Tại Sao Việc Chọn Certification Body Quan Trọng
Khi một tổ chức hoàn thiện ISMS và sẵn sàng cho audit ISO 27001, câu hỏi tiếp theo thường bị bỏ qua: chọn certification body (CB) nào? Quyết định này ảnh hưởng trực tiếp đến uy tín của chứng chỉ, trải nghiệm audit, và chi phí dài hạn. Một CB được accredit bởi cơ quan có thẩm quyền sẽ đảm bảo certificate của bạn được công nhận quốc tế, điều đặc biệt quan trọng nếu khách hàng hoặc đối tác yêu cầu chứng chỉ như một điều kiện hợp đồng.
Accreditation, Tiêu Chí Không Thể Bỏ Qua
Accreditation là nền tảng để đánh giá bất kỳ CB nào. Một CB hợp lệ phải được accredit bởi thành viên của IAF (International Accreditation Forum): ví dụ BoA (Việt Nam), UKAS (Anh), DAkkS (Đức), hoặc JAS-ANZ (Úc/New Zealand). Các CB này hoạt động theo tiêu chuẩn ISO/IEC 17021-1 và hướng dẫn bổ sung IAF MD9 dành riêng cho audit ISMS.
Trước khi ký hợp đồng với bất kỳ CB nào, hãy kiểm tra:
- Scope của accreditation: CB phải có accreditation cho EA Code 33 (IT/ISMS) hoặc tương đương, không chỉ accreditation chung.
- Tình trạng hiện tại: Tra cứu trực tiếp trên cơ sở dữ liệu IAF MLA hoặc website của accreditation body, accreditation có thể bị đình chỉ hoặc hết hạn.
- Mutual Recognition: Certificate được cấp bởi CB thuộc IAF MLA được công nhận lẫn nhau giữa các quốc gia thành viên, giúp certificate của bạn có giá trị toàn cầu.
Cần lưu ý: một số tổ chức cung cấp "chứng chỉ ISO 27001" mà không có accreditation thực sự. Certificate này không có giá trị pháp lý hoặc thương mại trong hầu hết các bối cảnh B2B.
Remote Audit vs. Onsite Audit, IAF MD9 Và Thực Tế Áp Dụng
Sau đại dịch, remote audit đã trở thành lựa chọn phổ biến hơn. IAF MD9 là tài liệu hướng dẫn chính thức quy định điều kiện và giới hạn của remote audit trong chứng nhận management system, bao gồm ISO 27001.
Theo IAF MD9, CB có thể thực hiện một phần hoặc toàn bộ audit từ xa nếu:
- Tổ chức có hạ tầng kỹ thuật đủ để hỗ trợ (video call, chia sẻ màn hình, truy cập hệ thống an toàn).
- Các hoạt động cần quan sát trực tiếp (physical security controls, data center walk-through) vẫn phải được xử lý onsite hoặc qua video thực tế.
- CB đánh giá rủi ro và xác định tỷ lệ remote/onsite phù hợp.
Khi so sánh CB, hãy hỏi rõ: họ áp dụng remote audit ở mức độ nào, quy trình xác minh evidence như thế nào, và surveillance audit (audit định kỳ sau chứng nhận) sẽ diễn ra theo hình thức nào. Tổ chức có nhiều site hoặc hoạt động phân tán cần đặc biệt lưu ý điều khoản multi-site audit.
Các Tiêu Chí Thực Tế Khi So Sánh CB
Ngoài accreditation, một số yếu tố thực tế giúp phân biệt CB phù hợp với tổ chức của bạn:
Kinh nghiệm trong ngành: CB có auditor quen thuộc với lĩnh vực tài chính, SaaS, hay logistics sẽ đánh giá controls sát thực tế hơn, đặc biệt khi xem xét Annex A và tính phù hợp của Statement of Applicability (SoA).
Cơ cấu chi phí: Phí audit thường tính theo audit day, phụ thuộc vào số nhân sự, số site, và độ phức tạp của ISMS. Nên yêu cầu báo giá chi tiết cho toàn bộ chu kỳ 3 năm (initial certification + 2 surveillance audit), không chỉ audit lần đầu.
Thời gian phản hồi và hỗ trợ: Một CB chuyên nghiệp sẽ cung cấp lịch audit rõ ràng, quy trình xử lý nonconformity minh bạch, và đầu mối liên hệ cụ thể, không phải hộp thư chung.
Ngôn ngữ và múi giờ: Đối với doanh nghiệp Việt Nam làm việc với CB nước ngoài, khả năng giao tiếp bằng tiếng Việt hoặc có đại diện tại khu vực là yếu tố thực tế đáng cân nhắc.
Câu Hỏi Thường Gặp
CB ở Việt Nam có được IAF công nhận không? Có. BoA (Bureau of Accreditation) là thành viên IAF MLA của Việt Nam. Một số CB quốc tế cũng có văn phòng đại diện hoặc đối tác tại Việt Nam và hoạt động dưới accreditation của cơ quan nước họ.
Tôi có thể đổi CB sau khi đã được chứng nhận không? Có, nhưng cần thực hiện transfer audit để CB mới xác minh tình trạng ISMS. Quá trình này ít tốn kém hơn initial certification nhưng cần lên kế hoạch trước khi certificate hiện tại hết hạn.
Chứng chỉ từ CB không được accredit có vấn đề gì? Certificate đó không được công nhận trong các tender chính phủ, yêu cầu đối tác quốc tế, hoặc bất kỳ bối cảnh nào yêu cầu IAF-accredited certification. Đây là rủi ro đáng kể về mặt hợp đồng và uy tín.
Nếu tổ chức của bạn đang trong giai đoạn chuẩn bị cho audit hoặc muốn theo dõi tiến độ xử lý nonconformity sau audit, pTrackly hỗ trợ quản lý evidence, task, và compliance workflow theo cấu trúc của ISO 27001, giúp đội ngũ tập trung vào nội dung thay vì quản lý bảng tính.
pTrackly giúp bạn triển khai ISO 27001 nhanh hơn với templates và evidence collection tự động.
Đặt Demo Miễn Phí