ISO 27701 Audit Checklist PDF: Chi tiết các câu hỏi đánh giá PIMS

Triển khai ISO 27701 thành công đòi hỏi sự kiểm soát chặt chẽ hàng trăm yêu cầu khác nhau. ISO 27701 Checklist chính là tài liệu thiết yếu giúp doanh nghiệp đảm bảo không bỏ sót bất kỳ điểm nào trong quá trình xây dựng hệ thống quản lý thông tin riêng tư. Bài viết này của Intercert Việt Nam cung cấp danh sáchcác câu hỏi kiểm tra theo từng điều khoản của tiêu chuẩn ISO 27701, giúp doanh nghiệp tự đánh giá mức độ tuân thủ và chuẩn bị tốt nhất cho chứng nhận.

ISO 27701 Audit Checklist Điều 4: Bối cảnh tổ chức

1. Hiểu về tổ chức và bối cảnh (4.1)

• Tổ chức có xác định các vấn đề bên ngoài liên quan đến mục đích và ảnh hưởng đến PIMS không?
• Tổ chức có xác định các vấn đề nội bộ liên quan đến mục đích và ảnh hưởng đến PIMS không?
• Các vấn đề về pháp lý, công nghệ, văn hóa tổ chức có được xem xét không?
• Thông tin về bối cảnh có được lập thành văn bản và cập nhật định kỳ không?

2. Nhu cầu và kỳ vọng các bên quan tâm (4.2)

• Tổ chức có xác định được các bên quan tâm liên quan đến PIMS không?
• Các bên quan tâm bao gồm khách hàng, nhân viên, đối tác, cơ quan quản lý?
• Yêu cầu của từng bên quan tâm về quyền riêng tư có được xác định rõ ràng không?
• Yêu cầu này có được đánh giá và cập nhật thường xuyên không?

3. Xác định phạm vi PIMS (4.3)

• Phạm vi PIMS có được xác định và lập thành văn bản không?
• Phạm vi bao gồm các đơn vị tổ chức, địa điểm địa lý nào?
• Các quy trình nghiệp vụ và loại dữ liệu nào nằm trong phạm vi?
• Có bất kỳ loại trừ nào và được giải thích hợp lý không?
• Phạm vi có được truyền thông rõ ràng trong tổ chức không?

4. Hệ thống quản lý thông tin riêng tư (4.4)

• PIMS có được thiết lập với cấu trúc rõ ràng không?
• Các quy trình, chính sách và thủ tục cần thiết có sẵn không?
• PIMS có tích hợp với các hệ thống quản lý khác không?
• Tài liệu mô tả tổng thể PIMS có đầy đủ không?

ISO 27701 Checklist Điều 5: Lãnh đạo

1. Lãnh đạo và cam kết (5.1)

• Lãnh đạo cấp cao có thể hiện cam kết với PIMS không?
• Cam kết được thể hiện qua biên bản họp ban lãnh đạo?
• Ngân sách cho PIMS có được phê duyệt không?
• Lãnh đạo có tham gia đánh giá và chỉ đạo cải tiến không?
• PIMS có được tích hợp vào quy trình nghiệp vụ không?

2. Chính sách quyền riêng tư (5.2)

• Chính sách quyền riêng tư cấp cao có được thiết lập không?
• Chính sách phù hợp với mục đích tổ chức không?
• Chính sách cung cấp khuôn khổ cho mục tiêu quyền riêng tư không?
• Có cam kết tuân thủ yêu cầu pháp lý trong chính sách không?
• Có cam kết cải tiến liên tục trong chính sách không?
• Chính sách được lập thành văn bản và phê duyệt bởi lãnh đạo?
• Chính sách được truyền thông trong toàn tổ chức không?
• Chính sách có sẵn cho các bên quan tâm khi cần không?

3. Vai trò, trách nhiệm và thẩm quyền (5.3)

• Người chịu trách nhiệm cao nhất về PIMS đã được chỉ định?
• Người này có quyền hạn và nguồn lực đầy đủ không?
• Vai trò người bảo vệ dữ liệu có được xác định không?
• Trách nhiệm của chủ sở hữu quy trình được mô tả rõ ràng không?
• Trách nhiệm nhân viên xử lý dữ liệu có cụ thể không?
• Thẩm quyền của từng vai trò có được quy định không?

ISO 27701 Audit Checklist Điều 6: Lập kế hoạch

1. Hành động xử lý rủi ro và cơ hội (6.1)

• Tổ chức có quy trình đánh giá rủi ro quyền riêng tư không?
• Rủi ro đối với quyền của người có dữ liệu được xác định không?
• Mức độ nghiêm trọng của rủi ro có được đánh giá không?
• Kế hoạch xử lý rủi ro có được thiết lập không?
• Cơ hội cải thiện có được xác định và kế hoạch không?

2. Mục tiêu quyền riêng tư (6.2)

• Mục tiêu quyền riêng tư có được thiết lập không?
• Mục tiêu cụ thể, có thể đo lường được không?
• Mục tiêu phù hợp với chính sách quyền riêng tư không?
• Kế hoạch hành động cho từng mục tiêu đã có chưa?
• Người chịu trách nhiệm từng mục tiêu đã rõ chưa?
• Nguồn lực cho mục tiêu đã được phân bổ chưa?
• Thời hạn hoàn thành mục tiêu đã xác định chưa?
• Tiến độ đạt mục tiêu có được giám sát không?

3. Lập kế hoạch thay đổi (6.3)

• Có quy trình lập kế hoạch cho thay đổi trong PIMS không?
• Thay đổi có được đánh giá tác động trước khi triển khai không?
• Kế hoạch triển khai thay đổi có kiểm soát rủi ro không?
• Thay đổi có được truyền thông đầy đủ không?

ISO 27701 Checklist Điều 7: Hỗ trợ

1. Nguồn lực (7.1)

• Nguồn lực cần thiết cho PIMS đã được xác định chưa?
• Con người đủ về số lượng và năng lực chưa?
• Cơ sở hạ tầng công nghệ đáp ứng yêu cầu chưa?
• Ngân sách tài chính đầy đủ cho PIMS chưa?
• Kiến thức cần thiết có sẵn trong tổ chức chưa?

2. Năng lực (7.2)

• Năng lực cần thiết cho nhân viên đã xác định chưa?
• Nhân viên có trình độ và kinh nghiệm phù hợp không?
• Chương trình đào tạo về quyền riêng tư có sẵn không?
• Hồ sơ năng lực nhân viên có được lưu trữ không?

3. Nhận thức (7.3)

• Nhân viên có nhận thức về chính sách quyền riêng tư không?
• Nhân viên hiểu vai trò của họ trong bảo vệ dữ liệu không?
• Nhân viên biết hậu quả của việc không tuân thủ không?
• Hoạt động nâng cao nhận thức được thực hiện thường xuyên không?
• Mức độ nhận thức có được đo lường định kỳ không?

4. Truyền thông (7.4)

• Các kênh truyền thông nội bộ về PIMS đã thiết lập chưa?
• Thông tin về quyền riêng tư được chia sẻ hiệu quả chưa?
• Truyền thông bên ngoài với người có dữ liệu đầy đủ chưa?
• Quy trình truyền thông với cơ quan quản lý có rõ chưa?

5. Thông tin lập thành văn bản (7.5)

• Tài liệu PIMS yêu cầu bởi tiêu chuẩn đã có đầy đủ chưa?
• Tài liệu cần thiết cho hoạt động hiệu quả có sẵn chưa?
• Kiểm soát tài liệu về tạo, cập nhật được thiết lập chưa?
• Tài liệu được lưu trữ và bảo vệ phù hợp chưa?
• Hồ sơ hoạt động được lưu giữ đúng thời hạn chưa?

ISO 27701 Audit Checklist Điều 8: Vận hành

1. Lập kế hoạch và kiểm soát hoạt động (8.1)

• Các quy trình cần thiết cho PIMS được lập kế hoạch chưa?
• Quy trình được lập thành văn bản và triển khai nhất quán chưa?
• Tiêu chí cho quy trình có được thiết lập chưa?
• Hoạt động được kiểm soát theo quy trình chưa?

2. Đánh giá rủi ro quyền riêng tư (8.2)

• Đánh giá rủi ro được thực hiện theo kế hoạch không?
• Tất cả hoạt động xử lý dữ liệu được đánh giá chưa?
• Rủi ro đối với quyền người có dữ liệu được xác định chưa?
• Mức độ nghiêm trọng rủi ro có được đánh giá chưa?
• Kết quả đánh giá có lập thành văn bản không?
• Đánh giá có được cập nhật khi có thay đổi không?

3. Xử lý rủi ro quyền riêng tư (8.3)

• Biện pháp xử lý rủi ro đã được lựa chọn chưa?
• Biện pháp phù hợp với mức độ rủi ro không?
• Kế hoạch xử lý rủi ro có được triển khai không?
• Hiệu quả biện pháp xử lý có được đánh giá không?
• Đánh giá tác động quyền riêng tư có được thực hiện không?
• Đánh giá tác động cho hoạt động xử lý mới có đầy đủ không?

ISO 27701 Checklist Điều 9: Đánh giá hiệu suất

1. Giám sát, đo lường, phân tích (9.1)

• Những gì cần giám sát đã được xác định chưa?
• Phương pháp giám sát và đo lường có phù hợp không?
• Thời điểm giám sát có được lập kế hoạch không?
• Trách nhiệm giám sát có rõ ràng không?
• Kết quả giám sát có được phân tích và đánh giá không?
• Chỉ số đo lường hiệu quả PIMS đã thiết lập chưa?

2. Kiểm toán nội bộ (9.2)

• Chương trình kiểm toán nội bộ đã được thiết lập chưa?
• Kế hoạch kiểm toán xem xét tầm quan trọng quy trình chưa?
• Kiểm toán viên có độc lập với khu vực kiểm toán không?
• Kiểm toán viên có năng lực phù hợp không?
• Tiêu chí kiểm toán có rõ ràng không?
• Phạm vi kiểm toán được xác định cụ thể không?
• Kết quả kiểm toán có báo cáo cho lãnh đạo không?
• Hồ sơ kiểm toán có được lưu trữ đầy đủ không?

3. Đánh giá của lãnh đạo (9.3)

• Lãnh đạo có thực hiện đánh giá PIMS định kỳ không?
• Tần suất đánh giá ít nhất một năm một lần không?
• Đầu vào đánh giá bao gồm kết quả kiểm toán không?
• Phản hồi từ các bên quan tâm có được xem xét không?
• Tình trạng đạt mục tiêu có trong đầu vào không?
• Kết quả giám sát và đo lường có được xem xét không?
• Các sự cố và không phù hợp có được xem xét không?
• Kết quả hành động khắc phục có trong đầu vào không?
• Rủi ro và cơ hội mới có được xem xét không?
• Đầu ra bao gồm quyết định về cải tiến không?
• Đầu ra bao gồm quyết định về thay đổi PIMS không?
• Đầu ra bao gồm quyết định về nguồn lực không?
• Kết quả đánh giá có lập thành văn bản không?

ISO 27701 Audit Checklist Điều 10: Cải tiến

1. Cải tiến liên tục (10.1)

• Tổ chức có xác định cơ hội cải thiện không?
• Hành động cải tiến có được thực hiện không?
• Hiệu quả hành động cải tiến có được đánh giá không?
• Văn hóa cải tiến liên tục có được khuyến khích không?

2. Không phù hợp và hành động khắc phục (10.2)

• Có quy trình xử lý không phù hợp không?
• Không phù hợp có được phản ứng kịp thời không?
• Nguyên nhân gốc rễ có được phân tích không?
• Hành động khắc phục có phù hợp với mức độ nghiêm trọng không?
• Không phù hợp tương tự ở nơi khác có được xem xét không?
• Hiệu quả hành động khắc phục có được đánh giá không?
• Hồ sơ không phù hợp có được lưu trữ đầy đủ không?
• Nhân viên có được khuyến khích báo cáo vấn đề không?

ISO 27701 Checklist Phụ lục A: Biện pháp kiểm soát

1. Biện pháp dành cho bên kiểm soát dữ liệu

Thu thập và xử lý dữ liệu:

• Cơ sở pháp lý cho xử lý dữ liệu đã xác định chưa?
• Cơ sở hợp pháp cho từng hoạt động xử lý có rõ không?
• Sự đồng ý được thu thập đúng cách khi cần không?
• Người có dữ liệu có thể rút lại đồng ý dễ dàng không?

Nghĩa vụ thông báo:

• Thông báo quyền riêng tư có đầy đủ thông tin không?
• Danh tính bên kiểm soát có trong thông báo không?
• Mục đích xử lý được nêu rõ ràng không?
• Loại dữ liệu thu thập có được liệt kê không?
• Thời gian lưu trữ có được thông báo không?
• Quyền của người có dữ liệu được nêu đầy đủ không?
• Việc chia sẻ với bên thứ ba có được thông báo không?
• Thông báo dễ hiểu và dễ tiếp cận không?

Quyền của người có dữ liệu:

• Có quy trình xử lý yêu cầu truy cập dữ liệu không?
• Có quy trình xử lý yêu cầu chỉnh sửa dữ liệu không?
• Có quy trình xử lý yêu cầu xóa bỏ dữ liệu không?
• Có quy trình xử lý yêu cầu hạn chế xử lý không?
• Có quy trình xử lý yêu cầu di chuyển dữ liệu không?
• Có quy trình xử lý yêu cầu phản đối xử lý không?
• Danh tính người yêu cầu được xác minh như thế nào?
• Thời hạn phản hồi yêu cầu có đáp ứng quy định không?

Bảo vệ dữ liệu:

• Dữ liệu được mã hóa khi truyền tải không?
• Dữ liệu được mã hóa khi lưu trữ không?
• Kiểm soát truy cập theo nguyên tắc tối thiểu không?
• Nhật ký hoạt động xử lý dữ liệu có được ghi không?
• Cơ chế sao lưu và phục hồi có hiệu quả không?

Ứng phó sự cố:

• Kế hoạch ứng phó vi phạm dữ liệu đã có chưa?
• Quy trình phát hiện vi phạm có hiệu quả không?
• Thời hạn thông báo vi phạm đáp ứng quy định không?
• Nội dung thông báo vi phạm có đầy đủ không?

2. Biện pháp dành cho bên xử lý dữ liệu

Hợp đồng xử lý:

• Hợp đồng xử lý với bên kiểm soát đã có chưa?
• Hợp đồng quy định rõ mục đích xử lý không?
• Hợp đồng quy định loại dữ liệu xử lý không?
• Thời hạn xử lý có trong hợp đồng không?
• Nghĩa vụ bảo mật có được quy định không?
• Quyền và nghĩa vụ mỗi bên có rõ ràng không?

Xử lý theo chỉ thị:

• Dữ liệu chỉ được xử lý theo chỉ thị bên kiểm soát không?
• Có cơ chế xác nhận chỉ thị hợp pháp không?
• Xử lý ngoài chỉ thị có được báo cáo không?

Bảo vệ và bảo mật:

• Biện pháp kỹ thuật bảo vệ dữ liệu đầy đủ không?
• Biện pháp tổ chức bảo vệ dữ liệu phù hợp không?
• Nhân viên xử lý dữ liệu có cam kết bảo mật không?
• Kiểm soát truy cập vào dữ liệu nghiêm ngặt không?

Sử dụng bên xử lý phụ:

• Có quy trình chọn bên xử lý phụ không?
• Bên kiểm soát có đồng ý với bên xử lý phụ không?
• Hợp đồng với bên xử lý phụ đầy đủ không?

Trả lại và xóa dữ liệu:

• Có quy trình trả dữ liệu cho bên kiểm soát không?
• Có quy trình xóa dữ liệu khi kết thúc hợp đồng không?
• Việc xóa có đảm bảo không phục hồi được không?
• Xác nhận xóa có được cung cấp không?

—————————————————————————————————-

Liên hệ ngay với Intercert Việt Nam qua số Hotline: 0969.555.610 hoặc Email: sales@intercertvietnam.com để được nhận ISO 27701 Audit Checklist PDF.