iso-27001

Recertification

ISO 27001 Recertification Audit

Audit tái chứng nhận ISO 27001 sau 3 năm, toàn diện như Stage 2 audit ban đầu, xem xét toàn bộ ISMS.

Recertification (Audit Tái Chứng Nhận ISO 27001)

Định nghĩa

Recertification, hay còn gọi là audit tái chứng nhận, là quy trình đánh giá lại toàn diện mà một tổ chức phải trải qua sau mỗi chu kỳ chứng nhận ba năm theo tiêu chuẩn ISO 27001. Khác với các cuộc audit giám sát (surveillance audit) thường niên, vốn chỉ xem xét một phần hệ thống, recertification audit có phạm vi tương đương với Stage 2 audit ban đầu, nghĩa là kiểm tra toàn bộ Hệ thống Quản lý An toàn Thông tin (ISMS) từ chính sách, kiểm soát rủi ro, đến bằng chứng vận hành thực tế.

Về mặt kỹ thuật, auditor sẽ xem xét lại toàn bộ các điều khoản của ISO 27001 (từ Clause 4 đến Clause 10), đánh giá tính liên tục và hiệu quả của ISMS trong suốt ba năm qua, đồng thời kiểm tra xem tổ chức đã xử lý các phát hiện từ các lần audit trước như thế nào.


Tại Sao Recertification Quan Trọng

Chứng nhận ISO 27001 không phải là đích đến một lần rồi thôi, đây là cam kết duy trì và cải tiến liên tục. Recertification audit đóng vai trò như một "cột mốc kiểm tra" để xác nhận rằng hệ thống bảo mật thông tin của tổ chức vẫn còn phù hợp, đầy đủ và hoạt động hiệu quả theo thời gian.

Từ góc độ kinh doanh, chứng chỉ ISO 27001 hết hạn mà không được gia hạn kịp thời có thể ảnh hưởng đến các hợp đồng, yêu cầu của đối tác, hoặc quy định tuân thủ trong một số ngành cụ thể. Nhiều tổ chức trong lĩnh vực tài chính, y tế, và dịch vụ công nghệ xem chứng chỉ này như một điều kiện cần trong quá trình đấu thầu hoặc ký kết hợp tác.


Cách Áp Dụng Trong ISO 27001

Chuẩn bị cho recertification audit thường bắt đầu từ sáu đến chín tháng trước ngày hết hạn. Các bước chính bao gồm:

  • Rà soát toàn bộ tài liệu ISMS: Chính sách bảo mật, Statement of Applicability (SoA), kế hoạch xử lý rủi ro cần được cập nhật phản ánh thực trạng hiện tại.
  • Thực hiện internal audit đầy đủ phạm vi: Không chỉ kiểm tra các điều khoản thường xuyên có vấn đề mà cần bao quát toàn bộ tiêu chuẩn.
  • Management review: Ban lãnh đạo phải xem xét và ghi nhận đánh giá chính thức về hiệu quả ISMS.
  • Xử lý tồn đọng từ surveillance audit: Các non-conformity hoặc observation chưa được đóng cần được giải quyết trước khi audit diễn ra.

Ví Dụ Thực Tế

Một công ty cung cấp phần mềm SaaS đã được chứng nhận ISO 27001 vào năm 2022. Đến năm 2025, họ cần thực hiện recertification. Trong ba năm đó, công ty đã mở rộng sang hai thị trường mới, thêm nhiều nhà cung cấp bên thứ ba, và triển khai thêm hệ thống cloud. Auditor trong kỳ recertification sẽ không chỉ kiểm tra các kiểm soát cũ mà còn đánh giá xem tổ chức đã cập nhật phạm vi ISMS, đánh giá rủi ro và các kiểm soát liên quan đến những thay đổi đó hay chưa.


Liên Quan Đến Compliance Automation

Một trong những thách thức lớn nhất khi chuẩn bị recertification là thu thập bằng chứng vận hành trải dài nhiều năm, log hệ thống, kết quả kiểm tra truy cập, báo cáo sự cố, biên bản training. Đây là lúc các nền tảng compliance automation thể hiện giá trị rõ ràng nhất: thay vì tìm kiếm thủ công qua nhiều hệ thống phân tán, các bằng chứng được thu thập và tổ chức liên tục theo thời gian.

pTrackly hỗ trợ đội ngũ compliance theo dõi tiến độ kiểm soát và duy trì trạng thái sẵn sàng audit xuyên suốt chu kỳ ba năm, giúp recertification trở thành một quy trình có hệ thống thay vì một đợt chạy nước rút tốn kém.

Sẵn sàng cho audit?

Đặt lịch gọi 15 phút. Xem nền tảng. Quyết định sau.

Đặt Demo Miễn Phí 15 phút, không ràng buộc
Không cần thẻ tín dụng Thiết lập trong 24 giờ Hủy bất cứ lúc nào
Đặt Lịch Demo