Sự phù hợp đến từ việc tích hợp hai hệ thống quản lý tiêu chuẩn ISO 9001:2015 VÀ ISO/IEC 27001:2013
Thứ Bảy, Tháng Tám 10, 2024 | 16:48
- Tổng quan
Với sự phát triển như vũ bão của công nghệ thông tin và truyền thông đòi hỏi các doanh nghiệp không chỉ chú trọng đến chất lượng sản phẩm mà việc quản lý, bảo mật thông tin cũng rất quan trọng. Ngày càng nhiều tổ chức, đơn vị hoạt động lệ thuộc vào hệ thống mạng máy tính, máy tính, kiểm soát chất lượng sản phẩm thông qua cơ sở dữ liệu. Do đó, chưa bao giờ vấn đề an toàn bảo mật thông tin lại được nhiều sự quan tâm như hiện nay. An toàn bảo mật thông tin được xếp ngang hàng với những vấn đề cần thiết trong cuộc sống như: An toàn thực phẩm, an toàn y tế, an toàn lao động… Bài viết mong muốn góp phần cung cấp cái nhìn về sự phù hợp khi kết hợp thực hiện 02 hệ thống quản lý trong doanh nghiệp đó là Hệ thống quản lý chất lượng và Hệ thống quản lý an toàn thông tin.
Tiêu chuẩn ISO 9001 nằm trong bộ tiêu chuẩn ISO 9000 – Bộ tiêu chuẩn quốc tế được duy trì bởi tổ chức ISO, có mục tiêu trợ giúp các tổ chức xây dựng, áp dụng và vận hành hệ thống quản lý chất lượng có hiệu lực. Trong đó, ISO 9001 được xem là tiêu chuẩn trung tâm quan trọng nhất của bộ tiêu chuẩn ISO 9000. Tên đầy đủ của Tiêu chuẩn: ISO 9001:2015 – Hệ thống quản lý chất lượng – Các yêu cầu. ISO 9001 là một Tiêu chuẩn đưa ra các nguyên tắc, nguyên lý và yêu cầu để thiết lập được một hệ thống quản lý chất lượng trong doanh nghiệp và áp dụng cho tất cả các loại hình doanh nghiệp không phân biệt quy mô hay loạiđê hình sản xuất, kinh doanh hay dịch vụ.
Vào năm 1996, Viện Tiêu chuẩn Anh (Bristish Standards Institution – BSI) phát triển và xuất bản tiêu chuẩn về quản lý an toàn thông tin (ATTT) là BS 7799. Tiêu chuẩn này là Quy tắc thực tiễn cho việc quản lý ATTT (Code of Practice for Information Security Management) và đây được xem là phiên bản đầu tiên của bộ tiêu chuẩn ISO 27000. Năm 1998, tiêu chuẩn này có sự thay đổi nội dung “Quy tắc thực tiễn với việc quản lý ATTT”. Việc thay đổi này là cơ sở hình thành tiêu chuẩn quốc tế ISO 17799:2000. Từ năm 2005, tiêu chuẩn ISO 17799:2000 được tổ chức ISO/IEC thay thế chính thức bằng tiêu chuẩn quốc tế ISO/IEC 17799:2005 và đến năm 2007 được đổi tên thành tiêu chuẩn ISO/IEC 27002:2005. Tháng 10/2005, tiêu chuẩn này được thay thế bằng tiêu chuẩn ISO/IEC 27001:2005 và đến năm 2013, các tiêu chuẩn này đã được nâng cấp từ phiên bản ISO 27001:2005 và ISO 27002:2005 sang phiên bản mới ISO 27001:2013; ISO 27002:2013. Tiêu chuẩn ISO/IEC 27001:2013 có cấu trúc bao gồm 2 phần là “Điều khoản” và “Biện pháp kiểm soát”. Trong phần Điều khoản, từ mục 4 đến mục 10 là các yêu cầu bắt buộc khi tổ chức thực hiện áp dụng và đạt chứng nhận ISO 27001.
- Khả năng tích hợp của 02 Hệ thống quản lý
Theo Báo cáo kết quả khảo sát về Hệ thống quản lý tích hợp hơn 30 công ty tại Bồ Đào Nha của nhóm 3 tác giả Domingues Pedro, Sampaio Paulo và Arezes Pedro đã công bố vào năm 2012 cho thấy rằng mô hình tích hợp các hệ thống quản lý mang lại nhiều lợi ích cũng như hiệu quả hơn trong quá trình sản xuất kinh doanh. Hơn 80% công ty được khảo sát thể hiện sự hoàn toàn đồng ý với việc nên tích hợp các chính sách chất lượng/ môi trường/ an toàn lao động …; gần 80% hoàn toàn đồng ý, 18% đồng ý và khoảng 2% không đồng ý với việc áp dụng HTQL tích hợp sẽ làm cho cơ cấu tổ chức công ty có sự phân công chịu trách nhiệm rõ ràng[1] .
Hệ thống quản lý chất lượng ISO 9001 và HTQL an toàn thông tin ISO/IEC 27001 là hai HTQL độc lập với đầy đủ các điều khoản tuy nhiên hai hệ thống có những điểm chung nhất định bao gồm: Phạm vị, Lãnh đạo, hỗ trợ nhân sự, Hệ thống tài liệu, Đánh giá nội bộ, Đo lường và giám sát, Xem xét của lãnh đạo, Cải tiến liên tục. Mặc dù có nhiều điểm tương đồng nhưng HTQL chất lượng ISO 9001 và HTQL an toàn thông tin ISO/IEC 27001 đều có những điểm riêng biệt về các yêu cầu hệ thống. ISO/IEC 27001 tập trung vào an toàn thông tin, ISO 9001 tập trung vào chất lượng. ISO/IEC 27001 bổ sung thêm đánh giá rủi ro an toàn thông tin và xử lý rủi ro. Có thể thấy, có nhiều điểm chung giữa hai hệ thống quản lý hơn là sự khác biệt và những điểm khác biệt tồn tại giữa chúng cũng có thể mang lại lợi ích ngoại vi và bổ sung lẫn nhau.
Dựa vào mục tiêu của nhiệm vụ đề ra là triển khai áp dụng các hệ thống quản lý an toàn thông tin ISO/IEC 27001:2013 tích hợp với Hệ thống quản lý chất lượng ISO 9001:2015 cho các Doanh nghiệp Việt Nam để nâng cao khả năng đảm bảo chất lượng sản phẩm gắn với đảm bảo an toàn thông tin trong quá trình chuyển đổi số. AHEAD đã lựa chọn triển khai tư vấn, hướng dẫn áp dụng HTQL ISO/IEC 27001:2013 tích hợp ISO 9001:2015 cho 14 doanh nghiệp.
Nội dung nghiên cứu được công ty TNHH Tư vấn quản lý và Phát triển doanh nghiệp Á Châu áp dụng cho các doanh nghiệp bao gồm:
– Thực hiện khảo sát thực tế tại doanh nghiệp được lựa chọn tham gia dự án
– Đào tạo nhận thức HTQL ISO/IEC 27001 tích hợp ISO 9001
– Đánh giá rủi ro an toàn thông tin, đưa ra tuyên bố áp dụng các biện pháp lý
– Hướng dẫn soạn thảo hệ thống tài liệu của HTQL ISO/IEC 27001:2013 tích hợp ISO 9001:2015.
– Hướng dẫn áp dụng hệ thống quy trình tài liệu đã soạn thảo vào thực tế doanh nghiệp
– Đào tạo và hướng dẫn đánh giá nội bộ
– Đo lường, đánh giá hiệu quả hoạt động sản xuất kinh doanh của doanh nghiệp trước và sau khi áp dụng hệ thống quản lý; Đề xuất khắc phục và cải tiến hệ thống
– Hỗ trợ chuẩn bị hồ sơ đánh giá chứng nhận.
Để đạt được hiệu quả cao, giá trị vê kết quả nghiên cứu, nhóm nghiên cứu thực hiện lựa chọn doanh nghiệp tham gia nghiên cứu theo các yếu tố có tác động đến kết quả xây dựng mô hình và hiệu quả áp dụng như:
- Khu công nghiệp, khu vực doanh nghiệp đang hoạt động.
- Doanh nghiệp Việt Nam, doanh nghiệp nước ngoài.
- Ngành nghề doanh nghiệp.
- Thực trạng áp dụng tại doanh nghiệp
Hoạt động nghiên cứu được thực hiện tại 14 doanh nghiệp nằm rải rác tại nhiều địa phương với nhiều loại hình hoạt động sản xuất khác nhau. Quá trình lựa chọn doanh nghiệp tham gia nghiên cứu đảm bảo yếu tố đa dạng tại nhiều khu vực, ngành nghề sản xuất trên cả nước để đánh giá mức độ tác động từ bối cảnh địa phương, ngành nghề hoạt động. Các doanh nghiệp được chọn tham gia nghiên cứu đều có sự khác biệt rõ rệt về quy mô, ngành nghề, và khu vực hoạt động, từ các doanh nghiệp nhỏ và vừa đến các tập đoàn lớn. Việc này không chỉ giúp thu thập được cái nhìn toàn diện về việc áp dụng tích hợp hai hệ thống quản lý mà còn cho phép so sánh và đối chiếu các kết quả đạt được trong các bối cảnh khác nhau.
Kết quả áp dụng hệ thống quản lý hình tích hợp HTQL ISO 9001:2015 và 27001:2013 cho 14 doanh nghiệp được mô tả trong biểu đồ tròn dưới đây.
Có thể thấy rằng, sự phân bố doanh nghiệp áp dụng hệ thống quản lý mô hình tích hợp HTQL ISO 9001:2015 và 27001:2013 chiếm tỷ lệ lớn nhất với 33.3% số lượng tại khu vực TP. Hồ Chí Minh. Khu vực Hà Nội chiếm 26.7%. Bắc Ninh và Quảng Ninh đều chiếm 13.3%. Cuối cùng, Đà Nẵng và Nha Trang chiếm 6.7% còn lại.
Việc áp dụng và tích hợp hai hệ thống quản lý được triển khai tại nhiều doanh nghiệp với nhiều loại hình sản xuất khác nhau. Điều đó cho thấy tính đa dạng hóa trong công tác áp dụng hai hệ thống quản lý này nhằm xác định tính thích hợp của hai tiêu chuẩn ISO 9001 và ISO 27001 đối với các doanh nghiệp hiện nay.
- Quá trình triển khai
Từ những lợi ích mang lại từ việc tích hợp hai HTQL mang lại, với mong muốn hỗ trợ doanh nghiệp nâng cao năng suất chất lượng sản phẩm, hàng hóa trên cơ sở áp dụng các giải pháp về tiêu chuẩn, quy chuẩn kỹ thuật. Công ty TNHH Tư vấn quản lý & Phát triển doanh nghiệp Á Châu (AHEAD) đã triển khai áp dụng thí điểm mô hình tích hợp HTQL ISO 9001:2015 và 27001:2013 cho công ty TNHH Phần mềm Bắc Hà (BH Soft). Đây là doanh nghiệp trong lĩnh vực công nghệ thông tin với tài sản là dữ liệu, hoạt động chính trong các lĩnh vực: lập trình máy tính, xây dựng và cung cấp dịch vụ phát triển AI, mapping, cloud, DevOps… Đây là một trong những ngành quan trọng và được quan tâm lớn từ nhiều đối tác doanh nghiệp. Bên cạnh đó, Công ty Bắc Hà đang thực hiện phát triển dự án đầu tư vào lĩnh vực đang rất phát triển là Phát triển phần mềm. Trong quá trình xây dựng và phát triển của mình, Công ty luôn ý thức được tầm quan trọng của việc nâng cao hình ảnh và thương hiệu trong mắt khách hàng và nhân sợ có chuyên môn cao trong ngành công nghệ thông tin. Để hỗ trợ công ty, nhóm chuyên gia của AHEAD đã xây dựng 34 tài liệu về quản lý chất lượng và an toàn thông tin bao gồm: Chính sách chất lượng và an toàn thông tin, khảo sát sự hài lòng của khách hàng, kiểm soát mã hóa, an ninh vật lý…nhằm khắc phục những vấn đề lỗ hổng dữ liệu, nâng cao chất lượng dịch vụ cho khách hàng.
Sau khi áp dụng tích hợp hai HTQL, công ty đã thu được một số hiệu quả nổi bật. Cụ thể như, xây dựng thành công biện pháp rủi ro về ATTT, 100% cán bộ nhân viên được đào tạo nhận thức về hệ thống quản lý an toàn thông tin theo ISO/IEC 27001:2013. Công ty đã có thêm 03 đơn đặt hàng mới và tăng doanh thu lên 17% sau khi áp dụng thành công hệ thống quản lý ATTT. 100% khách hàng đều hài lòng với dịch vụ mà Bắc Hà Soft mang lại thông qua quá trình khảo sát mức độ hài lòng của khách hàng. Hơn thế nữa, nhờ việc tích hợp HTQL, công ty đã xây dựng thành công một hệ thống văn bản, giảm bớt sự cồng kềnh, chồng chéo của hệ thống, giảm bớt việc lưu hồ sơ văn bản giấy, tăng hiệu quả quản lý bằng cơ sở dữ liệu…đảm bảo chất lượng dịch vụ cung cấp, an toàn, bảo mật thông tin.
Bên cạnh những thành công đạt được sau khi áp dụng tích hợp hai hệ thống quản lý theo tiêu chuẩn ISO 9001 và ISO 27001 công ty vẫn còn tồn tại những điểm yếu cần phải khắc phục trong thời gian tới như: Thường xuyên diễn tập ứng phó sự cố đảm bảo kinh doanh liên tục. Trong khoảng thời gian xây dựng và áp dụng tích hợp hai tiêu chuẩn, công ty cũng đã thực hiện diễn tập ứng phó sự cố đảm bảo kinh doanh liên tục, tuy nhiên kết quả không đạt như mong đợi dự kiến. Cụ thể, thời gian khắc phục sự cố vượt 30% so với khoảng thời gian dự kiến ban đầu.
- Kết luận và kiến nghị
Có thể thấy rằng, việc áp dụng HTQL ISO 9001:2015 tích hợp ISO/IEC 27001:2013 bước đầu đã góp phần thúc đẩy doanh nghiệp, nâng cao năng suất, nhận thức của doanh nghiệp giúp doanh nghiệp phát triển bền vững trong tương lai.
Bên cạnh việc duy trì HTQL, doanh nghiệp cần đưa ra những đối sách cải tiến thường xuyên giúp nâng cao hiệu quả của HTQL để phù hợp với xu thế phát triển của ngành và yêu cầu từ phía khách hàng.
[1] Tổng hợp từ Báo cáo “Hệ thống quản lý tích hợp: Kết quả khảo sát từ các công ty và chuyên gia Bồ Đào Nha” năm 2012.