VIII Duy trì và cải tiến liên tục
CHƯƠNG 3: ĐỀ XUẤT GIẢI PHÁP ĐỂ ÁP DỤNG THÀNH CÔNG HỆ THỐNG QUẢN LÝ AN TOÀN THÔNG TIN THEO
3.1. Nâng cao nhận thức của cán bộ nhân viên trong Công ty
Giải pháp này được đưa ra vì đây là khó khăn đầu tiên của Công ty khi triển khai ISMS cũng như thực trạng nhận thức của cán bộ nhân viên trong Công ty về đảm bảo an toàn thông tin là chưa cao. Trong tiềm thức của những nhân viên đã không có khái niệm an toàn thông tin thì làm sao các hành động của họ có thể giúp đảm bảo ATTT thông tin được. Vì vậy, triển khai thành công ISMS theo tiêu chuẩn ISO 27001:2008, Công ty cần thay đổi nhận thức, thói quen của nhân viên trong Công ty để họ ý thức được tầm quan trọng của bảo mật thông tin và thực hiện các hành động đảm bảo an toàn thông tin ngay từ những công việc thường ngày nhất trong Công ty.
Để nâng cao nhận thức của cán bộ nhân viên trong Công ty về sự cần thiết cũng như lợi ích đạt được khi triển khai áp dụng ISMS theo tiêu chuẩn ISO 27001:2008 thì Công ty phải thực hiện các Công việc sau đây:
Mở các khóa đào tạo nhận thức cho nhân viên trong Công ty biết được tầm quan trọng cũng như lợi ích của ISMS
Để thực hiện đước khóa đào tạo nội bộ về nhận thức này, Ban lãnh đạo cần có quyết định chính thức về việc đào tạo nhận thức tới những người có liên quan tới công việc đảm bảo ATTT theo ISMS. Sau đó, Ban lãnh đạo sẽ giao cho Trung tâm đào tạo của Công ty tổ chức thực hiện đào tạo nhận thức.
Các công việc phải làm khi tổ chức thực hiện khóa đào tạo nội bộ về nhận thức của nhân viên như sau:
- Chuyên viên đào tạo/ nhân sự đơn vị sẽ thực hiện khảo sát nhu cầu đào tạo nhận thức của nhân viên trong Công ty. Sau đó tổng hợp và lên kế hoạch đào tạo.
- Kế hoạch đào tạo sẽ được trình lên cho Trưởng đơn vị hoặc Giám đốc Trung tâm đào tạo xem xét và phê duyệt.
- Sau khi đã được phê duyệt, với đào tạo nhận thức cho nhân viên trong Công ty thì chuyên viên đào tạo/ nhân sự đơn vị sẽ mở lớp học nội bộ. Sử dụng các trang thiết bị, phòng học và nguồn nhân lực của Công ty để thực hiện đào tạo.
- Việc tìm giảng viên cũng là cán bộ nhân viên trong Công ty. Do là đào tạo nhận thức về lợi ích và tầm quan trọng của ISMS theo tiêu chuẩn ISO 27001:2008
nên giảng viên nội bộ phải là người có chuyên môn, kinh nghiệm trong việc triển khai ISMS. Khuyến nghị sử dụng giảng viên nội bộ cho khóa đào tạo này là các cán bộ trong đội dự án ISO 27001 hoặc là chuyên gia tư vấn do Công ty thuê về thực hiện giảng dậy.
- Sau khi tìm được giảng viên, chuyên viên đòa tạo/ nhân sự đơn vị cùng giảng viên nội bộ xây dựng chương trình đào tạo gồm các nội dung cần giảng dậy trong khóa đào tạo, những tài liệu cần sử dụng, cơ sở vật chất trang thiết bị cần dùng cho khóa đào tạo.
- Trung tâm đào tạo thực hiện tổ chức đào tạo theo chương trình đào tạo đã được xây dựng và thông báo kết quả tới Ban lãnh đạo.
Mở các cuộc hội thảo toàn Công ty để nhân viên trong Công ty có thể tự do phát biểu suy nghĩ của mình về ATTT cũng như suy nghĩ của họ về ISMS
Đây cũng là một cách nâng cao nhận thức phổ biến mà các Công ty đang sử dụng. Với số lượng nhân viên lớn như Tập đoàn HIPT thì việc triển khai các lớp học là khá tốn kém. Vì vậy việc mở các cuộc hội thảo để tập hợp đông đảo các cán bộ nhân viên trong Công ty cùng nghe và thảo luận về ATTT và ISMS là cách nhanh nhất. Để thực hiện buổi hội thảo, Trung tâm đào tạo phải thực hiện các Công việc sau:
- Tìm địa điểm để thực hiện hội thảo
- Lên kế hoạch thực hiện hội thảo gồm thời gian, địa điểm, nội dung trong buổi hội thảo, đối tượng được mời tham gia hội thảo.
- Trình kế hoạch lên cho ban lãnh đạo xem xét và phê duyệt. - Mời những lãnh đạo, cán bộ có liên quan tham gia hội thảo - Tổ chức thực hiện hội thảo
- Kết thúc hội thảo và báo cáo kết quả tới ban lãnh đạo Công ty
Chỉ cho các nhân viên thấy được các công việc họ đang làm có thể gây mất ATTT như thế nào và thiệt hại do mất ATTT đó gây ra
Đây là một công việc khó khăn hơn rất nhiều so với tổ chức các buổi đào tạo, các buổi hội thảo nhưng lại có hiệu quả tốt hơn rất nhiều. Vì để chỉ rõ cho nhân viên thấy được các công việc họ đang làm có thể gây ra mất ATTT như thế nào thì những cán bộ có chuyên môn, kinh nghiệm về ATTT phải đi sâu tìm hiểu xem các công việc của từng cán bộ nhân viên là gì? Liệu công việc họ đang làm có thể gây mất ATTT hay không? Việc đi sâu tìm hiểu này sẽ mất rất nhiều thời gian và nguồn lực. Nhưng khi đã tìm hiểu và phân tích được thì việc chỉ cho các nhân viên đó thấy những công việc nào đang gây mất ATTT và phải giải thích cho họ tại sao lại mất ATTT và thiệt hại do việc mất ATTT này gây ra cũng mất rất nhiều thời gian nhưng
lại rõ ràng và sát thực không chỉ mang tình lý thuyết. Nhờ đó nhân viên có thể hiểu rõ công việc mình đang làm có thể gây mất ATTT như thế nào và tìm các biện pháp khắc phục để tránh tiếp tục gây mất ATTT.
Hướng dẫn nhân viên cách thức thực hiện để đảm bảo ATTT và thường xuyên chỉ đạo, kiểm tra, soát xét các công việc đó để nhân viên biết mà thay đổi
Khi nhân viên đã nhận thức được tầm quan trọng của ISMS đối với Công ty. Nếu Công ty chỉ dừng lại ở đó thì việc đào tạo nhận thức đó chỉ lãng phí nguồn lực của Công ty mà thôi mà không thu lại được hiệu quả gì. Để khẳng định rằng nhân viên đã nhận thức được tầm quan trọng của ATTT và thực hiện ý thức đảm bảo ATTT vào công việc mình đang làm thì ban lãnh đạo phải chỉ đạo những cán bộ có chuyên môn, kinh nghiệm về ISMS đến hưỡng dẫn cho những nhân viên ấy cách thức để đảm bảo ATTT trong công việc của họ. Sau khi đã hướng dẫn thì phải thường xuyên triểm tra xem xét xem họ có làm đúng theo hướng dẫn hay không? Có gì sai xót xảy ra trong quá trình họ thực hiện hay không? Để tìm cách khắc phục ngay giúp công việc được đi đúng hướng tránh gây mất ATTT.
Khi đã thực hiện tất cả các công việc để nâng cao nhận thức cho cán bộ nhân viên trong Công ty. Để biết rằng việc nâng cao nhận thức đã đạt được hiệu quả thì hãy nhìn vào công việc mà các nhân viên đó đang làm xem các công việc đó có thực sự đã làm đúng theo yêu cầu và đang đảm bảo ATTT cho Công ty hay không. Nếu sau khi kiểm tra, đánh giá mà thấy hệ thống quản lý ATTT của Công ty đang hoạt động hiệu quả hơn, khắc phục được những điểm yếu mà trước khi thực hiện nâng cao nhận thức xảy ra thì việc việc nâng cao nhận thức coi như đã thu được hiệu quả. Tuy nhiên, chi phí đào tạo nhân thức cho cán bộ nhân viên, ban lãnh đạo Công ty cũng phải xem xét vì nếu chi phí cho đào tạo lớn hơn lợi ích thu được do hiệu quả của việc đào tạo đem lại thì coi như việc đầu tư cho đào tạo nâng cao nhân thức là thất bại. Đối với HIPT, một Tập đoàn với quy mô lớn và phạm vi áp dụng lại rộng thì chi phí đào tạo nâng cao nhận thức vào khoảng 8.000 – 10.000 USD.