Hà Nội – 06/06/2025, iBPO tiếp tục triển khai buổi đào tạo thứ 3 trong chuỗi chương trình ISO/IEC 27001:2022, tập trung chuyên sâu vào Điều khoản 7 – Hỗ trợ và Điều khoản 8 – Điều hành, đặc biệt đi sâu vào Quy trình đánh giá và xử lý rủi ro – quy trình được xem là “kinh điển” và cốt lõi trong hệ thống quản lý an toàn thông tin theo chuẩn ISO/IEC 27001:2022.

Buổi học do Giảng viên Vũ Thị Thanh Xuân – Trưởng nhóm tư vấn iBPO – trực tiếp hướng dẫn. Trong phần trình bày, giảng viên không chỉ phân tích nội dung từng điều khoản mà còn giúp học viên hiểu rõ:

  • Các bước xác định, đánh giá và xử lý rủi ro thông tin;
  • Cách thiết lập tiêu chí chấp nhận rủi ro;
  • Phân biệt giữa kiểm soát theo quy định bắt buộc và lựa chọn kiểm soát phù hợp thực tế doanh nghiệp.

Đây là quy trình nền tảng, ảnh hưởng đến toàn bộ hoạt động vận hành và kiểm soát của hệ thống ISMS.

Giảng viên Vũ Thị Thanh Xuân hướng dẫn điều khoản 7,8 trong buổi đào tạo trực tuyến

Buổi học diễn ra trong không khí sôi nổi, với nhiều câu hỏi từ học viên xoay quanh các tình huống thực tế trong quá trình xây dựng và áp dụng hệ thống quản lý an toàn thông tin. Một số câu hỏi tiêu biểu và phần giải đáp chi tiết từ giảng viên như sau:

  • Khi chia sẻ thông tin cho đối tác bên ngoài, cần chính sách nào để đảm bảo an toàn thông tin?
    Giảng viên nhấn mạnh: Doanh nghiệp cần xây dựng chính sách kiểm soát chia sẻ thông tin, bao gồm quy định rõ quy trình phê duyệt, phân loại thông tin, cách thức chia sẻ, và trách nhiệm bảo mật từ phía bên nhận. Đồng thời, nên có hợp đồng hoặc thỏa thuận bảo mật (NDA) cụ thể để đảm bảo kiểm soát thông tin sau khi rời khỏi doanh nghiệp.
  • Việc đánh giá năng lực của chuyên gia ATTT thuê ngoài có được xem là tuân thủ ISO không?
    Theo giảng viên, việc thuê ngoài được phép, nhưng doanh nghiệp phải chứng minh đã thẩm định đầy đủ năng lực, kiểm soát và theo dõi quá trình thực hiện, lưu giữ hồ sơ đánh giá. Trách nhiệm cuối cùng vẫn thuộc về doanh nghiệp – không được phép “khoán trắng” khi áp dụng ISO 27001.
  • Điều khoản 7.5 yêu cầu kiểm soát tài liệu nội bộ hay toàn bộ hồ sơ doanh nghiệp?
    Câu trả lời được làm rõ: Điều khoản 7.5 yêu cầu kiểm soát các thông tin dạng văn bản phục vụ hệ thống ISMS, bao gồm: chính sách ATTT, quy trình xử lý rủi ro, kế hoạch hành động, báo cáo đánh giá… Không bắt buộc kiểm soát toàn bộ hồ sơ doanh nghiệp mà chỉ những tài liệu ảnh hưởng đến việc duy trì và cải tiến hệ thống an toàn thông tin.

Thông qua phần giải đáp chi tiết, học viên đã có cái nhìn thực tế hơn và tự tin hơn trong việc vận hành hệ thống ISO/IEC 27001:2022 tại đơn vị của mình.

Khóa học ISO/IEC 27001:2022 do iBPO tổ chức bao gồm 6 buổi chuyên sâu, giúp học viên từng bước xây dựng và triển khai hệ thống ISMS bài bản:

  • Buổi 1: Tổng quan tiêu chuẩn & An toàn thông tin doanh nghiệp.
  • Buổi 2: Xác định bối cảnh tổ chức, phân tích rủi ro và lập kế hoạch kiểm soát (Điều khoản 4, 5, 6).
  • Buổi 3: Điều khoản 7-8.
  • Buổi 4: Điều khoản 9-10.
  • Buổi 5: Phụ lục A và cách kiểm soát.
  • Buổi 6: Phụ lục A, cấp chứng nhận và duy trì.

Với phương pháp đào tạo bám sát tình huống và dễ hiểu, iBPO không chỉ trang bị kiến thức lý thuyết mà còn mang đến góc nhìn thực tiễn, ứng dụng được ngay vào công việc. Các buổi đào tạo là dịp để học viên cùng chia sẻ vướng mắc, học hỏi kinh nghiệm và đồng hành trong hành trình triển khai hệ thống quản lý an toàn thông tin hiệu quả, bài bản.

Công ty cổ phần BPO – Nâng tầm quản trị doanh nghiệp 

Tham khảo các bài viết liên quan: