Nghiên cứu giá trị của mô hình hệ thống quản lý tích hợp an toàn thông tin – chất lượng trong thời kỳ chuyển đổi số

Người viết: Trương Vân - Ngày viết: Thứ Tư, Tháng Bảy 31, 2024 | 16:42 - Lượt xem: 108

  1. Tổng quan

Trong thời kỳ chuyển đổi số một cách mạnh mẽ, cơ sở dữ liệu, thông tin, quá trình vận hành của toàn bộ một doanh nghiệp bắt đầu được chuyển đổi sang các hình thức quản lý và lưu trữ số. Đây là cuộc cách mạng trong việc đẩy nhanh sự phát triển của doanh nghiệp trong thời kỳ 4.0. Tuy nhiên, đi kèm với cơ hội là thách thức, rủi ro mất an toàn thông tin khiến hàng loạt doanh nghiệp lớn nhỏ lao đao. Điền hình như chuỗi sự kiện tấn công mạng ransomware đã xảy ra, nhiều doanh nghiệp lớn trên Thế giới và Việt Nam đều là nạn nhân của việc tấn công mạng như Colonial Pipeline (2021), Costa Rica (2022), Dịch vụ Y tế quốc gia Vương quốc Anh (2017), VNdirect (2024)… Các sự việc này đều gây tê liệt hệ thống doanh nghiệp trong một khoảng thời gian, tổn thất lớn về tiền bạc…

Đồng thời, việc doanh nghiệp có thể kết hợp một cách tối ưu giữa vẫn đề quản lý chất lượng và an toàn thông tin cho quá trình chuyển đổi số là bài toán được đặt ra. Doanh nghiệp cần phải chuẩn bị sẵn sàng và xác định trước các cách thức quản lý kiểm soát chặt chẽ các rủi ro có thể xảy ra trước khi bước vào giai đoạn chuyển đổi số. Do vậy, mô hình tích hợp hệ thống quản lý theo các chuẩn mực đã có như tiêu chuẩn ISO để tạo được mô hình hệ thống quản lý toàn vẹn, thống nhất, tối ưu là một trong những phương án có thể giúp doanh nghiệp xử lý bài toàn rủi ro, thách thức này.

Hoạt động nghiên cứu xây dựng mô hình tích hợp Hệ thống quản lý an toàn thông tin và chất lượng theo ISO/IEC 27001:2013, ISO 9001:2015 được thực hiện trong khuôn khổ nhiệm vụ: “Triển khai áp dụng Hệ thống quản lý an toàn thông tin ISO/IEC 27001:2013 tích hợp với Hệ thống quản lý chất lượng ISO 9001:2015 cho các doanh nghiệp Việt Nam trong quá trình chuyển đổi số.”-03.3/NSCL-2022, được chủ trì bởi Công ty TNHH Tư vấn quản lý và Phát triển doanh nghiệp Á Châu (AHEAD).

  1. Nội dung, Phương pháp

Nội dung thực hiện nghiên cứu được Công ty TNHH Tư vấn quản lý và Phát triển doanh nghiệp Á Châu áp dụng cho 20 doanh nghiệp trên toàn quốc như sau:

  • Thực hiện khảo sát thực tế tại doanh nghiệp, dựa trên các phương pháp quan sát, phỏng vấn nhân sự để đánh giá mức độ đáp ứng của doanh nghiệp so với yêu cầu tiêu chuẩn trước khi triển khai dự án.
  • Đào tạo nâng cao nhận thức, cách thức thiết lập, áp dụng hệ thống quản lý tích hợp ISO 9001:2015 và ISO/IEC 27001:2013
  • Đánh giá rủi ro an toàn thông tin, tuyên bố biện pháp kiểm soát SOA;
  • Đưa ra kế hoạch, phương án xử lý rủi ro
  • Hướng dẫn thiết lập hệ thống quản lý tích hợp thông qua thiết lập các quá trình bằng các tài liệu, quy trình, hướng dẫn liên quan. Sử dụng phương pháp chuyên gia: nghiên cứu tình huống, phân tích đặc thù ngành để xây dựng phương án áp dụng mô hình phù hợp
  • Áp dụng các tài liệu, quy trình, và đánh giá hiệu quả áp dụng thông qua các chỉ số: tỉ lệ cải thiện các rủi ro an toàn thông tin, tăng trưởng doanh thu, giảm chi phí lãng phí (sản phẩm lỗi, chi phí vận hành, nhân sự, nguyên vật liệu thừa…), giảm tỷ lệ khách hàng phàn nàn, mức độ đáp ứng yêu cầu luật định…
  • Sử dụng các phương pháp phân tích kỹ thuật đánh giá các số liệu và đưa ra mức hiệu quả.
  1. Kết quả nghiên cứu

Kết quả lựa chọn doanh nghiệp

Quá trình nghiên cứu, để đảm bảo đánh giá được hiệu quả áp dụng mô hình tại nhiều loại hình doanh nghiệp khác nhau, AHEAD lựa chọn các doanh nghiệp đa dạng từ các ngành nghề: phát triển phần mềm; giải pháp an ninh công nghệ thông tin; dịch vụ quảng cáo tiếp thị; logistic; vận tải; các doanh nghiệp sản xuất như mỹ phẩm, gạch men, ván sàn… Trong số đó, 10 doanh nghiệp được lựa chọn thuộc quy mô vừa và lớn. Mục đích của việc lựa chọn có tính đến quy mô doanh nghiệp để đánh giá mức độ rủi ro an toàn thông tin ở từng quy mô và khả năng đầu tư cho việc áp dụng biện pháp kỹ thuật sẽ ảnh hưởng như thế nào tới thành công của mô hình.

Sự phân bố của các doanh nghiệp được lựa chọn: 10 doanh nghiệp miền Bắc, 03 doanh nghiệp miền Trung và 07 doanh nghiệp miền Nam. Việc phân chia doanh nghiệp theo các khu vực giúp kết quả nghiên cứu mang tính đại diện cao, đánh giá và tối ưu mô hình áp dụng theo các bối cảnh cụ thể của từng doanh nghiệp tại từng khu vực.

Trong tổng số 20 doanh nghiệp được tham gia có 14 doanh nghiệp chưa áp dụng hai HTQL là 06 doanh nghiệp đã áp dụng một trong hai tiêu chuẩn. 

Đánh giá lợi thế và khó khăn của các doanh nghiệp áp dụng mô hình:

Doanh nghiệp thuộc ngành phát triển phần mềm; giải pháp kỹ thuật an ninh; logistic… có lợi thế lớn nhất liên quan tới trình độ chuyên môn của nhân sự về công nghệ thông tin, an toàn thông tin; biện pháp kỹ thuật có sẵn hoặc ứng dụng nhạy bén từ cơ sở dữ liệu ngành giúp ứng dụng tốt 1 số kỹ thuật kiểm soát an toàn thông tin, giảm được 1 số lượng lớn rủi ro; có sự hiểu biết tốt về yêu cầu pháp luật liên quan tới ngành, an toàn thông tin. Tuy vậy, với đặc thù doanh nghiệp phần mềm, giải pháp thường có trụ sở tại các tòa nhà, các hoạt động kiểm soát an ninh vật lý phụ thuộc nhiều vào khả năng an ninh của tòa nhà. Đồng thời, diện tích văn phòng của các doanh nghiệp không quá lớn để thực hiện các giải pháp phân chia cấp độ an ninh từng khu vực và thiết lập kiểm soát chặt chẽ.

Doanh nghiệp thuộc ngành sản xuất: Đối với các doanh nghiệp quy mô lớn, các sản phẩm yêu cầu xuất khẩu tới các thị trường kiểm soát an ninh chặt chẽ như Mỹ, châu Âu, có lợi thế rõ rệt từ nền tảng có sẵn trong quá trình đáp ứng yêu cầu đối tác từ trước đó. Các doanh nghiệp nhỏ gặp nhiều khó khăn trong việc ứng dụng biện pháp kỹ thuật và chuyên môn về an toàn thông tin để phân tích rủi ro, nắm bắt các lỗ hổng kỹ thuật trong hoạt động quản lý an toàn thông tin.

Đánh giá Kết quả, hiệu quả của dự án áp dụng tích hợp Hệ thống quản lý chất lượng – an toàn thông tin trong thời kỳ chuyển đổi số

Sau quá trình, tư vấn hướng dẫn áp dụng của AHEAD cho các doanh nghiệp cho việc tích hợp hai hệ thống quản lý ISO 9001 và ISO/IEC 27001, 100% các doanh nghiệp đạt được chứng nhận đến từ các đơn vị chứng nhận uy tín như DNV, Quacert, ISSQ…

Sau khi áp dụng tích hợp hai HTQL, các doanh nghiệp đều đã thu được những hiệu quả nhất định tương ứng với loại hình hoạt động của doanh nghiệp. Tiêu biểu có thể kể đến như: Xây dựng thành công biện pháp kiểm soát rủi ro về ATTT; tỉ lệ cải thiện nhận thức về an toàn thông tin, các rủi ro an toàn thông tin trong tổ chức trong khoảng 80% -90%. Nhờ việc tích hợp HTQL, công ty đã xây dựng thành công một hệ thống văn bản, giảm bớt sự cồng kềnh, chồng chéo của hệ thống, giảm bớt việc lưu hồ sơ văn bản giấy, tăng hiệu quả quản lý bằng cơ sở dữ liệu…đảm bảo chất lượng dịch vụ cung cấp, an toàn, bảo mật thông tin, cụ thể: tỉ lệ tài liệu được tích hợp xấp xỉ 20%. Trong tổng số 20 doanh nghiệp đăng ký tham gia đã có 16 doanh nghiệp tăng doanh thu sau khi áp dụng thành công tích hợp hai HTQL, tiêu biểu có thể kể đến như: Công ty TNHH PIMA tăng 20%, công ty CP TVT Group, công ty TNHH Phần mềm Bắc Hà, công ty CP AMIT Group đều tăng 17%. Ngoài ra, chỉ số nhân sự được đào tạo về hai hệ thống quản lý tại 20 doanh nghiệp đều từ 98% trở lên.

Một số cải thiện liên quan tới các chỉ số an toàn thông tin như: thời gian khắc phục/ khôi phục hoạt động kinh doanh khi gặp sự cố (mất điện đột ngột, virus xâm nhập, sự cố đường truyền) giảm từ 70.01%-80%; tỉ lệ cải thiện giảm các rủi ro cao xấp xỉ 15%….

  1. Kết luận và kiến nghị

Giá trị của việc áp dụng mô hình tích hợp hệ thống quản lý chất lượng – an toàn thông tin theo 02 tiêu chuẩn ISO 9001:2015 và ISO/IEC 27001:2013 đem lại sự cải thiện lớn và là tiền đề vững chắc cho doanh nghiệp chuẩn bị hành trang sẵn sàng cho quá trình chuyển đổi số khốc liệt.

Việc tích hợp thành công 02 tiêu chuẩn ISO 9001:2015 và ISO/IEC 27001:2013 không chỉ giúp nâng cao chất lượng dịch vụ cung cấp và đảm bảo tính toàn vẹn, chính xác của thông tin mà còn tạo cơ hội cho doanh nghiệp thực hiện các dự án đầu tư mới. Bên cạnh đó, ngoài việc đảm bảo chất lượng sản phẩm đến tay người tiêu dùng, tổ chức còn đảm bảo an ninh thông tin, các thông tin được bảo mật theo hệ thống quản lý, phân quyền và giám sát chặt chẽ, góp phần cho công cuộc phát triển bền vững.

Từ các kết quả nghiên cứu và thực tế áp dụng tại các doanh nghiệp, chúng tôi đưa ra các kiến nghị cải tiến dành cho doanh nghiệp:

  • Vấn đề duy trì áp dụng hệ thống quản lý an toàn thông tin là một bài toán khó khăn cho nhiều doanh nghiệp. Để tối ưu hóa hiệu quả, tăng khả năng duy trì, cần có các nhân sự chuyên môn công nghệ thông tin, nắm vững kỹ thuật kiểm soát rủi ro an toàn thông tin cũng như cung cấp nguồn lực về giải pháp kỹ thuật một cách đẩy đủ và phù hợp;
  • Sự thay đổi, biến hóa không ngừng của các hình thức tấn công mạng, tấn công hệ thống an ninh thông tin đòi hỏi doanh nghiệp phải có các kênh tiếp cận, tình báo về vấn đề, sự kiện an toàn thông tin xảy ra trong ngành để có sự cập nhật và và chuẩn bị sẵn sàng ngăn chặn các lỗ hổng có thể xâm nhập;
  • Cập nhật liên tục về yêu cầu của tiêu chuẩn và pháp luật liên quan tới an toàn thông tin;
  • Đưa yếu tố an toàn thông tin như một trong những giá trị mục tiêu cho việc đạt được chất lượng, thỏa mãn khách hàng.