ISO 27001 · Hub

ISO 27001 Checklist: Danh Sách Kiểm Tra Đầy Đủ

ISO 27001 Checklist Là Gì và Tại Sao Cần Nó?

Chuẩn bị cho chứng nhận ISO 27001 đòi hỏi doanh nghiệp phải theo dõi hàng chục đầu mục, từ xác định phạm vi ISMS, đánh giá rủi ro, triển khai các control trong Annex A, đến thu thập evidence cho auditor. Không có một checklist rõ ràng, các đội ngũ compliance thường bỏ sót những yêu cầu quan trọng hoặc lãng phí thời gian xử lý lại tài liệu vào giai đoạn cuối. Bài viết này tổng hợp các hạng mục kiểm tra theo từng giai đoạn để doanh nghiệp có thể bám sát tiến độ một cách có hệ thống.


Giai Đoạn 1: Xác Định Phạm Vi và Bối Cảnh Tổ Chức

Trước khi làm bất cứ điều gì, doanh nghiệp cần xác định rõ ISMS sẽ bao phủ những gì. Đây là bước thường bị xem nhẹ nhưng lại ảnh hưởng trực tiếp đến toàn bộ quá trình sau.

Checklist giai đoạn này:

  • [ ] Xác định ranh giới tổ chức (physical, logical, organizational)
  • [ ] Lập danh sách tài sản thông tin trong phạm vi (information assets inventory)
  • [ ] Xác định các bên liên quan nội bộ và bên ngoài (interested parties)
  • [ ] Ghi nhận yêu cầu pháp lý và hợp đồng áp dụng (legal, regulatory, contractual requirements)
  • [ ] Phê duyệt và tài liệu hóa scope statement theo Clause 4

Scope càng hẹp và rõ ràng, việc quản lý risk và control càng hiệu quả. Doanh nghiệp nên tránh mở rộng scope quá mức ngay ở lần chứng nhận đầu tiên.


Giai Đoạn 2: Risk Assessment và Risk Treatment

Đây là phần cốt lõi của ISO 27001, tiêu chuẩn yêu cầu một quy trình risk assessment có hệ thống, có thể lặp lại và được tài liệu hóa đầy đủ.

Checklist risk assessment:

  • [ ] Định nghĩa tiêu chí chấp nhận rủi ro (risk acceptance criteria)
  • [ ] Xây dựng risk assessment methodology (định tính, định lượng, hoặc kết hợp)
  • [ ] Nhận diện và đánh giá rủi ro cho từng tài sản thông tin
  • [ ] Xác định risk owner cho mỗi rủi ro được ghi nhận
  • [ ] Lập Risk Treatment Plan (RTP) với các lựa chọn: mitigate, accept, transfer, avoid

Checklist risk treatment:

  • [ ] Đối chiếu từng rủi ro với các control tương ứng trong Annex A
  • [ ] Lập Statement of Applicability (SoA), ghi rõ control nào áp dụng, control nào loại trừ và lý do
  • [ ] Phê duyệt RTP và SoA ở cấp lãnh đạo (top management sign-off)

SoA là tài liệu mà auditor thường xem xét kỹ nhất. Mỗi quyết định loại trừ control cần có lý do rõ ràng, có thể bảo vệ được khi phỏng vấn.


Giai Đoạn 3: Triển Khai Controls và Tài Liệu Hóa

Annex A của ISO 27001:2022 có 93 control chia thành 4 nhóm: Organizational, People, Physical, và Technological. Không phải tất cả đều bắt buộc, nhưng mỗi control được chọn cần có bằng chứng triển khai thực tế.

Checklist tài liệu bắt buộc (mandatory documents):

  • [ ] Information Security Policy
  • [ ] Risk Assessment và Risk Treatment documentation
  • [ ] Statement of Applicability (SoA)
  • [ ] Information Security Objectives
  • [ ] Competence records (đào tạo nhân viên)
  • [ ] Internal audit results
  • [ ] Management review records
  • [ ] Corrective action records

Checklist evidence phổ biến được yêu cầu:

  • [ ] Access control logs và user provisioning/deprovisioning records
  • [ ] Vulnerability scan reports và patch management logs
  • [ ] Incident response records
  • [ ] Business continuity và DR test results
  • [ ] Supplier/vendor assessment records
  • [ ] Physical security inspection records

Mỗi control nên có ít nhất một loại evidence có thể quan sát được, policy đơn thuần không đủ nếu không có bằng chứng thực thi.


FAQ

SoA khác gì với Risk Treatment Plan? Risk Treatment Plan mô tả cách xử lý từng rủi ro cụ thể. SoA (Statement of Applicability) là tài liệu tổng hợp tất cả 93 Annex A controls, ghi rõ control nào được áp dụng hay loại trừ, kèm lý do và liên kết đến RTP tương ứng. Hai tài liệu này bổ sung cho nhau và đều bắt buộc.

Khi nào nên bắt đầu thu thập evidence? Ngay từ khi triển khai control, không phải đợi đến trước audit. Auditor thường yêu cầu evidence trong một khoảng thời gian nhất định (thường ít nhất vài tháng) để chứng minh control hoạt động liên tục, không chỉ được bật lên trước kỳ kiểm tra.

Internal audit có bắt buộc trước Stage 2 audit không? Có. ISO 27001 yêu cầu ít nhất một vòng internal audit hoàn chỉnh trước khi chứng nhận. Kết quả và corrective action từ internal audit cũng là input cho management review.


Nếu đội ngũ của bạn đang quản lý checklist này trên spreadsheet hoặc xử lý thủ công việc theo dõi evidence, pTrackly cung cấp môi trường để tổ chức, gán task, và lưu trữ evidence có cấu trúc theo từng control, giúp quá trình chuẩn bị audit bớt phân tán hơn. Bạn có thể tìm hiểu thêm về cách pTrackly hỗ trợ ISO 27001 tại trang tổng quan của chúng tôi.

pTrackly giúp bạn triển khai ISO 27001 nhanh hơn với templates và evidence collection tự động.

Đặt Demo Miễn Phí

Sẵn sàng cho audit?

Đặt lịch gọi 15 phút. Xem nền tảng. Quyết định sau.

Đặt Demo Miễn Phí 15 phút, không ràng buộc
Không cần thẻ tín dụng Thiết lập trong 24 giờ Hủy bất cứ lúc nào
Đặt Lịch Demo