Các bước áp dụng tiêu chuẩn ISO 9001 & ISO 27001 vào trong doanh nghiệp

Hiện nay, việc áp dụng tiêu chuẩn ISO 9001 & ISO 27001 trong doanh nghiệp đang ngày càng phổ biến hơn và cho thấy nhiều hiệu quả tích cực.

Ở các bài viết trước mình đã giới thiệu về Hệ thống quản lý chât lượng (ISO 9001) và hệ thống quản lý an toàn thông tin (ISO/IEC 27001), cũng như lợi ích thiết thực đối với doanh nghiệp khi áp dụng 2 tiêu chuẩn này.

Trong bài viết này, hãy cùng mình tìm hiểu rõ hơn về Quy trình áp dụng tiêu chuẩn ISO 9001 & ISO 27001 vào trong doanh nghiệp nhé.

I. GIAI ĐOẠN 1 – THIẾT KẾ HỆ THỐNG VÀ XÂY DỰNG VĂN BẢN

1. Thành lập Ban chỉ đạo ISO/IEC 27001 & ISO 9001

  • Doanh nghiệp cần phải thành lập một Ban chỉ đạo ISO/IEC 27001 & ISO 9001 (Ban ISO) đóng vai trò là trung tâm điều phối và kiểm soát toàn bộ hoạt động của Hệ thống quản lý ATTT&CL.
  • Đơn vị tư vấn ISO sẽ tư vấn xây dựng Ban ISO, thiết lập cơ chế hoạt động và phối hợp, phân định chức năng, nhiệm vụ, quyền hạn)
  • Hướng dẫn hoạt động điều hành và chỉ đạo trong quá trình xây dựng, triển khai và áp dụng hệ thống.

2. Khảo sát đánh giá thực trạng

  • Đơn vị tư vấn ISO tiến hành khảo sát Ban lãnh đạo và các phòng ban để nhận biết các quá trình, mức độ và phạm vi áp dụng, các tác động ảnh hưởng hệ thống.
  • Đánh giá thực trạng của Công ty và mức độ phù hợp so với các yêu cầu ISO/IEC 27001 & ISO 9001.

3. Thông báo và đào tạo nhận thức về ATTT&CL trong nội bộ

  • Ban ISO cần phải thông báo với mọi nhân sự về kế hoạch áp dụng ISO 9001 & ISO 27001 trong doanh nghiệp. Đồng thời, tiến hành đào tạo nâng cao nhận thức về ATTT&CL nhằm giúp mỗi cá nhân trong doanh nghiệp hiểu được vai trò, quyền hạn và trách nhiệm của mình trong việc tuân thủ các yêu cầu trong ISO 9001 & ISO 27001.

II. GIAI ĐOẠN 2 – XÂY DỰNG HỆ THỐNG VĂN BẢN QUẢN LÝ AN TOÀN THÔNG TIN VÀ CHẤT LƯỢNG

1. Xây dựng và mở rộng phạm vi cho các thủ tục quy trình, kế hoạch kiểm soát  ATTT&CL; các hướng dẫn và biểu mẫu (Theo phạm vi mới)

  • Đơn vị tư vấn sẽ cùng làm việc với từng bộ phận/ phòng ban liên quan để xây dựng các thủ tục quy trình đảm bảo phù hợp tiêu chuẩn ISO/IEC 27001 & ISO 9001 phù hợp với thực tế hoạt động của doanh nghiệp.
  • Doanh nghiệp cùng đơn vị tư vấn dự thảo văn bản, sau đó đơn vị tư vấn sẽ xem xét, chỉnh sửa và hoàn thiện văn bản cho phạm vi mới.

2. Lập và điều chỉnh sổ tay Sổ tay An toàn thông tin và Chất lượng.

Sổ tay ATTT&CL đảm bảo:

  • Phù hợp yêu cầu tiêu chuẩn
  • Nêu rõ phạm vi áp dụng, lĩnh vực xin chứng nhận
  • Mô tả đầy đủ các bộ phận trong Hệ thống quản lý ATTT&CL, các hoạt động thực hiện các điều khoản theo yêu cầu tiêu chuẩn của SO/IEC 27001 & ISO 9001.

III. GIAI ĐOẠN 3 – TRIỂN KHAI THỰC HIỆN HỆ THỐNG QUẢN LÝ AN TOÀN THÔNG TIN VÀ CHẤT LƯỢNG

1. Hướng dẫn áp dụng thử, chỉnh sửa và chính thức ban hành tài liệu:

  • Hướng dẫn áp dụng thử và chỉnh sửa (nếu có) trước khi chính thức ban hành.
  • Hướng dẫn Ban chỉ đạo cách thức ban hành tài liệu, phân phối và kiểm soát tài liệu Hệ thống quản lý ATTT&CL.

2. Hướng dẫn triển khai áp dụng, theo dõi, giám sát hoạt động HTQL  ATTT&CL cho phạm vi mới:

  • Hướng dẫn việc triển khai áp dụng HTQL ATTT&CL .
  • Tư vấn ban chỉ đạo cách thức theo dõi, kiểm soát hoạt động HTQL ATTT&CL
  • Khuyến nghị các giải pháp tháo gỡ những vướng mắc.

IV. GIAI ĐOẠN 4 – TỔ CHỨC ĐÁNH GIÁ NỘI BỘ VÀ HOÀN THIỆN HỆ THỐNG

  • Bên tư vấn sẽ phối hợp với các Chuyên gia đánh giá nội bộ HTQL ATTT&CL để xác định mức độ phù hợp yêu cầu ISO/IEC 27001 & ISO 9001 và đưa ra các giải pháp.
  • Cuộc đánh giá sẽ được tiến hành theo lịch trình tại các phòng ban/ bộ phận. Đơn vị tư vấn sẽ hỗ trợ các phòng ban/ bộ phận xác định nguyên nhân và tìm giải pháp cho các vấn đề.
  • Hướng dẫn và kiểm tra quá trình khắc phục các sự không phù hợp phát hiện qua đánh giá.

V. GIAI ĐOẠN 5 – CHỨNG NHẬN HỆ THỐNG

1. Đánh giá thử Hệ thống ATTT&CL của doanh nghiệp

  • Tổ chức chứng nhận (TCCN) đánh giá thử Hệ thống quản lý ATTT&CL theo các thủ tục đánh giá của TCCN..

2. Hướng dẫn khắc phục các điểm đánh giá thử (nếu có)

  • Phân tích nguyên nhân và đề ra biện pháp khắc phục các điểm không phù hợp được nêu trong Báo cáo đánh giá thử.
  • Liên hệ, thực hiện thủ tục chuyển kết quả khắc phục cho Tổ chức chứng nhận.

3. Đánh giá chứng nhận Hệ thống ATTT&CL của doanh nghiệp

  • Tổ chức chứng nhận đánh giá chứng nhận Hệ thống tích hợp QLATTT&CL theo các thủ tục đánh giá của TCCN.
  • Khi đã đủ tiêu chuẩn, tổ chức được Nhận chứng chỉ của Tổ chức chứng nhận D.A.S-UKAS Vương quốc Anh.

4. Duy trì chứng chỉ ISO 9001 & ISO 27001

  • Sau khi đạt được chứng nhận ISO 9001 & ISO 27001, doanh nghiệp vẫn cần phải đảm bảo duy trì việc vận hành và cải tiến HTQLCL không ngừng sao cho phù hợp với bối cảnh thực tế của doanh nghiệp. Bởi điều này không chỉ nhằm mục đích duy trì hiệu lực cho chứng chỉ, mà nó còn đảm bảo mọi hoạt động trong doanh nghiệp được diễn ra trơn tru và đáp ứng được các mục tiêu đề ra.
  • Chứng nhận ISO 9001 & ISO 27001 có hiệu lực trong vòng 03 năm, tuy nhiên hệ thống quản lý ATTT&CL của doanh nghiệp áp dụng phải được đánh giá giám sát định kỳ hàng năm và được đánh giá tái chứng nhận sau chu kỳ chứng nhận kết thúc.

Có thể thấy được việc áp dụng ISO 9001 & ISO 27001 trong doanh nghiệp là một quá trình phức tạp và có lẽ tiêu tốn nhiều thời gian, chi phí, công sức cảu doanh nghiệp. Nhưng nếu đủ đầu tư về thời gian và nguồn lực, chắc chắn doanh nghiệp sẽ thu được nhiều "trái ngọt".

Nguồn tham khảo: ISOCERT, iDAS