Doanh nghiệp CNTT tìm đến ISO bảo mật

Công ty Hệ thống thông tin FPT nhận chứng chỉ ISO 27001:2500. Ảnh: CTV

Nhiều công ty công nghệ thông tin (CNTT) hướng đến áp dụng hệ thống quản lý bảo mật thông tin theo chuẩn quốc tế trước sức ép tăng khả năng cạnh tranh và đòi hỏi của khách hàng quốc tế.

Vừa qua, công ty phần mềm FCG Việt Nam thông báo đã đạt được chứng chỉ về bảo mật thông tin ISO 2700:2005, trở thành công ty phần mềm đầu tiên tại Việt Nam nhận được chứng chỉ này.

Mới đây, công ty hệ thống thông tin FPT (FIS) cũng tuyên bố đạt được chứng chỉ ISO bảo mật tương tự sau 8 tháng triển khai. Trước đó, cuối năm 2006, công ty phần mềm FPT (FPT Software) đã dành được chứng chỉ  bảo mật BS 17799, phiên bản tiền thân của chứng chỉ ISO mà công ty FIS và FCG Việt Nam vừa nhận được.

Theo ông GS.Iyer, Tổng giám đốc điều hành công ty TUV Nord khu vực châu Á – Thái Bình Dương, hiện có khoảng 30 công ty Việt Nam quan tâm đến chứng chỉ bảo mật ISO, trong số doanh nghiệp này có gần chục nghiệp có khả năng triển khai ngay.

TUV Nord là công ty tham gia đánh giá và cấp chứng chỉ bảo mật ISO cho FIS. Đại diện công ty kiểm định và cấp chứng chỉ bảo mật này cũng cho biết Công ty Điện toán và Truyền số liệu (VDC) sắp tới sẽ triển khai ứng dụng hệ thống bảo mật ISO.

Minh chứng năng lực

Theo ông Đỗ Cao Bảo, Tổng giám đốc FIS, việc áp dụng ISO 27001 giúp doanh nghiệp có được hệ thống quản lý an toàn thông tin toàn diện, giảm thiểu các rủi ro có thể xảy ra do các sự cố về thông tin, và tăng cường khả năng đối phó với các tình huống khẩn cẩp từ nguy cơ xâm nhập đến các nguy cơ vật lý.

Cũng theo ông Bảo, phạm vi áp dụng của chứng chỉ bảo mật ISO này khá rộng, không chỉ giới hạn trong việc bảo vệ hệ thống mạng máy tính khỏi xâm nhập trái phép hoặc virus mà còn bao gồm các vấn đề như quản lý các loại tài sản vật lý, thông tin, phần mềm và dịch vụ. Việc áp dụng chuẩn ISO này còn gồm cả việc quản lý việc trao đổi thông tin nội bộ và bên ngoài; xây dựng và diễn tập các phương án đối phó với các trường hợp khẩn cấp, thiên tai; đảm bảo an ninh cá nhân; đảm bảo hoạt động của doanh nghiệp hoạt động đúng pháp luật.

 "Việc có chứng chỉ này là cách đảm bảo các thông tin của khách hàng được bảo mật nghiêm ngặt theo chuẩn quốc tế, đồng thời cũng là minh chứng về năng lực cạnh tranh của công ty”, ông Bảo nói.

Cùng với việc bảo vệ an toàn tài sản dữ liệu, ông Đỗ Văn Ngọc, phụ trách phát triển và cải tiến quy trình của công ty FCG Việt Nam cho rằng “việc áp chuẩn bảo mật ISO còn giúp tăng cường nhận thức của nhân viên trong việc bảo vệ dữ liệu của công ty và của các đối tác.”

Vượt qua thói quen

Theo ông Đỗ Cao Bảo, để có chứng chỉ bảo mật ISO, FIS mất khoảng 8 tháng cho việc xây dựng các chính sách bảo mật, đào tạo nhân sự và áp dụng các chính sách bảo mật vào tổ chức.

Việc áp dụng hệ thống quản lý an toàn thông tin theo chuẩn ISO làm thay đổi rất nhiều hoạt động của nhân viên trong công ty. Theo đại diện FIS và FCG, khó khăn lớn nhất là sự thay đổi nhận thức và thói quen của nhân viên, đòi hỏi có sự cam kết mạnh mẽ từ cấp lãnh đạo cao nhất trong doanh nghiệp.

Trong quá trình áp dụng các chính sách bảo mật theo chuẩn ISO, theo ông Bảo “đào tạo nhân viên là một quá trình tối quan trọng với thành công của dự án, vì để nhân viên tuân thủ quy trình thì phải đào tạo cho họ hiểu về các quy định đó.” Trong khi triển khai, “FIS đã tổ chức nhiều buổi đào tạo cơ bản về bảo mật thông tin, từng phòng đều có poster về các quy định bảo mật. Sau các buổi đào tạo, các nhân viên đều phải vượt qua các bài kiểm tra kiến thức về bảo mật thông tin.”

Ngoài ra, đầu tư cũng là một vấn đề lớn với các công ty muốn có chuẩn bảo mật này. Theo đại diện công ty FCG Việt Nam thì đó là một khoản chi phí không nhỏ. Riêng chi phí thuê tổ chức kiểm định và đánh giá chất lượng, FCG đã phải chi khoảng 22.000 USD và khoảng 8000 USD chi phí tư vấn. Đó là chưa kể chi phí đào tạo con người, thay đổi quy trình, và bổ sung thiết bị (như hệ thống camera giám sát, thẻ từ).

Đỗ Duy