CHƯƠNG1 : TỔNG QUAN VỀ CHÍNH SÁCH AN TỒN THÔNG TIN
2.3. Tiêu chuẩn ISO/IEC 27001: 2005
2.3.5. Quá trình chứng nhận ISO/IEC 27001
Một ISMS (Hệ thống quản lý an tồn thơng tin) có thể được chứng nhận phù hợp với ISO/IEC 27001 bởi một số đăng ký được cơng nhận trên tồn thế giới.
Quy trình chứng nhận ISO/IEC 27001 về cơ bản giống như quy trình chứng nhận tiêu chuẩn ISO 9001 và các hệ thống quản lý khác. Quy trình này là một cuộc đánh giá độc lập ISMS (Hệ thống quản lý an tồn thơng tin) của tổ chức chứng nhận được chia làm ba giai đoạn chính:
Giai đoạn 1: Tiền đánh giá
Khi đã ký hợp đồng chứng nhận với một Tổ chức được công nhận, tổ chức chứng nhận sẽ yêu cầu gửi bản sao tài liệu ISMS, sổ tay chính sách,... để xem lại chính thức. Ví dụ kiểm tra sự tồn tại và đầy đủ của các tài liệu quan trọng như chính sách thơng tin của tổ chức an ninh, bản thông cáo (SOA) và kế hoạch điều trị rủi ro (RTP).
Giai đoạn này dùng để làm quen các kiểm toán viên với tổ chức và ngược lại. Khi mọi thứ đã sẵn sàng, họ sẽ tổ chức đánh giá chứng nhận theo thoả thuận.
Giai đoạn 2: Đánh giá cấp chứng nhận
Bản thân giai đoạn này chính là một cuộc đánh giá chính thức. Một hoặc nhiều chuyên gia đánh giá từ các Tổ chức chứng nhận sẽ đến cơ sở của tổ chức được công nhận, làm việc một cách có hệ thống thơng qua bản danh sách đánh giá, kiểm tra mọi thứ. Lần lượt kiểm tra chính sách ISMS của tổ chức đó, tiêu chuẩn và quy trình đối với các yêu cầu đặt ra trong tiêu chuẩn ISO/IEC 27001,
39
và cũng có thể tìm kiếm bằng chứng chứng minh tổ chức đó thực hiện theo hệ thống tài liệu trong thực tế. Tổ chức chứng nhận sẽ thu thập và đánh giá chứng cứ bao gồm các sản phẩm được sản xuất theo các quy trình ISMS (như hồ sơ cho phép người sử dụng nhất định có quyền truy cập nhất định đến hệ thống nhất định, hoặc biên bản cuộc họp của lãnh đạo xác nhận phê duyệt các chính sách) hoặc bằng cách quan sát trực tiếp quá trình ISMS trong các hoạt động thực tế.
Qua kết quả này các giai đoạn trong ISMS được chứng nhận phù hợp với ISO/ IEC 27001.
Giai đoạn 3: Báo cáo đánh giá
Kết quả của cuộc đánh giá sẽ được báo cáo chính thức cho ban lãnh đạo. Tùy thuộc vào cách thức thực hiện đánh giá trên thực tế và theo các quá trình đánh giá chuẩn của chuyên gia đánh giá, các chuyên gia sẽ nêu lên các vấn đề sau (theo thứ tự tăng dần về mức độ nghiêm trọng):
• Điểm quan sát – các khuyến nghị hoặc các vấn đề tiềm năng trong tương lai được khun để tâm xem xét.
• Điểm khơng phù hợp nhỏ – đây là những điểm không phù hợp mà tổ chức phải giải quyết, nó là điều kiện để cấp chứng nhận. Tổ chức chứng nhận có thể đưa ra hoặc không đưa ra những kiến nghị khắc phục các điểm không phù hợp nhẹ này. Họ cũng có thể chính thức kiểm tra xem các điểm khơng phù hợp nhẹ đó đã được giải quyết hay chưa, hoặc không mà dựa trên báo cáo khắc phục tổ chức được đánh giá. Họ sẽ dành cho tổ chức được đánh giá một khoảng thời gian để giải quyết vấn đề và tiếp tục xin cấp chứng nhận, nhưng dù áp dụng cách nào trong hai cách trên, thì gần như chắc chắn là tổ chức chứng nhận đó muốn xác nhận rằng mọi thứ đã được giải quyết trước lần đánh giá chứng nhận tiếp theo.
• Điểm khơng phù hợp lớn – đó là những điểm có thể kết thúc q trình chứng nhận, là một vấn đề quan trọng và có nghĩa là tổ chức khơng thể nhận được chứng nhận ISO/IEC 27001 cho đến khi giải quyết xong những điểm không phù hợp này. Tổ chức chứng nhận có thể kiến nghị cách thức giải quyết các điểm khơng phù hợp đó và sẽ yêu cầu tổ chức được chứng nhận đưa ra những bằng chứng tích cực chứng minh các điểm khơng phù hợp đó đã được giải quyết triệt để trước khi cấp chứng nhận. Cuộc đánh giá có thể sẽ bị đình chỉ nếu xác định được một điểm khơng phù hợp nặng để cho tổ chức cơ hội sửa chữa vấn đề trước khi tiếp tục đánh giá.
40
Sau lần đánh giá chứng nhận ban đầu sẽ có những cuộc đánh giá định kỳ tiếp theo (thường được gọi là “đánh giá giám sát”, đôi khi được gọi là CAVs “ Đánh giá liên tục”, ...) trong thời gian tổ chức vẫn lựa chọn duy trì chứng nhận. Chứng nhận có giá trị trong ba năm, do vậy, sẽ có một cuộc đánh giá cấp lại chứng nhận sau ba năm.
Xây dựng hệ thống ISMS để lấy chứng chỉ ISO/IEC 27001 đảm bảo cho thông tin được an ninh, an toàn và bảo mật đang được nhiều doanh nghiệp Việt nam quan tâm. Đây là một tín hiệu tốt, một thước đo trình độ phát triển của ứng dụng CNTT trong đời sống kinh tế - xã hội Việt nam.