# 7. Đánh giá và cải thiện hiệu xuất (Clauses 9 and 10)
## Clause 9.1: Monitoring, Measurement, Analysis, and Evaluation
> Giám sát, đo lường, phân tích và đánh giá
* Những gì cần được giám sát và đo lường
* Những phương pháp nào sẽ được sử dụng
* Khi nào việc giám sát và đo lường sẽ được thực hiện
* Ai sẽ thực hiện việc giám sát và đo lường
* Khi nào kết quả sẽ được phân tích và đánh giá
* Ai sẽ thực hiện việc phân tích và đánh giá
Examples of What can be Monitored and Measured
* Tỷ lệ users được đào tạo nâng cao nhận thức về bảo mật
* Số lỗ hổng bảo mật nghiêm trọng được giải quyết trong vòng 30 ngày kể từ ngày xác định
* Number of information security events chuyển thành security incidents (sự cố an ninh)
* Hoàn thành các mục tiêu an toàn thông tin
* Number of risk đã được xử lý theo kế hoạch xử lý rủi ro của bạn
* Và còn nhiều cái khác.
Select Your Monitoring and Measurement Methods
* Đối với mỗi số liệu bạn chọn để theo dõi, đo lường, phân tích và đánh giá bạn phải chọn phương pháp sẽ được sử dụng
* Tại đây bạn có thể chọn bất kỳ phương pháp nào bạn muốn, cho dù nó là manual (thủ công), mechanical (máy móc), sofrware-based (dựa trên phần mềm) hoặc một số cách khác.
* Dù tổ chức của bạn chọn phương pháp nào thì họ cần tạo ra kết quả có thể tái tạo (tái sản xuất) và so sánh được coi là hợp lệ.
Analyze Results to Improve Your ISMS (phân tích kết quả để cải thiện ISMS của bạn)
* Ví dụ: nếu phép đo của bạn tỷ lệ phần trăm số user đã được đào tạo nâng cao nhận thức về bảo mật hiển thị kết quả đang giảm dần thì tổ chức của bạn nên thực hiện thay đổi để cải thiện chương trình đào tạo nâng cao nhận thức về bảo mật của tổ chức mình.
* Nếu bạn muốn chắc chắn rằng bạn đang giám sát và đo lường đúng, bạn có thể chọn tiêu chuẩn ISO/IEC 27004 Giám sát, đo lường, phân tích và đánh giá
Demonstrate Compliance with Clause 9.1
* Tài liệu ghi lại cách tổ chức của bạn giám sát, đo lường, phân tích, và đánh giá các biện pháp kiểm soát bảo mật liên quan đến ISMS của tổ chức
* Tài liệu ghi lại cách tổ chức của bạn sử dụng kết quả của nó phân tích để cải thiện hiệu quả của ISMS
## Clause 9.2: Internal Audit
> Kiểm toán nội bộ
Confirm that your ISMS (xác nhận):
* Đang được triển khai và duy trì hiệu quả
* Phù hợp với yêu cầu riêng của tổ chức bạn đối với ISMS
* Tuân thủ các yêu cầu của ISO 27001
Conduct Successful and Compliant Audit (Tiến hành kiểm toán thành công và kiểm toán tuân thủ)
* Lập kế hoạch, thiết lập, thực hiện, và duy trì chương trình đánh giá
* Xác định các tiêu chí kiểm toán trong phạm vi cho mỗi lần kiểm toán
* Lựa chọn kiểm toán viên và tiến hành kiểm toán một cách khách quan và vô tư
* Báo cáo kết quả kiểm toán cho cấp quản lý có liên quan
* Lưu giữ tài liệu làm bằng chứng về chương trình đánh giá và kết quả đánh giá.
Audit Program: Required Specifications (Chương trình kiểm toán: thông số kỹ thuật bắt buộc)
* Tần suất kiểm toán được tiến hành như thế nào
* các phương pháp được sử dụng để tiến hành kiểm toán
* trách nhiệm liên quan đến kiểm toán
* yêu cầu lập kế hoạch kiểm toán
* Yêu cầu báo cáo
Select Auditors Familiar with ISO 27001
* Chọn những người đã quen với ISO 27001
* cách thực hiện đúng các biện pháp kiểm soát bảo mật ISMS
Internal Audits Must Be Objective (kiểm toán nội bộ phải khách quan)
* Kiểm toán không thể liên quan đến hoạt động được kiểm toán
* Không được phép tự kiểm toán
* Bộ phận kiểm toán nội bộ có thể có thể làm việc đó hoặc kiểm toán viên bên thứ 3
Demonstrate Compliance with clause 9.2
* Thiết lập và thực hiện chương trình kiểm toán
* Lựa chọn kiểm toán viên khách quan và không thiên vị
* Tiến hành kiểm toán nội bộ (thường xuyên như hằng năm chẳng hạn)
* Tài liệu ghi lại chương trình kiểm toán nội bộ của bạn (nó tuần thủ ISO 27001 như thế nào)
* Tạo báo cáo kiểm toán bằng văn bản (dựa trên kết quả kiểm toán nội bộ)
* Cung cấp báo cáo kiểm toán cho quản lý
* Khắc phục sự không phù hợp (được phát hiện trong quá trình kiểm toán nội bộ)
* Lưu giữ báo cáo kiểm toán làm bằng chứng
## Clause 9.3: Management Review
> Xem xét của lãnh đạo
Management reviews phải bao gồm:
* Tình trạng sự không phù hợp và hành động khắc phục
* Kết quả từ việc đo lượng hiệu quả của các biện pháp kiểm soát an ninh
* Kết quả kiểm toán và review ISMS
* Thực hiện các mục tiêu an toàn thông tin
Additional Management Review Updates (bổ sung cập nhật xem xét của lãnh đạo)
* Tình trạng các hành động từ các cuộc xem xét của lãnh đạo trước đó.
* Những thay đổi về các vấn đề bên ngoài và nội bộ có liên quan đến ISMS
* Phản hồi từ các bên liên quan, bao gồm cả lãnh đạo điều hành
* Kết quả đánh gái rủi ro và tình trạng kế hoạch xử lý rủi ro
* Khuyến nghị để cải tiến liên tục
Capture Management Review Results and Evidence (Đầu ra hay kết quả của việc xem xét của lãnh đạo)
* Phải bao gồm các cơ hội để cải thiện ISMS và bất kỳ nhu cầu thay đổi nào đối với ISMS
* Tổ chức phải lưu giữ bằng chứng của các cuộc management reviews, bao gồm cả kết quả của các cuộc xem xét
* Nếu việc xem xét của lãnh đạo được tổ chức trong cuộc họp, sau đó có thể sử dụng biên bản cuộc họp làm bằng chứng cho thấy việc xem xét đã được tiến hành
Demonstrate Compliance with Clause 9.3
* Lên lịch và tiến hành đánh giá ISMS thường xuyên của lãnh đạo theo yêu cầu của điều khoản này.
* Tạo bằng chứng dạng văn bản cho thấy việc xem xét của lãnh đạo đã được tiến hành, bao gồm cả kết quả của việc xem xét.
## Clause 10: Improvement
What is a Nonconformity? (sự không phù hợp là gì?)
* Không triển khai và duy trì một hoặc nhiều yêu cầu ISMS
* Tình huống có thể gây nghi ngờ đáng kể rằng ISMS của bạn có thể đáp ứng chính sách bảo mật thông tin và mục tiêu bảo mật của tổ chức của bạn không?
* Ví dụ: Nếu tổ chức của bạn không có quy trình quản lý sự cố bằng văn bản, đây là tài liệu được yêu cầu bởi ISO 27001
* Nói cách khác là tổ chức của bạn không tuân thủ ISO 27001
Ways Nonconformities Can Be Found (Những cách có thể phát hiện sự không phù hợp)
* Trong quá trình kiểm toán nội bộ
* Là kết quả của cuộc điều tra sau một sự cố an ninh
* Trong các hoạt động hằng ngày
Process to Correct Nonconformities (quy trình khắc phục sự không phù hợp)
* Trong 10.1 bao gồm quy trình để khắc phục sự không phù hợp
* React (phản ứng) với sự không phù hợp và dựa trên mức độ nghiêm trọng của nó, kiểm soát nó, khắc phục nó, và giải quyết mọi hậu quả
* Evaluate (đánh giá) nguyên nhân gốc rễ của sự không phù hợp để ngăn chặn nó xảy rá lần nữa
* Implement (thực hiện) bất kỳ hành động khắc phục cần thiết
* Review (xem xét) tính hiệu quả của bất kỳ hành động khắc phục nào được thực hiện
* Change (thay đổi) ISMS của tổ chức bạn nếu cần thiết.
Kết quả của việc khắc phục sự không phù hợp để giải quyết nó, và đây cũng là tài liệu bắt buộc theo yêu cầu của ISO 27001
Process to Correct Nonconformities
## Clause 10.2: Continual Improvement
Demonstrate Compliance with Clause 10
* Xác định và thực hiện phương pháp giải quyết sự không phù hợp
* Tài liệu ghi lại mọi sự không phù hợp được phát hiện
* Tài liệu ghi lại các hành động khắc phục được thực hiện để giải quyết sự không phù hợp và ngăn chặn chúng xảy ra.
* Thực hiện các bước để liên tục cải thiện ISMS của tổ chức bạn
---
# Agent Instructions: Querying This Documentation
If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.
Perform an HTTP GET request on the current page URL with the `ask` query parameter:
```
GET https://viettaliii.gitbook.io/home/role/information-security-specialist/iso-27001-2022/7.-danh-gia-va-cai-thien-hieu-xuat-clauses-9-and-10.md?ask=
```
The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.
Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.