VIII Duy trì và cải tiến liên tục
3.2.Đào tạo nguồn nhân lực về triển khai ISMS theo tiêu chuẩn ISO 27001:
CHƯƠNG 3: ĐỀ XUẤT GIẢI PHÁP ĐỂ ÁP DỤNG THÀNH CÔNG HỆ THỐNG QUẢN LÝ AN TOÀN THÔNG TIN THEO
3.2.Đào tạo nguồn nhân lực về triển khai ISMS theo tiêu chuẩn ISO 27001:
27001:2008
Nguồn nhân lực hiện nay của Công ty có chuyên môn, kinh nghiệm trong việc triển khai ISMS là quá ít. Với số lượng 2- 3 người có chuyên môn, kinh nghiệm thì không thể triển khai thành công ISMS được. Vì vậy, Công ty cần đào tạo thêm cho những cán bộ chưa có kinh nghiệm trong việc triển khai ISMS để có thể thành lập đội dự án ISO 27001 nhằm triển khai ISMS một cách thuận lợi nhất.
Để đào tạo được nguồn nhân lực có chuyên môn, kinh nghiệm thì Công ty cần phải thực hiện các công việc sau:
Chọn ra những cán bộ có đủ điều kiện để tham gia vào đội dự án ISO 27001
Để chọn ra những cán bộ có đủ điều kiện, kiến thức tham gia vào đội dự án ISO 27001 thì ban lãnh đạo cùng cán bộ có chuyên môn, kinh nghiệm trong việc triển khai ISMS phải thực hiện cuộc kiểm tra đánh giá năng lực của những cán bộ này trước khi cho vào đội dự án. Để thực hiện được bài kiểm tracần làm những công việc sau:
- Trước hết ban lãnh đạo phải ra quyết định thành lập đội dự án sau đó gửi thông báo tới ban QLCL của Tập đoàn yêu cầu ban QLCL chọn những cán bộ có kiến thức, kinh nghiệm trong triển khai ISMS để thành lập đội dự án.
- Ban QLCL sẽ căn cứ vào hồ sơ, lý lịch của nhân viên trong Công ty để chọn ra những người có chuyên môn, kinh nghiệm.
- Ban QLCL sẽ tổ chức kiểm tra chuyên môn của những cán bộ này về ISMS để chọn ra những người giỏi nhất.
- Lập danh sách những người có thể tham gia vào đội dự án để trình lên ban lãnh đạo xem xét và phê duyệt.
Triển khai kế hoạch đào tạo cho những cán bộ trong đội dự án
Sau khi đã thành lập được đội dự án, bước tiếp theo Công ty cần cử họ đi đào tạo về chuyên môn cũng như nghiệp vụ liên quan tới ISMS, họ cần có kiến thức trong việc triển khai, đánh giá, kiểm soát và nâng cấp hệ thống quản lý ATTT. Để triển khai kế hoạch đào tạo, Công ty cần xác định xem họ cần học thêm những khóa đào tạo nào và cần những chứng chỉ nào. Thông thường, để triển khai ISMS, những cán bộ trong đội dự án cần được tham gia 3 khóa đào tạo sau:
- Đào tạo nhận thức về ISMS.
- Đào tạo cách viết tài liệu ISMS theo yêu cầu của ISO 27001:2008. - Đào tạo đánh giá nội bộ về ATTT.
Tìm và lựa chọn nhà cung ứng đào tạo phù hợp
Khi đã xác định những người cần đạo tạo, những khóa đào tạo cần được tiến hành thì bước tiếp theo là lựa chọn nhà cung ứng đào tạo phù hợp. Để lựa chọn được nhà cung ứng tốt, phù hợp với nhu cầu cũng như kinh phí của Công ty thì nhà quản lý cần thực hiện các công việc sau:
- Tập hợp tất cả các tổ chức cung ứng đào tạo về ISMS theo tiêu chuẩn ISO 27001:2008.
- Thực hiện đánh giá các tổ chức này xem tổ chức nào đủ điều kiện là nhà cung ứng đào tạo cho Công ty. Tổ chức có đủ điều kiện là tổ chức phải dung hòa được về chất lượng lẫn chi phí mà Công ty bỏ ra để thuê tổ chức đào tạo này.
- Chọn được nhà cung ứng đào tạo phù hợp. Trình kết quả lên ban lãnh đạo Công ty xem xét và phê duyệt.
Tiến hành đào tạo
Để tiến hành đào tạo được tốt các công việc phải làm là:
- Ban quản lý cùng tổ chức cung ứng đào tạo xây dựng kế hoạch đào tạo. - Công ty thông báo chương trình đào tạo tới những người có liên quan.
- Những cán bộ được cử đi đào tạo thực hiện học các khóa đào tạo tại tổ chức cung ứng đào tạo.
- Những cán bộ thi chứng chỉ sau khóa học.
Kết thúc đào tạo và báo kết quả đào tạo về cho ban lãnh đạo Công ty
Sau khi thi và nhận được chứng chỉ sau khóa đào tạo, cán bộ được cử đi đào tạo phải báo cáo kết quả đào tạo về cho ban lãnh đạo Công ty xem trong thời gian đào tạo tại tổ chức cung ứng đào tạo các cán bộ đã học được những gì? Việc học này có lợi ích gì cho việc triển khai ISMS theo tiêu chuẩn ISO 27001:2008 tại Công ty sau này.