Doanh nghiệp chưa mặn mà với ISO quản lý an toàn thông tin

Áp dụng ISO an toàn thông tin trong doanh nghiệp còn bị xem nhẹ. Ảnh minh họa

Trong môi trường cạnh tranh bằng thông tin hiện nay thì việc an ninh thông tin trở thành vấn đề vô cùng quan trọng. Việc vượt lên phía trước, nắm bắt cơ hội thị trường, cập nhật kiến thức, khoa học, công nghệ,  định hướng kinh doanh, hoạch định chiến lược, quyết định một vấn đề hay giải quyết một sự vụ, tiếp cận với khách hàng … tất cả đều cần đến thông tin. Ai có thông tin, người đó có lợi thế trong việc dành chiến thắng.

Khi công nghệ thông tin càng phát triển, máy tính, internet rồi các phương tiện truyền tải thông tin càng hiện đại và tiện dụng, con người càng phụ thuộc vào máy móc thì nguy cơ rò rỉ, thất thoát thông tin ngày càng cao, dẫn đến những thiệt hại khó lường. Nếu việc mất cắp dữ liệu trong các cơ quan an ninh hay quân sự sẽ ảnh hưởng rất lớn đến vấn đề chính trị của một quốc gia. Các ngành kinh tế như ngân hàng, tài chính cũng dễ xảy ra nguy cơ thông tin bị rò rỉ. Chỉ cần một dữ liệu bị sửa đổi, hoặc bị đánh cắp, hay bị mất có thể sẽ ảnh hưởng nghiêm trọng tới doanh nghiệp hoặc khách hàng của doanh nghiệp đó. Vì vậy, các vấn đề về an toàn thông tin trong doanh nghiệp đang là câu chuyện rất thời sự và cấp bách hiện nay.

Theo đánh giá của Tổ chức ISO, ở Việt Nam hiện có hơn 800 doanh nghiệp phần mềm nhưng mới chỉ có khoảng 10 doanh nghiệp đạt tiêu chuẩn ISO/IEC 27001:2005 về hệ thống quản lý an toàn thông tin (Nguồn: ISO). Trong những năm qua chỉ có một vài doanh nghiệp lớn đã được chứng nhận đạt chuẩn ISO 27001 về an toàn thông tin như FPT Software, CMC Soft, Bkav, Tinh Vân… Có vẻ như các doanh nghiệp, nhất là doanh nghiệp vừa và nhỏ chưa quan tâm tới việc phải xây dựng và triển khai hệ thống quản lý an toàn thông tin theo tiêu chuẩn ISO này.

Số doanh nghiệp Việt Nam áp dụng Tiêu chuẩn ISO ISO/IEC 27001:2005 vẫn còn rất ít. Ảnh minh họa

Nguyên nhân đầu tiên của việc các doanh nghiệp không mặn mà với hệ thống quản lý an toàn thông tin theo chuẩn ISO là kinh phí đầu tư: Để xây dựng và áp dụng ISO/IEC 27001 thì doanh nghiệp phải bỏ ra một khoản tiền lớn để chi cho các khoản mục như tư vấn, đào tạo xây dựng quy trình hệ thống, quy trình tác nghiệp, đánh giá chứng nhận, đầu tư trang thiết bị, duy trì hệ thống quản lý an toàn thông tin hàng năm… Đặc biệt, có những khoản chi đang được coi là “khó khả thi” như để đạt chuẩn ISO/IEC 27001:2005  thì tất cả máy tính trong doanh nghiệp phải có bản quyền.

Vấn đề thứ hai khiến các doanh nghiệp “ngại” là nếu theo tiêu chuẩn này thì mọi công việc, mọi con người trong doanh nghiệp phải nhất nhất tuân thủ theo quy trình chặt chẽ. Đối với doanh nghiệp đã xây dựng, áp dụng và được chứng nhận hệ thống quản lý chất lượng theo ISO 9001, tuy nhiên cứ mỗi lần trước thời điểm đánh giá giám sát hàng năm, doanh nghiệp mất rất nhiều thời gian cho việc soát xét hệ thống tài liệu, hồ sơ. Do đó nhiều doanh nghiệp sợ tạo gánh nặng thêm cho mình nếu như áp dụng thêm tiêu chuẩn ISO/IEC 27001.

Vấn đề thứ ba là thực trạng nguồn nhân lực của doanh nghiệp: Trên khía cạnh chuyên môn, phần lớn các nhân viên đều là các chuyên gia CNTT, nhưng trên khía cạnh quản lý hệ thống, gần như rất ít chuyên gia kỹ thuật hiểu bản chất của hệ thống quản lý an toàn thông tin theo yêu cầu của tiêu chuẩn ISO/IEC 27001:2005.

Vấn đề thứ tư là quan điểm của lãnh đạo doanh nghiệp: Tại các nước phát triển, doanh nghiệp đáp ứng các yêu cầu của quốc gia và quốc tế là nhằm bảo vệ chính mình trước các nguy cơ của nền kinh tế thị trường, nhưng tại nước ta chỉ có một số ít doanh nghiệp làm được việc này.

Nhằm giúp các tổ chức, doanh nghiệp có thêm động lực để xây dựng hệ thống quản lý an toàn thông tin, Nhà nước đã đưa ra chương trình hỗ trợ việc xây dựng hệ thống an toàn thông tin theo tiêu chuẩn ISO/IEC 27001 thông qua các đầu mối như Bộ Thông tin và Truyền thông, Bộ Khoa học và Công nghệ. Tuy nhiên, Lãnh đạo doanh nghiệp cần phải xác định xây dựng hệ thống quản lý an toàn thông tin là nhằm bảo vệ thành quả của mình trước vấn nạn đánh cắp, rò rỉ thông tin… Rủi ro tài chính cho việc khắc phục, sửa chữa an toàn thông tin nhiều khi cao hơn rất nhiều so với việc đầu tư xây dựng hệ thống an toàn thông tin theo tiêu chuẩn ISO/IEC 27001.

Bên cạnh đó, doanh nghiệp cần tìm các đơn vị tư vấn và/hoặc chuyên gia tư vấn có năng lực chuyên môn, hiểu đúng và đầy đủ các yêu cầu về hệ thống quản lý an toàn thông tin theo tiêu chuẩn ISO/IEC 27001. Đồng thời, doanh nghiệp cũng cần bố trí những nguồn lực thích hợp để thực hiện đúng công việc theo kế hoạch xây dựng hệ thống an toàn thông tin, tránh tình trạng “trôi” dự án, gây nên những tác động không tốt cho các bên tham gia.

Bản chất chung của các tiêu chuẩn về hệ thống quản lý (ISO) do tổ chức Tiêu chuẩn hóa quốc tế ISO đưa ra là tạo nên các công cụ giúp quản trị doanh nghiệp tốt hơn. Vì vậy, doanh nghiệp cần xác định rõ “ISO phục vụ mình, chứ không phải mình phục vụ ISO”, có như vậy thì tiêu chuẩn ISO/IEC 27001 mới đem lại hiệu quả thực sự cho doanh nghiệp khi xây dựng, áp dụng, chứng nhận Hệ thống quản lý an toàn thông tin.

H. Anh