Hà Nội – 11/06/2025 | Buổi thứ 5 trong chuỗi đào tạo ISO/IEC 27001:2022 do iBPO tổ chức đã diễn ra thành công, với trọng tâm là phân tích Phụ lục A – tập hợp các kiểm soát cốt lõi trong Hệ thống quản lý an toàn thông tin (ISMS).

Dưới sự hướng dẫn của giảng viên Vũ Thị Thanh Xuân – ISO/IEC 27001:2022 IRCA Lead Auditor Trưởng nhóm tư vấn iBPO, buổi học đã mở đầu với việc đối chiếu Phụ lục A phiên bản 2022 và 2013, giúp học viên nhận diện sự thay đổi về cấu trúc, phạm vi và nhóm kiểm soát.

Ảnh giảng viên Thanh Xuân giảng dạy trong khóa đào tạo

1. Nội dung chính của buổi học

Đi sâu vào nhóm A.5, học viên được giải đáp nội dung các kiểm soát như:

  • A.5.1: Chính sách an toàn thông tin
  • A.5.5: Liên hệ với cơ quan chức năng
  • A.5.7: Thu thập thông tin về mối đe dọa
  • A.5.10: Việc sử dụng mạng và các tài sản liên quan khác được chấp nhận

2. Phần hỏi – đáp thực tế giữa học viên và giảng viên

Thông qua các ví dụ thực tiễn và tình huống mô phỏng, người học không chỉ hiểu bản chất kiểm soát mà còn được hướng dẫn cách xây dựng minh chứng phù hợp để phục vụ đánh giá chứng nhận.

Không khí lớp học trở nên sôi nổi khi học viên chia sẻ những vướng mắc thực tế. Một loạt câu hỏi được đặt ra, thể hiện sự quan tâm sâu sắc đến việc ứng dụng kiểm soát vào bối cảnh nội tại của từng tổ chức:

  • “Liệu quy trình hiện tại đã đủ để tuân thủ kiểm soát A.5.5 về Liên hệ với cơ quan chức năng?”
    Giảng viên Vũ Thị Thanh Xuân phân tích: Quan trọng không phải là độ dài hay độ phức tạp của quy trình, mà là việc có hướng dẫn rõ ràng, phân công đầu mối cụ thể và lưu được minh chứng đã triển khai liên hệ thực tế. Nếu doanh nghiệp đã có quy định và minh họa được bằng email, log liên hệ, biên bản làm việc… thì hoàn toàn đáp ứng yêu cầu của điều khoản A.5.5.
  • “Nếu không áp dụng email mà trao đổi bằng Zalo, điện thoại thì có đáp ứng được yêu cầu kiểm soát không?”
    Theo cô giáo Thanh Xuân, kiểm soát không quy định cứng về công cụ – điều quan trọng là tính hiệu lực và khả năng truy xuất. Nếu tổ chức giao tiếp qua Zalo, điện thoại nhưng có cơ chế lưu trữ tin nhắn, trích xuất nhật ký liên lạc hoặc ghi âm đầy đủ, thì vẫn đáp ứng yêu cầu kiểm soát ISO 27001.
  • “Làm sao đánh giá chính xác hiệu quả của kiểm soát trong điều kiện văn hóa hành chính – địa phương khác biệt?”
    ISO khuyến khích áp dụng kiểm soát phù hợp với bối cảnh. Không bắt buộc một mẫu kiểm soát cho mọi doanh nghiệp. Tổ chức cần xây dựng chỉ số đánh giá riêng như: thời gian phản hồi của cơ quan chức năng, số lần liên hệ thành công, chất lượng thông tin trao đổi… để đo hiệu quả và chứng minh tính phù hợp khi đánh giá nội bộ hoặc chứng nhận.

Phản hồi sau buổi học cho thấy phần lớn học viên đánh giá cao cách giảng viên phân tích vấn đề từ nhiều góc nhìn. Việc kết hợp giữa lý thuyết và kinh nghiệm thực tiễn giúp người học dễ dàng vận dụng vào chính doanh nghiệp mình.

3. Lộ trình chi tiết của toàn khóa học

Lộ trình đào tạo ISO/IEC 27001:2022 tại iBPO Khóa học do iBPO thiết kế gồm 6 buổi chuyên sâu, hướng đến việc giúp doanh nghiệp xây dựng và vận hành hệ thống ISMS bài bản:

  • Buổi 1: Tổng quan tiêu chuẩn & An toàn thông tin doanh nghiệp
  • Buổi 2: Xác định bối cảnh tổ chức, phân tích rủi ro và lập kế hoạch kiểm soát (Điều khoản 4, 5, 6)
  • Buổi 3: Điều khoản 7–8
  • Buổi 4: Điều khoản 9–10
  • Buổi 5: Phụ lục A và các kiểm soát điển hình
  • Buổi 6: Phụ lục A, cấp chứng nhận và duy trì hệ thống

Với phương pháp đào tạo bám sát tình huống và dễ hiểu, iBPO không chỉ trang bị kiến thức lý thuyết mà còn mang đến góc nhìn thực tiễn, ứng dụng được ngay vào công việc. Các buổi đào tạo là dịp để học viên cùng chia sẻ vướng mắc, học hỏi kinh nghiệm và đồng hành trong hành trình triển khai hệ thống quản lý an toàn thông tin hiệu quả, bài bản.

Công ty cổ phần iBPO – Nâng tầm quản trị doanh nghiệp 

Tham khảo các bài viết liên quan: