ISO 27001 · Hub

Duy Trì ISO 27001 Sau Chứng Nhận: Surveillance Audit Và Recertification

Sau Chứng Nhận ISO 27001: Hành Trình Duy Trì Mới Bắt Đầu

Đạt được chứng chỉ ISO 27001 là một cột mốc quan trọng, nhưng đó không phải điểm kết thúc, đó là khởi đầu của một chu kỳ quản lý liên tục. Chứng chỉ ISO 27001 có hiệu lực trong 3 năm, và trong suốt thời gian đó, tổ chức cần trải qua các surveillance audit hàng năm cùng recertification audit vào cuối chu kỳ. Hiểu rõ lịch trình và yêu cầu của từng giai đoạn giúp doanh nghiệp chủ động chuẩn bị thay vì bị động ứng phó.

Surveillance Audit: Kiểm Tra Định Kỳ Năm 1 và Năm 2

Surveillance audit (còn gọi là audit giám sát) diễn ra vào năm thứ nhất và năm thứ hai sau khi đạt chứng nhận ban đầu. Mục tiêu của audit này không phải để cấp lại chứng chỉ, mà để xác nhận rằng ISMS (Information Security Management System) vẫn đang hoạt động hiệu quả và liên tục được cải thiện.

Trong surveillance audit, auditor thường tập trung vào:

  • Kết quả internal audit: tổ chức có thực hiện internal audit định kỳ không, và các nonconformity có được xử lý triệt để không
  • Management review: lãnh đạo cấp cao có tham gia đánh giá ISMS định kỳ và đưa ra quyết định dựa trên dữ liệu không
  • Corrective action: các điểm không phù hợp từ audit trước đã được khắc phục chưa
  • Một số control trong Annex A: auditor sẽ chọn một tập hợp control để kiểm tra sâu, đặc biệt những control liên quan đến rủi ro cao

Surveillance audit thường ngắn hơn certification audit ban đầu vì phạm vi hẹp hơn, nhưng không kém phần quan trọng. Nếu tổ chức không duy trì được bằng chứng hoạt động liên tục, ví dụ không có log từ hệ thống monitoring, không có biên bản review, không có training record, chứng chỉ có thể bị đình chỉ.

Recertification Audit: Chu Kỳ 3 Năm

Vào cuối năm thứ ba, tổ chức phải trải qua recertification audit, về cơ bản là một cuộc đánh giá toàn diện tương tự certification audit ban đầu. Auditor sẽ xem xét lại toàn bộ phạm vi ISMS, từ risk assessment đến Statement of Applicability (SoA), từ security policies đến bằng chứng thực thi các control.

Điểm khác biệt so với lần đầu là: tổ chức lúc này đã có 3 năm dữ liệu vận hành thực tế. Đây vừa là lợi thế (có nhiều bằng chứng để xuất trình) vừa là thách thức (bất kỳ sự lơ là nào trong 3 năm qua đều sẽ lộ ra). Recertification cũng là cơ hội để cập nhật SoA nếu phạm vi kinh doanh đã thay đổi, hoặc áp dụng phiên bản tiêu chuẩn mới nhất nếu có.

Continuous Monitoring: Nền Tảng Để Vượt Qua Mọi Audit

Cả surveillance lẫn recertification audit đều dễ vượt qua hơn nếu tổ chức duy trì continuous monitoring thay vì cố gắng "ôn tập" trước kỳ audit. Continuous monitoring trong bối cảnh ISO 27001 bao gồm:

  • Thu thập bằng chứng liên tục: log từ hệ thống, kết quả vulnerability scan, access review định kỳ
  • Theo dõi KPI bảo mật: số lượng incident, thời gian phát hiện và xử lý, tỷ lệ nhân viên hoàn thành security training
  • Cập nhật risk register: khi môi trường kinh doanh hoặc threat landscape thay đổi, risk assessment cần được cập nhật tương ứng
  • Duy trì document control: đảm bảo tất cả policy, procedure, và record đều ở phiên bản mới nhất và có dấu vết chỉnh sửa rõ ràng

Nhiều tổ chức thất bại ở surveillance audit không phải vì họ không có security control, mà vì họ không có bằng chứng rằng các control đó đang hoạt động. Đây là điểm mà các công cụ tự động hóa thu thập evidence có thể tạo ra sự khác biệt đáng kể.

Câu Hỏi Thường Gặp

Nếu tổ chức thay đổi phạm vi (scope) sau khi đạt chứng nhận thì sao? Thay đổi scope cần được thông báo cho certification body. Nếu scope mở rộng đáng kể, có thể cần một cuộc audit bổ sung. Nên cập nhật SoA và risk assessment tương ứng trước khi thông báo chính thức.

Surveillance audit có thể thực hiện remote không? Nhiều certification body đã chấp nhận remote audit (document review, phỏng vấn qua video) cho một phần surveillance audit, đặc biệt với các tổ chức có track record tốt. Tuy nhiên, quyết định cuối cùng phụ thuộc vào từng certification body và phạm vi audit.

Nếu audit phát hiện major nonconformity thì chứng chỉ có bị thu hồi ngay không? Thông thường không, tổ chức sẽ có một khoảng thời gian để thực hiện corrective action và cung cấp bằng chứng khắc phục. Chứng chỉ chỉ bị thu hồi nếu tổ chức không xử lý được nonconformity trong thời hạn quy định.


Việc duy trì ISO 27001 đòi hỏi một quy trình thu thập evidence và theo dõi compliance có hệ thống, đây là bài toán mà pTrackly được xây dựng để giải quyết, giúp các doanh nghiệp Việt Nam tự động hóa phần lớn công việc lặp lại trong vòng đời ISMS của mình.

pTrackly giúp bạn triển khai ISO 27001 nhanh hơn với templates và evidence collection tự động.

Đặt Demo Miễn Phí

Sẵn sàng cho audit?

Đặt lịch gọi 15 phút. Xem nền tảng. Quyết định sau.

Đặt Demo Miễn Phí 15 phút, không ràng buộc
Không cần thẻ tín dụng Thiết lập trong 24 giờ Hủy bất cứ lúc nào
Đặt Lịch Demo