Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống
1
/ 32 trang
THÔNG TIN TÀI LIỆU
Thông tin cơ bản
Định dạng
Số trang
32
Dung lượng
78,02 KB
Nội dung
MỤC LỤC GIỚI THIỆU CHUNG Trong bối cảnh kinh tế tri thức tương lai, việc xây dựng hệ thống thông tin hỗ trợ tạo lợi cạnh tranh cho tổ chức doanh nghiệp nhu cầu tất yếu Tuy nhiên, hệ thống thông tin tốt? Hệ thống thông tin phù hợp với tổ chức có phù hợp với tổ chức khác không? Và hệ thống thông tin dùng doanh nghiệp “chuẩn” mức nào? Cần tiến tới mục tiêu để tạo lợi cạnh tranh so với tổ chức, doanh nghiệp khác? Để trả lời nhà quản lý phải trang bị phương pháp quản trị đánh giá hệ thống thông tin doanh nghiệp Một phương pháp tốt quản trị đánh giá hệ thống thông tin doanh nghiệp tốt, xác định vị trí mục tiêu cần tiến đến doanh nghiệp đảm bảo thành công hơn… Trải qua kinh nghiệm nhiều năm tổng hợp thành phương pháp quản trị hữu ích, đến giới có số phương pháp quản trị phổ biến như: ITIL, COBIT, ISO17799/ ISO27001, CMMi, COSO, PMBOX… CHƯƠNG I: GIỚI THIỆU VỀ HỆ THỐNG THÔNG TIN VÀ CÁC CÔNG CỤ QUẢN TRỊ HỆ THỐNG THÔNG TIN ĐANG ĐƯỢC ỨNG DỤNG Ở VN Giới thiệu hệ thống thông tin 1.1 Khái niệm hệ thống thông tin Là hệ thống mà mục tiêu, nhiệm vụ cung cấp thông tin phục vụ cho hoạt động người tổ chức Ta hiểu hệ thống thông tin hệ thống mà mối liên hệ thành phần mối liên hệ với hệ thống khác trao đổi thông tin Chúng ta phải dựa vào hệ thống thông tin để trao đổi trì hoạt động 1.2 Khái niệm hệ thống thông tin quản lý Nói đến hệ thống thông tin quản lý nghĩa nói đến tầm quan trọng vai trò hệ thống thông tin tổ chức doanh nghiệp Phần lớn hệ thống thông tin thường xây dựng nhằm phục vụ cho vài chức đó, đơn giản giúp người giải thoát khỏi số công việc quản lý thông thường tính toán, thống kê Khi xuất nhu cầu cung cấp thông tin tốt đầy đủ hơn, lúc cần đến phương thức xử lý thông tin cách tổng thể - hệ thống thông tin quản lý Ví dụ hệ thống thông tin quản lý: • Hệ thống quản lý nhân quan • Hệ thống quản lý sinh viên trường đại học • Hệ thống kế toán siêu thị 1.3 Vai trò hệ thống thông tin doanh nghiệp Hệ thống thông tin đem lại nhiều lợi ích cho doanh nghiệp tùy vào vị trí, khả ứng dụng hệ thống mà có vai trò quan trọng khác Dưới số vai trò phổ biến hệ thống thông tin doanh nghiệp: ϖ Hỗ trợ quy trình hoạt động nghiệp vụ Các HTTT sử dụng máy tính để hỗ trợ nhân viên ghi nhận hóa đơn bán hàng, quản lý kho, trả lương, nhập hàng… Nghiệp vụ kế toán cần xác có quy trình vào rõ ràng thông tin cần hỗ trợ hệ thống thông tin ϖ Hỗ trợ nhân viên nhà quản lý công việc định dựa trạng doanh nghiệp HTTT hỗ trợ người quản lý chuyên gia nghiệp vụ việc đưa định hợp lý với xu hướng phát truyển Bởi sau tổng hợp liệu tình hình nghiên cứu, phát triển HTTT thường có nhiệm vụ tạo báo cáo để hỗ trợ việc đưa định… Quyết định xem nên trì mặt hàng nào, loại bỏ mặt hàng tiềm năng, đầu tư thêm gì… HTTT tổng hợp ý kiến khách hàng, tổng hợp đánh giá chất lượng sản phẩm báo cáo tất giúp so sánh loại sản phẩm ϖ Hỗ trợ đưa chiến lược phát truyển nâng cao lực cạnh tranh Xây dựng chiến lược nhằm dành lấy lợi so với đối thủ, sử dụng ứng dụng thông tin chiến lược Ví dụ cài đặt khối điện tử để bày bán hàng tự động nhiều địa điểm khác nhau, xây dựng website quảng bá bán hàng mạng theo mô hình thương mại điện tử… Các công cụ quản trị hệ thống thông tin ứng dụng phổ biến Việt Nam 2.1 COBIT 2.1.1 Khái niệm COBIT chuẩn quốc tế quản lý CNTT gồm khuôn mẫu thực hành tốt quản lý CNTT ISACA ITGI xây dựng năm 1996 COBIT cung cấp cho nhà quản lý, người kiểm tra người sử dụng IT loạt cách đo lường, dụng cụ đo, quy trình hướng dẫn thực hành tốt để giúp tăng tối đa lợi nhuận thông qua việc sử dụng CNTT; giúp quản lý kiểm soát IT tổ chức, doanh nghiệp 2.1.2 Mục đích Để cung cấp khuôn khổ để khoảng trống cầu nối rủi ro kinh doanh, nhu cầu kiểm soát vấn đề kỹ thuật để tăng tối đa lợi ích, tạo hội đạt lợi cạnh tranh Chiến lược kinh doanh thành công có hệ thống CNTT xây dựng thành công COBIT kiểm soát vấn đề kĩ thuật để đảm bảo thành công Xác định rõ chức CNTT cung cấp thông tin cho DN để thực chiến lược kinh doanh Luôn xác định rõ mục đích nhiệm vụ CNTT giúp CNTT áp dụng đạt hiệu tối ưu, tránh lãng phí không cần thiết Xây dựng quy trình vai trò trách nhiệm việc tạo thông tin (IT proces) Bằng hướng dẫn kinh nghiệm COBIT giúp xây dựng quy trình việc phát triển hệ thống thông tin Phân nhóm quy trình thành phạm vi cụ thể (Domain) đưa mục tiêu kiểm soát (control objective) Bằng cách phân nhóm đưa mục tiêu cụ thể COBIT giúp người triển khai hiểu rõ công đoạn phải làm không chệch hướng hay lan man sang phạm vi khác Xem xét vấn để độ tin cậy, chất lượng mức độ an toàn an ninh cho thành phần HTTT COBIT trọng việc kiểm soát phải đảm bảo chất lượng mức độ an ninh dự án 2.2 ITIL 2.2.1 Khái niệm ITIL (Information Technology Infrastructure Library) phát triển Anh vào năm 1980 cho CCTA (Central Computer and Telecommunications Agency) – quan trực thuộc Kho bạc Nhà nước Anh Bằng cách thu thập, tổng hợp trải nghiệm thực tế tối ưu từ 10 Công ty có hiệu hàng đầu lĩnh vực Quản lý dịch vụ CNTT, CCTA thiết lập khung tiến trình trải nghiệm thực tế tối ưu gọi Tài nguyên Kiến trúc Công nghệ Thông tin (ITIL) Bộ khung 10 Công ty tham gia đón nhận thực việc tuân thủ ứng dụng rộng rãi tài liệu Mặc dù ban đầu ITIL phát triển CCTA đến áp dụng sử dụng rộng rãi phạm vi toàn cầu xem Thông lệ Quốc tế tốt cho dịch vụ IT Tuy ITIL bao hàm nhiều lĩnh vực khác tâm điểm tập trung cho hoạt động Quản lý Dịch vụ IT 2.2.2 Mục đích Hệ thống ITIL định hướng việc quản lý điều hành lĩnh vực IT doanh nghiệp – xem IT phận kinh doanh đơn vị kỹ thuật tuý Từ doanh nghiệp có sở để cân nhắc tìm kiếm giải pháp đầu tư cách hiệu nhờ thành tiến công nghệ thông tin, nâng cao hiệu kinh doanh thông qua việc nâng cao chất lượng dịch vụ IT doanh nghiệp ITIL tập trung vào khía cạnh sau: • Cung cấp dịch vụ có chất lượng cải tiến • Chi phí hợp lý với chất lượng dịch vụ • Các dịch vụ phù hợp với mục tiêu kinh doanh, phù hợp với nhu cầu khách hàng người dùng • Các tiến trình tích hợp tập trung • Sự rõ ràng vai trò trách nhiệm • Phương thức tiếp cận vấn đề tri thức • Các số thực thi ITIL xem ISO 9000 cho Hoạt động IT Tương tự việc kiểm soát Chất lượng Tài chính, ITIL tập trung hỗ trợ quản lý-thiết lập mục tiêu, đo lường phát triển, đo lường kết giải vấn đề kết đạt không phù hợp với mục tiêu định ITIL khung tiến trình, vai trò bao gồm cách đo lường thành công tiến trình song song với kiểm soát nhằm giảm lỗi người gây vô tình cố ý ITIL xem thể game tối ưu: “dịch vụ“ IT thiết kế nhằm tiết kiệm chi phí sinh lợi nhuận, lại cần khoản chi phí chi phí phụ thuộc vào nhiều yếu tố, chẳng hạn mức độ hiệu thời gian hồi đáp mong muốn dịch vụ 2.3 2.3.1 CMMI (Capability Maturity Model Integration) Khái niệm Mô hình CMMI (Capability Maturity Model Integration) khung giải pháp tối ưu cho trình sản xuất phần mềm, mô tả giải pháp tốt trình kiểm soát, đo lường kiểm tra quy trình phát triển phần mềm Mô hình CMMI không tập trung mô tả trình mà mô tả đặc điểm trình hiệu quả, mô hình CMMI đưa dẫn cho công ty để họ tự phát triển điều chỉnh trình họ 2.3.2 Mục đích Mô hình CMMI mô tả trang web thức CMMI website :dự án CMMI nỗ lực chung nhằm cung cấp mô hình để cải thiện nâng cấp sản phẩm quy trình Trọng tâm dự án tập trung xây dựng công cụ hỗ trợ việc cải thiện quy trình dùng để phát triển ổn định hệ thống sản phẩm Kết dự án CMMI sản phẩm cung cấp phương pháp tiếp cận tích hợp toàn doanh nghiệp để cải thiện quy trình sản xuất mà giảm bớt nhân công dư thừa, độ phức tạp, chi phí từ việc sử dụng mô hình CMM (quy trình quản lý sản xuất phẩn mềm) riêng lẻ nhiều mô hình CMM Công ty sử dụng quy trình để phát triển, thu thập trì sản phẩm dịch vụ để làm chuẩn cho họ chống lại công ty khác Các quy trình tốt quy trình có giá rẻ kết chất lượng tốt hơn, quy trình ước tính thời gian thực cho dự án xác CHƯƠNG II: CÁC CÔNG CỤ QUẢN TRỊ HỆ THỐNG THÔNG TIN KHÁC ĐANG ĐƯỢC ỨNG DỤNG Ở VN COSO 1.1 Tổng quan 1.1.1 Khái niệm "COSO" viết tắt Committee Of Sponsoring Organizations - Ban bảo trợ tổ chức -là ủy ban thuộc Hội đồng quốc gia Hoa kỳ việc chống gian lận báo cáo tài (National Commission on Finalcial Reporting, hay gọi Treadway Commission) COSO thành lập nhằm nghiên cứu kiểm soát nội bộ, cụ thể là: Thống định nghĩa kiểm soát nội để phục vụ cho nhu cầu đối tượng khác Công bố đầy đủ hệ thống tiêu chuẩn để giúp đơn vị đánh giá hệ thống kiểm soát họ tìm giải pháp để hoàn thiện Báo cáo COSO công bố tiêu đề: Kiểm soát nội - Khuôn khổ hợp -Thống định nghĩa kiểm soát nội để phục vụ cho nhu cầu đối tượng khác - Công bố đầy đủ hệ thống tiêu chuẩn để giúp đơn vị đánh giá hệ thống kiểm soát họ tìm giải pháp hoàn thiện 1.1.2 Đôi nét công cụ COSO Ủy ban tổ chức bảo trợ (COSO) thành lập vào năm 1980, ban đầu để tài trợ cho nghiên cứu nguyên nhân báo cáo tài gian lận COSO tổ chức vào năm 1985 để tài trợ cho Uỷ ban quốc gia báo cáo tài gian lận, khởi đầu cho lĩnh vực riêng độc lập để nghiên cứu yếu tố nhân dẫn đến báo cáo tài gian lận Nó phát triển khuyên dùng rộng rãi cho công ty kiểm toán độc lập họ, cho SEC (Ủy ban chứng khoán Mỹ) người điều khiển khác cho ngành giáo dục Ủy ban quốc gia tài trợ năm tổ chức có trụ sở Hoa Kỳ: Hiệp hội Kế toán Mỹ (AAA), Viện Kế toán viên công chứng Hoa Kỳ (AICPA), Quản trị viên tài quốc tế (FEI), Viện Kiểm toán viên nội (IIA ), Hiệp hội Kế toán Quốc gia (nay Viện Quản lý Kế toán IMA) Mỗi tổ chức hoàn toàn độc lập, Ủy ban bao gồm đại diện từ ngành công nghiệp, kế toán công khai, công ty đầu tư Sở Giao dịch chứng khoán New York Năm 1992, Ủy ban tổ chức bảo trợ ủy ban Treadway (COSO) công bố nội Control-Integrated Framework, thường gọi COSO Framework Gần đây, hội đồng quản trị COSO bắt tay vào dự án để cập nhật COSO Framework để phản ánh thay đổi giới kinh doanh vòng 20 năm kể từ phát hành ban đầu ban hành tài liệu Internal Control-Integrated Framework tháng năm 2013 cập nhật tài liệu ban hành năm 1992 Để hỗ trợ tài liệu ban hành công cụ minh họa cho việc đánh giá hiệu Hệ thống kiểm soát nội bộ, có ba mẫu để tóm tắt kết nghiên cứu Các khuôn khổ tài liệu quan trọng mà phát hành dự thảo vào năm 2012 1.1.3 Nhiệm vụ Cung cấp cho lãnh đạo tư tưởng thông qua phát triển khuôn khổ toàn diện hướng dẫn quản lý rủi ro doanh nghiệp, kiểm soát nội gian lận răn đe thiết kế để cải thiện hiệu tổ chức quản trị giảm mức độ gian lận tổ chức 1.1.4 Phiên -1992 - Kiểm soát nội (I /C) - Khung hợp Khối lượng khung Công cụ đánh giá khối lượng -2004 - Quản lý rủi ro doanh nghiệp (ERM) - Tích hợp khung 1.2 Cấu trúc 1.2.1 ERM- Quản lý rủi ro Quản lý rủi ro doanh nghiệp (ERM) mô hình COSO trở thành khuôn khổ chấp nhận rộng rãi cho tổ chức sử dụng COSO định khối lập phương để minh họa cho liên kết mục tiêu hiển thị đầu trang tám thành phần hiển thị mặt trận, đại diện cho cần thiết để đạt mục tiêu Chiều thứ ba đại diện cho đơn vị tổ chức, miêu tả khả mô hình để tập trung vào phận tổ chức toàn 1.2.2 Môi trường nội Môi trường nội thiết lập hợp tác thành công tổ chức, ảnh hưởng đến rủi ro, thái độ quản lý rủi ro giá trị đạo đức, bao gồm: -Triết lí quản lý phong cách hoạt động - Sự trung thực giá trị đạo đức - Chính sách nhân - Cơ cấu tổ chức Sự hợp tác công ty thiết lập hội đồng quản trị thành viên công ty Một công ty không ổn định, thiếu kiến thức kỹ thuật kinh nghiệm, đa dạng mạnh mẽ, tự ngôn luận thiết lập đồng nhất, hợp tác thành công 1.2.3 Đánh giá rủi ro Không lệ thuộc vào quy mô, cấu trúc, loại hình hay vị trí địa lý, tổ chức, doanh nghiệp trình sản xuất kinh doanh phải đối mặt với rủi ro Những rủi ro thân doanh nghiệp hay từ môi trường kinh tế, trị, xã hội bên tác động Các hướng dẫn COSO nhấn mạnh tầm quan trọng việc sử dụng kết hợp phương pháp đánh giá rủi ro định lượng Cũng đánh giá mức độ rủi ro cố hữu, tổ chức cần đánh giá rủi ro dư lại sau hành động quản lý rủi ro thực 1.2.4 Hoạt động kiểm soát Các sách thủ tục hoạt động cần đảm bảo phản ứng nguy có hiệu - Phân chia trách nhiệm đầy đủ - Ủy quyền đắn - Kiểm soát hệ thống trình xử lí thông tin COSO bổ sung mô hình ERM hướng dẫn Kiểm soát nội - Tích hợp Framework Nó nhấn mạnh hoạt động kiểm soát phương tiện để kết thúc vấn đề thực người Các hướng dẫn rõ: "Nó không đơn hướng dẫn sử dụng sách, hệ thống hình thức người cấp độ tổ chức có ảnh hưởng đến kiểm soát nội bộ." 1.2.5 Thông tin truyền thông Hệ thống thông tin phải đảm bảo liệu xác định, lưu trữ truyền đạt định dạng khung thời gian cho phép nhà quản lý nhân viên để thực trách nhiệm Các thông tin cung cấp phải phù hợp với nhu cầu quản lý có liên quan, chất lượng hợp lí Nó phải bao gồm tất mục tiêu hiển thị đỉnh khối 1.2.6 Giám sát Hệ thống quản lý cần theo dõi điều chỉnh cần thiết 10 + Sẵn sàng: đảm bảo người dung hợp pháp truy cập thông tin tài sản liên quan có yêu cầu Mọi hoạt động trì sẵn sàng hoạt động An toàn thông tin đạt cách triển khai tập hợp nguyên tắc quản lý phù hợp, sách, nguyên tắc, thủ tục, cấu tổ chức chức phần mềm nguyên tắc quản lý cần thiết lập nhằm đưa đầy đủ đối tượng tỏ chức cần bảo vệ 2.1.5 Các lợi ích mà ISO 9001 -2000 đem lại cho doanh nghiệp Một số lợi ích áp dụng ISO 9001:2000 là: - Nâng cao thỏa mãn khách hàng bên liên quan thông qua nhận biết đáp ứng yêu cầu họ - Tăng thị phần lợi nhuận - Đáp ứng yêu cầu bắt buộc số khách hàng, thị trường - Giảm lãng phí sai hỏng - Giảm chi phí rủi ro - Tăng tinh thần thái độ làm việc thỏa mãn cán công nhân viên - Tăng uy tín thương hiệu Đặc biệt, doang nghiệp Việt Nam vốn chưa có nhiều kinh nghiệm với hệ thống quản lí tiên tiến, việc áp dụng ISO 9001:2000 mang lại lợi ích sau: - Hệ thống quản lí mô tả hiểu cách thống rõ ràng - Các trình tạo giá trị gia tăng tổ chức nhận biết, khả giảm thiểu hoạt động không cần thiết - Việc phân công công việc, trách nhiệm quyền hạn quy định rõ ràng, giảm mâu thuẫn chồng chéo - Khả tiêu chuẩn hóa áp dụng cách làm việc hợp lí, giảm ngẫu hứng tùy tiện - HTQLCL ISO 9001:2000 thiết lập cách hữu hình tăng cường kỷ luật thực hiện, trì cải tiến 18 2.2 Cấu trúc 2.2.1 Thành phần Bộ tiêu chuẩn ISO 9001:2000 bao gồm tiêu chuẩn: ISO 9000: Cơ sở từ vựng ISO 9001: Các yêu cầu hệ thống quản lý chất lượng mà doanh nghiệp cần phải đáp ứng, làm sở đánh giá Chứng nhận ISO 9004: Hướng dẫn cải tiến nâng cao hiệu lực, hiệu hệ thống ISO 19011: Hướng dẫn đánh giá hệ thống quản lý 2.2.2 Phạm vi áp dụng Một hệ thống quản lí chất lượng phù hợp với tiêu chuẩn ISO 9001:2000 hệ thống thiết lập, văn hóa phải chứng tỏ tính hiệu lực (đưa chứng khách quan, kiểm tra xác nhận) việc trì thực hiện, liên tục cải tiến đáp ứng yêu cầu khách hàng Các yêu cầu tiêu chuẩn mang tính tổng quát nhằm để áp dụng cho tổ chức không phân biệt vào loại hình, quy mô sản phẩm cung cấp Khi có yêu cầu tiêu chuẩn áp dụng chất tổ chức sản phẩm mình, xem xét yêu cầu ngoại lệ Khi có ngoại lệ, việc công bố phù hợp với tiêu chuẩn không chấp nhận ngoại lệ giới hạn phạm vi điều 7, ngoại lệ không ảnh hưởng đến khả hay trách nhiệm tổ chức việc cung cấp sản phẩm đáp ứng yêu cầu khách hàng yêu cầu thích hợp 2.2.3 Nội dung quy trình Quá trình xây dựng tiêu chuẩn ISO phải tuân theo nguyên tắc sau: + Sự trí: ISO quan tâm đến quan điểm phía có quan tâm: nhà sản xuất, người bán hàng, người sử dụng, nhóm tiêu thụ, phòng kiểm nghiệm, phủ, nhà kỹ thuật quan nghiên cứu + Qui mô: dự thảo tiêu chuẩn phù hợp với yêu cầu ngành khách hàng toàn giới + Tự nguyện: việc tiêu chuẩn hóa chịu tác động thị trường dựa tự nguyện thực tất bên có quan tâm 19 2.2.4 Mục đích kiểm soát Cung cấp sở chung cho việc phát triển chuẩn an ninh tổ chức thực tiễn quản lý an ninh cách hiệu quả, đồng thời cung cấp tin cậy mối quan hệ tổ chức 2.3 Quy trình làm việc Cách thức xây dựng quy trình: Các tiêu chuẩn quốc tế ủy ban kỹ thuật ISO xây dựng thực qua bước Đề nghị: - Xác nhận nhu cầu ban hành tiêu chuẩn - Đề nghị vấn đề đưa để ủy ban tiểu ban kỹ thuật có liên quan thảo luận lựa chọn - Đề nghị chấp thuận đa số thành viên ủy ban hay tiểu ban kỹ thuật đồng ý có thành viên cam kết tham gia tích cực vào đề án Chuẩn bị : Các chuyên gia nhóm cộng tác xây dựng dự thảo tiêu chuẩn đề nghị Khi nhóm cho dự thảo tương đối hoàn thiện đưa thảo luận ủy ban tiểu ban Thảo luận : Dự thảo đăng ký ban thư ký trung tâm ISO phân phát cho thành viên tham gia ủy ban tiểu ban chuyên môn để lấy ý kiến Dự thảo xem xét đạt trí nội dung Sau giai đoạn dự thảo tiêu chuẩn quốc tế Phê chuẩn : Bản dự thảo tiêu chuẩn quốc tế chuyển tới tất quan thành viên ISO để thu thập ý kiến tháng Nó phê chuẩn coi tiêu chuẩn quốc tế 3/4 thành viên ủy ban hay tiểu ban kỹ thuật đồng ý có 1/4 phiếu chống Nếu biểu không thành, tiêu chuẩn quốc tế dự thảo trả lại ủy ban kỹ thuật để xem xét lại Công bố : 20 Nếu tiêu chuẩn phê chuẩn, người ta chuẩn bị văn thức kết hợp với ý kiến đóng góp biểu Văn thức gởi tới ban thư ký trung tâm ISO Cơ quan công bố 2.4 Ví dụ doanh nghiệp áp dụng ISO 9001 – 2000 Hiện nay, có nhiều doanh nghiệp Việt Nam xây dựng áp dụng hệ thống quản lý chất lượng theo tiêu chuẩn ISO 9001:2000 Tổng Công ty Thương mại Hà Nội (Hapro) doanh nghiệp nhà nước thành lập theo Quyết định số 125/2004/QD-UBND ngày 11 tháng 08 năm 2004 UBND Thành phố Hà Nội Tổng Công ty hoạt động theo mô hình Công ty mẹ - Công ty với 33 công ty thành viên, có thị trường 60 nước vùng lãnh thổ giới Thành tích mà công ty đạt áp dụng ISO 9001:2000 là: Về doanh thu, việc áp dụng ISO 9001:2000 công ty Hapro đạt thành tích đáng ghi nhận, doanh thu qua năm tăng nhanh, kim ngạch xuất tăng qua năm Về thị trường: tăng cường số thị trường xuất Trung Đông, Mĩ Latinh, châu Phi, đẩy mạnh phát triển hệ thống bán lẻ theo chiều sâu, chuyên môn hoá, tăng cường xây dựng thương hiệu… Quản trị chất lượng ISO 27001 3.1 Tổng quan 3.1.1 Giới thiệu ISO 27001 ISO 27001 tiêu chuẩn quốc tế đưa yêu cầu liên quan đến Hệ Thống Quản Lý Bảo Mật Thông Tin (viết tắt ISMS), cho phép tổ chức doanh nghiệp đánh giá rủi ro thực kiểm soát thích hợp để bảo toàn tính bảo mật, toàn vẹn sẵn có tài sản thông tin Mục đích bảo vệ thông tin tổ chức doanh nghiệp, không để rơi vào tay người lạ hay bị thất lạc vĩnh viễn - Lịch sử phát triển ISO 27001 21 ISO 27001 ban đầu phát triển chuẩn BS7799 Viện chuẩn Anh Quốc (British Standards Institution BSI) BS7799 bắt đầu phát triển từ năm 1990 nhằm đáp ứng yêu cầu cho doanh nghiệp, phủ công nghiệp việc thiết lập cấu trúc an ninh thông tin chung Năm 1995, chuẩn theo BS7799 thức công nhận Tháng năm 1999 phiên thứ chuẩn BS7799 phát hành với nhiều cải tiến chặt chẽ Trong thời gian Tổ chức giới chuẩn (ISO) bắt đầu quan tâm đến chuẩn Tháng 12 năm 2000, ISO tiếp quản phần đầu BS7799, đổi tên thành ISO 17799 chuẩn an ninh thông tin bao gồm ISO 17799 (mô tả Qui tắc thực tế cho hệ thống quản lý an ninh thông tin) BS7799 (đặc tính kỹ thuật cho hệ thống an ninh thông tin Trong tháng năm 2002, soát xét phần chuẩn BS7799 thực để tạo quán với chuẩn quản lý khác ISO 9001:2000 ISO 14001:1996 với nguyên tắc Tổ chức Hợp tác phát triển kinh tế (OECD) Ngày 15 Tháng 10 năm 2005 ISO phát triển ISO 17799 BS7799 thành ISO 27001:2005 trọng vào công tác đánh giá chứng nhận ISO 27001 thay cách trực tiếp cho BS7799-2:2002, định nghĩa hệ thống ISMS hướng đến cung cấp mô hình cho việc thiết lập, thi hành, điều hành, kiểm soát, xem xét, trì cải tiến ISMS 3.1.2 Các phiên ISO/ IEC 27001: 2005 ISO / IEC 27001:2013 ISO / IEC 27002:2013 3.1.3 Nhiệm vụ Thúc đẩy phát triển vấn đề tiêu chuẩn hoá nhằm tạo điều kiện thuận lợi cho việc trao đổi hàng hóa, dịch vụ quốc tế 3.1.4 Tư tưởng - Tư tưởng ISO trì 22 + Tư tưởng ISO thể qua đặc tính yêu cầu thông tin, đạt yêu cầu nghĩa dảm bảo hoạt động lien tục trì mức độ điều khiển sử dụng an toàn thông tin + Tính bảo mật: đảm bảo thông tin truy cập truy cập cho phép Quản lý thông tin cách chặt chẽ, phân quyền kiểm soát việc truy suất thông tin Không để mát thông tin + Tính toàn vẹn: bảo vệ tính xác, đầy đủ thông tin phương pháp xử lý Đảm bảo thông tin cần có, hoạt động tiến hành liên tục + Sẵn sàng: đảm bảo người dung hợp pháp truy cập thông tin tài sản liên quan có yêu cầu.Mọi hoạt động trì và, sẵn sàng hoạt động An toàn thông tin đạt cách triển khai tập hợp nguyên tắc quản lý phù hợp, sách, nguyên tắc, thủ tục, cấu tổ chức chức phần mềm nguyên tắc quản lý cần thiết lập nhằm đưa đầy đủ đối tượng tỏ chức cần bảo vệ 3.1.5 Các lợi ích mà ISO 27001 đem lại cho doanh nghiệp • Sự liên tục kinh doanh • Đánh giá mối nguy triển khai phương pháp để giảm bớt ảnh hưởng • An ninh cải thiện • Kiếm soát việc truy cập • Tiết kiệm chi phí • Tạo trình quản lý nội • Tuyên truyền cam kết bạn để bảo vệ liệu khách hàng • Chứng minh bạn tuân thủ quy định pháp luật • Xác định lãnh đạo cấp cao thực nghiêm túc việc bảo mật liệu • Đánh giá thường xuyên để trì hiệu bảo mật • Cung cấp chứng nhận độc lập Đánh giá liên tục giành lợi cạnh tranh Nếu tổ chức bạn đạt chứng nhận ISO 27001, khách hàng bạn tin tưởng biết mối rủi ro an ninh đánh giá giảm thiểu tổ chức bạn 23 có sẵn hệ thống để bảo vệ khôi phục thông tin nhanh chóng trường hợp liệu Một trình cải tiến liên tục đem lại cho tổ chức bạn công cụ quản lý cần thiết để giám sát cải tiến vấn đề an ninh thông tin giá trị tổ chức bạn 3.2 Cấu trúc 3.2.1 Thành phần Về cấu trúc, tiêu chuẩn ISO/IEC 27001 bao gồm yêu cầu xếp theo trật tự điều khoản như: • • • • • Hệ thống quản lý an ninh thông tin Trách nhiệm lãnh đạo Đánh giá nội ISMS Xem xét lãnh đạo ISMS Cải tiến ISMS 3.2.2 Phạm vi áp dụng Tiêu chuẩn áp dụng rộng rãi cho nhiều loại hình quan/tổ chức khác tổ chức thương mại, quan nhà nước, tổ chức phi lợi nhuận ISMS thiết kế biện pháp đảm bảo an toàn thông tin phù hợp đầy đủ để bảo vệ tài sản thông tin đem lại tin tưởng bên liên quan đối tác khách hàng…… Các yêu cầu tiêu chuẩn mang tính tổng quát nhằm ứng dụng rộng rãi cho nhiều loại hình tổ chức khác 3.2.3 Nội dung quy trình Tiêu chuẩn xác định rõ yêu cầu cho trình: thiết lập; triển khai; điều hành; giám sát; bảo trì nâng cấp hệ thống quản lý an toàn thông tin (ISMS) để bảo vệ hệ thống thông tin chủ động chuẩn bị phương án xử lý trước rủi ro xảy Tiêu chuẩn rõ yêu cầu thực mục tiêu biện pháp quản lý chọn lọc phù hợp cho tổ chức phận Các yêu cầu trình bày tiêu chuẩn mang tính tổng quát nhằm ứng dụng rộng rãi cho nhiều loại hình quan/tổ chức khác Nội dung tiêu chuẩn bao gồm phần chính: 24 - Hệ thống quản lý an toàn thông tin - Trách nhiệm lãnh đạo - Đánh giá nội hệ thống ISMS - Soát xét hệ thống - Cải tiến hệ thống Tiêu chuẩn hoàn toàn tương thích với tiêu chuẩn quản lý khác ISO 9001:2000 ISO 14001:2004, đảm bảo thống thành công triển khai lúc tiêu chuẩn quản lý khác 3.2.4 Mục đích kiểm soát Cung cấp sở chung cho việc phát triển chuẩn an ninh tổ chức thực tiễn quản lý an ninh cách hiệu quả, đồng thời cung cấp tin cậy mối quan hệ tổ chức 3.3 Quy trình làm việc Về bản, bước triển khai hệ thống ISO/IEC 27001 có nhiều điểm tương đồng với áp dụng ISO 9000 & ISO 14000… Tuy nhiên, hệ thống quản lý an toàn thông tin nên có số điểm cần trọng xây dựng như: xác định đầy đủ tài sản thông tin, nhận biết đánh giá mối nguy, lựa chọn biện pháp xử lý mối nguy thích hợp… Các bước cần thực để đạt chứng nhận hệ thống quản lý an toàn thông tin ISO/IEC 27001: 1) Cam kết Lãnh đạo xây dựng hệ thống quản lý an toàn thông tin cho tổ chức 2) Phổ biến, đào tạo nhận thức tiêu chuẩn ISO/IEC 27001 cho cán 3) Thiết lập hệ thống tài liệu theo yêu cầu tiêu chuẩn ISO/IEC 27001 4) Xây dựng sách, mục tiêu phạm vi hệ thống ISMS 5) Phân tích, đánh giá rủi ro an toàn thông tin phạm vi hệ thống 6) Thiết lập biện pháp kiểm soát rủi ro 7) Lựa chọn mục tiêu biện pháp kiểm soát 8) Vận hành hệ thống ISMS thiết lập 9) Thực hoạt động xem xét cải tiến hiệu lực hệ thống 25 10) Đánh giá chứng nhận Thời gian cần thiết để xây dựng hệ thống quản lý an toàn thông tin có hiệu lực hiệu đánh giá thức cần khoảng ~ 18 tháng phụ thuộc vào quy mô, nhu cầu thực tế, khả tập trung nguồn lực tổ chức cho trình xây dựng Tổ chức thuận lợi trước có kinh nghiệm xây dựng, vận hành số hệ thống quản lý khác ISO 9000, ISO 14000……… 3.4 Ưu điểm, nhược điểm 3.4.1 Ưu điểm + Khía cạnh thương mại: Sự tín nhiệm Các khách hàng, đối tác, cổ đông tin tưởng thông tin họ bảo vệ cách an toàn Là điểm mạnh việc marketing cho sản phẩm, dịch vụ + Khía cạnh vận hành: Chuẩn hóa Có kiến thức tốt hệ thống thông tin, nhược điểm chúng cách bảo vệ việc quản lý rủi ro Các qui trình chuẩn hóa (nếu có tư vấn ISO 27001 kinh nghiệm thuận lợi hơn) Áp dụng kiến thức giới Áp dụng kinh nghiệm tổ chức áp dụng (Nếu tư vấn ISO 27001 hỗ trợ thuận lợi hơn) + Khía cạnh tài chính: Giảm chi phí Các chi phí liên quan đến an toàn thông tin giảm cố xảy Giảm chi phí quản lý + Khía cạnh nhân lực: Tăng nhận thức Tăng nhận thức trách nhiệm nhân viên Tăng hiệu công việc (Nếu tư vấn ISO 27001 hỗ trợ thuận lợi hơn) + Khía cạnh tổ chức: Cam kết Sự đảm bảo hiệu nỗ lực giúp bảo đảm an toàn thông tin cho tổ chức tất cấp 26 Cung cấp sở chung cho tổ chức phát triển, thực đánh giá thực hành quản lý an toàn thông tin + Khía cạnh luật pháp: Sự phù hợp Chứng tỏ với quan có thẩm quyền tổ chức tuân theo luật định qui định hành 3.4.2 Nhược điểm + Quy trình rà soát ban lãnh đạo: Việc rà soát định kỳ lần/năm chưa nhiều mà công nghệ tội phạm công nghệ ngày phát triển nhanh + Quy trình khắc phục: chưa đề cập đến việc xây dựng hệ thống tổng hợp ghi nhận lỗi phát sinh biện pháp giải tương ứng chưa có biện pháp chế tài với phận khắc phục cố trường hợp không đạt yêu cầu + Quy trình phòng ngừa: Chưa đề cập đến việc xây dựng hệ thống tổng hợp ghi nhận báo cáo đánh giá hệ thống quản lý an toàn thông tin Chưa có biện pháp chế tài, khen thưởng phận tham gia hành động phòng ngừa + Quy trình đánh giá nội bộ: Thiếu việc đào tạo nhận thức nhân viên việc trì hệ thống an toàn thông tin…… 3.5 Ví dụ doanh nghiệp áp dụng: Ngân hàng TMCP Ngoại Thương Việt Nam Là ngân hàng đứng đầu lĩnh vực tài chính, VCB nhận thức rõ rủi ro nguy tiềm ẩn từ hệ thống CNTT xem khía cạnh quan trọng cần quan tâm mức Chính vào ngày 27 tháng 08 năm 2013, Tổng Giám đốc Ngân hàng TMCP Ngoại thương Việt Nam phê duyệt định “Ban hành tài liệu Tuyên bố áp dụng tiêu chuẩn ISO 27001:2005 hệ thống quản lý an toàn thông tin Ngân hàng TCMP Ngoại thương Việt Nam” Văn nêu rõ việc ban hành định, đơn vị chịu trách nhiệm tổ chức thực hiện, hiệu lực thi hành bảng mô tả mục tiêu biện pháp quản lý theo tiêu chuẩn quốc tế ISO/IEC 17799:2005 Ngoài văn tuyên bố áp dụng, ngân hàng có loạt văn quy định chặt chẽ việc thực công việc có liên quan đến nội dung tiêu chuẩn ISO 27001 bao gồm: − Tài liệu hướng dẫn đánh giá rủi ro tài sản công nghệ thông tin Ngân hàng TMCP Ngoại thương Việt Nam 27 − Quy định kiểm soát Tài liệu Hệ thống quản lý an toàn thông tin Ngân hàng TMCP Ngoại thương Việt Nam − Quy định kiểm soát hồ sơ Hệ thống quản lý an toàn thông tin Ngân hàng TMCP Ngoại thương Việt Nam − Quy định hành động khắc phục Hệ thống quản lý an toàn thông tin Ngân hàng TMCP Ngoại thương Việt Nam − Quy định hành động phòng ngừa Hệ thống quản lý an toàn thông tin Ngân hàng TMCP Ngoại thương Việt Nam − Quy định đo lường hiệu lực Hệ thống quản lý an toàn thông tin Ngân hàng TMCP Ngoại thương Việt Nam − Quy định rà soát ban lãnh đạo Hệ thống quản lý an toàn thông tin Ngân hàng TMCP Ngoại thương Việt Nam − Quy định đánh giá nội Hệ thống quản lý an toàn thông tin Ngân hàng TMCP Ngoại thương Việt Nam Nhìn chung, tất văn thực theo yêu cầu tiêu chuẩn quốc tế ISO 27001 Phạm vi áp dụng: áp dụng quy định tiêu chuẩn ban hành kèm theo văn cho toàn Trung tâm, phòng/ban, phận nghiệp vụ Hội sở chính, Sở giao dịch, Chi nhánh, Công ty TNHH MTV cho thuê tài Ngân hàng Ngoại thương CHƯƠNG III: NGHIÊN CỨU RỦI RO, NHỮNG CHÚ Ý VÀ BÀI HỌC Nghiên cứu rủi ro Các yêu cầu an toàn thông tin xác định phương pháp định giá rủi ro an toàn Vấn đề chi phí kiểm soát cần cân nhắc kỹ lưỡng thiệt hại kinh doanh tính an toàn Các kỹ thuật định giá rủi ro áp dụng tổ chức, phận tổ chức, hệ thống thông tin cá nhân, thành phần hệ thống xác định dịch vụ, … mang tính chất khả thi, thực tế hữu ích Đánh giá rủi ro vấn đề có tính chất hệ thống của: Kết việc đánh giá hướng dẫn xác định hành động quản lý tương ứng mức độ ưu tiên cho vấn đề quản lý rủi ro an toàn thông tin, cho việc triển khai quy tắc 28 lựa chọn để bảo vệ rủi ro Quá trình đánh giá rủi ro lựa chọn quy tắc cần thực nhiều lần nhằm bao quát toàn phận khác tổ chức hệ thống thông tin cá nhân Chọn lựa quy tắc: Khi xác định yêu cầu an toàn, cần bắt đầu việc chọn lựa triển khai quy tắc nhằm giảm thiểu rủi ro tới mức chấp nhận Có thể chọn lựa quy tắc từ tài liệu từ tập quy tắc khác, thiết kế quy tắc cho phù hợp với yêu cầu đặt Có nhiều cách để quản lý rủi ro tài liệu cung cấp cách tiếp cận chung qua ví dụ Tuy nhiên, điều cần thiết phải nhận biết số quy tắc áp dụng cho môi trường hệ thống thông tin, áp dụng cho tổ chức Xuất phát điểm an toàn thông tin: Nhiều quy tắc xem nguyên lý cung cấp xuất phát điểm tốt cho việc triển khai an toàn thông tin Các quy tắc dựa yêu cầu luật pháp xem nguyên tắc chung cho vấn đề an toàn thông tin Xuất phát từ quan điểm luật pháp, quy tắc coi thiết yếu tổ chức Các nhân tố định thành công: Kinh nghiệm cho thấy rằng, nhân tố thường định thành công việc triển khai vấn đề an toàn thông tin tổ chức: Chính sách an toàn, mục tiêu hành động phản ánh mục đích doanh nghiệp Cách tiếp cận nhằm triển khai an toàn phù hợp với văn hóa tổ chức Các hỗ trợ tâm huyết từ nhà quản lý Sự hiểu biết tốt yêu cầu an toàn thông tin, đánh giá rủi ro quản lý rủi ro Phổ biến vấn đề an toàn cho tất nhà quản lý nhân viên Đưa hướng dẫn sách an toàn thông tin chuẩn cho nhân viên nhà thầu Có đào tạo giáo dục thích hợp Sử dụng hệ thống đánh giá thực vấn đề quản lý an toàn thông tin phải có tính ổn định, tính toàn diện đưa đề xuất nhằm cải thiện tốt Phát triển nguyên tắc đạo: Nguyên lý xem xuất phát điểm cho phát triển đường lối/nguyên tắc đạo cho tổ chức Không phải nguyên tắc quản lý đạo tập hợp nguyên tắc áp dụng Hơn nữa, quản lý tài liệu hoàn toàn cần đến Khi 29 đó, điều hữu ích làm tham chiếu, tạo thuận lợi việc kiểm tra soạn giả doanh nghiệp Những ý học - Lãnh đạo Dự án công nghệ thông tin tác động tới hoạt động phận thay đổi cách thức làm việc ngày nhiều người Nếu lãnh đạo cấp cao không giải thay đổi may thành công dự án giảm => Người lãnh đạo phải biết nhìn xa trông rộng chịu trách nhiệm rủi ro Họ cần phải thấu hiểu biết phối hợp bên tham gia dự án Họ phải biết lựa chọn công cụ quản trị hệ thống thông tin phù hợp với dự án Các công cụ quản trị hệ thống thông tin có hỗ trợ nhắc nhở cố đến từ tài nguyên người lãnh đạo đáng ý Vậy nên cần lưu ý rủi ro thực vận động thay đổi tài nguyên người - Sự tham gia người có liên quan Các dự án ứng dụng công nghệ thông tin liên quan đến nhiều phận cá nhân tổ chức Nếu tất không hiểu công cụ để quản trị hệ thống thông tin đó, không tham gia, không đồng lòng, không đào tọa, huấn luyện đầy đủ gẫy vỡ khâu ảnh hưởng cho hệ thống => Cần trọng việc giải thích phân bổ công việc hợp lý tránh tượng gây cảm giác bị sa thải nhân viên Tổ chức huấn luyện làm theo luồng thông tin - Mong muốn phi thực tế Trong dự án ứng dụng công cụ quản trị hệ thống thông tin có nhiều mục tiêu tối ưu mà lãnh đạo muốn đạt được, song quy mô nhỏ khả công nghệ thông tin Việt Nam chưa thể áp dụng kiến thức nhân viên chưa đủ => Cần sử dụng công cụ phù hợp với hệ thống, tính toán chi phí tránh việc áp dụng công nghệ đại gặp phải vấn đề chi phí sụp đổ Kinh phí đề quan trọng cần phải hạch toán cẩn thận - Quản lý cấu hình Nếu cấu hình mang tính qua loa, có chức không phù hợp 30 => Cần quan tâm ý kiểm soát theo yếu tố công cụ quản trị hệ thống thông tin tương ứng - Quy trình làm việc Cần đến xây dựng quy trình làm việc công cụ xem hợp lý chưa, chưa tối ưu cần nghiên cứu thiết kế lại cho hợp lý Mỗi quy trình cần xác định ưu nhược điểm để từ phát huy ưu điểm khắc phục nhược điểm để xây dựng quy trình làm việc hoàn chỉnh, hiệu KẾT LUẬN Hiện việc xây dựng hệ thống thông tin việt nam thường không trực tiếp phát triển hệ thống thông tin Đó nguyên nhân hàng đầu dẫn đến nhiều dự án ứng dụng công nghệ thông tin Việt Nam bị thất bại Việc tìm kiếm đưa vào ứng dụng phương pháp hay giới việc làm cấp thiết Điều không nâng cao kiến thức công nghệ thông tin mà quan trọng nâng cao hệ thống thông tin tạo chiến lược kinh doanh nhanh chóng giúp nước ta phát triển đuổi kịp nước phát triển giới Có nhiều công cụ quản trị hệ thống thông tin nhiên làm để công cụ thiết thực, đem lại hiệu hoạt động cho doanh nghiệp cần phải đề cập đến mức độ rủi ro an ninh thông tin 31 Tóm lại, qua việc tìm hiểu công cụ quản trị hệ thống thông tin trên, doanh nghiệp cần áp dụng công cụ để hệ thống xây dựng có khả thành công cao hơn, mức độ kiểm soát an ninh thông tin tốt nhất, chặt chẽ Từ giúp ích cho việc quản trị công nghệ thông tin quản trị đường tiến tới thành công, đem lại lợi ích lâu dài tương lai danh nghiệp 32 [...]... làm theo luồng thông tin mới - Mong muốn phi thực tế Trong mỗi dự án ứng dụng công cụ quản trị hệ thống thông tin có rất nhiều mục tiêu tối ưu mà lãnh đạo muốn đạt được, song có thể do quy mô còn nhỏ và khả năng công nghệ thông tin ở Việt Nam chưa thể áp dụng hoặc kiến thức nhân viên còn chưa đủ => Cần sử dụng công cụ phù hợp với hệ thống, tính toán chi phí tránh việc áp dụng các công nghệ quá hiện đại... ninh thông tin 31 Tóm lại, qua việc tìm hiểu các công cụ quản trị hệ thống thông tin trên, doanh nghiệp cần áp dụng các công cụ đó để hệ thống được xây dựng có khả năng thành công cao hơn, mức độ kiểm soát an ninh thông tin tốt nhất, chặt chẽ nhất Từ đó sẽ giúp ích cho việc quản trị công nghệ thông tin cũng như là quản trị chính những con đường tiến tới thành công, đem lại lợi ích lâu dài trong tương... thống quản lý an toàn thông tin của Ngân hàng TMCP Ngoại thương Việt Nam − Quy định kiểm soát hồ sơ của Hệ thống quản lý an toàn thông tin của Ngân hàng TMCP Ngoại thương Việt Nam − Quy định hành động khắc phục đối với Hệ thống quản lý an toàn thông tin của Ngân hàng TMCP Ngoại thương Việt Nam − Quy định hành động phòng ngừa đối với Hệ thống quản lý an toàn thông tin của Ngân hàng TMCP Ngoại thương Việt. .. phát huy cái ưu điểm và khắc phục nhược điểm để xây dựng được quy trình làm việc hoàn chỉnh, hiệu quả hơn KẾT LUẬN Hiện nay việc xây dựng hệ thống thông tin ở việt nam thường không trực tiếp phát triển hệ thống thông tin Đó là nguyên nhân hàng đầu dẫn đến nhiều dự án ứng dụng công nghệ thông tin ở Việt Nam bị thất bại Việc tìm kiếm và đưa vào ứng dụng những phương pháp hay trên thế giới là một việc làm... TMCP Ngoại thương Việt Nam − Quy định đo lường hiệu lực của Hệ thống quản lý an toàn thông tin của Ngân hàng TMCP Ngoại thương Việt Nam − Quy định rà soát của ban lãnh đạo đối với Hệ thống quản lý an toàn thông tin của Ngân hàng TMCP Ngoại thương Việt Nam − Quy định đánh giá nội bộ đối với Hệ thống quản lý an toàn thông tin của Ngân hàng TMCP Ngoại thương Việt Nam Nhìn chung, tất cả các văn bản trên đều... Các sự hỗ trợ tâm huyết từ các nhà quản lý Sự hiểu biết tốt về các yêu cầu an toàn thông tin, đánh giá rủi ro và quản lý rủi ro Phổ biến vấn đề an toàn cho tất cả các nhà quản lý cũng như các nhân viên Đưa ra các hướng dẫn về chính sách an toàn thông tin và các chuẩn cho mọi nhân viên cũng như các nhà thầu Có sự đào tạo và giáo dục thích hợp Sử dụng các hệ thống đánh giá sự thực hiện trong vấn đề quản. .. thức về công nghệ thông tin mà quan trọng hơn chính là nâng cao những hệ thống thông tin tạo chiến lược kinh doanh nhanh chóng giúp nước ta phát triển đuổi kịp các nước phát triển trên thế giới Có rất nhiều các công cụ quản trị hệ thống thông tin tuy nhiên làm thế nào để những công cụ đó thiết thực, đem lại hiệu quả hoạt động cho doanh nghiệp thì cần phải đề cập đến mức độ rủi ro và an ninh thông tin 31... 9001: Các yêu cầu đối với hệ thống quản lý chất lượng mà doanh nghiệp cần phải đáp ứng, làm cơ sở đánh giá Chứng nhận ISO 9004: Hướng dẫn cải tiến nâng cao hiệu lực, hiệu quả của hệ thống ISO 19011: Hướng dẫn đánh giá hệ thống quản lý 2.2.2 Phạm vi áp dụng Một hệ thống quản lí chất lượng phù hợp với tiêu chuẩn ISO 9001:2000 là một hệ thống được thiết lập, được văn bản hóa và phải chứng tỏ được tính... chịu trách nhiệm về các rủi ro Họ cũng cần phải thấu hiểu và biết phối hợp các bên tham gia dự án Họ phải biết lựa chọn công cụ quản trị hệ thống thông tin nào phù hợp nhất với dự án của mình Các công cụ quản trị hệ thống thông tin đều có sự hỗ trợ nhắc nhở về sự cố đến từ tài nguyên con người và lãnh đạo là đáng chú ý nhất Vậy nên cần lưu ý rủi ro này và thực hiện vận động thay đổi ở tài nguyên con người... quan Các dự án ứng dụng công nghệ thông tin đều liên quan đến nhiều bộ phận và cá nhân trong tổ chức Nếu tất cả đều không hiểu về công cụ để quản trị hệ thống thông tin đó, không tham gia, không đồng lòng, không được đào tọa, huấn luyện đầy đủ thì sự gẫy vỡ của một khâu sẽ ảnh hưởng cho cả hệ thống => Cần chú trọng việc giải thích phân bổ công việc hợp lý tránh hiện tượng gây cảm giác sắp bị sa thải ở