I. Thông tin chung
Nằm trong dự án “Thúc đẩy hoạt động năng suất và chất lượng” thuộc Chương trình quốc gia ‘‘Hỗ trợ doanh nghiệp nâng cao năng suất chất lượng sản phẩm, hàng hóa giai đoạn 2021-2030’’ (Chương trình 1322), nhiệm vụ ‘‘Triển khai áp dụng Hệ thống quản lý an toàn thông tin ISO/IEC 27001:2013 tích hợp với Hệ thống quản lý chất lượng ISO 9001:2015 cho các doanh nghiệp Việt Nam trong quá trình chuyển đổi số” của Tổng cục Tiêu chuẩn Đo lường Chất lượng – Bộ Khoa học và Công nghệ đã mang lại những giá trị to lớn và thay đổi tích cực cho các doanh nghiệp được hỗ trợ.
Công ty TNHH Tư vấn quản lý & Phát triển doanh nghiệp Á Châu (AHEAD), với 20 năm kinh nghiệm trong lĩnh vực đào tạo, tư vấn, đã được Bộ Khoa học và Công nghệ lựa chọn thông qua kiểm tra năng lực để thực hiện nhiệm vụ này. AHEAD đã tư vấn, hướng dẫn thành công cho hơn 2800 đơn vị trong và ngoài nước xây dựng các Hệ thống quản lý (HTQL) theo các tiêu chuẩn quốc tế như ISO 9001, ISO 14001, ISO 20000, ISO 22000, ISO/IEC 27001, ISO 45001, ISO 50001, ...
Chương trình này không chỉ mang lại những thay đổi tích cực mà còn tạo ra các giá trị bền vững cho các doanh nghiệp được hỗ trợ. Một trong những ví dụ tiêu biểu là Công ty TNHH Hệ thống thông tin Đại Dương Mới (NOIS). Nhờ sự tư vấn chuyên nghiệp từ AHEAD, NOIS đã triển khai thành công Hệ thống quản lý (HTQL) an toàn thông tin ISO/IEC 27001:2013, tích hợp với Hệ thống quản lý chất lượng (HTQL) ISO 9001:2015. Kết quả này không chỉ nâng cao năng suất và chất lượng sản phẩm, dịch vụ mà còn tăng cường uy tín và lòng tin từ phía khách hàng.
Nhiệm vụ “Triển khai áp dụng Hệ thống quản lý an toàn thông tin ISO/IEC 27001:2013 tích hợp với Hệ thống quản lý chất lượng ISO 9001:2015 cho các doanh nghiệp Việt Nam trong quá trình chuyển đổi số” thực sự đã đóng góp một phần vô cùng quan trọng giúp các doanh nghiệp Việt Nam chuyển đổi số hiệu quả và bền vững, góp phần vào sự phát triển kinh tế và xã hội của đất nước.
II. Giới thiệu về Công ty TNHH Hệ thống thông tin Đại Dương Mới (NOIS)
Công ty TNHH Hệ thống thông tin Đại Dương Mới (NOIS) có trụ sở tại Thành phố Hồ Chí Minh, với hơn 100 nhân sự là chuyên gia và các kỹ sư hàng đầu. NOIS tập trung chính vào phát triển và cung cấp các loại dịch vụ Công nghệ thông tin, giải pháp phần mềm dựa trên nền tảng điện toán đám mây Azure, chuyển đổi kỹ thuật số trong sản xuất, dịch vụ gia công phần mềm công nghệ thông tin. Tận dụng triệt để các nguồn tài nguyên công nghệ thông tin, NOIS là công ty phần mềm uy tín, giúp kéo gần khoảng cách chuyển đổi số đến với mỗi doanh nghiệp.
Hình 1:Logo Công ty TNHH Hệ thống thông tin Đại Dương Mới (NOIS)
Với một công ty cung cấp đa dạng dịch vụ như NOIS, việc thiếu hệ thống quản lý bài bản sẽ dẫn tới sự mất kiểm soát, thể hiện thông qua sản phẩm lỗi, khiếu nại của khách hàng, không phối hợp ăn ý giữa các bộ phận chức năng trong tổ chức, gây ảnh hưởng trực tiếp đến năng suất, kết quả hoạt động và uy tín của công ty.
Thông qua dự án “Triển khai áp dụng Hệ thống quản lý an toàn thông tin ISO/IEC 27001:2013 tích hợp với Hệ thống quản lý chất lượng ISO 9001:2015 cho các doanh nghiệp Việt Nam trong quá trình chuyển đổi số”, các chuyên gia tư vấn AHEAD đề xuất cho doanh nghiệp triển khai áp dụng mô hình HTQL an toàn thông tin ISO/IEC 27001:2013 tích hợp với hệ thống quản lý chất lượng ISO 9001:2015 cho doanh nghiệp.
II. Quá trình triển khai áp dụng tích hợp Hệ thống quản lý ISO 9001 và ISO/IEC 27001 tại NOIS
Qua quá trình khảo sát thực trạng tại công ty, nhóm chuyên gia tư vấn AHEAD đã phân tích các mức độ đáp ứng của công ty với các yêu cầu của tiêu chuẩn ISO 9001:2015 và ISO/IEC 27001:2013 từ đó chỉ ra những điểm mạnh, điểm hạn chế còn tồn tại, điểm lãng phí đang gặp phải, từ đó xây dựng kế hoạch triển khai, áp dụng tích hợp HTQL chất lượng và an toàn thông tin phù hợp và đem lại hiệu quả tốt nhất.
Các bước AHEAD triển khai dự án tại NOIS:
Hình 2: Các bước triển khai của dự án tại công ty TNHH Hệ thống thông tin Đại Dương Mới
AHEAD đã tiến hành đào tạo nhận thức, đào tạo đánh giá rủi ro và đào tạo đánh giá nội bộ cho nhân sự tại NOIS. Từ kết quả quả bài kiểm tra sau đào tạo cho thấy, các học viên đã nắm vững các nội dung, nguyên tắc, khái niệm và yêu cầu của tiêu chuẩn ISO 9001:2015 và ISO/IEC 27001:2013.
Qua quá trình đánh giá rủi ro ATTT, công ty sau khi được nhóm chuyên gia tư vấn hướng dẫn, đã xây dựng và văn bản hoá thành công hệ thống thang điểm và cách thức đánh giá rủi ro, tạo bảng đánh giá rủi ro hệ thống quản lý ATTT, từ đó đã đưa ra tuyên bố áp dụng các biện pháp quản lý (SOA).
Sau khi hoàn thành việc soạn thảo tài liệu, tài liệu được phê duyệt, ban hành và áp dụng trong thực tế doanh nghiệp. Đơn vị AHEAD tiến hành hướng dẫn cho ban triển khai dự án NOIS về các hạng mục thực hiện triển khai áp dụng:
Hình3: Hạng mục thực hiện triển khai áp dụng HTQL tại NOIS
Thông qua sự hướng dẫn của đơn vị tư vấn AHEAD, bộ tài liệu đã được ban hành và thông báo đến toàn thể công nhân viên trong công ty triển khai thực hiện áp dụng. Với các phương thức khác nhau: Email, họp định kỳ, hệ thống nội bộ, đào tạo nội bộ, treo dán chính sách... tiến hành truyền rõ ràng đầy đủ giúp nhân viên công ty hiểu rõ hơn về nội dung và cách thức triển khai của bộ tài liệu. Và các cuộc họp định kỳ và trao đổi trực tiếp giải đáp mọi thắc mắc từ nhân viên, tạo điều kiện cho nhân viên trao đổi ý kiến, cập nhật tiến độ để đảm bảo rằng hệ thống được triển khai và áp dụng một cách hiệu quả.
Khi áp dụng tích hợp hệ thống quản lý an toàn thông tin ISO/IEC 27001:2013 với hệ thống quản lý chất lượng ISO 9001:2015 đem lại nhiều lợi ích:
- 100% học viên tiếp thu và nắm vững các nội dung, các nguyên tắc, các khái niệm và yêu cầu của tiêu chuẩn.
- Giúp giảm bớt sự chồng chéo của hệ thống quản lý, góp phần nâng cao năng suất lao động của nhân viên.
- 100% các mục tiêu được xác định đầu dự án đã hoàn thành.
Bên cạnh đó việc áp dụng tích hợp hệ thống quản lý chất lượng, an toàn thông tin theo tiêu chuẩn ISO 9001:2015 và ISO/IEC 27001:2013 giúp doanh nghiệp củng cố lại và xây dựng hệ thống một cách bài bản, thông tin dữ liệu được bảo mật tối ưu nhất, tạo nền tảng vững chắc cho tầm nhìn phát triển để cập nhật công nghệ hiện đại, bắt kịp xu hướng mới trong dịch vụ sản xuất và kinh doanh phần mềm.
Tuy nhiên tiến độ của dự án đã hoàn thành muộn hơn so với kế hoạch đã đề ra do doanh nghiệp cần thời gian áp dụng và hoàn thiện thêm trước khi đánh giá chứng nhận. Đây là lần đầu Công ty tiếp cận với HTQL tích hợp chất lượng - an toàn thông tin, nên không thể tránh khỏi việc nhân viên sẽ gặp nhiều khó khăn, chưa có các thói quen làm việc, quản lý theo hệ thống trước đó, cách tiếp cận và giải quyết công việc còn mang tính sự vụ, chưa quen với cách tiếp cận theo quá trình, một số nội dung chưa được thực hiện tốt từ đó làm chậm lại tiến độ của kế hoạch.
Do đó công ty cần áp dụng một số phương án để duy trì hoạt động và cải tiến HTQL như sau: cần tiếp tục thiết lập mục tiêu và kế hoạch thực hiện các mục tiêu đề ra về HTQL theo tiêu chuẩn, thực hiện đúng theo lộ trình đã đặt ra hướng đến các yêu cầu của tiêu chuẩn, đánh giá nội bộ và xem xét lãnh đạo định kỳ. Thêm vào đó cần cải tiến liên tục hệ thống quản lý chất lượng an toàn thông tin, tuyên truyền phổ biến kiến thức về hệ thống quản lý đến toàn thể cán bộ công nhân viên cùng tham gia.
NOIS là công ty hoạt động trong lĩnh vực sản xuất và kinh doanh phần mềm, việc triển khai áp dụng Hệ thống quản lý an toàn thông tin ISO/IEC 27001:2013 tích hợp với Hệ thống quản lý chất lượng ISO 9001:2015 thành công giúp doanh nghiệp văn bản hóa lại các quy trình, đáp ứng yêu cầu của khách hàng về sản phẩm dịch vụ đảm bảo chất lượng và bảo mật thông tin. Bảo mật được các thông tin dữ liệu quan trọng như thông tin khách hàng, hợp đồng,...của doanh nghiệp tránh khỏi các cuộc tấn công mạng từ đó góp phần vào việc tạo niềm tin với khách hàng, tăng uy tín của doanh nghiệp so với các đối thủ cạnh tranh cùng lĩnh vực.