HQC Training Consultancy

KẾ HOẠCH ĐÀO TẠO

TRIỂN KHAI ISO 27017 & 27018
Rev: 02 Date: 30.03.2021
Chuyên gia:
NQA.P.27017 - Lương Trung Thành (CISA, CCSP, LA 27001)
- Nguyễn Đăng Quang (CISA, LA 27001)

Thời gian làm việc

STT Nội dung kế hoạch (bản tóm tắt) Ghi chú
dự kiến
I Khảo sát và xác định phạm vi công việc
1 Khảo sát hiện trạng và điều kiện tiên quyết của tiêu chuẩn 3
1.1 Phạm vi và môi trường đảm bảo tiêu chuẩn: 1
Nếu chưa thỏa mãn điều kiện này thì cần phải thực hiện
a. Phạm vi dịch vụ/sản phẩm nằm trong tiêu chuẩn ISO 27001 (**)
ISO 27001 song song với ISO 27017, 27018
1.2 Xác định khu vực Data Center phục vụ cho phạm vi chứng nhận của sản phẩm/dịch vụ Cloud 2
Nếu thuê Data Center thì lưu ý các yêu cầu cho việc
a. Khu vực Data Center (vật lý và logic) đảm bảo vận hành và bảo mật của bên cung cấp dịch
vụ

2 Thống nhất phạm vi cho ISO 27017 & ISO 27018 1

II Hoạt động đào tạo và hỗ trợ triển khai ISO 27017 - ISO 27018
1 Hướng dẫn và cập nhật các điểm mới, các kiểm soát bổ sung trên Cloud và các điểm lưu ý: 3

2 Rà soát và lập kế hoạch hành động đáp ứng ISO 27017 & ISO 27018 1,5

Thực hiện việc rà soát, đánh giá bên thứ 3 - nhà cung cấp dịch vụ cloud - nếu có và/hoặc
3 các yêu cầu của khách hàng (mở rộng, thu hẹp, điều chỉnh, tính phí và việc điều chỉnh/lưu 2,5
trữ thông tin cá nhân)

4 Thực hiện đánh giá và đo lường - các hoạt động phục vụ cho đánh giá 2

III Chuẩn bị cho đánh giá 2

(Tương tự như của ISO 27001 nhưng chi tiết về kỹ thuật)

TỔNG THỜI GIAN 15 Khoảng thời gian triển khai 03 - 04 tháng

Ghi chú (*): là điều kiện bắt buộc, nếu không đáp ứng sẽ phải thực hiện trước sau đó mới thực hiện được ISO 27017 - ISO 27018
(**): đáp ứng điều kiện (*) nhưng phạm vi của Cloud không nằm trong phạm vi mô tả của ISO 27001 thì cần điều chỉnh để
phù hợp hoặc làm song song ISO 27001 với ISO 27017 - ISO 27018
ISO 27017 và ISO 27018 phần lớn dựa trên nền tảng yêu cầu sẵn có trong Annex A của ISO 27001; được bổ sung một số
các yêu cầu đặc thù cho nền tảng Cloud

https://hqc-company.com Ver02