại cần tỷ lệ với thời gian đã sử dụng cho đánh giá chứng nhận lần đầu của tổ chức và ít nhất bằng 2/3 thời gian được yêu cầu cho đánh giá chứng nhận lần đầu của tổ chức tại thời điểm được đánh giá để chứng nhận lại. B.6 Thời gian đánh giá đối với đánh giá đa điểm Số ngày đánh giá cho mỗi địa điểm, bao gồm cả trụ sở chính, phải được tính toán đối với mỗi địa điểm. Có thể giảm bớt thời gian đánh giá cho các thành phần đánh giá không liên quan đến trụ sở chính hoặc các địa điểm nội bộ. Lý do lý giải cho sự cắt giảm này phải được tổ chức chứng nhận ghi vào hồ sơ.
  20. Phụ lục C (Tham khảo) Các phương pháp tính toán thời gian đánh giá C.1 Tổng quan Phụ lục này cung cấp thêm những hướng dẫn để xây dựng công thức tính toán thời gian đánh giá. Mục C.2 đưa ra ví dụ về phân loại các yếu tố có thể được sử dụng làm cơ sở tính toán thời gian đánh giá và mục C.3 đưa ra ví dụ về tính toán thời gian đánh giá. C.2 Phân loại các yếu tố để tính toán thời gian đánh giá Bảng C.1 đưa ra các ví dụ về phân loại các yếu tố chính đối với tính toán thời gian đánh giá, như đã liệt kê trong B.3.4 a) đến h). Việc phân loại này có thể được sử dụng bởi các tổ chức chứng nhận để có được một chương trình tính toán thời gian đánh giá phù hợp với 9.1.4.1: Bảng C.1 - Phân loại các yếu tố để tính toán thời gian đánh giá Tác động đến sự nỗ lực Nỗ lực giảm nhẹ Nỗ lực bình thường Nỗ lực tăng Yếu tố (xem B.3.4) a) độ phức tạp • Chỉ các thông tin ít • Các yêu cầu tính • Số lượng lớn các thông của ISMS: nhạy cảm và bí mật, các sẵn sàng cao hơn tin nhạy cảm hoặc bí mật yêu cầu tính sẵn sàng hoặc một vài thông (ví dụ, sức khỏe, thông tin • các yêu cầu an thấp. tin nhạy cảm/bí mật định danh cá nhân, bảo toàn thông tin hiểm, ngân hàng) hoặc các [(tính bí mật, • Một số ít tài sản quan • Một vài tài sản quan yêu cầu độ sẵn sàng cao. toàn vẹn và sẵn trọng (dạng tài sản CIA) trọng sàng, (CIA)] • Nhiều tài sản quan trọng • Chỉ một quy trình • 2-3 quy trình nghiệp • số lượng tài nghiệp vụ chính có ít vụ đơn giản có một • Nhiều hơn 2 quy trình sản quan trọng. điểm tương giao và ít số ít điểm tương giao phức tạp có nhiều điểm đơn vị nghiệp vụ liên và đơn vị nghiệp vụ tương giao và các đơn vị • số lượng quy quan. liên quan. nghiệp vụ liên quan. trình và dịch vụ. b) (các) loại hình • Nghiệp vụ rủi ro thấp • Các yêu cầu chế • Nghiệp vụ rủi ro cao có nghiệp vụ được không có yêu cầu chế định cao yêu cầu chế định (chỉ) giới thực hiện trong định hạn phạm vi của ISMS c) Kết quả thực • Đã được chứng nhận • Đánh giá giám sát • Không có chứng nhận và hiện đã được gần đây gần đây không được đánh giá gần chứng minh đây • Chưa được chứng • Chưa được chứng trước đó của nhận nhưng ISMS được nhận nhưng ISMS • ISMS được thiết lập mới ISMS triển khai đầy đủ qua một được triển khai một và không đầy đủ (ví dụ, vài chu trình đánh giá và phần: một số công cụ thiếu cơ chế kiểm soát cải tiến, bao gồm các hệ thống quản lý đã riêng cho hệ thống riêng đánh giá nội bộ được lập sẵn sàng và được quản lý, quy trình cải tiến tài liệu, các xem xét của triển khai; một số quy liên tục còn non kém, thực lãnh đạo và hệ thống cải trình cải tiến liên tục hiện quá trình ad hoc tiến liên tục hiệu quả được thực hiện nhưng đã được lập tài liệu một phần d) mức độ và sự • Môi trường chuẩn hóa • Được chuẩn hóa • Tính đa dạng và phức tạp đa dạng của cao có tính đa dạng thấp nhưng có nhiều nền cao về IT (ví dụ, nhiều phần công nghệ được (một vài nền tảng IT, tảng IT, máy chủ, hệ mạng khác nhau, nhiều loại sử dụng triển máy chủ, hệ điều hành, điều hành, cơ sở dữ máy chủ hoặc cơ sở dữ khai các phần cơ sở dữ liệu, mạng,.v.v) liệu, mạng. liệu, nhiều ứng dụng chính)
nguon tai.lieu . vn
Quản lý dự án Quản lý Nhà nước Tiêu chuẩn - Qui chuẩn Kinh tế học Luật học Quy hoạch - Đô thị Hoá học Quản trị kinh doanh Kiến trúc - Xây dựng