CÔNG TY CỔ PHẦN TẬP ĐOÀN HIPT 2.1 Thực trạng quản lý an toàn thông tin tại Công ty
2.2.Sự cần thiết của việc áp dụng tiêu chuẩn ISO 27001:2008 tại Công ty
2.2.1. Tầm quan trọng của hệ thống quản lý an toàn thông tin
Chấp hành đúng theo quy định của nhà nước (Chỉ thị 03/2007/CT-BBCVT) Hiện nay, tình hình an ninh mạng đang là vấn đề đáng quan tâm của toàn xã hội. Khi mà các cuộc tấn công trên Internet liên tục tăng trong những năm gần đây. Điển hình như tháng 6/2011, hơn 275 website của Việt Nam đã bị tấn công trong vòng nửa tháng, trong đó có khoảng 70 website là của các cơ quan nhà nước. Không ít trang thông tin của Việt nam sử dụng tên miền quốc tế bị mất hoặc bị chuyển hướng, virus, thư rác phát tán mạnh. Một số mạng mang địa chỉ IP của Việt Nam do phát tán virus hay thư rác đã bị cấm kết nối quốc tế, cấm giao dịch điện tử.... Trước tình hình an ninh thông tin diễn ra phức tạp, Bộ trưởng Bộ Bưu chính Viễn thông đã ban hành Chỉ thị số 03/2007/CT-BBCVT về tăng cường đảm bảo an ninh thông tin trên mạng Internet và rất nhiều các luật khác về đảm bảo an toàn thông tin. Mà bộ tiêu chuẩn ISO 27001:2008 lại bao gồm rất nhiều các yêu cầu bao quát đầy đủ các quy định trong luật đã được ban hành. Nhờ đó, khi áp dụng hệ thống quản lý an toàn thông tin theo tiêu chuẩn ISO 27001:2008 chính là đang chấp hành theo quy định của nhà nước đã ban hành.
Cho phép lãnh đạo quản lý dễ dàng hơn
Do ISMS theo tiêu chuẩn ISO 27001:2008 tiếp cận dựa theo quá trình, tất cả các hoạt động, các bước triển khai, các quy định cho từng bước hoạt động của công việc, những người có liên quan và chịu trách nhiệm về công việc đó. Các hoạt động đều được ghi chép thành các văn bản và được lưu giữ lại. Nhờ đó, ban lãnh đạo có thể dễ dành quản lý các hoạt động về an toàn thông tin trong công ty hơn. Khi gặp sự cố về bảo mật thông tin có thể xác định được việc rò rỉ thông tin do đâu mà có và tìm biện pháp khắc phục theo chính sách bảo mật thông tin mà Công ty đã đặt ra. Một ví dụ cho việc giúp ban lãnh đạo quản lý dễ dàng hơn là khi áp dụng ISMS theo tiêu chuẩn ISO 27001:2008 sẽ có quy định cụ thể về việc quản lý máy tính của từng nhân viên trong Công ty và có quy định cụ thể về việc sử dụng máy tính đó. Khi gặp sự cố về bảo mật thông tin do rò rỉ thông tin từ máy tính của nhân viên trong Công ty, ban quản lý có thể xác định được việc rò rỉ thông tin đó là do máy tính nào gây ra và những thiệt hại do rò rỉ thông tin từ chiếc máy tính đó. Từ đó tìm
biện pháp khắc phục và có quy định xử phạt cụ thể cho những nhân viên gây rò rỉ thông tin đó.
Đưa ra những điểm hạn chế mà cần phải có giải pháp khắc phục
Khi áp dụng ISMS theo tiêu chuẩn ISO 27001:2008, chúng ta sẽ thực hiện xác định các rủi ro, những mỗi đe dọa có thể gặp phải, đánh giá các rủi ro đó, và từ đó đưa ra các biện pháp khắc phục các rủi ro, hoặc tìm cách giảm thiểu những thiệt hại do những mối đe dọa đó mạng lại. Không những vậy, khi đánh giá các rủi ro, chính là lúc Công ty tìm ra những mặt hạn chế trong chính hệ thống quản lý an toàn thông tin của mình. Nhờ đó tìm ra được cách khắc phục những mặt hạn chế đó trước khi các rủi ro có thể xảy ra.
Đảm bảo công ty có một hệ thống quản lý chung
Khi thực hiện xây dựng và áp dụng ISMS theo tiêu chuẩn ISO 27001:2008, Công ty phải xây dựng một hệ thống tài liệu chung cho toàn Công ty về các quy trình, chính sách liên quan đến hoạt động bảo mật thông tin giống như xây dựng một hệ thống tài liệu chung về hệ thống quản lý chất lượng theo tiêu chuẩn ISO 9001:2008. Hệ thống tài liệu này sẽ được ban hành và áp dụng cho mọi hoạt động của Công ty liên quan tới bảo mật thông tin. Mọi nhân viên trong Công ty đều phải thực hiện theo các quy định, quy trình, chính sách mà bộ tài liệu này ban hành. Hệ thống tài liệu này chính là dạng văn bản hóa của hệ thống quản lý chung cho toàn Tập đoàn mà mọi thành viên trong Tập đoàn đều phải tuân thủ và áp dụng.
Ngăn ngừa vi phạm pháp luật
Hiện nay, rất nhiều các trang Web của các công ty bị các hacker xâm nhập nhằm ăn cắp thông tin, truyền những thông tin không tốt lên trang chủ của công ty gây ảnh hưởng tới uy tín của công ty. Không những thế rất nhiều các tài liệu nội bộ của công ty đã bị phát tán trên mạng xã hội hoặc bán cho các đối thủ. Đó là một trong những tình trạng vi phạm pháp luật về an toàn thông tin. Thực hiện đúng theo bộ tiêu chuẩn ISO 27001:2008 không chỉ thực hiện đúng theo quy định của nhà nước về an toàn thông tin mà còn giúp Công ty tránh tình trạnh bị “ăn cắp” thông tin, bị truy cập thông tin trái phép gây ảnh hưởng tới tính chính xác của thông tin. Nhờ đó, ngăn ngừa được tình trạng tội phạm mạng đang ngày càng phát triển mạnh và ngăn chặn việc vi phạm pháp luật về an toàn thông tin ở nước ta.
Định hướng tăng cường lựa chọn các giải pháp an ninh
Triển khai ISMS theo tiêu chuẩn ISO 27001:2008 chính là công ty phân tích, đánh giá các rủi ro có thể gặp phải về mất an toàn thông tin từ đó tìm ra các giải pháp để kiểm soát các rủi ro đó. Chính vì vậy, khi khi thực hiện áp dụng ISMS,
Công ty sẽ tìm ra được nhiều giải pháp tốt hơn cho các vấn đề an ninh và từ đó có kinh nghiệm trong việc khắc phục các rủi ro mất an toàn thông tin đó. Cũng như luôn luôn suy nghĩ các biện pháp để đảm bảo an toàn thông tin dù việc quản lý an toàn thông tin đang diễn ra rất tốt thì vẫn luôn có các phương án dự phòng cho những trường hợp có thể xảy ra. Và luôn chú trọng trong việc tìm ra các giải pháp đảm bảo an toàn thông tin một cách hiệu quả nhất.
2.2.2. Lợi ích khi có ISMS
Giảm thiểu được các rủi ro về bảo mật thông tin
Theo nguyên tắc của ISO 27001 là liệt kê, chỉ ra tất cả các rủi ro về an ninh thông tin có thể xảy ra trong doanh nghiệp để từ đó đánh giá và đưa ra các biện pháp để khắc phục, hạn chế đến mức tối thiểu các rủi ro này. Từ nguyên tắc này có thể thấy rõ được lợi ích mà ISMS theo tiêu chuẩn ISO 27001:2008 đem lại là giảm thiểu được các rủi ro về bảo mật thông tin.
Hình thành lên ý thức nhận biết, lập kế hoạch và xử lý các rủi ro của Công ty và đặt Công ty luôn ở thế chủ động trước các rủi ro, tác động tiềm ẩn về sự cố an toàn thông tin.
Khi triển khai ISMS, mọi nhân viên trong Công ty sẽ được đào tạo nhận thức về ISMS, tầm quan trọng của bảo mật thông tin, giúp các nhân viên trong Công ty có ý thức đảm bảo an toàn thông tin, tự biết lập ra các chương trình, kế hoạch cho mình theo quy trình đã được xây dựng và chủ động trong việc thực hiện các công việc đó. Từ việc phân tích, đánh giá các rủi ro có thể xảy ra, Công ty sẽ chủ động tìm ra các biên pháp xử lý để tránh các rủi ro đó hoặc giảm thiểu thiệt hại tới mức thấp nhất tác động tiềm ẩn về sự cố an ninh thông tin.
Củng cố năng lực của Công ty khi hội nhập quốc tế
Vấn đề an toàn thông tin đang là vấn đề cấp thiết và được quan tâm rất nhiều. Không chỉ đối với nhà nước, mà những doanh nghiệp hoạt động trong các lĩnh vực khác nhau cũng đều quan tâm tới vấn đề bảo mật thông tin. Hiện nay trên thế giới đã có hơn 5.600 doanh nghiệp và tổ chức xây dựng, áp dụng hệ thống quản lý an toàn thông tin theo tiêu chuẩn ISO 27001 và đã nhận được chứng chỉ ISO 27001:2005. Rất nhiều các nhà đầu tư, các doanh nghiệp nước ngoài khi tham gia hợp tác cũng yêu cầu đối tác của họ có chứng chỉ ISO 27001. Do bộ tiêu chuẩn ISO 27001 là bộ tiêu chuẩn quốc tế nên khi thực hiện theo hệ thống tiêu chuẩn quốc tế này và đạt được chứng nhận thì uy tín của Công ty sẽ được nâng cao, phản ánh năng lực của Công ty khi tham gia vào thị trường quốc tế.
Công ty sẽ tận dụng được các cơ hội phát triển và gia tăng quan hệ với khách hàng, đối tác và hình ảnh thương hiệu thông qua việc quảng bá một hệ thống quản lý an toàn thông tin hoàn chỉnh.
Hiện nay rất nhiều các công ty đang triển khai áp dụng hệ thống quản lý an toàn thông tin. Nhưng để đạt được chứng chỉ ISO 27001:2008 thì ở Việt Nam mới chỉ có một số doanh nghiệp. Trong khi Việt Nam đang hội nhập kinh tế thế giời, rất nhiều các nhà đầu tư nước ngoài như Mỹ, Nhật Bản,… đòi hỏi phải có một hệ thống quản lý an toàn thông tin một cách hoàn chỉnh. Nếu Công ty áp dụng thành công và đạt được chứng chỉ sẽ có thêm điều kiện thuận lợi để hợp tác với các nhà đầu tư khó tình như Mỹ và Nhật Bản. Công ty Cổ phần Hệ thống thông tin FPT-IS là điển hình cho một trong những Công ty đã áp dụng thành công ISMS và đạt được chứng chỉ ISO 27001:2008 tại Việt Nam. FPT-IS đã biết tận dụng cơ hội khi đạt được chứng chỉ để quảng bá thương hiệu FPT của mình, để không chỉ các đối tác, khách hàng hiện tại của FPT biết đến một FPT đã có hệ thống quản lý an toàn thông tin hoàn chỉnh mà còn giới thiệu cho mọi người biết đến một FPT đã được chứng nhận về bảo mật thông tin và khẳng định uy tín của mình về an toàn thông tin trong ngành CNTT. Để khi khách hàng muốn tìm đến một đối tác về đảm bảo an toàn thông tin họ sẽ nghĩ ngay tới FPT-IS. Đây chính là cách mà FPT-IS đi vào trí nhớ của khách hàng một cách nhanh nhất và hiệu quả nhất về một thương hiệu đảm bảo an toàn thông tin đã được chứng nhận. Đây là một trong những lợi ích rất lớn đối với Công ty mà Công ty cần tận dụng để mở rộng quan hệ hợp tác và thị trường kinh doanh của Công ty, gây dựng thương hiệu về một Công ty trong lĩnh vực CNTT cung cấp các dịch vụ, thiết bị, giải pháp đảm bảo an toàn thông tin một cách hiệu quả nhất.
Góp phần củng cố sự tin cậy của khách hàng đối với các dịch vụ, sản phẩm của Công ty. Đồng thời giúp tổ chức xây dựng môi trường làm việc ngày càng chuyên nghiệp.
Thực hiện ISMS theo tiêu chuẩn ISO 27001:2008 là thực hiện công việc theo quá trình. Dựa theo cách tiếp cận này, đầu ra của quá trình này thường sẽ là đầu vào của một quá trình tiếp theo. Khi đó việc quản lý sẽ xuyên suốt hơn. Mỗi quy trình đều nêu ra những công việc cụ thể, rõ ràng và được lên kế hoạch cụ thể cho từng công việc. Ví dụ như công việc do ai làm, làm trong thời gian bao lâu và kết quả đạt được là gì,… Từ đó sẽ tạo cho nhân viên có tình thần trách nhiệm đối với công việc, biết cách lên kế hoạch, sắp xếp thời gian công việc của mình một cách hợp lý và
không ỷ lại vào những người khác, tạo tác phong làm việc có kế hoạch, có trách nhiệm, tạo môi trường làm việc chuyên nghiệp cho nhân viên.
Nâng cao năng lực cạnh tranh của Công ty
Việc áp dụng ISO 27001 giúp Công ty có được hệ thống quản lý an toàn thông tin toàn diện, giảm thiểu các rủi ro có thể xảy ra do các sự cố về thông tin, và tăng cường khả năng đối phó với các tình huống khẩn cấp từ nguy cơ xâm nhập tới các nguy cơ vật lý. Do phạm vi áp dụng của chứng chỉ bảo mật ISO 27001 khá rộng, không chỉ giới hạn trong việc bảo vệ hệ thống mạng máy tính khỏi xâm nhập trái phép hoặc virus mà còn gồm các vấn đề như quản lý các loại tài sản vật lý, thông tin, phần mềm và dịch vụ. Việc áp dụng chuẩn ISO này còn gồm cả việc quản lý trao đổi thông tin nội bộ và bên ngoài; xây dựng và diễn tập các phương án đối phó với các trường hợp khẩn cấp, thiên tai; đảm bảo an ninh cá nhân; đảm bảo hoạt động của Công ty theo đúng pháp luật. Chính vì vậy, việc áp dụng thành công ISMS và nhận được chứng chỉ ISO 27001 không chỉ đảm bảo các thông tin của khách hàng được bảo mật nghiêm ngặt theo chuẩn quốc tế mà còn minh chứng cho năng lực cạnh tranh của Công ty.
Đưa ra các biện pháp kiểm soát gần gũi và thân thiện với ISMS từ đó giúp các nhà quản lý dễ dàng kiểm soát và tiếp cận với tri thức quản trị mới.
Do hệ thống quản lý an toàn thông tin theo tiêu chuẩn ISO 27001 được thực hiện dựa trên quá trình. Việc quản lý cũng dựa trên các quá trình đó cũng giống như việc quản lý chất lượng. Dựa trên các chính sách, quy trình đã được xây dựng và ban hành để thực hiện và quản lý công việc. Từ đó, việc quản lý và kiểm soát các hoạt động trở lên dễ dàng hơn. Và cũng là cách để các nhà quản trị tiếp cận với tri thức quản trị mới- quản trị theo quá trình.
Nguồn nhân lực, đặc biệt là lãnh đạo cấp trung và cấp cao nhận thức được giá trị của các tài sản và có phương thức quản lý khoa học, nhận thức về an toàn thông tin khi làm việc và khi giao dịch với khách hàng và đối tác.
Để thực hiện được thành công ISMS và nhận được chứng chỉ ISO 27001:2008, Công ty phải mất rất nhiều thời cho việc xây dựng các chính sách bảo mật và áp dụng các chính sách đó. Nhưng để thực hiện các chính sách bảo mật đó theo đúng quy định và hiệu quả thì đòi hỏi cần có sự quan tâm của ban lãnh đạo, và đặc biệt là nhận thức của nhân viên trong công ty về tầm quan trọng của việc thực hiện các chính sách bảo mật này. Để có được nhận thức đó, Công ty cần rất nhiều thời gian trong việc đào tạo thay đổi nhận thức và thói quen của nhân viên, đòi hỏi có sự cam kết chặt chẽ từ cấp lãnh đạo cao nhất trong Công ty. Khi đã được đào tạo
để thực hiện ISMS là lúc đào tạo để thay đổi nhận thức, thói quen trong cách làm việc không chỉ của nhân viên mà của cả cấp lãnh đạo. Họ sẽ hiểu rõ hơn về tầm quan trọng của bảo mật thông tin, nhận thức được những việc mình đang làm có thể vô tình làm mất an toàn thông tin và sẽ tự tìm được ra các giải pháp cho chính cá nhân của mình để bảo mật thông tin tốt hơn, tránh gây ra những rủi ro không đáng có.
Đạt được chứng chỉ ISO 27001:2008 là một bằng chứng, chứng tỏ rằng hệ thống quản lý an toàn thông tin của tổ chức đã và đang được xây dựng, vận hành một cách hiệu quả, giảm thiểu rủi ro và hỗ trợ đắc lực cho doanh nghiệp, tổ chức giúp cho doanh nghiệp, tổ chức đạt được mục tiêu một cách hiệu quả.