ISO 27001 Nói Gì Về Internal Audit

Internal audit không phải tùy chọn. ISO/IEC 27001:2022 Clause 9.2, nằm trong phần Performance Evaluation, yêu cầu tổ chức phải lên kế hoạch, thực hiện, và lưu tài liệu internal audit như một phần của việc duy trì ISMS.

Phiên bản 2022 tách Clause 9.2 gốc thành hai điều khoản con:

  • Clause 9.2.1 định nghĩa mục tiêu của từng cuộc audit riêng lẻ
  • Clause 9.2.2 quản lý toàn bộ chương trình audit, kế hoạch, tần suất, phương pháp, trách nhiệm, và hồ sơ

Sự tách biệt này có ý nghĩa: nó phân tách cái gì (yêu cầu của từng cuộc audit) với làm thế nào (quản lý chương trình). Cả hai đều áp dụng cho chứng nhận ban đầu và các cuộc surveillance audit hàng năm.

Nguồn: Advisera 27001 Academy (advisera.com/27001academy/iso-27001-internal-audit)

Mỗi Cuộc Audit Phải Đánh Giá Gì

Theo Clause 9.2.1, mỗi cuộc internal audit phải xác định ISMS của bạn có:

  1. Phù hợp với các yêu cầu ISMS của chính tổ chức (policies và procedures của bạn)
  2. Phù hợp với các yêu cầu của ISO/IEC 27001:2022
  3. Được triển khai và duy trì hiệu quả

Điểm thứ ba là điểm hầu hết các team đánh giá thấp. Có policy trên giấy chưa đủ, audit phải xác minh các policy đó thực sự được tuân thủ trong thực tế.

Tần Suất Audit Là Bao Nhiêu?

ISO 27001 không đặt ra khoảng thời gian cố định. Tần suất do tổ chức quyết định dựa trên:

  • Mức độ quan trọng của từng quy trình đối với ISMS
  • Các thay đổi ảnh hưởng đến bảo mật (hệ thống mới, tái cơ cấu, sự cố)
  • Kết quả của các cuộc audit trước đó

Trong thực tế, một lần mỗi năm là mức tối thiểu hầu hết các tổ chức chứng nhận (certification body) kỳ vọng. Các lĩnh vực rủi ro cao hơn, access control, incident management, physical security, thường được audit thường xuyên hơn khi có thay đổi xảy ra.

Nguồn: Advisera 27001 Academy (advisera.com/27001academy/iso-27001-internal-audit)

Ai Có Thể Thực Hiện Internal Audit?

Tiêu chuẩn có một quy tắc rõ ràng: auditor không được audit công việc của chính mình.

Đây là yêu cầu về tính khách quan và công bằng. Nghĩa là người trong team IT không thể audit các controls của team IT mình. Các lựa chọn đáp ứng yêu cầu:

  • Nhân viên từ phòng ban khác (HR audit IT, hoặc ngược lại)
  • Tư vấn bên ngoài được thuê riêng cho vai trò internal audit
  • Thành viên từ chi nhánh hoặc văn phòng khác trong cùng tập đoàn

Tiêu chuẩn không yêu cầu chứng chỉ cụ thể, nhưng auditor phải "có năng lực," nghĩa là hiểu cả nguyên tắc audit lẫn các yêu cầu ISMS. Trong thực tế, đào tạo ISO 27001 Lead Auditor (cung cấp bởi BSI, Bureau Veritas, và các tổ chức tương tự) cung cấp nền tảng đáng tin cậy.

Bốn Tài Liệu Bắt Buộc Phải Có

Clause 9.2.2 yêu cầu lưu giữ các documented information sau:

1. Audit programme Lịch trình đã lên kế hoạch: những khu vực nào sẽ được audit, bằng phương pháp nào, do ai thực hiện, và khi nào. Được duy trì trong suốt chu kỳ audit.

2. Audit criteria và scope cho mỗi cuộc audit Mỗi cuộc audit riêng lẻ phải có scope xác định (quy trình, hệ thống, hoặc phòng ban nào) và criteria (yêu cầu nào sẽ được kiểm tra).

3. Kết quả audit / báo cáo audit Findings từ mỗi cuộc audit, conformances, nonconformities, observations, và các cơ hội cải tiến.

4. Bằng chứng chương trình được thực hiện Hồ sơ cho thấy các cuộc audit thực sự được thực hiện theo chương trình. Audit checklists, biên bản cuộc họp, và danh sách tham dự đã ký phục vụ mục đích này.

Audit Kết Nối Với Corrective Action Thế Nào

Nonconformities phát hiện trong internal audit đưa trực tiếp vào Clause 10.1 (Nonconformity and Corrective Action). Khi audit phát hiện gap:

  1. Nonconformity được lưu tài liệu
  2. Phân tích nguyên nhân gốc rễ
  3. Corrective actions được xác định và phân công
  4. Hiệu quả của các actions đó được xác minh trong lần kiểm tra tiếp theo

Vòng lặp này, audit → nonconformity → corrective action → xác minh, là điều các certification body tìm kiếm khi đánh giá ISMS của bạn có đang thực sự cải thiện theo thời gian hay không.

Những Lỗi Thường Gặp

Audit cùng một nhóm mỗi chu kỳ Nếu cùng một team audit cùng các controls mỗi năm và không bao giờ tìm thấy nonconformity, certification auditor sẽ nhìn kỹ hơn. Audit thực sự luôn tìm thấy gì đó.

Chỉ review tài liệu, không kiểm tra thực tế ISO 27001 yêu cầu bằng chứng controls hoạt động trong thực tế. Clause 9.2.1 nói audit phải đánh giá việc triển khai hiệu quả, không chỉ là policies có tồn tại hay không.

Để quá ít thời gian trước certification audit Kết quả internal audit phải có sẵn cho management review (Clause 9.3). Management review phải hoàn thành trước external certification audit. Chạy internal audit một tuần trước external audit không để lại thời gian để đóng nonconformities.

Không lưu hồ sơ Clause 9.2.2 yêu cầu rõ ràng documented information làm bằng chứng. Debrief bằng lời không đáp ứng yêu cầu này. Báo cáo bằng văn bản và checklists là bắt buộc.

Quy Trình Audit Tối Thiểu

Với công ty thực hiện internal audit ISO 27001 lần đầu:

  1. Xác định scope: phòng ban, hệ thống, và quy trình nào nằm trong scope của chu kỳ audit này
  2. Xây dựng checklist: ánh xạ từng Annex A control và yêu cầu Clause thành một câu hỏi có thể kiểm tra
  3. Phân công auditor: người không triển khai các controls đang được audit
  4. Phỏng vấn và kiểm tra: review tài liệu, quan sát quy trình, test controls (không chỉ hỏi "bạn có làm điều này không?")
  5. Viết báo cáo: findings phân loại thành conformance, minor nonconformity, major nonconformity, hoặc observation
  6. Đưa findings vào Clause 10.1: mở corrective actions cho mỗi nonconformity
  7. Trình bày tại management review: Clause 9.3 yêu cầu ban quản lý review kết quả audit

Toàn bộ quy trình, với công ty 30–50 người, thường mất hai đến ba tuần từ lên kế hoạch đến báo cáo.

Internal Audit vs. Certification Audit

Hai loại này khác nhau:

Internal AuditCertification Audit
Thực hiện bởiNhân viên nội bộ hoặc tư vấn thuê ngoàiCertification body (CB) được công nhận
Mục đíchXác định gaps trước khi bị kiểm tra bên ngoàiXác minh conformance để cấp chứng chỉ
Đầu raBáo cáo audit nội bộ, corrective actionsChứng chỉ (hoặc nonconformity findings)
Tần suấtÍt nhất hàng năm, dựa trên rủi roStage 1 + Stage 2 ban đầu, sau đó surveillance hàng năm
Tham chiếu tiêu chuẩnClause 9.2Clause 9.2 + tất cả clauses khác

Internal audit là bài tự kiểm tra của bạn trước khi certification body kiểm tra bạn. Chương trình internal audit càng kỹ lưỡng, càng ít bất ngờ trong quá trình chứng nhận.

Automation Thay Đổi Quy Trình Thế Nào

Phần tốn thời gian nhất trong chuẩn bị internal audit là thu thập bằng chứng. Quy trình thủ công bao gồm chụp screenshots, xuất logs, và theo dõi danh sách access control từ nhiều hệ thống.

Các compliance platform duy trì việc thu thập bằng chứng liên tục, kéo từ AWS, GitHub, Okta, Jira, và các tools tương tự mỗi ngày, giảm thời gian chuẩn bị audit vì bằng chứng đã ở đó sẵn. Auditor review những gì đã được thu thập thay vì phải yêu cầu từ đầu.

Điều này không thay đổi scope audit hay yêu cầu về tính độc lập. Nó thay đổi thời gian chuẩn bị.


Tài liệu tham khảo:

Thẻ:
ISO 27001Internal AuditISMSClause 9.2