Tiêu chuẩn Quốc gia TCVN ISO/IEC 27006:2017

Tiêu chuẩn này quy định các yêu cầu, cung cấp hướng dẫn cho các tổ chức đánh giá và chứng nhận hệ thống quản lý an toàn thông tin (ISMS) ngoài các yêu cầu có trong TCVN ISO/IEC 17021-1 và TCVN ISO/IEC 27001. Tiêu chuẩn này chủ yếu được dùng để hỗ trợ trong việc công nhận các tổ chức chứng nhận ISMS. Các yêu cầu nêu trong tiêu chuẩn này cần được các tổ chức chứng nhận ISMS chứng minh bằng năng lực và độ tin cậy của họ, và hướng dẫn trong tiêu chuẩn cũng cung cấp giải thích bổ sung các yêu cầu này cho mọi tổ chức cung cấp chứng nhận ISMS.

Trang 1

TIÊU CHUẨN QUỐC GIA TCVN ISO/IEC 27006:2017 ISO/IEC 27006:2015

CÔNG NGHỆ THÔNG TIN - CÁC KỸ THUẬT AN TOÀN - YÊU CẦU ĐỐI VỚI TỔ CHỨC ĐÁNH GIÁ

VÀ CHỨNG NHẬN HỆ THỐNG QUẢN LÝ AN TOÀN THÔNG TIN

Information technology - Security techniques - Requirements for bodies providing audit and certification

of information security management systems

Lời nói đầu

TCVN ISO/IEC 27006:2017 hoàn toàn tương đương ISO/IEC 27006:2015

TCVN ISO/IEC 27006:2017 do Học viện công nghệ Bưu chính viễn thông biên soạn, Bộ Thông tin và Truyền thông đề nghị, Tổng cục Tiêu chuẩn Đo lường Chất lượng thẩm định, Bộ Khoa học và Công nghệ công bố

Lời giới thiệu

TCVN ISO/IEC 17021-1 đưa ra các chuẩn mực cho các tổ chức đánh giá và chứng nhận hệ thống quản lý Nếu các tổ chức này được công nhận là phù hợp với TCVN ISO/IEC 17021-1 có mục tiêu đánh giá và chứng nhận hệ thống quản lý an toàn thông tin (ISMS) theo ISO/IEC 27001:2013 thì một

số yêu cầu và hướng dẫn bổ sung cho TCVN ISO/IEC 17021-1 là cần thiết Chúng sẽ được cung cấp trong tiêu chuẩn này

Các đề mục trong tiêu chuẩn này tuân theo cấu trúc của TCVN ISO/IEC 17021-1, các yêu cầu bổ sung cho ISMS và hướng dẫn về việc áp dụng tiêu chuẩn TCVN ISO/IEC 17021-1 cho chứng nhận ISMS được xác định bởi các chữ "IS"

Thuật ngữ "phải" được sử dụng xuyên suốt tiêu chuẩn này để chỉ ra những điều khoản, thể hiện yêu cầu của tiêu chuẩn TCVN ISO/IEC 17021-1 và TCVN ISO/IEC 27001, có tính chất bắt buộc Thuật ngữ

"cần/nên" được dùng để chỉ sự khuyến nghị

Mục đích chính của tiêu chuẩn này là cho phép các tổ chức công nhận hài hòa hiệu quả giữa việc áp dụng các tiêu chuẩn trên với giới hạn mà họ bị ràng buộc khi đánh giá các tổ chức chứng nhận

Trong tiêu chuẩn này, các thuật ngữ "hệ thống quản lý" và "hệ thống" được sử dụng thay thế cho nhau

Có thể tham khảo định nghĩa về hệ thống quản lý trong tiêu chuẩn TCVN ISO 9000:2007 (ISO

9000:2005) Hệ thống quản lý được sử dụng trong tiêu chuẩn này không nhầm lẫn với các loại hệ thống khác, chẳng hạn như hệ thống công nghệ thông tin

CÔNG NGHỆ THÔNG TIN - CÁC KỸ THUẬT AN TOÀN - YÊU CẦU ĐỐI VỚI TỔ CHỨC ĐÁNH GIÁ

VÀ CHỨNG NHẬN HỆ THỐNG QUẢN LÝ AN TOÀN THÔNG TIN

Information technology - Security techniques - Requirements for bodies providing audit and

certification of information security management systems

1 Phạm vi áp dụng

Tiêu chuẩn này quy định các yêu cầu, cung cấp hướng dẫn cho các tổ chức đánh giá và chứng nhận

hệ thống quản lý an toàn thông tin (ISMS) ngoài các yêu cầu có trong TCVN ISO/IEC 17021-1 và TCVN ISO/IEC 27001 Tiêu chuẩn này chủ yếu được dùng để hỗ trợ trong việc công nhận các tổ chức chứng nhận ISMS

Các yêu cầu nêu trong tiêu chuẩn này cần được các tổ chức chứng nhận ISMS chứng minh bằng năng lực và độ tin cậy của họ, và hướng dẫn trong tiêu chuẩn cũng cung cấp giải thích bổ sung các yêu cầu này cho mọi tổ chức cung cấp chứng nhận ISMS

CHÚ THÍCH: Tiêu chuẩn này có thể được sử dụng như một tài liệu tiêu chuẩn cho quá trình công nhận, đánh giá đồng đẳng hoặc các quá trình đánh giá khác

2 Tài liệu viện dẫn

Các tài liệu viện dẫn sau đây là cần thiết để áp dụng tiêu chuẩn này Đối với các tài liệu viện dẫn ghi

Trang 2

năm công bố thì áp dụng phiên bản được nêu Đối với các tài liệu viện dẫn không ghi năm công bố thì

áp dụng phiên bản mới nhất (bao gồm cả các sửa đổi, bổ sung)

TCVN ISO/IEC 17021-1:2015, Đánh giá sự phù hợp - Yêu cầu đối với tổ chức đánh giá và chứng nhận

hệ thống quản lý - Phần 1: Các yêu cầu

TCVN 11238 (ISO/IEC 27000), Công nghệ thông tin - Các kỹ thuật an toàn - Hệ thống quản lý an toàn thông tin - Tổng quan và từ vựng

ISO 27001:2013, Information technology - Security techniques - Information security management

systems - Requirements (Công nghệ thông tin - Các kỹ thuật an toàn - Hệ thống quản lý an toàn thông tin - Các yêu cầu).

3 Thuật ngữ và định nghĩa

Tiêu chuẩn này sử dụng các thuật ngữ và định nghĩa nêu trong TCVN ISO/IEC 17021-1, TCVN 11238 (ISO/IEC 27000), cùng với thuật ngữ và định nghĩa dưới đây

3.1

Tài liệu chứng nhận (certification document)

Tài liệu chỉ ra rằng ISMS của khách hàng phù hợp với các tiêu chuẩn ISMS cụ thể và mọi tài liệu bổ sung theo yêu cầu của hệ thống

4 Nguyên tắc

Áp dụng các nguyên tắc trong Điều 4 của TCVN ISO/IEC 17021-1

5 Yêu cầu chung

b) cung cấp hoặc ban hành thông tin theo yêu cầu mô tả giải thích của tổ chức chứng nhận về yêu cầu của các tiêu chuẩn đánh giá chứng nhận (xem 9.1.3.6);

c) các hoạt động trước khi đánh giá nhằm mục đích xác định sự sẵn sàng đánh giá chứng nhận; tuy nhiên, các hoạt động này không được dẫn đến việc đưa ra các khuyến nghị hoặc tư vấn trái với quy định tại điều này, và các tổ chức chứng nhận phải có thể xác nhận rằng các hoạt động đó không trái với các yêu cầu này và chúng không được sử dụng để chứng minh về việc giảm thời gian đánh giá chứng nhận cuối cùng;

d) thực hiện các đánh giá của bên thứ hai và thứ ba theo các tiêu chuẩn hoặc quy định khác với các tiêu chuẩn hoặc quy định thuộc phạm vi công nhận;

e) tăng giá trị trong quá trình đánh giá chứng nhận và các cuộc giám sát, ví dụ bằng cách xác định các

cơ hội cải tiến, do chúng sẽ trở nên rõ ràng trong quá trình đánh giá, mà không cần đề xuất các giải pháp cụ thể

Tổ chức chứng nhận không được cung cấp các xem xét an toàn thông tin nội bộ đối với ISMS được chứng nhận của khách hàng Hơn nữa, tổ chức chứng nhận phải độc lập với tổ chức hoặc các tổ chức (bao gồm cả các cá nhân) cung cấp đánh giá nội bộ ISMS

5.3 Trách nhiệm pháp lý và tài chính

Trang 3

Áp dụng các yêu cầu trong 5.3 của TCVN ISO/IEC 17021-1.

6 Yêu cầu về cơ cấu

Áp dụng các yêu cầu trong Điều 6 của TCVN ISO/IEC 17021-1

7 Yêu cầu về nguồn lực

7.1 Năng lực của nhân sự

Áp dụng các yêu cầu trong 7.1 của TCVN ISO/IEC 17021-1 Ngoài ra, áp dụng các yêu cầu và hướng dẫn sau đây

7.1.1 IS 7.1.1 Lưu ý chung

7.1.1.1 Yêu cầu về năng lực chung

Tổ chức chứng nhận phải đảm bảo có kiến thức về các phát triển công nghệ, pháp lý và quy định liên quan đến ISMS của khách hàng mà tổ chức đánh giá

Tổ chức chứng nhận phải xác định các yêu cầu về năng lực đối với mỗi chức năng chứng nhận như trong Bảng A.1 của TCVN ISO/IEC 17201-1 Tổ chức chứng nhận phải xem xét tất cả các yêu cầu quy định trong TCVN ISO/IEC 17021-1; và 7.1.2 và 7.2.1 của tiêu chuẩn này liên quan đến các lĩnh vực kỹ thuật ISMS như đã được tổ chức xác định

CHÚ THÍCH: Phụ lục A tóm tắt các yêu cầu về năng lực đối với nhân sự tham gia vào các chức năng chứng nhận cụ thể

7.1.2 IS 7.1.2 Xác định chuẩn mực năng lực

7.1.2.1 Yêu cầu về năng lực đánh giá ISMS

7.1.2.1.1 Yêu cầu chung

Các tổ chức chứng nhận phải có chuẩn mực để xác minh trình độ kinh nghiệm, đào tạo đặc biệt hoặc thông tin ngắn gọn về các thành viên đoàn đánh giá để đảm bảo tối thiểu:

a) kiến thức về an toàn thông tin;

b) kiến thức kỹ thuật về hoạt động được đánh giá;

c) kiến thức về các hệ thống quản lý;

d) kiến thức về các nguyên tắc đánh giá;

CHÚ THÍCH: Thông tin chi tiết về các nguyên tắc đánh giá có thể được tìm thấy trong TCVN ISO 19011

e) kiến thức về giám sát, đo lường, phân tích và đánh giá ISMS

Những yêu cầu từ a) đến e) ở trên áp dụng đối với tất cả các chuyên gia đánh giá thuộc đoàn đánh giá, trừ yêu cầu b) có thể được áp dụng cho một chuyên gia đánh giá trong đoàn đánh giá

Đoàn đánh giá phải có năng lực truy xuất các dấu hiệu về sự cố an toàn thông tin trong ISMS của khách hàng trên các thành phần riêng biệt của ISMS

Đoàn đánh giá phải có kinh nghiệm làm việc phù hợp về các nội dung ở trên và ứng dụng thực tế của các nội dung này (điều này không có nghĩa là tất cả các chuyên gia đánh giá đều phải có đầy đủ kinh nghiệm về tất cả các lĩnh vực an toàn thông tin, nhưng toàn bộ đoàn đánh giá phải đủ năng lực và kinh nghiệm cho toàn bộ phạm vi ISMS được đánh giá)

7.1.2.1.2 Thuật ngữ, nguyên tắc, thực hành và kỹ thuật quản lý an toàn thông tin

Nhìn chung, tất cả các thành viên của đoàn đánh giá phải có kiến thức về:

a) các cấu trúc, hệ thống phân cấp và mối tương quan của tài liệu ISMS;

b) các công cụ, phương pháp, kỹ thuật và ứng dụng liên quan của chúng đến quản lý hệ thống an toàn thông tin;

c) đánh giá và quản lý rủi ro an toàn thông tin;

d) các quy trình áp dụng cho ISMS;

e) công nghệ hiện tại mà an toàn thông tin có thể liên quan hoặc đang là một vấn đề tranh luận

Trang 4

Mọi chuyên gia đánh giá đều phải đáp ứng các chuẩn mực a, c và d.

7.1.2.1.3 Tiêu chuẩn và văn bản quy định về hệ thống quản lý an toàn thông tin

Các chuyên gia đánh giá tham gia trong việc đánh giá ISMS phải có kiến thức về:

a) tất cả các yêu cầu trong TCVN ISO/IEC 27001

Nhìn chung, tất cả các thành viên của đoàn đánh giá phải có kiến thức về:

b) tất cả các biện pháp kiểm soát trong TCVN ISO/IEC 27002 (nếu cũng được xác định là cần thiết từ các tiêu chuẩn lĩnh vực cụ thể) và việc triển khai chúng, phân loại như sau:

1) chính sách an toàn thông tin;

2) tổ chức đảm bảo an toàn thông tin;

3) đảm bảo an toàn từ nguồn nhân lực;

4) quản lý tài sản;

5) kiểm soát truy cập, bao gồm việc xác thực;

6) mật mã hóa;

7) an toàn vật lý và môi trường;

8) an toàn vận hành, bao gồm các dịch vụ IT;

9) an toàn trao đổi thông tin, bao gồm quản lý an toàn mạng và chuyển giao thông tin;

10) tiếp nhận, phát triển và duy trì hệ thống;

11) mối quan hệ với nhà cung cấp, bao gồm dịch vụ thuê ngoài;

12) quản lý sự cố an toàn thông tin;

13) các khía cạnh an toàn thông tin trong quản lý sự liên tục của hoạt động nghiệp vụ, bao gồm cả các

dự phòng;

14) sự tuân thủ, bao gồm xem xét an toàn thông tin

7.1.2.1.4 Thực hành quản lý nghiệp vụ

Các chuyên gia đánh giá tham gia đánh giá ISMS phải có kiến thức về;

a) các thực hành tốt về an toàn thông tin theo ngành nghề và các thủ tục an toàn thông tin;

b) các chính sách và các yêu cầu nghiệp vụ đối với an toàn thông tin;

c) các khái niệm, thực hành về quản lý nghiệp vụ chung, và mối tương quan giữa chính sách, mục tiêu

và kết quả;

d) các quy trình quản lý và thuật ngữ liên quan

CHÚ THÍCH: Các quy trình này còn bao gồm các quy trình quản lý nguồn nhân lực, trao đổi thông tin nội bộ và bên ngoài và các quy trình hỗ trợ có liên quan khác

7.1.2.1.5 Lĩnh vực nghiệp vụ của khách hàng

Các chuyên gia đánh giá trong đánh giá ISMS phải có kiến thức về;

a) các yêu cầu pháp lý và quy định trong lĩnh vực an toàn thông tin cụ thể, địa lý và (các) phạm vi quyền hạn;

CHÚ THÍCH: Kiến thức về các yêu cầu pháp lý và quy định không có nghĩa là kiến thức pháp lý chuyên sâu

b) các rủi ro an toàn thông tin có liên quan đến lĩnh vực nghiệp vụ;

c) các thuật ngữ chung, quy trình và công nghệ liên quan đến lĩnh vực nghiệp vụ của khách hàng;d) các thực hành liên quan đến lĩnh vực nghiệp vụ

Chuẩn mực a) có thể là chuẩn mực chung cho cả đoàn đánh giá

7.1.2.1.6 Sản phẩm, quy trình và tổ chức của khách hàng

Trang 5

Nhìn chung, các chuyên gia đánh giá tham gia việc đánh giá ISMS phải có kiến thức về:

a) tác động của loại hình tổ chức, quy mô, sự quản trị, cấu trúc, các chức năng và mối quan hệ tới sự phát triển và triển khai hệ thống ISMS và các hoạt động chứng nhận, bao gồm cả thuê ngoài;

b) các vận hành phức hợp theo một góc nhìn rộng;

c) các yêu cầu pháp lý và quy định áp dụng đối với các sản phẩm hoặc dịch vụ

7.1.2.2 Yêu cầu về năng lực đối với trưởng đoàn đánh giá ISMS

Ngoài các yêu cầu trong 7.1.2.1, trưởng đoàn đánh giá phải đáp ứng đủ các yêu cầu sau đây, và điều

đó phải được chứng minh trong các cuộc đánh giá có sự hướng dẫn và giám sát:

a) có kiến thức và kỹ năng quản lý quy trình đánh giá chứng nhận và đoàn đánh giá;

b) chứng minh được khả năng truyền đạt hiệu quả, cả nói và viết

7.1.2.3 Yêu cầu về năng lực thực hiện xem xét ứng dụng

Người thực hiện xem xét ứng dụng để xác định năng lực của đoàn đánh giá được yêu cầu, lựa chọn các thành viên đoàn đánh giá và xác định thời gian đánh giá phải có kiến thức về:

a) các tiêu chuẩn và văn bản quy định khác liên quan đến ISMS được sử dụng trong quy trình chứng nhận

7.1.2.4 Yêu cầu về năng lực xem xét báo cáo đánh giá và ra quyết định chứng nhận

7.1.2.4.1 Tổng quan

Người xem xét báo cáo đánh giá và ra quyết định chứng nhận phải có kiến thức cho phép họ xác minh

sự hợp lý về phạm vi chứng nhận cũng như những thay đổi trong phạm vi và ảnh hưởng của chúng đến hiệu quả của việc đánh giá, đặc biệt là tính hiệu lực liên tục của việc xác định các điểm tương giao, các phụ thuộc và những rủi ro liên quan

Ngoài ra, người xem xét báo cáo đánh giá và ra quyết định chứng nhận phải có kiến thức về:

a) các hệ thống quản lý nói chung;

b) các quy trình và thủ tục đánh giá;

c) các nguyên tắc, thực hành và kỹ thuật đánh giá

7.1.2.4.2 Thuật ngữ, nguyên tắc, thực hành và kỹ thuật quản lý an toàn thông tin

Người xem xét báo cáo đánh giá đánh giá và ra quyết định chứng nhận phải có kiến thức về:

a) các danh mục đã liệt kê trong 7.1.2.1.2 a), c) và d);

b) các yêu cầu pháp lý và quy định liên quan đến an toàn thông tin

Người xem xét báo cáo đánh giá đánh giá và ra quyết định chứng nhận phải có kiến thức về:

a) các tiêu chuẩn và văn bản quy định khác liên quan đến ISMS được sử dụng trong quy trình chứng

Trang 6

7.1.2.4.4 Lĩnh vực nghiệp vụ của khách hàng

Người xem xét báo cáo đánh giá và ra quyết định chứng nhận phải có kiến thức về:

b) thuật ngữ chung và các rủi ro có liên quan đến các thực hành liên quan đến lĩnh vực nghiệp vụ của khách hàng

7.1.2.4.5 Sản phẩm, quy trình và tổ chức của khách hàng

Người xem xét báo cáo đánh giá và ra quyết định cấp giấy chứng nhận phải có kiến thức về:

a) các sản phẩm, quy trình, loại hình tổ chức, quy mô, sự quản trị, cấu trúc, các chức năng và mối quan hệ của khách hàng

7.2 Nhân sự tham gia vào hoạt động chứng nhận

7.2.1 IS 7.2 Chứng minh kiến thức và kinh nghiệm của chuyên gia đánh giá

Tổ chức chứng nhận phải chứng minh các chuyên gia đánh giá có kiến thức và kinh nghiệm thông qua:a) các bằng cấp được công nhận về ISMS;

b) đăng ký chuyên gia đánh giá, nếu có;

c) tham gia các khóa đào tạo ISMS và đạt được các chứng chỉ cá nhân có liên quan;

d) hồ sơ cập nhật về phát triển chuyên môn;

e) các xem xét ISMS được chứng kiến bởi chuyên gia đánh giá ISMS khác

7.2.1.1 Lựa chọn chuyên gia đánh giá

Ngoài các chuẩn mực trong 7.1.2.1, chuẩn mực để lựa chọn chuyên gia đánh giá phải đảm bảo rằng mỗi chuyên gia đánh giá phải:

a) được đào tạo chuyên nghiệp hoặc được đào tạo ở cấp độ đào tạo đại học tương đương:

b) có tối thiểu 4 năm kinh nghiệm làm việc thực tế về công nghệ thông tin, trong đó tối thiểu 2 năm trong vai trò hoặc chức năng liên quan đến an toàn thông tin;

c) đã hoàn thành tốt tối thiểu 5 ngày đào tạo với chủ đề về đánh giá ISMS về quản lý đánh giá;

d) có kinh nghiệm trong toàn bộ quy trình đánh giá an toàn thông tin trước khi đảm nhận thực hiện trách nhiệm như một chuyên gia đánh giá Kinh nghiệm phải có được bằng sự tham gia tối thiểu bốn cuộc đánh giá chứng nhận ISMS, bao gồm cả các cuộc đánh giá tái chứng nhận và đánh giá giám sát, với tổng số tối thiểu 20 ngày trong đó có nhiều nhất 5 ngày có thể tham gia các cuộc đánh giá giám sát việc tham gia phải bao gồm xem xét tài liệu và đánh giá rủi ro, đánh giá thực thi và báo cáo đánh giá;e) có kinh nghiệm phù hợp và thực tế;

f) có kiến thức và kỹ năng hiện tại về an toàn thông tin và đánh giá được cập nhật thông qua sự phát triển chuyên môn liên tục;

Các chuyên gia kỹ thuật phải tuân thủ các chuẩn mực a), b) và e)

7.2.1.2 Lựa chọn trưởng đoàn đánh giá

Ngoài các chuẩn mực trong 7.1.2.2 và 7.2.1.1, chuẩn mực lựa chọn trưởng đoàn đánh giá phải đảm bảo rằng chuyên gia đánh giá này:

a) chủ động tham gia tất cả các giai đoạn của ít nhất 3 cuộc đánh giá ISMS Việc tham gia phải bao gồm lập phạm vi và kế hoạch lần đầu, xem xét tài liệu và đánh giá rủi ro, đánh giá thực thi và báo cáo đánh giá chính thức

7.3 Sử dụng chuyên gia đánh giá và chuyên gia kỹ thuật bên ngoài với tư cách cá nhân

7.3.1 IS 7.3 Sử dụng chuyên gia đánh giá hoặc chuyên gia kỹ thuật bên ngoài trong nhóm đánh

Trang 7

Áp dụng các yêu cầu trong 7.5 của TCVN ISO/IEC 17021-1.

8 Yêu cầu về thông tin

8.1 Thông tin công khai

Áp dụng các yêu cầu trong 8.1 của TCVN ISO/IEC 17021-1

8.2 Tài liệu chứng nhận

Áp dụng các yêu cầu trong 8.2 của TCVN ISO/IEC17021-1 Ngoài ra, áp dụng các yêu cầu và hướng dẫn sau đây

8.2.1 IS 8.2 Tài liệu chứng nhận ISMS

Các tài liệu chứng nhận phải được ký bởi người đã được chỉ định chịu trách nhiệm này Các phiên bản của thông báo áp dụng phải được bao gồm trong các tài liệu chứng nhận

CHÚ THÍCH Sự thay đổi của thông báo áp dụng mà không làm thay đổi phạm vi của các biện pháp kiểm soát trong phạm vi chứng nhận thì không yêu cầu bản cập nhật của tài liệu chứng nhận

Việc xác định (các) tiêu chuẩn lĩnh vực cụ thể được sử dụng có thể bao gồm trong các tài liệu chứng nhận

có những thông tin này Nếu tổ chức chứng nhận kết luận rằng ISMS không thể được đánh giá đầy đủ nếu không xem xét các thông tin bí mật hoặc nhạy cảm đó thì họ phải thông báo cho khách hàng rằng đánh giá chứng nhận không thể thực hiện cho đến khi đạt được thỏa thuận thích hợp về truy cập

8.5 Trao đổi thông tin giữa tổ chức chứng nhận và khách hàng

9 Yêu cầu về quá trình

9.1 Hoạt động trước chứng nhận

9.1.1 Đăng ký

Áp dụng các yêu cầu trong 9.1.1 của TCVN ISO/IEC 17021-1 Ngoài ra, áp dụng các yêu cầu và

hướng dẫn sau đây

Trang 8

9.1.3 Chương trình đánh giá

9.1.3.1 IS 9.1.3 Tổng quan

Chương trình đánh giá đối với đánh giá ISMS phải xem xét các kiểm soát an toàn thông tin

9.1.3.2 IS 9.1.3 Phương pháp luận đánh giá

Các thủ tục của tổ chức chứng nhận không được giả định trước một cách thức triển khai cụ thể đối với ISMS hoặc một định dạng cụ thể đối với tài liệu và các hồ sơ Các thủ tục chứng nhận phải tập trung vào việc xác minh rằng ISMS của khách hàng đáp ứng các yêu cầu trong TCVN ISO/IEC 27001 và các chính sách, mục tiêu của khách hàng

CHÚ THÍCH: Hướng dẫn thêm về đánh giá có trong ISO/IEC 27007

9.1.3.3 IS 9.1.3 Chuẩn bị chung cho đánh giá lần đầu

Tổ chức chứng nhận phải yêu cầu khách hàng thực hiện tất cả các thỏa thuận cần thiết để truy cập vào các báo cáo đánh giá nội bộ và các báo cáo xem xét độc lập về an toàn thông tin

Ít nhất các thông tin sau phải được khách hàng cung cấp trong giai đoạn 1 của cuộc chứng nhận đánh giá:

a) thông tin chung liên quan đến ISMS và toàn bộ hoạt động của ISMS;

b) một bản sao tài liệu ISMS theo yêu cầu trong TCVN ISO/IEC 27001 và, nếu cần thì cả tài liệu liên quan

9.1.3.4 IS 9.1.3 Giai đoạn đánh giá

Tổ chức chứng nhận không được chứng nhận ISMS trừ khi nó đã được vận hành qua ít nhất một cuộc xem xét của lãnh đạo và một cuộc đánh giá ISMS nội bộ theo phạm vi chứng nhận

9.1.3.5 IS 9.1.3 Phạm vi chứng nhận

Đoàn đánh giá phải đánh giá ISMS của khách hàng trong phạm vi xác định đối với tất cả các yêu cầu chứng nhận được áp dụng Tổ chức chứng nhận phải xác nhận trong phạm vi ISMS của khách hàng, rằng khách hàng đã giải quyết các yêu cầu quy định tại 4.3 của TCVN ISO/IEC 27001

Tổ chức chứng nhận phải đảm bảo rằng việc đánh giá rủi ro và xử lý rủi ro an toàn thông tin của khách hàng phản ánh đúng các hoạt động của họ và mở rộng ra ranh giới hoạt động của họ như đã xác định trong phạm vi chứng nhận Tổ chức chứng nhận phải xác nhận rằng điều này đã được phản ánh trong phạm vi ISMS và tuyên bố áp dụng của khách hàng Tổ chức chứng nhận phải xác nhận rằng có ít nhất một Tuyên bố áp dụng trên mỗi phạm vi chứng nhận

Tổ chức chứng nhận phải đảm bảo các điểm tương giao với các dịch vụ hoặc các hoạt động không nằm trong phạm vi của ISMS đã được đề cập là đối tượng ISMS được chứng nhận và được đưa vào đánh giá rủi ro an toàn thông tin của khách hàng Một ví dụ cho tình huống này là việc dùng chung các phương tiện (ví dụ các hệ thống IT, cơ sở dữ liệu và hệ thống viễn thông hoặc thuê ngoài một chức năng nghiệp vụ) với các tổ chức khác

9.1.3.6 IS 9.1.3 Chuẩn mực đánh giá chứng nhận

Chuẩn mực để đánh giá ISMS của khách hàng phải là tiêu chuẩn ISMS TCVN ISO/IEC 27001 Các tài liệu khác có thể được yêu cầu cho chứng nhận liên quan đến chức năng được thực hiện

9.1.4 Xác định thời gian đánh giá

9.1.4.1 IS 9.1.4 Thời gian đánh giá

Tổ chức chứng nhận phải cho phép chuyên gia đánh giá có đủ thời gian để thực hiện tất cả các hoạt động liên quan đến đánh giá lần đầu, đánh giá giám sát hoặc đánh giá chứng nhận lại Việc tính toán thời gian chứng nhận phải bao gồm đủ cả thời gian cho báo cáo đánh giá

Tổ chức chứng nhận phải sử dụng Phụ lục B để xác định thời gian đánh giá

Trang 9

CHÚ THÍCH: Hướng dẫn thêm và các ví dụ về tính toán thời gian đánh giá được cung cấp trong Phụ lục C.

9.1.5 Lấy mẫu nhiều địa điểm

9.1.5.1 IS 9.1.5 Các địa điểm lấy mẫu

9.1.5.1.1 Trường hợp tổ chức khách hàng có nhiều địa điểm đạt các chuẩn mực từ a) đến c) dưới đây,

tổ chức chứng nhận có thể xem xét sử dụng phương pháp tiếp cận theo mẫu để đánh giá chứng nhận nhiều địa điểm;

a) tất cả các địa điểm đều đang hoạt động trong cùng một ISMS, được quản lý và đánh giá tập trung và chịu sự xem xét của lãnh đạo tập trung

b) tất cả các địa điểm đều nằm trong chương trình đánh giá ISMS nội bộ của khách hàng:

c) tất cả các địa điểm đều nằm trong chương trình xem xét quản lý ISMS của khách hàng

9.1.5.1.2 Tổ chức chứng nhận có nhu cầu sử dụng một phương pháp tiếp cận theo mẫu phải có các

thủ tục để đảm bảo những điều sau đây:

a) cuộc xem xét hợp đồng lần đầu xác định, ở mức cao nhất có thể, sự khác biệt giữa các địa điểm sao cho một mức độ lấy mẫu phù hợp sẽ được xác định

b) nhiều địa điểm đại diện được lấy mẫu bởi tổ chức chứng nhận, cần để ý tới:

1) kết quả của các cuộc đánh giá nội bộ cho trụ sở chính và các địa điểm;

2) kết quả xem xét của lãnh đạo;

3) những thay đổi về quy mô của các địa điểm;

4) những thay đổi trong mục đích nghiệp vụ của các địa điểm;

5) tính phức tạp của các hệ thống thông tin ở các địa điểm khác nhau;

6) những thay đổi trong thực tiễn công việc;

7) những thay đổi trong các hoạt động được thực hiện;

8) những thay đổi về thiết kế và vận hành các biện pháp kiểm soát;

9) tương tác tiềm ẩn với các hệ thống thông tin quan trọng hoặc các hệ thống xử lý thông tin nhạy cảm;10) mọi yêu cầu pháp lý khác nhau;

11) các khía cạnh địa lý và văn hóa;

12) tình trạng rủi ro của các địa điểm;

13) những sự cố an toàn thông tin tại các địa điểm cụ thể

c) Một mẫu đại diện được chọn từ tất cả các địa điểm trong phạm vi ISMS của khách hàng; sự lựa chọn này phải là một chọn lựa theo phán đoán thể hiện các yếu tố trong mục b) ở trên và một yếu tố ngẫu nhiên

d) Mọi địa điểm trong ISMS chịu rủi ro lớn đều được đánh giá bởi tổ chức chứng nhận trước khi chứng nhận

e) Chương trình đánh giá đã được thiết kế theo các yêu cầu nêu trên và có đủ các mẫu đại diện trong phạm vi của chứng nhận ISMS trong khoảng thời gian ba năm

f) Trong trường hợp quan sát thấy có sự không phù hợp tại trụ sở chính hoặc tại một địa điểm đơn lẻ thì thủ tục hành động khắc phục sẽ được áp dụng cho trụ sở chính và tất cả các địa điểm thuộc chứng nhận

Cuộc đánh giá phải giải quyết các hoạt động của trụ sở chính của khách hàng để đảm bảo rằng chỉ một ISMS duy nhất áp dụng cho tất cả các địa điểm và cung cấp sự quản lý tập trung ở cấp độ vận hành Cuộc đánh giá phải giải quyết tất cả các vấn đề nêu trên

9.1.6 Nhiều hệ thống quản lý

Trang 10

9.1.6.1 IS 9.1.6 Tích hợp tài liệu ISMS với tài liệu cho các hệ thống quản lý khác

Tổ chức chứng nhận có thể chấp nhận tài liệu kết hợp (ví dụ, về an toàn thông tin, chất lượng, sức khỏe, an toàn và môi trường) miễn là ISMS có thể được xác định rõ ràng cùng với các điểm tương giao thích hợp với các hệ thống khác

9.2.1 Xác định mục tiêu, phạm vi và chuẩn mực đánh giá

9.2.1.1 IS 9.2.1 Mục tiêu đánh giá

Các mục tiêu đánh giá phải bao gồm xác định hiệu quả của hệ thống quản lý nhằm đảm bảo rằng dựa trên đánh giá rủi ro, khách hàng đã triển khai các biện pháp kiểm soát phù hợp và đạt được các mục tiêu an toàn thông tin đã được xác lập

9.2.2 Lựa chọn và chỉ định đoàn đánh giá

9.2.2.1 IS 9.2.2 Đoàn đánh giá

Đoàn đánh giá phải được chỉ định chính thức và được cung cấp các tài liệu làm việc thích hợp Nhiệm

vụ cho đoàn đánh giá phải được xác định rõ ràng và được đưa ra cho khách hàng

Đoàn đánh giá có thể chỉ gồm một người đáp ứng được tất cả các chuẩn mực đặt ra trong 7.1.2.1

9.2.2.1 IS 9.2.2 Năng lực của đoàn đánh giá

Áp dụng các yêu cầu được liệt kê trong 7.1.2 Đối với các hoạt động đánh giá giám sát và đánh giá đặc biệt, chỉ áp dụng những yêu cầu liên quan tới hoạt động giám sát đã được hoạch định và hoạt động đánh giá đặc biệt

Khi lựa chọn và quản lý đoàn đánh giá được chỉ định cho một cuộc đánh giá chứng nhận cụ thể, tổ chức chứng nhận phải đảm bảo rằng các năng lực của mỗi vị trí đều phù hợp Đoàn đánh giá phải:a) có kiến thức kỹ thuật thích hợp về các hoạt động cụ thể trong phạm vi của ISMS được chứng nhận

và, nếu có thể, thì cả các thủ tục liên quan và các tiềm ẩn rủi ro an toàn thông tin tiềm ẩn (chuyên gia

kỹ thuật có thể đáp ứng yêu cầu này)

b) có hiểu biết về khách hàng đủ để tiến hành một cuộc đánh giá chứng nhận tin cậy về ISMS của họ theo phạm vi ISMS và bối cảnh về tổ chức trong việc quản lý các khía cạnh an toàn thông tin của các hoạt động, sản phẩm và dịch vụ của họ

c) có hiểu biết đúng về các yêu cầu pháp lý và quy định áp dụng cho ISMS của khách hàng

CHÚ THÍCH: Hiểu biết đúng không bao hàm kiến thức cơ bản sâu sắc về pháp lý

9.2.3 Kế hoạch đánh giá

9.2.3.1 IS 9.2.3 Tổng quan

Kế hoạch đánh giá đối với đánh giá ISMS phải xem xét các biện pháp kiểm soát an toàn thông tin đã được xác định

9.2.3.2 IS 9.2.3 Các kỹ thuật đánh giá có mạng hỗ trợ

Trang 11

Nếu phù hợp thì kế hoạch đánh giá phải xác định các kỹ thuật đánh giá có mạng hỗ trợ sẽ được sử dụng trong suốt quá trình đánh giá.

Các kỹ thuật đánh giá có mạng hỗ trợ có thể bao gồm, ví dụ, hội nghị truyền hình, hội nghị qua web, trao đổi thông tin dựa trên web tương tác và truy cập điện tử từ xa tới tài liệu ISMS hoặc các quy trình ISMS Mục đích chính của các kỹ thuật này là để tăng cường hiệu quả và hiệu suất đánh giá, và hỗ trợ tính toàn vẹn của quy trình đánh giá

9.2.3.3 IS 9.2.3 Thời gian đánh giá

Tổ chức chứng nhận phải thống nhất với tổ chức được đánh giá về thời gian đánh giá để thể hiện rõ nhất toàn bộ phạm vi của tổ chức Các cân nhắc có thể gồm theo mùa, tháng, thứ/ngày và ca cho phù hợp

Các kết quả của giai đoạn 1 phải được lập tài liệu dưới dạng một báo cáo bằng văn bản Tổ chức chứng nhận phải xem xét báo cáo đánh giá của giai đoạn 1 trước khi quyết định tiếp tục giai đoạn 2 và lựa chọn các thành viên đoàn đánh giá giai đoạn 2 với những năng lực cần thiết

Tổ chức chứng nhận phải nhắc khách hàng về các loại thông tin và hồ sơ khác có thể được yêu cầu cần kiểm tra chi tiết trong giai đoạn 2

9.3.1.2 IS 9.3.1.2 Giai đoạn 2

9.3.1.2.1 Trên cơ sở các phát hiện đã được ghi trong báo cáo đánh giá giai đoạn 1, tổ chức chứng

nhận xây dựng kế hoạch đánh giá giai đoạn 2 Bên cạnh việc đánh giá sự triển khai hiệu quả của ISMS thì mục tiêu của giai đoạn 2 còn là:

a) để xác nhận rằng khách hàng tuân thủ các chính sách, mục tiêu và thủ tục của họ

9.3.1.2.2 Để làm điều này, cuộc đánh giá phải tập trung vào các vấn đề sau của khách hàng:

a) bộ phận lãnh đạo cao nhất và cam kết đối với chính sách an toàn thông tin và các mục tiêu an toàn thông tin;

b) các yêu cầu về tài liệu được liệt kê tại tiêu chuẩn TCVN ISO/IEC 27001;

c) việc đánh giá các rủi ro liên quan đến an toàn thông tin và các đánh giá có các kết quả nhất quán, giá trị và có thể so sánh nếu được thực hiện nhiều lần;

d) việc xác định các mục tiêu kiểm soát và biện pháp kiểm soát trên cơ sở các quy trình đánh giá rủi ro

và xử lý rủi ro an toàn thông tin;

e) kết quả thực hiện an toàn thông tin và hiệu quả của ISMS, đánh giá các mục tiêu an toàn thông tin;f) sự tương ứng giữa các biện pháp kiểm soát xác định, Thông báo áp dụng và các kết quả của quy trình đánh giá rủi ro và xử lý rủi ro an toàn thông tin, chính sách và các mục tiêu an toàn thông tin;g) việc triển khai các biện pháp kiểm soát (xem phụ lục D), có tính đến bối cảnh bên ngoài và nội bộ và các rủi ro liên quan, việc giám sát, đo lường và phân tích các quy trình và biện pháp kiểm soát an toàn thông tin của tổ chức để xác định xem các biện pháp kiểm soát có được triển khai và đạt hiệu quả và đáp ứng các mục tiêu đã công bố không;

h) các chương trình, quy trình, thủ tục, hồ sơ, đánh giá và xem xét nội bộ về hiệu quả của ISMS nhằm đảm bảo chúng có thể truy nguyên tới các quyết định của lãnh đạo, chính sách và các mục tiêu an toàn

Trang 12

Tổ chức chứng nhận phải có các thủ tục được lập tài liệu đối với:

a) chứng nhận đánh giá lần đầu về ISMS khách hàng, theo các quy định của TCVN ISO/IEC 17021-1;b) các đánh giá giám sát và chứng nhận lại của ISMS khách hàng theo TCVN ISO/IEC 17021-1 theo định kì về tính phù hợp liên tục với các yêu cầu liên quan, và để xác minh và báo cáo rằng khách hàng

sẽ thực hiện hành động khắc phục kịp thời để khắc phục tất cả những điều không phù hợp

9.4.2 IS 9.4 Các thành phần cụ thể của đánh giá ISMS

Tổ chức chứng nhận, được đại diện bởi đoàn đánh giá, phải:

a) yêu cầu khách hàng chứng minh rằng việc đánh giá các rủi ro liên quan đến an toàn thông tin là phù hợp và đầy đủ đối với hoạt động ISMS trong phạm vi của ISMS;

b) xác minh xem các quy trình của khách hàng về xác định, kiểm tra và đánh giá các rủi ro liên quan đến an toàn thông tin và các kết quả của việc thực hiện chúng có thống nhất với chính sách, mục tiêu

và chỉ tiêu của khách hàng không

Tổ chức chứng nhận cũng phải xác minh xem liệu các thủ tục được sử dụng trong đánh giá rủi ro có hợp lý và được triển khai đúng cách không

9.4.3 IS 9.4 Báo cáo đánh giá

9.4.3.1 Ngoài các yêu cầu về báo cáo trong 9.4.8 của TCVN ISO/IEC 17021-1, báo cáo đánh giá phải

cung cấp hoặc tham chiếu đến các thông tin sau:

a) hồ sơ đánh giá bao gồm cả tóm tắt về xem xét tài liệu;

b) hồ sơ của tổ chức đánh giá về phân tích rủi ro an toàn thông tin của khách hàng;

c) những sai lệch so với kế hoạch đánh giá (ví dụ thời gian nhiều hay ít hơn cho một số hoạt động cụ thể đã được lên kế hoạch);

c) các ý kiến về sự phù hợp của ISMS của khách hàng với các yêu cầu chứng nhận bằng một tuyên bố

rõ ràng về sự không phù hợp, tham chiếu đến phiên bản Tuyên bố áp dụng và, nếu có thể, cả các so sánh có giá trị với kết quả của các cuộc đánh giá chứng nhận trước kia của khách hàng

Các bộ câu hỏi đầy đủ, danh sách kiểm tra, các quan sát, nhật ký hoặc các ghi chép của chuyên gia đánh giá có thể cũng là một phần của báo cáo đánh giá Nếu các phương pháp này được sử dụng thì các tài liệu này phải được gửi đến tổ chức chứng nhận làm bằng chứng hỗ trợ quyết định chứng nhận Thông tin về các mẫu đánh giá trong quá trình đánh giá cũng phải được đưa vào báo cáo đánh giá hoặc tài liệu chứng nhận khác

Báo cáo phải xem xét sự phù hợp của tổ chức nội bộ và các thủ tục được khách hàng chấp nhận để tạo sự tin cậy về ISMS

Ngoài các yêu cầu về báo cáo tại 9.4.8 của TCVN ISO/IEC 17021-1, bản báo cáo phải có:

- bản tóm tắt các quan sát quan trọng nhất, cả tích cực cũng như tiêu cực, liên quan đến việc triển khai

và hiệu quả của các yêu cầu ISMS và các biện pháp kiểm soát IS

- khuyến nghị của đoàn đánh giá về việc ISMS của khách hàng có nên được chứng nhận hay không, cùng với thông tin để chứng minh khuyến nghị này

Trang 13

Các cá nhân hoặc hội đồng đưa ra quyết định về việc cấp chứng nhận thường không nên làm trái những khuyến nghị tiêu cực của đoàn đánh giá Nếu một tình huống như vậy phát sinh thì tổ chức chứng nhận phải lập tài liệu và chứng minh lý do cho quyết định làm trái khuyến nghị.

Tổ chức chứng nhận không được cấp chứng nhận cho khách hàng cho đến khi có đủ căn cứ để chứng minh rằng các sắp xếp cho các cuộc xem xét của lãnh đạo và các đánh giá ISMS nội bộ đã được triển khai có hiệu quả và sẽ được duy trì

9.6 Duy trì chứng nhận

9.6.1 Tổng quan

Áp dụng các yêu cầu trong 9.6.1 của TCVN ISO/IEC 17021-1

9.6.2 Hoạt động giám sát

9.6.2.1 IS 9.2 Hoạt động giám sát

9.6.2.1.1 Các thủ tục đánh giá giám sát phải phù hợp với những vấn đề liên quan đến đánh giá chứng

nhận ISMS của khách hàng đã được mô tả trong tiêu chuẩn này

Mục đích của giám sát là để xác minh rằng ISMS được phê duyệt tiếp tục được triển khai, xem xét các tác động của việc thay đổi đối với hệ thống do những kết quả của sự thay đổi trong hoạt động của khách hàng và khẳng định sự tuân thủ liên tục theo các yêu cầu chứng nhận Chương trình đánh giá giám sát phải gồm ít nhất:

a) các yếu tố duy trì hệ thống như đánh giá rủi ro và duy trì kiểm soát an toàn thông tin, đánh giá ISMS nội bộ, xem xét của lãnh đạo rà soát và hành động khắc phục;

b) các trao đổi thông tin từ các bên bên ngoài được yêu cầu bởi tiêu chuẩn ISMS TCVN ISO/IEC

27001 và các tài liệu khác được yêu cầu đối với việc chứng nhận;

c) những thay đổi đối với hệ thống đã được lập tài liệu;

d) các khu vực sẽ thay đổi;

e) các yêu cầu được lựa chọn của TCVN ISO/IEC 27001;

f) các khu vực được chọn khác nếu phù hợp

9.6.2.1.2 Mọi cuộc giám sát bởi tổ chức chứng nhận ít nhất phải xem xét các vấn đề sau:

a) hiệu quả của ISMS liên quan đến việc đạt được các mục tiêu của chính sách an toàn thông tin của khách hàng;

b) chức năng của các thủ tục để đánh giá và xem xét định kỳ việc tuân thủ theo pháp luật và quy định

về an toàn thông tin;

c) những thay đổi đối với các biện pháp kiểm soát đã được xác định và những thay đổi mang lại đối với SoA;

d) sự triển khai và hiệu quả của các biện pháp kiểm soát theo chương trình đánh giá

9.6.2.1.3 Tổ chức chứng nhận phải có khả năng thích ứng chương trình giám sát của họ với các vấn

đề an toàn thông tin liên quan đến các rủi ro và các tác động lên khách hàng và khẳng định chương trình này

Các đánh giá giám sát có thể được kết hợp với các đánh giá của các hệ thống quản lý khác Báo cáo phải chỉ rõ các khía cạnh liên quan đến từng hệ thống quản lý

Trang 14

Trong suốt các đánh giá giám sát, các tổ chức chứng nhận phải kiểm tra hồ sơ về những yêu cầu xem xét lại và khiếu nại đưa ra trước tổ chức chứng nhận và trong trường hợp có bất cứ sự không phù hợp hoặc không đáp ứng các yêu cầu chứng nhận được phát hiện thì khách hàng đã điều tra ISMS và các thủ tục của họ và tiến hành các hành động khắc phục phù hợp.

Đặc biệt, báo cáo giám sát phải chứa thông tin làm rõ những điểm không phù hợp đã được phát hiện trước đây, phiên bản của SoA và những thay đổi quan trọng từ đánh giá trước đó Ít nhất thì các báo cáo có được từ đánh giá giám sát phải gồm đầy đủ các yêu cầu của 9.6.2.1.1 và 9.6.2.1.2 ở trên

9.6.5 Đình chỉ, hủy bỏ hoặc thu hẹp phạm vi chứng nhận

Áp dụng các yêu cầu trong 9.6.5 của TCVN ISO/IEC 17021-1

9.7 Yêu cầu xem xét lại

10 Yêu cầu về hệ thống quản lý đối với tổ chức chứng nhận

10.1 Các lựa chọn

10.1.1 IS 10.1 Triển khai ISMS

Khuyến nghị các tổ chức chứng nhận triển khai ISMS theo TCVN ISO/IEC 27001

10.2 Lựa chọn A - Yêu cầu chung về hệ thống quản lý

10.3 Lựa chọn B - Yêu cầu về hệ thống quản lý theo TCVN ISO 9001

Trang 15

Các yêu cầu về năng lực đối với mỗi chức năng đã được nêu ra trong nội dung chính của tiêu chuẩn này và bảng dưới đây sẽ tham chiếu đến các yêu cầu cụ thể.

Bảng A.1 - Kiến thức đánh giá và chứng nhận ISMS

Thực hiện xem xét ứng dụng (thực hiện xem xét ứng dụng

để xác định năng lực yêu cầu của đoàn đánh giá, lựa chọn thành viên đoàn đánh giá và xác định thời gian

đánh giá)

Xem xét báo cáo đánh giá và quyết định thực hiện chứng nhận

Đánh giá

và chỉ đạo đoàn đánh giá

Kiến thức

Các thuật ngữ, nguyên tắc, thực hành

và kỹ thuật quản lý an toàn thông tin 7.1.2.4.2 7.1.2.1.2

Các tiêu chuẩn/văn bản quy định về hệ

thống quản lý an toàn thông tin 7.1.2.3.1 7.1.2.4.3 7.1.2.1.3

Các lĩnh vực nghiệp vụ của khách hàng 7.1.2.3.2 7.1.2.4.4 7.1.2.1.5

Các sản phẩm, quy trình và tổ chức

A.2 Xem xét về năng lực chung

Có một vài cách để chuyên gia đánh giá có thể chứng minh kiến thức và kinh nghiệm của họ Kiến thức

và kinh nghiệm có thể được đánh giá, ví dụ bằng cách sử dụng bằng cấp đã được công nhận Hồ sơ đăng ký theo chương trình chứng nhận hành nghề cũng có thể được sử dụng để đánh giá kiến thức và kinh nghiệm cần thiết Mức năng lực yêu cầu cho đoàn đánh giá cần được thiết lập tương ứng với ngành nghề/lĩnh vực công nghệ của tổ chức và tính phức tạp của ISMS của họ

A.3 Xem xét về kiến thức và kinh nghiệm cụ thể

A.3.1 Kiến thức đặc thù liên quan đến ISMS

Bên cạnh các yêu cầu trong 7.1.2, cần xem xét các yêu cầu sau Các chuyên gia đánh giá cần có kiến thức và hiểu biết về các chủ đề đánh giá và ISMS sau:

- chương trình và kế hoạch đánh giá;

- loại hình và các phương pháp luận đánh giá;

- rủi ro đánh giá;

- phân tích các quy trình an toàn thông tin;

- sự cải tiến tính liên tục;

- đánh giá nội bộ đối với an toàn thông tin

Các chuyên gia đánh giá cần có kiến thức và hiểu biết về các yêu cầu chế định sau đây:

- sở hữu trí tuệ;

- nội dung, bảo vệ và duy trì các hồ sơ tổ chức;

Trang 16

- bảo vệ dữ liệu và sự riêng tư;

- quy định về kiểm soát mã hóa;

- thương mại điện tử;

- chữ ký số và điện tử;

- giám sát môi trường làm việc;

- ngăn chặn truyền thông và giám sát dữ liệu (ví dụ, thư điện tử);

để xác định lượng thời gian cần thiết để chứng nhận các phạm vi ISMS của khách hàng theo các quy

mô và tính phức tạp khác nhau thông qua một loạt các hoạt động

Tổ chức chứng nhận phải xác định lượng thời gian đánh giá được dành cho chứng nhận lần đầu, giám sát và chứng nhận lại cho mỗi khách hàng và ISMS được chứng nhận Sử dụng phụ lục này ở giai đoạn hoạch định đánh giá sẽ có một cách tiếp cận phù hợp để xác định thời gian đánh giá thích hợp Ngoài ra, thời gian đánh giá có thể được điều chỉnh dựa trên những điều được phát hiện trong quá trình đánh giá, đặc biệt là trong giai đoạn 1 (ví dụ, đánh giá khác về tính phức tạp của phạm vi ISMS, hoặc các địa điểm được bổ sung vào phạm vi)

Phụ lục này đưa ra:

- các khái niệm được sử dụng để tính toán thời gian đánh giá (B.2);

- các yêu cầu về thủ tục để xác định thời gian đánh giá ở các giai đoạn đánh giá khác nhau (B.3 đến B.5);

- các yêu cầu liên quan đến đánh giá đa điểm (B.6)

Các ví dụ về tính toán thời gian đánh giá thể hiện cách sử dụng phụ lục B có thể tìm thấy trong Phụ lục C

Giả thiết cơ bản của phương pháp tiếp cận này là phương thức tính toán xác định thời gian đánh giá cần:

a) chỉ xem xét các thuộc tính đã được chứng minh mà có thể đã được xác định;

b) đủ dễ dàng để được các tổ chức chứng nhận áp dụng hiệu quả;

c) đủ phức tạp để nhận thấy sự khác biệt

Việc xác định thời gian đánh giá được dựa trên các số liệu cung cấp trong Bảng B.1 (“Bảng thời gian đánh giá”) dưới đây và phải cân nhắc các yếu tố đóng góp để điều chỉnh

B.2 Khái niệm

B.2.1 Số lượng người làm việc dưới sự kiểm soát của tổ chức

Tổng số người đang làm việc dưới sự kiểm soát của tổ chức cho tất các các ca là điểm khởi đầu để xác định thời gian đánh giá

CHÚ THÍCH: Thuật ngữ "Người làm việc dưới sự kiểm soát của tổ chức" được gọi tắt là nhân viên trong TCVN ISO/IEC 17021-1

Trang 17

Những người làm việc bán thời gian dưới sự kiểm soát của tổ chức cũng đóng góp vào số lượng người làm việc dưới sự kiểm soát của tổ chức tương ứng với số giờ họ làm việc so với người làm việc toàn thời gian dưới sự kiểm soát của tổ chức Việc xác định này sẽ phụ thuộc vào số giờ làm việc so với nhân viên làm việc toàn thời gian.

B.2.2 Ngày đánh giá

“Thời gian đánh giá” trong bảng B.1 được phát biểu là “Số ngày đánh giá” sử dụng cho cuộc đánh giá Đơn vị tính trong phụ lục B là ngày làm việc 8 giờ

B.2.3 Địa điểm tạm thời

Địa điểm tạm thời là một vị trí khác với các địa điểm được xác định trong tài liệu chứng nhận nơi các hoạt động trong phạm vi chứng nhận được thực hiện trong một khoảng thời gian xác định Những địa điểm này có thể là các địa điểm quản lý thuộc dự án lớn đến các địa điểm dịch vụ/lắp đặt nhỏ Sự cần thiết phải tới thăm các địa điểm này và mức độ lấy mẫu phải được dựa trên việc đánh giá các rủi ro của việc không đáp ứng các mục tiêu IS do sự không phù hợp bắt nguồn tại địa điểm tạm thời Mẫu của các địa điểm được chọn này cần đại diện cho nhiều nhu cầu năng lực của tổ chức và các biến thể dịch vụ đã được xem xét theo quy mô, loại hình hoạt động, và các giai đoạn khác nhau của các dự án theo tiến độ

Thông tin về việc lấy mẫu chung xem tại 9.1.5.1

B.3 Thủ tục xác định thời gian đánh giá cho đánh giá lần đầu

Nếu tổ chức chứng nhận có kế hoạch đánh giá mà ở đó các hoạt động đánh giá từ xa chiếm hơn 30% thời gian đánh giá tại chỗ được hoạch định thì tổ chức chứng nhận phải giải trình kế hoạch đánh giá và được sự chấp thuận từ tổ chức công nhận trước khi thực thi

CHÚ THÍCH Thời gian đánh giá tại chỗ là thời gian đánh giá tại chỗ được hoạch định cho các vị trí riêng biệt Các cuộc đánh giá bằng phương điện tử cho các vị trí từ xa được coi là đánh giá từ xa, ngay

cả khi đánh giá điện tử trên thực tế được thực hiện ở trụ sở của khách hàng

B.3.3 Tính toán thời gian đánh giá

Bảng thời gian đánh giá cung cấp dưới đây đưa ra mức khởi điểm về số ngày đánh giá lần đầu trung bình (ở đây và sau này, con số này bao gồm các ngày cho một cuộc đánh giá lần đầu (giai đoạn 1 và giai đoạn 2) mà kinh nghiệm đã cho thấy là phù hợp cho một phạm vi ISMS có số lượng người nhất định làm việc dưới sự kiểm soát của tổ chức Kinh nghiệm cũng đã chứng minh rằng đối với các phạm

vi ISMS có quy mô tương tự thì sẽ cần nhiều hoặc ít thời gian hơn

Bảng thời gian đánh giá dưới đây đưa ra mức khung phải được sử dụng để hoạch định đánh giá bằng cách xác định một mức khởi điểm dựa trên tổng số người làm việc dưới sự kiểm soát của tổ chức ở tất

cả các ca và điều chỉnh mức này dựa trên các yếu tố quan trọng áp dụng cho phạm vi ISMS cần được đánh giá và đưa vào từng yếu tố trong số thêm hoặc bớt để điều chỉnh Bảng thời gian đánh giá phải được sử dụng, trong đó có xem xét các yếu tố đóng góp và giới hạn độ lệch tối đa (xem B.3.4 và B.3.5

ở dưới) Các thuật ngữ được sử dụng trong bảng này được giải thích trong B.2 ở trên và Phụ lục C đưa ra các ví dụ về cách thức có thể được thực hiện

Bảng B.1 - Bảng thời gian đánh giá

Thời gian đánh giá EMS cho đánh giá lần đầu (số ngày đánh giá)

Thời gian đánh giá ISMS cho đánh giá lần đầu (số ngày đánh giá)

Các yếu tố thêm hoặc bớt

Tổng thời gian đánh giá

Trang 18

> 10700 Tiếp tục như trên Tiếp tục như trên Tiếp tục như trên Xem B.3.4

B.3.4 Các yếu tố điều chỉnh thời gian đánh giá

Không được chỉ sử dụng bảng thời gian đánh giá Khi phân bổ thời gian, phải xem xét các yếu tố dưới đây liên quan tới sự phức tạp của ISMS và do vậy cả sự nỗ lực cần để thực hiện đánh giá ISMS:a) sự phức tạp của ISMS (ví dụ, tầm quan trọng của thông tin, trạng thái rủi ro của ISMS, ):

b) (các) loại hình nghiệp vụ được thực hiện trong phạm vi của ISMS;

c) kết quả thực hiện đã được chứng minh từ trước của ISMS;

d) mức độ và tính đa dạng của công nghệ được dùng trong việc triển khai các thành phần khác nhau của ISMS (ví dụ, số lượng nền tảng IT khác nhau, số lượng mạng tách biệt);

e) mức độ thuê ngoài và các thỏa thuận bên thứ ba sử dụng trong phạm vi của ISMS;

f) mức độ phát triển hệ thống thông tin;

g) số lượng địa điểm và số lượng địa điểm khôi phục dữ liệu sau thảm họa (DR);

h) đối với đánh giá giám sát hoặc chứng nhận lại: lượng và mức độ thay đổi liên quan đến ISMS theo 8.5.3 của TCVN ISO/IEC 17021-1

Phụ lục C đưa ra các ví dụ về cách thức xem xét những yếu tố khác nhau này khi tính toán thời gian đánh giá

Dưới đây là các yếu tố tham khảo bổ sung cho phép tăng thời gian đánh giá:

- dịch vụ logictics phức tạp qua nhiều hơn một tòa nhà hoặc vị trí trong phạm vi ISMS;

- nhân viên biết nói nhiều hơn một ngôn ngữ (yêu cầu (nhiều) người phiên dịch hoặc ngăn cản các chuyên gia đánh giá riêng lẻ làm việc độc lập) hoặc tài liệu được cung cấp nhiều hơn một ngôn ngữ;

Định dạng
Số trang	36
Dung lượng	195,42 KB