Checklist hồ sơ audit ISO 27001 – chuẩn bị đầy đủ không thiếu mục nào
Trước khi đánh giá ISO 27001, doanh nghiệp cần chuẩn bị gì? Xem ngay checklist hồ sơ, bằng chứng cần có và tải bộ tài liệu mẫu.
Sau quá trình xây dựng hệ thống ISO 27001, bước cuối cùng để đạt được chứng nhận là đánh giá chứng nhận (Stage 1 và Stage 2 Audit).
Để quá trình này diễn ra suôn sẻ và không bị trả hồ sơ, bạn cần chuẩn bị đầy đủ tài liệu và bằng chứng.
Cyber IT Security chia sẻ checklist đầy đủ & chuẩn hóa các hồ sơ cần thiết, được tổng hợp từ kinh nghiệm triển khai cho hơn 50 doanh nghiệp Việt Nam.
📋 1. Hồ sơ cần chuẩn bị cho Stage 1 (Đánh giá tài liệu)
| Nhóm | Hồ sơ cần có |
|---|---|
| 🎯 Chính sách | - Chính sách an toàn thông tin (IS Policy) |
-
Chính sách quản lý rủi ro
-
Chính sách kiểm soát truy cập
-
Chính sách xử lý sự cố |
| 🛠 Quy trình | - Quy trình kiểm soát truy cập -
Quy trình xử lý sự cố
-
Quy trình sao lưu & khôi phục
-
Quy trình đánh giá rủi ro
-
Quy trình quản lý tài sản, nhà cung cấp |
| 📂 Tài liệu tổng quan | - Bối cảnh doanh nghiệp -
Phạm vi áp dụng ISMS
-
Danh sách bên liên quan
-
Ma trận rủi ro & kiểm soát (Risk Assessment + SoA) |
| 🗂 Bằng chứng khác | - Danh sách kiểm soát theo Annex A -
Kế hoạch triển khai
-
Lịch đào tạo / họp |
✅ Mục tiêu: chứng minh doanh nghiệp hiểu và xây dựng được hệ thống ISO 27001 cơ bản
✅ 2. Hồ sơ cần chuẩn bị cho Stage 2 (Đánh giá vận hành thực tế)
| Nhóm | Hồ sơ & bằng chứng vận hành |
|---|---|
| 📑 Nhật ký hệ thống | - Log truy cập hệ thống |
-
Log backup
-
Log thay đổi / cập nhật hệ thống |
| 🧪 Đào tạo & nhận thức | - Tài liệu đào tạo -
Biên bản điểm danh
-
Phiếu khảo sát sau đào tạo |
| 👩💼 Nhân sự | - Quyền truy cập từng nhân viên -
Quyết định phân quyền
-
Hợp đồng NDA |
| 🔐 Phân quyền & bảo mật | - Cấu hình hệ thống phân quyền -
Cấu hình firewall / antivirus / DLP nếu có
-
Chụp màn hình cấu hình đã áp dụng |
| 📝 Báo cáo nội bộ | - Báo cáo đánh giá nội bộ -
Báo cáo khắc phục / hành động khắc phục (CAPA)
-
Biên bản họp xem xét lãnh đạo |
| 🗂 Lưu trữ chứng từ | - Lưu trữ tất cả bằng chứng theo hệ thống mã hóa / folder rõ ràng -
Gán nhãn từng tài liệu (A.5.1.1, A.8.1.2…) |
✅ Mục tiêu: chứng minh hệ thống đang vận hành thực tế, có người phụ trách, và có khả năng cải tiến
📦 3. Gợi ý cách tổ chức thư mục hồ sơ
➡️ Mỗi thư mục nên đặt mã hiệu tài liệu rõ ràng:CYB-POL-IS-001 – Chính sách ISMSCYB-PRO-ACC-002 – Quy trình phân quyền truy cập
📌 4. Những lỗi thường khiến audit bị trả hồ sơ
| Lỗi | Khắc phục |
|---|---|
| Thiếu hồ sơ đánh giá rủi ro & SoA | Xây dựng ma trận & giải trình chọn/loại bỏ điều khoản |
| Hồ sơ không được cập nhật trong 3–6 tháng | Cập nhật trước audit ít nhất 1 tháng |
| Không có bằng chứng vận hành (log, phân quyền) | Ghi log, chụp cấu hình, backup nhật ký |
| Không đào tạo nhân viên | Tổ chức đào tạo nhanh + biên bản điểm danh |
| Không có đánh giá nội bộ & xem xét lãnh đạo | Bổ sung báo cáo nội bộ + họp lãnh đạo gấp |
📥 Tải checklist đầy đủ & mẫu hồ sơ ISO 27001
Cyber IT Security đã chuẩn hóa file checklist Excel và mẫu hồ sơ Word/PDF theo từng mục ISO 27001:2022.
👉 Tải Checklist ISO 27001 Full
👉 Tải Bộ Hồ Sơ Mẫu ISO 27001 (Annex A)
💼 Dịch vụ hỗ trợ chuẩn bị hồ sơ audit từ Cyber IT Security
-
✅ Rà soát hồ sơ trước khi mời tổ chức chứng nhận
-
✅ Kiểm tra bằng chứng vận hành & log hệ thống
-
✅ Đào tạo gấp / bổ sung thiếu sót hồ sơ
-
✅ Hỗ trợ phản hồi khi bị audit yêu cầu chỉnh sửa
📞 Liên hệ nhận kiểm tra hồ sơ miễn phí
📄 Xem gói dịch vụ ISO 27001 trọn gói