Tư Vấn Sẵn Sàng Chứng Nhận ISO/IEC 27001:2022
Từ đánh giá khoảng trống đến ngày nhận chứng nhận — Evvo Labs đồng hành cùng doanh nghiệp xây dựng Hệ thống Quản lý An toàn Thông tin (ISMS) chuẩn quốc tế, sẵn sàng cho đánh giá chứng nhận.
Plan — Lập kế hoạch
Đánh giá rủi ro, xác định phạm vi, xây dựng chính sách ISMS
Do — Triển khai
Áp dụng kiểm soát Annex A, đào tạo nhân viên, vận hành ISMS
Check — Kiểm tra
Đánh giá nội bộ, đo lường hiệu quả, xem xét quản lý
Act — Cải tiến
Khắc phục lỗi, cải tiến liên tục, chuẩn bị đánh giá chứng nhận
Chứng nhận quốc tế — lợi thế cạnh tranh thực sự
ISO 27001 không chỉ là tấm chứng nhận treo tường. Đây là yêu cầu bắt buộc của nhiều đối tác lớn, điều kiện tham gia đấu thầu, và minh chứng cho khách hàng rằng dữ liệu của họ được bảo vệ đúng chuẩn.
Tại Việt Nam, ngày càng nhiều doanh nghiệp FDI, ngân hàng, và tổ chức tài chính yêu cầu đối tác phải có ISO 27001 — không có chứng nhận đồng nghĩa với mất cơ hội kinh doanh.
Yêu cầu đấu thầu
Nhiều dự án lớn yêu cầu ISO 27001 là điều kiện tiên quyết để tham gia
Tăng niềm tin
Khách hàng quốc tế tin tưởng doanh nghiệp có chứng nhận ISO 27001
Tuân thủ pháp luật
Đáp ứng yêu cầu PDPL, Luật An ninh mạng, và quy định ngành
Giảm chi phí sự cố
Doanh nghiệp có ISMS giảm 40% chi phí xử lý rò rỉ dữ liệu
4 giai đoạn đạt chứng nhận ISO 27001
Lộ trình rõ ràng, kết quả bàn giao cụ thể ở mỗi giai đoạn — doanh nghiệp luôn biết mình đang ở đâu.
Đánh giá khoảng trống
Khảo sát hiện trạng so với yêu cầu ISO 27001:2022 — xác định chính xác những gì cần bổ sung.
- Đánh giá 93 kiểm soát Annex A
- Phân tích rủi ro sơ bộ
- Xác định phạm vi ISMS
- Báo cáo gap analysis chi tiết
Xây dựng ISMS
Xây dựng toàn bộ hệ thống quản lý — chính sách, quy trình, kiểm soát, và tài liệu bắt buộc.
- Chính sách ISMS & Statement of Applicability
- Đánh giá rủi ro & kế hoạch xử lý
- Bộ quy trình vận hành (20+ tài liệu)
- Triển khai kiểm soát kỹ thuật & tổ chức
Đánh giá nội bộ
Kiểm tra toàn bộ ISMS trước đánh giá chính thức — phát hiện và khắc phục lỗi trước khi CB đến.
- Đánh giá nội bộ toàn diện
- Xem xét quản lý (Management Review)
- Khắc phục nonconformities
- Báo cáo mức độ sẵn sàng
Hỗ trợ chứng nhận
Đồng hành trong quá trình đánh giá Stage 1 & Stage 2 — hỗ trợ trả lời auditor và xử lý phát sinh.
- Chuẩn bị cho Stage 1 (document review)
- Hỗ trợ Stage 2 (on-site audit)
- Xử lý observations & minor NCs
- Hướng dẫn duy trì sau chứng nhận
93 kiểm soát — 4 nhóm chính
Phiên bản 2022 tổ chức lại Annex A thành 4 nhóm rõ ràng — Evvo Labs đánh giá và triển khai từng kiểm soát phù hợp với doanh nghiệp.
Tổ chức
Chính sách, vai trò, trách nhiệm, quản lý tài sản, kiểm soát truy cập, mối quan hệ nhà cung cấp
Con người
Sàng lọc, đào tạo nhận thức, quy trình kỷ luật, làm việc từ xa, báo cáo sự kiện
Vật lý
Bảo vệ vật lý, kiểm soát ra vào, bảo vệ thiết bị, hủy phương tiện lưu trữ
Công nghệ
Mã hóa, giám sát log, bảo mật mạng, phát triển an toàn, quản lý lỗ hổng, sao lưu
Doanh nghiệp nhận được gì
Bộ tài liệu ISMS hoàn chỉnh, sẵn sàng cho đánh giá chứng nhận — không phải chỉ "tư vấn" trên giấy.
Báo cáo Gap Analysis
Đánh giá chi tiết 93 kiểm soát — hiện trạng, khoảng trống, mức độ ưu tiên khắc phục
Statement of Applicability (SoA)
Tuyên bố áp dụng — kiểm soát nào áp dụng, lý do loại trừ, và trạng thái triển khai
Đánh giá rủi ro & Kế hoạch xử lý
Ma trận rủi ro, phương pháp đánh giá, kế hoạch xử lý rủi ro với biện pháp cụ thể
Bộ chính sách & quy trình ISMS
20+ tài liệu: chính sách ISMS, quản lý tài sản, kiểm soát truy cập, sao lưu, sự cố, nhân sự
Báo cáo đánh giá nội bộ
Kết quả internal audit — phát hiện, nonconformities, khuyến nghị khắc phục trước Stage 2
Đào tạo nhận thức ATTT
Chương trình đào tạo cho toàn bộ nhân viên — nhận thức bảo mật, vai trò trong ISMS, xử lý sự cố
ISO 27001:2013 vs 2022 — Có gì thay đổi?
Phiên bản 2022 đơn giản hóa cấu trúc và bổ sung kiểm soát mới cho cloud, AI, và threat intelligence.
| Tiêu chí | 2013 | 2022 |
|---|---|---|
| Số kiểm soát Annex A | 114 kiểm soát | 93 kiểm soát |
| Số nhóm | 14 nhóm | 4 nhóm (Tổ chức, Con người, Vật lý, Công nghệ) |
| Kiểm soát mới | — | 11 kiểm soát mới (threat intelligence, cloud, DLP, monitoring, secure coding...) |
| Thuộc tính kiểm soát | Không có | 5 thuộc tính: loại, đặc tính ATTT, khái niệm an ninh mạng, năng lực vận hành, miền bảo mật |
| Hạn chuyển đổi | — | 31/10/2025 — bắt buộc chuyển sang 2022 |
Giải đáp thắc mắc về ISO 27001
ISO 27001 là gì?
ISO/IEC 27001 là tiêu chuẩn quốc tế về Hệ thống Quản lý An toàn Thông tin (ISMS). Chứng nhận này chứng minh doanh nghiệp đã thiết lập và duy trì hệ thống bảo vệ thông tin một cách có hệ thống — bao gồm quản lý rủi ro, kiểm soát truy cập, và cải tiến liên tục. Được công nhận toàn cầu bởi hơn 70.000 tổ chức.
Thời gian đạt chứng nhận bao lâu?
Thông thường 4–8 tháng, tùy quy mô và mức độ sẵn sàng. Giai đoạn đánh giá khoảng trống mất 2–3 tuần, xây dựng ISMS 8–16 tuần, đánh giá nội bộ 2–3 tuần, và hỗ trợ đánh giá chính thức 2–4 tuần.
Chi phí tư vấn bao nhiêu?
Chi phí phụ thuộc vào quy mô doanh nghiệp, số lượng địa điểm, và phạm vi ISMS. Evvo Labs cung cấp báo giá cụ thể sau buổi khảo sát miễn phí. Cam kết minh bạch — không phát sinh ngoài phạm vi đã thỏa thuận.
ISO 27001:2022 khác gì phiên bản 2013?
Phiên bản 2022 giảm từ 114 xuống 93 kiểm soát, tổ chức lại thành 4 nhóm, và bổ sung 11 kiểm soát mới bao gồm threat intelligence, cloud security, data masking, và secure coding. Hạn chuyển đổi bắt buộc là 31/10/2025.
Evvo Labs có thay mặt lấy chứng nhận không?
Evvo Labs là đơn vị tư vấn, không phải tổ chức chứng nhận. Chúng tôi giúp doanh nghiệp sẵn sàng hoàn toàn — từ ISMS, tài liệu, đào tạo, đến đánh giá nội bộ. Đánh giá chính thức do CB độc lập thực hiện (BSI, TÜV, SGS, Bureau Veritas).
Sẵn sàng đạt chứng nhận ISO 27001?
Đặt lịch đánh giá khoảng trống miễn phí — Evvo Labs khảo sát hiện trạng và đề xuất lộ trình phù hợp với doanh nghiệp.
Đặt lịch đánh giá miễn phí